7.-信息安全导论：第七讲-网络防御基础知识

大型主机与网络安全工程系赵洋2014-2015学年第2学期电子科技大学信息与软件工程学院本科教学课件信息安全导论第七讲网络防御基础知识电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第2页/共43页第七讲网络安全防御主要内容1网络防御概述2防火墙技术3入侵检测技术4网络防御新技术电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第3页/共43页第七讲网络安全防御网络防御概述网络防御技术是指针对网络入侵的防护、检测、反应等综合性技术网络防御是一个综合性的安全工程，不是几个网络安全产品能够完成的任务。防御需要解决多层面的问题，除了安全技术之外，安全管理也十分重要，实际上提高用户群的安全防范意识、加强安全管理所能起到效果远远高于应用几个网络安全产品。电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第4页/共43页第七讲网络安全防御防火墙防火墙一个由软件和硬件设备组合而成、在内部网络和外部网络之间构造的安全保护屏障，从而保护内部网络免受外部非法用户的侵入。简单地说，防火墙是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称。内部网络防火墙外部网络电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第5页/共43页第七讲网络安全防御防火墙防火墙设计目标有效地控制内外网之间的网络数据流量，做到御敌于外。防火墙的结构和部署考虑:防火墙必须部署在阻塞点上，内网和外网之间的所有网络数据流必须经过防火墙；阻塞点可以理解为连通两个或多个网络的唯一路径上的点，当这个点被删除后，各网络之间不在连通。只有符合安全政策的数据流才能通过防火墙。要求防火墙具有审计和管理的功能，具有可扩展性和健壮性。电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第6页/共43页第七讲网络安全防御防火墙防火墙的分类防火墙可以从应用对象和实现形式上进行划分从应用对象划分企业防火墙的主要作用是保护整个企业网络免受外部网络的攻击；个人防火墙则是保护个人计算机系统的安全。从实现形式划分硬件防火墙采用特殊的硬件设备，有较高性能，可做为独立的设备部署，企业防火墙多数是硬件防火墙；软件防火墙是一套安装在某台计算机系统上来执行防护任务的安全软件，个人防火墙都是软件防火墙电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第7页/共43页第七讲网络安全防御防火墙防火墙的实例一企业级硬件防火墙Checkpoint防火墙的实例二个人软件防火墙电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第8页/共43页第七讲网络安全防御防火墙防火墙主要作用网络流量过滤通过在防火墙上进行安全规则配置，可以对流经防火墙的网络流量进行过滤。网络监控审计防火墙记录访问并生成网络访问日志，提供网络使用情况的统计数据。支持NAT部署NAT（NetworkAddressTranslation）是网络地址翻译的缩写，是用来缓解地址空间短缺的主要技术之一支持DMZDMZ是英文“DemilitarizedZone”的缩写,它是设立在非安全系统与安全系统之间的缓冲区。支持VPN通过VPN，企业可以将分布在各地的局域网有机地连成一个整体。电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第9页/共43页第七讲网络安全防御防火墙典型企业防火墙应用电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第10页/共43页第七讲网络安全防御防火墙防火墙的局限性防火墙无法检测不经过防火墙的流量，如通过内部提供拨号服务接入公网的流量；防火墙不能防范来自内部人员恶意的攻击；防火墙不能阻止被病毒感染的和有害的程序或文件的传递，如木马；防火墙不能防止数据驱动式攻击，如一些缓冲区溢出攻击。电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第11页/共43页第七讲网络安全防御入侵检测系统入侵检测系统IDS（IntrusionDetectionSystem）一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全系统。一般认为防火墙属于静态防范措施，而入侵检测系统为动态防范措施，是对防火墙的有效补充。假如防火墙是一幢大楼的门禁，那么IDS就是这幢大楼里的监视系统。电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第12页/共43页第七讲网络安全防御入侵检测系统入侵检测起源1980年，JamesP.Anderson，《ComputerSecurityThreatMonitoringandSurveillance》此报告被公认是开山之作。1984-1986年，DorothyDenning和PeterNeumann，实时入侵检测系统模型，IDES(IntrusionDetectionExpertSystem)。电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第13页/共43页第七讲网络安全防御7.3入侵检测系统CIDF通用模型由IDWG（IntrusionDetectionWorkingGroup，IETF下属的研究机构）和CIDF（CommonIntrusionDetectionFramework，一个美国国防部赞助的开放组织）提出。