信息安全技术之安全检测技术培训资料

信息安全技术第5讲

安全检测技术5.1入侵检测技术与网络入侵检测系统产品5.2漏洞检测技术和微软系统漏洞检测工具MBSA第5讲

安全检测技术5.1入侵检测技术与网络入侵检测系统产品传统的操作系统加固技术和防火墙技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应；而入侵检测技术则是动态安全技术的核心技术之一，可以作为防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、安全检测、入侵识别、入侵取证和响应等)，提高了信息安全基础结构的完整性。第5讲

安全检测技术入侵检测系统(IntrusionDetectionSystem，IDS)是一类专门面向网络入侵的安全监测系统，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，查看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全防线，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。第5讲

安全检测技术入侵检测系统主要执行以下任务：1)监视、分析用户及系统活动。2)系统构造和弱点的审计。3)识别反映已知进攻的活动模式并报警。4)异常行为模式的统计分析。5)评估重要系统和数据文件的完整性。6)对操作系统的审计追踪管理，并识别用户违反安全策略的行为。第5讲

安全检测技术一个成功的入侵检测系统，不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更，还能给网络安全策略的制订提供指南。同时，它应该是管理和配置简单，使非专业人员能容易地获得网络安全。当然，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，应及时做出响应，包括切断网络连接、记录事件和报警等。第5讲

安全检测技术目前，入侵检测系统主要以模式匹配技术为主，并结合异常匹配技术。从实现方式上一般分为两种：基于主机和基于网络，而一个完备的入侵检测系统则一定是基于主机和基于网络这两种方式兼备的分布式系统。另外，能够识别的入侵手段数量的多少、最新入侵手段的更新是否及时也是评价入侵检测系统的关键指标。第5讲

安全检测技术利用最新的可适应网络安全技术和P2DR(Policy，Protection，Detection，Response，即策略、保护、探测、反应)安全模型，已经可以深入研究入侵事件、入侵手段本身及被入侵目标的漏洞等。随着P2DR安全模型被广泛认同，入侵检测系统在信息系统安全中占据越来越重要的地位。第5讲

安全检测技术1.IDS分类根据检测方法不同分类根据数据源不同分类第5讲

安全检测技术(1)根据检测方法不同分类按具体的检测方法，可将入侵检测系统分为基于行为和基于知识两类。第5讲

安全检测技术1)基于行为的检测，也称为异常检测。是指根据使用者的行为或资源使用状况的正常程度来判断是否发生入侵，而不依赖具体行为是否出现，即建立被检测系统正常行为的参考库，并通过与当前行为进行比较来寻找偏离参考库的异常行为。对于异常阈值与特征的选择是异常发现技术的关键。例如，通过流量统计分析将异常时间的异常网络流量视为可疑。第5讲

安全检测技术异常发现技术的局限是，并非所有的入侵都表现为异常，而且系统的轨迹也难以计算和更新。例如，一般在白天使用计算机的某用户，如果他突然在午夜注册登记，则有可能被认为是入侵者在使用。第5讲

安全检测技术2)基于知识的检测，也被称为误用检测。是指运用已知攻击方法，根据已定义好的入侵模式，通过与这些入侵模式是否匹配来判断入侵。入侵模式是入侵过程的特征、条件、排列以及事件间的关系，即具体入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助，而且对即将发生的入侵也有警戒作用，因为只要部分满足这些入侵迹象就意味着可能有入侵发生。第5讲

安全检测技术入侵模式匹配的关键是如何表达入侵的模式，把入侵与正常行为区分开来。入侵模式匹配的优点是误报少，局限是它只能发现已知的攻击，对未知的攻击无能为力。第5讲

安全检测技术(2)根据数据源不同分类根据检测系统所依据分析的原始数据不同，可将入侵检测分为来自系统日志和网络数据包两种。入侵检测的早期研究主要集中在对主机系统日志文件的分析上，因为当时的用户对象局限于本地用户。操作系统的日志文件中包含了详细的用户信息和系统调用数据，从中可以分析系统是否被侵入以及侵入者留下的痕迹等审计信息。第5讲

安全检测技术随着因特网的普及，用户可随机地从不同客户机上登录，主机间也经常需要交换信息，网络数据包中同样也含有用户信息。这样，就使入侵检测的对象范围扩大至整个网络。此外，还可根据系统运行特性分为实时检测和周期性检测，以及根据检测到入侵行为后是否采取相应措施而分为主动型和被动型等。图5.1两类检测的关系第5讲

