信息安全威胁审计技术.pptx

信息安全威胁审计技术曹鹏 网络安全产品营销中心解决方案部部长 CISP北京 mailto:caopeng@caopeng@沈阳东软软件股份有限公司怎么去理解审计的重要性和实际用途好象是城市交通安全中的违章摄像头和自动拍照系统。审计策略有时应公开， 有时应严格保密。审计结果数据需要有专人负责处理，没有完全自动的审计产品，人的因素非常重要。安全审计部分内容整体介绍入侵检测系统WEB日志分析系统终端用户审计和控制系统遭受入侵后的检测工作流程建议从入侵检测系统说起~哪些站点最容易遭受攻击什么是入侵检测入侵检测的主要检测方式入侵检测系统主要能够实现的安全功能有什么入侵检测所面临的技术挑战政府站点很多站点甚至都没有发现自己已经被攻击一例利用FORNTPAGE的攻击事件利用同样的手段远程进入调试页面状态修改后的结果入侵过程描述入侵主机情况描述：该主机位于国家xx局的x层计算机办公室，在11月中曾经连续发生数据库被删除记录的事件，最后该网站管理员认定事件可疑，随即向国家xx局网络安全管理部门报告，我公司在接到国家xx局的报告后，立即赶到现场取证分析。操作系统和补丁情况：WIN2000个人版操作系统 SP2的补丁包主要服务用途：做为国家xx局计算中心内部网站使用，负责发布计算中心内部信息。网站运行IIS5，后台数据库采用ACCESS。入侵后的行为表现：主页页面新闻栏目内容被删除，后台数据库内容被人非法删改。 分析审计WEB服务器访问日志00:40:59 8 GET /mynews.mdb 200该记录表明8在早上8点40分的时候非法下载了mynews.mdb数据库，服务器返回200正确请求值，表示请求成功该数据库已经被非法下载。00:42:14 8 GET /login.asp 200随后该攻击者直接访问网站的在线管理系统。入侵检测的基本概念真正的入侵检测系统是在20世纪80年代末才开始被研究我们先来明确计算机安全的特性有那三个方面CIA机密性完整性可用性什么是入侵呢？破坏上面四性的行为都可以定义为入侵，不管成功与否。从受害者的角度可以说：发生了什么？谁是受害者？受害程度大不大？谁是入侵者？入侵者的来源在哪里？入侵发生的时间？入侵是怎么发生的？为什么发生入侵？但很多时候我们身边没有一个安全专家可以帮助我们解答这些问题?为什么需要入侵检测系统检测防护部分阻止不了的入侵检测入侵的前兆入侵事件的归档网络遭受威胁程度的评估入侵事件的恢复入侵检测的分类和检测方式基于主机的入侵检测系统基于网络的入侵检测系统基于文件效验方式的入侵检测基于诱捕的蜜罐检测技术全面的检测方式异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。 特征检测：特征检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。支持用户自定义攻击特征代码分析。 事后检测：完整的将网络中所有活动数据报的特征记录下来，当发生不可确定的安全时间时，可以将信息包全部回放，进行事后检测分析。协议内容检测：支持常见的明文应用层协议记录，可以及时恢复所有访问原始交互内容。支持用户自定义明文协议特征。多种灵活接入方式入侵检测设备直接连接在交换机的侦听口入侵检测设备直接连接在交换设备之间，充当透明网桥功能同时进行数据包抓取分析多侦听口设计多台交换机数据同时采集处理内部网络DMZ区域入侵检测设备支持多端口侦听，对中小企业网络更好适应。强大的网络访问内容审计功能可以进行多种协议HTTP、 FTP、POP3、SMTP、 IMAP、NNTP、Telnet、rsh、rlogin、MSN、Yahoo Messager、DNS等协议的回放和会话记录，便于回放资源访问的详细过程并追查攻击的来源。支持用户自定义扩充明文应用协议还原配置对于HTTP协议做到访问页面级别的还原SMTP协议还原支持POP3协议还原支持FTP协议还原支持（支持自动回放）TELNET协议还原支持（支持自动回放）IMAP协议还原支持NNTP协议还原支持DNS协议还原支持MSN（网络聊天）会话回放强大的事件定义库根据网络自身应用特点添加自定义检测规则根据网络自身应用特点添加自定义检测规则根据网络自身应用特点添加自定义检测规则根据网络自身应用特点添加自定义检测规则灵活的策略编辑器入侵检测响应选项主动响应收集相关信息改变环境反击攻击者被动响应报警和告示SNMP/SYSLOG协议通知发现攻击多种响应方式可供选择记录日志：事件发生时，记录到监控主机的攻击检测数据库，可通过攻击检测查询。实时报警：事件发生时，实时报警中心显示报警事件，实时报警图标闪烁。邮件报警：事件发生时，将报警事件以邮件的形式发送出去。切断连接：事件发生时，切断事件产生的tcp连接。