課程05 安全檢測技術(shù)

1、第五章安全檢測技術(shù)第5章 安全檢測技術(shù)傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻技術(shù)等都是靜態(tài)安全防御技術(shù)，對(duì)網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)的反應(yīng)；而入侵檢測技術(shù)則是動(dòng)態(tài)安全技術(shù)的核心技術(shù)之一，可以作為防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力 (包括安全審計(jì)、安全檢測、入侵識(shí)別、入侵取證和響應(yīng)等) ，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。第5章 安全檢測技術(shù)5.1 入侵檢測技術(shù)與網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)品5.2 漏洞檢測技術(shù)和MBSA5.1 入侵檢測技術(shù)與網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)品入侵檢測系統(tǒng) (Intrusion Detection System，IDS) 是一類專門面向網(wǎng)絡(luò)入侵的安全監(jiān)

2、測系統(tǒng)，它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，查看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全防線，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。5.1 入侵檢測技術(shù)與網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)品入侵檢測系統(tǒng)主要執(zhí)行以下任務(wù)：1) 監(jiān)視、分析用戶及系統(tǒng)活動(dòng)。2) 系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)。3) 識(shí)別反映已知進(jìn)攻的活動(dòng)模式并報(bào)警。4) 異常行為模式的統(tǒng)計(jì)分析。5) 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。6) 對(duì)操作系統(tǒng)的審計(jì)追蹤管理，并識(shí)別用戶違反安全策略的行為。5.1 入侵檢測技術(shù)與網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)品一個(gè)

3、成功的入侵檢測系統(tǒng)，不但可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng) (包括程序、文件和硬件設(shè)備等) 的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。同時(shí)，它應(yīng)該是管理和配置簡單，使非專業(yè)人員能容易地獲得網(wǎng)絡(luò)安全。當(dāng)然，入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，應(yīng)及時(shí)做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。5.1 入侵檢測技術(shù)與網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)品目前，入侵檢測系統(tǒng)主要以模式匹配技術(shù)為主，并結(jié)合異常匹配技術(shù)。從實(shí)現(xiàn)方式上一般分為兩種：基于主機(jī)和基于網(wǎng)絡(luò)，而一個(gè)完備的入侵檢測系統(tǒng)則一定是基于主機(jī)和基于網(wǎng)絡(luò)這兩種方式兼?zhèn)涞姆植际较到y(tǒng)。另外，能夠識(shí)別的入侵手段數(shù)

4、量的多少、最新入侵手段的更新是否及時(shí)也是評(píng)價(jià)入侵檢測系統(tǒng)的關(guān)鍵指標(biāo)。5.1 入侵檢測技術(shù)與網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)品利用最新的可適應(yīng)網(wǎng)絡(luò)安全技術(shù)和P2DR (Policy，Protection，Detection，Response，即策略、防護(hù)、檢測、響應(yīng)) 安全模型 (圖5.1) ，已經(jīng)可以深入研究入侵事件、入侵手段本身及被入侵目標(biāo)的漏洞等。隨著P2DR安全模型被廣泛認(rèn)同，入侵檢測系統(tǒng)在信息系統(tǒng)安全中占據(jù)越來越重要的地位。圖5.1 P2DR安全模型5.1 入侵檢測技術(shù)與網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)品P2DR模型是動(dòng)態(tài)安全模型(可適應(yīng)網(wǎng)絡(luò)安全模型)的代表性模型。在整體的安全策略的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工

5、具 (如防火墻、操作系統(tǒng)身份認(rèn)證、加密等手段) 的同時(shí)，利用檢測工具 (如漏洞評(píng)估、入侵檢測等系統(tǒng)) 了解和評(píng)估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)捻憫?yīng)將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)。5.1.1 IDS分類可以根據(jù)檢測方法或者根據(jù)數(shù)據(jù)源的不同給IDS分類。5.1.1 IDS分類(1) 根據(jù)檢測方法不同分類按具體的檢測方法，可將入侵檢測系統(tǒng)分為基于行為和基于知識(shí)兩類。1) 基于行為的檢測，也稱為異常檢測。是指根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否發(fā)生入侵，而不依賴具體行為是否出現(xiàn)，即建立被檢測系統(tǒng)正常行為的參考庫，并通過與當(dāng)前行為進(jìn)行比較來尋找偏離參考庫的異常行為。5.1.1 ID

6、S分類對(duì)于異常閾值與特征的選擇是異常發(fā)現(xiàn)技術(shù)的關(guān)鍵。例如，通過流量統(tǒng)計(jì)分析將異常時(shí)間的異常網(wǎng)絡(luò)流量視為可疑。異常發(fā)現(xiàn)技術(shù)的局限是，并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的軌跡也難以計(jì)算和更新。例如，一般在白天使用計(jì)算機(jī)的某用戶，如果他突然在午夜注冊(cè)登記，則有可能被認(rèn)為是入侵者在使用。5.1.1 IDS分類2) 基于知識(shí)的檢測，也被稱為誤用檢測。是指運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過與這些入侵模式是否匹配來判斷入侵。入侵模式是入侵過程的特征、條件、排列以及事件間的關(guān)系，即具體入侵行為的跡象。這些跡象不僅對(duì)分析已經(jīng)發(fā)生的入侵行為有幫助，而且對(duì)即將發(fā)生的入侵也有警戒作用，因?yàn)橹灰糠譂M足這

