信息系統(tǒng)安全檢測(cè)技術(shù)講義

信息系統(tǒng)安全檢測(cè)技術(shù)講義第七章信息系統(tǒng)安全檢測(cè)技術(shù)

信息安全6/14/2023本章主要內(nèi)容

7.1入侵檢測(cè)技術(shù)7.2漏洞檢測(cè)技術(shù)7.3審計(jì)追蹤6/14/2023本章學(xué)習(xí)目標(biāo)

本章重點(diǎn)介紹入侵檢測(cè)的概念、分類、基本方法；入侵響應(yīng)、審計(jì)追蹤技術(shù)；漏洞掃描技術(shù)的概念。給出了入侵檢測(cè)系統(tǒng)現(xiàn)成實(shí)現(xiàn)模式。最后介紹了入侵檢測(cè)工具Snort的安裝與配置。通過本章的學(xué)習(xí)，使學(xué)員：

（1）理解入侵檢測(cè)的概念、分類、基本方法；

（2）理解入侵響應(yīng)、審計(jì)追蹤技術(shù)；

（3）理解漏洞掃描技術(shù)；

（4）掌握Snort入侵檢測(cè)工具的使用。6/14/2023入侵檢測(cè)技術(shù)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一。傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全防御技術(shù)，對(duì)網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)的反應(yīng)。入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息、分析信息，查看是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全防線，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。7.1入侵檢測(cè)技術(shù)6/14/20237.1.1入侵檢測(cè)定義入侵檢測(cè)（IntrusionDetection）是檢測(cè)和識(shí)別系統(tǒng)中未授權(quán)或異常現(xiàn)象，利用審計(jì)記錄，入侵檢測(cè)系統(tǒng)應(yīng)能識(shí)別出任何不希望有的活動(dòng)，這就要求對(duì)不希望的活動(dòng)加以限定，一旦當(dāng)它們出現(xiàn)就能自動(dòng)地檢測(cè)。入侵檢測(cè)技術(shù)的第一條防線是接入控制，第二條防線是檢測(cè)。IDS可分為兩種：基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS。一個(gè)完備的入侵檢測(cè)系統(tǒng)(IDS)一定是基于主機(jī)和基于網(wǎng)絡(luò)兩種方式兼?zhèn)涞姆植际较到y(tǒng)。利用最新的可適應(yīng)網(wǎng)絡(luò)安全技術(shù)和P2DR（Policy，Protection，Detection，Response）安全模型，已經(jīng)可以深入地研究入侵事件、入侵手段本身及被入侵目標(biāo)的漏洞等。7.1入侵檢測(cè)技術(shù)6/14/20237.1.2IDS分類1.基于行為的和基于知識(shí)的檢測(cè)按具體的檢測(cè)方法，將檢測(cè)系統(tǒng)分為基于行為的和基于知識(shí)的兩類?；谛袨榈臋z測(cè)也被稱為異常檢測(cè)?；谥R(shí)的檢測(cè)也被稱為誤用檢測(cè)。

7.1入侵檢測(cè)技術(shù)6/14/20237.1.2IDS分類

2.根據(jù)數(shù)據(jù)源不同的檢測(cè)根據(jù)檢測(cè)系統(tǒng)所分析的原始數(shù)據(jù)不同，將入侵檢測(cè)分為來自系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)包兩種。

7.1入侵檢測(cè)技術(shù)系統(tǒng)日志網(wǎng)絡(luò)數(shù)據(jù)包異常檢測(cè)誤用檢測(cè)報(bào)警報(bào)警并做出相應(yīng)措施實(shí)時(shí)檢測(cè)周期性檢測(cè)原始數(shù)據(jù)檢測(cè)原理兩類檢測(cè)的關(guān)系6/14/20237.1.3入侵檢測(cè)系統(tǒng)基本原理1.入侵檢測(cè)框架

對(duì)安全事件的檢測(cè)包括大量復(fù)雜的步驟，涉及到很多系統(tǒng)，任何單一技術(shù)很難提供完備的檢測(cè)能力，需要綜合多個(gè)檢測(cè)系統(tǒng)以達(dá)到盡量完備檢測(cè)能力。因此，對(duì)于入侵檢測(cè)框架的研究國內(nèi)外專家都十分重視。比較有名的成果是通用入侵檢測(cè)框架（CIDF）和入侵檢測(cè)交換格式（IDEF）。CIDF是由美國加洲大學(xué)Davis分校的安全實(shí)驗(yàn)室提出的框架：IDEF是由IETF的入侵檢測(cè)工組（IDWG）開發(fā)的安全事件報(bào)警的標(biāo)準(zhǔn)格式。7.1入侵檢測(cè)技術(shù)6/14/20237.1.3入侵檢測(cè)系統(tǒng)基本原理1.入侵檢測(cè)框架

