安全检测技术课件

1、安全检测技术1 第第7章章 安全检测技术安全检测技术 入侵检测技术、信息获取技术入侵检测技术、信息获取技术 E-mail: 安全检测技术2 概述概述 入侵检测的分类入侵检测的分类 入侵检测系统的设计原理入侵检测系统的设计原理 入侵检测响应机制入侵检测响应机制 入侵检测标准化工作入侵检测标准化工作 入侵检测的现状和展望入侵检测的现状和展望 安全检测技术3 1 概述概述 入侵检测的分类入侵检测的分类 入侵检测系统的设计原理入侵检测系统的设计原理 入侵检测响应机制入侵检测响应机制 入侵检测标准化工作入侵检测标准化工作 2. 入侵检测的现状和展望入侵检测的现状和展望 安全检测技术4 Intrusion

2、 pIntrusion : Attempting to break into or misuse your system. pIntruders may be from outside the network or legitimate users of the network. pIntrusion can be a physical, system or remote intrusion. 安全检测技术5 n传统的信息安全方法采用严格的访问控制和数传统的信息安全方法采用严格的访问控制和数 据加密策略来防护，但在复杂系统中，这些策据加密策略来防护，但在复杂系统中，这些策 略是不充分的。它们是

3、系统安全不可缺的部分略是不充分的。它们是系统安全不可缺的部分 但不能完全保证系统的安全但不能完全保证系统的安全 n入侵检测（入侵检测（Intrusion Detection）是对入侵行）是对入侵行 为的发觉。它通过从为的发觉。它通过从计算机网络计算机网络或或计算机系统计算机系统 的关键点收集信息并进行分析，从中发现网络的关键点收集信息并进行分析，从中发现网络 或系统中是否有违反安全策略的行为和被攻击或系统中是否有违反安全策略的行为和被攻击 的迹象的迹象 Intrusion Detection 安全检测技术6 入侵检测的定义入侵检测的定义 p入侵检测就是对系统的运行状态进行监视，发入侵检测就是对

4、系统的运行状态进行监视，发 现各种攻击企图、攻击行为或者攻击结果，以现各种攻击企图、攻击行为或者攻击结果，以 保证系统资源的机密性、完整性和可用性保证系统资源的机密性、完整性和可用性 安全检测技术7 入侵检测系统的定义入侵检测系统的定义 p进行入侵检测的软件与硬件的组合便是入侵检测进行入侵检测的软件与硬件的组合便是入侵检测 系统系统 pIDS : Intrusion Detection System 安全检测技术8 入侵检测系统的特点入侵检测系统的特点 一个完善的入侵检测系统的特点：一个完善的入侵检测系统的特点： n经济性经济性 n时效性时效性 n安全性安全性 n可扩展性可扩展性 安全检测技术

5、9 网络安全工具的特点网络安全工具的特点 优点优点局限性局限性 IDS实时监控网络安全状态实时监控网络安全状态误报警，缓慢攻击，新的攻误报警，缓慢攻击，新的攻 击模式击模式 Scanner简单可操作，帮助系统管理简单可操作，帮助系统管理 员和安全服务人员解决实际员和安全服务人员解决实际 问题问题 并不能真正扫描漏洞并不能真正扫描漏洞 VPN保护公网上的内部通信保护公网上的内部通信可视为防火墙上的一个漏洞可视为防火墙上的一个漏洞 防火墙防火墙可简化网络管理，产品成熟可简化网络管理，产品成熟无法处理网络内部的攻击无法处理网络内部的攻击 防病毒防病毒针对文件与邮件，产品成熟针对文件与邮件，产品成熟功

6、能单一功能单一 p与其他网络安全设备的不同之处在于，与其他网络安全设备的不同之处在于，IDS是是 一种积极主动的安全防护技术。一种积极主动的安全防护技术。 安全检测技术10 入侵检测的起源（入侵检测的起源（1） p审计技术：产生、记录并检查按时间顺序排列的系统审计技术：产生、记录并检查按时间顺序排列的系统 事件记录的过程事件记录的过程 p审计的目标：审计的目标： n确定和保持系统活动中每个人的责任确定和保持系统活动中每个人的责任 n重建事件重建事件 n评估损失评估损失 n监测系统的问题区监测系统的问题区 n提供有效的灾难恢复提供有效的灾难恢复 n阻止系统的不正当使用阻止系统的不正当使用 安全检

7、测技术11 入侵检测的起源（入侵检测的起源（2） p计算机安全和审计计算机安全和审计 p美国国防部在美国国防部在70年代支持年代支持“可信信息系统可信信息系统”的的 研究，最终审计机制纳入研究，最终审计机制纳入可信计算机系统评可信计算机系统评 估准则估准则（TCSEC）C2级以上系统的要求的级以上系统的要求的 一部分一部分 p“褐皮书褐皮书”理解可信系统中的审计指南理解可信系统中的审计指南 安全检测技术12 入侵检测的起源（入侵检测的起源（3） 1980年年4月，James P. Anderson :Computer Security Threat Monitoring and Surveil

8、lance（计算（计算 机安全威胁监控与监视）的技术报告，第一次详细阐述了入机安全威胁监控与监视）的技术报告，第一次详细阐述了入 侵检测的概念侵检测的概念 他提出对计算机系统风险和威胁的分类方法，并将威胁分为他提出对计算机系统风险和威胁的分类方法，并将威胁分为 外部渗透外部渗透、内部渗透内部渗透和和不法行为不法行为三种三种 还提出了利用审计跟踪数据监视入侵活动的思想。这份报告还提出了利用审计跟踪数据监视入侵活动的思想。这份报告 被公认为是入侵检测的开山之作被公认为是入侵检测的开山之作 安全检测技术13 入侵检测的起源（入侵检测的起源（4） 从从1984年到年到1986年，乔治敦大学的年，乔治敦

