網絡安全技術新1第一頁，共七十五頁，編輯于2023年，星期三第8章網絡安全技術8.1幾種常用的網絡安全技術8.2加密技術8.3數字簽名與身份認證技術8.4入侵檢測技術2第二頁，共七十五頁，編輯于2023年，星期三本章學習要求：了解：幾種常用的網絡安全技術。掌握：加密技術。掌握：數字簽名與身份認證技術。掌握：入侵檢測技術。3第三頁，共七十五頁，編輯于2023年，星期三8.1幾種常用的網絡安全技術網絡安全問題⑴人為的失誤操作員安全配置不當、用戶安全意識不強、用戶口令選擇不慎等。⑵信息截取通過信道進行信息的截取、通過信息的流量分析等。⑶內部竊密和破壞內部或本系統的人員通過網絡竊取機密、泄漏或更改信息以及破壞信息系統。4第四頁，共七十五頁，編輯于2023年，星期三⑷黑客攻擊黑客已經成為網絡安全的克星。⑸技術缺陷硬件和軟件設計過程中留下的技術缺陷，如Windows等。⑹病毒1.CIH(1998年)、2.梅利莎（Melissa,1999年）、3.Iloveyou(2000年)、4.紅色代碼(CodeRed，2001年)、5.SQLSlammer(2003年)、6.沖擊波（Blaster，2003年)、7.大無極.F（Sobig.F，2003年)、8.貝革熱（Bagle，2004年)、9.MyDoom(2004年)、10.Sasser(2004年)5第五頁，共七十五頁，編輯于2023年，星期三8.1幾種常用的網絡安全技術1加密技術2數字簽名與身份認證3入侵檢測4病毒防范5防火墻6存取控制7安全協議…….6第六頁，共七十五頁，編輯于2023年，星期三8.2加密技術

8.2.1密碼學基本概念密碼學基本概念明文(Plaintext)加密前的數據稱為明文。密文(Ciphertext)經加密算法作用后轉換成密文。加密密鑰(EncodeKey)加密算法中使用的參數為加密密鑰解密密鑰(DecodeKey)密文經解密算法作用后形成明文輸出，解密算法也有一個密鑰，它和加密密鑰可以相同也可以不同。7第七頁，共七十五頁，編輯于2023年，星期三8.2.1密碼學基本概念密碼設計和密碼破譯統稱為密碼學。下圖為一個通用的加密模型：加密和解密有如下關系：P=Dk(Ek(P))8第八頁，共七十五頁，編輯于2023年，星期三8.2.2對稱密鑰算法對稱密碼體制是一種傳統密碼體制，也稱為私鑰密碼體制。在對稱加密系統中，加密和解密采用相同的密鑰。1.凱撒密碼(CaesarCipher)也稱凱撒移位，是最簡單的加密方法之一，相傳是古羅馬愷撒大帝用來保護重要軍情的加密系統，它是一種替代密碼。加密：將明文報文中的每個字母用字母表中該字母后的第R個字母來替換。解密：將密文中的每個字母用該字母前的第R個字母替換回來。9第九頁，共七十五頁，編輯于2023年，星期三加密公式：密文

=

(明文

+

位移數)

Mod

26

解密公式：明文

=

(密文

-

位移數)

