網(wǎng)絡安全與IDS總結課件

網(wǎng)絡安全與IDS組員：程蕓蕓謝瑤瑤王小雪主講：謝瑤瑤學習導航網(wǎng)絡安全什么是網(wǎng)絡安全影響網(wǎng)絡安全的因素入侵基本流程IDS（入侵檢測系統(tǒng)）什么是IDSIDS的分類及其布曙IDS系統(tǒng)組成IDS工作流程IDS的未來IDS存在的不足IPS（入侵防御系統(tǒng)）CompanyLogo網(wǎng)絡安全與IDSIDS的未來

入侵檢測系統(tǒng)IDS

網(wǎng)絡安全概述

CompanyLogo網(wǎng)絡安全網(wǎng)絡安全二.影響網(wǎng)絡安全的因素一.什么是網(wǎng)絡安全三.常見的入侵方法

CompanyLogo一.什么是網(wǎng)絡安全網(wǎng)絡安全：是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)能連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。網(wǎng)絡安全應具有以下五個方面的特征：保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。完整性：數(shù)據(jù)未經(jīng)授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性?？捎眯裕嚎杀皇跈鄬嶓w訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網(wǎng)絡環(huán)境下拒絕服務、破壞網(wǎng)絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊；可控性：對信息的傳播及內(nèi)容具有控制能力?？蓪彶樾裕撼霈F(xiàn)安全問題時提供依據(jù)與手段構建網(wǎng)絡安全系統(tǒng)，一方面由于要進行認證、加密、監(jiān)聽，分析、記錄等工作，由此影響網(wǎng)絡效率，并且降低客戶應用的靈活性；另一方面也增加了管理費用。CompanyLogo二.影響網(wǎng)絡安全的因素網(wǎng)絡結構因素網(wǎng)絡基本拓撲結構有3種：星型、總線型和環(huán)型。一個單位在建立自己的內(nèi)部網(wǎng)之前，各部門可能已建造了自己的局域網(wǎng)，所采用的拓撲結構也可能完全不同。在建造內(nèi)部網(wǎng)時，為了實現(xiàn)異構網(wǎng)絡間信息的通信，往往要犧牲一些安全機制的設置和實現(xiàn)，從而提出更高的網(wǎng)絡開放性要求。

網(wǎng)絡協(xié)議因素在建造內(nèi)部網(wǎng)時，用戶為了節(jié)省開支，必然會保護原有的網(wǎng)絡基礎設施。另外，網(wǎng)絡公司為生存的需要，對網(wǎng)絡協(xié)議的兼容性要求越來越高，使眾多廠商的協(xié)議能互聯(lián)、兼容和相互通信。這在給用戶和廠商帶來利益的同時，也帶來了安全隱患。如在一種協(xié)議下傳送的有害程序能很快傳遍整個網(wǎng)絡。地域因素由于內(nèi)部網(wǎng)Intranet既可以是LAN也可能是WAN(內(nèi)部網(wǎng)指的是它不是一個公用網(wǎng)絡，而是一個專用網(wǎng)絡)，網(wǎng)絡往往跨越城際，甚至國際。地理位置復雜，通信線路質(zhì)量難以保證，這會造成信息在傳輸過程中的損壞和丟失，也給一些”黑客”造成可乘之機。用戶因素企業(yè)建造自己的內(nèi)部網(wǎng)是為了加快信息交流，更好地適應市場需求。建立之后，用戶的范圍必將從企業(yè)員工擴大到客戶和想了解企業(yè)情況的人。用戶的增加，也給網(wǎng)絡的安全性帶來了威脅，因為這里可能就有商業(yè)間諜或“黑客”主機因素建立內(nèi)部網(wǎng)時，使原來的各局域網(wǎng)、單機互聯(lián)，增加了主機的種類，如工作站、服務器，甚至小型機、大中型機。由于它們所使用的操作系統(tǒng)和網(wǎng)絡操作系統(tǒng)不盡相同，某個操作系統(tǒng)出現(xiàn)漏洞(如某些系統(tǒng)有一個或幾個沒有口令的賬戶)，就可能造成整個網(wǎng)絡的大隱患。CompanyLogo如何保證網(wǎng)絡信息安全加密技術對稱加密非對稱加密認證技術數(shù)字簽名數(shù)字證書使用網(wǎng)絡安全設備防火墻IDSIPSCompanyLogo常見入侵主要有四種攻擊方式中斷、截獲、修改和偽造。中斷是以可用性作為攻擊目標，它毀壞系統(tǒng)資源，使網(wǎng)絡不可用。如Dos拒絕服務，synflood、arp欺騙、landattack、死亡之PING、