7.1入侵檢測(cè)技術(shù)數(shù)據(jù)源操作員傳感器管理器分析器管理員活動(dòng)事件報(bào)警安全策略通告響應(yīng)通用入侵檢測(cè)框架（CIDF）6/14/20237.1.3入侵檢測(cè)系統(tǒng)基本原理1.入侵檢測(cè)框架

7.1入侵檢測(cè)技術(shù)報(bào)警攻擊模式庫配置系統(tǒng)庫入侵分析引擎

響應(yīng)處理

數(shù)據(jù)采集安全控制主機(jī)系統(tǒng)系統(tǒng)操作審計(jì)記錄/協(xié)議數(shù)據(jù)簡單的入侵檢測(cè)系統(tǒng)6/14/20237.1.3入侵檢測(cè)系統(tǒng)基本原理2.信息收集

在網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（網(wǎng)段和主機(jī)）。收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為信息。入侵檢測(cè)可以利用的分析數(shù)據(jù)信息：

（1）網(wǎng)絡(luò)和系統(tǒng)日志文件（2）目錄和文件中的不期望的改變（3）程序執(zhí)行中的不期望行為（4）物理形式的入侵信息（5）其他信息7.1入侵檢測(cè)技術(shù)6/14/20237.1.3入侵檢測(cè)系統(tǒng)基本原理3.信息分析通過三種技術(shù)手段進(jìn)行分析：模式匹配（實(shí)時(shí)）：將收集到的信息與已知網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，而發(fā)現(xiàn)違背安全策略的行為。統(tǒng)計(jì)分析（實(shí)時(shí)）：先給系統(tǒng)對(duì)象（用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（訪問次數(shù)、操作失敗次數(shù)、延時(shí)）。測(cè)量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較。完整性分析(事后)：關(guān)注文件和目錄的內(nèi)容及屬性，發(fā)現(xiàn)被更改的或被特洛伊木馬化的應(yīng)用程序。7.1入侵檢測(cè)技術(shù)6/14/20231.基于主機(jī)的入侵檢測(cè)系統(tǒng)

7.1入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)

報(bào)警攻擊模式庫配置系統(tǒng)庫入侵分析引擎

響應(yīng)處理

數(shù)據(jù)采集安全控制主機(jī)系統(tǒng)系統(tǒng)操作審計(jì)記錄/協(xié)議數(shù)據(jù)檢測(cè)的目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶。6/14/20231.基于主機(jī)的入侵檢測(cè)系統(tǒng)

7.1入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)

審計(jì)記錄收集方法異常檢測(cè)誤用檢測(cè)安全管理員接口審計(jì)記錄數(shù)據(jù)庫審計(jì)記錄數(shù)據(jù)歸檔/查詢目標(biāo)系統(tǒng)審計(jì)記錄預(yù)處理在需要保護(hù)的主機(jī)（端系統(tǒng)）上運(yùn)行代理程序，根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件，從而實(shí)現(xiàn)監(jiān)控。6/14/20232.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)

7.1入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)

分析結(jié)果網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口分析引擎模塊管理/配置模塊網(wǎng)絡(luò)安全數(shù)據(jù)庫采集模塊采集模塊利用網(wǎng)絡(luò)適配器來實(shí)時(shí)監(jiān)視和分析所有通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)耐ㄐ?。一旦檢測(cè)到攻擊，IDS相應(yīng)模塊通過通知、報(bào)警以及中斷連接等方式來對(duì)攻擊做出反應(yīng)。

6/14/20232.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)

優(yōu)點(diǎn)：①檢測(cè)的范圍是整個(gè)網(wǎng)段，而不僅僅是被保護(hù)的主機(jī)。②實(shí)時(shí)檢測(cè)和應(yīng)答。一旦發(fā)生惡意訪問或攻擊，能夠更快地做出反應(yīng)，將入侵活動(dòng)對(duì)系統(tǒng)的破壞減到最低。③隱蔽性好。不需要在每個(gè)主機(jī)上安裝，不易被發(fā)現(xiàn)。④不需要任何特殊的審計(jì)和登錄機(jī)制，只要配置網(wǎng)絡(luò)接口就可以了，不會(huì)影響其他數(shù)據(jù)源。⑤操作系統(tǒng)獨(dú)立?；诰W(wǎng)絡(luò)的IDS并不依賴主機(jī)的操作系統(tǒng)作為檢測(cè)資源。

7.1入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)

