信息安全技术与实施（第4版） 课件 项目5 安全检测技术与应用

入侵检测技术厚德强能、求实创新第五章任务1入侵检测系统的概念1入侵检测系统分类2入侵检测系统应用与部署31入侵检测系统的概念厚德强能、求实创新1入侵检测系统的概念厚德强能、求实创新监控室=控制中心后门摄像机=探测引擎CardKey它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。防火墙大门入侵检测系统智能监控系统1入侵检测系统的概念厚德强能、求实创新某人尝试进入一个系统，访问未经授权的资源；或者利用系统漏洞获得系统的最高权限等的非法行为。通过对特定行为的分析检测到对系统的闯入。识别非法用户未经授权使用计算机系统，或合法用户越权操作计算机系统的行为，通过对计算机网络中的若干关键点或计算机系统资源信息的收集并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和攻击的迹象。IDS是英文“IntrusionDetectionSystems”的缩写，中文意思是“入侵检测系统”，进行入侵检测的软件与硬件的组合便是入侵检测系统。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。入侵入侵检测入侵检测系统厚德强能、求实创新1入侵检测系统的概念厚德强能、求实创新1入侵检测系统的概念入侵检测技术，是通过对行为、安全日志、审计数据或其他网络上可以获得的信息进行审计检查，检测到针对系统的闯入或闯入的企图。通用入侵检测系统组成：传感器分析器知识库控制器入侵检测概念厚德强能、求实创新1入侵检测系统的概念（1）传感器（探测器/数据收集器）。传感器负责收集捕获所有可能的与入侵行为有关的信息，为入侵分析引擎模块提供分析用的数据，包括网络数据包、系统或应用程序的日志和系统调用记录等。（2）分析器（检测器）。分析器是入侵检测系统的核心模块。其依据传感器和知识库提供的数据，按照一定的算法进行分析，从中判断是否有入侵行为出现，并产生入侵报警信息。（3）知识库。提供必要的数据信息支持，如用户的历史活动档案、检测规则集合等。（4）控制器。根据报警信息，提供入侵行为的控制措施，例如例如关闭网络服务、中断网络连接、启动备份系统等。厚德强能、求实创新1入侵检测系统的概念入侵检测工作过程信息收集信息分析安全响应①

系统和网络日志。②

目录和文件中不期望的改变。③

程序执行中的不期望行为。①

模式匹配。②

统计分析。③

完整性分析。①

被动响应通过发送告警通知将发生的异常情况报告给系统管理员，由管理员决策下一步的行动。②

主动响应分为对被攻击系统实施控制（防护）和对攻击来源实施控制（反击）两种。厚德强能、求实创新入侵检测的作用（1）发现受保护系统中的入侵行为或异常行为；（2）检验安全保护措施的有效性；（3）分析受保护系统所面临的威胁；（4）及时报警触发网络安全应急响应，阻止安全事件扩大；（5）为网络安全策略的制定提供重要指导；（6）告警信息用作网络犯罪取证。1入侵检测系统的概念厚德强能、求实创新2入侵检测系统分类入侵检测技术分类入侵检测实现技术，主要包括基于误用的入侵检测技术和基于异常的入侵检测技术两种。误用检测（MisuseDetection），通常称为基于特征的入侵检测，这种检测方法是收集非正常操作（入侵）行为的特征，建立相关的特征库；在后续的检测过程中，将收集到的数据与特征库中的特征代码进行比较，得出是否有入侵行为。误用检测的前提是：所有的入侵行为都有可被检测到的特征。特点：误报率低、漏报率高误用：定义什么是“坏”的，然后去找它。厚德强能、求实创新2入侵检测系统分类入侵检测技术分类异常检测（AnomalyDetection）通过统计分析系统正常操作应具有的特征，定义一组系统正常情况的值，建立系统正常行为的“轨迹”，然后将系统运行时的值与所定义的“正常”值相比较，判断是否有入侵行为特点：误报率高、漏报率低异常：定义什么是“好”的，然后把所有不像“好”的都视为可疑的。厚德强能、求实创新能否基于“人工智能”的机器学习的理念，提升漏报率、误报率呢？开发“智能入侵检测系统”2入侵检测系统分类想一想厚德强能、求实创新入侵检测系统分类2入侵检测系统分类根据IDS的检测数据来源和它的安全作用范围，可将IDS分为三大类：基于主机的入侵检测系统（HIDS）：即通过分析主机的信息来检测入侵行为。基于网络的入侵检测系统（NIDS）：即通过获取网络通信中的数据包，对这些数据包进行攻击特征扫描或异常建模来发现入侵行为。分布式入侵检测系统（DIDS）：从多台主机、多个网段采集检测数据，或者收集单个IDS的报警信息，根据收集到的信息进行综合分析，以发现入侵行为。厚德强能、求实创新2入侵检测系统分类基于主机的入侵检测系统（HIDS）HIDS一般适合检测以下入侵行为：①

