保密安全与密码技术讲义(81页)

保密安全与密码技术讲入侵检测系统IDS 入侵知识简介 入侵检测技术 入侵检测系统的选择和使用课程内容课程目标 了解入侵检测的概念、术语 了解入侵检测产品部署 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 了解入侵检测产品选型原则 了解入侵检测技术发展方向入侵知识简介 入侵(Intrusion) 入侵是指未经授权蓄意尝试访问信息、窜改信息，使系统不可靠或不能使用的行为。 入侵企图破坏计算机资源的完整性、机密性、可用性、可控性 入侵者 入侵者可以是一个手工发出命令的人，也可是一个基于入侵脚本或程序的自动发布命令的计算机。入侵知识简介 目前主要漏洞： 缓冲区溢出 拒绝服务攻击漏洞 代码泄漏、信息泄漏漏洞 配置修改、系统修改漏洞 脚本执行漏洞 远程命令执行漏洞 其它类型的漏洞 侵入系统的主要途径 物理侵入 本地侵入 远程侵入网络入侵的一般步骤 进行网络攻击是一件系统性很强的工 作，其主要工作流程是： 目标探测和信息收集 自身隐藏 利用漏洞侵入主机 稳固和扩大战果 清除日志网络入侵步骤总览入侵检测系统概述 概要 背景介绍 入侵检测的提出 入侵检测相关术语 入侵检测系统分类 入侵检测系统构件 入侵检测系统部署方式背景介绍信息社会出现的新问题 信息时代到来，电子商务、电子政务，网络改变人们的生活，人类进入信息化社会 计算机系统与网络的广泛应用，商业和国家机密信息的保护以及信息时代电子、信息对抗的需求 存储信息的系统面临的极大的安全威胁 潜在的网络、系统缺陷危及系统的安全 传统的安全保密技术都有各自的局限性，不能够确保系统的安全信息系统的安全问题 操作系统的脆弱性 计算机网络的资源开放、信息共享以及网络复杂性增大了系统的不安全性 数据库管理系统等应用系统设计中存在的安全性缺陷 缺乏有效的安全管理黑客攻击猖獗网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒后门、隐蔽通道蠕虫背景介绍我国安全形势非常严峻 1998年2月25日：黑客入侵中国公众多媒体通信网广州蓝天BBS系统并得到系统的最高权限，系统失控长达15小时。为国内首例网上黑客案件。 1998年9月22日，黑客入侵扬州工商银行电脑系统，将72万元注入其户头，提出26万元。为国内首例利用计算机盗窃银行巨款案件。 1999年4月16日：黑客入侵中亚信托投资公司上海某证券营业部，造成340万元损失。 1999年11月23日：银行内部人员通过更改程序，用虚假信息从本溪某银行提取出86万元。背景介绍我国安全形势非常严峻（续） 2000年2月1日：黑客攻击了大连市赛伯网络服务有限公司，造成经济损失20多万元。 2000年2月1日至2日：中国公共多媒体信息网兰州节点——“飞天网景信息港”遭到黑客攻击。 2000年3月2日：黑客攻击世纪龙公司21CN。2000年3月6日至8日：黑客攻击实华开EC123网站达16次，同一时期，号称全球最大的中文网上书店“当当书店”也遭到多次黑客攻击。 2000年3月8日：山西日报国际互联网站遭到黑客数次攻击，被迫关机，这是国内首例黑客攻击省级党报网站事件。 2000年3月8日：黑客攻击国内最大的电子邮局--拥有200万用户的广州163，系统无法正常登录。入侵检测系统概述 概要 背景介绍 入侵检测的提出 入侵检测相关术语 入侵检测系统分类 入侵检测系统构件 入侵检测系统部署方式入侵检测的提出什么是入侵检测系统 入侵检测系统是一套监控计算机系统或网络系统中发生的事件，根据规则进行安全审计的软件或硬件系统。为什么需要IDS？ 入侵很容易 入侵教程随处可见 各种工具唾手可得 防火墙不能保证绝对的安全 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁，入侵检测系统是监视器入侵检测的提出入侵检测的任务 通过事先发现风险来阻止入侵事件的发生，提前发现试图攻击或滥用网络系统的人员 检测其它安全工具没有发现的网络工具事件。 