信息安全概論 第3版 課件 第9、10章 入侵檢測技術(shù)、虛擬專用網(wǎng)技術(shù)

第9章入侵檢測技術(shù)概述本章主要介紹入侵檢測系統(tǒng)基本知識、入侵檢測系統(tǒng)的分類、入侵檢測系統(tǒng)的工作流程、入侵檢測系統(tǒng)面臨的問題及發(fā)展趨勢。9.1入侵檢測系統(tǒng)基本知識入侵檢測，顧名思義，就是對入侵行為的發(fā)現(xiàn)。入侵檢測系統(tǒng)(IDS:IntrusionDetectionSystem)就是能夠完成入侵檢測功能的計(jì)算機(jī)軟硬件系統(tǒng)。它通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測技術(shù)就是通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)9.1入侵檢測系統(tǒng)基本知識入侵檢測，9.1入侵檢測系統(tǒng)基本知識入侵檢測系統(tǒng)是一個相對主動的安全部件，可以把入侵檢測看成網(wǎng)絡(luò)防火墻的有效補(bǔ)充。圖9.2是一個入侵檢測系統(tǒng)的基本部署圖。9.1入侵檢測系統(tǒng)基本知識入侵檢測技術(shù)的主要作用體現(xiàn)以下這些方面： 監(jiān)控、分析用戶和系統(tǒng)的活動； 評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性； 識別攻擊的活動模式； 對異?；顒舆M(jìn)行統(tǒng)計(jì)分析 對操作系統(tǒng)進(jìn)行審計(jì)跟蹤管理，識別違反政策的用戶動9.1入侵檢測系統(tǒng)基本知識入侵檢測作為安全技術(shù)其主要目的有：（1）識別入侵者；（2）識別入侵行為：（3）檢測和監(jiān)視已成功的安全突破；（4）為對抗入侵及時提供重要信息，阻止事件的發(fā)生和事態(tài)的擴(kuò)大。從這個角度看待安全問題，入侵檢測非常必要，它可以有效彌補(bǔ)傳銃安全保護(hù)措施的不足。9.2入侵檢測系統(tǒng)模型在入侵檢測技術(shù)模型的發(fā)展變化大概可以分成三個階段，分別是集中式、層次式和集成階段。在每個階段，研究人員都出研究出對應(yīng)的入侵檢測模型。其中研究者在集中式階段研究出了通用入侵檢測模型，在層次式階段研究出了層次入侵檢測模型，在集成式階段研究出了管理式入侵檢測模型。9.2入侵檢測系統(tǒng)模型1.Denning入侵檢測模型Denning入侵檢測模型是一個基于規(guī)則的式匹配系統(tǒng)。該模型沒有包含攻擊方法和系統(tǒng)漏洞。它主要由主體、對象、審計(jì)記錄、活動剖面、異常記錄和規(guī)則集處理引擎六個部分組成，如圖9.3所示。9.2入侵檢測系統(tǒng)模型2.層次式入侵檢測模型層次化入侵模型對收集到的數(shù)據(jù)進(jìn)行加工抽象和關(guān)聯(lián)操作，簡了對跨域單機(jī)的入侵行為識別。層次化模型將IDS分為六個層次，由低到高分別是數(shù)據(jù)層、事件層、主體層、上下文層、威脅層、安全狀態(tài)層。9.2入侵檢測系統(tǒng)模型3.管理式入侵檢測模型管理式入侵檢測模型英文名稱叫做SNMP-IDSM(SimpleNetworkManagementProtocol-IntrusionDetectionSystemsManagement),它從網(wǎng)絡(luò)管理的角度出發(fā)解決多個IDS協(xié)同工作的問題。SNMP-IDSM以SNMP協(xié)議為公共語言來實(shí)現(xiàn)IDS之間的消息交換和協(xié)同檢測。圖9.4展示了SNMP-IDSM的工作原理。9.2入侵檢測系統(tǒng)模型3.管理式入侵檢測模型9.3入侵檢測技術(shù)分類9.3.1根據(jù)各個模塊運(yùn)行分布方式的分類根據(jù)系統(tǒng)各個模塊運(yùn)行的分布不同，可以將入侵檢測系統(tǒng)分為如下兩類：1.集中式入侵檢測系統(tǒng)。