计算机网络安全课件(沈鑫剡)第8章要点复习进程.ppt

《计算机网络安全课件(沈鑫剡)第8章要点复习进程.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全课件(沈鑫剡)第8章要点复习进程.ppt（27页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全计算机网络安全课件(沈鑫剡)第8章要点入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全8.1 入侵防御系统概述入侵防御系统概述n入侵防御系统分类；入侵防御系统分类；n入侵防御系统工作过程；入侵防御系统工作过程；n入侵防御系统不足；入侵防御系统不足；n入侵防御系统发展趋势。入侵防御系统发展趋势。入侵防御系统和防火墙是抵御黑客攻击的两面盾入侵防御系统和防火墙是抵御黑客攻击的两面盾牌，防火墙通过控制信息在各个网络间的传输，牌，防火墙通过控制信

2、息在各个网络间的传输，防止攻击信息到达攻击目标。入侵防御系统通过防止攻击信息到达攻击目标。入侵防御系统通过检测流经各个网段的信息流，监测对主机资源的检测流经各个网段的信息流，监测对主机资源的访问过程，发现并反制可能存在的攻击行为。访问过程，发现并反制可能存在的攻击行为。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全入侵防御系统分类入侵防御系统分类n入侵防御系统分为主机入侵防御系统和网络入侵防御系统；入侵防御系统分为主机入侵防御系统和网络入侵防御系统；n主机入侵防御系统检测进入主机的信息流、监测对主机资源的访问过程，主机入侵防御系统检测进

3、入主机的信息流、监测对主机资源的访问过程，以此发现攻击行为、管制流出主机的信息流，保护主机资源；以此发现攻击行为、管制流出主机的信息流，保护主机资源；n网络入侵防御系统通过检测流经关键网段的信息流，发现攻击行为，实施网络入侵防御系统通过检测流经关键网段的信息流，发现攻击行为，实施反制过程，以此保护重要网络资源；反制过程，以此保护重要网络资源；n主机入侵防御系统和网络入侵防御系统相辅相成，构成有机的防御体系。主机入侵防御系统和网络入侵防御系统相辅相成，构成有机的防御体系。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全入侵防御系统工作过程入

4、侵防御系统工作过程网络入侵防御系统工作过程网络入侵防御系统工作过程n捕获信息；捕获信息；n检测异常信息；检测异常信息；n反制异常信息；反制异常信息；n报警；报警；n登记。登记。得到流得到流经关关键网网段的信息流。段的信息流。异常指包含非法代异常指包含非法代码，包含非法字段，包含非法字段值，与已知攻，与已知攻击特征匹配等。特征匹配等。反制是反制是丢弃与异常信息具有相同源弃与异常信息具有相同源IP地址，地址，或者相同目的或者相同目的IP地址的地址的IP分分组，释放放传输异常信息的异常信息的TCP连接等。接等。向网向网络安全管理安全管理员报告告检测到异常信息流到异常信息流的情况，异常信息流的特征、源

5、和目的的情况，异常信息流的特征、源和目的IP地址，可能地址，可能实施的攻施的攻击等。等。记录下有关异常信息流的一切信息，以便下有关异常信息流的一切信息，以便对其其进行分析。行分析。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全主机入侵防御系统工作过程主机入侵防御系统工作过程n拦截主机资源访问操作请求和网络信息流；拦截主机资源访问操作请求和网络信息流；n采集相应数据；采集相应数据；n确定操作请求和网络信息流的合法性；确定操作请求和网络信息流的合法性；n反制动作；反制动作；n登记和分析。登记和分析。主机攻击行为的最终目标是非法访问网络资源，

6、或者感主机攻击行为的最终目标是非法访问网络资源，或者感染病毒，这些操作的实施一般都需要调用操作系统提供染病毒，这些操作的实施一般都需要调用操作系统提供的服务，因此，首要任务是对调用操作系统服务的请求的服务，因此，首要任务是对调用操作系统服务的请求进行检测，根据调用发起进程，调用进程所属用户，需进行检测，根据调用发起进程，调用进程所属用户，需要访问的主机资源等信息确定调用的合法性。同时，需要访问的主机资源等信息确定调用的合法性。同时，需要对进出主机的信息进行检测，发现非法代码和敏感信要对进出主机的信息进行检测，发现非法代码和敏感信息。息。入侵防御系统工作过程入侵防御系统工作过程入侵防御系统入侵防

