网络安全技术培训课件

12五月2024网络安全技术培训为什么需要IDS(intrusionDetectionSystem)IDS的发展历程IDS的作用及相关术语IDS的实现方式IDS的实现技术IDS的部署IDS的性能指标IDS事件分析IDS的发展入侵检测系统什么是入侵检测入侵对信息系统的非授权访问及（或）未经许可在信息系统中进行操作入侵检测对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程实时监测入侵行为防火墙的局限%c1%1c%c1%1cDirc:\防火墙的局限防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。确保网络的安全,就要对网络内部进行实时的检测,这就需要IDS无时不在的防护！为什么需要IDSIDS的作用及相关术语IDS发展历程IDS的实现方式IDS的实现技术IDS的部署IDS的性能指标IDS事件分析IDS的发展入侵检测系统监控室=控制中心后门保安=防火墙摄像机=探测引擎CardKey形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。入侵检测系统的作用入侵检测系统作用从不知到有知从被动到主动从事后到事前从预警到保障全面监测、及时响应加强管理、提高威慑总结教训、优化策略预警机制、保障意识入侵检测系统作用监控网络和系统发现入侵企图或异常现象实时报警主动响应审计跟踪falsepositives（虚警）检测系统在检测时把系统的正常行为判为入侵行为的错误被称为虚警。检测系统在检测过程中出现虚警的概率称为系统的虚警率falsenegatives（漏警）检测系统在检测时把某些入侵行为判为正常行为的错误现象称为漏警。检测系统在检测过程中出现漏警的概率称为系统的漏警率入侵检测相关术语入侵检测相关术语PatternMatchingSignature模式匹配CommonIntrusionDetectionFrame组件事件产生器（Eventgenerators）事件分析器（Eventanalyzers）响应单元（Responseunits）事件数据库（Eventdatabases）Honeypot(蜜罐)

蜜罐是可以模拟脆弱性主机诱惑攻击者在其上浪费时间，延缓对真正目标的攻击为什么需要IDSIDS的作用及相关术语IDS发展历程IDS的实现方式IDS的实现技术IDS的部署IDS的性能指标IDS的发展入侵检测系统IDS发展历程1980年4月，JamesP.Anderson为美国空军做了一份题为《ComputerSecurityThreatMonitoringandSurveillance》（计算机安全威胁监控与监视）的技术报告，第一次详细阐述了入侵检测的概念。从1984年到1986年，乔治敦大学的DorothyDenning和SRI/CSL（SRI公司计算机科学实验室）的PeterNeumann研究出了一个实时入侵检测系统模型，取名为IDES（入侵检测专家系统）。1988年，SRI/CSL的TeresaLunt等人改进了Denning的入侵检测模型，并开发出了一个IDES1990年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM（NetworkSecurityMonitor）。

为什么需要IDS(intrusionDetectionSystem)IDS的作用及相关术语IDS的实现方式IDS的实现技术IDS的部署IDS的性能指标IDS事件分析IDS的发展入侵检测系统主机IDS运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。其监测的资源主要包括：网络、文件、进程、系统日志等

主机IDS网络IDS网络IDS通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。网络IDS与主机IDS区别成本较低检测基于主机的系统漏掉的攻击攻击者不易转移证据操作系统无关性检测未成功的攻击和不良意图安装在被保护的网段中混杂模式监听操作系统无关性不会增加网络中主机的负载网络IDS网络IDS与主机IDS区别安装于被保护的主机中主要分析主机内部活动系统日志系统调用文件完整性检查占用一定的系统资源不要求额外的硬件设备

确定攻击是否成功适用被加密的和交换的环境主机IDSIDS的基本结构实现主机引擎功能原理网络检测防护模块文件检测防护模块注册表检测防护模块IIS检测防护模块安全日志检测模块应用日志检测模块检测策略事件定义告警日志日志文件日志库数据库告警界面配置界面邮件告警手机告警报告主机引擎控制中心控制命令交互反馈网络引擎原理抓包口分析处理事件处理事件响应定时上报实时上报状态监控通讯口控制中心引擎操作系统联动口策略串口引擎配置接收策略下发控制中心功能通讯口父控中心子控中心数据库界面显示日志告警通告自身管理引擎管理日志分析管理员报表原始报文基于通用操作系统流量子控管理策略管理用户管理流量告警事件告警流量值为什么需要IDS(intrusionDetectionSystem)IDS的作用及相关术语IDS的实现方式IDS的实现技术IDS的部署IDS的性能指标IDS事件分析IDS的发展入侵检测系统IDS实现技术滥用检测技术（基于知识的检测）异常检测技术（基于行为的检测）基于知识的检测（1）

