信息安全技术之安全检测技术培训(ppt-53页)课件

1、信息安全技术第 5 讲 安全检测技术5.1 入侵检测技术与网络入侵检测系统产品5.2 漏洞检测技术和微软系统漏洞检测工具MBSA 第 5 讲 安全检测技术5.1 入侵检测技术与网络入侵检测系统产品传统的操作系统加固技术和防火墙技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应；而入侵检测技术则是动态安全技术的核心技术之一，可以作为防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力 (包括安全审计、安全检测、入侵识别、入侵取证和响应等) ，提高了信息安全基础结构的完整性。第 5 讲 安全检测技术入侵检测系统 (Intrusion Detection Sys

2、tem，IDS) 是一类专门面向网络入侵的安全监测系统，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，查看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全防线，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。第 5 讲 安全检测技术入侵检测系统主要执行以下任务：1) 监视、分析用户及系统活动。2) 系统构造和弱点的审计。3) 识别反映已知进攻的活动模式并报警。4) 异常行为模式的统计分析。5) 评估重要系统和数据文件的完整性。6) 对操作系统的审计追踪管理，并识别用户违反安全策略的行为。第 5 讲 安全

3、检测技术一个成功的入侵检测系统，不但可使系统管理员时刻了解网络系统 (包括程序、文件和硬件设备等) 的任何变更，还能给网络安全策略的制订提供指南。同时，它应该是管理和配置简单，使非专业人员能容易地获得网络安全。当然，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，应及时做出响应，包括切断网络连接、记录事件和报警等。第 5 讲 安全检测技术目前，入侵检测系统主要以模式匹配技术为主，并结合异常匹配技术。从实现方式上一般分为两种：基于主机和基于网络，而一个完备的入侵检测系统则一定是基于主机和基于网络这两种方式兼备的分布式系统。另外，能够识别的入侵手段数量的多

4、少、最新入侵手段的更新是否及时也是评价入侵检测系统的关键指标。第 5 讲 安全检测技术利用最新的可适应网络安全技术和P2DR (Policy，Protection，Detection，Response，即策略、保护、探测、反应) 安全模型，已经可以深入研究入侵事件、入侵手段本身及被入侵目标的漏洞等。随着P2DR安全模型被广泛认同，入侵检测系统在信息系统安全中占据越来越重要的地位。第 5 讲 安全检测技术1. IDS分类根据检测方法不同分类根据数据源不同分类第 5 讲 安全检测技术(1) 根据检测方法不同分类按具体的检测方法，可将入侵检测系统分为基于行为和基于知识两类。第 5 讲 安全检测技术1

5、) 基于行为的检测，也称为异常检测。是指根据使用者的行为或资源使用状况的正常程度来判断是否发生入侵，而不依赖具体行为是否出现，即建立被检测系统正常行为的参考库，并通过与当前行为进行比较来寻找偏离参考库的异常行为。对于异常阈值与特征的选择是异常发现技术的关键。例如，通过流量统计分析将异常时间的异常网络流量视为可疑。第 5 讲 安全检测技术异常发现技术的局限是，并非所有的入侵都表现为异常，而且系统的轨迹也难以计算和更新。例如，一般在白天使用计算机的某用户，如果他突然在午夜注册登记，则有可能被认为是入侵者在使用。第 5 讲 安全检测技术2) 基于知识的检测，也被称为误用检测。是指运用已知攻击方法，根

6、据已定义好的入侵模式，通过与这些入侵模式是否匹配来判断入侵。入侵模式是入侵过程的特征、条件、排列以及事件间的关系，即具体入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助，而且对即将发生的入侵也有警戒作用，因为只要部分满足这些入侵迹象就意味着可能有入侵发生。第 5 讲 安全检测技术入侵模式匹配的关键是如何表达入侵的模式，把入侵与正常行为区分开来。入侵模式匹配的优点是误报少，局限是它只能发现已知的攻击，对未知的攻击无能为力。第 5 讲 安全检测技术(2) 根据数据源不同分类根据检测系统所依据分析的原始数据不同，可将入侵检测分为来自系统日志和网络数据包两种。入侵检测的早期研究主要集中在对主

7、机系统日志文件的分析上，因为当时的用户对象局限于本地用户。操作系统的日志文件中包含了详细的用户信息和系统调用数据，从中可以分析系统是否被侵入以及侵入者留下的痕迹等审计信息。第 5 讲 安全检测技术随着因特网的普及，用户可随机地从不同客户机上登录，主机间也经常需要交换信息，网络数据包中同样也含有用户信息。这样，就使入侵检测的对象范围扩大至整个网络。此外，还可根据系统运行特性分为实时检测和周期性检测，以及根据检测到入侵行为后是否采取相应措施而分为主动型和被动型等。图5.1 两类检测的关系第 5 讲 安全检测技术2. IDS的基本原理由于对安全事件的检测通常包括了大量复杂的步骤，涉及到很多方面，任何