6/14/20233.分布式入侵檢測(cè)系統(tǒng)分布式入侵檢測(cè)系統(tǒng)產(chǎn)生的原因情況：系統(tǒng)的弱點(diǎn)或漏洞分散在網(wǎng)絡(luò)中各個(gè)主機(jī)上，這些弱點(diǎn)有可能被入侵者一起用來攻擊網(wǎng)絡(luò)，而僅僅依靠一個(gè)主機(jī)或網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)難以發(fā)現(xiàn)入侵行為。網(wǎng)絡(luò)入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作入侵的特點(diǎn)，如分布式拒絕服務(wù)攻擊。入侵檢測(cè)所依靠的數(shù)據(jù)來源分散化，收集原始的檢測(cè)數(shù)據(jù)變得困難。網(wǎng)絡(luò)速度傳輸加快，網(wǎng)絡(luò)流量大，原始數(shù)據(jù)的集中處理方式往往造成檢測(cè)瓶頸，從而導(dǎo)致漏檢。7.1入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)

6/14/20233.分布式入侵檢測(cè)系統(tǒng)

7.1入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)

…中央數(shù)據(jù)處理單元傳感器傳感器傳感器傳感器局域網(wǎng)管理器早期的分布式入侵檢測(cè)系統(tǒng)分布式IDS系統(tǒng)的目標(biāo)是既能檢測(cè)網(wǎng)絡(luò)入侵行為，又能檢測(cè)主機(jī)的入侵行為。6/14/20233.分布式入侵檢測(cè)系統(tǒng)

7.1入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)

格式化數(shù)據(jù)模型格式化數(shù)據(jù)模型格式化數(shù)據(jù)數(shù)據(jù)倉庫傳感器檢測(cè)器原始數(shù)據(jù)自適應(yīng)模型產(chǎn)生器6/14/20231.基于用戶行為概率統(tǒng)計(jì)模型的入侵檢測(cè)方法根據(jù)系統(tǒng)內(nèi)部保存的用戶行為概率統(tǒng)計(jì)模型進(jìn)行檢測(cè)。在用戶的歷史行為以及早期的證據(jù)或模型的基礎(chǔ)上生成每個(gè)用戶的歷史行為記錄庫，系統(tǒng)實(shí)時(shí)地檢測(cè)用戶對(duì)系統(tǒng)的使用情況，當(dāng)用戶改變他們的行為習(xí)慣時(shí)，當(dāng)發(fā)現(xiàn)有可疑的行為發(fā)生時(shí)，這種異常就會(huì)被檢測(cè)出來。例如，統(tǒng)計(jì)系統(tǒng)會(huì)記錄CPU的使用時(shí)間、I/O的使用通道和頻率、常用目錄的建立與刪除、文件的讀些、修改、刪除、以及用戶習(xí)慣使用的編輯器和編譯器、最常用的系統(tǒng)調(diào)用、用戶ID的存取、文件和目錄的使用。

7.1入侵檢測(cè)技術(shù)7.1.5入侵檢測(cè)的基本方法

6/14/20232.基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法這種方法是利用神經(jīng)網(wǎng)絡(luò)技術(shù)來進(jìn)行入侵檢測(cè)的，因此，這種方法對(duì)于用戶行為具有學(xué)習(xí)和自適應(yīng)性，能夠根據(jù)實(shí)際檢測(cè)到的信息有效地加以處理并做出判斷。但尚不十分成熟，目前還沒有出現(xiàn)較為完善的產(chǎn)品。7.1入侵檢測(cè)技術(shù)7.1.5入侵檢測(cè)的基本方法

6/14/20233.基于專家系統(tǒng)的入侵檢測(cè)方法

根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)形成的一套推理規(guī)則，建立相應(yīng)的專家系統(tǒng)，自動(dòng)進(jìn)行對(duì)所涉及的入侵行為進(jìn)行分析。實(shí)現(xiàn)基于規(guī)則的專家系統(tǒng)是一個(gè)知識(shí)工程問題，應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)的積累而利用其自學(xué)習(xí)能力進(jìn)行規(guī)則的擴(kuò)充和修正。這樣的能力需在專家指導(dǎo)和參與才能實(shí)現(xiàn)。一方面，推理機(jī)制使得系統(tǒng)面對(duì)一些新的行為現(xiàn)象時(shí)可能具備一定的應(yīng)對(duì)能力(即有可能會(huì)發(fā)現(xiàn)一些新的安全漏洞)；另一方面，攻擊行為不會(huì)觸發(fā)任何一個(gè)規(guī)則，從而被檢測(cè)到。7.1入侵檢測(cè)技術(shù)7.1.5入侵檢測(cè)的基本方法