提供有效的审计信息，详细记录黑客的入侵过程，从而帮助管理员发现网络的脆弱性。 检测来自内部的攻击事件和越权访问 85％以上的攻击事件来自于内部的攻击 防火墙只能防外，难于防内 入侵检测系统作为防火墙系统的一个有效的补充。 入侵检测系统可以有效的防范防火墙开放的服务入侵入侵检测的提出入侵检测的发展历史 1980年，JamesAnderson最早提出入侵检测概念 1987年，D．E．Denning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出。 1988年，Morris蠕虫事件直接刺激了IDS的研究 1988年，创建了基于主机的系统,有IDES，Haystack等 1989年，提出基于网络的IDS系统,有NSM，NADIR，DIDS等 90年代，不断有新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统 2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮 2001年～今，RedCode、求职信等新型病毒的不断出现，进一步促进了IDS的发展。入侵检测的提出入侵检测系统概述 概要 背景介绍 入侵检测的提出 入侵检测相关术语 入侵检测系统分类 入侵检测系统构件 入侵检测系统部署方式入侵检测相关术语 IDS(IntrusionDetectionSystems)入侵检测系统 Promiscuous混杂模式 Signatures特征 Alerts警告 Anomaly异常 Console控制台 Sensor传感器入侵检测系统概述 概要 背景介绍 入侵检测的提出 入侵检测相关术语 入侵检测系统分类 入侵检测系统构件 入侵检测系统部署方式入侵检测系统分类 概要 Host-BasedIDS Network-BasedIDS Stack-BasedIDSHost-BasedIDS(HIDS) HIDS优点 性能价格比高 细腻性，审计内容全面 视野集中 适用于加密及交换环境 HIDS缺点 额外产生的安全问题 HIDS依赖性强 如果主机数目多，代价过大 不能监控网络上的情况 基于主机的入侵检测系统，系统安装在主机上面，对本主机进行安全检测Network-BasedIDS(NIDS)基于网络的入侵检测系统，系统安装在比较重要的网段内 NIDS优点 检测范围广 无需改变主机配置和性能 独立性和操作系统无关性 安装方便 NIDS缺点 不能检测不同网段的网络包 很难检测复杂的需要大量计算的攻击 协同工作能力弱 难以处理加密的会话Stack-BasedIDS(NNIDS) 网络节点入侵检测系统 安装在网络节点的主机中 结合了NIDS和HIDS的技术 适合于高速交换环境和加密数据入侵检测系统概述 概要 背景介绍 入侵检测的提出 入侵检测相关术语 入侵检测系统分类 入侵检测系统构件 入侵检测系统部署方式入侵检测系统构件入侵检测系统构件 事件产生器(Eventgenerators) 事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。 事件数据库(Eventdatabases) 事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。入侵检测系统构件 事件分析器(Eventanalyzers) 事件分析器分析得到的数据，并产生分析结果。 响应 单元 初级会计实务单元训练题天津单元检测卷六年级下册数学单元教学设计框架单元教学设计的基本步骤主题单元教学设计 (Responseunits) 响应单元则是对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击，也可以只是简单的报警。