国家信息化安全培训之入侵检测技术.pptx

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,入侵检测技术,国家信息化安全教育认证培训课程,国家信息化安全培训之入侵检测技术,第1页,参加课程需掌握知识,TCP/IP协议原理,对防火墙有初步认识,对局域网和广域网有初步认识,Unix简单操作,国家信息化安全培训之入侵检测技术,第2页,课程内容,入侵知识介绍,入侵检测技术,入侵检测系统选择和使用,国家信息化安全培训之入侵检测技术,第3页,课程目标,了解入侵检测概念、术语,掌握网络入侵技术和黑客惯用各种伎俩,掌握入侵检测系统防范入侵原理,了解入侵检测产品布署方案,了解入侵检测产品选型标准,了解入侵检测技术发展方向,国家信息化安全培训之入侵检测技术,第4页,1.入侵检测系统概述,概要,背景介绍,入侵检测提出,入侵检测相关术语,入侵检测系统分类,入侵检测系统构件,入侵检测系统布署方式,动态安全模型P,2,DR,国家信息化安全培训之入侵检测技术,第5页,1.1 背景介绍,1.1.1 信息社会出现新问题,信息时代到来，电子商务、电子政务，网络改变人们生活，人类进入信息化社会,计算机系统与网络广泛应用，商业和国家机密信息保护以及信息时代电子、信息反抗需求,存放信息系统面临极大安全威胁,潜在网络、系统缺点危及系统安全,传统安全保密技术都有各自不足，不能够确保系统安全,国家信息化安全培训之入侵检测技术,第6页,1.1 背景介绍,1.1.2 信息系统安全问题,操作系统脆弱性,计算机网络资源开放、信息共享以及网络复杂性增大了系统不安全性,数据库管理系统等应用系统设计中存在安全性缺点,缺乏有效安全管理,国家信息化安全培训之入侵检测技术,第7页,1.1.3 黑客攻击猖獗,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,后门、隐蔽通道,蠕虫,国家信息化安全培训之入侵检测技术,第8页,这就是黑客,国家信息化安全培训之入侵检测技术,第9页,1,.1 背景介绍,1.1.4 我国安全形势非常严峻,1998年2月25日：黑客入侵中国公众多媒体通信网广州蓝天BBS系统并得到系统最高权限，系统失控长达15小时。为,国内首例网上黑客案件,。,1998年9月22日，黑客入侵扬州工商银行电脑系统，将72万元注入其户头，提出26万元。为,国内首例利用计算机偷窃银行巨款案件,。,国家信息化安全培训之入侵检测技术,第10页,1,.1 背景介绍,1.1.4 我国安全形势非常严峻（续）,1999年4月16日：黑客入侵中亚信托投资企业上海某证券营业部，造成340万元损失。,1999年11月14日至17日：新疆乌鲁木齐市发生,首起针对银行自动提款机黑客案件,，用户信用卡被盗1.799万元。,1999年11月23日：银行内部人员经过更改程序，用虚假信息从本溪某银行提取出86万元。,国家信息化安全培训之入侵检测技术,第11页,1,.1 背景介绍,1.1.4 我国安全形势非常严峻（续）,年2月1日：黑客攻击了大连市赛伯网络服务有限企业，造成经济损失20多万元。,年2月1日至2日：中国公共多媒体信息网兰州节点 “飞天网景信息港”遭到黑客攻击。,年3月2日：黑客攻击世纪龙企业21CN。,国家信息化安全培训之入侵检测技术,第12页,1,.1 背景介绍,1.1.4 我国安全形势非常严峻（续）,年3月6日至8日：黑客攻击实华开EC123网站达16次，同一时期，号称全球最大汉字网上书店“当当书店”也遭到屡次黑客攻击。,年3月8日：山西日报国际互联网站遭到黑客数次攻击，被迫关机，这是国内首例黑客攻击省级党报网站事件。,年3月8日：黑客攻击国内最大电子邮局-拥有200万用户广州163，系统无法正常登录。,国家信息化安全培训之入侵检测技术,第13页,1,.1 背景介绍,1.1.4 我国安全形势非常严峻（续）,年3月9日:IT-全国网上连锁商城遭到黑客攻击，网站页面文件全部被删除，各种数据库遭到不一样程度破坏，网站无法运行，15日才恢复正常，损失巨大。,年3月25日：重庆某银行储户个人帐户被非法提走5万余元。,年6月11、12日：中国香港特区政府互联网服务指南主页遭到黑客入侵，服务被迫暂停。