信息系统安全检测技术.ppt
《信息系统安全检测技术.ppt》由会员分享,可在线阅读,更多相关《信息系统安全检测技术.ppt(59页珍藏版)》请在三一文库上搜索。
1、2019/8/24,1,第七章 信息系统安全检测技术,信息安全,2019/8/24,2,本章主要内容,7.1 入侵检测技术 7.2 漏洞检测技术 7.3 审计追踪,2019/8/24,3,本章学习目标,本章重点介绍入侵检测的概念、分类、基本方法;入侵响应、审计追踪技术;漏洞扫描技术的概念。给出了入侵检测系统现成实现模式。最后介绍了入侵检测工具Snort的安装与配置。 通过本章的学习,使学员: (1)理解入侵检测的概念、分类、基本方法; (2)理解入侵响应、审计追踪技术; (3)理解漏洞扫描技术; (4)掌握Snort入侵检测工具的使用。,2019/8/24,4,入侵检测技术是动态安全技术的最核
2、心技术之一。传 统的操作系统加固技术和防火墙隔离技术等都是静态安全 防御技术,对网络环境下日新月异的攻击手段缺乏主动的 反应。 入侵检测是防火墙的合理补充,帮助系统对付网络攻 击,扩展了系统管理员的安全管理能力(包括安全审计、 监视、进攻识别和响应),提高了信息安全基础结构的完 整性。它从计算机网络系统中的若干关键点收集信息、分 析信息,查看是否有违反安全策略的行为和遭到袭击的迹 象。入侵检测被认为是防火墙之后的第二道安全防线,提 供对内部攻击、外部攻击和误操作的实时保护。,7.1 入侵检测技术,2019/8/24,5,7.1.1 入侵检测定义,入侵检测(Intrusion Detection
3、)是检测和识别系统中未授权或异常现象,利用审计记录,入侵检测系统应能识别出任何不希望有的活动,这就要求对不希望的活动加以限定,一旦当它们出现就能自动地检测。入侵检测技术的第一条防线是接入控制,第二条防线是检测。 IDS可分为两种:基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统(IDS)一定是基于主机和基于网络两种方式兼备的分布式系统。 利用最新的可适应网络安全技术和P2DR(Policy ,Protection,Detection,Response)安全模型,已经可以深入地研究入侵事件、入侵手段本身及被入侵目标的漏洞等。,7.1 入侵检测技术,2019/8/24,6,7.1.2 I
4、DS分类,1.基于行为的和基于知识的检测 按具体的检测方法,将检测系统分为基于行为的和基于 知识的两类。 基于行为的检测也被称为异常检测。 基于知识的检测也被称为误用检测。,7.1 入侵检测技术,2019/8/24,7,7.1.2 IDS分类,2.根据数据源不同的检测 根据检测系统所分析的原始数据不同,将入侵检测分为 来自系统日志和网络数据包两种。,7.1 入侵检测技术,两类检测的关系,2019/8/24,8,7.1.3 入侵检测系统基本原理,1.入侵检测框架 对安全事件的检测包括大量复杂的步骤,涉及到很多系 统,任何单一技术很难提供完备的检测能力,需要综合多个 检测系统以达到尽量完备检测能力
5、。因此,对于入侵检测框 架的研究国内外专家都十分重视。比较有名的成果是通用入 侵检测框架(CIDF)和入侵检测交换格式(IDEF)。CIDF是 由美国加洲大学Davis分校的安全实验室提出的框架:IDEF 是由IETF的入侵检测工组( IDWG )开发的安全事件报警的 标准格式。,7.1 入侵检测技术,2019/8/24,9,7.1.3 入侵检测系统基本原理,1.入侵检测框架,7.1 入侵检测技术,数据源,操作员,传感器,管理器,分析器,管理员,活动,事件,报警,安全策略,通告,响应,通用入侵检测框架(CIDF),2019/8/24,10,7.1.3 入侵检测系统基本原理,1.入侵检测框架,7
6、.1 入侵检测技术,简单的入侵检测系统,2019/8/24,11,7.1.3 入侵检测系统基本原理,2.信息收集 在网络系统中的若干不同关键点(网段和主机)。收集 系统、网络、数据及用户活动的状态和行为信息。入侵检测 可以利用的分析数据信息: (1)网络和系统日志文件 (2)目录和文件中的不期望的改变 (3)程序执行中的不期望行为 (4)物理形式的入侵信息 (5)其他信息,7.1 入侵检测技术,2019/8/24,12,7.1.3 入侵检测系统基本原理,3.信息分析 通过三种技术手段进行分析: 模式匹配(实时):将收集到的信息与已知网络入侵和系 统误用模式数据库进行比较,而发现违背安全策略的行
