信息安全与管理精.ppt

《信息安全与管理精.ppt》由会员分享，可在线阅读，更多相关《信息安全与管理精.ppt（46页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全与管理信息安全与管理1第1页，本讲稿共46页1、入侵检测的概念一、什么是入侵检测入侵：任何企图破坏资源的完整性、保密性和可用性的行为集合。入侵检测的内容：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。入侵检测（Intrusion Detection）：对入侵行为的发觉，是一种试图通过观察行为、安全日志或审计数据来检测入侵的技术入侵检测系统（IDS）：入侵检测的软件与硬件的组合，是防火墙的合理补充，是防火墙之后的第二道安全闸门。2第2页，本讲稿共46页1、入侵检测的概念：模型一、什么是入侵检测Denning的通用入侵检测模型。模型缺点是它没有包含已

2、知系统漏洞或攻击方法的知识3第3页，本讲稿共46页1、入侵检测的概念：模型一、什么是入侵检测由六部分构成：主体、对象、审计记录、活动简档、异常记录、活动规则。Denning模型基于的假设：由于袭击者使用系统的模式不同于正常用户的使用模式，通过监控系统的跟踪记录，可以识别袭击者异常使用系统的模式，从而检测出袭击者违反系统安全性的情况。4第4页，本讲稿共46页1、入侵检测的概念：任务一、什么是入侵检测 监视、分析用户及系统活动，查找非法用户和合法用户的越权操作；系统构造和弱点的审计，并提示管理员修补漏洞；识别反映已知进攻的活动模式并报警，能够实时对检测到的入侵行为进行反应；异常行为模式的统计分析，

3、发现入侵行为的规律；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。5第5页，本讲稿共46页1、入侵检测的概念一、什么是入侵检测传统安全防范技术的不足传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。入侵检测技术通过对入侵行为的过程与特征的研究使安全系统对入侵事件和入侵过程能做出实时响应。6第6页，本讲稿共46页2、入侵检测的分类一、什么是入侵检测根据所采用的技术可以分为：1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可

4、能是“入侵”行为。2）特征检测：特征检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。3）协议分析：利用网络协议的高度规则性快速探测攻击的存在。7第7页，本讲稿共46页2、入侵检测的分类一、什么是入侵检测根据所监测的对象来分：1）基于主机的入侵检测系统（HIDS）：通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。2）基于网络的入侵检测系统（NIDS）：通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用

5、的保护而无需顾及异构主机的不同架构。8第8页，本讲稿共46页2、入侵检测的分类一、什么是入侵检测根据所监测的对象来分：3）分布式入侵检测系统：检测的数据来源于网络中的数据包，不同的是，采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子，该黑匣子相当于基于网络的入侵检测系统，只是没有用户操作界面。黑匣子用来检测其所在网段上的数据流，根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。9第9页，本讲稿共46页2、入侵检测的分类一、什么是入侵检测根据系统的工作方式分为：1）离线检测系

6、统：离线检测系统是非实时工作的系统，在事后分析审计事件，从中检查入侵活动。2）在线检测系统：在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。10第10页，本讲稿共46页3、信息收集一、什么是入侵检测第一步是信息收集，包括系统、网络、数据及用户活动的状态和行为。需要在系统中的不同关键点（网段和主机）收集信息，因为从一个来源的信息有可能看不出疑点，但从几个来源

7、的信息的不一致性却是可疑行为或入侵的最好标识。1.系统和网络日志文件 2.目录和文件中的不期望的改变3.程序执行中的不期望行为4.物理形式的入侵信息11第11页，本讲稿共46页4、信号分析一、什么是入侵检测对收集到的上述四类信息，通过三种技术手段进行分析：模式匹配：用于实时的入侵检测统计分析：用于实时的入侵检测完整性分析：用于事后分析。12第12页，本讲稿共46页4、信号分析一、什么是入侵检测1.模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。优点：只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法

8、一样，检测准确率和效率都相当高。缺点：需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。13第13页，本讲稿共46页4、信号分析一、什么是入侵检测2.统计分析 对系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例如，某帐户突然在凌晨两点试图登录。优点：可检测到未知的入侵和更为复杂的入侵缺点：误报、漏报率高，不适应用户正常行为的突然改变。统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方

9、法。14第14页，本讲稿共46页一、什么是入侵检测3.完整性分析：利用消息摘要Hash函数计算 完整性分析关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被木马、病毒更改的应用程序方面特别有效。检查系统保存有每个文件的数字摘要数据库，通过重新计算文件的数字文摘并与数据库中的值相比较来判断文件是否被修改。优点：攻克文件完整性检查系统，无论是时间上还是空间上都是不可能的。配置灵活，可以有选择地监测重要文件。15第15页，本讲稿共46页文件完整性检查的弱点：一般以批处理方式实现，不用于实时响应。该方法作为网络安全的必要补充，定期运行。文件完整性检查系统依赖于本地的文摘数据库。这些数

