第网络防御技术

1华东理工大学计算机科学与工程系3.1安全架构3.2密码技术3.3防火墙技术3.4杀毒技术3.5入侵检测技术3.6身份认证技术3.7VPN技术3.8反侦查技术3.9蜜罐技术第3章网络防御技术3.10可信计算3.11访问控制机制3.12计算机取证3.13数据备份与恢复3.14服务器安全防御3.15内网安全管理3.16PKI网络安全协议3.17信息安全评估3.18网络安全方案设计2华东理工大学计算机科学与工程系3.5入侵检测技术3华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义311.4入侵检测系统11.4.1入侵检测系统概述11.4.2基于主机的入侵检测系统11.4.3基于网络的入侵检测系统11.4.4典型的入侵检测产品介绍4华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义411.4.1入侵检测系统概述入侵检测系统(IntrusionDetectionSyetem，简称IDS)，是一种能对潜在的入侵行为作出记录和预测的智能化、自动化的软件或硬件系统。入侵检测技术作为一种主动防御技术，是信息安全技术的重要组成部分，是传统计算机安全机制的重要补充。入侵检测系统主要通过监控网络、系统的状态、行为以及系统的使用情况，来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。5华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义5入侵检测系统概述（2）当IDS发现入侵行为时，可以提取入侵的行为特征，从而编制安全规则并分发给防火墙，与防火墙联动阻断攻击行为的再次发生。基于IDS和防火墙的保护方案见下页图所示。6华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义6IDS与防火墙的安全联动HostCHostDHostBHostA受保护网络InternetIDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等防火墙7华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义7入侵检测系统概述（3）入侵检测系统的组成主要有采集模块、分析模块和管理模块。采集模块主要用来搜集数据，供入侵检测系统进行分析；分析模块完成对数据的解析，给出怀疑值或作出判断；管理模块主要功能是作决策和响应。为了更好地完成入侵检测系统的功能，系统一般还有数据预处理模块、通信模块、响应模块和数据存储模块等。根据数据来源的不同，入侵检测系统常被分为基于主机的入侵检测系统和基于网络的入侵检测系统。8华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义811.4.2基于主机的入侵检测系统基于主机的入侵检测系统的数据源来自主机，如日志文件、审计记录等。基于主机的入侵检测系统的检测范围较小，只限于一台主机内。基于主机的入侵检测系统不但可以检测出系统的远程入侵，还可以检测出本地入侵但是由于主机的信息多种多样，不同的操作系统，信息源的格式就不同，使得基于主机的入侵检测系统实现较为困难。9华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义9基于主机的入侵检测系统(2)基于主机入侵检测系统检测的目标主要是主机系统和系统本地用户。检测原理：根据主机的审计的数据和系统的日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上。基本过程如下页图所示。10华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义10基于主机的入侵检测系统的结构攻击模式库配置系统库入侵检测器应急措施主机系统报警审计记录系统操作11华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义11基于主机的入侵检测系统(3)监视特定的系统活动监视用户和文件访问活动，包括文件访问、改变文件权限、试图建立新的可执行文件、关键的系统文件和可执行文件的更改、试图访问特许服务。可以监督所有用户登录及退出登录的情况，以及每位用户在连接到网络以后的行为。12华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义12基于主机的入侵检测系统(3)能够检测到针对主机系统的攻击它可以检测到那些基于网络的入侵检测系统检测不到的攻击。例如，对重要服务器的键盘攻击不经过网络，所以它可以躲开基于网络的入侵检测系统，然而却会被基于主机的入侵检测系统发现并拦截。13华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义13基于主机的入侵检测系统(3)适用于交换及加密环境交换设备可将大型网络分成许多的小型网段加以管理。所以从覆盖足够大的网络范围的角度出发，很难确定配置基于网络的入侵检测系统的最佳位置。基于主机的入侵检测系统可安装在所需要的重要主机上，在交换的环境中具有更高的能见度。某些加密方式也对基于网络的入侵检测提出了挑战。根据加密方式在协议堆栈中的位置的不同，基于网络的入侵检测系统可能对某些攻击没有反应，而基于主机的入侵检测系统没有这方面的限制。14华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义14基于主机的入侵检测系统(3)不要求额外的硬件基于主机的入侵检测系统存在于现有的网络结构之中，包括文件服务器、Web服务器及其他共享资源，它们不需要在网络另外安装登记、维护及管理额外的硬件设备，成本较低。15华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义15基于主机的入侵检测系统的优点基于主机的入侵检测系统的优点是：更好的辨识分析对特殊主机事件的紧密关注及称本低监视特定的系统活动能够检测到基于网络的系统检测不到的攻击适用于交换及加密环境不要求额外的硬件16华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义16基于主机的入侵检测系统(4)基于主机的IDS依赖于审计数据或系统日志准确性和完整性以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵，则基于主机检测系统就暴露出其弱点。