信息系统安全检测技术.ppt

本章主要内容 7.1 入侵检测技术 7.2 漏洞检测技术 7.3 审计追踪 本章学习目标 本章重点介绍入侵检测的概念、分类、基本方法；入侵响应、审计追踪技术；漏洞扫描技术的概念。给出了入侵检测系统现成实现模式。最后介绍了入侵检测工具Snort的安装与配置。 通过本章的学习，使学员： ? （1）理解入侵检测的概念、分类、基本方法； ? （2）理解入侵响应、审计追踪技术； ??（3）理解漏洞扫描技术； ? （4）掌握Snort入侵检测工具的使用。 2.系统组成 该系统大体上可分为两大模块： 外部扫描模块 功能和特点是，模拟黑客攻击的部分过程在网络上进行扫描，把扫描得到的信息进行综合分析，再结合不断更新的漏洞数据库来发现网络上存在的隐患； 内部扫描模块 功能和特点是，模拟系统管理员从主机内部进行扫描，检查一切和网络安全有关的配置是否正确，进而从内部清除隐患。通过内外扫描的结合，就可以很全面地检查和防范在网络环境中可能出现的安全隐患，最大可能地使黑客无可乘之机。 7.2.3 漏洞检测系统的设计实例 7.2 漏洞检测技术 3.外部扫描模块体系结构 （1）网络端口扫描模块 （2）应用服务软件探测模块 （3）反馈信息分析整理模块 （4）信息数据库 （5）匹配漏洞信息模块 （6）应用服务和信息漏洞维护模块 （7）漏洞数据库 7.2.3 漏洞检测系统的设计实例 7.2 漏洞检测技术 7.2.3 漏洞检测系统的设计实例 7.2 漏洞检测技术 局 域 网 网络端口 扫描模块 应用服务软件探测模块 反馈信息分析整理模块 应用服务和信息 漏洞维护模块 信息数据库 漏洞数据库 匹配 漏洞 信息 模块 判断处理 系统管理员 外部扫描模块结构示意 3.外部扫描模块体系结构 4.内部扫描模块体系结构 内部扫描模块由五个子模块组成。 （1）主机登录用户扫描模块 （2）主机登录密码文件扫描模块 （3）基于信任机制的漏洞扫描模块 （4）网络服务的内部扫描模块 （5）网络应用软件扫描模块 7.2.3 漏洞检测系统的设计实例 7.2 漏洞检测技术 5.系统工作过程 系统启动。 启动外部扫描模块。扫描整个网段，获取本网段内的主机信息（包括使用的操作系统、IP地址、打开的端口号及各个端口所提供的服务）。 获取详细信息，将信息传递给反馈信息分析整理模块； 信息进行分析，过滤掉无用信息，并将有效信息规则化，然后存入信息数据库； 漏洞数据库中的相应漏洞信息进行匹配；如果匹配成功，则产生报警信号，同时给出其他相关信息。 7.2.3 漏洞检测系统的设计实例 7.2 漏洞检测技术 5.系统工作过程 系统启动。 当内部扫描被选择以后，内部扫描模块启动．主机登录用户扫描模块、主机登录密码文件扫描模块、基于信任机制的隐患扫描模块、网络服务的内部扫描模块和网络应用软件扫描模块并发执行。发现漏洞，则以分级的形式给出告警，相关的漏洞信息以及配置建议，由系统管理员进一步决定。而网络应用软件扫描模块则进一步给出漏洞的补丁程序的标号、位置等，这一点与外部扫描模块相似。 7.2.3 漏洞检测系统的设计实例 7.2 漏洞检测技术 审计追踪是系统活动的流水记录。该记录按事件从始 至终的途径，顺序检查、审查和检验每个事件的环境及活 动。通过书面方式提供应负责任人员的活动证据以支持职 能的实现。审计追踪记录系统活动(操作系统和应用程序进 程)和用户活动(用户在操作系统中和应用程序中的活动)。 借助适当的工具和规程，审计追踪可以发现违反安全策略 的活动、影响运行效率的问题以及程序中的错误。 审计追踪即是正常系统操作的一种支持(例如系统 中断)，也是一种安全策略，用于帮助系统管理员确保系统 及其资源免遭黑客、内部使用者或技术故障的伤害。 7.3.1 审计追踪概述 7.3 审计追踪 审计追踪提供了实现多种安全相关目标的一种方法， 这些目标包括： 个人职能 事件重建 入侵探测 故障分析 7.3.2审计追踪的目的 7.3 审计追踪 系统可以同时维护多个审计追踪。有两种典型的审计 记录：其一，所有键盘敲击的记录，通常称为击键监控； 其二，面向事件的审计日志。这些日志通常包括描述系统 事件、应用事件或用户事件的记录。 审计追踪应该包括足够的信息，以确定事件的内容和 引起事件的因素。通常，事件记录应该列有事件发生的时 间、和事件有关的用户识别码、启动事件的程序或命令以 及事件的结果。日期和时间戳可以帮助确定用户到底是假 冒的还是真实的，采用标准格式记录信息。 7.3.3