8、单一技术都很难提供完备的检测能力，需要综合多个检测系统以达到尽量完备的检测能力。在根据安全事件报警的标准格式所定义的安全模型中，对一些入侵检测术语进行了规范，包括：第 5 讲 安全检测技术1) 数据源 (Data source) ：入侵检测系统用来检测非授权或不希望的活动的原始信息。通常的数据源包括 (但不限于) 原始的网络包、操作系统审计日志、应用程序日志以及系统生成的校验和数据等。2) 活动 (Activity) ：由传感器或分析器识别出的数据源的实例。例如，网络会话、用户活动和应用事件等。活动既包括极其严重的事件 (例如明显的恶意攻击) ，也包括不太严重的事件 (如值得进一步深究的异常用

9、户活动) 。第 5 讲 安全检测技术3) 传感器 (Sensor) ：从数据源搜集数据的入侵检测构件或模块。数据搜集的频率由具体提供的入侵检测系统决定。4) 事件 (Event) ：在数据源中发生且被分析器检测到的，可能导致警报传输的行为。例如，10s内的3次失败登录，可能表示强行登录尝试攻击。第 5 讲 安全检测技术5) 分析器 (Analyzer) ：入侵检测的构件或进程，它分析传感器搜集的数据，这些数据反映了一些非授权的或不希望的活动，以及安全管理员感兴趣的安全事件的迹象。在很多现有的入侵检测系统中，将传感器和分析器作为同一构件的不同部分。6) 安全策略 (Security policy

10、) ：预定义的正式文档声明，定义哪些服务可以通过被监控的网段，还包括 (但不限于) 哪些主机不允许外部网络访问，从而支持组织的安全需求。第 5 讲 安全检测技术7) 报警 (Alert) ：由分析器发给管理器的消息，表明一个事件被检测到。报警通常包含被检测到的异常活动的有关信息和事件细节。当一个入侵正在发生或者试图发生时，IDS系统将发布一个Alert信息通知系统管理员。如果控制台与IDS系统同在一台机器，Alert信息将显示在监视器上，也可能伴随着声音提示。如果是远程控制台，那么Alert将通过IDS系统内置方法 (通常是加密的) 、SNMP (简单网络管理协议，通常不加密) 、E-mail

11、、SMS (短信息) 或者以上几种方法的混合方式传递给管理员。第 5 讲 安全检测技术8) 管理器 (Manager) ：入侵检测的构件或进程，操作员通过它可以管理入侵检测系统的各种构件。典型管理功能通常包括：传感器配置、分析器配置、事件通告管理、数据合并及报告等。9) 通告 (Notification) ：入侵检测系统管理器用来使操作员知晓事件发生的方法。在很多入侵检测系统中，尽管有许多其他的通告技术可以采用，但通常是通过在入侵检测系统管理器屏幕上显示一个彩色图标、发送电子邮件或寻呼机消息，或者发送SNMP的陷门来实现。第 5 讲 安全检测技术10) 管理员 (Administrator)

12、：负责维护和管理一个组织机构的网络信息系统安全的人员。管理员与负责安装配置入侵检测系统及监视入侵检测系统输出的人员，可能是一人也可能是多人；他可能属于网络/系统管理组，也可能是一个单独的职位。11) 操作员 (Operator) ：入侵检测系统管理器的主要使用者。操作员监视入侵检测系统的输出，并负责发起或建议进一步的行动。第 5 讲 安全检测技术12) 响应 (Response) ：对一个事件所采取的响应动作。响应可以由入侵检测系统体系结构中的一些实体自动执行，也可由人工发起。基本的响应包括：向操作员发送通告、将活动记入日志、记录描述事件特征的原始数据、中断网络连接或用户应用程序会话过程，或者

13、改变网络或系统的访问控制等。13) 特征表示 (Signature) ：分析器用于标识安全管理员感兴趣的活动的规则。表示符代表了入侵检测系统的检测机制。第 5 讲 安全检测技术14) 入侵检测系统 (IDS) ：由一个或多个传感器、分析器、管理器组成，可自动分析系统活动，是检测安全事件的工具或系统。第 5 讲 安全检测技术一个简单的入侵检测系统的示意图如图5.2所示。图5.2 简单的入侵检测系统示意图第 5 讲 安全检测技术系统可以分成数据采集、入侵分析引擎、管理配置、响应处理和相关的辅助模块等。1) 数据采集模块：为入侵分析引擎模块提供分析用的数据。一股有操作系统的审计日志、应用程序日志、系

