信息系统安全检测技术.ppt

资源描述

2020 3 26 1 第七章信息系统安全检测技术信息安全 2020 3 26 2 本章主要内容 7 1入侵检测技术7 2漏洞检测技术7 3审计追踪 2020 3 26 3 本章学习目标本章重点介绍入侵检测的概念分类基本方法入侵响应审计追踪技术漏洞扫描技术的概念给出了入侵检测系统现成实现模式最后介绍了入侵检测工具Snort的安装与配置通过本章的学习使学员 1 理解入侵检测的概念分类基本方法 2 理解入侵响应审计追踪技术 3 理解漏洞扫描技术 4 掌握Snort入侵检测工具的使用 2020 3 26 4 入侵检测技术是动态安全技术的最核心技术之一传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术对网络环境下日新月异的攻击手段缺乏主动的反应入侵检测是防火墙的合理补充帮助系统对付网络攻击扩展了系统管理员的安全管理能力包括安全审计监视进攻识别和响应提高了信息安全基础结构的完整性它从计算机网络系统中的若干关键点收集信息分析信息查看是否有违反安全策略的行为和遭到袭击的迹象入侵检测被认为是防火墙之后的第二道安全防线提供对内部攻击外部攻击和误操作的实时保护 7 1入侵检测技术 2020 3 26 5 7 1 1入侵检测定义入侵检测 IntrusionDetection 是检测和识别系统中未授权或异常现象利用审计记录入侵检测系统应能识别出任何不希望有的活动这就要求对不希望的活动加以限定一旦当它们出现就能自动地检测入侵检测技术的第一条防线是接入控制第二条防线是检测 IDS可分为两种基于主机的IDS和基于网络的IDS 一个完备的入侵检测系统 IDS 一定是基于主机和基于网络两种方式兼备的分布式系统利用最新的可适应网络安全技术和P2DR Policy Protection Detection Response 安全模型已经可以深入地研究入侵事件入侵手段本身及被入侵目标的漏洞等 7 1入侵检测技术 2020 3 26 6 7 1 2IDS分类 1 基于行为的和基于知识的检测按具体的检测方法将检测系统分为基于行为的和基于知识的两类基于行为的检测也被称为异常检测基于知识的检测也被称为误用检测 7 1入侵检测技术 2020 3 26 7 7 1 2IDS分类 2 根据数据源不同的检测根据检测系统所分析的原始数据不同将入侵检测分为来自系统日志和网络数据包两种 7 1入侵检测技术两类检测的关系 2020 3 26 8 7 1 3入侵检测系统基本原理 1 入侵检测框架对安全事件的检测包括大量复杂的步骤涉及到很多系统任何单一技术很难提供完备的检测能力需要综合多个检测系统以达到尽量完备检测能力因此对于入侵检测框架的研究国内外专家都十分重视比较有名的成果是通用入侵检测框架 CIDF 和入侵检测交换格式 IDEF CIDF是由美国加洲大学Davis分校的安全实验室提出的框架 IDEF是由IETF的入侵检测工组 IDWG 开发的安全事件报警的标准格式 7 1入侵检测技术 2020 3 26 9 7 1 3入侵检测系统基本原理 1 入侵检测框架 7 1入侵检测技术数据源操作员传感器管理器分析器管理员活动事件报警安全策略通告响应通用入侵检测框架 CIDF 2020 3 26 10 7 1 3入侵检测系统基本原理 1 入侵检测框架 7 1入侵检测技术简单的入侵检测系统 2020 3 26 11 7 1 3入侵检测系统基本原理 2 信息收集在网络系统中的若干不同关键点网段和主机收集系统网络数据及用户活动的状态和行为信息入侵检测可以利用的分析数据信息 1 网络和系统日志文件 2 目录和文件中的不期望的改变 3 程序执行中的不期望行为 4 物理形式的入侵信息 5 其他信息 7 1入侵检测技术 2020 3 26 12 7 1 3入侵检测系统基本原理 3 