7、些入侵跡象就意味著可能有入侵發(fā)生。5.1.1 IDS分類入侵模式匹配的關(guān)鍵是如何表達(dá)入侵的模式，把入侵與正常行為區(qū)分開來。入侵模式匹配的優(yōu)點(diǎn)是誤報(bào)少，局限是它只能發(fā)現(xiàn)已知的攻擊，對(duì)未知的攻擊無能為力。5.1.1 IDS分類(2) 根據(jù)數(shù)據(jù)源不同分類根據(jù)檢測系統(tǒng)所依據(jù)分析的原始數(shù)據(jù)不同，可將入侵檢測分為來自系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)包兩種。5.1.1 IDS分類入侵檢測的早期研究主要集中在對(duì)主機(jī)系統(tǒng)日志文件的分析上，因?yàn)楫?dāng)時(shí)的用戶對(duì)象局限于本地用戶。操作系統(tǒng)的日志文件中包含了詳細(xì)的用戶信息和系統(tǒng)調(diào)用數(shù)據(jù)，從中可以分析系統(tǒng)是否被侵入以及侵入者留下的痕跡等審計(jì)信息。5.1.1 IDS分類隨著因特網(wǎng)的普及，用

8、戶可隨機(jī)地從不同客戶機(jī)上登錄，主機(jī)間也經(jīng)常需要交換信息，網(wǎng)絡(luò)數(shù)據(jù)包中同樣也含有用戶信息。這樣，就使入侵檢測的對(duì)象范圍擴(kuò)大至整個(gè)網(wǎng)絡(luò)。此外，還可根據(jù)系統(tǒng)運(yùn)行特性分為實(shí)時(shí)檢測和周期性檢測，以及根據(jù)檢測到入侵行為后是否采取相應(yīng)措施而分為主動(dòng)型和被動(dòng)型等。入侵檢測系統(tǒng)中兩類檢測的關(guān)系如圖5.2所示。圖5.2 兩類檢測的關(guān)系5.1.2 IDS的基本原理由于對(duì)安全事件的檢測通常包括了大量復(fù)雜的步驟，涉及到很多方面，任何單一技術(shù)都很難提供完備的檢測能力，需要綜合多個(gè)檢測系統(tǒng)以達(dá)到盡量完備的檢測能力。在根據(jù)安全事件報(bào)警的標(biāo)準(zhǔn)格式所定義的安全模型中，對(duì)一些入侵檢測術(shù)語進(jìn)行了規(guī)范，包括：5.1.2 IDS的基本原

9、理1) 數(shù)據(jù)源 (Data source) ：入侵檢測系統(tǒng)用來檢測非授權(quán)或不希望的活動(dòng)的原始信息。通常的數(shù)據(jù)源包括 (但不限于) 原始的網(wǎng)絡(luò)包、操作系統(tǒng)審計(jì)日志、應(yīng)用程序日志以及系統(tǒng)生成的校驗(yàn)和數(shù)據(jù)等。2) 活動(dòng) (Activity) ：由傳感器或分析器識(shí)別出的數(shù)據(jù)源的實(shí)例。例如，網(wǎng)絡(luò)會(huì)話、用戶活動(dòng)和應(yīng)用事件等。活動(dòng)既包括極其嚴(yán)重的事件 (例如明顯的惡意攻擊) ，也包括不太嚴(yán)重的事件 (如值得進(jìn)一步深究的異常用戶活動(dòng)) 。5.1.2 IDS的基本原理3) 傳感器 (Sensor) ：從數(shù)據(jù)源搜集數(shù)據(jù)的入侵檢測構(gòu)件或模塊。數(shù)據(jù)搜集的頻率由具體提供的入侵檢測系統(tǒng)決定。4) 事件 (Event) ：

10、在數(shù)據(jù)源中發(fā)生且被分析器檢測到的，可能導(dǎo)致警報(bào)傳輸?shù)男袨椤＠纾?0秒內(nèi)的3次失敗登錄，可能表示強(qiáng)行登錄嘗試攻擊。5.1.2 IDS的基本原理5) 分析器 (Analyzer) ：入侵檢測的構(gòu)件或進(jìn)程，它分析傳感器搜集的數(shù)據(jù)，這些數(shù)據(jù)反映了一些非授權(quán)的或不希望的活動(dòng)，以及安全管理員感興趣的安全事件的跡象。在很多現(xiàn)有的入侵檢測系統(tǒng)中，將傳感器和分析器作為同一構(gòu)件的不同部分。6) 安全策略 (Security policy) ：預(yù)定義的正式文檔聲明，定義哪些服務(wù)可以通過被監(jiān)控的網(wǎng)段，還包括 (但不限于) 哪些主機(jī)不允許外部網(wǎng)絡(luò)訪問，從而支持組織的安全需求。5.1.2 IDS的基本原理7) 報(bào)警 (

11、Alert) ：由分析器發(fā)給管理器的消息，表明一個(gè)事件被檢測到。報(bào)警通常包含被檢測到的異常活動(dòng)的有關(guān)信息和事件細(xì)節(jié)。5.1.2 IDS的基本原理當(dāng)一個(gè)入侵正在發(fā)生或者試圖發(fā)生時(shí)，IDS系統(tǒng)將發(fā)布一個(gè)Alert信息通知系統(tǒng)管理員。如果控制臺(tái)與IDS系統(tǒng)同在一臺(tái)機(jī)器，Alert信息將顯示在監(jiān)視器上，也可能伴隨著聲音提示。如果是遠(yuǎn)程控制臺(tái)，那么Alert將通過IDS系統(tǒng)內(nèi)置方法 (通常是加密的) 、SNMP (簡單網(wǎng)絡(luò)管理協(xié)議，通常不加密) 、E-mail、SMS (短信息) 或者以上幾種方法的混合方式傳遞給管理員。5.1.2 IDS的基本原理8) 管理器 (Manager) ：入侵檢測的構(gòu)件或進(jìn)程

