计算机网络安全二课件

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,内容,截获网络上的数据包,监听数据包的技术,Libpcap,WinPcap,入侵检测技术,内容截获网络上的数据包,1,网络监听,在一个共享式网络，可以听取所有的流量,是一把双刃剑,管理员可以用来监听网络的流量情况,开发网络应用的程序员可以监视程序的网络情况,黑客可以用来刺探网络情报,目前有大量商业的、免费的监听工具，俗称嗅探器,(sniffer),网络监听在一个共享式网络，可以听取所有的流量,2,以太网络的工作原理,载波侦听,/,冲突检测,(CSMA/CD,carrier sense multiple access with collision detection),技术,载波侦听：是指在网络中的每个站点都具有同等的权利，在传输自己的数据时，首先监听信道是否空闲,如果空闲，就传输自己的数据,如果信道被占用，就等待信道空闲,而冲突检测则是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突,以太网采用了,CSMA/CD,技术，由于使用了广播机制，所以，所有与网络连接的工作站都可以看到网络上传递的数据,以太网络的工作原理载波侦听/冲突检测(CSMA/CD,ca,3,以太网卡的工作模式,网卡的,MAC,地址,(48,位,),通过,ARP,来解析,MAC,与,IP,地址的转换,用,ipconfig/ifconfig,可以查看,MAC,地址,正常情况下，网卡应该只接收这样的包,MAC,地址与自己相匹配的数据帧,广播包,网卡完成收发数据包的工作，两种接收模式,混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来,非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据包,(,和组播数据包,),为了监听网络上的流量，必须设置为混杂模式,以太网卡的工作模式网卡的MAC地址(48位),4,共享网络和交换网络,共享式网络,通过网络的所有数据包发往每一个主机,最常见的是通过,HUB,连接起来的子网,交换式网络,通过交换机连接网络,由交换机构造一个“,MAC,地址,-,端口”映射表,发送包的时候，只发到特定的端口上,共享网络和交换网络共享式网络,5,在交换式网络上监听数据包,ARP,重定向技术，一种中间人攻击,A,B,GW,1 B,打开,IP,转发功能,2 B,发送假冒的,arp,包给,A,声称自己是,GW,的,IP,地址,3 A,给外部发送数据，首先发给,B,4 B,再转发给,GW,做法：利用,dsniff,中的,arpredirect,工具,在交换式网络上监听数据包ARP重定向技术，一种中间人攻击AB,6,发送数据包,Libnet,利用,Libnet,构造数据包并发送出去,关于,Libnet,支持多种操作系统平台,提供了,50,多个,C API,函数，功能涵盖,内存管理,(,分配和释放,),函数,地址解析函数,各种协议类型的数据包构造函数,数据包发送函数,(IP,层和链路层,),一些辅助函数，如产生随机数、错误报告等,发送数据包Libnet利用Libnet构造数据包并发送出,7,使用,Libnet,的基本过程,数据包内存初始化,网络接口初始化,构造所需的数据包,计算数据包的校验和,发送数据包,关闭网络接口,释放数据包内存,libnet_init_packet(,);,libnet_open_raw_sock(,);,libnet_build_ip(,);,libnet_build_tcp(,);,libnet_do_checksum(,);,libnet_write_ip(,);,libnet_close_raw_sock(,);,libnet_destroy_packet(,);,使用Libnet的基本过程数据包内存初始化libnet_in,8,可适应网络安全模型,网络安全是相对的，没有绝对的安全,P2DR,安全模型,以安全策略为核心,安全,策略,(policy),防护,(protecttion),检,测,(detection),响,应,(response),可适应网络安全模型网络安全是相对的，没有绝对的安全安全防护,9,网络安全新定义,及时的检测和处理,时间,Pt,Dt,Rt,新定义：,Pt Dt+Rt,网络安全新定义及时的检测和处理时间PtDtRt新定义：Pt,10,P2DR,安全模型,这是一个动态模型,以安全策略为核心,基于时间的模型,可以量化,可以计算,P2DR,安全的核心问题,检测,检测是静态防护转化为动态的关键,检测是动态响应的依据,检测是落实,/,强制执行安全策略的有力工具,P2DR安全模型这是一个动态模型,11,IDS:Intrusion Detection System,入侵检测系统介绍,入侵检测系统分类,入侵检测系统用到的一些技术,入侵检测系统的研究和发展,IDS:Intrusion Detection Syste,12,IDS,的用途,攻击工具,攻击命令,攻击机制,目标网络,网络漏洞,目标系统,系统漏洞,攻击者,漏洞扫描,评估,加固,攻击过程,实时,入侵,检测,IDS的用途攻击工具攻击机制目标网络网络漏洞目标系统系统漏洞,13,入侵检测系统的实现过程,信息收集，来源：,网络流量,系统日志文件,系统目录和文件的异常变化,程序执行中的异常行为,信息分析,模式匹配,统计分析,完整性分析，往往用于事后分析,入侵检测系统的实现过程信息收集，来源：,14,入侵检测系统的通用模型,数据源,模式匹配器,系统轮廓分析引擎,数据库,入侵模式库,异常检测器,响应和恢复机制,入侵检测系统的通用模型数据源模式匹配器系统轮廓分析引擎数据库,15,入侵检测系统的种类,基于主机,安全操作系统必须具备一定的审计功能，并记录相应的安全性日志,基于网络,IDS,可以放在防火墙或者网关的后面，以网络嗅探器的形式捕获所有的对内对外的数据包,基于内核,从操作系统的内核接收数据，比如,LIDS,基于应用,从正在运行的应用程序中收集数据,入侵检测系统的种类基于主机,16,IDS,的技术,异常检测,(anomaly