信息安全與技術(shù)課件06(清華大學(xué))

1、信息安全與技術(shù)信息安全與技術(shù)清華大學(xué)出版社第第6章章 入侵檢測技術(shù)入侵檢測技術(shù) 傳統(tǒng)上，企業(yè)網(wǎng)絡(luò)一般采用防火墻作為安全的第一道防線，但隨著攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻策略已經(jīng)無法滿足對網(wǎng)絡(luò)安全的進(jìn)一步需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。入侵檢測系統(tǒng)是繼防火墻之后，保護(hù)網(wǎng)絡(luò)安全的第二道防線，它可以在網(wǎng)絡(luò)受到攻擊時，發(fā)出警報或者采取一定的干預(yù)措施，以保證網(wǎng)絡(luò)的安全。6.1 入侵檢測的概念入侵檢測的概念l6.1.1 入侵檢測系統(tǒng)功能及工作過程l6.1.2 入侵檢測技術(shù)的分類l6.1.3 入侵檢測系統(tǒng)的性能指標(biāo)6.1.1 入侵檢測系統(tǒng)功能及工作過程入侵檢測系統(tǒng)功能及工作過程

2、l入侵是指任何企圖危及資源的完整性、機(jī)密性和可用性的活動。入侵檢測（Intrusion Detection），顧名思義，便是對入侵行為的發(fā)覺。它通過對計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中得若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。l入侵檢測技術(shù)是為保證計算機(jī)系統(tǒng)和計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)。l入侵檢測系統(tǒng)（Intrusion Detection System,簡稱IDS）是進(jìn)行入侵檢測的軟件與硬件的組合。該系統(tǒng)對系統(tǒng)資源的非授權(quán)使用能夠做出及時的判斷、記錄和報警。與其他安全產(chǎn)品不同的是，入侵檢測系

3、統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個合格的入侵檢測系統(tǒng)能大大的簡化管理員的工作，保證網(wǎng)絡(luò)安全的運(yùn)行。 6.1.1 入侵檢測系統(tǒng)功能及工作過程入侵檢測系統(tǒng)功能及工作過程l入侵檢測系統(tǒng)的主要功能有：l實(shí)時檢測：監(jiān)控和分析用戶和系統(tǒng)活動，實(shí)時地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)包；發(fā)現(xiàn)并實(shí)時處理所捕獲的數(shù)據(jù)包，識別活動模式以反應(yīng)已知攻擊。l安全審計：對系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計分析；發(fā)現(xiàn)異?，F(xiàn)象；得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)l主動響應(yīng)：主動切斷連接或與防火墻聯(lián)動，調(diào)用其他程序處理l評估統(tǒng)計：評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性，統(tǒng)計分析異?；顒幽Ｊ?6.1.2 入侵檢測

4、技術(shù)的分類入侵檢測技術(shù)的分類l入 侵 檢 測 按 技 術(shù) 可 以 分 為 特 征 檢 測（Signature-based detection）和異常檢測（Anomaly detection）。l按 監(jiān) 測 對 象 可 以 分 為 基 于 主 機(jī) 入 侵 檢 測 ( HIDS )和基于網(wǎng)絡(luò)入侵檢測 ( NIDS )。6.1.2 入侵檢測技術(shù)的分類入侵檢測技術(shù)的分類l特征檢測l特征檢測是收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵。特征檢測可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。l特征檢測的難點(diǎn)是如何設(shè)計模式既能夠

