《通信网络安全与防护》课件5-2.ppt

1、防火墙：定义、功能与不足；主要技术；功能与性能。安全隔离技术：基本概念；网闸的结构与工作原理；数据交换网的概念与结构；应用场景。防火墙不具备（）功能。A.包过滤B.查毒C.记录访问过程D.代理防火墙的工作层次是决定防火墙效率及安全的主要因素，下面叙述中正确的是（）。A.防火墙工作层次越高，工作效率越高，安全性越低B.防火墙工作层次越低，工作效率越低，安全性越低C.防火墙工作层次越高，工作效率越低，安全性越高D.防火墙工作层次越低，工作效率越高，安全性越高以下哪一种技术不用于不同安全等级间网络的安全隔离（）。A.防火墙B.网闸C.数据交换网D.安全网关主 要 内 容5.2 入侵检测系统定义、发展

2、、分类体系结构检测分析技术5.4 蜜罐与蜜网蜜罐定义蜜罐工作原理蜜罐分类蜜网的概念入侵（Intrusion）：是指对任何企图危及系统及资源的完整性、机密性和可用性的活动。入侵检测（Intrusion Detection）：即对入侵行为的发觉。是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”（参见GB/T18336），其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。5.2 入侵检测系统入侵检测系统（Intrusion Detection System，IDS）：进行入侵检测的软件或硬件的组合。5.2 入侵检测系统一个安全的入侵

3、检测系统必须具备以下特点：（1）可行性：入侵检测系统不能影响到系统的正常运行。（2）安全性：引入的入侵检测系统本身需要是安全的、可用的。（3）实时性：入侵检测系统是检测系统所受到的攻击行为的，必须及时地检测到这种威胁。（4）扩展性：入侵检测系统必须是可扩展的，入侵检测系统在不改变机制的前提下能够检测到新的攻击，为什么需要入侵检测？为什么需要入侵检测？随着计算机网络知识的普及，攻击者越来越多，知识日趋成熟，攻击工具和方法日趋复杂多样，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要（？防火墙的弱点）。网络的防卫必须采用一种纵深的、多样的手段。防火墙（防火墙（Firewall）-大门警卫大门

4、警卫 入侵检测系统（入侵检测系统（IDS）-摄像监控器摄像监控器5.2 入侵检测系统1.1.入侵检测的发展历史和现状入侵检测的发展历史和现状 1980年，James Anderson在技术报告Computer Security Threat Monitoring and Surveillance中引入了入侵检测这个概念。1983-1986美国斯坦福研究院进行了一项编号为6169的计划，即“审计跟踪系统的统计技术发展”。该计划通过行为特征来区分不同用户。这些统计过程将审计跟踪信息量减少了100倍，检测入侵企图的准确性很高。5.2 入侵检测系统 1986年Denning博士的论文An Intrus

5、ion Detection Model 是IDS的经典之作。随着IDS的研究和商业化发展，现有上百种入侵检测系统。我国较早研究和实现IDS的有北方计算中心的“网络安全监测预警系统”（19982002年，863项目）并首次实现了与防火墙的联动。5.2 入侵检测系统1.1.入侵检测的发展历史和现状入侵检测的发展历史和现状n第一代IDS（19941997）nIDS雏形，技术探讨阶段nSnort公开源代码n第二代IDS（19972000）n商品化IDSn百兆环境下的成熟应用n第三代IDS（20002002）n千兆网络环境的成功应用n第四代IDS（2003开始）n入侵管理型的IDS5.2 入侵检测系统1