12、，操作員通過它可以管理入侵檢測系統(tǒng)的各種構(gòu)件。典型管理功能通常包括：傳感器配置、分析器配置、事件通告管理、數(shù)據(jù)合并及報(bào)告等。5.1.2 IDS的基本原理9) 通告 (Notification) ：入侵檢測系統(tǒng)管理器用來使操作員知曉事件發(fā)生的方法。在很多入侵檢測系統(tǒng)中，盡管有許多其他的通告技術(shù)可以采用，但通常是通過在入侵檢測系統(tǒng)管理器屏幕上顯示一個(gè)彩色圖標(biāo)、發(fā)送電子郵件或?qū)ず魴C(jī)消息，或者發(fā)送SNMP的陷門來實(shí)現(xiàn)。5.1.2 IDS的基本原理10) 管理員 (Administrator) ：負(fù)責(zé)維護(hù)和管理一個(gè)組織機(jī)構(gòu)的網(wǎng)絡(luò)信息系統(tǒng)安全的人員。管理員與負(fù)責(zé)安裝配置入侵檢測系統(tǒng)及監(jiān)視入侵檢測系統(tǒng)輸出的

13、人員，可能是一人也可能是多人；他可能屬于網(wǎng)絡(luò)/系統(tǒng)管理組，也可能是一個(gè)單獨(dú)的職位。11) 操作員 (Operator) ：入侵檢測系統(tǒng)管理器的主要使用者。操作員監(jiān)視入侵檢測系統(tǒng)的輸出，并負(fù)責(zé)發(fā)起或建議進(jìn)一步的行動(dòng)。5.1.2 IDS的基本原理12) 響應(yīng) (Response) ：對(duì)一個(gè)事件所采取的響應(yīng)動(dòng)作。響應(yīng)可以由入侵檢測系統(tǒng)體系結(jié)構(gòu)中的一些實(shí)體自動(dòng)執(zhí)行，也可由人工發(fā)起?；镜捻憫?yīng)包括：向操作員發(fā)送通告、將活動(dòng)記入日志、記錄描述事件特征的原始數(shù)據(jù)、中斷網(wǎng)絡(luò)連接或用戶應(yīng)用程序會(huì)話過程，或者改變網(wǎng)絡(luò)或系統(tǒng)的訪問控制等。13) 特征表示 (Signature) ：分析器用于標(biāo)識(shí)安全管理員感興趣的活

14、動(dòng)的規(guī)則。表示符代表了入侵檢測系統(tǒng)的檢測機(jī)制。5.1.2 IDS的基本原理14) 入侵檢測系統(tǒng) (IDS) ：由一個(gè)或多個(gè)傳感器、分析器、管理器組成，可自動(dòng)分析系統(tǒng)活動(dòng)，是檢測安全事件的工具或系統(tǒng)。一個(gè)簡單的入侵檢測系統(tǒng)的示意圖如圖5.3所示。圖5.3 簡單的入侵檢測系統(tǒng)示意圖5.1.2 IDS的基本原理系統(tǒng)可以分成數(shù)據(jù)采集、入侵分析引擎、管理配置、響應(yīng)處理和相關(guān)的輔助模塊等。1) 數(shù)據(jù)采集模塊：為入侵分析引擎模塊提供分析用的數(shù)據(jù)。一般有操作系統(tǒng)的審計(jì)日志、應(yīng)用程序日志、系統(tǒng)生成的校驗(yàn)和數(shù)據(jù)，以及網(wǎng)絡(luò)數(shù)據(jù)包等。5.1.2 IDS的基本原理2) 入侵分析引擎模塊：依據(jù)輔助模塊提供的信息 (如攻擊

15、模式) ，按照一定的算法對(duì)收集到的數(shù)據(jù)進(jìn)行分析，從中判斷是否有入侵行為出現(xiàn)并產(chǎn)生入侵報(bào)警。該模塊是入侵檢測系統(tǒng)的核心模塊。3) 管理配置模塊：它的功能是為其他模塊提供配置服務(wù)，是入侵檢測系統(tǒng)中模塊與用戶的接口。5.1.2 IDS的基本原理4) 響應(yīng)處理模塊：當(dāng)發(fā)生入侵后，預(yù)先為系統(tǒng)提供緊急的措施，如關(guān)閉網(wǎng)絡(luò)服務(wù)、中斷網(wǎng)絡(luò)連接及啟動(dòng)備份系統(tǒng)等。5) 輔助模塊：協(xié)助入侵分析引擎模塊工作，為它提供相應(yīng)的信息，如攻擊模式庫、系統(tǒng)配置庫和安全控制策略等。5.1.3 入侵檢測系統(tǒng)的結(jié)構(gòu)由于IDS的物理實(shí)現(xiàn)方式不同，即系統(tǒng)組成的結(jié)構(gòu)不同，按檢測的監(jiān)控位置劃分，入侵檢測系統(tǒng)可分為基于主機(jī)、基于網(wǎng)絡(luò)和分布式三類