基于知识的检测指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性，通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。基于知识的检测也被称为违规检测(MisuseDetection)。这种方法由于依据具体特征库进行判断，所以检测准确度很高，并且因为检测结果有明确的参照，也为系统管理员做出相应措施提供了方便。

基于知识的入侵检测（2）主要实现技术：基于知识的入侵检测系统只是在表示入侵模式（知识）的方式以及在系统的审计迹中检查入侵模式的机制上有所区别。专家系统（早期系统IDES、NIDES、W&S等）。入侵签名分析，由于这种技术在实现上简单有效，现有的商用入侵检测系统产品中多采用这种技术。状态迁移分析（USTAT）模式匹配，SandeepKumar设计的模式匹配检测模型中，使用CPN（ColoredPetriNetwork）来描述入侵者的攻击模式。基于知识的检测--专家系统

将有关入侵的知识转化成if-then结构的规则，即将构成入侵所要求的条件转化为if部分，将发现入侵后采取的相应措施转化成then部分。当其中某个或某部分条件满足时，系统就判断为入侵行为发生。其中的if-then结构构成了描述具体攻击的规则库，状态行为及其语义环境可根据审计事件得到，推理机根据规则和行为完成判断工作。

基于知识的检测---模型匹配

模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为：攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特殊使用等。根据这些知识建立攻击脚本库，每一脚本都由一系列攻击行为组成。模式匹配00050dac6f2d600b0d04dcbaa08004500.P.......M....E.10015731054000800600000a0a0231d850.W1.@........1.P20111106a30050df62322e413a9cf15018.....P.b2.A:..P.3016d0f6e50000474554202f70726f6475......GET/produ406374732f776972656c6573732f696d61cts/wireless/ima506765732f686f6d655f636f6c6c616765ges/home_collage60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1..704163636570743a202a2f2a0d0a526566Accept:*/*..Ref80657265723a20687474703a2f2f777777erer:http://www902e616d657269746563682e636f6d2f70./pa0726f64756374732f776972656c657373roducts/wirelessb02f73746f72652f0d0a4163636570742d/store/..Accept-c04c616e67756167653a20656e2d75730dLanguage:en-us.d00a4163636570742d456e636f64696e67.Accept-Encodinge03a20677a69702c206465666c6174650d:gzip,deflate.f00a557365722d4167656e743a204d6f7a.User-Agent:Moz100696c6c612f342e302028636f6d706174illa/4.0(compat11069626c653b204d53494520352e30313bible;MSIE5.01;1202057696e646f7773204e5420352e3029WindowsNT5.0)1300d0a486f73743a207777772e616d6572..Host:www.amer14069746563682e636f6d0d0a436f6e6e65..Conne1506374696f6e3a204b6565702d416c6976ction:Keep-Aliv160650d0a0d0ae....基于知识的检测--状态转换分析

状态转换法将入侵过程看作一个行为序列，这个行为序列导致系统从初始状态转入被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的转换条件，即导致系统进入被入侵状态必须执行的操作(特征事件)。然后用状态转换图来表示每一个状态和特征事件，这些事件被集成于模型中，所以检测时不需要一个个地查找审计记录。但是，状态转换是针对事件序列分析，所以不善于分析过分复杂的事件，而且不能检测与系统状态无关的入侵。Petri网分析一分钟内4次登录失败

协议分析的优点●提高了性能：协议分析利用已知结构的通信协议，与模式匹配系统中传统的穷举分析方法相比，在处理数据帧和连接时更迅速、有效。●提高了准确性：与非智能化的模式匹配相比，协议分析减少了虚警和误判的可能性，命令解析（语法分析）和协议解码技术的结合，在命令字符串到达操作系统或应用程序之前，模拟它的执行，以确定它是否具有恶意。●基于状态的分析：当协议分析入侵检测系统引擎评估某个包时，它考虑了在这之前相关的数据包内容，以及接下来可能出现的数据包。与此相反，模式匹配入侵检测系统孤立地考察每个数据包。●反规避能力：因为协议分析入侵检测系统具有判别通信行为真实意图的能力，它较少地受到黑客所用的像URL编码、干扰信息、TCP/IP分片等入侵检测系统规避技术的影响。●系统资源开销小：协议分析入侵检测系统的高效性降低了在网络和主机探测中的资源开销，而模式匹配技术却是个可怕的系统资源消费者。协议分析00050dac6f2d600b0d04dcbaa08004500.P.......M....E.10015731054000800600000a0a0231d850.W1.@........1.P20111106a30050df62322e413a9cf15018.....P.b2.A:..P.3016d0f6e50000474554202f70726f6475......GET/produ406374732f776972656c6573732f696d61cts/wireless/ima506765732f686f6d655f636f6c6c616765ges/home_collage