安全检测技术2.IDS的基本原理由于对安全事件的检测通常包括了大量复杂的步骤，涉及到很多方面，任何单一技术都很难提供完备的检测能力，需要综合多个检测系统以达到尽量完备的检测能力。在根据安全事件报警的标准格式所定义的安全模型中，对一些入侵检测术语进行了规范，包括：第5讲

安全检测技术1)数据源(Datasource)：入侵检测系统用来检测非授权或不希望的活动的原始信息。通常的数据源包括(但不限于)原始的网络包、操作系统审计日志、应用程序日志以及系统生成的校验和数据等。2)活动(Activity)：由传感器或分析器识别出的数据源的实例。例如，网络会话、用户活动和应用事件等。活动既包括极其严重的事件(例如明显的恶意攻击)，也包括不太严重的事件(如值得进一步深究的异常用户活动)。第5讲

安全检测技术3)传感器(Sensor)：从数据源搜集数据的入侵检测构件或模块。数据搜集的频率由具体提供的入侵检测系统决定。4)事件(Event)：在数据源中发生且被分析器检测到的，可能导致警报传输的行为。例如，10s内的3次失败登录，可能表示强行登录尝试攻击。第5讲

安全检测技术5)分析器(Analyzer)：入侵检测的构件或进程，它分析传感器搜集的数据，这些数据反映了一些非授权的或不希望的活动，以及安全管理员感兴趣的安全事件的迹象。在很多现有的入侵检测系统中，将传感器和分析器作为同一构件的不同部分。6)安全策略(Securitypolicy)：预定义的正式文档声明，定义哪些服务可以通过被监控的网段，还包括(但不限于)哪些主机不允许外部网络访问，从而支持组织的安全需求。第5讲

安全检测技术7)报警(Alert)：由分析器发给管理器的消息，表明一个事件被检测到。报警通常包含被检测到的异常活动的有关信息和事件细节。当一个入侵正在发生或者试图发生时，IDS系统将发布一个Alert信息通知系统管理员。如果控制台与IDS系统同在一台机器，Alert信息将显示在监视器上，也可能伴随着声音提示。如果是远程控制台，那么Alert将通过IDS系统内置方法(通常是加密的)、SNMP(简单网络管理协议，通常不加密)、E-mail、SMS(短信息)或者以上几种方法的混合方式传递给管理员。第5讲

安全检测技术8)管理器(Manager)：入侵检测的构件或进程，操作员通过它可以管理入侵检测系统的各种构件。典型管理功能通常包括：传感器配置、分析器配置、事件通告管理、数据合并及报告等。9)通告(Notification)：入侵检测系统管理器用来使操作员知晓事件发生的方法。在很多入侵检测系统中，尽管有许多其他的通告技术可以采用，但通常是通过在入侵检测系统管理器屏幕上显示一个彩色图标、发送电子邮件或寻呼机消息，或者发送SNMP的陷门来实现。第5讲

安全检测技术10)管理员(Administrator)：负责维护和管理一个组织机构的网络信息系统安全的人员。管理员与负责安装配置入侵检测系统及监视入侵检测系统输出的人员，可能是一人也可能是多人；他可能属于网络/系统管理组，也可能是一个单独的职位。11)操作员(Operator)：入侵检测系统管理器的主要使用者。操作员监视入侵检测系统的输出，并负责发起或建议进一步的行动。第5讲

安全检测技术12)响应(Response)：对一个事件所采取的响应动作。响应可以由入侵检测系统体系结构中的一些实体自动执行，也可由人工发起。基本的响应包括：向操作员发送通告、将活动记入日志、记录描述事件特征的原始数据、中断网络连接或用户应用程序会话过程，或者改变网络或系统的访问控制等。13)特征表示(Signature)：分析器用于标识安全管理员感兴趣的活动的规则。表示符代表了入侵检测系统的检测机制。第5讲

安全检测技术14)入侵检测系统(IDS)：由一个或多个传感器、分析器、管理器组成，可自动分析系统活动，是检测安全事件的工具或系统。第5讲

安全检测技术一个简单的入侵检测系统的示意图如图5.2所示。图5.2简单的入侵检测系统示意图第5讲

安全检测技术系统可以分成数据采集、入侵分析引擎、管理配置、响应处理和相关的辅助模块等。1)数据采集模块：为入侵分析引擎模块提供分析用的数据。一股有操作系统的审计日志、应用程序日志、系统生成的校验和数据，以及网络数据包等。2)入侵分析引擎模块：依据辅助模块提供的信息(如攻击模式)，按照一定的算法对收集到的数据进行分析，从中判断是否有入侵行为出现并产生入侵报警。该模块是入侵检测系统的核心模块。第5讲

