《入侵檢測》課件第1章

第1章概述1.1網(wǎng)絡安全的主要威脅1.2攻擊行為分析1.3主動安全防御技術概述

1.1網(wǎng)絡安全的主要威脅

隨著信息和網(wǎng)絡技術廣泛而深入地滲透到商業(yè)、金融、科研、教育、軍事以及人們?nèi)粘Ｉ畹母鱾€領域(如圖1.1所示)，網(wǎng)絡和信息安全對人們生活和國家安全的影響越來越重要。圖1.1

Internet應用發(fā)展示意圖圖1.2目前網(wǎng)絡安全的主要威脅金山毒霸全球反病毒監(jiān)測中心等發(fā)布的近幾年中國電腦病毒疫情及互聯(lián)網(wǎng)安全報告等表明，病毒的“工業(yè)化”入侵以及“流程化”攻擊越來越明顯。團伙犯罪分子為獲取金錢而制作了越來越多的惡意軟件；黑客的攻擊行為組織性更強，其目的已經(jīng)從單純的追求“榮耀感”向獲取多方面實際利益的方向轉(zhuǎn)移；網(wǎng)上木馬、間諜程序、惡意網(wǎng)站、網(wǎng)站仿冒、僵尸網(wǎng)絡等日趨泛濫，以熊貓燒香、灰鴿子、AV終結者為代表的惡性病毒頻繁出現(xiàn)，危害程度逐步加深。

2008年，中國新增計算機病毒、木馬數(shù)量呈爆炸式增長，總數(shù)量已突破千萬。病毒制造的模塊化、專業(yè)化以及病毒“運營”模式的互聯(lián)網(wǎng)化成為2008年中國計算機病毒發(fā)展的三大顯著特征。同時，病毒制造者的“逐利性”依舊沒有改變，網(wǎng)頁掛馬、漏洞攻擊成為黑客獲利的主要渠道。據(jù)金山毒霸“云安全”中心監(jiān)測數(shù)據(jù)顯示，2008年，金山毒霸共截獲新增病毒、木馬13899717個，與2007年相比增長48倍。圖1.3所示為近幾年新增病毒數(shù)量對比示意圖。據(jù)2009年5月中國最新安全報告顯示，電腦病毒一個月新增2389476個，較上月增加38%，感染電腦的數(shù)量也增至2000萬臺。圖1.3近年新增病毒數(shù)量1.1.1互聯(lián)網(wǎng)已經(jīng)進入木馬/病毒經(jīng)濟時代

目前,網(wǎng)絡游戲、QQ聊天、網(wǎng)上銀行和網(wǎng)上炒股、網(wǎng)上購物等互聯(lián)網(wǎng)應用日益流行，用戶在這些應用中的賬戶變得越來越有經(jīng)濟價值，其賬號直接關系到用戶在現(xiàn)實世界中的財產(chǎn)。網(wǎng)絡游戲中的道具、裝備，QQ中的Q幣、QQ秀等虛擬物品，由于可以在C2C平臺以及眾多專業(yè)網(wǎng)站上進行交易，因此具有非常高的經(jīng)濟價值網(wǎng)絡購物有兩種模式,一種是B2C（BusinessToCustomer，在英文中的2的發(fā)音同to，所以這里的to簡寫為2）模式，即商品和信息從企業(yè)直接到消費者;另一種是C2C（CustomerToCustomer），即商品和信息從消費者直接到消費者，俗稱“網(wǎng)上開店”。根據(jù)中國互聯(lián)網(wǎng)絡信息中心(CNNIC)于2007年7月發(fā)布的《第20次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》，僅中國的1.62億網(wǎng)民中,就有69.8%的用戶（超過1億用戶）在使用即時通信軟件（以騰訊QQ和MSN為主）；47%的用戶（超過7600萬用戶）玩過網(wǎng)絡游戲；20%的用戶（超過3200萬用戶）使用網(wǎng)上銀行和進行網(wǎng)上炒股。這幾類互聯(lián)網(wǎng)應用成為黑客、木馬制作者等不法分子攻擊的主要目標。越來越多的網(wǎng)絡犯罪分子編寫及傳播木馬類程序，目的就是為了竊取網(wǎng)民的賬號信息，從而獲取經(jīng)濟利益。1.1.2“0Day”等漏洞和系統(tǒng)缺陷令人防不勝防

