安全審核評估和風(fēng)險分析第16部分入侵檢測早期預(yù)警與事件響應(yīng)

第八單元

入侵檢測學(xué)習(xí)目標(biāo)掌握入侵檢測系統(tǒng)的概念了解入侵檢測系統(tǒng)的作用及原理區(qū)分入侵檢測系統(tǒng)和自動掃描程序描述網(wǎng)絡(luò)級入侵檢測與主機(jī)級入侵檢測系統(tǒng)的不同列舉入侵檢測系統(tǒng)中使用的元素掌握入侵檢測的規(guī)那么、動作與行為掌握入侵檢測軟件的選購與使用入侵檢測系統(tǒng)的概念入侵檢測----通過對網(wǎng)絡(luò)行為、平安日志或?qū)徍藬?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作和分析，檢測到對系統(tǒng)的闖入或闖入的企圖。

入侵檢測系統(tǒng)的概念入侵檢測系統(tǒng)IDS與掃描器systemscanne區(qū)別systemscanner〔系統(tǒng)掃描器〕是根據(jù)攻擊特征數(shù)據(jù)庫來掃描系統(tǒng)漏洞的。systemscanner更關(guān)注配置上的漏洞而不是當(dāng)前進(jìn)出主機(jī)的流量，有點(diǎn)類似殺毒軟件，需要對已有漏洞分析后找到檢測方法并編寫檢測規(guī)那么。入侵檢測系統(tǒng)IDS掃描當(dāng)前網(wǎng)絡(luò)的活動，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)那么來過濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量，提供實(shí)時警報。入侵檢測系統(tǒng)IDS是對現(xiàn)有系統(tǒng)進(jìn)行的動態(tài)檢測。入侵檢測系統(tǒng)的主要功能檢測并分析用戶和系統(tǒng)的活動提供報警和預(yù)防防范黑客入侵核查系統(tǒng)配置和漏洞評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性識別的攻擊行為統(tǒng)計(jì)分析異常行為記錄各種網(wǎng)絡(luò)活動和事件操作系統(tǒng)日志管理，并識別違反平安策略的用戶活動入侵檢測的分類從檢測時間上劃分實(shí)時入侵檢測事后入侵檢測

從檢測技術(shù)上劃分基于簽名基于異常情況

按照檢測對象劃分基于主機(jī)

基于網(wǎng)絡(luò)

混合型

管理者與代理的通信建立一個有效的入侵檢測體系安裝IDS需注意的問題使用IDS應(yīng)注意的問題充分發(fā)揮和利用IDS定制監(jiān)控反響改正創(chuàng)立和配置IDS規(guī)那么必須為IDS建立規(guī)那么編輯已有的規(guī)那么并增加新的規(guī)那么來為網(wǎng)絡(luò)提供最正確的保護(hù)。規(guī)那么只有兩大類：網(wǎng)絡(luò)異常網(wǎng)絡(luò)誤用企業(yè)級的IDS通?？梢詫?shí)施上百條規(guī)那么IDS的動作與行為

定義規(guī)那么的元素需要保護(hù)的主機(jī)需要做日志記錄和禁止的主機(jī)實(shí)施策略的時間段事件的描述對發(fā)生的事件如何反響IDS主動審核和被動審核審核分被動型和主動型主動審核被動審核入侵檢測系統(tǒng)常用的檢測方法入侵檢測系統(tǒng)常用的檢測方法有：特征檢測統(tǒng)計(jì)檢測專家系統(tǒng)文件完整性檢查入侵檢測系統(tǒng)常用的檢測方法特征檢測特征檢測對的攻擊或入侵的方式做出正確性的描述，形成相應(yīng)的事件模式檢測方法上與計(jì)算機(jī)病毒的檢測方式類似應(yīng)用廣泛預(yù)報檢測的準(zhǔn)確率較高入侵檢測系統(tǒng)常用的檢測方法統(tǒng)計(jì)檢測統(tǒng)計(jì)模型常為異常檢測在統(tǒng)計(jì)模型中常用的測量參數(shù)包括：審核事件的數(shù)量間隔時間資源消耗情況常用的入侵檢測5種統(tǒng)計(jì)模型為：