,国家信息化安全培训之入侵检测技术,第14页,被黑WEB页面,DOJ,HOMEPAGE,国家信息化安全培训之入侵检测技术,第15页,1.2 入侵检测提出,1.2.1 什么是入侵检测系统,入侵检测系统是一套监控计算机系统或网络系统中发生事件，依据规则进行安全审计软件或硬件系统。,国家信息化安全培训之入侵检测技术,第16页,1,.2 入侵检测提出,1.2.2 为何需要IDS？,入侵很轻易,入侵教程随地可见,各种工具唾手可得,防火墙不能确保绝正确安全,网络边界设备,本身能够被攻破,对一些攻击保护很弱,不是全部威胁来自防火墙外部,防火墙是锁，入侵检测系统是监视器,国家信息化安全培训之入侵检测技术,第17页,1,.2 入侵检测提出,1.2.3 入侵检测任务,检测来自内部攻击事件和越权访问,85以上攻击事件来自于内部攻击,防火墙只能防外，难于防内,入侵检测系统作为防火墙系统一个有效补充,入侵检测系统能够有效防范防火墙开放服务入侵,国家信息化安全培训之入侵检测技术,第18页,1,.2 入侵检测提出,1.2.3 入侵检测任务,经过事先发觉风险来阻止入侵事件发生，提前发觉试图攻击或滥用网络系统人员。,检测其它安全工具没有发觉网络工具事件。,提供有效审计信息，详细统计黑客入侵过程，从而帮助管理员发觉网络脆弱性。,国家信息化安全培训之入侵检测技术,第19页,1.2 入侵检测提出,1.2.3 入侵检测任务,网络中可被入侵者利用资源,在一些大型网络中，管理员没有时间跟踪系统漏洞而且安装对应系统补丁程序。,用户和管理员在配置和使用系统中失误。,对于一些存在安全漏洞服务、协议和软件，用户有时候不得不使用。,国家信息化安全培训之入侵检测技术,第20页,1,.2 入侵检测提出,1.2.4入侵检测发展历史,1980年，James Anderson最早提出入侵检测概念,1987年，DEDenning首次给出了一个入侵检测抽象模型，并将入侵检测作为一个新安全防御办法提出。,1988年，Morris蠕虫事件直接刺激了IDS研究,1988年，创建了基于主机系统,有IDES，Haystack等,1989年，提出基于网络IDS系统,有NSM，NADIR，DIDS等,国家信息化安全培训之入侵检测技术,第21页,1,.2 入侵检测提出,1.2.4入侵检测发展历史（续）,90年代，不停有新思想提出，如将人工智能、神经网络、含糊理论、证据理论、分布计算技术等引入IDS系统,年2月，对Yahoo！、Amazon、CNN等大型网站DDOS攻击引发了对IDS系统新一轮研究热潮,20今，RedCode、求职信等新型病毒不停出现，深入促进了IDS发展。,国家信息化安全培训之入侵检测技术,第22页,1,.3 入侵检测相关术语,IDS(Intrusion Detection Systems),入侵检测系统,Promiscuous,混杂模式,Signatures,特征,国家信息化安全培训之入侵检测技术,第23页,1,.3 入侵检测相关术语,Alerts,警告,Anomaly,异常,国家信息化安全培训之入侵检测技术,第24页,1,.3 入侵检测相关术语,Console,控制台,Sensor,传感器,国家信息化安全培训之入侵检测技术,第25页,1.4 入侵检测系统分类,概要,Host-Based IDS,Network-Based IDS,Stack-Based IDS,国家信息化安全培训之入侵检测技术,第26页,1.4 入侵检测系统分类,1.4.1 Host-Based IDS(HIDS),基于主机入侵检测系统,系统安装在主机上面，对本主机进行安全检测,国家信息化安全培训之入侵检测技术,第27页,1,.4 入侵检测系统分类,HIDS优点,性能价格比高,细腻性，审计内容全方面,视野集中,适合用于加密及交换环境,国家信息化安全培训之入侵检测技术,第28页,1,.4 入侵检测系统分类,HIDS缺点,额外产生安全问题,HIDS依赖性强,假如主机数目多，代价过大,不能监控网络上情况,国家信息化安全培训之入侵检测技术,第29页,1,.4 入侵检测系统分类,1.4.2 Network-Based IDS(NIDS),基于网络入侵检测系统,系统安装在比较主要网段内,国家信息化安全培训之入侵检测技术,第30页,1,.4 入侵检测系统分类,NIDS优点,检测范围广,无需改变主机配置和性能,独立性和操作系统无关性,安装方便,国家信息化安全培训之入侵检测技术,第31页,1,.4 入侵检测系统分类,NIDS缺点,不能检测不一样网段网络包,极难检测复杂需要大量计算攻击,协同工作能力弱,难以处理加密会话,国家信息化安全培训之入侵检测技术,第32页,1.4 入侵检测系统分类,1.4.3 Stack-Based IDS(NNIDS),网络节点入侵检测系统,安装在网络节点主机中,结合了NIDS和HIDS技术,适合于高速交换环境和加密数据,国家信息化安全培训之入侵检测技术,第33页,1,.5 入侵检测系统构件,国家信息化安全培训之入侵检测技术,第34页,1,.5 入侵检测系统构件,事件产生器(Event generators),事件产生器目标是从整个计算环境中取得事件，并向系统其它部分提供此事件。