《信息安全与技术课件06(清华大学)》由会员分享,可在线阅读,更多相关《信息安全与技术课件06(清华大学)(31页珍藏版)》请在金锄头文库上搜索。
1、信息安全与技术,清华大学出版社,第6章 入侵检测技术,传统上,企业网络一般采用防火墙作为安全的第一道防线,但随着攻击工具与手法的日趋复杂多样,单纯的防火墙策略已经无法满足对网络安全的进一步需要,网络的防卫必须采用一种纵深的、多样化的手段。入侵检测系统是继防火墙之后,保护网络安全的第二道防线,它可以在网络受到攻击时,发出警报或者采取一定的干预措施,以保证网络的安全。,6.1 入侵检测的概念,6.1.1 入侵检测系统功能及工作过程 6.1.2 入侵检测技术的分类 6.1.3 入侵检测系统的性能指标,6.1.1 入侵检测系统功能及工作过程,入侵是指任何企图危及资源的完整性、机密性和可用性的活动。入侵
2、检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测技术是为保证计算机系统和计算机网络系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。 入侵检测系统(Intrusion Detection System,简称IDS)是进行入侵检测的软件与硬件的组合。该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的
3、结果。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。,6.1.1 入侵检测系统功能及工作过程,入侵检测系统的主要功能有: 实时检测:监控和分析用户和系统活动,实时地监视、分析网络中所有的数据包;发现并实时处理所捕获的数据包,识别活动模式以反应已知攻击。 安全审计:对系统记录的网络事件进行统计分析;发现异常现象;得出系统的安全状态,找出所需要的证据 主动响应:主动切断连接或与防火墙联动,调用其他程序处理 评估统计:评估关键系统和数据文件的完整性,统计分析异常活动模式,6.1.2 入侵检测技术的分类,入侵检测按技术可以分为特征检测(Signature-based detect
4、ion)和异常检测(Anomaly detection)。 按监测对象可以分为基于主机入侵检测 ( HIDS )和基于网络入侵检测 ( NIDS )。,6.1.2 入侵检测技术的分类,特征检测 特征检测是收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。特征检测可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。 特征检测的难点是如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来,采取的主要方法是模式匹配。,6.1.2 入侵检测技术的分类,异常检测 异常检测是总结正常操作应该具有的特征,建立主体正常活动的“活动简档”
5、,当用户活动状况与“活动简档”相比,有重大偏离时即被认为该活动可能是“入侵”行为。 异常检测的技术难点是异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。常用方法是概率统计。,6.1.2 入侵检测技术的分类,基于主机的入侵检测 基于主机的入侵检测产品(HIDS)主要用于保护运行关键应用的服务器或被重点检测的主机之上。主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律),入侵检测系统就会采取相应措施。 主机入侵检测的优点主要表现在以下方面: 入侵行为分析能力 误报率要低 复
