安全防护与入侵检测.ppt

第 5 章 安全防护与入侵检测,【本章要点】 本章主要从网络安全的防护和入侵检测入手，详细介绍了嗅探软件Sniffer的功能、对报文的捕获与解析及高级应用。在入侵检测系统中，介绍了入侵检测系统的原理、类型和入侵防护技术及蜜罐、密网和密场等知识。,5.1 Sniffer Pro网络管理与监视 5.2 入侵检测系统 5.3 蜜罐、密网和密场,Sniffer Pro网络管理与监视,Sniffer，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。,基于以太网络嗅探的Sniffer只能抓取一个物理网段内的包，就是说，你和监听的目标中间不能有路由或其他屏蔽广播包的设备，这一点很重要。所以，对一般拨号上网的用户来说，是不可能利用Sniffer来窃听到其他人的通信内容的。,1. 网络技术与设备简介,数据在网络上是以很小的称为帧（Frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会带来安全方面的问题。,每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址惟一地表示了网络上的机器（这一点与Internet地址系统比较相似）。当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。,网络监听原理,Sniffer程序是一种利用以太网的特性把网络适配卡（NIC，一般为以太网卡）置为杂乱（promiscuous）模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包,普通的情况下，网卡只接收和自己的地址有关的信息包，即传输到本地主机的信息包。要使Sniffer能接收并处理这种方式的信息，系统需要支持BPF。但一般情况下，网络硬件和TCPIP堆栈不支持接收或者发送与本地计算机无关的数据包，所以，为了绕过标准的TCPIP堆栈，网卡就必须设置为我们刚开始讲的混杂模式。一般情况下，要激活这种方式，内核必须支持这种伪设备Bpfilter，而且需要root权限来运行这种程序，所以sniffer需要root身份安装，如果只是以本地用户的身份进入了系统，那么不可能唤探到root的密码，因为不能运行Sniffer。,Sniffer产品的基本功能包括功能,1） 网络安全的保障与维护 2) 面向网络链路运行情况的监测 3) 面向网络上应用情况的监测 4） 强大的协议解码能力，用于对网络流量的深入解析 5） 网络管理、故障报警及恢复,实时监控统计和告警功能,根据用户习惯，Sniffer可提供实时数据或图表方式显示统计结果，统计内容包括： 网络统计：如当前和平均网络利用率、总的和当前的帧数及字节数、总站数和激活的站数、协议类型、当前和总的平均帧长等。 协议统计：如协议的网络利用率、协议的数、协议的字节数以及每种协议中各种不同类型的帧的统计等。 差错统计：如错误的CRC校验数、发生的碰撞数、错误帧数等。 站统计：如接收和发送的帧数、开始时间、停止时间、消耗时间、站状态等。最多可统计1024个站。 帧长统计：如某一帧长的帧所占百分比，某一帧长的帧数等。 当某些指标超过规定的阈值时，Sniffer可以自动显示或采用有声形式的告警。 Sniffer可根据网络管理者的要求，自动将统计结果生成多种统计报告格式，并可存盘或打印输出。,Sniffer实时专家分析系统,Sniffer与其他网络协议分析仪最大的差别在于它的人工智能专家系统(Expert System)。简单地说，Sniffer能自动实时监视网络，捕捉数据，识别网络配置，自动发现网络故障并进行告警，它能指出： 网络故障发生的位置，以及出现在OSI第几层。 网络故障的性质，产生故障的可能的原因以及为解决故障建议采取的行动。 Sniffer 还提供了专家配制功能，用户可以自已设定专家系统判断故障发生的触发条件。,Sniffer Pro的登录与界面,Sniffer Pro报文的捕获与解析,基本捕获条件,基本的捕获条件有两种： 1) 链路层捕获，按源MAC和目的MAC地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。 2) IP层捕获，按源IP和目的IP进行捕获。输入方式为点间隔方式，如：。如果选择IP层捕获条件则ARP等报文将被过滤掉，如图5.3所示。,高级捕获条件,在“Advance”页面下，你可以编辑你的协议捕获条件,任意捕获条件,捕获过程报文统计,在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率,捕获报文查看,Sniffer软件提供了强大的分析能力和解码功能。对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息，如图5.7所示。,专家分析 专家分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。 在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。 