10、据可能被入侵者修改。防范对策：将摘要数据库放在只读介质上。文件完整性检查非常耗时。系统正常的升级会带来大量的文件更新。例如，Windows NT系统中升级MS-Outlook将会带来1800多个文件变化。一、什么是入侵检测16第16页，本讲稿共46页1、技术分类 二、入侵检测技术分析入侵检测技术分为：特征检测、异常检测、协议检测。多数IDS以特征检测为主，异常检测为辅。1）特征检测（误用检测、模式发现）假设入侵者活动可以用某种模式来表示，系统的目标是检测主体活动是否与这些模式匹配。关键：入侵模式描述，区分入侵与正常行为。优点：误报少。局限：不能发现未知的攻击。17第17页，本讲稿共46页1、技

11、术分类 二、入侵检测技术分析2）异常检测（异常发现）按照统计规律，建立主体正常活动的“简档”，若当前主体活动偏离“简档”相比较，则认为该活动可能是“入侵”行为。例：流量统计分析，将异常时间的异常网络流量视为可疑。难点：建立“简档”；统计算法；异常阈值选择。避免对入侵的误判或漏判。局限性：“入侵”与“异常”并非一一对应。而且系统的轨迹难于计算和更新。18第18页，本讲稿共46页1、技术分类 二、入侵检测技术分析2）协议分析技术协议分析提供一种高级的网路入侵解决方案，可以检测更广泛的攻击，包括已知和未知的。协议分析可以在不同的上层应用协议上对每一个用户命令作出详细分析。优点：当系统提升协议栈来解析

12、每一层时，用已知的知识来消除在数据包结构中不可能出现的攻击；能大大降低模式匹配IDS系统中的误报率。19第19页，本讲稿共46页2、常用检测方法 二、入侵检测技术分析IDS常用的检测方法:特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95是属于使用入侵模板进行模式匹配的特征检测产品，其他5是采用概率统计的统计检测产品与基于日志的专家知识库系产品。20第20页，本讲稿共46页2、常用检测方法 二、入侵检测技术分析1）特征检测：对攻击方式作出确定性的描述事件模式。当被审计的事件与已知的入侵事件模式相匹配时报警。目前常用的是数据包特征模式

13、匹配。准确率高，对付已知攻击。2）统计检测：常用于异常检测。测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用的统计模型有：21第21页，本讲稿共46页2、常用检测方法 二、入侵检测技术分析操操作作模模型型：测量结果与一些固定指标（经验值，统计值）相比较，例：在短时间内的多次登录失败，可能是口令尝试攻击；概概率率模模型型：计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；或者当概率很低的事件发生时，可能发生入侵。多多元元模模式式：操作模式的扩展，通过同时分析多个参数实现检测。22第22页，本讲稿共46页2、常用检测方法 二、入侵检测技术分析马马尔尔柯柯夫夫

14、过过程程模模式式：将每种模式的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，若状态矩阵该转移的概率较小则可能是异常事件；时时间间序序列列分分析析：将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。23第23页，本讲稿共46页2、常用检测方法 二、入侵检测技术分析这这种种入入侵侵检检测测的的方方法法是是基基于于对对用用户户历历史史行行为为建建模模以以及及在在早早期期的的证证据据或或建建模模的的基基础础上上，审审计计系系统统实实时时的的检检测测用用户户对对系系统统的的使使用用情情况况，根根据据系系统统内内部部保保存存的的用用户户

15、行行为为概概率率统统计计模模型型进进行行检检测测，当当发发现现有有可可疑疑的的用用户户行行为为发发生生时时，保保持持跟跟踪踪并并监监测测、记记录录该该用用户户行行为。为。统统计计方方法法的的优优点点：可可“学学习习”用用户户的的使使用用习习惯惯，具有较高检出率和可用率。具有较高检出率和可用率。24第24页，本讲稿共46页2、常用检测方法 二、入侵检测技术分析3）专家系统：根据专家对可疑行为的经验形成一套推理规则。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结

16、构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。25第25页，本讲稿共46页3、入侵的发展趋势 二、入侵检测技术分析多样化与复杂化：采用多种手段，提高成功率。隐蔽化：掩盖攻击者身份和目的。欺骗性：间接攻击；IP地址欺骗攻击规模扩大：电子战与信息战。攻击的分布化：DDoS在很短时间内造成被攻击主机的瘫痪，且在攻击的初期不易被发觉。攻击对象转移：网络网络防护系统。26第26页，本讲稿共46页4、存在的问题1）攻击手段不断更新，攻击工具自动化。IDS必须不断跟踪最新的安全技术。2）恶意信息采用加密传输可能骗过网络IDS。3）IDS要适应多样化环境中不同的安全要求。4）不断增大

