安全生產(chǎn)_網(wǎng)絡(luò)安全--入侵檢測(cè)培訓(xùn)課程

網(wǎng)絡(luò)安全 入侵檢測(cè) 網(wǎng)絡(luò)安全的構(gòu)成 物理安全性設(shè)備的物理安全 防火 防盜 防破壞等通信網(wǎng)絡(luò)安全性防止入侵和信息泄露系統(tǒng)安全性計(jì)算機(jī)系統(tǒng)不被入侵和破壞用戶訪問(wèn)安全性通過(guò)身份鑒別和訪問(wèn)控制 阻止資源被非法用戶訪問(wèn)數(shù)據(jù)安全性數(shù)據(jù)的完整 可用數(shù)據(jù)保密性信息的加密存儲(chǔ)和傳輸 安全的分層結(jié)構(gòu)和主要技術(shù) 物理安全層 網(wǎng)絡(luò)安全層 系統(tǒng)安全層 用戶安全層 應(yīng)用安全層 數(shù)據(jù)安全層 加密 訪問(wèn)控制 授權(quán) 用戶 組管理 單機(jī)登錄 身份認(rèn)證 反病毒 風(fēng)險(xiǎn)評(píng)估 入侵檢測(cè) 審計(jì)分析 安全的通信協(xié)議 VPN 防火墻 存儲(chǔ)備份 主要的傳統(tǒng)安全技術(shù) 加密消息摘要 數(shù)字簽名身份鑒別 口令 鑒別交換協(xié)議 生物特征訪問(wèn)控制安全協(xié)議 IPSec SSL網(wǎng)絡(luò)安全產(chǎn)品與技術(shù) 防火墻 VPN內(nèi)容控制 防病毒 內(nèi)容過(guò)濾等 預(yù)防 prevention 和 防護(hù) protection 的思想 傳統(tǒng)安全技術(shù)的局限性 傳統(tǒng)的安全技術(shù)采用嚴(yán)格的訪問(wèn)控制和數(shù)據(jù)加密策略來(lái)防護(hù)在復(fù)雜系統(tǒng)中 這些策略是不充分的這些措施都是以減慢交易為代價(jià)的大部分損失是由內(nèi)部引起的82 的損失是內(nèi)部威脅造成的傳統(tǒng)安全技術(shù)難于防內(nèi)傳統(tǒng)的安全技術(shù)基本上是一種被動(dòng)的防護(hù) 而如今的攻擊和入侵要求我們主動(dòng)地去檢測(cè) 發(fā)現(xiàn)和排除安全隱患傳統(tǒng)安全措施不能滿足這一點(diǎn) 入侵檢測(cè)系統(tǒng)概述 入侵檢測(cè)系統(tǒng)的定義 入侵 Intrusion 企圖進(jìn)入或?yàn)E用計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)的行為可能來(lái)自于網(wǎng)絡(luò)內(nèi)部的合法用戶入侵檢測(cè) IntrusionDetection 對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視 發(fā)現(xiàn)各種攻擊企圖 攻擊行為或者攻擊結(jié)果 以保證系統(tǒng)資源的機(jī)密性 完整性和可用性入侵檢測(cè)系統(tǒng) IntrusionDetectionSystem IDS 定義 進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)功能 監(jiān)控計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的事件 根據(jù)規(guī)則進(jìn)行安全審計(jì) 為什么需要入侵檢測(cè)系統(tǒng) 入侵很容易入侵教程隨處可見(jiàn)各種工具唾手可得防火墻不能保證絕對(duì)的安全網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破對(duì)某些攻擊保護(hù)很弱不是所有的威脅來(lái)自防火墻外部防火墻是鎖 入侵檢測(cè)系統(tǒng)是監(jiān)視器入侵檢測(cè)系統(tǒng)IDS通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析 從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象 入侵檢測(cè)的任務(wù) 檢測(cè)來(lái)自內(nèi)部的攻擊事件和越權(quán)訪問(wèn)85 以上的攻擊事件來(lái)自于內(nèi)部的攻擊防火墻只能防外 