detection),也称为基于行为的检测,首先建立起用户的正常使用模式，即知识库,标识出不符合正常模式的行为活动,误用检测,(misuse detection),也称为基于特征的检测,建立起已知攻击的知识库,判别当前行为活动是否符合已知的攻击模式,IDS的技术异常检测(anomaly detection),17,异常检测,比较符合安全的概念，但是实现难度较大,正常模式的知识库难以建立,难以明确划分正常模式和异常模式,常用技术,统计方法,预测模式,神经网络,异常检测比较符合安全的概念，但是实现难度较大,18,误用检测,目前研究工作比较多，并且已经进入实用,建立起已有攻击的模式特征库,难点在于：如何做到动态更新，自适应,常用技术,基于简单规则的模式匹配技术,基于专家系统的检测技术,基于状态转换分析的检测技术,基于神经网络检测技术,其他技术，如数据挖掘、模糊数学等,误用检测目前研究工作比较多，并且已经进入实用,19,IDS,的两个指标,漏报率,指攻击事件没有被,IDS,检测到,误报率,(false alarm rate),把正常事件识别为攻击并报警,误报率与检出率成正比例关系,0,检出率,(detection rate)100%,100%,误报率,IDS的两个指标漏报率0 检出率(detectio,20,基于网络的,IDS,系统,收集网络流量数据,利用,sniff,技术,把,IDS,配置在合理的流量集中点上，比如与防火墙或者网关配置在一个子网中,利用某些识别技术,基于模式匹配的专家系统,基于异常行为分析的检测手段,基于网络的IDS系统收集网络流量数据,21,一个轻量的网络,IDS:snort,是一个基于简单模式匹配的,IDS,源码开放，跨平台,(C,语言编写，可移植性好,),利用,libpcap,作为捕获数据包的工具,特点,设计原则：性能、简单、灵活,包含三个子系统：网络包的解析器、检测引擎、日志和报警子系统,内置了一套插件子系统，作为系统扩展的手段,模式特征链,规则链,命令行方式运行，也可以用作一个,sniffer,工具,一个轻量的网络IDS:snort是一个基于简单模式匹配的I,22,网络数据包解析,结合网络协议栈的结构来设计,Snort,支持链路层和,TCP/IP,的协议定义,每一层上的数据包都对应一个函数,按照协议层次的顺序依次调用就可以得到各个层上的数据包头,从链路层，到传输层，直到应用层,在解析的过程中，性能非常关键，在每一层传递过程中，只传递指针，不传实际的数据,支持链路层：以太网、令牌网、,FDDI,网络数据包解析结合网络协议栈的结构来设计,23,异常检测的网络,IDS,基于规则和特征匹配的,NIDS,的缺点,对于新的攻击不能正确识别,人工提取特征，把攻击转换成规则，加入到规则库中,异常检测的,NIDS,可以有一定的自适应能力,利用网络系统的已知流量模式进行学习，把正常流量模式的知识学习到,IDS,中,当出现新的攻击时，根据异常行为来识别,并且，对于新的攻击以及异常的模式可以反馈到,IDS,系统中,异常检测的网络IDS基于规则和特征匹配的NIDS的缺点,24,人工神经网络,(ANN),用于异常检测,ANN,有比较好的非线性分析能力,一定程度上可以代替统计检测技术,通过历史数据学习用户的典型特征,难点：,采集好的学习样本并量化表达,如何获得自适应？,两个简单例子,MLP,网络用于入侵检测,CMAC,用于拒绝服务检测,人工神经网络(ANN)用于异常检测ANN有比较好的非线性分析,25,CMAC,网络用于自动对抗拒绝服务,CMAC(Cerebellar Model Articulation Controller),1975,年,Albus,提出,主要用于控制领域,网络模型,三层前向网络,优势,具有聚类的作用,容易获得自适应能力,CMAC网络用于自动对抗拒绝服务CMAC(Cerebella,26,CMAC,对于拒绝服务的模拟结果分析,学习速度快,On-line,学习攻击模式,能够精确地识别以前碰到过的攻击模式,对于同类型的攻击，具有较好的适应性,在训练了,ping flood,之后，识别,UDP packet storm,攻击的错误为,2.2%,对状态的分析能力,如果一种网络行为模式在初始时候被识别的概率为,75%,，随着系统状态的进一步退化，同样的行为模式被识别的概率应该增加,系统的反馈用来增强识别攻击的可能性,CMAC对于拒绝服务的模拟结果分析学习速度快,27,基于主机的,IDS,系统,信息收集,系统日志,系统状态信息,特点：,OS,相关,常用的分析技术,统计分析,状态转移分析,关联分析,基于主机的IDS系统信息收集,28,STAT,STAT:A state transition analysis tool for intrusion detection,由美国加州大学,Santa Barbaba,分校开发,从初始状态到入侵状态的转移过程,用有限状态机来表示入侵过程,初始状态指入侵发生之前的状态,入侵状态指入侵发生之后系统所处的状态,系统状态通常用系统属性或者用户权限来描述,用户的行为和动作导致系统状态的转变,S1,S2,S3,Assertions,Assertions,Assertions,STATSTAT:A state transition a,29,STAT,的优缺点,优点：,状态转移图提供了一种针对入侵渗透模式的直观的、高层次的、与审计记录无关的表示方法,用状态转移法，可以描述出构成特定攻击模式的特征行为序列,状态转移图给出了保证攻击成功的特征行为的最小子集，从而使得检测系统可以适应相同入侵模式的不同表现形式,可使攻击行为在到达入侵状态之前就被检测到，从而采取措施阻止攻击行为,可以检测协同攻击和慢速攻击,缺点：,状态,(assertions),和特征行为需要手工编码,Assertions,和特征用于表达复杂细致的入侵模式时