第11讲系统安全性-入侵检测技巧.pptVIP

网络与信息安全技术第十一讲入侵检测 华中科技大学软件工程硕士课程 网络入侵基本步骤 第一步 踩点 利用经验和工具分析对方的网络结构和组织信息 WHOIS查询 DNS查询 Host tracerouter 第二步 扫描 使用端口扫描工具(猜测操作系统类型) Nmap SuperScan X-Scan …….. 漏洞扫描 端口 CGI漏洞(避开IDS) RPC漏洞 SQL-Server漏洞 NT弱口令，FTP账户，NETBIOS信息 …………. 第三步 攻击 缓冲区溢出 输入验证漏洞 应用程序漏洞或者配置错误漏洞 暴力猜解密码 拒绝服务攻击 信任关系欺骗攻击(客户机攻击模式) …… 第四步 清除日志 清除系统日志 SysLogd(/var/log) %WINNT%\system32\config\ …. 清除应用程序日志 ${prefix}/logs/ %WINNT%\system32\logfiles\ ….. 湮没日志 …… 第六步 隐藏自己 隐藏的win32服务 NTFS流文件 Loadable Kernel Modules DLL和动态嵌入技术 ….. 第七步 后门 Login Backdoor Bindshell CGI Backdoor Ping Backdoor ACK Backdoor Database Backdoor Aapache Backdoor …… 入侵检测系统IDS 为什么需要IDS？ Firewall是网络边界的设备，自身可能被攻破 不是所有的威胁来自防火墙外部，85％以上的攻击事件来自于内部的攻击，防火墙只能防外，难于防内。 IDS的功能 检测攻击，包括外部攻击或试探、内部用户的未授权访问、误操作； 实现原理： 从系统的关键点收集信息，并分析这些信息是否有违反安全策略的行为和遭到攻击的迹象。 入侵检测系统结构 数据采集 （Sensor） 分析器 知识库 响应/控制 响应政策 配置信息 告警 控制 远程管理 主要功能模块 信息收集：包括用户在网络、系统、数据库以及应用系统中活动的状态和行为。 信息分析：通过模式匹配、统计分析和完整性分析，得到实时检测所必须的信息。 安全响应：在发现入侵行为后会及时作出响应，包括中止网络服务、记录事件、报警和阻断等。 入侵检测系统分类 基于主机的入侵检测系统 Host-Based IDS(HIDS) 通常安装在被保护的主机上，对该主机的网络实时连接以及系统审计日志进行检查和分析； 缺点: 占用系统资源;事后分析,实时性差;异构平台支持困难 基于网络的入侵检测系统Network-Based IDS(NIDS) 安装在需要保护的网段中，实时监视网段中传输的各种数据包，并对这些数据包进行分析和检测。 缺点：数据量庞大，存在丢包问题；监测范围有限，不能结合操作系统特征分析攻击行为； 基于网络的入侵检测 Router IDS Sensor Monitored Servers WAN LAN 基于网络的入侵检测 HUB IDS Sensor Monitored Servers WAN LAN 混合分布式入侵检测系统 主机 主机 流量分析器 主机Agent 管理器 网络 Agent 流量分析器 主机 主机 检测模型1 误用检测 根据已知的攻击方法或系统安全缺陷方面的知识，建立特征数据库，然后在收集到的网络活动中寻找匹配的使用模式—特征匹配/检测，准确率高但只能检测已知的攻击。 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 0157 3105 4000 8006 0000 0a0a 0231 d850 数据包： dac6 f2d6 攻击特征： ? ? ? 发现攻击，报警！ 特征模式匹配技术缺陷 计算的负载 计算量大，消耗系统资源：攻击特征字节数×数据包字节数× 每秒的数据包数×数据库的攻击特征数； 探测准确性 只能探测出明确的、唯一的攻击特征，即便是基于最轻微变换的攻击串都会被忽略。 误用检测技术2 利用网络协议的高度规则性快速探测攻击的存在。 解析命令字符串：在不同的上层应用协议上，对每一个用户命令作出详细分析。 探测碎片攻击和协议确认：如果出现IP碎片设置，数据包将首先被重装，然后详细分析来了解潜在的攻击行为。通过重装数据包，系统可以检测到利用IDS逃避技术的攻击手段。 协议分析 IDS的评价标准 性能测试：衡量IDS在高负荷条件下的运行情况，如数据包截获和过滤的速度，是否丢包，检测引擎的总体吞吐量 功能测试：衡量IDS自身功能特征的强大程度，如系统架构是否支持可扩展性，是否支持规则定制，警报系统