6、杂性小,性能价格比高 网络通信要求低 主机入侵检测的缺点主要变现在以下几个方面。 影响保护目标 服务器依赖性 全面布署代价大 不能监控网络上的情况,6.1.2 入侵检测技术的分类,基于网络入侵检测 网络入侵检测是大多数入侵检测厂商采用的产品形式。通过捕获和分析网络包来探测攻击。网络入侵检测可以在网段或者交换机上进行监听,来检测对连接在网段上的多个主机有影响的网络通讯,从而保护那些主机。 网络入侵检测优点表现在以下几个方面: 网络通信检测能力 无需改变主机配置和性能 布署风险小,独立性和操作系统无关性 定制设备,安装简单 网络入侵检测缺点表现在以下几个方面: 不能检测不同网段的网络包 很难检测复
7、杂的需要大量计算的攻击 协同工作能力弱 难以处理加密的会话,6.1.3 入侵检测系统的性能指标,网络入侵检测系统的性能指标主要包括3类,即准确性指标、效率指标和系统指标。 准确性指标 准确性指标在很大程度上取决于测试时采用的样本集和测试环境。样本集和测试环境不同,准确性也不相同。主要包括三个指标,即检测率、误报率和漏报率。 检测率是指被监视网络在受到入侵攻击时,系统能够正确报警的概率。通常利用已知入侵攻击的实验数据集合来测试系统的检测率。检测率=入侵报警的数量/入侵攻击的数量。 误报率是指系统把正常行为作为入侵攻击而进行报警的概率和把一种周知的攻击错误报告为另一种攻击的概率。 误报率=错误报警
8、数量/(总体正常行为样本数量+总体攻击样本数量)。 漏报率是指被检测网络受到入侵攻击时,系统不能正确报警的概率。通常利用已知入侵攻击的实验数据集合来测试系统的漏报率。漏报率=不能报警的数量/入侵攻击的数量,6.1.3 入侵检测系统的性能指标,2. 效率指标 效率指标根据用户系统的实际需求,以保证检测质量为准;同时取决于不同的设备级别,如百兆网络入侵检测系统和千兆网络入侵检测系统的效率指标一定有很大差别。效率指标主要包括最大处理能力、每秒并发TCP会话数、最大并发TCP会话数等。,6.1.3 入侵检测系统的性能指标,3.系统指标 系统指标主要表征系统本身运行的稳定性和使用的方便性。系统指标主要包
9、括最大规则数、平均无故障间隔等。,6.2 网络入侵检测系统产品,6.2.1 入侵检测系统简介 6.2.2 Snort入侵检测系统,6.2.1 入侵检测系统简介,入侵检测系统作为最常见的网络安全产品之一,已经得到了非常广泛的应用。当前网络入侵检测系统的产品有很多,主要有Snort,、金诺网安、安氏的领信IDS、启明星辰的天阗系列、联想的联想网御IDS、东软、绿盟科技的冰之眼系列、中科网威的天眼IDS、思科的Cisco IDS、CA的eTrust IDS等。,6.2.2 Snort入侵检测系统,1. Snort 简介 Snort是Martin Roesch等人开发的一种开放源码的入侵检测系统。Ma
10、rtin Roesch把Snort定位为一个轻量级的入侵检测系统。它具有实时数据流量分析和IP数据包日志分析的能力,具有跨平台特征,能够进行协议分析和对内容的搜索/匹配。它能够检测不同的攻击行为,如缓冲区溢出、端口扫描、DoS攻击等,并进行实时报警。,6.2.2 Snort入侵检测系统,2系统结构 Snort具有良好的扩展性和可移植性,可支持Linux、windows等多种操作系统平台。 基于Snort和BASE的入侵检测系统通常采用“传感器数据库分析平台”的三层架构体系。传感器即网络数据包捕获转储程序。 这三种角色既可以部署于同一个主机平台也可以部署在不同的物理平台上,架构组织非常灵活。如果
11、仅仅需要一个测试研究环境,单服务器部署是一个不错的选择;而如果需要一个稳定高效的专业IDS平台,那么多层分布的IDS无论是在安全还是在性能方面都能够满足。具体的部署方案还要取决于实际环境需求。,6.2.2 Snort入侵检测系统,3. 安装环境 一台安装windows2000/XP/2003操作系统的计算机,连接到本地局域网中。需要安装部署下列软件包,如表6-1所示。 4安装软件 (1)WinPcap 安装 (2)Snort 安装 (3)MySQL 安装 (4)Apache 安装 (5)Php 安装 (6)ADODB 安装 (7)安装配置数据控制台ACID。 (8)将Snort规则放入解压 d
