安全审核评估和风险分析第16部分入侵检测早期预警与事件响应

第八单元

入侵检测学习目标掌握入侵检测系统的概念了解入侵检测系统的作用及原理区分入侵检测系统和自动扫描程序描述网络级入侵检测与主机级入侵检测系统的不同列举入侵检测系统中使用的元素掌握入侵检测的规那么、动作与行为掌握入侵检测软件的选购与使用入侵检测系统的概念入侵检测----通过对网络行为、平安日志或审核数据或其它网络上可以获得的信息进行操作和分析，检测到对系统的闯入或闯入的企图。

入侵检测系统的概念入侵检测系统IDS与扫描器systemscanne区别systemscanner〔系统扫描器〕是根据攻击特征数据库来扫描系统漏洞的。systemscanner更关注配置上的漏洞而不是当前进出主机的流量，有点类似杀毒软件，需要对已有漏洞分析后找到检测方法并编写检测规那么。入侵检测系统IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规那么来过滤从主机网卡到网线上的流量，提供实时警报。入侵检测系统IDS是对现有系统进行的动态检测。入侵检测系统的主要功能检测并分析用户和系统的活动提供报警和预防防范黑客入侵核查系统配置和漏洞评估系统关键资源和数据文件的完整性识别的攻击行为统计分析异常行为记录各种网络活动和事件操作系统日志管理，并识别违反平安策略的用户活动入侵检测的分类从检测时间上划分实时入侵检测事后入侵检测

从检测技术上划分基于签名基于异常情况

按照检测对象划分基于主机

基于网络

混合型

管理者与代理的通信建立一个有效的入侵检测体系安装IDS需注意的问题使用IDS应注意的问题充分发挥和利用IDS定制监控反响改正创立和配置IDS规那么必须为IDS建立规那么编辑已有的规那么并增加新的规那么来为网络提供最正确的保护。规那么只有两大类：网络异常网络误用企业级的IDS通常可以实施上百条规那么IDS的动作与行为

定义规那么的元素需要保护的主机需要做日志记录和禁止的主机实施策略的时间段事件的描述对发生的事件如何反响IDS主动审核和被动审核审核分被动型和主动型主动审核被动审核入侵检测系统常用的检测方法入侵检测系统常用的检测方法有：特征检测统计检测专家系统文件完整性检查入侵检测系统常用的检测方法特征检测特征检测对的攻击或入侵的方式做出正确性的描述，形成相应的事件模式检测方法上与计算机病毒的检测方式类似应用广泛预报检测的准确率较高入侵检测系统常用的检测方法统计检测统计模型常为异常检测在统计模型中常用的测量参数包括：审核事件的数量间隔时间资源消耗情况常用的入侵检测5种统计模型为：

操作模型方差多元模型马尔柯夫过程模型时间序列分析入侵检测系统常用的检测方法专家系统专家系统是基于一套由专家经验事先定义的规那么的推理系统。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审核记录的完备性和实时性。专家系统对系统的适应性比较强，可以较灵活地适应广谱的平安策略和检测需求。入侵检测系统常用的检测方法文件完整性检查文件完整性检查是指系统检查计算机中自上次检查后文件变化的情况文件完整性检查系统的优点文件完整性检查系统的弱点基于内核的入侵检测系统〔LIDS〕什么是LIDS基于Linux内核的入侵检测和预防系统

LIDS的三点特性入侵防护入侵监测入侵响应基于内核的入侵检测系统〔LIDS〕LIDS文档工程安装LIDS下载、安装和配置LIDS补丁和相关正式的Linux内核在Linux系统上安装LIDS和系统管理工具配置LIDS系统入侵检测技术开展方向入侵技术的开展与演变

入侵或攻击的综合化与复杂化入侵主体对象的间接化入侵或攻击的规模扩大入侵或攻击技术的分布化攻击对象的转移入侵检测技术的开展方向分布式入侵检测智能化入侵检测全面的平安防御方案知名的入侵检测系统软件金诺网安入侵检测系统CiscoSecure入侵检测统清华得实NetDT(r)2000东软NetEyeIDS

东软IDS

中科网威“天眼〞入侵侦测系统

汉邦入侵检测系统HBIDS

安氏领信IDS

中联绿盟“冰之眼〞瑞星RIDS-100如何选择入侵检测产品可以根据以下因素选择入侵检测产品：系统的价格特征库升级与维护的费用对于网络入侵检测系统，最大可处理流量〔包/秒PPS〕是多少该产品容易被躲避吗产品的可伸缩性运行与维护系统的开销产品支持的入侵特征数产品有哪些响应方法是否通过了国家授权的机构的评测实验8-1：了解和认识CASessionWall的功能

在本实验中，我们将会学习到IDS的原理和功能，以及SessionWall的工作环境。实验8-2：了解和掌握SessionWall的环境在本实验中我们将了解SessionWall的强大功能以及IDS在网络中的地位与作用。实验8-3：在SessionWall中创立、设置、编辑审核规那么本实验主要要求大家掌握SessionWall中规那么编辑的方法细节。第九单元