60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1..704163636570743a202a2f2a0d0a526566Accept:*/*..Ref80657265723a20687474703a2f2f777777erer:http://www902e616d657269746563682e636f6d2f70./pa0726f64756374732f776972656c657373roducts/wirelessb02f73746f72652f0d0a4163636570742d/store/..Accept-c04c616e67756167653a20656e2d75730dLanguage:en-us.d00a4163636570742d456e636f64696e67.Accept-Encodinge03a20677a69702c206465666c6174650d:gzip,deflate.f00a557365722d4167656e743a204d6f7a.User-Agent:Moz100696c6c612f342e302028636f6d706174illa/4.0(compat11069626c653b204d53494520352e30313bible;MSIE5.01;1202057696e646f7773204e5420352e3029WindowsNT5.0)1300d0a486f73743a207777772e616d6572..Host:www.amer14069746563682e636f6d0d0a436f6e6e65..Conne1506374696f6e3a204b6565702d416c6976ction:Keep-Aliv160650d0a0d0ae....基于知识的入侵检测（3）优点可检测出所有对系统来说是已知的入侵行为系统安全管理员能够很容易地知道系统遭受到的是那种入侵攻击并采取相应的行动局限：它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。系统运行的环境与知识库中关于攻击的知识有关。对于系统内部攻击者的越权行为，由于他们没有利用系统的缺陷，因而很难检测出来。IDS分析方式滥用检测技术（基于知识的检测）异常检测技术（基于行为的检测）基于行为的检测（1）基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测，所以也被称为异常检测(AnomalyDetection)。与系统相对无关，通用性强能检测出新的攻击方法误检率较高Denning早在1986年就提出了一个基于行为的入侵检测系统模型[Denning87]。基于行为的入侵检测（2）实现技术统计，典型系统如：SRI的NIDES。利用统计理论提取用户或系统正常行为的特征轮廓。统计性特征轮廓通常由主体特征变量的频度、均值、方差、被监控行为的属性变量的统计概率分布以及偏差等统计量来描述。神经网络只要提供系统的审计迹数据，神经网络就可以通过自学习从中提取正常的用户或系统活动的特征模式；而不需要获取描述用户行为特征的特征集以及用户行为特征测度的统计分布。基于行为的检测--概率统计方法

操作密度审计记录分布范畴尺度数值尺度记录的具体操作包括：CPU的使用，I/O的使用，使用地点及时间，邮件使用，编辑器使用，编译器使用，所创建、删除、访问或改变的目录及文件，网络上活动等。基于行为的检测--神经网络方法基本思想是用一系列信息单元(命令)训练神经单元，这样在给定一组输入后，就可能预测出输出。当前命令和刚过去的w个命令组成了网络的输入，其中w是神经网络预测下一个命令时所包含的过去命令集的大小。根据用户的代表性命令序列训练网络后，该网络就形成了相应用户的特征表，于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。目前还不很成熟。

