第5章(1)-黑客攻防与检测防御VIP

1、第5章 黑客攻防与检测防御信息安全概论目 录 5.2 黑客攻击的目的及过程 2 5.3 常见黑客攻防技术 3 5.4 网络攻击的防范策略和措施 4 5.1 黑客的概念及入侵方式 1 5.5 入侵检测与防御系统概述 5 * 5.6 Sniffer网络检测实验 6 5.7 本章小结 7教 学 目 标教学目标 了解黑客攻击的目的及攻击步骤 熟悉黑客常用的攻击方法 理解防范黑客的措施 掌握黑客攻击过程，并防御黑客攻击 掌握入侵检测与防御系统的概念、功能、特点和应用方法重点重点5.1 黑客概述5.1.1 黑客概念危害及类型 1. 黑客的概念及类型 黑客（Hacker）一词源于Hack，其起初本意为“干了

2、一件可以炫耀的事”，原指一群专业技能超群、聪明能干、精力旺盛对计算机信息系统进行非授权访问的人员。 “骇客”是英文“Cacker”的译音,意为“破译者和搞破坏的人”.把“黑客”和“骇客”混为一体.黑客分为红客、破坏者和间谍三种类型,红客是指“国家利益至高无上”的正义“网络大侠”;破坏者也称“骇客”;间谍是指“利益至上”情报“盗猎者”。 美军网络战的分司令部多达541个,未来4年将扩编4000人. 为强化美国对网络攻击的防御能力,计划将约900人规模的网络战司令部在今后4年扩编4000人,为此将投入230亿美元。案例5-12. 黑客的产生与发展 20 世纪60 年代，在美国麻省理工学院的人工智能

3、实验室里，有一群自称为黑客的学生们以编制复杂的程序为乐趣，当初并没有功利性目的。此后不久，连接多所大学计算机实验室的美国国防部实验性网络APARNET建成，黑客活动便通过网络传播到更多的大学乃至社会。后来，有些人利用手中掌握的“绝技”，借鉴盗打免费电话的手法，擅自闯入他人的计算机系统，干起隐蔽活动。随着其逐步发展成为因特网，黑客活动天地越来越广，形成鱼目混珠的局面。案例5-25.1 黑客概述3.黑客的危害及现状 黑客猖獗其产业链年获利上百亿.黑客利用木马程序盗取银行账号,信用卡账号,QQ,网络游戏等个人机密信息,并从中牟取金钱利益的产业链每年可达上百亿.黑客地下产业链极其庞大且分工明确,黑客产

4、业链大致分为老板,编程者,流量商,盗号者和贩卖商等多个环节,产业链如图5-1所示.互联网资源与服务滥用地下产业链,如图5-2所示. 图5-1 黑客产业链示意图 案例5-35.1 黑客概述5.1.2 黑客攻击的入侵方式 1. 系统漏洞产生的原因 系统漏洞又称缺陷。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可使攻击者能够在未授权的情况下访问或破坏系统。产生漏洞的主要原因：1）计算机网络协议本身的缺陷。 2）系统开发的缺陷。3）系统配置不当。4）系统安全管理中的问题。 其他:协议、系统、路由、传输、DB、技术、管理及法规等5.1 黑客概述2. 黑客攻击入侵通道 端口 计算机通

5、过端口实现与外部通信的连接/数据交换,黑客攻击是将系统和网络设置中的各种(逻辑)端口作为 入侵通道.其端口是指网络中面向连接/无连接服务的通信协议端口,是一种抽象的软件结构,包括一些数据结构和I/O缓冲区。端口号：端口通过端口号标记（只有整数）, 范围： 065535（216-1） 目的端口号:用于通知传输层协议将数据送给具体处理软件源端口号：一般是由操作系统动态生成的号码： 1024 65535 5.1 黑客概述 3. 端口分类 按端口号分布可分为三段：1）公认端口 ( 01023 ),又称常用端口,为已经或将要公认定义的软件保留的.这些端口紧密绑定一些服务且明确表示了某种服务协议.如80端

6、口表示HTTP协议(Web服务).2）注册端口 ( 102449151 ),又称保留端口, 这些端口松散绑定一些服务。3）动态/私有端口(4915265535).理论上不为服务器分配. 按协议类型将端口划分为TCP和UDP端口：1）TCP端口需要在客户端和服务器之间建立连接,提供可靠的数据传输.如Telnet服务的23端口,SMTP默认25。2）UDP端口不需要在客户端和服务器之间建立连接.常见的端口有DNS服务的53端口。讨论思考：（1）什么是安全漏洞和隐患？为什么网络存在着的安全漏洞和隐患？（2）举例说明，计算机网络安全面临的黑客攻击问题。 （3）黑客通道端口主要有哪些？特点是什么？FTP

