計(jì)算機(jī)網(wǎng)絡(luò)安全課件(沈鑫剡)第8章要點(diǎn)

計(jì)算機(jī)網(wǎng)絡(luò)平安第八章第8章入侵防衛(wèi)系統(tǒng)入侵防衛(wèi)系統(tǒng)概述；網(wǎng)絡(luò)入侵防衛(wèi)系統(tǒng)；主機(jī)入侵防衛(wèi)系統(tǒng)。入侵防衛(wèi)系統(tǒng)的作用是檢測網(wǎng)絡(luò)中可能存在的攻擊行為，并對攻擊行為進(jìn)行反制。由于攻擊手段的多樣性和不斷翻新，接受單一技術(shù)和手段是無法檢測出全部攻擊行為的，因此，入侵防衛(wèi)系統(tǒng)也是多個(gè)系統(tǒng)的有機(jī)集合，每一個(gè)系統(tǒng)各司其職。8.1入侵防衛(wèi)系統(tǒng)概述入侵防衛(wèi)系統(tǒng)分類；入侵防衛(wèi)系統(tǒng)工作過程；入侵防衛(wèi)系統(tǒng)不足；入侵防衛(wèi)系統(tǒng)發(fā)展趨勢。入侵防衛(wèi)系統(tǒng)和防火墻是抵擋黑客攻擊的兩面盾牌，防火墻通過限制信息在各個(gè)網(wǎng)絡(luò)間的傳輸，防止攻擊信息到達(dá)攻擊目標(biāo)。入侵防衛(wèi)系統(tǒng)通過檢測流經(jīng)各個(gè)網(wǎng)段的信息流，監(jiān)測對主機(jī)資源的訪問過程，發(fā)覺并反制可能存在的攻擊行為。入侵防衛(wèi)系統(tǒng)分類入侵防衛(wèi)系統(tǒng)分為主機(jī)入侵防衛(wèi)系統(tǒng)和網(wǎng)絡(luò)入侵防衛(wèi)系統(tǒng)；主機(jī)入侵防衛(wèi)系統(tǒng)檢測進(jìn)入主機(jī)的信息流、監(jiān)測對主機(jī)資源的訪問過程，以此發(fā)覺攻擊行為、管制流出主機(jī)的信息流，愛護(hù)主機(jī)資源；網(wǎng)絡(luò)入侵防衛(wèi)系統(tǒng)通過檢測流經(jīng)關(guān)鍵網(wǎng)段的信息流，發(fā)覺攻擊行為，實(shí)施反制過程，以此愛護(hù)重要網(wǎng)絡(luò)資源；主機(jī)入侵防衛(wèi)系統(tǒng)和網(wǎng)絡(luò)入侵防衛(wèi)系統(tǒng)相輔相成，構(gòu)成有機(jī)的防衛(wèi)體系。入侵防衛(wèi)系統(tǒng)工作過程網(wǎng)絡(luò)入侵防衛(wèi)系統(tǒng)工作過程捕獲信息；檢測異樣信息；反制異樣信息；報(bào)警；登記。得到流經(jīng)關(guān)鍵網(wǎng)段的信息流。異樣指包含非法代碼，包含非法字段值，與已知攻擊特征匹配等。反制是丟棄與異樣信息具有相同源IP地址，或者相同目的IP地址的IP分組，釋放傳輸異樣信息的TCP連接等。向網(wǎng)絡(luò)平安管理員報(bào)告檢測到異樣信息流的狀況，異樣信息流的特征、源和目的IP地址，可能實(shí)施的攻擊等。記錄下有關(guān)異樣信息流的一切信息，以便對其進(jìn)行分析。主機(jī)入侵防衛(wèi)系統(tǒng)工作過程攔截主機(jī)資源訪問操作懇求和網(wǎng)絡(luò)信息流；采集相應(yīng)數(shù)據(jù)；確定操作懇求和網(wǎng)絡(luò)信息流的合法性；反制動(dòng)作；登記和分析。主機(jī)攻擊行為的最終目標(biāo)是非法訪問網(wǎng)絡(luò)資源，或者感染病毒，這些操作的實(shí)施一般都須要調(diào)用操作系統(tǒng)供應(yīng)的服務(wù)，因此，首要任務(wù)是對調(diào)用操作系統(tǒng)服務(wù)的懇求進(jìn)行檢測，依據(jù)調(diào)用發(fā)起進(jìn)程，調(diào)用進(jìn)程所屬用戶，須要訪問的主機(jī)資源等信息確定調(diào)用的合法性。