6、.1.入侵检测的发展历史和现状入侵检测的发展历史和现状5.2 入侵检测系统1.1.入侵检测的发展历史和现状入侵检测的发展历史和现状入侵检测系统存在的问题：1)误报和漏报2)阻断攻击能力弱3)基于网络包捕获的IDS对加密数据无能为力4）对针对NIDS自身的DoS攻击防御能力弱5)维护比较难IDS的发展趋势:5.2 入侵检测系统1.1.入侵检测的发展历史和现状入侵检测的发展历史和现状1）体系结构的发展2）分析技术的改进-分析智能化，如神经网络技术、数据挖掘(Data Mining)等；3）响应策略的研究：如联动和报复等；4）与其它安全技术相结合：如IPS即将IDS与Firewall功能合二为一；长

7、远看，IDS作为独立的产品形态可能会消失，其功能会融合到其它设备之中（如防火墙、路由器和交换机等）。从数据来源和系统结构分类，入侵检测系统分为三类：基于主机的入侵检测系统-HIDS 基于网络的入侵检测系统-NIDS 分布式入侵检测系统（混合型）-DIDS5.2 入侵检测系统2.2.入侵检测系统的类型入侵检测系统的类型5.2 入侵检测系统2.2.入侵检测系统的类型入侵检测系统的类型审计数据基于主机的入侵检测系统审计数据过滤审计分析分析员基于主机的入侵检测系统过程的输入数据来源于系统的审计日志，它只能检测发生在这个主机上的入侵行为。所以，这种检测系统一般应用在系统服务器、用户机器和工作站上。其缺点

8、是对整个网络的保护有限5.2 入侵检测系统2.2.入侵检测系统的类型入侵检测系统的类型HIDS具有如下优点：能够更加准确地判断攻击是否成功：使用含有已发生事件信息的HIDS，它们可以比NIDS（基于网络的入侵检测系统）做出更加准确地判断；可监视特定的系统活动：如用户访问文件的活动、非正常行为、用户账号的变化等；HIDS可以检测到那些基于网络的系统察觉不到的攻击：例如，来自网络内部的攻击；由于基于主机的系统安装在企业的各种主机上，它们更适用于交换和加密的环境;检测和响应及时，价格更低。5.2 入侵检测系统2.2.入侵检测系统的类型入侵检测系统的类型通过在网段上对通信数据进行侦听，采集数据，分析可

9、疑现象，根据网络流量、协议分析、简单网络管理协议信息等检测入侵。放置在网络基础设施的关键区域，监控流向其他主机的流量。内部网络内部网络黑客黑客内部人员内部人员告警告警传输网络传输网络5.2 入侵检测系统2.2.入侵检测系统的类型入侵检测系统的类型5.2 入侵检测系统2.2.入侵检测系统的类型入侵检测系统的类型综合了基于主机和基于网络的IDS的功能。它通过收集、合并来自多个主机的审计数据和检查网络通信，能够检测出多个主机发起的协同攻击。由主机代理(Host Agent)、局域网代理(LAN Agent)和控制器(DIDS Director)三部分组成，。1.1.入侵检测系统体系结构的演变过程入侵

10、检测系统体系结构的演变过程5.2 入侵检测系统 单主机 二组件：收集组件和分析组件 分布式结构：l 分级组织模型l 网络组织模型l 混合组织模型命令和控制节点汇聚节点收集节点1.1.入侵检测系统体系结构的演变过程入侵检测系统体系结构的演变过程5.2 入侵检测系统分级体系结构1.1.入侵检测系统体系结构的演变过程入侵检测系统体系结构的演变过程5.2 入侵检测系统网状体系结构 将收集、汇聚和命令控制功能集成到一个驻留在每个监控系统上的组件中。命令和控制节点汇聚节点收集节点1.1.入侵检测系统体系结构的演变过程入侵检测系统体系结构的演变过程5.2 入侵检测系统混合体系结构2.2.通用入侵检测框架通用

11、入侵检测框架为了解决IDS之间的互操作性，国际上的一些研究组织开展了标准化工作，目前对IDS进行标准化工作的有两个组织。IETF（Internet Engineering Task Force，Internet工程任务组）下属的IDWG（Intrusion Detection Work Group)CIDF（Common Intrusion Detection Framework，通用入侵检测框架5.2 入侵检测系统5.2 入侵检测系统2.2.通用入侵检测框架通用入侵检测框架输出：高级中断事件输出：事件的存储信息输出：反应或事件输出：原始或低级事件事件生成器响应单元事件分析器事件数据库目录服务

