安全检测技术PPT课件

《安全检测技术PPT课件》由会员分享，可在线阅读，更多相关《安全检测技术PPT课件（141页珍藏版）》请在装配图网上搜索。

1、第第7章章 安全检测技术安全检测技术入侵检测技术、信息获取技术入侵检测技术、信息获取技术陈德伟陈德伟西南财经大学信息学院E-mail: chendw_ 1. 概述概述2. 入侵检测的分类入侵检测的分类3. 入侵检测系统的设计原理入侵检测系统的设计原理4. 入侵检测响应机制入侵检测响应机制5. 入侵检测标准化工作入侵检测标准化工作6. 入侵检测的现状和展望入侵检测的现状和展望1 概述概述2. 入侵检测的分类入侵检测的分类3. 入侵检测系统的设计原理入侵检测系统的设计原理4. 入侵检测响应机制入侵检测响应机制5. 入侵检测标准化工作入侵检测标准化工作6. 入侵检测的现状和展望入侵检测的现状和展望I

2、ntrusion Intrusion : Attempting to break into or misuse your system. Intruders may be from outside the network or legitimate users of the network. Intrusion can be a physical, system or remote intrusion.n传统的信息安全方法采用严格的访问控制和数传统的信息安全方法采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策据加密策略来防护，但在复杂系统中，这些策略是不充分的。它们是系统安全不可

3、缺的部分略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全但不能完全保证系统的安全n入侵检测（入侵检测（Intrusion Detection）是对入侵行）是对入侵行为的发觉。它通过从为的发觉。它通过从计算机网络计算机网络或或计算机系统计算机系统的关键点收集信息并进行分析，从中发现网络的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击或系统中是否有违反安全策略的行为和被攻击的迹象的迹象Intrusion Detection入侵检测的定义入侵检测的定义 入侵检测就是对系统的运行状态进行监视入侵检测就是对系统的运行状态进行监视，发现各种攻击企图、攻击行为

4、或者攻击，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性结果，以保证系统资源的机密性、完整性和可用性和可用性入侵检测系统的定义入侵检测系统的定义 进行入侵检测的软件与硬件的组合便是入进行入侵检测的软件与硬件的组合便是入侵检测系统侵检测系统 IDS : Intrusion Detection System入侵检测系统的特点入侵检测系统的特点 一个完善的入侵检测系统的特点：一个完善的入侵检测系统的特点： 经济性经济性 时效性时效性 安全性安全性 可扩展性可扩展性网络安全工具的特点网络安全工具的特点优点优点局限性局限性IDS实时监控网络安全状态实时监控网络安全状态误报警，缓慢

5、攻击，新的攻误报警，缓慢攻击，新的攻击模式击模式Scanner简单可操作，帮助系统管理简单可操作，帮助系统管理员和安全服务人员解决实际员和安全服务人员解决实际问题问题并不能真正扫描漏洞并不能真正扫描漏洞VPN保护公网上的内部通信保护公网上的内部通信可视为防火墙上的一个漏洞可视为防火墙上的一个漏洞防火墙防火墙可简化网络管理，产品成熟可简化网络管理，产品成熟无法处理网络内部的攻击无法处理网络内部的攻击防病毒防病毒针对文件与邮件，产品成熟针对文件与邮件，产品成熟功能单一功能单一p与其他网络安全设备的不同之处在于，与其他网络安全设备的不同之处在于，IDS是是一种积极主动的安全防护技术。一种积极主动的安

6、全防护技术。入侵检测的起源（入侵检测的起源（1） 审计技术：产生、记录并检查按时间顺序排列的系统审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程事件记录的过程 审计的目标：审计的目标： 确定和保持系统活动中每个人的责任确定和保持系统活动中每个人的责任 重建事件重建事件 评估损失评估损失 监测系统的问题区监测系统的问题区 提供有效的灾难恢复提供有效的灾难恢复 阻止系统的不正当使用阻止系统的不正当使用入侵检测的起源（入侵检测的起源（2） 计算机安全和审计计算机安全和审计 美国国防部在美国国防部在70年代支持年代支持“可信信息系统可信信息系统”的研究，最终审计机制纳入的研究，最终审计机制

7、纳入可信计算可信计算机系统评估准则机系统评估准则（TCSEC）C2级以上级以上系统的要求的一部分系统的要求的一部分 “褐皮书褐皮书”理解可信系统中的审计指南理解可信系统中的审计指南入侵检测的起源（入侵检测的起源（3）1980年年4月，James P. Anderson :Computer Security Threat Monitoring and Surveillance（计算机安全威胁监（计算机安全威胁监控与监视）的技术报告，第一次详细阐述了入侵检测的概念控与监视）的技术报告，第一次详细阐述了入侵检测的概念他提出对计算机系统风险和威胁的分类方法，并将威胁分为他提出对计算机系统风险和威胁的分

8、类方法，并将威胁分为外部渗透外部渗透、内部渗透内部渗透和和不法行为不法行为三种三种还提出了利用审计跟踪数据监视入侵活动的思想。这份报告还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作被公认为是入侵检测的开山之作入侵检测的起源（入侵检测的起源（4） 从从1984年到年到1986年，乔治敦大学的年，乔治敦大学的Dorothy Denning和和SRI/CSL的的Peter Neumann研究出了一个实时入侵检测系研究出了一个实时入侵检测系统模型，取名为统模型，取名为IDES（入侵检测专家系统）（入侵检测专家系统）IDES结构框架结构框架审计数据源策略规则模式匹配器轮