Mod

26

以《數字城堡》中的一組密碼為例：密文：phhw

ph

diwhu

wkh

wrjd

sduwb明文：meet

me

after

the

toga

party位移數=？10第十頁，共七十五頁，編輯于2023年，星期三2.DES、3DES和AES算法1)DES(DataEncryptionStandard)算法美國政府制定的常規密鑰體制的密碼算法該算法輸入64bit的明文，產生64bit的密文；反之輸入64bit的密文，輸出64bit的明文。在64bit的密鑰中含有8個bit的奇偶校驗位，所以實際有效密鑰長度為56bit。1997年，RSA數據安全公司發起了一項“DES挑戰賽”的活動，參加者分別用4個月、41天、56h和22h破解了其用56bitDES算法加密的密文。11第十一頁，共七十五頁，編輯于2023年，星期三2)3DES是在DES算法基礎上擴展密鑰長度的一種改進，可使加密密鑰長度擴展到128bit（112bit有效）或192bit（168bit有效）。其基本原理是將128bit的密鑰分為64bit的兩組，對明文進行多次普通的DES加解密操作，從而增強加密強度。12第十二頁，共七十五頁，編輯于2023年，星期三3)AES(AdvancedEncryptionStandard)是2001年NIST宣布的DES后繼算法。AES處理以128bit數據塊為單位的對稱密鑰加密算法，可以用長為128位,192位和256位的密鑰加密。NIST估計如果用能在1s內破解56bitDES算法的計算機來破解128位的AES密鑰，要用大約149億萬年時間。13第十三頁，共七十五頁，編輯于2023年，星期三對稱密鑰算法優缺點缺點：由于加解密雙方使用相同的密鑰，因此密鑰的分發便成了該加密體系中最薄弱而且風險最大的環節。優點：對稱加密算法效率高，速度快。14第十四頁，共七十五頁，編輯于2023年，星期三8.2.3非對稱密鑰算法非對稱加密算法有效地解決了對稱加密算法密鑰的分發管理問題。非對稱密鑰體系中用到一對公鑰(PublicKey)和私鑰(PrivateKey)公鑰加密的密文只能用私鑰解密，反之，用私鑰加密的密文只能用公鑰解密。公鑰向外界公開而私鑰則只有私人擁有。如果A要發信息給B，則A只需要知道B的公鑰，用B的公鑰對信息加密，加密后的信息只有B用自己的私鑰解密。反之，B也可以用A的公鑰對信息加密然后給A。15第十五頁，共七十五頁，編輯于2023年，星期三典型的非對稱密鑰算法RSARSA密鑰對：公鑰(PublicKey)和私鑰(PrivateKey)算法：選擇兩個大的質數p,q；計算n=pq,z=(p-1)(q-1)；選擇e滿足0<e<n,并且與z互為質數；選擇d滿足edmodz=1；得到公鑰為(n,e)，密鑰(n,d)。16第十六頁，共七十五頁，編輯于2023年，星期三RSA加密和解密算法加密算法：y=xemodn解密算法：x=ydmodnx=(xemodn)dmodnAdiShamir,RonaldRivest,andLeonardAdleman.17第十七頁，共七十五頁，編輯于2023年，星期三RSA例子1求得公鑰和密鑰：取p=5，q=13；得到n=65，z=48；選取e=7，滿足與48沒有公因子；解方程7dmod(48)

=1，得到d=7；得到公鑰(65,7)，私鑰(65,7)。加解密，令x=6加密：y=67mod65=42解密：x=427mod65=618第十八頁，共七十五頁，編輯于2023年，星期三RSA例子2求得公鑰和密鑰：取p=5，q=7；得到n=35，z=24；選取e=5，滿足與24沒有公因子；解方程5dmod(24)

=1，得到d=5；得到公鑰(35,5)，私鑰(35,5)。加解密，令x=6加密：y=65mod35=6解密：x=65mod35=619第十九頁，共七十五頁，編輯于2023年，星期三RSA例子3求得公鑰和密鑰：取p=5，q=7；得到n=35，z=24；選取e=5，滿足與24沒有公因子；解方程5dmod(24)

=1，得到d=29；得到公鑰(35,5)，私鑰(35,29)。加解密，令x=12加密：y=125mod35=17解密：x=1729mod35=1220第二十頁，共七十五頁，編輯于2023年，星期三RSA優缺點RSA算法是基于大整數因子分解這一著名的數學難題。

即：尋求兩個大素數容易，而將他們的乘積分解開則極其困難。優點：能適應網絡的開放性要求，密鑰管理簡單，并且可方便地實現數字簽名和身份認證等功能，是目前電子商務等技術的核心基礎。

缺點：算法復雜，加密數據的速度和效率較低。在實際應用中，通常利用對稱密鑰算法來進行大容量數據的加密，而采用非對稱密鑰算法來傳遞對稱密鑰算法所使用的密鑰。21第二十一頁，共七十五頁，編輯于2023年，星期三8.3數字簽名與身份認證技術

