《6第6章入侵检测技术教学提纲》由会员分享,可在线阅读,更多相关《6第6章入侵检测技术教学提纲(52页珍藏版)》请在金锄头文库上搜索。
1、1,第六章 入侵检测技术,2,本章目标,掌握入侵检测技术实现的过程 掌握两种入侵检测技术及其各自的优缺点 了解入侵检测的概念和作用 说明入侵检测的两种基本的检测技术 明确在一个实际的网络中入侵检测的具体部署,本章重点,IDS的主要功能和类型、IDS存在的问题、IDS的应用案例,3,网络安全问题日渐严重,网络安全是一个国际化的问题 安全损失越来越大,5,安全问题起因,网络管理是平面型 80%以上的入侵来自于网络内部 网络资源滥用 入侵越来越频繁,6,6.1 IDS概念,IDS是防火墙的合理补充 IDS定义 对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、
2、完整性和可用性,IDS,7,6.1 IDS概念(续),IDS扩充安全管理能力 IDS提高安全的完整性 第二道安全闸门,8,6.1 IDS概念(续) IDS的任务,监视、分析用户及系统活动 系统构造和弱点的审计 识别反映已知进攻的活动模式并向相关人士报警 异常行为模式的统计分析 评估重要系统和数据文件的完整性 操作系统的审计跟踪管理,并识别用户违反安全策略的行为,9,6.1 IDS概念(续) IDS应该具有的特点,使网管了解网络系统的变更 提供网络安全策略的制订指南 规模灵活可变 及时响应入侵,10,6.1.1 信息收集,入侵检测第一步 收集状态和行为 系统 网络 数据 用户活动 检测范围要大,
3、11,6.1.1 信息收集(续) 信息来源,系统和网络日志文件 目录和文件中的不期望的改变 程序执行中的不期望行为 物理形式的入侵信息,12,系统和网络日志文件,黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据这些证据,可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应。程序日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志就包含登录用户ID,改变用户对文件的访问授权和认证信息等内容。显然对用
4、户活动来讲不正常的或不期望的行为,就是重复登录失败登录到不期望的位置以及非授权的企图访问重要文件等等。,13,目录和文件中的不期望的改变,网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变包括修改创建和删除,特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。入侵者经常替换修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。,14,程序执行中的不期望行为,网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应
5、用,例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输设备和其它进程以及与网络间其它进程的通讯。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解,从而导致它失败或者是以非用户或管理员意图的方式操作。,15,物理形式的入侵信息,物理入侵包括两个方面的内容:一是未授权的对网络硬件连接,二是对物理资源的未授权访问。黑客会想方设法去突破网络的周边防卫,
6、如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件,依此黑客就可以知道网上的由用户加上去的不安全未授权设备,然后利用这些设备访问网络,例如用户在家里可能安装Modem以访问远程办公室,与此同时黑客正在利用自动工具来识别在公共电话线上的Modem, 如果一拨号访问流量经过了这些自动工具,那么这一拨号访问就成为了威胁网络安全的后门,黑客就会利用这个后门来访问内部网,从而越过了内部网络原有的防护措施,然后捕获网络流量进而攻击其它系统并偷取敏感的私有信息等等,16,6.1.2 信号分析,对信息的分析技术 模式匹配 统计分析 完整性分析,实时的入侵检测分析,事后分析,17,6.1.2 信号分析
7、(续) 模式匹配,比较收集到的信息与已知的网络入侵和系统误用模式数据库 攻击模式可以用一个过程或一个输出来表示 通过字符串匹配以寻找一个简单的条目或指令 利用正规的数学表达式来表示安全状态的变化,18,6.1.2 信号分析(续) 统计分析,首先对系统对象创建一个统计描述 统计正常使用时的一些测量属性 测量属性的平均值和偏差被用来与网络、系统的行为进行比较 观察值在正常值范围之外时,就认为有入侵发生,19,6.1.2 信号分析(续) 完整性分析,关注某个文件或对象是否被更改 包括文件和目录的内容及属性 对于发现被更改的、被安装木马的应用程序方面特别有效 利用加密机制,20,6.2 IDS类型,I
8、DS组成部分 传感器(Sensor) 控制台(Console),传感器(Sensor),控制台(Console),21,6.2 IDS类型(续),IDS分类 基于主机的IDS 基于网络的IDS 混合IDS,22,6.2.1 基于主机的IDS,HIDS安装在被重点检测的主机之上 HIDS对主机的网络实时连接以及系统审计日志进行智能分析和判断 发现主机出现可疑行为,HIDS采取措施,23,6.2.1 基于主机的IDS(续) HIDS示意图,Desktops,Web Servers,远程连接,顾客,Servers,Network,分公司,合作伙伴,Hacker,Host-based IDS,24,6
