计算机网络安全课件第8章要点优秀PPT.ppt

《计算机网络安全课件第8章要点优秀PPT.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全课件第8章要点优秀PPT.ppt（27页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 2006工程兵工程学院 计算机教研室计算机网络平安第八章入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全第第8章章 入侵防卫系统入侵防卫系统n入侵防卫系统概述；入侵防卫系统概述；n网络入侵防卫系统；网络入侵防卫系统；n主机入侵防卫系统。主机入侵防卫系统。n入侵防卫系统的作用是检测网络中可能存在的攻入侵防卫系统的作用是检测网络中可能存在的攻击行为，并对攻击行为进行反制。由于攻击手段的击行为，并对攻击行为进行反制。由于攻击手段的多样性和不断翻新，接受单一技术和手段是无法检多样性和不断翻新，接受单一技术和手段是无法检测出全部攻击行为的，因此，

2、入侵防卫系统也是多测出全部攻击行为的，因此，入侵防卫系统也是多个系统的有机集合，每一个系统各司其职。个系统的有机集合，每一个系统各司其职。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全8.1 入侵防卫系统概述入侵防卫系统概述n入侵防卫系统分类；入侵防卫系统分类；n入侵防卫系统工作过程；入侵防卫系统工作过程；n入侵防卫系统不足；入侵防卫系统不足；n入侵防卫系统发展趋势。入侵防卫系统发展趋势。n入侵防卫系统和防火墙是抵挡黑客攻击的两面入侵防卫系统和防火墙是抵挡黑客攻击的两面盾牌，防火墙通过限制信息在各个网络间的传输，盾牌，防火墙通过限制信息

3、在各个网络间的传输，防止攻击信息到达攻击目标。入侵防卫系统通过防止攻击信息到达攻击目标。入侵防卫系统通过检测流经各个网段的信息流，监测对主机资源的检测流经各个网段的信息流，监测对主机资源的访问过程，发觉并反制可能存在的攻击行为。访问过程，发觉并反制可能存在的攻击行为。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全入侵防卫系统分类入侵防卫系统分类n入侵防卫系统分为主机入侵防卫系统和网络入侵防卫系统；入侵防卫系统分为主机入侵防卫系统和网络入侵防卫系统；n主机入侵防卫系统检测进入主机的信息流、监测对主机资源的访问过程，主机入侵防卫系统检测进入

4、主机的信息流、监测对主机资源的访问过程，以此发觉攻击行为、管制流出主机的信息流，爱护主机资源；以此发觉攻击行为、管制流出主机的信息流，爱护主机资源；n网络入侵防卫系统通过检测流经关键网段的信息流，发觉攻击行为，实施网络入侵防卫系统通过检测流经关键网段的信息流，发觉攻击行为，实施反制过程，以此爱护重要网络资源；反制过程，以此爱护重要网络资源；n主机入侵防卫系统和网络入侵防卫系统相辅相成，构成有机的防卫体系。主机入侵防卫系统和网络入侵防卫系统相辅相成，构成有机的防卫体系。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全入侵防卫系统工作过程入侵

5、防卫系统工作过程网络入侵防卫系统工作过程网络入侵防卫系统工作过程捕获信息；捕获信息；检测异样信息；检测异样信息；反制异样信息；反制异样信息；报警；报警；登记。登记。得到流得到流经关关键网网段的信息流。段的信息流。异异样指包含非法代指包含非法代码，包含非法字段，包含非法字段值，与已知攻，与已知攻击特征匹配等。特征匹配等。反制是反制是丢弃与异弃与异样信息具有相同源信息具有相同源IP地址，地址，或者相同目的或者相同目的IP地址的地址的IP分分组，释放放传输异异样信息的信息的TCP连接等。接等。向网向网络平安管理平安管理员报告告检测到异到异样信息流信息流的状况，异的状况，异样信息流的特征、源和目的信息

6、流的特征、源和目的IP地址，可能地址，可能实施的攻施的攻击等。等。记录下有关异下有关异样信息流的一切信息，以便信息流的一切信息，以便对其其进行分析。行分析。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全主机入侵防卫系统工作过程主机入侵防卫系统工作过程拦截主机资源访问操作恳求和网络信息流；拦截主机资源访问操作恳求和网络信息流；采集相应数据；采集相应数据；确定操作恳求和网络信息流的合法性；确定操作恳求和网络信息流的合法性；反制动作；反制动作；登记和分析。登记和分析。主机攻击行为的最终目标是非法访问网络资源，或者感主机攻击行为的最终目标是非法