9、大学的Dorothy Denning和和SRI/CSL的的Peter Neumann研究出了一研究出了一 个实时入侵检测系统模型，取名为个实时入侵检测系统模型，取名为IDES（入侵检测专家（入侵检测专家 系统）系统） 安全检测技术14 IDES结构框架结构框架 审计数据源 策略规则 模式匹配器轮廓特征引擎 异常检测器 警告/报告产生器 安全检测技术15 入侵检测的起源（入侵检测的起源（5） 1990，加州大学戴维斯分校的，加州大学戴维斯分校的L. T. Heberlein等人开发等人开发 出了出了NSM（Network Security Monitor） 该系统第一次直接将网络流作为审计数据来

10、源，因而可该系统第一次直接将网络流作为审计数据来源，因而可 以在不将审计数据转换成统一格式的情况下监控异种主以在不将审计数据转换成统一格式的情况下监控异种主 机机 入侵检测系统发展史翻开了新的一页，两大阵营正式形入侵检测系统发展史翻开了新的一页，两大阵营正式形 成：成：基于网络的基于网络的IDS和基于主机的和基于主机的IDS 安全检测技术16 为什么需要为什么需要IDS p关于防火墙关于防火墙 n网络边界的设备网络边界的设备 n自身可以被攻破自身可以被攻破 n对某些攻击保护很弱对某些攻击保护很弱 n不是所有的威胁来自防火墙外部不是所有的威胁来自防火墙外部 p入侵很容易入侵很容易 n入侵教程随处

11、可见入侵教程随处可见 n各种工具唾手可得各种工具唾手可得 安全检测技术17 IDS存在与发展的必然性存在与发展的必然性 一、网络攻击的破坏性、损失的严重性一、网络攻击的破坏性、损失的严重性 二、日益增长的网络安全威胁二、日益增长的网络安全威胁 三、单纯的防火墙无法防范复杂多变的攻击三、单纯的防火墙无法防范复杂多变的攻击 安全检测技术18 IDS基本结构基本结构 p入侵检测是监测计算机网络和系统入侵检测是监测计算机网络和系统, ,以发现违以发现违 反安全策略事件的过程反安全策略事件的过程 p简单地说，入侵检测系统包括三个功能部件：简单地说，入侵检测系统包括三个功能部件： （1 1）信息收集信息收

12、集 （2 2）信息分析信息分析 （3 3）结果处理）结果处理 安全检测技术19 信息收集信息收集 p入侵检测的第一步是信息收集，收集内容包括系入侵检测的第一步是信息收集，收集内容包括系 统、网络、数据及用户活动的状态和行为。统、网络、数据及用户活动的状态和行为。 p需要在计算机网络系统中的若干不同关键点（不需要在计算机网络系统中的若干不同关键点（不 同网段和不同主机）收集信息，同网段和不同主机）收集信息， n尽可能扩大检测范围尽可能扩大检测范围 n从一个源来的信息有可能看不出疑点从一个源来的信息有可能看不出疑点 安全检测技术20 信息收集信息收集 p入侵检测很大程度上依赖于收集信息的可靠性和入

13、侵检测很大程度上依赖于收集信息的可靠性和 正确性。正确性。 p因此要保证用来检测网络系统的软件的完整性，因此要保证用来检测网络系统的软件的完整性， 特别是入侵检测系统软件本身应具有相当强的坚特别是入侵检测系统软件本身应具有相当强的坚 固性，防止被篡改而收集到错误的信息固性，防止被篡改而收集到错误的信息 安全检测技术21 信息收集的来源信息收集的来源 p系统或网络的日志文件系统或网络的日志文件 p网络流量网络流量 p系统目录和文件的异常变化系统目录和文件的异常变化 p程序执行中的异常行为程序执行中的异常行为 安全检测技术22 系统或网络的日志文件系统或网络的日志文件 p黑客经常在系统日志文件中留

14、下他们的踪迹，因此，黑客经常在系统日志文件中留下他们的踪迹，因此， 充分利用系统和网络日志文件信息是检测入侵的必要充分利用系统和网络日志文件信息是检测入侵的必要 条件条件 p日志文件中记录了各种行为类型，每种类型又包含不日志文件中记录了各种行为类型，每种类型又包含不 同的信息，例如记录同的信息，例如记录“用户活动用户活动”类型的日志，就包类型的日志，就包 含登录、用户含登录、用户ID改变、用户对文件的访问、授权和认改变、用户对文件的访问、授权和认 证信息等内容证信息等内容 p显然，对用户活动来讲，不正常的或不期望的行为就显然，对用户活动来讲，不正常的或不期望的行为就 是重复登录失败、登录到不期

15、望的位置以及非授权的是重复登录失败、登录到不期望的位置以及非授权的 企图访问重要文件等等企图访问重要文件等等 安全检测技术23 系统目录和文件的异常变化系统目录和文件的异常变化 p网络环境中的文件系统包含很多软件和数据文件，包网络环境中的文件系统包含很多软件和数据文件，包 含重要信息的文件和私有数据文件经常是黑客修改或含重要信息的文件和私有数据文件经常是黑客修改或 破坏的目标。目录和文件中的不期望的改变（包括修破坏的目标。目录和文件中的不期望的改变（包括修 改、创建和删除），特别是那些正常情况下限制访问改、创建和删除），特别是那些正常情况下限制访问 的，很可能就是一种入侵产生的指示和信号的，很