6/14/20233.基于專家系統(tǒng)的入侵檢測(cè)方法基于專家系統(tǒng)也有局限性。這類系統(tǒng)的基礎(chǔ)的推理規(guī)則一般都是根據(jù)已知的安全漏洞進(jìn)行安排和策劃的，而對(duì)系統(tǒng)的最危險(xiǎn)的威脅則主要是來自未知的安全漏洞。7.1入侵檢測(cè)技術(shù)7.1.5入侵檢測(cè)的基本方法

6/14/20234.基于模型推理的入侵檢測(cè)方法根據(jù)入侵者在進(jìn)行入侵時(shí)所執(zhí)行程序的某些行為特征建立一種入侵行為模型；根據(jù)這種行為模型所代表的入侵意圖的行為特征來判斷用戶的操作是否屬于入侵行為。當(dāng)然這種方法也是建立在對(duì)已知的入侵行為的基礎(chǔ)之上的，對(duì)未知的入侵行為模型識(shí)別需要進(jìn)一步的學(xué)習(xí)和擴(kuò)展。上述每一種方法都不能保證準(zhǔn)確地檢測(cè)出變化無窮的入侵行為，因此在網(wǎng)絡(luò)安全防護(hù)中要充分衡量各種方法的利弊。綜合運(yùn)用這些方法才能有效地檢測(cè)出入侵者的非法行為。7.1入侵檢測(cè)技術(shù)7.1.5入侵檢測(cè)的基本方法

6/14/20231.信息收集分析時(shí)間2.采用的分析類型3.檢測(cè)系統(tǒng)對(duì)攻擊和誤用的反應(yīng)4.檢測(cè)系統(tǒng)的管理和安裝5.檢測(cè)系統(tǒng)的完整性6.設(shè)置誘騙服務(wù)器7.1入侵檢測(cè)技術(shù)7.1.6入侵檢測(cè)實(shí)現(xiàn)時(shí)若干問題的考慮

6/14/2023入侵者常常是從收集、發(fā)現(xiàn)和利用信息系統(tǒng)的漏洞來發(fā)起對(duì)系統(tǒng)的攻擊的系統(tǒng)，不同的應(yīng)用，甚至同一系統(tǒng)不同的版本，其系統(tǒng)漏洞都不盡相同。這些大致上可以分為以下幾類。1.網(wǎng)絡(luò)傳輸和協(xié)議的漏洞2.系統(tǒng)的漏洞3.管理的漏洞7.2漏洞檢測(cè)技術(shù)7.2.1入侵攻擊可利用的系統(tǒng)漏洞的類型6/14/2023實(shí)時(shí)監(jiān)控非法入侵的安全實(shí)驗(yàn)EMAIL報(bào)警日志攻擊檢測(cè)記錄重配置防火墻/路由器INTERNAL攻擊檢測(cè)記錄通話終止6/14/2023InternetWesServerWesServerWesServer7.2漏洞檢測(cè)技術(shù)7.2.1入侵攻擊可利用的系統(tǒng)漏洞的類型6/14/2023漏洞檢測(cè)技術(shù)通常采用兩種策略，即被動(dòng)式策略和主動(dòng)式策略。被動(dòng)式策略是基于主機(jī)的檢測(cè)，對(duì)系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他同安全策略相抵觸的對(duì)象進(jìn)行檢查；主動(dòng)式策略是基于網(wǎng)絡(luò)的檢測(cè)，通過執(zhí)行一些腳本文件對(duì)系統(tǒng)進(jìn)行攻擊。并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。漏洞檢測(cè)的結(jié)果實(shí)際上是對(duì)系統(tǒng)安全性能的一個(gè)評(píng)估，指出了這些攻擊是可能的，因此成為安全方案的一個(gè)重要組成部分。7.2.2漏洞檢測(cè)技術(shù)分類7.2漏洞檢測(cè)技術(shù)6/14/2023（1）檢測(cè)分析的位置（2）報(bào)告與安裝（3）檢測(cè)后的解決方案（4）檢測(cè)系統(tǒng)本身的完整性7.2.3漏洞檢測(cè)的特點(diǎn)7.2漏洞檢測(cè)技術(shù)6/14/20231.設(shè)計(jì)目標(biāo)該網(wǎng)絡(luò)漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)目標(biāo)是使得在攻擊者入侵之前，能夠幫助系統(tǒng)管理員主動(dòng)對(duì)網(wǎng)絡(luò)上的設(shè)備進(jìn)行安全測(cè)試，根據(jù)當(dāng)前Internet上或軟件公司公布的系統(tǒng)中的漏洞及時(shí)下載安裝各種補(bǔ)丁程序，以便提高網(wǎng)絡(luò)系統(tǒng)抵抗攻擊的能力。7.2.3漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)實(shí)例7.2漏洞檢測(cè)技術(shù)6/14/20232.系統(tǒng)組成該系統(tǒng)大體上可分為兩大模塊：外部掃描模塊功能和特點(diǎn)是，模擬黑客攻擊的部分過程在網(wǎng)絡(luò)上進(jìn)行掃描，把掃描得到的信息進(jìn)行綜合分析，再結(jié)合不斷更新的漏洞數(shù)據(jù)庫來發(fā)現(xiàn)網(wǎng)絡(luò)上存在的隱患；內(nèi)部掃描模塊功能和特點(diǎn)是，模擬系統(tǒng)管理員從主機(jī)內(nèi)部進(jìn)行掃描，檢查一切和網(wǎng)絡(luò)安全有關(guān)的配置是否正確，進(jìn)而從內(nèi)部清除隱患。通過內(nèi)外掃描的結(jié)合，就可以很全面地檢查和防范在網(wǎng)絡(luò)環(huán)境中可能出現(xiàn)的安全隱患，最大可能地使黑客無可乘之機(jī)。7.2.3漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)實(shí)例7.2漏洞檢測(cè)技術(shù)6/14/20233.外部掃描模塊體系結(jié)構(gòu)