7、访问网络资源，或者感染病毒，这些操作的实施一般都须要调用操作系统供应染病毒，这些操作的实施一般都须要调用操作系统供应的服务，因此，首要任务是对调用操作系统服务的恳求的服务，因此，首要任务是对调用操作系统服务的恳求进行检测，依据调用发起进程，调用进程所属用户，须进行检测，依据调用发起进程，调用进程所属用户，须要访问的主机资源等信息确定调用的合法性。同时，须要访问的主机资源等信息确定调用的合法性。同时，须要对进出主机的信息进行检测，发觉非法代码和敏感信要对进出主机的信息进行检测，发觉非法代码和敏感信息。息。入侵防卫系统工作过程入侵防卫系统工作过程入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算

8、机网络安全计算机网络安全计算机网络安全计算机网络安全入侵防卫系统的不足入侵防卫系统的不足n主机入侵防卫系统是被动防卫，主动防卫主机入侵防卫系统是被动防卫，主动防卫是在攻击信息到达主机前予以干预，并查是在攻击信息到达主机前予以干预，并查出攻击源，予以反制。另外，每一台主机出攻击源，予以反制。另外，每一台主机安装主机入侵防卫系统的成本和使平安策安装主机入侵防卫系统的成本和使平安策略一样的难度都是主机入侵防卫系统的不略一样的难度都是主机入侵防卫系统的不足；足；n网络入侵防卫系统能够实现主动防卫，但网络入侵防卫系统能够实现主动防卫，但只爱护部分网络资源，另外对未知攻击行只爱护部分网络资源，另外对未知攻

9、击行为的检测存在确定的难度。为的检测存在确定的难度。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全入侵防卫系统发展趋势入侵防卫系统发展趋势n融合到操作系统中融合到操作系统中n主机入侵防卫系统的主要功能是监测对主机资主机入侵防卫系统的主要功能是监测对主机资源的访问过程，对访问资源的合法性进行判别，源的访问过程，对访问资源的合法性进行判别，这是操作系统应当集成的功能。这是操作系统应当集成的功能。n集成到网络转发设备中集成到网络转发设备中n全部信息流都需经过转发设备进行转发，因此，全部信息流都需经过转发设备进行转发，因此，转发设备是检测信息流

10、的合适之处。转发设备是检测信息流的合适之处。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全8.2 网络入侵防卫系统网络入侵防卫系统n系统结构；系统结构；n信息捕获机制；信息捕获机制；n入侵检测机制；入侵检测机制；n平安策略。平安策略。n网络入侵防卫系统首先是捕获流经网络网络入侵防卫系统首先是捕获流经网络的信息流，然后对其进行检测，并依据检的信息流，然后对其进行检测，并依据检测结果确定反制动作，检测机制、攻击特测结果确定反制动作，检测机制、攻击特征库和反制动作由平安策略确定。征库和反制动作由平安策略确定。入侵防御系统入侵防御系统入侵防御系

11、统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全系统结构系统结构n探测器探测器1处于探测模式，须要接受相应捕获机制才能捕获信息流，探测器处于探测模式，须要接受相应捕获机制才能捕获信息流，探测器2处于转发模式；处于转发模式；n探测器探测器1只能运用释放只能运用释放TCP连接的反制动作，探测器连接的反制动作，探测器2可以运用其他反制动可以运用其他反制动作；作；n为了平安起见，探测器和管理服务器用专用网络实现互连。为了平安起见，探测器和管理服务器用专用网络实现互连。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全信息捕获机

12、制信息捕获机制n利用集线器的广播传输功能，从集线器任何端口利用集线器的广播传输功能，从集线器任何端口进入的信息流，将广播到全部其他端口。进入的信息流，将广播到全部其他端口。利用集利用集线器捕器捕获信息机制信息机制入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全n端口境像功能是将交换机某个端口（如图中的端口端口境像功能是将交换机某个端口（如图中的端口2）作为另一个端口）作为另一个端口（如图中的端口（如图中的端口1）的境像，这样，全部从该端口输出的信息流，都被复）的境像，这样，全部从该端口输出的信息流，都被复制到境像端口，由于境像端口和其他交