12、:snort目录下。 (9)启动snort (10)测试snort,6.3 漏洞检测技术和系统漏洞检测工具,6.3.1 入侵攻击可利用的系统漏洞类型 6.3.2 漏洞检测技术分类 6.3.3 系统漏洞检测方法 6.3.4 常见的系统漏洞及防范 6.3.5 系统漏洞检测工具,6.3.1 入侵攻击可利用的系统漏洞类型,入侵者常常从收集、发现和利用信息系统的漏洞来发起对系统的攻击。不同的应用,甚至同一系统不同的版本,其系统漏洞都不尽相同,大致上可以分为3类 (1) 网络传输和协议的漏洞 攻击者利用网络传输时对协议的信任以及网络传输的漏洞进入系统。 攻击者还可利用协议的特性进行攻击, 攻击者还可以设法
13、避开认证过程,或通过假冒 (如源地址) 而混过认证过程 DNS、WHOIS、FINGER等服务也会泄露出许多对攻击者有用的信息。 (2) 系统的漏洞 攻击者可以利用服务进程的BUG和配置错误进行攻击。因为系统内部的程序可能存在许多BUG,因此,存在着入侵者利用程序中的BUG来获取特权用户权限的可能。 (3) 管理的漏洞 攻击者可以利用各种方式从系统管理员和用户那里诱骗或套取可用于非法进入的系统信息,包括口令、用户名等。,6.3.1 入侵攻击可利用的系统漏洞类型,通过对入侵过程的分析,系统的安全漏洞可以分为以下5类: 可使远程攻击者获得系统的一般访问权限; 可使远程攻击者获得系统的管理权限; 远
14、程攻击者可使系统拒绝合法用户的服务请求; 可使一般用户获得系统管理权限; 一般用户可使系统拒绝其他合法用户的服务请求。,6.3.1 入侵攻击可利用的系统漏洞类型,从系统本身的结构看,系统的漏洞可分为: 安全机制本身存在的安全漏洞; 系统服务协议中存在的安全漏洞; 系统、服务管理与配置的安全漏洞; 安全算法、系统协议与服务现实中存在的安全问题。,6.3.2 漏洞检测技术分类,漏洞检测技术可采用两种策略,即被动式策略和主动式策略。 前者是基于主机的检测,对系统中不合适的设置、脆弱的密码以及其他同安全策略相抵触的对象进行检查。后者是基于网络的检测,通过执行一些脚本文件对系统进行攻击,并记录其反应,从
15、而发现其中漏洞。 根据所采用的技术特点,漏洞检测技术可以分为以下5类 : (1)基于应用的检测技术。 采用被动、非破坏性的办法来检查应用软件包的设置,发现安全漏洞。 (2)基于主机的检测技术。 采用被动、非破坏性的办法对系统进行检测,常涉及系统内核、文件的属性、操作系统的补丁等问题。这种技术还包括口令解密,因此,这种技术可以非常准确地定位系统存在的问题,发现系统漏洞。其缺点是与平台相关,升级复杂。,6.3.2 漏洞检测技术分类,(3)基于目标的检测技术。 采用被动、非破坏性的办法检查系统属性和文件属性,如数据库、注册号等。通过消息摘要算法,对系统属性和文件属性进行杂凑 (Hash) 函数运算。
16、如果函数的输入有一点变化,其输出就会发生大的变化,这样文件和数据流的细微变化都会被感知。这些算法实现是运行在一个闭环上,不断地处理文件和系统目标属性,然后产生校验数,把这些校验数同原来的校验数相比较,一旦发现改变就通知管理员。 (4)基于网络的检测技术。 采用积极、非破坏性的办法来检验系统是否有可能被攻击而崩溃。它利用了一系列脚本对系统进行攻击,然后对结果进行分析。网络检测技术常被用来进行穿透实验和安全审计。这种技术可以发现系统平台的一系列漏洞,也容易安装。但是,它容易影响网络的性能。 (5)综合的技术。 它集中了以上4种技术的优点,极大地增强了漏洞识别的精度。,6.3.3 系统漏洞检测方法,系统漏洞检测是通过一定的技术方法主动地去发现系统中未知的安全漏洞。现有的漏洞检测方法有源代码扫描、反汇编代码扫描、渗透分析、环境错误注入等。,6.3.3 系统漏洞检测方法,(1)源代码扫描 由于相当多的安全漏洞在源代码中会出现类似的错误,因此可以通过匹配程序中不符合规则的部分(如文件结构、命名规则、函数、堆栈指针等),从而发现程序中可能隐含的缺陷。源代码扫描技术主要针对开放源代码的程序,