同時(shí)，須要對進(jìn)出主機(jī)的信息進(jìn)行檢測，發(fā)覺非法代碼和敏感信息。入侵防衛(wèi)系統(tǒng)工作過程入侵防衛(wèi)系統(tǒng)的不足主機(jī)入侵防衛(wèi)系統(tǒng)是被動(dòng)防衛(wèi)，主動(dòng)防衛(wèi)是在攻擊信息到達(dá)主機(jī)前予以干預(yù)，并查出攻擊源，予以反制。另外，每一臺(tái)主機(jī)安裝主機(jī)入侵防衛(wèi)系統(tǒng)的成本和使平安策略一樣的難度都是主機(jī)入侵防衛(wèi)系統(tǒng)的不足；網(wǎng)絡(luò)入侵防衛(wèi)系統(tǒng)能夠?qū)崿F(xiàn)主動(dòng)防衛(wèi)，但只愛護(hù)部分網(wǎng)絡(luò)資源，另外對未知攻擊行為的檢測存在確定的難度。入侵防衛(wèi)系統(tǒng)發(fā)展趨勢融合到操作系統(tǒng)中主機(jī)入侵防衛(wèi)系統(tǒng)的主要功能是監(jiān)測對主機(jī)資源的訪問過程，對訪問資源的合法性進(jìn)行判別，這是操作系統(tǒng)應(yīng)當(dāng)集成的功能。集成到網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備中全部信息流都需經(jīng)過轉(zhuǎn)發(fā)設(shè)備進(jìn)行轉(zhuǎn)發(fā)，因此，轉(zhuǎn)發(fā)設(shè)備是檢測信息流的合適之處。8.2網(wǎng)絡(luò)入侵防衛(wèi)系統(tǒng)系統(tǒng)結(jié)構(gòu)；信息捕獲機(jī)制；入侵檢測機(jī)制；平安策略。網(wǎng)絡(luò)入侵防衛(wèi)系統(tǒng)首先是捕獲流經(jīng)網(wǎng)絡(luò)的信息流，然后對其進(jìn)行檢測，并依據(jù)檢測結(jié)果確定反制動(dòng)作，檢測機(jī)制、攻擊特征庫和反制動(dòng)作由平安策略確定。系統(tǒng)結(jié)構(gòu)探測器1處于探測模式，須要接受相應(yīng)捕獲機(jī)制才能捕獲信息流，探測器2處于轉(zhuǎn)發(fā)模式；探測器1只能運(yùn)用釋放TCP連接的反制動(dòng)作，探測器2可以運(yùn)用其他反制動(dòng)作；為了平安起見，探測器和管理服務(wù)器用專用網(wǎng)絡(luò)實(shí)現(xiàn)互連。信息捕獲機(jī)制利用集線器的廣播傳輸功能，從集線器任何端口進(jìn)入的信息流，將廣播到全部其他端口。利用集線器捕獲信息機(jī)制端口境像功能是將交換機(jī)某個(gè)端口（如圖中的端口2）作為另一個(gè)端口（如圖中的端口1）的境像，這樣，全部從該端口輸出的信息流，都被復(fù)制到境像端口，由于境像端口和其他交換機(jī)端口之間的境像關(guān)系是動(dòng)態(tài)的，因此，連接在端口2的探測器，可以捕獲從交換機(jī)隨意端口輸出的信息流。信息捕獲機(jī)制利用端口境像捕獲信息機(jī)制跨交換機(jī)端口境像功能是將須要檢測的端口和連接探測模式的探測器端口之間交換路徑所經(jīng)過交換機(jī)端口劃分為一個(gè)特定的VLAN；從檢測端口進(jìn)入的信息除了正常轉(zhuǎn)發(fā)外，在該特定VLAN內(nèi)廣播。