8.3.1數字簽名1.數字簽名的概念(ISO7498-2標準)：“附加在數據單元上的一些數據，或是對數據單元所作的密碼變換，這種數據和變換允許數據單元的接收者用以確認數據單元來源和數據單元的完整性，并保護數據，防止被人（例如接收者）進行偽造”。美國電子簽名標準(DSS，FIPS186-2)：“利用一套規則和一個參數對數據計算所得的結果，用此結果能夠確認簽名者的身份和數據的完整性”。數字簽名技術是實現交易安全的核心技術之一，它的實現基礎就是加密技術。現在大多數數字簽名都是基于PKI(PublicKeyInfrastructure)。22第二十二頁，共七十五頁，編輯于2023年，星期三2．認證機構CA(CertificateAuthority)認證機構CA是PKI的核心執行機構，也稱為認證中心，是一種權威性、可信任性和公正性的第三方機構。CA機構本身的建設應具備條件、采用的密碼算法及技術保障是高度安全的，具有可信任性，是不參與交易雙方利益的第三方機構，具有公正性。組成證書簽發服務器負責證書的簽發和管理，包括證書歸檔、撤消和更新等；密鑰管理中心用硬件加密機產生公/私密鑰對，CA私鑰不出卡，提供CA證書的簽發；目錄服務器負責證書和證書撤消列表（CRL）的發布和查詢。23第二十三頁，共七十五頁，編輯于2023年，星期三2．認證機構CA(CertificateAuthority)RA（RegistrationAuthority）負責數字證書的申請注冊、審批、校對和管理機構。證書申請注冊機構RA為注冊總中心，負責證書申請注冊匯總。LRA為遠程本地受理點，負責用戶證書申請和審查，只有那些經過身份信用審查合格的用戶，才可以接受證書的申請，批準向其簽發證書，這是保障證書使用的安全基礎。24第二十四頁，共七十五頁，編輯于2023年，星期三3．數字證書概念數字證書簡稱證書，是PKI的核心元素，由認證機構服務者簽發，它是數字簽名的技術基礎,符合X.509標準。現行的PKI機制一般為雙證書機制，即一個實體應具有兩個證書，兩個密鑰對，一個是加密證書，一個是簽名證書，加密證書原則上是不能用于簽名的。證書在公鑰體制中是密鑰管理的媒介，不同的實體可通過證書來互相傳遞公鑰，證書由CA簽發。25第二十五頁，共七十五頁，編輯于2023年，星期三3．數字證書證書的主要內容(X.509標準)：CA(A)=CA{V,SN,AI,CA,UCA,A,UA,Ap,Ta}CA(A)---認證機構CA為用戶A頒發的證書；CA﹛,,,﹜---認證機構CA對花括弧內證書內容進行的數字簽名；V---證書版本號；SN---證書序列號；AI---用于對證書進行簽名的算法標識；CA---簽發證書的CA機構的名字；UCA---簽發證書的CA的惟一標識符；A---用戶A的名字；UA---用戶A的惟一標識；Ap---用戶A的公鑰；Ta---證書的有效期；26第二十六頁，共七十五頁，編輯于2023年，星期三27第二十七頁，共七十五頁，編輯于2023年，星期三4.數字簽名的技術實現數字簽名的過程是先在網上進行身份認證，然后再進行簽名，最后是對簽名的驗證。⑴認證1)單向認證2)雙向認證⑵數字簽名與驗證過程28第二十八頁，共七十五頁，編輯于2023年，星期三使用非對稱加密算法的數字簽名1發送方先采用單向Hash函數，將待發送的數據生成消息摘要MD_1，然后發送方使用自己的私鑰對消息摘要加密生成數字簽名，將數字簽名附著在原文上一起發送。接收方收到消息以后，先用發送方的公鑰將簽名解密，得到消息摘要。然后利用接收的原數據進行單向Hash函數的計算，得到消息摘要MD_2進行驗證，如果MD_1=MD_2，說明簽名成功。29第二十九頁，共七十五頁，編輯于2023年，星期三使用非對稱加密算法的數字簽名230第三十頁，共七十五頁，編輯于2023年，星期三31第三十一頁，共七十五頁，編輯于2023年，星期三在電子政務系統中使用混合密碼體制來實現數字簽名技術在電子政務系統中如果在數字簽名時原文在網絡上以明文傳輸，就不能保證原始信息的機密性，而要保證原始信息的機密性，就需要對待發送的原始信息實行加密運算，若對原文使用非對稱密碼算法，由于使用非對稱密碼算法在解密時運算量很大，將會影響運算速度。所以，選擇使用對稱密碼算法對原文進行加密。而用非對稱的密碼算法來實現數字簽名技術，使用這種混合密碼體制，既能實現數字簽名，保證了在傳輸過程中原文機密性，又能提高運算效率。

