網(wǎng)絡(luò)安全技術(shù)——C7.ppt

2020 1 22 1 第七章入侵檢測技術(shù) 網(wǎng)絡(luò) 黑客 越來越猖獗 攻擊手段越來越先進(jìn) 殺傷力 越來越大 為了對付 黑客 們層出不窮的攻擊 人們采取了各種各樣的反攻擊手段 在這些手段中 入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門 在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵 2020 1 22 2 一 入侵檢測的概念 入侵檢測是主動保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù) 它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息 并分析這些信息 從而發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象 從而提供對內(nèi)部攻擊 外部攻擊和誤操作的實(shí)時保護(hù) 作為防火墻的合理補(bǔ)充 入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊 擴(kuò)展了系統(tǒng)管理員的安全管理能力 提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性 2020 1 22 3 二 入侵檢測可以實(shí)現(xiàn)的功能如下1 監(jiān)控和分析用戶以及系統(tǒng)的活動2 核查系統(tǒng)配置和漏洞3 統(tǒng)計(jì)分析異?；顒? 評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性5 識別攻擊的活動模式冰箱網(wǎng)管人員報(bào)警 2020 1 22 4 三 入侵檢測原理入侵者進(jìn)行攻擊的時候總會留下痕跡 這些痕跡和系統(tǒng)正常運(yùn)行的時候產(chǎn)生的數(shù)據(jù)混在一起 入侵檢測系統(tǒng)就是從這些混合數(shù)據(jù)中找出是否有入侵的痕跡 如果有就報(bào)警提示有入侵事件發(fā)生 入侵檢測系統(tǒng)有兩個重要部分 數(shù)據(jù)的取得和數(shù)據(jù)的檢測 入侵檢測系統(tǒng)取得的數(shù)據(jù)一般是系統(tǒng)和網(wǎng)絡(luò)運(yùn)行的時候產(chǎn)生的數(shù)據(jù) 入侵檢測系統(tǒng)研究者的主要工作是研究哪些數(shù)據(jù)最有可能反應(yīng)入侵事件的發(fā)生和哪些檢測技術(shù)最適應(yīng)于這些數(shù)據(jù) 從一組數(shù)據(jù)中檢測出入侵事件的數(shù)據(jù) 實(shí)際上就是對一組數(shù)據(jù)進(jìn)行分類 如果只是簡單地檢測出系統(tǒng)是否發(fā)生入侵 那么這個過程就是把數(shù)據(jù)分為兩類 有入侵的數(shù)據(jù)和無入侵的數(shù)據(jù) 如果復(fù)雜一些就是 不僅要檢測出入侵 還得說明是什么入侵 2020 1 22 5 四 入侵檢測系統(tǒng)的結(jié)構(gòu)入侵檢測系統(tǒng)至少應(yīng)該包含三個功能模塊 提供事件記錄流的信息源 發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的相應(yīng)部件 以下介紹參照美國國防部高級計(jì)劃局提出的公共入侵檢測框架CIDF的一個入侵檢測系統(tǒng)的通用模型 它們在入侵檢測系統(tǒng)中的位置和關(guān)系如下圖所示 響應(yīng)單元 事件數(shù)據(jù)庫 事件分析器 事件收集器 各種級別的事件 2020 1 22 6 五 入侵檢測分類1 根據(jù)檢測方式 入侵檢測系統(tǒng)大體可以分為三類 基于行為的入侵監(jiān)測系統(tǒng) 異常檢測 和基于入侵知識的入侵檢測系統(tǒng) 濫用檢測 和混合檢測 異常檢測 假定所有的入侵活動都是異?；顒?