12、器输入：原始事件源CIDFCIDF定义的体系结构定义的体系结构3.3.现有现有IDSIDS体系结构的局限性体系结构的局限性(1)缺乏有效性(2)有限的灵活性(3)单点失效(4)有限的响应能力(5)缺乏对入侵检测关键组件的保护(6)缺乏有效的协同5.2 入侵检测系统1.1.基于异常的入侵检测方法基于异常的入侵检测方法（行为）（行为）5.2 入侵检测系统 异常检测（Anomaly Detection）：特点是通过对系统异常行为的检测，可以归结出未知攻击模式。异常检测的关键问题在于正常使用模式的建立，以及如何通过正常使用模式对当前的系统行为进行比较，从而判断出与正常模式的偏离程度。“模式”通常由一系

13、列的系统参量来定义。“参量”，是指系统行为在特定方面的衡量标准。每个参量都对应于一个门限值（Threshold）或对应于一个变化区间。5.2 入侵检测系统1.1.基于异常的入侵检测方法基于异常的入侵检测方法（行为）（行为）基于异常的入侵检测方法首先给系统对象创建一个统计描述，统计正常使用时的一些测量属性。测量属性的平均值将用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高。与其他技术相结合的异常检测方法l 基于统计分析的异常检测l 基于数据挖掘的异常检测l 基于神经网络的异常检测 误用（Misuse）：

14、指“可以用某种规则、方式、模型表示的入侵攻击或其他安全相关行为”。基于误用的入侵检测（Misuse Detection）技术：通过某种方式预先定义入侵行为，然后监视系统的运行，井根据所建立的这种入侵模式来检测入侵，并从中找出符合预先定义规则的入侵行为。5.2 入侵检测系统2.2.基于基于误用误用的入侵检测方法的入侵检测方法（规则）（规则）审计数据误用检测技术攻击状态修正现有规则添加新的规则时间信息规则匹配？5.2 入侵检测系统2.2.基于基于误用误用的入侵检测方法的入侵检测方法（规则）（规则）该模型通过使用某种模式或信号标识某种模式或信号标识来表示攻击，进而发现相同的攻击。这种检测技术可以检测

15、已知的许多甚至全部攻击行为，但是对于未知的攻击手段却无能为力。基于误用的入侵检测的主要方法：基于模式匹配 基于专家系统 基于模型 按键监视5.2 入侵检测系统2.2.基于基于误用误用的入侵检测方法的入侵检测方法（规则）（规则）3.3.入侵检测入侵检测常用的误用检测技术常用的误用检测技术1 1）模式匹配）模式匹配5.2 入侵检测系统间隔持续时间存在模式序列模式规则模式其他模式匹配模式的层次关系攻击攻击攻击特征攻击特征模式匹配模式匹配5.2 入侵检测系统3.3.入侵检测入侵检测常用的误用检测技术常用的误用检测技术 协议匹配协议匹配5.2 入侵检测系统3.3.入侵检测入侵检测常用的误用检测技术常用的

16、误用检测技术1 1）模式匹配）模式匹配alert tcp$EXTERNAL_NET any一$HOME_NET any（msg：“SCAN NULL”；flags：0；seq：0；ack：0；reference：arachnids，4；classtype：attempted-recon；sid：623；rev:1；)字符串匹配字符串匹配5.2 入侵检测系统3.3.入侵检测入侵检测常用的误用检测技术常用的误用检测技术1 1）模式匹配）模式匹配alert tcp$EXTERNAL_NET any一$HTTP_SERVERS$HTTP_PORTS（msg：“WEB_ATTACKS ps comman

