第6章_网络安全防范技术 -入侵检测与入侵防护系统.ppt

《第6章_网络安全防范技术 -入侵检测与入侵防护系统.ppt》由会员分享，可在线阅读，更多相关《第6章_网络安全防范技术 -入侵检测与入侵防护系统.ppt（32页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1第第6章网络安全防范技章网络安全防范技术术计算机网络安全计算机网络安全张纯容张纯容2入侵检测与入侵防护系入侵检测与入侵防护系统统3温州大学温州大学近几年网络安全研究的发展过程近几年网络安全研究的发展过程防火墙技术的研究：在网络边界保卫内部网。防火墙技术的研究：在网络边界保卫内部网。VPN技术的研究：连接分散的内部网，完成内部网外延技术的研究：连接分散的内部网，完成内部网外延的扩大，与防火墙技术结合比较紧密。的扩大，与防火墙技术结合比较紧密。认证、认证、PKI技术的研究：进一步扩大内部网的外延，同时技术的研究：进一步扩大内部网的外延，同时建立广义的信任关系。建立广义的信任关系。入侵检测技术的研

2、究：承接防护和响应的过程。入侵检测技术的研究：承接防护和响应的过程。4温州大学温州大学入侵检测（入侵检测（IntrusionDetection，ID）入侵检测就是对（网络）系统的运行状态进行监视，发入侵检测就是对（网络）系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性。资源的机密性、完整性与可用性。一个完整的入侵检测系统必须具备下列特点：经济性、一个完整的入侵检测系统必须具备下列特点：经济性、时效性、安全性、可扩展性时效性、安全性、可扩展性5温州大学温州大学入侵检测的发展简介入侵检测的发展简介

3、可分为可分为3个阶段个阶段:安全审计安全审计SecurityAudit）:审计定义为对系统中发生事件的记审计定义为对系统中发生事件的记录和分析处理过程。录和分析处理过程。入侵检测系统（入侵检测系统（IntrusionDetectionSystem，IDS）入侵防范系统（入侵防范系统（IntrusionPreventionSystem，IPS，又称为入，又称为入侵防护系统或入侵保护系统）侵防护系统或入侵保护系统）:IPS技术可以可以深度感知并检测流技术可以可以深度感知并检测流经网络的数据，对恶意报文进行丢弃以阻断攻击，对滥用报文进经网络的数据，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保

4、护网络带宽资源行限流以保护网络带宽资源6温州大学温州大学CommonIntrusionsMARSRemote WorkerRemote BranchVPNVPNVPNACSIron PortFirewallWeb ServerEmail ServerDNSLANCSAZero-day exploit attacking the network7温州大学温州大学IntrusionDetectionSystems(IDSs)1.AnattackislaunchedonanetworkthathasasensordeployedinpromiscuousIDSmode;thereforecopies

5、ofallpacketsaresenttotheIDSsensorforpacketanalysis.However,thetargetmachinewillexperiencethemaliciousattack.2.TheIDSsensor,matchesthemalicioustraffictoasignatureandsendstheswitchacommandtodenyaccesstothesourceofthemalicioustraffic.3.TheIDScanalsosendanalarmtoamanagementconsoleforloggingandothermanag

6、ementpurposes.SwitchManagement Console123TargetSensor8温州大学温州大学IntrusionPreventionSystems(IPSs)1.AnattackislaunchedonanetworkthathasasensordeployedinIPSmode(inlinemode).2.TheIPSsensoranalyzesthepacketsastheyentertheIPSsensorinterface.TheIPSsensormatchesthemalicioustraffictoasignatureandtheattackissto

7、ppedimmediately.3.TheIPSsensorcanalsosendanalarmtoamanagementconsoleforloggingandothermanagementpurposes.4.TrafficinviolationofpolicycanbedroppedbyanIPSsensor.SensorManagement Console123Target4Bit Bucket9温州大学温州大学CommoncharacteristicsofIDSandIPSBothtechnologiesaredeployedusingsensors.Bothtechnologies

8、usesignaturestodetectpatternsofmisuseinnetworktraffic.Bothcandetectatomicpatterns(single-packet)orcompositepatterns(multi-packet).10温州大学温州大学ComparingIDSandIPSSolutionsAdvantagesDisadvantagesNoimpactonnetwork(latency,jitter)NonetworkimpactifthereisasensorfailureNonetworkimpactifthereissensoroverloadR

9、esponseactioncannotstoptriggerpacketsCorrecttuningrequiredforresponseactionsMusthaveawellthought-outsecuritypolicyMorevulnerabletonetworkevasiontechniquesIDSPromiscuous Mode11温州大学温州大学ComparingIDSandIPSSolutionsAdvantagesDisadvantagesStopstriggerpacketsCanusestreamnormalizationtechniquesSensorissuesm

