网络安全防范技术-入侵检测与入侵防护系统.ppt

第6章 网络安全防范技术,计算机网络安全 张纯容,入侵检测与入侵防护系统,近几年网络安全研究的发展过程,防火墙技术的研究：在网络边界保卫内部网。 VPN技术的研究：连接分散的内部网，完成内部网外延的扩大，与防火墙技术结合比较紧密。 认证、PKI技术的研究：进一步扩大内部网的外延，同时建立广义的信任关系。 入侵检测技术的研究：承接防护和响应的过程。,入侵检测（Intrusion Detection，ID）,入侵检测就是对（网络）系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性。 一个完整的入侵检测系统必须具备下列特点：经济性、时效性、安全性、可扩展性,入侵检测的发展简介,可分为3个阶段: 安全审计Security Audit）: 审计定义为对系统中发生事件的记录和分析处理过程。 入侵检测系统（Intrusion Detection System，IDS） 入侵防范系统（Intrusion Prevention System，IPS，又称为入侵防护系统或入侵保护系统）:IPS技术可以可以深度感知并检测流经网络的数据，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源,Common Intrusions,MARS,Remote Worker,Remote Branch,VPN,VPN,VPN,ACS,Iron Port,Firewall,Web Server,Email Server,DNS,LAN,CSA,Zero-day exploit attacking the network,Intrusion Detection Systems (IDSs),An attack is launched on a network that has a sensor deployed in promiscuous IDS mode; therefore copies of all packets are sent to the IDS sensor for packet analysis. However, the target machine will experience the malicious attack. The IDS sensor, matches the malicious traffic to a signature and sends the switch a command to deny access to the source of the malicious traffic. The IDS can also send an alarm to a management console for logging and other management purposes.,Switch,Management Console,1,2,3,Target,Sensor,Intrusion Prevention Systems (IPSs),An attack is launched on a network that has a sensor deployed in IPS mode (inline mode). The IPS sensor analyzes the packets as they enter the IPS sensor interface. The IPS sensor matches the malicious traffic to a signature and the attack is stopped immediately. The IPS sensor can also send an alarm to a management console for logging and other management purposes. Traffic in violation of policy can be dropped by an IPS sensor.,Sensor,Management Console,1,2,3,Target,4,Bit Bucket,Common characteristics of IDS and IPS,Both technologies are deployed using sensors. Both technologies use signatures to detect patterns of misuse in network traffic. Both can detect atomic patterns (single-packet) or composite patterns (multi-packet).,Comparing IDS and IPS Solutions,IDS Promiscuous Mode,Comparing IDS and IPS Solutions,IPS Inline Mode,入侵检测系统的分类,按数据来源和系统结构的不同，入侵检测系统可分为3类： 基于主机的入侵检测系统 基于网络的入侵检测系统 分布式入侵检测系统（混合型）,基于主机的入侵检测系统,基于主机的入侵检测系统的输入数据来源于系统的审计日志，即在每个要保护的主机上运行一个代理程序，一般只能检测该主机上发生的入侵。