电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第14页/共43页第七讲网络安全防御7.3入侵检测系统入侵检测几个重要概念事件：当网络或主机遭到入侵或出现较重大变化时，称为发生安全事件，简称事件。报警：当发生事件时，IDS通过某种方式及时通知管理员事件情况称为报警。响应：当IDS报警后，网络管理员对事件及时作出处理称为响应。误用：误用是指不正当使用计算机或网络，并构成对计算机安全或网络安全的造成威胁的一类行为。异常：对网络或主机的正常行为进行采样、分析，描述出正常的行为轮廓，建立行为模型，当网络或主机上出现偏离行为模型的事件时，称为异常。电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第15页/共43页•入侵特征：–也称为攻击签名（AttackSignature）或攻击模式（AttackPatterns），一般指对网络或主机的某种入侵攻击行为（误用行为）的事件过程进行分析提炼，形成可以分辨出该入侵攻击事件的特征关键字，这些特征关键字被称为入侵特征。•感应器：–置在网络或主机中用于收集网络信息或用户行为信息的软硬件，称为感应器。感应器应该布置在可以及时取得全面数据的关键点上，其性能直接决定IDS检测的准确率。第七讲网络安全防御7.3入侵检测系统电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第16页/共43页•信息收集：–入侵检测的第一步是信息收集，收集内容包括系统和网络的数据及用户活动的状态和行为。信息收集工作一般由由放置在不同网段的感应器来收集网络中的数据信息（主要是数据包）和主机内感应器来收集该主机的信息。•信息分析：–将收集到的有关系统和网络的数据及用户活动的状态和行为等信息送到检测引擎，检测引擎一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种入侵特征时，会通知控制台出现了安全事件。•结果处理：–当控制台接到发生安全事件的通知，将产生报警，也可依据预先定义的相应措施进行联动响应。如可以重新配置路由器或防火墙、终止进程、切断连接、改变文件属性等。第七讲网络安全防御7.3入侵检测系统入侵检测系统工作过程电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第17页/共43页•监测并分析用户、系统和网络的活动变化；•核查系统配置和漏洞；•评估系统关键资源和数据文件的完整性；•识别已知的攻击行为；•统计分析异常行为；•操作系统日志管理，并识别违反安全策略的用户活动。第七讲网络安全防御7.3入侵检测系统入侵检测主要功能电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第18页/共43页•以数据源为分类标准–主机型入侵检测系统第七讲网络安全防御7.3入侵检测系统7.3.2入侵检测系统分类电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第19页/共43页–网络型入侵检测系统第七讲网络安全防御7.3入侵检测系统电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第20页/共43页–基于误用检测（MisuseDetection）的IDS第七讲网络安全防御7.3入侵检测系统以检测技术为分类标准电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第21页/共43页基于异常检测（AnomalyDetection）的IDS第七讲网络安全防御7.3入侵检测系统电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第22页/共43页•入侵检测技术研究具有综合性、多领域性的特点，技术种类繁多，涉及到许多相关学科。•误用检测技术–专家系统–特征分析–状态转换分析–模型推理–完整性校验等第七讲网络安全防御7.3入侵检测系统7.3.3入侵检测技术电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第23页/共43页•异常检测是一种与系统相对无关、通用性较强的入侵检测技术。•异常检测的思想最早由Denning提出，即通过监视系统审计记录上系统使用的异常情况，可以检测出违反安全的事件。•通常异常检测都与一些数学分析方法相结合，但存在着误报率较高的问题。•异常检测主要针对用户行为数据、系统资源使用情况进行分析判断。•常见的异常检测方法主要包括统计分析、预测模型、系统调用监测以及基于人工智能的异常检测技术等。第七讲网络安全防御7.3入侵检测系统异常检测技术电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第24页/共43页•入侵诱骗是指用通过伪装成具有吸引力的网络主机来吸引攻击者，同时对攻击者的各种攻击行为进行分析，进而找到有效的应对方法。•具有通过吸引攻击者，从而保护重要的网络服务系统的目的。•常见的入侵诱骗技术主要有蜜罐（Honeypot）技术和蜜网（Honeynet）技术等。第七讲网络安全防御7.3入侵检测系统入侵诱骗技术电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第25页/共43页•入侵检测系统的响应技术可以分为主动响应和被动响应。–主动响应是系统自动阻断攻击过程或以其他方式影响攻击过程；–被动响应是报告和记录发生的事件。第七讲网络安全防御7.3入侵检测系统响应技术电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/4/26第26页/共43页•VLAN（VirtualLocalAreaNetwork）的中文名为“虚拟局域网”•1999年IEEE颁布的802.1Q协议标准草案–定义为：虚拟局域网VLAN是由一些局域网网段构成的与物理位置无关的逻辑组，而每个逻辑组中的成员具有某些相同的需求。–VLAN