北京大学信息安全《b10 防火墙技术及其应用.pdf》

网络与信息安全教程第九讲入侵检测分析主讲段云所副教授北京大学计算机系doyes@入侵检测技术IDS1定义入侵检测是通过从计算机网络或系统中的若干关键点收集信息并对其进行分析从中发现网络或系统中是否有违反安全策略的行为和遭到入侵的迹象的一种安全技术入侵检测是防火墙的合理补充帮助系统对付网络攻击扩展了系统管理员的安全管理能力包括安全审计监视进攻识别和响应提高了信息安全基础结构的完整性入侵检测被认为是防火墙之后的第二道安全闸门在不影响网络性能的情况下能对网络进行监测从而提供对内部攻击外部攻击和误操作的实时保护入侵检测也是保障系统动态安全的核心技术之一IDS通常执行以下任务♦监视分析用户及系统活动♦系统构造和弱点的审计♦识别反映已知进攻的活动模式并报警♦异常行为模式的统计分析♦评估重要系统和数据文件的完整性♦操作系统的审计跟踪管理并识别用户违反安全策略的行为传统安全防范技术的不足♦传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术对网络环境下日新月异的攻击手段缺乏主动的反应♦入侵检测技术通过对入侵行为的过程与特征的研究使安全系统对入侵事件和入侵过程能做出实时响应2 IDS的分类♦IDS一般从实现方式上分为两种基于主机的IDS和基于网络的IDS一个完备的入侵检测系统IDS一定是基于主机和基于网络两种方式兼备的分布式系统♦不管使用哪一种工作方式都用不同的方式使用了上述两种分析技术都需要查找攻击签名Attack Signature所谓攻击签名就是用一种特定的方式来表示已知的攻击方式2.1 基于网络的IDS基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信一旦检测到攻击IDS应答模块通过通知报警以及中断连接等方式来对攻击作出反应基于网络的入侵检测系统的主要优点有1成本低2攻击者转移证据很困难(3)实时检测和应答一旦发生恶意访问或攻击基于网络的IDS检测可以随时发现它们因此能够更快地作出反应从而将入侵活动对系统的破坏减到最低(4)能够检测未成功的攻击企图♦(5)操作系统独立基于网络的IDS并不依赖主机的操作系统作为检测资源而基于主机的系统需要特定的操作系统才能发挥作用2.2 .基于主机的IDS基于主机的IDS一般监视Windows NT 上的系统事件安全日志以及UNIX环境中的syslog文件一旦发现这些文件发生任何变化IDS将比较新的日志记录与攻击签名以发现它们是否匹配如果匹配的话检测系统就向管理员发出入侵报警并且发出采取相应的行动基于主机的IDS的主要优势有♦(1)非常适用于加密和交换环境♦(2)接近实时的检测和应答♦(3)不需要额外的硬件2.3 两种入侵检测技术的比较♦如果攻击不经过网络基于网络的IDS无法检测到只能通过使用基于主机的IDS来检测♦基于网络的IDS通过检查所有的包首标header来进行检测而基于主机的IDS并不查看包首标许多基于IP的拒绝服务攻击和碎片攻击只能通过查看它们通过网络传输时的包首标才能识别♦基于网络的IDS可以研究负载的内容查找特定攻击中使用的命令或语法这类攻击可以被实时检查包序列的IDS迅速识别而基于主机的系统无法看到负载因此也无法识别嵌入式的负载攻击2.4 两种类型IDS的结合♦在新一代的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来提供集成化的攻击签名检测报告和事件关联功能♦利用最新的可适应网络安全技术和P2DR Policy Protection Detection Response安全模型可以深入地研究入侵事件入侵手段本身及被入侵目标的漏洞等♦入侵检测技术从理论的分析方式上可分为两种相异的分析技术(1)异常发现技术(2)模式发现技术目前IDS主要以模式发现技术为主并结合异常发现技术3. 