安全检测技术3)管理配置模块：它的功能是为其他模块提供配置服务，是入侵检测系统中模块与用户的接口。4)响应处理模块：当发生入侵后，预先为系统提供紧急的措施，如关闭网络服务、中断网络连接及启动备份系统等。5)辅助模块：协助入侵分析引擎模块工作，为它提供相应的信息，如攻击模式库、系统配置库和安全控制策略等。第5讲

安全检测技术3.入侵检测系统的结构由于IDS的物理实现方式不同，即系统组成的结构不同，按检测的监控位置划分，入侵检测系统可分为基于主机、基于网络和分布式三类。第5讲

安全检测技术(1)基于主机的入侵检测系统这是早期的入侵检测系统结构，系统(如图5.2所示)的检测目标主要是主机系统和系统本地用户。检测原理是在每一个需要保护的主机上运行一个代理程序，根据主机的审计数据和系统的日志发现可疑事件。检测系统可以运行在被检测的主机或单独的主机上，从而实现监控。第5讲

安全检测技术这种类型的系统依赖于审计数据或系统日志的准确性和完整性，以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵，就会出现问题。特别是在网络环境下，单独依靠主机审计信息进行入侵检测，将难以适应网络安全的需求。第5讲

安全检测技术基于主机的入侵检测系统可以精确地判断入侵事件，并可对入侵事件立即进行反应；还可针对不同操作系统的特点来判断应用层的入侵事件。但一般与操作系统和应用层入侵事件的结合过于紧密，通用性较差，并且IDS的分析过程会占用宝贵的主机资源。另外，对基于网络的攻击不敏感，特别是假冒IP的入侵。第5讲

安全检测技术由于服务器需要与因特网交互作用，因此在各服务器上应当安装基于主机的入侵检测软件，并将检测结果及时向管理员报告。基于主机的入侵检测系统没有带宽的限制，它们密切监视系统日志，能识别运行代理程序的机器上受到的攻击。基于主机的入侵检测系统提供了基于网络系统不能提供的精细功能，包括二进制完整性检查、系统日志分析和非法进程关闭等功能，并能根据受保护站点的实际情况进行针对性的定制，使其工作效果明显，误警率相当低。第5讲

安全检测技术(2)基于网络的入侵检测系统随着计算机网络技术的发展，单独依靠主机审计信息进行入侵检测将难以适应网络安全的需求。因此，人们提出了基于网络的入侵检测系统体系结构。这种检测系统使用原始的网络分组数据包作为进行攻击分析的数据源，通常利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，IDS的相应模块通过通知、报警以及中断连接等方式来对攻击做出反应。基于网络的入侵检测系统如图5.3所示。图5.3基于网络的入侵检测系统示意图第5讲

安全检测技术系统中数据采集模块由过滤器、网络接口引擎和过滤规则决策器组成。它的功能是按一定的规则从网络上获取与安全事件相关的数据包，然后传递给入侵分析引擎模块进行安全分析；入侵分析引擎模块将根据从采集模块传来的数据包并结合网络安全数据库进行分析，把分析结果传送给管理/配置模块：而管理/配置模块的主要功能是管理其他功能模块的配置工作，并将入侵分析引擎模块的输出结果以有效的方式通知网络管理员。第5讲

安全检测技术基于网络的入侵检测系统有以下优点：1)检测的范围是整个网段，而不仅是被保护的主机。2)实时检测和应答。一旦发生恶意访问或攻击，基于网络的IDS检测就可以随时发现它们，因此能够更快地做出反应，从而将入侵活动对系统的破坏降到最低。3)隐蔽性好。由于不需要在每个主机上安装，所以不易被发现。基于网络的入侵检测系统的端系统甚至可以没有网络地址，从而使攻击者没有攻击的目标。第5讲

安全检测技术4)不需要任何特殊的审计和登录机制，只要配置网络接口就可以了，不会影响其他数据源。5)操作系统独立。基于网络的IDS并不依赖主机的操作系统作为其检测资源，而基于主机的IDS需要特定的操作系统才能发挥作用。第5讲

安全检测技术基于网络的入侵检测系统的主要不足在于：只能检测经过本网段的活动，并且精确度较差，在交换式网络环境下难以配置，防入侵欺骗的能力也比较差；而且无法知道主机内部的安全情况，而主机内部普通用户的威胁也是网络信息系统安全的重要组成部分；另外，如果数据流进行了加密，就不能审查其内容，对主机上执行的命令也就难以检测。第5讲