16、可能就是一种入侵产生的指示和信号 p入侵者经常替换、修改和破坏他们获得访问权的系统入侵者经常替换、修改和破坏他们获得访问权的系统 上的文件，同时为了隐藏系统中他们的表现及活动痕上的文件，同时为了隐藏系统中他们的表现及活动痕 迹，都会尽力去替换系统程序或修改系统日志文件迹，都会尽力去替换系统程序或修改系统日志文件 安全检测技术24 信息分析信息分析 模式匹配模式匹配 统计分析统计分析 完整性分析，往往用于事后分析完整性分析，往往用于事后分析 安全检测技术25 模式匹配模式匹配 p模式匹配就是将收集到的信息与已知的网络入侵和系统模式匹配就是将收集到的信息与已知的网络入侵和系统 误用模式数据库进行比

17、较，从而发现违背安全策略的行误用模式数据库进行比较，从而发现违背安全策略的行 为为 p一般来讲，一种进攻模式可以用一个过程（如执行一条一般来讲，一种进攻模式可以用一个过程（如执行一条 指令）或一个输出（如获得权限）来表示。该过程可以指令）或一个输出（如获得权限）来表示。该过程可以 很简单（如通过字符串匹配以寻找一个简单的条目或指很简单（如通过字符串匹配以寻找一个简单的条目或指 令），也可以很复杂（如利用正规的数学表达式来表示令），也可以很复杂（如利用正规的数学表达式来表示 安全状态的变化）安全状态的变化） 安全检测技术26 统计分析统计分析 p统计分析方法首先给系统对象（如用户、文件、目录和设

18、统计分析方法首先给系统对象（如用户、文件、目录和设 备等）创建一个统计描述，统计正常使用时的一些测量属备等）创建一个统计描述，统计正常使用时的一些测量属 性（如访问次数、操作失败次数和延时等）性（如访问次数、操作失败次数和延时等） p测量属性的平均值将被用来与网络、系统的行为进行比较，测量属性的平均值将被用来与网络、系统的行为进行比较， 任何观察值在正常值范围之外时，就认为有入侵发生任何观察值在正常值范围之外时，就认为有入侵发生 安全检测技术27 完整性分析完整性分析 p完整性分析主要关注某个文件或对象是否被更完整性分析主要关注某个文件或对象是否被更 改，这经常包括文件和目录的内容及属性，它改

19、，这经常包括文件和目录的内容及属性，它 在发现被更改的、被安装木马的应用程序方面在发现被更改的、被安装木马的应用程序方面 特别有效特别有效 安全检测技术28 概述概述 2 入侵检测的分类入侵检测的分类 入侵检测系统的设计原理入侵检测系统的设计原理 入侵检测响应机制入侵检测响应机制 入侵检测标准化工作入侵检测标准化工作 入侵检测的现状和展望入侵检测的现状和展望 安全检测技术29 按检测方法分类按检测方法分类 n异常检测模型异常检测模型（Anomaly Detection ):首先总结正首先总结正 常操作应该具有的特征（用户轮廓），常操作应该具有的特征（用户轮廓），当用户活动与当用户活动与 正常行

20、为有重大偏离时即被认为是入侵正常行为有重大偏离时即被认为是入侵 n误用检测模型误用检测模型（Misuse Detection)：收集非正常操收集非正常操 作的行为特征，建立相关的特征库，作的行为特征，建立相关的特征库，当监测的用户或当监测的用户或 系统行为与库中的记录相匹配时，系统就认为这种行系统行为与库中的记录相匹配时，系统就认为这种行 为是入侵为是入侵 安全检测技术30 异常检测异常检测 Below Threshold levels Exceed Threshold Levels System Audit Metrics Profiler Intrusion Normal Activity

21、 异常检测模型异常检测模型 安全检测技术31 前提：入侵是异常活动的子集前提：入侵是异常活动的子集 用户轮廓用户轮廓(Profile): (Profile): 通常定义为各种行为参数及其通常定义为各种行为参数及其 阀值的集合，用于描述正常行为范围阀值的集合，用于描述正常行为范围 过程过程 监控监控 量化量化 比较比较 判定判定 修正修正 指标指标: :漏报，错报漏报，错报 异常检测异常检测 安全检测技术32 异常检测异常检测 p如果系统错误地将异常活动定义为入侵，称为如果系统错误地将异常活动定义为入侵，称为误报误报 (false positive) ；如果系统未能检测出真正的入侵；如果系统未能

22、检测出真正的入侵 行为则称为行为则称为漏报漏报(false negative)。 p特点：异常检测系统的效率取决于用户轮廓的完备性特点：异常检测系统的效率取决于用户轮廓的完备性 和监控的频率。因为不需要对每种入侵行为进行定义，和监控的频率。因为不需要对每种入侵行为进行定义， 因此能有效检测未知的入侵。同时系统能针对用户行因此能有效检测未知的入侵。同时系统能针对用户行 为的改变进行自我调整和优化，但随着检测模型的逐为的改变进行自我调整和优化，但随着检测模型的逐 步精确，异常检测会消耗更多的系统资源。步精确，异常检测会消耗更多的系统资源。 安全检测技术33 Anomaly Detection ac

