《第五章windows》由会员分享,可在线阅读,更多相关《第五章windows(13页珍藏版)》请在金锄头文库上搜索。
1、网络安全技术教案(第5章)教学内容第5章 入侵检测技术教材章节5.15.4教学周次第11、12周教学课时3授课对象计算机科学与技术教学环境多媒体教室教学目标理解入侵检测系统的基本概念;了解检测的基本方法以及入侵检测的步骤;掌握一种入侵检测工具。教学内容1.入侵检测的基本知识(包括:概念、与防火墙的关系、与扫描器的关系、入侵检测步骤等)。2.入侵检测技术(包括:基本结构、类型、主要方法)。3.入侵检测系统解决方案。4.入侵检测系统主要产品。教学重点1.入侵检测的基本概念。2.入侵检测系统的工作原理。3.入侵检测系统的布署。教学难点入侵检测方法;入侵检测系统的布署。教学过程本章分2次讲述,共3学时
2、,讲授思路和过程如下:第1次:1.分析防火墙、扫描器等的应用范围,分析其局限性,引出入侵检测技术。2.介绍入侵检测的概念、作用,分析与防火墙、扫描器的关系。3.介绍入侵检测的步骤等。第2次:1.介绍IDS基本结构,强调其控制台的作用。2.介绍IDS的类型。3.介绍IDS基本检测入侵的主要方法,重点介绍误用和异常两种方法。4.通过实例介绍IDS的布署思路和方法。5.简单介绍目前常用的比较有效的IDS产品。6.分析使用状况,提出目前IDS的主要问题,研究发展趋势。作业与要求作业内容:1.P134,2、3、4、8、9题。2.进行实验16准备。要求:1.记录实验过程和结果。2.撰写并提交实验报告。备注
3、本提交文档内容与次序与实际讲课内容与次序有不一致的地方。第5章 入侵检测技术前面介绍了防火墙技术,事实上防火墙只是对网络上某个单一点起作用,而且也只能检查每个进出网络用户的合法性。一旦攻击者攻破了防火墙,那么他就可以在网络内随意通行。所以,防火墙技术是静态的安全防御技术,它不能解决动态的安全问题。入侵检测技术是动态安全技术最核心的技术之一,本章将详细讨论入侵检测技术。(以防火墙的局限性来说明单一产品的缺陷,引出安全防御措施需要不同产品的配合,最终引出入侵检测技术)5.1 入侵检测的基本知识安全是网络界一个永恒的话题,随着Internet的普及,网络的安全问题越来越突出。对网络安全的一种预防性方
4、法是在入侵发生前将它检测出来,或者如果入侵已经渗透到网络之中时,是否有一个计划能够防止它对网络产生破坏。在这种情况下,入侵检测技术便应运而生。入侵检测技术是为保证计算机系统和计算机网络系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。它就像是防火墙的第二道安全闸门,在不影响网络性能的情况下对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护。5.1.1 入侵检测的概念入侵实际上是一个非常广义的概念,它不仅包括发起攻击的人取得非法的系统控制权,也包括他们对系统漏洞信息的收集,即对计算机系统造成危害的行为。入侵是任何企图破坏资源的完整性、保密性和可用性的行为集合。入
5、侵检测是指:识别非法用户未经授权使用计算机系统,或合法用户越权操作计算机系统的行为,通过对计算机网络中的若干关键点或计算机系统资源信息的收集并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和攻击的迹象。入侵检测系统是进行入侵检测的硬件和软件的组合。5.1.2 IDS与防火墙的关系前面我们分析了防火墙的局限性,从中我们可以看单靠防火墙是无法完全保证网络的安全,需要IDS。那么IDS在其中所起的作用包括:防止防火墙和操作系统与应用程序的设定不当(举例:OS中用户口令设置的不当如只6位不复杂,就很容易被攻破)监测某些被防火墙认为是正常连接的外部入侵(强调防火墙对IP欺骗的无能,攻击者获得
6、合法的IP地址就可以轻松通过防火墙)了解和观察入侵的行为意图,并收集其入侵方式的资料(可以发现入侵的企图,如通过与特征库的比对,能发现,通过日志文件收集并存储入侵方式的资料)监测內部使用者的不当行为(这是防火墙无法做到的)及时阻止恶意的网络行为(切断连接等)有了IDS和防火墙后,可以通过它们的功能互补,通过合理搭配部署和联动提升网络安全级别;它们在整个防御体系中,相辅相成,承担着不同的角色。5.1.3 IDS与扫描器的关系 说明扫描器是双刃剑(再重复攻击者使用扫描器的目的,管理员使用扫描器的目的),从管理员的角度出发,二者的确有相似和不同的地方,那么它们的关系究竟是什么呢?从功能看上,二者有相
7、似的地方,IDS也是通过扫描发现问题,IDS和扫描器都是简化管理员的工作,发现网络中的问题。但不同的是:扫描器是完全主动式安全工具,能够了解网络现有的安全水平 IDS 是相对被动式安全工具,能够了解网络中即时发生的攻击 5.1.4 入侵检测的步骤 入侵检测系统的作用是实时地监控计算机系统的活动,发现可疑的攻击行为,以避免攻击的发生或减少攻击造成的危害。由此也划分出入侵检测的3个基本步骤:信息收集、数据分析和响应。1.信息收集入侵检测的第一步就是信息收集。收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自以下四个方面:(1) 系统日志入侵者经常在系统日志中留下他们的
8、踪迹,因此,充分利用系统日志是检测入侵的必要条件。日志文件中记录了各种行为类型,每种类型又包含不同的信息。很显然,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。 (2) 目录以及文件中的异常改变网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件,这些文件经常是入侵者修改或破坏的目标。(3) 程序执行中的异常行为网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特定目的的应用。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序