13、换机端口之间的境像关系是动态的，制到境像端口，由于境像端口和其他交换机端口之间的境像关系是动态的，因此，连接在端口因此，连接在端口2的探测器，可以捕获从交换机随意端口输出的信息流。的探测器，可以捕获从交换机随意端口输出的信息流。信息捕获机制信息捕获机制利用端口境像捕利用端口境像捕获信息机制信息机制入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全n跨交换机端口境像功能是将须要检测的端口和连接探测模式的跨交换机端口境像功能是将须要检测的端口和连接探测模式的探测器端口之间交换路径所经过交换机端口划分为一个特定的探测器端口之间交换路径所经过交换机

14、端口划分为一个特定的VLAN；n从检测端口进入的信息除了正常转发外，在该特定从检测端口进入的信息除了正常转发外，在该特定VLAN内广内广播。播。信息捕获机制信息捕获机制利用跨交利用跨交换机端口境像捕机端口境像捕获信息机制信息机制入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全n通过分类器鉴别出具有指定源和目的通过分类器鉴别出具有指定源和目的IP地址、源和目的端口号等属性参数地址、源和目的端口号等属性参数的的IP分组；分组；n为这些为这些IP分组选择特定的传输路径；分组选择特定的传输路径；n虚拟访问限制列表允许这些虚拟访问限制列表允许这些I

15、P分组既正常转发，又从特定传输路径转发；分组既正常转发，又从特定传输路径转发；n通过特定传输路径转发的通过特定传输路径转发的IP分组到达探测器。分组到达探测器。信息捕获机制信息捕获机制虚虚拟访问限制列表限制列表入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全入侵检测机制入侵检测机制攻击特征检测攻击特征检测从已知的攻击信息流中提取出有别于正常信息流的特征信从已知的攻击信息流中提取出有别于正常信息流的特征信息；息；特征信息分为元攻击特征和有状态攻击特征；特征信息分为元攻击特征和有状态攻击特征；元攻击特征是单个独立的攻击特征，只要信息流中出现和

16、元攻击特征是单个独立的攻击特征，只要信息流中出现和元攻击特征相同的位流或字节流模式，即可断定发觉攻元攻击特征相同的位流或字节流模式，即可断定发觉攻击；击；有状态攻击特征是将整个会话分成若干阶段，攻击特征分有状态攻击特征是将整个会话分成若干阶段，攻击特征分散出现在多个阶段对应的信息流中，只有依据阶段依次，散出现在多个阶段对应的信息流中，只有依据阶段依次，在每一个检测到指定的攻击特征才可断定发觉攻击；在每一个检测到指定的攻击特征才可断定发觉攻击；攻击特征只能检测出已知攻击，即提取出攻击特征的攻击攻击特征只能检测出已知攻击，即提取出攻击特征的攻击行为。行为。入侵防御系统入侵防御系统入侵防御系统入侵防

17、御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全协议译码协议译码IP分组的正确性，如首部字段值是否合理，整个分组的正确性，如首部字段值是否合理，整个TCP首部是否包含单片数据中，各个分片的长度首部是否包含单片数据中，各个分片的长度之和是否超过之和是否超过64KB等；等；TCP报文的正确性，如经过报文的正确性，如经过TCP连接传输的连接传输的TCP报报文的序号和确认序号之间是否冲突，连续发送的文的序号和确认序号之间是否冲突，连续发送的TCP报文序号范围和另一方发送的窗口是否冲突，报文序号范围和另一方发送的窗口是否冲突，各段数据的序号范围是否重叠等；各段数据的序号范围是否重叠等；应用

18、层报文的正确性，恳求、响应过程是否合乎协应用层报文的正确性，恳求、响应过程是否合乎协议规范；各个字段值是否合理，端口号是否和默议规范；各个字段值是否合理，端口号是否和默认应用层协议匹配等。认应用层协议匹配等。入侵检测机制入侵检测机制入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全异样检测异样检测基于统计机制，在一段时间内，对流经特定网段的信息流基于统计机制，在一段时间内，对流经特定网段的信息流进行统计，如单位时间特定源和目的终端之间的流量、进行统计，如单位时间特定源和目的终端之间的流量、不同应用层报文分布等，将这些统计值作为基准统计值。不