5、表達(dá)“入侵”現(xiàn)象又不會將正常的活動包含進(jìn)來，采取的主要方法是模式匹配。6.1.2 入侵檢測技術(shù)的分類入侵檢測技術(shù)的分類l異常檢測l異常檢測是總結(jié)正常操作應(yīng)該具有的特征，建立主體正?；顒拥摹盎顒雍啓n”，當(dāng)用戶活動狀況與“活動簡檔”相比，有重大偏離時即被認(rèn)為該活動可能是“入侵”行為。l異常檢測的技術(shù)難點(diǎn)是異常檢測的難題在于如何建立“活動簡檔”以及如何設(shè)計統(tǒng)計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。常用方法是概率統(tǒng)計。6.1.2 入侵檢測技術(shù)的分類入侵檢測技術(shù)的分類l基于主機(jī)的入侵檢測基于主機(jī)的入侵檢測產(chǎn)品（HIDS）主要用于保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器或被重點(diǎn)檢測的主機(jī)之上。主要

6、是對該主機(jī)的網(wǎng)絡(luò)實(shí)時連接以及系統(tǒng)審計日志進(jìn)行智能分析和判斷。如果其中主體活動十分可疑(特征或違反統(tǒng)計規(guī)律)，入侵檢測系統(tǒng)就會采取相應(yīng)措施。 l主機(jī)入侵檢測的優(yōu)點(diǎn)主要表現(xiàn)在以下方面：l入侵行為分析能力l誤報率要低l復(fù)雜性小，性能價格比高l網(wǎng)絡(luò)通信要求低l主機(jī)入侵檢測的缺點(diǎn)主要變現(xiàn)在以下幾個方面。l影響保護(hù)目標(biāo)l服務(wù)器依賴性l全面布署代價大l不能監(jiān)控網(wǎng)絡(luò)上的情況6.1.2 入侵檢測技術(shù)的分類入侵檢測技術(shù)的分類l基于網(wǎng)絡(luò)入侵檢測網(wǎng)絡(luò)入侵檢測是大多數(shù)入侵檢測廠商采用的產(chǎn)品形式。通過捕獲和分析網(wǎng)絡(luò)包來探測攻擊。網(wǎng)絡(luò)入侵檢測可以在網(wǎng)段或者交換機(jī)上進(jìn)行監(jiān)聽，來檢測對連接在網(wǎng)段上的多個主機(jī)有影響的網(wǎng)絡(luò)通訊，從

7、而保護(hù)那些主機(jī)。 l網(wǎng)絡(luò)入侵檢測優(yōu)點(diǎn)表現(xiàn)在以下幾個方面:l網(wǎng)絡(luò)通信檢測能力l無需改變主機(jī)配置和性能l布署風(fēng)險小，獨(dú)立性和操作系統(tǒng)無關(guān)性l定制設(shè)備，安裝簡單l網(wǎng)絡(luò)入侵檢測缺點(diǎn)表現(xiàn)在以下幾個方面:l不能檢測不同網(wǎng)段的網(wǎng)絡(luò)包l很難檢測復(fù)雜的需要大量計算的攻擊l協(xié)同工作能力弱l難以處理加密的會話6.1.3 入侵檢測系統(tǒng)的性能指標(biāo)入侵檢測系統(tǒng)的性能指標(biāo)l網(wǎng)絡(luò)入侵檢測系統(tǒng)的性能指標(biāo)主要包括3類，即準(zhǔn)確性指標(biāo)、效率指標(biāo)和系統(tǒng)指標(biāo)。1.準(zhǔn)確性指標(biāo) 準(zhǔn)確性指標(biāo)在很大程度上取決于測試時采用的樣本集和測試環(huán)境。樣本集和測試環(huán)境不同，準(zhǔn)確性也不相同。主要包括三個指標(biāo)，即檢測率、誤報率和漏報率。 l檢測率是指被監(jiān)視網(wǎng)絡(luò)

