網絡安全 入侵檢測 網絡安全的構成 物理安全性設備的物理安全 防火 防盜 防破壞等通信網絡安全性防止入侵和信息泄露系統安全性計算機系統不被入侵和破壞用戶訪問安全性通過身份鑒別和訪問控制 阻止資源被非法用戶訪問數據安全性數據的完整 可用數據保密性信息的加密存儲和傳輸 安全的分層結構和主要技術 物理安全層 網絡安全層 系統安全層 用戶安全層 應用安全層 數據安全層 加密 訪問控制 授權 用戶 組管理 單機登錄 身份認證 反病毒 風險評估 入侵檢測 審計分析 安全的通信協議 VPN 防火墻 存儲備份 主要的傳統安全技術 加密消息摘要 數字簽名身份鑒別 口令 鑒別交換協議 生物特征訪問控制安全協議 IPSec SSL網絡安全產品與技術 防火墻 VPN內容控制 防病毒 內容過濾等 預防 prevention 和 防護 protection 的思想 傳統安全技術的局限性 傳統的安全技術采用嚴格的訪問控制和數據加密策略來防護在復雜系統中 這些策略是不充分的這些措施都是以減慢交易為代價的大部分損失是由內部引起的82 的損失是內部威脅造成的傳統安全技術難于防內傳統的安全技術基本上是一種被動的防護 而如今的攻擊和入侵要求我們主動地去檢測 發現和排除安全隱患傳統安全措施不能滿足這一點 入侵檢測系統概述 入侵檢測系統的定義 入侵 Intrusion 企圖進入或濫用計算機或網絡系統的行為可能來自于網絡內部的合法用戶入侵檢測 IntrusionDetection 對系統的運行狀態進行監視 發現各種攻擊企圖 攻擊行為或者攻擊結果 以保證系統資源的機密性 完整性和可用性入侵檢測系統 IntrusionDetectionSystem IDS 定義 進行入侵檢測的軟件與硬件的組合便是入侵檢測系統功能 監控計算機系統或網絡系統中發生的事件 根據規則進行安全審計 為什么需要入侵檢測系統 入侵很容易入侵教程隨處可見各種工具唾手可得防火墻不能保證絕對的安全網絡邊界的設備自身可以被攻破對某些攻擊保護很弱不是所有的威脅來自防火墻外部防火墻是鎖 入侵檢測系統是監視器入侵檢測系統IDS通過從計算機網絡或計算機系統的關鍵點收集信息并進行分析 從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象 入侵檢測的任務 檢測來自內部的攻擊事件和越權訪問85 以上的攻擊事件來自于內部的攻擊防火墻只能防外 難于防內入侵檢測系統作為傳統安全工具的一個有效的補充入侵檢測系統可以有效的防范防火墻開放的服務入侵通過事先發現風險來阻止入侵事件的發生 提前發現試圖攻擊或濫用網絡系統的人員檢測其它安全工具沒有發現的網絡工具事件提供有效的審計信息 詳細記錄黑客的入侵過程 從而幫助管理員發現網絡的脆弱性 入侵檢測相關術語 IDS IntrusionDetectionSystems 入侵檢測系統Promiscuous混雜模式 即IDS網絡接口可以看到網段中所有的網絡通信量 不管其來源或目的地Signatures特征 即攻擊的特征Alerts警告Anomaly異常Console控制臺Sensor傳感器 即檢測引擎 入侵檢測系統分類 1 按照數據來源 基于主機系統獲取數據的依據是系統運行所在的主機 保護的目標也是系統運行所在的主機基于網絡系統獲取的數據是網絡傳輸的數據包 保護的是網絡的運行 入侵檢測系統分類 2 按系統各模塊的運行方式集中式系統的各個模塊包括數據的收集分析集中在一臺主機上運行分布式系統的各個模塊分布在不同的計算機和設備上根據時效性脫機分析行為發生后 對產生的數據進行分析聯機分析在數據產生的同時或者發生改變時進行分析 基于主機的入侵檢測系統 基于主機的入侵檢測系統 Host BasedIDS HIDS 系統安裝在主機上面 對本主機進行安全檢測優點審計內容全面 保護更加周密視野集中適用于加密及交換環境易于用戶自定義對網絡流量不敏感缺點額外產生的安全問題HIDS依賴性強如果主機數目多 