现代密码学理论与实践.ppt

2019/10/16,现代密码学理论与实践-18 入侵者,1/48,现代密码学理论与实践 第18章 入侵者,Fourth Edition by William Stallings Slides by 杨寿保 syang 2012年11月,2019/10/16,现代密码学理论与实践-18 入侵者,2/48,本章要点,对计算机系统或网络的入侵已成为计算机安全最严重的威胁之一。 入侵检测系统可以提供早期的预警，从而避免或减轻入侵所造成的损失。 入侵检测涉及对正常行为的模式检测和对与入侵相关的异常行为的模式检测。 防备入侵一个重要的组成部分就是口令管理，其目标是阻止非授权用户获得其他用户的口令。,2019/10/16,现代密码学理论与实践-18 入侵者,3/48,18.1 入侵者,用户非法入侵(黑客)与软件非法入侵(病毒) 三类入侵者 (hackers or crackers): 伪装者Masquerader 违法行为者Misfeasor 秘密用户Clandestine user 系统入侵已经明显地发展成为一个社会问题 许多入侵看起来是无害的，但仍消耗大量资源 可以通过被控制的系统向其他机器发起攻击,2019/10/16,现代密码学理论与实践-18 入侵者,4/48,18.1.1 入侵技术,口令文件及其保护 One-way encryption(单向加密), 用口令产生一个密钥用于加密 Access Control(访问控制)，限制对口令文件的访问 猜测口令的技术 尝试默认口令 穷尽所有短口令(1到3个字符) 尝试在线词典中的单词或看似口令的单词表(60,000) 收集用户信息，如爱好、生日、配偶或孩子名 尝试用户电话、社会安全号，住址 使用特洛伊木马 窃听远程用户和主机之间的线路,2019/10/16,现代密码学理论与实践-18 入侵者,5/48,入侵者和黑客,入侵者(攻击者)指怀着不良的企图，闯入远程计算机系统甚至破坏远程计算机系统完整性的人。入侵者利用获得的非法访问权，破坏重要数据，拒绝合法用户的服务请求，或为了自己的目的故意制造麻烦。入侵者的行为是恶意的，入侵者可能技术水平很高，也可能是个初学者。 黑客指利用通信软件通过网络非法进入他人系统，截获或篡改计算机数据，危害信息安全的电脑入侵者。黑客们通过猜测程序对截获的用户账号和口令进行破译，以便进入系统后做更进一步的操作。,2019/10/16,现代密码学理论与实践-18 入侵者,6/48,黑客攻击的三个阶段,1信息收集 黑客会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息。 SNMP协议：查阅网络系统路由器的路由表，了解目标主机所在网络的拓扑结构及其内部细节。 TraceRoute程序：获得到达目标主机所要经过的路径。 Whois协议：提供所有有关的DNS域和相关的管理参数。 DNS服务器：提供了系统中可以访问的主机IP地址表和它们所对应的主机名。 Finger协议：获取指定主机上的所有用户的详细信息，如用户注册名、电话号码、最后注册时间以及是否读邮件等。 Ping程序：用来确定一个指定主机的位置。 Wardialing软件：向目标站点一次连续拨出大批电话号码，直到遇到某一正确的号码使其MODEM响应。,2019/10/16,现代密码学理论与实践-18 入侵者,7/48,黑客攻击的三个阶段(2),2系统安全弱点的探测 黑客可能使用下列方式自动扫描驻留在网络上的每台主机，以寻求该系统的安全漏洞或安全弱点。 （1）自编程序。黑客发现“补丁”程序的接口后会自己编写程序，通过该接口进入目标系统。 （2）利用公开工具，对整个网络或子网进行扫描，寻找安全漏洞。 3网络攻击 （1）毁掉攻击入侵的痕迹，并在受害系统上建立新的安全漏洞或后门, 以便在先前的攻击点被发现之后, 继续访问该系统。 （2）在目标系统中安装探测器软件，包括特洛伊木马程序，用来窥探所在系统的活动，收集黑客感兴趣的一切信息。 （3）进一步发现受损系统在网络中的信任等级，通过该系统信任级展开对整个系统的攻击。