14、统生成的校验和数据，以及网络数据包等。2) 入侵分析引擎模块：依据辅助模块提供的信息 (如攻击模式) ，按照一定的算法对收集到的数据进行分析，从中判断是否有入侵行为出现并产生入侵报警。该模块是入侵检测系统的核心模块。第 5 讲 安全检测技术3) 管理配置模块：它的功能是为其他模块提供配置服务，是入侵检测系统中模块与用户的接口。4) 响应处理模块：当发生入侵后，预先为系统提供紧急的措施，如关闭网络服务、中断网络连接及启动备份系统等。5) 辅助模块：协助入侵分析引擎模块工作，为它提供相应的信息，如攻击模式库、系统配置库和安全控制策略等。第 5 讲 安全检测技术3. 入侵检测系统的结构由于IDS的物

15、理实现方式不同，即系统组成的结构不同，按检测的监控位置划分，入侵检测系统可分为基于主机、基于网络和分布式三类。第 5 讲 安全检测技术(1) 基于主机的入侵检测系统这是早期的入侵检测系统结构，系统 (如图5.2所示) 的检测目标主要是主机系统和系统本地用户。检测原理是在每一个需要保护的主机上运行一个代理程序，根据主机的审计数据和系统的日志发现可疑事件。检测系统可以运行在被检测的主机或单独的主机上，从而实现监控。第 5 讲 安全检测技术这种类型的系统依赖于审计数据或系统日志的准确性和完整性，以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵，就会出现问题。特别是在网络环境下，单独依靠主机审计

16、信息进行入侵检测，将难以适应网络安全的需求。第 5 讲 安全检测技术基于主机的入侵检测系统可以精确地判断入侵事件，并可对入侵事件立即进行反应；还可针对不同操作系统的特点来判断应用层的入侵事件。但一般与操作系统和应用层入侵事件的结合过于紧密，通用性较差，并且IDS的分析过程会占用宝贵的主机资源。另外，对基于网络的攻击不敏感，特别是假冒IP的入侵。第 5 讲 安全检测技术由于服务器需要与因特网交互作用，因此在各服务器上应当安装基于主机的入侵检测软件，并将检测结果及时向管理员报告。基于主机的入侵检测系统没有带宽的限制，它们密切监视系统日志，能识别运行代理程序的机器上受到的攻击。基于主机的入侵检测系统

17、提供了基于网络系统不能提供的精细功能，包括二进制完整性检查、系统日志分析和非法进程关闭等功能，并能根据受保护站点的实际情况进行针对性的定制，使其工作效果明显，误警率相当低。第 5 讲 安全检测技术(2) 基于网络的入侵检测系统随着计算机网络技术的发展，单独依靠主机审计信息进行入侵检测将难以适应网络安全的需求。因此，人们提出了基于网络的入侵检测系统体系结构。这种检测系统使用原始的网络分组数据包作为进行攻击分析的数据源，通常利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，IDS的相应模块通过通知、报警以及中断连接等方式来对攻击做出反应。基于网络的入侵检测系统如图5.3

18、所示。图5.3 基于网络的入侵检测系统示意图第 5 讲 安全检测技术系统中数据采集模块由过滤器、网络接口引擎和过滤规则决策器组成。它的功能是按一定的规则从网络上获取与安全事件相关的数据包，然后传递给入侵分析引擎模块进行安全分析；入侵分析引擎模块将根据从采集模块传来的数据包并结合网络安全数据库进行分析，把分析结果传送给管理/配置模块：而管理/配置模块的主要功能是管理其他功能模块的配置工作，并将入侵分析引擎模块的输出结果以有效的方式通知网络管理员。第 5 讲 安全检测技术基于网络的入侵检测系统有以下优点：1) 检测的范围是整个网段，而不仅是被保护的主机。2) 实时检测和应答。一旦发生恶意访问或攻击

19、，基于网络的IDS检测就可以随时发现它们，因此能够更快地做出反应，从而将入侵活动对系统的破坏降到最低。3) 隐蔽性好。由于不需要在每个主机上安装，所以不易被发现。基于网络的入侵检测系统的端系统甚至可以没有网络地址，从而使攻击者没有攻击的目标。第 5 讲 安全检测技术4) 不需要任何特殊的审计和登录机制，只要配置网络接口就可以了，不会影响其他数据源。5) 操作系统独立。基于网络的IDS并不依赖主机的操作系统作为其检测资源，而基于主机的IDS需要特定的操作系统才能发挥作用。第 5 讲 安全检测技术基于网络的入侵检测系统的主要不足在于：只能检测经过本网段的活动，并且精确度较差，在交换式网络环境下难以