（1）網(wǎng)絡(luò)端口掃描模塊（2）應(yīng)用服務(wù)軟件探測(cè)模塊（3）反饋信息分析整理模塊（4）信息數(shù)據(jù)庫（5）匹配漏洞信息模塊（6）應(yīng)用服務(wù)和信息漏洞維護(hù)模塊（7）漏洞數(shù)據(jù)庫7.2.3漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)實(shí)例7.2漏洞檢測(cè)技術(shù)6/14/20237.2.3漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)實(shí)例7.2漏洞檢測(cè)技術(shù)局域網(wǎng)網(wǎng)絡(luò)端口掃描模塊應(yīng)用服務(wù)軟件探測(cè)模塊反饋信息分析整理模塊應(yīng)用服務(wù)和信息漏洞維護(hù)模塊信息數(shù)據(jù)庫漏洞數(shù)據(jù)庫匹配漏洞信息模塊判斷處理系統(tǒng)管理員外部掃描模塊結(jié)構(gòu)示意3.外部掃描模塊體系結(jié)構(gòu)6/14/20234.內(nèi)部掃描模塊體系結(jié)構(gòu)內(nèi)部掃描模塊由五個(gè)子模塊組成。（1）主機(jī)登錄用戶掃描模塊（2）主機(jī)登錄密碼文件掃描模塊（3）基于信任機(jī)制的漏洞掃描模塊（4）網(wǎng)絡(luò)服務(wù)的內(nèi)部掃描模塊（5）網(wǎng)絡(luò)應(yīng)用軟件掃描模塊7.2.3漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)實(shí)例7.2漏洞檢測(cè)技術(shù)6/14/20235.系統(tǒng)工作過程系統(tǒng)啟動(dòng)。啟動(dòng)外部掃描模塊。掃描整個(gè)網(wǎng)段，獲取本網(wǎng)段內(nèi)的主機(jī)信息（包括使用的操作系統(tǒng)、IP地址、打開的端口號(hào)及各個(gè)端口所提供的服務(wù)）。獲取詳細(xì)信息，將信息傳遞給反饋信息分析整理模塊；信息進(jìn)行分析，過濾掉無用信息，并將有效信息規(guī)則化，然后存入信息數(shù)據(jù)庫；漏洞數(shù)據(jù)庫中的相應(yīng)漏洞信息進(jìn)行匹配；如果匹配成功，則產(chǎn)生報(bào)警信號(hào)，同時(shí)給出其他相關(guān)信息。7.2.3漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)實(shí)例7.2漏洞檢測(cè)技術(shù)6/14/20235.系統(tǒng)工作過程系統(tǒng)啟動(dòng)。當(dāng)內(nèi)部掃描被選擇以后，內(nèi)部掃描模塊啟動(dòng)．主機(jī)登錄用戶掃描模塊、主機(jī)登錄密碼文件掃描模塊、基于信任機(jī)制的隱患掃描模塊、網(wǎng)絡(luò)服務(wù)的內(nèi)部掃描模塊和網(wǎng)絡(luò)應(yīng)用軟件掃描模塊并發(fā)執(zhí)行。發(fā)現(xiàn)漏洞，則以分級(jí)的形式給出告警，相關(guān)的漏洞信息以及配置建議，由系統(tǒng)管理員進(jìn)一步?jīng)Q定。而網(wǎng)絡(luò)應(yīng)用軟件掃描模塊則進(jìn)一步給出漏洞的補(bǔ)丁程序的標(biāo)號(hào)、位置等，這一點(diǎn)與外部掃描模塊相似。7.2.3漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)實(shí)例7.2漏洞檢測(cè)技術(shù)6/14/2023審計(jì)追蹤是系統(tǒng)活動(dòng)的流水記錄。該記錄按事件從始至終的途徑，順序檢查、審查和檢驗(yàn)每個(gè)事件的環(huán)境及活動(dòng)。通過書面方式提供應(yīng)負(fù)責(zé)任人員的活動(dòng)證據(jù)以支持職能的實(shí)現(xiàn)。審計(jì)追蹤記錄系統(tǒng)活動(dòng)(操作系統(tǒng)和應(yīng)用程序進(jìn)程)和用戶活動(dòng)(用戶在操作系統(tǒng)中和應(yīng)用程序中的活動(dòng))。借助適當(dāng)?shù)墓ぞ吆鸵?guī)程，審計(jì)追蹤可以發(fā)現(xiàn)違反安全策略的活動(dòng)、影響運(yùn)行效率的問題以及程序中的錯(cuò)誤。審計(jì)追蹤即是正常系統(tǒng)操作的一種支持(例如系統(tǒng)中斷)，也是一種安全策略，用于幫助系統(tǒng)管理員確保系統(tǒng)及其資源免遭黑客、內(nèi)部使用者或技術(shù)故障的傷害。

