第18講入侵檢測技術(shù)ppt課件

1、第18講 入侵檢測技術(shù)主講：賈忠田入侵檢測系統(tǒng)的概念 入侵檢測系統(tǒng)1DSIntrusion Detection System指的是一種硬件或者軟件系統(tǒng)，該系統(tǒng)對系統(tǒng)資源的非授權(quán)運用可以做出及時的判別、記錄和報警。 主要產(chǎn)品 Snort NFR eTrust BlackICE Cisco公司的NetRanger Network Associates公司的CyberCop Internet Security System公司的RealSecure Intrusion Detection公司的Kane Security Monitor Axent Technologies公司的OmniGuard/I

2、ntruder Alert 中科網(wǎng)威的“天眼入侵檢測系統(tǒng) 啟明星辰的SkyBell天闐 入侵檢測系統(tǒng)選購原那么 1產(chǎn)品的攻擊檢測數(shù)量為多少？能否支持晉級？ 2對于網(wǎng)絡(luò)入侵檢測系統(tǒng)，最大可處置流量(PPS)是多少？ 3產(chǎn)品容易被攻擊者躲避嗎？ 4能否自定義異常事件？ 5產(chǎn)品系統(tǒng)構(gòu)造能否合理？ 6產(chǎn)品的誤報和漏報率如何？ 7系統(tǒng)本身能否平安？ 8產(chǎn)品實時監(jiān)控性能如何？ 9系統(tǒng)能否易用？包括：界面易用、協(xié)助易用、戰(zhàn)略編輯易用、日志報告易用、報警事件優(yōu)化技術(shù) 10特征庫晉級與維護的費用怎樣？ 11產(chǎn)品能否經(jīng)過了國家權(quán)威機構(gòu)的評測？入侵檢測系統(tǒng)面臨的挑戰(zhàn) 一個有效的入侵檢測系統(tǒng)應(yīng)限制誤報出現(xiàn)的次數(shù)，但同

3、時又能有效截擊。誤報是指被入侵檢測系統(tǒng)測報警的是正常及合法運用受維護網(wǎng)絡(luò)和計算機的訪問。誤報是入侵檢測系統(tǒng)最頭疼的問題，攻擊者可以而且往往是利用包的構(gòu)造偽造無要挾的“正常假警報，而誘導(dǎo)沒有警惕性的管理員人把入侵檢測系統(tǒng)關(guān)掉。誤報 沒有一個入侵檢測能無敵于誤報，由于沒有一個運用系統(tǒng)不會發(fā)生錯誤，緣由主要有四個方面。 1、缺乏共享數(shù)據(jù)的機制 2、缺乏集中協(xié)調(diào)的機制 3、缺乏揣摩數(shù)據(jù)在一段時間內(nèi)變化的才干 4、缺乏有效的跟蹤分析入侵檢測系統(tǒng)的類型和性能比較 根據(jù)入侵檢測的信息來源不同，可以將入侵檢測系統(tǒng)分為兩類：基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。 1、基于主機的入侵檢測系統(tǒng)：主要用于維

4、護運轉(zhuǎn)關(guān)鍵運用的效力器。它經(jīng)過監(jiān)視與分析土機的審計記錄和日志文件：來檢測入侵。日志中包含發(fā)生在系統(tǒng)上的不尋常和不期望活動的證據(jù)，這些證據(jù)可以指出有人正在入侵或已勝利入侵了系統(tǒng)。經(jīng)過查看日志文件，可以發(fā)現(xiàn)勝利的入侵或入侵企圖，并很快地啟動相應(yīng)的應(yīng)急呼應(yīng)程序。 2、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)：主要用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵途徑的信息，它監(jiān)聽網(wǎng)絡(luò)上的一切分組來采集數(shù)據(jù)，分析可疑景象。入侵檢測的方法 目前入侵檢測方法有三種分類根據(jù)： 1、根據(jù)物理位置進展分類。 2、根據(jù)建模方法進展分類。 3、根據(jù)時間分析進展分類。 常用的方法有三種：靜態(tài)配置分析、異常性檢測方法和基于行為的檢測方法。靜態(tài)配置分析 靜態(tài)配置分析經(jīng)

5、過檢查系統(tǒng)的配置，諸如系統(tǒng)文件的內(nèi)容，來檢查系統(tǒng)能否曾經(jīng)或者能夠會遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征比如，系統(tǒng)配置信息。 采用靜態(tài)分析方法主要有以下幾方面的緣由：入侵者對系統(tǒng)攻擊時能夠會留下痕跡，可經(jīng)過檢查系統(tǒng)的形狀檢測出來。異常性檢測方法 異常性檢測技術(shù)是一種在不需求操作系統(tǒng)及其平安性缺陷的專門知識的情況下，就可以檢測入侵者的方法，同時它也是檢測冒充合法用戶的入侵者的有效方法。但是。在許多環(huán)境中，為用戶建立正常行為方式的特征輪廓以及對用戶活動的異常性進展報警的門限值確實定都是比較困難的事。由于并不是一切入侵者的行為都可以產(chǎn)生明顯的異常性，所以在入侵檢測系統(tǒng)中，僅運用異常性檢測技術(shù)不能夠檢測