对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因，如图5.8所示。,捕获的报文,解码功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为Capture-Define Filter和Display-Define Filter。 过滤器可以根据物理地址或IP地址和协议选择进行组合筛选，如图5.9所示,解码分析,下图5.9是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的报文。使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多，这里不对协议进行过多讲解，请参阅其他相关资料。 对于MAC地址，Snffier软件进行了头部的替换，如00e0fc开头的就替换成Huawei，这样有利于了解网络上各种相关设备的制造厂商信息。,5.1.4 Sniffer Pro的高级应用,使用数据包生成器在网络中发送测试数据包，这样可以重现要排除的网络故障，验证对网络设备或应用程序的修复方法是否正确和生成各级网络通信量负载，模拟实际的网络情况并对设备或应用程序进行测试。 要启动“数据包生成器”，请选择工具菜单中的数据包生成器。通过“数据包生成器”，可以发送自已创建或从网络捕获的单个数据包。也可以发送捕获缓冲区或捕获文件的全部内容。 可以一次、连续或以指定次数发送数据包、捕获缓冲区或者捕获文件。当发送多个数据包或连续发送一个数据包时，您可以指定每个数据包之间的时延(以毫秒或希望所发送数据包达到的线路利用率百分比表示)。,“数据包生成器”有两个视图。动画视图显示了数据包止在发送的时刻。详细信息视图详细显示了数据包传输的过程。要启动“数据包生成器”，选择工具菜单中的数据包生成器。通过它，可以发送自己创建或从网络捕获的单个数据包，也可以发送捕获缓冲区或捕获文件的全部内容。,发送单个数据包,在发送数据包之前，必须准备好要发送的消息。您可以创建数据包、使用已捕获数据包或者使用修改后的已捕获数据包。 要创建新数据包，请单击“数据包生成器”窗中的按钮打开“发送新帧”对话框。您可在配置选项卡中直接编辑十六进制的显示内容。 要选择或编辑现有的(捕获的)数据包，您必须先从解码显示的“摘要”窗格中选择该数据包。然后，单击“数据包生成器”窗日中的按钮打开“发送当前帧”对话框。您可在配置选项卡中编辑十六进制的显示内容。通过选择对话框中的选项，您可以控制发送数据包的方式，如图5.10所示。,发送捕获缓冲区或文件,要发送当前的捕获缓冲区或捕获文件，您必须先显示其内容。要显示当前缓冲区，请选择捕获菜单中的显示。要显示捕获文件，请选择文件菜单中的打开。然后，在“数据包生成器”窗日中单击至按钮。“发送当前缓冲区”对话框将显示缓冲区/文件内容的有关信息，允许您控制发送数据包的方式，如图5.11所示。,5.1.5 Sniffer Pro的工具使用,1. Ping命令的使用,图5-12 Ping命令的面板,2. 路由跟踪Traceroute,图5-13 Traceroute命令的面板,3. DNS,图5-14 DNS命令的面板,4. Finger,图5-15 Finger命令的面板,5. Whois,图5-16 Whois命令的面板,6. 添加工具,图5-17 添加“工具”命令的面板,5.2.1 入侵检测的概念与原理 1.入侵检测的基本原理 2.入侵检测系统的分类 3.入侵检测系统的发展方向,5.2 入侵检测系统,1.入侵检测系统的作用 我们知道，防火墙是Internet网络上最有效的安全保护屏障，防火墙在网络安全中起到大门警卫的作用，对进出的数据依照预先设定的规则进行匹配，符合规则的就予以放行，起到访问控制的作用，是网络安全的第一道闸门。但防火墙的功能也有局限性，防火墙只能对进出网络的数据进行分析，对网络内部发生的事件完全无能为力。 同时，由于防火墙处于网关的位置，不可能对进出攻击作太多判断，否则会严重影响网络性能。如果把防火墙比作大门警卫的话，入侵检测就是网络中不间断的摄像机，入侵检测通过旁路监听的方式不间断的收取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警。 IDS是主动保护自己免受攻击的一种网络安全技术。IDS对网络或系统上的可疑行为做出相应的反应，及时切断入侵源，保护现场并通过各种途径通知网络管理员，增大保障系统安全。,2.入侵检测系统的工作流程 入侵检测系统由数据收集、数据提取、数据分析、事件处理等几个部份组成。 (1) 数据收集 入侵检测的第一步是数据收集，内容包括系统、网络运行、数据及用户活动的状态和行为，而且，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集数据。入侵检测很大程度上依赖于收集数据的准确性与可靠性，因此，必须使用精确的软件来报告这些信息，因为黑客经常替换软件以搞混和移走这些数据，例如替换被程序调用的子程序、库和其它工具。数据的收集主要来源以下几个方面：系统和网络日志文件、目录和文件不期望的改变、程序不期望的行为、物理形式的入侵数据。 (2)数据提取 从收集到的数据中提取有用的数据，以供数据分析之用。 (3)数据分析 对收集到的有关系统、网络运行、数据及用户活动的状态和行为等数据通过三种技术手段进行分析：模块匹配、统计分析和完整性分析。 (4)结果处理 记录入侵事件，同时采取报警、中断连接等措施。,入侵检测系统的分类 入侵检测系统(IDS)可以分成3类：基于主机型(Host Based) 入侵检测系统、基于网络型(Network Based) 入侵检测系统和基于代理型(Agent Based) 入侵检测系统。 1. 基于主机的入侵检测系统 基于主机的入侵检测系统通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名(Attack Signature，指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配，检测系统向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件，并可对入侵事件及时做出反应。它还可针对不同操作系统的特点判断应用层的入侵事件。基于主机的IDS有着明显的优点： l 适合于加密和交换环境； l 可实时的检测和响应； l 不需要额外的硬件。 基于主机的入侵检测系统对系统内在的结构却没有任何约束，同时可以利用操作系统本身提供的功能，并结合异常检测分析，更能准确的报告攻击行为。 基于主机的入侵检测系统存在的不足之处在于：会占用主机的系统资源，增加系统负荷，而且针对不同的操作平台必须开发出不同的程序，另外所需配置的数量众多。,2. 基于网络的入侵检测系统 基于网络的入侵检测系统把原始的网络数据包作为数据源。利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务。它的攻击识别模块进行攻击签名识别的方法有：模式、表达式或字节码匹配；频率或阈值比较；次要事件的相关性处理；统计异常检测。一旦检测到攻击，IDS的响应模块通过通知、报警以及中断连接等方式来对攻击行为做出反应。然而它只能监视通过本网段的活动，并且精确度较差，在交换网络环境中难于配置，防欺骗的能力也比较差。其优势有： l 成本低； l 攻击者转移证据困难； l 实时检测和响应； l 能够检测到未成功的攻击企图； l与操作系统无关。,3. 基于代理的入侵检测系统 基于代理的入侵检测系统用于监视大型网络系统。随着网络系统的复杂化和大型化，系统弱点趋于分布式，而且攻击行为也表现为相互协作式特点，所以不同的IDS之间需要共享信息，协同检测。整个系统可以由一个中央监视器和多个代理组成。中央监视器负责对整个监视系统的管理，它应该处于一个相对安全的地方。代理则被安放在被监视的主机上(如服务器、交换机、路由器等)。代理负责对某一主机的活动进行监视，如收集主机运行时的审计数据和操作系统的数据信息，然后将这些数据传送到中央监视器。代理也可以接受中央监控器的指令。这种系统的优点是可以对大型分布式网络进行检测。,5.2.2 入侵检测系统的构成与功能,1. 入侵检测系统的构成 2. 入侵检测系统(IDS)的主要功能,5.2.3 入侵检测系统的分类,1. 根据其采用的技术可以分为异常检测和特征检测 2. 根据其监测的对象 3. 根据工作方式分为离线检测系统与在线检测系统,5.2.4 入侵检测系统的部署,1. 定义IDS的目标 2. 选择监视内容 3. 部署IDS,1. 定义IDS的目标 1) 明确网络拓扑需求 2) 安全策略需求 3) IDS的管理需求,2.选择监视内容,1）选择监视的网络区域 2）选择监视的数据包的类型 3）根据网络数据包的内容进行检测 一般来说，不同的入侵检测系统采用不同的方法来监视网络数据包的内容，例如可以采用先根据网络协议来选择入侵特征规则进行检测，然后再根据此协议数据包中的字符特征进行检测。,3.部署IDS,1)只检测内部网络和外部网络边界流量的IDS系统的部署 在小型网络结构中，如果内部网络是可以信任的，那么只需要监控内部网络和外部网络的边界流量。这种情况下，入侵检测系统部署在出口路由器或防火墙的后面，用来监控网络入口处所有流入和流出网络的流量，网络拓扑结构可按照图5.13所示的方式进行部署。 在图5.13中，IDS被部署在内部网络与Internet的出口处，IDS设备的监听口连接到了内部网络出口处的交换机(Switch)镜像接口上，从而可以捕获到交换机镜像接口的网络流量。 管理员可以通过命令行方式(Console、Telnet或SSH)或Web方式(HTTP或HTTPS)远程登录到IDS管理接口并对设备进行配置管理。 图5.13所示的部署方式不仅方便了用户的使用和配置，也节约了投资成本，适合中小规模企业的网络安全应用。,监控网络边界流量的IDS系统的拓扑结构,2)集中监控多个子网流量 在这种组网情况下，内部局域网中划分了多个不同职能的子网，有些子网访问某些子网资源量希望受到监控和保护，假设具体进行监控。 (1)需要对关键子网LAN1的流量进行监控。 (2)LAN2子网了放置了各种服务器，因此对LAN2的所有流量也需要进行监控。 (3)网络管理员要能够集中监控网络的流量和异常情况。 