,2019/10/16,现代密码学理论与实践-18 入侵者,8/48,对付黑客入侵,“被入侵”指的是网络遭受到非法闯入的情况, 分为不同的程度： （1）入侵者只获得访问权(一个登录名和口令)； （2）入侵者获得访问权，并毁坏、侵蚀或改变数据； （3）入侵者获得访问权，并获得系统一部分或整个系统控制权，拒绝拥有特权用户的访问； （4）入侵者没有获得访问权，而是用不良程序，引起网络持久性或暂时性的运行失败、重新启动、挂起或其它无法操作的状态。 1发现黑客 可以在Unix平台检查系统命令, 如rm, login, /bin/sh及perl等的使用情况。在Windows上，可以定期检查Event Log中的Security Log，以寻找可疑行为。,2019/10/16,现代密码学理论与实践-18 入侵者,9/48,对付黑客入侵(2),2应急操作 （l）估计形势 黑客是否已成功闯入站点？ 黑客是否还滞留在系统中？ 可以关闭系统或停止有影响的服务(FTP, Gopher, Telnet等)，甚至可能需要关闭因特网连接。 入侵是否有来自内部威胁的可能？ 是否了解入侵者身份？可预先留出一些空间给入侵者，从中了解一些入侵者的信息。,2019/10/16,现代密码学理论与实践-18 入侵者,10/48,对付黑客入侵(3),（2）切断连接 首先应切断连接，具体操作要看环境。 能否关闭服务器？若有需要, 可以关闭一些服务。 是否关心追踪黑客？若是，则不要关闭因特网连接，因为这会失去入侵者的踪迹。 若关闭服务器，是否能承受得起失去一些必须的有用系统信息的损失？ （3）分析问题 当已识别安全漏洞并将进行修补时，要保证修补不会引起其他安全漏洞问题。 （4）采取合适的行动,2019/10/16,现代密码学理论与实践-18 入侵者,11/48,抓住入侵者,遵循如下原则对抓住入侵者会大有帮助 （1）注意经常定期检查登录文件，特别是那些由系统登录服务和wtmp文件生成的内容。 （2）注意不寻常的主机连接及连接次数, 通知用户。 （3）注意那些原不经常使用却突然变得活跃的账户, 应该禁止或干脆删去这些不用的账户。 （4）预计黑客经常光顾的时段里，每隔10分钟运行一次shell script文件，记录所有的过程及网络联接。,2019/10/16,现代密码学理论与实践-18 入侵者,12/48,18.2 入侵检测,有效的入侵检测系统可以看成阻止入侵的屏障 入侵检测可以收集入侵技术的信息，用以增强入侵阻止工具 入侵检测建立的前提是假设入侵者的行为在某些情况下不同于合法用户的行为，然而两者仍有重叠部分。放宽定义入侵者行为，会发现更多的入侵者，也会产生大量的“错误肯定” 为减少错误肯定，严格定义入侵者的行为，将导致错误否定的增加，即无法判断出入侵者。因此在入侵的实践中存在巧妙的折衷,2019/10/16,现代密码学理论与实践-18 入侵者,13/48,入侵者和授权用户行为形态,2019/10/16,现代密码学理论与实践-18 入侵者,14/48,入侵检测方法,统计异常检测Statistical anomaly detection，定义通常的或期望的行为 阈值检测Treshold detection 基于形态的检测Profile based 基于规则的检测Rule based detection，定义合适的行为 异常检测Anomaly detection 渗透识别Penetration identidication 审计记录，入侵检测的基本工具 原有审计记录 专门用于检测的审计记录,2019/10/16,现代密码学理论与实践-18 入侵者,15/48,2019/10/16,现代密码学理论与实践-18 入侵者,16/48,常用监测入侵手段,按天记录登录的频率和次数 记录在不同地点登录的频率 距离上次登录的时间 登录时口令失败次数 程序执行频繁程度 程序拒绝执行次数 读、写、创建、删除频度 读、写、创建、删除失败次数,2019/10/16,现代密码学理论与实践-18 入侵者,17/48,18.2.3 基于规则的入侵检测,通过观察系统中的事件，应用决定给定活动模式是否可疑的规则集来检测入侵行为 异常检测，类似于统计的异常检测 基于规则的渗透标识：采用基于专家系统技术的方法, 使用规则来识别已知的渗透, 或那些利用已知弱点的渗透行为。 