信息分析通过三种技术手段进行分析模式匹配实时将收集到的信息与已知网络入侵和系统误用模式数据库进行比较而发现违背安全策略的行为统计分析实时先给系统对象用户文件目录和设备等创建一个统计描述统计正常使用时的一些测量属性访问次数操作失败次数延时测量属性的平均值将被用来与网络系统的行为进行比较完整性分析事后关注文件和目录的内容及属性发现被更改的或被特洛伊木马化的应用程序 7 1入侵检测技术 2020 3 26 13 1 基于主机的入侵检测系统 7 1入侵检测技术 7 1 4入侵检测系统的结构检测的目标主要是主机系统和系统本地用户 2020 3 26 14 1 基于主机的入侵检测系统 7 1入侵检测技术 7 1 4入侵检测系统的结构在需要保护的主机端系统上运行代理程序根据主机的审计数据和系统的日志发现可疑事件从而实现监控 2020 3 26 15 2 基于网络的入侵检测系统 7 1入侵检测技术 7 1 4入侵检测系统的结构利用网络适配器来实时监视和分析所有通过网络进行传输的通信一旦检测到攻击 IDS相应模块通过通知报警以及中断连接等方式来对攻击做出反应 2020 3 26 16 2 基于网络的入侵检测系统优点检测的范围是整个网段而不仅仅是被保护的主机实时检测和应答一旦发生恶意访问或攻击能够更快地做出反应将入侵活动对系统的破坏减到最低隐蔽性好不需要在每个主机上安装不易被发现不需要任何特殊的审计和登录机制只要配置网络接口就可以了不会影响其他数据源操作系统独立基于网络的IDS并不依赖主机的操作系统作为检测资源 7 1入侵检测技术 7 1 4入侵检测系统的结构 2020 3 26 17 3 分布式入侵检测系统分布式入侵检测系统产生的原因情况系统的弱点或漏洞分散在网络中各个主机上这些弱点有可能被入侵者一起用来攻击网络而仅仅依靠一个主机或网络入侵检测系统难以发现入侵行为网络入侵行为不再是单一的行为而是表现出相互协作入侵的特点如分布式拒绝服务攻击入侵检测所依靠的数据来源分散化收集原始的检测数据变得困难网络速度传输加快网络流量大原始数据的集中处理方式往往造成检测瓶颈从而导致漏检 7 1入侵检测技术 7 1 4入侵检测系统的结构 2020 3 26 18 3 分布式入侵检测系统 7 1入侵检测技术 7 1 4入侵检测系统的结构早期的分布式入侵检测系统分布式IDS系统的目标是既能检测网络入侵行为又能检测主机的入侵行为 2020 3 26 19 3 分布式入侵检测系统 7 1入侵检测技术 7 1 4入侵检测系统的结构 2020 3 26 20 1 基于用户行为概率统计模型的入侵检测方法根据系统内部保存的用户行为概率统计模型进行检测在用户的历史行为以及早期的证据或模型的基础上生成每个用户的历史行为记录库系统实时地检测用户对系统的使用情况当用户改变他们的行为习惯时当发现有可疑的行为发生时这种异常就会被检测出来例如统计系统会记录CPU的使用时间 I O的使用通道和频率常用目录的建立与删除文件的读些修改删除以及用户习惯使用的编辑器和编译器最常用的系统调用用户ID的存取文件和目录的使用 7 1入侵检测技术 7 1 5入侵检测的基本方法 2020 3 26 21 2 基于神经网络的入侵检测方法这种方法是利用神经网络技术来进行入侵检测的因此这种方法对于用户行为具有学习和自适应性能够根据实际检测到的信息有效地加以处理并做出判断但尚不十分成熟目前还没有出现较为完善的产品 7 1入侵检测技术 7 1 5入侵检测的基本方法 2020 3 26 22 3 基于专家系统的入侵检测方法根据安全专家对可疑行为的分析经验形成的一套推理规则建立相应的专家系统自动进行对所涉及的入侵行为进行分析实现基于规则的专家系统是一个知识工程问题应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正这样的能力需在专家指导和参与才能实现一方面推理机制使得系统面对一些新的行为现象时可能具备一定的应对能力即有可能会发现一些新的安全漏洞另一方面攻击行为不会触发任何一个规则从而被检测到 7 1入侵检测技术 7 1 5入侵检测的基本方法 