网络安全技术——C7.ppt

2020 1 22 1 第七章入侵检测技术 网络 黑客 越来越猖獗 攻击手段越来越先进 杀伤力 越来越大 为了对付 黑客 们层出不穷的攻击 人们采取了各种各样的反攻击手段 在这些手段中 入侵检测被认为是防火墙之后的第二道安全闸门 在网络系统受到危害之前拦截和响应入侵 2020 1 22 2 一 入侵检测的概念 入侵检测是主动保护自己免受攻击的一种网络安全技术 它从计算机网络系统中的若干关键点收集信息 并分析这些信息 从而发现网络系统中是否有违反安全策略的行为和被攻击的迹象 从而提供对内部攻击 外部攻击和误操作的实时保护 作为防火墙的合理补充 入侵检测技术能够帮助系统对付网络攻击 扩展了系统管理员的安全管理能力 提高了信息安全基础结构的完整性 2020 1 22 3 二 入侵检测可以实现的功能如下1 监控和分析用户以及系统的活动2 核查系统配置和漏洞3 统计分析异常活动4 评估关键系统和数据文件的完整性5 识别攻击的活动模式冰箱网管人员报警 2020 1 22 4 三 入侵检测原理入侵者进行攻击的时候总会留下痕迹 这些痕迹和系统正常运行的时候产生的数据混在一起 入侵检测系统就是从这些混合数据中找出是否有入侵的痕迹 如果有就报警提示有入侵事件发生 入侵检测系统有两个重要部分 数据的取得和数据的检测 入侵检测系统取得的数据一般是系统和网络运行的时候产生的数据 入侵检测系统研究者的主要工作是研究哪些数据最有可能反应入侵事件的发生和哪些检测技术最适应于这些数据 从一组数据中检测出入侵事件的数据 实际上就是对一组数据进行分类 如果只是简单地检测出系统是否发生入侵 那么这个过程就是把数据分为两类 有入侵的数据和无入侵的数据 如果复杂一些就是 不仅要检测出入侵 还得说明是什么入侵 2020 1 22 5 四 入侵检测系统的结构入侵检测系统至少应该包含三个功能模块 提供事件记录流的信息源 发现入侵迹象的分析引擎和基于分析引擎的相应部件 以下介绍参照美国国防部高级计划局提出的公共入侵检测框架CIDF的一个入侵检测系统的通用模型 它们在入侵检测系统中的位置和关系如下图所示 响应单元 事件数据库 事件分析器 事件收集器 各种级别的事件 2020 1 22 6 五 入侵检测分类1 根据检测方式 入侵检测系统大体可以分为三类 基于行为的入侵监测系统 异常检测 和基于入侵知识的入侵检测系统 滥用检测 和混合检测 异常检测 假定所有的入侵活动都是异常活动 滥用检测 攻击或入侵总能表示成模式或者特征的形式 因此可以通过匹配该模式或特征来检测入侵及其变种 2 根据数据来源的不同 基于主机的入侵检测系统和基于网络的入侵检测系统 前者适用于主机环境 后者适用于网络环境 2020 1 22 7 3 根据入侵检测系统的分析数据来源划分 1 网络入侵检测系统 可以通过对网络中传输的数据包的分析和统计 检测到可能发生的恶意攻击 2 系统完整性校验系统 主要是用来检验系统文件 从而确定系统是否被黑客进行了攻击 3 日志文件分析系统 通过分析网络服务产生的日志文件来获得潜在的恶意攻击企图 4 欺骗系统 通过模拟一些著名的漏洞并提供虚假服务来欺骗入侵者 2020 1 22 8 4 根据检测系统对入侵攻击的响应方式 1 主动的入侵检测系统 实时入侵检测系统 在检测出入侵后 可以自动地对目标系统中的漏洞采取修补 强制可疑用户退出系统以及关闭相关服务等对策和响应措施 2 被动的入侵检测系统 事后入侵检测系统 在检测出系统攻击后只是产生报警信息通知系统安全管理员 至于之后的处理工作由系统管理员完成 2020 1 22 9 5 其他一些入侵检测技术 神经网络 由于用户行为的复杂性 所以要想准确匹配一个用户的历史行为和当前行为是非常困难的 误报的原因往往来自对审计数据的统计算法基于不确定的假设 