《《精编》入侵检测技术》由会员分享,可在线阅读,更多相关《《精编》入侵检测技术(192页珍藏版)》请在金锄头文库上搜索。
1、入侵检测技术 国家信息化安全教育认证培训课程 参加课程需掌握的知识 TCP IP协议原理对防火墙有初步认识对局域网和广域网有初步认识Unix简单操作 课程内容 入侵知识简介入侵检测技术入侵检测系统的选择和使用 课程目标 了解入侵检测的概念 术语掌握网络入侵技术和黑客惯用的各种手段掌握入侵检测系统防范入侵原理了解入侵检测产品部署方案了解入侵检测产品选型原则了解入侵检测技术发展方向 1 入侵检测系统概述 概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式动态安全模型P2DR 1 1背景介绍 1 1 1信息社会出现的新问题信息时代到来 电子商务 电子政务
2、网络改变人们的生活 人类进入信息化社会计算机系统与网络的广泛应用 商业和国家机密信息的保护以及信息时代电子 信息对抗的需求存储信息的系统面临的极大的安全威胁潜在的网络 系统缺陷危及系统的安全传统的安全保密技术都有各自的局限性 不能够确保系统的安全 1 1背景介绍 1 1 2信息系统的安全问题操作系统的脆弱性计算机网络的资源开放 信息共享以及网络复杂性增大了系统的不安全性数据库管理系统等应用系统设计中存在的安全性缺陷缺乏有效的安全管理 1 1 3黑客攻击猖獗 网络 内部 外部泄密 拒绝服务攻击 逻辑炸弹 特洛伊木马 黑客攻击 计算机病毒 后门 隐蔽通道 蠕虫 这就是黑客 1 1背景介绍 1 1
3、4我国安全形势非常严峻1998年2月25日 黑客入侵中国公众多媒体通信网广州蓝天BBS系统并得到系统的最高权限 系统失控长达15小时 为国内首例网上黑客案件 1998年9月22日 黑客入侵扬州工商银行电脑系统 将72万元注入其户头 提出26万元 为国内首例利用计算机盗窃银行巨款案件 1 1背景介绍 1 1 4我国安全形势非常严峻 续 1999年4月16日 黑客入侵中亚信托投资公司上海某证券营业部 造成340万元损失 1999年11月14日至17日 新疆乌鲁木齐市发生首起针对银行自动提款机的黑客案件 用户的信用卡被盗1 799万元 1999年11月23日 银行内部人员通过更改程序 用虚假信息从本
4、溪某银行提取出86万元 1 1背景介绍 1 1 4我国安全形势非常严峻 续 2000年2月1日 黑客攻击了大连市赛伯网络服务有限公司 造成经济损失20多万元 2000年2月1日至2日 中国公共多媒体信息网兰州节点 飞天网景信息港 遭到黑客攻击 2000年3月2日 黑客攻击世纪龙公司21CN 1 1背景介绍 1 1 4我国安全形势非常严峻 续 2000年3月6日至8日 黑客攻击实华开EC123网站达16次 同一时期 号称全球最大的中文网上书店 当当书店 也遭到多次黑客攻击 2000年3月8日 山西日报国际互联网站遭到黑客数次攻击 被迫关机 这是国内首例黑客攻击省级党报网站事件 2000年3月8日
5、 黑客攻击国内最大的电子邮局 拥有200万用户的广州163 系统无法正常登录 1 1背景介绍 1 1 4我国安全形势非常严峻 续 2001年3月9日 IT 全国网上连锁商城遭到黑客袭击 网站页面文件全部被删除 各种数据库遭到不同程度破坏 网站无法运行 15日才恢复正常 损失巨大 2001年3月25日 重庆某银行储户的个人帐户被非法提走5万余元 2001年6月11 12日 中国香港特区政府互联网服务指南主页遭到黑客入侵 服务被迫暂停 被黑的WEB页面 DOJHOMEPAGE 1 2入侵检测的提出 1 2 1什么是入侵检测系统入侵检测系统是一套监控计算机系统或网络系统中发生的事件 根据规则进行安全