19、同应用层报文分布等，将这些统计值作为基准统计值。然后，实时采集流经该网段的信息流，并计算出单位时然后，实时采集流经该网段的信息流，并计算出单位时间内的统计值，然后和基准统计值比较，假如多个统计间内的统计值，然后和基准统计值比较，假如多个统计值和基准统计值存在较大偏差，断定流经该网段的信息值和基准统计值存在较大偏差，断定流经该网段的信息流出现异样；流出现异样；基于规则机制，通过分析大量异样信息流，总结出一些特基于规则机制，通过分析大量异样信息流，总结出一些特定异样信息流的规则，一旦流经该网段的信息流符合某定异样信息流的规则，一旦流经该网段的信息流符合某种异样信息流对应的规则，断定该信息流为异样信

20、息流。种异样信息流对应的规则，断定该信息流为异样信息流。入侵检测机制入侵检测机制入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全n异样检测的困难之处在于正常信息流和异样信息流的测异样检测的困难之处在于正常信息流和异样信息流的测量值之间存在重叠部分，必需在误报和漏报之间平衡；量值之间存在重叠部分，必需在误报和漏报之间平衡；n依据被爱护资源的重要性确定基准值（靠近依据被爱护资源的重要性确定基准值（靠近A点或点或B点点)。入侵检测机制入侵检测机制入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络

21、安全平安策略平安策略n平安策略指定须要检平安策略指定须要检测的信息流类别、检测的信息流类别、检测机制和反制动作，测机制和反制动作，对于攻击特征检测，对于攻击特征检测，须要给出攻击特征库；须要给出攻击特征库；n由于攻击和应用层协由于攻击和应用层协议相关，因此对应不议相关，因此对应不同的应用层协议存在同的应用层协议存在不同的攻击特征库；不同的攻击特征库；n对同一类别信息流，对同一类别信息流，可以指定多种检测机可以指定多种检测机制，对不同检测机制制，对不同检测机制检测到的攻击行为实检测到的攻击行为实行不同的反制动作。行不同的反制动作。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算

22、机网络安全计算机网络安全计算机网络安全8.3 主机入侵防卫系统主机入侵防卫系统n工作流程；工作流程；n截获机制；截获机制；n主机资源；主机资源；n用户和系统状态；用户和系统状态；n访问限制策略；访问限制策略；nHoneypot。n主机入侵防卫系统主要用于防止对主机资源的主机入侵防卫系统主要用于防止对主机资源的非法访问和病毒入侵，因此，必需通过访问限制非法访问和病毒入侵，因此，必需通过访问限制策略设定主机资源的访问权限，截获主机资源的策略设定主机资源的访问权限，截获主机资源的操作恳求，依据访问限制策略、用户和系统状态操作恳求，依据访问限制策略、用户和系统状态及主机资源类型确定操作恳求的合理性。及

23、主机资源类型确定操作恳求的合理性。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全工作流程工作流程n主机入侵防卫系统主要用于防止非法访问和病毒入侵；主机入侵防卫系统主要用于防止非法访问和病毒入侵；n只允许对主机资源的合法操作正常进行。只允许对主机资源的合法操作正常进行。必需截必需截获全部全部调用操作系用操作系统服服务的的恳求，尤其是求，尤其是对主机主机资源的操作源的操作恳求，如求，如读写文件、修改注册表等。写文件、修改注册表等。判判别某个操作某个操作恳求的合法性，求的合法性，判判别的依据是的依据是访问限制策略、限制策略、操作操作对象和象和

24、类型、型、恳求求进程及程及进程所属的用程所属的用户、主机系、主机系统和和用用户状状态等。等。只允只允许操作系操作系统完成合完成合法的操作法的操作恳求。求。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全截获机制截获机制n修改操作系统内核修改操作系统内核n通过修改操作系统内核，可以依据特权用户配置的资通过修改操作系统内核，可以依据特权用户配置的资源访问限制阵列和恳求操作的用户确定操作的合法性，源访问限制阵列和恳求操作的用户确定操作的合法性，为了平安，可以对恳求操作的用户进行身份认证。为了平安，可以对恳求操作的用户进行身份认证。n拦截系统调用

