网络攻防技术课件第12章网络安全监控.pptx

1、第十二章 网络安全监控目录 12.1 网络安全监控概述 12.2 入侵检测系统 12.3 蜜罐 12.4 沙箱12.1 网络安全监控概述 NSM概念 NSM背景和意义 NSM发展历程 NSM作用机制 NSM工作特征 NSM技术体系 NSM部署网络攻防的非对称博弈 工作量不对称 攻击方：夜深人静,攻其弱点 防守方：全天候全面防护 信息不对称 攻击方：通过网络扫描、探测、踩点对攻击目标全面了解 防守方：对攻击方一无所知 后果不对称 攻击方：任务失败，极少受到损失 防守方：安全策略被破坏，利益受损网络安全监控概念 网络安全监控（Network Security Monitoring，NSM）通过对网

2、络安全状态进行动态、持续的监控，及早发现为了安全威胁与内在隐患，有效遏止和阻断攻击，最大限度降低威胁程度并减少危害损失。NSM背景 2002年有理查德贝杰提出，定义为“关于收集、分析和增强预警以检测和响应入侵的技术”基于两个根本性假设 安全漏洞不可避免 网络预防终究失效NSM意义 确保网络信息系统安全运行 防止攻击者实施渗透、破坏和信息窃取 进行信息收集、事件分析 为网络安全应急处理提供决策依据NSM发展历程 NSM最早起源于入侵检测 1998年美国空军计算机应急响应小组（AFCERT）部署了第一个监控网络流量的入侵检测系统网络安全监控器（NSM）1993年AFCERT在NSM基础上升级部署了

3、自动化安全事件评估系统（ASIM）网络安全监控逐步由被动变为主动，采用蜜罐（Honeypot）、沙箱（Sand Box）等欺骗式防御技术。趋势：更加关注高级态势感知的情报需求NSM作用机制NSM部署网络传感器，以整合有效的安全策略为基础，处理分析收集到的信息，为检测和入侵响应提供依据。NSM工作特征 聚焦检测响应 聚焦于事中检测和及时响应，及时发现和阻断攻击链 以威胁为中心 以潜在的威胁为线索，优化数据收集和分析，提高攻击现场的还原能力 注重情报使能 通过学习积累形成关于特定攻击者的网络“轮廓”基于信誉度检测，提高效率NSM技术体系 主要包括规划、收集、检测和分析 主要任务：制定网络安全监控方

4、案 从安全需求分析开始，始终围绕“威胁”步骤：威胁建模 量化风险 确定数据源 细化重点NSM技术体系规划NSM技术体系收集 NSM的可靠性和准确依赖于数据的可靠性和完备性 传感器实现数据收集 数据类型丰富 网络流量数据 会话数据/全包捕获数据/包字符串数据 日志数据 告警数据会话数据 两个网络节点之间的通信记录 包括协议、源和目的IP地址、源和目的端口、通信开始和结束的时间戳、通信的数据量等 会话数据体量小、使用灵活，适合大规模存储，保存时间长 方便快速梳理和解析，常用于事后统计和分析。全包捕获数据 完整地记录了两个网络节点之间传输的每一个数据包，PCAP数据格式 细粒度的且高价值的信息，常用

5、于取证和上下文分析 数据体量太大，所需存储成本过高，不适合长期存储；完整数据包不方便快速审计，解析难度也较大。包字符串数据 介于全包捕获数据和会话数据之间 根据自定义的数据格式从全包捕获数据中导出 解决了全包捕获数据对存储空间要求过高，而会话数据粒度不够、缺乏详细信息等问题 容易存储管理、分析统计。日志数据 充分利用系统和应用程序日志文件信息 源自设备、系统或应用的原始日志文件 通常包括：Web代理日志、防火墙日志、操作系统安全日志和系统登录日志等 记录用户认证与授权、用户登录、网络访问、文件读取等各种网络和系统行为告警数据 由检测工具依据配置规则在检查中所生成的告警报警记录和说明 告警数据反