8、在受到入侵攻擊時，系統(tǒng)能夠正確報警的概率。通常利用已知入侵攻擊的實(shí)驗(yàn)數(shù)據(jù)集合來測試系統(tǒng)的檢測率。檢測率=入侵報警的數(shù)量/入侵攻擊的數(shù)量。l誤報率是指系統(tǒng)把正常行為作為入侵攻擊而進(jìn)行報警的概率和把一種周知的攻擊錯誤報告為另一種攻擊的概率。誤報率=錯誤報警數(shù)量/（總體正常行為樣本數(shù)量+總體攻擊樣本數(shù)量）。l漏報率是指被檢測網(wǎng)絡(luò)受到入侵攻擊時，系統(tǒng)不能正確報警的概率。通常利用已知入侵攻擊的實(shí)驗(yàn)數(shù)據(jù)集合來測試系統(tǒng)的漏報率。漏報率=不能報警的數(shù)量/入侵攻擊的數(shù)量6.1.3 入侵檢測系統(tǒng)的性能指標(biāo)入侵檢測系統(tǒng)的性能指標(biāo)2. 效率指標(biāo)l效率指標(biāo)根據(jù)用戶系統(tǒng)的實(shí)際需求，以保證檢測質(zhì)量為準(zhǔn)；同時取決于不同的設(shè)備

9、級別，如百兆網(wǎng)絡(luò)入侵檢測系統(tǒng)和千兆網(wǎng)絡(luò)入侵檢測系統(tǒng)的效率指標(biāo)一定有很大差別。效率指標(biāo)主要包括最大處理能力、每秒并發(fā)TCP會話數(shù)、最大并發(fā)TCP會話數(shù)等。 6.1.3 入侵檢測系統(tǒng)的性能指標(biāo)入侵檢測系統(tǒng)的性能指標(biāo)3.系統(tǒng)指標(biāo)l系統(tǒng)指標(biāo)主要表征系統(tǒng)本身運(yùn)行的穩(wěn)定性和使用的方便性。系統(tǒng)指標(biāo)主要包括最大規(guī)則數(shù)、平均無故障間隔等。 6.2 網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)品網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)品l6.2.1 入侵檢測系統(tǒng)簡介l6.2.2 Snort入侵檢測系統(tǒng)6.2.1 入侵檢測系統(tǒng)簡介入侵檢測系統(tǒng)簡介入侵檢測系統(tǒng)作為最常見的網(wǎng)絡(luò)安全產(chǎn)品之一，已經(jīng)得到了非常廣泛的應(yīng)用。當(dāng)前網(wǎng)絡(luò)入侵檢測系統(tǒng)的產(chǎn)品有很多，主要有Snort

10、，、金諾網(wǎng)安、安氏的領(lǐng)信IDS、啟明星辰的天闐系列、聯(lián)想的聯(lián)想網(wǎng)御IDS、東軟、綠盟科技的冰之眼系列、中科網(wǎng)威的天眼IDS、思科的Cisco IDS、CA的eTrust IDS等。6.2.2 Snort入侵檢測系統(tǒng)入侵檢測系統(tǒng)l1. Snort 簡介lSnort是Martin Roesch等人開發(fā)的一種開放源碼的入侵檢測系統(tǒng)。Martin Roesch把Snort定位為一個輕量級的入侵檢測系統(tǒng)。它具有實(shí)時數(shù)據(jù)流量分析和IP數(shù)據(jù)包日志分析的能力，具有跨平臺特征，能夠進(jìn)行協(xié)議分析和對內(nèi)容的搜索/匹配。它能夠檢測不同的攻擊行為，如緩沖區(qū)溢出、端口掃描、DoS攻擊等，并進(jìn)行實(shí)時報警。6.2.2 Sno