17、d attempt”；flow：to_Server，etablished；uricontent：“/bin/ps”；nocase；sid：1328；lasstype：web-application-attack；rev：4；)长度匹配长度匹配5.2 入侵检测系统3.3.入侵检测入侵检测常用的误用检测技术常用的误用检测技术1 1）模式匹配）模式匹配alert tcp$EXTERNAL_NET any一$HTTP_SERVERS$HTTP_PORTS(msg:“WEB-IIS ISAPI.ida attempt”；uficontent：“.ida?”；nocase；dsize：239；low：to

18、_server,established；reference：arachnids，552；classtype：web-application-attack；reference：bugtraq，1065；reference:cve,CAN-2000-0071；sid：1243；rev：6；)累积匹配或增量匹配：通过对某些事件出现的量（次数或单位时间次数）来产生新的事件。5.2 入侵检测系统3.3.入侵检测入侵检测常用的误用检测技术常用的误用检测技术1 1）模式匹配）模式匹配 逻辑匹配或集合匹配：一些有更强事件检测能力的IDS，通过对不同类型的事件组合来进行判断，从而获得新的事件。单纯模式匹配方法的

19、根本问题是把网络数据包看作无序随意的字节流，造成检测效率低下。5.2 入侵检测系统3.3.入侵检测入侵检测常用的误用检测技术常用的误用检测技术2 2）协议分析）协议分析 协议分析在攻击检测中充分利用网络通信中标准的、层次化的、格式化的网络数据包结构，进行逐层分析，然后再使用模式匹配方法，提高检测效率。5.2 入侵检测系统3.3.入侵检测入侵检测常用的误用检测技术常用的误用检测技术2 2）协议分析）协议分析0020 DAD3 C580 5254 AB27 C004 0800 4500 0034 07BA 4000 4006 A0F6 CA72 A518 CA72 5816 040B 0050 2

20、3E5 241E 50BB 0780 8010 9310 BD0A 0000 0101 080A 0002 259E 01A3 C881捕获的数据包捕获的数据包匹配攻击特征字符串“GET/cgi-bin/./phf”示例示例需要多次匹配，效率低下5.2 入侵检测系统3.3.入侵检测入侵检测常用的误用检测技术常用的误用检测技术2 2）协议分析）协议分析通过协议分析，可以大大减少模式匹配计算量，且提高精度。通过协议分析，可以大大减少模式匹配计算量，且提高精度。0020 DAD3 C580 5254 AB27 C004 0800 4500 0034 07BA 4000 4006 A0F6 CA72

21、A518 CA72 5816 040B 0050 23E5 241E 50BB 0780 8010 9310 BD0A 0000 0101 080A 0002 259E 01A3 C881以太网类型字段IP协议字段TCP目的端口号字段n蜜罐主机是一种资源，它被伪装成一个实际目标。蜜罐主机希望人们去攻击或入侵它。n目的n 分散攻击者的注意力 n 收集同攻击和攻击者有关的信息。5.4 蜜罐与蜜网 n应用于工作环境中的计算机经常:缺少警告功能以致于系统的操作者不能意识到遭受了攻击；记录机制存在局限性；处理大量的数据使得电脑黑客留下的任何证据很快就丢失了；由于操作上的原因不能离线分析。价值 n蜜罐的价

22、值在于被探测、攻击和损害。n默默地收集尽可能多的同入侵有关的信息，例如攻击模式，使用的程序，攻击意图和黑客社团文化等等。n帮助我们明白黑客社团以及他们的攻击行为，以便更好的防御安全威胁。5.4 蜜罐与蜜网 5.4 蜜罐与蜜网 为了使蜜罐对入侵者更具有吸引力，就要采用各种欺骗手段，例如在欺骗主机上模拟一些操作系统或各种漏洞、在一台计算机上模拟整个网络、在系统中产生仿真网络流量等。通过这些方法，使蜜罐更像一个真实的工作系统，诱骗入侵者上当。数据控制就是对黑客的行为进行牵制，规定他们能做或不能做某些事情。当系统被侵入时，应该保证蜜罐不会对其他的系统造成危害。2数据控制技术1网络欺骗技术5.4 蜜罐与

