網(wǎng)絡(luò)安全--入侵檢測(cè)培訓(xùn)課程

1、網(wǎng)絡(luò)平安入侵檢測(cè)網(wǎng)絡(luò)平安的構(gòu)成物理平安性設(shè)備的物理平安：防火、防盜、防破壞等通信網(wǎng)絡(luò)平安性防止入侵和信息泄露系統(tǒng)平安性計(jì)算機(jī)系統(tǒng)不被入侵和破壞用戶訪問(wèn)平安性通過(guò)身份鑒別和訪問(wèn)控制，阻止資源被非法用戶訪問(wèn)數(shù)據(jù)平安性數(shù)據(jù)的完整、可用數(shù)據(jù)保密性信息的加密存儲(chǔ)和傳輸平安的分層結(jié)構(gòu)和主要技術(shù)物理平安層網(wǎng)絡(luò)平安層系統(tǒng)平安層用戶平安層應(yīng)用平安層數(shù)據(jù)平安層加密訪問(wèn)控制授權(quán)用戶/組管理單機(jī)登錄身份認(rèn)證反病毒風(fēng)險(xiǎn)評(píng)估入侵檢測(cè)審計(jì)分析平安的通信協(xié)議VPN防火墻存儲(chǔ)藏份主要的傳統(tǒng)平安技術(shù)加密消息摘要、數(shù)字簽名身份鑒別：口令、鑒別交換協(xié)議、生物特征訪問(wèn)控制平安協(xié)議： IPSec、SSL網(wǎng)絡(luò)平安產(chǎn)品與技術(shù)：防火墻、VPN

2、內(nèi)容控制: 防病毒、內(nèi)容過(guò)濾等“預(yù)防prevention和“防護(hù)protection的思想傳統(tǒng)平安技術(shù)的局限性傳統(tǒng)的平安技術(shù)采用嚴(yán)格的訪問(wèn)控制和數(shù)據(jù)加密策略來(lái)防護(hù)在復(fù)雜系統(tǒng)中，這些策略是不充分的這些措施都是以減慢交易為代價(jià)的大局部損失是由內(nèi)部引起的82%的損失是內(nèi)部威脅造成的傳統(tǒng)平安技術(shù)難于防內(nèi)傳統(tǒng)的平安技術(shù)根本上是一種被動(dòng)的防護(hù)，而如今的攻擊和入侵要求我們主動(dòng)地去檢測(cè)、發(fā)現(xiàn)和排除平安隱患傳統(tǒng)平安措施不能滿足這一點(diǎn)入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)的定義入侵Intrusion企圖進(jìn)入或?yàn)E用計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)的行為可能來(lái)自于網(wǎng)絡(luò)內(nèi)部的合法用戶入侵檢測(cè)Intrusion Detection對(duì)系統(tǒng)的運(yùn)行狀態(tài)

3、進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性入侵檢測(cè)系統(tǒng)Intrusion Detection System， IDS定義：進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)功能：監(jiān)控計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的事件，根據(jù)規(guī)那么進(jìn)行平安審計(jì)為什么需要入侵檢測(cè)系統(tǒng)入侵很容易入侵教程隨處可見(jiàn)各種工具唾手可得防火墻不能保證絕對(duì)的平安網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破對(duì)某些攻擊保護(hù)很弱不是所有的威脅來(lái)自防火墻外部防火墻是鎖，入侵檢測(cè)系統(tǒng)是監(jiān)視器入侵檢測(cè)系統(tǒng)IDS通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反平安策略的行為和被攻擊

