1、第7章 網絡入侵檢測 1、入侵 (Intrusion)入侵是指未經授權蓄意嘗試訪問信息、竄改信息，使系統不可靠或不能使用的行為。它企圖破壞計算機資源的：n完整性(Integrity)n機密性（Confidentiality）n可用性（Availability）n可控性（Controliability）2、漏洞 入侵要利用漏洞，漏洞是指系統硬件、操作系統、軟件、網絡協議等在設計上、實現上出現的可以被攻擊者利用的錯誤、缺陷和疏漏。 3、入侵者入侵者可以是一個手工發出命令的人，也可是一個基于入侵腳本或程序的自動發布命令的計算機。入侵者一般可以分為兩類：內部的（一般指系統中的合法用戶但違規或者越權操作

2、）和外部的（一般指系統中的非法用戶）。 4、入侵系統的主要途徑入侵者進入系統的主要途徑有：n物理侵入物理侵入: 指一個入侵者對主機有物理進入權限。n本地侵入本地侵入: 這類侵入表現為入侵者已經擁有在系統用戶的較低權限。n遠程侵入遠程侵入: 這類入侵指入侵者通過網絡遠程進入系統。5、攻擊的一般步驟進行網絡攻擊是一件系統性很強的工作，其主要工作流程是：收集情報，遠程攻擊，清除日志，留下后門。二、入侵檢測系統基本知識二、入侵檢測系統基本知識1、入侵檢測與入侵檢測系統2、為什么需要IDS？3、IDS能做什么？4、入侵檢測系統在系統安全中的地位5、IDS的兩個指標6、IDS的特點7、入侵檢測的發展歷史1

3、、入侵檢測與入侵檢測系統（1）入侵檢測，顧名思義，是指對入侵行為的發覺。它通過在計算機網絡或計算機系統中的若干關鍵點收集信息并對收集到的信息進行分析，從而判斷網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測是一種主動保護自己的網絡和系統免遭非法攻擊的網絡安全技術。1、入侵檢測與入侵檢測系統（2）入侵檢測系統(Intrusion Detection System)，是完成入侵檢測功能的軟件、硬件及其組合。它試圖檢測、識別和隔離“入侵”企圖或計算機的不恰當未授權使用。加載入侵檢測技術的系統我們稱之為入侵檢測系統。一般情況下，我們并不嚴格的去區分入侵檢測和入侵檢測系統兩個概念，而都稱為I

4、DS或入侵檢測技術。2、為什么需要IDS？入侵很容易n入侵教程隨處可見n各種工具唾手可得防火墻不能保證絕對的安全n網絡邊界的設備n自身可以被攻破n對某些攻擊保護很弱n不是所有的威脅來自防火墻外部n防火墻是鎖，入侵檢測系統是監視器3、 IDS功能監控、分析用戶和系統活動監控、分析用戶和系統活動n實現入侵檢測任務的前提條件 發現入侵企圖或異常現象發現入侵企圖或異常現象n入侵檢測系統的核心功能 n這主要包括兩個方面，一是入侵檢測系統對進出網絡或主機的數據流進行監控，看是否存在對系統的入侵行為，另一個是評估系統關鍵資源和數據文件的完整性，看系統是否已經遭受了入侵。 記錄、報警和響應記錄、報警和響應n入

5、侵檢測系統在檢測到攻擊后，應該采取相應的措施來阻止攻擊或響應攻擊。入侵檢測系統作為一種主動防御策略，必然應該具備此功能。 審計系統的配置和弱點、評估關鍵系統和數據文件的完整性等審計系統的配置和弱點、評估關鍵系統和數據文件的完整性等監控室監控室=控制中心控制中心后門后門保安保安=防火墻防火墻攝像機攝像機=探測引擎探測引擎形象地說，它就是網絡攝象機，能夠捕獲并記錄網絡上的所有數據，同時它也是智能攝象機，能夠分析網絡數據并提煉出可疑的、異常的網絡數據，它還是X光攝象機，能夠穿透一些巧妙的偽裝，抓住實際的內容。它還不僅僅只是攝象機，還包括保安員的攝象機，能夠對入侵行為自動地進行反擊：阻斷連接、關閉道路

6、（與防火墻聯動）。5、IDS的兩個指標漏報率n指攻擊事件沒有被IDS檢測到誤報率n把正常事件識別為攻擊并報警n誤報率與檢出率成正比例關系6、IDS的特點（1）IDS的優點n提高信息安全構造的其他部分的完整性n提高系統的監控能力n從入口點到出口點跟蹤用戶的活動n識別和匯報數據文件的變化n偵測系統配置錯誤并糾正n識別特殊攻擊類型，并向管理人員發出警報6、IDS的特點（2）IDS的缺點 nIDS系統本身還在迅速發展和變化，遠未成熟n現有IDS系統錯報率(或稱為誤報率偏高)嚴重干擾了檢測結果n事件響應與恢復機制不完善nIDS與其他安全技術的協作性不夠nIDS缺乏國際統一的標準三、入侵檢測體系結構1、I