入侵检测系统概述 概要 背景介绍 入侵检测的提出 入侵检测相关术语 入侵检测系统分类 入侵检测系统构件 入侵检测系统部署方式入侵检测系统部署方式SwitchIDSSensorMonitoredServersConsole通过端口镜像实现（SPAN/PortMonitor）检测器部署位置 放在边界防火墙之内 放在边界防火墙之外 放在主要的网络中枢 放在一些安全级别需求高的子网Internet检测器部署示意图部署一部署二部署三部署四入侵检测系统部署方式 检测器放置于防火墙的DMZ区域 可以查看受保护区域主机被攻击状态 可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点 检测器放置于路由器和边界防火墙之间 可以审计所有来自Internet上面对保护网络的攻击数目 可以审计所有来自Internet上面对保护网络的攻击类型入侵检测系统部署方式 检测器放在主要的网络中枢 监控大量的网络数据，可提高检测黑客攻击的可能性 可通过授权用户的权利周界来发现为授权用户的行为 检测器放在安全级别高的子网 对非常重要的系统和资源的入侵检测入侵检测系统概述 概要 背景介绍 入侵检测的提出 入侵检测相关术语 入侵检测系统分类 入侵检测系统构件 入侵检测系统部署方式入侵检测原理与技术 概要 IDS工作流程 入侵检测的分析方式 入侵检测的实现技术 入侵检测的缺陷 入侵检测的评估与测试 入侵检测的选型原则 入侵检测的不足和发展趋势入侵检测引擎工作流程监听部分 网络接口混杂模式 根据设置过滤一些数据包 过滤程序的算法的重要性监听器设置如下规则进行过滤： Onlycheckthefollowingpacket 源地址为192.168.0.1 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 分析协议IPXICMPOSPFTCPUDPFTPTelnetPOP3SMTPHTTPDNSTFTPIGMPEGPGGPNFSIPPPPIPV6ATMNetBEUI数据分析 根据相应的协议调用相应的数据分析函数 一个协议数据有多个数据分析函数处理 数据分析的方法是入侵检测系统的核心 快速的模式匹配算法引擎管理 协调和配置给模块间工作 数据分析后处理方式 Alert Log CallFirewall入侵检测的分析方式 异常检测（AnomalyDetection） 统计模型 误报较多 误用检测（MisuseDetection） 维护一个入侵特征知识库（CVE） 准确性高 完整性分析入侵检测原理与技术 概要 IDS工作流程 入侵检测的分析方式 入侵检测的实现技术 入侵检测的缺陷 入侵检测的评估与测试 入侵检测的选型原则 入侵检测的不足和发展趋势异常检测 基本原理 正常行为的特征轮廓 检查系统的运行情况 是否偏离预设的门限？异常检测 异常检测的优点： 可以检测到未知的入侵 可以检测冒用他人帐号的行为 具有自适应，自学习功能 不需要系统先验知识异常检测 异常检测的缺点： 漏报、误报率高 入侵者可以逐渐改变自己的行为模式来逃避检测 合法用户正常行为的突然改变也会造成误警 统计算法的计算量庞大，效率很低 统计点的选取和参考库的建立比较困难误用检测 采用匹配技术检测已知攻击 提前建立已出现的入侵行为特征 检测当前用户行为特征误用检测 误用检测的优点 算法简单 系统开销小 准确率高 效率高误用检测 误用检测的缺点 被动 只能检测出已知攻击 新类型的攻击会对系统造成很大的威胁 模式库的建立和维护难 模式库要不断更新 知识依赖于 硬件平台 操作系统 系统中运行的应用程序完整性分析 通过检查系统的当前系统配置，诸如系统文件的内容或者系统表，来检查系统是否已经或者可能会遭到破坏。 其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。 缺点是一般以批处理方式实现，不用于实时响应。