7、服务通过TCP传输,默认端口20数据传输,21命令传输5.1 黑客概述5.2.1 黑客攻击的目的及种类5.2 黑客攻击的目的及过程 最大网络攻击案件幕后黑手被捕.2013年荷兰男子SK因涉嫌有史以来最大的网络攻击案件而被捕.SK对国际反垃圾邮件组织Spamhaus等网站,进行了前所未有的一系列的大规模分布式拒绝服务攻击,在高峰期攻击达到每秒300G比特率,导致欧洲的某些局部地区互联网缓慢,同时致使成千上万相关网站无法正常运行服务。 黑客攻击其目的：一是为了得到物质利益；是指获取金钱财物；二是为了满足精神需求。是指满足个人心理欲望.黑客行为：盗窃资料；攻击网站；进行恶作剧；告知漏洞；获取目标主机

8、系统的非法访问权等。从攻击方式上可以将黑客攻击大致分为主动攻击和被动攻击两大类。常见的黑客攻击方法，主要包括以下6类：网络监听。计算机病毒及密码攻击。网络欺骗攻击。拒绝服务攻击。应用层攻击。缓冲区溢出。 案例5-45.2.2 黑客攻击的过程 黑客攻击过程不尽一致,但其整个攻击过程有一定规律,一般可分为“攻击五部曲”。隐藏IP踩点扫描黑客利用程序的漏洞进入系统后安装后门程序，以便日后可以不被察觉地再次进入系统。就是隐藏黑客的位置，以免被发现。通过各种途径对所要攻击目标进行多方了解,确保信息准确,确定攻击时间和地点.篡权攻击种植后门隐身退出即获得管理/访问权限,进行攻击。 为避免被发现,在入侵完后

9、及时清除登录日志和其他相关日志,隐身退出.5.2 黑客攻击的目的及过程 黑客对企业局域网实施网络攻击的具体过程，如图5-4所示。 讨论思考：（1）黑客攻击的目的与种类有哪些？（2）黑客确定攻击目标后,将采用哪些攻击过程？（3）建立说明黑客攻击的具体步骤？ 用Ping查询企业内部网站服务器的IP 用PortScan扫描企业内部局域网PORT 用WWW hack入侵局域网络E-mail 用Legion扫描局域网 植入特洛伊木马 破解Internet账号与口令（或密码） 用IP Network Browser 扫描企业内部局域网IP图 5-4 黑客攻击企业内部局域网的过程示意框图5.2 黑客攻击的目

10、的及过程案例5-55.3.1 端口扫描攻防 端口扫描是管理员发现系统的安全漏洞，加强系统的安全管理，提高系统安全性能的有效方法。端口扫描成为黑客发现获得主机信息的一种最佳手段。1.端口扫描及扫描器 （1）端口扫描.是使用端口扫描工 具检查目标主机在哪些端口可建 立TCP连接,若可连接，则表明 主机在那个端口被监听。 （2）扫描器。扫描器也称扫描工具或扫描软件,是一种自动检测远程或本地主机安全性弱点的程序。5.3 常用黑客攻防技术5.3.1 端口扫描攻防2. 端口扫描方式及工具 端口扫描的方式有手工命令行方式和扫描器扫描方式。 手工扫描,需要熟悉各种命令,对命令执行后的输出进行分析.如命令:Pi

11、ng,Tracert,rusers和finger(后两个是Unix命令). 扫描器扫描，许多扫描软件都有分析数据的功能。如，SuperScan、Angry IP Scanner、X-Scan、X-Scan、SAINT (Security Administrators Integrated Network Tool,安全管理员集成网络工具)、 Nmap、TCP connect 、TCP SYN 等.5.3 常用黑客攻防技术 图5-5 用X-scan的扫描结果图 5-6 用Nmap扫描主机开放的端口5.3.1 端口扫描攻防3端口扫描攻击类型 端口扫描攻击采用探测技术，可将其用于寻找可以成功攻击的应

