保密安全与密码技术-8IDS.ppt
- 文档编号:18797873
- 上传时间:2023-11-20
- 格式:PPT
- 页数:81
- 大小:527.50KB
保密安全与密码技术-8IDS.ppt
《保密安全与密码技术-8IDS.ppt》由会员分享,可在线阅读,更多相关《保密安全与密码技术-8IDS.ppt(81页珍藏版)》请在冰点文库上搜索。
保密安全与密码技术,第八讲入侵检测系统IDS,入侵知识简介入侵检测技术入侵检测系统的选择和使用,课程内容,课程目标,了解入侵检测的概念、术语了解入侵检测产品部署方案了解入侵检测产品选型原则了解入侵检测技术发展方向,入侵知识简介,入侵(Intrusion)入侵是指未经授权蓄意尝试访问信息、窜改信息,使系统不可靠或不能使用的行为。
入侵企图破坏计算机资源的完整性、机密性、可用性、可控性,入侵者入侵者可以是一个手工发出命令的人,也可是一个基于入侵脚本或程序的自动发布命令的计算机。
入侵知识简介,目前主要漏洞:
缓冲区溢出拒绝服务攻击漏洞代码泄漏、信息泄漏漏洞配置修改、系统修改漏洞脚本执行漏洞远程命令执行漏洞其它类型的漏洞,侵入系统的主要途径物理侵入本地侵入远程侵入,网络入侵的一般步骤,进行网络攻击是一件系统性很强的工作,其主要工作流程是:
目标探测和信息收集自身隐藏利用漏洞侵入主机稳固和扩大战果清除日志,网络入侵步骤总览,入侵检测系统概述,概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式,背景介绍,信息社会出现的新问题信息时代到来,电子商务、电子政务,网络改变人们的生活,人类进入信息化社会计算机系统与网络的广泛应用,商业和国家机密信息的保护以及信息时代电子、信息对抗的需求存储信息的系统面临的极大的安全威胁潜在的网络、系统缺陷危及系统的安全传统的安全保密技术都有各自的局限性,不能够确保系统的安全信息系统的安全问题操作系统的脆弱性计算机网络的资源开放、信息共享以及网络复杂性增大了系统的不安全性数据库管理系统等应用系统设计中存在的安全性缺陷缺乏有效的安全管理,黑客攻击猖獗,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,后门、隐蔽通道,蠕虫,背景介绍,我国安全形势非常严峻1998年2月25日:
黑客入侵中国公众多媒体通信网广州蓝天BBS系统并得到系统的最高权限,系统失控长达15小时。
为国内首例网上黑客案件。
1998年9月22日,黑客入侵扬州工商银行电脑系统,将72万元注入其户头,提出26万元。
为国内首例利用计算机盗窃银行巨款案件。
1999年4月16日:
黑客入侵中亚信托投资公司上海某证券营业部,造成340万元损失。
1999年11月23日:
银行内部人员通过更改程序,用虚假信息从本溪某银行提取出86万元。
背景介绍,我国安全形势非常严峻(续)2000年2月1日:
黑客攻击了大连市赛伯网络服务有限公司,造成经济损失20多万元。
2000年2月1日至2日:
中国公共多媒体信息网兰州节点“飞天网景信息港”遭到黑客攻击。
2000年3月2日:
黑客攻击世纪龙公司21CN。
2000年3月6日至8日:
黑客攻击实华开EC123网站达16次,同一时期,号称全球最大的中文网上书店“当当书店”也遭到多次黑客攻击。
2000年3月8日:
山西日报国际互联网站遭到黑客数次攻击,被迫关机,这是国内首例黑客攻击省级党报网站事件。
2000年3月8日:
黑客攻击国内最大的电子邮局-拥有200万用户的广州163,系统无法正常登录。
入侵检测系统概述,概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式,入侵检测的提出,什么是入侵检测系统入侵检测系统是一套监控计算机系统或网络系统中发生的事件,根据规则进行安全审计的软件或硬件系统。
为什么需要IDS?
入侵很容易入侵教程随处可见各种工具唾手可得防火墙不能保证绝对的安全网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部防火墙是锁,入侵检测系统是监视器,入侵检测的提出,入侵检测的任务通过事先发现风险来阻止入侵事件的发生,提前发现试图攻击或滥用网络系统的人员检测其它安全工具没有发现的网络工具事件。
提供有效的审计信息,详细记录黑客的入侵过程,从而帮助管理员发现网络的脆弱性。
检测来自内部的攻击事件和越权访问85以上的攻击事件来自于内部的攻击防火墙只能防外,难于防内入侵检测系统作为防火墙系统的一个有效的补充。
入侵检测系统可以有效的防范防火墙开放的服务入侵,入侵检测的提出,入侵检测的发展历史1980年,JamesAnderson最早提出入侵检测概念1987年,DEDenning首次给出了一个入侵检测的抽象模型,并将入侵检测作为一种新的安全防御措施提出。
1988年,Morris蠕虫事件直接刺激了IDS的研究1988年,创建了基于主机的系统,有IDES,Haystack等1989年,提出基于网络的IDS系统,有NSM,NADIR,DIDS等90年代,不断有新的思想提出,如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统2000年2月,对Yahoo!