20、配置，防入侵欺骗的能力也比较差；而且无法知道主机内部的安全情况，而主机内部普通用户的威胁也是网络信息系统安全的重要组成部分；另外，如果数据流进行了加密，就不能审查其内容，对主机上执行的命令也就难以检测。第 5 讲 安全检测技术因此，基于网络和基于主机的安全检测在方法上是需要互补的。第 5 讲 安全检测技术(3) 分布式入侵检测系统随着网络系统结构的复杂化和大型化，带来了许多新的入侵检测问题，于是，产生了分布式入侵检测系统。分布式IDS的目标是既能检测网络入侵行为，又能检测主机的入侵行为。系统通常由数据采集模块、通信传输模块、入侵检测分析模块、响应处理模块、管理中心模块及安全知识库组成。第 5

21、讲 安全检测技术这些模块可根据不同情况进行组合，例如，由数据采集模块和通信传输模块组合产生出的新模块能完成数据采集和传输这两种任务。所有这些模块组合起来就变成了一个入侵检测系统。需要特别指出的是，模块按网络配置情况和检测的需要，可以安装在单独的一台主机上，也可分散在网络中的不同位置，甚至一些模块本身就能够单独检测本地的入侵，同时将入侵检测的局部结果信息提供给入侵检测管理中心。第 5 讲 安全检测技术分布式IDS结构对大型网络的安全是有帮助的，它能够将基于主机和基于网络的系统结构结合起来，检测所用到的数据源丰富，可克服前两者的弱点。但是，分布式的结构增加了网络管理复杂度，如传输安全事件过程中增加

22、了对通信安全问题的处理等。第 5 讲 安全检测技术4. 入侵检测的基本方法入侵检测的基本方法主要有基于用户行为概率统计模型、基于神经网络、基于专家系统和基于模型推理等。第 5 讲 安全检测技术(1) 基于用户行为概率统计模型的入侵检测方法这种方法是基于对用户历史行为以及在早期的证据或模型的基础上进行的，系统实时检测用户对系统的使用情况，根据系统内部保存的用户行为概率统计模型进行检测。当有可疑行为发生时，保持追踪并监测、记录该用户的行为。第 5 讲 安全检测技术通常系统要根据每个用户以前的历史行为，生成每个用户的历史行为记录库，当某用户改变其行为习惯时，这种异常就会被检测出来。例如，统计系统会记

23、录CPU的使用时间，I/O的使用通道和频率，常用目录的建立与删除，文件的读写、修改、删除，以及用户习惯使用的编辑器和编译器，最常用的系统调用，用户ID的存取，文件和目录的使用等。第 5 讲 安全检测技术这种方法的弱点主要是：1) 对于非常复杂的用户行为很难建立一个准确匹配的统计模型。2) 统计模型没有普遍性，因此，一个用户的检测措施并不适用于其他用户，这将使得算法庞大而且复杂。3) 由于采用统计方法，系统将不得不保留大量的用户行为信息，导致系统的臃肿和难以剪裁。第 5 讲 安全检测技术(2) 基于神经网络的入侵检测方法这种方法是利用神经网络技术来进行入侵检测的，因此，对于用户行为具有学习和自适

24、应性，能够根据实际检测到的信息有效地加以处理并做出判断，但尚不十分成熟，目前还没有出现较为完善的产品。第 5 讲 安全检测技术(3) 基于专家系统的入侵检测方法根据安全专家对可疑行为的分析经验形成的一套推理规则，在此基础上建立相应的专家系统，专家系统能自动对所涉及的入侵行为进行分析。该系统应当能够随着经验的积累，利用其自学习能力进行规则的扩充和修正。第 5 讲 安全检测技术(4) 基于模型推理的入侵检测方法根据入侵者在进行入侵时所执行程序的某些行为特征，建立一种入侵行为模型；根据这种行为模型来判断用户的操作是否属于入侵行为。当然这种方法也是建立在对已知入侵行为的基础上的，对未知入侵行为模型的识