4、的跡象入侵檢測(cè)的任務(wù)檢測(cè)來(lái)自內(nèi)部的攻擊事件和越權(quán)訪問(wèn)85以上的攻擊事件來(lái)自于內(nèi)部的攻擊防火墻只能防外，難于防內(nèi)入侵檢測(cè)系統(tǒng)作為傳統(tǒng)平安工具的一個(gè)有效的補(bǔ)充入侵檢測(cè)系統(tǒng)可以有效的防范防火墻開(kāi)放的效勞入侵通過(guò)事先發(fā)現(xiàn)風(fēng)險(xiǎn)來(lái)阻止入侵事件的發(fā)生，提前發(fā)現(xiàn)試圖攻擊或?yàn)E用網(wǎng)絡(luò)系統(tǒng)的人員檢測(cè)其它平安工具沒(méi)有發(fā)現(xiàn)的網(wǎng)絡(luò)工具事件提供有效的審計(jì)信息，詳細(xì)記錄黑客的入侵過(guò)程，從而幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)的脆弱性入侵檢測(cè)相關(guān)術(shù)語(yǔ)IDS(Intrusion Detection Systems)l入侵檢測(cè)系統(tǒng)Promiscuous l混雜模式，即IDS網(wǎng)絡(luò)接口可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量，不管其來(lái)源或目的地Signature

5、s l特征，即攻擊的特征Alertsl警告Anomalyl異常Consolel控制臺(tái)Sensorl傳感器，即檢測(cè)引擎入侵檢測(cè)系統(tǒng)分類 - 1按照數(shù)據(jù)來(lái)源：l基于主機(jī)系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)l基于網(wǎng)絡(luò)系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行入侵檢測(cè)系統(tǒng)分類 - 2按系統(tǒng)各模塊的運(yùn)行方式l集中式系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集分析集中在一臺(tái)主機(jī)上運(yùn)行l(wèi)分布式系統(tǒng)的各個(gè)模塊分布在不同的計(jì)算機(jī)和設(shè)備上根據(jù)時(shí)效性l脫機(jī)分析行為發(fā)生后，對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析l聯(lián)機(jī)分析在數(shù)據(jù)產(chǎn)生的同時(shí)或者發(fā)生改變時(shí)進(jìn)行分析基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)系統(tǒng):

6、Host-Based IDS(HIDS)系統(tǒng)安裝在主機(jī)上面，對(duì)本主機(jī)進(jìn)行平安檢測(cè)優(yōu)點(diǎn)審計(jì)內(nèi)容全面，保護(hù)更加周密視野集中適用于加密及交換環(huán)境易于用戶自定義對(duì)網(wǎng)絡(luò)流量不敏感缺點(diǎn)額外產(chǎn)生的平安問(wèn)題HIDS依賴性強(qiáng)如果主機(jī)數(shù)目多，代價(jià)過(guò)大不能監(jiān)控網(wǎng)絡(luò)上的情況基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)：Network-Based IDS(NIDS)系統(tǒng)安裝在比較重要的網(wǎng)段內(nèi)在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽(tīng)采集數(shù)據(jù) 優(yōu)點(diǎn)檢測(cè)范圍廣，提供對(duì)網(wǎng)絡(luò)通用的保護(hù)無(wú)需改變主機(jī)配置和性能，安裝方便獨(dú)立性，操作系統(tǒng)無(wú)關(guān)性偵測(cè)速度快 隱蔽性好 較少的監(jiān)測(cè)器，占資源少缺點(diǎn)不能檢測(cè)不同網(wǎng)段的網(wǎng)絡(luò)包很難檢測(cè)復(fù)雜的需要大量計(jì)算的

7、攻擊協(xié)同工作能力弱難以處理加密的會(huì)話 IDS根本結(jié)構(gòu)入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件l信息收集l信息分析l結(jié)果處理信息收集入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的假設(shè)干不同關(guān)鍵點(diǎn)不同網(wǎng)段和不同主機(jī)收集信息盡可能擴(kuò)大檢測(cè)范圍從一個(gè)源來(lái)的信息有可能看不出疑點(diǎn)入侵檢測(cè)很大程度上依賴于收集信息的可靠性和正確性要保證用來(lái)檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性特別是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的鞏固性，防止被篡改而收集到錯(cuò)誤的信息 信息收集的來(lái)源系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為信息分析分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果模