難于防內(nèi)入侵檢測(cè)系統(tǒng)作為傳統(tǒng)安全工具的一個(gè)有效的補(bǔ)充入侵檢測(cè)系統(tǒng)可以有效的防范防火墻開(kāi)放的服務(wù)入侵通過(guò)事先發(fā)現(xiàn)風(fēng)險(xiǎn)來(lái)阻止入侵事件的發(fā)生 提前發(fā)現(xiàn)試圖攻擊或?yàn)E用網(wǎng)絡(luò)系統(tǒng)的人員檢測(cè)其它安全工具沒(méi)有發(fā)現(xiàn)的網(wǎng)絡(luò)工具事件提供有效的審計(jì)信息 詳細(xì)記錄黑客的入侵過(guò)程 從而幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)的脆弱性 入侵檢測(cè)相關(guān)術(shù)語(yǔ) IDS IntrusionDetectionSystems 入侵檢測(cè)系統(tǒng)Promiscuous混雜模式 即IDS網(wǎng)絡(luò)接口可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量 不管其來(lái)源或目的地Signatures特征 即攻擊的特征Alerts警告Anomaly異常Console控制臺(tái)Sensor傳感器 即檢測(cè)引擎 入侵檢測(cè)系統(tǒng)分類 1 按照數(shù)據(jù)來(lái)源 基于主機(jī)系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī) 保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)基于網(wǎng)絡(luò)系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包 保護(hù)的是網(wǎng)絡(luò)的運(yùn)行 入侵檢測(cè)系統(tǒng)分類 2 按系統(tǒng)各模塊的運(yùn)行方式集中式系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集分析集中在一臺(tái)主機(jī)上運(yùn)行分布式系統(tǒng)的各個(gè)模塊分布在不同的計(jì)算機(jī)和設(shè)備上根據(jù)時(shí)效性脫機(jī)分析行為發(fā)生后 對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析聯(lián)機(jī)分析在數(shù)據(jù)產(chǎn)生的同時(shí)或者發(fā)生改變時(shí)進(jìn)行分析 基于主機(jī)的入侵檢測(cè)系統(tǒng) 基于主機(jī)的入侵檢測(cè)系統(tǒng) Host BasedIDS HIDS 系統(tǒng)安裝在主機(jī)上面 對(duì)本主機(jī)進(jìn)行安全檢測(cè)優(yōu)點(diǎn)審計(jì)內(nèi)容全面 保護(hù)更加周密視野集中適用于加密及交換環(huán)境易于用戶自定義對(duì)網(wǎng)絡(luò)流量不敏感缺點(diǎn)額外產(chǎn)生的安全問(wèn)題HIDS依賴性強(qiáng)如果主機(jī)數(shù)目多 代價(jià)過(guò)大不能監(jiān)控網(wǎng)絡(luò)上的情況 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) Network BasedIDS NIDS 系統(tǒng)安裝在比較重要的網(wǎng)段內(nèi)在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽(tīng)采集數(shù)據(jù)優(yōu)點(diǎn)檢測(cè)范圍廣 提供對(duì)網(wǎng)絡(luò)通用的保護(hù)無(wú)需改變主機(jī)配置和性能 安裝方便獨(dú)立性 操作系統(tǒng)無(wú)關(guān)性偵測(cè)速度快隱蔽性好較少的監(jiān)測(cè)器 占資源少缺點(diǎn)不能檢測(cè)不同網(wǎng)段的網(wǎng)絡(luò)包很難檢測(cè)復(fù)雜的需要大量計(jì)算的攻擊協(xié)同工作能力弱難以處理加密的會(huì)話 IDS基本結(jié)構(gòu) 