第6章-网络安全防范技术入侵检测及入侵防护系统课件.ppt

1、1第第6章网络安全防范技章网络安全防范技术术计算机网络安全计算机网络安全张纯容张纯容2入侵检测与入侵防护系入侵检测与入侵防护系统统3近几年网络安全研究的发展过程近几年网络安全研究的发展过程 防火墙技术的研究：在网络边界保卫内部网。防火墙技术的研究：在网络边界保卫内部网。 VPN技术的研究：连接分散的内部网，完成内部网外延技术的研究：连接分散的内部网，完成内部网外延的扩大，与防火墙技术结合比较紧密。的扩大，与防火墙技术结合比较紧密。 认证、认证、PKI技术的研究：进一步扩大内部网的外延，同技术的研究：进一步扩大内部网的外延，同时建立广义的信任关系。时建立广义的信任关系。 入侵检测技术的研究：承接

2、防护和响应的过程。入侵检测技术的研究：承接防护和响应的过程。4入侵检测（入侵检测（Intrusion Detection，ID） 入侵检测就是对（网络）系统的运行状态进行监视，发入侵检测就是对（网络）系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性。资源的机密性、完整性与可用性。 一个完整的入侵检测系统必须具备下列特点：经济性、一个完整的入侵检测系统必须具备下列特点：经济性、时效性、安全性、可扩展性时效性、安全性、可扩展性5入侵检测的发展简介入侵检测的发展简介 可分为可分为3个阶段个阶段:安全

3、审计安全审计Security Audit）: 审计定义为对系统中发生事件的记审计定义为对系统中发生事件的记录和分析处理过程。录和分析处理过程。入侵检测系统（入侵检测系统（Intrusion Detection System，IDS）入侵防范系统（入侵防范系统（Intrusion Prevention System，IPS，又称为，又称为入侵防护系统或入侵保护系统）入侵防护系统或入侵保护系统）:IPS技术可以可以深度感知并检技术可以可以深度感知并检测流经网络的数据，对恶意报文进行丢弃以阻断攻击，对滥用报测流经网络的数据，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源文进行限流

4、以保护网络带宽资源6Common IntrusionsMARSRemote WorkerRemote BranchVPNVPNVPNACSIron PortFirewallWeb ServerEmail ServerDNSLANCSAZero-day exploit attacking the network7Intrusion Detection Systems (IDSs)1.An attack is launched on a network that has a sensor deployed in promiscuous IDS mode; therefore copies of a

5、ll packets are sent to the IDS sensor for packet analysis. However, the target machine will experience the malicious attack.2.The IDS sensor, matches the malicious traffic to a signature and sends the switch a command to deny access to the source of the malicious traffic.3.The IDS can also send an a

6、larm to a management console for logging and other management purposes.SwitchManagement Console123TargetSensor8Intrusion Prevention Systems (IPSs)1. An attack is launched on a network that has a sensor deployed in IPS mode (inline mode).2. The IPS sensor analyzes the packets as they enter the IPS se

7、nsor interface. The IPS sensor matches the malicious traffic to a signature and the attack is stopped immediately.3. The IPS sensor can also send an alarm to a management console for logging and other management purposes.4. Traffic in violation of policy can be dropped by an IPS sensor.SensorManagem

8、ent Console123Target4Bit Bucket9Common characteristics of IDS and IPS Both technologies are deployed using sensors. Both technologies use signatures to detect patterns of misuse in network traffic. Both can detect atomic patterns (single-packet) or composite patterns (multi-packet).10Comparing IDS a

9、nd IPS SolutionsAdvantagesDisadvantages No impact on network (latency, jitter) No network impact if there is a sensor failure No network impact if there is sensor overload Response action cannot stop trigger packets Correct tuning required for response actions Must have a well thought-out security p

10、olicy More vulnerable to network evasion techniquesIDSPromiscuous Mode11Comparing IDS and IPS SolutionsAdvantagesDisadvantages Stops trigger packets Can use stream normalization techniques Sensor issues might affect network traffic Sensor overloading impacts the network Must have a well thought-out

