入侵防御系統(tǒng)課件

網(wǎng)絡(luò)空間信息安全第9章入侵防御系統(tǒng)網(wǎng)絡(luò)空間信息安全第9章入侵防御系統(tǒng)本章主要內(nèi)容9.1入侵防御系統(tǒng)概述；9.2網(wǎng)絡(luò)入侵防御系統(tǒng)；9.3主機(jī)入侵防御系統(tǒng)。入侵防御系統(tǒng)的作用是檢測網(wǎng)絡(luò)中可能存在的攻擊行為，并對攻擊行為進(jìn)行反制。由于攻擊手段的多樣性和不斷翻新，采用單一技術(shù)和手段是無法檢測出所有攻擊行為的，因此，入侵防御系統(tǒng)也是多個系統(tǒng)的有機(jī)集合，每一個系統(tǒng)各司其職。2第9章入侵防御系統(tǒng)本章主要內(nèi)容9.1入侵防御系統(tǒng)概述；2第9章入侵防御系統(tǒng)9.1入侵防御系統(tǒng)概述9.1.1入侵手段9.1.2防火墻與殺毒軟件的局限性9.1.3入侵防御系統(tǒng)分類；9.1.4入侵防御系統(tǒng)工作過程；9.1.5入侵防御系統(tǒng)不足；9.1.6入侵防御系統(tǒng)發(fā)展趨勢。入侵防御系統(tǒng)和防火墻是抵御黑客攻擊的兩面盾牌，防火墻通過控制信息在各個網(wǎng)絡(luò)間的傳輸，防止攻擊信息到達(dá)攻擊目標(biāo)。入侵防御系統(tǒng)通過檢測流經(jīng)各個網(wǎng)段的信息流，監(jiān)測對主機(jī)資源的訪問過程，發(fā)現(xiàn)并反制可能存在的攻擊行為。3第9章入侵防御系統(tǒng)9.1入侵防御系統(tǒng)概述9.1.1入侵手段3第9章入侵防入侵手段1惡意代碼一是可以破壞主機(jī)系統(tǒng)，如刪除文件；二是可以為黑客非法訪問主機(jī)信息資源提供通道，如設(shè)置后門、提高黑客訪問權(quán)限等；三是可以泄漏主機(jī)系統(tǒng)的重要信息資源。4第9章入侵防御系統(tǒng)入侵手段1惡意代碼4第9章入侵防御系統(tǒng)入侵手段2非法訪問一是利用操作系統(tǒng)或應(yīng)用程序的漏洞實現(xiàn)信息資源的訪問；二是通過窮舉法破解管理員口令，從而實施對主機(jī)系統(tǒng)的訪問；三是利用惡意代碼設(shè)置的后門或為黑客建立的具有管理員權(quán)限的帳號實施對主機(jī)系統(tǒng)的訪問。5第9章入侵防御系統(tǒng)入侵手段2非法訪問5第9章入侵防御系統(tǒng)入侵手段3拒絕服務(wù)攻擊一是利用操作系統(tǒng)或應(yīng)用程序的漏洞使主機(jī)系統(tǒng)崩潰，如發(fā)送長度超過64KB的IP分組；二是利用協(xié)議的固有缺陷耗盡主機(jī)系統(tǒng)資源，從而使主機(jī)系統(tǒng)無法提供正常服務(wù)，如SYN泛洪攻擊；三是通過因為植入惡意代碼而被黑客控制的主機(jī)系統(tǒng),向某個主機(jī)系統(tǒng)發(fā)送大量信息流,導(dǎo)致該主機(jī)系統(tǒng)連接網(wǎng)絡(luò)的鏈路阻塞，從而無法與其他主機(jī)正常通信。6第9章入侵防御系統(tǒng)入侵手段3拒絕服務(wù)攻擊6第9章入侵防御系統(tǒng)防火墻與殺毒軟件的局限性1防火墻的局限性防火墻是一種設(shè)置在網(wǎng)絡(luò)邊界，有效控制內(nèi)網(wǎng)和外網(wǎng)之間信息交換的設(shè)備。例如，通過配置訪問控制策略，防火墻可以將外網(wǎng)對非軍事區(qū)中的資源的訪問權(quán)限設(shè)置為只允許讀取Web服務(wù)器中的Web頁面和下載FTP服務(wù)器中的文件。但是外網(wǎng)對內(nèi)網(wǎng)中終端實施的攻擊往往是通過防火墻訪問控制策略允許的信息交換過程完成的，如通過內(nèi)網(wǎng)終端訪問外網(wǎng)Web服務(wù)器時，或通過內(nèi)網(wǎng)終端接收的郵件植入惡意代碼，因此，防火墻已經(jīng)無法防止來自外網(wǎng)的全部攻擊。7第9章入侵防御系統(tǒng)防火墻與殺毒軟件的局限性1防火墻的局限性7第9章入侵防御防火墻與殺毒軟件的局限性2殺毒軟件的局限性殺毒軟件可以檢測出感染病毒的文件，刪除或隔離病毒，防止病毒發(fā)作危害主機(jī)系統(tǒng)，但是殺毒軟件無法對黑客利用操作系統(tǒng)或應(yīng)用程序的漏洞實施的攻擊予以防范，并且大多數(shù)殺毒軟件只能檢測出已知病毒，即病毒特征包含在病毒庫中的病毒，無法檢測出未知病毒。8第9章入侵防御系統(tǒng)防火墻與殺毒軟件的局限性2殺毒軟件的局限性8第9章入侵防入侵防御系統(tǒng)分類入侵防御系統(tǒng)分為主機(jī)入侵防御系統(tǒng)和網(wǎng)絡(luò)入侵防御系統(tǒng)；主機(jī)入侵防御系統(tǒng)檢測進(jìn)入主機(jī)的信息流、監(jiān)測對主機(jī)資源的訪問過程，以此發(fā)現(xiàn)攻擊行為、管制流出主機(jī)的信息流，保護(hù)主機(jī)資源；網(wǎng)絡(luò)入侵防御系統(tǒng)通過檢測流經(jīng)關(guān)鍵網(wǎng)段的信息流，發(fā)現(xiàn)攻擊行為，實施反制過程，以此保護(hù)重要網(wǎng)絡(luò)資源；主機(jī)入侵防御系統(tǒng)和網(wǎng)絡(luò)入侵防御系統(tǒng)相輔相成，構(gòu)成有機(jī)的防御體系。