信息系统安全检测技术.ppt

2019/5/24,1,第七章 信息系统安全检测技术,信息安全,2019/5/24,2,本章主要内容,7.1 入侵检测技术 7.2 漏洞检测技术 7.3 审计追踪,2019/5/24,3,本章学习目标,本章重点介绍入侵检测的概念、分类、基本方法；入侵响应、审计追踪技术；漏洞扫描技术的概念。给出了入侵检测系统现成实现模式。最后介绍了入侵检测工具Snort的安装与配置。 通过本章的学习，使学员： （1）理解入侵检测的概念、分类、基本方法； （2）理解入侵响应、审计追踪技术； （3）理解漏洞扫描技术； （4）掌握Snort入侵检测工具的使用。,2019/5/24,4,入侵检测技术是动态安全技术的最核心技术之一。传 统的操作系统加固技术和防火墙隔离技术等都是静态安全 防御技术，对网络环境下日新月异的攻击手段缺乏主动的 反应。 入侵检测是防火墙的合理补充，帮助系统对付网络攻 击，扩展了系统管理员的安全管理能力（包括安全审计、 监视、进攻识别和响应），提高了信息安全基础结构的完 整性。它从计算机网络系统中的若干关键点收集信息、分 析信息，查看是否有违反安全策略的行为和遭到袭击的迹 象。入侵检测被认为是防火墙之后的第二道安全防线，提 供对内部攻击、外部攻击和误操作的实时保护。,7.1 入侵检测技术,2019/5/24,5,7.1.1 入侵检测定义,入侵检测（Intrusion Detection）是检测和识别系统中未授权或异常现象，利用审计记录，入侵检测系统应能识别出任何不希望有的活动，这就要求对不希望的活动加以限定，一旦当它们出现就能自动地检测。入侵检测技术的第一条防线是接入控制，第二条防线是检测。 IDS可分为两种：基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统(IDS)一定是基于主机和基于网络两种方式兼备的分布式系统。 利用最新的可适应网络安全技术和P2DR（Policy ，Protection，Detection，Response）安全模型，已经可以深入地研究入侵事件、入侵手段本身及被入侵目标的漏洞等。,7.1 入侵检测技术,2019/5/24,6,7.1.2 IDS分类,1.基于行为的和基于知识的检测 按具体的检测方法，将检测系统分为基于行为的和基于 知识的两类。 基于行为的检测也被称为异常检测。 基于知识的检测也被称为误用检测。,7.1 入侵检测技术,2019/5/24,7,7.1.2 IDS分类,2.根据数据源不同的检测 根据检测系统所分析的原始数据不同，将入侵检测分为 来自系统日志和网络数据包两种。,7.1 入侵检测技术,两类检测的关系,2019/5/24,8,7.1.3 入侵检测系统基本原理,1.入侵检测框架 对安全事件的检测包括大量复杂的步骤，涉及到很多系 统，任何单一技术很难提供完备的检测能力，需要综合多个 检测系统以达到尽量完备检测能力。因此，对于入侵检测框 架的研究国内外专家都十分重视。比较有名的成果是通用入 侵检测框架（CIDF）和入侵检测交换格式（IDEF）。CIDF是 由美国加洲大学Davis分校的安全实验室提出的框架：IDEF 是由IETF的入侵检测工组（ IDWG ）开发的安全事件报警的 标准格式。,7.1 入侵检测技术,2019/5/24,9,7.1.3 入侵检测系统基本原理,1.入侵检测框架,7.1 入侵检测技术,数据源,操作员,传感器,管理器,分析器,管理员,活动,事件,报警,安全策略,通告,响应,通用入侵检测框架（CIDF）,2019/5/24,10,7.1.3 入侵检测系统基本原理,1.入侵检测框架,7.1 入侵检测技术,简单的入侵检测系统,2019/5/24,11,7.1.3 入侵检测系统基本原理,2.信息收集 在网络系统中的若干不同关键点（网段和主机）。收集 系统、网络、数据及用户活动的状态和行为信息。