11、security policy Some impact on network (latency, jitter)IPSInline Mode12入侵检测系统的分类入侵检测系统的分类 按数据来源和系统结构的不同，入侵检测系统可分为按数据来源和系统结构的不同，入侵检测系统可分为3类类：基于主机的入侵检测系统基于主机的入侵检测系统基于网络的入侵检测系统基于网络的入侵检测系统分布式入侵检测系统（混合型）分布式入侵检测系统（混合型）13基于主机的入侵检测系统基于主机的入侵检测系统 基于主机的入侵检测系统的输入数据来源于系统的审计基于主机的入侵检测系统的输入数据来源于系统的审计日志，即在每个要保护的主机上

12、运行一个代理程序，一日志，即在每个要保护的主机上运行一个代理程序，一般只能检测该主机上发生的入侵。般只能检测该主机上发生的入侵。14基于网络的入侵检测系统基于网络的入侵检测系统 基于网络的入侵检测系统的输入数据来源于网络的信息基于网络的入侵检测系统的输入数据来源于网络的信息流，该类系统一般被动地在网络上监听整个网络上的信流，该类系统一般被动地在网络上监听整个网络上的信息流，通过捕获网络数据包，进行分析，能够检测该网息流，通过捕获网络数据包，进行分析，能够检测该网段上发生的网络入侵段上发生的网络入侵15分布式入侵检测系统（混合型）分布式入侵检测系统（混合型） 分布式入侵检测系统一般由多个部件组成

13、，分别进行数分布式入侵检测系统一般由多个部件组成，分别进行数据采集、数据分析等，通过中心的控制部件进行数据汇据采集、数据分析等，通过中心的控制部件进行数据汇总、分析、产生入侵报警等总、分析、产生入侵报警等16典型入侵检测工具介绍典型入侵检测工具介绍 免费的免费的IDSSnort：Snort是基于是基于Libpcap的数据包的数据包嗅探器，并且可以作为一个轻量级的网络入侵检测系统嗅探器，并且可以作为一个轻量级的网络入侵检测系统（NIDS） 商业商业IDS的代表的代表ISS的的RealSecure：ISS公司的公司的RealSecure是一个计算机网络上自动实时的入侵检测和是一个计算机网络上自动实

14、时的入侵检测和响应系统。响应系统。17蜜罐与蜜网技术18蜜罐与蜜网概述蜜罐与蜜网概述 为了能充分了解攻击者，并为了能充分了解攻击者，并“抓到抓到”攻击者，现在常常攻击者，现在常常使用网络诱骗技术使用网络诱骗技术 其核心内容是蜜罐和蜜网技术。其核心内容是蜜罐和蜜网技术。 蜜罐和蜜网技术是一种捕获和分析恶意代码及获取攻击蜜罐和蜜网技术是一种捕获和分析恶意代码及获取攻击者的攻击行为，可以为追踪攻击者提供有价值的线索，者的攻击行为，可以为追踪攻击者提供有价值的线索，为起诉攻击者搜集有力的证据，从而达到了解攻击者目为起诉攻击者搜集有力的证据，从而达到了解攻击者目的的技术，能为深入分析攻击者提供基础。的的

15、技术，能为深入分析攻击者提供基础。 蜜罐和蜜网技术就是蜜罐和蜜网技术就是“诱捕诱捕”攻击者的一个陷阱攻击者的一个陷阱19蜜罐蜜罐 是一种在互联网上运行的计算机系统，是专门为吸引并是一种在互联网上运行的计算机系统，是专门为吸引并“诱骗诱骗”那些试图非法闯入他人计算机系统的人（如计那些试图非法闯入他人计算机系统的人（如计算机黑客或破解高手等）而设计的算机黑客或破解高手等）而设计的 特点：特点：蜜罐是一个有漏洞的诱骗系统，它通过模拟一个或多个易受攻蜜罐是一个有漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标；击的主机，给攻击者提供一个容易攻击的目标；蜜罐并不向外界提

16、供真正有价值的服务；蜜罐并不向外界提供真正有价值的服务；所有与蜜罐的连接尝试都被视为可疑的连接。所有与蜜罐的连接尝试都被视为可疑的连接。20蜜罐技术的实现蜜罐技术的实现 蜜罐是一种被监听、被攻击或已经被入侵的资源，也就蜜罐是一种被监听、被攻击或已经被入侵的资源，也就是说，无论如何对蜜罐进行配置，所要做的就是使得这是说，无论如何对蜜罐进行配置，所要做的就是使得这个系统处于被监听、被攻击的状态。个系统处于被监听、被攻击的状态。21蜜网技术蜜网技术 蜜网技术是在蜜罐技术的基础上逐步发展起来的一个新蜜网技术是在蜜罐技术的基础上逐步发展起来的一个新概念，也可成为网络诱捕技术之一。概念，也可成为网络诱捕技