6、审计的软件或硬件系统 1 2入侵检测的提出 1 2 2为什么需要IDS 入侵很容易入侵教程随处可见各种工具唾手可得防火墙不能保证绝对的安全网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部防火墙是锁 入侵检测系统是监视器 1 2入侵检测的提出 1 2 3入侵检测的任务检测来自内部的攻击事件和越权访问85 以上的攻击事件来自于内部的攻击防火墙只能防外 难于防内入侵检测系统作为防火墙系统的一个有效的补充入侵检测系统可以有效的防范防火墙开放的服务入侵 1 2入侵检测的提出 1 2 3入侵检测的任务通过事先发现风险来阻止入侵事件的发生 提前发现试图攻击或滥用网络系统的人员 检测
7、其它安全工具没有发现的网络工具事件 提供有效的审计信息 详细记录黑客的入侵过程 从而帮助管理员发现网络的脆弱性 1 2入侵检测的提出 1 2 3入侵检测的任务网络中可被入侵者利用的资源在一些大型的网络中 管理员没有时间跟踪系统漏洞并且安装相应的系统补丁程序 用户和管理员在配置和使用系统中的失误 对于一些存在安全漏洞的服务 协议和软件 用户有时候不得不使用 1 2入侵检测的提出 1 2 4入侵检测的发展历史1980年 JamesAnderson最早提出入侵检测概念1987年 D E Denning首次给出了一个入侵检测的抽象模型 并将入侵检测作为一种新的安全防御措施提出 1988年 Morris
8、蠕虫事件直接刺激了IDS的研究1988年 创建了基于主机的系统 有IDES Haystack等1989年 提出基于网络的IDS系统 有NSM NADIR DIDS等 1 2入侵检测的提出 1 2 4入侵检测的发展历史 续 90年代 不断有新的思想提出 如将人工智能 神经网络 模糊理论 证据理论 分布计算技术等引入IDS系统2000年2月 对Yahoo Amazon CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮2001年 今 RedCode 求职信等新型病毒的不断出现 进一步促进了IDS的发展 1 3入侵检测相关术语 IDS IntrusionDetectionSystems
9、 入侵检测系统Promiscuous混杂模式Signatures特征 1 3入侵检测相关术语 Alerts警告Anomaly异常 1 3入侵检测相关术语 Console控制台Sensor传感器 1 4入侵检测系统分类 概要Host BasedIDSNetwork BasedIDSStack BasedIDS 1 4入侵检测系统分类 1 4 1Host BasedIDS HIDS 基于主机的入侵检测系统系统安装在主机上面 对本主机进行安全检测 1 4入侵检测系统分类 HIDS优点性能价格比高细腻性 审计内容全面视野集中适用于加密及交换环境 1 4入侵检测系统分类 HIDS缺点额外产生的安全问题H
10、IDS依赖性强如果主机数目多 代价过大不能监控网络上的情况 1 4入侵检测系统分类 1 4 2Network BasedIDS NIDS 基于网络的入侵检测系统系统安装在比较重要的网段内 1 4入侵检测系统分类 NIDS优点检测范围广无需改变主机配置和性能独立性和操作系统无关性安装方便 1 4入侵检测系统分类 NIDS缺点不能检测不同网段的网络包很难检测复杂的需要大量计算的攻击协同工作能力弱难以处理加密的会话 1 4入侵检测系统分类 1 4 3Stack BasedIDS NNIDS 网络节点入侵检测系统安装在网络节点的主机中结合了NIDS和HIDS的技术适合于高速交换环境和加密数据 1 5入
11、侵检测系统构件 1 5入侵检测系统构件 事件产生器 Eventgenerators 事件产生器的目的是从整个计算环境中获得事件 并向系统的其他部分提供此事件 1 5入侵检测系统构件 事件分析器 Eventanalyzers 事件分析器分析得到的数据 并产生分析结果 1 5入侵检测系统构件 响应单元 Responseunits 响应单元则是对分析结果作出作出反应的功能单元 它可以作出切断连接 改变文件属性等强烈反应 甚至发动对攻击者的反击 也可以只是简单的报警 1 5入侵检测系统构件 事件数据库 Eventdatabases 事件数据库是存放各种中间和最终数据的地方的统称 它可以是复杂的数据库