2020 3 26 23 3 基于专家系统的入侵检测方法基于专家系统也有局限性这类系统的基础的推理规则一般都是根据已知的安全漏洞进行安排和策划的而对系统的最危险的威胁则主要是来自未知的安全漏洞 7 1入侵检测技术 7 1 5入侵检测的基本方法 2020 3 26 24 4 基于模型推理的入侵检测方法根据入侵者在进行入侵时所执行程序的某些行为特征建立一种入侵行为模型根据这种行为模型所代表的入侵意图的行为特征来判断用户的操作是否属于入侵行为当然这种方法也是建立在对已知的入侵行为的基础之上的对未知的入侵行为模型识别需要进一步的学习和扩展上述每一种方法都不能保证准确地检测出变化无穷的入侵行为因此在网络安全防护中要充分衡量各种方法的利弊综合运用这些方法才能有效地检测出入侵者的非法行为 7 1入侵检测技术 7 1 5入侵检测的基本方法 2020 3 26 25 1 信息收集分析时间2 采用的分析类型3 检测系统对攻击和误用的反应4 检测系统的管理和安装5 检测系统的完整性6 设置诱骗服务器 7 1入侵检测技术 7 1 6入侵检测实现时若干问题的考虑 2020 3 26 26 入侵者常常是从收集发现和利用信息系统的漏洞来发起对系统的攻击的系统不同的应用甚至同一系统不同的版本其系统漏洞都不尽相同这些大致上可以分为以下几类 1 网络传输和协议的漏洞2 系统的漏洞3 管理的漏洞 7 2漏洞检测技术 7 2 1入侵攻击可利用的系统漏洞的类型 2020 3 26 27 实时监控非法入侵的安全实验 EMAIL报警日志攻击检测记录重配置防火墙路由器 INTERNAL 攻击检测记录通话终止 2020 3 26 28 Internet WesServer WesServer WesServer 7 2漏洞检测技术 7 2 1入侵攻击可利用的系统漏洞的类型 2020 3 26 29 漏洞检测技术通常采用两种策略即被动式策略和主动式策略被动式策略是基于主机的检测对系统中不合适的设置脆弱的口令以及其他同安全策略相抵触的对象进行检查主动式策略是基于网络的检测通过执行一些脚本文件对系统进行攻击并记录它的反应从而发现其中的漏洞漏洞检测的结果实际上是对系统安全性能的一个评估指出了这些攻击是可能的因此成为安全方案的一个重要组成部分 7 2 2漏洞检测技术分类 7 2漏洞检测技术 2020 3 26 30 1 检测分析的位置 2 报告与安装 3 检测后的解决方案 4 检测系统本身的完整性 7 2 3漏洞检测的特点 7 2漏洞检测技术 2020 3 26 31 1 设计目标该网络漏洞检测系统的设计目标是使得在攻击者入侵之前能够帮助系统管理员主动对网络上的设备进行安全测试根据当前Internet上或软件公司公布的系统中的漏洞及时下载安装各种补丁程序以便提高网络系统抵抗攻击的能力 7 2 3漏洞检测系统的设计实例 7 2漏洞检测技术 2020 3 26 32 2 系统组成该系统大体上可分为两大模块外部扫描模块功能和特点是模拟黑客攻击的部分过程在网络上进行扫描把扫描得到的信息进行综合分析再结合不断更新的漏洞数据库来发现网络上存在的隐患内部扫描模块功能和特点是模拟系统管理员从主机内部进行扫描检查一切和网络安全有关的配置是否正确进而从内部清除隐患通过内外扫描的结合就可以很全面地检查和防范在网络环境中可能出现的安全隐患最大可能地使黑客无可乘之机 7 2 3漏洞检测系统的设计实例 7 2漏洞检测技术 2020 3 26 33 3 外部扫描模块体系结构 1 网络端口扫描模块 2 应用服务软件探测模块 3 反馈信息分析整理模块 4 信息数据库 5 匹配漏洞信息模块 6 应用服务和信息漏洞维护模块 7 漏洞数据库 7 2 3漏洞检测系统的设计实例 7 2漏洞检测技术 2020 3 26 34 7 2 3漏洞检测系统的设计实例 7 2漏洞检测技术外部扫描模块结构示意 3 外部扫描模块体系结构 2020 3 26 35 4 内部扫描模块体系结构内部扫描模块由五个子模块组成 1 