防火墙及入侵检测技术.ppt

防火墙及入侵检测技术简介,网络通信安全管理员培训班,讲座提纲,2019/8/9,2,网络通信安全管理员培训班,概述-网络安全现状,2019/8/9,3,网络通信安全管理员培训班,概述-网络安全现状（续）,我国网络安全形势非常严峻，仅2010年上半年： 59.2%的网民遭遇病毒或木马攻击 30.9%的网民账号或密码被盗过 2.5亿人遇到网络不安全事件,4780次网络安全事件报告（CNCERT） 124万个IP地址对应的主机被木马程序控制 23.3万个IP地址对应主机被僵尸程序控制 14907个网站被篡改 ,2019/8/9,4,网络通信安全管理员培训班,概述-主要安全技术,数据完整性的鉴别 密钥管理技术,基于密码认证协议的认证 动态身份认证 生物特征认证,状态检测技术 地址翻译技术 虚拟专用网,误用检测 异常检测,混合检测,2019/8/9,5,网络通信安全管理员培训班,讲座提纲,2019/8/9,6,网络通信安全管理员培训班,防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件； 设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。,防火墙 1-基本概念,2019/8/9,7,网络通信安全管理员培训班,防火墙 2 功能,2019/8/9,8,网络通信安全管理员培训班,防火墙 3 局限性,2019/8/9,9,网络通信安全管理员培训班,防火墙 4 技术分类,包过滤防火墙 静态包过滤、动态包过滤 代理防火墙,2019/8/9,10,网络通信安全管理员培训班,Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头，不理会包内的正文信息)。 如果找到一个匹配，且规则允许这包，这个包则根据路由表中的信息前行； 如果找到一个匹配，且规则允许拒绝此包，这一包则被舍弃； 如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。,防火墙 4 包过滤技术原理,2019/8/9,11,网络通信安全管理员培训班,防火墙 4 包过滤技术原理,2019/8/9,12,网络通信安全管理员培训班,防火墙 4 包过滤技术原理,ICMP报文的一般格式：,Data,差错信息 出错IP数据报的头+64个字节数据,类型,Type,(8bit),代码,Code,(8bit),检验和,Checksum,(16bit),不同类型和代码有不同的内容Data,0 8 16 31,2019/8/9,13,网络通信安全管理员培训班,防火墙 4 包过滤技术原理,TCP头部：,2019/8/9,14,网络通信安全管理员培训班,防火墙 4 包过滤技术原理,UDP头部：,2019/8/9,15,网络通信安全管理员培训班,IP 源地址 IP目的地址 封装协议(TCP、UDP、或IP Tunnel) TCP/UDP源端口 TCP/UDP目的端口 ICMP包类型 TCP报头的ACK位 包输入接口和包输出接口,防火墙 4 包过滤的依据,2019/8/9,16,网络通信安全管理员培训班,多数服务对应特定的端口，例：Telnet、SMTP、POP3分别为23、25、110。如要封锁输入Telnet 、SMTP的连接，则Router丢弃端口值为23和25的所有数据包。 典型的过滤规则有以下几种： .只允许进来的Telnet会话连接到指定的一些内部主机 .只允许进来的FTP会话连接到指定的一些内部主机 .允许所有出去的Telnet 会话 .允许所有出去的FTP 会话 .拒绝从某些指定的外部网络进来的所有信息,防火墙 4 依赖于服务的过滤,2019/8/9,17,网络通信安全管理员培训班,源IP地址欺骗攻击 源路由攻击 残片攻击,防火墙 4 独立于服务的过滤,2019/8/9,18,网络通信安全管理员培训班,结构,防火墙 4.1 包过滤防火墙,2019/8/9,19,网络通信安全管理员培训班,防火墙 4.1 包过滤防火墙,包过滤防火墙,原理,2019/8/9,20,网络通信安全管理员培训班,规则表,防火墙 4.1 包过滤防火墙,2019/8/9,21,网络通信安全管理员培训班,原理 通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。