7.3.1審計(jì)追蹤概述7.3審計(jì)追蹤6/14/2023審計(jì)追蹤提供了實(shí)現(xiàn)多種安全相關(guān)目標(biāo)的一種方法，這些目標(biāo)包括：個(gè)人職能事件重建入侵探測(cè)故障分析審計(jì)追蹤的目的7.3審計(jì)追蹤6/14/2023系統(tǒng)可以同時(shí)維護(hù)多個(gè)審計(jì)追蹤。有兩種典型的審計(jì)記錄：其一，所有鍵盤敲擊的記錄，通常稱為擊鍵監(jiān)控；其二，面向事件的審計(jì)日志。這些日志通常包括描述系統(tǒng)事件、應(yīng)用事件或用戶事件的記錄。審計(jì)追蹤應(yīng)該包括足夠的信息，以確定事件的內(nèi)容和引起事件的因素。通常，事件記錄應(yīng)該列有事件發(fā)生的時(shí)間、和事件有關(guān)的用戶識(shí)別碼、啟動(dòng)事件的程序或命令以及事件的結(jié)果。日期和時(shí)間戳可以幫助確定用戶到底是假冒的還是真實(shí)的，采用標(biāo)準(zhǔn)格式記錄信息。7.3.3審計(jì)追蹤和日志的類型

7.3審計(jì)追蹤6/14/2023

7.3.3審計(jì)追蹤和日志的類型

7.3審計(jì)追蹤格式例主體某人動(dòng)作寫入文件目標(biāo)雇員記錄文件例外條件無資源利用次數(shù)10時(shí)戳0900080199如記錄信息格式6/14/2023

1.擊鍵監(jiān)控（keystrokemonitoring）用于對(duì)計(jì)算機(jī)交互過程中的用戶鍵盤輸入和計(jì)算機(jī)的反應(yīng)數(shù)據(jù)進(jìn)行檢查或記錄。擊鍵監(jiān)控通常被認(rèn)為是審計(jì)追蹤的一種特殊應(yīng)用。擊鍵監(jiān)控的例子包括檢查用戶敲入的字符，閱讀用戶的電子郵件以及檢查用戶敲入的信息。有些系統(tǒng)維護(hù)功能會(huì)記錄用戶的擊鍵。如果這些記錄保存與之相關(guān)的用戶鑒別碼就可以協(xié)助管理員確定擊鍵人從而達(dá)到擊鍵監(jiān)控的目的。擊鍵監(jiān)控致力于保護(hù)系統(tǒng)和數(shù)據(jù)免遭非法入侵和合法用戶的濫用。入侵者的擊鍵記錄可以協(xié)助管理員評(píng)估和修復(fù)入侵造成的損失。

