网络安全的宏观监测.pdfVIP

网络安全的宏观监测 网络安全的宏观监测 CERNET华东北地区网络中心 东南大学计算机学院龚俭 2009.5.26 SEU 1 Topics Topics • 网络安全监测 • 恶意代码检测 • 我们的检测实验 SEU 2 入侵检测与安全监测 入侵检测与安全监测 • 网络入侵检测-对于违反安全策略的访问行为 的感知 – Snort官方规则库里的约2200条规则中策略性规则 数约占用规则总数的15%左右 – NIDS vs. HIDS – 越靠末端效果越好 • 网络安全监测-对于网络安全威胁的感知 – Ad Hoc – Network-based vs. Host-based – 越靠主干越好 SEU 3 问题背景的变化 问题背景的变化 • 攻击模式从传统的单点攻击向系统化攻击演化 • 网络安全防御的有效性 – Detecting intruder vs. Diagnosing the infected • 传统的入侵检测模式无法有效满足网络安全防御的 需要 – 关联信息的异构性 – 广泛部署的可操作性 • 传统的入侵检测技术不适于主干网检测的需要 – 性能、功能、环境信息的可用性，等等。 SEU 4 主干网入侵检测的特点 主干网入侵检测的特点 • 检测目的 – 隐患的发现 • 保护对象和视角 – 更粗的粒度和更宏观的范围 • 检测方法 – 要求可扩展性甚于准确性 • 检测结论 – 不是简单的二元判断 SEU 5 面临的挑战 面临的挑战 • Anomaly-based vs. Misuse-based – 在驻地网中Misuse-based 的检测更好一些，但在主干网中 呢？ – 网络粒度的影响 • More Scalable ：Performance Data Volume – 开源：SOCs vs. COTS – 节流：流量预处理 • More Precise ：更多的语义细节和更准确的规则描述 – 新的的检测方法：网络流量行为与入侵检测结论的数据融 合 – 新的的结论形式：安全状态评估与威胁分析 • 与网络运行管理的结合：运行保障的概念 SEU 6 恶意网站威胁 恶意网站威胁 • 恶意网站是指利用IE漏洞，嵌入恶意代码，在用 户不知情的情况下，对用户的机器进行篡改或破 坏的网站。 – 对于弹出插件或提示用户是否将其设为首页的网站， 因为需要用户选择确认，则不被定义为恶意网站。 – 传播有害代码的主要手段