12、用及服务。常用端口扫描攻击类型包括： 秘密扫描。SOCKS端口探测。 跳跃扫描。UDP 扫描。4.防范端口扫描的对策 端口扫描的防范又称系统“加固”.网络的关键处使用防火墙对来源不明的有害数据进行过滤,可有效减轻端口扫描攻击,防范端口扫描的主要方法有两种： (1)关闭闲置及有潜在危险端口 方式一：定向关闭指定服务的端口。计算机的一些网络服务为系统分配默认的端口，应将闲置服务-端口关闭。5.3 常用黑客攻防技术 操作方法与步骤：1）打开“控制面板”窗口。2）打开“服务”窗口。 “控制面板”“管理工具”“服务”,选择DNS。3）关闭DNS服务 在“DNS Client 的属性”窗口.启动类型项:选

13、择“自动”服务状态项：选-。在服务选项中选择关闭掉一些没使用的服务，如FTP服务、DNS服务、IIS Admin服务等，对应的端口也停用。5.3 常用黑客攻防技术方式二：只开放允许端口.可用系统的“TCP/IP筛选”功能实现,设置时只允许系统的一些基本网络通讯需要的端口. (2) 屏蔽出现扫描症状的端口 检查各端口，有端口扫描症状时，立即屏蔽该端口。关闭DNS端口服务5.3.2 网络监听及攻防 2. 嗅探器的功能与部署5.3 常用的黑客攻防技术 嗅探器（Sniffer）是利用计算机的网络接口截获目的地主机及其他数据报文的一种工具。起初也是一种网络管理员诊断网络系统的有效工具，也常被黑客利用窃取

14、机密信息。 嗅探器的主要功能包括4个方面：一是可以解码网络上传输的报文；二是为网络管理员诊断网络系统并提供相关的帮助信息；三是为网络管理员分析网络速度、连通及传输等性能提供参考，发现网络瓶颈；四是发现网络漏洞及入侵迹象，为入侵检测提供重要参考。 常用的嗅探软件：Sniffer Pro、Wireshark、IRIS等。 捕获后的数据包和明文传送的数据包，分别如图5-9和5-10所示。 图5-9 捕获后的数据包 图5-10明文传送的数据包5.3.2 网络监听及攻防 3检测防范网络监听5.3 常用的黑客攻防技术 针对运行监听程序的主机可以采用多种方法防范。一是用正确的IP地址和错误的物理地址ping

15、，运行监听程序的主机具有相应的响应信息提示。二是运用虚拟局域网VLAN技术，可以将以太网通信变为点到点通信，防范绝大部分基于网络监听的入侵攻击。三是以交换式集线器代替共享式集线器，这种方法使单播包只限于在两个节点之间传送，从而防止非法监听，当然，交换式集线器只能控制单播包而无法控制广播包(BroadcastPacket)和多播包(MulticastPacket)。四是对于网络信息安全防范的最好的方法是使用加密技术。五是利用防火墙技术、六是利用SATAN等系统漏洞检测工具，并定期检查EventLog中的SECLog记录，查看可疑情况，防止网络监听与端口扫描；七是利用网络安全审计或防御新技术等。

16、5.3.2 网络监听及攻防 1. 网络监听 网络监听是网络管理员监测网络传输数据, 排除网络故障的管理工具。5.3 常用的黑客攻防技术 美国全球监听引发网络空间深刻变化。2013年10月，随着美国国安局监听门事件不断升级，众议院情报委员会举行公开听证会。最近，西方媒体披露，美国国家安全局在全球约80个地点的驻外使馆都设有监听站，35国首脑的电话被监听。其中包括德国总理默克尔。其他国家也纷纷谴责美国的监听行动。墨西哥内政部长称将自行调查美方的间谍行为。法国总统奥朗德称，“我们不能接受以朋友关系干涉法国公民的私人生活”。 案例5-65.3.3 密码破解攻防方法1. 密码破解攻击的方法 （1）通过网

17、络监听非法窃取密码。 （2）利用钓鱼网站欺骗 （3）强行破解用户密码 （4）密码分析攻击 （5) 放置木马程序 5.3 常用的黑客攻防技术2. 密码破解防范对策 计算机用户必须注意的要点“5不要”： 一定不要将密码写下来，以免泄露或遗失； 一定不要将密码保存在电脑或磁盘文件中； 切记不要选取容易猜测到的信息作为密码； 一定不要让别人知道密码，以免增加不必要的损失或麻烦； 切记不要在多个不同的网银等系统中使用同一密码。 误入购买机票钓鱼网站，损失近百万。2013年10月上海市的林先生通过浏览网络查到一个可以“低价购买机票的网站”，不仅被欺骗打开了钓鱼网站，还不慎通过点击“客服咨询”打开不明链接激

