第5章安全防护与入侵检测.ppt

第5章安全防护与入侵检测 SnifferPro网络管理与监视 Sniffer 中文可以翻译为嗅探器 是一种基于被动侦听原理的网络分析方式 使用这种技术方式 可以监视网络的状态 数据流动情况以及网络上传输的信息 当信息以明文的形式在网络上传输时 便可以使用网络监听的方式来进行攻击 将网络接口设置在监听模式 便可以将网上传输的源源不断的信息截获 Sniffer技术常常被黑客们用来截获用户的口令 但实际上Sniffer技术被广泛地应用于网络故障诊断 协议分析 应用性能分析和网络安全保障等各个领域 基于以太网络嗅探的Sniffer只能抓取一个物理网段内的包 就是说 你和监听的目标中间不能有路由或其他屏蔽广播包的设备 这一点很重要 所以 对一般拨号上网的用户来说 是不可能利用Sniffer来窃听到其他人的通信内容的 网络技术与设备简介 数据在网络上是以很小的称为帧 Frame 的单位传输的 帧由几部分组成 不同的部分执行不同的功能 帧通过特定的称为网络驱动程序的软件进行成型 然后通过网卡发送到网线上 通过网线到达它们的目的机器 在目的机器的一端执行相反的过程 接收端机器的以太网卡捕获到这些帧 并告诉操作系统帧已到达 然后对其进行存储 就是在这个传输和接收的过程中 嗅探器会带来安全方面的问题 每一个在局域网 LAN 上的工作站都有其硬件地址 这些地址惟一地表示了网络上的机器 这一点与Internet地址系统比较相似 当用户发送一个数据包时 这些数据包就会发送到LAN上所有可用的机器 网络监听原理 Sniffer程序是一种利用以太网的特性把网络适配卡 NIC 一般为以太网卡 置为杂乱 promiscuous 模式状态的工具 一旦网卡设置为这种模式 它就能接收传输在网络上的每一个信息包 普通的情况下 网卡只接收和自己的地址有关的信息包 即传输到本地主机的信息包 要使Sniffer能接收并处理这种方式的信息 系统需要支持BPF 但一般情况下 网络硬件和TCP IP堆栈不支持接收或者发送与本地计算机无关的数据包 所以 为了绕过标准的TCP IP堆栈 网卡就必须设置为我们刚开始讲的混杂模式 一般情况下 要激活这种方式 内核必须支持这种伪设备Bpfilter 而且需要root权限来运行这种程序 所以sniffer需要root身份安装 如果只是以本地用户的身份进入了系统 那么不可能唤探到root的密码 因为不能运行Sniffer Sniffer产品的基本功能包括功能 1 网络安全的保障与维护2 面向网络链路运行情况的监测3 面向网络上应用情况的监测4 强大的协议解码能力 用于对网络流量的深入解析5 网络管理 故障报警及恢复 实时监控统计和告警功能 根据用户习惯 Sniffer可提供实时数据或图表方式显示统计结果 统计内容包括 网络统计 如当前和平均网络利用率 总的和当前的帧数及字节数 总站数和激活的站数 协议类型 当前和总的平均帧长等 协议统计 如协议的网络利用率 协议的数 协议的字节数以及每种协议中各种不同类型的帧的统计等 差错统计 如错误的CRC校验数 发生的碰撞数 错误帧数等 站统计 如接收和发送的帧数 开始时间 停止时间 消耗时间 站状态等 最多可统计1024个站 帧长统计 如某一帧长的帧所占百分比 某一帧长的帧数等 当某些指标超过规定的阈值时 Sniffer可以自动显示或采用有声形式的告警 Sniffer可根据网络管理者的要求 自动将统计结果生成多种统计报告格式 并可存盘或打印输出 Sniffer实时专家分析系统 Sniffer与其他网络协议分析仪最大的差别在于它的人工智能专家系统 ExpertSystem 简单地说 Sniffer能自动实时监视网络 捕捉数据 识别网络配置 自动发现网络故障并进行告警 它能指出 网络故障发生的位置 以及出现在OSI第几层 网络故障的性质 产生故障的可能的原因以及为解决故障建议采取的行动 