安全生產(chǎn)_網(wǎng)絡(luò)安全--入侵檢測培訓(xùn)課程

網(wǎng)絡(luò)安全 入侵檢測 網(wǎng)絡(luò)安全的構(gòu)成 物理安全性設(shè)備的物理安全 防火 防盜 防破壞等通信網(wǎng)絡(luò)安全性防止入侵和信息泄露系統(tǒng)安全性計算機系統(tǒng)不被入侵和破壞用戶訪問安全性通過身份鑒別和訪問控制 阻止資源被非法用戶訪問數(shù)據(jù)安全性數(shù)據(jù)的完整 可用數(shù)據(jù)保密性信息的加密存儲和傳輸 安全的分層結(jié)構(gòu)和主要技術(shù) 物理安全層 網(wǎng)絡(luò)安全層 系統(tǒng)安全層 用戶安全層 應(yīng)用安全層 數(shù)據(jù)安全層 加密 訪問控制 授權(quán) 用戶 組管理 單機登錄 身份認(rèn)證 反病毒 風(fēng)險評估 入侵檢測 審計分析 安全的通信協(xié)議 VPN 防火墻 存儲備份 主要的傳統(tǒng)安全技術(shù) 加密消息摘要 數(shù)字簽名身份鑒別 口令 鑒別交換協(xié)議 生物特征訪問控制安全協(xié)議 IPSec SSL網(wǎng)絡(luò)安全產(chǎn)品與技術(shù) 防火墻 VPN內(nèi)容控制 防病毒 內(nèi)容過濾等 預(yù)防 prevention 和 防護 protection 的思想 傳統(tǒng)安全技術(shù)的局限性 傳統(tǒng)的安全技術(shù)采用嚴(yán)格的訪問控制和數(shù)據(jù)加密策略來防護在復(fù)雜系統(tǒng)中 這些策略是不充分的這些措施都是以減慢交易為代價的大部分損失是由內(nèi)部引起的82 的損失是內(nèi)部威脅造成的傳統(tǒng)安全技術(shù)難于防內(nèi)傳統(tǒng)的安全技術(shù)基本上是一種被動的防護 而如今的攻擊和入侵要求我們主動地去檢測 發(fā)現(xiàn)和排除安全隱患傳統(tǒng)安全措施不能滿足這一點 入侵檢測系統(tǒng)概述 入侵檢測系統(tǒng)的定義 入侵 Intrusion 企圖進入或濫用計算機或網(wǎng)絡(luò)系統(tǒng)的行為可能來自于網(wǎng)絡(luò)內(nèi)部的合法用戶入侵檢測 IntrusionDetection 對系統(tǒng)的運行狀態(tài)進行監(jiān)視 發(fā)現(xiàn)各種攻擊企圖 攻擊行為或者攻擊結(jié)果 以保證系統(tǒng)資源的機密性 完整性和可用性入侵檢測系統(tǒng) IntrusionDetectionSystem IDS 定義 進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)功能 監(jiān)控計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的事件 根據(jù)規(guī)則進行安全審計 為什么需要入侵檢測系統(tǒng) 入侵很容易入侵教程隨處可見各種工具唾手可得防火墻不能保證絕對的安全網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破對某些攻擊保護很弱不是所有的威脅來自防火墻外部防火墻是鎖 入侵檢測系統(tǒng)是監(jiān)視器入侵檢測系統(tǒng)IDS通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)的關(guān)鍵點收集信息并進行分析 從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象 入侵檢測的任務(wù) 檢測來自內(nèi)部的攻擊事件和越權(quán)訪問85 以上的攻擊事件來自于內(nèi)部的攻擊防火墻只能防外 難于防內(nèi)入侵檢測系統(tǒng)作為傳統(tǒng)安全工具的一個有效的補充入侵檢測系統(tǒng)可以有效的防范防火墻開放的服務(wù)入侵通過事先發(fā)現(xiàn)風(fēng)險來阻止入侵事件的發(fā)生 提前發(fā)現(xiàn)試圖攻擊或濫用網(wǎng)絡(luò)系統(tǒng)的人員檢測其它安全工具沒有發(fā)現(xiàn)的網(wǎng)絡(luò)工具事件提供有效的審計信息 詳細記錄黑客的入侵過程 從而幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)的脆弱性 入侵檢測相關(guān)術(shù)語 