,国家信息化安全培训之入侵检测技术,第35页,1,.5 入侵检测系统构件,事件分析器(Event analyzers),事件分析器分析得到数据，并产生分析结果。,国家信息化安全培训之入侵检测技术,第36页,1,.5 入侵检测系统构件,响应单元(Response units),响应单元则是对分析结果作出作出反应功效单元，它能够作出切断连接、改变文件属性等强烈反应,甚至发动对攻击者还击，也能够只是简单报警。,国家信息化安全培训之入侵检测技术,第37页,1,.5 入侵检测系统构件,事件数据库(Event databases),事件数据库是存放各种中间和最终数据地方统称，它能够是复杂数据库，也能够是简单文本文件。,国家信息化安全培训之入侵检测技术,第38页,1,.6 入侵检测系统布署方式,Switch,IDS Sensor,Monitored Servers,Console,经过端口镜像实现,（SPAN/Port Monitor）,国家信息化安全培训之入侵检测技术,第39页,1,.6 入侵检测系统布署方式,检测器布署位置,放在边界防火墙之内,放在边界防火墙之外,放在主要网络中枢,放在一些安全级别需求高子网,国家信息化安全培训之入侵检测技术,第40页,Internet,检测器布署示意图,布署一,布署二,布署三,布署四,国家信息化安全培训之入侵检测技术,第41页,1,.6 入侵检测系统布署方式,检测器放置于防火墙DMZ区域,能够查看受保护区域主机被攻击状态,能够看出防火墙系统策略是否合理,能够看出DMZ区域被黑客攻击重点,国家信息化安全培训之入侵检测技术,第42页,1,.6 入侵检测系统布署方式,检测器放置于路由器和边界防火墙之间,能够审计全部来自Internet上面对保护网络攻击数目,能够审计全部来自Internet上面对保护网络攻击类型,国家信息化安全培训之入侵检测技术,第43页,1,.6 入侵检测系统布署方式,检测器放在主要网络中枢,监控大量网络数据，可提升检测黑客攻击可能性,可经过授权用户权利周界来发觉为授权用户行为,国家信息化安全培训之入侵检测技术,第44页,1,.6 入侵检测系统布署方式,检测器放在安全级别高子网,对非常主要系统和资源入侵检测,国家信息化安全培训之入侵检测技术,第45页,1,.7 动态安全模型P,2,DR,国家信息化安全培训之入侵检测技术,第46页,1,.7 动态安全模型P,2,DR,Policy策略,Protection防护,Detection检测,Response响应,国家信息化安全培训之入侵检测技术,第47页,2.网络入侵技术,概要,入侵知识介绍,网络入侵普通步骤,国家信息化安全培训之入侵检测技术,第48页,2.1 入侵知识介绍,入侵(Intrusion),入侵是指未经授权蓄意尝试访问信息、窜改信息，使系统不可靠或不能使用行为。,入侵企图破坏计算机资源完整性、,机密性,、,可用性,、,可控性,国家信息化安全培训之入侵检测技术,第49页,2.1 入侵知识介绍,当前主要漏洞：,缓冲区溢出,拒绝服务攻击漏洞,代码泄漏、信息泄漏漏洞,配置修改、系统修改漏洞,脚本执行漏洞,远程命令执行漏洞,其它类型漏洞,国家信息化安全培训之入侵检测技术,第50页,2.1 入侵知识介绍,入侵者,入侵者能够是一个手工发出命令人，也可是一个基于入侵脚本或程序自动公布命令计算机。