Sniffer还提供了专家配制功能 用户可以自已设定专家系统判断故障发生的触发条件 SnifferPro的登录与界面 File selectsettings SnifferPro报文的捕获与解析 基本捕获条件 基本的捕获条件有两种 1 链路层捕获 按源MAC和目的MAC地址进行捕获 输入方式为十六进制连续输入 如 00E0FC123456 2 IP层捕获 按源IP和目的IP进行捕获 输入方式为点间隔方式 如 10 107 1 1 如果选择IP层捕获条件则ARP等报文将被过滤掉 如图5 3所示 高级捕获条件 在 Advance 页面下 你可以编辑你的协议捕获条件 任意捕获条件 捕获过程报文统计 在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率 捕获报文查看 Sniffer软件提供了强大的分析能力和解码功能 对于捕获的报文提供了一个Expert专家分析系统进行分析 还有解码选项及图形和表格的统计信息 如图5 7所示 专家分析专家分析系统提供了一个只能的分析平台 对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得 在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容 可以方便了解网络中高层协议出现故障的可能点 对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因 如图5 8所示 捕获的报文 解码功能是按照过滤器设置的过滤规则进行数据的捕获或显示 在菜单上的位置分别为Capture DefineFilter和Display DefineFilter 过滤器可以根据物理地址或IP地址和协议选择进行组合筛选 如图5 9所示 解码分析 下图5 9是对捕获报文进行解码的显示 通常分为三部分 目前大部分此类软件结构都采用这种结构显示 对于解码主要要求分析人员对协议比较熟悉 这样才能看懂解析出来的报文 使用该软件是很简单的事情 要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻 工具软件只是提供一个辅助的手段 因涉及的内容太多 这里不对协议进行过多讲解 请参阅其他相关资料 对于MAC地址 Snffier软件进行了头部的替换 如00e0fc开头的就替换成Huawei 这样有利于了解网络上各种相关设备的制造厂商信息 SnifferPro的高级应用 使用数据包生成器在网络中发送测试数据包 这样可以重现要排除的网络故障 验证对网络设备或应用程序的修复方法是否正确和生成各级网络通信量负载 模拟实际的网络情况并对设备或应用程序进行测试 要启动 数据包生成器 请选择工具菜单中的数据包生成器 通过 数据包生成器 可以发送自已创建或从网络捕获的单个数据包 也可以发送捕获缓冲区或捕获文件的全部内容 可以一次 连续或以指定次数发送数据包 捕获缓冲区或者捕获文件 当发送多个数据包或连续发送一个数据包时 您可以指定每个数据包之间的时延 以毫秒或希望所发送数据包达到的线路利用率百分比表示 数据包生成器 有两个视图 动画视图显示了数据包止在发送的时刻 详细信息视图详细显示了数据包传输的过程 要启动 数据包生成器 选择工具菜单中的数据包生成器 通过它 可以发送自己创建或从网络捕获的单个数据包 也可以发送捕获缓冲区或捕获文件的全部内容 发送单个数据包 在发送数据包之前 必须准备好要发送的消息 您可以创建数据包 使用已捕获数据包或者使用修改后的已捕获数据包 要创建新数据包 请单击 数据包生成器 窗中的按钮打开 发送新帧 对话框 您可在配置选项卡中直接编辑十六进制的显示内容 要选择或编辑现有的 捕获的 数据包 您必须先从解码显示的 摘要 窗格中选择该数据包 然后 单击 数据包生成器 