网络安全--入侵检测培训课程(PPT 47页).ppt

信息收集 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点 入侵检测很大程度上依赖于收集信息的可靠性和正确性 要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息 信息收集的来源 系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为 * 信息分析 分析得到的数据，并产生分析结果 模式匹配 将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 统计分析 首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生 完整性分析 事后分析 主要关注某个文件或对象是否被更改 在发现被更改的、被安装木马的应用程序方面特别有效 * 结果处理 结果处理，即对分析结果作出反应。 切断连接 改变文件属性 发动对攻击者的反击 报警 …… * IDS的组成 检测引擎 控制中心 HUB 检测引擎 Monitored Servers 控制中心 * 检测引擎的部署位置 放在边界防火墙之内 放在边界防火墙之外 放在主要的网络中枢 放在一些安全级别需求高的子网 * 检测引擎的部署位置示意图 Internet 部署二 部署一 部署三 部署四 * 网络入侵技术 * 入侵 (Intrusion) 入侵是指未经授权蓄意尝试访问信息、篡改信息，使系统不可靠或不能使用的行为 破坏计算机或网络资源的完整性、机密性、可用性、可控性 入侵者 可以是一个手工发出命令的人，也可是一个基于入侵脚本或程序的自动发布命令的计算机 入侵者可以被分为两类: 外部的: 网络外面的侵入者 内部的: 合法使用网络的侵入者，包括滥用权力的人和模仿更改权力的人(比如使用别人的终端) 。80%的安全问题同内部人有关 * 侵入系统的主要途径 物理侵入 侵入者对主机有物理进入权限 方法如移走磁盘并在另外的机器读/写 系统侵入 侵入者已经拥有在系统的较低权限 侵入者可能利用一个知名漏洞获得系统管理员权限的机会 远程侵入 入侵者通过网络远程进入系统，侵入者从无特权开始 入检测系统主要关心远程侵入 * 网络入侵的一般步骤 目标探测和信息收集 自身隐藏 利用漏洞侵入主机 稳固和扩大战果 清除日志 * 目标探测和信息收集 利用扫描器软件扫描 端口扫描 漏洞扫描 常用扫描器软件：SATAN，流光，Mscan 利用snmp了解网络结构 搜集网络管理信息 网络管理软件也成为黑客入侵的一直辅助手段 * 自身隐藏 典型的黑客使用如下技术来隐藏IP地址 通过telnet在以前攻克的Unix主机上跳转 通过终端管理器在windows主机上跳转 配置代理服务器 更高级的黑客，精通利用电话交换侵入主机 * 利用漏洞侵入主机 已经利用扫描器发现漏洞 例如CGI/IIS漏洞 充分掌握系统信息 进一步入侵 * 稳固和扩大战果 安装后门 BO，冰河 添加系统账号 添加管理员账号 利用LKM Loadable Kernel Modules 动态加载 无需重新编译内核 利用信任主机 控制了主机以后，可以利用该主机对其它邻近和信任主机进行入侵 控制了代理服务器，可以利用该服务器对内部网络进一步入侵 * 清除日志 清除入侵日志 Windows 清除系统日志 清除IIS日志 清除FTP日志 清除数据库连接日志 Unix 登陆信息 /var/log /home/user/.bash_history lastlog 使管理员无法发现系统已被入侵 * 网络入侵步骤总览 选中攻 击目标 获取普通 用户权限 擦除入 侵痕迹 安装后门 新建帐号 获取超级 用户权限 攻击其它 主机 获取或 修改信息 从事其它 非法活动 扫描 网络 利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令，从而发现突破口。 * IDS工作原理 * 入侵检测引擎工作流程 - 1 * 入侵检测 网络安全的构成 物理安全性 设备的物理安全：防火、防盗、防破坏等 通信网络安全性 防止入侵和信息泄露 系统安全性 计算机系统不被入侵和破坏 用户访问安全性 通过身份鉴别和访问控制，阻止资源被非法用户访问 数据安全性 数据的完整、可用 数据保密性 信息的加密存储和传输 * 安全的分层结构和主要技术 物理安全层 网络安全层 系统安全层 用户安全层 应用安全层 数据安全层 加密 访问控制