第 5 章 入侵檢測(cè)與蜜罐技術(shù).ppt

1、網(wǎng)絡(luò)安全技術(shù)，羅耀祖劉東遠(yuǎn)駱珍儀篇蕭，第五章入侵檢測(cè)和蜜罐技術(shù)，本章介紹了網(wǎng)絡(luò)入侵檢測(cè)，手動(dòng)檢測(cè)入侵的方法和入侵檢測(cè)產(chǎn)品，在Snort中探討了建立入侵檢測(cè)系統(tǒng)和分散攻擊防范策略，最后討論了黑客欺詐技術(shù)。5.1網(wǎng)絡(luò)入侵檢測(cè)、入侵檢測(cè)是入侵行為的發(fā)現(xiàn). 通過(guò)收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的某些關(guān)鍵點(diǎn)，入侵檢測(cè)網(wǎng)絡(luò)或系統(tǒng)有無(wú)違反保密工作策略的行為和攻擊的征兆的軟件和硬件的組合入侵檢測(cè)系統(tǒng)ids (intrusion 與其他保密工作產(chǎn)品不同，入侵檢測(cè)系統(tǒng)需要更多的智能，分析得到的數(shù)據(jù)并取得有用的結(jié)果。 正確的入侵檢測(cè)系統(tǒng)大大簡(jiǎn)化了管理員的工作，確保了網(wǎng)絡(luò)的安全運(yùn)行。 5.1.1網(wǎng)絡(luò)入侵檢測(cè)概述、網(wǎng)絡(luò)

2、入侵檢測(cè)技術(shù)可以通過(guò)硬件或軟件實(shí)時(shí)檢查網(wǎng)絡(luò)上的數(shù)據(jù)流，與系統(tǒng)中的入侵特征數(shù)據(jù)庫(kù)進(jìn)行比較，如果發(fā)現(xiàn)攻擊征兆，則根據(jù)用戶定義的動(dòng)作，例如與網(wǎng)絡(luò)通知給防火墻系統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的特征、即網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的特征是，可利用聯(lián)網(wǎng)監(jiān)控軟件或硬件對(duì)網(wǎng)絡(luò)話務(wù)量進(jìn)行監(jiān)視分析，發(fā)現(xiàn)并立即響應(yīng)網(wǎng)絡(luò)攻擊的征兆。 可以直接放置在受監(jiān)視網(wǎng)絡(luò)的廣播段上，也可以直接接收繞過(guò)受監(jiān)視網(wǎng)絡(luò)的數(shù)據(jù)流。 為了更有效地發(fā)現(xiàn)網(wǎng)絡(luò)受到攻擊的征兆，網(wǎng)絡(luò)入侵檢測(cè)機(jī)構(gòu)必須能夠分析網(wǎng)絡(luò)上使用的各種網(wǎng)絡(luò)連接協(xié)議，并標(biāo)識(shí)各種網(wǎng)絡(luò)攻擊行為。 通常，通過(guò)網(wǎng)絡(luò)入侵檢測(cè)方法來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)攻擊行為的標(biāo)識(shí)，該方法用于當(dāng)新網(wǎng)絡(luò)攻擊方法出現(xiàn)時(shí)容易地更新入侵特征庫(kù)，并且提高

3、通過(guò)入侵檢測(cè)方法對(duì)網(wǎng)絡(luò)攻擊行為的標(biāo)識(shí)能力。 另外，入侵檢測(cè)技術(shù)是能夠及時(shí)發(fā)現(xiàn)和報(bào)告系統(tǒng)中的未授權(quán)或異常現(xiàn)象的技術(shù)，并且是用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)上的保密工作策略違規(guī)行為的技術(shù)。 違反保密工作政策的行為主要有入侵和濫用。 入侵是指非法用戶的違反行為；誤用是指用戶的違反行為。 審核跟蹤查詢密碼使入侵檢測(cè)系統(tǒng)能夠確定保護(hù)系統(tǒng)保密工作所需的活動(dòng)。 入侵檢測(cè)系統(tǒng)的應(yīng)用可以在入侵攻擊危害系統(tǒng)之前檢測(cè)入侵攻擊，利用報(bào)警和防護(hù)系統(tǒng)來(lái)驅(qū)逐入侵攻擊。 在入侵攻擊的過(guò)程中，可以減少入侵攻擊造成的損失。 受到入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防止系統(tǒng)的知識(shí)添加到知識(shí)庫(kù)中，提高系統(tǒng)的防范能力。 1 .信息采編、入侵檢測(cè)