7、DS框架介紹2、CIDF模型3、Denning模型1、CIDF模型（1）CIDF根據IDS系統的通用需求以及現有IDS的系統結構，將IDS系統構成劃分如下部分：n事件產生器(Event Generators)n事件分析器(Event analyzers)n響應單元(Response units)n事件數據庫(Event databases)1、CIDF模型（2）1、CIDF模型事件產生器（1）事件產生器的目的是從整個計算環境中獲得事件，并向系統的其他部分提供此事件。入侵檢測的第一步采集內容n系統日志n應用程序日志n系統調用n網絡數據n用戶行為n其他IDS的信息1、CIDF模型事件產生器（2）注

8、意：入侵檢測很大程度上依賴于收集信息的可靠性和正確性n要保證用來檢測網絡系統的軟件的完整性，n特別是入侵檢測系統軟件本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息1、CIDF模型事件分析器事件分析器接收事件信息，對其進行分析，判斷是否為入侵行為或異常現象，最后將判斷的結果轉變為告警信息。分析是核心n效率高低直接決定整個IDS性能分析方法：n模式匹配n統計分析n完整性分析（往往用于事后分析）1、CIDF模型響應單元響應單元則是對分析結果作出反應的功能單元，功能包括：n告警和事件報告n終止進程，強制用戶退出n切斷網絡連接，修改防火墻設置 n災難評估，自動恢復 n查找定位攻擊者 1、CIDF

9、模型事件數據庫事件數據庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的數據庫，也可以是簡單的文本文件。四、入侵檢測系統的分類1、根據原始數據的來源2、根據檢測技術進行分類 3、根據體系結構分類 4、根據響應方式分類 1、根據原始數據的來源主機IDS基于主機的入侵檢測系統 n定義：安裝在單個主機或服務器系統上，對針對主機或服務器系統的入侵行為進行檢測和響應，對主機系統進行全面保護的系統。n主機入侵檢測系統主要是對該主機的網絡連接行為以及系統審計日志進行智能分析和判斷。1、主機、主機IDS示意圖（示意圖（1）1、主機、主機IDS示意圖（示意圖（2）1、主機、主機IDS特點特點主機主機IDS特

10、點：特點：n性能價格比高性能價格比高n能夠監測的網絡和主機活動更加細膩能夠監測的網絡和主機活動更加細膩n視野集中視野集中n易于用戶剪裁易于用戶剪裁 n對網絡流量不敏感：數據來源不完全源于網絡對網絡流量不敏感：數據來源不完全源于網絡n適用于被加密的以及交換的環境適用于被加密的以及交換的環境n確定攻擊是否成功確定攻擊是否成功1、根據原始數據的來源網絡IDS 基于網絡的入侵檢測系統 n網絡入侵檢測使用原始網絡包作為數據源n通常利用一個運行在混雜模式下網絡的適配器來實時監視并分析通過網絡的所有通信業務。 1、網絡、網絡IDS示意圖示意圖1、網絡、網絡IDS關鍵問題關鍵問題關鍵問題關鍵問題n在共享網段上

11、對通信數據進行偵聽采集數據在共享網段上對通信數據進行偵聽采集數據 n主機資源消耗少主機資源消耗少 n提供對網絡通用的保護提供對網絡通用的保護n如何適應高速網絡環境？如何適應高速網絡環境？n非共享網絡上如何采集數據？非共享網絡上如何采集數據？1、網絡、網絡IDS優點優點網絡IDS優點n偵測速度快n隱蔽性好 n視野更寬 n較少的監測器 n攻擊者不易轉移證據 n操作系統無關性 n占資源少 1、網絡、網絡IDS不足不足只檢查它直接連接網段的通信，不能檢測在不同網段的網絡包在使用交換以太網的環境中就會出現監測范圍的局限而安裝多臺網絡入侵檢測系統的傳感器會使部署整個系統的成本大大增加。通常采用特征檢測的方

12、法，它可以檢測出普通的一些攻擊，而很難實現一些復雜的需要大量計算與分析時間的攻擊檢測。可能會將大量的數據傳回分析系統中，在一些系統中監聽特定的數據包會產生大量的分析數據流量處理加密的會話過程比較困難，目前通過加密通道的攻擊尚不多，但隨著IPV6的普及，這個問題會越來越突出。1、HIDS與NIDS的比較2、根據檢測技術進行分類 按照分析方法檢測原理異常檢測（ Anomaly Detection ) ：根據異常行為和使用計算機資源的情況檢測出來的入侵。n首先總結正常操作應該具有的特征（用戶輪廓），試圖用定量的方式加以描述，當用戶活動與正常行為有重大偏離時即被認為是入侵誤用檢測（ Misuse De