23、tivity measures probable intrusion 安全检测技术34 System Audit Metrics Pattern Matcher Intrusion Normal Activity No Signature Match Signature Match 误用检测模型误用检测模型 误用检测误用检测 安全检测技术35 前提：所有的入侵行为都有可被检测到的特征前提：所有的入侵行为都有可被检测到的特征 攻击特征库攻击特征库: : 当监测的用户或系统行为与库中的记录当监测的用户或系统行为与库中的记录 相匹配时，系统就认为这种行为是入侵相匹配时，系统就认为这种行为是入侵 过程

24、过程 监控监控 特征提取特征提取 匹配匹配 判定判定 指标指标 错报低错报低 漏报高漏报高 误用检测误用检测 安全检测技术36 误用检测模型误用检测模型 p如果入侵特征与正常的用户行能匹配，则系统会发生如果入侵特征与正常的用户行能匹配，则系统会发生 误报误报；如果没有特征能与某种新的攻击行为匹配，则；如果没有特征能与某种新的攻击行为匹配，则 系统会发生系统会发生漏报漏报 p特点：特点：采用特征匹配，误用模式能明显降低错报率，采用特征匹配，误用模式能明显降低错报率， 但漏报率随之增加。攻击特征的细微变化，会使得误但漏报率随之增加。攻击特征的细微变化，会使得误 用检测无能为力用检测无能为力 安全检

25、测技术37 Misuse Detection Intrusion Patterns activities pattern matching intrusion Cant detect new attacks Example: if (src_ip = dst_ip) then “land attack” 安全检测技术38 按照数据来源分类按照数据来源分类 n基于主机基于主机：系统获取数据的依据是系统运行所：系统获取数据的依据是系统运行所 在的主机，保护的目标也是系统运行所在的主在的主机，保护的目标也是系统运行所在的主 机机 n基于网络基于网络：系统获取的数据是网络传输的数据：系统获取的数据是网

26、络传输的数据 包，保护的是网络的运行包，保护的是网络的运行 n混合型混合型 安全检测技术39 n监视与分析主机的审计记录监视与分析主机的审计记录 n可以不运行在监控主机上可以不运行在监控主机上 n存在问题：存在问题： n能否及时采集到审计记录？能否及时采集到审计记录？ n如何保护作为攻击目标主机审计子系统？如何保护作为攻击目标主机审计子系统？ 基于主机基于主机 安全检测技术40 n在共享网段上对通信数据进行侦听采集数据在共享网段上对通信数据进行侦听采集数据 n主机资源消耗少主机资源消耗少 n提供对网络通用的保护提供对网络通用的保护 n存在问题：存在问题： n如何适应高速网络环境？如何适应高速网

27、络环境？ n非共享网络上如何采集数据？非共享网络上如何采集数据？ 基于网络基于网络 安全检测技术41 两类两类IDS监测软件监测软件 p网络网络IDS n侦测速度快侦测速度快 n隐蔽性好隐蔽性好 n视野更宽视野更宽 n较少的监测器较少的监测器 n占资源少占资源少 p主机主机IDS n视野集中视野集中 n易于用户自定义易于用户自定义 n保护更加周密保护更加周密 n对网络流量不敏感对网络流量不敏感 安全检测技术42 入侵检测系统体系结构入侵检测系统体系结构 交换机 交换机防火墙防火墙路由器 Internet 基 于 网 络 的基 于 网 络 的 IDS 基 于 主 机 的基 于 主 机 的 IDS

28、 内网 基于网络的基于网络的IDS WWW服务 器 FTP 服务器 邮件 服务器 入侵检测系统原理示意图 外部网络外部网络 DMZ区域区域内部网络内部网络 安全检测技术43 常用术语常用术语 安全检测技术44 n当一个入侵正在发生或者试图发生时，当一个入侵正在发生或者试图发生时，IDSIDS系统将发系统将发 布一个布一个alertalert信息通知系统管理员信息通知系统管理员 n如果控制台与如果控制台与IDSIDS系统同在一台机器，系统同在一台机器，alertalert信息将信息将 显示在监视器上，也可能伴随着声音提示显示在监视器上，也可能伴随着声音提示 n如果是远程控制台，那么如果是远程控制

29、台，那么alertalert将通过将通过IDSIDS系统内置系统内置 方法（通常是加密的）、方法（通常是加密的）、SNMPSNMP（简单网络管理协议，（简单网络管理协议， 通常不加密）、通常不加密）、emailemail、SMSSMS（短信息）或者以上几（短信息）或者以上几 种方法的混合方式传递给管理员种方法的混合方式传递给管理员 Alert（警报）（警报） 安全检测技术45 Anomaly（异常）（异常） n当有某个事件与一个已知攻击的信号相匹配时，多数当有某个事件与一个已知攻击的信号相匹配时，多数 IDS都会告警都会告警 n一个基于一个基于anomaly（异常）的（异常）的IDS会构造一个

30、当时活动会构造一个当时活动 的主机或网络的大致轮廓，当有一个在这个轮廓以外的主机或网络的大致轮廓，当有一个在这个轮廓以外 的事件发生时，的事件发生时，IDS就会告警就会告警 n有些有些IDS厂商将此方法看做启发式功能，但一个启发厂商将此方法看做启发式功能，但一个启发 式的式的IDS应该在其推理判断方面具有更多的智能应该在其推理判断方面具有更多的智能 安全检测技术46 n首先，可以通过重新配置路由器和防火墙，拒绝那些来首先，可以通过重新配置路由器和防火墙，拒绝那些来 自同一地址的信息流自同一地址的信息流;其次，通过在网络上发送其次，通过在网络上发送reset包包 切断连接切断连接 n但是这两种方