網(wǎng)絡威脅主要是利用系統(tǒng)（包括操作系統(tǒng)、支撐軟件及應用系統(tǒng)）固有的漏洞、缺陷或系統(tǒng)配置及管理等過程中的安全漏洞，穿透或繞過安全設施的防護，達到非法訪問直至控制系統(tǒng)的目的，并以此為跳板，繼續(xù)攻擊其它系統(tǒng)。攻擊手段包括隱通道攻擊、特洛伊木馬、口令猜測、緩沖區(qū)溢出等。漏洞，是指與安全相關的缺陷，能夠被利用來做“原本以為”不能做的事。入侵能夠成功的主要原因就在于漏洞的存在。漏洞是客觀存在的，它是隨軟件和系統(tǒng)產(chǎn)生的，在一定程度上具有不可避免性。無論是Windows還是Unix幾乎都存在或多或少的安全漏洞，眾多的各類服務器、瀏覽器、應用軟件、桌面軟件等都被發(fā)現(xiàn)存在安全隱患或后門，如尼母達、中國黑客等病毒都利用微軟系統(tǒng)的漏洞給用戶造成巨大損失。當前網(wǎng)絡安全的主要漏洞分類情況見附錄2。當前第三方軟件漏洞成為病毒攻擊的熱點。第三方軟件是指除系統(tǒng)本身自帶的軟件（操作系統(tǒng)本身及其自帶的應用程序之外的應用類軟件，例如QQ、AdobeReader等。第三方軟件漏洞，是指一些第三方軟件由于自身軟件設計的原因，在它們提供給IE的組件上存在一些漏洞，而這些漏洞會被黑客以及惡意網(wǎng)站利用，在用戶瀏覽網(wǎng)頁過程中，通過漏洞下載木馬病毒以入侵用戶系統(tǒng)，進行遠程控制、盜竊用戶的賬號和密碼等，從而使用戶遭受損失。隨著微軟操作系統(tǒng)安全性的日益加強以及用戶對系統(tǒng)漏洞警惕性的提升，病毒已經(jīng)很難再利用系統(tǒng)漏洞大施拳腳，而第三方流行軟件的漏洞越來越多地被病毒利用。以AdobeFlashPlayer漏洞為例，AdobeFlashPlayer9.0.115在播放惡意構造的swf文件時，會自動下載一個可執(zhí)行文件并執(zhí)行，而swf文件可能會自動下載一個病毒下載器并運行，然后再由這個病毒下載器下載其它預先指定的木馬程序，危險指數(shù)非常高。在手機等新平臺上傳播的病毒/木馬也在上升。另外，網(wǎng)絡系統(tǒng)天生的缺陷使其存在巨大隱患。Internet的共享性和開放性使網(wǎng)上信息安全存在先天不足。開放性的網(wǎng)絡導致網(wǎng)絡的技術是全開放的。任何一個人或團體都可能從中獲得所需的東西，因而網(wǎng)絡所面臨的破壞和攻擊可能是多方面的。國際性的網(wǎng)絡還意味著網(wǎng)絡的攻擊不僅僅來自本地網(wǎng)絡的用戶，還可以來自Internet上的任何一個機器，也就是說，網(wǎng)絡安全所面臨的是國際化的挑戰(zhàn)。自由意味著網(wǎng)絡最初對用戶的使用并沒有提供任何的技術約束，用戶可以自由地訪問網(wǎng)絡，自由地使用和發(fā)布各種類型的信息，用戶只對自己的行為負責，而沒有任何的法律限制。因此，“Internet的美妙之處在于你和每個人都能互相連接，Internet的可怕之處在于每個人都能和你互相連接”。

