1、网络安全与网络安全与IDS组员:程芸芸 谢瑶瑶 王小雪主讲:谢瑶瑶Company Logo学习导航学习导航v网络安全网络安全 什么是网络安全 影响网络安全的因素 入侵基本流程vIDS(入侵检测系统)(入侵检测系统) 什么是IDS IDS的分类及其布曙 IDS系统组成 IDS工作流程vIDS的未来的未来v IDS存在的不足v IPS(入侵防御系统)Company Logo网络安全与网络安全与IDSIDS的未来的未来 入侵检测系统入侵检测系统IDS 网络安全概述网络安全概述 Company Logo网络安全网络安全网络安全网络安全二二. .影响网络影响网络安全的因素安全的因素一一. .什么是网什么
2、是网络安全络安全三三. .常见的入常见的入侵方法侵方法 Company Logo一一.什么是网络安全什么是网络安全v 网络安全网络安全: 是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统能连续可靠正常地运行,网络服务不中断。v 网络安全应具有以下五个方面的特征:网络安全应具有以下五个方面的特征: 保密性:保密性: 信息不泄露给非授权用户、实体或过程,或供其利用的特性。 完整性:完整性: 数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性:可用性: 可被授权实体访问并按需求使用的特性。即当需
3、要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击; 可控性:可控性:对信息的传播及内容具有控制能力。 可审查性:可审查性: 出现安全问题时提供依据与手段构建网络安全系统,一方面由于要进行认证、加密、监听,分析、记录等工作,由此影响网络效率,并且降低客户应用的灵活性;另一方面也增加了管理费用。Company Logo二二.影响网络安全的因素影响网络安全的因素v网络结构因素网络结构因素 网络基本拓扑结构有3种:星型、总线型和环型。一个单位在建立自己的内部网之前,各部门可能已建 造了自己的局域网,所采用的拓扑结构也可能完全不同。在建造内部网时,为了实
4、现异构网络间信息的通信,往往要牺牲一些安全机制的设置和实现,从而提出更高的网络开放性要求。 v网络协议因素网络协议因素 在建造内部网时,用户为了节省开支,必然会保护原有的网络基础设施。另外,网络公司为生存的需要,对网络协议的兼容性要求越来越高,使众多厂商的协议能互联、兼容和相互通信。这在给用户和厂商带来利益的同时,也带来了安全隐患。如在一种协议下传送的有害程序能很快传遍整个网络。 v地域因素地域因素 由于内部网Intranet既可以是LAN也可能是WAN(内部网指的是它不是一个公用网络,而是一个专用网络),网络往往跨越城际,甚至国际。地理位置复杂,通信线路质量难以保证,这会造成信息在传输过程中
5、的损坏和丢失,也给一些”黑客”造成可乘之机。 v用户因素用户因素 企业建造自己的内部网是为了加快信息交流,更好地适应市场需求。建立之后,用户的范围必将从企业员工扩大到客户和想了解企业情况的人。用户的增加,也给网络的安全性带来了威胁,因为这里可能就有商业间谍或“黑客” v主机因素主机因素 建立内部网时,使原来的各局域网、单机互联,增加了主机的种类,如工作站、服务器,甚至小型机、大中型机。由于它们所使用的操作系统和网络操作系统不尽相同,某个操作系统出现漏洞(如某些系统有一个或几个没有口令的账户),就可能造成整个网络的大隐患。 Company Logo如何保证网络信息安全如何保证网络信息安全v加密技
6、术加密技术 对称加密 非对称加密v认证技术认证技术 数字签名 数字证书v使用网络安全设备使用网络安全设备 防火墙 IDS IPSCompany Logo常见入侵常见入侵v主要有四种攻击方式中断、截获、修改和伪造。主要有四种攻击方式中断、截获、修改和伪造。 v中断中断 是以可用性作为攻击目标,它毁坏系统资源,使网络不可用。如Dos拒绝服务,synflood、 arp欺骗、land attack、死亡之PING、 v截获截获 是以保密性作为攻击目标,非授权用户通过某种手段获得对系统资源的访问。 如sniffer,IDS本身就是一个Snifferv修改修改 是以完整性作为攻击目标,非授权用户不仅获得
7、访问而且对数据进行修改。 如Tcp会话劫持v伪造伪造 是以完整性作为攻击目标,非授权用户将伪造的数据插入到正常传输的数据中。Company Logo基本入侵流程基本入侵流程发现漏洞实施攻击收集目标机信息清理痕迹留下后门社会工程学主机扫描缓冲区溢出DoS存在什么漏洞替换系统文件安装木马或远程控制软件更改防火墙设置清理系统日志Company Logo缓冲区溢出缓冲区溢出Company Logo缓冲区溢出缓冲区溢出Company Logo网络安全与网络安全与IDSIDS的未来的未来 入侵检测系统入侵检测系统IDS 网络安全概述网络安全概述 Company Logo网络安全网络安全IDS(入侵检测系统