6、映了网络或系统的异常 例如，系统目录和文件的非期望改变，替换动态链接库等系统程序或修改系统日志文件。告警数据本身体量非常小，通常仅包含指向其他数据的指针，常用于分析。数据收集 传感器实现：软件/硬件。网络流量数据：流量镜像/网络分流器 流量镜像的方式不会影响正常通信 网络分流器通常接在路由器和交换机之间，专用的硬件设计，较高的性能和可靠性。日志数据:目标主机上运行代理程序,获取主机的审计数据、系统日志、应用程序日志等。NSM技术体系检测 是指以网络流量、日志和审计信息为数据源，对网络实时连接和主机文件等进行检测，发现可疑事件并作出告警。告警信息是检测的重要检测结果 入侵检测系统（IDS）进行检

7、测 误用检测（特征检测）异常检测误用检测（特征检测）发展相对成熟，最早且最广泛的检测技术 假设：所有入侵行为都有可被检测到的特征 工作原理：对入侵行为的特征进行描述，在收集的数据中如果找到符合特征描述的行为，则视之为入侵误用检测（特征检测）特征类型分类 主机/网络 稳定/可变 原子/可计算 特征构成了误用模式数据库（特征库）误用检测的性能很大程度上依赖于特征库的质量误用检测（特征检测）特征类型分类 主机/网络 稳定/可变 原子/可计算 特征构成了误用模式数据库（特征库）误用检测的性能很大程度上依赖于特征库的质量误用检测（特征检测）公开信誉度列表是由开源社区志愿者支持维护的关于互联网恶意行为的信

8、息列表 主要收录恶意域名、可疑IP地址、恶意程序签名等 知名的公开信誉度列表有：恶意软件域名列表MDL、ZeuS和SpyEye追踪器、PhishTank，垃圾邮件IP地址封堵名单Spamhaus，MalCode数据库等。误用检测（特征检测）误用检测的误报率较低 只需收集相关的数据集合，减少系统负担，且技术已相当成熟。误用检测的漏报率较高 仅仅刻画已知的入侵和系统误用模式，因此该技术不能检测出未知的入侵 在模式匹配基础上增加了协议分析技术，以提高误用检测的性能。异常检测 假设：入侵者的行为与正常用户的行为不同，利用这些不同可以检测入侵行为。工作原理是是对正常行为建模，在对网络流量或事件监测时，所

9、有不符合常规行为模型的事件就被怀疑为攻击。利用统计分析和预测等方法检测入侵 轮廓（Profile）：定义出各种行为参数及其属性值的集合，描述正常行为。异常检测 异常检测具有更强的针对未知网络攻击的检测发现能力，但技术实现的难度也更大。异常检测技术的误报率比较高，而误用检测技术误报率比较低。新的区分方法 基于模式预测的方法 基于机器学习的方法 基于数据挖掘的方法 NSM技术体系分析 对提交的告警信息进行识别、验证和确认 分析技术：数据包分析：纵向分析/关联性分析 数字取证：内存数据/硬盘数据/IDS记录 程序行为分析：沙箱 工具Wireshark、Redline、Net Treat Analyz

10、er、Walleye等NSM技术体系分析 对提交的告警信息进行识别、验证和确认 帮助确定某个恶意行为在整个安全事件中的作用和发生时机 分析技术：数据包分析：纵向分析/关联性分析 数字取证：内存数据/硬盘数据/IDS记录 程序行为分析：沙箱数据包分析 根据告警信息对数据包进行细致的分析和解读，以实现对告警信息的验证和潜在攻击线索 纵向分析：严格按照协议层次和格式，对封装的数据包进行拆分和解析。关联性分析：对各类信息进行关联和综合，从而对网络事件进行判断，帮助甄别误报或查找漏报。数字取证 源自于计算机取证 主要关注计算机内存、硬盘数据以及入侵检测系统的工作记录、系统审计记录、操作系统日志记录和反病