主机登录用户扫描模块 2 主机登录密码文件扫描模块 3 基于信任机制的漏洞扫描模块 4 网络服务的内部扫描模块 5 网络应用软件扫描模块 7 2 3漏洞检测系统的设计实例 7 2漏洞检测技术 2020 3 26 36 5 系统工作过程系统启动启动外部扫描模块扫描整个网段获取本网段内的主机信息包括使用的操作系统 IP地址打开的端口号及各个端口所提供的服务获取详细信息将信息传递给反馈信息分析整理模块信息进行分析过滤掉无用信息并将有效信息规则化然后存入信息数据库漏洞数据库中的相应漏洞信息进行匹配如果匹配成功则产生报警信号同时给出其他相关信息 7 2 3漏洞检测系统的设计实例 7 2漏洞检测技术 2020 3 26 37 5 系统工作过程系统启动当内部扫描被选择以后内部扫描模块启动主机登录用户扫描模块主机登录密码文件扫描模块基于信任机制的隐患扫描模块网络服务的内部扫描模块和网络应用软件扫描模块并发执行发现漏洞则以分级的形式给出告警相关的漏洞信息以及配置建议由系统管理员进一步决定而网络应用软件扫描模块则进一步给出漏洞的补丁程序的标号位置等这一点与外部扫描模块相似 7 2 3漏洞检测系统的设计实例 7 2漏洞检测技术 2020 3 26 38 审计追踪是系统活动的流水记录该记录按事件从始至终的途径顺序检查审查和检验每个事件的环境及活动通过书面方式提供应负责任人员的活动证据以支持职能的实现审计追踪记录系统活动操作系统和应用程序进程和用户活动用户在操作系统中和应用程序中的活动借助适当的工具和规程审计追踪可以发现违反安全策略的活动影响运行效率的问题以及程序中的错误审计追踪即是正常系统操作的一种支持例如系统中断也是一种安全策略用于帮助系统管理员确保系统及其资源免遭黑客内部使用者或技术故障的伤害 7 3 1审计追踪概述 7 3审计追踪 2020 3 26 39 审计追踪提供了实现多种安全相关目标的一种方法这些目标包括个人职能事件重建入侵探测故障分析 7 3 2审计追踪的目的 7 3审计追踪 2020 3 26 40 系统可以同时维护多个审计追踪有两种典型的审计记录其一所有键盘敲击的记录通常称为击键监控其二面向事件的审计日志这些日志通常包括描述系统事件应用事件或用户事件的记录审计追踪应该包括足够的信息以确定事件的内容和引起事件的因素通常事件记录应该列有事件发生的时间和事件有关的用户识别码启动事件的程序或命令以及事件的结果日期和时间戳可以帮助确定用户到底是假冒的还是真实的采用标准格式记录信息 7 3 3审计追踪和日志的类型 7 3审计追踪 2020 3 26 41 7 3 3审计追踪和日志的类型 7 3审计追踪如记录信息格式 2020 3 26 42 1 击键监控 keystrokemonitoring 用于对计算机交互过程中的用户键盘输入和计算机的反应数据进行检查或记录击键监控通常被认为是审计追踪的一种特殊应用击键监控的例子包括检查用户敲入的字符阅读用户的电子邮件以及检查用户敲入的信息有些系统维护功能会记录用户的击键如果这些记录保存与之相关的用户鉴别码就可以协助管理员确定击键人从而达到击键监控的目的击键监控致力于保护系统和数据免遭非法入侵和合法用户的滥用入侵者的击键记录可以协助管理员评估和修复入侵造成的损失 7 3 3审计追踪和日志的类型 7 3审计追踪 2020 3 26 43 2 面向事件的审计日志 event orientedauditlogs 1 系统级审计追踪 2 应用级审计追踪 3 用户审计追踪 7 3 3审计追踪和日志的类型 7 3审计追踪 2020 3 26 44 为了确保审计追踪数据的可用性和正确性审计追踪数据需要受到保护如果不对日志数据进行及时审查规划和实施再好的审计追踪也会失去价值审计追踪应该根据需要如经常由安全事件触发定期审查自动实时审查或两者兼而有之系统管理员应该根据计算机安全管理的要求确定需要维护多长时间的审计追踪数据其中包括系统内保存和归档保存的数据与审计追踪实施有关的问题包括三方面其一保护审计追踪数据其二审查审计追踪数据其三用于审计追踪分析的工具 