计算机网络安全(二).ppt

计算机网络安全(二) 内容 截获网络上的数据包 监听数据包的技术 Libpcap WinPcap 入侵检测技术 网络监听 在一个共享式网络，可以听取所有的流量 是一把双刃剑 管理员可以用来监听网络的流量情况 开发网络应用的程序员可以监视程序的网络情况 黑客可以用来刺探网络情报 目前有大量商业的、免费的监听工具，俗称嗅探器(sniffer) 以太网络的工作原理 载波侦听/冲突检测(CSMA/CD, carrier sense multiple access with collision detection)技术 载波侦听：是指在网络中的每个站点都具有同等的权利，在传输自己的数据时，首先监听信道是否空闲 如果空闲，就传输自己的数据 如果信道被占用，就等待信道空闲 而冲突检测则是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突 以太网采用了CSMA/CD技术，由于使用了广播机制，所以，所有与网络连接的工作站都可以看到网络上传递的数据 以太网卡的工作模式 网卡的MAC地址(48位) 通过ARP来解析MAC与IP地址的转换 用ipconfig/ifconfig可以查看MAC地址 正常情况下，网卡应该只接收这样的包 MAC地址与自己相匹配的数据帧 广播包 网卡完成收发数据包的工作，两种接收模式 混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来 非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据包(和组播数据包) 为了监听网络上的流量，必须设置为混杂模式 共享网络和交换网络 共享式网络 通过网络的所有数据包发往每一个主机 最常见的是通过HUB连接起来的子网 交换式网络 通过交换机连接网络 由交换机构造一个“MAC地址-端口”映射表 发送包的时候，只发到特定的端口上 在交换式网络上监听数据包 ARP重定向技术，一种中间人攻击 发送数据包——Libnet 利用Libnet构造数据包并发送出去 关于Libnet 支持多种操作系统平台 提供了50多个C API函数，功能涵盖 内存管理(分配和释放)函数 地址解析函数 各种协议类型的数据包构造函数 数据包发送函数(IP层和链路层) 一些辅助函数，如产生随机数、错误报告等 使用Libnet的基本过程 数据包内存初始化 网络接口初始化 构造所需的数据包 计算数据包的校验和 发送数据包 关闭网络接口 释放数据包内存 可适应网络安全模型 网络安全是相对的，没有绝对的安全 P2DR安全模型 以安全策略为核心 网络安全新定义 及时的检测和处理 P2DR安全模型 这是一个动态模型 以安全策略为核心 基于时间的模型 可以量化 可以计算 P2DR安全的核心问题——检测 检测是静态防护转化为动态的关键 检测是动态响应的依据 检测是落实/强制执行安全策略的有力工具 IDS: Intrusion Detection System 入侵检测系统介绍 入侵检测系统分类 入侵检测系统用到的一些技术 入侵检测系统的研究和发展 IDS的用途 入侵检测系统的实现过程 信息收集，来源： 网络流量 系统日志文件 系统目录和文件的异常变化 程序执行中的异常行为 信息分析 模式匹配 统计分析 完整性分析，往往用于事后分析 入侵检测系统的通用模型 入侵检测系统的种类 基于主机 安全操作系统必须具备一定的审计功能，并记录相应的安全性日志 基于网络 IDS可以放在防火墙或者网关的后面，以网络嗅探器的形式捕获所有的对内对外的数据包 基于内核 从操作系统的内核接收数据，比如LIDS 基于应用 从正在运行的应用程序中收集数据 IDS的技术 异常检测(anomaly detection) 也称为基于行为的检测 首先建立起用户的正常使用模式，即知识库 标识出不符合正常模式的行为活动 误用检测(misuse detection) 也称为基于特征的检测 建立起已知攻击的知识库 判别当前行为活动是否符合已知的攻击模式 异常检测 比较符合安全的概念，但是实现难度较大 正常模式的知识库难以建立 难以明确划分正常模式和异常模式 常用技术 统计方法 预测模式 神经网络 误用检测 目前研究工作比较多，并且已经进入实用 建立起已有攻击的模式特征库 难点在于：如何做到动态更新，自适应 常用技术 基于简单规则的模式匹配技术 基于专家系统的检测技术 基于状态转换分析的检测技术 基于神经网络检测技术 其他技术，如数据挖掘、模糊数学等 IDS的两个指标 漏报率 指攻击事件没有被IDS检测到 误报率(false alarm rate) 把正常事件识别为攻击并报警 误报率与检出率成正比例关系 基于网络的IDS系统 收集网络流量数据 利用sniff技术 把IDS配置在合理的流量集中点上，比如与防火墙或者网关配置在一个子网中 利用某些识别技术 基于模式匹配的