10、ightaffectnetworktrafficSensoroverloadingimpactsthenetworkMusthaveawellthought-outsecuritypolicySomeimpactonnetwork(latency,jitter)IPSInline Mode12温州大学温州大学入侵检测系统的分类入侵检测系统的分类按数据来源和系统结构的不同，入侵检测系统可分为按数据来源和系统结构的不同，入侵检测系统可分为3类：类：基于主机的入侵检测系统基于主机的入侵检测系统基于网络的入侵检测系统基于网络的入侵检测系统分布式入侵检测系统（混合型）分布式入侵检测系统（混合型）13温州

11、大学温州大学基于主机的入侵检测系统基于主机的入侵检测系统基于主机的入侵检测系统的输入数据来源于系统的审计基于主机的入侵检测系统的输入数据来源于系统的审计日志，即在每个要保护的主机上运行一个代理程序，一日志，即在每个要保护的主机上运行一个代理程序，一般只能检测该主机上发生的入侵。般只能检测该主机上发生的入侵。14温州大学温州大学基于网络的入侵检测系统基于网络的入侵检测系统基于网络的入侵检测系统的输入数据来源于网络的信息基于网络的入侵检测系统的输入数据来源于网络的信息流，该类系统一般被动地在网络上监听整个网络上的信流，该类系统一般被动地在网络上监听整个网络上的信息流，通过捕获网络数据包，进行分析，

12、能够检测该网息流，通过捕获网络数据包，进行分析，能够检测该网段上发生的网络入侵段上发生的网络入侵15温州大学温州大学分布式入侵检测系统（混合型）分布式入侵检测系统（混合型）分布式入侵检测系统一般由多个部件组成，分别进行数分布式入侵检测系统一般由多个部件组成，分别进行数据采集、数据分析等，通过中心的控制部件进行数据汇据采集、数据分析等，通过中心的控制部件进行数据汇总、分析、产生入侵报警等总、分析、产生入侵报警等16温州大学温州大学典型入侵检测工具介绍典型入侵检测工具介绍免费的免费的IDSSnort：Snort是基于是基于Libpcap的数据包嗅的数据包嗅探器，并且可以作为一个轻量级的网络入侵检测

13、系统探器，并且可以作为一个轻量级的网络入侵检测系统（NIDS）商业商业IDS的代表的代表ISS的的RealSecure：ISS公司的公司的RealSecure是一个计算机网络上自动实时的入侵检测和是一个计算机网络上自动实时的入侵检测和响应系统。响应系统。17蜜罐与蜜网技术18温州大学温州大学蜜罐与蜜网概述蜜罐与蜜网概述为了能充分了解攻击者，并为了能充分了解攻击者，并“抓到抓到”攻击者，现在常常攻击者，现在常常使用网络诱骗技术使用网络诱骗技术其核心内容是蜜罐和蜜网技术。其核心内容是蜜罐和蜜网技术。蜜罐和蜜网技术是一种捕获和分析恶意代码及获取攻击蜜罐和蜜网技术是一种捕获和分析恶意代码及获取攻击者的

14、攻击行为，可以为追踪攻击者提供有价值的线索，者的攻击行为，可以为追踪攻击者提供有价值的线索，为起诉攻击者搜集有力的证据，从而达到了解攻击者目为起诉攻击者搜集有力的证据，从而达到了解攻击者目的的技术，能为深入分析攻击者提供基础。的的技术，能为深入分析攻击者提供基础。蜜罐和蜜网技术就是蜜罐和蜜网技术就是“诱捕诱捕”攻击者的一个陷阱攻击者的一个陷阱19温州大学温州大学蜜罐蜜罐是一种在互联网上运行的计算机系统，是专门为吸引并是一种在互联网上运行的计算机系统，是专门为吸引并“诱骗诱骗”那些试图非法闯入他人计算机系统的人（如计那些试图非法闯入他人计算机系统的人（如计算机黑客或破解高手等）而设计的算机黑客或

15、破解高手等）而设计的特点：特点：蜜罐是一个有漏洞的诱骗系统，它通过模拟一个或多个易受攻蜜罐是一个有漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标；击的主机，给攻击者提供一个容易攻击的目标；蜜罐并不向外界提供真正有价值的服务；蜜罐并不向外界提供真正有价值的服务；所有与蜜罐的连接尝试都被视为可疑的连接。所有与蜜罐的连接尝试都被视为可疑的连接。20温州大学温州大学蜜罐技术的实现蜜罐技术的实现蜜罐是一种被监听、被攻击或已经被入侵的资源，也就蜜罐是一种被监听、被攻击或已经被入侵的资源，也就是说，无论如何对蜜罐进行配置，所要做的就是使得这是说，无论如何对蜜罐进行配置，所