窗日中的按钮打开 发送当前帧 对话框 您可在配置选项卡中编辑十六进制的显示内容 通过选择对话框中的选项 您可以控制发送数据包的方式 如图5 10所示 发送捕获缓冲区或文件 要发送当前的捕获缓冲区或捕获文件 您必须先显示其内容 要显示当前缓冲区 请选择捕获菜单中的显示 要显示捕获文件 请选择文件菜单中的打开 然后 在 数据包生成器 窗日中单击 至按钮 发送当前缓冲区 对话框将显示缓冲区 文件内容的有关信息 允许您控制发送数据包的方式 如图5 11所示 1 入侵检测的基本原理2 入侵检测系统的分类3 入侵检测系统的发展方向 入侵检测的基本原理 1 入侵检测系统的作用我们知道 防火墙是Internet网络上最有效的安全保护屏障 防火墙在网络安全中起到大门警卫的作用 对进出的数据依照预先设定的规则进行匹配 符合规则的就予以放行 起到访问控制的作用 是网络安全的第一道闸门 但防火墙的功能也有局限性 防火墙只能对进出网络的数据进行分析 对网络内部发生的事件完全无能为力 同时 由于防火墙处于网关的位置 不可能对进出攻击作太多判断 否则会严重影响网络性能 如果把防火墙比作大门警卫的话 入侵检测就是网络中不间断的摄像机 入侵检测通过旁路监听的方式不间断的收取网络数据 对网络的运行和性能无任何影响 同时判断其中是否含有攻击的企图 通过各种手段向管理员报警 IDS是主动保护自己免受攻击的一种网络安全技术 IDS对网络或系统上的可疑行为做出相应的反应 及时切断入侵源 保护现场并通过各种途径通知网络管理员 增大保障系统安全 2 入侵检测系统的工作流程入侵检测系统由数据收集 数据提取 数据分析 事件处理等几个部份组成 1 数据收集入侵检测的第一步是数据收集 内容包括系统 网络运行 数据及用户活动的状态和行为 而且 需要在计算机网络系统中的若干不同关键点 不同网段和不同主机 收集数据 入侵检测很大程度上依赖于收集数据的准确性与可靠性 因此 必须使用精确的软件来报告这些信息 因为黑客经常替换软件以搞混和移走这些数据 例如替换被程序调用的子程序 库和其它工具 数据的收集主要来源以下几个方面 系统和网络日志文件 目录和文件不期望的改变 程序不期望的行为 物理形式的入侵数据 2 数据提取从收集到的数据中提取有用的数据 以供数据分析之用 3 数据分析对收集到的有关系统 网络运行 数据及用户活动的状态和行为等数据通过三种技术手段进行分析 模块匹配 统计分析和完整性分析 4 结果处理记录入侵事件 同时采取报警 中断连接等措施 入侵检测系统的分类入侵检测系统 IDS 可以分成3类 基于主机型 HostBased 入侵检测系统 基于网络型 NetworkBased 入侵检测系统和基于代理型 AgentBased 入侵检测系统 1 基于主机的入侵检测系统基于主机的入侵检测系统通常以系统日志 应用程序日志等审计记录文件作为数据源 它是通过比较这些审计记录文件的记录与攻击签名 AttackSignature 指用一种特定的方式来表示已知的攻击模式 以发现它们是否匹配 如果匹配 检测系统向系统管理员发出入侵报警并采取相应的行动 基于主机的IDS可以精确地判断入侵事件 并可对入侵事件及时做出反应 它还可针对不同操作系统的特点判断应用层的入侵事件 基于主机的IDS有着明显的优点 l适合于加密和交换环境 l可实时的检测和响应 l不需要额外的硬件 基于主机的入侵检测系统对系统内在的结构却没有任何约束 同时可以利用操作系统本身提供的功能 并结合异常检测分析 更能准确的报告攻击行为 基于主机的入侵检测系统存在的不足之处在于 会占用主机的系统资源 增加系统负荷 而且针对不同的操作平台必须开发出不同的程序 另外所需配置的数量众多 2 基于网络的入侵检测系统基于网络的入侵检测系统把原始的网络数据包作为数据源 利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务 