12、也可以是简单的文本文件 1 6入侵检测系统部署方式 Switch IDSSensor MonitoredServers Console 通过端口镜像实现 SPAN PortMonitor 1 6入侵检测系统部署方式 检测器部署位置放在边界防火墙之内放在边界防火墙之外放在主要的网络中枢放在一些安全级别需求高的子网 Internet 检测器部署示意图 部署一 部署二 部署三 部署四 1 6入侵检测系统部署方式 检测器放置于防火墙的DMZ区域可以查看受保护区域主机被攻击状态可以看出防火墙系统的策略是否合理可以看出DMZ区域被黑客攻击的重点 1 6入侵检测系统部署方式 检测器放置于路由器和边界防火墙之
13、间可以审计所有来自Internet上面对保护网络的攻击数目可以审计所有来自Internet上面对保护网络的攻击类型 1 6入侵检测系统部署方式 检测器放在主要的网络中枢监控大量的网络数据 可提高检测黑客攻击的可能性可通过授权用户的权利周界来发现为授权用户的行为 1 6入侵检测系统部署方式 检测器放在安全级别高的子网对非常重要的系统和资源的入侵检测 1 7动态安全模型P2DR 1 7动态安全模型P2DR Policy 策略Protection 防护Detection 检测Response 响应 2 网络入侵技术 概要入侵知识简介网络入侵的一般步骤 2 1入侵知识简介 入侵 Intrusion 入
14、侵是指未经授权蓄意尝试访问信息 窜改信息 使系统不可靠或不能使用的行为 入侵企图破坏计算机资源的完整性 机密性 可用性 可控性 2 1入侵知识简介 目前主要漏洞 缓冲区溢出拒绝服务攻击漏洞代码泄漏 信息泄漏漏洞配置修改 系统修改漏洞脚本执行漏洞远程命令执行漏洞其它类型的漏洞 2 1入侵知识简介 入侵者入侵者可以是一个手工发出命令的人 也可是一个基于入侵脚本或程序的自动发布命令的计算机 2 1入侵知识简介 侵入系统的主要途径物理侵入本地侵入远程侵入 2 2网络入侵的一般步骤 进行网络攻击是一件系统性很强的工作 其主要工作流程是 目标探测和信息收集自身隐藏利用漏洞侵入主机稳固和扩大战果清除日志 2
15、 2 1目标探测和信息收集 目标探测和信息收集端口扫描漏洞扫描利用snmp了解网络结构 2 2 1目标探测和信息收集 利用扫描器软件什么是扫描器Scanner扫描器工作原理扫描器能告诉我们什么 2 2 1目标探测和信息收集 常用扫描器软件SATAN 安全管理员的网络分析工具 Nessus 网络评估软件 http www nessus org 2 2 1目标探测和信息收集 常用扫描器软件 续 流光 NT扫描工具 Mscan Linux下漏洞扫描器 2 2 1目标探测和信息收集 什么是SNMP简单网络管理协议协议无关性搜集网络管理信息网络管理软件 2 2 1目标探测和信息收集 Snmp用途用于网络
16、管理 网管工具Communitystrings也成为黑客入侵的一直辅助手段 2 2 1目标探测和信息收集 Snmp查询工具SolarWinds通过其中的IPNetworkBrowser工具LANguardNetworkS SolarWinds的IPNetworkBrowser LanguardNetworkScanner 2 2 2自身隐藏 典型的黑客使用如下技术来隐藏IP地址通过telnet在以前攻克的Unix主机上跳转通过终端管理器在windows主机上跳转配置代理服务器更高级的黑客 精通利用电话交换侵入主机 2 2 3利用漏洞侵入主机 已经利用扫描器发现漏洞例如CGI IIS漏洞充分掌握系统信息进一步入侵 2 2 4稳固和扩大战果 安装后门添加系统账号利用LKM利用信任主机 2 2 4稳固和扩大战果 什么是木马客户端软件服务端软件木马启动方式修改注册表修改INI文件作为服务启动 2 2 4稳固和扩大战果 BOBO的客户端程序可以监视 管理和使用其他网络中运行了BO服务器程序的计算机系统冰河国产木马程序一般杀毒软件均可发现 2 2 4稳固和扩大战果 黑客入侵主机后 可添加管理员账号