所以目前采用神经网络技术进行入侵检测 该方法可能用于检测下面的难题 难于建立确切的统计分布 统计方法依赖于有用户行为的主观建设难于实现方法的普遍适应性 适用于一类用户的检测措施无法适用于另一类用户系统臃肿难于裁减 2020 1 22 10 专家系统 就是基于一套由专家经验事先定义的规则的推理系统 它根据一定的推理规则对所涉及的攻击进行分析和推理 如对密码的试探性攻击 需要解释的是该专家系统也具有一定的局限性 因为这类推理规则的基础是根据已知的漏洞和攻击进行规则的定义的 而实际上最危险的攻击是来自未知的漏洞或者攻击类型 专家系统的功能需要随着经验和知识的积累逐步扩充和修正 完备的推理系统有能力对新的入侵和网络攻击进行检测 因此 和普通的统计方法相比 依赖历史数据较少 可以用于广普的安全策略和检测需求 2020 1 22 11 六 入侵响应 1 准备工作提前制定一份应急响应计划如果资金允许 可以申请获得外部的技术支持组建一个事故响应小组并分配给成员不同责任准备大量的备份介质预先对系统环境进行文档化工作具备一个有效的通讯计划 2020 1 22 12 2 入侵检测 1 重要的日志文件LASTLOG 每个用户最近一次登陆时间和源UTMP 记录以前登陆到系统中的所有用户 WTMP 记录用户登陆和退出事件SYSLOG 消息日志工具 2 利用系统命令检测入侵动作 一些系统命令 如find和secure等称之为检查程序可以用来搜索文件系统 2020 1 22 13 3 日志审核 ps命令对于找出入侵者的进程 连接时间以及跟踪指定用户的活动非常有用 4 以太网窥探器 利用网络窥探工具如snoop等可以记录网络的特定网段上的活动 3 入侵响应遇到网络遭到攻击 首先要做到两条 保持冷静 其次是对做的每件事情要有记录 建议以下七个步骤 2020 1 22 14 估计形式并决定需要作出哪些响应如果有必要就要断开连接或关闭资源事故分析和响应根据响应决策向其他人报警保存系统状态恢复遭到攻击的系统记录所发生的一切 2020 1 22 15 七 入侵追踪根据入侵的数据记录来获取入侵者信息的途径即为入侵追踪 1 根据IPAddress进行追踪 把机器当前的连接记录复制到文档上 特定 远端 2 根据地理位置进行追踪 如果入侵者是通过拨号上网 ISP无法得知是谁在使用其网络 可以使用来话者电话检测功能将对方的电话显示 如果电话无法显示 那么通过IP地址进行追踪 2020 1 22 16 八 基本的入侵方式网络攻击是一项系统性很强的工作 一般流程为 1 端口扫描技术利用现有的分析软件 如portscan haktek等进行目标主机的端口扫描 可以直接得到各个端口提供的服务与端口状态 这主要是因为一般端口已经被赋予了 收集情报 远程攻击 远程登陆 取得普通用户权限 取得超级用户权限 留下 后门 清除日志 网络攻击的一般流程 2020 1 22 17 了一定的意义 例如FTP服务端口为21 WWW的端口是80等等 例 scanninghostxx xx xx port0to1000port7found port21found 在得到了端口的一些信息后 入侵边便可以了解和分析系统 进而访问和入侵系统 2 密码文件的获取利用Finger功能 进行信息检测应用Haktek工具在TARGET中输入目标主机的地址 而 2020 1 22 18 后选择Finger即可出现登陆到该主机的用户的一些信息 loginNameTTYIdleWhenWhere这样经过一段时间的观察 就会积累一定的帐号信息 利用电子邮件地址一些公司的邮件地址是公开的 可以进行积累 有时邮件帐号和密码之间有一些联系 也可以作为破解密码的线索 3 清除日志日志清除是攻击者隐藏自己 获得再次访问该系统的机会的方法 针对不同的日志记录 可以采取不同的清除方法 2020 1 22 