濫用檢測 攻擊或入侵總能表示成模式或者特征的形式 因此可以通過匹配該模式或特征來檢測入侵及其變種 2 根據(jù)數(shù)據(jù)來源的不同 基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) 前者適用于主機(jī)環(huán)境 后者適用于網(wǎng)絡(luò)環(huán)境 2020 1 22 7 3 根據(jù)入侵檢測系統(tǒng)的分析數(shù)據(jù)來源劃分 1 網(wǎng)絡(luò)入侵檢測系統(tǒng) 可以通過對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包的分析和統(tǒng)計(jì) 檢測到可能發(fā)生的惡意攻擊 2 系統(tǒng)完整性校驗(yàn)系統(tǒng) 主要是用來檢驗(yàn)系統(tǒng)文件 從而確定系統(tǒng)是否被黑客進(jìn)行了攻擊 3 日志文件分析系統(tǒng) 通過分析網(wǎng)絡(luò)服務(wù)產(chǎn)生的日志文件來獲得潛在的惡意攻擊企圖 4 欺騙系統(tǒng) 通過模擬一些著名的漏洞并提供虛假服務(wù)來欺騙入侵者 2020 1 22 8 4 根據(jù)檢測系統(tǒng)對入侵攻擊的響應(yīng)方式 1 主動的入侵檢測系統(tǒng) 實(shí)時入侵檢測系統(tǒng) 在檢測出入侵后 可以自動地對目標(biāo)系統(tǒng)中的漏洞采取修補(bǔ) 強(qiáng)制可疑用戶退出系統(tǒng)以及關(guān)閉相關(guān)服務(wù)等對策和響應(yīng)措施 2 被動的入侵檢測系統(tǒng) 事后入侵檢測系統(tǒng) 在檢測出系統(tǒng)攻擊后只是產(chǎn)生報(bào)警信息通知系統(tǒng)安全管理員 至于之后的處理工作由系統(tǒng)管理員完成 2020 1 22 9 5 其他一些入侵檢測技術(shù) 神經(jīng)網(wǎng)絡(luò) 由于用戶行為的復(fù)雜性 所以要想準(zhǔn)確匹配一個用戶的歷史行為和當(dāng)前行為是非常困難的 誤報(bào)的原因往往來自對審計(jì)數(shù)據(jù)的統(tǒng)計(jì)算法基于不確定的假設(shè) 所以目前采用神經(jīng)網(wǎng)絡(luò)技術(shù)進(jìn)行入侵檢測 該方法可能用于檢測下面的難題 難于建立確切的統(tǒng)計(jì)分布 統(tǒng)計(jì)方法依賴于有用戶行為的主觀建設(shè)難于實(shí)現(xiàn)方法的普遍適應(yīng)性 適用于一類用戶的檢測措施無法適用于另一類用戶系統(tǒng)臃腫難于裁減 2020 1 22 10 專家系統(tǒng) 就是基于一套由專家經(jīng)驗(yàn)事先定義的規(guī)則的推理系統(tǒng) 它根據(jù)一定的推理規(guī)則對所涉及的攻擊進(jìn)行分析和推理 如對密碼的試探性攻擊 需要解釋的是該專家系統(tǒng)也具有一定的局限性 因?yàn)檫@類推理規(guī)則的基礎(chǔ)是根據(jù)已知的漏洞和攻擊進(jìn)行規(guī)則的定義的 而實(shí)際上最危險(xiǎn)的攻擊是來自未知的漏洞或者攻擊類型 專家系統(tǒng)的功能需要隨著經(jīng)驗(yàn)和知識的積累逐步擴(kuò)充和修正 完備的推理系統(tǒng)有能力對新的入侵和網(wǎng)絡(luò)攻擊進(jìn)行檢測 因此 和普通的統(tǒng)計(jì)方法相比 依賴歷史數(shù)據(jù)較少 可以用于廣普的安全策略和檢測需求 2020 1 22 11 六 入侵響應(yīng) 1 準(zhǔn)備工作提前制定一份應(yīng)急響應(yīng)計(jì)劃如果資金允許 可以申請獲得外部的技術(shù)支持組建一個事故響應(yīng)小組并分配給成員不同責(zé)任準(zhǔn)備大量的備份介質(zhì)預(yù)先對系統(tǒng)環(huán)境進(jìn)行文檔化工作具備一個有效的通訊計(jì)劃 2020 1 22 12 2 入侵檢測 1 重要的日志文件LASTLOG 每個用戶最近一次登陸時間和源UTMP 記錄以前登陸到系統(tǒng)中的所有用戶 WTMP 記錄用戶登陸和退出事件SYSLOG 消息日志工具 2 利用系統(tǒng)命令檢測入侵動作 一些系統(tǒng)命令 如find和secure等稱之為檢查程序可以用來搜索文件系統(tǒng) 2020 1 22 13 3 日志審核 ps命令對于找出入侵者的進(jìn)程 連接時間以及跟蹤指定用戶的活動非常有用 4 以太網(wǎng)窺探器 