8、)(入侵检测系统)二二. IDS的分的分类及布曙类及布曙一一. . IDSIDS简介简介三三. . IDS系统系统组成组成四四. . IDS工作工作流程流程Company Logo一、什么是一、什么是IDSv入侵检测:(Intrusion DetectionIntrusion Detection)通过从计算机网络或计算机系统中的若干关键点收集信)通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络系统中是否有违反安全策略的行为和遭到袭击息并对其进行分析,从中发现网络系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。的迹象的一种安全技术。v入侵检测系统的发展
9、概况19801980年,年,James P. AndersonJames P. Anderson的的计算机安全威胁监控与监视计算机安全威胁监控与监视第一次详细阐述了第一次详细阐述了入侵检测的概念入侵检测的概念1990年,加州大学戴维斯分校的年,加州大学戴维斯分校的L.T.Heberlein等人开发出了等人开发出了NSM,入侵检测系统,入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基主机的和基主机的IDS从从20世纪世纪90年代到年代到21世纪初,入侵监测系统的研发呈现出百家争鸣的繁荣局面,世纪初,入侵监测系统的研发呈现出
10、百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。并在智能化和分布式两个方向取得了长足的进展。Company LogoInternetIDS 1IDS 2IDS 3IDS 4子网子网 A子网子网 B交换机交换机带主机带主机IDS感应感应器的服务器器的服务器服务器服务器Company Logo二二. IDS的分类及布曙的分类及布曙v根据检测对象的不同:根据检测对象的不同: 基于主机的入侵检测系统 基于网络入侵检测 分布式的入侵检测系统v按照其采用的方法:按照其采用的方法: 基于行为的入侵检测系统 基于模型推理的入侵检测系统v按照检测时间分为:按照检测时间分为: 实时入侵检测系统 事
11、后入侵检测系统Company Logo基于主机的入侵检测系统基于主机的入侵检测系统v以系统日志、应以系统日志、应用程序日志等作用程序日志等作为数据源为数据源 v主机型入侵检测主机型入侵检测系统保护的一般系统保护的一般是所在的系统是所在的系统 Company Logo基于主机的入侵检测系统基于主机的入侵检测系统v网络监测:网络监测: 即在数据包真正抵达主机之前对试图进入主机的数据包进行监测,以避免其进入系统后可能造成的损害。这点与基于网络的ID不同,因为它仅仅对已经抵达主机的数据进行监测,而后者则是对网络上的流量进行监控。如次一来就不需要把网卡设置成混杂模式了。v主机监测:主机监测: 任何入侵企
12、图都会在监测文件、文件系统、登录记录或其他主机上的文件中留下痕迹,系统管理员们可以从这些文件中找到相关痕迹。因此可以通过监测文件系统的变化来发现入侵。一旦系统被攻陷,入侵者就会立即开始更改系统的文件,或者更改一些设置以废掉IDS的功能。Company Logo一个基于主机的入侵检测系统一个基于主机的入侵检测系统 LIDSv文件保护:文件保护: 保护硬盘上任何类型的重要文件和目录,如/bin、/sbin、/usr/bin、/usr/sbin、/etc/rc.d等目录和其下的文件,以及系统中的敏感文件,如passwd和shadow文件,v检测:检测: LIDS能检测到扫描并报告系统管理员。 LID
13、S还可以检测到系统上任何违反规则的进程。 v响应:响应: 来自内核的安全警告,当有人违反规则时, LIDS会在控制台显示警告信息,将非法的活动细节记录到受LIDS保护的系统log文件中。 LIDS还可以将log信息发到你的信箱中。LIDS还可以马上关闭与用户的会话。Company Logo基于网络的入侵检测系统基于网络的入侵检测系统v 数据源是网络上的数据包数据源是网络上的数据包 v 根据网络的拓扑结构的不同,入侵根据网络的拓扑结构的不同,入侵检测系统的监听端口可以接在共享检测系统的监听端口可以接在共享媒质的集线器或交换机的镜像端口媒质的集线器或交换机的镜像端口(SpanPortSpanPor
14、t)上、或专为监听所增)上、或专为监听所增设的分接器(设的分接器(TapTap)上。)上。v 是一个典型的是一个典型的sniffersniffer 设备设备v 内置的入侵知识库内置的入侵知识库 服务器核心交换机IDSCompany Logo典型的基于网络的入侵检测系统典型的基于网络的入侵检测系统 Snortv Snort: 是一个用C语言开发的开源网络入侵检测系统,目前,Snort已发展成为一个集多平台,实时流量分析,网络IP数据包记录等特性的强大的网络入侵检测/防御系统。v Snort可以三个模式运行:可以三个模式运行: 侦测模式(Sniffer Mode):此模式下,Snort将在捕获网段