31、式都有问题，攻击者可以反过来利用重新但是这两种方式都有问题，攻击者可以反过来利用重新 配置的设备，其方法是：通过伪装成一个友方的地址来配置的设备，其方法是：通过伪装成一个友方的地址来 发动攻击，然后发动攻击，然后IDS就会配置路由器和防火墙来拒绝这就会配置路由器和防火墙来拒绝这 些地址，这样实际上就是对些地址，这样实际上就是对“自己人自己人”拒绝服务了拒绝服务了 n发送发送reset包的方法要求有一个活动的网络接口，这样它包的方法要求有一个活动的网络接口，这样它 将置于攻击之下，一个补救的办法是：使活动网络接口将置于攻击之下，一个补救的办法是：使活动网络接口 位于防火墙内，或者使用专门的发包程

32、序，从而避开标位于防火墙内，或者使用专门的发包程序，从而避开标 准准IP栈需求栈需求 Automated Response（自动响应）（自动响应） 安全检测技术47 nIDS的核心是攻击特征，它使的核心是攻击特征，它使IDS在事件发生时触发在事件发生时触发 n特征信息过短会经常触发特征信息过短会经常触发IDS，导致误报或错报，过长，导致误报或错报，过长 则会减慢则会减慢IDS的工作速度的工作速度 n有人将有人将IDS所支持的特征数视为所支持的特征数视为IDS好坏的标准，但是好坏的标准，但是 有的产商用一个特征涵盖许多攻击，而有些产商则会将有的产商用一个特征涵盖许多攻击，而有些产商则会将 这些特

33、征单独列出，这就会给人一种印象，好像它包含这些特征单独列出，这就会给人一种印象，好像它包含 了更多的特征，是更好的了更多的特征，是更好的IDS Signatures（特征）（特征） 安全检测技术48 Promiscuous（混杂模式）（混杂模式） n默认状态下，默认状态下，IDS网络接口只能看到进出主机的信息，网络接口只能看到进出主机的信息， 也就是所谓的也就是所谓的non-promiscuous（非混杂模式）（非混杂模式） n如果网络接口是混杂模式，就可以看到网段中所有的如果网络接口是混杂模式，就可以看到网段中所有的 网络通信量，不管其来源或目的地网络通信量，不管其来源或目的地 n这对于网络

34、这对于网络IDS是必要的，但同时可能被信息包嗅探是必要的，但同时可能被信息包嗅探 器所利用来监控网络通信量器所利用来监控网络通信量 安全检测技术49 概述概述 入侵检测的分类入侵检测的分类 3 入侵检测系统的设计原理（略）入侵检测系统的设计原理（略） 入侵检测响应机制入侵检测响应机制 入侵检测标准化工作入侵检测标准化工作 入侵检测的现状和展望入侵检测的现状和展望 安全检测技术50 活动 数据源 感应器 分析器 管理器 操作员 管理员 事件 警报 通 告 应 急 安全策略 安全策略 入侵检测系统原理图入侵检测系统原理图 安全检测技术51 攻击模式库 入侵检测器应急措施 配置系统库 数据采集安全控

35、制 系统 审计记录/协议数据等系统操作 简单的入侵检测示意图简单的入侵检测示意图 安全检测技术52 基于主机的入侵检测系统基于主机的入侵检测系统 p系统分析主机产生的数据（应用程序及系统分析主机产生的数据（应用程序及 操作系统的事件日志）操作系统的事件日志） p由于内部人员的威胁正变得更重要由于内部人员的威胁正变得更重要 n基于主机的检测威胁基于主机的检测威胁 n基于主机的结构基于主机的结构 n优点及问题优点及问题 安全检测技术53 基于主机的检测威胁基于主机的检测威胁 p特权滥用特权滥用 p关键数据的访问及修改关键数据的访问及修改 p安全配置的变化安全配置的变化 安全检测技术54 基于主机的

36、入侵检测系统结构基于主机的入侵检测系统结构 p基于主机的入侵检测系统通常是基于代基于主机的入侵检测系统通常是基于代 理的，代理是运行在目标系统上的可执理的，代理是运行在目标系统上的可执 行程序，与中央控制计算机通信行程序，与中央控制计算机通信 n集中式：原始数据在分析之前要先发送到中集中式：原始数据在分析之前要先发送到中 央位置央位置 n分布式：原始数据在目标系统上实时分析，分布式：原始数据在目标系统上实时分析， 只有告警命令被发送给控制台只有告警命令被发送给控制台 安全检测技术55 目标系统 审计记录收集方法 审计记录预处理 异常检测误用检测 安全管理员接口 审计记录数据 归档/查询 审计记

37、录数据库 审计记录 基于审计的入侵检测系统结构示意图基于审计的入侵检测系统结构示意图 安全检测技术56 集中式检测的优缺点集中式检测的优缺点 p优点：优点： n不会降低目标机的性能不会降低目标机的性能 n统计行为信息统计行为信息 n多主机标志、用于支持起诉的原始数据多主机标志、用于支持起诉的原始数据 p缺点：缺点： n不能进行实时检测不能进行实时检测 n不能实时响应不能实时响应 n影响网络通信量影响网络通信量 安全检测技术57 分布式检测的优缺点分布式检测的优缺点 p优点：优点： n实时告警实时告警 n实时响应实时响应 p缺点：缺点： n降低目标机的性能降低目标机的性能 n没有统计行为信息没有