6、出一切的入侵行為。而且，有閱歷的入侵者還可以經(jīng)過緩慢地改動他的行為，來改動入侵檢測系統(tǒng)中的用戶正常行為方式，使其入侵行為逐漸變?yōu)楹戏ǎ@樣就可以避開運用異常性檢測技術(shù)的入侵檢測系統(tǒng)的檢測。基于行為的檢測方法 基于行為的檢測方法經(jīng)過檢測用戶行為中的那些與某些知的入侵行為方式類似的行為或那些利用系統(tǒng)中缺陷或者是間接地違背系統(tǒng)平安規(guī)那么的行為，來檢測系統(tǒng)中的入侵活動。 基于入侵行為的入侵檢測技術(shù)的優(yōu)勢：假設(shè)檢測器的入侵特征方式庫中包含一個知入侵行為的特征方式，就可以保證系統(tǒng)在遭到這種入侵行為攻擊時可以把它檢測出來。但是，目前主要是從知的入侵行為以及知的系統(tǒng)缺陷來提取入侵行為的特征方式，參與到檢測器入

7、侵行為特征方式庫中，來防止系統(tǒng)以后再蒙受同樣的入侵攻擊。案例6-1 檢測與端口關(guān)聯(lián)的運用程序 網(wǎng)絡(luò)入侵者都會銜接到主機的某個非法端口，經(jīng)過檢查出與端口關(guān)聯(lián)運用程序，可以進展入侵檢測，這種方法屬于靜態(tài)配置分析。 利用工具軟件fport.exe可以檢查與每一端口關(guān)聯(lián)的運用程序，執(zhí)行程序. FPort可以把本機開放的TCP/UDP端口同運用程序關(guān)聯(lián)起來，這和運用“netstat -an命令產(chǎn)生的效果類似，但是該軟件還可以把端口和運轉(zhuǎn)著的進程關(guān)聯(lián)起來，并可以顯示進程PID、稱號和途徑。該軟件可以用于快速識別未知的開放端口和與之關(guān)聯(lián)的運用程序。入侵檢測的步驟 入侵檢測系統(tǒng)的作用是實時地監(jiān)控計算機系統(tǒng)的活

8、動，發(fā)現(xiàn)可疑的攻擊行為，以防止攻擊的發(fā)生，或減少攻擊呵斥的危害。由此也劃分了入侵檢測的三個根本步驟： 信息搜集、數(shù)據(jù)分析和呼應(yīng)。信息搜集 入侵檢測的第一步就是信息搜集，搜集的內(nèi)容包括整個計算機網(wǎng)絡(luò)中系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的形狀和行為。 入侵檢測在很大程度上依賴于搜集信息的可靠性、正確性和完備性。因此，要確保采集、報告這些信息的軟件工具的可靠性，這些軟件本身應(yīng)具有相當強的鞏固性，可以防止被篡改而搜集到錯誤的信息。否那么，黑客對系統(tǒng)的修正能夠使入侵檢測系統(tǒng)功能失常但看起來卻跟正常的系一致樣。數(shù)據(jù)分析 數(shù)據(jù)分析Analysis Schemes是入侵檢測系統(tǒng)的中心，它的效率高低直接決議了整個入侵檢

9、測系統(tǒng)的性能。根據(jù)數(shù)據(jù)分析的不同方式可將入侵檢測系統(tǒng)分為異常入侵檢測與誤用入侵檢測兩類： 呼應(yīng) 數(shù)據(jù)分析發(fā)現(xiàn)入侵跡象后，入侵檢測系統(tǒng)的下一步任務(wù)就是呼應(yīng)。而呼應(yīng)并不局限于對可疑的攻擊者。目前的入侵檢測系統(tǒng)普通采取以下呼應(yīng)。 1、將分析結(jié)果記錄在日志文件中，并產(chǎn)生相應(yīng)的報告。 2、觸發(fā)警報：如在系統(tǒng)管理員的桌面上產(chǎn)生一個告警標志位，向系統(tǒng)管理員發(fā)送傳呼或電子郵件等等。 3、修正入侵檢測系統(tǒng)或目的系統(tǒng)，如終止進程、切斷攻擊者的網(wǎng)絡(luò)銜接，或更改防火墻配置等。案例6-2 入侵檢測工具：BlackICE BlackICE是一個小型的入侵檢測工具，在計算機上平安終了后，會在操作系統(tǒng)的形狀欄顯示一個圖標，當

10、有異常網(wǎng)絡(luò)情況的時候，圖標就會跳動。 BlackICE 功能強大易于運用的計算機平安防護工具。它提供一個能經(jīng)過先進的入侵監(jiān)測系統(tǒng)繼續(xù)監(jiān)控他互聯(lián)網(wǎng)銜接中的可疑行為的個人防火墻。 BlackICE 可以迅速作出反響，在對他發(fā)出警報的同時阻撓外部入侵。BlackICE PC Protection 如今提供更加具有特點的運用程序維護功能，一個讓人激動的設(shè)計用以維護他的個人電腦、筆記本或任務(wù)站免遭攻擊者控制，維護他免受木馬、蠕蟲和其它惡意程序的要挾。 n主界面如下圖 可以查看主機入侵的信息，選擇屬性頁“Intruders，如下圖。入侵檢測工具：冰之眼 “冰之眼網(wǎng)絡(luò)入侵檢測系統(tǒng)是NSFOCUS系列平安軟件

