網絡安全--入侵檢測培訓課程_第1頁
網絡安全--入侵檢測培訓課程_第2頁
網絡安全--入侵檢測培訓課程_第3頁
網絡安全--入侵檢測培訓課程_第4頁
已閱讀5頁,還剩43頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、網絡平安入侵檢測網絡平安的構成物理平安性設備的物理平安:防火、防盜、防破壞等通信網絡平安性防止入侵和信息泄露系統平安性計算機系統不被入侵和破壞用戶訪問平安性通過身份鑒別和訪問控制,阻止資源被非法用戶訪問數據平安性數據的完整、可用數據保密性信息的加密存儲和傳輸平安的分層結構和主要技術物理平安層網絡平安層系統平安層用戶平安層應用平安層數據平安層加密訪問控制授權用戶/組管理單機登錄身份認證反病毒風險評估入侵檢測審計分析平安的通信協議VPN防火墻存儲藏份主要的傳統平安技術加密消息摘要、數字簽名身份鑒別:口令、鑒別交換協議、生物特征訪問控制平安協議: IPSec、SSL網絡平安產品與技術:防火墻、VPN

2、內容控制: 防病毒、內容過濾等“預防prevention和“防護protection的思想傳統平安技術的局限性傳統的平安技術采用嚴格的訪問控制和數據加密策略來防護在復雜系統中,這些策略是不充分的這些措施都是以減慢交易為代價的大局部損失是由內部引起的82%的損失是內部威脅造成的傳統平安技術難于防內傳統的平安技術根本上是一種被動的防護,而如今的攻擊和入侵要求我們主動地去檢測、發(fā)現和排除平安隱患傳統平安措施不能滿足這一點入侵檢測系統概述入侵檢測系統的定義入侵Intrusion企圖進入或濫用計算機或網絡系統的行為可能來自于網絡內部的合法用戶入侵檢測Intrusion Detection對系統的運行狀態(tài)

3、進行監(jiān)視,發(fā)現各種攻擊企圖、攻擊行為或者攻擊結果,以保證系統資源的機密性、完整性和可用性入侵檢測系統Intrusion Detection System, IDS定義:進行入侵檢測的軟件與硬件的組合便是入侵檢測系統功能:監(jiān)控計算機系統或網絡系統中發(fā)生的事件,根據規(guī)那么進行平安審計為什么需要入侵檢測系統入侵很容易入侵教程隨處可見各種工具唾手可得防火墻不能保證絕對的平安網絡邊界的設備自身可以被攻破對某些攻擊保護很弱不是所有的威脅來自防火墻外部防火墻是鎖,入侵檢測系統是監(jiān)視器入侵檢測系統IDS通過從計算機網絡或計算機系統的關鍵點收集信息并進行分析,從中發(fā)現網絡或系統中是否有違反平安策略的行為和被攻擊

4、的跡象入侵檢測的任務檢測來自內部的攻擊事件和越權訪問85以上的攻擊事件來自于內部的攻擊防火墻只能防外,難于防內入侵檢測系統作為傳統平安工具的一個有效的補充入侵檢測系統可以有效的防范防火墻開放的效勞入侵通過事先發(fā)現風險來阻止入侵事件的發(fā)生,提前發(fā)現試圖攻擊或濫用網絡系統的人員檢測其它平安工具沒有發(fā)現的網絡工具事件提供有效的審計信息,詳細記錄黑客的入侵過程,從而幫助管理員發(fā)現網絡的脆弱性入侵檢測相關術語IDS(Intrusion Detection Systems)l入侵檢測系統Promiscuous l混雜模式,即IDS網絡接口可以看到網段中所有的網絡通信量,不管其來源或目的地Signature

5、s l特征,即攻擊的特征Alertsl警告Anomalyl異常Consolel控制臺Sensorl傳感器,即檢測引擎入侵檢測系統分類 - 1按照數據來源:l基于主機系統獲取數據的依據是系統運行所在的主機,保護的目標也是系統運行所在的主機l基于網絡系統獲取的數據是網絡傳輸的數據包,保護的是網絡的運行入侵檢測系統分類 - 2按系統各模塊的運行方式l集中式系統的各個模塊包括數據的收集分析集中在一臺主機上運行l(wèi)分布式系統的各個模塊分布在不同的計算機和設備上根據時效性l脫機分析行為發(fā)生后,對產生的數據進行分析l聯機分析在數據產生的同時或者發(fā)生改變時進行分析基于主機的入侵檢測系統基于主機的入侵檢測系統:

6、Host-Based IDS(HIDS)系統安裝在主機上面,對本主機進行平安檢測優(yōu)點審計內容全面,保護更加周密視野集中適用于加密及交換環(huán)境易于用戶自定義對網絡流量不敏感缺點額外產生的平安問題HIDS依賴性強如果主機數目多,代價過大不能監(jiān)控網絡上的情況基于網絡的入侵檢測系統 基于網絡的入侵檢測系統:Network-Based IDS(NIDS)系統安裝在比較重要的網段內在共享網段上對通信數據進行偵聽采集數據 優(yōu)點檢測范圍廣,提供對網絡通用的保護無需改變主機配置和性能,安裝方便獨立性,操作系統無關性偵測速度快 隱蔽性好 較少的監(jiān)測器,占資源少缺點不能檢測不同網段的網絡包很難檢測復雜的需要大量計算的

7、攻擊協同工作能力弱難以處理加密的會話 IDS根本結構入侵檢測系統包括三個功能部件l信息收集l信息分析l結果處理信息收集入侵檢測的第一步是信息收集,收集內容包括系統、網絡、數據及用戶活動的狀態(tài)和行為需要在計算機網絡系統中的假設干不同關鍵點不同網段和不同主機收集信息盡可能擴大檢測范圍從一個源來的信息有可能看不出疑點入侵檢測很大程度上依賴于收集信息的可靠性和正確性要保證用來檢測網絡系統的軟件的完整性特別是入侵檢測系統軟件本身應具有相當強的鞏固性,防止被篡改而收集到錯誤的信息 信息收集的來源系統或網絡的日志文件網絡流量系統目錄和文件的異常變化程序執(zhí)行中的異常行為信息分析分析得到的數據,并產生分析結果模

8、式匹配將收集到的信息與的網絡入侵和系統誤用模式數據庫進行比較,從而發(fā)現違背平安策略的行為統計分析首先給系統對象如用戶、文件、目錄和設備等創(chuàng)立一個統計描述,統計正常使用時的一些測量屬性如訪問次數、操作失敗次數和延時等。測量屬性的平均值和偏差將被用來與網絡、系統的行為進行比較,任何觀察值在正常值范圍之外時,就認為有入侵發(fā)生完整性分析事后分析主要關注某個文件或對象是否被更改在發(fā)現被更改的、被安裝木馬的應用程序方面特別有效結果處理結果處理,即對分析結果作出反響。切斷連接改變文件屬性發(fā)動對攻擊者的還擊報警IDS的組成l檢測引擎l控制中心HUB檢測引擎Monitored Servers控制中心檢測引擎的部

9、署位置放在邊界防火墻之內放在邊界防火墻之外放在主要的網絡中樞放在一些平安級別需求高的子網檢測引擎的部署位置示意圖Internet部署二部署一部署三部署三部署四部署四網絡入侵技術入侵 (Intrusion)入侵是指未經授權蓄意嘗試訪問信息、篡改信息,使系統不可靠或不能使用的行為破壞計算機或網絡資源的完整性、機密性、可用性、可控性入侵者可以是一個手工發(fā)出命令的人,也可是一個基于入侵腳本或程序的自動發(fā)布命令的計算機 入侵者可以被分為兩類: 外部的: 網絡外面的侵入者 內部的: 合法使用網絡的侵入者,包括濫用權力的人和模仿更改權力的人(比方使用別人的終端) 。80%的平安問題同內部人有關侵入系統的主要

10、途徑物理侵入侵入者對主機有物理進入權限方法如移走磁盤并在另外的機器讀/寫 系統侵入侵入者已經擁有在系統的較低權限侵入者可能利用一個知名漏洞獲得系統管理員權限的時機 遠程侵入入侵者通過網絡遠程進入系統,侵入者從無特權開始 入檢測系統主要關心遠程侵入網絡入侵的一般步驟目標探測和信息收集自身隱藏利用漏洞侵入主機穩(wěn)固和擴大戰(zhàn)果去除日志目標探測和信息收集利用掃描器軟件掃描l端口掃描l漏洞掃描l常用掃描器軟件:SATAN,流光,Mscan利用snmp了解網絡結構l搜集網絡管理信息l網絡管理軟件也成為黑客入侵的一直輔助手段自身隱藏典型的黑客使用如下技術來隱藏IP地址通過telnet在以前攻克的Unix主機上

11、跳轉通過終端管理器在windows主機上跳轉配置代理效勞器更高級的黑客,精通利用 交換侵入主機利用漏洞侵入主機已經利用掃描器發(fā)現漏洞l例如CGI/IIS漏洞充分掌握系統信息進一步入侵穩(wěn)固和擴大戰(zhàn)果安裝后門BO,冰河添加系統賬號添加管理員賬號利用LKMLoadable Kernel Modules動態(tài)加載無需重新編譯內核利用信任主機控制了主機以后,可以利用該主機對其它鄰近和信任主機進行入侵控制了代理效勞器,可以利用該效勞器對內部網絡進一步入侵去除日志去除入侵日志Windows去除系統日志去除IIS日志去除FTP日志去除數據庫連接日志Unix登陸信息 /var/log/home/user/.bas

