网络入侵的技术

《网络入侵的技术》由会员分享，可在线阅读，更多相关《网络入侵的技术（149页珍藏版）》请在金锄头文库上搜索。

1、入侵检测技术,主讲教师: 赵 玲 ,本课程需具备的基础知识,TCP/IP协议原理 对防火墙有初步认识 对局域网和广域网有初步认识 Unix简单操作,课程目标,了解入侵检测的概念、术语 掌握网络入侵技术和黑客惯用的各种手段 掌握入侵检测系统防范入侵原理 了解入侵检测产品部署方案 了解入侵检测产品选型原则 了解入侵检测技术发展方向,课程内容,入侵知识简介 入侵检测技术 入侵检测系统的选择和使用,1. 入侵检测系统概述,1.1 背景介绍 1.2 入侵检测的提出 1.3 入侵检测相关术语 1.4 入侵检测系统分类 1.5 入侵检测系统构件 1.6 入侵检测系统部署方式 1.7 动态安全模型P2DR,1

2、.1 背景介绍, 1.1.1 信息社会出现的新问题 信息时代到来，电子商务、电子政务，网络改变人们的生活，人类进入信息化社会 计算机系统与网络的广泛应用，商业和国家机密信息的保护以及信息时代电子、信息对抗的需求 存储信息的系统面临的极大的安全威胁 潜在的网络、系统缺陷危及系统的安全 传统的安全保密技术都有各自的局限性，不能够确保系统的安全,1.1 背景介绍, 1.1.2 信息系统的安全问题 操作系统的脆弱性 计算机网络的资源开放、信息共享以及网络复杂性增大了系统的不安全性 数据库管理系统等应用系统设计中存在的安全性缺陷 缺乏有效的安全管理, 1.1.3 黑客攻击猖獗,网络,内部、外部泄密,拒绝

3、服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,后门、隐蔽通道,蠕虫,这就是黑客,1.1 背景介绍,1.1.4 我国安全形势非常严峻 1999年4月16日：黑客入侵中亚信托投资公司上海某证券营业部，造成340万元损失。 1999年11月14日至17日：新疆乌鲁木齐市发生首起针对银行自动提款机的黑客案件，用户的信用卡被盗1.799万元。 1999年11月23日：银行内部人员通过更改程序，用虚假信息从本溪某银行提取出86万元。,1.1 背景介绍,1.1.4 我国安全形势非常严峻（续） 2000年2月1日：黑客攻击了大连市赛伯网络服务有限公司，造成经济损失20多万元。 2000年2月1日至2日

4、：中国公共多媒体信息网兰州节点 “飞天网景信息港”遭到黑客攻击。 2000年3月2日：黑客攻击世纪龙公司21CN。,1.1 背景介绍,1.1.4 我国安全形势非常严峻（续） 2000年3月6日至8日：黑客攻击实华开EC123网站达16次，同一时期，号称全球最大的中文网上书店“当当书店”也遭到多次黑客攻击。 2000年3月8日：山西日报国际互联网站遭到黑客数次攻击，被迫关机，这是国内首例黑客攻击省级党报网站事件。 2000年3月8日：黑客攻击国内最大的电子邮局-拥有200万用户的广州163，系统无法正常登录。,1.1 背景介绍,1.1.4 我国安全形势非常严峻（续） 2001年3月9日: IT-

5、全国网上连锁商城遭到黑客袭击，网站页面文件全部被删除，各种数据库遭到不同程度破坏，网站无法运行，15日才恢复正常，损失巨大。 2001年3月25日：重庆某银行储户的个人帐户被非法提走5万余元。 2001年6月11、12日：中国香港特区政府互联网服务指南主页遭到黑客入侵，服务被迫暂停。,1.2 入侵检测的提出,1.2.1 什么是入侵检测系统 入侵检测系统(IDS)是一套监控计算机系统或网络系统中发生的事件，根据规则进行安全审计的软件或硬件系统。,1.2 入侵检测的提出,1.2.2 为什么需要IDS？ 入侵很容易 入侵教程随处可见，各种工具唾手可得 防火墙不能保证绝对的安全 网络边界的设备 自身可

6、以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁，入侵检测系统是监视器,1.2.2 为什么需要IDS?（续）,网络中有可被入侵者利用的资源 在一些大型的网络中，管理员没有时间跟踪系统漏洞并且安装相应的系统补丁程序。 用户和管理员在配置和使用系统中的失误。 对于一些存在安全漏洞的服务、协议和软件，用户有时候不得不使用。,1.2 入侵检测的提出,1.2.3 入侵检测的任务 （1）检测来自内部的攻击事件和越权访问 a. 85以上的攻击事件来自于内部的攻击 b. 防火墙只能防外，难于防内 （2）入侵检测系统作为防火墙系统的一个有效的补充 a. 入侵检测系统可以有效的防范防火墙开放

7、的服务入侵,1.2.3 入侵检测的任务（续）,（3）通过事先发现风险来阻止入侵事件的 发生，提前发现试图攻击或滥用网络系统的人员。 （4）检测其它安全工具没有发现的网络安全事件。 （5）提供有效的审计信息，详细记录黑客的入侵过程，从而帮助管理员发现网络的脆弱性。,1.2 入侵检测的提出,1.2.4 入侵检测的发展历史 1980年，James Anderson最早提出入侵检测概念 1987年，DEDenning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出。 1988年，Morris蠕虫事件直接刺激了IDS的研究 1988年，创建了基于主机的系统,有IDES，Hays