操作模型方差多元模型馬爾柯夫過程模型時間序列分析入侵檢測系統(tǒng)常用的檢測方法專家系統(tǒng)專家系統(tǒng)是基于一套由專家經(jīng)驗(yàn)事先定義的規(guī)那么的推理系統(tǒng)。專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審核記錄的完備性和實(shí)時性。專家系統(tǒng)對系統(tǒng)的適應(yīng)性比較強(qiáng)，可以較靈活地適應(yīng)廣譜的平安策略和檢測需求。入侵檢測系統(tǒng)常用的檢測方法文件完整性檢查文件完整性檢查是指系統(tǒng)檢查計(jì)算機(jī)中自上次檢查后文件變化的情況文件完整性檢查系統(tǒng)的優(yōu)點(diǎn)文件完整性檢查系統(tǒng)的弱點(diǎn)基于內(nèi)核的入侵檢測系統(tǒng)〔LIDS〕什么是LIDS基于Linux內(nèi)核的入侵檢測和預(yù)防系統(tǒng)

LIDS的三點(diǎn)特性入侵防護(hù)入侵監(jiān)測入侵響應(yīng)基于內(nèi)核的入侵檢測系統(tǒng)〔LIDS〕LIDS文檔工程安裝LIDS下載、安裝和配置LIDS補(bǔ)丁和相關(guān)正式的Linux內(nèi)核在Linux系統(tǒng)上安裝LIDS和系統(tǒng)管理工具配置LIDS系統(tǒng)入侵檢測技術(shù)開展方向入侵技術(shù)的開展與演變

入侵或攻擊的綜合化與復(fù)雜化入侵主體對象的間接化入侵或攻擊的規(guī)模擴(kuò)大入侵或攻擊技術(shù)的分布化攻擊對象的轉(zhuǎn)移入侵檢測技術(shù)的開展方向分布式入侵檢測智能化入侵檢測全面的平安防御方案知名的入侵檢測系統(tǒng)軟件金諾網(wǎng)安入侵檢測系統(tǒng)CiscoSecure入侵檢測統(tǒng)清華得實(shí)NetDT(r)2000東軟NetEyeIDS

東軟IDS

中科網(wǎng)威“天眼〞入侵偵測系統(tǒng)

漢邦入侵檢測系統(tǒng)HBIDS

安氏領(lǐng)信IDS

中聯(lián)綠盟“冰之眼〞瑞星RIDS-100如何選擇入侵檢測產(chǎn)品可以根據(jù)以下因素選擇入侵檢測產(chǎn)品：系統(tǒng)的價格特征庫升級與維護(hù)的費(fèi)用對于網(wǎng)絡(luò)入侵檢測系統(tǒng)，最大可處理流量〔包/秒PPS〕是多少該產(chǎn)品容易被躲避嗎產(chǎn)品的可伸縮性運(yùn)行與維護(hù)系統(tǒng)的開銷產(chǎn)品支持的入侵特征數(shù)產(chǎn)品有哪些響應(yīng)方法是否通過了國家授權(quán)的機(jī)構(gòu)的評測實(shí)驗(yàn)8-1：了解和認(rèn)識CASessionWall的功能

在本實(shí)驗(yàn)中，我們將會學(xué)習(xí)到IDS的原理和功能，以及SessionWall的工作環(huán)境。實(shí)驗(yàn)8-2：了解和掌握SessionWall的環(huán)境在本實(shí)驗(yàn)中我們將了解SessionWall的強(qiáng)大功能以及IDS在網(wǎng)絡(luò)中的地位與作用。實(shí)驗(yàn)8-3：在SessionWall中創(chuàng)立、設(shè)置、編輯審核規(guī)那么本實(shí)驗(yàn)主要要求大家掌握SessionWall中規(guī)那么編輯的方法細(xì)節(jié)。第九單元

