第 5 章 入侵检测与蜜罐技术.ppt

1、网络安全技术，罗耀祖刘东远骆珍仪篇萧，第五章入侵检测和蜜罐技术，本章介绍了网络入侵检测，手动检测入侵的方法和入侵检测产品，在Snort中探讨了建立入侵检测系统和分散攻击防范策略，最后讨论了黑客欺诈技术。5.1网络入侵检测、入侵检测是入侵行为的发现. 通过收集和分析计算机网络或计算机系统的某些关键点，入侵检测网络或系统有无违反保密工作策略的行为和攻击的征兆的软件和硬件的组合入侵检测系统ids (intrusion 与其他保密工作产品不同，入侵检测系统需要更多的智能，分析得到的数据并取得有用的结果。 正确的入侵检测系统大大简化了管理员的工作，确保了网络的安全运行。 5.1.1网络入侵检测概述、网络

2、入侵检测技术可以通过硬件或软件实时检查网络上的数据流，与系统中的入侵特征数据库进行比较，如果发现攻击征兆，则根据用户定义的动作，例如与网络通知给防火墙系统的网络入侵检测技术的特征、即网络入侵检测技术的特征是，可利用联网监控软件或硬件对网络话务量进行监视分析，发现并立即响应网络攻击的征兆。 可以直接放置在受监视网络的广播段上，也可以直接接收绕过受监视网络的数据流。 为了更有效地发现网络受到攻击的征兆，网络入侵检测机构必须能够分析网络上使用的各种网络连接协议，并标识各种网络攻击行为。 通常，通过网络入侵检测方法来实现网络攻击行为的标识，该方法用于当新网络攻击方法出现时容易地更新入侵特征库，并且提高

3、通过入侵检测方法对网络攻击行为的标识能力。 另外，入侵检测技术是能够及时发现和报告系统中的未授权或异常现象的技术，并且是用于检测计算机网络上的保密工作策略违规行为的技术。 违反保密工作政策的行为主要有入侵和滥用。 入侵是指非法用户的违反行为；误用是指用户的违反行为。 审核跟踪查询密码使入侵检测系统能够确定保护系统保密工作所需的活动。 入侵检测系统的应用可以在入侵攻击危害系统之前检测入侵攻击，利用报警和防护系统来驱逐入侵攻击。 在入侵攻击的过程中，可以减少入侵攻击造成的损失。 受到入侵攻击后，收集入侵攻击的相关信息，作为防止系统的知识添加到知识库中，提高系统的防范能力。 1 .信息采编、入侵检测

4、的第一步是信息采编，内容包括系统、网络、数据以及用户活动的状态和行为。 必须在计算机网络系统内的几个不同的牛鼻子点(不同的路段和不同的男公关)收集信息。 一是尽可能扩大检测范围，二是来自一个源的信息可能看不到疑点，但来自几个源的信息的不整合是可疑行为和入侵的最佳指标。 入侵检测在很大程度上依赖于所收集信息的可信度和精准性。 黑客常常需要保证软件的完全性以检测网络系统，因为其常常互换软件以去除这些个信息，尤其是入侵检测系统软件本身是相当强大的，且不会收集被篡改和错误的信息、用于入侵检测的信息、用于入侵检测的信息一般来自四个方面： (1)系统和网络计程仪文件；(2)目录查询和文件中的不希望的变更；

5、(3)程序执行中的不希望的行为； 2 .对信号分析、上述4种收集的系统、网络、数据及用户活动的状态和行为等信息，一般采用模式匹配、整合修正分析和完全性分析三种技术手段进行分析。 前两种方法用于实时入侵检测，完全性分析用于事后分析。 (1)模式匹配模式匹配是将收集到的信息与已知的网络入侵或系统误用模式数据库进行比较，发现违反保密工作策略的行为。 这种方法的一大优点是，只需收集相关的数据定径套，就能减轻系统的负担，使技术相当成熟。 与细小病毒防火墙采用的方法一样，检测精度和效率相当高。 然而，该方法的缺点在于必须不断更新以应对不断发生的黑客入侵，并且可能未能检测到任何未发生的黑客入侵。 (2)统一