9第9章入侵防御系統(tǒng)入侵防御系統(tǒng)分類入侵防御系統(tǒng)分為主機(jī)入侵防御系統(tǒng)和網(wǎng)絡(luò)入侵防入侵防御系統(tǒng)工作過程網(wǎng)絡(luò)入侵防御系統(tǒng)工作過程捕獲信息；檢測異常信息；反制異常信息；報警；登記。10得到流經(jīng)關(guān)鍵網(wǎng)段的信息流。異常指包含非法代碼，包含非法字段值，與已知攻擊特征匹配等。反制是丟棄與異常信息具有相同源IP地址，或者相同目的IP地址的IP分組，釋放傳輸異常信息的TCP連接等。向網(wǎng)絡(luò)安全管理員報告檢測到異常信息流的情況，異常信息流的特征、源和目的IP地址，可能實施的攻擊等。記錄下有關(guān)異常信息流的一切信息，以便對其進(jìn)行分析。第9章入侵防御系統(tǒng)入侵防御系統(tǒng)工作過程網(wǎng)絡(luò)入侵防御系統(tǒng)工作過程10得到流經(jīng)關(guān)鍵入侵防御系統(tǒng)工作過程主機(jī)入侵防御系統(tǒng)工作過程攔截主機(jī)資源訪問操作請求和網(wǎng)絡(luò)信息流；采集相應(yīng)數(shù)據(jù)；確定操作請求和網(wǎng)絡(luò)信息流的合法性；反制動作；登記和分析。主機(jī)攻擊行為的最終目標(biāo)是非法訪問網(wǎng)絡(luò)資源，或者感染病毒，這些操作的實施一般都需要調(diào)用操作系統(tǒng)提供的服務(wù)，因此，首要任務(wù)是對調(diào)用操作系統(tǒng)服務(wù)的請求進(jìn)行檢測，根據(jù)調(diào)用發(fā)起進(jìn)程，調(diào)用進(jìn)程所屬用戶，需要訪問的主機(jī)資源等信息確定調(diào)用的合法性。同時，需要對進(jìn)出主機(jī)的信息進(jìn)行檢測，發(fā)現(xiàn)非法代碼和敏感信息。11第9章入侵防御系統(tǒng)入侵防御系統(tǒng)工作過程主機(jī)入侵防御系統(tǒng)工作過程11第9章入侵入侵防御系統(tǒng)的不足主機(jī)入侵防御系統(tǒng)是被動防御，主動防御是在攻擊信息到達(dá)主機(jī)前予以干預(yù)，并查出攻擊源，予以反制。另外，每一臺主機(jī)安裝主機(jī)入侵防御系統(tǒng)的成本和使安全策略一致的難度都是主機(jī)入侵防御系統(tǒng)的不足；網(wǎng)絡(luò)入侵防御系統(tǒng)能夠?qū)崿F(xiàn)主動防御，但只保護(hù)部分網(wǎng)絡(luò)資源，另外對未知攻擊行為的檢測存在一定的難度。12第9章入侵防御系統(tǒng)入侵防御系統(tǒng)的不足主機(jī)入侵防御系統(tǒng)是被動防御，主動防御是在攻入侵防御系統(tǒng)發(fā)展趨勢融合到操作系統(tǒng)中主機(jī)入侵防御系統(tǒng)的主要功能是監(jiān)測對主機(jī)資源的訪問過程，對訪問資源的合法性進(jìn)行判別，這是操作系統(tǒng)應(yīng)該集成的功能。集成到網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備中所有信息流都需經(jīng)過轉(zhuǎn)發(fā)設(shè)備進(jìn)行轉(zhuǎn)發(fā)，因此，轉(zhuǎn)發(fā)設(shè)備是檢測信息流的合適之處。13第9章入侵防御系統(tǒng)入侵防御系統(tǒng)發(fā)展趨勢融合到操作系統(tǒng)中13第9章入侵防御系統(tǒng)9.2網(wǎng)絡(luò)入侵防御系統(tǒng)系統(tǒng)結(jié)構(gòu)；信息捕獲機(jī)制；入侵檢測機(jī)制；安全策略。

網(wǎng)絡(luò)入侵防御系統(tǒng)首先是捕獲流經(jīng)網(wǎng)絡(luò)的信息流，然后對其進(jìn)行檢測，并根據(jù)檢測結(jié)果確定反制動作，檢測機(jī)制、攻擊特征庫和反制動作由安全策略確定。14第9章入侵防御系統(tǒng)9.2網(wǎng)絡(luò)入侵防御系統(tǒng)系統(tǒng)結(jié)構(gòu)；14第9章入侵防御系統(tǒng)系統(tǒng)結(jié)構(gòu)探測器1處于探測模式，探測模式被動地接收信息流，對其進(jìn)行處理，發(fā)現(xiàn)異常時，向安全管理器報警，并視需要向異常信息流的源和目的終端發(fā)送復(fù)位TCP鏈接的控制報文，探測機(jī)制需要采用相應(yīng)捕獲機(jī)制才能捕獲信息流。