38、统计行为信息 n没有多主机标志没有多主机标志 n没有用于支持起诉的原始数据没有用于支持起诉的原始数据 n降低了数据的辨析能力降低了数据的辨析能力 n系统离线时不能分析数据系统离线时不能分析数据 安全检测技术58 操作模式操作模式 p操作主机入侵检测系统的方式操作主机入侵检测系统的方式 n警告警告 n监视监视 n毁坏情况评估毁坏情况评估 n遵从性遵从性 安全检测技术59 基于主机的技术面临的问题基于主机的技术面临的问题 p性能：降低是不可避免的 p部署/维护 p损害 p欺骗 安全检测技术60 基于网络的入侵检测系统基于网络的入侵检测系统 p入侵检测系统分析网络数据包入侵检测系统分析网络数据包 p

39、基于网络的检测威胁基于网络的检测威胁 p基于网络的结构基于网络的结构 p优点及问题优点及问题 安全检测技术61 基于网络的检测威胁基于网络的检测威胁 p非授权访问非授权访问 p数据数据/资源的窃取资源的窃取 p拒绝服务拒绝服务 安全检测技术62 基于网络的入侵检测系统结构基于网络的入侵检测系统结构 p基于网络的入侵检测系统由遍及网络的传感器基于网络的入侵检测系统由遍及网络的传感器 （Sensor)组成，传感器会向中央控制台报组成，传感器会向中央控制台报 告。传感器通常是独立的检测引擎，能获得网告。传感器通常是独立的检测引擎，能获得网 络分组、找寻误用模式，然后告警。络分组、找寻误用模式，然后告

40、警。 p传统的基于传感器的结构传统的基于传感器的结构 p分布式网络节点结构分布式网络节点结构 安全检测技术63 传统的基于传感器的结构传统的基于传感器的结构 p传感器（通常设置为混杂模式）用于嗅传感器（通常设置为混杂模式）用于嗅 探网络上的数据分组，并将分组送往检探网络上的数据分组，并将分组送往检 测引擎测引擎 p检测引擎安装在传感器计算机本身检测引擎安装在传感器计算机本身 p网络分接器分布在关键任务网段上，每网络分接器分布在关键任务网段上，每 个网段一个个网段一个 安全检测技术64 管理/配置 入侵分析引擎器 网络安全数据库 嗅探器嗅探器 分析结果 基于网络的入侵检测系统模型基于网络的入侵检

41、测系统模型 安全检测技术65 分布式网络节点结构分布式网络节点结构 p为解决高速网络上的丢包问题，为解决高速网络上的丢包问题，1999年年6月，出月，出 现的一种新的结构，将传感器分布到网络上的每现的一种新的结构，将传感器分布到网络上的每 台计算机上台计算机上 p每个传感器检查流经他的网络分组，然后传感器每个传感器检查流经他的网络分组，然后传感器 相互通信，主控制台将所有的告警聚集、关联起相互通信，主控制台将所有的告警聚集、关联起 来来 安全检测技术66 数据采集构件 应急处理构件 通信传输构件 检测分析构件 管理构件 安全知识库 分布式入侵检测系统结构示意图分布式入侵检测系统结构示意图 安全

42、检测技术67 基于网络的入侵检测的好处基于网络的入侵检测的好处 p威慑外部人员 p检测 p自动响应及报告 安全检测技术68 基于网络的技术面临的问题基于网络的技术面临的问题 p分组重组 p高速网络 p加密 安全检测技术69 基于异常的入侵检测基于异常的入侵检测 p思想：任何正常人的行为有一定的规律思想：任何正常人的行为有一定的规律 p需要考虑的问题：需要考虑的问题： （1）选择哪些数据来表现用户的行为）选择哪些数据来表现用户的行为 （2）通过以上数据如何有效地表示用户的行为，主要在）通过以上数据如何有效地表示用户的行为，主要在 于学习和检测方法的不同于学习和检测方法的不同 （3）考虑学习过程的

43、时间长短、用户行为的时效性等问）考虑学习过程的时间长短、用户行为的时效性等问 题题 安全检测技术70 数据选取的原则数据选取的原则 （1）数据能充分反映用户行为特征的全貌数据能充分反映用户行为特征的全貌 （2） 应使需要的数据量最小应使需要的数据量最小 （3） 数据提取难度不应太大数据提取难度不应太大 安全检测技术71 NIDS抓包抓包 pPF_PACKET n从链路层抓包 plibpcap n提供API函数 pwinpcap nWindows下的抓包库 安全检测技术72 分析数据包分析数据包 Ethernet IP TCP 模式匹配 Ethernet IP TCP 协议分析 HTTP Uni

44、code XML 安全检测技术73 一个攻击检测实例一个攻击检测实例 p老版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell！ 安全检测技术74 简单的匹配简单的匹配 p检查每个packet是否包含： “WIZ” | “DEBUG” 安全检测技术75 检查端口号检查端口号 p缩小匹配范围 Port 25: “WIZ” | “DEBUG” 安全检测技术76 深入决策树深入决策树 p只判断客户端发送部分 Port 25: Client-sends: “WIZ” | Client-sends: “DEBUG” 安全检测技术77

45、 概述概述 入侵检测的分类入侵检测的分类 入侵检测系统的设计原理入侵检测系统的设计原理 4. 入侵检测响应机制入侵检测响应机制 入侵检测标准化工作入侵检测标准化工作 入侵检测的现状和展望入侵检测的现状和展望 安全检测技术78 响应策略响应策略 p弹出窗口报警 pE-mail通知 p切断TCP连接 p执行自定义程序 p与其他安全产品交互 nFirewall nSNMP Trap 安全检测技术79 概述概述 入侵检测的分类入侵检测的分类 入侵检测系统的设计原理入侵检测系统的设计原理 入侵检测响应机制入侵检测响应机制 5. 入侵检测标准化工作入侵检测标准化工作 入侵检测的现状和展望入侵检测的现状和展