集中式入侵檢測系統(tǒng)的各個模塊包括信息的收集和數(shù)據(jù)的分析以及響應(yīng)單元都在一臺主機(jī)上運(yùn)行，這種方式適用于網(wǎng)絡(luò)環(huán)境比較簡單的情況。2.分布式入侵檢測系統(tǒng)。分布式入侵檢測系統(tǒng)是指系統(tǒng)的各個模塊分布在網(wǎng)絡(luò)中不同的計(jì)算機(jī)和設(shè)備上，分布性主要體現(xiàn)在數(shù)據(jù)收集模塊上，如果網(wǎng)絡(luò)環(huán)境比較復(fù)雜或數(shù)據(jù)流量較大，那么數(shù)據(jù)分析模塊也會分布，按照層次性的原則進(jìn)行組織。9.3入侵檢測技術(shù)分類9.3.2根據(jù)檢測對象來分類1.基于主機(jī)的IDS，英文為Host-besedIDS9.3入侵檢測技術(shù)分類9.3.2根據(jù)檢測對象來分類2.基于網(wǎng)絡(luò)的IDS，Network-basedIDS，行業(yè)上稱之為NID9.3入侵檢測技術(shù)分類9.3.3按照所采用的技術(shù)進(jìn)行分類1.異常入侵檢測系統(tǒng)。異常入侵檢測系統(tǒng)是將系統(tǒng)正常行為的信息作為標(biāo)準(zhǔn)，將監(jiān)控中的活動與正常行為相比較。在異常入侵檢測系統(tǒng)中，假設(shè)所有與正常行為不同的行為都視為異常，而一次異常視為一次入侵?？梢匀藶榈慕⑾到y(tǒng)正常所有行為事件，那么理論上可以把與正常事件不同的所有行為視為可疑事件。9.3入侵檢測技術(shù)分類9.3.3按照所采用的技術(shù)進(jìn)行分類1.異常入侵檢測系統(tǒng)。9.3入侵檢測技術(shù)分類9.3.3按照所采用的技術(shù)進(jìn)行分類2.誤用入侵檢測系統(tǒng)。誤用入侵檢測系統(tǒng)是收集非正常操作的行為，建立相關(guān)的攻擊特征庫，依據(jù)所有入侵行為都能夠用一種特征來表示，那么所有已知的入侵方法都可以用模式匹配的方法發(fā)現(xiàn)。9.3入侵檢測技術(shù)分類9.3.3按照所采用的技術(shù)進(jìn)行分類2.誤用入侵檢測系統(tǒng)。9.4入侵檢測系統(tǒng)工作流程9.3.3按照所采用的技術(shù)進(jìn)行分類通用的入侵檢的工作流程主要分為以下四步:第一步：信息收集。信息收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為這一步非常重要，因?yàn)槿肭謾z測系統(tǒng)很大程度上依賴于收集信息的可靠性和正確性。第二步：信息分析。是指對收集到的數(shù)據(jù)信息，進(jìn)行處理分析。一般通過協(xié)議規(guī)則分析模式匹配、通緝分析和完整性分析幾種手段和方法來分析。9.4入侵檢測系統(tǒng)工作流程9.3.3按照所采用的技術(shù)進(jìn)行分類第三步：信息存儲。當(dāng)入侵檢測系統(tǒng)捕獲到有攻擊發(fā)生時，為了便于系統(tǒng)管理人員對攻擊信息進(jìn)行査看和對攻擊行為進(jìn)行分析，還需要將入侵檢測系統(tǒng)收集到的信息進(jìn)行保存，這些數(shù)據(jù)通常存儲到用戶指定的日志文件或特定的數(shù)據(jù)庫中。第四步：攻擊響應(yīng)。對攻擊信息進(jìn)行了分析并確定攻擊類型后，入侵檢測系統(tǒng)會根據(jù)用戶的設(shè)置，對攻擊行為進(jìn)行相應(yīng)的處理，如發(fā)出警報、給系統(tǒng)管理員發(fā)郵件等方式提醒用戶。9.5典型的入侵檢測系統(tǒng)Snort介紹1998年，MartyRoesch先生用C語言開發(fā)了開放源代碼的入侵檢測系統(tǒng)Snort。直至今天，Snort已發(fā)展成為一個多平臺,實(shí)時流量分析，網(wǎng)絡(luò)IP數(shù)據(jù)包記錄等特性的強(qiáng)大的網(wǎng)絡(luò)入侵檢測系統(tǒng)。