32第三十二頁，共七十五頁，編輯于2023年，星期三8.3.2身份認證中間人攻擊問題比如B要發一個保密信息給A,所以第一步A把自己的公鑰Ka發給B。在這一過程中，如果竊聽者H截取到其公鑰，然后偽裝成A，將自己的公鑰Kh發給B。B將敏感信息用Kh加密后發給A，此過程中，竊聽者H截取密文后用H的私鑰解密得到信息內容，然后用A的公鑰Ka加密得到密文,自己偽裝成B發給A，A用自己的私鑰順利地解開了密文。身份認證技術（CertificationAuthority,CA）的出現有效地解決了中間人的攻擊。CA把一個特定的實體和公鑰綁在一起，把信任建立在一個大家都信任的第三方，從信任第三方來達到信任對方的目的。33第三十三頁，共七十五頁，編輯于2023年，星期三網絡信息安全的五個要素身份認證(Authentication)鑒定信息的真實性，核實源實體與接受實體是否與宣稱的一致。授權(Authorization)用一些特殊的參數表明訪問(或存取)的權限。保密性(Confidentiality)使信息只被授權用戶享用，確保通信機密。完整性(Integrity)確保數據的完整和準確。不可否認(Nonrepudiation)驗明身份后，不能夠拒絕傳送和接受。34第三十四頁，共七十五頁，編輯于2023年，星期三網絡的多樣化推動認證技術的進步網絡應用推進認證技術的多樣化游戲，股票，音樂，網上銀行移動應用推進移動認證技術便于攜帶的認證技術無處不在的網絡需要無處不在的認證技術網絡門禁網絡停車快速收費簡單口令的失敗促進其他認證技術的發展35第三十五頁，共七十五頁，編輯于2023年，星期三對認證技術的要求成本購買成本，布置成本，使用成本方便性易于使用，便于攜帶，適應多種系統安全與擴展相對安全性，與其他系統的互操作性，可伸縮性36第三十六頁，共七十五頁，編輯于2023年，星期三鑒別／認證技術的基本元素你所知道的密碼，口令，媽媽的生日，機密問題；你所擁有的鑰匙，IC卡，令牌，身份證；你自身的手型，指紋，眼紋；你的行為聲紋，說話方式，行走方式，手寫簽名、擊鍵動作等。37第三十七頁，共七十五頁，編輯于2023年，星期三身份認證有三個要素第一個要素：需要使用者記憶的身份認證內容，例如密碼和身x份x證號碼等等。第二個要素：使用者擁有的特殊認證加強機制，例如動態密碼卡，IC卡，磁卡等。第三個要素：使用者本身擁有的唯一特征，例如指紋，瞳孔，聲音等等…..38第三十八頁，共七十五頁，編輯于2023年，星期三8.3.2身份認證1.身份認證的定義身份認證是用戶在進入系統或訪問不同保護級別的系統資源時，系統確認該用戶的身份是否真實、合法和惟一。2．身份認證的分類從身份認證所用的物理介質分，主要分為口令、磁卡、條碼卡、IC卡、智能令牌、指紋、密碼表等。從身份認證過程中與系統的通信次數分，有一次認證、兩次認證。從身份認證所應用的系統來分，有單機系統身份認證和網絡系統身份認證。從身份認證的基本原理上來說，身份認證可以分為靜態身份認證和動態身份認證。39第三十九頁，共七十五頁，編輯于2023年，星期三8.3.2身份認證3．靜態身份認證靜態身份認證是指用戶登錄系統、驗證身份過程中，送入系統的驗證數據是固定不變的，符合這個特征的身份認證方法稱為靜態身份認證。