探測器2處于轉(zhuǎn)發(fā)模式，轉(zhuǎn)發(fā)模式從一個端口接收信息流，對其進(jìn)行異常檢測，在確定為正常信息流的情況下，從另一個端口轉(zhuǎn)發(fā)出去。15第9章入侵防御系統(tǒng)系統(tǒng)結(jié)構(gòu)探測器1處于探測模式，探測模式被動地接收信息流，對其信息捕獲機(jī)制利用集線器的廣播傳輸功能，從集線器任何端口進(jìn)入的信息流，將廣播到所有其他端口。16利用集線器捕獲信息機(jī)制第9章入侵防御系統(tǒng)信息捕獲機(jī)制利用集線器的廣播傳輸功能，從集線器任何端口進(jìn)入的信息捕獲機(jī)制端口鏡像功能是將交換機(jī)某個端口（如圖中的端口2）作為另一個端口（如圖中的端口1）的鏡像，這樣，所有從該端口輸出的信息流，都被復(fù)制到鏡像端口，由于鏡像端口和其他交換機(jī)端口之間的鏡像關(guān)系是動態(tài)的，因此，連接在端口2的探測器，可以捕獲從交換機(jī)任意端口輸出的信息流。17利用端口鏡像捕獲信息機(jī)制第9章入侵防御系統(tǒng)信息捕獲機(jī)制端口鏡像功能是將交換機(jī)某個端口（如圖中的端口2）信息捕獲機(jī)制跨交換機(jī)端口鏡像功能是將需要檢測的端口和連接探測模式的探測器端口之間交換路徑所經(jīng)過交換機(jī)端口劃分為一個特定的VLAN；從檢測端口進(jìn)入的信息除了正常轉(zhuǎn)發(fā)外，在該特定VLAN內(nèi)廣播。18利用跨交換機(jī)端口鏡像捕獲信息機(jī)制第9章入侵防御系統(tǒng)信息捕獲機(jī)制跨交換機(jī)端口鏡像功能是將需要檢測的端口和連接探測信息捕獲機(jī)制通過分類器鑒別出具有指定源和目的IP地址、源和目的端口號等屬性參數(shù)的IP分組；為這些IP分組選擇特定的傳輸路徑；虛擬訪問控制列表允許這些IP分組既正常轉(zhuǎn)發(fā)，又從特定傳輸路徑轉(zhuǎn)發(fā)；通過特定傳輸路徑轉(zhuǎn)發(fā)的IP分組到達(dá)探測器。19虛擬訪問控制列表第9章入侵防御系統(tǒng)信息捕獲機(jī)制通過分類器鑒別出具有指定源和目的IP地址、源和目入侵檢測機(jī)制攻擊特征檢測從已知的攻擊信息流中提取出有別于正常信息流的特征信息；特征信息分為元攻擊特征和有狀態(tài)攻擊特征；元攻擊特征是單個獨(dú)立的攻擊特征，只要信息流中出現(xiàn)和元攻擊特征相同的位流或字節(jié)流模式，即可斷定發(fā)現(xiàn)攻擊；有狀態(tài)攻擊特征是將整個會話分成若干階段，攻擊特征分散出現(xiàn)在多個階段對應(yīng)的信息流中，只有按照階段順序，在每一個檢測到指定的攻擊特征才可斷定發(fā)現(xiàn)攻擊；攻擊特征只能檢測出已知攻擊，即提取出攻擊特征的攻擊行為。20第9章入侵防御系統(tǒng)入侵檢測機(jī)制攻擊特征檢測20第9章入侵防御系統(tǒng)入侵檢測機(jī)制協(xié)議譯碼IP分組的正確性，如首部字段值是否合理，整個TCP首部是否包含單片數(shù)據(jù)中，各個分片的長度之和是否超過64KB等；TCP報文的正確性，如經(jīng)過TCP連接傳輸?shù)腡CP報文的序號和確認(rèn)序號之間是否沖突，連續(xù)發(fā)送的TCP報文序號范圍和另一方發(fā)送的窗口是否沖突，各段數(shù)據(jù)的序號范圍是否重疊等；應(yīng)用層報文的正確性，請求、響應(yīng)過程是否合乎協(xié)議規(guī)范；各個字段值是否合理，端口號是否和默認(rèn)應(yīng)用層協(xié)議匹配等。21第9章入侵防御系統(tǒng)入侵檢測機(jī)制協(xié)議譯碼21第9章入侵防御系統(tǒng)入侵檢測機(jī)制異常檢測基于統(tǒng)計機(jī)制，在一段時間內(nèi)，對流經(jīng)特定網(wǎng)段的信息流進(jìn)行統(tǒng)計，如單位時間特定源和目的終端之間的流量、不同應(yīng)用層報文分布等，將這些統(tǒng)計值作為基準(zhǔn)統(tǒng)計值。然后，實時采集流經(jīng)該網(wǎng)段的信息流，并計算出單位時間內(nèi)的統(tǒng)計值，然后和基準(zhǔn)統(tǒng)計值比較，如果多個統(tǒng)計值和基準(zhǔn)統(tǒng)計值存在較大偏差，斷定流經(jīng)該網(wǎng)段的信息流出現(xiàn)異常；基于規(guī)則機(jī)制，通過分析大量異常信息流，總結(jié)出一些特定異常信息流的規(guī)則，一旦流經(jīng)該網(wǎng)段的信息流符合某種異常信息流對應(yīng)的規(guī)則，斷定該信息流為異常信息流。22第9章入侵防御系統(tǒng)入侵檢測機(jī)制異常檢測22第9章入侵防御系統(tǒng)入侵檢測機(jī)制異常檢測的困難之處在于正常信息流和異常信息流的測量值之間存在重疊部分，必須在誤報和漏報之間平衡；根據(jù)被保護(hù)資源的重要性確定基準(zhǔn)值（靠近A點(diǎn)或B點(diǎn))。