Internet賴以生存的TCP/IP協(xié)議也存在著缺陷(TCP/IP協(xié)議簇見附錄1)。在建立之初,TCP/IP體系結構對于網(wǎng)絡的安全性考慮得并不多，Internet規(guī)模及用戶群迅速擴大之后,在安全防范、服務質(zhì)量、帶寬和方便性等方面存在滯后和不適應性，而且人們對TCP/IP協(xié)議很熟悉，就可以利用它的安全缺陷來實施網(wǎng)絡攻擊。如應用層協(xié)議Telnet(遠程登錄服務)、FTP(文件傳輸協(xié)議)、SMTP(簡單郵件傳輸協(xié)議)等缺乏認證和保密措施，這就為否認、拒絕等欺瞞行為開了方便之門。IP層協(xié)議也有許多安全缺陷,例如，IP地址可以由軟件設置，這就造成了地址假冒和地址欺騙兩類安全隱患；IP協(xié)議支持源路由方式，即源點可以指定信息包傳送到目的節(jié)點的中間路由，這就提供了源路由攻擊的條件。在運行TCP/IP協(xié)議的網(wǎng)絡系統(tǒng)，存在著五種類型的威脅和攻擊，即欺騙攻擊、否認服務、拒絕服務、數(shù)據(jù)截取、數(shù)據(jù)篡改。1.1.3社會工程學的攻擊手段成為病毒入侵的重要途徑

病毒通過社會工程學的攻擊手段入侵系統(tǒng)的途徑包括：

（1）利用熱點事件。

當用戶上網(wǎng)搜索一些當下比較流行的信息或電影時，如“艷照門”、“色戒”等，搜索到的網(wǎng)頁中很多都是帶有病毒的，這是不法分子利用人的心理而設的圈套。

（2）利用用戶對好友的信任,通過即時聊天工具傳播病毒。

這類攻擊已經(jīng)不是主流，但還存在，有些病毒會通過QQ、MSN等聊天工具自動向好友發(fā)送帶有病毒的信息或文件。（3）釣魚網(wǎng)站。

釣魚網(wǎng)站也是一種常用的攻擊手段，如是一個外掛的官方網(wǎng)站，而是釣魚網(wǎng)站，釣魚網(wǎng)站做得跟官方網(wǎng)站一模一樣，使得不少用戶瀏覽了釣魚網(wǎng)站或者下載了釣魚網(wǎng)站的文件，導致中毒。另外一種方式不需要帶毒，如銀行的釣魚網(wǎng)頁，用戶在登錄的過程中，它會先記錄賬號和密碼，然后再登錄到正確的網(wǎng)站，而此時用戶并不知道自己的賬號和密碼等信息已經(jīng)失竊。

（4）捆綁軟件。

一些病毒會感染或者修改正常共享軟件的安裝包，使得用戶在網(wǎng)站下載安裝這些軟件時感染病毒。另外一些病毒則直接替換掉下載鏈接的文件。（5）高流量帶病毒鏈接。

流量高的網(wǎng)站是可以用來賣錢掛病毒的，因此很多流量高的網(wǎng)頁會被用來掛病毒。這類網(wǎng)站以黃色網(wǎng)站居多。

（6）江湖騙術。

一些網(wǎng)絡社區(qū)、聊天群里出現(xiàn)的騙子，往往會以花言巧語誘使你接受并打開對方發(fā)送的文件，以照片（其實是病毒文件）為典型。1.1.4網(wǎng)絡內(nèi)部原因所引起的安全威脅

