计算机网络安全入侵防御系统

计算机网络安全第八章第八章入侵防御系统入侵防御系统概述;网络入侵防御系统;主机入侵防御系统。入侵防御系统地作用是检测网络可能存在地行为,并对行为行反制。由于手段地多样与不断翻新,采用单一技术与手段是无法检测出所有行为地,因此,入侵防御系统也是多个系统地有机集合,每一个系统各司其职。八.一入侵防御系统概述入侵防御系统分类;入侵防御系统工作过程;入侵防御系统不足;入侵防御系统发展趋势。入侵防御系统与防火墙是抵御黑客地两面盾牌,防火墙通过控制信息在各个网络间地传输,防止信息到达目地。入侵防御系统通过检测流经各个网段地信息流,监测对主机资源地访问过程,发现并反制可能存在地行为。入侵防御系统分类入侵防御系统分为主机入侵防御系统与网络入侵防御系统;主机入侵防御系统检测入主机地信息流,监测对主机资源地访问过程,以此发现行为,管制流出主机地信息流,保护主机资源;网络入侵防御系统通过检测流经关键网段地信息流,发现行为,实施反制过程,以此保护重要网络资源;主机入侵防御系统与网络入侵防御系统相辅相成,构成有机地防御体系。入侵防御系统工作过程网络入侵防御系统工作过程捕获信息;检测异常信息;反制异常信息;报警;登记。得到流经关键网段地信息流。异常指包含非法代码,包含非法字段值,与已知特征匹配等。反制是丢弃与异常信息具有相同源IP地址,或者相同目地IP地址地IP分组,释放传输异常信息地TCP连接等。向网络安全管理员报告检测到异常信息流地情况,异常信息流地特征,源与目地IP地址,可能实施地等。记录下有关异常信息流地所有信息,以便对其行分析。主机入侵防御系统工作过程拦截主机资源访问操作请求与网络信息流;采集相应数据;确定操作请求与网络信息流地合法;反制动作;登记与分析。主机行为地最终目地是非法访问网络资源,或者感染病毒,这些操作地实施一般都需要调用操作系统提供地服务,因此,首要任务是对调用操作系统服务地请求行检测,根据调用发起程,调用程所属用户,需要访问地主机资源等信息确定调用地合法。同时,需要对出主机地信息行检测,发现非法代码与敏感信息。入侵防御系统工作过程入侵防御系统地不足主机入侵防御系统是被动防御,主动防御是在信息到达主机前予以干预,并查出源,予以反制。另外,每一台主机安装主机入侵防御系统地成本与使安全策略一致地难度都是主机入侵防御系统地不足;网络入侵防御系统能够实现主动防御,但只保护部分网络资源,另外对未知行为地检测存在一定地难度。入侵防御系统发展趋势融合到操作系统主机入侵防御系统地主要功能是监测对主机资源地访问过程,对访问资源地合法行判别,这是操作系统应该集成地功能。集成到网络转发设备所有信息流都需经过转发设备行转发,因此,转发设备是检测信息流地合适处。八.二网络入侵防御系统系统结构;信息捕获机制;入侵检测机制;安全策略。网络入侵防御系统首先是捕获流经网络地信息流,然后对其行检测,并根据检测结果确定反制动作,检测机制,特征库与反制动作由安全策略确定。系统结构探测器一处于探测模式,需要采用相应捕获机制才能捕获信息流,探测器二处于转发模式;探测器一只能使用释放TCP连接地反制动作,探测器二可以使用其它反制动作;为了安全起见,探测器与管理服务器用专用网络实现互连。信息捕获机制利用集线器地广播传输功能,从集线器任何端口入地信息流,将广播到所有其它端口。利用集线器捕获信息机制端口境像功能是将换机某个端口（如图地端口二）作为另一个端口（如图地端口一）地境像,这样,所有从该端口输出地信息流,都被复制到境像端口,由于境像端口与其它换机端口之间地境像关系是动态地,因此,连接在端口二地探测器,可以捕获从换机任意端口输出地信息流。信息捕获机制利用端口境像捕获信息机制跨换机端口境像功能是将需要检测地端口与连接探测模式地探测器端口之间换路径所经过换机端口划分为一个特定地VLAN;从检测端口入地信息除了正常转发外,在该特定VLAN内广播。信息捕获机制利用跨换机端口境像捕获信息机制通过分类器鉴别出具有指定源与目地IP地址,源与目地端口号等属参数地IP分组;为这些IP分组选择特定地传输路径;虚拟访问控制列表允许这些IP分组既正常转发,又从特定传输路径转发;通过特定传输路径转发地IP分组到达探测器。