6、补正分析统一补正分析方法是，首先在系统对象(用户、文件、目录查询、解老虎钳等)上制作统一补正记述，对通常使用时的测定属性(网站数据库次数、操作失败次数、延迟等)进行统一补正。 测定属性的平均值用于与网络和系统的行为进行比较，任何观察值在正常值范围以外的话都可以认为发生了入侵。 其优点是能够检测未知入侵和更复杂的入侵，具有误报、漏报率高，无法应对用户正常行动的突然地变化的缺点。 具体的整合分析方法，如基于专家系统、基于模型推理、基于神经网络的化学基分析方法，目前正处于研究热点和快速发展之中。 (3)完全性分析完全性分析主要关注某个文件或对象是否被变更，大多包含文件或目录查询的内容或属性，在发现变

7、更后的特洛伊化应用上特别有效。 利用称为消息摘要函数(如MD5 )的强大加密法反应历程，即使是微小的变化，也可以识别完全性分析。 其优点是，无论模式匹配方法和统一修订分析方法是否能够发现入侵，成功的攻击都能够在引起文件或其他对象的变更的情况下发现。 缺点是以批量处理方式实现，不用于实时响应。 成功的入侵检测系统不仅可以帮助系统管理员随时掌握网络系统的更改(包括计程仪计划、文件、硬件老虎钳等)，还可以指导制定网络保密工作策略。 更重要的是，它易于管理和配置，使非专门人才用户能够方便地使用网络保密工作。 此外，入侵检测的规模应随着网络威胁、系统配置和保密工作需求的变化而变化。 发现入侵后，入侵检测

8、系统可以及时处理网络连接中断、上通告记录、报警记录等。 作为一种积极主动的保密工作技术，入侵检测提供了针对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截并响应入侵。 5.1.2手动检测入侵，检测入侵，保护系统安全是管理者最重要的任务，熟悉常用手动入侵检测的方法和指令也应该是网络管理者的基本技能。 由于UNIX系统总是承担任务关键型任务，所以经常成为入侵者攻击的优先目标。 以Linux和solaris为例，介绍了常用的手动入侵检测方法和命令，不仅可以快速判断简单的黑客入侵，还可以加深对入侵检测的理解，更好地使用入侵检测和审计工具。、一般的手动入侵检测方法和指令，1 .检查/et

9、c/passwd文件中是否有可疑用户2 .可疑进程检查有木有3 .可疑进程检查有木有4 .检查联网和监听通讯端口网卡ifconfig -a列出本机的所有连接和监听通讯端口，并检查是否存在错误的连接： # netstat -an显示本机的所有开放通讯端口： # netstat -an | grep listen， 5 .检查系统计程仪/etc/inet.conf和检查crontab文件是否被修改7 .检查系统文件的完整性8 .检查内核级别的后门程序9./etc/hosts.equiv .比检查更简单手动入侵检测相当复杂，难以进行深度检测，而且这些个检测大多基于系统命令，如果系统文件被黑客入侵，就

10、无法进行正确的检测，为了正确且有效地进行入侵检测和监查，需要几个入侵分析工具。 5.1.3网络入侵监视系统、进行入侵检测的软件和硬件的组合是IDS (Intrusion Detection System，入侵检测系统)。 一般而言，与IDS密切相关的网络保密工作组件主要分为四类：防火墙、扫描仪、反病毒软件和安全审计。 四个这些个保密工作组件对正在进行的外部入侵和网络内部攻击缺乏检测和实时响应能力。 IDS的主要功能包括发现和分析用户在网络中的活动、识别已知攻击行为、统一分析异常行为、审核系统配置和漏洞、评估系统的重要资源和数据文件完全性、管理操作系统计程仪、识别违反保密工作策略的用户活动等等。

11、 1、入侵检测系统概述、入侵检测产品又分为网络入侵检测系统产品和男公关入侵检测系统的混合入侵检测系统，可以弥补基于网络的和基于男公关的某些方面的缺陷。 此外，文件的完全性检查工具也可以视为入侵检测产品。 NIDS系统由探测引擎、NIDS管理器和NIDS控制台(其他端口)组成，如图5.1中所示。 NIDS的优点主要是易于使用。 只需在一个网络段上安装一个或多个此类发现系统，即可发现整个网络段的入侵情况。 此外，由于这种旁路应用程序经常被分为单独的计算机，所以不会给运营重要业务的男公关和网络带来负担。 图5.1 NIDS的网络拓扑结构图、2 .入侵检测技术、入侵检测系统采用的技术可分为特征检测和异