23第9章入侵防御系統(tǒng)入侵檢測機(jī)制異常檢測的困難之處在于正常信息流和異常信息流的測安全策略安全策略指定需要檢測的信息流類別、檢測機(jī)制和反制動作，對于攻擊特征檢測，需要給出攻擊特征庫；由于攻擊和應(yīng)用層協(xié)議相關(guān)，因此對應(yīng)不同的應(yīng)用層協(xié)議存在不同的攻擊特征庫；對同一類別信息流，可以指定多種檢測機(jī)制，對不同檢測機(jī)制檢測到的攻擊行為采取不同的反制動作。24第9章入侵防御系統(tǒng)安全策略安全策略指定需要檢測的信息流類別、檢測機(jī)制和反制動作9.3主機(jī)入侵防御系統(tǒng)9.3.1工作流程；9.3.2截獲機(jī)制；9.3.3主機(jī)資源；9.3.4用戶和系統(tǒng)狀態(tài)；9.3.5訪問控制策略；9.3.6Honeypot。主機(jī)入侵防御系統(tǒng)主要用于防止對主機(jī)資源的非法訪問和病毒入侵，因此，必須通過訪問控制策略設(shè)定主機(jī)資源的訪問權(quán)限，截獲主機(jī)資源的操作請求，根據(jù)訪問控制策略、用戶和系統(tǒng)狀態(tài)及主機(jī)資源類型確定操作請求的合理性。25第9章入侵防御系統(tǒng)9.3主機(jī)入侵防御系統(tǒng)9.3.1工作流程；25第9章入工作流程主機(jī)入侵防御系統(tǒng)主要用于防止非法訪問和病毒入侵；只允許對主機(jī)資源的合法操作正常進(jìn)行。26必須截獲所有調(diào)用操作系統(tǒng)服務(wù)的請求，尤其是對主機(jī)資源的操作請求，如讀寫文件、修改注冊表等。判別某個操作請求的合法性，判別的依據(jù)是訪問控制策略、操作對象和類型、請求進(jìn)程及進(jìn)程所屬的用戶、主機(jī)系統(tǒng)和用戶狀態(tài)等。只允許操作系統(tǒng)完成合法的操作請求。第9章入侵防御系統(tǒng)工作流程主機(jī)入侵防御系統(tǒng)主要用于防止非法訪問和病毒入侵；26截獲機(jī)制修改操作系統(tǒng)內(nèi)核通過修改操作系統(tǒng)內(nèi)核，可以根據(jù)特權(quán)用戶配置的資源訪問控制陣列和請求操作的用戶確定操作的合法性，為了安全，可以對請求操作的用戶進(jìn)行身份認(rèn)證。攔截系統(tǒng)調(diào)用用戶操作請求和操作系統(tǒng)內(nèi)核之間增加檢測程序，對用戶發(fā)出的操作請求進(jìn)行檢測，確定是合法操作請求，才提供給操作系統(tǒng)內(nèi)核。網(wǎng)絡(luò)信息流監(jiān)測對進(jìn)出主機(jī)的信息流實施監(jiān)測，防止病毒入侵，也防止敏感信息外泄。27第9章入侵防御系統(tǒng)截獲機(jī)制修改操作系統(tǒng)內(nèi)核27第9章入侵防御系統(tǒng)截獲機(jī)制攔截系統(tǒng)調(diào)用和進(jìn)出主機(jī)的信息流的過程28第9章入侵防御系統(tǒng)截獲機(jī)制攔截系統(tǒng)調(diào)用和進(jìn)出主機(jī)的信息流的過程28第9章入侵主機(jī)資源主機(jī)資源是需要主機(jī)入侵防御系統(tǒng)保護(hù)的一切有用的信息和信息承載體，包括如下：網(wǎng)絡(luò)；內(nèi)存；進(jìn)程；文件；系統(tǒng)配置信息。29第9章入侵防御系統(tǒng)主機(jī)資源主機(jī)資源是需要主機(jī)入侵防御系統(tǒng)保護(hù)的一切有用的信息和用戶和系統(tǒng)狀態(tài)主機(jī)位置信息主機(jī)位置和主機(jī)的安全程度相關(guān)，也影響著主機(jī)入侵防御系統(tǒng)對主機(jī)的保護(hù)力度。確定主機(jī)位置的信息有：IP地址、域名前綴、VPN客戶信息等。用戶狀態(tài)信息不同用戶的訪問權(quán)限不同，用戶身份通過用戶名和口令標(biāo)識，用戶狀態(tài)信息給出用戶登錄時的用戶名，口令等。系統(tǒng)狀態(tài)信息系統(tǒng)安全狀態(tài)，目前設(shè)置的安全等級、是否配置防火墻。是否安裝防病毒軟件，是否監(jiān)測到黑客攻擊等。用戶和系統(tǒng)狀態(tài)確定主機(jī)入侵防御系統(tǒng)對主機(jī)資源的保護(hù)方式和力度。30第9章入侵防御系統(tǒng)用戶和系統(tǒng)狀態(tài)主機(jī)位置信息30第9章入侵防御系統(tǒng)訪問控制策略訪問控制策略用于確定操作請求是否進(jìn)行；訪問控制策略將用戶位置、系統(tǒng)狀態(tài)和資源訪問規(guī)則結(jié)合在一起；用戶位置給出標(biāo)識用戶終端所在位置的信息，如IP地址；系統(tǒng)狀態(tài)給出終端的安全狀態(tài)；資源訪問規(guī)則對應(yīng)不同用戶、不同訪問請求發(fā)起者、不同資源定義了允許對資源進(jìn)行的訪問操作和違反規(guī)則所采取動作。