1、1华东理工大学计算机科学与工程系第第3章章 网络防御技术网络防御技术指导教师:杨建国2013年8月10日2华东理工大学计算机科学与工程系3.1 安全架构安全架构3.2 密码技术密码技术3.3 防火墙技术防火墙技术3.4 杀毒技术杀毒技术3.5 入侵检测技术入侵检测技术3.6 身份认证技术身份认证技术3.7 VPN技术技术3.8 反侦查技术反侦查技术3.9 蜜罐技术蜜罐技术第第3章章 网络防御技术网络防御技术3.10 可信计算可信计算3.11 访问控制机制访问控制机制3.12 计算机取证计算机取证3.13 数据备份与恢复数据备份与恢复3.14 服务器安全防御服务器安全防御3.15 内网安全管理内
2、网安全管理3.16 PKI网络安全协议网络安全协议3.17 信息安全评估信息安全评估3.18 网络安全方案设计网络安全方案设计3华东理工大学计算机科学与工程系3.5 入侵检测技术入侵检测技术4华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义411.4 入侵检测系统p11.4.1 入侵检测系统概述p11.4.2 基于主机的入侵检测系统p11.4.3 基于网络的入侵检测系统p11.4.4 典型的入侵检测产品介绍5华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义511.4.1 入侵检测系统概述p入侵检测系统(Intrusion
3、Detection Syetem,简称IDS),是一种能对潜在的入侵行为作出记录和预测的智能化、自动化的软件或硬件系统。p入侵检测技术作为一种主动防御技术,是信息安全技术的重要组成部分,是传统计算机安全机制的重要补充。p入侵检测系统主要通过监控网络、系统的状态、行为以及系统的使用情况,来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。6华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义6入侵检测系统概述(2)p当IDS发现入侵行为时,可以提取入侵的行为特征,从而编制安全规则并分发给防火墙,与防火墙联动阻断攻击行为的再次发生。p
4、基于IDS和防火墙的保护方案见下页图所示。7华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义7Host C Host D Host B Host A 受保护网络受保护网络InternetIDS黑客黑客发起攻击发起攻击发送通知报文发送通知报文验证报文并验证报文并采取措施采取措施发送响应发送响应报文报文识别出攻识别出攻击行为击行为阻断连接或阻断连接或者报警等者报警等防火墙8华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义8入侵检测系统概述(3)p入侵检测系统的组成主要有采集模块、分析模块和管理模块。n采集模块主要用来搜集数据,
5、供入侵检测系统进行分析;n分析模块完成对数据的解析,给出怀疑值或作出判断;n管理模块主要功能是作决策和响应。n为了更好地完成入侵检测系统的功能,系统一般还有数据预处理模块、通信模块、响应模块和数据存储模块等。p根据数据来源的不同,入侵检测系统常被分为基于主机的入侵检测系统和基于网络的入侵检测系统。9华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义911.4.2 基于主机的入侵检测系统p基于主机的入侵检测系统的数据源来自主机,如日志文件、审计记录等。基于主机的入侵检测系统的检测范围较小,只限于一台主机内。p基于主机的入侵检测系统不但可以检测出系统的远程入侵,还
6、可以检测出本地入侵p但是由于主机的信息多种多样,不同的操作系统,信息源的格式就不同,使得基于主机的入侵检测系统实现较为困难。10华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义10基于主机的入侵检测系统(2)p基于主机入侵检测系统检测的目标主要是主机系统和系统本地用户。p检测原理:根据主机的审计的数据和系统的日志发现可疑事件,检测系统可以运行在被检测的主机或单独的主机上。p基本过程如下页图所示。11华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义11基于主机的入侵检测系统的结构12华东理工大学计算机科学与工程系2022-8
7、-16网络入侵与防范讲义网络入侵与防范讲义12基于主机的入侵检测系统(3)p监视特定的系统活动n监视用户和文件访问活动,包括文件访问、改变文件权限、试图建立新的可执行文件、关键的系统文件和可执行文件的更改、试图访问特许服务。n可以监督所有用户登录及退出登录的情况,以及每位用户在连接到网络以后的行为。13华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义13基于主机的入侵检测系统(3)p能够检测到针对主机系统的攻击n它可以检测到那些基于网络的入侵检测系统检测不到的攻击。例如,对重要服务器的键盘攻击不经过网络,所以它可以躲开基于网络的入侵检测系统,然而却会被基于主
8、机的入侵检测系统发现并拦截。14华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义14基于主机的入侵检测系统(3)p适用于交换及加密环境n交换设备可将大型网络分成许多的小型网段加以管理。所以从覆盖足够大的网络范围的角度出发,很难确定配置基于网络的入侵检测系统的最佳位置。基于主机的入侵检测系统可安装在所需要的重要主机上,在交换的环境中具有更高的能见度。n某些加密方式也对基于网络的入侵检测提出了挑战。根据加密方式在协议堆栈中的位置的不同,基于网络的入侵检测系统可能对某些攻击没有反应,而基于主机的入侵检测系统没有这方面的限制。15华东理工大学计算机科学与工程系202
9、2-8-16网络入侵与防范讲义网络入侵与防范讲义15基于主机的入侵检测系统(3)p不要求额外的硬件n基于主机的入侵检测系统存在于现有的网络结构之中,包括文件服务器、Web服务器及其他共享资源,它们不需要在网络另外安装登记、维护及管理额外的硬件设备,成本较低。16华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义16基于主机的入侵检测系统的优点p基于主机的入侵检测系统的优点是:n更好的辨识分析n对特殊主机事件的紧密关注及称本低n监视特定的系统活动 n能够检测到基于网络的系统检测不到的攻击 n适用于交换及加密环境 n不要求额外的硬件 17华东理工大学计算机科学与工