神经网络检测思想基于行为的入侵检测（3）优点不需要操作系统及其安全性缺陷专门知识能有效检测出冒充合法用户的入侵缺点为用户建立正常行为模式的特征轮廓和对用户活动的异常性报警的门限值的确定都比较困难不是所有入侵者的行为都能够产生明显的异常性有经验的入侵者还可以通过缓慢地改变他的行为，来改变入侵检测系统中的用户正常行为模式，使其入侵行为逐步变为合法。检测实例老版本的Sendmail有一个漏洞，telnet到25端口，输入wiz，然后接着输入shell，就能获得一个rootshell，还有输入debug命令，也能获得root权限，进而控制系统。$telnet25WIZshell或者DEBUG#直接获得rootshell！简单的匹配检查每个packet是否包含： “WIZ” |“DEBUG”检查端口号缩小匹配范围Port25:{ “WIZ” |“DEBUG”}深入决策树只判断客户端发送部分Port25:{ Client-sends:“WIZ”| Client-sends:“DEBUG”}更加深入状态检测+引向异常的分支Port25:{ statefulclient-sends:“WIZ”| statefulclient-sends:“DEBUG” afterstateful“DATA”client-sends line>1024bytesmeans possiblebufferoverflow}为什么需要IDS(intrusionDetectionSystem)IDS的作用及相关术语IDS的实现方式IDS的实现技术IDS的部署IDS的性能指标IDS的事件分析IDS的发展入侵检测系统共享环境HUBIDS探测器被监测机器控制台交换机IDS探测器被监测机器控制台通过端口镜像实现交换环境为什么需要IDS(intrusionDetectionSystem)IDS的作用及相关术语IDS的实现方式IDS的实现技术IDS的部署IDS的性能指标IDS事件分析IDS的发展入侵检测系统IDS性能指标系统结构管理模式通讯安全处理带宽检测能力事件响应自身安全策略灵活性自定义事件事件库更新易用性综合分析事件数量

结构：探测引擎:控制台：IDS性能指标—结构主要网络入侵检测系统路由器主控中心服务器各地网络传输网络更新Policy各地网络子控中心子控中心MessageMessageMessage集中报告PolicyPolicyPolicy管理体系IDS性能指标—结构（主控）（子控）（子控）重庆大连西安上海北京攻击报警预警预警预警管理体系IDS性能指标—结构控制中心探测引擎控制中心请求应答请求？传输数据是明文还是密文？通讯安全IDS性能指标—探测引擎抓包能力分析能力分析算法处理带宽IDS性能指标—探测引擎检测和发现外部入侵的行为信息探测行为—如：端口扫描攻击尝试行为—如：暴力猜解权限突破行为—如：缓冲区溢出入侵植入行为—如：木马植入拒绝服务行为—如：Flood攻击检测能力IDS性能指标—探测引擎Internet110010101100010101000010101(attack)分片、乱序(tatkca)000010101100010101110010101110010101100010101000010101重组接收数据(attack)被攻击攻击攻击特征报警检测能力IDS性能指标—探测引擎检测和发现内部误用的行为越权访问敏感信息业务攻击网络游戏检测和发现网络的异常状况异常流量变化网络病毒传播网络业务故障检测能力IDS性能指标—探测引擎被动屏幕告警邮件告警手机告警声音告警SNMP告警自定义告警主动-IDS自身阻断-与防火墙联动-与Scanner联动响应方式IDS性能指标—探测引擎与漏洞扫描产品的联动IDS主动IDS发现攻击，调用SCANNER进行验证SCANNER将验证结果反馈给IDSSCANNER主动SCANNER扫描，产生结果提交IDS生成优化策略，提高报警有效性响应方式IDS性能指标—探测引擎HostCHostDHostBHostA受保护网络InternetIDS发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等SCANNER系统脆弱报告攻击响应方式IDS性能指标—探测引擎自身安全自身操作系统的安全自身程序的安全地址透明度抗打击能力IDS性能指标—控制中心日志分析IDS性能指标—控制中心关联分析中心入侵检测报告综合安全报告扫描器日志主机IDS日志网络IDS日志数据库综合分析IDS性能指标—控制中心分析结论：从事件分布可以看出主要事件有三种；Codered和Codeblue是内网的病毒事件、HTTPIISUnicode由外部发起目标主要针对210.75.220.X和210.75.220.Y；经过扫描验证，210.75.220.x不存在Unicode漏洞，只是一种攻击企图。而210.75.220.Y存在Unicode漏洞，并且病毒事件也是由这台主机造成的；应该对210.75.220.Y进行加固，修补漏洞，同时清除内网的病毒传播；综合分析IDS性能指标—控制中心单行为事件演示TCP_Doly后门连接TCP[ustr.0]^%57%74%7a%75%70%20%55%73%65&sport=6789行为关联事件演示FTP_口令扫描FTP_注册失败num(event,sip,dip)>10HTTP_ftp文件调用HTTP_读命令num(event=FTP_写命令,sip,dip)>1自定义事件为什么需要IDS(intrusionDetectionSystem)IDS的作用及相关术语IDS的实现方式IDS的实现技术IDS的部署IDS的性能指标IDS事件分析IDS的