利用網(wǎng)絡(luò)窺探工具如snoop等可以記錄網(wǎng)絡(luò)的特定網(wǎng)段上的活動 3 入侵響應(yīng)遇到網(wǎng)絡(luò)遭到攻擊 首先要做到兩條 保持冷靜 其次是對做的每件事情要有記錄 建議以下七個步驟 2020 1 22 14 估計(jì)形式并決定需要作出哪些響應(yīng)如果有必要就要斷開連接或關(guān)閉資源事故分析和響應(yīng)根據(jù)響應(yīng)決策向其他人報(bào)警保存系統(tǒng)狀態(tài)恢復(fù)遭到攻擊的系統(tǒng)記錄所發(fā)生的一切 2020 1 22 15 七 入侵追蹤根據(jù)入侵的數(shù)據(jù)記錄來獲取入侵者信息的途徑即為入侵追蹤 1 根據(jù)IPAddress進(jìn)行追蹤 把機(jī)器當(dāng)前的連接記錄復(fù)制到文檔上 特定 遠(yuǎn)端 2 根據(jù)地理位置進(jìn)行追蹤 如果入侵者是通過撥號上網(wǎng) ISP無法得知是誰在使用其網(wǎng)絡(luò) 可以使用來話者電話檢測功能將對方的電話顯示 如果電話無法顯示 那么通過IP地址進(jìn)行追蹤 2020 1 22 16 八 基本的入侵方式網(wǎng)絡(luò)攻擊是一項(xiàng)系統(tǒng)性很強(qiáng)的工作 一般流程為 1 端口掃描技術(shù)利用現(xiàn)有的分析軟件 如portscan haktek等進(jìn)行目標(biāo)主機(jī)的端口掃描 可以直接得到各個端口提供的服務(wù)與端口狀態(tài) 這主要是因?yàn)橐话愣丝谝呀?jīng)被賦予了 收集情報(bào) 遠(yuǎn)程攻擊 遠(yuǎn)程登陸 取得普通用戶權(quán)限 取得超級用戶權(quán)限 留下 后門 清除日志 網(wǎng)絡(luò)攻擊的一般流程 2020 1 22 17 了一定的意義 例如FTP服務(wù)端口為21 WWW的端口是80等等 例 scanninghostxx xx xx port0to1000port7found port21found 在得到了端口的一些信息后 入侵邊便可以了解和分析系統(tǒng) 進(jìn)而訪問和入侵系統(tǒng) 2 密碼文件的獲取利用Finger功能 進(jìn)行信息檢測應(yīng)用Haktek工具在TARGET中輸入目標(biāo)主機(jī)的地址 而 2020 1 22 18 后選擇Finger即可出現(xiàn)登陸到該主機(jī)的用戶的一些信息 loginNameTTYIdleWhenWhere這樣經(jīng)過一段時間的觀察 就會積累一定的帳號信息 利用電子郵件地址一些公司的郵件地址是公開的 可以進(jìn)行積累 有時郵件帳號和密碼之間有一些聯(lián)系 也可以作為破解密碼的線索 3 清除日志日志清除是攻擊者隱藏自己 獲得再次訪問該系統(tǒng)的機(jī)會的方法 針對不同的日志記錄 可以采取不同的清除方法 2020 1 22 19 附 傳統(tǒng)的掃描與監(jiān)聽工具ISS是一個用來檢查使用TCP IP連接的主機(jī)是否容易受到攻擊的軟件 目前成為了黑客的攻擊工具 SATAN是一個分析網(wǎng)絡(luò)安全和測試的工具TCPCONNECT掃描Sniffer溴探器主要用于分析網(wǎng)絡(luò)流量 找出網(wǎng)絡(luò)中潛在的問題 有些能夠進(jìn)行比較強(qiáng)的協(xié)議分析 因此能夠撲獲一些口令等信息TCPDUNPETHERFINDTEPDUMPNFSWATCH 2020 1 22 20 九 入侵檢測系統(tǒng)1 起源1980年Anderson提出 入侵檢測概念 分類方法1987年Denning提出了一種通用的入侵檢測模型獨(dú)立性 系統(tǒng) 環(huán)境 脆弱性 入侵種類系統(tǒng)框架 異常檢測器 專家系統(tǒng)90年初CMDS NetProwler NetRanger ISSRealSecure 2020 1 22 21 1990 加州大學(xué)戴維斯分校的L T Heberlein等人開發(fā)出了NSM NetworkSecurityMonitor 該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來源 因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁 兩大陣營正式形成 基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS 2020 1 22 22 2 IDS基本結(jié)構(gòu) 入侵檢測系統(tǒng)包括三個功能部件 1 信息收集系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為 2 信息分析模式匹配統(tǒng)計(jì)分析完整性分析 往往用于事后分析 2020 1 22 23 3 結(jié)果處理誤報(bào) falsepositive 如果系統(tǒng)錯誤地將異?