13、tection ) ：利用已知系統和應用軟件的弱點攻擊模式來檢測入侵。n收集非正常操作的行為特征，建立相關的特征庫，當監測的用戶或系統行為與庫中的記錄相匹配時，系統就認為這種行為是入侵3、根據響應方式分類 主動響應 對被攻擊系統實施控制和對攻擊系統實施控制。 被動響應 只會發出告警通知，將發生的不正常情況報告給管理員，本身并不試圖降低所造成的破壞，更不會主動地對攻擊者采取反擊行動。 五、入侵檢測的分析方式1、入侵檢測的分析方式2、異常檢測3、誤用檢測4、完整性分析 5、入侵檢測的過程 1、入侵檢測的分析方式、入侵檢測的分析方式異常檢測（Anomaly Detection） n統計模型n誤報較多

14、誤用檢測（Misuse Detection）n維護一個入侵特征知識庫（CVE）n準確性高完整性分析 2、異常檢測（、異常檢測（1）思想：任何正常人的行為有一定的規律思想：任何正常人的行為有一定的規律需要考慮的問題：需要考慮的問題：（1）選擇哪些數據來表現用戶的行為）選擇哪些數據來表現用戶的行為（2）通過以上數據如何有效地表示用戶的行）通過以上數據如何有效地表示用戶的行為，主要在于學習和檢測方法的不同為，主要在于學習和檢測方法的不同（3）考慮學習過程的時間長短、用戶行為的）考慮學習過程的時間長短、用戶行為的時效性等問題時效性等問題2、異常檢測（、異常檢測（2）前提：入侵是異常活動的子集用戶輪廓（

15、Profile )：通常定義為各種行為參數及其閾值的集合，用于描述正常行為范圍Below Threshold levelsExceed Threshold LevelsSystem AuditMetricsProfilerIntrusionNormal Activity異常檢測模型異常檢測模型2、異常檢測（、異常檢測（3）基本原理n正常行為的特征輪廓n檢查系統的運行情況n是否偏離預設的門限？舉例n多次錯誤登錄、午夜登錄過程：監控監控 量化量化 比較比較 判定判定 修正修正指標：漏報、誤報率高2、異常檢測（、異常檢測（4）activity measuresprobable intrusionRe

16、latively high false positive rate - anomalies can just be new normal activities.2、異常檢測（、異常檢測（5）異常檢測系統的效率取決于用戶輪廓的完備性和監控的頻率不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵系統能針對用戶行為的改變進行自我調整和優化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統資源2、異常檢測優缺點、異常檢測優缺點優點n可以檢測到未知的入侵 n可以檢測冒用他人帳號的行為 n具有自適應，自學習功能 n不需要系統先驗知識缺點n漏報、誤報率高w入侵者可以逐漸改變自己的行為模式來逃避檢測w合

17、法用戶正常行為的突然改變也會造成誤警 n統計算法的計算量龐大，效率很低 n統計點的選取和參考庫的建立比較困難2、異常檢測主要方法、異常檢測主要方法基于統計的方法專家系統神經網絡數據挖掘遺傳算法、計算機免疫技術等等2、異常檢測統計學（、異常檢測統計學（1）通過對系統審計中的數據進行統計處理，并與描述主體正常行為的統計性特征輪廓進行比較，然后根據二者的偏差是否超過指定的門限來進一步判斷、處理。 利用統計理論提取用戶或系統正常行為的特征輪廓 ；2、異常檢測統計學（、異常檢測統計學（2） 統計學中特征輪廓由主體特征變量的頻度、均值、方差、被監控行為的屬性變量的統計概率分布以及偏差等統計量來描述。 典型

18、的系統主體特征有：系統的登錄與注銷時間、資源被占用的時間以及處理機、內存和外設的使用情況等 2、異常檢測統計學（、異常檢測統計學（3）優點:可應用成熟的概率統計理論缺點 1、由于用戶行為的復雜性，要想準確地匹配一個用戶的歷史行為非常困難，容易造成系統誤報和漏報； 2、難以確定門限值 。3、誤用檢測（、誤用檢測（1）思想：主要是通過某種方式預先定義入侵行為，思想：主要是通過某種方式預先定義入侵行為，然后監視系統，從中找出符合預先定義規則的然后監視系統，從中找出符合預先定義規則的入侵行為入侵行為誤用信號需要對入侵的特征、環境、次序以及誤用信號需要對入侵的特征、環境、次序以及完成入侵的事件相互間的關