31第9章入侵防御系統(tǒng)訪問控制策略訪問控制策略用于確定操作請求是否進(jìn)行；31第9章HoneypotHoneypot是一個偽裝成有豐富資源的的應(yīng)用服務(wù)器，用戶通過正常訪問過程是無法訪問到的，因此，對Honeypot進(jìn)行訪問的往往是攻擊程序；Honeypot的作用是對資源訪問過程進(jìn)行嚴(yán)密監(jiān)控，提取訪問者的特征信息，如偵察行為特征、滲透行為特征及攻擊行為特征等；Honeypot詳細(xì)記錄下訪問過程中的每一個操作，以便今后分析；總之，Honeypot就像是一個四處安裝監(jiān)控器，沒有任何盲區(qū)的房間，可以在犯罪分子沒有覺察的情況下，察看他們的盡情表演，以此了解他們犯罪過程中的每一個細(xì)節(jié)。32第9章入侵防御系統(tǒng)HoneypotHoneypot是一個偽裝成有豐富資源的的應(yīng)本章小結(jié)入侵防御系統(tǒng)采用的是一種較為主動的技術(shù)，可以有效地彌補(bǔ)防火墻的不足，能及時發(fā)現(xiàn)入侵行為和合法用戶濫用特權(quán)的行為并予以追蹤入侵源，反制入侵行為。網(wǎng)絡(luò)入侵防御系統(tǒng)主要從系統(tǒng)結(jié)構(gòu)、信息捕獲機(jī)制、入侵檢測機(jī)制、安全策略4個方面進(jìn)行了介紹。主機(jī)入侵防御系統(tǒng)主要從黑客攻擊主機(jī)過程、主機(jī)入侵防御系統(tǒng)功能、主機(jī)入侵防御系統(tǒng)工作流程、截獲機(jī)制、主機(jī)資源、用戶和系統(tǒng)狀態(tài)、訪問控制策略幾方面進(jìn)行了介紹。第9章入侵防御系統(tǒng)33本章小結(jié)入侵防御系統(tǒng)采用的是一種較為主動的技術(shù)，可以有作業(yè)1產(chǎn)生入侵防御系統(tǒng)的原因是什么？2網(wǎng)絡(luò)入侵防御系統(tǒng)和防火墻的區(qū)別是什么？。3主機(jī)入侵防御系統(tǒng)和網(wǎng)絡(luò)入侵防御系統(tǒng)的區(qū)別是什么？4網(wǎng)絡(luò)入侵防御系統(tǒng)的實現(xiàn)機(jī)制是什么？34第9章入侵防御系統(tǒng)作業(yè)1產(chǎn)生入侵防御系統(tǒng)的原因是什么？34第9章入侵防御系謝謝！第9章入侵防御系統(tǒng)35第9章入侵防御系統(tǒng)35網(wǎng)絡(luò)空間信息安全第9章入侵防御系統(tǒng)網(wǎng)絡(luò)空間信息安全第9章入侵防御系統(tǒng)本章主要內(nèi)容9.1入侵防御系統(tǒng)概述；9.2網(wǎng)絡(luò)入侵防御系統(tǒng)；9.3主機(jī)入侵防御系統(tǒng)。入侵防御系統(tǒng)的作用是檢測網(wǎng)絡(luò)中可能存在的攻擊行為，并對攻擊行為進(jìn)行反制。由于攻擊手段的多樣性和不斷翻新，采用單一技術(shù)和手段是無法檢測出所有攻擊行為的，因此，入侵防御系統(tǒng)也是多個系統(tǒng)的有機(jī)集合，每一個系統(tǒng)各司其職。37第9章入侵防御系統(tǒng)本章主要內(nèi)容9.1入侵防御系統(tǒng)概述；2第9章入侵防御系統(tǒng)9.1入侵防御系統(tǒng)概述9.1.1入侵手段9.1.2防火墻與殺毒軟件的局限性9.1.3入侵防御系統(tǒng)分類；9.1.4入侵防御系統(tǒng)工作過程；9.1.5入侵防御系統(tǒng)不足；9.1.6入侵防御系統(tǒng)發(fā)展趨勢。入侵防御系統(tǒng)和防火墻是抵御黑客攻擊的兩面盾牌，防火墻通過控制信息在各個網(wǎng)絡(luò)間的傳輸，防止攻擊信息到達(dá)攻擊目標(biāo)。入侵防御系統(tǒng)通過檢測流經(jīng)各個網(wǎng)段的信息流，監(jiān)測對主機(jī)資源的訪問過程，發(fā)現(xiàn)并反制可能存在的攻擊行為。38第9章入侵防御系統(tǒng)9.1入侵防御系統(tǒng)概述9.1.1入侵手段3第9章入侵防入侵手段1惡意代碼一是可以破壞主機(jī)系統(tǒng)，如刪除文件；二是可以為黑客非法訪問主機(jī)信息資源提供通道，如設(shè)置后門、提高黑客訪問權(quán)限等；三是可以泄漏主機(jī)系統(tǒng)的重要信息資源。39第9章入侵防御系統(tǒng)入侵手段1惡意代碼4第9章入侵防御系統(tǒng)入侵手段2非法訪問一是利用操作系統(tǒng)或應(yīng)用程序的漏洞實現(xiàn)信息資源的訪問；二是通過窮舉法破解管理員口令，從而實施對主機(jī)系統(tǒng)的訪問；三是利用惡意代碼設(shè)置的后門或為黑客建立的具有管理員權(quán)限的帳號實施對主機(jī)系統(tǒng)的訪問。40第9章入侵防御系統(tǒng)入侵手段2非法訪問5第9章入侵防御系統(tǒng)入侵手段3拒絕服務(wù)攻擊一是利用操作系統(tǒng)或應(yīng)用程序的漏洞使主機(jī)系統(tǒng)崩潰，如發(fā)送長度超過64KB的IP分組；二是利用協(xié)議的固有缺陷耗盡主機(jī)系統(tǒng)資源，從而使主機(jī)系統(tǒng)無法提供正常服務(wù)，如SYN泛洪攻擊；三是通過因為植入惡意代碼而被黑客控制的主機(jī)系統(tǒng),向某個主機(jī)系統(tǒng)發(fā)送大量信息流,導(dǎo)致該主機(jī)系統(tǒng)連接網(wǎng)絡(luò)的鏈路阻塞，從而無法與其他主機(jī)正常通信。