,防火墙 4.2 代理防火墙,2019/8/9,22,网络通信安全管理员培训班,防火墙 4.2 应用代理,2019/8/9,23,网络通信安全管理员培训班,防火墙 4.3 技术对比,2019/8/9,24,网络通信安全管理员培训班,堡垒主机式架构(Bastion Host Firewall) 双闸式架构（ Dual-Homed Firewall ） 屏障单机式架构(Screened Host Firewall) 屏障子网域式架构（Screened Subnet Firewall）,防火墙 5 防火墙的系统结构,2019/8/9,25,网络通信安全管理员培训班,防火墙 5.1 堡垒主机式防火墙,属于包过滤器 有两块网卡 进出的包都要经过该防火墙检查 内部网络与外部网络无法直接相连 数据包均需透过该堡垒主机转发,2019/8/9,26,网络通信安全管理员培训班,属于代理服务器型防火墙的一种 有两块网卡 需安装应用服务器转换器 所有网络应用服务数据包都需经过该应用服务转换器的检查 应用服务转换器将过滤掉不被系统允许的服务,防火墙 5.2 双闸式防火墙,2019/8/9,27,网络通信安全管理员培训班,属于结合包过滤器及代理服务器功能的一种架构 硬件设备除了主机还需要路由器 路由器：必须有包过滤功能 主机：负责过滤及处理网络服务要求的数据包,防火墙 5.3 屏障单机式架构,2019/8/9,28,网络通信安全管理员培训班,结合许多主机及两个路由器 对外公开的应用服务器均需假设在屏障子网域内 用外部路由器隔离外部网络与屏障子网域 内部路由器隔离内部网络与屏障子网域 将内部网络的架构、各主机IP及名称完全隐藏起来 多次过滤检查,防火墙 5.4 屏障子网域式架构,2019/8/9,29,网络通信安全管理员培训班,防火墙 6 防火墙系统的构建,2019/8/9,30,网络通信安全管理员培训班,防火墙的安全性 防火墙的高效性 防火墙的适用性 防火墙的可管理性 完善及时的售后服务体系,防火墙 6.1 防火墙产品选购策略,2019/8/9,31,网络通信安全管理员培训班,防火墙的系统环境 设置防火墙的要素 服务访问策略 防火墙设计策略,防火墙 6.2 防火墙设计策略,2019/8/9,32,网络通信安全管理员培训班,路由(Routing),防火墙 6.3 防火墙设定实例（1）,2019/8/9,33,网络通信安全管理员培训班,过滤策略,防火墙 6.3 防火墙设定实例（2）,2019/8/9,34,网络通信安全管理员培训班,地址翻译,防火墙 6.3 防火墙设定实例（3）,2019/8/9,35,网络通信安全管理员培训班,防火墙 6.4 存取控制原则,2019/8/9,36,网络通信安全管理员培训班,优良的性能 速度瓶颈 易扩展 支持NAT VPN等 过滤深度加强，URL(页面)过滤、关键字过滤、ActiveX过滤、病毒扫描等 主动检测与报警 日志分析工具,防火墙 7 发展趋势,2019/8/9,37,网络通信安全管理员培训班,讲座提纲,2019/8/9,38,网络通信安全管理员培训班,网络攻击的破坏性、损失的严重性 日益增长的网络安全威胁 入侵很容易 入侵教程随处可见 各种工具唾手可得 单纯的防火墙无法防范复杂多变的攻击 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部,概述-入侵检测的目的和意义,2019/8/9,39,网络通信安全管理员培训班,入侵系统类攻击； 缓冲区溢出攻击； 欺骗类攻击； 拒绝服务攻击； 对防火墙的攻击； 利用病毒攻击； 木马程序攻击； 后门攻击。