16、。5.1.3 入侵檢測系統(tǒng)的結(jié)構(gòu)1. 基于主機(jī)的入侵檢測系統(tǒng)這是早期的入侵檢測系統(tǒng)結(jié)構(gòu)，系統(tǒng) (圖5.3) 的檢測目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶。檢測原理是在每一個(gè)需要保護(hù)的主機(jī)上運(yùn)行一個(gè)代理程序，根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件。檢測系統(tǒng)可以運(yùn)行在被檢測的主機(jī)或單獨(dú)的主機(jī)上，從而實(shí)現(xiàn)監(jiān)控。5.1.3 入侵檢測系統(tǒng)的結(jié)構(gòu)這種類型的系統(tǒng)依賴于審計(jì)數(shù)據(jù)或系統(tǒng)日志的準(zhǔn)確性和完整性，以及安全事件的定義。若入侵者設(shè)法逃避審計(jì)或進(jìn)行合作入侵，就會(huì)出現(xiàn)問題。特別是在網(wǎng)絡(luò)環(huán)境下，單獨(dú)依靠主機(jī)審計(jì)信息進(jìn)行入侵檢測，將難以適應(yīng)網(wǎng)絡(luò)安全的需求。5.1.3 入侵檢測系統(tǒng)的結(jié)構(gòu)基于主機(jī)的入侵檢測系統(tǒng)可以精確

17、地判斷入侵事件，并可對(duì)入侵事件立即進(jìn)行反應(yīng)；還可針對(duì)不同操作系統(tǒng)的特點(diǎn)來判斷應(yīng)用層的入侵事件。但一般與操作系統(tǒng)和應(yīng)用層入侵事件的結(jié)合過于緊密，通用性較差，并且IDS的分析過程會(huì)占用寶貴的主機(jī)資源。另外，對(duì)基于網(wǎng)絡(luò)的攻擊不敏感，特別是假冒IP的入侵。5.1.3 入侵檢測系統(tǒng)的結(jié)構(gòu)由于服務(wù)器需要與因特網(wǎng)交互作用，因此在各服務(wù)器上應(yīng)當(dāng)安裝基于主機(jī)的入侵檢測軟件，并將檢測結(jié)果及時(shí)向管理員報(bào)告?；谥鳈C(jī)的入侵檢測系統(tǒng)沒有帶寬的限制，它們密切監(jiān)視系統(tǒng)日志，能識(shí)別運(yùn)行代理程序的機(jī)器上受到的攻擊。5.1.3 入侵檢測系統(tǒng)的結(jié)構(gòu)基于主機(jī)的入侵檢測系統(tǒng)提供了基于網(wǎng)絡(luò)系統(tǒng)不能提供的精細(xì)功能，包括二進(jìn)制完整性檢查、系

18、統(tǒng)日志分析和非法進(jìn)程關(guān)閉等功能，并能根據(jù)受保護(hù)站點(diǎn)的實(shí)際情況進(jìn)行針對(duì)性的定制，使其工作效果明顯，誤警率相當(dāng)?shù)汀?.1.3 入侵檢測系統(tǒng)的結(jié)構(gòu)2. 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，單獨(dú)依靠主機(jī)審計(jì)信息進(jìn)行入侵檢測將難以適應(yīng)網(wǎng)絡(luò)安全的需求。因此，人們提出了基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)體系結(jié)構(gòu)。這種檢測系統(tǒng)使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行攻擊分析的數(shù)據(jù)源，通常利用一個(gè)網(wǎng)絡(luò)適配器來實(shí)時(shí)監(jiān)視和分析所有通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)耐ㄐ拧?.1.3 入侵檢測系統(tǒng)的結(jié)構(gòu)一旦檢測到攻擊，IDS的相應(yīng)模塊通過通知、報(bào)警以及中斷連接等方式來對(duì)攻擊做出反應(yīng)。如圖5.4所示。圖5.4 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)示意圖5.1

19、.3 入侵檢測系統(tǒng)的結(jié)構(gòu)系統(tǒng)中數(shù)據(jù)采集模塊由過濾器、網(wǎng)絡(luò)接口引擎和過濾規(guī)則決策器組成。它的功能是按一定的規(guī)則從網(wǎng)絡(luò)上獲取與安全事件相關(guān)的數(shù)據(jù)包，然后傳遞給入侵分析引擎模塊進(jìn)行安全分析；入侵分析引擎模塊將根據(jù)從采集模塊傳來的數(shù)據(jù)包并結(jié)合網(wǎng)絡(luò)安全數(shù)據(jù)庫進(jìn)行分析，把分析結(jié)果傳送給管理/配置模塊：而管理/配置模塊的主要功能是管理其他功能模塊的配置工作，并將入侵分析引擎模塊的輸出結(jié)果以有效的方式通知網(wǎng)絡(luò)管理員。5.1.3 入侵檢測系統(tǒng)的結(jié)構(gòu)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)有以下優(yōu)點(diǎn)：1) 檢測的范圍是整個(gè)網(wǎng)段，而不僅僅是被保護(hù)的主機(jī)。2) 實(shí)時(shí)檢測和應(yīng)答。一旦發(fā)生惡意訪問或攻擊，基于網(wǎng)絡(luò)的IDS檢測就可以隨時(shí)發(fā)現(xiàn)