41第9章入侵防御系統(tǒng)入侵手段3拒絕服務(wù)攻擊6第9章入侵防御系統(tǒng)防火墻與殺毒軟件的局限性1防火墻的局限性防火墻是一種設(shè)置在網(wǎng)絡(luò)邊界，有效控制內(nèi)網(wǎng)和外網(wǎng)之間信息交換的設(shè)備。例如，通過配置訪問控制策略，防火墻可以將外網(wǎng)對非軍事區(qū)中的資源的訪問權(quán)限設(shè)置為只允許讀取Web服務(wù)器中的Web頁面和下載FTP服務(wù)器中的文件。但是外網(wǎng)對內(nèi)網(wǎng)中終端實施的攻擊往往是通過防火墻訪問控制策略允許的信息交換過程完成的，如通過內(nèi)網(wǎng)終端訪問外網(wǎng)Web服務(wù)器時，或通過內(nèi)網(wǎng)終端接收的郵件植入惡意代碼，因此，防火墻已經(jīng)無法防止來自外網(wǎng)的全部攻擊。42第9章入侵防御系統(tǒng)防火墻與殺毒軟件的局限性1防火墻的局限性7第9章入侵防御防火墻與殺毒軟件的局限性2殺毒軟件的局限性殺毒軟件可以檢測出感染病毒的文件，刪除或隔離病毒，防止病毒發(fā)作危害主機(jī)系統(tǒng)，但是殺毒軟件無法對黑客利用操作系統(tǒng)或應(yīng)用程序的漏洞實施的攻擊予以防范，并且大多數(shù)殺毒軟件只能檢測出已知病毒，即病毒特征包含在病毒庫中的病毒，無法檢測出未知病毒。43第9章入侵防御系統(tǒng)防火墻與殺毒軟件的局限性2殺毒軟件的局限性8第9章入侵防入侵防御系統(tǒng)分類入侵防御系統(tǒng)分為主機(jī)入侵防御系統(tǒng)和網(wǎng)絡(luò)入侵防御系統(tǒng)；主機(jī)入侵防御系統(tǒng)檢測進(jìn)入主機(jī)的信息流、監(jiān)測對主機(jī)資源的訪問過程，以此發(fā)現(xiàn)攻擊行為、管制流出主機(jī)的信息流，保護(hù)主機(jī)資源；網(wǎng)絡(luò)入侵防御系統(tǒng)通過檢測流經(jīng)關(guān)鍵網(wǎng)段的信息流，發(fā)現(xiàn)攻擊行為，實施反制過程，以此保護(hù)重要網(wǎng)絡(luò)資源；主機(jī)入侵防御系統(tǒng)和網(wǎng)絡(luò)入侵防御系統(tǒng)相輔相成，構(gòu)成有機(jī)的防御體系。44第9章入侵防御系統(tǒng)入侵防御系統(tǒng)分類入侵防御系統(tǒng)分為主機(jī)入侵防御系統(tǒng)和網(wǎng)絡(luò)入侵防入侵防御系統(tǒng)工作過程網(wǎng)絡(luò)入侵防御系統(tǒng)工作過程捕獲信息；檢測異常信息；反制異常信息；報警；登記。45得到流經(jīng)關(guān)鍵網(wǎng)段的信息流。異常指包含非法代碼，包含非法字段值，與已知攻擊特征匹配等。反制是丟棄與異常信息具有相同源IP地址，或者相同目的IP地址的IP分組，釋放傳輸異常信息的TCP連接等。向網(wǎng)絡(luò)安全管理員報告檢測到異常信息流的情況，異常信息流的特征、源和目的IP地址，可能實施的攻擊等。記錄下有關(guān)異常信息流的一切信息，以便對其進(jìn)行分析。第9章入侵防御系統(tǒng)入侵防御系統(tǒng)工作過程網(wǎng)絡(luò)入侵防御系統(tǒng)工作過程10得到流經(jīng)關(guān)鍵入侵防御系統(tǒng)工作過程主機(jī)入侵防御系統(tǒng)工作過程攔截主機(jī)資源訪問操作請求和網(wǎng)絡(luò)信息流；采集相應(yīng)數(shù)據(jù)；確定操作請求和網(wǎng)絡(luò)信息流的合法性；反制動作；登記和分析。主機(jī)攻擊行為的最終目標(biāo)是非法訪問網(wǎng)絡(luò)資源，或者感染病毒，這些操作的實施一般都需要調(diào)用操作系統(tǒng)提供的服務(wù)，因此，首要任務(wù)是對調(diào)用操作系統(tǒng)服務(wù)的請求進(jìn)行檢測，根據(jù)調(diào)用發(fā)起進(jìn)程，調(diào)用進(jìn)程所屬用戶，需要訪問的主機(jī)資源等信息確定調(diào)用的合法性。同時，需要對進(jìn)出主機(jī)的信息進(jìn)行檢測，發(fā)現(xiàn)非法代碼和敏感信息。46第9章入侵防御系統(tǒng)入侵防御系統(tǒng)工作過程主機(jī)入侵防御系統(tǒng)工作過程11第9章入侵入侵防御系統(tǒng)的不足主機(jī)入侵防御系統(tǒng)是被動防御，主動防御是在攻擊信息到達(dá)主機(jī)前予以干預(yù)，并查出攻擊源，予以反制。