7、御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全入侵防御系统的不足入侵防御系统的不足n主机入侵防御系统是被动防御，主动防御主机入侵防御系统是被动防御，主动防御是在攻击信息到达主机前予以干预，并查是在攻击信息到达主机前予以干预，并查出攻击源，予以反制。另外，每一台主机出攻击源，予以反制。另外，每一台主机安装主机入侵防御系统的成本和使安全策安装主机入侵防御系统的成本和使安全策略一致的难度都是主机入侵防御系统的不略一致的难度都是主机入侵防御系统的不足；足；n网络入侵防御系统能够实现主动防御，但网络入侵防御系统能够实现主动防御，但只保护部分网络资源，另外对未知攻击

8、行只保护部分网络资源，另外对未知攻击行为的检测存在一定的难度。为的检测存在一定的难度。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全入侵防御系统发展趋势入侵防御系统发展趋势n融合到操作系统中融合到操作系统中主机入侵防御系统的主要功能是监测对主机资源主机入侵防御系统的主要功能是监测对主机资源的访问过程，对访问资源的合法性进行判别，这的访问过程，对访问资源的合法性进行判别，这是操作系统应该集成的功能。是操作系统应该集成的功能。n集成到网络转发设备中集成到网络转发设备中所有信息流都需经过转发设备进行转发，因此，所有信息流都需经过转发设备进行转

9、发，因此，转发设备是检测信息流的合适之处。转发设备是检测信息流的合适之处。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全8.2 网络入侵防御系统网络入侵防御系统n系统结构；系统结构；n信息捕获机制；信息捕获机制；n入侵检测机制；入侵检测机制；n安全策略。安全策略。网络入侵防御系统首先是捕获流经网络的网络入侵防御系统首先是捕获流经网络的信息流，然后对其进行检测，并根据检测信息流，然后对其进行检测，并根据检测结果确定反制动作，检测机制、攻击特征结果确定反制动作，检测机制、攻击特征库和反制动作由安全策略确定。库和反制动作由安全策略确定。入侵防

10、御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全系统结构系统结构n探测器探测器1处于探测模式，需要采用相应捕获机制才能捕获信息流，探测器处于探测模式，需要采用相应捕获机制才能捕获信息流，探测器2处于转发模式；处于转发模式；n探测器探测器1只能使用释放只能使用释放TCP连接的反制动作，探测器连接的反制动作，探测器2可以使用其他反制动可以使用其他反制动作；作；n为了安全起见，探测器和管理服务器用专用网络实现互连。为了安全起见，探测器和管理服务器用专用网络实现互连。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络

11、安全计算机网络安全信息捕获机制信息捕获机制n利用集线器的广播传输功能，从集线器任何端口利用集线器的广播传输功能，从集线器任何端口进入的信息流，将广播到所有其他端口。进入的信息流，将广播到所有其他端口。利用集利用集线器捕器捕获信息机制信息机制入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全n端口境像功能是将交换机某个端口（如图中的端口端口境像功能是将交换机某个端口（如图中的端口2）作为另一个端口）作为另一个端口（如图中的端口（如图中的端口1）的境像，这样，所有从该端口输出的信息流，都被复）的境像，这样，所有从该端口输出的信息流，都被复制到境

12、像端口，由于境像端口和其他交换机端口之间的境像关系是动态的，制到境像端口，由于境像端口和其他交换机端口之间的境像关系是动态的，因此，连接在端口因此，连接在端口2的探测器，可以捕获从交换机任意端口输出的信息流。的探测器，可以捕获从交换机任意端口输出的信息流。信息捕获机制信息捕获机制利用端口境像捕利用端口境像捕获信息机制信息机制入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全n跨交换机端口境像功能是将需要检测的端口和连接探测模式的跨交换机端口境像功能是将需要检测的端口和连接探测模式的探测器端口之间交换路径所经过交换机端口划分为一个特定的探测器