8、tack等 1989年，提出基于网络的IDS系统,有NSM，NADIR， DIDS等,1.2 入侵检测的提出,1.2.4入侵检测的发展历史（续） 90年代，不断有新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统 2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮 2001年今，RedCode、求职信等新型病毒的不断出现，进一步促进了IDS的发展。,1.3 入侵检测相关术语,IDS(Intrusion Detection Systems) 入侵检测系统 Promiscuous 混杂模式 Signat

9、ures 特征,1.3 入侵检测相关术语,Alerts 警告 Anomaly 异常,1.3 入侵检测相关术语,Console 控制台 Sensor 传感器（是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包）,1.4 入侵检测系统分类,概要 Host-Based IDS（基于主机的IDS) Network-Based IDS（基于网络的IDS） Stack-Based IDS（混和的IDS),1.4 入侵检测系统分类, 1.4.1 Host-Based IDS(HIDS) 数据来源为事件日志、端口调用以及安全审计记录。 保护的对象是单个主机。（HIDS系统安装在主机上面，对本主机进行

10、安全检测。最适合于检测那些可以信赖的内部人员的误用以及已经避开了传统的检测方法而渗透到网络中的活动。),1.4 入侵检测系统分类,HIDS优点 性能价格比高 细腻性，审计内容全面 视野集中 适用于加密及交换环境,1.4 入侵检测系统分类,HIDS缺点 额外产生的安全问题 HIDS依赖性强 如果主机数目多，代价过大 不能监控网络上的情况,1.4 入侵检测系统分类, 1.4.2 Network-Based IDS(NIDS) 系统分析的数据是网络上的数据包。 保护的对象是单个网段，故系统安装在比较重要的网段内,1.4 入侵检测系统分类,NIDS优点 检测范围广 无需改变主机配置和性能 独立性和操作

11、系统无关性 安装方便,1.4 入侵检测系统分类,NIDS缺点 不能检测不同网段的网络包 很难检测复杂的需要大量计算的攻击 协同工作能力弱 难以处理加密的会话,1.4 入侵检测系统分类,1.4.3 Stack-Based IDS(NNIDS) 网络节点入侵检测系统 安装在网络节点的主机中 结合了NIDS和HIDS的技术 适合于高速交换环境和加密数据,1.5 入侵检测系统构件,1.5 入侵检测系统构件,事件产生器(Event generators) 事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。,1.5 入侵检测系统构件,事件分析器(Event analyzers) 事

12、件分析器分析得到的数据，并产生分析结果。,1.5 入侵检测系统构件,响应单元(Response units) 响应单元则是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击，也可以只是简单的报警。,1.5 入侵检测系统构件,事件数据库(Event databases) 事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。,1.6 入侵检测系统部署方式,Switch,IDS Sensor,Monitored Servers,Console,通过端口镜像实现 （SPAN / Port Monitor）,1.6

13、入侵检测系统部署方式,检测器部署位置 放在边界防火墙之外 放在边界防火墙之内 放在主要的网络中枢 放在一些安全级别需求高的子网,Internet,检测器部署示意图,部署一,部署二,部署三,部署四,1.6 入侵检测系统部署方式,检测器放置于防火墙的DMZ区域 可以查看受保护区域主机被攻击状态 可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点,1.6 入侵检测系统部署方式,检测器放置于路由器和边界防火墙之间 可以审计所有来自Internet上面对保护网络的攻击数目 可以审计所有来自Internet上面对保护网络的攻击类型,1.6 入侵检测系统部署方式,检测器放在主要的网络中枢

14、监控大量的网络数据，可提高检测黑客攻击的可能性 可通过授权用户的权利周界来发现未授权用户的行为,1.6 入侵检测系统部署方式,检测器放在安全级别高的子网 对非常重要的系统和资源的入侵检测,1.7 动态安全模型P2DR,1.7 动态安全模型P2DR,Policy策略 Protection防护 Detection检测 Response响应,2. 网络入侵技术,2.1 入侵知识简介 2.2 网络入侵的一般步骤,2.1 入侵知识简介,入侵 (Intrusion) 入侵是指未经授权蓄意尝试访问信息、窜改信息，使系统不可靠或不能使用的行为。 入侵企图破坏计算机资源的完整性、机密性、可用性、可控性,2.1

15、入侵知识简介,目前主要漏洞： 缓冲区溢出 拒绝服务攻击漏洞 代码泄漏、信息泄漏漏洞 配置修改、系统修改漏洞 脚本执行漏洞 远程命令执行漏洞,2.1 入侵知识简介,入侵者 入侵者可以是一个手工发出命令的人，也可是一个基于入侵脚本或程序的自动发布命令的计算机。,2.1 入侵知识简介,侵入系统的主要途径 物理侵入 本地侵入 远程侵入,2.2 网络入侵的一般步骤,进行网络攻击是一件系统性很强的工 作，其主要工作流程是： 目标探测和信息收集 自身隐藏 利用漏洞侵入主机 稳固和扩大战果 清除日志,2.2.1 目标探测和信息收集,目标探测和信息收集 端口扫描 漏洞扫描 利用snmp了解网络结构,2.2.1 目标探测和信息收集,利用扫描器软件 什么是扫描器Scanner 扫描器工作原理 扫描器能告诉我们什么, 2.2.1 目标探测和信息收集,常用扫描器软件 SATAN（安全管理员的网络分析工具） http:/ Nessus(网络评估软件) http:/www.nessus.org, 2.2.1 目标探测和信息收集,常用扫描器软件（续） 流光（NT扫描工具） http:/ Mscan（Linux下漏洞扫描器） http:/, 2.2.1 目标探测和信息收集,什么是SNMP 简单网络管理协议 协议无关性 搜集网络管理信息 网络管理软件, 2.2.1 目标探测和信息收集,Snmp用途 用于网