9、.2.1 基于主机的IDS(续) HIDS的优点,对分析“可能的攻击行为”非常有用 得到的信息详尽 误报率低,25,必须安装在要保护的设备上,出现安全风险 依赖服务器固有的日志与监视能力 部署代价大,易出现盲点 不能检测网络行为,6.2.1 基于主机的IDS(续) HIDS的弱点,26,6.2.2 基于网络的IDS,NIDS放置在网段内,监视网络数据包 发现问题可以切断网络 目前IDS大多数是NIDS,27,6.2.1 基于网络的IDS(续) NIDS示意图,Desktops,Web Servers,远程连接,顾客,Servers,Network,分公司,合作伙伴,28,不需要改变服务器的配置
10、 不影响业务系统的性能 部署风险小 具有专门设备,6.2.1 基于网络的IDS(续) NIDS的优点,29,检测范围有限 很难检测复杂攻击 传感器协同工作能力较弱 处理加密的会话过程较困难,6.2.1 基于网络的IDS(续) NIDS的弱点,30,6.2.3 混合入侵检测,HIDS和NIDS各有不足 单一产品防范不全面 结合HIDS和NIDS,31,6.2.4 文件完整性检查,定义: 检查计算机中自上次检查后文件变化情况 保存有每个文件的数字摘要 检查过程 计算新的数字摘要 与数据库中的数字摘要进行比较 Tripwire软件(WWW.tripwire.org),32,6.2.4 文件完整性检查
11、(续) 优点,文件完整性检查系统安全 时间上和空间上不可能攻破 灵活性强,33,本地的数字摘要数据库不安全 耗时长,6.2.4 文件完整性检查(续) 弱点,34,6.3 IDS检测技术,基于规则检测 基于异常情况检测,35,6.3.1 基于规则检测,Signature-Based Detection(特征检测) 假设入侵者活动可以用一种模式表示 目标是检测主体活动是否符合这些模式 对新的入侵方法无能为力 难点在于如何设计模式既能够表达入侵现象又不会将正常的活动包含进来 准确率较高,36,6.3.1 基于规则检测(续) 示意图,比较、匹配,37,6.3.2 基于异常情况检测,Anomaly De
12、tection(异常检测) 假设入侵者活动异常于正常主体的活动 制订主体正常活动的“活动阀值” 检测到的活动与“活动阀值”相比较 是否违反统计规律 难题在于如何建立“活动阀值”以及如何设计统计算法,38,6.3.2 基于异常情况检测(续) 示意图,39,操作模型 方差 多元模型 马尔柯夫过程模型 时间序列分析,6.3.2 基于异常情况检测(续) 统计模型,40,6.4 IDS存在问题,NIDS具有网络局限性 NIDS的检测方法都有一定的局限性 NIDS不能处理加密后的数据 NIDS存在着资源和处理能力的局限性 NIDS受内存和硬盘的限制,41,6.5 案例分析,三个数据区 防火墙PIX525
13、DMZ区 核心数据区 政府DMZ区 三个区都部署NIDS,42,6.5 案例分析(续),43,6.6 当前主流产品介绍,Cisco公司 NetRanger IDS Internet Security System公司 RealSecure Intrusion Detection公司 Kane Security Monitor Axent Technologies公司 OmniGuard/Intruder Alert,44,6.6 当前主流产品介绍(续),Computer Associates公司 Sessi onWall-3/eTrust Intrusion Detection NFR公司 I
14、ntrusion Detection Appliance 4.0 中科网威 “天眼”入侵检测系统 启明星辰 SkyBell(天阗),45,本章总结,入侵检测系统被认为是防火墙的有效补充,在防火墙之后提供了一道防御线。本章详细介绍了入侵检测系统的概念及其实现的功能。 按照实现的位置不同,入侵检测系统可以分成基于主机的入侵检测系统和基于主机的入侵检测系统,两种入侵检测系统都有各自的优缺点。在具体的实现中,可以根据用户的需求来决定需要部署哪一种入侵检测系统。 入侵检测系统在实现过程中通过规则和/或异常情况来检测网络上可能的或者正在进行的攻击行为。用户可以根据自己网络的实际情况,通过对网络信息的分析,
15、定义自己的规则和相应的统计信息,来建立自己的入侵检测过程。,46,本章实验,1X-SCAN 软件扫描局域网 2BlackICE server入侵软件安装配置 3Sniffer侦听敏感信息并分析网络性能 4eTrust Intrusion Detection 企业入侵检测,47,课堂练习,1、在安全审计的风险评估阶段,通常是按什么顺序来进行的: A、侦查阶段、渗透阶段、控制阶段 B、渗透阶段、侦查阶段、控制阶段 C、控制阶段、侦查阶段、渗透阶段 D、侦查阶段、控制阶段、渗透阶段 2、黑客利用IP地址进行攻击的方法有:( ) A.IP欺骗 B.解密 C.窃取口令 D.发送病毒,48,课堂练习(续)
16、,3、 以下哪一项不属于入侵检测系统的功能: A、监视网络上的通信数据流 B、捕捉可疑的网络活动 C、提供安全审计报告 D、过滤非法的数据包 4、入侵检测系统的第一步是:( ) A、信号分析 B、信息收集 C、数据包过滤 D、数据包检查,49,课堂练习(续),5、以下哪一项不是入侵检测系统利用的信息:( ) A、系统和网络日志文件 B、目录和文件中的不期望的改变 C、数据包头信息 D、程序执行中的不期望行为 E、物理形式的入侵信息 6、入侵检测系统在进行信号分析时,一般通过三种常用的技术手段,以下哪一种不属于通常的三种技术手段:( ) A、模式匹配 B、统计分析 C、完整性分析 D、密文分析,50,课堂练习(续),7、以下哪一种方式是入侵检测系统所通常采用的:( ) A、基于网络的入侵检测 B、基于IP的入侵检测 C、基于服务的入侵检测 D、基于域名