入侵检测原理与技术 概要 IDS工作流程 入侵检测的分析方式 入侵检测的实现技术 入侵检测的缺陷 入侵检测的评估与测试 入侵检测的选型原则 入侵检测的不足和发展趋势入侵检测实现技术 基于统计方法的入侵检测技术 审计系统实时地检测用户对系统的使用情况，根据系统内部保持的用户行为的概率统计模型进行监测，当发现有可疑的用户行为发生时，保持跟踪并监测、记录该用户的行为。 基于神经网络的入侵检测技术 采用神经网络技术，根据实时检测到的信息有效地加以处理作出攻击可能性的判断。神经网络技术可以用于解决传统的统计分析技术所面临的以下问题： 难于建立确切的统计分布导致 难于实现方法的普适性 算法实现比较昂贵 系统臃肿难于剪裁 基于专家系统的入侵检测技术 根据安全专家对可疑行为的分析经验来形成一套推理规则，然后再在此基础之上构成相应的专家系统，并应用于入侵检测。基于规则的专家系统或推进系统的也有一定的局限性。 基于模型推理的入侵检测技术 用基于模型的推理方法人们能够为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为。 一般为了准确判断，要为不同的攻击者和不同的系统建立特定的攻击脚本。入侵检测实现技术其他的检测实现技术 免疫系统方法 遗传算法 基于代理检测 数据挖掘入侵检测原理与技术 概要 IDS工作流程 入侵检测的分析方式 入侵检测的实现技术 入侵检测的缺陷 入侵检测的评估与测试 入侵检测的选型原则 入侵检测的不足和发展趋势入侵检测缺陷 目标 通过本章学习，学员可以了解黑客如何逃避入侵检测系统的审计。 概要 利用字符串匹配缺陷 分割IP数据包 拒绝服务攻击利用字符串匹配缺陷 路径欺骗 改变字符串外形，但是实质相同。 解决办法：协议分析、URL 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 化 HEX编码 URL中将%20代替空格，使用%73代替s等。 WEB服务器可识别HEX编码，入侵检测系统无法识别 解决办法：协议分析；使用于WEB服务器相同的分析器分析HEX编码，然后进行URL分析发现攻击利用字符串匹配缺陷 二次HEX编码 微软IIS服务器对HEX码进行二次解码 解码前：scripts/..%255c../winnt %25是%的编码 第一次解码：scripts/..%5c../winnt %5是\的编码 第二次解码：scripts/..\../winnt 等同于scripts/../../winnt利用字符串匹配缺陷 Unicode(UTF-8) %7f以上的编码属于unicode序列 %c0%af是一个合法的Unicode序列 Scripts/..%c0%af../winnt 转换后为：scripts/../../winnt避免字符匹配缺陷 解码IP包头文件，确定协议类型 分析HTTP请求所有成分 进行URL处理，避免路径欺骗、HEX编码、二次编码和Unicode 字符串匹配分割IP数据包 有效的逃避手段 切割一个攻击IP包 分割后的IP包单独通过入侵检测 入侵检测系统无法匹配成功拒绝服务攻击 攻击原理 发送大量的黑客入侵包 入侵检测系统会发出大量的Alert 审计数据库空间将溢出 入侵检测系统停止工作拒绝服务攻击 攻击后果 大量消耗设备处理能力，使黑客有机可乘 硬盘空间满，导致审计无法继续 产生大量Alert，导致管理机无法处理 导致管理员无法审查所有的Alert 导致设备死锁入侵检测原理与技术 概要 IDS工作流程 入侵检测的分析方式 入侵检测的实现技术 入侵检测的缺陷 入侵检测的评估与测试 入侵检测的选型原则 入侵检测的不足和发展趋势IDS评估与测试 入侵检测系统能发现入侵行为吗？ 入侵检测系统是否达到了开发者的设计目标？ 什么样的入侵检测系统才是用户需要的性能优良的入侵检测系统呢？ 要回答这些问题，就要对入侵检测系统进行测试和评估。