9、廓特征引擎异常检测器警告/报告产生器入侵检测的起源（入侵检测的起源（5）1990，加州大学戴维斯分校的，加州大学戴维斯分校的L. T. Heberlein等人开发出等人开发出了了NSM（Network Security Monitor）该系统第一次直接将网络流作为审计数据来源，因而可该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主以在不将审计数据转换成统一格式的情况下监控异种主机机入侵检测系统发展史翻开了新的一页，两大阵营正式形入侵检测系统发展史翻开了新的一页，两大阵营正式形成：成：基于网络的基于网络的IDS和基于主机的和基于主机的IDS 为什么

10、需要为什么需要IDS 关于防火墙关于防火墙 网络边界的设备网络边界的设备 自身可以被攻破自身可以被攻破 对某些攻击保护很弱对某些攻击保护很弱 不是所有的威胁来自防火墙外部不是所有的威胁来自防火墙外部 入侵很容易入侵很容易 入侵教程随处可见入侵教程随处可见 各种工具唾手可得各种工具唾手可得IDS存在与发展的必然性存在与发展的必然性一、网络攻击的破坏性、损失的严重性一、网络攻击的破坏性、损失的严重性二、日益增长的网络安全威胁二、日益增长的网络安全威胁三、单纯的防火墙无法防范复杂多变的攻击三、单纯的防火墙无法防范复杂多变的攻击IDS基本结构基本结构 入侵检测是监测计算机网络和系统入侵检测是监测计算机

11、网络和系统, ,以发以发现违反安全策略事件的过程现违反安全策略事件的过程 简单地说，入侵检测系统包括三个功能简单地说，入侵检测系统包括三个功能部件：部件：（1 1）信息收集信息收集（2 2）信息分析信息分析（3 3）结果处理）结果处理信息收集信息收集 入侵检测的第一步是信息收集，收集内容入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态包括系统、网络、数据及用户活动的状态和行为。和行为。 需要在计算机网络系统中的若干不同关键需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，点（不同网段和不同主机）收集信息， 尽可能扩大检测范围尽可能扩大检测范围 从一个

12、源来的信息有可能看不出疑点从一个源来的信息有可能看不出疑点信息收集信息收集 入侵检测很大程度上依赖于收集信息的可入侵检测很大程度上依赖于收集信息的可靠性和正确性。靠性和正确性。 因此要保证用来检测网络系统的软件的完因此要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到有相当强的坚固性，防止被篡改而收集到错误的信息错误的信息 信息收集的来源信息收集的来源 系统或网络的日志文件系统或网络的日志文件 网络流量网络流量 系统目录和文件的异常变化系统目录和文件的异常变化 程序执行中的异常行为程序执行中的异常行为系统

13、或网络的日志文件系统或网络的日志文件 黑客经常在系统日志文件中留下他们的踪迹，因此，黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要充分利用系统和网络日志文件信息是检测入侵的必要条件条件 日志文件中记录了各种行为类型，每种类型又包含不日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录同的信息，例如记录“用户活动用户活动”类型的日志，就包类型的日志，就包含登录、用户含登录、用户ID改变、用户对文件的访问、授权和认改变、用户对文件的访问、授权和认证信息等内容证信息等内容 显然，对用户活动来讲，不正常的或不期望的行为就显然，对用户活动来讲，不

14、正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等企图访问重要文件等等 系统目录和文件的异常变化系统目录和文件的异常变化 网络环境中的文件系统包含很多软件和数据文件，包网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变（包括修破坏的目标。目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生

15、的指示和信号的，很可能就是一种入侵产生的指示和信号 入侵者经常替换、修改和破坏他们获得访问权的系统入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件迹，都会尽力去替换系统程序或修改系统日志文件 信息分析信息分析 模式匹配模式匹配 统计分析统计分析 完整性分析，往往用于事后分析完整性分析，往往用于事后分析模式匹配模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行误

16、用模式数据库进行比较，从而发现违背安全策略的行为为 一般来讲，一种进攻模式可以用一个过程（如执行一条一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）安全状态的变化）统计分析统计分析 统计分析方法首先给系统对象（如用户、文件、目录和设统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个

17、统计描述，统计正常使用时的一些测量属备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）性（如访问次数、操作失败次数和延时等） 测量属性的平均值将被用来与网络、系统的行为进行比较测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生，任何观察值在正常值范围之外时，就认为有入侵发生完整性分析完整性分析 完整性分析主要关注某个文件或对象是完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被安装容及属性，它在发现被更改的、被安装木马的应用程序

18、方面特别有效木马的应用程序方面特别有效1. 概述概述2 入侵检测的分类入侵检测的分类 3. 入侵检测系统的设计原理入侵检测系统的设计原理4. 入侵检测响应机制入侵检测响应机制5. 入侵检测标准化工作入侵检测标准化工作6. 入侵检测的现状和展望入侵检测的现状和展望按检测方法分类按检测方法分类 异常检测模型异常检测模型（Anomaly Detection ):首先总首先总结正常操作应该具有的特征（用户轮廓），结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认当用户活动与正常行为有重大偏离时即被认为是入侵为是入侵 误用检测模型误用检测模型（Misuse Detection)

19、：收集非收集非正常操作的行为特征，建立相关的特征库，正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵配时，系统就认为这种行为是入侵 异常检测异常检测Below Threshold levelsExceed Threshold LevelsSystem AuditMetricsProfilerIntrusionNormal Activity异常检测模型异常检测模型1.1. 前提：入侵是异常活动的子集前提：入侵是异常活动的子集 2.2. 用户轮廓用户轮廓(Profile): (Profile): 通常定