IDS IntrusionDetectionSystems 入侵檢測系統(tǒng)Promiscuous混雜模式 即IDS網(wǎng)絡(luò)接口可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量 不管其來源或目的地Signatures特征 即攻擊的特征Alerts警告Anomaly異常Console控制臺Sensor傳感器 即檢測引擎 入侵檢測系統(tǒng)分類 1 按照數(shù)據(jù)來源 基于主機系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機 保護的目標(biāo)也是系統(tǒng)運行所在的主機基于網(wǎng)絡(luò)系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包 保護的是網(wǎng)絡(luò)的運行 入侵檢測系統(tǒng)分類 2 按系統(tǒng)各模塊的運行方式集中式系統(tǒng)的各個模塊包括數(shù)據(jù)的收集分析集中在一臺主機上運行分布式系統(tǒng)的各個模塊分布在不同的計算機和設(shè)備上根據(jù)時效性脫機分析行為發(fā)生后 對產(chǎn)生的數(shù)據(jù)進行分析聯(lián)機分析在數(shù)據(jù)產(chǎn)生的同時或者發(fā)生改變時進行分析 基于主機的入侵檢測系統(tǒng) 基于主機的入侵檢測系統(tǒng) Host BasedIDS HIDS 系統(tǒng)安裝在主機上面 對本主機進行安全檢測優(yōu)點審計內(nèi)容全面 保護更加周密視野集中適用于加密及交換環(huán)境易于用戶自定義對網(wǎng)絡(luò)流量不敏感缺點額外產(chǎn)生的安全問題HIDS依賴性強如果主機數(shù)目多 代價過大不能監(jiān)控網(wǎng)絡(luò)上的情況 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) Network BasedIDS NIDS 系統(tǒng)安裝在比較重要的網(wǎng)段內(nèi)在共享網(wǎng)段上對通信數(shù)據(jù)進行偵聽采集數(shù)據(jù)優(yōu)點檢測范圍廣 提供對網(wǎng)絡(luò)通用的保護無需改變主機配置和性能 安裝方便獨立性 操作系統(tǒng)無關(guān)性偵測速度快隱蔽性好較少的監(jiān)測器 占資源少缺點不能檢測不同網(wǎng)段的網(wǎng)絡(luò)包很難檢測復(fù)雜的需要大量計算的攻擊協(xié)同工作能力弱難以處理加密的會話 IDS基本結(jié)構(gòu) 入侵檢測系統(tǒng)包括三個功能部件信息收集信息分析結(jié)果處理 信息收集 入侵檢測的第一步是信息收集 收集內(nèi)容包括系統(tǒng) 網(wǎng)絡(luò) 數(shù)據(jù)及用戶活動的狀態(tài)和行為需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點 不同網(wǎng)段和不同主機 收集信息盡可能擴大檢測范圍從一個源來的信息有可能看不出疑點入侵檢測很大程度上依賴于收集信息的可靠性和正確性要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強的堅固性 防止被篡改而收集到錯誤的信息信息收集的來源系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為 信息分析 分析得到的數(shù)據(jù) 并產(chǎn)生分析結(jié)果模式匹配將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較 從而發(fā)現(xiàn)違背安全策略的行為統(tǒng)計分析首先給系統(tǒng)對象 如用戶 文件 目錄和設(shè)備等 創(chuàng)建一個統(tǒng)計描述 統(tǒng)計正常使用時的一些測量屬性 如訪問次數(shù) 操作失敗次數(shù)和延時等 測量屬性的平均值和偏差將被用來與網(wǎng)絡(luò) 系統(tǒng)的行為進行比較 任何觀察值在正常值范圍之外時 就認(rèn)為有入侵發(fā)生完整性分析事后分析主要關(guān)注某個文件或?qū)ο笫欠癖桓脑诎l(fā)現(xiàn)被更改的 被安裝木馬的應(yīng)用程序方面特別有效 結(jié)果處理 