安全检测技术因此，基于网络和基于主机的安全检测在方法上是需要互补的。第5讲

安全检测技术(3)分布式入侵检测系统随着网络系统结构的复杂化和大型化，带来了许多新的入侵检测问题，于是，产生了分布式入侵检测系统。分布式IDS的目标是既能检测网络入侵行为，又能检测主机的入侵行为。系统通常由数据采集模块、通信传输模块、入侵检测分析模块、响应处理模块、管理中心模块及安全知识库组成。第5讲

安全检测技术这些模块可根据不同情况进行组合，例如，由数据采集模块和通信传输模块组合产生出的新模块能完成数据采集和传输这两种任务。所有这些模块组合起来就变成了一个入侵检测系统。需要特别指出的是，模块按网络配置情况和检测的需要，可以安装在单独的一台主机上，也可分散在网络中的不同位置，甚至一些模块本身就能够单独检测本地的入侵，同时将入侵检测的局部结果信息提供给入侵检测管理中心。第5讲

安全检测技术分布式IDS结构对大型网络的安全是有帮助的，它能够将基于主机和基于网络的系统结构结合起来，检测所用到的数据源丰富，可克服前两者的弱点。但是，分布式的结构增加了网络管理复杂度，如传输安全事件过程中增加了对通信安全问题的处理等。第5讲

安全检测技术4.入侵检测的基本方法入侵检测的基本方法主要有基于用户行为概率统计模型、基于神经网络、基于专家系统和基于模型推理等。第5讲

安全检测技术(1)基于用户行为概率统计模型的入侵检测方法这种方法是基于对用户历史行为以及在早期的证据或模型的基础上进行的，系统实时检测用户对系统的使用情况，根据系统内部保存的用户行为概率统计模型进行检测。当有可疑行为发生时，保持追踪并监测、记录该用户的行为。第5讲

安全检测技术通常系统要根据每个用户以前的历史行为，生成每个用户的历史行为记录库，当某用户改变其行为习惯时，这种异常就会被检测出来。例如，统计系统会记录CPU的使用时间，I/O的使用通道和频率，常用目录的建立与删除，文件的读写、修改、删除，以及用户习惯使用的编辑器和编译器，最常用的系统调用，用户ID的存取，文件和目录的使用等。第5讲

安全检测技术这种方法的弱点主要是：1)对于非常复杂的用户行为很难建立一个准确匹配的统计模型。2)统计模型没有普遍性，因此，一个用户的检测措施并不适用于其他用户，这将使得算法庞大而且复杂。3)由于采用统计方法，系统将不得不保留大量的用户行为信息，导致系统的臃肿和难以剪裁。第5讲

安全检测技术(2)基于神经网络的入侵检测方法这种方法是利用神经网络技术来进行入侵检测的，因此，对于用户行为具有学习和自适应性，能够根据实际检测到的信息有效地加以处理并做出判断，但尚不十分成熟，目前还没有出现较为完善的产品。第5讲

安全检测技术(3)基于专家系统的入侵检测方法根据安全专家对可疑行为的分析经验形成的一套推理规则，在此基础上建立相应的专家系统，专家系统能自动对所涉及的入侵行为进行分析。该系统应当能够随着经验的积累，利用其自学习能力进行规则的扩充和修正。第5讲

安全检测技术(4)基于模型推理的入侵检测方法根据入侵者在进行入侵时所执行程序的某些行为特征，建立一种入侵行为模型；根据这种行为模型来判断用户的操作是否属于入侵行为。当然这种方法也是建立在对已知入侵行为的基础上的，对未知入侵行为模型的识别需要进一步学习和扩展。第5讲

安全检测技术上述每一种方法都不能保证准确地检测出变化无穷的入侵行为，因此，在网络安全防护中要充分衡量各种方法的利弊，综合运用这些方法才能有效地检测出入侵者的非法行为。演讲完毕，谢谢观看！附录资料：不需要的可以自行删除55信息化规划与管理建立企业模型56第一节信息化规划项目的规划

制定大、中型企业的信息化规划本身就是一个庞大的项目，必须对这个信息化规划项目进行规划，这是制定信息化规划阶段的第一项任务，在这一项任务中应该完成以下三个子任务：

57一、确定信息战略规划的边界

确定信息化规划的范围，是对企业制定整体（或全局）规划，还是制定企业一个部门的规划（局部规划）；确定IT规划的信息技术边界，即信息系统应用哪些信息技术；确定信息化规划的时间限制，一般应在3~6个月之内完成，时间太短，结果比较肤浅；时间太长了，规划过于详细，可能过时。