20、义为各种行为参数及其通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围阀值的集合，用于描述正常行为范围3.3. 过程过程 监控监控 量化量化 比较比较 判定判定 修正修正4.4. 指标指标: :漏报，错报漏报，错报异常检测异常检测异常检测异常检测 如果系统错误地将异常活动定义为入侵，称为如果系统错误地将异常活动定义为入侵，称为误报误报(false positive) ；如果系统未能检测出真正的入侵行；如果系统未能检测出真正的入侵行为则称为为则称为漏报漏报(false negative)。 特点：异常检测系统的效率取决于用户轮廓的完备性特点：异常检测系统的效率取决于用户轮廓的完备性和监控

21、的频率。因为不需要对每种入侵行为进行定义和监控的频率。因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵。同时系统能针对用户，因此能有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。逐步精确，异常检测会消耗更多的系统资源。 Anomaly Detectionactivity measuresprobable intrusionSystem AuditMetricsPattern MatcherIntrusionNormal ActivityNo Signature M

22、atchSignature Match误用检测模型误用检测模型误用检测误用检测1.1. 前提：所有的入侵行为都有可被检测到的特征前提：所有的入侵行为都有可被检测到的特征 2.2. 攻击特征库攻击特征库: : 当监测的用户或系统行为与库中的记录当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵相匹配时，系统就认为这种行为是入侵 3.3. 过程过程 监控监控 特征提取特征提取 匹配匹配 判定判定 4.4. 指标指标 错报低错报低 漏报高漏报高 误用检测误用检测误用检测模型误用检测模型 如果入侵特征与正常的用户行能匹配，则系统会发生如果入侵特征与正常的用户行能匹配，则系统会发生误报

23、误报；如果没有特征能与某种新的攻击行为匹配，则；如果没有特征能与某种新的攻击行为匹配，则系统会发生系统会发生漏报漏报 特点：特点：采用特征匹配，误用模式能明显降低错报率，采用特征匹配，误用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得误但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力用检测无能为力Misuse DetectionIntrusion Patternsactivitiespattern matchingintrusionCant detect new attacksExample: if (src_ip = dst_ip) then “land at

24、tack”按照数据来源分类按照数据来源分类 基于主机基于主机：系统获取数据的依据是系统运行所：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主在的主机，保护的目标也是系统运行所在的主机机 基于网络基于网络：系统获取的数据是网络传输的数据：系统获取的数据是网络传输的数据包，保护的是网络的运行包，保护的是网络的运行 混合型混合型n监视与分析主机的审计记录监视与分析主机的审计记录n可以不运行在监控主机上可以不运行在监控主机上n存在问题：存在问题：n能否及时采集到审计记录？能否及时采集到审计记录？n如何保护作为攻击目标主机审计子系统？如何保护作为攻击目标主机审计子系统？基于主机基

25、于主机n在共享网段上对通信数据进行侦听采集数据在共享网段上对通信数据进行侦听采集数据 n主机资源消耗少主机资源消耗少 n提供对网络通用的保护提供对网络通用的保护n存在问题：存在问题：n如何适应高速网络环境？如何适应高速网络环境？n非共享网络上如何采集数据？非共享网络上如何采集数据？基于网络基于网络两类两类IDS监测软件监测软件 网络网络IDS 侦测速度快侦测速度快 隐蔽性好隐蔽性好 视野更宽视野更宽 较少的监测器较少的监测器 占资源少占资源少 主机主机IDS 视野集中视野集中 易于用户自定义易于用户自定义 保护更加周密保护更加周密 对网络流量不敏感对网络流量不敏感 入侵检测系统体系结构入侵检测

26、系统体系结构交换机交换机防火墙防火墙路由器Internet基 于 网 络 的基 于 网 络 的IDS基 于 主 机 的基 于 主 机 的IDS内网基于网络的基于网络的IDSWWW服务器FTP服务器邮件服务器入侵检测系统原理示意图外部网络外部网络DMZ区域区域内部网络内部网络常用术语常用术语n当一个入侵正在发生或者试图发生时，当一个入侵正在发生或者试图发生时，IDSIDS系统将发系统将发布一个布一个alertalert信息通知系统管理员信息通知系统管理员n如果控制台与如果控制台与IDSIDS系统同在一台机器，系统同在一台机器，alertalert信息将信息将显示在监视器上，也可能伴随着声音提示显

27、示在监视器上，也可能伴随着声音提示n如果是远程控制台，那么如果是远程控制台，那么alertalert将通过将通过IDSIDS系统内置系统内置方法（通常是加密的）、方法（通常是加密的）、SNMPSNMP（简单网络管理协议，（简单网络管理协议，通常不加密）、通常不加密）、emailemail、SMSSMS（短信息）或者以上几（短信息）或者以上几种方法的混合方式传递给管理员种方法的混合方式传递给管理员Alert（警报）（警报） Anomaly（异常）（异常） n当有某个事件与一个已知攻击的信号相匹配时，多数当有某个事件与一个已知攻击的信号相匹配时，多数IDS都会告警都会告警n一个基于一个基于anom

28、aly（异常）的（异常）的IDS会构造一个当时活动会构造一个当时活动的主机或网络的大致轮廓，当有一个在这个轮廓以外的主机或网络的大致轮廓，当有一个在这个轮廓以外的事件发生时，的事件发生时，IDS就会告警就会告警n有些有些IDS厂商将此方法看做启发式功能，但一个启发厂商将此方法看做启发式功能，但一个启发式的式的IDS应该在其推理判断方面具有更多的智能应该在其推理判断方面具有更多的智能 n首先，可以通过重新配置路由器和防火墙，拒绝那些来首先，可以通过重新配置路由器和防火墙，拒绝那些来自同一地址的信息流自同一地址的信息流;其次，通过在网络上发送其次，通过在网络上发送reset包包切断连接切断连接n但