入侵检测 可以利用的分析数据信息： （1）网络和系统日志文件 （2）目录和文件中的不期望的改变 （3）程序执行中的不期望行为 （4）物理形式的入侵信息 （5）其他信息,7.1 入侵检测技术,2019/5/24,12,7.1.3 入侵检测系统基本原理,3.信息分析 通过三种技术手段进行分析： 模式匹配（实时）：将收集到的信息与已知网络入侵和系 统误用模式数据库进行比较，而发现违背安全策略的行为。 统计分析（实时）：先给系统对象（用户、文件、目录和 设备等）创建一个统计描述，统计正常使用时的一些测量属 性（访问次数、操作失败次数、延时）。测量属性的平均值 将被用来与网络、系统的行为进行比较。 完整性分析(事后)：关注文件和目录的内容及属性，发现 被更改的或被特洛伊木马化的应用程序。,7.1 入侵检测技术,2019/5/24,13,1.基于主机的入侵检测系统,7.1 入侵检测技术,7.1.4入侵检测系统的结构,检测的目标 主要是主机系统 和系统本地用户。,14,1.基于主机的入侵检测系统,7.1 入侵检测技术,7.1.4入侵检测系统的结构,在需要保护 的主机（端系统） 上运行代理程序， 根据主机的审计 数据和系统的日 志发现可疑事件， 从而实现监控。,2019/5/24,15,2.基于网络的入侵检测系统,7.1 入侵检测技术,7.1.4入侵检测系统的结构,利用网络适配器 来实时监视和分析所 有通过网络进行传输 的通信。一旦检测到 攻击，IDS相应模块 通过通知、报警以及 中断连接等方式来对 攻击做出反应。,2019/5/24,16,2.基于网络的入侵检测系统 优点： 检测的范围是整个网段，而不仅仅是被保护的主机。 实时检测和应答。一旦发生恶意访问或攻击，能够更快 地做出反应，将入侵活动对系统的破坏减到最低。 隐蔽性好。不需要在每个主机上安装，不易被发现。 不需要任何特殊的审计和登录机制，只要配置网络接口 就可以了，不会影响其他数据源。 操作系统独立。基于网络的IDS并不依赖主机的操作系 统作为检测资源。,7.1 入侵检测技术,7.1.4入侵检测系统的结构,2019/5/24,17,3.分布式入侵检测系统 分布式入侵检测系统产生的原因情况： 系统的弱点或漏洞分散在网络中各个主机上，这些弱点有可能被入侵者一起用来攻击网络，而仅仅依靠一个主机或网络入侵检测系统难以发现入侵行为。 网络入侵行为不再是单一的行为，而是表现出相互协作入侵的特点，如分布式拒绝服务攻击。 入侵检测所依靠的数据来源分散化，收集原始的检测数据变得困难。 网络速度传输加快，网络流量大，原始数据的集中处理方式往往造成检测瓶颈，从而导致漏检。,7.1 入侵检测技术,7.1.4入侵检测系统的结构,2019/5/24,18,3.分布式入侵检测系统,7.1 入侵检测技术,7.1.4入侵检测系统的结构,早期的分布式入侵检测系统,分布式IDS系统的目标是既能检测网络入侵行为，又 能检测主机的入侵行为。,2019/5/24,19,3.分布式入侵检测系统,7.1 入侵检测技术,7.1.4入侵检测系统的结构,2019/5/24,20,1.基于用户行为概率统计模型的入侵检测方法 根据系统内部保存的用户行为概率统计模型进行检测 。在用户的历史行为以及早期的证据或模型的基础上生成 每个用户的历史行为记录库，系统实时地检测用户对系统 的使用情况，当用户改变他们的行为习惯时，当发现有可 疑的行为发生时，这种异常就会被检测出来。 例如，统计系统会记录CPU的使用时间、I/O的使用通 道和频率、常用目录的建立与删除、文件的读些、修改、 删除、以及用户习惯使用的编辑器和编译器、最常用的系 统调用、用户ID的存取、文件和目录的使用。,7.1 入侵检测技术,7.1.5 入侵检测的基本方法,2019/5/24,21,2.基于神经网络的入侵检测方法 这种方法是利用神经网络技术来进行入侵检测的，因 此，这种方法对于用户行为具有学习和自适应性，能够根 据实际检测到的信息有效地加以处理并做出判断。