入侵检测与安全审计

1、第4章 入侵检测与安全审计 本章主要介绍： 1. 入侵检测系统(ids)概述 2. 入侵检测系统的分析方法 3. 入侵检测系统结构 4. 入侵检测工具简介 5. 现代安全审计技术 4.1入侵检测系统概述 1网络入侵及原因网络入侵及原因 问题的提出：问题的提出： 要保证网络的安全，需要从内部和外部加以防范。 内部问题可以预测，并制定相应防范措施； 外部问题则难以预测。 原因： 黑客攻击日益猖獗 传统的安全产品存在很多问题 4.1入侵检测系统概述 传统的安全产品存在的问题(续) (1)每一种安全机制都有一定的应用范围和应用环境； (2)安全工具的使用受到人为因素的影响； (3)系统的后门是传统安全

2、工具难以考虑到的地方； (4)只要有程序，就可能存在bug，甚至连安全工具本身也可 能存在安全漏洞。 (5)黑客的攻击手段在不断更新，几乎每天都有不同的系统安 全问题出现。 对于上述问题，除了提出更多更强大的主动策略和方案，另 一个有效的解决途径是入侵检测入侵检测。 4.1入侵检测系统概述 2黑客攻击策略 入侵步骤： 信息获取实施攻击掩盖痕迹，预留后门 入侵造成的破坏： 保密性、完整性、可用性、可控性 4.1入侵检测系统概述 1入侵检测概念入侵检测概念 依照一定的安全策略，对网络、系统的运行状况依照一定的安全策略，对网络、系统的运行状况 进行监视，尽可能发现各种攻击企图、攻击行为或者进行监视，

3、尽可能发现各种攻击企图、攻击行为或者 攻击结果，以保证网络系统资源的机密性、完整性和攻击结果，以保证网络系统资源的机密性、完整性和 可用性。可用性。 -对潜在的又预谋的未经授权的访问信息、操作信息对潜在的又预谋的未经授权的访问信息、操作信息 以及导致系统不可靠、不稳定或无法使用的企图的检以及导致系统不可靠、不稳定或无法使用的企图的检 测和监视。测和监视。 入侵检测的方式：入侵检测的方式： 被动、非在线地发现被动、非在线地发现 主动、在线地发现主动、在线地发现 4.1入侵检测系统概述 入侵检测系统必须具备的特点：入侵检测系统必须具备的特点： 经济性经济性 时效性时效性 安全性安全性 可扩展性可扩

4、展性 2. 入侵检测的发展及未来入侵检测的发展及未来 4.1入侵检测系统概述 3入侵检测模型入侵检测模型 通用入侵检测系统流程图通用入侵检测系统流程图： 数据数据数据数据事件事件事件事件 数数 据据 提提 取取 数数 据据 分分 析析 结结 果果 处处 理理 4.1入侵检测系统概述 3入侵检测模型入侵检测模型 通用系统模型：通用系统模型： 审计记录、网络数据包等审计记录、网络数据包等 事件产生器事件产生器 行为特征模块行为特征模块规则模块 特征表更新特征表更新 规则更新规则更新 异常记录异常记录 变量阈值变量阈值 4.1入侵检测系统概述 入侵检测系统的主要功能有：入侵检测系统的主要功能有： 监

5、测并分析用户和系统的活动；监测并分析用户和系统的活动； 核查系统配置和漏洞；核查系统配置和漏洞； 评估系统关键资源和数据文件的完整性；评估系统关键资源和数据文件的完整性； 识别已知的攻击行为；识别已知的攻击行为； 统计分析异常行为；统计分析异常行为； 操作系统日志管理，并识别违反安全策略的用户活动。操作系统日志管理，并识别违反安全策略的用户活动。 4.1入侵检测系统概述 异常检测原理：根据非正常行为和使用计算机资异常检测原理：根据非正常行为和使用计算机资 源非正常情况检测出入侵行为。源非正常情况检测出入侵行为。 正常正常 行为行为 异常异常 行为行为 命令、系统调用、命令、系统调用、 应用类型