11、毒软件日志记录等 分为 内存数据取证 硬盘数据取证 网络取证数字取证内存数据 从内存中提取与攻击相关的数据信息。主要包括：进程控制块和线程控制块 恶意程序内存数据 网络和文件操作对象 加密口令信息 硬件和软件的配置信息 一般通过工具或者dump文件来获取数字取证硬盘数据 从硬盘中提取与文件和文件系统有关的数据信息 对读取的原始磁盘数据依照文件和文件系统格式进行文件恢复，甚至对已经遭到破坏的文件和文件碎片进行修复还原。相关技术：痕迹检测、相关性分析、高效搜索算法、完整性校验算法和数据挖掘算法等数字取证网络取证 分析捕获数据来了解攻击新工具和新方法 主要包括：网络协议分析 网络行为分析 攻击特征分

12、析 程序行为分析 一般利用沙箱对恶意程序的运行情况进行跟踪分析 分析对象 文件操作 注册表操作 进程/线程操作 网络行为 内核加载操作NSM部署 部署时重点考虑数据来源的可靠性与完备性 数据来源：主机、网络和蜜罐 基于网络的IDS通过传感器收集网络流量 传感器独立的检测引擎 共享介质环境：任意位置接入 交换环境：交换机设置端口镜像NSM部署共享介质环境：任意位置接入 HUB 传感器 受监控服务器 控制台 NSM部署交换环境：交换机设置端口镜像12.2 入侵检测系统 IDS概念 IDS背景 IDS发展 IDS分类 IDS实例：Snort入侵检测 入侵检测系统（Intrusion Detectio

13、n Systems，IDS），是NSM核心技术之一 对系统、应用程序的日志以及网络数据流量进行主动监控的主动防御技术背景 美国国家标准与技术研究院（NIST）：入侵是指试图破坏计算机或网络系统的机密性，完整性、可用性或者企图绕过系统安全机制的行为。1980年，J.Anderson将入侵者分为三类：假冒者：未经授权/冒用合法账户 违法者：越权操作 秘密用户：绕过访问控制、逃避审计背景 入侵检测核心任务 收集和分析计算机网络或计算机系统中关键点信息，发现网络或系统中的违反安全策略行为和被攻击迹象 对网络性能影响较小 对内外攻击和误操作提供实时保护 扩展系统管理员安全管理能力IDS存在与发展的必然性

14、 网络攻击的破坏性、损失的严重性 日益增长的网络安全威胁 单纯的防火墙无法防范复杂多变的攻击IDS发展 1987年Denning最早提出入侵检测模型 Teresa改进并提出了入侵检测专家系统（Intrusion Detection Expert System IDES）检测单一主机的入侵 根据主机系统审计记录数据IDS发展 在DARPA支持下，加州大学戴维斯分校安全实验室提出入侵检测框架模型（CIDF）主要工作：体系结构、通信体制、描述语言、应用程序接口（API）构成：事件发生器、事件分析器、响应单元、事件数据库事件生成器事件分析器事件数据库响应单元计算环境（被监视系统）ID对象ID对象(分析

15、结果）ID对象(分析结果）响应行动数据源ID对象记录IDS运作流程IDS分类（按数据来源）基于主机的IDS 监视和分析主机的审计记录和日志文件 保护运行关键应用的服务器 基于网络的IDS 监听网络上的所有分组 实时监控网络上的关键路径，影响小 混合型IDS 主机+网络，互补保护系统NIDS和HIDS比较基于主机的IDS基于主机入侵检测系统工作原理基于主机入侵检测系统工作原理网络服务器网络服务器1客户端网络服务器网络服务器2X检测内容：l系统调用l端口调用l系统日志l安全审记l应用日志X基于网络的IDS基于网络入侵检测系统工作原理基于网络入侵检测系统工作原理网络服务器网络服务器2网络服务器网络服

16、务器1数据包=包头信息+有效数据部分客户端X检测内容：包头信息+有效数据部分IDS分类（根据方法分类）异常检测 定量的方式描述行为特征 对正常行为建模，和用户行为进行比较，区分非正常入侵行为 误用检测 基于已知系统缺陷和入侵模式特征 对不正常行为建模，发现与攻击特征相匹配的事件activity measuresprobable intrusion异常检测模型异常检测模型IDS分类（根据体系结构）集中式IDS 多个分布在不同主机的审计程序和一个中央IDS服务 等级式IDS 监控区域分级，分级监控，结果上传 汇总机制随网络拓扑改变而改变 分布式（协作式）IDS 中央检测服务器的任务下分给多个基于主