29、是这两种方式都有问题，攻击者可以反过来利用重新但是这两种方式都有问题，攻击者可以反过来利用重新配置的设备，其方法是：通过伪装成一个友方的地址来配置的设备，其方法是：通过伪装成一个友方的地址来发动攻击，然后发动攻击，然后IDS就会配置路由器和防火墙来拒绝这就会配置路由器和防火墙来拒绝这些地址，这样实际上就是对些地址，这样实际上就是对“自己人自己人”拒绝服务了拒绝服务了n发送发送reset包的方法要求有一个活动的网络接口，这样它包的方法要求有一个活动的网络接口，这样它将置于攻击之下，一个补救的办法是：使活动网络接口将置于攻击之下，一个补救的办法是：使活动网络接口位于防火墙内，或者使用专门的发包程序

30、，从而避开标位于防火墙内，或者使用专门的发包程序，从而避开标准准IP栈需求栈需求 Automated Response（自动响应）（自动响应）nIDS的核心是攻击特征，它使的核心是攻击特征，它使IDS在事件发生时触发在事件发生时触发n特征信息过短会经常触发特征信息过短会经常触发IDS，导致误报或错报，过长，导致误报或错报，过长则会减慢则会减慢IDS的工作速度的工作速度n有人将有人将IDS所支持的特征数视为所支持的特征数视为IDS好坏的标准，但是好坏的标准，但是有的产商用一个特征涵盖许多攻击，而有些产商则会将有的产商用一个特征涵盖许多攻击，而有些产商则会将这些特征单独列出，这就会给人一种印象，好

31、像它包含这些特征单独列出，这就会给人一种印象，好像它包含了更多的特征，是更好的了更多的特征，是更好的IDSSignatures（特征）（特征） Promiscuous（混杂模式）（混杂模式） n默认状态下，默认状态下，IDS网络接口只能看到进出主机的信息，网络接口只能看到进出主机的信息，也就是所谓的也就是所谓的non-promiscuous（非混杂模式）（非混杂模式）n如果网络接口是混杂模式，就可以看到网段中所有的如果网络接口是混杂模式，就可以看到网段中所有的网络通信量，不管其来源或目的地网络通信量，不管其来源或目的地n这对于网络这对于网络IDS是必要的，但同时可能被信息包嗅探是必要的，但同时

32、可能被信息包嗅探器所利用来监控网络通信量器所利用来监控网络通信量1. 概述概述2. 入侵检测的分类入侵检测的分类3 入侵检测系统的设计原理（略）入侵检测系统的设计原理（略）4. 入侵检测响应机制入侵检测响应机制5. 入侵检测标准化工作入侵检测标准化工作6. 入侵检测的现状和展望入侵检测的现状和展望活动数据源感应器分析器管理器操作员管理员事件警报通告应急安全策略安全策略入侵检测系统原理图入侵检测系统原理图攻击模式库入侵检测器应急措施配置系统库数据采集安全控制系统审计记录/协议数据等系统操作简单的入侵检测示意图简单的入侵检测示意图基于主机的入侵检测系统基于主机的入侵检测系统 系统分析主机产生的数据

33、（应用程序及系统分析主机产生的数据（应用程序及操作系统的事件日志）操作系统的事件日志） 由于内部人员的威胁正变得更重要由于内部人员的威胁正变得更重要 基于主机的检测威胁基于主机的检测威胁 基于主机的结构基于主机的结构 优点及问题优点及问题基于主机的检测威胁基于主机的检测威胁 特权滥用特权滥用 关键数据的访问及修改关键数据的访问及修改 安全配置的变化安全配置的变化基于主机的入侵检测系统结构基于主机的入侵检测系统结构 基于主机的入侵检测系统通常是基于代基于主机的入侵检测系统通常是基于代理的，代理是运行在目标系统上的可执理的，代理是运行在目标系统上的可执行程序，与中央控制计算机通信行程序，与中央控制

34、计算机通信 集中式：原始数据在分析之前要先发送到中集中式：原始数据在分析之前要先发送到中央位置央位置 分布式：原始数据在目标系统上实时分析，分布式：原始数据在目标系统上实时分析，只有告警命令被发送给控制台只有告警命令被发送给控制台目标系统审计记录收集方法审计记录预处理异常检测误用检测安全管理员接口审计记录数据归档/查询审计记录数据库审计记录基于审计的入侵检测系统结构示意图基于审计的入侵检测系统结构示意图集中式检测的优缺点集中式检测的优缺点 优点：优点： 不会降低目标机的性能不会降低目标机的性能 统计行为信息统计行为信息 多主机标志、用于支持起诉的原始数据多主机标志、用于支持起诉的原始数据 缺点

35、：缺点： 不能进行实时检测不能进行实时检测 不能实时响应不能实时响应 影响网络通信量影响网络通信量分布式检测的优缺点分布式检测的优缺点 优点：优点： 实时告警实时告警 实时响应实时响应 缺点：缺点： 降低目标机的性能降低目标机的性能 没有统计行为信息没有统计行为信息 没有多主机标志没有多主机标志 没有用于支持起诉的原始数据没有用于支持起诉的原始数据 降低了数据的辨析能力降低了数据的辨析能力 系统离线时不能分析数据系统离线时不能分析数据操作模式操作模式 操作主机入侵检测系统的方式操作主机入侵检测系统的方式 警告警告 监视监视 毁坏情况评估毁坏情况评估 遵从性遵从性基于主机的技术面临的问题基于主机