在網(wǎng)上可以通過免費(fèi)下載獲得Snort,并且只需要幾分鐘就可以安裝并開始使用它。如圖9.9為Snort的結(jié)構(gòu)。9.5典型的入侵檢測系統(tǒng)Snort介紹如圖9.9為Snort的結(jié)構(gòu)。9.5典型的入侵檢測系統(tǒng)Snort介紹Snort的結(jié)構(gòu)由4大軟件模塊組成，它們分別是：（1）數(shù)據(jù)包捕獲模塊——負(fù)責(zé)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包，對網(wǎng)絡(luò)進(jìn)行分。（2）預(yù)處理模塊——該模塊用相應(yīng)的插件來檢查原始數(shù)據(jù)包，從中發(fā)現(xiàn)原始數(shù)據(jù)的“行為”，如端口掃描，IP碎片等，數(shù)據(jù)包經(jīng)過預(yù)處理后才傳到檢測引擎。（3）檢測模塊——該模塊是Snort的核心模塊。當(dāng)數(shù)據(jù)包從預(yù)處理器送過來后，檢測引擎依據(jù)預(yù)先設(shè)置的規(guī)則檢查數(shù)據(jù)包，一旦發(fā)現(xiàn)數(shù)據(jù)包中的內(nèi)容和某條規(guī)則相匹配，就通知報警模塊。（4）報警/日志模塊——經(jīng)檢測引擎檢查后的Snort數(shù)據(jù)需要以某種方式輸出。9.6入侵檢測技術(shù)存在的問題及發(fā)展趨勢1.入侵檢測技術(shù)存在的問題。入侵檢測技術(shù)存在的問題主要為：IDS對攻擊的檢測效率和其對自身攻擊的防護(hù)。2.入侵檢測技術(shù)的發(fā)展趨勢入侵檢測技術(shù)的主要發(fā)展方向可以概括為：(1)分布式入侵檢測（2）應(yīng)用層入侵檢測（3）智能入侵檢測（4）與網(wǎng)絡(luò)安全技術(shù)相結(jié)合(5)其它相關(guān)技術(shù)思考題1.入侵檢測系統(tǒng)的作用是什么？2.什么是入侵檢測技術(shù)?3.什么是異常入侵檢測系統(tǒng)？4.什么是誤用入侵檢測系統(tǒng)？5.入侵檢測系統(tǒng)的工作流程是什么？6.簡述入侵檢測系統(tǒng)的未來發(fā)展趨勢。返回ThanksForAttendance!致謝第10章虛擬專用網(wǎng)技術(shù)概述本章簡要介紹了為了信息系統(tǒng)什么要引入虛擬專用網(wǎng)、虛擬專用網(wǎng)優(yōu)點(diǎn)和分類、虛擬專用網(wǎng)的工作原理、虛擬專用網(wǎng)技術(shù)原理、虛擬專用網(wǎng)使用舉例等。10.1虛擬專用網(wǎng)概述虛擬專用網(wǎng)VPN(VirtualPrivateNetwork)通常是通過一個公用的網(wǎng)絡(luò)（如Internet）建立一個臨時的、安全的、模擬的點(diǎn)對點(diǎn)連接。這是一條穿越公用網(wǎng)絡(luò)的安全信息隧道，信息可以通過這條隧道在公用網(wǎng)絡(luò)中安全地傳輸。 虛擬專用網(wǎng)依靠Internet服務(wù)提供商ISP(InternetServiceProvider)和其它網(wǎng)絡(luò)服務(wù)提供商N(yùn)SP(NetServiceProvider)，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。10.1虛擬專用網(wǎng)概述10.1.1VPN的需求經(jīng)常很多時候需要在異地連接網(wǎng)絡(luò)。例如企業(yè)員工在外出差或在家里需要連接公司服務(wù)器；或者有第三方需要接入公司服務(wù)器(如電子商務(wù))；或者企業(yè)數(shù)據(jù)需要進(jìn)行異地災(zāi)備；還有的企業(yè)分支機(jī)構(gòu)需要連接總公司等，這時候最便宜最便捷的方式就是使用VPN技術(shù)。如圖10.1所示很多地方需要接入VPN。10.1虛擬專用網(wǎng)概述10.1.1VPN的需求