截獲是以保密性作為攻擊目標，非授權用戶通過某種手段獲得對系統(tǒng)資源的訪問。如sniffer，IDS本身就是一個Sniffer修改是以完整性作為攻擊目標，非授權用戶不僅獲得訪問而且對數(shù)據(jù)進行修改。如Tcp會話劫持偽造是以完整性作為攻擊目標，非授權用戶將偽造的數(shù)據(jù)插入到正常傳輸?shù)臄?shù)據(jù)中。CompanyLogo基本入侵流程發(fā)現(xiàn)漏洞實施攻擊收集目標機信息清理痕跡留下后門社會工程學主機掃描緩沖區(qū)溢出DoS存在什么漏洞替換系統(tǒng)文件安裝木馬或遠程控制軟件更改防火墻設置清理系統(tǒng)日志CompanyLogo緩沖區(qū)溢出CompanyLogo緩沖區(qū)溢出CompanyLogo網(wǎng)絡安全與IDSIDS的未來

入侵檢測系統(tǒng)IDS

網(wǎng)絡安全概述

CompanyLogo網(wǎng)絡安全IDS（入侵檢測系統(tǒng)）二.IDS的分類及布曙一.

IDS簡介三.IDS系統(tǒng)組成四.IDS工作流程CompanyLogo一、什么是IDS入侵檢測：（IntrusionDetection）通過從計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。入侵檢測系統(tǒng)的發(fā)展概況1980年，JamesP.Anderson的《計算機安全威脅監(jiān)控與監(jiān)視》第一次詳細闡述了入侵檢測的概念1990年，加州大學戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM，入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形成：基于網(wǎng)絡的IDS和基主機的IDS從20世紀90年代到21世紀初，入侵監(jiān)測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展。CompanyLogoInternetIDS1IDS2IDS3IDS4子網(wǎng)A子網(wǎng)B交換機帶主機IDS感應器的服務器服務器CompanyLogo二.IDS的分類及布曙根據(jù)檢測對象的不同：基于主機的入侵檢測系統(tǒng)基于網(wǎng)絡入侵檢測分布式的入侵檢測系統(tǒng)按照其采用的方法：基于行為的入侵檢測系統(tǒng)基于模型推理的入侵檢測系統(tǒng)按照檢測時間分為：實時入侵檢測系統(tǒng)事后入侵檢測系統(tǒng)CompanyLogo基于主機的入侵檢測系統(tǒng)以系統(tǒng)日志、應用程序日志等作為數(shù)據(jù)源

主機型入侵檢測系統(tǒng)保護的一般是所在的系統(tǒng)

CompanyLogo基于主機的入侵檢測系統(tǒng)網(wǎng)絡監(jiān)測：即在數(shù)據(jù)包真正抵達主機之前對試圖進入主機的數(shù)據(jù)包進行監(jiān)測，以避免其進入系統(tǒng)后可能造成的損害。這點與基于網(wǎng)絡的ID不同，因為它僅僅對已經(jīng)抵達主機的數(shù)據(jù)進行監(jiān)測，而后者則是對網(wǎng)絡上的流量進行監(jiān)控。如次一來就不需要把網(wǎng)卡設置成混雜模式了。主機監(jiān)測：任何入侵企圖都會在監(jiān)測文件、文件系統(tǒng)、登錄記錄或其他主機上的文件中留下痕跡，系統(tǒng)管理員們可以從這些文件中找到相關痕跡。因此可以通過監(jiān)測文件系統(tǒng)的變化來發(fā)現(xiàn)入侵。一旦系統(tǒng)被攻陷，入侵者就會立即開始更改系統(tǒng)的文件，或者更改一些設置以廢掉IDS的功能。CompanyLogo一個基于主機的入侵檢測系統(tǒng)LIDS文件保護：保護硬盤上任何類型的重要文件和目錄，如/bin、/sbin、/usr/bin、/usr/sbin、/etc/rc.d等目錄和其下的文件，以及系統(tǒng)中的敏感文件，如passwd和shadow文件，檢測：

LIDS能檢測到掃描并報告系統(tǒng)管理員。LIDS還可以檢測到系統(tǒng)上任何違反規(guī)則的進程。響應：來自內(nèi)核的安全警告，當有人違反規(guī)則時，LIDS會在控制臺顯示警告信息，將非法的活動細節(jié)記錄到受LIDS保護的系統(tǒng)log文件中。LIDS還可以將log信息發(fā)到你的信箱中。LIDS還可以馬上關閉與用戶的會話。CompanyLogo基于網(wǎng)絡的入侵檢測系統(tǒng)數(shù)據(jù)源是網(wǎng)絡上的數(shù)據(jù)包根據(jù)網(wǎng)絡的拓撲結構的不同，入侵檢測系統(tǒng)的監(jiān)聽端口可以接在共享媒質(zhì)的集線器或交換機的鏡像端口（SpanPort）上、或?qū)楸O(jiān)聽所增設的分接器（Tap）上。是一個典型的sniffer