9、和数据文件等。一个进程出现了不期望的行为可能表明入侵者正在入侵你的系统。入侵者可能会将程序或服务的运行分解,从而导致它失败,或者是以非用户或管理员意图的方式操作。(4) 物理形式的入侵信息这包括两个方面的内容,一是未授权的对网络硬件连接;二是对物理资源的未授权访问。入侵者会想方设法去突破网络的周边防卫,如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件。依此,入侵者就可以知道网上的由用户加上去的不安全(未授权)设备,然后利用这些设备访问网络。例如,用户在家里可能安装Modem以访问远程办公室,与此同时入侵者正在利用自动工具来识别在公共电话线上的Modem,如果一拨号访问流量经过了这些
10、自动工具,那么这一拨号访问就成为了威胁网络安全的后门。入侵者就会利用这个后门来访问内部网,从而越过了内部网络原有的防护措施,然后捕获网络流量,进而攻击其它系统,并偷取敏感的私有信息等等。2.数据分析对上述四类收集到的有关系统、网络、数据以及用户活动的状态和行为等信息,一般通过三种技术手段进行数据分析:即模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。(1)模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防
11、火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的入侵者攻击手法,不能检测到从未出现过的入侵者攻击手段。模式匹配方法非常准确(是事后方法),当有新的特征出现的时候,就检测不出来了。(2)统计分析统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性,如访问次数、操作失败次数和延时等。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变(如机房8:0017:
12、00正常,晚上加班就认为是异常)。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。(3)完整性分析完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特洛伊化的应用程序方面特别有效。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。3.响应数据分析发现入侵迹象后,入侵检测系统的下一步工作就是响应,而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应。(1) 将分析结果
13、记录在日志文件中,并产生相应的报告。(2) 触发警报,如在系统管理员的桌面上产生一个警告标志位,向系统管理员发送传呼或电子邮件等等。(3) 修改入侵检测系统或目标系统,如终止进程、切断攻击者的网络连接或更改防火墙配置等。5.2 入侵检测技术简介5.2.1 入侵检测系统的基本结构(通用模型)从功能上可以将IDS的的通用模型划分为4个基本部分,事件产生器、事件分析器、响应单元和事件数据库。其中,事件产生器、事件分析器和响应单元通常表现为应用程序的形式,而事件数据库则往往是文件或数据流的形式。许多IDS厂商则以数据收集器、数据分析器和控制台3个术语来分别代替事件产生器、事件分析器和响应单元。一般地,
14、还将数据采集子系统和数据分析子系统总称为数据采集分析中心,将控制台子系统和数据库管理子系统总称为控制管理中心。1.事件产生器即数据采集子系统,也称为传感器,位于IDS的最低层,其功能是从整个网络环境中获取事件,并向其他部分提供事件。2.事件分析器即数据分析子系统,也称为探测器。分析得到的数据,并产生分析结果,它可以是一个轮廓描述工具,统计性地检查当前事件是否可能与以前某个事件来自同一个时间序列,也可以是一个特征检测工具,在一个事件序列中检查是否有书籍的滥用攻击特征,还可以是一个相关器,将有关联的事件放到一起,以便以后进一步分析。3.事件数据库事件数据库即数据库管理子系统。存放各种中间和最终数据
15、,可以是复杂的数据库,也可以是简单的文本文件。4.响应单元响应单元即控制台子系统,可以对分析结果反应,可以作出切断连接,改变文件属性等反应,如杀死相关进程,将连接复位、修改文件权限等。也可以只是简单的报警,向网络管理员汇报各种网络违规行为,并由管理员对一些恶意行为采取行动(如阻断、跟踪等)。一个完整的控制台子系统至少应包括如下4个部分:(1) 警报信息查询。网络管理员可以使用单一条件或复合条件进行查询,当警报信息数量庞大,来源广泛的时候,系统需要对警报信息按照危险等级进行分类,从而突出显示网络管理员需要的重要的信息。(2) 探测器管理。控制台可以一次管理多个探测器(包括启动、停止、配置、查看、运行状态等),查看各个网段的安全状况,针对不同情况制订相应的安全规则等。(3) 规则库管理功能。为用户提供一个根据不同网段具体情况灵活配置安全策略的工具,如一次定制可应用于多个探测器默认安全规则等。(4) 用户管理。对用户权限进行严格的定义,提供口令修改、添加、删除用户,用户权限配置等功能,有效地保护系统使用的安全性。5.2.2 入侵检测系统的类型入侵检测技术自80年代提出以来得到了极大的发展,国外一些研究机构已经开发出了应用于不同操作系统的数种典型的入侵检测系统。从技术上看,入侵检测有以下几类:基于主机的和基于网络的入侵检