特别是在现在的网络环境下，单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。17华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义17基于主机的入侵检测系统的缺点这主要表现在以下四个方面：(1).主机的审计信息弱点，如易受攻击，入侵者可通过使用某些系统特权或调用比审计本身更低的操作来逃避审计。(2).不能通过分析主机审计记录来检测网络攻击（域名欺骗、端口扫描等）。(3).IDS的运行或多或少影响服务器的性能。(4).Host-BasedIDS只能对服务器的特定的用户、应用程序执行动作、日志进行检测，所能检测到的攻击类型受到限制。18华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义1811.4.3基于网络的入侵检测系统基于网络入侵检测系统通过实时监视并分析网络的所有通信业务检测入侵。基于网络的入侵检测系统的数据源是网络流量，检测范围是整个网络，能检测出远程入侵，对于本地入侵它是看不到的。由于网络数据比较规范（TCP/IP协议的数据包），所以基于网络的入侵检测系统比较易于实现。19华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义19基于网络的入侵检测系统结构网络安全数据库分析引擎器安全配置构造器网络接口探测器探测器分析结果20华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义20探测器由过滤器、网络接口引擎器以及过滤规则决策器组成。功能：按一定规则从网络获取与安全事件相关的数据包，传递至分析引擎器进行安全分析判断。21华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义21分析引擎器将由探测器上接收到的包结合网络安全数据库进行分析。将分析结果传递给配置构造器。分析引擎器是它的一个重要部件，用来分析网络数据中的异常现象或可疑迹象，并提取出异常标志。分析引擎器的分析和判断决定了具有什么样特征的网络数据流是非正常的网络行为。22华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义22安全配置构造器根据分析引擎器结果构造出探测所需的配置规则。23华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义23基于网络的入侵检测系统(2)基于网络的入侵检测系统通常将主机的网卡设成混杂模式(promiscuousmode)，实时监视并分析通过网络的所有通信业务。基于网络的入侵检测系统担负着保护整个网段的任务，它的分析引擎器常使用4种技术来识别攻击标志。模式、表达式或字节匹配频率或穿越阀值次要事件的相关性统计学意义上的非常规现象检测24华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义24基于网络的入侵检测系统的特性实施成本较低全面而准确的识别攻击特征攻击者不易转移证据实时检测和响应检测未被成功的攻击和不良的意图操作系统无关性25华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义25基于网络的入侵检测系统的特性服务器独立性：基于网络的入侵检测监视通信流量而不影响服务器的平台的变化和更新；配置简单：基于网络的入侵检测环境只需要一个普通的网络访问接口即可；众多的攻击标识：基于网络的入侵检测探测器可以监视多种多样的协议攻击和特定环境的攻击。26华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义2611.4.4典型的入侵检测产品介绍SnortISSRealSecureWatcher27华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义27SnortSnort是一个免费、开放源代码的基于网络的入侵检测系统，它具有很好的配置性和可移植性。Snort最初是设计给小网络段使用的，常被称为轻量级的入侵检测系统。现在Snort既可用于Unix/Linux平台，也有适用于Windows操作系统的版本，并且已经有了方便的图形用户界面。扩展性很好：基于规则的体系结构使Snort非常灵活，设计者使其很容易插入和扩充新的规则——就能对抗那些新出现的威胁。28华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义28SnortSnort具有实时数据流量分析和日志IP网络数据包的能力，能截获网络中的数据包并记录数据包日志。日志格式既可以是Tcpdump式的二进制格式，也可以解码成ASCII字符形式，还可以通过数据库输出插件记入数据库。Snort能够对多种协议进行协议解析，对内容进行搜索和匹配。它能够检测多种方式的攻击和探测。Snort的报警机制很丰富，有多种方式。利用XML插件，Snort可以使用SNML（SimpleNetworkMarkupLanguage，简单网络标记语言），把日志存放到一个文件或者适时报警。29华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义29ISSRealSecureInternetSecuritySystem公司的RealSecure是一种实时监控的软件，它包含控制台、网络引擎和系统代理三部分组成。网络引擎基于C类网段，安装在一台单独使用的计算机上，通过捕捉网段上的数据包，分析包头和数据段内容，与模板中定义的事件手法进行匹配，发现攻击后采取相应的安全动作；系统代理基于主机，安装在受保护的主机上，通过捕捉访问主机的数据包，分析包头和数据段内容，与模板中定义的事件手法进行匹配，发现攻击后采取相应的安全动作。控制台是安全管理员的管理界面，它可同时与多个网络引擎和系统代理连接，实时获取安全信息。30华东理工大学计算机科学与工程系2019/11/24网络入侵与防范讲义30WatcherWatcher是一个典型的网络入侵检测工具，它能检测所有通过网络的信息包，并且将它们当成恶意的攻击行为记录在syslog中，网络管理员根据记录下来的日志可以分析判断系统是否正在遭受到恶意攻击。它是一个完全免费