設備內(nèi)置的入侵知識庫服務器核心交換機IDSCompanyLogo典型的基于網(wǎng)絡的入侵檢測系統(tǒng)SnortSnort:是一個用C語言開發(fā)的開源網(wǎng)絡入侵檢測系統(tǒng)，目前，Snort已發(fā)展成為一個集多平臺,實時流量分析,網(wǎng)絡IP數(shù)據(jù)包記錄等特性的強大的網(wǎng)絡入侵檢測/防御系統(tǒng)。Snort可以三個模式運行：偵測模式（SnifferMode）：此模式下，Snort將在捕獲網(wǎng)段內(nèi)的所有數(shù)據(jù)包，并顯示在屏幕上。封包紀錄模式：此模式下，Snort將已捕獲的數(shù)據(jù)包存入儲存硬盤中。上線模式（inlinemode）：此模式下，Snort可對捕獲到的數(shù)據(jù)包做分析的動作，并根據(jù)一定的規(guī)則來判斷是否有網(wǎng)絡攻擊行為的出現(xiàn)。基本指令：若你想要在屏幕上顯示網(wǎng)絡數(shù)據(jù)包的報頭（header）內(nèi)容，使用./snort-v如果想要在屏幕上顯示正在傳輸?shù)臄?shù)據(jù)包的報頭內(nèi)容，使用./snort-vd

如果除了以上顯示的內(nèi)容之外，欲另外顯示數(shù)據(jù)鏈路層信息，使用./snort-vdeCompanyLogo三、入侵檢測系統(tǒng)的組成響應單元事件分析器事件產(chǎn)生器事件數(shù)據(jù)庫CompanyLogo模式匹配（特征庫匹配舉例）1．來自保留IP地址的連接企圖2．帶有非法TCP標志聯(lián)合物的數(shù)據(jù)包可通過對比TCP報頭中的標志集與已知正確和錯誤標記聯(lián)合物的不同點來識別。3．含有特殊病毒信息的Email可通過對比每封Email的主題信息和病態(tài)Email的主題信息來識別，或者，通過搜索特定名字的附近來識別。4．查詢負載中的DNS緩沖區(qū)溢出企圖可通過解析DNS域及檢查每個域的長度來識別利用DNS域的緩沖區(qū)溢出企圖。還有另外一個識別方法是：在負載中搜索“殼代碼利用”（exploitshellcode）的序列代碼組合。5．通過對POP3服務器發(fā)出上千次同一命令而導致的DoS攻擊通過跟蹤記錄某個命令連續(xù)發(fā)出的次數(shù)，看看是否超過了預設上限，而發(fā)出報警信息。6．未登錄情況下使用文件和目錄命令對FTP服務器的文件訪問攻擊CompanyLogo統(tǒng)計分析1.統(tǒng)計分析方法首先給系統(tǒng)對象創(chuàng)建一個統(tǒng)計描述2.統(tǒng)計模型常用異常檢測:在統(tǒng)計模型中常用的測量參數(shù)包括：審計事件的數(shù)量、間隔時間、資源消耗情況等。3.比較測量屬性的平均值與網(wǎng)絡、系統(tǒng)的行為例如，統(tǒng)計分析可能標識一個不正常行為，因為它發(fā)現(xiàn)一個在晚八點至早六點不登錄的賬戶卻在凌晨兩點試圖登錄。其優(yōu)點是可檢測到未知的入侵和更為復雜的人侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統(tǒng)計分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡的分析方法，目前正處于研究熱點和迅速發(fā)展之中。CompanyLogo常用的入侵檢測5種統(tǒng)計模型為：操作模型:該模型假設異?？赏ㄟ^測量結果與一些固定指標相比較得到，固定指標可以根據(jù)經(jīng)驗值或一段時間內(nèi)的統(tǒng)計平均得到，舉例來說，在短時間內(nèi)的多次失敗的登錄很有可能是口令嘗試攻擊。

方差:計算參數(shù)的方差，設定其置信區(qū)間，當測量值超過置信區(qū)間的范圍時表明有可能是異常。多元模型:操作模型的擴展，通過同時分析多個參數(shù)實現(xiàn)檢測。馬爾柯夫過程模型:將每種類型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉(zhuǎn)移矩陣來表示狀態(tài)的變化，當一個事件發(fā)生時，或狀態(tài)矩陣該轉(zhuǎn)移的概率較小則可能是異常事件。時間序列分析:將事件計數(shù)與資源耗用根據(jù)時間排成序列，如果一個新事件在該時間發(fā)生的概率較低，則該事件可能是入侵，cpu使用。CompanyLogo完整性分析完整性分析主要關注某個文件或?qū)ο笫欠癖桓娜纾何募湍夸浀膬?nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特洛伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數(shù)(例如MDS)，它能識別哪怕是微小的變化。只要是成功的攻擊導致了文件或其他對象的任何改變，它都能夠發(fā)現(xiàn)。缺點是一般以批處理方式實現(xiàn)，不用于實時響應。盡管如此，完整性檢測方法還應該是網(wǎng)絡安全產(chǎn)品的必要手段之一。例如，可以在每一天的某個特定時間內(nèi)開啟完整性分析模塊，對網(wǎng)絡系統(tǒng)進行全面地掃描檢查。