結(jié)果處理 即對分析結(jié)果作出反應(yīng) 切斷連接改變文件屬性發(fā)動對攻擊者的反擊報警 IDS的組成 檢測引擎控制中心 HUB 檢測引擎 MonitoredServers 控制中心 檢測引擎的部署位置 放在邊界防火墻之內(nèi)放在邊界防火墻之外放在主要的網(wǎng)絡(luò)中樞放在一些安全級別需求高的子網(wǎng) 檢測引擎的部署位置示意圖 Internet 部署二 部署一 部署三 部署四 網(wǎng)絡(luò)入侵技術(shù) 入侵 Intrusion 入侵是指未經(jīng)授權(quán)蓄意嘗試訪問信息 篡改信息 使系統(tǒng)不可靠或不能使用的行為破壞計算機或網(wǎng)絡(luò)資源的完整性 機密性 可用性 可控性入侵者可以是一個手工發(fā)出命令的人 也可是一個基于入侵腳本或程序的自動發(fā)布命令的計算機入侵者可以被分為兩類 外部的 網(wǎng)絡(luò)外面的侵入者內(nèi)部的 合法使用網(wǎng)絡(luò)的侵入者 包括濫用權(quán)力的人和模仿更改權(quán)力的人 比如使用別人的終端 80 的安全問題同內(nèi)部人有關(guān) 侵入系統(tǒng)的主要途徑 物理侵入侵入者對主機有物理進入權(quán)限方法如移走磁盤并在另外的機器讀 寫系統(tǒng)侵入侵入者已經(jīng)擁有在系統(tǒng)的較低權(quán)限侵入者可能利用一個知名漏洞獲得系統(tǒng)管理員權(quán)限的機會遠程侵入入侵者通過網(wǎng)絡(luò)遠程進入系統(tǒng) 侵入者從無特權(quán)開始入檢測系統(tǒng)主要關(guān)心遠程侵入 網(wǎng)絡(luò)入侵的一般步驟 目標(biāo)探測和信息收集自身隱藏利用漏洞侵入主機穩(wěn)固和擴大戰(zhàn)果清除日志 目標(biāo)探測和信息收集 利用掃描器軟件掃描端口掃描漏洞掃描常用掃描器軟件 SATAN 流光 Mscan利用snmp了解網(wǎng)絡(luò)結(jié)構(gòu)搜集網(wǎng)絡(luò)管理信息網(wǎng)絡(luò)管理軟件也成為黑客入侵的一直輔助手段 自身隱藏 典型的黑客使用如下技術(shù)來隱藏IP地址通過telnet在以前攻克的Unix主機上跳轉(zhuǎn)通過終端管理器在windows主機上跳轉(zhuǎn)配置代理服務(wù)器更高級的黑客 精通利用電話交換侵入主機 利用漏洞侵入主機 已經(jīng)利用掃描器發(fā)現(xiàn)漏洞例如CGI IIS漏洞充分掌握系統(tǒng)信息進一步入侵 穩(wěn)固和擴大戰(zhàn)果 安裝后門BO 冰河添加系統(tǒng)賬號添加管理員賬號利用LKMLoadableKernelModules動態(tài)加載無需重新編譯內(nèi)核利用信任主機控制了主機以后 可以利用該主機對其它鄰近和信任主機進行入侵控制了代理服務(wù)器 可以利用該服務(wù)器對內(nèi)部網(wǎng)絡(luò)進一步入侵 清除日志 清除入侵日志W(wǎng)indows清除系統(tǒng)日志清除IIS日志清除FTP日志清除數(shù)據(jù)庫連接日志Unix登陸信息 var log home user bash historylastlog使管理員無法發(fā)現(xiàn)系統(tǒng)已被入侵 網(wǎng)絡(luò)入侵步驟總覽 IDS工作原理 入侵檢測引擎工作流程 1 入侵檢測引擎工作流程 2 監(jiān)聽部分網(wǎng)絡(luò)接口混雜模式根據(jù)設(shè)置過濾一些數(shù)據(jù)包協(xié)議分析IP IPX PPP 數(shù)據(jù)分析根據(jù)相應(yīng)的協(xié)議調(diào)用相應(yīng)的數(shù)據(jù)分析函數(shù)一個協(xié)議數(shù)據(jù)有多個數(shù)據(jù)分析函數(shù)處理數(shù)據(jù)分析的方法是入侵檢測系統(tǒng)的核心引擎管理協(xié)調(diào)和配置給模塊間工作數(shù)據(jù)分析后處理方式AlertLogCallFirewall 入侵檢測的分析方式 異常檢測 AnomalyDetection 誤用檢測 MisuseDetection 完整性分析 異常檢測 基本原理正常行為的特征輪廓檢查系統(tǒng)的運行情況統(tǒng)計模型優(yōu)點可以檢測到未知的入侵可以檢測冒用他人帳號的行為具有自適應(yīng) 自學(xué)習(xí)功能不需要系統(tǒng)先驗知識缺點漏報 