20、它們，因此能夠更快地做出反應(yīng)，從而將入侵活動(dòng)對(duì)系統(tǒng)的破壞降到最低。3) 隱蔽性好。由于不需要在每個(gè)主機(jī)上安裝，所以不易被發(fā)現(xiàn)?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)的端系統(tǒng)甚至可以沒有網(wǎng)絡(luò)地址，從而使攻擊者沒有攻擊的目標(biāo)。5.1.3 入侵檢測系統(tǒng)的結(jié)構(gòu)4) 不需要任何特殊的審計(jì)和登錄機(jī)制，只要配置網(wǎng)絡(luò)接口就可以了，不會(huì)影響其他數(shù)據(jù)源。5) 操作系統(tǒng)獨(dú)立。基于網(wǎng)絡(luò)的IDS并不依賴主機(jī)的操作系統(tǒng)作為其檢測資源，而基于主機(jī)的IDS需要特定的操作系統(tǒng)才能發(fā)揮作用。5.1.3 入侵檢測系統(tǒng)的結(jié)構(gòu)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的主要不足在于：只能檢測經(jīng)過本網(wǎng)段的活動(dòng)，并且精確度較差，在交換式網(wǎng)絡(luò)環(huán)境下難以配置，防入侵欺騙的能力也

21、比較差；而且無法知道主機(jī)內(nèi)部的安全情況，而主機(jī)內(nèi)部普通用戶的威脅也是網(wǎng)絡(luò)信息系統(tǒng)安全的重要組成部分；5.1.3 入侵檢測系統(tǒng)的結(jié)構(gòu)另外，如果數(shù)據(jù)流進(jìn)行了加密，就不能審查其內(nèi)容，對(duì)主機(jī)上執(zhí)行的命令也就難以檢測。因此，基于網(wǎng)絡(luò)和基于主機(jī)的安全檢測在方法上是需要互補(bǔ)的。5.1.3 入侵檢測系統(tǒng)的結(jié)構(gòu)3. 分布式入侵檢測系統(tǒng)隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜化和大型化，帶來了許多新的入侵檢測問題，于是，產(chǎn)生了分布式入侵檢測系統(tǒng)。分布式IDS的目標(biāo)是既能檢測網(wǎng)絡(luò)入侵行為，又能檢測主機(jī)的入侵行為。系統(tǒng)通常由數(shù)據(jù)采集模塊、通信傳輸模塊、入侵檢測分析模塊、響應(yīng)處理模塊、管理中心模塊及安全知識(shí)庫組成。5.1.3 入侵檢測系

22、統(tǒng)的結(jié)構(gòu)這些模塊可根據(jù)不同情況進(jìn)行組合，例如，由數(shù)據(jù)采集模塊和通信傳輸模塊組合產(chǎn)生出的新模塊能完成數(shù)據(jù)采集和傳輸這兩種任務(wù)。所有這些模塊組合起來就變成了一個(gè)入侵檢測系統(tǒng)。5.1.3 入侵檢測系統(tǒng)的結(jié)構(gòu)需要特別指出的是，模塊按網(wǎng)絡(luò)配置情況和檢測的需要，可以安裝在單獨(dú)的一臺(tái)主機(jī)上，也可分散在網(wǎng)絡(luò)中的不同位置，甚至一些模塊本身就能夠單獨(dú)檢測本地的入侵，同時(shí)將入侵檢測的局部結(jié)果信息提供給入侵檢測管理中心。5.1.3 入侵檢測系統(tǒng)的結(jié)構(gòu)分布式IDS結(jié)構(gòu)對(duì)大型網(wǎng)絡(luò)的安全是有幫助的，它能夠?qū)⒒谥鳈C(jī)和基于網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu)結(jié)合起來，檢測所用到的數(shù)據(jù)源豐富，可克服前兩者的弱點(diǎn)。但是，分布式的結(jié)構(gòu)增加了網(wǎng)絡(luò)管理復(fù)雜

23、度，如傳輸安全事件過程中增加了對(duì)通信安全問題的處理等。5.1.4 入侵檢測的基本方法入侵檢測的基本方法主要有基于用戶行為概率統(tǒng)計(jì)模型、基于神經(jīng)網(wǎng)絡(luò)、基于專家系統(tǒng)和基于模型推理等。5.1.4 入侵檢測的基本方法1. 基于用戶行為概率統(tǒng)計(jì)模型的入侵檢測方法這種方法是基于對(duì)用戶歷史行為以及在早期的證據(jù)或模型的基礎(chǔ)上進(jìn)行的，系統(tǒng)實(shí)時(shí)檢測用戶對(duì)系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保存的用戶行為概率統(tǒng)計(jì)模型進(jìn)行檢測。當(dāng)有可疑行為發(fā)生時(shí)，保持追蹤并監(jiān)測、記錄該用戶的行為。5.1.4 入侵檢測的基本方法通常系統(tǒng)要根據(jù)每個(gè)用戶以前的歷史行為，生成每個(gè)用戶的歷史行為記錄庫，當(dāng)某用戶改變其行為習(xí)慣時(shí)，這種異常就會(huì)被檢測出來

24、。例如，統(tǒng)計(jì)系統(tǒng)會(huì)記錄CPU的使用時(shí)間，I/O的使用通道和頻率，常用目錄的建立與刪除，文件的讀寫、修改、刪除，以及用戶習(xí)慣使用的編輯器和編譯器，最常用的系統(tǒng)調(diào)用，用戶ID的存取，文件和目錄的使用等。5.1.4 入侵檢測的基本方法這種方法的弱點(diǎn)主要是：1) 對(duì)于非常復(fù)雜的用戶行為很難建立一個(gè)準(zhǔn)確匹配的統(tǒng)計(jì)模型。2) 統(tǒng)計(jì)模型沒有普遍性，因此，一個(gè)用戶的檢測措施并不適用于其他用戶，這將使得算法龐大而且復(fù)雜。3) 由于采用統(tǒng)計(jì)方法，系統(tǒng)將不得不保留大量的用戶行為信息，導(dǎo)致系統(tǒng)的臃腫和難以剪裁。5.1.4 入侵檢測的基本方法2. 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法這種方法是利用神經(jīng)網(wǎng)絡(luò)技術(shù)來進(jìn)行入侵檢測的，因