19、系進行描述完成入侵的事件相互間的關系進行描述重要問題重要問題n（1）如何全面的描述攻擊的特征）如何全面的描述攻擊的特征n（2）如何排除干擾，減小誤報）如何排除干擾，減小誤報n（3）解決問題的方式）解決問題的方式System AuditMetricsPattern MatcherIntrusionNormal ActivityNo Signature MatchSignature Match誤用檢測模型誤用檢測模型1.1.前提：所有的入侵行為都前提：所有的入侵行為都有可被檢測到的特征有可被檢測到的特征 2.2.攻擊特征庫攻擊特征庫: : 當監測的用當監測的用戶或系統行為與庫中的記戶或系統行為與庫

20、中的記錄相匹配時，系統就認為錄相匹配時，系統就認為這種行為是入侵這種行為是入侵 3.3.過程過程 監控監控 特征提取特征提取 匹配匹配 判定判定 4.4.指標指標 誤報低誤報低 漏報漏報高高 3、誤用檢測過程（、誤用檢測過程（2）3、誤用檢測過程（、誤用檢測過程（3）Intrusion Patternsactivitiespattern matchingintrusionCant detect new attacksExample: if (src_ip = dst_ip) then “land attack”3、誤用檢測過程（、誤用檢測過程（4）如果入侵特征與正常的用戶行為能匹配，則系統會發

21、生誤報；如果沒有特征能與某種新的攻擊行為匹配，則系統會發生漏報特點：采用模式匹配，誤用模式能明顯降低誤報率，但漏報率隨之增加。攻擊特征的細微變化，會使得誤用檢測無能為力。3、誤用檢測過程優缺點、誤用檢測過程優缺點優點:n算法簡單、系統開銷小、準確率高、效率高缺點：n被動：只能檢測出已知攻擊 、新類型的攻擊會對系統造成很大的威脅 n模式庫的建立和維護難：模式庫要不斷更新知識依賴于：硬件平臺、操作系統、系統中運行的應用程序3、誤用檢測主要方法、誤用檢測主要方法條件概率誤用檢測條件概率誤用檢測專家系統誤用檢測專家系統誤用檢測狀態轉換分析吳用檢測狀態轉換分析吳用檢測健盤監控誤用檢測健盤監控誤用檢測模型

22、推理誤用檢測模型推理誤用檢測3、誤用檢測專家系統（、誤用檢測專家系統（1）專家系統是誤用檢測技術中運用最多的一種方專家系統是誤用檢測技術中運用最多的一種方法法通過將安全專家的知識表示成通過將安全專家的知識表示成if-thenif-then結構的結構的規則（規則（ if if 部分：構成入侵所要求的條件；部分：構成入侵所要求的條件； then then 部分：發現入侵后采取的相應措施）形部分：發現入侵后采取的相應措施）形成專家知識庫，然后運用推理算法檢測入侵成專家知識庫，然后運用推理算法檢測入侵注意：需要解決的主要問題是全面性問題和效注意：需要解決的主要問題是全面性問題和效率問題。率問題。3、誤

23、用檢測專家系統（、誤用檢測專家系統（2）在具體實現中，專家系統主要面臨：n全面性問題：難以科學地從各種入侵手段中抽象出全面的規則化知識；n效率問題：需處理的數據量過大商業產品一般不用專家系統5 5、IDSIDS部署（部署（1 1） 當實際使用 IDS 時，首先面臨的問題是：決定在系統的什么位置部署檢測和分析入侵行為用的嗅探器或檢測引擎。對IDS的部署，唯一的要求是： IDS應當掛應當掛接在所有所關注流量都必須流經的鏈路上接在所有所關注流量都必須流經的鏈路上。HIDS ：通常直接將檢測代理安裝在受監控的主機系統上 NIDS ：檢測引擎的部署稍微復雜（見下圖）5 5、IDSIDS部署（部署（2 2

24、） 六、一個攻擊檢測實例1、Sendmail漏洞利用2、簡單的匹配3、檢查端口號4、深入決策樹5、更加深入6、響應策略1、Sendmail漏洞利用老版本的Sendmail漏洞利用n$ telnet 25nWIZnshelln或者nDEBUGn# n直接獲得rootshell2、簡單的匹配檢查每個packet是否包含：“WIZ”| “DEBUG”3、檢查端口號縮小匹配范圍 Port 25:“WIZ”| “DEBUG” 4、深入決策樹只判斷客戶端發送部分 Port 25:Client-sends: “WIZ” |Client-sends: “DEBUG” 5、更加深入狀態檢測 + 引向異常的分支

25、Port 25:stateful client-sends: “WIZ” |stateful client-sends: “DEBUG”after stateful “DATA” client-sends line 1024 bytes means possible buffer overflow 6、響應策略彈出窗口報警E-mail通知切斷TCP連接執行自定義程序與其他安全產品交互nFirewallnSNMP Trap七、Snort1、概述2、Snort規則3、Snort安裝1、概述輕量級入侵檢測系統：n可配置性n可移植性(結構性好，公開源代碼)n可擴充性（基于規則）網絡入侵檢測系統n數據包