23、蜜网 蜜罐监控者只要记录下进、出系统的每个数据包，就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源，但日志文件很容易被攻击者删除，所以通常的办法就是让蜜罐向在同一网络上但防御机制更为完善的远程系统日志服务器发送日志备份。要避免入侵检测系统产生大量的警报，因为这些警报中有很多是试探行为，并没有实现真正的攻击，所以报警系统需要不断升级，需要增强与其他安全工具和网管系统的集成能力。4报警技术3数据收集技术5.4 蜜罐与蜜网 所有的监控操作必须被控制，如果IDS或嗅探器检测到某个访问可能是攻击行为，不是禁止，而是将此数据复制一份，同时将入侵行为重定向到预先配置好的蜜罐机器上。这

24、样就不会攻击到要保护的真正的资源，这就要求诱骗环境和真实环境之间切换不但要快而且要真实再现。5入侵行为重定向技术从应用层面分为两种类型的蜜罐：n产品型蜜罐（production）：用于帮助降低组织的安全风险；n研究型蜜罐（research）：意味着收集尽可能多的信息。5.4 蜜罐与蜜网 交互等级（level of involvement）n蜜罐主机的一个重要特性就是其交互等级。n交互等级：是指攻击者可以同蜜罐主机所在的操作系统的交互程度。n例如，一条简单的命令：netcat l p 80 /log/honeypot/port_80.log，就可以侦听80号端口（HTTP），并记录所有进入的通信

25、到一个日志文件当中。5.4 蜜罐与蜜网 5.4 蜜罐与蜜网 从技术层面，蜜罐可分为：n低交互蜜罐n中交互蜜罐n高交互蜜罐5.4 蜜罐与蜜网 5.4 蜜罐与蜜网 低交互蜜罐中交互蜜罐高交互蜜罐5.4 蜜罐与蜜网 蜜罐主机的布置n蜜罐主机可以放置在：防火墙外面（Internet）DMZ（非军事区）防火墙后面（Intranet）n每种摆放方式都有各自的优缺点。5.4 蜜罐与蜜网 n蜜网（Honey net）是一个网络系统，而并非某台单一的主机，这一网络系统是隐藏在防火墙后面的，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据可供我们研究分析入侵者们使用的工具、方法及动机。5.4 蜜罐与蜜网 u

26、蜜网由许多连在一起能收集和交换信息的蜜罐组成。u所有进出的数据都受到关注、捕获及控制。u在一个Honeynet中，可以使用各种不同的操作系统及设备，这样，建立的网络环境看上去会更加真实可信，同时还有不同的系统平台上面运行着不同的服务。u可以使用不同的工具以及不同的策略允许某些入侵者仅仅把目标定于几个特定的系统漏洞上，而这种多样化的系统，就可能更多地揭示出入侵者的一些特性。5.4 蜜罐与蜜网 5.4 蜜罐与蜜网 设计一个有效的蜜网，要考虑以下四个关键因素：u有效地收集尽可能多的入侵者信息及攻击行为数据；u收集到的信息能存放在安全的地方；u信息的收集过程不被入侵者发觉；u蜜网中的计算机不能被人侵者作为攻击蜜网外的计算机的跳板。5.4 蜜罐与蜜网 利用Snort软件安装利用HoneyD软件安装5.4 蜜罐与蜜网 本章小结防火墙边界防护定义、功能与不足主要技术功能与性能安全隔离数据交换基本概念；网闸的结构与工作原理；数据交换网的概念与结构；应用场景。入侵检测系统内部防御定义、发展、分类体系结构检测分析技术蜜罐与蜜网主动防御蜜罐定义蜜罐工作原理蜜罐分类蜜网的概念