7、为。 统计分析(实时):先给系统对象(用户、文件、目录和 设备等)创建一个统计描述,统计正常使用时的一些测量属 性(访问次数、操作失败次数、延时)。测量属性的平均值 将被用来与网络、系统的行为进行比较。 完整性分析(事后):关注文件和目录的内容及属性,发现 被更改的或被特洛伊木马化的应用程序。,7.1 入侵检测技术,2019/8/24,13,1.基于主机的入侵检测系统,7.1 入侵检测技术,7.1.4入侵检测系统的结构,检测的目标 主要是主机系统 和系统本地用户。,2019/8/24,14,1.基于主机的入侵检测系统,7.1 入侵检测技术,7.1.4入侵检测系统的结构,在需要保护 的主机(端系
8、统) 上运行代理程序, 根据主机的审计 数据和系统的日 志发现可疑事件, 从而实现监控。,2019/8/24,15,2.基于网络的入侵检测系统,7.1 入侵检测技术,7.1.4入侵检测系统的结构,利用网络适配器 来实时监视和分析所 有通过网络进行传输 的通信。一旦检测到 攻击,IDS相应模块 通过通知、报警以及 中断连接等方式来对 攻击做出反应。,2019/8/24,16,2.基于网络的入侵检测系统 优点: 检测的范围是整个网段,而不仅仅是被保护的主机。 实时检测和应答。一旦发生恶意访问或攻击,能够更快 地做出反应,将入侵活动对系统的破坏减到最低。 隐蔽性好。不需要在每个主机上安装,不易被发现
9、。 不需要任何特殊的审计和登录机制,只要配置网络接口 就可以了,不会影响其他数据源。 操作系统独立。基于网络的IDS并不依赖主机的操作系 统作为检测资源。,7.1 入侵检测技术,7.1.4入侵检测系统的结构,2019/8/24,17,3.分布式入侵检测系统 分布式入侵检测系统产生的原因情况: 系统的弱点或漏洞分散在网络中各个主机上,这些弱点有可能被入侵者一起用来攻击网络,而仅仅依靠一个主机或网络入侵检测系统难以发现入侵行为。 网络入侵行为不再是单一的行为,而是表现出相互协作入侵的特点,如分布式拒绝服务攻击。 入侵检测所依靠的数据来源分散化,收集原始的检测数据变得困难。 网络速度传输加快,网络流
10、量大,原始数据的集中处理方式往往造成检测瓶颈,从而导致漏检。,7.1 入侵检测技术,7.1.4入侵检测系统的结构,2019/8/24,18,3.分布式入侵检测系统,7.1 入侵检测技术,7.1.4入侵检测系统的结构,早期的分布式入侵检测系统,分布式IDS系统的目标是既能检测网络入侵行为,又 能检测主机的入侵行为。,2019/8/24,19,3.分布式入侵检测系统,7.1 入侵检测技术,7.1.4入侵检测系统的结构,2019/8/24,20,1.基于用户行为概率统计模型的入侵检测方法 根据系统内部保存的用户行为概率统计模型进行检测 。在用户的历史行为以及早期的证据或模型的基础上生成 每个用户的历
11、史行为记录库,系统实时地检测用户对系统 的使用情况,当用户改变他们的行为习惯时,当发现有可 疑的行为发生时,这种异常就会被检测出来。 例如,统计系统会记录CPU的使用时间、I/O的使用通 道和频率、常用目录的建立与删除、文件的读些、修改、 删除、以及用户习惯使用的编辑器和编译器、最常用的系 统调用、用户ID的存取、文件和目录的使用。,7.1 入侵检测技术,7.1.5 入侵检测的基本方法,2019/8/24,21,2.基于神经网络的入侵检测方法 这种方法是利用神经网络技术来进行入侵检测的,因 此,这种方法对于用户行为具有学习和自适应性,能够根 据实际检测到的信息有效地加以处理并做出判断。但尚不
12、十分成熟,目前还没有出现较为完善的产品。,7.1 入侵检测技术,7.1.5 入侵检测的基本方法,2019/8/24,22,3.基于专家系统的入侵检测方法 根据安全专家对可疑行为的分析经验形成的一套推理 规则,建立相应的专家系统,自动进行对所涉及的入侵行 为进行分析。 实现基于规则的专家系统是一个知识工程问题,应当 能够随着经验的积累而利用其自学习能力进行规则的扩充 和修正。这样的能力需在专家指导和参与才能实现。一方 面,推理机制使得系统面对一些新的行为现象时可能具备 一定的应对能力(即有可能会发现一些新的安全漏洞);另 一方面,攻击行为不会触发任何一个规则,从而被检测到。,7.1 入侵检测技术