12、h_historylastlog使管理員無法發(fā)現系統已被入侵網絡入侵步驟總覽選中攻擊目標獲取普通用戶權限擦除入侵痕跡安裝后門新建帳號獲取超級用戶權限攻擊其它主機獲取或修改信息從事其它非法活動掃描網絡利用系統已知的漏洞、通過輸入區(qū)向CGI發(fā)送特殊的命令、發(fā)送特別大的數據造成緩沖區(qū)溢出、猜測已知用戶的口令,從而發(fā)現突破口。IDS工作原理入侵檢測引擎工作流程 - 1入侵檢測引擎工作流程 - 2監(jiān)聽局部網絡接口混雜模式根據設置過濾一些數據包協議分析IP,IPX,PPP,.數據分析根據相應的協議調用相應的數據分析函數一個協議數據有多個數據分析函數處理數據分析的方法是入侵檢測系統的核心引擎管理協調和配置給

13、模塊間工作數據分析后處理方式AlertLogCall Firewall入侵檢測的分析方式異常檢測Anomaly Detection誤用檢測Misuse Detection完整性分析 異常檢測根本原理正常行為的特征輪廓檢查系統的運行情況統計模型優(yōu)點可以檢測到未知的入侵 可以檢測冒用他人帳號的行為 具有自適應,自學習功能 不需要系統先驗知識缺點漏報、誤報率高入侵者可以逐漸改變自己的行為模式來逃避檢測合法用戶正常行為的突然改變也會造成誤警 統計算法的計算量龐大,效率很低 統計點的選取和參考庫的建立比較困難誤用檢測根本原理提前建立已出現的入侵行為特征檢測當前用戶行為特征模式匹配優(yōu)點算法簡單系統開銷小

14、準確率高效率高缺點被動只能檢測出攻擊 新類型的攻擊會對系統造成很大的威脅 模式庫的建立和維護難模式庫要不斷更新知識依賴于硬件平臺、操作系統和系統中運行的應用程序完整性分析根本原理通過檢查系統的當前系統配置,諸如系統文件的內容或者系統表,來檢查系統是否已經或者可能會遭到破壞 優(yōu)點不管模式匹配方法和統計分析方法能否發(fā)現入侵,只要是成功的攻擊導致了文件或其它對象的任何改變,它都能夠發(fā)現 缺點一般以批處理方式實現,不用于實時響應 入侵檢測具體方法 - 1基于統計方法的入侵檢測技術審計系統實時地檢測用戶對系統的使用情況,根據系統內部保持的用戶行為的概率統計模型進行監(jiān)測,當發(fā)現有可疑的用戶行為發(fā)生時,保持

15、跟蹤并監(jiān)測、記錄該用戶的行為基于神經網絡的入侵檢測技術采用神經網絡技術,根據實時檢測到的信息有效地加以處理作出攻擊可能性的判斷基于專家系統的入侵檢測技術根據平安專家對可疑行為的分析經驗來形成一套推理規(guī)那么,然后再在此根底之上構成相應的專家系統,并應用于入侵檢測基于模型推理的入侵檢測技術為某些行為建立特定的模型,從而能夠監(jiān)視具有特定行為特征的某些活動。根據假設的攻擊腳本,這種系統就能檢測出非法的用戶行為一般為了準確判斷,要為不同的攻擊者和不同的系統建立特定的攻擊腳本入侵檢測具體方法 - 2基于免疫原理的入侵檢測技術 基于遺傳算法的入侵檢測技術 基于基于代理檢測的入侵檢測技術 基于數據挖掘的入侵檢

16、測技術 入侵檢測響應機制彈出窗口報警E-mail通知切斷TCP連接執(zhí)行自定義程序與其他平安產品交互FirewallSNMP Trap入侵檢測標準化IDS標準化要求隨著網絡規(guī)模的擴大,網絡入侵的方式、類型、特征各不相同,入侵的活動變得復雜而又難以捉摸某些入侵的活動靠單一IDS不能檢測出來,如分布式攻擊網絡管理員常因缺少證據而無法追蹤入侵者,入侵者仍然可以進行非法的活動不同的IDS之間沒有協作,結果造成缺少某種入侵模式而導致IDS不能發(fā)現新的入侵活動目前網絡的平安也要求IDS能夠與訪問控制、應急、入侵追蹤等系統交換信息,相互協作,形成一個整體有效的平安保障系統CIDFThe Common Intrusion Detection Framework, CIDFCIDF是一套標準,它定義了IDS表達檢測信息的標準語言以及IDS組件之間的通信協議符合CIDF標準的IDS可以共享檢測信息,相互通信,協同工作,還可以與其它系統配合實施統一的配置響應和恢復策略CIDF的主要作用在于集成各種IDS使之協同工作,實現各IDS之間的組件重用,所以CIDF也是構建分布式IDS的根底CIDF規(guī)格文檔體系結構闡述了一個標準的IDS的通用模型標準語言定義了一個用來描述各種檢測信息的標準語言內部通訊定義了IDS組件之間進行通信的標準協議程序接口提供了

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論