網(wǎng)絡管理不僅包括內(nèi)網(wǎng)的管理，也包括整個通信網(wǎng)絡其它部分如廣域網(wǎng)或設備等的管理。嚴格管理是使企業(yè)、組織及政府部門和用戶免受網(wǎng)絡安全問題威脅的重要措施，責權不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當前許多網(wǎng)絡在建設的時候缺乏前瞻性，導致網(wǎng)絡信息安全建設資金投入不夠，各項基礎性管理工作相對較弱。當網(wǎng)絡出現(xiàn)攻擊行為或網(wǎng)絡受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預警，而當事故發(fā)生后，無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，缺乏對網(wǎng)絡的可控性與可審查性等措施，同時也存在著如私設代理服務器、私自訪問外部網(wǎng)絡，使用網(wǎng)絡管理員禁止使用的軟件等行為。事實上，很多企業(yè)、機構及用戶的網(wǎng)站或系統(tǒng)都疏于管理，沒有制定嚴格的管理制度或執(zhí)行不嚴。根據(jù)調(diào)查表明，當前網(wǎng)絡安全的威脅70%以上來自網(wǎng)絡內(nèi)部。對于企事業(yè)等單位來說，網(wǎng)絡內(nèi)部原因和內(nèi)部人員所造成的網(wǎng)絡安全問題是所面臨的最大的威脅之一。企業(yè)辦公網(wǎng)絡作為企業(yè)發(fā)展必備的組成部分，正在發(fā)揮越來越大的作用，但是隨之而來的企業(yè)辦公網(wǎng)絡有效管理和信息安全問題也日益變得尖銳。企業(yè)內(nèi)部員工在辦公時間瀏覽與工作無關的網(wǎng)頁、下載視頻和其它大容量文件、頻繁使用QQ等即時通信、在線游戲，不僅降低了工作效率，占用了大量的帶寬資源，還對公司其它員工造成負面影響，企業(yè)的規(guī)章制度的威懾力也受到嚴峻挑戰(zhàn)。而來自外部的黑客攻擊及病毒干擾，嚴重威脅著企業(yè)的內(nèi)部機密，如何協(xié)調(diào)好企業(yè)網(wǎng)絡信息安全的內(nèi)憂外患，這是目前大部分企業(yè)網(wǎng)甚至是整個網(wǎng)絡亟待解決的課題。內(nèi)網(wǎng)問題產(chǎn)生的原因是多方面的，如單位管理制度不嚴、資源濫用、內(nèi)部有些人的惡意行為、內(nèi)部用戶的誤操作、對內(nèi)網(wǎng)安全管理環(huán)節(jié)的不夠重視及制度執(zhí)行不嚴、內(nèi)部使用人員的安全意識不夠等。很長一段時間以來，廠商和用戶的主要關注點較為集中在外網(wǎng)威脅方面，目前控制內(nèi)網(wǎng)的安全產(chǎn)品還較少。對于內(nèi)網(wǎng)安全來說，技術手段僅是一方面，更重要的是通過企業(yè)內(nèi)部健全的內(nèi)網(wǎng)安全管理制度及措施來保障。在網(wǎng)絡安全中，三分靠技術，七分靠管理，管理是根本，技術是手段。網(wǎng)絡管理的欠缺及其它網(wǎng)絡內(nèi)部原因所引起的安全問題同樣是當前網(wǎng)絡和信息安全面臨的較大威脅。 1.2攻擊行為分析

入侵檢測的主要目的是檢測出各種各樣的攻擊及發(fā)現(xiàn)系統(tǒng)本身所存在的缺陷等。對網(wǎng)絡攻擊手段和行為的了解有助于對入侵檢測技術的學習和理解，也有助于對入侵檢測方法和系統(tǒng)的設計。

1.攻擊的要素

攻擊的基本要素包括：

（1）攻擊的主體——攻擊者；

（2）攻擊的客體——系統(tǒng)和網(wǎng)絡，系統(tǒng)和網(wǎng)絡存在的漏洞為攻擊者提供了攻擊的客觀條件；

（3）攻擊的過程——達成攻擊的步驟和過程，是攻擊的關鍵環(huán)節(jié)，也是攻擊發(fā)生效果的必要條件。

2.攻擊過程

黑客對目標系統(tǒng)實施攻擊的流程大致相同,其攻擊過程可歸納為9個步驟：踩點（FootPrinting）、掃描（Scanning）、查點（Enumeration）、獲取訪問權（GainingAccess）、權限提升（EscalatingPrivilege）、竊取（Pilfering）、掩蓋蹤跡（CoveringTrack）、創(chuàng)建后門（CreatingBackDoors）。