36、的技术面临的问题 性能：降低是不可避免的 部署/维护 损害 欺骗基于网络的入侵检测系统基于网络的入侵检测系统 入侵检测系统分析网络数据包入侵检测系统分析网络数据包 基于网络的检测威胁基于网络的检测威胁 基于网络的结构基于网络的结构 优点及问题优点及问题基于网络的检测威胁基于网络的检测威胁 非授权访问非授权访问 数据数据/资源的窃取资源的窃取 拒绝服务拒绝服务基于网络的入侵检测系统结构基于网络的入侵检测系统结构 基于网络的入侵检测系统由遍及网络的基于网络的入侵检测系统由遍及网络的传感器（传感器（Sensor)组成，传感器会向中央组成，传感器会向中央控制台报告。传感器通常是独立的检测控制台报告。传

37、感器通常是独立的检测引擎，能获得网络分组、找寻误用模式引擎，能获得网络分组、找寻误用模式，然后告警。，然后告警。 传统的基于传感器的结构传统的基于传感器的结构 分布式网络节点结构分布式网络节点结构传统的基于传感器的结构传统的基于传感器的结构 传感器（通常设置为混杂模式）用于嗅传感器（通常设置为混杂模式）用于嗅探网络上的数据分组，并将分组送往检探网络上的数据分组，并将分组送往检测引擎测引擎 检测引擎安装在传感器计算机本身检测引擎安装在传感器计算机本身 网络分接器分布在关键任务网段上，每网络分接器分布在关键任务网段上，每个网段一个个网段一个管理/配置入侵分析引擎器网络安全数据库嗅探器嗅探器分析结果

38、基于网络的入侵检测系统模型基于网络的入侵检测系统模型分布式网络节点结构分布式网络节点结构 为解决高速网络上的丢包问题，为解决高速网络上的丢包问题，1999年年6月，出现月，出现的一种新的结构，将传感器分布到网络上的每台的一种新的结构，将传感器分布到网络上的每台计算机上计算机上 每个传感器检查流经他的网络分组，然后传感器每个传感器检查流经他的网络分组，然后传感器相互通信，主控制台将所有的告警聚集、关联起相互通信，主控制台将所有的告警聚集、关联起来来数据采集构件应急处理构件通信传输构件检测分析构件管理构件安全知识库分布式入侵检测系统结构示意图分布式入侵检测系统结构示意图基于网络的入侵检测的好处基于

39、网络的入侵检测的好处 威慑外部人员 检测 自动响应及报告基于网络的技术面临的问题基于网络的技术面临的问题 分组重组 高速网络 加密基于异常的入侵检测基于异常的入侵检测 思想：任何正常人的行为有一定的规律思想：任何正常人的行为有一定的规律 需要考虑的问题：需要考虑的问题：（1）选择哪些数据来表现用户的行为）选择哪些数据来表现用户的行为（2）通过以上数据如何有效地表示用户的行为，主要在）通过以上数据如何有效地表示用户的行为，主要在于学习和检测方法的不同于学习和检测方法的不同（3）考虑学习过程的时间长短、用户行为的时效性等问）考虑学习过程的时间长短、用户行为的时效性等问题题数据选取的原则数据选取的原

40、则（1）数据能充分反映用户行为特征的全貌数据能充分反映用户行为特征的全貌（2） 应使需要的数据量最小应使需要的数据量最小（3） 数据提取难度不应太大数据提取难度不应太大NIDS抓包抓包 PF_PACKET 从链路层抓包 libpcap 提供API函数 winpcap Windows下的抓包库分析数据包分析数据包EthernetIPTCP模式匹配EthernetIPTCP协议分析HTTPUnicodeXML一个攻击检测实例一个攻击检测实例 老版本的Sendmail漏洞利用$ telnet 25WIZshell或者DEBUG# 直接获得rootshell！简单的匹配简单的匹配 检查每个packet

41、是否包含：“WIZ”| “DEBUG”检查端口号检查端口号 缩小匹配范围 Port 25:“WIZ”| “DEBUG” 深入决策树深入决策树 只判断客户端发送部分 Port 25:Client-sends: “WIZ” |Client-sends: “DEBUG” 1. 概述概述2. 入侵检测的分类入侵检测的分类3. 入侵检测系统的设计原理入侵检测系统的设计原理4. 入侵检测响应机制入侵检测响应机制5. 入侵检测标准化工作入侵检测标准化工作6. 入侵检测的现状和展望入侵检测的现状和展望响应策略响应策略 弹出窗口报警 E-mail通知 切断TCP连接 执行自定义程序 与其他安全产品交互 Fire

42、wall SNMP Trap1. 概述概述2. 入侵检测的分类入侵检测的分类3. 入侵检测系统的设计原理入侵检测系统的设计原理4. 入侵检测响应机制入侵检测响应机制5. 入侵检测标准化工作入侵检测标准化工作6. 入侵检测的现状和展望入侵检测的现状和展望IDSIDS标准化工作的组织标准化工作的组织 IETF的入侵检测工作组的入侵检测工作组IDWG：http:/www.ietf.org/html.charters/OLD/idwg-charter.html 通用入侵检测框架通用入侵检测框架CIDF：http:/gost.isi.edu/cidf入侵检测工作组入侵检测工作组IDWG IDWG的主要工