25、别需要进一步学习和扩展。第 5 讲 安全检测技术上述每一种方法都不能保证准确地检测出变化无穷的入侵行为，因此，在网络安全防护中要充分衡量各种方法的利弊，综合运用这些方法才能有效地检测出入侵者的非法行为。（第14讲）考场作文开拓文路能力分解层次(网友来稿)江苏省镇江中学 陈乃香说明：本系列稿共24讲，20XX年1月6日开始在资源上连载【要义解说】文章主旨确立以后，就应该恰当地分解层次，使几个层次构成一个有机的整体，形成一篇完整的文章。如何分解层次主要取决于表现主旨的需要。【策略解读】一般说来，记人叙事的文章常按时间顺序分解层次，写景状物的文章常按时间顺序、空间顺序分解层次；说明文根据说明对象的特

26、点，可按时间顺序、空间顺序或逻辑顺序分解层次；议论文主要根据“提出问题分析问题解决问题”顺序来分解层次。当然，分解层次不是一层不变的固定模式，而应该富于变化。文章的层次，也常常有些外在的形式：1小标题式。即围绕话题把一篇文章划分为几个相对独立的部分，再给它们加上一个简洁、恰当的小标题。如世界改变了模样四个小标题：寿命变“长”了、世界变“小”了、劳动变“轻”了、文明变“绿”了。 2序号式。序号式作文与小标题作文有相同的特点。序号可以是“一、二、三”，可以是“A、B、C”，也可以是“甲、乙、丙”从全文看，序号式干净、明快；但从题目上看，却看不出文章内容，只是标明了层次与部分。有时序号式作文，也适用

27、于叙述性文章，为故事情节的展开，提供了明晰的层次。 3总分式。如高考佳作人生也是一张答卷。开头：“人生就是一张答卷。它上面有选择题、填空题、判断题和问答题，但它又不同于一般的答卷。一般的答卷用手来书写，人生的答卷却要用行动来书写。”主体部分每段首句分别为：选择题是对人生进行正确的取舍，填空题是充实自己的人生，判断题是表明自己的人生态度，问答题是考验自己解决问题的能力。这份“试卷”设计得合理而且实在，每个人的人生都是不同的，这就意味着这份人生试卷的“答案是丰富多彩的”。分解层次，应追求作文美学的三个价值取向：一要匀称美。什么材料在前，什么材料在后，要合理安排；什么材料详写，什么材料略写，要通盘考

28、虑。自然段是构成文章的基本单位，恰当划分自然段，自然就成为分解层次的基本要求。该分段处就分段，不要老是开头、正文、结尾“三段式”，这种老套的层次显得呆板。二要波澜美。文章内容应该有张有弛，有起有伏，如波如澜。只有这样才能使文章起伏错落，一波三折，吸引读者。三要圆合美。文章的开头与结尾要遥相照应，把开头描写的事物或提出的问题，在结尾处用各种方式加以深化或回答，给人首尾圆合的感觉。【例文解剖】 话题：忙忙，不亦乐乎 忙，是人生中一个个步骤，每个人所忙的事务不同，但是不能是碌碌无为地白忙，要忙就忙得精彩，忙得不亦乐乎。 忙是问号。忙看似简单，但其中却大有学问。忙是人生中不可缺少的一部分，但是怎么才能

29、忙出精彩，忙得不亦乐乎，却并不简单。人生如同一张地图，我们一直在自己的地图上行走，时不时我们眼前就出现一个十字路口，我们该向哪儿，面对那纵轴横轴相交的十字路口，我们该怎样选择?不急，静下心来分析一下，选择适合自己的坐标轴才是最重要的。忙就是如此，选择自己该忙的才能忙得有意义。忙是问号，这个问号一直提醒我们要忙得有意义，忙得不亦乐乎。 忙是省略号。四季在有规律地进行着冷暖交替，大自然就一直按照这样的规律不停地忙，人们亦如此。为自己找一个目标，为目标而不停地忙，让这种忙一直忙下去。当目标已达成，那么再找一个目标，继续这样忙，就像省略号一样，毫无休止地忙下去，翻开历史的长卷，我们看到牛顿在忙着他的实验；爱迪生在忙着思考；徐霞客在忙着记载游玩；李时珍在忙着编写本草纲目。再看那位以笔为刀枪的充满着朝气与力量的文学泰斗鲁迅，他正忙着用他独有的刀和枪在不停地奋斗。忙是省略号，确定了一个目标那么就一直忙下去吧!这样的忙一定会忙出生命灵动的色彩。 忙是惊叹号。世界上的人都在忙着自己的事，大自然亦如此，小蜜蜂在忙，以蜂蜜为回报。那么人呢?居里夫人的忙，以放射性元素的发现而得到了圆满的休止符；爱因斯坦在忙，以相对论的问世而画上了惊叹号；李白的忙，以那豪放的诗歌而有了很大的成功；张衡的忙，因为那地动仪的问世而让世人