7.3.3審計(jì)追蹤和日志的類型7.3審計(jì)追蹤6/14/2023

2.面向事件的審計(jì)日志（event-orientedauditlogs）（1）系統(tǒng)級(jí)審計(jì)追蹤（2）應(yīng)用級(jí)審計(jì)追蹤（3）用戶審計(jì)追蹤7.3.3審計(jì)追蹤和日志的類型7.3審計(jì)追蹤6/14/2023為了確保審計(jì)追蹤數(shù)據(jù)的可用性和正確性，審計(jì)追蹤數(shù)據(jù)需要受到保護(hù)，如果不對(duì)日志數(shù)據(jù)進(jìn)行及時(shí)審查，規(guī)劃和實(shí)施，再好的審計(jì)追蹤也會(huì)失去價(jià)值。審計(jì)追蹤應(yīng)該根據(jù)需要（如經(jīng)常由安全事件觸發(fā)）定期審查、自動(dòng)實(shí)時(shí)審查、或兩者兼而有之。系統(tǒng)管理員應(yīng)該根據(jù)計(jì)算機(jī)安全管理的要求確定需要維護(hù)多長時(shí)間的審計(jì)追蹤數(shù)據(jù)，其中包括系統(tǒng)內(nèi)保存和歸檔保存的數(shù)據(jù)。與審計(jì)追蹤實(shí)施有關(guān)的問題包括三方面：其一，保護(hù)審計(jì)追蹤數(shù)據(jù)；其二，審查審計(jì)追蹤數(shù)據(jù)；其三，用于審計(jì)追蹤分析的工具。7.3.4審計(jì)追蹤的實(shí)施7.3審計(jì)追蹤6/14/20231.保護(hù)審計(jì)追蹤數(shù)據(jù)限制訪問在線審計(jì)日志。計(jì)算機(jī)安全管理員和系統(tǒng)管理員或職能部門經(jīng)理出于檢查的目的可以訪問，而維護(hù)邏輯訪問功能的安全和管理人員沒有必要訪問審計(jì)日志。防止非法修改以確保審計(jì)追蹤數(shù)據(jù)。使用數(shù)字簽名是實(shí)現(xiàn)這一目標(biāo)的一種途徑。另一類方法是使用只讀設(shè)備。入侵者會(huì)試圖修改審計(jì)追蹤記錄以掩蓋自己的蹤跡是審計(jì)追蹤文件需要保護(hù)的原因之一。使用強(qiáng)訪問控制是保護(hù)審計(jì)追蹤記錄免受非法訪問的有效措施。當(dāng)牽涉到法律問題時(shí)，審計(jì)追蹤信息的完整性尤為重要（這可能需要每天打印和簽署日志）。7.3.4審計(jì)追蹤的實(shí)施7.3審計(jì)追蹤6/14/20232.審查審計(jì)追蹤數(shù)據(jù)審計(jì)追蹤的審查和分析可以分為在事后檢查、定期檢查或?qū)崟r(shí)檢查。審查人員應(yīng)該知道如何發(fā)現(xiàn)異?；顒?dòng)。他們應(yīng)該知道怎么算是正?；顒?dòng)。如果可以通過用戶識(shí)別碼、終端識(shí)別碼、應(yīng)用程序名、日期時(shí)間或其它參數(shù)組來檢索審計(jì)追蹤記錄并生成所需的報(bào)告，那么審計(jì)追蹤檢查就會(huì)比較容易。事后檢查定期檢查實(shí)時(shí)檢查7.3.4審計(jì)追蹤的實(shí)施7.3審計(jì)追蹤6/14/20233.審計(jì)追蹤工具許多工具是用于從大量粗糙原始的審計(jì)數(shù)據(jù)中精選出有用信息。尤其是在大系統(tǒng)中，審計(jì)追蹤軟件產(chǎn)生的數(shù)據(jù)文件非常龐大，用人工方式分析非常困難。使用自動(dòng)化工具就是從審計(jì)信息中將無用的信息剔除。其它工具還有差異探測(cè)工具和攻擊特征探測(cè)工具。審計(jì)精選工具趨勢(shì)／差別探測(cè)工具攻擊特征探測(cè)工具7.3.4審計(jì)追蹤的實(shí)施7.3審計(jì)追蹤6/14/20231.自動(dòng)工具2.內(nèi)部控制審計(jì)3.安全檢查表4.入侵測(cè)試7.3.6審計(jì)的方法和工具7.3審計(jì)追蹤6/14/20231.系統(tǒng)日志的檢查2.自動(dòng)工具3.配置管理4.電子新聞7.3.7監(jiān)控的方法和工具7.3審計(jì)追蹤6/14/2023入侵檢測(cè)系統(tǒng)是網(wǎng)絡(luò)信息系統(tǒng)安全的第二道防線，是安全基礎(chǔ)設(shè)施的補(bǔ)充。本章在介紹了入侵檢測(cè)系統(tǒng)的基本功能及使用范圍等基本概念的基礎(chǔ)上，給出了入侵檢測(cè)系統(tǒng)的基本原理，對(duì)入侵檢測(cè)系統(tǒng)的框架、信息來源、信息分析方法及基本技術(shù)進(jìn)行了介紹。按檢測(cè)的監(jiān)控位置劃分，將入侵檢測(cè)系統(tǒng)分為三大類別，即基于主機(jī)的檢測(cè)系統(tǒng)、基于網(wǎng)絡(luò)的檢測(cè)系統(tǒng)和分布式檢測(cè)系統(tǒng)，并對(duì)各類別的結(jié)構(gòu)及其特點(diǎn)進(jìn)行了概括。最后介紹在Windows2000上配置snort入侵檢測(cè)系統(tǒng)的方法。