13、端口之间交换路径所经过交换机端口划分为一个特定的VLAN；n从检测端口进入的信息除了正常转发外，在该特定从检测端口进入的信息除了正常转发外，在该特定VLAN内广内广播。播。信息捕获机制信息捕获机制利用跨交利用跨交换机端口境像捕机端口境像捕获信息机制信息机制入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全n通过分类器鉴别出具有指定源和目的通过分类器鉴别出具有指定源和目的IP地址、源和目的端口号等属性参数地址、源和目的端口号等属性参数的的IP分组；分组；n为这些为这些IP分组选择特定的传输路径；分组选择特定的传输路径；n虚拟访问控制列表允许这

14、些虚拟访问控制列表允许这些IP分组既正常转发，又从特定传输路径转发；分组既正常转发，又从特定传输路径转发；n通过特定传输路径转发的通过特定传输路径转发的IP分组到达探测器。分组到达探测器。信息捕获机制信息捕获机制虚虚拟访问控制列表控制列表入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全入侵检测机制入侵检测机制攻击特征检测攻击特征检测n从已知的攻击信息流中提取出有别于正常信息流的特征从已知的攻击信息流中提取出有别于正常信息流的特征信息；信息；n特征信息分为元攻击特征和有状态攻击特征；特征信息分为元攻击特征和有状态攻击特征；n元攻击特征是单个

15、独立的攻击特征，只要信息流中出现元攻击特征是单个独立的攻击特征，只要信息流中出现和元攻击特征相同的位流或字节流模式，即可断定发现和元攻击特征相同的位流或字节流模式，即可断定发现攻击；攻击；n有状态攻击特征是将整个会话分成若干阶段，攻击特征有状态攻击特征是将整个会话分成若干阶段，攻击特征分散出现在多个阶段对应的信息流中，只有按照阶段顺分散出现在多个阶段对应的信息流中，只有按照阶段顺序，在每一个检测到指定的攻击特征才可断定发现攻击；序，在每一个检测到指定的攻击特征才可断定发现攻击；n攻击特征只能检测出已知攻击，即提取出攻击特征的攻攻击特征只能检测出已知攻击，即提取出攻击特征的攻击行为。击行为。入侵

16、防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全协议译码协议译码nIP分组的正确性，如首部字段值是否合理，整个分组的正确性，如首部字段值是否合理，整个TCP首部是否包含单片数据中，各个分片的长度首部是否包含单片数据中，各个分片的长度之和是否超过之和是否超过64KB等；等；nTCP报文的正确性，如经过报文的正确性，如经过TCP连接传输的连接传输的TCP报文的序号和确认序号之间是否冲突，连续发送报文的序号和确认序号之间是否冲突，连续发送的的TCP报文序号范围和另一方发送的窗口是否冲报文序号范围和另一方发送的窗口是否冲突，各段数据的序号范围是否重叠

17、等；突，各段数据的序号范围是否重叠等；n应用层报文的正确性，请求、响应过程是否合乎应用层报文的正确性，请求、响应过程是否合乎协议规范；各个字段值是否合理，端口号是否和协议规范；各个字段值是否合理，端口号是否和默认应用层协议匹配等。默认应用层协议匹配等。入侵检测机制入侵检测机制入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全异常检测异常检测n基于统计机制，在一段时间内，对流经特定网段的信息基于统计机制，在一段时间内，对流经特定网段的信息流进行统计，如单位时间特定源和目的终端之间的流量、流进行统计，如单位时间特定源和目的终端之间的流量、不同应