4、的第一步是信息采編，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)以及用戶活動(dòng)的狀態(tài)和行為。 必須在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)的幾個(gè)不同的牛鼻子點(diǎn)(不同的路段和不同的男公關(guān))收集信息。 一是盡可能擴(kuò)大檢測(cè)范圍，二是來(lái)自一個(gè)源的信息可能看不到疑點(diǎn)，但來(lái)自幾個(gè)源的信息的不整合是可疑行為和入侵的最佳指標(biāo)。 入侵檢測(cè)在很大程度上依賴于所收集信息的可信度和精準(zhǔn)性。 黑客常常需要保證軟件的完全性以檢測(cè)網(wǎng)絡(luò)系統(tǒng)，因?yàn)槠涑３；Q軟件以去除這些個(gè)信息，尤其是入侵檢測(cè)系統(tǒng)軟件本身是相當(dāng)強(qiáng)大的，且不會(huì)收集被篡改和錯(cuò)誤的信息、用于入侵檢測(cè)的信息、用于入侵檢測(cè)的信息一般來(lái)自四個(gè)方面： (1)系統(tǒng)和網(wǎng)絡(luò)計(jì)程儀文件；(2)目錄查詢和文件中的不希望的變更；

5、(3)程序執(zhí)行中的不希望的行為； 2 .對(duì)信號(hào)分析、上述4種收集的系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般采用模式匹配、整合修正分析和完全性分析三種技術(shù)手段進(jìn)行分析。 前兩種方法用于實(shí)時(shí)入侵檢測(cè)，完全性分析用于事后分析。 (1)模式匹配模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵或系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，發(fā)現(xiàn)違反保密工作策略的行為。 這種方法的一大優(yōu)點(diǎn)是，只需收集相關(guān)的數(shù)據(jù)定徑套，就能減輕系統(tǒng)的負(fù)擔(dān)，使技術(shù)相當(dāng)成熟。 與細(xì)小病毒防火墻采用的方法一樣，檢測(cè)精度和效率相當(dāng)高。 然而，該方法的缺點(diǎn)在于必須不斷更新以應(yīng)對(duì)不斷發(fā)生的黑客入侵，并且可能未能檢測(cè)到任何未發(fā)生的黑客入侵。 (2)統(tǒng)一

6、補(bǔ)正分析統(tǒng)一補(bǔ)正分析方法是，首先在系統(tǒng)對(duì)象(用戶、文件、目錄查詢、解老虎鉗等)上制作統(tǒng)一補(bǔ)正記述，對(duì)通常使用時(shí)的測(cè)定屬性(網(wǎng)站數(shù)據(jù)庫(kù)次數(shù)、操作失敗次數(shù)、延遲等)進(jìn)行統(tǒng)一補(bǔ)正。 測(cè)定屬性的平均值用于與網(wǎng)絡(luò)和系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍以外的話都可以認(rèn)為發(fā)生了入侵。 其優(yōu)點(diǎn)是能夠檢測(cè)未知入侵和更復(fù)雜的入侵，具有誤報(bào)、漏報(bào)率高，無(wú)法應(yīng)對(duì)用戶正常行動(dòng)的突然地變化的缺點(diǎn)。 具體的整合分析方法，如基于專家系統(tǒng)、基于模型推理、基于神經(jīng)網(wǎng)絡(luò)的化學(xué)基分析方法，目前正處于研究熱點(diǎn)和快速發(fā)展之中。 (3)完全性分析完全性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖蛔兏?，大多包含文件或目錄查詢的?nèi)容或?qū)傩?，在發(fā)現(xiàn)變