11、中一款專門針對網(wǎng)絡(luò)蒙受黑客攻擊行為而研制的網(wǎng)絡(luò)平安產(chǎn)品，該產(chǎn)品可最大限制地、全天候地監(jiān)控企業(yè)級的平安。由于用戶本身網(wǎng)絡(luò)系統(tǒng)的缺陷、網(wǎng)絡(luò)軟件的破綻以及網(wǎng)絡(luò)管理員的忽略等等，都能夠使網(wǎng)絡(luò)入侵者有機可乘，而系統(tǒng)蒙受了攻擊，就能夠呵斥重要的數(shù)據(jù)、資料喪失，關(guān)鍵的效力器喪失控制權(quán)等。 運用“冰之眼，系統(tǒng)管理人員可以自動地監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)流、主機的日志等，對可疑的事件給予檢測和呼應(yīng),在內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的主機和網(wǎng)絡(luò)蒙受破壞之前阻止非法的入侵行為，主界面如下圖。 管理員可以添加主機探測器來檢測系統(tǒng)能否被入侵，選擇菜單欄“網(wǎng)絡(luò)下的菜單項“添加探測器，可以添加相關(guān)的探測器，如下圖。入侵檢測系統(tǒng)netwatch 可對企

12、業(yè)網(wǎng)絡(luò)進展實時監(jiān)控、自動或手動切斷網(wǎng)絡(luò)銜接、孤立堵塞網(wǎng)絡(luò)主機、防止ARP欺騙、入侵檢測功能、支持防火墻的互動.NetWatch 2.0 專業(yè)版提供如下的功能: 1、對企業(yè)網(wǎng)絡(luò)銜接信息進展實時監(jiān)控(TCP和UDP)，并以列表和活動形狀樹的方式顯示，用戶可對每個銜接進展更細的處置：切斷銜接、記錄銜接、跟蹤銜接、制定控制規(guī)那么、制定和防火墻的互動規(guī)那么、給客戶端發(fā)送信使信息(WinPopup 信息)。 2、 按客戶端、效力端、效力和常用運用層協(xié)議對網(wǎng)絡(luò)流量數(shù)據(jù)的進展統(tǒng)計顯示。在按客戶端和效力端進展流量顯示的同時，可對指定的條目制定動態(tài)過濾規(guī)那么、互動規(guī)那么過濾、排除規(guī)那么過濾。 3、 對影響網(wǎng)絡(luò)活動

13、的每一個要素實施面向?qū)ο蟮墓芾?。目前有網(wǎng)絡(luò)對象、效力對象、時間對象、URL 對象、內(nèi)容對象、音訊對象。 4、靈敏的過濾規(guī)那么制定方式。目前有用戶過濾規(guī)那么、用戶排除規(guī)那么、普經(jīng)過濾規(guī)那么、URL過濾規(guī)那么、內(nèi)容過濾規(guī)那么、普通排除規(guī)那么、入侵檢測規(guī)那么、IP和MAC地址綁定規(guī)那么等靈敏多變的檢測規(guī)那么制定方式。5、支持對TCP會話的實時跟蹤功能，特別適宜對Telnet、FTP等交互式會話的實跟蹤。6、支持對端口掃描和800多種常見攻擊方式的檢測。7、以可視化方式支持Unix下ARPWatch功能，跟蹤網(wǎng)絡(luò)內(nèi)的IP地址變卦，防止ARP欺騙。8、可手工對主機進展堵塞和孤立功能。9、可自動阻斷TCP

14、銜接。10、在規(guī)那么過濾中，可以以主機的MAC地址而不是IP地址進展過濾。運用 軟件下載 軟件安裝 軟件運用本章總結(jié) 本章引見了防御技術(shù)中的防火墻技術(shù)與入侵檢測技術(shù)。 重點了解防火墻的概念、分類、常見防火墻的系統(tǒng)模型以及創(chuàng)建防火墻的根本步驟。 掌握運用Winroute創(chuàng)建簡單的防火墻規(guī)那么。 重點了解入侵檢測系統(tǒng)的根本概念、檢測的方法以及入侵檢測的步驟。 掌握編寫簡單入侵檢測的程序，掌握一種入侵檢測工具。本章習(xí)題 【1】、什么是防火墻？古時候的防火墻和目前通常說的防火墻有什么聯(lián)絡(luò)和區(qū)別？ 【2】、簡述防火墻的分類，并闡明分組過濾防火墻的根本原理。 【3】、常見防火墻模型有哪些？比較他們的優(yōu)缺陷。 【4】、編寫防火墻規(guī)那么：制止除管理員計算機IP為10外任何一臺電腦訪問某主機IP為09的終端效力TCP端口33