它的攻击识别模块进行攻击签名识别的方法有 模式 表达式或字节码匹配 频率或阈值比较 次要事件的相关性处理 统计异常检测 一旦检测到攻击 IDS的响应模块通过通知 报警以及中断连接等方式来对攻击行为做出反应 然而它只能监视通过本网段的活动 并且精确度较差 在交换网络环境中难于配置 防欺骗的能力也比较差 其优势有 l成本低 l攻击者转移证据困难 l实时检测和响应 l能够检测到未成功的攻击企图 l与操作系统无关 3 基于代理的入侵检测系统基于代理的入侵检测系统用于监视大型网络系统 随着网络系统的复杂化和大型化 系统弱点趋于分布式 而且攻击行为也表现为相互协作式特点 所以不同的IDS之间需要共享信息 协同检测 整个系统可以由一个中央监视器和多个代理组成 中央监视器负责对整个监视系统的管理 它应该处于一个相对安全的地方 代理则被安放在被监视的主机上 如服务器 交换机 路由器等 代理负责对某一主机的活动进行监视 如收集主机运行时的审计数据和操作系统的数据信息 然后将这些数据传送到中央监视器 代理也可以接受中央监控器的指令 这种系统的优点是可以对大型分布式网络进行检测 入侵检测系统的部署 定义IDS的目标不同的组网应用可能使用不同的规则配置 所以用户在配置人侵检测系统前应先明确自己的目标 建议从如下几个方面进行考虑 1 明确网络拓扑需求 2 安全策略需求 3 1DS的管理需求 选择监视内容 1 选择监视的网络区域2 选择监视的数据包的类型3 根据网络数据包的内容进行检测一般来说 不同的入侵检测系统采用不同的方法来监视网络数据包的内容 例如可以采用先根据网络协议来选择入侵特征规则进行检测 然后再根据此协议数据包中的字符特征进行检测 部署IDS 1 只检测内部网络和外部网络边界流量的IDS系统的部署在小型网络结构中 如果内部网络是可以信任的 那么只需要监控内部网络和外部网络的边界流量 这种情况下 入侵检测系统部署在出口路由器或防火墙的后面 用来监控网络入口处所有流入和流出网络的流量 网络拓扑结构可按照图5 13所示的方式进行部署 在图5 13中 IDS被部署在内部网络与Internet的出口处 IDS设备的监听口连接到了内部网络出口处的交换机 Switch 镜像接口上 从而可以捕获到交换机镜像接口的网络流量 管理员可以通过命令行方式 Console Telnet或SSH 或Web方式 HTTP或HTTPS 远程登录到IDS管理接口并对设备进行配置管理 图5 13所示的部署方式不仅方便了用户的使用和配置 也节约了投资成本 适合中小规模企业的网络安全应用 2 集中监控多个子网流量在这种组网情况下 内部局域网中划分了多个不同职能的子网 有些子网访问某些子网资源量希望受到监控和保护 假设具体进行监控 1 需要对关键子网LAN1的流量进行监控 2 LAN2子网了放置了各种服务器 因此对LAN2的所有流量也需要进行监控 3 网络管理员要能够集中监控网络的流量和异常情况 在这种情况下 含IDS的网络拓扑如图5 14示 入侵检测系统的选型 异常检测模型的基本原理异常检测 也被称为基于行为的检测 其基本前提是假定所有的入侵行为都是异常的 其基本原理是 首先建立系统或用户的 正常 行为特征轮廓 通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵 而不是依赖于具体行为是否出现来进行检测的 从这个意义上来讲 异常检测是一种间接的方法 异常检测的关键技术l 特征量的选择异常检测首先是要建立系统或用户的 正常 行为特征轮廓 这就要求在建立正常模型时 选取的特征量既要能准确地体现系统或用节随行为特征 又能使模型最优化 即以最少的特征量就能涵盖系统或用户的行为特征 例如 可以检测磁盘的转速是否在常 CPU是否无故超频等异常现象 2 参考阔值的选定因为在实际的网络环境下 入侵行为和异常行为往往不是一对一的等价关系 