黑客攻擊流程如圖1.4所示。圖1.4黑客攻擊流程

3.攻擊行為分類

網(wǎng)絡攻擊分為結構化攻擊和非結構化攻擊兩類。非結構化攻擊是指一類在小范圍內(nèi)、攻擊能力較弱、不能形成規(guī)模的攻擊行為。非結構化攻擊通常由單個具有攻擊能力的攻擊]者（如黑客或?qū)静粷M的雇員等）發(fā)起，采用單點攻擊，攻擊工具通常不會太復雜，所造成破壞的范圍、深度是有限的。結構化攻擊則是在良好的計劃組織條件下實施的攻擊行為，其特點是攻擊點及采用的技術多、隱蔽性好、危害較大。協(xié)同攻擊屬于結構化攻擊的一種。協(xié)同攻擊是指一類由多個攻擊者采取分布方式，在統(tǒng)一攻擊策略指導下對同一任務目標發(fā)起攻擊和探測的行為，其攻擊的技術手段和攻擊步驟由統(tǒng)一的攻擊策略在各攻擊者之間協(xié)調(diào)從而達到協(xié)同。與普通結構性攻擊相比，協(xié)同攻擊威脅范圍大，使用的攻擊技術全面，不僅在攻擊點上可實現(xiàn)分布與協(xié)同，甚至可在攻擊軟件上實現(xiàn)協(xié)同，并可實施一定的攻擊戰(zhàn)術。 1.3主動安全防御技術概述

1.3.1主動安全防御的基本思想

主動防御技術一詞來源于英文“ProactiveDefense”，其確切含義為“前攝性防御”，是指由于某些機制的存在，使攻擊者無法完成對目標的攻擊，這些前攝性措施不僅僅是上述的被動防御模式，而是能夠采取有效的措施避免攻擊對系統(tǒng)的破壞，拖住攻擊者，偵測或反擊攻擊行為。它的中心思想是控制和反擊，其可以分為兩個關鍵點：防御和主動性。防御突出了主體與客體、訪問與被訪問之間的關聯(lián)，主動性強調(diào)了安全動態(tài)性的本質(zhì)，靜態(tài)、被動的防護體系無法有效完成動態(tài)安全的保障。1.3.2常見的主動防御技術

1.初級主動防御技術

初級主動防御技術可以采用的技術有隱患掃描或網(wǎng)絡安全漏洞掃描技術，布防傳統(tǒng)的入侵檢測系統(tǒng)進行入侵檢測等。

隱患掃描或網(wǎng)絡安全漏洞掃描軟件能夠模擬黑客的行為，搜尋網(wǎng)絡、系統(tǒng)所存在的隱患和安全漏洞，對局域網(wǎng)絡、Web站點、主機操作系統(tǒng)、系統(tǒng)服務以及防火墻系統(tǒng)進行掃描，使系統(tǒng)管理員能夠及時了解系統(tǒng)中存在的危險和安全漏洞，并一一列表，采取相應防范措施，從而降低系統(tǒng)的安全風險。這種主動防御技術的優(yōu)點是能夠事先對系統(tǒng)的安全隱患進行排除，在攻擊者攻擊系統(tǒng)之前為系統(tǒng)打上漏洞補丁并加強對弱點區(qū)域的檢測。

現(xiàn)有的攻擊手法變得更加智能化，攻擊性和自我保護性都加強了，而且攻擊者發(fā)現(xiàn)漏洞的速度也越來越快，可能在系統(tǒng)管理員對網(wǎng)絡進行定期檢測的間隙，攻擊者就已經(jīng)發(fā)現(xiàn)系統(tǒng)中的漏洞并成功攻破了系統(tǒng)。再加上系統(tǒng)管理員的偶爾疏忽，很容易使初級主動防御技術變得無效。對入侵檢測系統(tǒng)進行的入侵檢測作為一種主動的檢測方法，也可以在一定程度上預防和檢測來自系統(tǒng)內(nèi)、外部的入侵。

2.中級主動防御技術

中級主動防御技術主要是采用聯(lián)動方式，如防火墻與防病毒、入侵檢測、日志處理等實現(xiàn)聯(lián)動。國外已經(jīng)有一些公司提出相應的方案或開發(fā)出相應的產(chǎn)品，典型的有美國網(wǎng)絡

聯(lián)盟的McAfeeIntruShield網(wǎng)絡入侵防護解決方案，美國的TopLayer的AttackMitigator[JP]IPS5500系列產(chǎn)品等。

傳統(tǒng)的包過濾防火墻技術是基于第三層的路由訪問控制，是串聯(lián)在網(wǎng)絡中的，如圖1.5所示，主要起過濾作用。入侵檢測系統(tǒng)則通過網(wǎng)絡監(jiān)控和審核跟蹤來評估系統(tǒng)所面臨的危險，是并聯(lián)在網(wǎng)絡中的。防火墻與入侵檢測技術融合在一起，構成主動、實時響應的入侵防御系統(tǒng)，如圖1.6所示。圖1.5防火墻的位置圖1.6