43、作是定义相关的数据格式和共享信息的交换过程，用于入侵检测与响应（Intrusion Detection and Response，IDR）系统之间或与需要交互的管理系统之间的信息共享。入侵检测工作组IDWG 从进展状况来看，目前IDWG基本形成了4个RFC文档，其中有3个文档实在2007年3月从草案正式被接受为RFC文档的，历时数年之久，相当不容易；通用入侵检测框架通用入侵检测框架CIDFCIDF所做的工作主要包括四部分：1. IDS的体系结构的体系结构2. 通信机制通信机制3. 描述语言描述语言4. 应用编程接口应用编程接口APICIDF将一个入侵检测系统分为四个组件将一个入侵检测系统分为四

44、个组件 事件产生器（Event generators） 事件分析器（Event analyzers） 响应单元（Response units ） 事件数据库（Event databases ） 。CIDF的体系结构的体系结构事件产生器响应单元事件数据库事件分析器 CIDF的体系结构原始事件响应事件通用入侵检测框架CIDF 目前CIDF的进展不尽如人意，该项目组的工作基本处于停滞状态，其思想和理念也没有得到很好的贯彻和执行。1. 概述概述2. 入侵检测的分类入侵检测的分类3. 入侵检测系统的设计原理入侵检测系统的设计原理4. 入侵检测响应机制入侵检测响应机制5. 入侵检测标准化工作入侵检测标准化

45、工作6. 入侵检测的现状和展望入侵检测的现状和展望IDSIDS现状现状存在问题：u 误报和漏报的矛盾 u 隐私和安全的矛盾u 被动分析与主动发现的矛盾 u 海量信息与分析代价的矛盾u 功能性和可管理性的矛盾 u 单一的产品与复杂的网络应用的矛盾 u 网络规模扩大，网络速度提高，需满足高速大规模网络应用需求IDSIDS发展方向发展方向 分析技术的改进分析技术的改进智能化的检测方法智能化的检测方法 改进对高速网络数据流的检测改进对高速网络数据流的检测 与防火墙联动与防火墙联动 集成网络分析和管理功能集成网络分析和管理功能入侵检测产品集成网管功能、扫描器入侵检测产品集成网管功能、扫描器(Scanne

46、r)、嗅探器、嗅探器(Sniffer)等功能是以等功能是以后发展的方向后发展的方向 IDS与与Firewall联动联动通过在防火墙中驻留的一个通过在防火墙中驻留的一个IDS Agent对象，以接收来自对象，以接收来自IDS的控制消息，然后再增加防火墙的过滤规则，最终实的控制消息，然后再增加防火墙的过滤规则，最终实现联动现联动Cisco CIDF(CISL)ISS Checkpoint产品产品 免费 Snort http:/www.snort.org SHADOW http:/www.nswc.navy.mil/ISSEC/CID/产品产品 商业 CyberCop Monitor, NAI Dr

47、agon Sensor, Enterasys eTrust ID, CA NetProwler, Symantec NetRanger, Cisco NID-100/200, NFR Security RealSecure, ISS SecureNet Pro, I资源资源 IDS FAQ http:/ Focus-IDS Mailinglist http:/ Yawl http:/ OldHand http:/www.oldhand.org Sinbad http:/sinbad.dhs.org/doc.html?board=IDS引语：引语：在这一实验中，将在在这一实验中，将在Window

48、sWindows平台上建立入侵检测系平台上建立入侵检测系统（统（snortsnort）。）。SnortSnort是一个轻便的网络入侵检测系统，是一个轻便的网络入侵检测系统，在运行的时只占用极少的网络资源，对原有网络性能影在运行的时只占用极少的网络资源，对原有网络性能影响很小。它可以完成实时流量分析和对网络上的响很小。它可以完成实时流量分析和对网络上的IPIP包登包登录进行测试等功能，能完成协议分析，内容查找匹配录进行测试等功能，能完成协议分析，内容查找匹配，是用来探测多种攻击的侵入探测器（如缓冲区溢出、，是用来探测多种攻击的侵入探测器（如缓冲区溢出、秘密秘密端端口扫描、口扫描、CGICGI攻击

49、、攻击、SMBSMB嗅探、指纹采集尝试等）嗅探、指纹采集尝试等）。Snort Snort 可以运行在可以运行在* *nix/Win32 nix/Win32 平台上。平台上。目的：目的：本实验在本实验在Win2000 Server环境安装与配置入侵检测环境安装与配置入侵检测系统（系统（snort）。完成这一实验之后，将能够：安装）。完成这一实验之后，将能够：安装“snort”服务，使用服务，使用“snort”服务。服务。 实验所需软件：实验所需软件：具备服务器运行具备服务器运行Windows 2000 ServerWindows 2000 Server。snortsnort软软件。要完整的安装入

50、侵检测系统必须先从网上下载以下软件：件。要完整的安装入侵检测系统必须先从网上下载以下软件：q Snort（Win32 MySQL Binary!）（www.snort.org）；）；q Snort Rules 2.1（www.snort.org）；）； q WinPcap 3.1（winpcap.polito.it）；）；q MySQL Shareware 3.23.58（）；）；q PHP 4.3.5（）；）； q ADODB 3.5.0（ ACID 0.9.6b6（www.cert.org/kb/acid/）；）；l l MySQL Databasel l PHP任务任务1.安装安装Sno