⑴單因素靜態口令身份認證⑵雙因素靜態身份認40第四十頁，共七十五頁，編輯于2023年，星期三⑴單因素靜態口令身份認證靜態口令是一種單因素認證方法當用戶需要訪問系統資源時，系統提示用戶輸入用戶名和口令。系統采用加密方式或明文方式將用戶名和口令傳送到認證中心，并和認證中心保存的用戶信息進行比對。如果驗證通過，系統允許該用戶進行隨后的訪問操作，否則拒絕用戶的進一步的訪問操作。單因素靜態口令身份認證一般用于早期的計算機系統。目前，在一些比較簡單的系統或安全性要求不高的系統中也有應用，例如PC的開機口令、UNIX系統中用戶的登錄、Windows用戶的登錄、電話銀行查詢系統的賬戶口令等。缺點：一個口令多次使用，容易造成泄露。41第四十一頁，共七十五頁，編輯于2023年，星期三⑵雙因素靜態身份認證雙因素認證方式是在單一的記憶因素(固定口令)認證基礎上結合第二物理認證因素，以使認證的確定性按指數遞增。目前很多銀行計算機業務處理系統中，柜員的身份認證大多采用雙因素靜態身份認證。42第四十二頁，共七十五頁，編輯于2023年，星期三一些雙因素身份認證技術生物認證技術，包括指紋、虹膜、面容識別等無法集成現有應用需要特殊的外圍認證設備應用不成熟、使用維護成本高數字證書認證技術無法集成現有應用，需要很多開發工作客戶端需要安裝驅動程序，管理、部署和維護復雜在許多特殊場景下無法使用，如對登錄AIX操作系統的保護就無能為力RSA雙因素身份認證技術直接集成各種應用提供全面資源保護，如網絡訪問與維護、主機登錄、Oracle數據庫、WebServer等技術成熟、可靠，方便部署、分發和使用43第四十三頁，共七十五頁，編輯于2023年，星期三雙因素的概念=你所知道的+你所擁有的把你所擁有的ATM卡...和你知道的...ATM卡的口令+PIN=雙因素認證!44第四十四頁，共七十五頁，編輯于2023年，星期三8.3.2身份認證4．動態身份認證動態身份認證是指用戶登錄系統、驗證身份過程中，送入系統的驗證數據是動態變化的，符合這個特征的身份認證方法稱為動態身份認證。⑴時間同步機制身份認證⑵挑戰/應答機制的身份認證45第四十五頁，共七十五頁，編輯于2023年，星期三⑴時間同步機制身份認證在這種認證機制中，每個系統用戶都持有相應的時間同步令牌，令牌內置時鐘、種子密鑰和加密算法。時間同步令牌可以每分鐘動態生成一個一次性有效的口令。用戶需要訪問系統時，需要將令牌生成的動態口令和靜態口令結合在一起作為口令上送到中心認證系統。認證中心不僅要核對用戶的靜態口令，同時中心認證系統需要根據當前時間和該用戶的種子密鑰計算出該用戶當前的動態口令，并進行核對。缺點：這種認證機制從技術上很難保證用戶的時間同步令牌在時間上和中心認證系統嚴格同步；而且數據在網絡上傳輸和處理都有一定的延遲。當時間誤差超過允許值時，往往造成正常用戶的登錄認證失敗。46第四十六頁，共七十五頁，編輯于2023年，星期三RSA雙因素身份認證原理種子時間+tokencode=種子時間+tokencode=公司資源BadTokencode:AccessDeniedGoodTokencode:AccessGranted認證代理軟件AM/Agent認證管理服務器AM47第四十七頁，共七十五頁，編輯于2023年，星期三RSASecurIDAuthenticationSolutionUserentersPasscode