7、更后的特洛伊化應(yīng)用上特別有效。 利用稱為消息摘要函數(shù)(如MD5 )的強(qiáng)大加密法反應(yīng)歷程，即使是微小的變化，也可以識(shí)別完全性分析。 其優(yōu)點(diǎn)是，無(wú)論模式匹配方法和統(tǒng)一修訂分析方法是否能夠發(fā)現(xiàn)入侵，成功的攻擊都能夠在引起文件或其他對(duì)象的變更的情況下發(fā)現(xiàn)。 缺點(diǎn)是以批量處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。 成功的入侵檢測(cè)系統(tǒng)不僅可以幫助系統(tǒng)管理員隨時(shí)掌握網(wǎng)絡(luò)系統(tǒng)的更改(包括計(jì)程儀計(jì)劃、文件、硬件老虎鉗等)，還可以指導(dǎo)制定網(wǎng)絡(luò)保密工作策略。 更重要的是，它易于管理和配置，使非專門人才用戶能夠方便地使用網(wǎng)絡(luò)保密工作。 此外，入侵檢測(cè)的規(guī)模應(yīng)隨著網(wǎng)絡(luò)威脅、系統(tǒng)配置和保密工作需求的變化而變化。 發(fā)現(xiàn)入侵后，入侵檢測(cè)

8、系統(tǒng)可以及時(shí)處理網(wǎng)絡(luò)連接中斷、上通告記錄、報(bào)警記錄等。 作為一種積極主動(dòng)的保密工作技術(shù)，入侵檢測(cè)提供了針對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截并響應(yīng)入侵。 5.1.2手動(dòng)檢測(cè)入侵，檢測(cè)入侵，保護(hù)系統(tǒng)安全是管理者最重要的任務(wù)，熟悉常用手動(dòng)入侵檢測(cè)的方法和指令也應(yīng)該是網(wǎng)絡(luò)管理者的基本技能。 由于UNIX系統(tǒng)總是承擔(dān)任務(wù)關(guān)鍵型任務(wù)，所以經(jīng)常成為入侵者攻擊的優(yōu)先目標(biāo)。 以Linux和solaris為例，介紹了常用的手動(dòng)入侵檢測(cè)方法和命令，不僅可以快速判斷簡(jiǎn)單的黑客入侵，還可以加深對(duì)入侵檢測(cè)的理解，更好地使用入侵檢測(cè)和審計(jì)工具。、一般的手動(dòng)入侵檢測(cè)方法和指令，1 .檢查/et

9、c/passwd文件中是否有可疑用戶2 .可疑進(jìn)程檢查有木有3 .可疑進(jìn)程檢查有木有4 .檢查聯(lián)網(wǎng)和監(jiān)聽(tīng)通訊端口網(wǎng)卡ifconfig -a列出本機(jī)的所有連接和監(jiān)聽(tīng)通訊端口，并檢查是否存在錯(cuò)誤的連接： # netstat -an顯示本機(jī)的所有開(kāi)放通訊端口： # netstat -an | grep listen， 5 .檢查系統(tǒng)計(jì)程儀/etc/inet.conf和檢查crontab文件是否被修改7 .檢查系統(tǒng)文件的完整性8 .檢查內(nèi)核級(jí)別的后門程序9./etc/hosts.equiv .比檢查更簡(jiǎn)單手動(dòng)入侵檢測(cè)相當(dāng)復(fù)雜，難以進(jìn)行深度檢測(cè)，而且這些個(gè)檢測(cè)大多基于系統(tǒng)命令，如果系統(tǒng)文件被黑客入侵，就

10、無(wú)法進(jìn)行正確的檢測(cè)，為了正確且有效地進(jìn)行入侵檢測(cè)和監(jiān)查，需要幾個(gè)入侵分析工具。 5.1.3網(wǎng)絡(luò)入侵監(jiān)視系統(tǒng)、進(jìn)行入侵檢測(cè)的軟件和硬件的組合是IDS (Intrusion Detection System，入侵檢測(cè)系統(tǒng))。 一般而言，與IDS密切相關(guān)的網(wǎng)絡(luò)保密工作組件主要分為四類：防火墻、掃描儀、反病毒軟件和安全審計(jì)。 四個(gè)這些個(gè)保密工作組件對(duì)正在進(jìn)行的外部入侵和網(wǎng)絡(luò)內(nèi)部攻擊缺乏檢測(cè)和實(shí)時(shí)響應(yīng)能力。 IDS的主要功能包括發(fā)現(xiàn)和分析用戶在網(wǎng)絡(luò)中的活動(dòng)、識(shí)別已知攻擊行為、統(tǒng)一分析異常行為、審核系統(tǒng)配置和漏洞、評(píng)估系統(tǒng)的重要資源和數(shù)據(jù)文件完全性、管理操作系統(tǒng)計(jì)程儀、識(shí)別違反保密工作策略的用戶活動(dòng)等等。