11、rt入侵檢測系統(tǒng)入侵檢測系統(tǒng)2系統(tǒng)結(jié)構(gòu)l Snort具有良好的擴(kuò)展性和可移植性，可支持Linux、windows等多種操作系統(tǒng)平臺。l基于Snort和BASE的入侵檢測系統(tǒng)通常采用“傳感器數(shù)據(jù)庫分析平臺”的三層架構(gòu)體系。傳感器即網(wǎng)絡(luò)數(shù)據(jù)包捕獲轉(zhuǎn)儲程序。l這三種角色既可以部署于同一個主機(jī)平臺也可以部署在不同的物理平臺上，架構(gòu)組織非常靈活。如果僅僅需要一個測試研究環(huán)境，單服務(wù)器部署是一個不錯的選擇；而如果需要一個穩(wěn)定高效的專業(yè)IDS平臺，那么多層分布的IDS無論是在安全還是在性能方面都能夠滿足。具體的部署方案還要取決于實(shí)際環(huán)境需求。6.2.2 Snort入侵檢測系統(tǒng)入侵檢測系統(tǒng)3. 安裝環(huán)境l一臺

12、安裝windows2000/XP/2003操作系統(tǒng)的計算機(jī)，連接到本地局域網(wǎng)中。需要安裝部署下列軟件包，如表6-1所示。4安裝軟件（1）WinPcap 安裝（2）Snort 安裝（3）MySQL 安裝（4）Apache 安裝（5）Php 安裝（6）ADODB 安裝（7）安裝配置數(shù)據(jù)控制臺ACID。（8）將Snort規(guī)則放入解壓 d:snort目錄下。（9）啟動snort（10）測試snort6.3 漏洞檢測技術(shù)和系統(tǒng)漏洞檢測工具漏洞檢測技術(shù)和系統(tǒng)漏洞檢測工具l6.3.1 入侵攻擊可利用的系統(tǒng)漏洞類型l6.3.2 漏洞檢測技術(shù)分類l6.3.3 系統(tǒng)漏洞檢測方法l6.3.4 常見的系統(tǒng)漏洞及防范l

13、6.3.5 系統(tǒng)漏洞檢測工具6.3.1 入侵攻擊可利用的系統(tǒng)漏洞類型入侵攻擊可利用的系統(tǒng)漏洞類型l入侵者常常從收集、發(fā)現(xiàn)和利用信息系統(tǒng)的漏洞來發(fā)起對系統(tǒng)的攻擊。不同的應(yīng)用，甚至同一系統(tǒng)不同的版本，其系統(tǒng)漏洞都不盡相同，大致上可以分為3類（1） 網(wǎng)絡(luò)傳輸和協(xié)議的漏洞l攻擊者利用網(wǎng)絡(luò)傳輸時對協(xié)議的信任以及網(wǎng)絡(luò)傳輸?shù)穆┒催M(jìn)入系統(tǒng)。l攻擊者還可利用協(xié)議的特性進(jìn)行攻擊，l攻擊者還可以設(shè)法避開認(rèn)證過程，或通過假冒 (如源地址) 而混過認(rèn)證過程lDNS、WHOIS、FINGER等服務(wù)也會泄露出許多對攻擊者有用的信息。（2） 系統(tǒng)的漏洞l攻擊者可以利用服務(wù)進(jìn)程的BUG和配置錯誤進(jìn)行攻擊。因?yàn)橄到y(tǒng)內(nèi)部的程序可能

14、存在許多BUG，因此，存在著入侵者利用程序中的BUG來獲取特權(quán)用戶權(quán)限的可能。（3） 管理的漏洞l攻擊者可以利用各種方式從系統(tǒng)管理員和用戶那里誘騙或套取可用于非法進(jìn)入的系統(tǒng)信息，包括口令、用戶名等。6.3.1 入侵攻擊可利用的系統(tǒng)漏洞類型入侵攻擊可利用的系統(tǒng)漏洞類型l通過對入侵過程的分析，系統(tǒng)的安全漏洞可以分為以下5類：l可使遠(yuǎn)程攻擊者獲得系統(tǒng)的一般訪問權(quán)限；l可使遠(yuǎn)程攻擊者獲得系統(tǒng)的管理權(quán)限；l遠(yuǎn)程攻擊者可使系統(tǒng)拒絕合法用戶的服務(wù)請求；l可使一般用戶獲得系統(tǒng)管理權(quán)限；l一般用戶可使系統(tǒng)拒絕其他合法用戶的服務(wù)請求。6.3.1 入侵攻擊可利用的系統(tǒng)漏洞類型入侵攻擊可利用的系統(tǒng)漏洞類型l從系統(tǒng)本身

