1入侵检测技术培训.ppt

目录 需求背景 技术发展 产品分类 面临挑战 什么是入侵？ 入侵是指一些人试图进入或者滥用你的系统。这里的滥用可以包括从严厉的偷窃机密数据到一些次要的事情：比如滥用你的电子邮件系统发垃圾邮件。 入侵者的分类 外部的: 你网络外面的侵入者，或者可能攻击你的外部存在。外部的侵入者可能来自Internet, 拨号线, 物理介入, 或者从同你网络连接的伙伴网络 内部的: 合法使用你的互连网络的侵入者。包括滥用权力的人和模仿更改权力的人。 防火墙 绕过防火墙的攻击 穿过防火墙的攻击行为 防火墙的局限性 防火墙就象一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子 访问控制设备可以不让低级权限的人做越权工作，但无法保证高级权限的做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限 访问控制 矩阵访问控制 组与角色 两维ACL存在的问题 其它问题 入侵者如何进入系统？ 物理侵入: 如果一个侵入者对主机有物理进入权限。(比如他们能使用键盘或者参与系统),应该可以进入。方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。甚至BIOS保护也很容易穿过的: 事实上所有的BIOS都有后门口令。 入侵者如何进入系统？ 系统侵入: 这类侵入表现为侵入者已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。 如未打过补丁的IIS发布系统，会存在UNICODE漏洞，可能会使得入侵者远程访问系统文件。http:/IP/scrtpts/..%c1%1c../winnt/system32/cmd.exe?/c+dir 入侵者如何进入系统？ 远程侵入: 这类入侵指入侵者通过网络远程进入系统。侵入者从无特权开始这种侵入方式包括多种形式。比如如果在他/她和受害主机之间有防火墙存在，侵入就要复杂得多。 这类入侵通常是很漫长的，从系统扫描开始，获得较低的权限，然后通过先验经验获得更高的权限。 为什么会有入侵？ 软件总是存在bug。系统管理员和开发人员永远无法发现和解决所有的可能漏洞。侵入者只要发现一个漏洞就可以入侵系统。 有证据表明每一千行代码中就会存在五至十五个BUG！ 缓冲区溢出 缓冲区溢出：大部分的安全漏洞都属于这类。攻击者通过发送精心构造的超过堆栈最大容量的数据，跳转执行自己想要的代码。 如IIS发布系统中的ida/idq以及.printf溢出漏洞，攻击者很容易利用工具获得系统的root权限。 意外结合 意外结合: 程序通常被组合成很多层代码。侵入者常可以发送一些对于一层无意义的输入, 却对其他层有意义。 在“|mail /etc/passwd“，这个命令得以在perl下执行是因为操作系统为这个输入启动一个附加的程序。然而操作系统解释管道符|并且按语义启动mail程序，结果是将password文件寄给侵入者。 其它缺陷 缺省配置：很多系统在交付使用时采用缺省配置，“缺省”意味着“易攻击”。 口令攻击：弱口令和字典穷举攻击。 监听：收集网络上的公共团体字符串。 协议缺陷：TCP/IP协议的设计缺点，如smurf攻击,ICMP不可达的连结, IP哄骗, 和SYN floods。以及数据本身的容易被信任。 入侵如何被检测 UNIX系统的/var/adm下的syslog与messages。 入侵监测系统 解决之道 IDS与防火墙的配合使用,达到最佳的防护效果 IDS是什么? IDS是通过数据和行为模式来判断攻击事件是否存在的系统。 采用旁路侦听的方式接入到网络中，网卡设置为混杂模式，实时抓取网络中的数据并对其进行分析。 得到分析结果后，通过报警、日志、与其他安全产品联动等方式对其进行响应，并提供相应的解决方法。 入侵检测系统的发展 1980年 Anderson提出：入侵检测概念，分类方法 《Computer Security Threat Monitoring and Surveillance》 1987年 Denning提出了一种通用的入侵检测模型 独立性 ：系统、环境、脆弱性、入侵种类 系统框架：异常检测器，专家系统 研究出了一个实时入侵检测系统模型—IDES（入侵检测专家系统） 入侵检测技术的成熟 1990，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor） 该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控多种主机 入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的