26、捕獲（libpcap 等）n數據包分析誤用入侵檢測系統n特征模式進行匹配2、Snort規則（1）規則描述語言n規則是特征模式匹配的依據，描述語言易于擴展，功能也比較強大 n每條規則必須在一行中，其規則解釋器無法對跨行的規則進行解析n邏輯上由規則頭和規則選項組成。規則頭包括：規則行為、協議、源/目的IP地址、子網掩碼、方向以及源/目的端口。規則選項包含報警信息和異常包的信息(特征碼)，使用這些特征碼來決定是否采取規則規定的行動。 2、Snort規則（2）規則描述語言舉例alert tcp any any - /24 111(content:|00 01 86 a5|;msg

27、:mountd access;) 從開頭到最左邊的括號屬于規則頭部分，括號內的部分屬于規則選項。規則選項中冒號前面的詞叫做選項關鍵詞。注意對于每條規則來說規則選項不是必需的，它們是為了更加詳細地定義應該收集或者報警的數據包。只有匹配所有選項的數據包，Snort才會執行其規則行為。2、Snort規則（3）規則頭：哪些數據包、數據包的來源、什么類型的數據包，以及對匹配的數據包如何處理。規則行為（rule action）：nAlert：使用選定的報警方法產生報警信息，并且記錄數據包；nLog：記錄數據包；nPass：忽略數據包；nActivate：報警，接著打開其它的dynamic規則；nDynam

28、ic：保持空閑狀態，直到被activate規則激活，作為一條log規則 2、Snort規則（4）協議（protocol）:n每條規則的第二項就是協議項。當前，snort能夠分析的協議是：TCP、UDP和ICMP。將來，可能提供對ARP、ICRP、GRE、OSPF、RIP、IPX等協議的支持。 IP地址：n規則頭下面的部分就是IP地址和端口信息。關鍵詞any可以用來定義任意的IP地址。/CIDR的形式用于指明應用于IP地址的掩碼。/24表示一個C類網絡；/16表示一個B類網絡；而/32表示一臺特定的主機地址。2、Snort規則（5）端口號：n有幾種方式來指定端口號，包括：any、靜態端口號(st

29、atic port)定義、端口范圍以及使用非操作定義。any表示任意合法的端口號。靜態端口號表示單個的端口號，例如：111(portmapper)、23(telnet)、80(http)等。使用范圍操作符:可以指定端口號范圍。有幾種方式來使用范圍操作符:達到不同的目的，例如：log udp any any - /24 1:1024 記錄來自任何端口，其目的端口號在1到1024之間的UDP數據包 2、Snort規則（6）方向操作符(direction operator)：n方向操作符-表示數據包的流向。它左邊是數據包的源地址和源端口，右邊是目的地址和端口。此外，還有一個雙向

30、操作符,它使snort對這條規則中，兩個IP地址/端口之間雙向的數據傳輸進行記錄/分析，例如telnet或者POP3對話。下面的規則表示對一個telnet對話的雙向數據傳輸進行記錄：log !/24 any /24 23 2、Snort規則（7）規則選項：規則選項構成了snort入侵檢測引擎的核心，它們非常容易使用，同時又很強大和容易擴展。在每條snort規則中，選項之間使用分號進行分割。規則選項關鍵詞和其參數之間使用冒號分割。下面是一些常用的規則選項關鍵詞，其中對部分重要關鍵詞進行詳細解釋： 2、Snort規則（8） msg：在報警和日志中打印的消

31、息；logto：把日志記錄到一個用戶指定的文件，而不是輸出到標準的輸出文件；ttl：測試IP包頭的TTL域的值；tos：測試IP包頭的TOS域的值； content：在包的凈荷中搜索指定的樣式；id：測試IP分組標志符(fragment ID)域是否是一個特定的值 ipoption /fragbits /dsize /flags /seq /3、Snort安裝（1）實驗環境任務一Windows環境下安裝和配置snort步驟1-安裝Apache_2.0.46：（1）將Apache安裝在默認文件夾C:apache下，將配置文件httpd.conf中的Listen 8080，更改為Listen 50

32、080。（2）將apache設置為以Windows中的服務方式運行。步驟2-安裝PHP：（1）將原安裝包解壓至C:php。（2）復制C:php下php4ts.dll至winntsystem32，phi.ini-dist至winntphp.ini。（3）添加gb圖形庫支持，在php.ini中添加extension=php_gd2.dllj。（4）添加Apache對PHP的支持。（5）在Windows中啟動Apache Web服務。（6）新建test.php測試文件內容為；測試PHP是否成功安裝。任務一（續） 步驟3-安裝snort 步驟4-安裝配置Mysql數據庫（1）安裝Mysql到默認文件夾

33、C:mysql，并使mysql在Windows中以服務形式運行。（2）啟動mysql服務。（3）以root用戶登錄Mysql數據庫，采用Create命令，建立Snort運行必須的snort數據庫和snort_archive數據庫。（4）退出Mysql后，使用mysql命令在snort數據庫和snort_archive數據庫中建立snort運行必須的數據表。（5）再次以root用戶登錄Mysql數據庫，在本地數據庫中建立acid（密碼為acidtest）和snort（密碼為snorttest）兩個用戶，以備后用。（6）為新建用戶在snort和snort_archive數據庫中分配權限。任務一（續

34、）步驟5-安裝adodb步驟6-安裝配置數據控制臺acid（1）解壓縮acid軟件包至C: apacheapache2htdocsacid目錄下。（2）修改acid目錄下的acid_conf.php配置文件。（3）察看:50080/acid/acid_db_setup.php網頁，按照系統提示建立數據庫。步驟7-安裝jpgrapg庫任務一（續）步驟8-安裝winpcap步驟9-配置并啟動snort（1）指定snort.conf配置文件中classification.config、reference.config兩個文件的絕對路徑。（2）在文件中添加語句指定默認數據

35、庫，用戶名，主機名，密碼，數據庫用戶等等。（3）輸入命令啟動snort。（4）打開:50080/acid/acid_main.php網頁，進入acid分析控制臺主界面，檢查配置是否正確。任務二：Windows下Snort的使用步驟1-完善配置文件：（1）打開snort.conf配置文件。（2）設置snort內、外網檢測范圍。（3）設置監測包含的規則。步驟2-使用控制臺察看檢測結果（1）啟動snort并打開acid的檢測控制臺主界面。（2）單擊右側圖示中TCP后的數字“80%”，將顯示所有檢測到的TCP協議日志詳細情況。（3）選擇控制條中的home返回控制臺主界面，

36、察看流量分類和分析記錄（4）選擇last 24 hours:alerts unique，可以看到24h內特殊的流量的分類記錄和分析。任務二：Windows下Snort的使用（續）步驟3-配置snort規則：（1）添加實現對內網的UDP協議相關流量進行檢測，并報警。（2）重啟snort和acid 檢測控制臺，使規則生效。（3）在另外一臺計算機使用UDP FLOOD工具對本機進行UDP-FLOOD攻擊，查看UDP協議流量的日志記錄。實驗結果舉例（1）實驗結果舉例（2）實驗結果舉例（3）實驗結果舉例（4）八、八、網絡衛士入侵檢測系統控制臺 部分窗口打開平鋪的效果 策略編輯器 策略編輯器編輯具體事件事

37、件屬性入侵事件-詳細日志 響應/報警 九、蜜罐技術簡介1、蜜罐技術背景2、蜜罐概念、理念和價值3、蜜罐與其他網絡安全技術4、蜜罐技術法律問題5、蜜罐網絡資源1、蜜罐技術背景（1）網絡攻防的非對稱博弈n工作量不對稱w攻擊方：夜深人靜, 攻其弱點w防守方：24*7, 全面防護n信息不對稱w攻擊方：通過網絡掃描、探測、踩點對攻擊目標全面了解w防守方：對攻擊方一無所知n后果不對稱w攻擊方：任務失敗，極少受到損失w防守方：安全策略被破壞，利益受損1、蜜罐技術背景（2）蜜罐技術的提出:試圖改變攻防博弈的非對稱性n對攻擊者的欺騙技術增加攻擊代價、減少對實際系統的安全威脅n了解攻擊者所使用的攻擊工具和攻擊方法

38、n追蹤攻擊源、攻擊行為審計取證2、蜜罐概念、理念和價值（1）概念nHoneypot是一種資源，它的價值是被攻擊或攻是一種資源，它的價值是被攻擊或攻陷。陷。 n對攻擊者的欺騙技術用以監視、檢測和分析攻擊n沒有業務上的用途，不存在區分正常流量和攻擊的問題n所有流入/流出蜜罐的流量都預示著掃描、攻擊及攻陷網絡中的蜜罐（示意圖）2、蜜罐概念、理念和價值（2）蜜罐工作理念n主動防御（改變了其他技術的被動方式），蜜罐好比情報收集系統，蜜罐的核心價值在于對這些攻擊活動進行監視、檢測和分析。n蜜罐并非一種安全解決方案，這是因為蜜罐并不會“修理”任何錯誤。2、蜜罐概念、理念和價值（3）蜜罐主要的價值n第一時間捕