但尚不 十分成熟，目前还没有出现较为完善的产品。,7.1 入侵检测技术,7.1.5 入侵检测的基本方法,2019/5/24,22,3.基于专家系统的入侵检测方法 根据安全专家对可疑行为的分析经验形成的一套推理 规则，建立相应的专家系统，自动进行对所涉及的入侵行 为进行分析。 实现基于规则的专家系统是一个知识工程问题，应当 能够随着经验的积累而利用其自学习能力进行规则的扩充 和修正。这样的能力需在专家指导和参与才能实现。一方 面，推理机制使得系统面对一些新的行为现象时可能具备 一定的应对能力(即有可能会发现一些新的安全漏洞)；另 一方面，攻击行为不会触发任何一个规则，从而被检测到。,7.1 入侵检测技术,7.1.5 入侵检测的基本方法,2019/5/24,23,3.基于专家系统的入侵检测方法 基于专家系统也有局限性。这类系统的基础的推理规则一般都是根据已知的安全漏洞进行安排和策划的，而对系统的最危险的威胁则主要是来自未知的安全漏洞。,7.1 入侵检测技术,7.1.5 入侵检测的基本方法,2019/5/24,24,4.基于模型推理的入侵检测方法 根据入侵者在进行入侵时所执行程序的某些行为特征 建立一种入侵行为模型；根据这种行为模型所代表的入侵 意图的行为特征来判断用户的操作是否属于入侵行为。当 然这种方法也是建立在对已知的入侵行为的基础之上的， 对未知的入侵行为模型识别需要进一步的学习和扩展。 上述每一种方法都不能保证准确地检测出变化无穷的 入侵行为，因此在网络安全防护中要充分衡量各种方法的 利弊。综合运用这些方法才能有效地检测出入侵者的非法 行为。,7.1 入侵检测技术,7.1.5 入侵检测的基本方法,2019/5/24,25,1.信息收集分析时间 2.采用的分析类型 3.检测系统对攻击和误用的反应 4.检测系统的管理和安装 5.检测系统的完整性 6.设置诱骗服务器,7.1 入侵检测技术,7.1.6 入侵检测实现时若干问题的考虑,2019/5/24,26,入侵者常常是从收集、发现和利用信息系统的漏洞来 发起对系统的攻击的系统，不同的应用，甚至同一系统不 同的版本，其系统漏洞都不尽相同。这些大致上可以分为 以下几类。 1.网络传输和协议的漏洞 2.系统的漏洞 3.管理的漏洞,7.2 漏洞检测技术,7.2.1 入侵攻击可利用的系统漏洞的类型,2019/5/24,27,实时监控非法入侵的安全实验,EMAIL 报警日志,攻击检测,记录,重配置 防火墙/路由器,INTERNAL,攻击检测,记录,通话终止,2019/5/24,28,Internet,Wes Server,Wes Server,Wes Server,7.2 漏洞检测技术,7.2.1 入侵攻击可利用的系统漏洞的类型,2019/5/24,29,漏洞检测技术通常采用两种策略，即被动式策略和主动 式策略。 被动式策略是基于主机的检测，对系统中不合适的设置 、脆弱的口令以及其他同安全策略相抵触的对象进行检查； 主动式策略是基于网络的检测，通过执行一些脚本文件 对系统进行攻击。并记录它的反应，从而发现其中的漏洞。 漏洞检测的结果实际上是对系统安全性能的一个评估，指出 了这些攻击是可能的，因此成为安全方案的一个重要组成部 分。,7.2.2 漏洞检测技术分类,7.2 漏洞检测技术,2019/5/24,30,（1）检测分析的位置 （2）报告与安装 （3）检测后的解决方案 （4）检测系统本身的完整性,7.2.3 漏洞检测的特点,7.2 漏洞检测技术,2019/5/24,31,1.设计目标 该网络漏洞检测系统的设计目标是使得在攻击者入侵 之前，能够帮助系统管理员主动对网络上的设备进行安全 测试，根据当前Internet上或软件公司公布的系统中的漏 洞及时下载安装各种补丁程序，以便提高网络系统抵抗攻 击的能力。