18、用层报文分布等，将这些统计值作为基准统计值。不同应用层报文分布等，将这些统计值作为基准统计值。然后，实时采集流经该网段的信息流，并计算出单位时然后，实时采集流经该网段的信息流，并计算出单位时间内的统计值，然后和基准统计值比较，如果多个统计间内的统计值，然后和基准统计值比较，如果多个统计值和基准统计值存在较大偏差，断定流经该网段的信息值和基准统计值存在较大偏差，断定流经该网段的信息流出现异常；流出现异常；n基于规则机制，通过分析大量异常信息流，总结出一些基于规则机制，通过分析大量异常信息流，总结出一些特定异常信息流的规则，一旦流经该网段的信息流符合特定异常信息流的规则，一旦流经该网段的信息流符合

19、某种异常信息流对应的规则，断定该信息流为异常信息某种异常信息流对应的规则，断定该信息流为异常信息流。流。入侵检测机制入侵检测机制入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全n异常检测的困难之处在于正常信息流和异常信息流的测异常检测的困难之处在于正常信息流和异常信息流的测量值之间存在重叠部分，必须在误报和漏报之间平衡；量值之间存在重叠部分，必须在误报和漏报之间平衡；n根据被保护资源的重要性确定基准值（靠近根据被保护资源的重要性确定基准值（靠近A点或点或B点点)。入侵检测机制入侵检测机制入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算

20、机网络安全计算机网络安全计算机网络安全计算机网络安全安全策略安全策略n安全策略指定需要检安全策略指定需要检测的信息流类别、检测的信息流类别、检测机制和反制动作，测机制和反制动作，对于攻击特征检测，对于攻击特征检测，需要给出攻击特征库；需要给出攻击特征库；n由于攻击和应用层协由于攻击和应用层协议相关，因此对应不议相关，因此对应不同的应用层协议存在同的应用层协议存在不同的攻击特征库；不同的攻击特征库；n对同一类别信息流，对同一类别信息流，可以指定多种检测机可以指定多种检测机制，对不同检测机制制，对不同检测机制检测到的攻击行为采检测到的攻击行为采取不同的反制动作。取不同的反制动作。入侵防御系统入侵防

21、御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全8.3 主机入侵防御系统主机入侵防御系统n工作流程；工作流程；n截获机制；截获机制；n主机资源；主机资源；n用户和系统状态；用户和系统状态；n访问控制策略；访问控制策略；nHoneypot。主机入侵防御系统主要用于防止对主机资源的非主机入侵防御系统主要用于防止对主机资源的非法访问和病毒入侵，因此，必须通过访问控制策法访问和病毒入侵，因此，必须通过访问控制策略设定主机资源的访问权限，截获主机资源的操略设定主机资源的访问权限，截获主机资源的操作请求，根据访问控制策略、用户和系统状态及作请求，根据访问控制策略、用户

22、和系统状态及主机资源类型确定操作请求的合理性。主机资源类型确定操作请求的合理性。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全工作流程工作流程n主机入侵防御系统主要用于防止非法访问和病毒入侵；主机入侵防御系统主要用于防止非法访问和病毒入侵；n只允许对主机资源的合法操作正常进行。只允许对主机资源的合法操作正常进行。必必须截截获所有所有调用操作系用操作系统服服务的的请求，尤其是求，尤其是对主机主机资源的操作源的操作请求，如求，如读写文件、修改注册表等。写文件、修改注册表等。判判别某个操作某个操作请求的合法性，求的合法性，判判别的依据是的依据

23、是访问控制策略、控制策略、操作操作对象和象和类型、型、请求求进程及程及进程所属的用程所属的用户、主机系、主机系统和和用用户状状态等。等。只允只允许操作系操作系统完成合完成合法的操作法的操作请求。求。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全截获机制截获机制n修改操作系统内核修改操作系统内核通过修改操作系统内核，可以根据特权用户配置的资源通过修改操作系统内核，可以根据特权用户配置的资源访问控制阵列和请求操作的用户确定操作的合法性，为访问控制阵列和请求操作的用户确定操作的合法性，为了安全，可以对请求操作的用户进行身份认证。了安全，可以对