(PIN+tokencode)User

Authenticated!AuthenticationManagerAuthenticationAgentCalculatespasscode48第四十八頁，共七十五頁，編輯于2023年，星期三RSA雙因素身份認證原理

時間同步雙因素身份認證RSA

AuthenticationManager種子時間算法種子時間159759算法相同的種子相同的時間49第四十九頁，共七十五頁，編輯于2023年，星期三RSASecurID雙因素口令的構成雙因素口令=+PIN令牌碼LOGIN: 張三PASSCODE:Zs3a159759唯一的128位種子已初始化為全球同步時間令牌碼:通常為每60秒鐘變化一次內部電池完整的雙因素口令是PIN碼（客戶首次使用令牌的時候設定）和令牌碼組合到一起構成的50第五十頁，共七十五頁，編輯于2023年，星期三種類豐富的認證令牌軟件令牌智能卡令牌USB令牌硬件令牌

51第五十一頁，共七十五頁，編輯于2023年，星期三RSA強認證系統可以保護的資源RSA

AuthenticationManager(Replica)Win/UnixIntranetVPN網關RSA

AuthenticationManager(Primary)郵件系統文件服務器

應用服務器遠程移動辦公用戶RSAACE/Agent52第五十二頁，共七十五頁，編輯于2023年，星期三RSA強認證系統可以保護的資源企業內部網AAA服務器

（支持802.1x）CiscoACSFunkRadiusServerMicrosoftIAS······企業有線網絡WLAN認證用戶AccessPointWindows&WLAN客戶端RSA身份認證服務器53第五十三頁，共七十五頁，編輯于2023年，星期三⑵挑戰/應答機制的身份認證在這種認證機制中，每個系統用戶都持有相應挑戰應答令牌，令牌內置種子密鑰和加密算法。用戶需要訪問系統時，認證系統首先提示輸入用戶名和靜態口令。認證通過后系統在下傳一個中心系統隨機生成的挑戰數，通常為一個數字串，用戶將該挑戰數輸入到挑戰應答令牌中，挑戰應答令牌利用內置的種子密鑰和加密算法計算出相應的應答數，通常也是一個數字串。用戶將該數字串作為應答數上傳給認證中心。認證中心根據該用戶在認證中心保存的種子密鑰和同樣的加密算法計算出同樣的應答數并和用戶上傳的應答數進行比較，如果兩者相同，允許該用戶訪問系統，否則拒絕用戶的登錄請求。由于每個用戶的種子密鑰不同，因此不同用戶對同樣的挑戰數可以計算出不同的應答數，只有用戶持有指定的挑戰應答令牌才能計算出正確的應答數。從而可以保證用戶是持有指定挑戰應答令牌的合法用戶。54第五十四頁，共七十五頁，編輯于2023年，星期三8.4入侵檢測技術網絡內部、外部泄密拒絕服務攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒后門、隱蔽通道蠕蟲黑客55第五十五頁，共七十五頁，編輯于2023年，星期三8.4入侵檢測技術入侵(Intrusion)入侵是指未經授權蓄意嘗試訪問信息、竄改信息，使系統不可靠或不能使用的行為。入侵企圖破壞計算機資源的完整性、機密性、可用性、可控性什么是入侵檢測系統？入侵檢測系統是一套監控計算機系統或網絡系統中發生的事件，根據規則進行安全審計的軟件或硬件系統。為何需要入侵檢測系統？入侵很容易防火墻不能保證絕對的安全56第五十六頁，共七十五頁，編輯于2023年，星期三入侵檢測的任務1檢測來自內部的攻擊事件和越權訪問85％以上的攻擊事件來自于內部的攻擊防火墻只能防外，難于防內入侵檢測系統作為防火墻系統的一個有效的補充入侵檢測系統可以有效的防范防火墻開放的服務入侵通過事先發現風險來阻止入侵事件的發生，提前發現試圖攻擊或濫用網絡系統的人員。檢測其它安全工具沒有發現的網絡工具事件。