17、术之一。 其实质是一种研究型的高交互度蜜罐技术，主要目的是其实质是一种研究型的高交互度蜜罐技术，主要目的是收集黑客的攻击信息。收集黑客的攻击信息。 可以构成一个黑客诱捕网络体系结构可以构成一个黑客诱捕网络体系结构22计算机病毒防范技术23计算机病毒简介计算机病毒简介 计算机病毒是指编制或者在计算机程序中插入的破坏计算计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用并能自我复制的一机功能或者毁坏数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码组计算机指令或者程序代码 计算机病毒具有以下特征：计算机病毒具有以下特征：可以人为的特制程序可以人为的特制程

18、序具有自我复制能力具有自我复制能力很强的传染性很强的传染性一定的隐蔽性和潜伏性一定的隐蔽性和潜伏性特定的触发性特定的触发性很大的破坏性很大的破坏性不可预见性不可预见性针对性和依附性针对性和依附性24特洛伊木马特洛伊木马 特洛伊木马（特洛伊木马（Trojan horse），其名取自希腊神话），其名取自希腊神话“特特洛伊木马记洛伊木马记”，是一种基于远程控制的黑客工具，简称，是一种基于远程控制的黑客工具，简称木马木马 特洛伊木马（简称木马）是一种基于特洛伊木马（简称木马）是一种基于C/S结构的网络应结构的网络应用程序。用程序。 其中，木马的服务器端程序可以驻留在目标主机上并以其中，木马的服务器端程

19、序可以驻留在目标主机上并以后台方式自动运行。后台方式自动运行。 攻击者使用木马的客户端程序与驻留在目标主机上的服攻击者使用木马的客户端程序与驻留在目标主机上的服务器木马程序进行通信，进而获取目标主机上的各种信务器木马程序进行通信，进而获取目标主机上的各种信息息25木马的传播木马的传播 传播木马主要有两种方式：传播木马主要有两种方式：一种是通过一种是通过E-mail，控制端将木马程序以附件的形式夹在邮件，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件就会感染木马；中发送出去，收信人只要打开附件就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名，另一种是软件下载

20、，一些非正规的网站以提供软件下载为名，将木马捆绑在软件安装程序上，下载后，只要运行这些程序，木将木马捆绑在软件安装程序上，下载后，只要运行这些程序，木马就会自动安装马就会自动安装26木马的防范木马的防范 防范木马必须首先切断传播木马的途径防范木马必须首先切断传播木马的途径一方面是收取一方面是收取E-mail时必须打开防火墙的邮件监视程序，打开邮件附件时必须打开防火墙的邮件监视程序，打开邮件附件前一定启动检查程序，发现有木马立即销毁邮件，当然也要防止黑客用邮前一定启动检查程序，发现有木马立即销毁邮件，当然也要防止黑客用邮件传播病毒。件传播病毒。另一方面，建议用户最好到正规网站去下载软件，还要注意

21、不要在在线另一方面，建议用户最好到正规网站去下载软件，还要注意不要在在线状态下安装软件，一旦软件中有木马，易造成系统信息泄露。状态下安装软件，一旦软件中有木马，易造成系统信息泄露。 检测检测E-mail是否夹带木马程序有是否夹带木马程序有3种方法：种方法：一是看图标，一是看图标，E-mail的附件基本上是的附件基本上是TXT、HTML这两类文件，假如发这两类文件，假如发现附件是现附件是EXE文件或其他文件，就要注意看是否夹带了木马程序；文件或其他文件，就要注意看是否夹带了木马程序；二是测长度，一般来说，木马程序都在二是测长度，一般来说，木马程序都在100K以上，而以上，而TXT、HTML文件文

22、件大都不会这么大，如果发现附件大于大都不会这么大，如果发现附件大于100KB，就值得怀疑了；，就值得怀疑了；三是观反应，打开附件，发现毫无反应或者是弹出一个出错提示框，那三是观反应，打开附件，发现毫无反应或者是弹出一个出错提示框，那可能是木马程序可能是木马程序27检查和清除检查和清除Windows系统中木马程序的一般方法系统中木马程序的一般方法 在在“开始开始程序程序启动启动”菜单组中，如果发现有异常程序，则可菜单组中，如果发现有异常程序，则可直接清除；直接清除； 在在autoexec.bat文件中，如果发现有类似文件中，如果发现有类似“win 程序名程序名”的命令的命令行，则在命令中的程序很