18、活木马程序，致使电脑被黑客远程控制，眼看着个人账户内的96万元被洗劫一空。 案例5-75.3.4 木马攻防对策1木马的特点和组成 特洛伊木马（Trojan horse）简称“木马”。其名称源于希腊神话木马屠城记。现指一些具备破坏和删除文件、发送密码、记录键盘和攻击等远程控制特殊功能的后门程序。 木马特点：通过伪装、引诱用户将其安装在PC或服务器上,并具有进行远程控制和破坏功能特点。一般木马的执行文件较小，若将其捆绑到其他文件上很难发现。木马可以利用新病毒或漏洞借助工具一起使用，时常可以躲过多种杀毒软件，尽管现在很多新版的杀毒软件，可以查杀木马，仍需要注意世上根本不存在绝对的安全. 木马系统组成

19、：一是服务器程序，二是控制器程序。木马种类大体可分为：破坏型、密码发送型、远程访问型、键盘记录木马、DoS攻击木马、代理木马等。有些木马具有多种功能，如灰鸽子、冰河木马等。5.3 常用的黑客攻防技术5.3.4 特洛伊木马攻防2木马攻击途径及过程 木马攻击途径：在客户端和服务端通信协议的选择上，绝大多数木马使用的是TCP/IP协议，但是，也有一些木马由于特殊的原因，使用UDP协议进行通讯。 木马攻击的基本过程分为6个步骤： 5.3 常用的黑客攻防技术配置木马传播木马运行木马泄露信息建立连接远程控制5.3.4 特洛伊木马攻防2. 木马攻击途径及过程 灰鸽子（Hack. Huigezi）木马产业链活

20、动猖獗。灰鸽子是一个集多种控制功能于一体的木马病毒，可以监控中毒用户的一举一动，并可被轻易窃取其账号、密码、照片、重要文件等。甚至还可以连续捕获远程电脑屏幕，还可监控被控电脑上的摄像头、自动开机（不开显示器）并利用摄像头进行录像。到2006年底，“灰鸽子”木马就已达6万多个变种。客户端简易便捷的操作使刚入门的初学者都能充当黑客。灰鸽子木马产业链，如图5-11所示。5.3 常用的黑客攻防技术图5-11 灰鸽子木马产业链5.3.4 特洛伊木马攻防3. 木马的防范对策 防范木马的对策关键是提高防范意识，采取切实可行的有效措施。一是在打开或下载文件之前，一定要确认文件的来源是否安全可靠；二是阅读rea

21、dme.txt，并注意readme.exe；三是使用杀毒软件；四是发现有不正常现象出现立即挂断；五是监测系统文件和注册表的变化；六是备份文件和注册表；七要需要特别注意，不要轻易运行来历不明软件或从网上下载的软件，即使通过了一般反病毒软件的检查也不要轻易运行；八是不要轻易相信熟人发来的E-Mail不会有黑客程序；九是不要在聊天室内公开自身的E-Mail 地址，对来历不明的E-Mail 应立即清除；十是不要随便下载软件，特别是不可靠的FTP 站点；十一是不要将重要密码和资料存放在上网的计算机中，以免被破坏或窃取。可以利用360安全卫士等防范查杀木马。 5.3 常用的黑客攻防技术5.3.5 拒绝服务

22、攻防1. 拒绝服务攻击 拒绝服务是指通过各种手段向某个Web网站发送巨量的垃圾邮件或服务请求等,干扰该网站系统的正常运行，导致无法完成应有网络服务. 拒绝服务按入侵方式可分：资源消耗型、配置修改型、物理破坏型以及服务利用型。 拒绝服务攻击（Denial of Service，简称DoS）,是指黑客对攻击目标网站发送大量的垃圾邮件或服务请求抢占过多的服务资源，使系统无法提供正常服务的攻击方式。 5.3 常用的黑客攻防技术 美国核武库系统每天遭受到数以百万计的攻击。据“美国新闻与世界报道”2012年3月援引美国国家核军工管理局(NNSA)工作人员的话称，该局管理核武库的计算机系统每天遭受到数以百万

23、计的电脑攻击，核实验室和能源部也不断遭受攻击。 案例5-10 分布式拒绝服务攻击(Distributed Denial of Service,DDoS),指借助于客户/服务器技术，将网络系统中的多个计算机进行联合作为攻击平台，对一个或几个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。攻击原理如图5-13所示。 。 DDoS攻击的类型.带宽型攻击和应用型攻击。 DDoS攻击的方式.通过使网络过载干扰甚至阻断正常的网络通讯；通过向服务器提交大量请求，使服务器超负荷；阻断某一用户访问服务器；阻断某服务与特定系统或个人的通讯.2. 常见的拒绝服务攻击 1）Flooding攻击。 2）SYN f