,国家信息化安全培训之入侵检测技术,第51页,2.1 入侵知识介绍,侵入系统主要路径,物理侵入,当地侵入,远程侵入,国家信息化安全培训之入侵检测技术,第52页,2.2 网络入侵普通步骤,进行网络攻击是一件系统性很强工,作，其主要工作流程是：,目标探测和信息搜集,本身隐藏,利用漏洞侵入主机,稳固和扩大战果,去除日志,国家信息化安全培训之入侵检测技术,第53页,2.2.1,目标探测和信息搜集,目标探测和信息搜集,端口扫描,漏洞扫描,利用snmp了解网络结构,国家信息化安全培训之入侵检测技术,第54页,2.2.1,目标探测和信息搜集,利用扫描器软件,什么是扫描器Scanner,扫描器工作原理,扫描器能告诉我们什么,国家信息化安全培训之入侵检测技术,第55页,2.2.1,目标探测和信息搜集,惯用扫描器软件,SATAN（安全管理员网络分析工具）,Nessus(网络评定软件),www.nessus.org,国家信息化安全培训之入侵检测技术,第56页,2.2.1,目标探测和信息搜集,惯用扫描器软件（续）,流光（NT扫描工具）,Mscan（Linux下漏洞扫描器）,国家信息化安全培训之入侵检测技术,第57页,2.2.1,目标探测和信息搜集,什么是SNMP,简单网络管理协议,协议无关性,搜集网络管理信息,网络管理软件,国家信息化安全培训之入侵检测技术,第58页,2.2.1,目标探测和信息搜集,Snmp用途,用于网络管理，网管工具,Community strings,也成为黑客入侵一直辅助伎俩,国家信息化安全培训之入侵检测技术,第59页,2.2.1,目标探测和信息搜集,Snmp查询工具,SolarWinds,经过其中IP Network Browser工具,LANguard Network Scanner,IP Network Browser,国家信息化安全培训之入侵检测技术,第61页,Languard Network Scanner,国家信息化安全培训之入侵检测技术,第62页,2.2.2,本身隐藏,经典黑客使用以下技术来隐藏IP地址,经过telnet在以前攻克Unix主机上跳转,经过终端管理器在windows主机上跳转,配置代理服务器,更高级黑客，精通利用电话交换侵入主机,国家信息化安全培训之入侵检测技术,第63页,2.2.3 利用漏洞侵入主机,已经利用扫描器发觉漏洞,比如CGI/IIS漏洞,充分掌握系统信息,深入入侵,国家信息化安全培训之入侵检测技术,第64页,2.2.4 稳固和扩大战果,安装后门,添加系统账号,利用LKM,利用信任主机,国家信息化安全培训之入侵检测技术,第65页,2.2.4 稳固和扩大战果,什么是木马,客户端软件,服务端软件,木马开启方式,修改注册表,修改INI文件,作为服务开启,国家信息化安全培训之入侵检测技术,第66页,2.2.4 稳固和扩大战果,BO,BO客户端程序能够监视、管理和使用其它网络中运行了BO服务器程序计算机系统,冰河,国产木马程序,普通杀毒软件均可发觉,国家信息化安全培训之入侵检测技术,第67页,2.2.4 稳固和扩大战果,黑客入侵主机后，可添加管理员账号,Windows主机账号,Unix主机账号,国家信息化安全培训之入侵检测技术,第68页,2.2.4 稳固和扩大战果,什么是LKM,Loadable Kernel Modules,动态加载,无需重新编译内核,国家信息化安全培训之入侵检测技术,第69页,2.2.4 稳固和扩大战果,控制了主机以后，能够利用该主机对其它邻近和信任主机进行入侵,控制了代理服务器，能够利用该服务器对内部网络深入入侵,国家信息化安全培训之入侵检测技术,第70页,2.2.5 去除日志,去除入侵日志,使管理员无法发觉系统已被入侵,国家信息化安全培训之入侵检测技术,第71页,2.2.5 去除日志（windows）,去除系统日志,去除IIS日志,去除FTP日志,去除数据库连接日志,国家信息化安全培训之入侵检测技术,第72页,系统日志,国家信息化安全培训之入侵检测技术,第73页,IIS日志,国家信息化安全培训之入侵检测技术,第74页,2.2.5 去除日志（Unix）,登陆信息/var/log,/home/user/.bash_history,lastlog,国家信息化安全培训之入侵检测技术,第75页,网络入侵步骤总览,选中攻,击目标,获取普通,用户权限,擦除入,侵痕迹,安装后门,新建帐号,获取超级,用户权限,攻击其它,主机,获取或,修改信息,从事其它,非法活动,扫描,网络,利用系统已知漏洞、经过输入区向CGI发送特殊命令、发送尤其大数据造成缓冲区溢出、猜测已知用户口令，从而发觉突破口。,国家信息化安全培训之入侵检测技术,第76页,3 IDS工作原理,目标,经过本章学习，能够掌握入侵检测系统对网络入侵事件分析方法和原理。