16、要做的就是使得这个系统处于被监听、被攻击的状态。个系统处于被监听、被攻击的状态。21温州大学温州大学蜜网技术蜜网技术蜜网技术是在蜜罐技术的基础上逐步发展起来的一个新蜜网技术是在蜜罐技术的基础上逐步发展起来的一个新概念，也可成为网络诱捕技术之一。概念，也可成为网络诱捕技术之一。其实质是一种研究型的高交互度蜜罐技术，主要目的是其实质是一种研究型的高交互度蜜罐技术，主要目的是收集黑客的攻击信息。收集黑客的攻击信息。可以构成一个黑客诱捕网络体系结构可以构成一个黑客诱捕网络体系结构22计算机病毒防范技术23温州大学温州大学计算机病毒简介计算机病毒简介计算机病毒是指编制或者在计算机程序中插入的破坏计算计算

17、机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用并能自我复制的一机功能或者毁坏数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码组计算机指令或者程序代码计算机病毒具有以下特征：计算机病毒具有以下特征：可以人为的特制程序可以人为的特制程序具有自我复制能力具有自我复制能力很强的传染性很强的传染性一定的隐蔽性和潜伏性一定的隐蔽性和潜伏性特定的触发性特定的触发性很大的破坏性很大的破坏性不可预见性不可预见性针对性和依附性针对性和依附性24温州大学温州大学特洛伊木马特洛伊木马特洛伊木马（特洛伊木马（Trojanhorse），其名取自希腊神话），其名取自希腊神话“特

18、特洛伊木马记洛伊木马记”，是一种基于远程控制的黑客工具，简称，是一种基于远程控制的黑客工具，简称木马木马特洛伊木马（简称木马）是一种基于特洛伊木马（简称木马）是一种基于C/S结构的网络应用结构的网络应用程序。程序。其中，木马的服务器端程序可以驻留在目标主机上并以其中，木马的服务器端程序可以驻留在目标主机上并以后台方式自动运行。后台方式自动运行。攻击者使用木马的客户端程序与驻留在目标主机上的服攻击者使用木马的客户端程序与驻留在目标主机上的服务器木马程序进行通信，进而获取目标主机上的各种信务器木马程序进行通信，进而获取目标主机上的各种信息息25温州大学温州大学木马的传播木马的传播传播木马主要有两种

19、方式：传播木马主要有两种方式：一种是通过一种是通过E-mail，控制端将木马程序以附件的形式夹在邮件，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件就会感染木马；中发送出去，收信人只要打开附件就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名，另一种是软件下载，一些非正规的网站以提供软件下载为名，将木马捆绑在软件安装程序上，下载后，只要运行这些程序，木将木马捆绑在软件安装程序上，下载后，只要运行这些程序，木马就会自动安装马就会自动安装26温州大学温州大学木马的防范木马的防范防范木马必须首先切断传播木马的途径防范木马必须首先切断传播木马的途径一方面是收取一方面

20、是收取E-mail时必须打开防火墙的邮件监视程序，打开邮件附件时必须打开防火墙的邮件监视程序，打开邮件附件前一定启动检查程序，发现有木马立即销毁邮件，当然也要防止黑客用邮前一定启动检查程序，发现有木马立即销毁邮件，当然也要防止黑客用邮件传播病毒。件传播病毒。另一方面，建议用户最好到正规网站去下载软件，还要注意不要在在线另一方面，建议用户最好到正规网站去下载软件，还要注意不要在在线状态下安装软件，一旦软件中有木马，易造成系统信息泄露。状态下安装软件，一旦软件中有木马，易造成系统信息泄露。检测检测E-mail是否夹带木马程序有是否夹带木马程序有3种方法：种方法：一是看图标，一是看图标，E-mail

21、的附件基本上是的附件基本上是TXT、HTML这两类文件，假如发这两类文件，假如发现附件是现附件是EXE文件或其他文件，就要注意看是否夹带了木马程序；文件或其他文件，就要注意看是否夹带了木马程序；二是测长度，一般来说，木马程序都在二是测长度，一般来说，木马程序都在100K以上，而以上，而TXT、HTML文件文件大都不会这么大，如果发现附件大于大都不会这么大，如果发现附件大于100KB，就值得怀疑了；，就值得怀疑了；三是观反应，打开附件，发现毫无反应或者是弹出一个出错提示框，那三是观反应，打开附件，发现毫无反应或者是弹出一个出错提示框，那可能是木马程序可能是木马程序27温州大学温州大学检查和清除检