10.1虛擬專用網(wǎng)概述10.1.1VPN的需求虛擬專用網(wǎng)VPN是在公用絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€VPN網(wǎng)絡(luò)的任意兩個節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)如Internet、ATM（異步傳輸模式）、FrameRelay（幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。

10.1虛擬專用網(wǎng)概述10.1.2VPN的優(yōu)點(diǎn)企業(yè)使用VPN有許多優(yōu)點(diǎn)。具體來說虛擬專用網(wǎng)的提出就是來解決如下這些問題：(1)使用VPN可降低成本——通過公用網(wǎng)來建立VPN，就可以節(jié)省大量的通信費(fèi)用，而不必投入大量的人力和物力去安裝和維護(hù)WAN(廣域網(wǎng))設(shè)備和遠(yuǎn)程訪問設(shè)備。通常租用電信的專用網(wǎng)絡(luò)是很貴的。使用VPN可以降低企業(yè)使用網(wǎng)絡(luò)的成本，這是VPN最大的優(yōu)點(diǎn)。(2)傳輸數(shù)據(jù)安全可靠——虛擬專用網(wǎng)產(chǎn)品都是采用加密及身份驗(yàn)證等安全技術(shù)，保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性。

10.1虛擬專用網(wǎng)概述10.1.2VPN的優(yōu)點(diǎn)(3)連接方便靈活——用戶如果想與合作伙伴聯(lián)網(wǎng)，如果沒有虛擬專用網(wǎng)，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，有了虛擬專用網(wǎng)之后，只需雙方配置安全連接信息即可。(4)完全控制——虛擬專用網(wǎng)使用戶可以利用ISP的設(shè)施和服務(wù)，同時又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。用戶只利用ISP提供的網(wǎng)絡(luò)資源，對于其它的安全設(shè)置、網(wǎng)絡(luò)管理變化可由自己管理。在企業(yè)內(nèi)部也可以自己建立虛擬專用網(wǎng)。

10.1虛擬專用網(wǎng)概述10.1.3VPN的分類(1)Client－LAN類型的VPN也稱為AccessVPN（遠(yuǎn)程接入VPN），即遠(yuǎn)程訪問方式的VPN。10.1虛擬專用網(wǎng)概述(2)LAN－LAN類型的VPN，也稱為IntranetVPN（內(nèi)聯(lián)網(wǎng)VPN），網(wǎng)關(guān)到網(wǎng)關(guān)，通過公司的網(wǎng)絡(luò)架構(gòu)連接來自同公司的資源。10.2VPN的工作原理VPN的工作流程如圖10.4所示。通常情況下，VPN網(wǎng)關(guān)采取雙網(wǎng)卡結(jié)構(gòu)，外網(wǎng)卡使用公網(wǎng)IP接入Internet。10.2VPN的工作原理1.網(wǎng)絡(luò)1(假定為公網(wǎng)internet)的終端A訪問網(wǎng)絡(luò)2(假定為公司內(nèi)網(wǎng))的終端B，其發(fā)出的訪問數(shù)據(jù)包的目標(biāo)地址為終端B的內(nèi)部IP地址。2.網(wǎng)絡(luò)1的VPN網(wǎng)關(guān)在接收到終端A發(fā)出的訪問數(shù)據(jù)包時對其目標(biāo)地址進(jìn)行檢查，如果目標(biāo)地址屬于網(wǎng)絡(luò)2的地址，則將該數(shù)據(jù)包進(jìn)行封裝，封裝的方式根據(jù)所采用的VPN技術(shù)不同而不同，同時VPN網(wǎng)關(guān)會構(gòu)造一個新VPN數(shù)據(jù)包，并將封裝后的原數(shù)據(jù)包作為VPN數(shù)據(jù)包的負(fù)載，VPN數(shù)據(jù)包的目標(biāo)地址為網(wǎng)絡(luò)2的VPN網(wǎng)關(guān)的外部地址。10.2VPN的工作原理3.網(wǎng)絡(luò)1的VPN網(wǎng)關(guān)將VPN數(shù)據(jù)包發(fā)送到Internet，由于VPN數(shù)據(jù)包的目標(biāo)地址是網(wǎng)絡(luò)2的VPN網(wǎng)關(guān)的外部地址，所以該數(shù)據(jù)包將被Internet中的路由正確地發(fā)送到網(wǎng)絡(luò)2的VPN網(wǎng)關(guān)。4.網(wǎng)絡(luò)2的VPN網(wǎng)關(guān)對接收到的數(shù)據(jù)包進(jìn)行檢查，如果發(fā)現(xiàn)該數(shù)據(jù)包是從網(wǎng)絡(luò)1的VPN網(wǎng)關(guān)發(fā)出的，即可判定該數(shù)據(jù)包為VPN數(shù)據(jù)包，并對該數(shù)據(jù)包進(jìn)行解包處理。解包的過程主要是先將VPN數(shù)據(jù)包的包頭剝離，再將數(shù)據(jù)包反向處理還原成原始的數(shù)據(jù)包。10.2VPN的工作原理5.網(wǎng)絡(luò)2的VPN網(wǎng)關(guān)將還原后的原始數(shù)據(jù)包發(fā)送至目標(biāo)終端B，由于原始數(shù)據(jù)包的目標(biāo)地址是終端B的IP，所以該數(shù)據(jù)包能夠被正確地發(fā)送到終端B。在終端B看來，它收到的數(shù)據(jù)包就和從終端A直接發(fā)過來的一樣。6.從終端B返回終端A的數(shù)據(jù)包處理過程和上述過程一樣，這樣兩個網(wǎng)絡(luò)內(nèi)的終端就可以相互通訊了。10.3VPN的技術(shù)原理10.3.1VPN使用的安全協(xié)議1.PPTP－PointtoPointTunnelProtocol(點(diǎn)對點(diǎn)隧道協(xié)議)