15、的結(jié)構(gòu)看，系統(tǒng)的漏洞可分為：l安全機(jī)制本身存在的安全漏洞；l系統(tǒng)服務(wù)協(xié)議中存在的安全漏洞；l系統(tǒng)、服務(wù)管理與配置的安全漏洞；l安全算法、系統(tǒng)協(xié)議與服務(wù)現(xiàn)實(shí)中存在的安全問題。6.3.2 漏洞檢測技術(shù)分類漏洞檢測技術(shù)分類l漏洞檢測技術(shù)可采用兩種策略，即被動式策略和主動式策略。l前者是基于主機(jī)的檢測，對系統(tǒng)中不合適的設(shè)置、脆弱的密碼以及其他同安全策略相抵觸的對象進(jìn)行檢查。后者是基于網(wǎng)絡(luò)的檢測，通過執(zhí)行一些腳本文件對系統(tǒng)進(jìn)行攻擊，并記錄其反應(yīng)，從而發(fā)現(xiàn)其中漏洞。l根據(jù)所采用的技術(shù)特點(diǎn)，漏洞檢測技術(shù)可以分為以下5類 ：（1）基于應(yīng)用的檢測技術(shù)。l采用被動、非破壞性的辦法來檢查應(yīng)用軟件包的設(shè)置，發(fā)現(xiàn)安全漏

16、洞。（2）基于主機(jī)的檢測技術(shù)。l采用被動、非破壞性的辦法對系統(tǒng)進(jìn)行檢測，常涉及系統(tǒng)內(nèi)核、文件的屬性、操作系統(tǒng)的補(bǔ)丁等問題。這種技術(shù)還包括口令解密，因此，這種技術(shù)可以非常準(zhǔn)確地定位系統(tǒng)存在的問題，發(fā)現(xiàn)系統(tǒng)漏洞。其缺點(diǎn)是與平臺相關(guān)，升級復(fù)雜。6.3.2 漏洞檢測技術(shù)分類漏洞檢測技術(shù)分類（3）基于目標(biāo)的檢測技術(shù)。l采用被動、非破壞性的辦法檢查系統(tǒng)屬性和文件屬性，如數(shù)據(jù)庫、注冊號等。通過消息摘要算法，對系統(tǒng)屬性和文件屬性進(jìn)行雜湊 (Hash) 函數(shù)運(yùn)算。如果函數(shù)的輸入有一點(diǎn)變化，其輸出就會發(fā)生大的變化，這樣文件和數(shù)據(jù)流的細(xì)微變化都會被感知。這些算法實(shí)現(xiàn)是運(yùn)行在一個閉環(huán)上，不斷地處理文件和系統(tǒng)目標(biāo)屬性，

17、然后產(chǎn)生校驗(yàn)數(shù)，把這些校驗(yàn)數(shù)同原來的校驗(yàn)數(shù)相比較，一旦發(fā)現(xiàn)改變就通知管理員。（4）基于網(wǎng)絡(luò)的檢測技術(shù)。l采用積極、非破壞性的辦法來檢驗(yàn)系統(tǒng)是否有可能被攻擊而崩潰。它利用了一系列腳本對系統(tǒng)進(jìn)行攻擊，然后對結(jié)果進(jìn)行分析。網(wǎng)絡(luò)檢測技術(shù)常被用來進(jìn)行穿透實(shí)驗(yàn)和安全審計。這種技術(shù)可以發(fā)現(xiàn)系統(tǒng)平臺的一系列漏洞，也容易安裝。但是，它容易影響網(wǎng)絡(luò)的性能。（5）綜合的技術(shù)。l它集中了以上4種技術(shù)的優(yōu)點(diǎn)，極大地增強(qiáng)了漏洞識別的精度。6.3.3 系統(tǒng)漏洞檢測方法系統(tǒng)漏洞檢測方法l系統(tǒng)漏洞檢測是通過一定的技術(shù)方法主動地去發(fā)現(xiàn)系統(tǒng)中未知的安全漏洞?，F(xiàn)有的漏洞檢測方法有源代碼掃描、反匯編代碼掃描、滲透分析、環(huán)境錯誤注入等。