13、,7.1.5 入侵检测的基本方法,2019/8/24,23,3.基于专家系统的入侵检测方法 基于专家系统也有局限性。这类系统的基础的推理规则一般都是根据已知的安全漏洞进行安排和策划的,而对系统的最危险的威胁则主要是来自未知的安全漏洞。,7.1 入侵检测技术,7.1.5 入侵检测的基本方法,2019/8/24,24,4.基于模型推理的入侵检测方法 根据入侵者在进行入侵时所执行程序的某些行为特征 建立一种入侵行为模型;根据这种行为模型所代表的入侵 意图的行为特征来判断用户的操作是否属于入侵行为。当 然这种方法也是建立在对已知的入侵行为的基础之上的, 对未知的入侵行为模型识别需要进一步的学习和扩展。
14、 上述每一种方法都不能保证准确地检测出变化无穷的 入侵行为,因此在网络安全防护中要充分衡量各种方法的 利弊。综合运用这些方法才能有效地检测出入侵者的非法 行为。,7.1 入侵检测技术,7.1.5 入侵检测的基本方法,2019/8/24,25,1.信息收集分析时间 2.采用的分析类型 3.检测系统对攻击和误用的反应 4.检测系统的管理和安装 5.检测系统的完整性 6.设置诱骗服务器,7.1 入侵检测技术,7.1.6 入侵检测实现时若干问题的考虑,2019/8/24,26,入侵者常常是从收集、发现和利用信息系统的漏洞来 发起对系统的攻击的系统,不同的应用,甚至同一系统不 同的版本,其系统漏洞都不尽
15、相同。这些大致上可以分为 以下几类。 1.网络传输和协议的漏洞 2.系统的漏洞 3.管理的漏洞,7.2 漏洞检测技术,7.2.1 入侵攻击可利用的系统漏洞的类型,2019/8/24,27,实时监控非法入侵的安全实验,EMAIL 报警日志,攻击检测,记录,重配置 防火墙/路由器,INTERNAL,攻击检测,记录,通话终止,2019/8/24,28,Internet,Wes Server,Wes Server,Wes Server,7.2 漏洞检测技术,7.2.1 入侵攻击可利用的系统漏洞的类型,2019/8/24,29,漏洞检测技术通常采用两种策略,即被动式策略和主动 式策略。 被动式策略是基于
16、主机的检测,对系统中不合适的设置 、脆弱的口令以及其他同安全策略相抵触的对象进行检查; 主动式策略是基于网络的检测,通过执行一些脚本文件 对系统进行攻击。并记录它的反应,从而发现其中的漏洞。 漏洞检测的结果实际上是对系统安全性能的一个评估,指出 了这些攻击是可能的,因此成为安全方案的一个重要组成部 分。,7.2.2 漏洞检测技术分类,7.2 漏洞检测技术,2019/8/24,30,(1)检测分析的位置 (2)报告与安装 (3)检测后的解决方案 (4)检测系统本身的完整性,7.2.3 漏洞检测的特点,7.2 漏洞检测技术,2019/8/24,31,1.设计目标 该网络漏洞检测系统的设计目标是使得
17、在攻击者入侵 之前,能够帮助系统管理员主动对网络上的设备进行安全 测试,根据当前Internet上或软件公司公布的系统中的漏 洞及时下载安装各种补丁程序,以便提高网络系统抵抗攻 击的能力。,7.2.3 漏洞检测系统的设计实例,7.2 漏洞检测技术,2019/8/24,32,2.系统组成 该系统大体上可分为两大模块: 外部扫描模块 功能和特点是,模拟黑客攻击的部分过程在网络上进行扫描,把扫描得到的信息进行综合分析,再结合不断更新的漏洞数据库来发现网络上存在的隐患; 内部扫描模块 功能和特点是,模拟系统管理员从主机内部进行扫描,检查一切和网络安全有关的配置是否正确,进而从内部清除隐患。通过内外扫描
18、的结合,就可以很全面地检查和防范在网络环境中可能出现的安全隐患,最大可能地使黑客无可乘之机。,7.2.3 漏洞检测系统的设计实例,7.2 漏洞检测技术,2019/8/24,33,3.外部扫描模块体系结构 (1)网络端口扫描模块 (2)应用服务软件探测模块 (3)反馈信息分析整理模块 (4)信息数据库 (5)匹配漏洞信息模块 (6)应用服务和信息漏洞维护模块 (7)漏洞数据库,7.2.3 漏洞检测系统的设计实例,7.2 漏洞检测技术,2019/8/24,34,7.2.3 漏洞检测系统的设计实例,7.2 漏洞检测技术,外部扫描模块结构示意,3.外部扫描模块体系结构,2019/8/24,35,4.内
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全 检测 技术
链接地址:https://www.31doc.com/p-3425458.html