,概要,入侵检测引擎工作流程,入侵检测分析方式,入侵检测技术,国家信息化安全培训之入侵检测技术,第77页,3.1 入侵检测引擎工作流程,国家信息化安全培训之入侵检测技术,第78页,3.1.1 监听部分,网络接口混杂模式,依据设置过滤一些数据包,过滤程序算法主要性,国家信息化安全培训之入侵检测技术,第79页,3.1.1 监听部分,监听器设置以下规则进行过滤：,Only check the following packet,源地址为192.168.0.1,国家信息化安全培训之入侵检测技术,第80页,3.1.2 协议分析,协议,IPX,ICMP,OSPF,TCP,UDP,FTP,Telnet,POP3,SMTP,HTTP,DNS,TFTP,IGMP,EGP,GGP,NFS,IP,PPP,IPV6,ATM,NetBEUI,国家信息化安全培训之入侵检测技术,第81页,3.1.3 数据分析,依据对应协议调用对应数据分析函数,一个协议数据有多个数据分析函数处理,数据分析方法是入侵检测系统关键,快速模式匹配算法,国家信息化安全培训之入侵检测技术,第82页,3.1.4 引擎管理,协调和配置给模块间工作,数据分析后处理方式,Alert,Log,Call Firewall,国家信息化安全培训之入侵检测技术,第83页,3.2,入侵检测分析方式,异常检测,（Anomaly Detection）,统计模型,误报较多,误用检测（Misuse Detection）,维护一个入侵特征知识库（CVE）,准确性高,完整性分析,国家信息化安全培训之入侵检测技术,第84页,3.2.1 异常检测,基本原理,正常行为特征轮廓,检验系统运行情况,是否偏离预设门限？,国家信息化安全培训之入侵检测技术,第85页,3.2.1 异常检测,异常检测优点：,能够检测到未知入侵,能够检测冒用他人帐号行为,含有自适应，自学习功效,不需要系统先验知识,国家信息化安全培训之入侵检测技术,第86页,3.2.1 异常检测,异常检测缺点：,漏报、误报率高,入侵者能够逐步改变自己行为模式来逃避检测,正当用户正常行为突然改变也会造成误警,统计算法计算量庞大，效率很低,统计点选取和参考库建立比较困难,国家信息化安全培训之入侵检测技术,第87页,3.2.2 误用检测,采取匹配技术检测已知攻击,提前建立已出现入侵行为特征,检测当前用户行为特征,国家信息化安全培训之入侵检测技术,第88页,3.2.2 误用检测,误用检测优点,算法简单,系统开销小,准确率高,效率高,国家信息化安全培训之入侵检测技术,第89页,3.2.2 误用检测,误用检测缺点,被动,只能检测出已知攻击,新类型攻击会对系统造成很大威胁,模式库建立和维护难,模式库要不停更新,知识依赖于,硬件平台,操作系统,系统中运行应用程序,国家信息化安全培训之入侵检测技术,第90页,3.2.3 完整性分析,经过检验系统当前系统配置，诸如系统文件内容或者系统表，来检验系统是否已经或者可能会遭到破坏。,其优点是不论模式匹配方法和统计分析方法能否发觉入侵，只要是成功攻击造成了文件或其它对象任何改变，它都能够发觉。,缺点是普通以批处理方式实现，不用于实时响应。,国家信息化安全培训之入侵检测技术,第91页,3.3 入侵检测详细技术,基于统计方法入侵检测技术,基于神经网络入侵检测技术,基于教授系统入侵检测技术,基于模型推理入侵检测技术,国家信息化安全培训之入侵检测技术,第92页,3.3.1 基于统计方法,审计系统实时地检测用户对系统使用情况，依据系统内部保持用户行为概率统计模型进行监测，当发觉有可疑用户行为发生时，保持跟踪并监测、统计该用户行为。,国家信息化安全培训之入侵检测技术,第93页,3.3.2 基于神经网络,采取神经网络技术，依据实时检测到信息有效地加以处理作出攻击可能性判断。神经网络技术能够用于处理传统统计分析技术所面临以下问题：,难于建立确切统计分布造成,难于实现方法普适性,算法实现比较昂贵,系统臃肿难于剪裁,国家信息化安全培训之入侵检测技术,第94页,3.3.3 基于教授系统,依据安全教授对可疑行为分析经验来形成一套推理规则，然后再在此基础之上组成对应教授系统，并应用于入侵检测。基于规则教授系统或推进系统也有一定不足。,国家信息化安全培训之入侵检测技术,第95页,3.3.4 基于模型推理,用基于模型推理方法人们能够为一些行为建立特定模型，从而能够监视含有特定行为特征一些活动。依据假设攻击脚本，这种系统就能检测出非法用户行为。,普通为了准确判断，要为不一样攻击者和不一样系统建立特定攻击脚本。