另外，每一臺主機(jī)安裝主機(jī)入侵防御系統(tǒng)的成本和使安全策略一致的難度都是主機(jī)入侵防御系統(tǒng)的不足；網(wǎng)絡(luò)入侵防御系統(tǒng)能夠?qū)崿F(xiàn)主動防御，但只保護(hù)部分網(wǎng)絡(luò)資源，另外對未知攻擊行為的檢測存在一定的難度。47第9章入侵防御系統(tǒng)入侵防御系統(tǒng)的不足主機(jī)入侵防御系統(tǒng)是被動防御，主動防御是在攻入侵防御系統(tǒng)發(fā)展趨勢融合到操作系統(tǒng)中主機(jī)入侵防御系統(tǒng)的主要功能是監(jiān)測對主機(jī)資源的訪問過程，對訪問資源的合法性進(jìn)行判別，這是操作系統(tǒng)應(yīng)該集成的功能。集成到網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備中所有信息流都需經(jīng)過轉(zhuǎn)發(fā)設(shè)備進(jìn)行轉(zhuǎn)發(fā)，因此，轉(zhuǎn)發(fā)設(shè)備是檢測信息流的合適之處。48第9章入侵防御系統(tǒng)入侵防御系統(tǒng)發(fā)展趨勢融合到操作系統(tǒng)中13第9章入侵防御系統(tǒng)9.2網(wǎng)絡(luò)入侵防御系統(tǒng)系統(tǒng)結(jié)構(gòu)；信息捕獲機(jī)制；入侵檢測機(jī)制；安全策略。

網(wǎng)絡(luò)入侵防御系統(tǒng)首先是捕獲流經(jīng)網(wǎng)絡(luò)的信息流，然后對其進(jìn)行檢測，并根據(jù)檢測結(jié)果確定反制動作，檢測機(jī)制、攻擊特征庫和反制動作由安全策略確定。49第9章入侵防御系統(tǒng)9.2網(wǎng)絡(luò)入侵防御系統(tǒng)系統(tǒng)結(jié)構(gòu)；14第9章入侵防御系統(tǒng)系統(tǒng)結(jié)構(gòu)探測器1處于探測模式，探測模式被動地接收信息流，對其進(jìn)行處理，發(fā)現(xiàn)異常時，向安全管理器報警，并視需要向異常信息流的源和目的終端發(fā)送復(fù)位TCP鏈接的控制報文，探測機(jī)制需要采用相應(yīng)捕獲機(jī)制才能捕獲信息流。探測器2處于轉(zhuǎn)發(fā)模式，轉(zhuǎn)發(fā)模式從一個端口接收信息流，對其進(jìn)行異常檢測，在確定為正常信息流的情況下，從另一個端口轉(zhuǎn)發(fā)出去。50第9章入侵防御系統(tǒng)系統(tǒng)結(jié)構(gòu)探測器1處于探測模式，探測模式被動地接收信息流，對其信息捕獲機(jī)制利用集線器的廣播傳輸功能，從集線器任何端口進(jìn)入的信息流，將廣播到所有其他端口。51利用集線器捕獲信息機(jī)制第9章入侵防御系統(tǒng)信息捕獲機(jī)制利用集線器的廣播傳輸功能，從集線器任何端口進(jìn)入的信息捕獲機(jī)制端口鏡像功能是將交換機(jī)某個端口（如圖中的端口2）作為另一個端口（如圖中的端口1）的鏡像，這樣，所有從該端口輸出的信息流，都被復(fù)制到鏡像端口，由于鏡像端口和其他交換機(jī)端口之間的鏡像關(guān)系是動態(tài)的，因此，連接在端口2的探測器，可以捕獲從交換機(jī)任意端口輸出的信息流。52利用端口鏡像捕獲信息機(jī)制第9章入侵防御系統(tǒng)信息捕獲機(jī)制端口鏡像功能是將交換機(jī)某個端口（如圖中的端口2）信息捕獲機(jī)制跨交換機(jī)端口鏡像功能是將需要檢測的端口和連接探測模式的探測器端口之間交換路徑所經(jīng)過交換機(jī)端口劃分為一個特定的VLAN；從檢測端口進(jìn)入的信息除了正常轉(zhuǎn)發(fā)外，在該特定VLAN內(nèi)廣播。53利用跨交換機(jī)端口鏡像捕獲信息機(jī)制第9章入侵防御系統(tǒng)信息捕獲機(jī)制跨交換機(jī)端口鏡像功能是將需要檢測的端口和連接探測信息捕獲機(jī)制通過分類器鑒別出具有指定源和目的IP地址、源和目的端口號等屬性參數(shù)的IP分組；為這些IP分組選擇特定的傳輸路徑；虛擬訪問控制列表允許這些IP分組既正常轉(zhuǎn)發(fā)，又從特定傳輸路徑轉(zhuǎn)發(fā)；通過特定傳輸路徑轉(zhuǎn)發(fā)的IP分組到達(dá)探測器。54虛擬訪問控制列表第9章入侵防御系統(tǒng)信息捕獲機(jī)制通過分類器鑒別出具有指定源和目的IP地址、源和目入侵檢測機(jī)制攻擊特征檢測從已知的攻擊信息流中提取出有別于正常信息流的特征信息；特征信息分為元攻擊特征和有狀態(tài)攻擊特征；元攻擊特征是單個獨(dú)立的攻擊特征，只要信息流中出現(xiàn)和元攻擊特征相同的位流或字節(jié)流模式，即可斷定發(fā)現(xiàn)攻擊；有狀態(tài)攻擊特征是將整個會話分成若干階段，攻擊特征分散出現(xiàn)在多個階段對應(yīng)的信息流中，只有按照階段順序，在每一個檢測到指定的攻擊特征才可斷定發(fā)現(xiàn)攻擊；攻擊特征只能檢測出已知攻擊，即提取出攻擊特征的攻擊行為。