17、的网络流量。数据实时分析导致对系统的要求越来越高。尽管如此，对百兆以上的流量，单一的入侵检测系统系统仍很难应付。二、入侵检测技术分析27第27页，本讲稿共46页4、存在的问题5）缺乏统一的标志和概念框架。各自为战，产品互通困难。6）采用不恰当的自动反应所造成的风险。IDS可以与防火墙结合，当发现有攻击行为时，过滤掉所有来自攻击者的IP的数据。例：攻击者假冒大量不同的IP进行模拟攻击，而IDS自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉，于是形成了新的拒绝访问攻击。二、入侵检测技术分析28第28页，本讲稿共46页4、存在的问题7）IDS自身的安全性：本身的安全漏洞。8)大量的误报和

18、漏报。原因：必须深入了解所有操作系统、网络协议的运作情况和细节，才能准确的进行分析，而不同版本对协议处理都不同；而快速反应与力求全面也是矛盾。9)缺乏客观的评估与测试信息。10)交换式局域网造成网络数据流的可见性下降；同时高速网络使数据的实时分析越发困难。二、入侵检测技术分析29第29页，本讲稿共46页5、入侵检测技术发展方向 二、入侵检测技术分析分布式入侵检测：两层含义1）针对分布式网络攻击的检测方法2）使用分布式的方法来检测分布式的攻击，关键技术为检测信息的协同处理解决异构系统及大规模网络的入侵检测，发展分布式入侵检测技术与通用入侵检测架构。30第30页，本讲稿共46页二、入侵检测技术分析

19、神经网络、遗传算法、模糊技术、免疫原理等方法，用于入侵特征的辨识。利用专家系统，具有自学习能力，实现知识库的不断更新与扩展。应用智能体(Agent)技术进行入侵检测。应该将常规高效的IDS与智能检测模块结合使用。应用层入侵检测：许多入侵的语义只有在应用层才能理解。使IDS不仅能检测Web类的通用协议，还能处理如Lotus Notes、数据库系统等其他的应用系统。智能化入侵检测：31第31页，本讲稿共46页5、入侵检测技术发展方向 二、入侵检测技术分析应用层入侵检测：目前的IDS仅能检测如WEB之类的通用协议高速网络的入侵检测目前的IDS只有几十兆的检测速度入侵检测系统的标准化在大型网络中，网络

20、的不同部分可能使用多种入侵检测系统，多个系统之间以及IDS和其他安全组件之间如何交换信息，共同协作来发现攻击、作出响应并阻止攻击是关系整个系统安全性的重要因素。32第32页，本讲稿共46页1、基于网络的入侵检测三、入侵检测产品分析基于网络的入侵检测系统：放置在比较重要的网段内，不停监视网段中的数据包。使用原始网络包作为数据源。通常采用四种技术来识别攻击标志：模式、表达式或字节匹配频率或穿越阈值低级事件的相关性统计学意义上的非常规现象检测一旦检测到了攻击行为，IDS的响应模块提供多种选项以通知、报警并对攻击采取相应的反应。通常都包括通知管理员、中断连接，收集证据。33第33页，本讲稿共46页1、

21、基于网络的入侵检测三、入侵检测产品分析优点：1）成本低：可在几个关键访问点上进行配置，不要求在各主机上装载并管理软件。2）通过检测数据包的头部可发现基于主机的IDS所漏掉的攻击（如：DOS、碎片包Teardrop攻击）。基于主机的IDS无法查看包的头部。3）攻击者不易销毁证据：可实时记录攻击者的有关信息（不仅包括攻击的方法，还包括可识别黑客身份和对其进行起诉的信息）。黑客一旦入侵到主机内部都会修改审计记录，抹掉作案痕迹。34第34页，本讲稿共46页1、基于网络的入侵检测三、入侵检测产品分析4）实时检测和响应：可以在攻击发生的同时将其检测出来，并做出更快的响应。例如，对拒绝服务攻击发出TCP复位

22、信号，在该攻击对目标主机造成破坏前将其中断。而基于主机的系统只有在可疑的登录信息被记录下来以后才能识别攻击并做出反应。而这时关键系统可能早就遭到了破坏。5）能检测未成功的攻击和不良意图。基于主机的系统无法查到未遂的攻击，而这些丢失的信息对于评估和优化安全策略至关重要。6）操作系统无关性35第35页，本讲稿共46页1、基于网络的入侵检测三、入侵检测产品分析网络入侵检测系统的弱点：只检查它直接连接网段的通信；为了不影响性能，通常采用简单的特征检测算法，难以实现复杂计算与分析；会将大量的数据传给检测分析系统；难以处理加密会话。目前通过加密通道的攻击尚不多，随着IPv6的普及，这个问题会越来越突出。3