19 附 传统的扫描与监听工具ISS是一个用来检查使用TCP IP连接的主机是否容易受到攻击的软件 目前成为了黑客的攻击工具 SATAN是一个分析网络安全和测试的工具TCPCONNECT扫描Sniffer溴探器主要用于分析网络流量 找出网络中潜在的问题 有些能够进行比较强的协议分析 因此能够扑获一些口令等信息TCPDUNPETHERFINDTEPDUMPNFSWATCH 2020 1 22 20 九 入侵检测系统1 起源1980年Anderson提出 入侵检测概念 分类方法1987年Denning提出了一种通用的入侵检测模型独立性 系统 环境 脆弱性 入侵种类系统框架 异常检测器 专家系统90年初CMDS NetProwler NetRanger ISSRealSecure 2020 1 22 21 1990 加州大学戴维斯分校的L T Heberlein等人开发出了NSM NetworkSecurityMonitor 该系统第一次直接将网络流作为审计数据来源 因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页 两大阵营正式形成 基于网络的IDS和基于主机的IDS 2020 1 22 22 2 IDS基本结构 入侵检测系统包括三个功能部件 1 信息收集系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为 2 信息分析模式匹配统计分析完整性分析 往往用于事后分析 2020 1 22 23 3 结果处理误报 falsepositive 如果系统错误地将异常活动定义为入侵漏报 falsenegative 如果系统未能检测出真正的入侵行为 2020 1 22 24 3 主机入侵检测 HIDS 安装于被保护的主机中 但可以不运行在监控主机上主要分析主机内部活动系统日志系统调用文件完整性检查占用一定的系统资源 2020 1 22 25 Internet 基于主机入侵检测系统工作原理 网络服务器1 客户端 网络服务器2 检测内容 系统调用 端口调用 系统日志 安全审记 应用日志 HIDS HIDS 2020 1 22 26 4 基于网络的入侵检测 安装在被保护的网段中 对通信数据进行侦听采集数据主机资源消耗少提供对网络通用的保护如何适应高速网络环境非共享网络上如何采集数据混杂模式监听分析网段中所有的数据包实时检测和响应操作系统无关性 2020 1 22 27 Internet NIDS 网络服务器1 数据包 包头信息 有效数据部分 客户端 网络服务器2 检测内容 包头信息 有效数据部分 2020 1 22 28 5 两种入侵检测系统的优缺点比较1 基于主机优点具有更大的准确性 及时进行响应判断应用层的入侵事件不需要额外的硬件缺点占用主机资源 服务器产生额外的负担缺乏跨平台支持 可移植性差 2020 1 22 29 2 基于网络优点可移植性强不依赖主机的操作系统作为检测资源实时监测应答 更快的做出反应 监测力度更细致攻击者转移证据困难 能检测未成功的攻击企图缺点只能监视本网段的活动精确度不高高层信息的获取上困难 技术实现复杂 2020 1 22 30 6 基于主机和网络的入侵检测系统 互联网 防火墙 IDS1 IDS3 IDS2 ISD4 内部网 1 IDS1 放在防火墙之外 检测对内网 防火墙的攻击 看不到来自内网的攻击2 IDS2 处理防火墙转发的数据包 影响防火墙的转发功能3 IDS3 检测穿过防火墙的数据包 基于网络监测的位置4 IDS4 放在主机内部 来自外网 内网的攻击都可检测 2020 1 22 31 7 基于事件分析的入侵检测系统1 基于异常检测模型的入侵检测系统自学习系统编程系统2 基于滥用检测模型的入侵检测系统状态建模专家系统串匹配基于简单规则3 混合