51、rt任务任务2.安装安装MySQL Database 任务任务3.生成生成Win32 MySQL database 任务任务4.在在MySQL中生成中生成Acid的库表的库表 任务任务5.测试测试Snort 任务任务6.将将Snort设置成为设置成为windows 2000 / XP的一项服务的一项服务 任务任务7.安装安装PHP 任务任务8.配置配置PHP运行在运行在2000 / XP的的IIS 4/5环境下环境下 任务任务9.安装安装ADODB 一个高性能的数据库一个高性能的数据库 第第7章章 安全检测技术安全检测技术网络信息获取技术网络信息获取技术陈德伟陈德伟Chendw_Chendw_

52、西南财经大学信息工程学院西南财经大学信息工程学院目目 录录1. 网络信息收集网络信息收集2. 网络扫描技术网络扫描技术3. 网络流量侦听技术网络流量侦听技术网络信息收集 信息 攻击者和管理者都需要各种网络信息，如：域名，IP地址，主机运行的TCP和UDP服务，系统信息（用户名、版本等），认证机制。网络信息收集网络信息收集社会信息社会信息 指通过非网络技术手段获得的信息 社会工程：获取员工的信任。 搜索引擎：google,百度 新闻论坛 网站：网络信息收集网络信息收集 WHOISWHOIS WHOIS：是用来查询域名的IP以及所有者等信息的传输协议 UNIX系统自带Whois客户端程序，wind

53、ows可以直接通过Web查询 中国域名信息查询： http:/ W网易的域名信息网易的域名信息网络信息收集网络信息收集 DNSDNS查询查询DNS是一个全球分布式数据库，对每一个是一个全球分布式数据库，对每一个DNS结点，都结点，都包含该结点的机器、邮件服务器、主机包含该结点的机器、邮件服务器、主机CPU和操作系统信息和操作系统信息。Nslookup :客户程序，可以把客户程序，可以把DNS数据库中的信息挖掘数据库中的信息挖掘出来出来Nslookup查询的新浪注：本机所访问到的新浪网页是镜像网站注：本机所访问到的新浪网页是镜像网站目目 录录1. 网络信息收集网络信息收集2. 网络扫描技术网络扫

54、描技术3. 网络流量侦听技术网络流量侦听技术扫描技术 扫描技术是网络安全领域的重要技术之一扫描技术是网络安全领域的重要技术之一，是一种基于，是一种基于Internet远程检测目标网络或远程检测目标网络或本地主机安全性脆弱点的技术，是为使系本地主机安全性脆弱点的技术，是为使系统管理员能够及时了解系统中存在的安全统管理员能够及时了解系统中存在的安全漏洞，并采取相应防范措施，从而降低系漏洞，并采取相应防范措施，从而降低系统的安全风险而发展起来的一种安全技术统的安全风险而发展起来的一种安全技术。扫描步骤扫描步骤一次完整的扫描分为一次完整的扫描分为3 3个阶段：个阶段：（1 1）第）第1 1阶段：发现目

55、标主机或网络。阶段：发现目标主机或网络。（2 2）第）第2 2阶段：发现目标后进一步搜集目标信息，包括阶段：发现目标后进一步搜集目标信息，包括操作系统类型、运行的服务以及服务软件的版本等。如果目操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络，还可以进一步发现该网络的拓扑结构、路由标是一个网络，还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。设备以及各主机的信息。（3 3）第）第3 3阶段：根据搜集到的信息判断或者进一步测试阶段：根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。系统是否存在安全漏洞。扫描技术的分类扫描技术的分类 扫描技术主要包括扫描技术主要包

56、括主机扫描主机扫描端口扫描端口扫描 主机扫描技术 主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段，其效果直接影响到后续的扫描。 常用的传统扫描手段有： ICMP Echo扫描 ICMP Sweep扫描 Broadcast ICMP扫描 Non-Echo ICMP扫描ICMP echo扫描 实现原理：Ping的实现机制，在判断在一个网络上主机是否开机时非常有用。向目标主机发送ICMP Echo Request (type 8)数据包，等待回复的ICMP Echo Reply 包(type 0) 。如果能收到，则表明目标系统可达，否则表明目标系统已经不可达或发送的包被对方的

57、设备过滤掉。 优点：简单，系统支持 缺点：很容易被防火墙限制 可以通过并行发送，同时探测多个目标主机，以提高探测效率（ICMP Sweep扫描）。Broadcast ICMP扫描扫描 实现原理：将ICMP ECHO request包的目标地址设为广播地址或网络地址，则可以探测广播域或整个网络范围内的主机。 缺点： 只适合于UNIX/Linux系统，Windows 会忽略这种请求包； 这种扫描方式容易引起广播风暴ICMP报文类型报文类型 0 Echo Reply 3 Destination Unreachable 4 Source Quench 5 Redirect 8 Echo 11 Time

58、 Exceeded 12 Parameter Problem 13 Timestamp 14 Timestamp Reply 15 Information Request 16 Information Reply 17 Address Mask Request 18 Address Mask Reply 端口扫描技术 当确定了目标主机可达后，就可以使用端口扫描技术，发现目标主机的开放端口，包括网络协议和各种应用监听的端口。端口扫描技术主要包括以下三类： 开放扫描（TCP Connect 扫描） 会产生大量审计数据，易被对方发现，但其可靠性高 隐蔽扫描（TCP FIN 扫描、分段扫描） 能有效的

59、避免对方入侵检测系统和防火墙的检测，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息； 半开放扫描（ TCP SYN 扫描） 隐蔽性和可靠性介于前两者之间。开放扫描TCP Connect 扫描实现原理：通过调用socket函数connect()连接到目标计算机上，完成一次完整的三次握手过程。如果端口处于侦听状态，那么connect()就能成功返回。否则，这个端口不可用，即没有提供服务。优点：稳定可靠，不需要特殊的权限缺点：扫描方式不隐蔽，服务器日志会记录下大量密集的连接和错误记录 ，并容易被防火墙发现和屏蔽半开放扫描TCP SYN 扫描 实现原理：扫描器向目标主机端口发送SY