15、内的所有数据包,并显示在屏幕上。 封包纪录模式:此模式下,Snort将已捕获的数据包存入储存硬盘中。 上线模式(inline mode):此模式下,Snort可对捕获到的数据包做分析的动作,并根据一定的规则来判断是否有网络攻击行为的出现。 v 基本指令:基本指令: 若你想要在屏幕上显示网络数据包的报头(header)内容,使用 ./snort -v 如果想要在屏幕上显示正在传输的数据包的报头内容,使用 ./snort -vd 如果除了以上显示的内容之外,欲另外显示数据链路层信息,使用 ./snort -vdeCompany Logo三、入侵检测系统的组成三、入侵检测系统的组成响应单元事件分析器
16、事件产生器事件数据库Company Logo模式匹配(特征库匹配举例)模式匹配(特征库匹配举例)v 1来自保留来自保留IP地址的连接企图地址的连接企图v 2带有非法带有非法TCP 标志联合物的数据包标志联合物的数据包 可通过对比TCP报头中的标志集与已知正确和错误标记联合物的不同点来识别。v 3含有特殊病毒信息的含有特殊病毒信息的Email 可通过对比每封Email的主题信息和病态Email的主题信息来识别,或者,通过搜索特定名字的附近来识别。v 4查询负载中的查询负载中的DNS缓冲区溢出企图缓冲区溢出企图 可通过解析DNS域及检查每个域的长度来识别利用DNS域的缓冲区溢出企图。还有另外一个识
17、别方法是:在负载中搜索“壳代码利用”(exploit shellcode)的序列代码组合。v 5通过对通过对POP3服务器发出上千次同一命令而导致的服务器发出上千次同一命令而导致的DoS攻击攻击 通过跟踪记录某个命令连续发出的次数,看看是否超过了预设上限,而发出报警信息。v 6未登录情况下使用文件和目录命令对未登录情况下使用文件和目录命令对FTP服务器的文服务器的文件访问攻击件访问攻击Company Logo统计分析统计分析v1.统计分析方法首先给系统对象创建一个统计描统计分析方法首先给系统对象创建一个统计描述述v2.统计模型常用异常检测统计模型常用异常检测: 在统计模型中常用的测量参数包括:
18、审计事件的数量、间隔时间、资源消耗情况等。 v3. 比较测量属性的平均值与网络、系统的行为比较测量属性的平均值与网络、系统的行为 例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的账户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的人侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。 Company Logo常用的入侵检测常用的入侵检测5种统计模型为:种统计模型为:v 操作模型操作模型: 该模型假设异常可通过测量结果与一些固定指标相比较得到
19、,固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内的多次失败的登录很有可能是口令尝试攻击。 v 方差方差: 计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常。v 多元模型多元模型: 操作模型的扩展,通过同时分析多个参数实现检测。v 马尔柯夫过程模型马尔柯夫过程模型: 将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,当一个事件发生时,或状态矩阵该转移的概率较小则可能是异常事件。v 时间序列分析时间序列分析: 将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵,cpu使用。 Company
20、 Logo完整性分析完整性分析v完整性分析主要关注某个文件或对象是否被更改完整性分析主要关注某个文件或对象是否被更改 如:文件和目录的内容及属性,它在发现被更改的、被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数 (例如MDS),它能识别哪怕是微小的变化。v只要是成功的攻击导致了文件或其他对象的任何只要是成功的攻击导致了文件或其他对象的任何改变,它都能够发现。改变,它都能够发现。v缺点是一般以批处理方式实现,不用于实时响应。缺点是一般以批处理方式实现,不用于实时响应。 尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间
