第7章 入侵检测技术 第8章病毒.ppt

第 7 章 入侵检测技术 本章要点 （1）入侵检测的概念 （2）误用入侵检测 （3）异常入侵检测 （4）入侵检测产品 （5）入侵检测产品的选择 ;入侵。入侵者常常利用系统和应用软件中弱点攻击，而 这些弱点易编成某种模式，如果入侵者攻击方式恰好匹 配检测系统中的模式库，则入侵者即被检测到。 7.2．2 异常入侵检测 典型的威胁模型将威胁分为外部闯入、内部渗 透和不当行为 3 种类型，并使用这种分类方法开发了一 个安全监视系统，可检测用户的异常行为。 7.3 入侵检测产品 7.3．1 安氏领信 LinkTrust 7.3．3 启明星辰天阗入侵检测系统 7.3．4 中科网威天眼入侵检测系统 7.3．5 中联绿盟冰之眼入侵检测系统 7.4 入侵检测产品的选择 1．产品的攻击检测数量、是否支持升级 2．网络入侵检测系统的最大可处理流量(PPS) 3．产品是否容易被攻击者躲避 4．能否自定义异常事件 5.产品系统结构是否合理 6．产品的误报和漏报率 7．系统本身是否安全 8．产品实时监控性能 9．系统易用性 10．特征库升级与维护的费用 11．产品是否通过了国家权威机构的评测 ; 本章小结 本章简要入侵检测的概念、误用入侵检测、异常入 侵检测的相关知识，并简要介绍了入侵检测的部分产品， 同时说明了入侵检测产品的选择方法。 本章练习 1．什么是入侵检测系统? 2．什么是误用人侵检测系统? 3．什么是异常入侵检测系统? 4．如何选择入侵检测产品? ; 7．1 计算机病毒及特性 7．1．1 什么是计算机病毒 计算机病毒，英文名字为 Computer Virus，简 称 CV，它是一种程序，但不同于一般的程序，这种程序 能将自身传染给其他的程序，并能破坏计算机系统的正 常工作，如删除磁盘文件，干扰屏幕正常的显示，干扰 打印机的正常打印工作等。 7．1．2 计算机病毒的特性 通常，计算机病毒有以下几个特点。 (1)隐藏性。 (2)潜伏性。 (3)危害性。 (4)可传染性。 (5)可激活性。 7．2 计算机病毒的类型及其危害 对于计算机病毒可以从不同的角度进行分类。就目 前情况看，对于计算机病毒的分类主要有两个方面：一 是按照病毒程序的寄生方式进行分类，二是按照病毒程 序产生的后果进行分类。就计算机病毒产生的后果而言， 一般将计算机病毒分为良性病毒和恶性病毒两大类。 7．2．1 计算机病毒的类型 就计算机病毒的寄生方式来说，一般将计算机 病毒分为 4 种类型。 1．操作系统型病毒 2．文件型病毒 ; 3．源码型病毒 4．入侵型病毒 7．2．2 计算机网络传播病毒 在计算机网络上传播的病毒有以下几类。 1．蠕虫病毒 2．逻辑炸弹 3．特洛伊木马 4．陷阱入口 7.细菌 7．2．3 计算机病毒对系统的危害 计算机病毒的危害可以分为对计算机网络系统的危 害和对微型计算机系统的危害两个方面。 下面根据当前掌握的情况分别给以介绍。 1．计算机病毒对网络系统的危害 2．计算机病毒对微型机系统的主要危害 7．3 计算机病毒的结构及其作用机制 7．3．1 计算机病毒的结构 通过对目前国内出现的各类计算机病毒程序的分 析，计算机病毒在结构上有着共同性，一般由三部分组 成——引导部分、传播部分和表现(或破坏)部分。个别 病毒尚没有表现部分。比如大麻病毒、巴基斯坦病毒等。 7．3．2 计算机病毒作用机制 一个病毒程序的引导模块，主要是将整个病毒 程序送入到计算机系统中，完成病毒程序的安装。对于 含有较长代码的病毒程序(如小球病毒一类)，因病毒程 ;序被分作两部分在介质中存放，则要首先实现两部分病 毒程序的合并，然后再进行安装。在此之后，引导程序 还要修改系统的中断向量，使之分别指向病毒程序的传 播部分和表现部分。这样就使病毒程序的这两部分由静 态转变为动态，并脱离引导模块直接与计算机系统打交 道。最后，引导模块还要执行原来系统正常的引导工作 (i4 操作系统型病毒而言)，或执行被调入内存的可执行 文件(对文件型病毒而言)。这样在用户看来，计算机仍 在“正常”地工作，而丝毫觉察不到病毒的入侵。 7.4 计算机病毒的攻击 攻击，可分为四大类别，分别为：arp 攻击、内网