60、N包。如果应答是RST包，那么说明端口是关闭的；如果应答中包含SYN和ACK包，说明目标端口处于监听状态，再传送一个RST包给目标机从而停止建立连接。在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半连接扫描 优点：隐蔽性较全连接扫描好，一般系统对这种半扫描很少记录 缺点：通常构造SYN数据包需要超级用户或者授权用户访问专门的系统调用隐蔽扫描技术TCP FIN 扫描 实现原理：扫描器向目标主机端口发送FIN包。当一个FIN数据包到达一个关闭的端口，数据包会被丢掉，并且返回一个RST数据包。否则，若是打开的端口，数据包只是简单的丢掉（不返回RST）。 优点：由于这种技术不包含标准的TCP三

61、次握手协议的任何部分，所以无法被记录下来，从而必SYN扫描隐蔽得多，FIN数据包能够通过只监测SYN包的包过滤器。 缺点：跟SYN扫描类似，需要自己构造数据包，要求由超级用户或者授权用户访问专门的系统调用；通常适用于UNIX目标主机。但在Windows环境下，该方法无效，因为不论目标端口是否打开，操作系统都返回RST包。利用综合扫描工具收集信息利用综合扫描工具收集信息目目 录录1. 网络信息收集网络信息收集2. 网络扫描技术网络扫描技术3. 网络流量侦听技术网络流量侦听技术网络监听原理网络监听原理 网卡工作在数据链路层，数据以帧为单位进行传输，在帧网卡工作在数据链路层，数据以帧为单位进行传输，

62、在帧头部分含有数据的目的头部分含有数据的目的MACMAC地址和源地址和源MACMAC地址。地址。 普通模式下，网卡只接收与自己普通模式下，网卡只接收与自己MACMAC地址相同的数据包，地址相同的数据包，并将其传递给操作系统。并将其传递给操作系统。 在在“混杂混杂”模式模式下，网卡将所有经过的数据包都传递给操下，网卡将所有经过的数据包都传递给操作系统。作系统。 被监听的网络类型：被监听的网络类型：以太网以太网FDDIFDDI、Token- ringToken- ring使用电话线使用电话线通过有线电视信道通过有线电视信道微波和无线电微波和无线电网络监听原理 举例：共享式集线器（HUB）连接将网卡

63、置于混杂模式实现监听将网卡置于混杂模式实现监听Sniffer软件 Wireshark NetxRay Sniffer Pro CuteSniffer(小巧，功能较全) Iris Ace Password Sniffer(自动捕获口令)CuteSniffer自动捕捉口令Ace Password Sniffer，能监听 LAN，取得密码。包括：FTP、POP3、HTTP、SMTP、Telnet 密码。交换局域网嗅探 交换机在正常模式下按MAC地址表转发数据包，此时只能监听广播数据包。 交换网络嗅探的关键：如何使不应到达的数据包到达本地 MAC洪水包 利用交换机的镜像功能 利用ARP欺骗MAC洪水包

64、 向交换机发送大量含有虚构MAC地址和IP地址的IP包，使交换机无法处理如此多的信息，致使交换机就进入了所谓的打开失效模式，也就是开始了类似于集线器的工作方式，向网络上所有的机器广播数据包利用交换机的镜像功能利用交换机的镜像功能利用ARP欺骗首先介绍以太数据包格式目的MAC地址源MAC地址类型数据662461500类型0800 ：IP数据包 类型0806 ：ARP数据包目的端 MAC 地址源 M A C 地址0 8 0 6硬件类型协议类型硬件地址长度协议地址长度A R P 包类型发送端 MAC 地址发送端 I P 地址目的端 M AC 地址目的端 I P 地址6622 2 1126464ARP

65、数据包格式数据包格式交换局域网嗅探在VICTIM运行ARP A，有如下输出： Interface: 192.168.0.2 on Interface 0 x3000006 Internet Address Physical Address Type 192.168.0.1 00-00-00-00-00-01 dynamic 192.168.0.3 00-00-00-00-00-03 dynamic 交换局域网嗅探在在ATTACKER上构建并发送表一所示的包，其中上构建并发送表一所示的包，其中目的目的 mac 为为00-00-00-00-00-02，目的目的 IP address为为192.16

66、8.0.2，发送者发送者MAC为为00-00-00-00-00-01，发送者发送者IP为为192.168.0.3（假冒（假冒IP）。在在VICTIM上运行上运行ARP A，有如下的输出：，有如下的输出： Interface: 192.168.0.2 on Interface 0 x3000006 Internet Address Physical Address Type 192.168.0.1 00-00-00-00-00-01 dynamic 192.168.0.3 00-00-00-00-00-01 dynamic欺骗成功！（通过网关出去的信息发给了攻击者）欺骗成功！（通过网关出去的信息发给了攻击者）实验实验 扫描与入侵扫描与入侵 入侵工具：xscan, DameWare 实验实验 扫描与入侵扫描与入侵 Xscan是一款优秀的综合扫描器，对指定IP地址段或单机进行安全漏洞检测。 扫描内容包括： 远程服务类型， 操作系统类型及版本， 各种弱口令漏洞，后门， 应用服务漏洞， 网络设备漏洞， 拒绝服务漏洞等20多类。 实验实验 扫描与入侵扫描与入侵 DameWare是一款网管工具，只要