17、机的IDS，不分等级 对共享数据量要求低，可伸缩性，安全性提高 系统设计复杂，主机工作负荷增加分布式入侵检测系统结构分布式入侵检测系统结构实例：Snort 开源、轻量级网络入侵检测系统 基于模式匹配的误用检测模型实例：Snort 功能：数据包审计 协议分析 检测入侵和探测行为 三种应用模式 包嗅探 网络流量分析与诊断的IP包记录 完整功能的入侵检测系统 扩展性良好 预处理插件 插件 输出插件实例：Snort 运行流程与插件实例：Snort Libpcap 捕获分组 TCP/IP 协议栈分析 规则探测 日志和 报警 预处理插件 插件 输出插件 12.3 蜜罐技术 蜜罐的背景和概念 蜜罐技术发展

18、蜜罐的安全价值 蜜罐分类 蜜罐技术原理 实例：Honeyd、Honeynet、蜜场蜜罐“蜜罐”概念最早出现在小说“The Cuckoos Egg”中，作者认为“蜜罐是一个了解黑客的有效手段”。“蜜罐项目组”创始人兰斯施皮策：“蜜罐是一种安全资源，其价值在于被探测、攻击和攻陷”预设的计算资源不承载业务功能，只是为了吸引、欺骗和诱捕攻击者。蜜罐技术发展 第一阶段：19901998 概念验证和初步应用阶段 真实主机和网络系统构建蜜罐 第二阶段：19982000 利用虚拟系统进行模拟 代表性蜜罐：DTK，Honeyd，KFSensor，ManTrap 部署便利，但是交互能力低，容易识破 第三阶段：20

19、00至今 真实的操作系统、应用程序甚至主机 蜜网、蜜场不断出现，体系逐渐完毕蜜罐的安全价值 捕获和缓解网络攻击 预设较弱的安全防护功能诱骗攻击者，缓和和保护真正的网络业务系统 提高数据收集和检测效率 吸引攻击流量，记录攻击行为 大地降低误报率和漏报率 发现和识别新型攻击 详细记录攻击行为 识别和发现未知攻击，挖掘攻击者社交网络蜜罐分类（根据系统功能）产品型蜜罐 目的：企业或单位的网络系统的保护 一种安全辅助手段 容易部署和维护 研究型蜜罐 目的：研究攻击者及其活动 攻击监视、分析和系统维护投入大蜜罐分类（根据交互程度）交互程度：蜜罐和攻击者之间 衡量蜜罐欺骗和吸引能力指标 低交互蜜罐 与攻击者

20、主动交互 模拟操作系统和服务，结构简单，易部署 监听和记录所有进出特定端口的数据包 交互数量和程度低，收集信息有限 容易被发现蜜罐分类（根据交互程度）高交互蜜罐 真实操作系统和主机，交互能力高 天然的可适应性、数据获取能力，伪装度高 优点：获取大量攻击者信息；观察新型网络攻击方式 实现复杂，资源需求和维护投入大，可扩展性弱，部署安全风险高蜜罐分类（根据实现方法）物理蜜罐 具有独立IP和这是操作系统的物理机器 高逼真度，高交互 成本高 虚拟蜜罐 虚拟操作系统和服务，交互能力弱 操控方便，便于深入分析 易被发现，甚至发生攻击逃逸蜜罐技术原理 主要欺骗技术 端口模拟：模拟端口响应 漏洞模拟：更高的交