NDIX采用启发式规则对行为分配可疑程度 IDES使用渗透标识模式，当生成审计记录时进行检查，并与规则库相匹配；如果找到匹配，用户的可疑等级会提高；匹配了足够多的规则，等级超过阈值，导致异常报告,2019/10/16,现代密码学理论与实践-18 入侵者,18/48,USTAT状态转换模型动作相对于SunOS事件类型,2019/10/16,现代密码学理论与实践-18 入侵者,19/48,18.2.5 分布式入侵检测,分布式入侵检测系统要考虑的几个问题 分布式入侵检测系统可能需要处理不同的审计记录格式 网络上一个或多个结点将作为数据收集和分析点，需要保证数据完整性和机密性 集中的或分散的体系结构都可以使用 分布式入侵检测系统的组成 主机代理模块：收集主机上有关事件数据，送给中央管理者 局域网监视代理模块：与主机代理模块类似 中央管理者模块：接收事件报告，关联事件，检测入侵,2019/10/16,现代密码学理论与实践-18 入侵者,20/48,Distributed Intrusion Detection,2019/10/16,现代密码学理论与实践-18 入侵者,21/48,代理的体系结构,2019/10/16,现代密码学理论与实践-18 入侵者,22/48,18.2.6 蜜罐技术(honey pot),蜜罐是诱导潜在的攻击者远离重要系统的圈套 转移攻击重要系统的攻击者 收集攻击者活动的信息 希望攻击者在系统中逗留足够的时间，使管理员能对此攻击做出响应 蜜罐充满合法用户不会访问、但表面看起来有价值的虚假信息，任何对蜜罐的访问都是可疑的 蜜罐系统使用的工具包括灵敏的监视器和事件日志 初始使用一台有IP地址的机器吸引黑客，现在是建立蜜罐网络，用来模拟一个企业网络。使用实际的或模拟的通信量和数据，一旦黑客进入，管理员可以详细观察到他们的行为，提出防范措施。,2019/10/16,现代密码学理论与实践-18 入侵者,23/48,入侵检测系统的通用模型,2019/10/16,现代密码学理论与实践-18 入侵者,24/48,IDS的用途,攻击工具 攻击命令,攻击机制,目标网络,目标系统,攻击者,漏洞扫描 评估 加固,攻击过程,实时 入侵 检测,2019/10/16,现代密码学理论与实践-18 入侵者,25/48,入侵检测系统的实现过程,信息收集，来源： 网络流量 系统日志文件 系统目录和文件的异常变化 程序执行中的异常行为 信息分析 模式匹配 统计分析 完整性分析，往往用于事后分析,2019/10/16,现代密码学理论与实践-18 入侵者,26/48,入侵检测系统的种类,基于主机 安全操作系统必须具备一定的审计功能，并记录相应的安全性日志 基于网络 IDS可以放在防火墙或者网关的后面，以网络嗅探器的形式捕获所有的对内对外的数据包 基于内核 从操作系统的内核接收数据，比如LIDS 基于应用 从正在运行的应用程序中收集数据,2019/10/16,现代密码学理论与实践-18 入侵者,27/48,IDS的技术,异常检测(anomaly detection) 也称为基于行为的检测 首先建立起用户的正常使用模式，即知识库 标识出不符合正常模式的行为活动 误用检测(misuse detection) 也称为基于特征的检测 建立起已知攻击的知识库 判别当前行为活动是否符合已知的攻击模式,2019/10/16,现代密码学理论与实践-18 入侵者,28/48,异常检测,比较符合安全的概念，但是实现难度较大 正常模式的知识库难以建立 难以明确划分正常模式和异常模式 常用技术 统计方法 预测模式 神经网络,2019/10/16,现代密码学理论与实践-18 入侵者,29/48,误用检测,目前研究工作比较多，并且已经进入实用 建立起已有攻击的模式特征库 难点在于如何做到动态更新、自适应 常用技术 基于简单规则的模式匹配技术 基于专家系统的检测技术 基于状态转换分析的检测技术 基于神经网络检测技术 其他技术，如数据挖掘、模糊数学等,2019/10/16,现代密码学理论与实践-18 入侵者,30/48,IDS的两个指标,漏报率 指攻击事件没有被IDS检测到 误报率(false alarm rate) 把正常事件识别为攻击并报警 误报率与检出率成正比例关系,2019/10/16,现代密码学理论与实践-18 入侵者,31/48,基于网络的IDS系统,收集网络流量数据 利用sniff技术 把IDS配置在合理的流量集中点上，比如与防火墙或者网关配置在一个子网中 