55第9章入侵防御系統(tǒng)入侵檢測機(jī)制攻擊特征檢測20第9章入侵防御系統(tǒng)入侵檢測機(jī)制協(xié)議譯碼IP分組的正確性，如首部字段值是否合理，整個TCP首部是否包含單片數(shù)據(jù)中，各個分片的長度之和是否超過64KB等；TCP報文的正確性，如經(jīng)過TCP連接傳輸?shù)腡CP報文的序號和確認(rèn)序號之間是否沖突，連續(xù)發(fā)送的TCP報文序號范圍和另一方發(fā)送的窗口是否沖突，各段數(shù)據(jù)的序號范圍是否重疊等；應(yīng)用層報文的正確性，請求、響應(yīng)過程是否合乎協(xié)議規(guī)范；各個字段值是否合理，端口號是否和默認(rèn)應(yīng)用層協(xié)議匹配等。56第9章入侵防御系統(tǒng)入侵檢測機(jī)制協(xié)議譯碼21第9章入侵防御系統(tǒng)入侵檢測機(jī)制異常檢測基于統(tǒng)計機(jī)制，在一段時間內(nèi)，對流經(jīng)特定網(wǎng)段的信息流進(jìn)行統(tǒng)計，如單位時間特定源和目的終端之間的流量、不同應(yīng)用層報文分布等，將這些統(tǒng)計值作為基準(zhǔn)統(tǒng)計值。然后，實時采集流經(jīng)該網(wǎng)段的信息流，并計算出單位時間內(nèi)的統(tǒng)計值，然后和基準(zhǔn)統(tǒng)計值比較，如果多個統(tǒng)計值和基準(zhǔn)統(tǒng)計值存在較大偏差，斷定流經(jīng)該網(wǎng)段的信息流出現(xiàn)異常；基于規(guī)則機(jī)制，通過分析大量異常信息流，總結(jié)出一些特定異常信息流的規(guī)則，一旦流經(jīng)該網(wǎng)段的信息流符合某種異常信息流對應(yīng)的規(guī)則，斷定該信息流為異常信息流。57第9章入侵防御系統(tǒng)入侵檢測機(jī)制異常檢測22第9章入侵防御系統(tǒng)入侵檢測機(jī)制異常檢測的困難之處在于正常信息流和異常信息流的測量值之間存在重疊部分，必須在誤報和漏報之間平衡；根據(jù)被保護(hù)資源的重要性確定基準(zhǔn)值（靠近A點(diǎn)或B點(diǎn))。58第9章入侵防御系統(tǒng)入侵檢測機(jī)制異常檢測的困難之處在于正常信息流和異常信息流的測安全策略安全策略指定需要檢測的信息流類別、檢測機(jī)制和反制動作，對于攻擊特征檢測，需要給出攻擊特征庫；由于攻擊和應(yīng)用層協(xié)議相關(guān)，因此對應(yīng)不同的應(yīng)用層協(xié)議存在不同的攻擊特征庫；對同一類別信息流，可以指定多種檢測機(jī)制，對不同檢測機(jī)制檢測到的攻擊行為采取不同的反制動作。59第9章入侵防御系統(tǒng)安全策略安全策略指定需要檢測的信息流類別、檢測機(jī)制和反制動作9.3主機(jī)入侵防御系統(tǒng)9.3.1工作流程；9.3.2截獲機(jī)制；9.3.3主機(jī)資源；9.3.4用戶和系統(tǒng)狀態(tài)；9.3.5訪問控制策略；9.3.6Honeypot。主機(jī)入侵防御系統(tǒng)主要用于防止對主機(jī)資源的非法訪問和病毒入侵，因此，必須通過訪問控制策略設(shè)定主機(jī)資源的訪問權(quán)限，截獲主機(jī)資源的操作請求，根據(jù)訪問控制策略、用戶和系統(tǒng)狀態(tài)及主機(jī)資源類型確定操作請求的合理性。60第9章入侵防御系統(tǒng)9.3主機(jī)入侵防御系統(tǒng)9.3.1工作流程；25第9章入工作流程主機(jī)入侵防御系統(tǒng)主要用于防止非法訪問和病毒入侵；只允許對主機(jī)資源的合法操作正常進(jìn)行。61必須截獲所有調(diào)用操作系統(tǒng)服務(wù)的請求，尤其是對主機(jī)資源的操作請求，如讀寫文件、修改注冊表等。判別某個操作請求的合法性，判別的依據(jù)是訪問控制策略、操作對象和類型、請求進(jìn)程及進(jìn)程所屬的用戶、主機(jī)系統(tǒng)和用戶狀態(tài)等。只允許操作系統(tǒng)完成合法的操作請求。第9章入侵防御系統(tǒng)工作流程主機(jī)入侵防御系統(tǒng)主要用于防止非法訪問和病毒入侵；26截獲機(jī)制修改操作系統(tǒng)內(nèi)核通過修改操作系統(tǒng)內(nèi)核，可以根據(jù)特權(quán)用戶配置的資源訪問控制陣列和請求操作的用戶確定操作的合法性，為了安全，可以對請求操作的用戶進(jìn)行身份認(rèn)證。攔截系統(tǒng)調(diào)用用戶操作請求和操作系統(tǒng)內(nèi)核之間增加檢測程序，對用戶發(fā)出的操作請求進(jìn)行檢測，確定是合法操作請求，才提供給操作系統(tǒng)內(nèi)核。網(wǎng)絡(luò)信息流監(jiān)測對進(jìn)出主機(jī)的信息流實施監(jiān)測，防止病毒入侵，也防止敏感信息外泄。62第9章入侵防御系統(tǒng)截獲機(jī)制修改操作系統(tǒng)內(nèi)核27第9章入侵防御系統(tǒng)截獲機(jī)制攔截系統(tǒng)調(diào)用和