,7.2.3 漏洞检测系统的设计实例,7.2 漏洞检测技术,2019/5/24,32,2.系统组成 该系统大体上可分为两大模块： 外部扫描模块 功能和特点是，模拟黑客攻击的部分过程在网络上进行扫描，把扫描得到的信息进行综合分析，再结合不断更新的漏洞数据库来发现网络上存在的隐患； 内部扫描模块 功能和特点是，模拟系统管理员从主机内部进行扫描，检查一切和网络安全有关的配置是否正确，进而从内部清除隐患。通过内外扫描的结合，就可以很全面地检查和防范在网络环境中可能出现的安全隐患，最大可能地使黑客无可乘之机。,7.2.3 漏洞检测系统的设计实例,7.2 漏洞检测技术,2019/5/24,33,3.外部扫描模块体系结构 （1）网络端口扫描模块 （2）应用服务软件探测模块 （3）反馈信息分析整理模块 （4）信息数据库 （5）匹配漏洞信息模块 （6）应用服务和信息漏洞维护模块 （7）漏洞数据库,7.2.3 漏洞检测系统的设计实例,7.2 漏洞检测技术,2019/5/24,34,7.2.3 漏洞检测系统的设计实例,7.2 漏洞检测技术,外部扫描模块结构示意,3.外部扫描模块体系结构,2019/5/24,35,4.内部扫描模块体系结构 内部扫描模块由五个子模块组成。 （1）主机登录用户扫描模块 （2）主机登录密码文件扫描模块 （3）基于信任机制的漏洞扫描模块 （4）网络服务的内部扫描模块 （5）网络应用软件扫描模块,7.2.3 漏洞检测系统的设计实例,7.2 漏洞检测技术,2019/5/24,36,5.系统工作过程 系统启动。 启动外部扫描模块。扫描整个网段，获取本网段内的主机信息（包括使用的操作系统、IP地址、打开的端口号及各个端口所提供的服务）。 获取详细信息，将信息传递给反馈信息分析整理模块； 信息进行分析，过滤掉无用信息，并将有效信息规则化，然后存入信息数据库； 漏洞数据库中的相应漏洞信息进行匹配；如果匹配成功，则产生报警信号，同时给出其他相关信息。,7.2.3 漏洞检测系统的设计实例,7.2 漏洞检测技术,2019/5/24,37,5.系统工作过程 系统启动。 当内部扫描被选择以后，内部扫描模块启动主机登录用户扫描模块、主机登录密码文件扫描模块、基于信任机制的隐患扫描模块、网络服务的内部扫描模块和网络应用软件扫描模块并发执行。发现漏洞，则以分级的形式给出告警，相关的漏洞信息以及配置建议，由系统管理员进一步决定。而网络应用软件扫描模块则进一步给出漏洞的补丁程序的标号、位置等，这一点与外部扫描模块相似。,7.2.3 漏洞检测系统的设计实例,7.2 漏洞检测技术,2019/5/24,38,审计追踪是系统活动的流水记录。该记录按事件从始 至终的途径，顺序检查、审查和检验每个事件的环境及活 动。通过书面方式提供应负责任人员的活动证据以支持职 能的实现。审计追踪记录系统活动(操作系统和应用程序进 程)和用户活动(用户在操作系统中和应用程序中的活动)。 借助适当的工具和规程，审计追踪可以发现违反安全策略 的活动、影响运行效率的问题以及程序中的错误。 审计追踪即是正常系统操作的一种支持(例如系统 中断)，也是一种安全策略，用于帮助系统管理员确保系统 及其资源免遭黑客、内部使用者或技术故障的伤害。,7.3.1 审计追踪概述,7.3 审计追踪,2019/5/24,39,审计追踪提供了实现多种安全相关目标的一种方法， 这些目标包括： 个人职能 事件重建 入侵探测 故障分析,7.3.2审计追踪的目的,7.3 审计追踪,2019/5/24,40,系统可以同时维护多个审计追踪。有两种典型的审计 记录：其一，所有键盘敲击的记录，通常称为击键监控； 其二，面向事件的审计日志。这些日志通常包括描述系统 事件、应用事件或用户事件的记录。 审计追踪应该包括足够的信息，以确定事件的内容和 引起事件的因素。通常，事件记录应该列有事件发生的时 间、和事件有关的用户识别码、启动事件的程序或命令以 及事件的结果。