针对主机的端口或漏洞扫描；

②

重复失败的登入尝试；③

远程口令破解；④

主机系统的用户账号添加；⑤

服务启动或停止；⑥

系统重启动；⑥

文件的完整性或许可权变化；⑦

注册表修改；⑧

重要系统启动文件变更；⑧

程序的异常调用；⑨

拒绝服务攻击。1、可以检测基于网络的入侵检测系统不能检测的攻击；2、基于主机的入侵检测系统可以运行在应用加密系统的网络上，只要加密信息在到达被监控的主机时或到达前解密；3、基于主机的入侵检测系统可以运行在交换网络中。1、必须在每个被监控的主机上都安装和维护信息收集模块；2、由于HIDS的一部分安装在被攻击的主机上，HIDS可能受到攻击并被攻击者破坏；3、HIDS占用受保护的主机系统的系统资源，降低了主机系统的性能；4、不能有效地检测针对网络中所有主机的网络扫描：不能有效地检测和处理拒绝服务攻击；只能使用它所监控的主机的计算资源。优点缺点厚德强能、求实创新基于主机的入侵检测系统（HIDS）2入侵检测系统分类产品：Wazuh简介：目前最流行、功能最全面的开源HIDS之一。它源于OSSEC的分支，但极大地扩展了其功能。核心功能：日志分析、完整性监控、漏洞检测、合规性检查、安全事件响应、与ElasticStack深度集成提供强大的可视化。厚德强能、求实创新基于网络的入侵检测系统（NIDS）2入侵检测系统分类NIDS能够检测到以下入侵行为：①同步风暴(SYNFlood)；②分布式拒绝服务攻击(DDoS)；③网络扫描；④缓冲区溢出；⑤协议攻击；⑥流最异常；⑦非法网络访问。1、适当的配置可以监控大型网络的安全状况；2、基于网络的入侵检测系统通常属于被动型的设备，只监听网络而不干扰网络的正常运作，部署时对已有网络影响很小；3、基于网络的入侵检测系统对于攻击者甚至是不可见的，可以很好地避免被攻击。1、在高速网络中，NIDS很难处理所有的网络包，因此有可能出现漏检现象；2、交换机可以将网络分为许多小单元VLAN，而多数交换机不提供统一的监测端口，这就减少了基于网络的入侵检测系统的监测范围；3、如果网络流量被加密，NIDS中的传感器无法对数据包中的协议进行有效的分析；4、NIDS仅依靠网络流量无法推知命令的执行结果，从而无法判断攻击是否成功。优点缺点厚德强能、求实创新产品：Snort简介：世界上部署最广泛的开源入侵检测与预防系统，是NIDS领域的事实标准。核心功能：强大的实时流量分析和基于规则的协议分析。2入侵检测系统分类基于网络的入侵检测系统（NIDS）厚德强能、求实创新DIDS通过将HIDS的进程与数据细节和NIDS的时间与数据集成到一个中央IDS中，丰富了检测所用的数据源，实现了大型复杂网络的跨子网检测，有利于实现网络的分布式安全管理。分布式入侵检测系统（DIDS）2入侵检测系统分类厚德强能、求实创新3入侵检测系统应用与部署IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源。通常包括4个位置：①DMZ区、②外网入口、③内网主干、④关键子网与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求是：IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。厚德强能、求实创新未部署IDS时的企业网络架构没有IDS系统的企业网络是极不安全的只能依靠路由器的基本防护功能来保护内网显然远远不能满足企业的安全需求3入侵检测系统应用与部署厚德强能、求实创新DMZ对网络流量进行监控的IDS部署于主机上的IDS部署IDS时的企业网络架构3入侵检测系统应用与部署厚德强能、求实创新检测器放置于防火墙的DMZ区域：可以查看受保护区域主机被攻击状态；可以看出防火墙系统的策略是否合理；可以看出DMZ区域被黑客攻击的重点检测器放在主要的网络中枢：监控大量的网络数据，可提高检测黑客攻击的可能性；可通过授权用户的权限边界来发现未授权用户的行为检测器放在安全级别高的子网：对非常重要的系统和资源的入侵检测3入侵检测系统应用与部署厚德强能、求实创新3入侵检测系统应用与部署任务：Snort入侵检测技术的安装与配置（1）安装入侵检测系统Snort①