21、内开启完整性分析模块,对网络系统进行全面地扫描检查。 Company Logo四、入侵检测系统工作流程四、入侵检测系统工作流程步骤一:信息收集步骤三:结果处理详细日志记录、实时报警有限度的反击攻击源 步骤二:信号分析系统、网络、数据及用户活动的状态和行为 统计分析模式匹配完整性分析Company Logo其它常用入侵检测方法其它常用入侵检测方法v专家系统专家系统专家系统使用基于规则的语言为已知攻击建模,它把审计事件表述成语义的事实,推理引擎根据这些规则和事实进行判定。专家系统的建立依赖于知识库的完备性,知识库的完备性取决于审计记录的完备性和实时性。v统计分析统计分析统计分析是通过设置极限闹值等
22、方法,将检测数据与已有的正常行为加以比较,如果超出极限值,则认为是入侵行为。数据挖掘通过数据挖掘程序处理收集到的审计数据,为各种入侵行为和正常操作建立精确的行为模式,这是一个自动的过程。数据挖掘的关键点在于算法的选取和一个正确的体系结构的建立。v神经网络神经网络神经网络具有自适应、自组织和自学习的能力,可以处理一些环境信息复杂、背景知识不清楚的问题。将神经网络技术应用于入侵检测系统,以检测未知攻击。来自审计日志或正常网络访问行为的信息,经数据信息预处理模块的处理后即产生输入向量。v模糊理论模糊理论人类思维、语言具有模糊性,模糊思维形式和语言表达具有广泛性、完美和高效的特征。人们的许多知识是模糊
23、的,模糊知识在控制和决策中具有巨大的作用。由于计算机网络中的正常行为和异常行为难以很好地界定,使用模糊逻辑推理方法,入侵检测系统的误报率则会降低。v免疫系统免疫系统v遗传算法遗传算法遗传算法是基于自然选择,在计算机上模拟生物进化机制的寻优搜索法。Company Logo网络安全与网络安全与IDSIDS的未来的未来 入侵检测系统入侵检测系统IDS 网络安全概述网络安全概述 Company LogoIDS的未来的未来v一、一、IDS的自身存在的不足的自身存在的不足 尤其是IDS的误报和漏报现象很严重,常常出现许多虚假的信息,就像狼来了的故事一样,虚假警报过多,人们就会慢慢失去对他的信任以至于完全忽
24、略。Company Logo一、一、IDS的软肋的软肋v 检测范围不够广:检测范围不够广: 很少有哪家厂商能将特征检测、异常检测、拒绝服务攻击检测无缝地集成到一起,实现对已知攻击、新攻击和DoS攻击的检测。 v 检测效果不理想:检测效果不理想: 主要指检测的准确度,IDS检测引擎最大的问题莫过于漏报和误报,很多IDS一天就能发出上千条虚假报警信息,让人目不暇接,而漏报的后果就更严重了。 v 只能检测,不能防御:只能检测,不能防御: 检测是一种被动的行为,当IDS发现入侵时往往已经为时太晚,根本来不及阻止。一个理想的安全防护产品必须引入主动的入侵防御能力,这也反映了当前和未来的市场需求。 v 难
25、以突破百兆瓶颈难以突破百兆瓶颈: 被动侦听的架构和深层数据包分析决定了现在的IDS无法适用于高速或交换的网络环境,PC架构的处理器结构决定了其监控能力无法取得实质性的突破。 v 性能有待提高:性能有待提高: 很多IDS都是PC/服务器硬件平台上运行的软件程序,而数据包的捕获、处理、分析都需要大量的计算,即使在窄带网络上,也会出现丢包、延时太长而导致检测不准确等问题。 Company LogoIPS在网络中的位置在网络中的位置服务器核心交换机IPSCompany LogoIPS的组成的组成Company Logo二、二、IPS的产生的产生vIPS,入侵防御系统:,入侵防御系统: (Intrusi
26、on Prevention System)它的设计基于一种全新的思想和体系架构,工作于串联(IN-LINE)方式,采用ASIC、FPGA或NP(网络处理器)等硬件设计技术实现网络数据流的捕获。 检测引擎综合了特征检测、异常检测、DoS检测、缓冲区溢出检测等多种手段, 并使用硬件加速技术进行深层数据包分析处理,能高效、准确地检测和防御已知、未知的攻击及DoS攻击。 实施多种响应方式,如丢弃数据包、终止会话、修改防火墙策略、实时生成警报和日志记录等Company Logo二、二、IPS的优势的优势v 检测并终止入侵活动。检测并终止入侵活动。 采用串联方式的IPS通常位于防火墙之后,是防火墙后面的第
27、二道闸门,进出的数据包都要经过IPS的内容检查,所以攻击数据流在到达目标之前,就会被IPS识别出来并丢弃或阻断。IPS的底层设计借鉴交换机和防火墙,使用专用集成电路ASIC或FPGA等,可以实现线速检测,从而确保它不会成为影响网络性能的瓶颈。 v 检测准确可靠。检测准确可靠。 IPS采用了多种检测技术,特征检测、异常检测可以有效地检测新出现的攻击; DoS/DDoS检测专门针对拒绝服务攻击;检测引擎中还集成了针对缓冲区溢出等特定攻击的检测。IPS使用硬件加速技术完成串匹配、更新训练集等重复性计算,大大加快了入侵检测的速度和准确率。 v 主动防御。主动防御。 IDS采用被动侦听方式,所以响应能力很有限,如发送TCP Reset包终止会话时往往可能已经为时太晚。采用串联监控方式的IPS具有强大的主动响应能力,在攻击流到来之前,就可以丢弃数据包、终止会话、修改防火墙策略、实时报警或记录日志等。这种主动防御的响应能力正是企业网络安全真正需要的。 水平有限水平有限感谢倾听感谢倾听