25、此，對(duì)于用戶行為具有學(xué)習(xí)和自適應(yīng)性，能夠根據(jù)實(shí)際檢測到的信息有效地加以處理并做出判斷，但尚不十分成熟，目前還沒有出現(xiàn)較為完善的產(chǎn)品。5.1.4 入侵檢測的基本方法3. 基于專家系統(tǒng)的入侵檢測方法根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)形成的一套推理規(guī)則，在此基礎(chǔ)上建立相應(yīng)的專家系統(tǒng)，專家系統(tǒng)能自動(dòng)對(duì)所涉及的入侵行為進(jìn)行分析。該系統(tǒng)應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)的積累，利用其自學(xué)習(xí)能力進(jìn)行規(guī)則的擴(kuò)充和修正。5.1.4 入侵檢測的基本方法4. 基于模型推理的入侵檢測方法根據(jù)入侵者在進(jìn)行入侵時(shí)所執(zhí)行程序的某些行為特征，建立一種入侵行為模型；根據(jù)這種行為模型來判斷用戶的操作是否屬于入侵行為。當(dāng)然這種方法也是建立在對(duì)已知入侵

26、行為的基礎(chǔ)上的，對(duì)未知入侵行為模型的識(shí)別需要進(jìn)一步學(xué)習(xí)和擴(kuò)展。5.1.4 入侵檢測的基本方法上述每一種方法都不能保證準(zhǔn)確地檢測出變化無窮的入侵行為，因此，在網(wǎng)絡(luò)安全防護(hù)中要充分衡量各種方法的利弊，綜合運(yùn)用這些方法才能有效地檢測出入侵者的非法行為。實(shí)訓(xùn)十一：了解入侵檢測技術(shù)本節(jié)“實(shí)訓(xùn)與思考”的目的是：(1) 了解入侵檢測技術(shù)的基本概念和基本內(nèi)容。(2) 通過因特網(wǎng)搜索與瀏覽，了解網(wǎng)絡(luò)環(huán)境中主流的入侵檢測技術(shù)專業(yè)網(wǎng)站，掌握通過專業(yè)網(wǎng)站不斷豐富入侵檢測技術(shù)最新知識(shí)的學(xué)習(xí)方法，嘗試通過專業(yè)網(wǎng)站的輔助與支持來開展信息安全中入侵檢測系統(tǒng)的應(yīng)用實(shí)踐。5.2 漏洞檢測技術(shù)和MBSA就網(wǎng)絡(luò)信息系統(tǒng)的安全而言，僅

27、有事后追查或?qū)崟r(shí)報(bào)警功能是不夠的，還需要具備系統(tǒng)安全漏洞檢測能力的事先檢查型安全工具。系統(tǒng)漏洞檢測又稱漏洞掃描，就是對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行檢查，主動(dòng)發(fā)現(xiàn)其中可被攻擊者利用的漏洞。不管攻擊者是從外部還是從內(nèi)部攻擊某一網(wǎng)絡(luò)系統(tǒng)，一般都會(huì)利用該系統(tǒng)已知的漏洞。因此，漏洞掃描技術(shù)應(yīng)該用在攻擊者入侵和攻擊網(wǎng)絡(luò)系統(tǒng)之前。5.2.1 入侵攻擊可利用的系統(tǒng)漏洞類型入侵者常常從收集、發(fā)現(xiàn)和利用信息系統(tǒng)的漏洞來發(fā)起對(duì)系統(tǒng)的攻擊。不同的應(yīng)用，甚至同一系統(tǒng)不同的版本，其系統(tǒng)漏洞都不盡相同，但大致上可以分為3類。5.2.1 入侵攻擊可利用的系統(tǒng)漏洞類型(1) 網(wǎng)絡(luò)傳輸和協(xié)議的漏洞攻擊者一般利用網(wǎng)絡(luò)傳輸時(shí)對(duì)協(xié)議的信任以及網(wǎng)絡(luò)

28、傳輸過程本身所存在的漏洞進(jìn)入系統(tǒng)，例如，IP欺騙和信息腐蝕就是利用網(wǎng)絡(luò)傳輸時(shí)對(duì)IP和DNS協(xié)議的信任；而網(wǎng)絡(luò)嗅探器則利用了網(wǎng)絡(luò)信息明文傳送的弱點(diǎn)。5.2.1 入侵攻擊可利用的系統(tǒng)漏洞類型另外，攻擊者還可利用協(xié)議的特性進(jìn)行攻擊，例如，對(duì)TCP序列號(hào)的攻擊等。攻擊者還可以設(shè)法避開認(rèn)證過程，或通過假冒 (如源地址) 而混過認(rèn)證過程。5.2.1 入侵攻擊可利用的系統(tǒng)漏洞類型例如，有的認(rèn)證功能是通過主機(jī)地址來做認(rèn)證的，一個(gè)用戶通過認(rèn)證，則這個(gè)機(jī)器上的所有用戶就都通過了認(rèn)證。此外，DNS、WHOIS (用來查詢域名是否已經(jīng)被注冊(cè)，以及注冊(cè)域名的詳細(xì)信息的數(shù)據(jù)庫) 、FINGER等服務(wù)也會(huì)泄露出許多對(duì)攻擊者