21、互能力 主机模拟 IP地址与流量仿真：针对入侵扫描和内网嗅探 重新流量；产生业务流量；ARP欺骗 网络动态配置 数据控制技术 宽进严出 连接控制 防火墙 路由控制 路由器蜜罐技术原理实例：Honeyd 虚拟蜜罐 针对Unix类OS 轻量级开源蜜罐应用程序 对可疑活动进行检测、捕获和预警 简单，灵活、实用 功能特性：简单的配置文件仿真大量网络系统和服务 支持任意TCP/UDP服务 充分利用操作系统指纹信息 后台进程运行 运行Honeyd的主机能有效控制系统安全实例：Honeyd实例：Honeyd Honeyd与其虚拟系统之间的关系实例：Honeyd 支持对任意虚拟路由拓扑结构的创建 支持将物理系

22、统整合到虚拟蜜罐网络中 优点 功能完备，资源代价小 配置简单7 75 5蜜网的体系结构实例：Honeynet 研究型、高交互的蜜罐技术体系框架 可以建立包括多个标准蜜罐系统的网络 提供各类完整的操作系统和应用软件 三项核心技术 数据控制机制 数据捕获机制 数据采集分析机制实例：Honeynet 发展历程 第一代蜜网（1999）提出概念框架及其验证 能够捕获大量攻击数据 数据控制方法简单 无法处理加密信息第一代蜜网体系结构实例：Honeynet 发展历程 第二代蜜网（2002）对数据控制机制进行更新（HoneyWall）传感器设备实现全方位的数据控制和捕获 鉴别控制越权行为 内核空间捕获数据方式

23、第二代蜜网体系结构HoneyWall 的数据控制机制IPTableseth0Snort_inlineIPTableseth1Sebek ClientHoneyWall蜜罐主机蜜罐主机Sebek Client蜜罐主机蜜罐主机SwatchIPTables日志日志Snort报警信息报警信息eth2管理员管理员对攻击者隐蔽对攻击者隐蔽丢弃丢弃 修改修改无效无效化化向外已知攻击方法向外已知攻击方法网络连接数网络连接数限制限制扫描、扫描、DoS攻击攻击Email报警报警Sebek SvrSnort for SniffHoneyWall 中数据控制流程实例：Honeynet 发展历程 第三代蜜网（2004）

24、第三代蜜网实例：Honeynet 发展历程 第三代蜜网（2004）多台蜜罐主机构成 蜜网网关与外部网络临街 网关是蜜网和外部网络的唯一连接，便于进行数据流的捕获和控制 研究人员对网关进行远程控制实例：Honeynet 第三代蜜网和第二代蜜网的主要差异 数据控制 在防火墙规则上增加了黑白名单 数据捕获 三个层次实现捕获数据：防火墙体制；IDS记录的网络流；Sebek捕获的系统活动 数据分析 实现了基于浏览器的数据分析和系统管理工具WalleyeWalleye的管理界面蜜场12.4 沙箱 沙箱基本概念 沙箱的分类 沙箱基本技术 实例：Cuckoo沙箱基本概念 定义：按照某种安全策略限制程序行为的执

25、行环境，可以自动化分析非可信程序样本，记录样本在沙箱环境内的各种操作，对样本的真实意图进行判定。核心思想：建立一个严格受控的执行环境 有效的恶意程序检测和预防技术 安全与高效的平衡沙箱基本概念 一般具有宿主环境的资源抽象 虚拟化方式构建影子注册表和文件系统等 非可信程序的操作重定向到虚化资源 具备对资源访问的记录和控制功能 预定义的处理机制，及时采取一定防范措施沙箱分类（按系统层次）用户态沙箱 操作系统用户层 所需服务通过调用系统内核实现 优点 高级语言编写，实现难度小，可扩展性强 部署简单，方便 缺点 专业性强，限制使用范围 安全性差，易绕过和逃逸沙箱分类（按系统层次）内核态沙箱 基于操作系