通過Internet的數(shù)據(jù)通信，需要對數(shù)據(jù)流進(jìn)行封裝和加密，PPTP就可以實(shí)現(xiàn)這兩個功能，從而可以通過Internet實(shí)現(xiàn)多功能通信。2.L2TP－Layer2TunnelingProtocol(第二層隧道協(xié)議)

PPTP和L2TP十分相似，因?yàn)長2TP有一部分就是采用PPTP協(xié)議，兩個協(xié)議都允許客戶通過其間的網(wǎng)絡(luò)建立隧道，L2TP還支持信道認(rèn)證。10.3VPN的技術(shù)原理3.IPSEC—InternetProtocolSecurity(因特網(wǎng)協(xié)議安全)

它用于確保網(wǎng)絡(luò)層之間的安全通信。4.SSL—SecureSocketLayer它是Netscape公司所研發(fā)，用以保障在Internet上數(shù)據(jù)傳輸之安全，利用數(shù)據(jù)加密技術(shù)，可確保數(shù)據(jù)在網(wǎng)絡(luò)上之傳輸過程中不會被截取及竊聽。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。10.3VPN的技術(shù)原理10.3.2VPN的實(shí)現(xiàn)由于傳輸?shù)氖撬接行畔?，VPN用戶對數(shù)據(jù)的安全性要求比較高。目前VPN主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption&Decryption)秘鑰管理技術(shù)(KeyManagement)用戶與設(shè)備身份認(rèn)證技術(shù)（Authentication）。10.3VPN的技術(shù)原理10.3.2VPN的實(shí)現(xiàn)

1.隧道技術(shù) 隧道技術(shù)是VPN的基本技術(shù)。類似于點(diǎn)對點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。10.3VPN的技術(shù)原理10.3.2VPN的實(shí)現(xiàn)第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)議裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。第二層隧道協(xié)議有L2F、PPTPL2T等。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec（IPSecurity）是由一組RFC文檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務(wù)所使等服務(wù)，從而在IP層提供安全保障。10.3VPN的技術(shù)原理10.3.2VPN的實(shí)現(xiàn)2.加解密技術(shù)加解密技術(shù)(對稱加密、公鑰加密等)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。10.3VPN的技術(shù)原理10.3.2VPN的實(shí)現(xiàn)3.密鑰管理技術(shù)密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被偷聽、竊取。4.用戶與設(shè)備身份認(rèn)證技術(shù)用戶與設(shè)備身份認(rèn)證技術(shù)最常用的是用戶名與密碼或卡片式認(rèn)證等方式。10.3VPN的技術(shù)原理10.3.2VPN的實(shí)現(xiàn)除了以上幾種技術(shù)實(shí)現(xiàn)VPN以后，還有一種比較常用的VPN方式：SSLVPN，即SSL協(xié)議被使用于VPN中。這種方式經(jīng)常用于訪問銀行、金融、及機(jī)密系統(tǒng)。通過電腦使用銀行的網(wǎng)銀系統(tǒng)時使用的就是SSLVPN。它是將HTTP協(xié)議