早期预警与事件响应学习目标了解早期预警的重要性掌握蜜网的概念及应用了解TarPit对于邮件效劳器的功能对一个平安破坏事件做出适当的反响在系统遭到攻击时确定能提供帮助的组织向一些平安组织订阅平安方面的信息为不可防止的状况做准备网络攻击的危害性黑客盗用帐户病毒木马窃取用户信息补救的措施安装升级补丁备份数据问题的根源被动防御----防火墙、杀毒、入侵检测“老三样的防御对病毒和黑客的作用已经不大主动防御----较为全方位的体系，在这个体系中包含着一系列的主动平安技术、平安管理策略和平安管理的理念蜜网蜜网工程组----是一个自发的，非营利的研究组织，该组织专注于对黑客界所使用的各种攻击工具、策略及动机进行研究，并且分享学到的经验收集这些信息的根本工具就是蜜网蜜网工程组的网页〔〕蜜网的概述蜜网----是一种体系结构，这种体系结构创立了一个高度可控的网络，你可以控制和监视其中的所有活动蜜网技术改变传统信息平安的局面收集潜在威胁的信息，发现新的工具是一种高交互的用来获取广泛的威胁信息的蜜罐第二代蜜网技术框架图

蜜网如何部署蜜网技术的最重要的挑战是如何部署蜜网的部署方式将会决定你能捕获的攻击者〔攻击活动〕的类型迄今为止，极少有蜜网能够捕获到高级攻击者的活动蜜网体系结构需求蜜网只是一个体系结构，为了成功的部署一个蜜网环境，你必须正确的部署它的体系结构。所有的蜜网部署方式都要满足以下两个需求：数据控制数据捕获数据控制定义了怎样将攻击者的活动限制在蜜网中而同时不让攻击者觉察。数据捕获那么是在攻击者不知情的情况下捕获其所有攻击活动。数据控制总是比数据捕获的优先级要高。蜜网成功部署蜜网的要求数据控制——限制攻击者活动的机制，降低平安风险数据捕获——监控和记录所有攻击者在蜜网内部的活动数据收集——只针对于拥有分布式蜜网环境的组织蜜网是一个强有力的工具。能够收集到详细的有关各种平安威胁的信息蜜网风险使用蜜网付出的代价就是风险。风险对不同的组织来说意义不同我们将涉及以下四种主要的平安风险：危害〔harm〕侦测〔detection〕失效〔disabling〕滥用〔violation〕减轻风险方法：人工监控定制TarPit

TarPitting----成心向与垃圾邮件或其他不需要的通信相关的某些SMTP通信中插入一定的延迟收件人筛选使用收件人筛选，发件人将无法向您发送发往无效收件人或已筛选收件人的邮件不使用收件人筛选，发送到Exchange组织中无效电子邮件地址的邮件将被接受并由Exchange效劳器处理。实验9-1：在WindowsServer2003启用TarPit功能

在本实验中，我们将学习怎样开启WindowsServer2003的TarPit功能。配置问题一些无意的行为丧失口令非法操作资源访问控制不合理管理员平安配置不当以及疏忽大意允许不应进入网络的人上网做好响应方案制定一个特定的响应策略当发生了平安破坏活动时，需要有一个事先的方案来与黑客进行周旋，同时还要有一个良好的策略来说明怎样、何时报告平安事件，以及怎样通知相关组织和个人。建立响应策略制订符合你所在组织情况的响应策略将所制订的响应策略写入文档，文档将用于说明怎样执行步骤。指导员工在遇到攻击时按文档中所述步骤来执行，除非有特殊合理的理由，否那么必须严格执行响应策略。提前做决定预先制订良好的平安策略，别在出现紧急情况后才来决定要制订响应策略在紧急情况下作出的决定往往不能很好的应对威胁做出正确的反响在面对黑客攻击时，需要做出正确的反响。保持镇定依照平安响应策略制订的步骤实施记录下所有的事件系统日志和效劳日志----审核日志往往能记录下黑客入侵到系统的活动一份记录报告必须包含以下信息发生攻击的日期和时间攻击的类型，受影响的系统，使用的通信方式〔TCP,UDP,ICMP〕相关的效劳器和效劳在响应攻击过程中联系过的公司员工的名字〔主管，IT人员等〕响应过程中所用到的应用程序分析攻击的形式分析攻击需要确定是否真正发生了平安攻击常常是有一些用户的不恰当的行为被疑心成黑客行为即使有用户进行了攻击，也不能就认定该用户是黑客，这个用户可能已经被侵入而成为另一个真正意上的攻击的一局部提高警觉确定攻击的范围确定黑客的攻击后采取的步骤确定哪些帐号受到影响鉴别哪些文档被读取、修改或替代在系统中跟踪黑客的活动情况查询审核日志确定是否有权限被修改制止和牵制黑客活动根据平安策略的方案以及当前的具体情况，找出所有发生攻击的连接并牵制黑客活动实施响应方案响应方案的步骤通知受到影响的相关人员中断连接或建立一个“监狱〞通知警方联系黑客追踪连接并运用其它检测方法,以进一步掌握黑客其它活动重新配置防火墙通知受到影响的人员通知Internet代理商分析和学习为了能更好的分析响应措施，可以参考以下问题：黑客是如何绕过平安策略的？是贿赂内部员工？社会工程？暴力攻击？修改路由表？还是穿过了不严格的防火墙？对攻击所做出的有效响应是什么？有待提高的是什么？以后要采取什么不同的方法？哪些人或哪些软件能帮助你抵御攻击？建立容灾备份方案在限定时间内成功的灾难恢复是企业平安策略中的一个关键组成局部，而要实现这一目标，很重要的措施是要建立容灾备份方案。常用容灾备份技术利用磁带拷贝进行数据备份和恢复实现过程复杂，恢复效率低远程数据库复制技术由数据库系统软件来实现数据库的远程复制和