；顒佣x為入侵漏報(bào) falsenegative 如果系統(tǒng)未能檢測出真正的入侵行為 2020 1 22 24 3 主機(jī)入侵檢測 HIDS 安裝于被保護(hù)的主機(jī)中 但可以不運(yùn)行在監(jiān)控主機(jī)上主要分析主機(jī)內(nèi)部活動系統(tǒng)日志系統(tǒng)調(diào)用文件完整性檢查占用一定的系統(tǒng)資源 2020 1 22 25 Internet 基于主機(jī)入侵檢測系統(tǒng)工作原理 網(wǎng)絡(luò)服務(wù)器1 客戶端 網(wǎng)絡(luò)服務(wù)器2 檢測內(nèi)容 系統(tǒng)調(diào)用 端口調(diào)用 系統(tǒng)日志 安全審記 應(yīng)用日志 HIDS HIDS 2020 1 22 26 4 基于網(wǎng)絡(luò)的入侵檢測 安裝在被保護(hù)的網(wǎng)段中 對通信數(shù)據(jù)進(jìn)行偵聽采集數(shù)據(jù)主機(jī)資源消耗少提供對網(wǎng)絡(luò)通用的保護(hù)如何適應(yīng)高速網(wǎng)絡(luò)環(huán)境非共享網(wǎng)絡(luò)上如何采集數(shù)據(jù)混雜模式監(jiān)聽分析網(wǎng)段中所有的數(shù)據(jù)包實(shí)時檢測和響應(yīng)操作系統(tǒng)無關(guān)性 2020 1 22 27 Internet NIDS 網(wǎng)絡(luò)服務(wù)器1 數(shù)據(jù)包 包頭信息 有效數(shù)據(jù)部分 客戶端 網(wǎng)絡(luò)服務(wù)器2 檢測內(nèi)容 包頭信息 有效數(shù)據(jù)部分 2020 1 22 28 5 兩種入侵檢測系統(tǒng)的優(yōu)缺點(diǎn)比較1 基于主機(jī)優(yōu)點(diǎn)具有更大的準(zhǔn)確性 及時進(jìn)行響應(yīng)判斷應(yīng)用層的入侵事件不需要額外的硬件缺點(diǎn)占用主機(jī)資源 服務(wù)器產(chǎn)生額外的負(fù)擔(dān)缺乏跨平臺支持 可移植性差 2020 1 22 29 2 基于網(wǎng)絡(luò)優(yōu)點(diǎn)可移植性強(qiáng)不依賴主機(jī)的操作系統(tǒng)作為檢測資源實(shí)時監(jiān)測應(yīng)答 更快的做出反應(yīng) 監(jiān)測力度更細(xì)致攻擊者轉(zhuǎn)移證據(jù)困難 能檢測未成功的攻擊企圖缺點(diǎn)只能監(jiān)視本網(wǎng)段的活動精確度不高高層信息的獲取上困難 技術(shù)實(shí)現(xiàn)復(fù)雜 2020 1 22 30 6 基于主機(jī)和網(wǎng)絡(luò)的入侵檢測系統(tǒng) 互聯(lián)網(wǎng) 防火墻 IDS1 IDS3 IDS2 ISD4 內(nèi)部網(wǎng) 1 IDS1 放在防火墻之外 檢測對內(nèi)網(wǎng) 防火墻的攻擊 看不到來自內(nèi)網(wǎng)的攻擊2 IDS2 處理防火墻轉(zhuǎn)發(fā)的數(shù)據(jù)包 影響防火墻的轉(zhuǎn)發(fā)功能3 IDS3 檢測穿過防火墻的數(shù)據(jù)包 基于網(wǎng)絡(luò)監(jiān)測的位置4 IDS4 放在主機(jī)內(nèi)部 來自外網(wǎng) 內(nèi)網(wǎng)的攻擊都可檢測 2020 1 22 31 7 基于事件分析的入侵檢測系統(tǒng)1 基于異常檢測模型的入侵檢測系統(tǒng)自學(xué)習(xí)系統(tǒng)編程系統(tǒng)2 基于濫用檢測模型的入侵檢測系統(tǒng)狀態(tài)建模專家系統(tǒng)串匹配基于簡單規(guī)則3 混合