29、有用的信息，例如，用戶地址、電話號(hào)碼等。5.2.1 入侵攻擊可利用的系統(tǒng)漏洞類型(2) 系統(tǒng)的漏洞攻擊者可以利用服務(wù)進(jìn)程的BUG和配置錯(cuò)誤進(jìn)行攻擊，任何提供服務(wù)的主機(jī)都有可能存在這樣的漏洞，它們常被攻擊者用來獲取對(duì)系統(tǒng)的訪問權(quán)。由于軟件的BUG不可避免，這就為攻擊者提供了各種機(jī)會(huì)。另外，軟件實(shí)現(xiàn)者為自己留下的后門 (和陷門) ，也為攻擊者提供了機(jī)會(huì)。5.2.1 入侵攻擊可利用的系統(tǒng)漏洞類型系統(tǒng)內(nèi)部的程序也存在許多BUG，因此，存在著入侵者利用程序中的BUG來獲取特權(quán)用戶權(quán)限的可能。竊取系統(tǒng)中的口令是最簡單和直截了當(dāng)?shù)墓舴椒ǎ蚨鴮?duì)系統(tǒng)口令文件的保護(hù)方式也在不斷的改進(jìn)。口令文件從明文 (隱藏口

30、令文件) 改進(jìn)成密文，又改進(jìn)成使用陰影 (Shadow) 的方式。5.2.1 入侵攻擊可利用的系統(tǒng)漏洞類型攻擊者竊取口令的方法可以是：1) 竊取口令文件并做字典攻擊。2) 從信道截獲并做進(jìn)一步分析。3) 利用特洛伊木馬竊取。4) 采用其他方式進(jìn)行竊取。5.2.1 入侵攻擊可利用的系統(tǒng)漏洞類型(3) 管理的漏洞攻擊者可以利用各種方式從系統(tǒng)管理員和用戶那里誘騙或套取可用于非法進(jìn)入系統(tǒng)的信息，包括口令、用戶名等。5.2.1 入侵攻擊可利用的系統(tǒng)漏洞類型通過對(duì)入侵攻擊過程進(jìn)行分析，可以將系統(tǒng)的安全漏洞劃分為以下5類：1) 可使遠(yuǎn)程攻擊者獲得系統(tǒng)一般訪問權(quán)限。2) 可使遠(yuǎn)程攻擊者獲得系統(tǒng)管理權(quán)限。3)

31、遠(yuǎn)程攻擊者可使系統(tǒng)拒絕合法用戶的服務(wù)請(qǐng)求。4) 可使一般用戶獲得系統(tǒng)管理權(quán)限。5) 一般用戶可使系統(tǒng)拒絕其他合法用戶的服務(wù)請(qǐng)求。5.2.1 入侵攻擊可利用的系統(tǒng)漏洞類型根據(jù)安全漏洞所在程序的類型，以上5類安全漏洞又可以劃分為兩類：前3種安全漏洞主要存在于系統(tǒng)的網(wǎng)絡(luò)服務(wù)程序中，包括TELNET，F(xiàn)TP等用戶服務(wù)，也包括HTTP，Sendmail等共用網(wǎng)絡(luò)服務(wù)；后兩種安全漏洞主要存在于一些系統(tǒng)服務(wù)程序及其配置文件中，尤其是以Root身份運(yùn)行的服務(wù)程序。5.2.1 入侵攻擊可利用的系統(tǒng)漏洞類型從系統(tǒng)本身的層次結(jié)構(gòu)看，系統(tǒng)的安全漏洞可以分為以下4類：1) 安全機(jī)制本身存在的安全漏洞。2) 系統(tǒng)服務(wù)協(xié)議

32、中存在的安全漏洞，按層次可細(xì)分為物理層、數(shù)據(jù)鏈路層、IP與ICMP層、TCP層、應(yīng)用服務(wù)層。5.2.1 入侵攻擊可利用的系統(tǒng)漏洞類型3) 系統(tǒng)、服務(wù)管理與配置的安全漏洞。4) 安全算法、系統(tǒng)協(xié)議與服務(wù)實(shí)現(xiàn)中存在的安全問題等。5.2.1 入侵攻擊可利用的系統(tǒng)漏洞類型針對(duì)攻擊者利用網(wǎng)絡(luò)各個(gè)層次上的安全漏洞破壞網(wǎng)絡(luò)的安全性，系統(tǒng)安全必須進(jìn)行全方位多層次的安全防衛(wèi)，才能使系統(tǒng)安全的風(fēng)險(xiǎn)最小。5.2.1 入侵攻擊可利用的系統(tǒng)漏洞類型BUG：Bug一詞的原意是“臭蟲”或“蟲子”?，F(xiàn)在，在電腦系統(tǒng)或程序中，如果隱藏著的一些未被發(fā)現(xiàn)的缺陷或問題，人們也叫它“Bug”。5.2.1 入侵攻擊可利用的系統(tǒng)漏洞類型原