24、lood攻击。 3）LAND attack攻击。 4）ICMP floods攻击。 5）Application level floods攻击。5.3 常用的黑客攻防技术图5-14 SYN flood攻击示意图图5-13 DDoS的攻击原理 5.3.6 拒绝服务攻防3. 拒绝服务攻击检测与防范 主要检测方法2种：一是异常检测分析，二是使用DDoS检测工具 主要防范策略和方法：定期扫描及时发现并处理漏洞.要定期扫描现有的网络主节点,清查可能存在的安全漏洞,及时安装系统补丁程序,对新出现的漏洞及时处理. 利用网络安全设备(如防火墙、防御系统)等加固网络系统的安全性,在网络骨干节点配置防火墙以抵御DD

25、oS和其他一些攻击。在网络管理方面，要经常检查系统的物理环境，禁用不必要的网络服务或端口； 与网络服务提供商合作协调工作，帮助用户实现路由的访问控制和对带宽总量的限制；当发现主机正在遭受DDoS时，应当启动应对策略，尽快追踪审计攻击包，并及时联系ISP和有关应急组织，分析受影响系统，确定涉及的有关节点，限制已知攻击节点的流量；对于潜在的DDoS隐患应当及时清除，以免后患。5.3 常用的黑客攻防技术5.3.6 缓冲区溢出攻防方法1. 缓冲区溢出 缓冲区溢出是指当计算机向缓冲区内填充数据时，超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上。 缓冲区溢出的原理.是由于字符串处理函数(gets,st

26、rcpy等)没有对数组的越界监视和限制,结果覆盖了老堆栈数据.2. 缓冲区溢出攻击 指通过向缓冲区写入超长度内容造成缓冲区溢出,破坏程序的堆栈.使程序转而执行其他指令/使黑客取得程序控制权. 3缓冲区溢出攻击的防范方法 1） 编写程序中应时刻注意的问题。 2） 改进编译器。 3） 利用人工智能的方法检查输入字段。 4） 程序指针完整性检查。 5.3 常用的黑客攻防技术5.3.7 其他攻防技术1. WWW的欺骗技术 WWW的欺骗是指黑客篡改访问站点页面或将用户要浏览的网页URL改写为指向黑客的服务器。 “网络钓鱼”（Phishing）是指利用欺骗性很强、伪造的Web站点来进行诈骗活动,目的在于钓

27、取用户的账户资料,假冒受害者进行欺诈性金融交易,从而获得经济利益.可被用作网络钓鱼的攻击技术有：URL编码结合钓鱼技术，Web漏洞结合钓鱼技术,伪造Email地址结合钓鱼技术，浏览器漏洞结合钓鱼技术。 防范攻击可以分为两个方面：其一对钓鱼攻击利用的资源进行限制。如Web漏洞是Web服务提供商可直接修补；邮件服务商可使用域名反向解析邮件发送服务，提醒用户是否收到匿名邮件;其二及时修补漏洞.如浏览器漏洞,须打上补丁.5.3 常用的黑客攻防技术5.3.7 其他攻防技术2. 电子邮件攻击 电子邮件欺骗是攻击方式之一，攻击者佯称自己为系统管理员，给用户发送邮件要求用户修改口令，或在貌似正常的附件中加载病

28、毒或其他木马程序,这类欺骗只要用户提高警惕,一般危害性不是太大。 防范电子邮件攻击的方法： 1) 解除电子邮件炸弹。 2) 拒收某用户信件方法。3通过一个节点来攻击其他节点 4利用缺省帐号进行攻击 5.3 常用的黑客攻防技术讨论思考：（1）常用的黑客攻击方法具体有哪些？（2）针对黑客攻击常用的防范策略是什么？5.4.1 防范攻击的策略 在主观上重视，客观上积极采取措施。制定规章制度和管理制度，普及网络安全教育，使用户需要掌握网络安全知识和有关的安全策略。在管理上应当明确安全对象，建立强有力的安全保障体系，按照安全等级保护条例对网络实施保护与监督。认真制定有针对性的防攻措施，采用科学的方法和行之