深入了解入侵检测技术一个成功的入侵检测系统不但可使系统管理员时刻了解网络系统包括程序文件和硬件设备等的任何变更还能给网络安全策略的制订提供指南更为重要的一点是它应该管理配置简单从而使非专业人员非常容易地获得网络安全而且入侵检测的规模还应根据网络威胁系统构造和安全需求的改变而改变入侵检测系统在发现入侵后会及时作出响应包括切断网络连接记录事件和报警等3.1 信息收集入侵检测的第一步是信息收集收集内容包括系统网络数据及用户活动的状态和行为而且需要在计算机网络系统中的若干不同关键点不同网段和不同主机收集信息这除了尽可能扩大检测范围的因素外还有一个重要的因素就是从一个源来的信息有可能看不出疑点但是从几个信息源的不一致性却是可疑行为或入侵的最好标识入侵检测很大程度上依赖于收集信息的可靠性和正确性因此很有必要只利用所知道的真正的和精确的软件来报告这些信息因为黑客经常替换软件以搞混和移走这些信息例如替换被程序调用的子程序库和其它工具黑客对系统的修改可能使系统功能失常并看起来跟正常的一样例如unix系统的PS指令可以被替换为一个不显示侵入过程的指令或者是编辑器被替换成一个读取不同于指定文件的文件这就需要保证用来检测网络系统的软件的完整性特别是入侵检测系统软件本身应具有相当强的坚固性防止被篡改而收集到错误的信息入侵检测利用的信息一般来自以下四个方面♦系统和网络日志文件♦目录和文件中的不期望的改变♦程序执行中的不期望行为♦物理形式的入侵信息3.1.1.系统和网络日志文件黑客经常在系统日志文件中留下他们的踪迹因此充分利用系统和网络日志文件信息是检测入侵的必要条件日志中包含发生在系统和网络上的不寻常和不期望活动的证据这些证据可以指出有人正在入侵或已成功入侵了系统通过查看日志文件能够发现成功的入侵或入侵企图并很快地启动相应的应急响应程序日志文件中记录了各种行为类型每种类型又包含不同的信息例如记录“用户活动”类型的日志就包含登录用户ID改变用户对文件的访问授权和认证信息等内容显然对用户活动来讲不正常的或不期望的行为就是重复登录失败登录到不期望的位置以及非授权的企图访问重要文件等等3.1.2.目录和文件中非正常的改变网络环境中的文件系统包含很多软件和数据文件包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标目录和文件中的不期望的改变包括修改创建和删除特别是那些正常情况下限制访问的很可能就是一种入侵产生的指示和信号入侵者经常替换修改和破坏他们获得访问权的系统上的文件同时为了隐藏系统中他们的表现及活动痕迹都会尽力去替换系统程序或修改系统日志文件3.1.3.程序执行中的不期望行为网络系统上的程序执行一般包括操作系统网络服务用户起动的程序和特定目的的应用例如数据库服务器每个在系统上执行的程序由一到多个进程来实现每个进程执行在具有不同权限的环境中这种环境控制着进程可访问的系统资源程序和数据文件等一个进程的执行行为由它运行时执行的操作来表现操作执行的方式不同它利用的系统资源也就不同操作包括计算文件传输设备和其它进程以及与网络间其它进程的通讯一个进程出现了不期望的行为可能表明黑客正在入侵你的系统黑客可能会将程序或服务的运行分解从而导致它失败或者是以非用户或管理员意图的方式操作3.1.4. 物理形式的入侵信息物理入侵包括两个方面的内容一是未授权的对网络硬件连接二是对物理资源的未授权访问黑客会想方设法去突破网络的周边防卫如果他们能够在物理上访问内部网就能安装他们自己的设备和软件依此黑客就可以知道网上的由用户加上去的不安全未授权设备然后利用这些设备访问网络例如用户在家里可能安装Modem以访问远程办公室与此同时黑客正在利用自动工具来识别在公共电话线上的Modem如果一拨号访问流量经过了这些自动工具那么这一拨号访问就成为了威胁网络安全的后门黑客就会利用这个后门来访问内部网从而越过了内部网络原有的防护措施然后捕获网络流量进而攻击其它系统并偷取敏感的私有信息等等3.2 信号分析对上述四类收集到的有关系统网络数据及用户活动的状态和行为等信息一般通过三种技术手段进行分析模式匹配统计分析和完整性分析其中前两种方法用于实时的入侵检测而完整性分析则用于事后分析3.2.1. 