,概述-网络攻击方法,2019/8/9,40,网络通信安全管理员培训班,入侵检测系统（intrusion detection system，IDS）是对计算机和网络资源的恶意使用行为进行识别的系统； 它的目的是监测和发现可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部用户的非授权行为，并且采取相应的防护手段。,概述-入侵检测的基本概念,2019/8/9,41,网络通信安全管理员培训班,监控、分析用户和系统的行为； 检查系统的配置和漏洞； 评估重要的系统和数据文件的完整性； 对异常行为的统计分析，识别攻击类型，并向网络管理人员报警； 对操作系统进行审计、跟踪管理，识别违反授权的用户活动。,概述-IDS的基本功能,2019/8/9,42,网络通信安全管理员培训班,技术分析-入侵检测技术发展,1980年 Anderson提出：入侵检测概念，分类方法 1987年 Denning提出了一种通用的入侵检测模型 独立性 ：系统、环境、脆弱性、入侵种类 系统框架：异常检测器，专家系统 90年初 CMDS、NetProwler、NetRanger ISS RealSecure,2019/8/9,43,网络通信安全管理员培训班,技术分析-入侵检测技术发展,1980年4月，James P. Anderson Computer Security Threat Monitoring and Surveillance （计算机安全威胁监控与监视） 第一次详细阐述了入侵检测的概念 计算机系统威胁分类: 外部渗透、内部渗透和不法行为 提出了利用审计跟踪数据监视入侵活动的思想 这份报告被公认为是入侵检测的开山之作,2019/8/9,44,网络通信安全管理员培训班,技术分析-入侵检测技术发展,从1984年到1986年 乔治敦大学的Dorothy Denning SRI/CSL的Peter Neumann 研究出了一个实时入侵检测系统模型IDES（入侵检测专家系统）,2019/8/9,45,网络通信安全管理员培训班,技术分析-入侵检测模型,2019/8/9,46,网络通信安全管理员培训班,技术分析-入侵检测技术发展,1990，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor） 该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机 入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS,2019/8/9,47,网络通信安全管理员培训班,入侵检测的思想源于传统的系统审计，但拓宽了传统审计的概念，它以近乎不间断的方式进行安全检测，从而可形成一个连续的检测过程。这通常是通过执行下列任务来实现的： 监视、分析用户及系统活动； 系统构造和弱点的审计； 识别分析知名攻击的行为特征并告警； 异常行为特征的统计分析； 评估重要系统和数据文件的完整性； 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。,技术分析-入侵检测技术,2019/8/9,48,网络通信安全管理员培训班,技术分析-入侵检测系统结构,入侵检测系统包括三个功能部件 （1）信息收集(数据源) （2）信息分析(分析引擎) （3）结果处理(响应),2019/8/9,49,网络通信安全管理员培训班,技术分析-入侵检测分类,2019/8/9,50,网络通信安全管理员培训班,误用入侵检测（Misuse Detection） 利用已知系统和应用软件的弱点攻击模式来检测入侵。 异常入侵检测 （Anomaly Detection） 根据异常行为和使用计算机资源的情况检测出来的入侵。,技术分析-入侵检测技术,2019/8/9,51,网络通信安全管理员培训班,误用检测是按照预定模式搜寻事件数据的，最适用于对已知模式的可靠检测。执行误用检测，主要依赖于可靠的用户活动记录和分析事件的方法。 检测模型：,技术分析-误用入侵检测技术,2019/8/9,52,网络通信安全管理员培训班,异常检测基于一个假定：用户的行为是可预测的、遵循一致性模式的，且随着用户事件的增加异常检测会适应用户行为的变化。