29、有效的技术手段，有的放矢，在网络中层层设防，使每一层都成为一道关卡,从而让攻击者无隙可钻、无计可使.在技术上要注重研发新方法，同时还必须做到未雨稠缪，预防为主，将重要的数据备份（如主机系统日志）、关闭不用的主机服务端口、终止可疑进程和避免使用危险进程、查询防火墙日志详细记录、修改防火墙安全策略等。 5.4 防范攻击的策略和措施5.4.2 网络攻击的防范措施提高安全防范意识，注重安全防范管理和措施。应当及时下载、更新、安装系统漏洞补丁程序。尽量避免从Internet下载无法确认安全性的软件、歌曲、游戏等。不要随意打开来历不明的电子邮件及文件、运行不熟悉的人给用户的程序或链接。不随便运行黑客程序,

30、不少这类程序运行时会发出用户的个人信息.在支持HTML的BBS上,如发现提交警告,先看源代码,预防骗取密码。设置安全密码。使用字母数字混排，常用的密码设置不同，重要密码经常更换。使用防病毒、防黑客等防火墙软件，以阻档外部网络的侵入。 隐藏自已的IP地址。可采取的方法有：使用代理服务器进行中转，用户上网聊天、BBS等不会留下自身的IP；使用工具软件，如Norton Intemet Security来隐藏主机地址,避免在BBS和聊天室暴露个人信息 切实做好端口防范.在安装端口监视程序同时,将不用端口关闭。 加强IE浏览器对网页的安全防护。 上网前备份注册表,许多黑客攻击会对系统注册表进行修改. 加

31、强管理。将防病毒、防黑客形成惯例，当成日常例性工作. 5.4 防范攻击的策略和措施5.4 防范攻击的策略和措施通过对IE属性设置提高IE访问网页的安全性方法： 提高IE安全级别。操作方法：打开IE“工具”“Internet选项”“安全”“Internet区域”，将安全级别设置为“高”。 禁止ActiveX控件和JavaApplets的运行。操作方法：打开IE “工具”“Intemet选项” “安全”“自定义级别”，在“安全设置”对话框中找到ActiveX控件相关的设置，将其设为“禁用”或“提示”即可。 禁止Cookie。由于许多网站利用Cookie记录网上客户的浏览行为及电子邮件地址等信息,为

32、确保个人隐私信息的安全,可将其禁用.操作方法：在任一网站上选择 “工具” “Internet选项” “安全” “自定义级别”，在“安全设置”对话框中找到Cookie相关的设置，将其设为“禁用”或“提示”即可。 将黑客网站列入黑名单,将其拒之门外.操作方法：在任一网站上选择“工具”“Internet选项” “内容”“分级审查”“启用”，在“分级审查”对话框的“许可站点”下输入黑客网站地址，并设为“从不”即可。及时安装补丁程序,以强壮IE。应及时利用微软网站提供的补丁程序来消除这些漏洞，提高IE自身的防侵入能力。讨论思考： 1. 为什么要防范黑客攻击？如何防范黑客攻击？2. 简述网络安全防范攻击的

33、基本措施有哪些？3. 说出几种通过对IE属性的设置来提高IE访问网页的安全性具体措施？5.5.1 入侵检测系统的概念1. 入侵检测的概念 “入侵”是一个广义上的概念，指任何威胁和破坏系统资源的行为。实施入侵行为的“人”称为入侵者或攻击者。攻击是入侵者进行入侵所采取的技术手段和方法。 入侵的整个过程(包括入侵准备、进攻、侵入)都伴随着攻击有时也把入侵者称为攻击者。 入侵检测（Intrusion Detection，ID）是指通过对行为、安全日志、审计数据或其它网络上可获得的信息进行操作，检测到对系统的闯入或企图的过程。 5.5 入侵检测与防御系统概述5.5.1 入侵检测系统的概念2.入侵检测系统

34、概述（1）入侵检测系统的概念 入侵检测系统(Intrusion Detection System,IDS),是可对入侵自动进行检测、监控和分析的软件与硬件的组合系统,是一种自动监测信息系统内、外入侵的安全系统。IDS通过从计算机网络或计算机系统中的若干关键点收集信息，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。 （2）入侵检测系统产生与发展 （3）入侵检测系统的架构 5.5 入侵检测与防御系统概述图5-15 入侵检测系统通用架构 5.5.2 入侵检测系统的功能及分类1. IDS的构成及分析方法 IDS主要由事件产生器、事件分析器、事件数据库、响应