日期和时间戳可以帮助确定用户到底是假 冒的还是真实的，采用标准格式记录信息。,7.3.3 审计追踪和日志的类型,7.3 审计追踪,2019/5/24,41,7.3.3 审计追踪和日志的类型,7.3 审计追踪,如记录信息格式,2019/5/24,42,1.击键监控（keystroke monitoring） 用于对计算机交互过程中的用户键盘输入和计算机的 反应数据进行检查或记录。击键监控通常被认为是审计追 踪的一种特殊应用。击键监控的例子包括检查用户敲入的 字符，阅读用户的电子邮件以及检查用户敲入的信息。 有些系统维护功能会记录用户的击键。如果这些记录 保存与之相关的用户鉴别码就可以协助管理员确定击键人 从而达到击键监控的目的。击键监控致力于保护系统和数 据免遭非法入侵和合法用户的滥用。入侵者的击键记录可 以协助管理员评估和修复入侵造成的损失。,7.3.3 审计追踪和日志的类型,7.3 审计追踪,2019/5/24,43,2.面向事件的审计日志（event-oriented audit logs） （1）系统级审计追踪 （2）应用级审计追踪 （3）用户审计追踪,7.3.3 审计追踪和日志的类型,7.3 审计追踪,2019/5/24,44,为了确保审计追踪数据的可用性和正确性，审计追踪 数据需要受到保护，如果不对日志数据进行及时审查，规 划和实施，再好的审计追踪也会失去价值。审计追踪应该 根据需要（如经常由安全事件触发）定期审查、自动实时 审查、或两者兼而有之。系统管理员应该根据计算机安全 管理的要求确定需要维护多长时间的审计追踪数据，其中 包括系统内保存和归档保存的数据。 与审计追踪实施有关的问题包括三方面：其一，保护 审计追踪数据；其二，审查审计追踪数据；其三，用于审 计追踪分析的工具。,7.3.4 审计追踪的实施,7.3 审计追踪,2019/5/24,45,1.保护审计追踪数据 限制访问在线审计日志。计算机安全管理员和系统管理员或职能部门经理出于检查的目的可以访问，而维护逻辑访问功能的安全和管理人员没有必要访问审计日志。 防止非法修改以确保审计追踪数据。使用数字签名是实现这一目标的一种途径。另一类方法是使用只读设备。入侵者会试图修改审计追踪记录以掩盖自己的踪迹是审计追踪文件需要保护的原因之一。使用强访问控制是保护审计追踪记录免受非法访问的有效措施。当牵涉到法律问题时，审计追踪信息的完整性尤为重要（这可能需要每天打印和签署日志）。,7.3.4 审计追踪的实施,7.3 审计追踪,2019/5/24,46,2.审查审计追踪数据 审计追踪的审查和分析可以分为在事后检查、定期检 查或实时检查。审查人员应该知道如何发现异常活动。他 们应该知道怎么算是正常活动。如果可以通过用户识别码 、终端识别码、应用程序名、日期时间或其它参数组来检 索审计追踪记录并生成所需的报告，那么审计追踪检查就 会比较容易。 事后检查 定期检查 实时检查,7.3.4 审计追踪的实施,7.3 审计追踪,2019/5/24,47,3.审计追踪工具 许多工具是用于从大量粗糙原始的审计数据中精选出 有用信息。尤其是在大系统中，审计追踪软件产生的数据 文件非常庞大，用人工方式分析非常困难。使用自动化工 具就是从审计信息中将无用的信息剔除。其它工具还有差 异探测工具和攻击特征探测工具。 审计精选工具 趋势差别探测工具 攻击特征探测工具,7.3.4 审计追踪的实施,7.3 审计追踪,2019/5/24,48,1.自动工具 2.内部控制审计 3.安全检查表 4.入侵测试,7.3.6 审计的方法和工具,7.3 审计追踪,2019/5/24,49,1.系统日志的检查 2.自动工具 3.配置管理 4.电子新闻,7.3.7 监控的方法和工具,7.3 审计追踪,2019/5/24,50,入侵检测系统是网络信息系统安全的第二道防线， 是安全基础设施的补充。