25、拦截系统调用n用户操作恳求和操作系统内核之间增加检测程序，对用户操作恳求和操作系统内核之间增加检测程序，对用户发出的操作恳求进行检测，确定是合法操作恳求，用户发出的操作恳求进行检测，确定是合法操作恳求，才供应应操作系统内核。才供应应操作系统内核。n网络信息流监测网络信息流监测n对进出主机的信息流实施监测，防止病毒入侵，也防对进出主机的信息流实施监测，防止病毒入侵，也防止敏感信息外泄。止敏感信息外泄。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全拦截系统调用和进出主机的息拦截系统调用和进出主机的息流的过程流的过程截获机制截获机制入侵防御系

26、统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全主机资源主机资源主机资源是须要主机入侵防卫系统爱护的一切有用的信息和信息承载体，包括如下：网络；内存；进程；文件；系统配置信息。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全用户和系统状态用户和系统状态n主机位置信息主机位置信息n主机位置和主机的平安程度相关，也影响着主机入侵防主机位置和主机的平安程度相关，也影响着主机入侵防卫系统对主机的爱护力度。确定主机位置的信息有：卫系统对主机的爱护力度。确定主机位置的信息有：IP地址、域名前缀、地址、域名

27、前缀、VPN客户信息等。客户信息等。n用户状态信息用户状态信息n不同用户的访问权限不同，用户身份通过用户名和口令不同用户的访问权限不同，用户身份通过用户名和口令标识，用户状态信息给出用户登录时的用户名。口令等。标识，用户状态信息给出用户登录时的用户名。口令等。n系统状态信息系统状态信息n系统平安状态，目前设置的平安等级、是否配置防火墙。系统平安状态，目前设置的平安等级、是否配置防火墙。是否安装放病毒软件，是否监测到黑客攻击等。是否安装放病毒软件，是否监测到黑客攻击等。n用户和系统状态确定主机入侵防卫系统对主机资源的爱用户和系统状态确定主机入侵防卫系统对主机资源的爱护方式和力度。护方式和力度。入

28、侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全访问限制策略访问限制策略n访问限制策略用于确定操作恳求是否进行；访问限制策略用于确定操作恳求是否进行；n访问限制策略将用户位置、系统状态和资源访问访问限制策略将用户位置、系统状态和资源访问规则结合在一起；规则结合在一起；n用户位置给出标识用户终端所在位置的信息，如用户位置给出标识用户终端所在位置的信息，如IP地址；地址；n系统状态给出终端的平安状态；系统状态给出终端的平安状态；n资源访问规则对应不同用户、不同访问恳求发起资源访问规则对应不同用户、不同访问恳求发起者、不同资源定义了允许对资源进行

29、的访问操作者、不同资源定义了允许对资源进行的访问操作和违反规则所实行动作。和违反规则所实行动作。入侵防御系统入侵防御系统入侵防御系统入侵防御系统计算机网络安全计算机网络安全计算机网络安全计算机网络安全HoneypotnHoneypot是一个伪装成有丰富资源的的应用服务器，用户是一个伪装成有丰富资源的的应用服务器，用户通过正常访问过程是无法访问到的，因此，对通过正常访问过程是无法访问到的，因此，对Honeypot进进行访问的往往是攻击程序；行访问的往往是攻击程序；nHoneypot的作用是对资源访问过程进行严密监控，提取访的作用是对资源访问过程进行严密监控，提取访问者的特征信息，如侦察行为特征、渗透行为特征及攻击问者的特征信息，如侦察行为特征、渗透行为特征及攻击行为特征等；行为特征等；nHoneypot具体记录下访问过程中的每一个操作，以便今后具体记录下访问过程中的每一个操作，以便今后分析；分析；n总之，总之，Honeypot就像是一个四处安装监控器，没有任何盲就像是一个四处安装监控器，没有任何盲区的房间，可以在犯罪分子没有觉察的状况下，察看他们区的房间，可以在犯罪分子没有觉察的状况下，察看他们的尽情表演，以此了解他们犯罪过程中的每一个细微环节。的尽情表演，以此了解他们犯罪过程中的每一个细微环节。