安装daq依赖程序，依次输入如下命令：sudoapt-getinstallflexsudoapt-getinstallbisonsudoaptinstallaptitudesudoaptitude

installlibpcap-dev②

安装daq，snort官网下载daq-2.0.7.tar.gz。输入如下命令：wget/downloads/snort/daq-2.0.7.tar.gztarxvfzdaq-2.0.7.tar.gzcddaq-2.0.7./configure&&make&&sudomakeinstall③

安装snort的依赖程序，输入如下命令：aptitudeinstalllibpcre3-devaptitudeinstalllibdumbnet-devaptitudeinstallzlib1g-devaptinstallopensslapt-getinstalllibssl-dev厚德强能、求实创新3入侵检测系统应用与部署④

安装LuaJIT，luajit官网下载LuaJIT-2.0.5.tar.gz。输入如下命令：sudowget/download/LuaJIT-2.0.5.tar.gzsudotar-zxvfLuaJIT-2.0.5.tar.gzcdLuaJIT-2.0.5/sudomake&&sudomakeinstall⑤

安装Snort，snort官网下载snort-2.9.20.tar.gz。输入以下命令：wget/downloads/snort/snort-2.9.20.tar.gztarxvfzsnort-2.9.20.tar.gzcdsnort-2.9.20./configure--enable-sourcefire&&make&&sudomakeinstall厚德强能、求实创新（2）配置入侵检测系统Snort3入侵检测系统应用与部署①

创建必要的文件夹②

复制文件到/etc/snort③

修改默认配置④

修改配置文件让黑白名单生效恶意代码检测技术厚德强能、求实创新第五章任务2恶意代码概述1恶意代码检测技术2恶意代码防范策略3厚德强能、求实创新1恶意代码概述（1）恶意代码定义恶意代码（MaliciousCode），是一种故意编制或设置的，带有恶意目的的，能够违背目标系统安全策略的程序代码，①