CompanyLogo四、入侵檢測系統(tǒng)工作流程步驟一：信息收集步驟三：結果處理詳細日志記錄、實時報警有限度的反擊攻擊源

步驟二：信號分析系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為

統(tǒng)計分析模式匹配完整性分析CompanyLogo其它常用入侵檢測方法專家系統(tǒng)專家系統(tǒng)使用基于規(guī)則的語言為已知攻擊建模，它把審計事件表述成語義的事實，推理引擎根據(jù)這些規(guī)則和事實進行判定。專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性取決于審計記錄的完備性和實時性。統(tǒng)計分析統(tǒng)計分析是通過設置極限鬧值等方法，將檢測數(shù)據(jù)與已有的正常行為加以比較，如果超出極限值，則認為是入侵行為。數(shù)據(jù)挖掘通過數(shù)據(jù)挖掘程序處理收集到的審計數(shù)據(jù)，為各種入侵行為和正常操作建立精確的行為模式，這是一個自動的過程。數(shù)據(jù)挖掘的關鍵點在于算法的選取和一個正確的體系結構的建立。神經(jīng)網(wǎng)絡神經(jīng)網(wǎng)絡具有自適應、自組織和自學習的能力，可以處理一些環(huán)境信息復雜、背景知識不清楚的問題。將神經(jīng)網(wǎng)絡技術應用于入侵檢測系統(tǒng)，以檢測未知攻擊。來自審計日志或正常網(wǎng)絡訪問行為的信息，經(jīng)數(shù)據(jù)信息預處理模塊的處理后即產(chǎn)生輸入向量。模糊理論人類思維、語言具有模糊性，模糊思維形式和語言表達具有廣泛性、完美和高效的特征。人們的許多知識是模糊的，模糊知識在控制和決策中具有巨大的作用。由于計算機網(wǎng)絡中的正常行為和異常行為難以很好地界定，使用模糊邏輯推理方法，入侵檢測系統(tǒng)的誤報率則會降低。免疫系統(tǒng)遺傳算法遺傳算法是基于自然選擇，在計算機上模擬生物進化機制的尋優(yōu)搜索法。CompanyLogo網(wǎng)絡安全與IDSIDS的未來

入侵檢測系統(tǒng)IDS

網(wǎng)絡安全概述

CompanyLogoIDS的未來一、IDS的自身存在的不足尤其是IDS的誤報和漏報現(xiàn)象很嚴重，常常出現(xiàn)許多虛假的信息，就像狼來了的故事一樣，虛假警報過多，人們就會慢慢失去對他的信任以至于完全忽略。CompanyLogo一、IDS的軟肋檢測范圍不夠廣：很少有哪家廠商能將特征檢測、異常檢測、拒絕服務攻擊檢測無縫地集成到一起，實現(xiàn)對已知攻擊、新攻擊和DoS攻擊的檢測。

檢測效果不理想：主要指檢測的準確度，IDS檢測引擎最大的問題莫過于漏報和誤報，很多IDS一天就能發(fā)出上千條虛假報警信息，讓人目不暇接，而漏報的后果就更嚴重了。只能檢測，不能防御：檢測是一種被動的行為，當IDS發(fā)現(xiàn)入侵時往往已經(jīng)為時太晚，根本來不及阻止。一個理想的安全防護產(chǎn)品必須引入主動的入侵防御能力，這也反映了當前和未來的市場需求。難以突破百兆瓶頸:被動偵聽的架構和深層數(shù)據(jù)包分析決定了現(xiàn)在的IDS無法適用于高速或交換的網(wǎng)絡環(huán)境，PC架構的處理器結構決定了其監(jiān)控能力無法取得實質(zhì)性的突破。性能有待提高：很多IDS都是PC/服務器硬件平臺上運行的軟件程序，而數(shù)據(jù)包的捕獲、處理、分析都需要大量的計算，即使在窄帶網(wǎng)絡上，也會出現(xiàn)丟包、延時太長而導致檢測不準確等問題。CompanyLogoIPS在網(wǎng)絡中的位置服務器核心交換機IPSCompanyLogoIPS的組成CompanyLogo二、IPS的產(chǎn)生IPS，入侵防御系統(tǒng)：（IntrusionPreventionSystem）它的設計基于一種全