,国家信息化安全培训之入侵检测技术,第96页,3.4 其它检测技术,免疫系统方法,遗传算法,基于代理检测,数据挖掘,国家信息化安全培训之入侵检测技术,第97页,4 入侵检测缺点,目标,经过本章学习，学员能够了解黑客怎样逃避入侵检测系统审计。,概要,利用字符串匹配缺点,分割IP数据包,拒绝服务攻击,国家信息化安全培训之入侵检测技术,第98页,4.1 利用字符串匹配缺点,路径坑骗,HEX编码,二次HEX编码,Unicode(UTF-8),国家信息化安全培训之入侵检测技术,第99页,4.1.1 路径坑骗,改变字符串外形，不过实质相同,假如入侵检测对scripts/iisadmin匹配,能够经过以下逃避：scripts/./iisadmin,Scripts/sample/./iisadmin,Scriptsiisadmin,国家信息化安全培训之入侵检测技术,第100页,4.1.2 路径坑骗处理方法,协议分析,URL标准化,国家信息化安全培训之入侵检测技术,第101页,4.1.3 HEX编码,URL中将%20代替空格,WEB服务器可识别HEX编码,入侵检测系统无法识别,使用%73代替s，提交/script%73/iisadmin,国家信息化安全培训之入侵检测技术,第102页,4.1.4 HEX编码处理方法,依赖协议分析,使用于WEB服务器相同分析器分析HEX编码,然后进行URL分析发觉攻击,国家信息化安全培训之入侵检测技术,第103页,4.1.5 二次HEX编码,微软IIS服务器对HEX码进行二次解码,解码前：scripts/.%255c./winnt,%25是%编码,第一次解码：scripts/.%5c./winnt,%5是编码,第二次解码：scripts/./winnt,等同于scripts/././winnt,国家信息化安全培训之入侵检测技术,第104页,4.1.6 Unicode(UTF-8),%7f以上编码属于unicode序列,%c0%af是一个正当Unicode序列,Scripts/.%c0%af./winnt,转换后为：scripts/././winnt,国家信息化安全培训之入侵检测技术,第105页,4.1.7 防止字符匹配缺点小结,解码IP包头文件，确定协议类型,分析HTTP请求全部成份,进行URL处理，防止路径坑骗、HEX编码、二次编码和Unicode,字符串匹配,Alert,国家信息化安全培训之入侵检测技术,第106页,4.2 分割IP数据包,有效逃避伎俩,切割一个攻击IP包,分割后IP包单独经过入侵检测,入侵检测系统无法匹配成功,国家信息化安全培训之入侵检测技术,第107页,4.3 拒绝服务攻击,攻击原理,发送大量黑客入侵包,入侵检测系统会发出大量Alert,审计数据库空间将溢出,入侵检测系统停顿工作,国家信息化安全培训之入侵检测技术,第108页,4.3 拒绝服务攻击,攻击后果,大量消耗设备处理能力，使黑客有机可乘,硬盘空间满，造成审计无法继续,产生大量Alert，造成管理机无法处理,造成管理员无法审查全部Alert,造成设备死锁,国家信息化安全培训之入侵检测技术,第109页,5 入侵检测标准化,概要：,入侵检测框架标准草案,入侵检测数据交换标准化,标准化工作总结,国家信息化安全培训之入侵检测技术,第110页,5.1 入侵检测框架标准草案,入侵检测系统体系结构,通信机制,描述语言,国家信息化安全培训之入侵检测技术,第111页,5.1.1 CIDF,体系结构,国家信息化安全培训之入侵检测技术,第112页,5.1.1 CIDF体系结构,事件产生器,事件分析器,事件数据库,响应单元,国家信息化安全培训之入侵检测技术,第113页,5.1.2 CIDF,六种协同方式,1.分析（Analyzing）：以下列图所表示。,国家信息化安全培训之入侵检测技术,第114页,5.1.2 CIDF,六种协同方式,2.,互补（Complementing）：,以下列图所表示。,国家信息化安全培训之入侵检测技术,第115页,5.1.2 CIDF,六种协同方式,3.,互纠（Reinforcing）：,以下列图所表示。,国家信息化安全培训之入侵检测技术,第116页,5.1.2 CIDF,六种协同方式,4.,核实（Verifying）：以下列图所表示。,国家信息化安全培训之入侵检测技术,第117页,5.1.2 CIDF,六种协同方式,5.,调整（Adjusting Monitoring）：以下列图所表示。