,基于网络的入侵检测系统,基于网络的入侵检测系统的输入数据来源于网络的信息流，该类系统一般被动地在网络上监听整个网络上的信息流，通过捕获网络数据包，进行分析，能够检测该网段上发生的网络入侵,分布式入侵检测系统（混合型）,分布式入侵检测系统一般由多个部件组成，分别进行数据采集、数据分析等，通过中心的控制部件进行数据汇总、分析、产生入侵报警等,典型入侵检测工具介绍,免费的IDSSnort：Snort是基于Libpcap的数据包嗅探器，并且可以作为一个轻量级的网络入侵检测系统（NIDS） 商业IDS的代表ISS的RealSecure：ISS公司的RealSecure是一个计算机网络上自动实时的入侵检测和响应系统。,蜜罐与蜜网技术,蜜罐与蜜网概述,为了能充分了解攻击者，并“抓到”攻击者，现在常常使用网络诱骗技术 其核心内容是蜜罐和蜜网技术。 蜜罐和蜜网技术是一种捕获和分析恶意代码及获取攻击者的攻击行为，可以为追踪攻击者提供有价值的线索，为起诉攻击者搜集有力的证据，从而达到了解攻击者目的的技术，能为深入分析攻击者提供基础。 蜜罐和蜜网技术就是“诱捕”攻击者的一个陷阱,蜜罐,是一种在互联网上运行的计算机系统，是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人（如计算机黑客或破解高手等）而设计的 特点： 蜜罐是一个有漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标； 蜜罐并不向外界提供真正有价值的服务； 所有与蜜罐的连接尝试都被视为可疑的连接。,蜜罐技术的实现,蜜罐是一种被监听、被攻击或已经被入侵的资源，也就是说，无论如何对蜜罐进行配置，所要做的就是使得这个系统处于被监听、被攻击的状态。,蜜网技术,蜜网技术是在蜜罐技术的基础上逐步发展起来的一个新概念，也可成为网络诱捕技术之一。 其实质是一种研究型的高交互度蜜罐技术，主要目的是收集黑客的攻击信息。 可以构成一个黑客诱捕网络体系结构,计算机病毒防范技术,计算机病毒简介,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码 计算机病毒具有以下特征： 可以人为的特制程序 具有自我复制能力 很强的传染性 一定的隐蔽性和潜伏性 特定的触发性 很大的破坏性 不可预见性 针对性和依附性,特洛伊木马,特洛伊木马（Trojan horse），其名取自希腊神话“特洛伊木马记”，是一种基于远程控制的黑客工具，简称木马 特洛伊木马（简称木马）是一种基于C/S结构的网络应用程序。 其中，木马的服务器端程序可以驻留在目标主机上并以后台方式自动运行。 攻击者使用木马的客户端程序与驻留在目标主机上的服务器木马程序进行通信，进而获取目标主机上的各种信息,木马的传播,传播木马主要有两种方式： 一种是通过E-mail，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件就会感染木马； 另一种是软件下载，一些非正规的网站以提供软件下载为名，将木马捆绑在软件安装程序上，下载后，只要运行这些程序，木马就会自动安装,木马的防范,防范木马必须首先切断传播木马的途径 一方面是收取E-mail时必须打开防火墙的邮件监视程序，打开邮件附件前一定启动检查程序，发现有木马立即销毁邮件，当然也要防止黑客用邮件传播病毒。 另一方面，建议用户最好到正规网站去下载软件，还要注意不要在在线状态下安装软件，一旦软件中有木马，易造成系统信息泄露。 检测E-mail是否夹带木马程序有3种方法： 一是看图标，E-mail的附件基本上是TXT、HTML这两类文件，假如发现附件是EXE文件或其他文件，就要注意看是否夹带了木马程序； 二是测长度，一般来说，木马程序都在100K以上，而TXT、HTML文件大都不会这么大，如果发现附件大于100KB，就值得怀疑了； 三是观反应，打开附件，发现毫无反应或者是弹出一个出错提示框，那可能是木马程序,检查和清除Windows系统中木马程序的一般方法, 在“开始程序启动”菜单组中，如果发现有异常程序，则可直接清除； 在autoexec.bat文件中，如果发现有类似“win 程序名”的命令行，则在命令中的程序很可能就是木马程序； 在win.ini文件中，检查windows段上由“run=”和“load=”两个项目指定的程序是否有异常，如果有，很可能是木马，则应立即清除； 在system.ini文件中，检查boot段上由“shell=”项指定的程序是否有异常。正常情况下，应该为“shell=explorer.exe”，如果变成“shell=explorer.exe 程序名”，则其中的程序名很可能是木马程序；,检查和清除Windows系统中木马程序的一般方法, 在注册表中，与启动相关的注册表项是需要注意的。可以使用regedit命令打开注册表编辑器，然后，依次检查相关的注册表项的值，如果发现异常，则需要及时修正。下列注册表项是需要重点检查的项目内容。 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce HKEY_CLASSES_ROOTexefileshellopencommand 一般采用对比的方法来检查注册表项，用正确的注册表与当前的注册表进行对比，从中找出可疑的内容。例如，在HKEY_CLASSES_ROOTexefileshellopen command表项中包含的正确值为“%1“%*”，如果被改为“程序名“%1“*”，则可能是木马程序名。 如果发现异常程序，除了在上述文件中删除它们之外，还要找到它们所在的目录，彻底清除，否则，它们有可能还会自动添加到相应的启动位置。,病毒防范技术,既是一个技术问题，也是一个管理问题，应从两个方面综合加以防范。 计算机病毒的防范策略应该“预防为主，治疗为辅”，只有这样才能真正将计算机病毒的危害降低到最低限度。,单机环境下的病毒防范,一是要在思想上重视、管理上到位； 二是技术上依靠防杀计算机病毒软件 安装和使用最新的正版防杀毒软件也许是技术防毒的最佳选择。 另一方面，及时升级防/杀毒软件（一出