侵入系统。②

维持或提升已有的权限。③

隐蔽。④

潜伏。⑤

破坏。⑥

重复攻击过程。作用过程:厚德强能、求实创新1恶意代码概述（2）恶意代码分类依据恶意代码的独立性和传染性分类：①

不传染的依附性恶意代码，需借助其他媒介传播，例如：流氓软件、逻辑炸弹等。②

不传染的独立性恶意代码，需借助其他媒介传播，例如：灰鸽子、冰河、银狐等特洛伊木马(TrojanHorse)和风险程序。③传染的依附性恶意代码，通过感染宿主程序进行自我复制，例如：CIH、尼姆达等病毒。④传染的独立性恶意代码，能够独立传播并自我复制，例如：Stuxnet、WannaCry等蠕虫。木马则专注于窃取敏感信息，蠕虫则以其在网络中的自我复制和自我传染能力著称厚德强能、求实创新讲故事：搜索近年来发生的病毒事件1恶意代码概述熊猫烧香病毒震网病毒勒索病毒厚德强能、求实创新1恶意代码概述实操体验：利用Kali制作并使用木马工具：Kali（msfvenom）1、生成木马1、监听木马厚德强能、求实创新1恶意代码概述3、运行木马4、获取连接厚德强能、求实创新runvnc-i7、监控界面1恶意代码概述厚德强能、求实创新1恶意代码概述5、执行操作6、返回结果厚德强能、求实创新1恶意代码概述（3）恶意代码的关键技术（1）隐蔽技术（2）生存技术（3）攻击技术厚德强能、求实创新2恶意代码检测技术1．恶意代码分析方法厚德强能、求实创新2．恶意代码检测方法2恶意代码检测技术（1）基于特征码的检测。（2）基于行为的检测。（3）基于机器学习的检测。厚德强能、求实创新2恶意代码检测技术有哪些恶意程序检测工具？厚德强能、求实创新3恶意代码防范策略（1）计算机病毒防范（1）查找计算机病毒源。①

比较法。②

搜索法。③

特征字识别法。④

分析法。（2）阻断计算机病毒传播途径。①

用户具有计算机病毒防范安全意识和安全操作习惯。②

消除计算机病毒载体。③

安全区域隔离。（3）主动查杀计算机病毒。①

定期对计算机系统进行病毒检测。②

安装防计算机病毒软件，建立多级病毒防护体系。厚德强能、求实创新3恶意代码防范策略（2）特洛伊木马防范（1）检测系统开放端口。（2）检测重要系统文件。（3）检测系统注册表。（4）检测网络通信流量。厚德强能、求实创新3恶意代码防范策略（3）网络蠕虫防范①

传播抑制。②

标记免疫。③

阻断隔离。厚德强能、求实创新第二十四条

网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。第五十条

任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息第六十二条

违反本法第二十二条第一款、第二款和第四十八条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：（一）设置恶意程序的；（二）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；（三）擅自终止为其产品、服务提供安全维护的。《全国人民代表大会常务委员会关于修改<中华人民共和国网络安全法>的决定》已由中华人民共和国第十四届全国人民代表大会常务委员会第十八次会议于2025年10月28日通过，现予公布，自2026年1月1日起施行。《中华人民共和国网络安全法》新修订3恶意代码防范策略安全漏洞检测技术厚德强能、求实创新第五章任务3安全漏洞概述1安全漏洞管理2安全漏洞检测3厚德强能、求实创新1安全漏洞检测概述安全漏洞概念安全漏洞又称脆弱性，简称漏洞，是指信息系统在硬件、软件、协议的设计与具体实现上及系统安全策略上存在的缺陷和不足。从广义的角度来看，一切可能导致系统安全性受到影响或破坏的因素均视为漏洞。攻击者对网络系统安全构成的威胁主要有敏感信息泄露、非授权访问、身份假冒、拒绝服务。时间网络安全事件主要利用的漏洞1988年莫里斯（Morris）蠕虫Unix系统缓冲区（栈溢出）漏洞2001年红色代码（CodeRed）蠕虫MicrosoftIIS缓冲区溢出漏洞（CVE-2001-0459）2003年冲击波（Blaster）蠕虫WindowsRPC服务缓冲区溢出漏洞（CVE-2003-0352）2010年震网（Stuxnet）病毒Windows和西门子WinCC等工控系统软件漏洞：CVE-2008-4250、CVE-2010-2568、CVE-2010-2743、CVE-2010-3888、CVE-2010-2729（windows），CVE-2010-2772（WinCC），CVE-2012-3015（Step7）2014年心脏滴血（Heartbleed）漏洞OpenSSL心跳协议缓冲区溢出漏洞（CVE-2014-0160）2017年WannaCry勒索病毒WindowsSMBv1协议缓冲区溢出漏洞（CVE-2017-0144）2024年IvantiVPN零日攻击IvantiConnectSecure身份验证绕过漏洞(CVE-2023-46805)IvantiPolicySecure命令注入漏洞(CVE-2024-21887)厚德强能、求实创新漏洞的来源1安全漏洞检测概述信息系统的漏洞主要来自两个方面：一方面是非技术性漏洞，涉及管理组织结构、管理制度、管理流程、人员管理等；另一方面是技术性漏洞，涉及网络结构、通信协议、设备、软件产品、系统配置、应用系统等。（1）非技术性漏洞的主要来源。①