信息捕獲機(jī)制利用跨交換機(jī)端口境像捕獲信息機(jī)制通過分類器鑒別出具有指定源和目的IP地址、源和目的端口號(hào)等屬性參數(shù)的IP分組；為這些IP分組選擇特定的傳輸路徑；虛擬訪問限制列表允許這些IP分組既正常轉(zhuǎn)發(fā)，又從特定傳輸路徑轉(zhuǎn)發(fā)；通過特定傳輸路徑轉(zhuǎn)發(fā)的IP分組到達(dá)探測器。信息捕獲機(jī)制虛擬訪問限制列表入侵檢測機(jī)制攻擊特征檢測從已知的攻擊信息流中提取出有別于正常信息流的特征信息；特征信息分為元攻擊特征和有狀態(tài)攻擊特征；元攻擊特征是單個(gè)獨(dú)立的攻擊特征，只要信息流中出現(xiàn)和元攻擊特征相同的位流或字節(jié)流模式，即可斷定發(fā)覺攻擊；有狀態(tài)攻擊特征是將整個(gè)會(huì)話分成若干階段，攻擊特征分散出現(xiàn)在多個(gè)階段對應(yīng)的信息流中，只有依據(jù)階段依次，在每一個(gè)檢測到指定的攻擊特征才可斷定發(fā)覺攻擊；攻擊特征只能檢測出已知攻擊，即提取出攻擊特征的攻擊行為。協(xié)議譯碼IP分組的正確性，如首部字段值是否合理，整個(gè)TCP首部是否包含單片數(shù)據(jù)中，各個(gè)分片的長度之和是否超過64KB等；TCP報(bào)文的正確性，如經(jīng)過TCP連接傳輸?shù)腡CP報(bào)文的序號(hào)和確認(rèn)序號(hào)之間是否沖突，連續(xù)發(fā)送的TCP報(bào)文序號(hào)范圍和另一方發(fā)送的窗口是否沖突，各段數(shù)據(jù)的序號(hào)范圍是否重疊等；應(yīng)用層報(bào)文的正確性，懇求、響應(yīng)過程是否合乎協(xié)議規(guī)范；各個(gè)字段值是否合理，端口號(hào)是否和默認(rèn)應(yīng)用層協(xié)議匹配等。入侵檢測機(jī)制異樣檢測基于統(tǒng)計(jì)機(jī)制，在一段時(shí)間內(nèi)，對流經(jīng)特定網(wǎng)段的信息流進(jìn)行統(tǒng)計(jì)，如單位時(shí)間特定源和目的終端之間的流量、不同應(yīng)用層報(bào)文分布等，將這些統(tǒng)計(jì)值作為基準(zhǔn)統(tǒng)計(jì)值。然后，實(shí)時(shí)采集流經(jīng)該網(wǎng)段的信息流，并計(jì)算出單位時(shí)間內(nèi)的統(tǒng)計(jì)值，然后和基準(zhǔn)統(tǒng)計(jì)值比較，假如多個(gè)統(tǒng)計(jì)值和基準(zhǔn)統(tǒng)計(jì)值存在較大偏差，斷定流經(jīng)該網(wǎng)段的信息流出現(xiàn)異樣；基于規(guī)則機(jī)制，通過分析大量異樣信息流，總結(jié)出一些特定異樣信息流的規(guī)則，一旦流經(jīng)該網(wǎng)段的信息流符合某種異樣信息流對應(yīng)的規(guī)則，斷定該信息流為異樣信息流。入侵檢測機(jī)制異樣檢測的困難之處在于正常信息流和異樣信息流的測量值之間存在重疊部分，必需在誤報(bào)和漏報(bào)之間平衡；依據(jù)被愛護(hù)資源的重要性確定基準(zhǔn)值（靠近A點(diǎn)或B點(diǎn))。入侵檢測機(jī)制平安策略平安策略指定須要檢測的信息流類別、檢測機(jī)制和反制動(dòng)作，對于攻擊特征檢測，須要給出攻擊特征庫；由于攻擊和應(yīng)用層協(xié)議相關(guān)，因此對應(yīng)不同的應(yīng)用層協(xié)議存在不同的攻擊特征庫；對同一類別信息流，可以指定多種檢測機(jī)制，對不同檢測機(jī)制檢測到的攻擊行為實(shí)行不同的反制動(dòng)作。