46、望 安全检测技术80 IDSIDS标准化工作的组织标准化工作的组织 pIETF的入侵检测工作组的入侵检测工作组IDWG： p通用入侵检测框架通用入侵检测框架CIDF： 安全检测技术81 入侵检测工作组入侵检测工作组IDWG pIDWG的主要工作是定义相关的数据格式和共 享信息的交换过程，用于入侵检测与响应 （Intrusion Detection and Response， IDR）系统之间或与需要交互的管理系统之间 的信息共享。 安全检测技术82 入侵检测工作组IDWG p从进展状况来看，目前IDWG基本形成了4个RFC 文档，其中有3个文档实在2007年3月从草案正 式被接受为RFC文档的

47、，历时数年之久，相当不 容易； 安全检测技术83 通用入侵检测框架通用入侵检测框架CIDF nCIDF所做的工作主要包括四部分： nIDS的体系结构的体系结构 n通信机制通信机制 n描述语言描述语言 1.应用编程接口应用编程接口API 安全检测技术84 CIDF将一个入侵检测系统分为四个组件将一个入侵检测系统分为四个组件 n事件产生器（Event generators） n事件分析器（Event analyzers） n响应单元（Response units ） n事件数据库（Event databases ） 。 安全检测技术85 CIDF的体系结构的体系结构 事件产生器 响应单元 事件数据

48、库 事件分析器 CIDF的体系结构 原始事件 响应事件 安全检测技术86 通用入侵检测框架CIDF p目前CIDF的进展不尽如人意，该项目组的工作 基本处于停滞状态，其思想和理念也没有得到 很好的贯彻和执行。 安全检测技术87 概述概述 入侵检测的分类入侵检测的分类 入侵检测系统的设计原理入侵检测系统的设计原理 入侵检测响应机制入侵检测响应机制 入侵检测标准化工作入侵检测标准化工作 6. 入侵检测的现状和展望入侵检测的现状和展望 安全检测技术88 IDSIDS现状现状 存在问题： u 误报和漏报的矛盾 u 隐私和安全的矛盾 u 被动分析与主动发现的矛盾 u 海量信息与分析代价的矛盾 u 功能性

49、和可管理性的矛盾 u 单一的产品与复杂的网络应用的矛盾 u 网络规模扩大，网络速度提高，需满足高速大规模网 络应用需求 安全检测技术89 IDSIDS发展方向发展方向 p分析技术的改进分析技术的改进 n智能化的检测方法智能化的检测方法 p改进对高速网络数据流的检测改进对高速网络数据流的检测 p与防火墙联动与防火墙联动 p集成网络分析和管理功能集成网络分析和管理功能 n入侵检测产品集成网管功能、扫描器入侵检测产品集成网管功能、扫描器 (Scanner)、嗅探器、嗅探器(Sniffer)等功能等功能 是以后发展的方向是以后发展的方向 安全检测技术90 IDS与与Firewall联动联动 通过在防火

50、墙中驻留的一个通过在防火墙中驻留的一个IDS Agent对象，以接收来自对象，以接收来自 IDS的控制消息，然后再增加防火墙的过滤规则，最终实的控制消息，然后再增加防火墙的过滤规则，最终实 现联动现联动 Cisco CIDF(CISL) ISS Checkpoint 安全检测技术91 产品产品 p免费 nSnort nSHADOW 安全检测技术92 产品产品 p商业 nCyberCop Monitor, NAI nDragon Sensor, Enterasys neTrust ID, CA nNetProwler, Symantec nNetRanger, Cisco nNID-100/20

51、0, NFR Security nRealSecure, ISS nSecureNet Pro, I 安全检测技术93 资源资源 pIDS FAQ pFocus-IDS Mailinglist pYawl pOldHand pSinbad 安全检测技术94 引语：引语：在这一实验中，将在在这一实验中，将在WindowsWindows平台上建立入侵检测系平台上建立入侵检测系 统（统（snortsnort）。）。SnortSnort是一个轻便的网络入侵检测系统，是一个轻便的网络入侵检测系统， 在运行的时只占用极少的网络资源，对原有网络性能影在运行的时只占用极少的网络资源，对原有网络性能影 响很小。

52、它可以完成实时流量分析和对网络上的响很小。它可以完成实时流量分析和对网络上的IPIP包登包登 录进行测试等功能，能完成协议分析，内容查找匹配录进行测试等功能，能完成协议分析，内容查找匹配 ，是用来探测多种攻击的侵入探测器（如缓冲区溢出、，是用来探测多种攻击的侵入探测器（如缓冲区溢出、 秘密秘密端端口扫描、口扫描、CGICGI攻击、攻击、SMBSMB嗅探、指纹采集尝试等）嗅探、指纹采集尝试等） 。Snort Snort 可以运行在可以运行在* *nix/Win32 nix/Win32 平台上。平台上。 目的：目的：本实验在本实验在Win2000 Server环境安装与配置入侵检测环境安装与配置入