23、可能就是木马程序；行，则在命令中的程序很可能就是木马程序； 在在win.ini文件中，检查文件中，检查windows段上由段上由“run=”和和“load=”两两个项目指定的程序是否有异常，如果有，很可能是木马，则应立即个项目指定的程序是否有异常，如果有，很可能是木马，则应立即清除；清除； 在在system.ini文件中，检查文件中，检查boot段上由段上由“shell=”项指定的程序项指定的程序是否有异常。正常情况下，应该为是否有异常。正常情况下，应该为“shell=explorer.exe”，如果变，如果变成成“shell=explorer.exe 程序名程序名”，则其中的程序名很可能是木

24、马，则其中的程序名很可能是木马程序；程序； 28检查和清除检查和清除Windows系统中木马程序的一般方法系统中木马程序的一般方法 在注册表中，与启动相关的注册表项是需要注意的。可以使用在注册表中，与启动相关的注册表项是需要注意的。可以使用regedit命令打开注册表编辑器，然后，依次检查相关的注册表项的命令打开注册表编辑器，然后，依次检查相关的注册表项的值，如果发现异常，则需要及时修正。下列注册表项是需要重点检值，如果发现异常，则需要及时修正。下列注册表项是需要重点检查的项目内容。查的项目内容。 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurren

25、tVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce HKEY_CLASSES_ROOTexefileshellopencommand 一般采用对比的方法来检查注册表项，用正确的注册表与当前的注一般采用对比的方法来检查注册表项，用正确的注册表与当前的注册表进行对比，从中找出可疑的内容。例如，在册表进行对比，从中找出可疑的内容。例如，在HKEY_CLASSES_ROOTexefileshellopen command表项中包表项中包含的正确值为含的正确值为“%1%*”，如果被改为，如果被改为“程序名程

26、序名%1*”，则可能是，则可能是木马程序名。木马程序名。 如果发现异常程序，除了在上述文件中删除它们之外，还要找到它如果发现异常程序，除了在上述文件中删除它们之外，还要找到它们所在的目录，彻底清除，否则，它们有可能还会自动添加到相应们所在的目录，彻底清除，否则，它们有可能还会自动添加到相应的启动位置。的启动位置。29病毒防范技术病毒防范技术 既是一个技术问题，也是一个管理问题，应从两个方面既是一个技术问题，也是一个管理问题，应从两个方面综合加以防范。综合加以防范。 计算机病毒的防范策略应该计算机病毒的防范策略应该“预防为主，治疗为辅预防为主，治疗为辅”，只有这样才能真正将计算机病毒的危害降低到

27、最低限度只有这样才能真正将计算机病毒的危害降低到最低限度。30单机环境下的病毒防范单机环境下的病毒防范 一是要在思想上重视、管理上到位；一是要在思想上重视、管理上到位； 二是技术上依靠防杀计算机病毒软件二是技术上依靠防杀计算机病毒软件 安装和使用最新的正版防杀毒软件也许是技术防毒的最安装和使用最新的正版防杀毒软件也许是技术防毒的最佳选择。佳选择。 另一方面，及时升级防另一方面，及时升级防/杀毒软件（一出现新病毒就升级杀毒软件（一出现新病毒就升级）是非常重要也是非常必要的。）是非常重要也是非常必要的。31小型局域网的病毒防范技术小型局域网的病毒防范技术 一方面需要对各种病毒进行有效杀、防；一方面

28、需要对各种病毒进行有效杀、防； 另一方面也要强调网络防毒在实施、操作、维护和管理另一方面也要强调网络防毒在实施、操作、维护和管理中的简捷、方便和高效。中的简捷、方便和高效。32常见的计算机病毒防范产品常见的计算机病毒防范产品 目前，国内外常见的计算机病毒防范产品有很多，下面简要目前，国内外常见的计算机病毒防范产品有很多，下面简要介绍一些常用的病毒防范产品。介绍一些常用的病毒防范产品。安全之星安全之星KV3000瑞星杀毒软件瑞星杀毒软件KILL金山毒霸金山毒霸Panda AntivirusNorton Anti-VirusMcafee Virus ScanVirus Buster趋势科技防毒软件趋势科技防毒软件卡巴斯基防毒软件卡巴斯基防毒软件