IDS的 评价 LEC评价法下载LEC评价法下载评价量规免费下载学院评价表文档下载学院评价表文档下载 标准 Porras等给出了评价入侵检测系统性能的三个因素： 准确性（Accuracy） 处理性能（Performance） 完备性（Completeness） Debar等增加了两个性能评价测度 容错性（FaultTolerance） 及时性（Timeliness）IDS测试评估步骤 创建、选择一些测试工具或测试脚本 确定计算环境所要求的条件，比如背景计算机活动的级别 配置运行入侵检测系统 运行测试工具或测试脚本 分析入侵检测系统的检测结果IDS测试分类 入侵识别测试（也可说是入侵检测系统有效性测试） 资源消耗测试 强度测试评估IDS的性能指标 检测率、虚警率及检测可信度(最重要的指标) 入侵检测系统本身的抗攻击能力 延迟时间 资源的占用情况 系统的可用性。系统使用的友好程度。 日志、报警、报告以及响应能力性能指标接收器特性(ROC)曲线入侵检测原理与技术 概要 IDS工作流程 入侵检测的分析方式 入侵检测的实现技术 入侵检测的缺陷 入侵检测的评估与测试 入侵检测的选型原则 入侵检测的不足和发展趋势环境和策略考虑 网络中存在那些应用和设备？ 目前拥有那些防范措施？ 企业的业务经营方向？ 企业中系统环境和网络管理的正式度？安全目标和任务 是否主要关注来自企业外部的入侵事件？ 企业关注来自内部人员的入侵吗？ 企业是否使用IDS用于管理控制超过于网络入侵防范？IDS产品功能和品质 产品是否可扩展 针对你自己的网络结构，IDS系统是否具有良好的可扩展性？ 产品是如何测试的 针对你网络特点，产品提供者是否已测试？ 该产品是否进行过攻击测试？ 产品管理和操作难易度IDS产品功能和品质 产品售后服务如何 产品安装和配置的承诺是什么？ 产品平常维护的承诺是什么？ 产品培训的承诺是什么？ 还能提供哪些额外的培训及其费用？ 产品平常维护具体承诺 入侵检测规则库升级费用？ 入侵检测规则库升级周期？ 当一直新的攻击出现后，规则升级的速度？ 是否包含软件升级（费用）？入侵检测产品免费的入侵检测产品 Snorthttp://www.snort.org SHADOWhttp://www.nswc.navy.mil/ISSEC/CID商业的入侵检测产品 CyberCopMonitor,NAI DragonSensor,Enterasys eTrustID,CA NetProwler,Symantec NetRanger,Cisco NID-100/200,NFRSecurity RealSecure,ISS SecureNetPro,Intrusion.com入侵检测原理与技术 概要 IDS工作流程 入侵检测的分析方式 入侵检测的实现技术 入侵检测的缺陷 入侵检测的评估与测试 入侵检测的选型原则 入侵检测的不足和发展趋势IDS目前存在的问题 许多IDS是采用集中统一收集和分析数据的体系结构，这种体系结构存在单点失效和可扩展性有限等问题。 有一些IDS设计成分布式收集和分析信息，分层次、相互合作、无中心集权的系统，但仍无法解决上述重新配置和增加功能的问题。 关于入侵检测方法的研究仍在进行中，较成熟的检测方法已用于商业软件的开发中。 各种监测方式都存在不同的问题，例如，误报率高、效率低、占用资源多或者实时性差等缺点。 依靠单一的中心监测不可能检测所有的入侵，已不能满足系统安全性和性能的要求。 目前，国内只有少数的网络入侵检测软件，相关领域的系统研究也刚刚起步，与外国尚有很大差距。发展趋势及主要研究方向 针对分布式攻击的分布式入侵检测方面的研究 用于大规模高速网络入侵检测系统的研究 应用层入侵检测的研究 智能入侵检测的研究 对入侵检测系统与防病毒工具、防火墙、VPN等其他安全产品协同工作方面的研究 入侵检测系统的评估测试方面的研究 入侵检测与操作系统集成方面的研究 对入侵检测系统自身安全状况的研究入侵检测原理与技术 概要 IDS工作流程 入侵检测的分析方式 入侵检测的实现技术 入侵检测的缺陷 入侵检测的评估与测试 入侵检测的选型原则 入侵检测的不足和发展趋势