早期預(yù)警與事件響應(yīng)學(xué)習(xí)目標(biāo)了解早期預(yù)警的重要性掌握蜜網(wǎng)的概念及應(yīng)用了解TarPit對于郵件效勞器的功能對一個平安破壞事件做出適當(dāng)?shù)姆错懺谙到y(tǒng)遭到攻擊時確定能提供幫助的組織向一些平安組織訂閱平安方面的信息為不可防止的狀況做準(zhǔn)備網(wǎng)絡(luò)攻擊的危害性黑客盜用帳戶病毒木馬竊取用戶信息補(bǔ)救的措施安裝升級補(bǔ)丁備份數(shù)據(jù)問題的根源被動防御----防火墻、殺毒、入侵檢測“老三樣的防御對病毒和黑客的作用已經(jīng)不大主動防御----較為全方位的體系，在這個體系中包含著一系列的主動平安技術(shù)、平安管理策略和平安管理的理念蜜網(wǎng)蜜網(wǎng)工程組----是一個自發(fā)的，非營利的研究組織，該組織專注于對黑客界所使用的各種攻擊工具、策略及動機(jī)進(jìn)行研究，并且分享學(xué)到的經(jīng)驗(yàn)收集這些信息的根本工具就是蜜網(wǎng)蜜網(wǎng)工程組的網(wǎng)頁〔〕蜜網(wǎng)的概述蜜網(wǎng)----是一種體系結(jié)構(gòu)，這種體系結(jié)構(gòu)創(chuàng)立了一個高度可控的網(wǎng)絡(luò)，你可以控制和監(jiān)視其中的所有活動蜜網(wǎng)技術(shù)改變傳統(tǒng)信息平安的局面收集潛在威脅的信息，發(fā)現(xiàn)新的工具是一種高交互的用來獲取廣泛的威脅信息的蜜罐第二代蜜網(wǎng)技術(shù)框架圖

蜜網(wǎng)如何部署蜜網(wǎng)技術(shù)的最重要的挑戰(zhàn)是如何部署蜜網(wǎng)的部署方式將會決定你能捕獲的攻擊者〔攻擊活動〕的類型迄今為止，極少有蜜網(wǎng)能夠捕獲到高級攻擊者的活動蜜網(wǎng)體系結(jié)構(gòu)需求蜜網(wǎng)只是一個體系結(jié)構(gòu)，為了成功的部署一個蜜網(wǎng)環(huán)境，你必須正確的部署它的體系結(jié)構(gòu)。所有的蜜網(wǎng)部署方式都要滿足以下兩個需求：數(shù)據(jù)控制數(shù)據(jù)捕獲數(shù)據(jù)控制定義了怎樣將攻擊者的活動限制在蜜網(wǎng)中而同時不讓攻擊者覺察。數(shù)據(jù)捕獲那么是在攻擊者不知情的情況下捕獲其所有攻擊活動。數(shù)據(jù)控制總是比數(shù)據(jù)捕獲的優(yōu)先級要高。蜜網(wǎng)成功部署蜜網(wǎng)的要求數(shù)據(jù)控制——限制攻擊者活動的機(jī)制，降低平安風(fēng)險數(shù)據(jù)捕獲——監(jiān)控和記錄所有攻擊者在蜜網(wǎng)內(nèi)部的活動數(shù)據(jù)收集——只針對于擁有分布式蜜網(wǎng)環(huán)境的組織蜜網(wǎng)是一個強(qiáng)有力的工具。能夠收集到詳細(xì)的有關(guān)各種平安威脅的信息蜜網(wǎng)風(fēng)險使用蜜網(wǎng)付出的代價就是風(fēng)險。風(fēng)險對不同的組織來說意義不同我們將涉及以下四種主要的平安風(fēng)險：危害〔harm〕偵測〔detection〕失效〔disabling〕濫用〔violation〕減輕風(fēng)險方法：人工監(jiān)控定制TarPit

TarPitting----成心向與垃圾郵件或其他不需要的通信相關(guān)的某些SMTP通信中插入一定的延遲收件人篩選使用收件人篩選，發(fā)件人將無法向您發(fā)送發(fā)往無效收件人或已篩選收件人的郵件不使用收件人篩選，發(fā)送到Exchange組織中無效電子郵件地址的郵件將被接受并由Exchange效勞器處理。實(shí)驗(yàn)9-1：在WindowsServer2003啟用TarPit功能