代價過大不能監控網絡上的情況 基于網絡的入侵檢測系統 基于網絡的入侵檢測系統 Network BasedIDS NIDS 系統安裝在比較重要的網段內在共享網段上對通信數據進行偵聽采集數據優點檢測范圍廣 提供對網絡通用的保護無需改變主機配置和性能 安裝方便獨立性 操作系統無關性偵測速度快隱蔽性好較少的監測器 占資源少缺點不能檢測不同網段的網絡包很難檢測復雜的需要大量計算的攻擊協同工作能力弱難以處理加密的會話 IDS基本結構 入侵檢測系統包括三個功能部件信息收集信息分析結果處理 信息收集 入侵檢測的第一步是信息收集 收集內容包括系統 網絡 數據及用戶活動的狀態和行為需要在計算機網絡系統中的若干不同關鍵點 不同網段和不同主機 收集信息盡可能擴大檢測范圍從一個源來的信息有可能看不出疑點入侵檢測很大程度上依賴于收集信息的可靠性和正確性要保證用來檢測網絡系統的軟件的完整性特別是入侵檢測系統軟件本身應具有相當強的堅固性 防止被篡改而收集到錯誤的信息信息收集的來源系統或網絡的日志文件網絡流量系統目錄和文件的異常變化程序執行中的異常行為 信息分析 分析得到的數據 并產生分析結果模式匹配將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較 從而發現違背安全策略的行為統計分析首先給系統對象 如用戶 文件 目錄和設備等 創建一個統計描述 統計正常使用時的一些測量屬性 如訪問次數 操作失敗次數和延時等 測量屬性的平均值和偏差將被用來與網絡 系統的行為進行比較 任何觀察值在正常值范圍之外時 就認為有入侵發生完整性分析事后分析主要關注某個文件或對象是否被更改在發現被更改的 被安裝木馬的應用程序方面特別有效 結果處理 結果處理 即對分析結果作出反應 切斷連接改變文件屬性發動對攻擊者的反擊報警 IDS的組成 檢測引擎控制中心 HUB 檢測引擎 MonitoredServers 控制中心 檢測引擎的部署位置 放在邊界防火墻之內放在邊界防火墻之外放在主要的網絡中樞放在一些安全級別需求高的子網 檢測引擎的部署位置示意圖 Internet 部署二 部署一 部署三 部署四 網絡入侵技術 入侵 Intrusion 入侵是指未經授權蓄意嘗試訪問信息 篡改信息 使系統不可靠或不能使用的行為破壞計算機或網絡資源的完整性 機密性 可用性 可控性入侵者可以是一個手工發出命令的人 也可是一個基于入侵腳本或程序的自動發布命令的計算機入侵者可以被分為兩類 外部的 網絡外面的侵入者內部的 合法使用網絡的侵入者 包括濫用權力的人和模仿更改權力的人 比如使用別人的終端 80 的安全問題同內部人有關 侵入系統的主要途徑 物理侵入侵入者對主機有物理進入權限方法如移走磁盤并在另外的機器讀 寫系統侵入侵入者已經擁有在系統的較低權限侵入者可能利用一個知名漏洞獲得系統管理員權限的機會遠程侵入入侵者通過網絡遠程進入系統 侵入者從無特權開始入檢測系統主要關心遠程侵入 網絡入侵的一般步驟 目標探測和信息收集自身隱藏利用漏洞侵入主機穩固和擴大戰果清除日志 目標探測和信息收集 利用掃描器軟件掃描端口掃描漏洞掃描常用掃描器軟件 SATAN 流光 Mscan利用snmp了解網絡結構搜集網絡管理信息網絡管理軟件也成為黑客入侵的一直輔助手段 自身隱藏 典型的黑客使用如下技術來隱藏IP地址通過telnet在以前攻克的Unix主機上跳轉通過終端管理器在windows主機上跳轉配置代理服務器更高級的黑客 精通利用電話交換侵入主機 利用漏洞侵入主機 已經利用掃描器發現漏洞例如CGI IIS漏洞充分掌握系統信息進一步入侵 穩固和擴大戰果 安裝后門BO 冰河添加系統賬號添加管理員賬號利用LKMLoadableKernelModules動態加載無需重新編譯內核利用信任主機控制了主機以后 可以利用該主機對其它鄰近和信任主機進行入侵控制了代理服務器 可以利用該服務器對內部網絡進一步入侵 