入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件信息收集信息分析結(jié)果處理 信息收集 入侵檢測(cè)的第一步是信息收集 收集內(nèi)容包括系統(tǒng) 網(wǎng)絡(luò) 數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn) 不同網(wǎng)段和不同主機(jī) 收集信息盡可能擴(kuò)大檢測(cè)范圍從一個(gè)源來(lái)的信息有可能看不出疑點(diǎn)入侵檢測(cè)很大程度上依賴于收集信息的可靠性和正確性要保證用來(lái)檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性特別是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性 防止被篡改而收集到錯(cuò)誤的信息信息收集的來(lái)源系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為 信息分析 分析得到的數(shù)據(jù) 并產(chǎn)生分析結(jié)果模式匹配將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較 從而發(fā)現(xiàn)違背安全策略的行為統(tǒng)計(jì)分析首先給系統(tǒng)對(duì)象 如用戶 文件 目錄和設(shè)備等 創(chuàng)建一個(gè)統(tǒng)計(jì)描述 統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性 如訪問(wèn)次數(shù) 操作失敗次數(shù)和延時(shí)等 測(cè)量屬性的平均值和偏差將被用來(lái)與網(wǎng)絡(luò) 系統(tǒng)的行為進(jìn)行比較 任何觀察值在正常值范圍之外時(shí) 就認(rèn)為有入侵發(fā)生完整性分析事后分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓脑诎l(fā)現(xiàn)被更改的 被安裝木馬的應(yīng)用程序方面特別有效 結(jié)果處理 結(jié)果處理 即對(duì)分析結(jié)果作出反應(yīng) 切斷連接改變文件屬性發(fā)動(dòng)對(duì)攻擊者的反擊報(bào)警 IDS的組成 檢測(cè)引擎控制中心 HUB 檢測(cè)引擎 MonitoredServers 控制中心 檢測(cè)引擎的部署位置 放在邊界防火墻之內(nèi)放在邊界防火墻之外放在主要的網(wǎng)絡(luò)中樞放在一些安全級(jí)別需求高的子網(wǎng) 檢測(cè)引擎的部署位置示意圖 Internet 部署二 部署一 部署三 部署四 網(wǎng)絡(luò)入侵技術(shù) 入侵 Intrusion 入侵是指未經(jīng)授權(quán)蓄意嘗試訪問(wèn)信息 篡改信息 使系統(tǒng)不可靠或不能使用的行為破壞計(jì)算機(jī)或網(wǎng)絡(luò)資源的完整性 機(jī)密性 可用性 可控性入侵者可以是一個(gè)手工發(fā)出命令的人 也可是一個(gè)基于入侵腳本或程序的自動(dòng)發(fā)布命令的計(jì)算機(jī)入侵者可以被分為兩類 外部的 網(wǎng)絡(luò)外面的侵入者內(nèi)部的 合法使用網(wǎng)絡(luò)的侵入者 包括濫用權(quán)力的人和模仿更改權(quán)力的人 比如使用別人的終端 80 的安全問(wèn)題同內(nèi)部人有關(guān) 侵入系統(tǒng)的主要途徑 物理侵入侵入者對(duì)主機(jī)有物理進(jìn)入權(quán)限方法如移走磁盤并在另外的機(jī)器讀 寫系統(tǒng)侵入侵入者已經(jīng)擁有在系統(tǒng)的較低權(quán)限侵入者可能利用一個(gè)知名漏洞獲得系統(tǒng)管理員權(quán)限的機(jī)會(huì)遠(yuǎn)程侵入入侵者通過(guò)網(wǎng)絡(luò)遠(yuǎn)程進(jìn)入系統(tǒng) 侵入者從無(wú)特權(quán)開(kāi)始入檢測(cè)系統(tǒng)主要關(guān)心遠(yuǎn)程侵入 網(wǎng)絡(luò)入侵的一般步驟 