8、式匹配將收集到的信息與的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背平安策略的行為統(tǒng)計(jì)分析首先給系統(tǒng)對(duì)象如用戶、文件、目錄和設(shè)備等創(chuàng)立一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等。測(cè)量屬性的平均值和偏差將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生完整性分析事后分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓脑诎l(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效結(jié)果處理結(jié)果處理，即對(duì)分析結(jié)果作出反響。切斷連接改變文件屬性發(fā)動(dòng)對(duì)攻擊者的還擊報(bào)警IDS的組成l檢測(cè)引擎l控制中心HUB檢測(cè)引擎Monitored Servers控制中心檢測(cè)引擎的部

9、署位置放在邊界防火墻之內(nèi)放在邊界防火墻之外放在主要的網(wǎng)絡(luò)中樞放在一些平安級(jí)別需求高的子網(wǎng)檢測(cè)引擎的部署位置示意圖Internet部署二部署一部署三部署三部署四部署四網(wǎng)絡(luò)入侵技術(shù)入侵 (Intrusion)入侵是指未經(jīng)授權(quán)蓄意嘗試訪問(wèn)信息、篡改信息，使系統(tǒng)不可靠或不能使用的行為破壞計(jì)算機(jī)或網(wǎng)絡(luò)資源的完整性、機(jī)密性、可用性、可控性入侵者可以是一個(gè)手工發(fā)出命令的人，也可是一個(gè)基于入侵腳本或程序的自動(dòng)發(fā)布命令的計(jì)算機(jī) 入侵者可以被分為兩類: 外部的: 網(wǎng)絡(luò)外面的侵入者 內(nèi)部的: 合法使用網(wǎng)絡(luò)的侵入者，包括濫用權(quán)力的人和模仿更改權(quán)力的人(比方使用別人的終端) 。80%的平安問(wèn)題同內(nèi)部人有關(guān)侵入系統(tǒng)的主要

10、途徑物理侵入侵入者對(duì)主機(jī)有物理進(jìn)入權(quán)限方法如移走磁盤(pán)并在另外的機(jī)器讀/寫(xiě) 系統(tǒng)侵入侵入者已經(jīng)擁有在系統(tǒng)的較低權(quán)限侵入者可能利用一個(gè)知名漏洞獲得系統(tǒng)管理員權(quán)限的時(shí)機(jī) 遠(yuǎn)程侵入入侵者通過(guò)網(wǎng)絡(luò)遠(yuǎn)程進(jìn)入系統(tǒng)，侵入者從無(wú)特權(quán)開(kāi)始 入檢測(cè)系統(tǒng)主要關(guān)心遠(yuǎn)程侵入網(wǎng)絡(luò)入侵的一般步驟目標(biāo)探測(cè)和信息收集自身隱藏利用漏洞侵入主機(jī)穩(wěn)固和擴(kuò)大戰(zhàn)果去除日志目標(biāo)探測(cè)和信息收集利用掃描器軟件掃描l端口掃描l漏洞掃描l常用掃描器軟件：SATAN，流光，Mscan利用snmp了解網(wǎng)絡(luò)結(jié)構(gòu)l搜集網(wǎng)絡(luò)管理信息l網(wǎng)絡(luò)管理軟件也成為黑客入侵的一直輔助手段自身隱藏典型的黑客使用如下技術(shù)來(lái)隱藏IP地址通過(guò)telnet在以前攻克的Unix主機(jī)上

11、跳轉(zhuǎn)通過(guò)終端管理器在windows主機(jī)上跳轉(zhuǎn)配置代理效勞器更高級(jí)的黑客，精通利用 交換侵入主機(jī)利用漏洞侵入主機(jī)已經(jīng)利用掃描器發(fā)現(xiàn)漏洞l例如CGI/IIS漏洞充分掌握系統(tǒng)信息進(jìn)一步入侵穩(wěn)固和擴(kuò)大戰(zhàn)果安裝后門BO，冰河添加系統(tǒng)賬號(hào)添加管理員賬號(hào)利用LKMLoadable Kernel Modules動(dòng)態(tài)加載無(wú)需重新編譯內(nèi)核利用信任主機(jī)控制了主機(jī)以后，可以利用該主機(jī)對(duì)其它鄰近和信任主機(jī)進(jìn)行入侵控制了代理效勞器，可以利用該效勞器對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)一步入侵去除日志去除入侵日志W(wǎng)indows去除系統(tǒng)日志去除IIS日志去除FTP日志去除數(shù)據(jù)庫(kù)連接日志Unix登陸信息 /var/log/home/user/.bas

