《入侵检测技术培训》PPT课件.ppt

《《入侵检测技术培训》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《入侵检测技术培训》PPT课件.ppt（55页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 IDS技术讲座目录目录需求背景需求背景技术发展技术发展产品分类产品分类面临挑战面临挑战什么是入侵？什么是入侵？入侵是指一些人试图进入或者滥用你的系统。这里的滥用可以包括从严厉的偷窃机密数据到一些次要的事情：比如滥用你的电子邮件系统发垃圾邮件。入侵者的分类入侵者的分类外部的:你网络外面的侵入者，或者可能攻击你的外部存在。外部的侵入者可能来自Internet,拨号线,物理介入,或者从同你网络连接的伙伴网络内部的:合法使用你的互连网络的侵入者。包括滥用权力的人和模仿更改权力的人。防火墙防火墙两个安全域之间通信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDP

2、BlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为一种高级访问控制设备，置于不同一种高级访问控制设备，置于不同一种高级访问控制设备，置于不同一种高级访问控制设备，置于不同网络安全域网络安全域网络安全域网络安全域之间的一系列部件的组合，它是不同之间的一系列部件的组合，它是不同之间的一系列部件的组合，它是不同之间的一系列部件的组合，它是不同网络安全域间通信流的网络安全域间通信流的网络安全域间通信流的网络安全域间通信流的唯一通道唯一通道唯一通道唯一通道，能根据企业有关的安全政策，能根

3、据企业有关的安全政策，能根据企业有关的安全政策，能根据企业有关的安全政策控制控制控制控制（允许、拒绝、（允许、拒绝、（允许、拒绝、（允许、拒绝、监视、记录）进出网络的访问行为。监视、记录）进出网络的访问行为。监视、记录）进出网络的访问行为。监视、记录）进出网络的访问行为。绕过防火墙的攻击绕过防火墙的攻击穿过防火墙的攻击行为穿过防火墙的攻击行为防火墙的局限性防火墙的局限性 防火墙就象一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子 访问控制设备可以不让低级权限的人做越权工作，但无法保证高级权限的做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限

4、访问控制访问控制矩阵访问控制矩阵访问控制 组与角色组与角色 两维两维ACL存在的问题存在的问题其它问题其它问题入侵者如何进入系统？入侵者如何进入系统？物理侵入:如果一个侵入者对主机有物理进入权限。(比如他们能使用键盘或者参与系统),应该可以进入。方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。甚至BIOS保护也很容易穿过的:事实上所有的BIOS都有后门口令。入侵者如何进入系统？入侵者如何进入系统？系统侵入:这类侵入表现为侵入者已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。如未打过补丁的IIS发布系统

5、，会存在UNICODE漏洞，可能会使得入侵者远程访问系统文件。http:/IP/scrtpts/.%c1%1c./winnt/system32/cmd.exe?/c+dir入侵者如何进入系统？入侵者如何进入系统？远程侵入:这类入侵指入侵者通过网络远程进入系统。侵入者从无特权开始这种侵入方式包括多种形式。比如如果在他/她和受害主机之间有防火墙存在，侵入就要复杂得多。这类入侵通常是很漫长的，从系统扫描开始，获得较低的权限，然后通过先验经验获得更高的权限。为什么会有入侵为什么会有入侵？软件总是存在bug。系统管理员和开发人员永远无法发现和解决所有的可能漏洞。侵入者只要发现一个漏洞就可以入侵系统。有证

6、据表明每一千行代码中就会存在五至十五个有证据表明每一千行代码中就会存在五至十五个BUGBUG！缓冲区溢出缓冲区溢出缓冲区溢出：大部分的安全漏洞都属于这类。攻击者通过发送精心构造的超过堆栈最大容量的数据，跳转执行自己想要的代码。如IIS发布系统中的ida/idq以及.printf溢出漏洞，攻击者很容易利用工具获得系统的root权限。意外结合意外结合意外结合:程序通常被组合成很多层代码。侵入者常可以发送一些对于一层无意义的输入,却对其他层有意义。在“|mail 1024 bytes means possible buffer overflow 例子（续）例子（续）线性匹配树型匹配O(N)O(log

7、N)N是规则数规则数时间随着规则数的增大，树型匹配的消耗时间的增长速度远远低于线性匹配模式匹配模式匹配模式匹配面临的问题：计算的负载：对于满负载的100Mbps以太网，需要 的计算量将是：攻击特征字节数数据包字节数每秒的数据包数数据库的攻击特征数。探测准确性：模式匹配/特征搜索技术使用固定的特征模式来探测攻击，只能探测出明确的、唯一的攻击特征，即便是基于最轻微变换的攻击串都会被忽略 模式匹配模式匹配优点：只需收集相关的数据集合，显著减少系统负担只需收集相关的数据集合，显著减少系统负担 技术已相当成熟技术已相当成熟 检测准确率和效率都相当高检测准确率和效率都相当高缺点：计算负荷大计算负荷大 检测

8、准确率低检测准确率低 没有理解能力：没有理解能力：协议分析协议分析协议分析充分利用了网络协议的高度有序性，使用这些知识快速检测某个攻击特征的存在因为系统在每一层上都沿着协议栈向上解码，因此可以使用所有当前已知的协议信息，来排除所有不属于这一个协议结构的攻击。典型例子典型例子第一步第一步直接跳到第直接跳到第1313个字节，并读取个字节，并读取2 2个字节的协议标识。如果个字节的协议标识。如果值是值是08000800，则说明这个以太网帧的数据域携带的是，则说明这个以太网帧的数据域携带的是IPIP包，基于协议解包，基于协议解码的入侵检测利用这一信息指示第二步的检测工作。码的入侵检测利用这一信息指示第

9、二步的检测工作。第二步第二步跳到第跳到第2424个字节处读取个字节处读取1 1字节的第四层协议标识。如果读字节的第四层协议标识。如果读取到的值是取到的值是0606，则说明这个，则说明这个IPIP帧的数据域携带的是帧的数据域携带的是TCPTCP包，入侵检测包，入侵检测利用这一信息指示第三步的检测工作。利用这一信息指示第三步的检测工作。第三步第三步跳到第跳到第3535个字节处读取一对端口号。如果有一个端口号是个字节处读取一对端口号。如果有一个端口号是00800080，则说明这个，则说明这个TCPTCP帧的数据域携带的是帧的数据域携带的是HTTPHTTP包，基于协议解码的包，基于协议解码的入侵检测利

10、用这一信息指示第四步的检测工作。入侵检测利用这一信息指示第四步的检测工作。第四步第四步让解析器从第让解析器从第5555个字节开始读取个字节开始读取URLURL。URL URL串将被提交给串将被提交给HTTPHTTP解析器，在它被允许提交给解析器，在它被允许提交给WebWeb服务器前，服务器前，由由HTTPHTTP解析器来分析它是否可能会做攻击行为。解析器来分析它是否可能会做攻击行为。面临挑战面临挑战IDS面临的挑战 漏报率高、误报率高；管理困难、不方便；性能不能满足需要；发展方向发展方向更有效的集成各种入侵检测数据源，包括从不同的系统和不同的传感器上采集的数据，提高报警准确率；在事件诊断中结合人工分析；提高对恶意代码的检测能力，包括email攻击，Java，ActiveX等；采用一定的方法和策略来增强异种系统的互操作性和数据一 致性；研制可靠的测试和评估标准；提供科学的漏洞分类方法，尤其注重从攻击客体而不是攻击主体的观点出发；提供对更高级的攻击行为如分布式攻击、拒绝服务攻击等的检测手段