经常发生这样的异常情况 如某一行为是异常行为 而它并不是入侵行为 同样存在某一行为是入侵行为 而它却并不是异常行为的情况 这样就会导致检测结果的虚警 falsepositives 和漏警 falsenegatives 的产生 由于异常检测是先建立正常的特征轮廓作为比较的参考基准 这个参考基准即参考阔值的选定是非常关键的 阂值定的过大 那漏警率会很高 阔值定的过小 则虚警率就会提高 合适的参考阔值的选定是影响这一检测方法准确率的至关重要的因素 从异常检测的原理可以看出 该方法的技术难点在于 正常 行为特征轮廓的确定 特征量的选取 特征轮廓的更新 由于这几个因素的制约 异常检测的虚警率很高 但对于未知的入侵行为的检测非常有效 此外 由于需要实时地建立和更新系统或用户的特征轮廓 这样所需的计算量很大 对系统的处理性能要求会很高 异常检测模型的实现方法 基于统计分析的异常检测方法常见的几种异常测量值的测量类型如下 活动强度测量 用以描述活动的处理速度 审计记录分布测量 用以描述最近审计记录中所有活动类型的分布状况 类型测量 用以描述特定的活动在各种类型的分布状况 顺序测量 用以描述活动的输出结果 2 基于特征选择的异常检测方法3 基于贝叶斯推理的异常检测方法4 基有贝叶斯网络的异常检测方法5 基于模式预测的鼻常检测方法6 基于件经网络的异常检测方法7 基于贝叶斯聚类的异常检测方法8 基于机器自学习系统的异常检测方法9 基于数据采掘技术的异常检测方法 误用检测模型的基本原理 对于误用检测系统来说 最重要的技术如下 如何全面描述攻击的特征 覆盖在此基础上的变种方 如何排除其他带有干扰性质的行为 减少误报率 误用入侵检测模型的基本方法 误用检测模型常用的检测方法有基于条件概率误用入侵检测方法 基于专家系统误用入侵检测方法 基于状态迁移分析误用入侵检测方法 基于键盘监控误用入侵检测方法和基于模型误用入侵检测方法等 1 基于条件概率的误用入侵检测方法2 基于专家系统的误用入侵检测方法3 基于状态迁移分析的误用入侵检测方法4 基于键盘监控的误用入侵检测方法5 基于模型的误用入侵检测方法 异常检测模型和误用检测模型的比较异常检测系统试图发现一些未知的入侵行为 而误用检测系统则是检测一些已知的入侵行为 异常检测指根据使用者的行为或资源使用状况来判断是否入侵行为的发生 而不依赖于具体行为是否出现来检测 而误用检测系统则大多是通过对一些具体的行为的判断和推理 从而检测出入侵行为 异常检测的主要缺陷在于误检率很高 尤其在用户数目众多或工作行为经常改变的环境中 而误用检测系统由于依据具体特征库进行判断 准确度要高很多 异常检测对具体系统的依赖性相对较小 而误用检测系统对具体的系统依赖性很强 移植性不好 其他入侵检测模型1 基于生物免疫的入侵检测方法2 基于伪装的入侵检测方法3 基于统计学方法的入侵检测系统4 基于专家系统的入侵检测方法 入侵防护技术IPS IPS只能被动地检测攻击 而不能主动地把变化莫测的威胁阻止在网络之外 因此 人们迫切地需要找到一种主动入侵防护解决方案 以确保企业网络在威胁四起的环境下正常运行 入侵防御系统 InmSionPreventionSystem或IntmSionDetectionPrevention 即IPS或IDP 就应运而生了 ES是一种智能化的入侵检测和防御产品 它不但能检测入侵的发生 而且能通过一定的响应方式 实时地中止入侵行为的发生和发展 实时地保护信息系统不受实质性的攻击 IPS使得BS和防火墙走向统一 目前比较流行的网络级安全防范措施是使用专业防火墙 入侵检测系统 IDS 为企业内部网络构筑一道安全屏障 防火墙可以有效地阻止有害数据的通过 而IDS则主要用于有害数据的分析和发现 它是防火墙功能的延续 两者联动 可及时发现并减缓DoS DDoS攻击 减轻攻击所造成的损失 最近市场上出现了一种将防火墙和IDS两者合二