35、单元等构成.常用的入侵检测系统的分析方法主要有三种：模式匹配。统计分析。完整性分析。 2. IDS的主要功能 1）对已知攻击特征的识别。 2）对异常行为的分析、统计与响应。 3) 对网络流量的跟踪与分析。 4）实现特征库的在线升级。 5）对数据文件的完整性检验。 6）系统漏洞的预报警功能。 7）自定义特征的响应。 5.5 入侵检测与防御系统概述5.5.4 入侵及防御系统概述3.IDS的主要分类 按照检测对象(数据来源)分:基于主机、基于网络和分布式(混合型) (1) 基于主机的入侵检测系统（HIDS） HIDS是以系统日志、应用程序日志等作为数据源，也可以通过其他手段（如监督系统调用）从所在的

36、主机收集信息进行分析。HIDS一般是保护所在的系统，经常运行在被监测的系统上，监测系统上正在运行的进程是否合法。 优点：对分析“可能的攻击行为”有用。与NIDS相比通常能够提供更详尽的相关信息,误报率低,系统的复杂性少。 弱点：HIDS安装在需要保护的设备上,会降低应用系统的效率,也会带来一些额外的安全问题.另一问题是它依赖于服务器固有的日志与监视能力,若服务器没有配置日志功能,则必须重新配置,这将会给运行中的业务系统带来不可预见的性能影响。 5.5 入侵检测与防御系统概述 (2) 基于网络的入侵检测系统（NIDS） NIDS又称嗅探器,通过在共享网段上对通信数据的侦听采集数据,分析可疑现象(

37、将NIDS放置在比较重要的网段内,不停地监视网段中的各种数据包.输入数据来源于网络的信息流).该类系统一般被动地在网络上监听整个网络上的信息流，通过捕获网络数据包，进行分析，检测该网段上发生的网络入侵，如图4-8示。 5.5 入侵检测与防御系统概述图5-16 基于网络的入侵检测过程 （3）分布式入侵检测系统 分布式入侵检测系统DIDS是将基于主机和基于网络的检测方法集成一起,即混合型入侵检测系统.系统一般 由多个部件组成，分布在网络的各个部分，完成相应的功能，分别进行数据采集、分析等。通过中心的控制部件进行数据汇总、分析、产生入侵报警等。在这种结构下，不仅可以检测到针对单独主机的入侵，同时也可

38、以检测到针对整个网络上的主机入侵。其他分类方法： 1）按照体系结构分为：集中式和分布式。 2）按照工作方式分为：离线检测和在线检测。 3）按照所用技术分为：特征检测和异常检测。 5.5 入侵检测与防御系统概述5.5.3 常见的入侵检测方法1. 特征检测的概念 特征检测又称误用检测（Misuse detection）是指将正常行为特征表示的模式与黑客的异常行为特征进行分析、辨识和检测的过程。IDS可以对黑客已知的异常攻击或入侵的方式作出确定性的描述，形成相应的事件模式，无法检测出新的入侵行为。当被审计检测的事件与已知的入侵事件模式相匹配时，系统立即响应并进行报警。 2. 特征检测的类型 入侵检测

39、系统对各种事件进行分析，从中发现违反安全策略的行为是其核心功能。从技术上,入侵检测分为两类：一种基于标志(signature-based),另一种基于异常情况（anomaly-based）。 5.5 入侵检测与防御系统概述5.5.3 常见的入侵检测方法3.异常检测的常用方法 异常检测（Anomaly detection）是指假设入侵者活动异常于正常主体的活动的特征检测.根据这一原理建立主体正常活动的特征库,将当前主体的活动状况与特征库相比较,当违反其统计模型时,认为该活动可能是“入侵”行为.异常检测的难题在于建立特征库和设计统计模型.从而不将正常的操作作为“入侵”/忽略真正“入侵”行为。常用的

40、5种入侵检测统计模型为：操作模型; 方差.多元模型;马尔柯夫过程模型。时间序列分析。常用的异常检测方法包括： 基于贝叶斯推理检测法。基于特征选择检测法。基于贝叶斯网络检测法。基于模式预测的检测法。基于统计的异常检测法。基于机器学习检测法。数据挖掘检测法。 基于应用模式的异常检测法。基于文本分类的异常检测法。 5.5 入侵检测与防御系统概述5.5.4 入侵防御系统概述1.入侵防御系统的概念（1）入侵防御系统的概念 入侵防御系统 (Intrusion Prevent System，IPS)是能够监视网络或网络设备的网络信息传输行为，及时的中断、调整或隔离一些不正常或具有伤害性的网络信息传输行为.如