网络安全责任主体不明确。组织中缺少负责网络安全的机构，或者是网络安全机构不健全，导致网络安全措施缺少责任部门落实。②

网络安全策略不完备。组织中缺少或者没有形成一套规范的网络信息安全策略。例如，缺少笔记本电脑安全接入控制策略，有可能导致外部非安全计算机随意接入到内部网络中，使内部网络安全防护机制失去保护效果。③

网络安全操作技能不足。组织中缺少对于工作人员网络安全职责规范的要求，没有制度化的安全意识与技能培训机制。例如，员工缺少新的网络信息安全威胁的知识和预防能力，不知道如何防范垃圾邮件、设置安全口令。④

网络安全监督缺失。组织中缺少强有力的网络信息安全监督机制，网络信息安全策略的实施无法落实，无法掌握网络安全态势。例如，恶意代码防护策略缺少更新和维护。⑤

网络安全特权控制不完备。网络信息系统中存在特权账号，缺少对超级用户权限的审计和约束，从而引发内部安全威胁。厚德强能、求实创新漏洞的来源1安全漏洞检测概述（2）技术性漏洞的主要来源①设计错误（DesignError）。由于系统或软件程序设计错误，导致产生漏洞。例如，TCP/IP协议设计错误导致IP地址可以伪造。②输入验证错误（InputValidationError）。由于未对用户输入数据的合法性进行验证，使攻击者非法进入系统。③缓冲区溢出（BufferOverflow）。输入程序缓冲区的数据超过其规定长度，造成缓冲区溢出，破坏程序正常的堆栈，使程序执行其他代码。④意外情况处置错误（ExceptionalConditionHandlingError）。由于程序在实现逻辑中没有考虑到一些意外情况，而导致运行出错。⑤访问验证错误（AccessValidationError）。由于程序的访问验证部分存在某些逻辑错误，使攻击者可以绕过访问控制进入系统。⑥配置错误（ConfigurationError）。由于系统和应用的配置有误，或配置参数、访问权限、策略安装位置有误，导致产生漏洞。⑦竞争条件（RaceCond山on）。由于程序处理文件等实体在时序和同步方面存在问题，会产生一个短暂的时机使攻击者能够施以外来的影响。⑧环境错误（ConditionError）。由于一些环境变量的错误或恶意设置，导致产生漏洞。厚德强能、求实创新2安全漏洞管理漏洞分类CVE漏洞分类：CVE是由美国MITRE公司建设和维护的安全漏洞字典，是国际上权威的漏洞发布组织，其成员包含众多全球知名的安全企业和研究机构。针对已公开的漏洞，CVE提供统一标识和规范化描述，其目的是便于共享漏洞数据。属性描述举例CVEIDCVE编号CVE-2021-44228Assigner分配者ApachePublished发布日期2021-12-10CVE漏洞条目属性厚德强能、求实创新（2）CVSS漏洞分级：通用漏洞评分系统（CommonVulnerabilityScoringSystem，CVSS）是一个行业公开标准，用来评测漏洞的严重程度，目前已更新至CVSS

4.0版。CVSS

4.0由基础、威胁、环境和补充4个评价指标组组成。漏洞分类2安全漏洞管理（3）OWASPTOP10漏洞分类：开源Web应用安全项目（OpenWebApplicationSecurityProject，OWASP）主要面向Web应用程序，每三年更新发布一次危害性排名前10的Web应用漏洞。目前，已发布多个版本，主要的漏洞类型包括注入、未验证的重定向与转发、失效的身份认证、XML外部实体（XXE）、敏感信息泄露、失效的访问控制、安全配置错误、跨站脚本（CrossSiteScripting，XSS）、不安全的反序列化、使用含有已知漏洞的组件、不足的日志记录与监控、非安全加密存储。厚德强能、求实