18、 6.3.3 系統(tǒng)漏洞檢測方法系統(tǒng)漏洞檢測方法（1）源代碼掃描l由于相當(dāng)多的安全漏洞在源代碼中會出現(xiàn)類似的錯誤，因此可以通過匹配程序中不符合規(guī)則的部分（如文件結(jié)構(gòu)、命名規(guī)則、函數(shù)、堆棧指針等），從而發(fā)現(xiàn)程序中可能隱含的缺陷。源代碼掃描技術(shù)主要針對開放源代碼的程序，因而這種檢測技術(shù)需要熟練掌握編程語言，并預(yù)先定義出不安全代碼的審查規(guī)則，通過表達(dá)式匹配的方法檢查源程序代碼。該方法不僅能夠發(fā)現(xiàn)程序動態(tài)運(yùn)行過程中存在的安全漏洞，而且會出現(xiàn)大量的誤報。（2）反匯編代碼掃描l對于不公開的源代碼程序，反匯編代碼掃描是最有效的檢測方法，但分析反匯編代碼需要有豐富的經(jīng)驗(yàn)和很高的技術(shù)。采用反匯編代碼掃描方法可以自

19、行分析代碼，也可以借助輔助工具得到目標(biāo)程序的匯編腳本語言，再對匯編出來的腳本語言使用掃描方法，檢測不安全的匯編代碼序列。通常，通過反匯編代碼掃描方法可以檢測出大部分的系統(tǒng)漏洞，但這種方法費(fèi)時費(fèi)力，對人員的技術(shù)水平要求很高，也同樣不能檢測到程序動態(tài)運(yùn)行過程中產(chǎn)生的安全漏洞。6.3.3 系統(tǒng)漏洞檢測方法系統(tǒng)漏洞檢測方法（3）滲透分析l滲透分析法是依據(jù)已知安全漏洞檢測未知的漏洞，但是滲透分析以事先知道系統(tǒng)中的某種漏洞為先決條件。滲透分析的有效性與執(zhí)行分析的程序員有關(guān)，缺乏評估的客觀性。（4）環(huán)境錯誤注入l環(huán)境錯誤注入法是軟件運(yùn)行的環(huán)境中故意注入人為的錯誤，并驗(yàn)證反應(yīng)這也是驗(yàn)證計算機(jī)和軟件系統(tǒng)容錯性和可靠性的一種有效方法。 6.3.4 常見的系統(tǒng)漏洞及防范常見的系統(tǒng)漏洞及防范1.利用Windows XP的AutoRun漏洞刪除硬盤文件。2.IPC$默認(rèn)共享漏洞3.Unicode漏洞4.IDQ溢出漏洞5.WebDAV溢出漏洞6.3.5 系統(tǒng)漏洞檢測工具系統(tǒng)漏洞檢測工具l網(wǎng)絡(luò)攻擊的目標(biāo)主要有兩類：系統(tǒng)和數(shù)據(jù)，其所對應(yīng)的安全性也涉及系統(tǒng)安全和數(shù)據(jù)安全兩個方面。 l系統(tǒng)型攻擊的特點(diǎn)是：攻擊發(fā)生在網(wǎng)絡(luò)層，破壞系統(tǒng)的可用性，使系統(tǒng)不能正常工作?？赡芰粝旅黠@的攻擊