11、 1、入侵檢測(cè)系統(tǒng)概述、入侵檢測(cè)產(chǎn)品又分為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)產(chǎn)品和男公關(guān)入侵檢測(cè)系統(tǒng)的混合入侵檢測(cè)系統(tǒng)，可以彌補(bǔ)基于網(wǎng)絡(luò)的和基于男公關(guān)的某些方面的缺陷。 此外，文件的完全性檢查工具也可以視為入侵檢測(cè)產(chǎn)品。 NIDS系統(tǒng)由探測(cè)引擎、NIDS管理器和NIDS控制臺(tái)(其他端口)組成，如圖5.1中所示。 NIDS的優(yōu)點(diǎn)主要是易于使用。 只需在一個(gè)網(wǎng)絡(luò)段上安裝一個(gè)或多個(gè)此類發(fā)現(xiàn)系統(tǒng)，即可發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)段的入侵情況。 此外，由于這種旁路應(yīng)用程序經(jīng)常被分為單獨(dú)的計(jì)算機(jī)，所以不會(huì)給運(yùn)營(yíng)重要業(yè)務(wù)的男公關(guān)和網(wǎng)絡(luò)帶來(lái)負(fù)擔(dān)。 圖5.1 NIDS的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、2 .入侵檢測(cè)技術(shù)、入侵檢測(cè)系統(tǒng)采用的技術(shù)可分為特征檢測(cè)和異

12、常檢測(cè)。 (1)特征檢測(cè)也被稱為Misuse detection，其確定性地描述已知攻擊或入侵的方式并形成對(duì)應(yīng)的上通告模式。 (2)異常檢測(cè)(Anomaly detection )的假設(shè)是入侵者活動(dòng)在正常主體的活動(dòng)中異常。 (3)利用連接協(xié)議解析技術(shù)網(wǎng)絡(luò)連接協(xié)議的高度規(guī)定性，迅速檢測(cè)攻擊的存在。 (4)統(tǒng)訂檢驗(yàn)統(tǒng)訂模式常用于異常檢查。 以通過(guò)比較測(cè)定結(jié)果和幾個(gè)固定指標(biāo)得到異常為前提的操作模型。 固定指標(biāo)是根據(jù)經(jīng)驗(yàn)值或一定期間的統(tǒng)一補(bǔ)正平均可以得到的方差，補(bǔ)正殘奧儀表的方差，設(shè)定其置信區(qū)間的多模型，操作模型的擴(kuò)展，通過(guò)云同步解析多個(gè)殘奧儀表實(shí)現(xiàn)檢測(cè)將各類型的上通告定義為系統(tǒng)狀態(tài)， 在用狀態(tài)轉(zhuǎn)移矩

13、陣表示狀態(tài)變化的馬爾代夫進(jìn)程模型時(shí)間序列分析中，如果上通告計(jì)數(shù)和資源消耗按時(shí)間化學(xué)基排序，并且新上通告在該時(shí)間出現(xiàn)的幾率很低，則該上通告可能是入侵。 統(tǒng)一方法的最大優(yōu)點(diǎn)是能夠“學(xué)習(xí)”用戶的使用方法，檢出率和可用性高。但是，其“學(xué)習(xí)”能力也給入侵者提供了機(jī)會(huì)，通過(guò)逐步“訓(xùn)練”入侵事件來(lái)符合正常操作的修訂規(guī)則，使入侵檢測(cè)系統(tǒng)通過(guò)。 (5)專家系統(tǒng)多使用專家系統(tǒng)檢測(cè)入侵，對(duì)有特征的入侵行為進(jìn)行。 所謂規(guī)則就是知識(shí)，根據(jù)系統(tǒng)和設(shè)定的不同，規(guī)則之間大多沒(méi)有通用性。 專家系統(tǒng)的建構(gòu)依賴于基于知識(shí)的完全性，而基于知識(shí)的完全性依賴于審計(jì)記錄的完全性和實(shí)時(shí)性。 入侵的特征提取和表達(dá)是入侵檢測(cè)專家系統(tǒng)的關(guān)鍵。 在