目標(biāo)探測(cè)和信息收集自身隱藏利用漏洞侵入主機(jī)穩(wěn)固和擴(kuò)大戰(zhàn)果清除日志 目標(biāo)探測(cè)和信息收集 利用掃描器軟件掃描端口掃描漏洞掃描常用掃描器軟件 SATAN 流光 Mscan利用snmp了解網(wǎng)絡(luò)結(jié)構(gòu)搜集網(wǎng)絡(luò)管理信息網(wǎng)絡(luò)管理軟件也成為黑客入侵的一直輔助手段 自身隱藏 典型的黑客使用如下技術(shù)來(lái)隱藏IP地址通過(guò)telnet在以前攻克的Unix主機(jī)上跳轉(zhuǎn)通過(guò)終端管理器在windows主機(jī)上跳轉(zhuǎn)配置代理服務(wù)器更高級(jí)的黑客 精通利用電話交換侵入主機(jī) 利用漏洞侵入主機(jī) 已經(jīng)利用掃描器發(fā)現(xiàn)漏洞例如CGI IIS漏洞充分掌握系統(tǒng)信息進(jìn)一步入侵 穩(wěn)固和擴(kuò)大戰(zhàn)果 安裝后門BO 冰河添加系統(tǒng)賬號(hào)添加管理員賬號(hào)利用LKMLoadableKernelModules動(dòng)態(tài)加載無(wú)需重新編譯內(nèi)核利用信任主機(jī)控制了主機(jī)以后 可以利用該主機(jī)對(duì)其它鄰近和信任主機(jī)進(jìn)行入侵控制了代理服務(wù)器 可以利用該服務(wù)器對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)一步入侵 清除日志 清除入侵日志W(wǎng)indows清除系統(tǒng)日志清除IIS日志清除FTP日志清除數(shù)據(jù)庫(kù)連接日志Unix登陸信息 var log home user bash historylastlog使管理員無(wú)法發(fā)現(xiàn)系統(tǒng)已被入侵 網(wǎng)絡(luò)入侵步驟總覽 IDS工作原理 入侵檢測(cè)引擎工作流程 1 入侵檢測(cè)引擎工作流程 2 監(jiān)聽(tīng)部分網(wǎng)絡(luò)接口混雜模式根據(jù)設(shè)置過(guò)濾一些數(shù)據(jù)包協(xié)議分析IP IPX PPP 數(shù)據(jù)分析根據(jù)相應(yīng)的協(xié)議調(diào)用相應(yīng)的數(shù)據(jù)分析函數(shù)一個(gè)協(xié)議數(shù)據(jù)有多個(gè)數(shù)據(jù)分析函數(shù)處理數(shù)據(jù)分析的方法是入侵檢測(cè)系統(tǒng)的核心引擎管理協(xié)調(diào)和配置給模塊間工作數(shù)據(jù)分析后處理方式AlertLogCallFirewall 入侵檢測(cè)的分析方式 異常檢測(cè) AnomalyDetection 誤用檢測(cè) MisuseDetection 完整性分析 異常檢測(cè) 基本原理正常行為的特征輪廓檢查系統(tǒng)的運(yùn)行情況統(tǒng)計(jì)模型優(yōu)點(diǎn)可以檢測(cè)到未知的入侵可以檢測(cè)冒用他人帳號(hào)的行為具有自適應(yīng) 自學(xué)習(xí)功能不需要系統(tǒng)先驗(yàn)知識(shí)缺點(diǎn)漏報(bào) 誤報(bào)率高入侵者可以逐漸改變自己的行為模式來(lái)逃避檢測(cè)合法用戶正常行為的突然改變也會(huì)造成誤警統(tǒng)計(jì)算法的計(jì)算量龐大 效率很低統(tǒng)計(jì)點(diǎn)的選取和參考庫(kù)的建立比較困難 誤用檢測(cè) 基本原理提前建立已出現(xiàn)的入侵行為特征檢測(cè)當(dāng)前用戶行為特征模式匹配優(yōu)點(diǎn)算法簡(jiǎn)單系統(tǒng)開(kāi)銷小準(zhǔn)確率高效率高缺點(diǎn)被動(dòng)只能檢測(cè)出已知攻擊新類型的攻擊會(huì)對(duì)系統(tǒng)造成很大的威脅模式庫(kù)的建立和維護(hù)難模式庫(kù)要不斷更新知識(shí)依賴于硬件平臺(tái) 操作系統(tǒng)和系統(tǒng)中運(yùn)行的應(yīng)用程序 完整性分析 基本原理通過(guò)檢查系統(tǒng)的當(dāng)前系統(tǒng)配置 諸如系統(tǒng)文件的內(nèi)容或者系統(tǒng)表 