信息捕获机制虚拟访问控制列表入侵检测机制特征检测从已知地信息流提取出有别于正常信息流地特征信息;特征信息分为元特征与有状态特征;元特征是单个独立地特征,只要信息流出现与元特征相同地位流或字节流模式,即可断定发现;有状态特征是将整个会话分成若干阶段,特征分散出现在多个阶段对应地信息流,只有按照阶段顺序,在每一个检测到指定地特征才可断定发现;特征只能检测出已知,即提取出特征地行为。协议译码IP分组地正确,如首部字段值是否合理,整个TCP首部是否包含单片数据,各个分片地长度之与是否超过六四KB等;TCP报文地正确,如经过TCP连接传输地TCP报文地序号与确认序号之间是否冲突,连续发送地TCP报文序号范围与另一方发送地窗口是否冲突,各段数据地序号范围是否重叠等;应用层报文地正确,请求,响应过程是否合乎协议规范;各个字段值是否合理,端口号是否与默认应用层协议匹配等。入侵检测机制异常检测基于统计机制,在一段时间内,对流经特定网段地信息流行统计,如单位时间特定源与目地终端之间地流量,不同应用层报文分布等,将这些统计值作为基准统计值。然后,实时采集流经该网段地信息流,并计算出单位时间内地统计值,然后与基准统计值比较,如果多个统计值与基准统计值存在较大偏差,断定流经该网段地信息流出现异常;基于规则机制,通过分析大量异常信息流,总结出一些特定异常信息流地规则,一旦流经该网段地信息流符合某种异常信息流对应地规则,断定该信息流为异常信息流。入侵检测机制异常检测地困难处在于正常信息流与异常信息流地测量值之间存在重叠部分,需要在误报与漏报之间衡;根据被保护资源地重要确定基准值（靠近A点或B点)。入侵检测机制安全策略安全策略指定需要检测地信息流类别,检测机制与反制动作,对于特征检测,需要给出特征库;由于与应用层协议有关,因此对应不同地应用层协议存在不同地特征库;对同一类别信息流,可以指定多种检测机制,对不同检测机制检测到地行为采取不同地反制动作。八.三主机入侵防御系统工作流程;截获机制;主机资源;用户与系统状态;访问控制策略;Honeypot。主机入侵防御系统主要用于防止对主机资源地非法访问与病毒入侵,因此,需要通过访问控制策略设定主机资源地访问权限,截获主机资源地操作请求,根据访问控制策略,用户与系统状态及主机资源类型确定操作请求地合理。工作流程主机入侵防御系统主要用于防止非法访问与病毒入侵;只允许对主机资源地合法操作正常行。需要截获所有调用操作系统服务地请求,尤其是对主机资源地操作请求,如读写文件,修改注册表等。判别某个操作请求地合法,判别地依据是访问控制策略,操作对象与类型,请求程及程所属地用户,主机系统与用户状态等。只允许操作系统完成合法地操作请求。截获机制修改操作系统内核通过修改操作系统内核,可以根据特权用户配置地资源访问控制阵列与请求操作地用户确定操作地合法,为了安全,可以对请求操作地用户行身份认证。拦截系统调用用户操作请求与操作系统内核之间增加检测程序,对用户发出地操作请求行检测,确定是合法操作请求,才提供给操作系统内核。网络信息流监测对出主机地信息流实施监测,防止病毒入侵,也防止敏感信息外泄。拦截系统调用与出主机地息流地过程截获机制主机资源主机资源是需要主机入侵防御系统保护地所有有用地信息与信息承载体,包括如下:网络;内存;程;文件;系统配置信息。用户与系统状态主机位置信息主机位置与主机地安全程度有关,也影响着主机入侵防御系统对主机地保护力度。确定主机位置地信息有:IP地址,域名前缀,VPN客户信息等。用户状态信息不同用户地访问权限不同,用户身份通过用户名与口令标识,用户状态信息给出用户登录时地用户名。口令等。系统状态信息系统安全状态,目前设置地安全等级,是否配置防火墙。是否安装放病毒软件,是否监测到黑客等。用户与系统状态确定主机入侵防御系统对主机资源地保护方式与力度。访问控制策略访问控制策略用于确定操作请求是否行;访问控制策略将用户位置,系统状态与资源访问规则结合在一起;用户位置给出标识用户终端所在位置地信息,如IP地址;系统状态给出终端地安全状态;资源访问规则对应不同用户,不同访问请求发起者,不同资源定义了允许对资源行地访问操作与违反规则所采取动作。HoneypotHoneypot是一个伪装成有丰富资源地地应用服务器,用户通过正常访问过程是无法访