模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较从而发现违背安全策略的行为该过程可以很简单如通过字符串匹配以寻找一个简单的条目或指令也可以很复杂如利用正规的数学表达式来表示安全状态的变化一般来讲一种进攻模式可以用一个过程如执行一条指令或一个输出如获得权限来表示该方法的一大优点是只需收集相关的数据集合显著减少系统负担且技术已相当成熟它与病毒防火墙采用的方法一样检测准确率和效率都相当高但是该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法不能检测到从未出现过的黑客攻击手段3.2.2.统计分析统计分析方法首先给系统对象如用户文件目录和设备等创建一个统计描述统计正常使用时的一些测量属性如访问次数操作失败次数和延时等测量属性的平均值将被用来与网络系统的行为进行比较任何观察值在正常值范围之外时就认为有入侵发生例如统计分析可能标识一个不正常行为因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录其优点是可检测到未知的入侵和更为复杂的入侵.该法的缺点是误报漏报率高且不适应用户正常行为的突然改变具体的统计分析方法如基于专家系统的基于模型推理的和基于神经网络的分析方法目前正处于研究热点和迅速发展之中3.2.3 完整性分析完整性分析主要关注某个文件或对象是否被更改这经常包括文件和目录的内容及属性它在发现被更改的被特络伊化的应用程序方面特别有效完整性分析利用强有力的加密机制称为消息摘要函数例如MD5它能识别哪怕是微小的变化其优点是不管模式匹配方法和统计分析方法能否发现入侵只要是成功的攻击导致了文件或其它对象的任何改变它都能够发现缺点是一般以批处理方式实现不用于实时响应尽管如此完整性检测方法还应该是网络安全产品的必要手段之一例如可以在每一天的某个特定时间内开启完整性分析模块对网络系统进行全面地扫描检查典型产品ISS RealSecure(WinNT)Axent Netproler(WinNT)Cisco NetRanger(Unix)DOE NFR(Unix)1.基于主机和基于网络的入侵检测个有何优缺点如何应用2试述入侵检测信号分析的原理。

网络信息安全课程第一讲概论主讲段云所副教授北京大学计算机系内容索引网络信息安全问题起源网络信息安全的任务网络信息安全常见威胁网络信息安全的理论技术和方法安全标准规范和管理网络安全方案设计设计实例分析电子商务的安全问题本课程的安排网络与信息安全问题起源网络不安全的原因自身缺陷+ 开放性+ 黑客攻击网络自身的安全缺陷•协议本身会泄漏口令•连接可成为被盗用的目标•服务器本身需要读写特权•基于地址•密码保密措施不强•某些协议经常运行一些无关的程序•业务内部可能隐藏着一些错误的信息•有些业务本身尚未完善,难于区分出错原因•有些业务设置复杂,很难完善地设立•使用CGI的业务网络开放性业务基于公开的协议远程访问使得各种攻击无需到现场就能得手连接是基于主机上的社团彼此信任的原则黑客HACKER)定义非法入侵者起源60年代目的基于兴趣非法入侵基于利益非法入侵信息战网络与信息安全任务网络安全的任务保障各种网络资源稳定可靠地运行受控合法地使用信息安全的任务机密性confidentiality)完整性(integrity)抗否认性(non-repudiation) 