在本實(shí)驗(yàn)中，我們將學(xué)習(xí)怎樣開啟WindowsServer2003的TarPit功能。配置問題一些無意的行為喪失口令非法操作資源訪問控制不合理管理員平安配置不當(dāng)以及疏忽大意允許不應(yīng)進(jìn)入網(wǎng)絡(luò)的人上網(wǎng)做好響應(yīng)方案制定一個特定的響應(yīng)策略當(dāng)發(fā)生了平安破壞活動時，需要有一個事先的方案來與黑客進(jìn)行周旋，同時還要有一個良好的策略來說明怎樣、何時報告平安事件，以及怎樣通知相關(guān)組織和個人。建立響應(yīng)策略制訂符合你所在組織情況的響應(yīng)策略將所制訂的響應(yīng)策略寫入文檔，文檔將用于說明怎樣執(zhí)行步驟。指導(dǎo)員工在遇到攻擊時按文檔中所述步驟來執(zhí)行，除非有特殊合理的理由，否那么必須嚴(yán)格執(zhí)行響應(yīng)策略。提前做決定預(yù)先制訂良好的平安策略，別在出現(xiàn)緊急情況后才來決定要制訂響應(yīng)策略在緊急情況下作出的決定往往不能很好的應(yīng)對威脅做出正確的反響在面對黑客攻擊時，需要做出正確的反響。保持鎮(zhèn)定依照平安響應(yīng)策略制訂的步驟實(shí)施記錄下所有的事件系統(tǒng)日志和效勞日志----審核日志往往能記錄下黑客入侵到系統(tǒng)的活動一份記錄報告必須包含以下信息發(fā)生攻擊的日期和時間攻擊的類型，受影響的系統(tǒng)，使用的通信方式〔TCP,UDP,ICMP〕相關(guān)的效勞器和效勞在響應(yīng)攻擊過程中聯(lián)系過的公司員工的名字〔主管，IT人員等〕響應(yīng)過程中所用到的應(yīng)用程序分析攻擊的形式分析攻擊需要確定是否真正發(fā)生了平安攻擊常常是有一些用戶的不恰當(dāng)?shù)男袨楸灰尚某珊诳托袨榧词褂杏脩暨M(jìn)行了攻擊，也不能就認(rèn)定該用戶是黑客，這個用戶可能已經(jīng)被侵入而成為另一個真正意上的攻擊的一局部提高警覺確定攻擊的范圍確定黑客的攻擊后采取的步驟確定哪些帳號受到影響鑒別哪些文檔被讀取、修改或替代在系統(tǒng)中跟蹤黑客的活動情況查詢審核日志確定是否有權(quán)限被修改制止和牽制黑客活動根據(jù)平安策略的方案以及當(dāng)前的具體情況，找出所有發(fā)生攻擊的連接并牽制黑客活動實(shí)施響應(yīng)方案響應(yīng)方案的步驟通知受到影響的相關(guān)人員中斷連接或建立一個“監(jiān)獄〞通知警方聯(lián)系黑客追蹤連接并運(yùn)用其它檢測方法,以進(jìn)一步掌握黑客其它活動重新配置防火墻通知受到影響的人員通知Internet代理商分析和學(xué)習(xí)為了能更好的分析響應(yīng)措施，可以參考以下問題：黑客是如何繞過平安策略的？是賄賂內(nèi)部員工？社會工程？暴力攻擊？修改路由表？還是穿過了不嚴(yán)格的防火墻？對攻擊所做出的有效響應(yīng)是什么？有待提高的是什么？以后要采取什么不同的方法？哪些人或哪些軟件能幫助你抵御攻擊？建立容災(zāi)備份方案在限定時間內(nèi)成功的災(zāi)難恢復(fù)是企業(yè)平安策略中的一個關(guān)鍵組成局部，而要實(shí)現(xiàn)這一目標(biāo)，很重要的措施是要建立容災(zāi)備份方案。常用容災(zāi)備份技術(shù)利用磁帶拷貝進(jìn)行數(shù)據(jù)備份和恢復(fù)實(shí)現(xiàn)過程復(fù)雜，恢復(fù)效率低遠(yuǎn)程數(shù)據(jù)庫復(fù)制技術(shù)由數(shù)據(jù)庫系統(tǒng)軟件來實(shí)現(xiàn)數(shù)據(jù)庫的遠(yuǎn)程復(fù)制和