电子商务安全技术第11章(2)网络攻击与防御

系统入侵的鉴别与防御(续)IntrusionIntrusion:Attemptingtobreakintoormisuseyoursystem.Intrudersmaybefromoutsidethenetworkorlegitimateusersofthenetwork.Intrusioncanbeaphysical,systemorremoteintrusion.入侵行为主要是指对系统资源的非授权使用，它可以造成系统数据的丢失和破坏、可以造成系统拒绝对合法用户服务等危害。传统的信息安全方法采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全入侵检测（IntrusionDetection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象IntrusionDetection入侵检测的定义对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性进行入侵检测的软件与硬件的组合便是入侵检测系统IDS:IntrusionDetectionSystem入侵检测系统IDS（IntrusionDetectionSystem）就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。监控室=控制中心后门保安=防火墙摄像机=探测引擎CardKey形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。FirewallServersDMZIDSAgentIntranet监控中心router攻击者发现攻击发现攻击发现攻击报警报警IDSAgent•访问控制•认证•NAT•加密•防病毒、内容过滤•流量管理常用的安全防护措施－防火墙一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙%c1%1c%c1%1cDirc:\防火墙的局限防火墙的局限性防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙本身的防攻击能力不够，容易成为被攻击的首要目标防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略网络安全工具的特点优点局限性防火墙可简化网络管理，产品成熟无法处理网络内部的攻击IDS实时监控网络安全状态误报警，缓慢攻击，新的攻击模式Scanner简单可操作，帮助系统管理员和安全服务人员解决实际问题并不能真正扫描漏洞VPN保护公网上的内部通信可视为防火墙上的一个漏洞防病毒针对文件与邮件，产品成熟功能单一IDS存在与发展的必然性网络攻击的破坏性、损失的严重性日益增长的网络安全威胁单纯的防火墙无法防范复杂多变的攻击为什么需要IDS关于防火墙网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得防火墙与IDS联动时间Dt-检测时间Pt-防护时间Rt-响应时间Pt-防护时间+在安全体系中，IDS是唯一一个通过数据和行为模式判断其是否有效的系统，防火墙就象一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子；访问控制系统可以不让低级权限的人做越权工作，但无法保证高级权限的做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限入侵检测系统的作用入侵检测系统的作用实时检测实时地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态，找出所需要的证据主动响应主动切断连接或与防火墙联动，调用其他程序处理入侵检测技术——IDS的作用入侵检测的特点一个完善的入侵检测系统的特点：经济性时效性安全性可扩展性入侵检测技术——IDS的优点实时检测网络系统的非法行为网络IDS系统不占用系统的任何资源网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高它既是实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证主机IDS系统运行于保护系统之上，可以直接保护、恢复系统通过与防火墙的联动，可以更有效地阻止非法入侵和破坏1980年Anderson提出：入侵检测概念，分类方法1987年Denning提出了一种通用的入侵检测模型独立性：系统、环境、脆弱性、入侵种类系统框架：异常检测器，专家系统90年初：CMDS™、NetProwler™、NetRanger™、ISSRealSecure™入侵检测起源（1）入侵检测的起源（2）审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程审计的目标：确定和保持系统活动中每个人的责任重建事件评估损失监测系统的问题区提供有效的灾难恢复阻止系统的不正当使用入侵检测的起源（3）计算机安全和审计美国国防部在70年代支持“可信信息系统”的研究，最终审计机制纳入《可信计算机系统评估准则》（TCSEC）C2级以上系统的要求的一部分“褐皮书”《理解可信系统中的审计指南》入侵检测的起源（4）1980年4月，JamesP.Anderson:《ComputerSecurityThreatMonitoringandSurveillance》（计算机安全威胁监控与监视）的技术报告，第一次详细阐述了入侵检测的概念他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作入侵检测的起源（5）从1984年到1986年，乔治敦大学的DorothyDenning和SRI/CSL的PeterNeumann研究出了一个实时入侵检测系统模型，取名为IDES（入侵检测专家系统）入侵检测的起源（6）1990，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM（NetworkSecurityMonitor）该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS入侵检测的起源（7）IDS物理结构IDS引擎IDS控制中心事件上报控制和策略下发IDS物理结构——探测引擎采用旁路方式全面侦听网上信息流，实时分析将分析结果与探测器上运行的策略集相匹配执行报警、阻断、日志等功能。完成对控制中心指令的接收和响应工作。探测器是由策略驱动的网络监听和分析系统。IDS物理结构——引擎的功能结构提供报警显示提供对预警信息的记录和检索、统计功能制定入侵监测的策略；控制探测器系统的运行状态收集来自多台引擎的上报事件，综合进行事件分析，以多种方式对入侵事件作出快速响应。这种分布式结构有助于系统管理员的集中管理，全面搜集多台探测引擎的信息，进行入侵行为的分析。IDS物理结构——控制中心IDS物理结构——控制中心的功能结构IDS的系统结构单机结构：引擎和控制中心在一个系统之上，不能远距离操作，只能在现场进行操作。优点是结构简单，不会因为通讯而影响网络带宽和泄密。分布式结构就是引擎和控制中心在2个系统之上，通过网络通讯，可以远距离查看和操作。目前的大多数IDS系统都是分布式的。优点不是必需在现场操作，可以用一个控制中心控制多个引擎，可以统一进行策略编辑和下发，可以统一查看申报的事件，可以通过分开事件显示和查看的功能提高处理速度等等。IDS的系统结构----分布式结构图IDS性能指标系统结构事件数量处理带宽定义事件事件响应自身安全多级管理事件库更新友好界面日志分析资源占用率抗打击能力日志分析所谓日志分析，就是按照事件的各种属性、源、目的地址分布等信息进行统计分析、数据检索等操作，提供各种分析的图形、表格信息，使用户十分清楚地了解所发生地总体态势，并方便地查找出所需要地事件。IDS的事件按照类型一般分为3大类：记录事件、可疑事件、非法事件。事件响应当IDS系统产生了一个事件后，不仅仅是报告显示该事件，还可以进行一系列操作对该事件进行实时处理。按照处理方法的不同，一般分为基本（被动）响应和积极（主动）响应2种。基本响应是IDS所产生的响应只是为了更好地通知安全人员，并不对该网络行为进行进行自动的阻断行为。基本响应主要由下面几种：事件上报：事件日志：Email通知：手机短信息：呼机信息：Windows消息：基本响应通过IDS的事件积极响应，IDS系统可以直接阻止网络非法行为，保障被保护系统的安全。阻断：通过发送扰乱报文，IDS系统破坏正常的网络连接，使非法行为无法继续进行。源阻断：通过记忆网络非法行为的源IP地址，在一段时间内阻断所有该地址的网络连接，使网络非法行为在其行动的初期就被有效地组织。联动：通过防火墙的联动，IDS系统可以彻底阻止网络非法行为基本响应考察IDS系统的一个关键性指标是报警事件的多少。一般而言，事件越多，表明IDS系统能够处理的能力越强。一般而言，这个数量在500－1000之间，应该与流行系统的漏洞数目相关。事件数量作为分布式结构的IDS系统，通讯是其自身安全的关键因素。这包含2个部分：一是身份认证，一是数据加密。身份认证是要保证一个引擎，或者子控制中心只能由固定的上级进行控制，任何非法的控制行为将予以阻止，如下图所示：通讯探测引擎控制中心探测引擎控制中心非法控制中心通讯实例事件响应基本（被动）响应积极（主动）响应连接申请方被连接方连接申请报文连接确认报文数据通讯报文通讯结束申请报文确认报文发送确认和连接报文数据通讯报文确认报文通讯结束申请报文TCP连接是经过3次握手建立连接、4次握手中断连接而完成的TCP连接的建立与拆除IDS设备开始报文后续报文防火墙监测网络报文设置命令隐蔽性：在作为一个安全的网络设备，IDS是不希望被网络上的其他系统发现，尤其不能让其他网络系统所访问。关闭所有可能的端口、修改系统的设置，阻止一切没有必要的网络行为、关闭所有网络行为，进行无IP地址抓包。定制操作系统自身安全分级管理的主要指标是管理层数目，至少具有主控、子控2级控制中心分级管理的另一个指标是各级系统的处理能力是否分档次多级管理IDS的一个主要特点，就是更新快，否则就会失去作用。目前由于internet网络的发展，一个蠕虫病毒可能一天就流行与全世界因此IDS事件的增加速度，必须能够跟上需要的发展事件库更新好的IDS系统必须有能力抵抗黑客的恶意信息的破坏IDS杀手：在短时间内发送大量的具有黑客特征的报文信息，使一个报文至少产生1个以上的IDS事件，造成IDS系统在1秒内生成成百上千的事件，最终“累死”IDS系统，同时掩护真正地黑客行为。IDS欺骗：目前地IDS系统主要使基于数据的模式匹配，因此，不少黑客程序通过把黑客特征信息分开，改变形式等措施，使IDS系统的数据匹配失效，从而躲过IDS的监控。如碎包抗打击能力IDS功能结构入侵检测是监测计算机网络和系统