14、系統(tǒng)實(shí)現(xiàn)中，將關(guān)于入侵的知識(shí)轉(zhuǎn)換為if-then結(jié)構(gòu)(也可以是復(fù)合結(jié)構(gòu))，條件部分為入侵特征，then部分為應(yīng)對(duì)系統(tǒng)。 使用專家系統(tǒng)進(jìn)行特征性入侵行為防范的有效性完全依賴于基于專家系統(tǒng)知識(shí)庫(kù)的完全性。 3 .選擇入侵檢測(cè)產(chǎn)品的要點(diǎn)、入侵檢測(cè)系統(tǒng)時(shí)應(yīng)考慮的要點(diǎn)有： (1)系統(tǒng)的免費(fèi)IDS和IDS商業(yè)產(chǎn)品的比較；(2)特征庫(kù)的升級(jí)和維護(hù)費(fèi)用；(3)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的最大可處理產(chǎn)水量；(4)該產(chǎn)品是否容易避免；(5)產(chǎn)品的特點(diǎn)一種是針對(duì)分散網(wǎng)絡(luò)攻擊的檢測(cè)方法，第二種是使用分散方法檢測(cè)分散攻擊，其重要技術(shù)是信息的協(xié)調(diào)處理和檢測(cè)入侵攻擊的全局信息的提取。 (2)智能化入侵檢測(cè)神經(jīng)網(wǎng)絡(luò)遺傳算法模糊技術(shù)免疫

15、原理專門人才系統(tǒng)(3)建立全面的安全防御方案、5.2入侵檢測(cè)系統(tǒng)，Snort是強(qiáng)大的輕量級(jí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。 具有實(shí)時(shí)數(shù)據(jù)話務(wù)量分析和計(jì)程儀Ip網(wǎng)絡(luò)報(bào)文分組功能，可進(jìn)行協(xié)議分析、內(nèi)容檢索和匹配。 可以檢測(cè)各種攻擊方式，實(shí)時(shí)警告攻擊。 只要遵守GPL，任何組織和個(gè)人都可以自由使用Snort。 Snort功能強(qiáng)大，但查詢密碼非常簡(jiǎn)潔，原代碼壓縮包不到200KB。 Snort具有優(yōu)異的可擴(kuò)展性和可移植性，跨平臺(tái)性能，目前包括Linux系列、Solaris、BSD系列、IRIX、HP-UX、Windows系列、Sco Openserver和IRIX Snort的主要功能： (使用Libpcap捕獲一組

16、無(wú)線數(shù)據(jù)鏈路并進(jìn)行連接協(xié)議棧內(nèi)存分析(TCP/IP連接協(xié)議)。 (2)在網(wǎng)絡(luò)內(nèi)部，Snort使用Misused檢測(cè)模型進(jìn)行入侵檢測(cè)，即通過(guò)完整的入侵規(guī)則庫(kù)實(shí)時(shí)匹配和檢測(cè)入侵行為。 此外，Snort使用戶可以輕松創(chuàng)建和添加自己的規(guī)則。 (3)計(jì)程儀可以多種格式保存。 三個(gè)運(yùn)作模式，Snort有三個(gè)運(yùn)作模式。 1 .嗅探模式嗅探模式是指snort從網(wǎng)絡(luò)讀取關(guān)報(bào)文分組字并將其呈現(xiàn)給其他端口。 2 .要使報(bào)文分組記錄程序?qū)⑺袌?bào)文分組記錄到硬盤上，必須指定計(jì)程儀目錄查詢。 snort會(huì)自動(dòng)記錄報(bào)文分組：/snort -dev -l ./log 3.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)snort的最重要用途是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS )。 要啟動(dòng)此模式，請(qǐng)使用以下命令行： snort-dev-l./log-h 192.168.1.0/24-c snort.conf，4 .網(wǎng)絡(luò)入侵檢測(cè)定模式下的輸出中的4個(gè)可以在命令行狀態(tài)下使用-A選項(xiàng)設(shè)置。 四個(gè)這些個(gè)選項(xiàng)是使用-A fast -A full -A unsock -A none :5.2.2snort建構(gòu)入侵檢測(cè)系統(tǒng)，并采用三層分布式體系結(jié)構(gòu)，包括網(wǎng)絡(luò)入侵檢測(cè)、入侵上通告數(shù)據(jù)庫(kù)和基于Web的分析其他端口。為了避免不必要的網(wǎng)絡(luò)話務(wù)量，將網(wǎng)絡(luò)入侵檢測(cè)器和入侵上通告數(shù)