57第五十七頁，共七十五頁，編輯于2023年，星期三入侵檢測的任務2提供有效的審計信息，詳細記錄黑客的入侵過程，從而幫助管理員發現網絡的脆弱性。網絡中可被入侵者利用的資源在一些大型的網絡中，管理員沒有時間跟蹤系統漏洞并且安裝相應的系統補丁程序。用戶和管理員在配置和使用系統中的失誤。對于一些存在安全漏洞的服務、協議和軟件，用戶有時候不得不使用。58第五十八頁，共七十五頁，編輯于2023年，星期三入侵檢測的發展歷史11980年，JamesAnderson最早提出入侵檢測概念。1987年，D．E．Denning首次給出了一個入侵檢測的抽象模型，并將入侵檢測作為一種新的安全防御措施提出。1988年，Morris蠕蟲事件直接刺激了IDS的研究。1988年，創建了基于主機的系統,有IDES，Haystack等。1989年，提出基于網絡的IDS系統,有NSM，NADIR，DIDS等。59第五十九頁，共七十五頁，編輯于2023年，星期三入侵檢測的發展歷史290年代，不斷有新的思想提出，如將人工智能、神經網絡、模糊理論、證據理論、分布計算技術等引入IDS系統。2000年2月，對Yahoo！、Amazon、CNN等大型網站的DDOS攻擊引發了對IDS系統的新一輪研究熱潮。2001年～今，RedCode、求職信等新型病毒的不斷出現，進一步促進了IDS的發展。60第六十頁，共七十五頁，編輯于2023年，星期三入侵檢測系統部署方式1通過端口鏡像實現（SPAN/PortMonitor）SwitchIDSSensorMonitoredServersConsole61第六十一頁，共七十五頁，編輯于2023年，星期三入侵檢測系統部署方式2檢測器部署位置部署一：放在邊界防火墻之外部署二：放在邊界防火墻之內部署三：放在主要的網絡中樞部署四：放在一些安全級別需求高的子網62第六十二頁，共七十五頁，編輯于2023年，星期三Internet部署一部署二部署三部署四63第六十三頁，共七十五頁，編輯于2023年，星期三網絡入侵步驟總覽選中攻擊目標獲取普通用戶權限擦除入侵痕跡安裝后門新建帳號獲取超級用戶權限攻擊其它主機獲取或修改信息從事其它非法活動掃描網絡利用系統已知的漏洞、通過輸入區向CGI發送特殊的命令、發送特別大的數據造成緩沖區溢出、猜測已知用戶的口令，從而發現突破口。64第六十四頁，共七十五頁，編輯于2023年，星期三入侵檢測技術分類1從檢測數據來源看基于網絡的入侵檢測技術這種入侵檢測技術通過分析網絡上的數據包序列，包括分析數據包的類型、大小、包中各個屬性的值以及一段時間里收到的數據包的組合，以確定是否有不正常行為發生。基于主機審計數據的入侵檢測技術主要分析主機的系統日志以及各種實時運行參數記錄，包括主機應用程序運行狀態及歷史記錄、系統調用序列、系統事件歷史記錄、系統各種參數的運行狀態值以及系統硬件資源使用率，以確定是否有導致系統狀態不正常的入侵行為發生。65第六十五頁，共七十五頁，編輯于2023年，星期三入侵檢測技術分類2從入侵檢測的方式來分基于誤用的檢測技術使用一組預先定義的規則，對所檢測的數據匹配這些規則以確定是否有入侵行為發生。基于異常的入侵檢測技術通過機器學習、統計學習算法，利用系統在正常狀態下的審計數據，通過一定的訓練算法得出系統正常狀態行為的數學模型，通過分析當前的系統狀態與正常狀態下的模型，比較兩者之間的偏離程序度來確定是否有入侵行為發生。一般認為，基于異常的入侵檢測算法能夠適應網絡的動態變化，并可檢測出未知的攻擊手段，在各種應用場合都表現出較高的可推廣性。66第六十六頁，共七十五頁，編輯于2023年，星期三8.4.1基于誤用的入侵檢測技術工作原理：基于誤用的入侵檢測技術從入侵行為本身的特征入手，定義一組系統入侵發生時的特征，檢測程序實時檢測系統中是否有存在特征或特征的組合，以確定是否有入侵行為的發生。主要問題：基于誤用的入侵檢測的主要問題是如何確定所定義的攻擊特征模式可以覆蓋與實際攻