7 3 4审计追踪的实施 7 3审计追踪 2020 3 26 45 1 保护审计追踪数据限制访问在线审计日志计算机安全管理员和系统管理员或职能部门经理出于检查的目的可以访问而维护逻辑访问功能的安全和管理人员没有必要访问审计日志防止非法修改以确保审计追踪数据使用数字签名是实现这一目标的一种途径另一类方法是使用只读设备入侵者会试图修改审计追踪记录以掩盖自己的踪迹是审计追踪文件需要保护的原因之一使用强访问控制是保护审计追踪记录免受非法访问的有效措施当牵涉到法律问题时审计追踪信息的完整性尤为重要这可能需要每天打印和签署日志 7 3 4审计追踪的实施 7 3审计追踪 2020 3 26 46 2 审查审计追踪数据审计追踪的审查和分析可以分为在事后检查定期检查或实时检查审查人员应该知道如何发现异常活动他们应该知道怎么算是正常活动如果可以通过用户识别码终端识别码应用程序名日期时间或其它参数组来检索审计追踪记录并生成所需的报告那么审计追踪检查就会比较容易事后检查定期检查实时检查 7 3 4审计追踪的实施 7 3审计追踪 2020 3 26 47 3 审计追踪工具许多工具是用于从大量粗糙原始的审计数据中精选出有用信息尤其是在大系统中审计追踪软件产生的数据文件非常庞大用人工方式分析非常困难使用自动化工具就是从审计信息中将无用的信息剔除其它工具还有差异探测工具和攻击特征探测工具审计精选工具趋势差别探测工具攻击特征探测工具 7 3 4审计追踪的实施 7 3审计追踪 2020 3 26 48 1 自动工具2 内部控制审计3 安全检查表4 入侵测试 7 3 6审计的方法和工具 7 3审计追踪 2020 3 26 49 1 系统日志的检查2 自动工具3 配置管理4 电子新闻 7 3 7监控的方法和工具 7 3审计追踪 2020 3 26 50 入侵检测系统是网络信息系统安全的第二道防线是安全基础设施的补充本章在介绍了入侵检测系统的基本功能及使用范围等基本概念的基础上给出了入侵检测系统的基本原理对入侵检测系统的框架信息来源信息分析方法及基本技术进行了介绍按检测的监控位置划分将入侵检测系统分为三大类别即基于主机的检测系统基于网络的检测系统和分布式检测系统并对各类别的结构及其特点进行了概括最后介绍在Windows2000上配置snort入侵检测系统的方法 7 4小结 2020 3 26 51 一填空1 是检测和识别系统中未授权或异常现象 2 P2DR是什么含义 3 入侵检测的第一步是内容包括系统网络数据及用户活动的状态和行为 4 入侵检测系统通过和三种技术手段对收集到的有关网络系统数据及用户活动的状态和行为等信息进行分析 5 IDS的物理实现方式不同按检测的监控位置划分入侵检测系统可分为基于基于和基于 7 3审计追踪 2020 3 26 52 二简答题1 入侵检测所采用的主要技术 2 试述入侵检测方法的分类 3 IDS主要功能是什么 4 简述基于代理的网络入侵检测系统的实现原理 5 IDS在网络中部署的正确位置 6 什么是漏洞简述漏洞的危害 7 什么是漏洞扫描 8 审计追踪的目的是什么 7 3审计追踪 2020 3 26 53 引语在这一实验中将在Windows平台上建立入侵检测系统 snort Snort是一个轻便的网络入侵检测系统在运行的时只占用极少的网络资源对原有网络性能影响很小它可以完成实时流量分析和对网络上的IP包登录进行测试等功能能完成协议分析内容查找匹配是用来探测多种攻击的侵入探测器如缓冲区溢出秘密端口扫描 CGI攻击 SMB嗅探拇纹采集尝试等 Snort可以运行在 nix Win32平台上目的本实验在Win2000Server环境安装与配置入侵检测系统 snort 完成这一实验之后将能够安装 snort 服务使用 snort 服务实验五入侵检测系统snort配置 2020 3 26 54 实验必备熟悉入侵检测系统概念具备服务器运行Windows2000Server