在这种情况下，含IDS的网络拓扑如图5.14示。,集中监控多个子网流量的IDS拓扑结构,5.2.5 入侵检测系统的选型,入侵检测系统的模型多种多样，根据不同的检测模型，设置所要考虑的要点也有所侧重，总的来说分为几种方式。 1. 异常检测模型的基本原理 2. 异常检测的关键技术 1) 特征量的选择 2) 参考阈值的选定,异常检测模型的实现方法,基于统计分析的异常检测方法 常见的几种异常测量值的测量类型如下 ： 活动强度测量。用以描述活动的处理速度。 审计记录分布测量。用以描述最近审计记录中所有活动类型的分布状况。 类型测量。用以描述特定的活动在各种类型的分布状况。 顺序测量。用以描述活动的输出结果。 2) 基于特征选择的异常检测方法 3) 基于贝叶斯推理的异常检测方法 4) 基有贝叶斯网络的异常检测方法 5) 基于模式预测的鼻常检测方法 6) 基于件经网络的异常检测方法 7) 基于贝叶斯聚类的异常检测方法 8) 基于机器自学习系统的异常检测方法 9) 基于数据采掘技术的异常检测方法,误用检测模型的基本原理,对于误用检测系统来说，最重要的技术如下： 如何全面描述攻击的特征，覆盖在此基础上的变种方。 如何排除其他带有干扰性质的行为， 减少误报率。,误用入侵检测模型的基本方法,误用检测模型常用的检测方法有基于条件概率误用入侵检测方法、基于专家系统误 用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法和基于模型误用入侵检测方法等。 1) 基于条件概率的误用入侵检测方法 2) 基于专家系统的误用入侵检测方法 3) 基于状态迁移分析的误用入侵检测方法 4) 基于键盘监控的误用入侵检测方法 5) 基于模型的误用入侵检测方法,异常检测模型和误用检测模型的比较 异常检测系统试图发现一些未知的入侵行为，而误用检测系统则是检测一些已知的入侵行为。 异常检测指根据使用者的行为或资源使用状况来判断是否入侵行为的发生 ， 而不依 赖于具体行为是否出现来检测;而误用检测系统则大多是通过对一些具体的行为的判断和推理，从而检测出入侵行为。 异常检测的主要缺陷在于误检率很高，尤其在用户数目众多或工作行为经常改变的环境中;而误用检测系统由于依据具体特征库进行判断，准确度要高很多。 异常检测对具体系统的依赖性相对较小 ; 而误用检测系统对具体的系统依赖性很强，移植性不好。,其他入侵检测模型 1） 基于生物免疫的入侵检测方法 2）基于伪装的入侵检测方法 3）基于统计学方法的入侵检测系统 4）基于专家系统的入侵检测方法,5.2.6 入侵防御系统IPS,IPS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。因此，人们迫切地需要找到一种主动入侵防护解决方案，以确保企业网络在威胁四起的环境下正常运行。入侵防御系统(InmSion Prevention System 或 IntmSion Detection Prevention，即IPS或IDP)就应运而生了。ES是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统 不受实质性的攻击。IPS使得BS 和防火墙走向统一。,目前比较流行的网络级安全防范措施是使用专业防火墙+入侵检测系统(IDS) 为企业 内部网络构筑一道安全屏障。防火墙可以有效地阻止有害数据的通过，而 IDS 则主要用于有害数据的分析和发现，它是防火墙功能的延续。两者联动，可及时发现并减缓 DoS、DDoS 攻击，减轻攻击所造成的损失。 最近市场上出现了一种将防火墙和IDS两者合二为一的新产品“入侵防御系统(IntruSion bevention System 简称 IPS)。它不但能检测侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，二者的整合大幅度地提高了检测和阻止网络攻击的效率，是今后网络安全架构的一种发展趋势。 将入侵防御技术应用到具体的网络环境后，就形成了入侵防御系统：IPS。,IPS的原理,入侵防御技术是在入侵检测技术的基础上增加了主动响应的功能，一旦发现有攻击行为， 则立即响应，并且主动切断连接。 IPS 能够实时检测入侵、阻止入侵的原理在于IPS拥有大量的过滤器，针对不同的攻击行为，IPS 需要不同的过滤器，每种过滤器都设有相应的过滤规则。当新的攻击手段被发现之后， IPS 就会创建一个新的过滤器。IPS 数据包处理引擎可以深层检查数据包的内容。如果有攻击者利用从数据链路层到应用层的漏洞发起攻击 ， IPS能够从数据流中检查出这些攻击并加以阻止。所有流经IPS的数据包将依据数据包中的包头信息 ， 如源 IP 地址和目的 IP 地址、端口号等进行分类。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继 续前进，包含恶意内容的数据包就会被丢弃 ， 被怀疑的数据包需要接受进一步的检查。,IPS 的种类,(1) 基于主机的IPS (HIPS) (2) 基于网络的IPS (NIPS),NIPS技术特征,4. 集中式入侵防御技术,1) 集中式IPS网络拓扑结构 数