利用某些识别技术 基于模式匹配的专家系统 基于异常行为分析的检测手段,2019/10/16,现代密码学理论与实践-18 入侵者,32/48,一个轻量级的网络IDS: snort,是一个基于简单模式匹配的IDS 源码开放，跨平台(C语言编写，可移植性好) 利用libpcap作为捕获数据包的工具 特点 性能强、简单、灵活 三个子系统：网络包解析器、检测引擎、日志和报警 内置一套插件子系统，作为系统扩展的手段 模式特征链规则链 命令行方式运行，也可以用作一个sniffer工具,2019/10/16,现代密码学理论与实践-18 入侵者,33/48,网络数据包解析,结合网络协议栈的结构来设计 Snort支持链路层和TCP/IP的协议定义 每一层上的数据包都对应一个函数 按照协议层次的顺序依次调用就可以得到各个层上的数据包头 从链路层，到传输层，直到应用层 在解析的过程中，性能非常关键，在每一层传递过程中，只传递指针，不传实际的数据 支持链路层：以太网、令牌网、FDDI,2019/10/16,现代密码学理论与实践-18 入侵者,34/48,Snort规则链处理过程,二维链表结构 匹配过程 首先匹配到适当的Chain Header 然后匹配到适当的Chain Option 最后，满足条件的第一个规则指示相应的动作,2019/10/16,现代密码学理论与实践-18 入侵者,35/48,Snort: 日志和报警子系统,当匹配到特定的规则之后，检测引擎会触发相应的动作 日志记录动作有三种格式 解码之后的二进制数据包 文本形式的IP结构 Tcpdump格式 如果考虑性能的话，应选择tcpdump格式，或者关闭logging功能 报警动作包括 Syslog 记录到alert文本文件中 发送WinPopup消息,2019/10/16,现代密码学理论与实践-18 入侵者,36/48,关于snort的规则,Snort的规则比较简单 规则结构 规则头： alert tcp !/24 any - /24 any 规则选项： (flags: SF; msg: “SYN-FIN Scan”;) 针对已经发现的攻击类型，都可以编写出适当的规则来 规则与性能的关系 先后的顺序 Content option的讲究 许多cgi攻击和缓冲区溢出攻击都需要content option 现有大量的规则可供利用,2019/10/16,现代密码学理论与实践-18 入侵者,37/48,Snort规则示例,规则示例,Option类型,2019/10/16,现代密码学理论与实践-18 入侵者,38/48,关于snort,开放性 源码开放，最新规则库的开放 作为商业IDS的有机补充 特别是对于最新攻击模式的知识共享 Snort的部署 作为分布式IDS的节点 为高级的IDS提供基本的事件报告 发展 数据库的支持 互操作性，规则库的标准化 二进制插件的支持 预处理器模块：TCP流重组、统计分析，等 ,2019/10/16,现代密码学理论与实践-18 入侵者,39/48,异常检测的网络IDS,基于规则和特征匹配的NIDS的缺点 对于新的攻击不能正确识别 人工提取特征，把攻击转换成规则，加入到规则库中 异常检测的NIDS可以有一定的自适应能力 利用网络系统的已知流量模式进行学习，把正常流量模式的知识学习到IDS中 当出现新的攻击时，根据异常行为来识别 对于新的攻击以及异常模式可以反馈到IDS系统中,2019/10/16,现代密码学理论与实践-18 入侵者,40/48,18.3 口令管理,用户ID的作用 确定用户是否获得访问系统的授权 确定分配给用户的相应权利 用于自主discretionary的访问控制 UNIX口令模式 用户选择长度大于8个可打印字符的口令, 转换成56位的值, 作为加密例程的密钥输入。加密例程cryp(3)是基于DES的，使用12位的盐值salt修改DES算法。使用由0组成的64位数据输入执行DES算法，输出作为二次加密的输入，加密过程重复25次。 产生的64位输出被转换成11个字符序列，密文口令和明文盐值副本一起存放在口令文件相应用户ID项中。,2019/10/16,现代密码学理论与实践-18 入侵者,41/48,UNIX Password Scheme,2019/10/16,现代密码学理论与实