來(lái)檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞優(yōu)點(diǎn)不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵 只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變 它都能夠發(fā)現(xiàn)缺點(diǎn)一般以批處理方式實(shí)現(xiàn) 不用于實(shí)時(shí)響應(yīng) 入侵檢測(cè)具體方法 1 基于統(tǒng)計(jì)方法的入侵檢測(cè)技術(shù)審計(jì)系統(tǒng)實(shí)時(shí)地檢測(cè)用戶對(duì)系統(tǒng)的使用情況 根據(jù)系統(tǒng)內(nèi)部保持的用戶行為的概率統(tǒng)計(jì)模型進(jìn)行監(jiān)測(cè) 當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時(shí) 保持跟蹤并監(jiān)測(cè) 記錄該用戶的行為基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)采用神經(jīng)網(wǎng)絡(luò)技術(shù) 根據(jù)實(shí)時(shí)檢測(cè)到的信息有效地加以處理作出攻擊可能性的判斷基于專家系統(tǒng)的入侵檢測(cè)技術(shù)根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)來(lái)形成一套推理規(guī)則 然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的專家系統(tǒng) 并應(yīng)用于入侵檢測(cè)基于模型推理的入侵檢測(cè)技術(shù)為某些行為建立特定的模型 從而能夠監(jiān)視具有特定行為特征的某些活動(dòng) 根據(jù)假設(shè)的攻擊腳本 這種系統(tǒng)就能檢測(cè)出非法的用戶行為一般為了準(zhǔn)確判斷 要為不同的攻擊者和不同的系統(tǒng)建立特定的攻擊腳本 入侵檢測(cè)具體方法 2 基于免疫原理的入侵檢測(cè)技術(shù)基于遺傳算法的入侵檢測(cè)技術(shù)基于基于代理檢測(cè)的入侵檢測(cè)技術(shù)基于數(shù)據(jù)挖掘的入侵檢測(cè)技術(shù) 入侵檢測(cè)響應(yīng)機(jī)制 彈出窗口報(bào)警E mail通知切斷TCP連接執(zhí)行自定義程序與其他安全產(chǎn)品交互FirewallSNMPTrap 入侵檢測(cè)標(biāo)準(zhǔn)化 IDS標(biāo)準(zhǔn)化要求 隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大 網(wǎng)絡(luò)入侵的方式 類型 特征各不相同 入侵的活動(dòng)變得復(fù)雜而又難以捉摸某些入侵的活動(dòng)靠單一IDS不能檢測(cè)出來(lái) 如分布式攻擊網(wǎng)絡(luò)管理員常因缺少證據(jù)而無(wú)法追蹤入侵者 入侵者仍然可以進(jìn)行非法的活動(dòng)不同的IDS之間沒(méi)有協(xié)作 結(jié)果造成缺少某種入侵模式而導(dǎo)致IDS不能發(fā)現(xiàn)新的入侵活動(dòng)目前網(wǎng)絡(luò)的安全也要求IDS能夠與訪問(wèn)控制 應(yīng)急 入侵追蹤等系統(tǒng)交換信息 相互協(xié)作 形成一個(gè)整體有效的安全保障系統(tǒng) CIDF TheCommonIntrusionDetectionFramework CIDFCIDF是一套規(guī)范 它定義了IDS表達(dá)檢測(cè)信息的標(biāo)準(zhǔn)語(yǔ)言以及IDS組件之間的通信協(xié)議符合CIDF規(guī)范的IDS可以共享檢測(cè)信息 相互通信 協(xié)同工作 還可以與其它系統(tǒng)配合實(shí)施統(tǒng)一的配置響應(yīng)和恢復(fù)策略CIDF的主要作用在于集成各種IDS使之協(xié)同工作 實(shí)現(xiàn)各IDS之間的組件重用 所以CIDF也是構(gòu)建分布式IDS的基礎(chǔ) CIDF規(guī)格文檔 體系結(jié)