用户行为的特征轮廓在异常检测中是由度量（measure）集来描述，度量是特定网络行为的定量表示，通常与某个检测阀值或某个域相联系。 异常检测可发现未知的攻击方法，体现了强健的保护机制，但对于给定的度量集能否完备到表示所有的异常行为仍需要深入研究。 检测模型：,技术分析-异常入侵检测技术,2019/8/9,53,网络通信安全管理员培训班,统计方法 神经网络 专家系统 模型推理 免疫系统方法 遗传算法 基于代理检测 数据挖掘等,技术分析-入侵检测技术,2019/8/9,54,网络通信安全管理员培训班,1专家系统 用专家系统对入侵进行检测，主要是检测基于特征的入侵行为。所谓规则，即是知识，专家系统的建立依赖于知识库的完备性，而知识库的完备性又取决于审计记录的完备性与实时性。 产生式/专家系统是误用检测早期的方案之一，在MIDAS、IDES、NIDES、DIDS和CMDS中都使用了这种方法。,技术分析-入侵检测技术,2019/8/9,55,网络通信安全管理员培训班,2状态转换方法 状态转换方法使用系统状态和状态转换表达式来描述和检测入侵，采用最优模式匹配技巧来结构化误用检测，增强了检测的速度和灵活性。目前，主要有三种实现方法：状态转换分析、有色Petri-Net和语言/应用编程接口（API）。,技术分析-入侵检测技术,2019/8/9,56,网络通信安全管理员培训班,3统计度量 统计度量方法是产品化的入侵检测系统中常用的方法，常见于异常检测。运用统计方法，有效地解决了四个问题：（1）选取有效的统计数据测量点，生成能够反映主体特征的会话向量；（2）根据主体活动产生的审计记录，不断更新当前主体活动的会话向量；（3）采用统计方法分析数据，判断当前活动是否符合主体的历史行为特征；（4）随着时间推移，学习主体的行为特征，更新历史记录。,技术分析-入侵检测技术,2019/8/9,57,网络通信安全管理员培训班,4神经网络（Neural Network） 作为人工智能（AI）的一个重要分支，神经网络（Neural Network）在入侵检测领域得到了很好的应用，它使用自适应学习技术来提取异常行为的特征，需要对训练数据集进行学习以得出正常的行为模式。这种方法要求保证用于学习正常模式的训练数据的纯洁性，即不包含任何入侵或异常的用户行为。,技术分析-入侵检测技术,2019/8/9,58,网络通信安全管理员培训班,5免疫学方法 New Mexico大学的Stephanie Forrest提出了将生物免疫机制引入计算机系统的安全保护框架中。免疫系统中最基本也是最重要的能力是识别“自我/非自我”（self/nonself），换句话讲，它能够识别哪些组织是属于正常机体的，不属于正常的就认为是异常，这个概念和入侵检测中异常检测的概念非常相似。,技术分析-入侵检测技术,2019/8/9,59,网络通信安全管理员培训班,6数据挖掘方法 Columbia大学的Wenke Lee在其博士论文中，提出了将数据挖掘（Data Mining, DM）技术应用到入侵检测中，通过对网络数据和主机系统调用数据的分析挖掘，发现误用检测规则或异常检测模型。具体的工作包括利用数据挖掘中的关联算法和序列挖掘算法提取用户的行为模式，利用分类算法对用户行为和特权程序的系统调用进行分类预测。实验结果表明，这种方法在入侵检测领域有很好的应用前景。,技术分析-入侵检测技术,2019/8/9,60,网络通信安全管理员培训班,7基因算法 基因算法是进化算法（evolutionary algorithms）的一种，引入了达尔文在进化论中提出的自然选择的概念（优胜劣汰、适者生存）对系统进行优化。该算法对于处理多维系统的优化是非常有效的。在基因算法的研究人员看来，入侵检测的过程可以抽象为：为审计事件记录定义一种向量表示形式，这种向量或者对应于攻击行为，或者代表正常行为。,技术分析-入侵检测技术,2019/8/9,61,网络通信安全管理员培训班,虚/漏报率高 缺乏检测新攻击类型的能力 缺乏准确定位和处理机制 性能普遍