24、请求操作的用户进行身份认证。n拦截系统调用拦截系统调用用户操作请求和操作系统内核之间增加检测程序，对用用户操作请求和操作系统内核之间增加检测程序，对用户发出的操作请求进行检测，确定是合法操作请求，才户发出的操作请求进行检测，确定是合法操作请求，才提供给操作系统内核。提供给操作系统内核。n网络信息流监测网络信息流监测对进出主机的信息流实施监测，防止病毒入侵，也防止对进出主机的信息流实施监测，防止病毒入侵，也防止敏感信息外泄。敏感信息外泄。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全拦截系统调用和进出主机的息拦截系统调用和进出主机的息流的

25、过程流的过程截获机制截获机制入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全主机资源主机资源主机资源是需要主机入侵防御系统保护的一切有用的信息和信息承载体，包括如下：n网络；n内存；n进程；n文件；n系统配置信息。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全用户和系统状态用户和系统状态n主机位置信息主机位置信息主机位置和主机的安全程度相关，也影响着主机入侵防主机位置和主机的安全程度相关，也影响着主机入侵防御系统对主机的保护力度。确定主机位置的信息有：御系统对主机的保护力度。确定主

26、机位置的信息有：IP地址、域名前缀、地址、域名前缀、VPN客户信息等。客户信息等。n用户状态信息用户状态信息不同用户的访问权限不同，用户身份通过用户名和口令不同用户的访问权限不同，用户身份通过用户名和口令标识，用户状态信息给出用户登录时的用户名。口令等。标识，用户状态信息给出用户登录时的用户名。口令等。n系统状态信息系统状态信息系统安全状态，目前设置的安全等级、是否配置防火墙。系统安全状态，目前设置的安全等级、是否配置防火墙。是否安装放病毒软件，是否监测到黑客攻击等。是否安装放病毒软件，是否监测到黑客攻击等。用户和系统状态确定主机入侵防御系统对主机资源的保用户和系统状态确定主机入侵防御系统对主

27、机资源的保护方式和力度。护方式和力度。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全访问控制策略访问控制策略n访问控制策略用于确定操作请求是否进行；访问控制策略用于确定操作请求是否进行；n访问控制策略将用户位置、系统状态和资源访问访问控制策略将用户位置、系统状态和资源访问规则结合在一起；规则结合在一起；n用户位置给出标识用户终端所在位置的信息，如用户位置给出标识用户终端所在位置的信息，如IP地址；地址；n系统状态给出终端的安全状态；系统状态给出终端的安全状态；n资源访问规则对应不同用户、不同访问请求发起资源访问规则对应不同用户、不同访问

28、请求发起者、不同资源定义了允许对资源进行的访问操作者、不同资源定义了允许对资源进行的访问操作和违反规则所采取动作。和违反规则所采取动作。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全HoneypotnHoneypot是一个伪装成有丰富资源的的应用服务器，用户是一个伪装成有丰富资源的的应用服务器，用户通过正常访问过程是无法访问到的，因此，对通过正常访问过程是无法访问到的，因此，对Honeypot进进行访问的往往是攻击程序；行访问的往往是攻击程序；nHoneypot的作用是对资源访问过程进行严密监控，提取访的作用是对资源访问过程进行严密监控

29、，提取访问者的特征信息，如侦察行为特征、渗透行为特征及攻击问者的特征信息，如侦察行为特征、渗透行为特征及攻击行为特征等；行为特征等；nHoneypot详细记录下访问过程中的每一个操作，以便今后详细记录下访问过程中的每一个操作，以便今后分析；分析；n总之，总之，Honeypot就像是一个四处安装监控器，没有任何盲就像是一个四处安装监控器，没有任何盲区的房间，可以在犯罪分子没有觉察的情况下，察看他们区的房间，可以在犯罪分子没有觉察的情况下，察看他们的尽情表演，以此了解他们犯罪过程中的每一个细节。的尽情表演，以此了解他们犯罪过程中的每一个细节。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全此课件下载可自行编辑修改，仅供参考！此课件下载可自行编辑修改，仅供参考！感谢您的支持，我们努力做得更好！谢谢感谢您的支持，我们努力做得更好！谢谢