,国家信息化安全培训之入侵检测技术,第118页,5.1.2 CIDF,六种协同方式,6.,响应（Responding）：以下列图所表示。,国家信息化安全培训之入侵检测技术,第119页,5.1.3 CIDF通信机制,CIDF通信机制模型,GIDO层；,消息层；,协商传输层,CIDF通信机制内容,配对服务；,路由；,消息层；,消息层处理。,国家信息化安全培训之入侵检测技术,第120页,CIDF通信机制模型,GIDO层,消息层,协商传输层,国家信息化安全培训之入侵检测技术,第121页,5.1.4 CIDF描述语言,应用层语言CISL（公共入侵规范语言）,CISL能够表示CIDF中各种信息：如原始事件信息（审计踪迹统计和网络数据流信息）、分析结果（系统异常和攻击特征描述）、响应提醒（停顿一些特定活动或修改组件安全参数）等等。,国家信息化安全培训之入侵检测技术,第122页,5.2 数据交换标准,数据交换标准定义了数据格式和交换规程，用于入侵检测或响应（IDR）系统之间或与需要交互管理系统之间信息共享；,数据交换标准主要内容：,入侵检测消息交换格式（IDMEF）；,入侵检测交换协议（IDXP）。,国家信息化安全培训之入侵检测技术,第123页,5.2.1 入侵检测消息交换格式IDMEF,IDMEF描述了表示入侵检测系统输出信息数据模型（该数据模型用XML实现），并解释了使用此模型基本原理，并设计了一个XML文档类型定义（XML DTD）；,自动入侵检测系统能够使用IDMEF提供标准数据格式对可疑事件发出警报，提升商业、开放资源和研究系统之间互操作性；,IDMEF最适合用于入侵检测分析器（或称为“探测器”）和接收警报管理器（或称为“控制台”）之间数据信道。,国家信息化安全培训之入侵检测技术,第124页,5.2.2 IDMEF数据模型图,国家信息化安全培训之入侵检测技术,第125页,5.2.3 文档标识语言XML,XML（Extensible Markup Language可扩展标识语言）是SGML（Standard Generalized Markup Language标准通用标识语言）简化版本，是ISO 8879标准对文本标识说明进行定义一个语法。作为一个表示和交换网络文档及数据语言，XML能够有效地处理HTML面临许多问题。,国家信息化安全培训之入侵检测技术,第126页,5.2.4 入侵检测交换协议IDXP,国家信息化安全培训之入侵检测技术,第127页,5.2.5 IDXP通信,国家信息化安全培训之入侵检测技术,第128页,5.3 IDS标准化发展,要使得国内厂商做出安全产品，能够符合国际标准、与其它安全产品相互沟通、而且含有长久生命力，就必须把IDS标准化提升到一个主要高度；,当前国内还没有制订出成熟入侵检测系统标准草案。要建立国内入侵检测系统标准和IDS产品测试开展。,国家信息化安全培训之入侵检测技术,第129页,6 IDS产品评定与选型标准,目标,经过本章学习，学员能够具备对自己或者客户网络结构提出入侵检测系统方面提议。,概要,IDS评定与测试,环境和策略考虑,IDS产品功效和品质,国家信息化安全培训之入侵检测技术,第130页,6.1 IDS评定与测试,入侵检测系统能发觉入侵行为吗,？,入侵检测系统是否到达了开发者设计目标？,什么样入侵检测系统才是用户需要性能优良入侵检测系统呢？,要回答这些问题，就要对入侵检测系统进行测试和评定。,国家信息化安全培训之入侵检测技术,第131页,6.1.1 IDS评价标准,Porras等给出了评价入侵检测系统性能三个原因：,准确性（Accuracy）,处理性能（Performance）,完备性（Completeness）,Debar等增加了两个性能评价测度,容错性（Fault Tolerance）,及时性（Timeliness）,国家信息化安全培训之入侵检测技术,第132页,6.1.,2 IDS测试评定步骤,创建、选择一些测试工具或测试脚本,确定计算环境所要求条件，比如背景计算机活动级别,配置运行入侵检测系统,运行测试工具或测试脚本,分析入侵检测系统检测结果,国家信息化安全培训之入侵检测技术,第133页,6.1.,3 IDS,测试分类,入侵识别测试（也可说是入侵检测系统有效性测试）,资源消耗测试,强度测试,国家信息化安全培训之入侵检测技术,第134页,6.1.4 评定IDS性能指标,检测率、虚警率及检测可信度(最主要指标),入侵检测系统本身抗攻击能力,延迟时间,资源占用情况,系统可用性。