22、查和清除Windows系统中木马程序的一般方法系统中木马程序的一般方法在在“开始开始程序程序启动启动”菜单组中，如果发现有异常程序，则可菜单组中，如果发现有异常程序，则可直接清除；直接清除；在在autoexec.bat文件中，如果发现有类似文件中，如果发现有类似“win程序名程序名”的命令的命令行，则在命令中的程序很可能就是木马程序；行，则在命令中的程序很可能就是木马程序；在在win.ini文件中，检查文件中，检查windows段上由段上由“run=”和和“load=”两个项目指定的程序是否有异常，如果有，很可能是木马，则应立即两个项目指定的程序是否有异常，如果有，很可能是木马，则应立即清除；

23、清除；在在system.ini文件中，检查文件中，检查boot段上由段上由“shell=”项指定的程项指定的程序是否有异常。正常情况下，应该为序是否有异常。正常情况下，应该为“shell=explorer.exe”，如果，如果变成变成“shell=explorer.exe程序名程序名”，则其中的程序名很可能是木，则其中的程序名很可能是木马程序；马程序；28温州大学温州大学检查和清除检查和清除Windows系统中木马程序的一般方法系统中木马程序的一般方法在注册表中，与启动相关的注册表项是需要注意的。可以使用在注册表中，与启动相关的注册表项是需要注意的。可以使用regedit命令打开注册表编辑器，

24、然后，依次检查相关的注册表项的命令打开注册表编辑器，然后，依次检查相关的注册表项的值，如果发现异常，则需要及时修正。下列注册表项是需要重点检查值，如果发现异常，则需要及时修正。下列注册表项是需要重点检查的项目内容。的项目内容。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonceHKEY_CLASSES_ROOTexefileshellopencommand一般采用对比的方法来检查注册表项，用正确的注册表与当

25、前的注一般采用对比的方法来检查注册表项，用正确的注册表与当前的注册表进行对比，从中找出可疑的内容。例如，在册表进行对比，从中找出可疑的内容。例如，在HKEY_CLASSES_ROOTexefileshellopencommand表项中包表项中包含的正确值为含的正确值为“%1%*”，如果被改为，如果被改为“程序名程序名%1*”，则可能是，则可能是木马程序名。木马程序名。如果发现异常程序，除了在上述文件中删除它们之外，还要找到它如果发现异常程序，除了在上述文件中删除它们之外，还要找到它们所在的目录，彻底清除，否则，它们有可能还会自动添加到相应的们所在的目录，彻底清除，否则，它们有可能还会自动添加到

26、相应的启动位置。启动位置。29温州大学温州大学病毒防范技术病毒防范技术既是一个技术问题，也是一个管理问题，应从两个方面既是一个技术问题，也是一个管理问题，应从两个方面综合加以防范。综合加以防范。计算机病毒的防范策略应该计算机病毒的防范策略应该“预防为主，治疗为辅预防为主，治疗为辅”，只有这样才能真正将计算机病毒的危害降低到最低限度。只有这样才能真正将计算机病毒的危害降低到最低限度。30温州大学温州大学单机环境下的病毒防范单机环境下的病毒防范一是要在思想上重视、管理上到位；一是要在思想上重视、管理上到位；二是技术上依靠防杀计算机病毒软件二是技术上依靠防杀计算机病毒软件安装和使用最新的正版防杀毒软

27、件也许是技术防毒的最安装和使用最新的正版防杀毒软件也许是技术防毒的最佳选择。佳选择。另一方面，及时升级防另一方面，及时升级防/杀毒软件（一出现新病毒就升级）杀毒软件（一出现新病毒就升级）是非常重要也是非常必要的。是非常重要也是非常必要的。31温州大学温州大学小型局域网的病毒防范技术小型局域网的病毒防范技术一方面需要对各种病毒进行有效杀、防；一方面需要对各种病毒进行有效杀、防；另一方面也要强调网络防毒在实施、操作、维护和管理另一方面也要强调网络防毒在实施、操作、维护和管理中的简捷、方便和高效。中的简捷、方便和高效。32温州大学温州大学常见的计算机病毒防范产品常见的计算机病毒防范产品目前，国内外常见的计算机病毒防范产品有很多，下面简要目前，国内外常见的计算机病毒防范产品有很多，下面简要介绍一些常用的病毒防范产品。介绍一些常用的病毒防范产品。安全之星安全之星KV3000瑞星杀毒软件瑞星杀毒软件KILL金山毒霸金山毒霸PandaAntivirusNortonAnti-VirusMcafeeVirusScanVirusBuster趋势科技防毒软件趋势科技防毒软件卡巴斯基防毒软件卡巴斯基防毒软件