23、6第36页，本讲稿共46页2、基于主机的入侵检测三、入侵检测产品分析通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律)，入侵检测系统就会采取相应措施。优点：1确定攻击是否成功：基于主机的IDS使用含有已发生事件信息，比基于网络的IDS更加准确地判断攻击是否成功。2 监视特定的系统活动：监视用户和访问文件的活动，包括文件访问、改变文件权限；记录帐户或文件的变更，发现并中止改写重要系统文件或者安装特洛伊木马的企图。37第37页，本讲稿共46页2、基于主机的入侵检测三、入侵检测产品分析3检测被基于网络IDS

24、漏掉的、不经过网络的攻击。4 可用于加密的和交换的环境。交换设备可将大型网络分成许多的小型网络部件加以管理，所以很难确定配置基于网络的IDS的最佳位置。基于主机的入侵检测系统可安装在所需的重要主机上，在交换的环境中具有更高的能见度。由于加密方式位于协议堆栈内，所以基于网络的IDS可能对某些攻击没有反应，基于主机的IDS没有这方面的限制，因为这时数据流已经被解密了。38第38页，本讲稿共46页2、基于主机的入侵检测三、入侵检测产品分析5 接近实时的检测和响应目前，基于主机的显著减少了从攻击验证到作出响应的时间延迟，大多数情况下，系统能在遭到破坏之前发现并阻止入侵者攻击。6 不要求维护及管理额外硬

25、件设备。7 记录花费更加低廉：尽管很容易就能使基于网络的IDS提供广泛覆盖，但其价格通常是昂贵的。配置一个简单的入侵监测系统要花费$10,000以上，而基于主机的入侵检测系统对于单独代理标价仅几百美元，并且客户只需很少的费用用于最初的安装。39第39页，本讲稿共46页三、入侵检测产品分析基于主机的入侵检测系统的弱点：1、会降低应用系统的效率。此外，安装了主机入侵检测系统后，扩大了安全管理员访问权限。2、依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必需重新配置。3、全面布署，代价较大。若部分安装，则存在保护盲点。4、无法监测网络上的情况。对入侵行为的分析的工作量将随着主机数目

26、增加而增加。40第40页，本讲稿共46页3、混合入侵检测三、入侵检测产品分析基于网络的和基于主机的IDS对攻击的反应方式有：告警、存贮和主动响应。单纯使用一类产品的防御体系是不完整的，两类产品结合起来部署，可以优势互补。既可发现网络中的攻击信息，也可从系统日志中发现异常情况。41第41页，本讲稿共46页1、入侵检测的评估四、入侵检测产品1)能保证自身的安全。2)系统运行与维护的开销小。3)误报率和漏报率要低。4)支持多种网络，对网络性能影响小。5)能检测的入侵特征数量。6)是否支持IP碎片重组、TCP流重组。TCP流重组是网络IDS分析应用层协议的基础。如检查邮件内容、附件，FTP数据，非法H

27、TTP请求等。42第42页，本讲稿共46页2、入侵检测的产品四、入侵检测产品Cisco公司的NetRanger传感器(sensor)：采集数据（网络包、日志），分析数据，发出报警信息等。控制台(console)：图形化界面，中央管理机构。接收报警，启动对策。Network Associates公司的CyberCop Internet Security System公司的RealSecure 43第43页，本讲稿共46页3、入侵检测产品选择要点四、入侵检测产品1.系统的价格2.特征库升级与维护的费用3.网络IDS的最大可处理流量(包/秒 PPS)4.漏报率、误报率5.产品的可伸缩性：系统支持的传

28、感器数目、入侵特征库大小、传感器与控制台之间通信带宽，对审计日志溢出的处理。44第44页，本讲稿共46页四、入侵检测产品6.运行与维护系统的开销：使用方便，简单。7.支持的入侵特征数：协议分析及检测能力。各厂商对检测特征库大小的计算方法不同，不能偏听一面之辞。8.产品有哪些响应方法：本地、远程等。自动更改防火墙配置要慎重。9.国家权威机构的评测：国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心。45第45页，本讲稿共46页IDS的标准化五、IDS的标准化 对IDS进行标准化的工作有两个组织：IETF的入侵检测工作组IDWG和公共入侵检测框架CIDF。46第46页，本讲稿共46页