誤報率高入侵者可以逐漸改變自己的行為模式來逃避檢測合法用戶正常行為的突然改變也會造成誤警統(tǒng)計算法的計算量龐大 效率很低統(tǒng)計點的選取和參考庫的建立比較困難 誤用檢測 基本原理提前建立已出現(xiàn)的入侵行為特征檢測當(dāng)前用戶行為特征模式匹配優(yōu)點算法簡單系統(tǒng)開銷小準(zhǔn)確率高效率高缺點被動只能檢測出已知攻擊新類型的攻擊會對系統(tǒng)造成很大的威脅模式庫的建立和維護難模式庫要不斷更新知識依賴于硬件平臺 操作系統(tǒng)和系統(tǒng)中運行的應(yīng)用程序 完整性分析 基本原理通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置 諸如系統(tǒng)文件的內(nèi)容或者系統(tǒng)表 來檢查系統(tǒng)是否已經(jīng)或者可能會遭到破壞優(yōu)點不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵 只要是成功的攻擊導(dǎo)致了文件或其它對象的任何改變 它都能夠發(fā)現(xiàn)缺點一般以批處理方式實現(xiàn) 不用于實時響應(yīng) 入侵檢測具體方法 1 基于統(tǒng)計方法的入侵檢測技術(shù)審計系統(tǒng)實時地檢測用戶對系統(tǒng)的使用情況 根據(jù)系統(tǒng)內(nèi)部保持的用戶行為的概率統(tǒng)計模型進行監(jiān)測 當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時 保持跟蹤并監(jiān)測 記錄該用戶的行為基于神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)采用神經(jīng)網(wǎng)絡(luò)技術(shù) 根據(jù)實時檢測到的信息有效地加以處理作出攻擊可能性的判斷基于專家系統(tǒng)的入侵檢測技術(shù)根據(jù)安全專家對可疑行為的分析經(jīng)驗來形成一套推理規(guī)則 然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的專家系統(tǒng) 并應(yīng)用于入侵檢測基于模型推理的入侵檢測技術(shù)為某些行為建立特定的模型 從而能夠監(jiān)視具有特定行為特征的某些活動 根據(jù)假設(shè)的攻擊腳本 這種系統(tǒng)就能檢測出非法的用戶行為一般為了準(zhǔn)確判斷 要為不同的攻擊者和不同的系統(tǒng)建立特定的攻擊腳本 入侵檢測具體方法 2 基于免疫原理的入侵檢測技術(shù)基于遺傳算法的入侵檢測技術(shù)基于基于代理檢測的入侵檢測技術(shù)基于數(shù)據(jù)挖掘的入侵檢測技術(shù) 入侵檢測響應(yīng)機制 彈出窗口報警E mail通知切斷TCP連接執(zhí)行自定義程序與其他安全產(chǎn)品交互FirewallSNMPTrap 入侵檢測標(biāo)準(zhǔn)化 IDS標(biāo)準(zhǔn)化要求 隨著網(wǎng)絡(luò)規(guī)模的擴大 網(wǎng)絡(luò)入侵的方式 類型 特征各不相同 入侵的活動變得復(fù)雜而又難以捉摸某些入侵的活動靠單一IDS不能檢測出來 如分布式攻擊網(wǎng)絡(luò)管理員常因缺少證據(jù)而無法追蹤入侵者 入侵者仍然可以進行非法的活動不同的IDS之間沒有協(xié)作 結(jié)果造成缺少某種入侵模式而導(dǎo)致IDS不能發(fā)現(xiàn)新的入侵活動目前網(wǎng)絡(luò)的安全也要求IDS能夠與訪問控制 應(yīng)急 入侵追蹤等系統(tǒng)交換信息 相互協(xié)作 形成一個整體有效的安全保障系統(tǒng) CIDF TheCommonIntrusionDetectionFramework CIDFCIDF是一套規(guī)范 它定義了IDS表達檢測信息的標(biāo)準(zhǔn)語言以及IDS組件之間的通信協(xié)議符合CIDF規(guī)范的IDS可以共享檢測信息 相互通信 協(xié)同工作 還可以與其它系統(tǒng)配合實施統(tǒng)一的配置響應(yīng)和恢復(fù)策略CIDF的主要作用在于集成各種IDS使之協(xié)同工作 實現(xiàn)各IDS之間的組件重用 所以CIDF也是構(gòu)建分布式IDS的基礎(chǔ) CIDF規(guī)格文檔 體系結(jié)