本章在介绍了入侵检测系统的 基本功能及使用范围等基本概念的基础上，给出了入侵 检测系统的基本原理，对入侵检测系统的框架、信息来 源、信息分析方法及基本技术进行了介绍。按检测的监 控位置划分，将入侵检测系统分为三大类别，即基于主 机的检测系统、基于网络的检测系统和分布式检测系统 ，并对各类别的结构及其特点进行了概括。最后介绍在 Windows2000上配置snort入侵检测系统的方法。,7.4 小结,2019/5/24,51,一填空 1. 是检测和识别系统中未授权或异常现象。 2.P2DR是什么含义： 、 、 、 。 3.入侵检测的第一步是 ，内容包括系统、网络、数据及用户活动的状态和行为。 4.入侵检测系统通过 、 和 三种技术手段，对收集到的有关网络、系统、数据及用户活动的状态和行为等信息进行分析。 5. IDS的物理实现方式不同，按检测的监控位置划分，入侵检测系统可分为基于 、基于 和基于 。,7.3 审计追踪,2019/5/24,52,二简答题 1.入侵检测所采用的主要技术？ 2.试述入侵检测方法的分类。 3.IDS主要功能是什么？ 4.简述基于代理的网络入侵检测系统的实现原理。 5.IDS在网络中部署的正确位置。 6.什么是漏洞？简述漏洞的危害。 7.什么是漏洞扫描？ 8.审计追踪的目的是什么？,7.3 审计追踪,2019/5/24,53,引语：在这一实验中，将在Windows平台上建立入侵检测系统（snort）。Snort是一个轻便的网络入侵检测系统，在运行的时只占用极少的网络资源，对原有网络性能影响很小。它可以完成实时流量分析和对网络上的IP包登录进行测试等功能，能完成协议分析，内容查找匹配，是用来探测多种攻击的侵入探测器（如缓冲区溢出、秘密端口扫描、CGI攻击、SMB嗅探、拇纹采集尝试等）。Snort 可以运行在*nix/Win32 平台上。 目的：本实验在Win2000 Server环境安装与配置入侵检测系统（snort）。完成这一实验之后，将能够：安装“snort”服务。使用“snort”服务。,实验五：入侵检测系统snort配置,2019/5/24,54,实验必备：熟悉入侵检测系统概念。具备服务器运行Windows 2000 Server。snort软件。snort是自由软件，可以从Internet上免费下载，要完整的安装入侵检测系统必须先从网上下载以下软件： Snort（Win32 MySQL Binary!） 2.1.2（）； Snort Rules 2.1（）； WinPcap 3.1（winpcap.polito.it）； MySQL Shareware 3.23.58（）； PHP 4.3.5（）； ADODB 3.5.0（/lens/dl/）； ACID 0.9.6b6（/kb/acid/）； l MySQL Database l PHP,实验五：入侵检测系统snort配置,2019/5/24,55,任务1.安装Snort Version 1.9.1 任务2.安装MySQL Database 任务3.生成Win32 MySQL database 任务4.在MySQL中生成Acid的库表 任务5.测试Snort 任务6.将Snort设置成为windows NT4 Server / 2000 / XP的一项服务 任务7.安装PHP 任务8.配置PHP运行在NT Server / 2000 / XP的IIS 4/5环境下 任务9.安装ADODB 一个高性能的数据库,实验五：入侵检测系统snort配置,2019/5/24,56,引语：在这一实验中，将在Windows平台上建立入侵检测系统（snort）。Snort是一个轻便的网络入侵检测系统，在运行的时只占用极少的网络资源，对原有网络性能影响很小。它可以完成实时流量分析和对网络上的IP包登录进行测试等功能，能完成协议分析，内容查找匹配，是用来探测多种攻击的侵入探测器（如缓冲区溢出、秘密端口扫描、CGI攻击