8.3主機(jī)入侵防衛(wèi)系統(tǒng)工作流程；截獲機(jī)制；主機(jī)資源；用戶和系統(tǒng)狀態(tài)；訪問限制策略；Honeypot。主機(jī)入侵防衛(wèi)系統(tǒng)主要用于防止對主機(jī)資源的非法訪問和病毒入侵，因此，必需通過訪問限制策略設(shè)定主機(jī)資源的訪問權(quán)限，截獲主機(jī)資源的操作懇求，依據(jù)訪問限制策略、用戶和系統(tǒng)狀態(tài)及主機(jī)資源類型確定操作懇求的合理性。工作流程主機(jī)入侵防衛(wèi)系統(tǒng)主要用于防止非法訪問和病毒入侵；只允許對主機(jī)資源的合法操作正常進(jìn)行。必需截獲全部調(diào)用操作系統(tǒng)服務(wù)的懇求，尤其是對主機(jī)資源的操作懇求，如讀寫文件、修改注冊表等。判別某個(gè)操作懇求的合法性，判別的依據(jù)是訪問限制策略、操作對象和類型、懇求進(jìn)程及進(jìn)程所屬的用戶、主機(jī)系統(tǒng)和用戶狀態(tài)等。只允許操作系統(tǒng)完成合法的操作懇求。截獲機(jī)制修改操作系統(tǒng)內(nèi)核通過修改操作系統(tǒng)內(nèi)核，可以依據(jù)特權(quán)用戶配置的資源訪問限制陣列和懇求操作的用戶確定操作的合法性，為了平安，可以對懇求操作的用戶進(jìn)行身份認(rèn)證。攔截系統(tǒng)調(diào)用用戶操作懇求和操作系統(tǒng)內(nèi)核之間增加檢測程序，對用戶發(fā)出的操作懇求進(jìn)行檢測，確定是合法操作懇求，才供應(yīng)應(yīng)操作系統(tǒng)內(nèi)核。網(wǎng)絡(luò)信息流監(jiān)測對進(jìn)出主機(jī)的信息流實(shí)施監(jiān)測，防止病毒入侵，也防止敏感信息外泄。攔截系統(tǒng)調(diào)用和進(jìn)出主機(jī)的息流的過程截獲機(jī)制主機(jī)資源主機(jī)資源是須要主機(jī)入侵防衛(wèi)系統(tǒng)愛護(hù)的一切有用的信息和信息承載體，包括如下：網(wǎng)絡(luò)；內(nèi)存；進(jìn)程；文件；系統(tǒng)配置信息。用戶和系統(tǒng)狀態(tài)主機(jī)位置信息主機(jī)位置和主機(jī)的平安程度相關(guān)，也影響著主機(jī)入侵防衛(wèi)系統(tǒng)對主機(jī)的愛護(hù)力度。確定主機(jī)位置的信息有：IP地址、域名前綴、VPN客戶信息等。用戶狀態(tài)信息不同用戶的訪問權(quán)限不同，用戶身份通過用戶名和口令標(biāo)識(shí)，用戶狀態(tài)信息給出用戶登錄時(shí)的用戶名?？诹畹取Ｏ到y(tǒng)狀態(tài)信息系統(tǒng)平安狀態(tài)，目前設(shè)置的平安等級(jí)、是否配置防火墻。是否安裝放病毒軟件，是否監(jiān)測到黑客攻擊等。用戶和系統(tǒng)狀態(tài)確定主機(jī)入侵防衛(wèi)系統(tǒng)對主機(jī)資源的愛護(hù)方式和力度。訪問限制策略訪問限制策略用于確定操作懇求是否進(jìn)行；訪問限制策略將用戶位置、系統(tǒng)狀態(tài)和資源訪問規(guī)則結(jié)合在一起；用戶位置給出標(biāo)識(shí)用戶終端所在位置的信息，如IP地址；系統(tǒng)狀態(tài)給出終端的平安狀態(tài)；資源訪問規(guī)則對應(yīng)不同用戶、不同訪問懇求發(fā)起者、不同資源定義了允許對資源進(jìn)行的訪問操作和違反規(guī)則所實(shí)行動(dòng)作。HoneypotHoneypot是一個(gè)偽裝成有豐富資源的的應(yīng)用服務(wù)器，用戶通過正常訪問過程是無法訪問到的