12、h_historylastlog使管理員無(wú)法發(fā)現(xiàn)系統(tǒng)已被入侵網(wǎng)絡(luò)入侵步驟總覽選中攻擊目標(biāo)獲取普通用戶權(quán)限擦除入侵痕跡安裝后門新建帳號(hào)獲取超級(jí)用戶權(quán)限攻擊其它主機(jī)獲取或修改信息從事其它非法活動(dòng)掃描網(wǎng)絡(luò)利用系統(tǒng)已知的漏洞、通過(guò)輸入?yún)^(qū)向CGI發(fā)送特殊的命令、發(fā)送特別大的數(shù)據(jù)造成緩沖區(qū)溢出、猜測(cè)已知用戶的口令，從而發(fā)現(xiàn)突破口。IDS工作原理入侵檢測(cè)引擎工作流程 - 1入侵檢測(cè)引擎工作流程 - 2監(jiān)聽(tīng)局部網(wǎng)絡(luò)接口混雜模式根據(jù)設(shè)置過(guò)濾一些數(shù)據(jù)包協(xié)議分析IP，IPX，PPP，.數(shù)據(jù)分析根據(jù)相應(yīng)的協(xié)議調(diào)用相應(yīng)的數(shù)據(jù)分析函數(shù)一個(gè)協(xié)議數(shù)據(jù)有多個(gè)數(shù)據(jù)分析函數(shù)處理數(shù)據(jù)分析的方法是入侵檢測(cè)系統(tǒng)的核心引擎管理協(xié)調(diào)和配置給

13、模塊間工作數(shù)據(jù)分析后處理方式AlertLogCall Firewall入侵檢測(cè)的分析方式異常檢測(cè)Anomaly Detection誤用檢測(cè)Misuse Detection完整性分析 異常檢測(cè)根本原理正常行為的特征輪廓檢查系統(tǒng)的運(yùn)行情況統(tǒng)計(jì)模型優(yōu)點(diǎn)可以檢測(cè)到未知的入侵 可以檢測(cè)冒用他人帳號(hào)的行為 具有自適應(yīng)，自學(xué)習(xí)功能 不需要系統(tǒng)先驗(yàn)知識(shí)缺點(diǎn)漏報(bào)、誤報(bào)率高入侵者可以逐漸改變自己的行為模式來(lái)逃避檢測(cè)合法用戶正常行為的突然改變也會(huì)造成誤警 統(tǒng)計(jì)算法的計(jì)算量龐大，效率很低 統(tǒng)計(jì)點(diǎn)的選取和參考庫(kù)的建立比較困難誤用檢測(cè)根本原理提前建立已出現(xiàn)的入侵行為特征檢測(cè)當(dāng)前用戶行為特征模式匹配優(yōu)點(diǎn)算法簡(jiǎn)單系統(tǒng)開(kāi)銷小

14、準(zhǔn)確率高效率高缺點(diǎn)被動(dòng)只能檢測(cè)出攻擊 新類型的攻擊會(huì)對(duì)系統(tǒng)造成很大的威脅 模式庫(kù)的建立和維護(hù)難模式庫(kù)要不斷更新知識(shí)依賴于硬件平臺(tái)、操作系統(tǒng)和系統(tǒng)中運(yùn)行的應(yīng)用程序完整性分析根本原理通過(guò)檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或者系統(tǒng)表，來(lái)檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞 優(yōu)點(diǎn)不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn) 缺點(diǎn)一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng) 入侵檢測(cè)具體方法 - 1基于統(tǒng)計(jì)方法的入侵檢測(cè)技術(shù)審計(jì)系統(tǒng)實(shí)時(shí)地檢測(cè)用戶對(duì)系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保持的用戶行為的概率統(tǒng)計(jì)模型進(jìn)行監(jiān)測(cè)，當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時(shí)，保持

