网络安全技术——C7.ppt

第七章 入侵检测技术 网络“黑客”越来越猖獗，攻击手段越 来越先进，“杀伤力”越来越大。为了对付“黑客”们层出不穷的攻击，人们采取了各种各样的反攻击手段，在这些手段中，入侵检测被认为是防火墙之后的第二道安全闸门，在网络系统受到危害之前拦截和响应入侵。 二、入侵检测可以实现的功能如下 1、监控和分析用户以及系统的活动 2、核查系统配置和漏洞 3、统计分析异常活动 4、评估关键系统和数据文件的完整性 5、识别攻击的活动模式冰箱网管人员报警 三、入侵检测原理 入侵者进行攻击的时候总会留下痕迹，这些痕迹和系统正常运行的时候产生的数据混在一起。入侵检测系统就是从这些混合数据中找出是否有入侵的痕迹，如果有就报警提示有入侵事件发生。 入侵检测系统有两个重要部分：数据的取得和数据的检测。入侵检测系统取得的数据一般是系统和网络运行的时候产生的数据，入侵检测系统研究者的主要工作是研究哪些数据最有可能反应入侵事件的发生和哪些检测技术最适应于这些数据。 从一组数据中检测出入侵事件的数据，实际上就是对一组数据进行分类。如果只是简单地检测出系统是否发生入侵，那么这个过程就是把数据分为两类：有入侵的数据和无入侵的数据。如果复杂一些就是，不仅要检测出入侵，还得说明是什么入侵。 4、根据检测系统对入侵攻击的响应方式： （1）主动的入侵检测系统（实时入侵检测系统） 在检测出入侵后，可以自动地对目标系统中的漏洞采取修补，强制可疑用户退出系统以及关闭相关服务等对策和响应措施。 （2）被动的入侵检测系统（事后入侵检测系统） 在检测出系统攻击后只是产生报警信息通知系统安全管理员，至于之后的处理工作由系统管理员完成。 七、入侵追踪 根据入侵的数据记录来获取入侵者信息的途径即为入侵追踪。 (1). 根据IPAddress 进行追踪。把机器当前的连接记录复制到文档上(特定、远端） (2).根据地理位置进行追踪：如果入侵者是通过拨号上网，ISP无法得知是谁在使用其网络。可以使用来话者电话检测功能将对方的电话显示；如果电话无法显示，那么通过IP地址进行追踪 八、基本的入侵方式 网络攻击是一项系统性很强的工作，一般流程为： 1. 端口扫描技术 利用现有的分析软件，如portscan,haktek等进行目标主机的端口扫描，可以直接得到各个端口提供的服务与端口状态。这主要是因为一般端口已经被赋予了 了一定的意义，例如FTP服务端口为21，WWW的端口是80等等。 例：scanning host xx.xx.xx, port 0 to 1000 port 7 found……… port 21 found…. 在得到了端口的一些信息后，入侵边便可以了解和分析系统，进而访问和入侵系统。 2. 密码文件的获取 利用Finger功能，进行信息检测 应用Haktek工具在TARGET中输入目标主机的地址，而 后选择Finger即可出现登陆到该主机的用户的一些信息： login Name TTY Idle When Where 这样经过一段时间的观察，就会积累一定的帐号信息。 利用电子邮件地址 一些公司的邮件地址是公开的，可以进行积累，有时邮件帐号和密码之间有一些联系，也可以作为破解密码的线索。 3. 清除日志 日志清除是攻击者隐藏自己，获得再次访问该系统的机会的方法，针对不同的日志记录，可以采取不同的清除方法。 附：传统的扫描与监听工具 ISS 是一个用来检查使用TCP/IP连接的主机是否容易受到攻击的软件，目前成为了黑客的攻击工具。 SATAN 是一个分析网络安全和测试的工具 TCP CONNECT扫描 Sniffer 溴探器主要用于分析网络流量，找出网络中潜在的问题，有些能够进行比较强的协议分析，因此能够扑获一些口令等信息 TCPDUNP ETHERFIND TEPDUMP NFSWATCH 九、入侵检测系统 1. 起源 1980年 Anderson提出：入侵检测概念，分类方法 1987年 Denning提出了一种通用的入侵检测模型 独立性 ：系统、环境、脆弱性、入侵种类 系统框架：异常检测器，专家系统 90年初 CMDS?、NetPro