26、统内核实现 通过存储器硬件保护机制实现隔离 在内核中对用户程序进行监视，避免逃逸 缺点：过于依赖操作系统，对开发人员要求高 增加内核的复杂性和不稳定性 实现难度大，可维护性和可移植性差沙箱分类（按系统层次）混合态沙箱 集成了用户态沙箱和内核态沙箱的有点 更加底层和高效的保护 便于移植和扩展 虚拟态沙箱 构建中虚拟机监控器中 分为半虚拟化沙箱和全虚拟化沙箱沙箱分类（按资源访问）基于规则的沙箱 使用访问控制规则限制程序行为 组成：程序监控器：监控程序行为 访问控制规则引擎预先定义访问控制规则进行约束沙箱分类（按资源访问）基于虚拟机的沙箱 虚拟化技术实现对资源的隔离和访问控制 分为 插件级虚拟机 容

27、器级虚拟机 桌面级虚拟机 系统级虚拟机沙箱分类（按限制方式）过滤型沙箱 采用API Hook、SSDT Hook、IDT Hook等挂钩技术 位于非可信应用程序和系统调用结构或系统服务例程之间 安装预先制定的安全策略，过滤可疑调用 委托型沙箱 沙箱中的程序通过代理程序完成操作“用户定义策略，沙箱代替用户程序访问”沙箱关键技术 资源访问控制技术 程序行为监控技术 重定向技术 虚拟执行技术 行为分析技术资源访问控制技术 任务：系统资源最大限度共享基础山，对用户访问权限进行管理，防止越权和滥用 理论基础：访问控制 面向资源 应用程序为表示主体 既满足程序正常资源访问需求又保证系统安全资源访问控制技术

28、 具体实现技术 资源标识急速 唯一字符串标识资源 设置访问权限 资源抽象隔离技术 虚拟化、重定向提供资源的模拟映像 指令动态翻译技术 等价指令替换非可信指令执行程序行为监控技术 对非可信程序的系统调用进行拦截 主要技术（操作系统内沙箱）DLL注入 自定义动态链接库注入到非可信程序地址空间 Inline-Hook 修改原系统函数的入口地址。先执行自定义沙箱函数，然后调用原函数 虚拟监控器拦截 高特权级的虚拟监控器对虚拟机内部的程序行为进行拦截和监控重定向技术 将访问请求及其参数重新定位 包括 文件重定向 拦截非可信程序对文件的增删改查 复制文件再操作 注册表重定向 复制注册表虚拟执行技术 为程序

29、执行提供虚拟化的程序执行环境 虚拟上下文 虚拟操作系统 虚拟存储设备 虚拟网络资源行为分析技术 对程序行为和指令序列进行分类和威胁程度分析 根据预定的安全策略等级进行评价 轻度危害：文件打开读取 中度危害：程序提权 严重危害：终止安全软件、下载未知程序实例：Cuckoo 开源自动化恶意程序分析系统 自动运行和分析文件 支持：二进制PE文件（exe，dll，com）多种压缩文件（zip，jar）多种脚本文件（PHP，VB，Python）其他：PDF、office稳定、ULR和HTML 支持对文件二进制数据静态分析以及动态跟踪可执行文件执行 结果 函数以及系统调用 软件、创建、删除和下载的文件 指

30、定进程的内存映像 PCAP格式的网络流量 全虚拟级的内存映像实例：Cuckoo 实际部署：实例：Cuckoo 实际部署：管理机 分析管理工作 管理客户机 启动分析任务 网络流量收集 生成分析报告 第三方软件：Tcpdump：拦截网络流量 Volatility：获取客户机内存映像实例：Cuckoo 实际部署：客户机 基于Xen、VirtualBox等虚拟化平台 代理器在虚拟机中运行，负责接收管理机发送的任务（文件）和获取运行结果 代理器Python开发，跨平台实例：Cuckoo 基于Python和C/C+模块化的设计思想 启动引擎（cuckoo.py）任务加载器（submit.py）监控器（cuckoomon.dll）分析器（analyzer）代理器（agent.py）等实例：Cuckoo 组成架构图实例：Cuckoo本章小结 随着网络威胁演变和传播的速度加快 传统的、局部的网络安全防护措施已无法有效应对 整合整个安全界的资源和信息，在更大范围内对网络攻击的认知和预测，提高网络安全响应决策能力，有效对抗网络威胁。网络安全监控将进入基于态势感知和威胁情报共享的大安全监控时代。