12、常检测。 (1)特征检测也被称为Misuse detection，其确定性地描述已知攻击或入侵的方式并形成对应的上通告模式。 (2)异常检测(Anomaly detection )的假设是入侵者活动在正常主体的活动中异常。 (3)利用连接协议解析技术网络连接协议的高度规定性，迅速检测攻击的存在。 (4)统订检验统订模式常用于异常检查。 以通过比较测定结果和几个固定指标得到异常为前提的操作模型。 固定指标是根据经验值或一定期间的统一补正平均可以得到的方差，补正残奥仪表的方差，设定其置信区间的多模型，操作模型的扩展，通过云同步解析多个残奥仪表实现检测将各类型的上通告定义为系统状态， 在用状态转移矩

13、阵表示状态变化的马尔代夫进程模型时间序列分析中，如果上通告计数和资源消耗按时间化学基排序，并且新上通告在该时间出现的几率很低，则该上通告可能是入侵。 统一方法的最大优点是能够“学习”用户的使用方法，检出率和可用性高。但是，其“学习”能力也给入侵者提供了机会，通过逐步“训练”入侵事件来符合正常操作的修订规则，使入侵检测系统通过。 (5)专家系统多使用专家系统检测入侵，对有特征的入侵行为进行。 所谓规则就是知识，根据系统和设定的不同，规则之间大多没有通用性。 专家系统的建构依赖于基于知识的完全性，而基于知识的完全性依赖于审计记录的完全性和实时性。 入侵的特征提取和表达是入侵检测专家系统的关键。 在

14、系统实现中，将关于入侵的知识转换为if-then结构(也可以是复合结构)，条件部分为入侵特征，then部分为应对系统。 使用专家系统进行特征性入侵行为防范的有效性完全依赖于基于专家系统知识库的完全性。 3 .选择入侵检测产品的要点、入侵检测系统时应考虑的要点有： (1)系统的免费IDS和IDS商业产品的比较；(2)特征库的升级和维护费用；(3)网络入侵检测系统的最大可处理产水量；(4)该产品是否容易避免；(5)产品的特点一种是针对分散网络攻击的检测方法，第二种是使用分散方法检测分散攻击，其重要技术是信息的协调处理和检测入侵攻击的全局信息的提取。 (2)智能化入侵检测神经网络遗传算法模糊技术免疫

15、原理专门人才系统(3)建立全面的安全防御方案、5.2入侵检测系统，Snort是强大的轻量级网络入侵检测系统。 具有实时数据话务量分析和计程仪Ip网络报文分组功能，可进行协议分析、内容检索和匹配。 可以检测各种攻击方式，实时警告攻击。 只要遵守GPL，任何组织和个人都可以自由使用Snort。 Snort功能强大，但查询密码非常简洁，原代码压缩包不到200KB。 Snort具有优异的可扩展性和可移植性，跨平台性能，目前包括Linux系列、Solaris、BSD系列、IRIX、HP-UX、Windows系列、Sco Openserver和IRIX Snort的主要功能： (使用Libpcap捕获一组

16、无线数据链路并进行连接协议栈内存分析(TCP/IP连接协议)。 (2)在网络内部，Snort使用Misused检测模型进行入侵检测，即通过完整的入侵规则库实时匹配和检测入侵行为。 此外，Snort使用户可以轻松创建和添加自己的规则。 (3)计程仪可以多种格式保存。 三个运作模式，Snort有三个运作模式。 1 .嗅探模式嗅探模式是指snort从网络读取关报文分组字并将其呈现给其他端口。 2 .要使报文分组记录程序将所有报文分组记录到硬盘上，必须指定计程仪目录查询。 snort会自动记录报文分组：/snort -dev -l ./log 3.网络入侵检测系统snort的最重要用途是网络入侵检测系统(NIDS )。 要启动此模式，请使用以下命令行： snort-dev-l./log-h 192.168.1.0/24-c snort.conf，4 .网络入侵检测定模式下的输出中的4个可以在命令行状态下使用-A选项设置。 四个这些个选项是使用-A fast -A full -A unsock -A none :5.2.2snort建构入侵检测系统，并采用三层分布式体系结构，包括网络入侵检测、入侵上通告数据库和基于Web的分析其他端口。为了避免不必要的网络话务量，将网络入侵检测器和入侵上通告数