33、來，第一代的計(jì)算機(jī)是由許多龐大且昂貴的真空管組成，并利用大量的電力來使真空管發(fā)光。可能正是由于計(jì)算機(jī)運(yùn)行產(chǎn)生的光和熱，引得一只小蟲子 (Bug) 鉆進(jìn)了一支真空管內(nèi)，導(dǎo)致整個(gè)計(jì)算機(jī)無法工作。研究人員費(fèi)了半天時(shí)間，總算發(fā)現(xiàn)原因所在，把這只小蟲子從真空管中取出后，計(jì)算機(jī)又恢復(fù)正常。5.2.1 入侵攻擊可利用的系統(tǒng)漏洞類型后來，Bug這個(gè)名詞就沿用下來，表示電腦系統(tǒng)或程序中隱藏的錯(cuò)誤、缺陷或問題。與Bug相對(duì)應(yīng)，人們將發(fā)現(xiàn)Bug并加以糾正的過程叫做“Debug”，意即“捉蟲子”或“殺蟲子”。在中文里面，至今仍沒有與“Bug”準(zhǔn)確對(duì)應(yīng)的詞匯，于是只能直接引用“Bug”一詞。雖然也有人使用“臭蟲”一詞替

34、代“Bug”，但容易產(chǎn)生歧義，所以推廣不開。5.2.2 漏洞檢測技術(shù)分類漏洞檢測技術(shù)通常采用兩種策略，即被動(dòng)式和主動(dòng)式策略。被動(dòng)式策略是基于主機(jī)的檢測，對(duì)系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他同安全策略相抵觸的對(duì)象進(jìn)行檢查；而主動(dòng)式策略是基于網(wǎng)絡(luò)的檢測，通過執(zhí)行一些腳本文件對(duì)系統(tǒng)進(jìn)行攻擊，并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。漏洞檢測的結(jié)果實(shí)際上是對(duì)系統(tǒng)安全性能的一個(gè)評(píng)估，因此成為安全方案的一個(gè)重要組成部分。5.2.2 漏洞檢測技術(shù)分類根據(jù)所采用的技術(shù)特點(diǎn)，漏洞檢測技術(shù)可分為以下5類：1) 基于應(yīng)用的檢測技術(shù)。采用被動(dòng)、非破壞性的辦法來檢查應(yīng)用軟件包的設(shè)置，發(fā)現(xiàn)安全漏洞。2) 基于主機(jī)的檢測技術(shù)

35、。采用被動(dòng)、非破壞性的辦法對(duì)系統(tǒng)進(jìn)行檢測，常涉及系統(tǒng)內(nèi)核、文件的屬性、操作系統(tǒng)的補(bǔ)丁等問題。這種技術(shù)還包括口令解密，因此，這種技術(shù)可以非常準(zhǔn)確地定位系統(tǒng)存在的問題，發(fā)現(xiàn)系統(tǒng)漏洞。其缺點(diǎn)是與平臺(tái)相關(guān)，升級(jí)復(fù)雜。5.2.2 漏洞檢測技術(shù)分類3) 基于目標(biāo)的檢測技術(shù)。采用被動(dòng)、非破壞性的辦法檢查系統(tǒng)屬性和文件屬性，如數(shù)據(jù)庫、注冊(cè)號(hào)等。通過消息摘要算法，對(duì)系統(tǒng)屬性和文件屬性進(jìn)行雜湊 (Hash) 函數(shù)運(yùn)算。如果函數(shù)的輸入有一點(diǎn)變化，其輸出就會(huì)發(fā)生大的變化，這樣文件和數(shù)據(jù)流的細(xì)微變化都會(huì)被感知。這些算法實(shí)現(xiàn)是運(yùn)行在一個(gè)閉環(huán)上，不斷地處理文件和系統(tǒng)目標(biāo)屬性，然后產(chǎn)生校驗(yàn)數(shù)，把這些校驗(yàn)數(shù)同原來的校驗(yàn)數(shù)相比較

36、，一旦發(fā)現(xiàn)改變就通知管理員。5.2.2 漏洞檢測技術(shù)分類4) 基于網(wǎng)絡(luò)的檢測技術(shù)。采用積極、非破壞性的辦法來檢驗(yàn)系統(tǒng)是否有可能被攻擊而崩潰。它利用了一系列腳本對(duì)系統(tǒng)進(jìn)行攻擊，然后對(duì)結(jié)果進(jìn)行分析。網(wǎng)絡(luò)檢測技術(shù)常被用來進(jìn)行穿透實(shí)驗(yàn)和安全審計(jì)。這種技術(shù)可以發(fā)現(xiàn)系統(tǒng)平臺(tái)的一系列漏洞，也容易安裝。但是，它容易影響網(wǎng)絡(luò)的性能。5) 綜合技術(shù)。它集中了以上4種技術(shù)的優(yōu)點(diǎn)，極大地增強(qiáng)了漏洞識(shí)別的精度。5.2.3 漏洞檢測的基本要點(diǎn)漏洞檢測的基本要點(diǎn)是：1) 檢測分析的位置。在漏洞檢測中，第一步是數(shù)據(jù)采集，第二步是數(shù)據(jù)分析。在大型網(wǎng)絡(luò)中，通常采用控制臺(tái)和代理相結(jié)合的結(jié)構(gòu)，這種結(jié)構(gòu)特別適用于異構(gòu)型網(wǎng)絡(luò)，檢測不同的平臺(tái)較容易。在不同威脅程度的環(huán)境下，可以有不同的檢測標(biāo)準(zhǔn)。5.2.3 漏洞檢測的基本要點(diǎn)2) 報(bào)告與安裝。漏洞檢測系統(tǒng)生成的報(bào)告是理解系統(tǒng)安全狀況的關(guān)鍵，它記錄了系統(tǒng)的安全特征，針對(duì)發(fā)現(xiàn)的漏洞提出需要采取的措施。整個(gè)漏洞檢測系統(tǒng)還應(yīng)該提供友好的界面及靈活的配置特性。安全漏