清除日志 清除入侵日志Windows清除系統日志清除IIS日志清除FTP日志清除數據庫連接日志Unix登陸信息 var log home user bash historylastlog使管理員無法發現系統已被入侵 網絡入侵步驟總覽 IDS工作原理 入侵檢測引擎工作流程 1 入侵檢測引擎工作流程 2 監聽部分網絡接口混雜模式根據設置過濾一些數據包協議分析IP IPX PPP 數據分析根據相應的協議調用相應的數據分析函數一個協議數據有多個數據分析函數處理數據分析的方法是入侵檢測系統的核心引擎管理協調和配置給模塊間工作數據分析后處理方式AlertLogCallFirewall 入侵檢測的分析方式 異常檢測 AnomalyDetection 誤用檢測 MisuseDetection 完整性分析 異常檢測 基本原理正常行為的特征輪廓檢查系統的運行情況統計模型優點可以檢測到未知的入侵可以檢測冒用他人帳號的行為具有自適應 自學習功能不需要系統先驗知識缺點漏報 誤報率高入侵者可以逐漸改變自己的行為模式來逃避檢測合法用戶正常行為的突然改變也會造成誤警統計算法的計算量龐大 效率很低統計點的選取和參考庫的建立比較困難 誤用檢測 基本原理提前建立已出現的入侵行為特征檢測當前用戶行為特征模式匹配優點算法簡單系統開銷小準確率高效率高缺點被動只能檢測出已知攻擊新類型的攻擊會對系統造成很大的威脅模式庫的建立和維護難模式庫要不斷更新知識依賴于硬件平臺 操作系統和系統中運行的應用程序 完整性分析 基本原理通過檢查系統的當前系統配置 諸如系統文件的內容或者系統表 來檢查系統是否已經或者可能會遭到破壞優點不管模式匹配方法和統計分析方法能否發現入侵 只要是成功的攻擊導致了文件或其它對象的任何改變 它都能夠發現缺點一般以批處理方式實現 不用于實時響應 入侵檢測具體方法 1 基于統計方法的入侵檢測技術審計系統實時地檢測用戶對系統的使用情況 根據系統內部保持的用戶行為的概率統計模型進行監測 當發現有可疑的用戶行為發生時 保持跟蹤并監測 記錄該用戶的行為基于神經網絡的入侵檢測技術采用神經網絡技術 根據實時檢測到的信息有效地加以處理作出攻擊可能性的判斷基于專家系統的入侵檢測技術根據安全專家對可疑行為的分析經驗來形成一套推理規則 然后再在此基礎之上構成相應的專家系統 并應用于入侵檢測基于模型推理的入侵檢測技術為某些行為建立特定的模型 從而能夠監視具有特定行為特征的某些活動 根據假設的攻擊腳本 這種系統就能檢測出非法的用戶行為一般為了準確判斷 要為不同的攻擊者和不同的系統建立特定的攻擊腳本 入侵檢測具體方法 2 基于免疫原理的入侵檢測技術基于遺傳算法的入侵檢測技術基于基于代理檢測的入侵檢測技術基于數據挖掘的入侵檢測技術 入侵檢測響應機制 彈出窗口報警E mail通知切斷TCP連接執行自定義程序與其他安全產品交互FirewallSNMPTrap 入侵檢測標準化 IDS標準化要求 隨著網絡規模的擴大 網絡入侵的方式 類型 特征各不相同 入侵的活動變得復雜而又難以捉摸某些入侵的活動靠單一IDS不能檢測出來 如分布式攻擊網絡管理員常因缺少證據而無法追蹤入侵者 入侵者仍然可以進行非法的活動不同的IDS之間沒有協作 結果造成缺少某種入侵模式而導致IDS不能發現新的入侵活動目前網絡的安全也要求IDS能夠與訪問控制 應急 入侵追蹤等系統交換信息 相互協作 形成一個整體有效的安全保障系統 CIDF TheCommonIntrusionDetectionFramework CIDFCIDF是一套規范 它定義了IDS表達檢測信息的標準語言以及IDS組件之間的通信協議符合CIDF規范的IDS可以共享檢測信息 相互通信 協同工作 還可以與其它系統配合實施統一的配置響應和恢復策略CIDF的主要作用在于集成各種IDS使之協同工作 實現各IDS之間的組件重用 所以CIDF也是構建分布式IDS的基礎 CIDF規格文檔 體系結