snort软件 snort是自由软件可以从Internet上免费下载要完整的安装入侵检测系统必须先从网上下载以下软件 Snort Win32MySQLBinary 2 1 2 www snort org SnortRules2 1 www snort org WinPcap3 1 winpcap polito it MySQLShareware3 23 58 PHP4 3 5 ADODB3 5 0 MySQLDatabaselPHP 实验五入侵检测系统snort配置 2020 3 26 55 任务1 安装SnortVersion1 9 1任务2 安装MySQLDatabase任务3 生成Win32MySQLdatabase任务4 在MySQL中生成Acid的库表任务5 测试Snort任务6 将Snort设置成为windowsNT4Server 2000 XP的一项服务任务7 安装PHP任务8 配置PHP运行在NTServer 2000 XP的IIS4 5环境下任务9 安装ADODB 一个高性能的数据库实验五入侵检测系统snort配置 2020 3 26 56 引语在这一实验中将在Windows平台上建立入侵检测系统 snort Snort是一个轻便的网络入侵检测系统在运行的时只占用极少的网络资源对原有网络性能影响很小它可以完成实时流量分析和对网络上的IP包登录进行测试等功能能完成协议分析内容查找匹配是用来探测多种攻击的侵入探测器如缓冲区溢出秘密端口扫描 CGI攻击 SMB嗅探拇纹采集尝试等 Snort可以运行在 nix Win32平台上目的本实验在Win2000Server环境安装与配置入侵检测系统 snort 完成这一实验之后将能够安装 snort 服务使用 snort 服务实验五入侵检测系统snort配置 2020 3 26 57 引语在这一实验中将在Windows平台上建立入侵检测系统 snort Snort是一个轻便的网络入侵检测系统在运行的时只占用极少的网络资源对原有网络性能影响很小它可以完成实时流量分析和对网络上的IP包登录进行测试等功能能完成协议分析内容查找匹配是用来探测多种攻击的侵入探测器如缓冲区溢出秘密端口扫描 CGI攻击 SMB嗅探拇纹采集尝试等 Snort可以运行在 nix Win32平台上目的本实验在Win2000Server环境安装与配置入侵检测系统 snort 完成这一实验之后将能够安装 snort 服务使用 snort 服务实验五入侵检测系统snort配置 2020 3 26 58 引语在这一实验中将在Windows平台上建立入侵检测系统 snort Snort是一个轻便的网络入侵检测系统在运行的时只占用极少的网络资源对原有网络性能影响很小它可以完成实时流量分析和对网络上的IP包登录进行测试等功能能完成协议分析内容查找匹配是用来探测多种攻击的侵入探测器如缓冲区溢出秘密端口扫描 CGI攻击 SMB嗅探拇纹采集尝试等 Snort可以运行在 nix Win32平台上目的本实验在Win2000Server环境安装与配置入侵检测系统 snort 完成这一实验之后将能够安装 snort 服务使用 snort 服务实验五入侵检测系统snort配置 2020 3 26 59 引语在这一实验中将在Windows平台上建立入侵检测系统 snort Snort是一个轻便的网络入侵检测系统在运行的时只占用极少的网络资源对原有网络性能影响很小它可以完成实时流量分析和对网络上的IP包登录进行测试等功能能完成协议分析内容查找匹配是用来探测多种攻击的侵入探测器如缓冲区溢出秘密端口扫描 CGI攻击 SMB嗅探拇纹采集尝试等 Snort可以运行在 nix Win32平台上目的本实验在Win2000Server环境安装与配置入侵检测系统 snort 完成这一实验之后将能够安装 snort 服务使用 snort 服务实验五入侵检测系统snort配置

展开阅读全文

信息系统安全检测技术.ppt

最新文档