41、同IDS一样,专门深入网路数据内部查找攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。 （2）入侵防御系统IPS的种类按其用途可以划分为三种类型：基于主机的入侵防御系统HIPS。基于网络的入侵防御系统NIPS 。是IPS与防火墙的集成, 为了提高其使用效率,应采用信息流通过的方式。受保护的信息流应代表向网络系统或从中发出的数据,且要求：一是指定的网络领域中，需要高度的安全和保护，二是该网络领域中存在极可能发生的内部爆发配置地址，三是可以有效地将网络划分成最小的保护区域，并能提供最大范围的有效覆盖率。 分布式入侵防御系统DIPS。 5.5 入侵检测与防御系统概述5.5.4

42、 入侵防御系统概述 （3）入侵防御系统IPS的工作原理 IPS实现实时检查和阻止入侵的原理，如图5-17所示。主要利用多个IPS的过滤器，当新的攻击手段被发现后，就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。 针对不同攻击行为,IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则，为了确保准确性，规则的定义非常广泛。在对传输内容分类时，过滤引擎还要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性. 5.5 入侵检测与防御系统概述图5- 17 IPS的工作原理（4）IPS应用及部署 IPS的关键技术包括:集成全球

43、和本地主机访问控制、IDS、全球和本地安全策略、风险管理软件和支持全球访问并用于管理IPS 的控制台。类似IDS，通常使用更为先进的入侵检测技术，如试探式扫描、内容检查、状态和行为分析，同时还结合常规的侵入检测技术如基于签名的检测和异常检测。 H3C SecBlade IPS入侵防御系统。是一款高性能入侵防御模块,可应用于多种路由器,集成入侵防御/检测、病毒过滤和带宽管理等功能。通过深达7层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为,并实现对网络基础设施、网络应用和性能的全面保护. IPS部署交换机的应用如图5-18所示,IPS部署路由器的应用,

44、如图5-19所示。 5.5 入侵检测与防御系统概述 图5-18 IPS部署交换机的应用 图5-19 IPS部署路由器的应用案例5-125.5.4 入侵防御系统概述3. 防火墙、IDS与IPS的区别 IDS核心价值在于通过对全网信息分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整。入侵防御系统的核心价值在于安全策略的实施，阻击黑客行为；入侵检测系统需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端之间传输的数据。入侵防御系统则必须部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。 防火墙是实施访问控制策略的系统，对流经的网络流

45、量进行检查，拦截不符合安全策略的数据包。入侵检测技术(IDS)通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量，但仍然允许某些流量通过，因此防火墙对于很多入侵攻击仍然无计可施。绝大多数 IDS 系统都是被动的，而不是主动的。也就是说，在攻击实际发生之前，IDS往往无法预先发出警报。而入侵防护系统 (IPS) 则倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量

46、,经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中.这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包，都可在IPS设备中被清除掉。 5.5 入侵检测与防御系统概述5.5.5 入侵检测及防御技术的发展趋势1.入侵检测及防御技术发展趋势 三个方向发展： 1）分布式入侵检测：第一层含义，即针对分布式网络攻击的检测方法；第二层含义即使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。 2）智能化入侵检测:使用智能化的方法与手段进行入侵检测. 3）全面的安全防御方案： 2.统一威胁管理 统一威胁管理 (Unifi

47、ed Threat Management,UTM),2004年9月,全球著名市场咨询顾问机构IDC(国际数据公司),首度提出此概念，将防病毒、入侵检测和防火墙安全设备划归统一威胁管理。 5.5 入侵检测与防御系统概述5.5.5 入侵检测及防御技术的发展趋势 （1）UTM重要特点 1）建一个更高、更强、更可靠的墙,除了传统的访问控制之外,防火墙还应该对防垃圾邮件、拒绝服务、黑客攻击等这样的一些外部的威胁起到综合检测网络全协议层防御； 2）用高检测技术降低误报； 3）用高可靠、高性能的硬件平台支撑。 UTM优点:整合使成本降低、信息安全工作强度降低、技术复杂度降低。（2）UTM的技术架构 1）完全

48、性内容保护（Complete Content Protection，CCP）,对OSI模型中描述的所有层次的内容进行处理； 2）紧凑型模式识别语言（Compact Pattern Recognition Language，CPRL）,是为了快速执行完全内容检测而设计的。 3）动态威胁防护系统（Dynamic Threat Prevention System）,是在传统的模式检测技术上结合未知威胁处理的防御体系.动态威胁防护系统可以将信息在防病毒、防火墙和入侵检测等子模块之间共享使用,以达到检测准确率和有效性的提升。这种技术是业界领先的一种处理技术，也是对传统安全威胁检测技术的一种颠覆。 5.5 入侵检测与防御系统概述讨论