58二、建立制定信息化规划项目的组织

项目发起人，他是主管项目的高级行政官员，他能与其他高层管理人员进行交流；项目小组，即前面所述的核心小组；咨询小组，其作用是提供项目小组不具备的专业技术，审查可交付的报告，以确保能正确反映业务现实。是否一定需要咨询小组，可以根据企业的具体情况来决定，所以，咨询小组是任选的。

59三、制定项目进度表

制定企业的信息化规划要完成7项任务，而每一项任务又包含一些子任务，有的子任务仍需分解成为更小的任务。为此，需要制定一个详细的任务表，规定各个任务的优先次序和完成任务的时间安排。给项目组成员分配具体任务和确定任务完成的时间，并绘制详细的进度表，便于及时检查和掌握工作进度。

60第二节初始的企业模型信息化规划阶段的第二个任务是建立一个初始的高层次的企业模型。高层次的企业模型应包括业务处理的主要数据（称为主题域）和这些数据之间的关系，以及企业的高层业务功能。首先要求识别企业的组织结构，确定企业的任务、目标和关键成功因素及其信息需求，进行业务战略规划。

61一、建立组织层次图

首先，识别企业的组织机构，建立企业的组织层次图。

信息来源：从得到的组织结构的文档中获得。信息输入：组织结构图，组织手册或指南，组织文件或数据库报表。信息输出：组织层次图和组织单元的信息记录表。

62信息输入步骤1：利用IT规划工具箱的组织层次图表来表示层次形式的组织结构，或用缩进形式图表表示。步骤2：记录每一组织单元的下列信息，并建立组织单元信息记录表。

名称；

负责人的姓名和职务；

组织单元的任务；组织单元之间的关系。信息输出：组织层次图、组织单元的信息记录表63二、识别企业的任务、目标、战略重点和关键的成功因素

为了获取企业的信息需求，应该识别企业的任务、目标、战略重点和关键的成功因素。信息来源：从审查的书面文档中提取有关业务的材料。信息输入：正式的业务计划、年底报告、战略备忘录、组织层次图。信息输出：任务说明书组织单元的目标、战略和关键成功因素列表企业目标／组织单元目标矩阵企业和主要单元的初始目标层次列表

64信息输入步骤1：考察全部提供的可用文件，确定并列出企业的任务、目标、战略和关键成功因素，在确定企业的关键成功因素时，应注意它们总是与确保企业竞争能力的因素相关。关键成功因素是由企业的关键信息、关键假设和关键的决策组成的。步骤2：将任务、目标和关键成功因素组成一个任务说明书。

步骤3：记录组织层次图中与企业有直接关系的组织单元的目标、战略和关键成功因素。步骤4：建立企业目标／组织单元目标矩阵，

步骤5：产生一份初始的目标层次列表，信息输出：同前

65三、阐述信息需求和性能度量

在信息输出的基础上，必须识别出支持每个目标和关键成功因素所需要的信息，这称为“信息需求”；给出的评价每个目标完成的方法，称为“性能度量”。信息输入：书面文件，上一节的信息输出、组织层次图。信息输出：信息需求列表信息需求／组织矩阵性能度量／组织矩阵

66信息输入步骤1：识别和记录信息需求及其特征，建立信息需求列表。（表6-2）

步骤2：建立信息需求／组织单元矩阵，其元素表示一组织单元的信息需求。（表6-3）

步骤3：建立性能度量／组织单元矩阵，其元素表示一个组织单元通过一个或多个性能度量来监测它的目标。信息输出：同上67四、分析信息技术的潜在影响

通过分析信息技术对企业业务的潜在影响，找出使业务可能获益的信息技术，这里的信息技术是指用于创建新的业务机会的计算机硬件、软件、数据库和网络通信产品。信息输入：与信息技术最新发展和应用有关的出版物，发行的目前流行的技术环境的业务文件，有可能依赖于信息技术的业务战略。信息输出：是一个有关信息技术对该企业业务产生潜在影响的简短说明。

68信息输入步骤1：重新审查可用的技术资料，以确定信息技术在企业内部使用的范围。步骤2：根据规划者的经验和从出版物中得到的信息，列出使业务可能获益的技术，这些技术包括四类：转化为产品或服务的技术，或转化为部分产品或部分服务的技术，银行所关心的产品或服务的技术，用于市场销售的技术，提高企业竞争优势的技术信息输出