53、侵检测 系统（系统（snort）。完成这一实验之后，将能够：安装）。完成这一实验之后，将能够：安装 “snort”服务，使用服务，使用“snort”服务。服务。 安全检测技术95 实验所需软件：实验所需软件：具备服务器运行具备服务器运行Windows 2000 ServerWindows 2000 Server。snortsnort软软 件。要完整的安装入侵检测系统必须先从网上下载以下软件：件。要完整的安装入侵检测系统必须先从网上下载以下软件： q Snort（Win32 MySQL Binary!）（）（）；）； q Snort Rules 2.1（）；（）； q WinPcap 3.1（w

54、inpcap.polito.it）；）； q MySQL Shareware 3.23.58（）；（）； q PHP 4.3.5（）；（）； q ADODB 3.5.0（ q ACID 0.9.6b6（）；（）； l l MySQL Database l l PHP 安全检测技术96 任务任务1.安装安装Snort 任务任务2.安装安装MySQL Database 任务任务3.生成生成Win32 MySQL database 任务任务4.在在MySQL中生成中生成Acid的库表的库表 任务任务5.测试测试Snort 任务任务6.将将Snort设置成为设置成为windows 2000 / XP的

55、一项服务的一项服务 任务任务7.安装安装PHP 任务任务8.配置配置PHP运行在运行在2000 / XP的的IIS 4/5环境下环境下 任务任务9.安装安装ADODB 一个高性能的数据库一个高性能的数据库 安全检测技术97 第第7章章 安全检测技术安全检测技术 网络信息获取技术网络信息获取技术 陈德伟陈德伟 西南财经大学信息工程学院西南财经大学信息工程学院 安全检测技术98 目目 录录 p网络信息收集网络信息收集 p网络扫描技术网络扫描技术 p网络流量侦听技术网络流量侦听技术 安全检测技术99 网络信息收集 p信息 p攻击者和管理者都需要各种网络信息，如：域名， IP地址，主机运行的TCP和U

56、DP服务，系统信息 （用户名、版本等），认证机制。 安全检测技术100 网络信息收集网络信息收集社会信息社会信息 p指通过非网络技术手段获得的信息 p社会工程：获取员工的信任。 p搜索引擎：google,百度 p新闻论坛 p网站： 安全检测技术101 网络信息收集网络信息收集 WHOISWHOIS p WHOIS：是用来查询域名的IP以及所有者等信息 的传输协议 pUNIX系统自带Whois客户端程序，windows可 以直接通过Web查询 p中国域名信息查询： nW 安全检测技术102 网易的域名信息网易的域名信息 安全检测技术103 网络信息收集网络信息收集 DNSDNS查询查询 pDNS

57、是一个全球分布式数据库，对每一个是一个全球分布式数据库，对每一个DNS结点，都包结点，都包 含该结点的机器、邮件服务器、主机含该结点的机器、邮件服务器、主机CPU和操作系统信息。和操作系统信息。 pNslookup :客户程序，可以把客户程序，可以把DNS数据库中的信息挖掘数据库中的信息挖掘 出来出来 安全检测技术104 Nslookup查询的新浪 注：本机所访问到的新浪网页是镜像网站注：本机所访问到的新浪网页是镜像网站 安全检测技术105 目目 录录 p网络信息收集网络信息收集 p网络扫描技术网络扫描技术 p网络流量侦听技术网络流量侦听技术 安全检测技术106 扫描技术 p扫描技术是网络安全

58、领域的重要技术之一，是一扫描技术是网络安全领域的重要技术之一，是一 种基于种基于Internet远程检测目标网络或本地主机远程检测目标网络或本地主机 安全性脆弱点的技术，是为使系统管理员能够及安全性脆弱点的技术，是为使系统管理员能够及 时了解系统中存在的安全漏洞，并采取相应防范时了解系统中存在的安全漏洞，并采取相应防范 措施，从而降低系统的安全风险而发展起来的一措施，从而降低系统的安全风险而发展起来的一 种安全技术。种安全技术。 安全检测技术107 扫描步骤扫描步骤 一次完整的扫描分为一次完整的扫描分为3 3个阶段：个阶段： （1 1）第）第1 1阶段：发现目标主机或网络。阶段：发现目标主机或

59、网络。 （2 2）第）第2 2阶段：发现目标后进一步搜集目标信息，包括阶段：发现目标后进一步搜集目标信息，包括 操作系统类型、运行的服务以及服务软件的版本等。如果目操作系统类型、运行的服务以及服务软件的版本等。如果目 标是一个网络，还可以进一步发现该网络的拓扑结构、路由标是一个网络，还可以进一步发现该网络的拓扑结构、路由 设备以及各主机的信息。设备以及各主机的信息。 （3 3）第）第3 3阶段：根据搜集到的信息判断或者进一步测试阶段：根据搜集到的信息判断或者进一步测试 系统是否存在安全漏洞。系统是否存在安全漏洞。 安全检测技术108 扫描技术的分类扫描技术的分类 扫描技术主要包括扫描技术主要包

60、括 主机扫描主机扫描 端口扫描端口扫描 安全检测技术109 主机扫描技术 p主机扫描的目的是确定在目标网络上的主机是否 可达。这是信息收集的初级阶段，其效果直接影 响到后续的扫描。 p常用的传统扫描手段有： nICMP Echo扫描 nICMP Sweep扫描 nBroadcast ICMP扫描 nNon-Echo ICMP扫描 安全检测技术110 ICMP echo扫描 p实现原理：Ping的实现机制，在判断在一个网络上主机是否 开机时非常有用。向目标主机发送ICMP Echo Request (type 8)数据包，等待回复的ICMP Echo Reply 包(type 0) 。如果能收到