39、獲流行的掃描型蠕蟲，例如第一時間截獲沖擊波、震蕩波以及他們的變種都在某種程度上依賴于蜜罐體制。n蜜罐具有統計意義，能夠對流行情況節點壓力進行比較準確的判斷和分析。 2、蜜罐概念、理念和價值（4）蜜罐技術的優勢n高度保真的小數據集w低誤報率w低漏報率n能夠捕獲新的攻擊方法及技術n原理簡單，貼近實際3、蜜罐與其他網絡安全技術數據收集：n數據收集是網絡攻擊的基礎，蜜罐技術離不開數據收集 防火墻：n防火墻是蜜罐必要的組成部分，用于實施必要的阻斷策略IDS：n必要組成，配合數據分析4、蜜罐技術法律問題（1）蜜罐能夠幫助一個組織發展它的事件響應能力蜜罐的攻陷可能導致危害4、蜜罐技術法律問題（2）蜜罐的最初

40、設計目標是為起訴攻擊者提蜜罐的最初設計目標是為起訴攻擊者提供證據收集的手段供證據收集的手段n但是有的國家法律規定，蜜罐收集的證據不但是有的國家法律規定，蜜罐收集的證據不能作為起訴證據，安全專家指出該提議存在能作為起訴證據，安全專家指出該提議存在漏洞，因為根據這項方案漏洞，因為根據這項方案IT部門正當保護他部門正當保護他們系統的安全的某些軟件和技術也是違法的。們系統的安全的某些軟件和技術也是違法的。可能會涉及到對隱私權的侵犯可能會涉及到對隱私權的侵犯5、蜜罐網絡資源蜜罐工具情況蜜罐工具情況nFred Cohen 所開發的所開發的DTK（欺騙工具包）（欺騙工具包） nNiels Provos 開發

41、的開發的Honeyd等是免費開等是免費開源工具源工具 nKFSensor、Specter 、SmokeDetector、NetFacade、Mantrap等是商業蜜罐產品等是商業蜜罐產品 蜜罐研究組織蜜罐研究組織nFlorida HoneyNet Project，nPaladion Networks Honeynet Project-India，http:/ Systematics Lab Honeynet Project，http:/www.epmhs.gr/honeynetnMexico Honeynet Project，http:

42、/.mx/honeynet.htmlnNetForensics Honeynet，http:/ Pacific UniversityHoneynet，/bmccarty/honeynet.htmlnBrazilian Honetnet Project，http:/www.lac.inpe.br/security/honeynet/nIrish honeynet Project，http:/www.honeynet.ie/nHoneynet Project at the University of Texas at Austin，http:/honeynet.

43、/nNorwegian Honeynet Project，http:/www.honeynet.no/nUK Honeynet Project， .uk/nWest Point Honeynet project，/honeynet/nPakistan Honeynet Project ，.pk/nHoneynet Project，/十、蜜罐技術發展歷程1、蜜罐、蜜網和蜜場2、蜜罐技術原理及發展3、蜜罐

44、技術的分類3、蜜網技術原理及發展4、相關技術最新發展1、蜜罐、蜜網和蜜場蜜罐 (Honeypot)n物理蜜罐n虛擬蜜罐工具: DTK, Honeydn專用蜜罐工具: mwcollect, nepenthes蜜網 (Honeynet)nThe Honeynet ProjectnGen 1 / Gen 2 / Gen 3 HoneynetnResearch Purpose蜜場 (Honeyfarm)n蜜罐技術如何有效地對一個大型網絡提供防護功能？n外/內部安全威脅的發現、重定向、跟蹤2、蜜罐技術原理及發展90年代初98年左右n“蜜罐”還僅僅限于一種思想n這一階段的蜜罐實質上是一些真正被黑客所攻擊的

45、主機和系統。98 年開始00年n蜜罐技術開始吸引了一些安全研究人員的注意n并開發出一些專門用于欺騙黑客的開源工具n這一階段的蜜罐可以稱為是虛擬蜜罐00年后n安全研究人員更傾向于使用真實的主機、操作系統和應用程序搭建蜜罐，融入了更強大的數據捕獲、數據分析和數據控制的工具，并且將蜜罐納入到一個完整的蜜網體系中，使得研究人員能夠更方便地追蹤侵入到蜜網中的黑客并對他們的攻擊行為進行分析。3、蜜罐技術的分類部署目的蜜罐技術分類，根據部署目的n產品型蜜罐n目的在于為一個組織的網絡提供安全保護n容易部署，減少風險n例: DTK、Honeydn研究型蜜罐w專門用于對黑客攻擊的捕獲和分析w需要研究人員投入大量的