可用性(availability)其他病毒防治预防内部犯罪常见不安全因素分析常见不安全因素物理因素网络因素系统因素应用因素管理因素•口令破解攻击者可通过获取口令文件然后运用口令破解工•具获得口令也可通过猜测或窃听等方式获取口令•连接盗用在合法的通信连接建立后攻击者可通过阻塞或摧毁•通信的一方来接管已经过认证建立起来的连接从而•假冒被接管方与对方通信•服务拒绝攻击者可直接发动攻击也可通过控制其它主机发起•攻击使目标瘫痪如发送大量的数据洪流阻塞目标•网络窃听网络的开放性使攻击者可通过直接或间接窃听获取所•需信息•数据篡改攻击者可通过截获并修改数据或重放数据等方式破坏•数据的完整性•地址欺骗攻击者可通过伪装成被信任的IP地址等方式来骗取•目标的信任•社会工程攻击者可通过各种社交渠道获得有关目标的结构•使用情况安全防范措施等有用信息从而提高攻•击成功率•恶意扫描攻击者可编制或使用现有扫描工具发现目标的漏洞•进而发起攻击•基础设施破坏攻击者可通过破坏DNS或路由信息等基础设施•使目标陷于孤立•数据驱动攻击攻击者可通过施放病毒特洛伊木马数据炸•弹等方式破坏或遥控目标安全理论与技术安全理论与技术•密码理论与技术加密标记•认证识别理论与技术I&A)•授权与访问控制理论与技术•审计追踪技术•网间隔离与访问代理技术•反病毒技术对称非对称数字签名算法安全理论与技术应用安全理论与技术应用安全协议IPsecSSLSOCKS安全业务shttpSMIMEpgp安全规范标准Jade Bird则TCSEC CTCPEC国家安全标准主要考核指标有自主访问控制数据完整性审计客体重用强制访问控制安全标记可信路径可信恢复等特点身份认证主要考虑用户主机和节点的身份认证访问控制采用自主访问控制策略数据完整性考虑存储传输和使用中不被篡改和泄密审计主要考虑访问的主体客体时间成败情况等隐蔽信道分析主要考虑采用安全监控和安全漏洞检测来加强对隐蔽信道的防范安全体系设计安全方案设计要素Jade Bird明确的需求分析合理的设计原则可信的安全等级良好的指导方法全面的理论模型正确的技术选择可靠的支撑产品实用的功能性能可行的评价措施完善的管理手段长远的维护升级•需要保护的对象•安全层次分析•隐患分析安全需求分析Jade Bird!保障网络安全可靠高效可控持续地运行!保障信息机密完整不可否认地传输和使用安全设计总目标Jade Bird监测方法异常检测系统Anomaly统计方法预测模式生成法神经网络法滥用检测系统Misuse专家系统模型匹配状态转换分析混合检测系统Hybrid监测要求实时全面准确安全需求分析-安全监测Jade Bird•硬件路由器工和站服务器数据设备等•软件操作系统应用软件源代码实用程序•数据电子邮件办公自动化信息发布业务系统需要保护的对象Jade Bird安全需求分析-安全防护Jade Bird安全需求分析--安全评估!风险分析!评估标准!验收指标设计原则!先进与实用相统一!投入与产出相匹配国际惯例占总投入的10%-15%!成熟与升级相衔接时效性网络安全设计方法逻辑层设计应用透明性最小实体保护产品与技术分离网络安全等级设计应达到等级B1级理由C2级自主访问安全性低B1级提供安全标记+强制访问控制B2级要求确认隐蔽通道难于实现安全技术选择--根据网络层次链路层链路加密技术网络层包过滤IPSEC协议VPN.TCP层SSL协议基于公钥的认证和对称钥加密技术在应用层SHTTP PGP SMIM开发专用协议网络隔离防火墙访问代理安全网关入侵监测日志审计入侵检测漏洞扫描追踪安全技术选择--根据网络拓扑Jade Bird安全管理"加强内部人员的安全知识培训及职业道德教育"制定安全政策和法规"从技术上现系统管理分权制约实"从技术上保证口令的安全性"从程序上规范安全管理Jade Bird安全升级"跟踪和研究网络攻击手段"及时更新和使用安全产品的升级版本"及时采纳新出现的必须的安全产品"应在年度运行预算中留出安全保障和维护经费"保持与安全技术支持单位的良好合作关系Jade Bird设计实例典型局域网安全设计身份认证双向email www FTP…数据加/解密软件或IC卡身份认证双向通信层密密密密认证密文传输认证密文传输。