IDS與IPS的在線安裝位置例如，當檢測出通過或繞過防火墻的攻擊數(shù)據(jù)包時，入侵檢測系統(tǒng)將攻擊者的信息反饋給防火墻。防火墻將攻擊者的地址添加到黑名單中，動態(tài)生成新的規(guī)則，以防止后續(xù)攻擊，使防護和監(jiān)控能夠互聯(lián)互動、互動互訪。同時，對發(fā)現(xiàn)的攻擊及時采取措施，如告警、切斷連接等，并對系統(tǒng)進行快速恢復。利用這種技術可以對網(wǎng)絡實施動靜結合的保護，對網(wǎng)絡行為進行細顆粒的檢查，并對網(wǎng)絡內(nèi)外兩個部分都進行可靠管理。

在這種方式中，防火墻用于防御，IDS用于檢測突破防火墻的入侵。雖然這種方案在很大程度上提高了網(wǎng)絡的安全性，具有主動防御功能，但是主要是被動防御，其缺點也很突出。（1）防火墻只實現(xiàn)了粗粒度的訪問控制，且對于內(nèi)部的非法網(wǎng)絡行為無能為力。

（2）IDS只能檢測已知的攻擊，不能檢測未知的“瞬時攻擊”（ZeroDayAttack），而且不能阻止任何非法行為。

（3）為了阻止進一步的攻擊行為，它只能通過響應機制報告防火墻，由防火墻來阻斷攻擊。

（4）IDS與防火墻之間的聯(lián)動能力十分有限，這跟各產(chǎn)品分屬不同廠家，標準不一有關。

（5）由于IDS的誤報率很高，致使任何一種誤報都將阻斷網(wǎng)絡，造成網(wǎng)絡處于中斷狀態(tài)?？傊琁DS只能作為一個監(jiān)聽設備，防御動作也是事后的和被動的，不能將危害切斷在發(fā)生之前。它通過切斷與攻擊者之間的連接，雖然保護了系統(tǒng)但它被攻擊的隱患并沒有消除，攻擊者會轉(zhuǎn)而攻擊網(wǎng)絡中其它的系統(tǒng)，或者更換IP地址和攻擊方式再次發(fā)起攻擊。另外，由于現(xiàn)有入侵檢測系統(tǒng)的高誤報率和漏報率，很容易使防火墻形成拒絕服務攻擊（DenyofService，DoS）。

3.高級主動防御技術

高級主動防技術御可以采用的技術有取證、入侵誘騙、自動恢復、主動響應等。

1)取證

計算機取證是指使用軟件和工具，按照一些預先定義的程序全面檢查計算機系統(tǒng)，以提取和保護有關計算機犯罪證據(jù)的過程。入侵取證為安全防護提供了取證和事后分析的依據(jù)。

取證技術包括靜態(tài)取證技術和動態(tài)取證技術。靜態(tài)取證技術是在已經(jīng)遭受入侵的情況下，運用各種技術手段進行分析取證工作。現(xiàn)在普遍采用的正是這種靜態(tài)取證方法，在入侵后對數(shù)據(jù)進行確認、提取、分析，抽取出有效證據(jù)?；诖怂枷氲墓ぞ哂袛?shù)據(jù)克隆工具、數(shù)據(jù)分析工具和數(shù)據(jù)恢復工具。目前已經(jīng)有專門用于靜態(tài)取證的工具，如GuidanceSoftware的Encase，它運行時能建立一個獨立的硬盤鏡像，而它的FastBloc工具則能從物理層組織操作系統(tǒng)向硬盤寫數(shù)據(jù)。

動態(tài)取證技術是計算機取證的發(fā)展趨勢，它是在受保護的計算機上事先安裝代理，當攻擊者入侵時，對系統(tǒng)的操作及文件的修改、刪除、復制、傳送等行為，系統(tǒng)和代理會產(chǎn)生相應的日志文件加以記錄。利用文件系統(tǒng)的特征，結合相關工具，盡可能真實地恢復這些文件信息，將這些日志文件傳到取證機上加以備份保存作為入侵證據(jù)。

2)入侵誘騙

入侵誘騙研究的是如何設計一個嚴格控制