10、程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义17基于主机的入侵检测系统(4)p基于主机的IDS依赖于审计数据或系统日志准确性和完整性以及安全事件的定义。p若入侵者设法逃避审计或进行合作入侵,则基于主机检测系统就暴露出其弱点。p特别是在现在的网络环境下,单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。18华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义18基于主机的入侵检测系统的缺点p这主要表现在以下四个方面:n(1).主机的审计信息弱点,如易受攻击,入侵者可通过使用某些系统特权或调用比审计本身更低的操作来逃避审计。n(2).不能通过分
11、析主机审计记录来检测网络攻击(域名欺骗、端口扫描等)。n(3).IDS的运行或多或少影响服务器的性能。n(4).Host-Based IDS只能对服务器的特定的用户、应用程序执行动作、日志进行检测,所能检测到的攻击类型受到限制。19华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义1911.4.3 基于网络的入侵检测系统p基于网络入侵检测系统通过实时监视并分析网络的所有通信业务检测入侵。p基于网络的入侵检测系统的数据源是网络流量,检测范围是整个网络,能检测出远程入侵,对于本地入侵它是看不到的。p由于网络数据比较规范(TCP/IP协议的数据包),所以基于网络的入
12、侵检测系统比较易于实现。20华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义20基于网络的入侵检测系统结构21华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义21探测器p由过滤器、网络接口引擎器以及过滤规则决策器组成。p功能:按一定规则从网络获取与安全事件相关的数据包,传递至分析引擎器进行安全分析判断。22华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义22分析引擎器p将由探测器上接收到的包结合网络安全数据库进行分析。p将分析结果传递给配置构造器。p分析引擎器是它的一个重要部件,用来分析
13、网络数据中的异常现象或可疑迹象,并提取出异常标志。分析引擎器的分析和判断决定了具有什么样特征的网络数据流是非正常的网络行为。23华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义23安全配置构造器p根据分析引擎器结果构造出探测所需的配置规则。24华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义24基于网络的入侵检测系统(2)p基于网络的入侵检测系统通常将主机的网卡设成混杂模式(promiscuous mode),实时监视并分析通过网络的所有通信业务。p基于网络的入侵检测系统担负着保护整个网段的任务,它的分析引擎器常使用4种技
14、术来识别攻击标志。n模式、表达式或字节匹配n频率或穿越阀值n次要事件的相关性n统计学意义上的非常规现象检测25华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义25基于网络的入侵检测系统的特性p实施成本较低p全面而准确的识别攻击特征 p攻击者不易转移证据 p实时检测和响应 p检测未被成功的攻击和不良的意图 p操作系统无关性 26华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义26基于网络的入侵检测系统的特性p服务器独立性:基于网络的入侵检测监视通信流量而不影响服务器的平台的变化和更新;p配置简单:基于网络的入侵检测环境只需要
15、一个普通的网络访问接口即可;p众多的攻击标识:基于网络的入侵检测探测器可以监视多种多样的协议攻击和特定环境的攻击。27华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义2711.4.4 典型的入侵检测产品介绍pSnortpISS Real SecurepWatcher28华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义28SnortpSnort是一个免费、开放源代码的基于网络的入侵检测系统,它具有很好的配置性和可移植性。pSnort最初是设计给小网络段使用的,常被称为轻量级的入侵检测系统。现在Snort既可用于Unix/Li
16、nux平台,也有适用于Windows操作系统的版本,并且已经有了方便的图形用户界面。p扩展性很好:基于规则的体系结构使Snort非常灵活,设计者使其很容易插入和扩充新的规则就能对抗那些新出现的威胁。29华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义29SnortpSnort具有实时数据流量分析和日志IP网络数据包的能力,能截获网络中的数据包并记录数据包日志。日志格式既可以是Tcpdump式的二进制格式,也可以解码成ASCII字符形式,还可以通过数据库输出插件记入数据库。pSnort能够对多种协议进行协议解析,对内容进行搜索和匹配。它能够检测多种方式的攻击和
17、探测。pSnort的报警机制很丰富,有多种方式。利用XML插件,Snort可以使用SNML(Simple Network Markup Language,简单网络标记语言),把日志存放到一个文件或者适时报警。30华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义30ISS RealSecurepInternet Security System公司的RealSecure是一种实时监控的软件,它包含控制台、网络引擎和系统代理三部分组成。p网络引擎基于C类网段,安装在一台单独使用的计算机上,通过捕捉网段上的数据包,分析包头和数据段内容,与模板中定义的事件手法进行匹配
18、,发现攻击后采取相应的安全动作;p系统代理基于主机,安装在受保护的主机上,通过捕捉访问主机的数据包,分析包头和数据段内容,与模板中定义的事件手法进行匹配,发现攻击后采取相应的安全动作。p控制台是安全管理员的管理界面,它可同时与多个网络引擎和系统代理连接,实时获取安全信息。31华东理工大学计算机科学与工程系2022-8-16网络入侵与防范讲义网络入侵与防范讲义31WatcherpWatcher是一个典型的网络入侵检测工具,它能检测所有通过网络的信息包,并且将它们当成恶意的攻击行为记录在sys log中,网络管理员根据记录下来的日志可以分析判断系统是否正在遭受到恶意攻击。p它是一个完全免费的版本,安装起来非常简单。pWatcher的最新版本可以检测端口扫描行为和一些拒绝服务攻击行为,具体如下:nTCP端中扫描nUDP端口扫描nSyn flood攻击nTeardrop攻击nLand攻击nSmurf击nPing of death攻击