7.4小結(jié)6/14/2023一．填空1.

是檢測(cè)和識(shí)別系統(tǒng)中未授權(quán)或異?，F(xiàn)象。2.P2DR是什么含義：

、

、

、

。3.入侵檢測(cè)的第一步是

，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。4.入侵檢測(cè)系統(tǒng)通過

、

和

三種技術(shù)手段，對(duì)收集到的有關(guān)網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息進(jìn)行分析。5.

IDS的物理實(shí)現(xiàn)方式不同，按檢測(cè)的監(jiān)控位置劃分，入侵檢測(cè)系統(tǒng)可分為基于

、基于

和基于

。7.3審計(jì)追蹤6/14/2023二．簡答題1.入侵檢測(cè)所采用的主要技術(shù)？2.試述入侵檢測(cè)方法的分類。3.IDS主要功能是什么？4.簡述基于代理的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)原理。5.IDS在網(wǎng)絡(luò)中部署的正確位置。6.什么是漏洞？簡述漏洞的危害。7.什么是漏洞掃描？8.審計(jì)追蹤的目的是什么？7.3審計(jì)追蹤6/14/2023引語：在這一實(shí)驗(yàn)中，將在Windows平臺(tái)上建立入侵檢測(cè)系統(tǒng)（snort）。Snort是一個(gè)輕便的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，在運(yùn)行的時(shí)只占用極少的網(wǎng)絡(luò)資源，對(duì)原有網(wǎng)絡(luò)性能影響很小。它可以完成實(shí)時(shí)流量分析和對(duì)網(wǎng)絡(luò)上的IP包登錄進(jìn)行測(cè)試等功能，能完成協(xié)議分析，內(nèi)容查找／匹配，是用來探測(cè)多種攻擊的侵入探測(cè)器（如緩沖區(qū)溢出、秘密端口掃描、CGI攻擊、SMB嗅探、拇紋采集嘗試等）。Snort可以運(yùn)行在*nix/Win32平臺(tái)上。目的：本實(shí)驗(yàn)在Win2000Server環(huán)境安裝與配置入侵檢測(cè)系統(tǒng)（snort）。完成這一實(shí)驗(yàn)之后，將能夠：安裝“snort”服務(wù)。使用“snort”服務(wù)。實(shí)驗(yàn)五：入侵檢測(cè)系統(tǒng)snort配置6/14/2023實(shí)驗(yàn)五：入侵檢測(cè)系統(tǒng)snort配置6/14/2023任務(wù)1.安裝任務(wù)2.安裝MySQLDatabase

任務(wù)3.生成Win32MySQLdatabase

任務(wù)4.在MySQL中生成Acid的庫表任務(wù)5.測(cè)試Snort

任務(wù)6.將Snort設(shè)置成為windowsNT4Server/2000/XP的一項(xiàng)服務(wù)任務(wù)7.安裝PHP

任務(wù)8.配置PHP運(yùn)行在NTServer/2000/XP的IIS4/5環(huán)境下任務(wù)9.安裝ADODB—一個(gè)高性能的數(shù)據(jù)庫實(shí)驗(yàn)五：入侵檢測(cè)系統(tǒng)snort配置6/14/2023引語：在這一實(shí)驗(yàn)中，將在Windows平臺(tái)上建立入侵檢測(cè)系統(tǒng)（snort）。Snort是一個(gè)輕便的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，在運(yùn)行的時(shí)只占用極少的網(wǎng)絡(luò)資源，對(duì)原有網(wǎng)絡(luò)性能影響很小。它可以完成實(shí)時(shí)流量分析和對(duì)網(wǎng)絡(luò)上的IP包登錄進(jìn)行測(cè)試等功能，能完成協(xié)議分析，內(nèi)容查找／匹配，是