46、時間和精力/ 部署復雜3、蜜罐技術的分類交互性蜜罐技術分類，根據交互性（攻擊者在蜜罐中活動的交互性級別）n低交互型虛擬蜜罐w模擬服務和操作系統w只能捕獲少量信息 / 容易部署，減少風險w例: Honeydn高交互型物理蜜罐w提供真實的操作系統和服務，而不是模擬w可以捕獲更豐富的信息 / 部署復雜，高安全風險w例: 蜜網3、根據交互性分類虛擬系統虛擬系統是制在一臺真實的物理機上運行一些仿真軟件，通過仿真軟件對計算機硬件進行模擬，使得在仿真平臺上可以運行多個不同的操作系統，這樣一臺真實的機器就變成了多臺主機（稱為虛擬機）。n通常將真實的機器上安裝的操作系統稱為宿主操作系統，仿真軟件在宿主操作系統上

47、安裝，在仿真平臺上安裝的操作系統稱為客戶操作系統。nVmware是典型的仿真軟件，它在宿主操作系統和客戶操作系統之間建立了一個虛擬的硬件仿真平臺，客戶操作系統可以基于相同的硬件平臺模擬多臺虛擬主機Vmware的仿真平臺示意圖Vmware的功能模塊 3、蜜罐技術的分類（3）蜜罐技術分類，根據工作方式n犧牲型蜜罐w犧牲型蜜罐提供的是真實的攻擊目標w容易建立w不提供全套的行為規范或控制設備n外觀型蜜罐w呈現目標主機的虛假映像的系統w外觀型蜜罐安裝和配置簡單，可以模仿大量不同的目標主機。w提供潛在威脅的基本信息4、蜜網技術原理及發展（1）蜜網概念n實質上是一種研究型、高交互型的蜜罐技術n一個體系框架w

48、包括一個或多個蜜罐w多層次的數據控制機制高度可控w全面的數據捕獲機制w輔助研究人員對攻擊數據進行深入分析4、蜜網技術原理及發展（2）蜜網技術核心需求n數據控制機制w防止蜜網被黑客/惡意軟件利用攻擊第三方n數據捕獲機制w獲取黑客攻擊/惡意軟件活動的行為數據n網絡行為數據網絡連接、網絡流n系統行為數據進程、命令、打開文件、發起連接n數據分析機制w理解捕獲的黑客攻擊/惡意軟件活動的行為4、蜜網的體系框架十一、蜜罐配置模式1、誘騙服務2、弱化系統 3、強化系統 4、用戶模式服務器1、誘騙服務誘騙服務(Deception Service)n誘騙服務是指在特定IP服務端口上偵聽并像其他應用程序那樣應答各種

49、網絡請求。 w例如 DTKn需要精心設計和配置n誘騙服務只能收集有限的信息n有一定風險2、弱化系統弱化系統(Weakened System) n弱化系統是一個配置有已知攻擊弱點的操作系統，這樣使攻擊者更加容易進入系統，系統可以收集有效的攻擊數據。n提供的是攻擊者試圖入侵的實際服務n“高維護低收益高維護低收益”3、強化系統強化系統(Hardened System)n強化系統同弱化系統一樣，提供一個真實的環境，是對弱化系統的改進n能在最短的時間內收集最多的有效數據n需要系統管理員具有更高的專業技術4、用戶模式服務器用戶模式服務器(User Mode Server) n用戶模式服務器實際上是一個用戶

50、進程，它運行在主機上，并且模擬成一個真實的服務器n這種模式的成功與否取決于攻擊者的進入程這種模式的成功與否取決于攻擊者的進入程度和受騙程度。度和受騙程度。n系統管理員對用戶主機有絕對的控制權n不適用于所有的操作系統十二、蜜罐實現與應用1、Honeyd介紹2、配置Honeyd3、基于VMWare的蜜網設計1、Honeyd介紹（1）Honeypot是一個相對新的安全技術，其價值就在被檢測、攻擊，以致攻擊者的行為能夠被發現、分析和研究。它的概念很簡單： Honeypot 沒有任何產品沒有任何產品性目的，沒有授權任何人對它訪問，所以任何性目的，沒有授權任何人對它訪問，所以任何對對Honeypot的訪問

51、都有可能是檢測、掃描甚的訪問都有可能是檢測、掃描甚至是攻擊。至是攻擊。1、Honeyd介紹（2）概述nA virtual honeypot frameworkwHoneyd 1.0 (Jan 22, 2005) by Niels Provos, Google Inc.n支持同時模擬多個IP地址主機w經過測試，最多同時支持65535個IP地址w支持模擬任意的網絡拓撲結構n通過服務模擬腳本可以模擬任意TCP/UDP網絡服務wIIS, Telnet, pop3n支持ICMPw對ping和traceroutes做出響應n通過代理機制支持對真實主機、網絡服務的整合wadd windows tcp port 23 proxy “59 23”1、Honey