6、、活动度应用类型、活动度 量、量、cpu使用、网使用、网 络连接络连接 4.1入侵检测系统概述 误用检测原理：根据已经知道的入侵方式来检测误用检测原理：根据已经知道的入侵方式来检测 入侵。入侵。 报警报警 模式库模式库 攻击者攻击者 4.1入侵检测系统概述 2系统的分类系统的分类 按数据源和系统结构：按数据源和系统结构： (1) 基于网络的入侵检测系统基于网络的入侵检测系统(nids) (2) 基于主机的入侵检测系统基于主机的入侵检测系统(hids) (3) 分布式入侵检测系统分布式入侵检测系统(dids) 按数据分析方法：按数据分析方法： (1) 异常检测模型异常检测模型 (2) 误用检测模

7、型误用检测模型 4.1入侵检测系统概述 2系统的分类系统的分类(续续) 按数据分析发生的时效：按数据分析发生的时效： (1) 离线检测系统离线检测系统 (2) 在线检测系统在线检测系统 按系统模块运行分布方式：按系统模块运行分布方式： (1) 集中式检测系统集中式检测系统 (2) 分布式检测系统分布式检测系统 4.1入侵检测系统概述 3. ids在网络中的位置在网络中的位置 internet 防火墙 www服务器 邮件服务器 1 2 3 4.1入侵检测系统概述 4.入侵响应入侵响应 当检测到入侵或攻击时当检测到入侵或攻击时,采取适当的措施阻止采取适当的措施阻止 入侵和攻击的进行入侵和攻击的进行

8、. 针对入侵的建议步骤针对入侵的建议步骤: 估计形势并决定需要做出那些响应估计形势并决定需要做出那些响应. 如有必要就断开连接或关闭资源如有必要就断开连接或关闭资源. 事故分析和响应事故分析和响应. 根据响应策略向其他人报警根据响应策略向其他人报警. 保存系统状态保存系统状态. 恢复遭到攻击的系统恢复遭到攻击的系统. 记录所发生的一切记录所发生的一切. 4.1入侵检测系统概述 5.入侵跟踪技术入侵跟踪技术 (1)入侵者的地址和其它信息入侵者的地址和其它信息 媒体访问控制地址媒体访问控制地址 ip地址地址 域名域名 应用程序地址应用程序地址 4.1入侵检测系统概述 (2)跟踪电子邮件跟踪电子邮件

9、 (3)跟踪跟踪usenet (4)第三方跟踪工具第三方跟踪工具 4.1入侵检测系统概述 (5)蜜罐技术蜜罐技术 专门为吸引并诱骗攻击者而设计的系统专门为吸引并诱骗攻击者而设计的系统. internet 防火墙防火墙 软件软件 蜜罐蜜罐 硬件硬件 蜜罐蜜罐 ids & db 分析员工作站分析员工作站 防火墙日志防火墙日志 4.2入侵检测系统的分析方法 1. 基于异常的入侵检测方法基于异常的入侵检测方法 基本思想基本思想: 任何人的正常行为都有一定规律，而入侵任何人的正常行为都有一定规律，而入侵 行为和滥用行为通常和正常行为存在严重差异行为和滥用行为通常和正常行为存在严重差异 ，检测出这些差异就

10、可以检测出入侵。，检测出这些差异就可以检测出入侵。 基本模块：基本模块： 数据提取模块数据提取模块 数据分析模块数据分析模块 结果处理模块结果处理模块 4.2入侵检测系统的分析方法 2. 基于误用的入侵检测方法基于误用的入侵检测方法 基本思想基本思想: 通过使用某种模式或信号标志表示攻击，通过使用某种模式或信号标志表示攻击， 进而发现相同的攻击。进而发现相同的攻击。 审计数据审计数据误用检测系统误用检测系统 攻击攻击 状态状态 修正现有规则修正现有规则 添加新的规则添加新的规则时间信息时间信息 规则规则 匹配？匹配？ 4.3 入侵检测系统结构 1公共入侵检测框架模型公共入侵检测框架模型 2分布式入侵检测系统分布式入侵检测系统 3基于智能代理技术的分布式入侵检测系统基于智能代理技术的分布式入侵检测系统 4自适应入侵检测系统自适应入侵检测系统 5智能卡式入侵检测系统智能卡式入侵检测系统 6典型的入侵检测系统典型的入侵检测系统 snort 4.4 入侵检测工具简介 1日志审查日志审查swatch 2访问控制访问控制