15、跟蹤并監(jiān)測(cè)、記錄該用戶的行為基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)采用神經(jīng)網(wǎng)絡(luò)技術(shù)，根據(jù)實(shí)時(shí)檢測(cè)到的信息有效地加以處理作出攻擊可能性的判斷基于專家系統(tǒng)的入侵檢測(cè)技術(shù)根據(jù)平安專家對(duì)可疑行為的分析經(jīng)驗(yàn)來(lái)形成一套推理規(guī)那么，然后再在此根底之上構(gòu)成相應(yīng)的專家系統(tǒng)，并應(yīng)用于入侵檢測(cè)基于模型推理的入侵檢測(cè)技術(shù)為某些行為建立特定的模型，從而能夠監(jiān)視具有特定行為特征的某些活動(dòng)。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測(cè)出非法的用戶行為一般為了準(zhǔn)確判斷，要為不同的攻擊者和不同的系統(tǒng)建立特定的攻擊腳本入侵檢測(cè)具體方法 - 2基于免疫原理的入侵檢測(cè)技術(shù) 基于遺傳算法的入侵檢測(cè)技術(shù) 基于基于代理檢測(cè)的入侵檢測(cè)技術(shù) 基于數(shù)據(jù)挖掘的入侵檢

16、測(cè)技術(shù) 入侵檢測(cè)響應(yīng)機(jī)制彈出窗口報(bào)警E-mail通知切斷TCP連接執(zhí)行自定義程序與其他平安產(chǎn)品交互FirewallSNMP Trap入侵檢測(cè)標(biāo)準(zhǔn)化IDS標(biāo)準(zhǔn)化要求隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)入侵的方式、類型、特征各不相同，入侵的活動(dòng)變得復(fù)雜而又難以捉摸某些入侵的活動(dòng)靠單一IDS不能檢測(cè)出來(lái)，如分布式攻擊網(wǎng)絡(luò)管理員常因缺少證據(jù)而無(wú)法追蹤入侵者，入侵者仍然可以進(jìn)行非法的活動(dòng)不同的IDS之間沒(méi)有協(xié)作，結(jié)果造成缺少某種入侵模式而導(dǎo)致IDS不能發(fā)現(xiàn)新的入侵活動(dòng)目前網(wǎng)絡(luò)的平安也要求IDS能夠與訪問(wèn)控制、應(yīng)急、入侵追蹤等系統(tǒng)交換信息，相互協(xié)作，形成一個(gè)整體有效的平安保障系統(tǒng)CIDFThe Common Intrusion Detection Framework, CIDFCIDF是一套標(biāo)準(zhǔn)，它定義了IDS表達(dá)檢測(cè)信息的標(biāo)準(zhǔn)語(yǔ)言以及IDS組件之間的通信協(xié)議符合CIDF標(biāo)準(zhǔn)的IDS可以共享檢測(cè)信息，相互通信，協(xié)同工作，還可以與其它系統(tǒng)配合實(shí)施統(tǒng)一的配置響應(yīng)和恢復(fù)策略CIDF的主要作用在于集成各種IDS使之協(xié)同工作，實(shí)現(xiàn)各IDS之間的組件重用，所以CIDF也是構(gòu)建分布式IDS的根底CIDF規(guī)格文檔體系結(jié)構(gòu)闡述了一個(gè)標(biāo)準(zhǔn)的IDS的通用模型標(biāo)準(zhǔn)語(yǔ)言定義了一個(gè)用來(lái)描述各種檢測(cè)信息的標(biāo)準(zhǔn)語(yǔ)言內(nèi)部通訊定義了IDS組件之間進(jìn)行通信的標(biāo)準(zhǔn)協(xié)議程序接口提供了