系统使用友好程度。,日志、报警、汇报以及响应能力,国家信息化安全培训之入侵检测技术,第135页,6.1.5 性能指标,接收器特征（,ROC）,曲线,国家信息化安全培训之入侵检测技术,第136页,6.2 环境和策略考虑,6.2.1 你系统环境,网络中存在那些应用和设备？,当前拥有那些防范办法？,你企业业务经营方向？,企业中系统环境和网络管理正式度？,国家信息化安全培训之入侵检测技术,第137页,6.2.2 你安全目标和任务,是否主要关注来自企业外部入侵事件？,你企业关注来自内部人员入侵吗？,你企业是否使用IDS用于管理控制超出于网络入侵防范？,国家信息化安全培训之入侵检测技术,第138页,6.3 IDS产品功效和品质,产品是否可扩展,产品是怎样测试,产品管理和操作难易度,产品售后服务怎样,产品日常维护详细承诺,国家信息化安全培训之入侵检测技术,第139页,6.3.1 产品是否可扩展？,针对你自己网络结构，IDS系统是否含有良好可扩展性？,国家信息化安全培训之入侵检测技术,第140页,6.3.2 产品是怎样测试？,针对你网络特点，产品提供者是否已测试？,该产品是否进行过攻击测试？,国家信息化安全培训之入侵检测技术,第141页,6.3.3 产品售后服务怎样？,产品安装和配置承诺是什么？,产品日常维护承诺是什么？,产品培训承诺是什么？,还能提供哪些额外培训及其费用？,国家信息化安全培训之入侵检测技术,第142页,6.3.4 产品维护详细承诺？,入侵检测规则库升级费用？,入侵检测规则库升级周期？,当一直新攻击出现后，规则升级速度？,是否包含软件升级（费用）？,当发觉软件问题后，厂商响应速度？,国家信息化安全培训之入侵检测技术,第143页,7 Liunx下实现一个简单入侵检测系统,本章内容介绍：,系统框架,数据采集部分,数据分析部分,告警与响应,性能分析,国家信息化安全培训之入侵检测技术,第144页,7.1 系统框架,从实现结构上看，waRcher分成三个应用程序，它们分别是：,数据搜集及分析程序(agent)；,告警信息搜集程序(listener)；,告警信息显示程序(console)。,国家信息化安全培训之入侵检测技术,第145页,7.2 数据采集部分,Agent采取了linux2.2内核中提供PF_PACKET类型socket（并未采取libpcap提供API接口）,直接从链路层获取数据帧,数据采集部分还做了一项工作就是将网卡置于混杂模式，这么能够监听到整个网段数据,国家信息化安全培训之入侵检测技术,第146页,7.3 数据分析部分,数据分析部分实际上与数据采集部分作为一个进程(agent)存在,主要是为了简化程序设计复杂性。,框图详见下一页,国家信息化安全培训之入侵检测技术,第147页,国家信息化安全培训之入侵检测技术,第148页,7.4 告警与响应,经过采集和分析模块后，假如判断为攻击行为或异常行为，IDS进行告警,发生告警后，能够人为进行响应，也能够经过预先设定对应模块进行自动响应,最常见响应方式是IDS和防火墙联动,国家信息化安全培训之入侵检测技术,第149页,7.5 性能分析,IDS系统面临一个矛盾便是性能与功效折衷,对waRcher而言，其可能影响性能有三个地方：,内核到应用层转换（包括数据拷贝）；,数据分析（大量数据匹配操作）；,统计日志（IO操作）。,国家信息化安全培训之入侵检测技术,第150页,8 Snort 分析,内容概要：,Snort安装与配置,Snort使用,Snort规则,Snort总体结构分析,国家信息化安全培训之入侵检测技术,第151页,8.1 Snort 安装与配置,Snort是一个用C语言编写开放源代码软件，符合GPL（GNU General Public License）要求，当前最新版本是1.8，其作者为Martin Roesch。,Snort称自己是一个跨平台、轻量级网络入侵检测软件，实际上它是一个基于libpcap网络数据包嗅探器和日志统计工具，能够用于入侵检测。从入侵检测分类上来看，Snort应该算是一个基于网络和误用入侵检测软件。,国家信息化安全培训之入侵检测技术,第152页,8.1.1 Snort介绍,Snort由三个主要子系统组成：,数据包解码器,检测引擎,日志与报警系统,国家信息化安全培训之入侵检测技术,第15