、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮2001年今,RedCode、求职信等新型病毒的不断出现,进一步促进了IDS的发展。
入侵检测的提出,入侵检测系统概述,概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式,入侵检测相关术语,IDS(IntrusionDetectionSystems)入侵检测系统Promiscuous混杂模式Signatures特征Alerts警告Anomaly异常Console控制台Sensor传感器,入侵检测系统概述,概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式,入侵检测系统分类,概要Host-BasedIDSNetwork-BasedIDSStack-BasedIDS,Host-BasedIDS(HIDS),HIDS优点性能价格比高细腻性,审计内容全面视野集中适用于加密及交换环境,HIDS缺点额外产生的安全问题HIDS依赖性强如果主机数目多,代价过大不能监控网络上的情况,基于主机的入侵检测系统,系统安装在主机上面,对本主机进行安全检测,Network-BasedIDS(NIDS),基于网络的入侵检测系统,系统安装在比较重要的网段内,NIDS优点检测范围广无需改变主机配置和性能独立性和操作系统无关性安装方便,NIDS缺点不能检测不同网段的网络包很难检测复杂的需要大量计算的攻击协同工作能力弱难以处理加密的会话,Stack-BasedIDS(NNIDS),网络节点入侵检测系统安装在网络节点的主机中结合了NIDS和HIDS的技术适合于高速交换环境和加密数据,入侵检测系统概述,概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式,入侵检测系统构件,入侵检测系统构件,事件产生器(Eventgenerators)事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
事件数据库(Eventdatabases)事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
入侵检测系统构件,事件分析器(Eventanalyzers)事件分析器分析得到的数据,并产生分析结果。
响应单元(Responseunits)响应单元则是对分析结果作出作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击,也可以只是简单的报警。
入侵检测系统概述,概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式,入侵检测系统部署方式,Switch,IDSSensor,MonitoredServers,Console,通过端口镜像实现(SPAN/PortMonitor),检测器部署位置,放在边界防火墙之内放在边界防火墙之外放在主要的网络中枢放在一些安全级别需求高的子网,Internet,检测器部署示意图,部署一,部署二,部署三,部署四,入侵检测系统部署方式,检测器放置于防火墙的DMZ区域可以查看受保护区域主机被攻击状态可以看出防火墙系统的策略是否合理可以看出DMZ区域被黑客攻击的重点,检测器放置于路由器和边界防火墙之间可以审计所有来自Internet上面对保护网络的攻击数目可以审计所有来自Internet上面对保护网络的攻击类型,入侵检测系统部署方式,检测器放在主要的网络中枢监控大量的网络数据,可提高检测黑客攻击的可能性可通过授权用户的权利周界来发现为授权用户的行为,检测器放在安全级别高的子网对非常重要的系统和资源的入侵检测,入侵检测系统概述,概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式,入侵检测原理与技术,概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势,入侵检测引擎工作流程,监听部分,网络接口混杂模式根据设置过滤一些数据包过滤程序的算法的重要性,监听器设置如下规则进行过滤:
Onlycheckthefollowingpacket源地址为192.168.0.1,协议分析,协议,IPX,ICMP,OSPF,TCP,UDP,FTP,Telnet,POP3,SMTP,HTTP,DNS,TFTP,IGMP,EGP,GGP,NFS,IP,PPP,IPV6,ATM,NetBEUI,数据分析,根据相应的协议调用相应的数据分析函数一个协议数据有多个数据分析函数处理数据分析的方法是入侵检测系统的核心快速的模式匹配算法,引擎管理,协调和配置给模块间工作数据分析后处理方式AlertLogCallFirewall,入侵检测的分析方式,异常检测(AnomalyDetection)统计模型误报较多误用检测(MisuseDetection)维护一个入侵特征知识库(CVE)准确性高完整性分析,入侵检测原理与技术,概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势,异常检测,基本原理正常行为的特征轮廓检查系统的运行情况是否偏离预设的门限?
异常检测,异常检测的优点:
可以检测到未知的入侵可以检测冒用他人帐号的行为具有自适应,自学习功能不需要系统先验知识,异常检测,异常检测的缺点:
漏报、误报率高入侵者可以逐渐改变自己的行为模式来逃避检测合法用户正常行为的突然改变也会造成误警统计算法的计算量庞大,效率很低统计点的选取和参考库的建立比较困难,误用检测,采用匹配技术检测已知攻击提前建立已出现的入侵行为特征检测当前用户行为特征,误用检测,误用检测的优点算法简单系统开销小准确率高效率高,误用检测,误用检测的缺点被动只能检测出已知攻击新类型的攻击会对系统造成很大的威胁模式库的建立和维护难模式库要不断更新知识依赖于硬件平台操作系统系统中运行的应用程序,完整性分析,通过检查系统的当前系统配置,诸如系统文件的内容或者系统表,来检查系统是否已经或者可能会遭到破坏。
其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。
缺点是一般以批处理方式实现,不用于实时响应。
入侵检测原理与技术,概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势,入侵检测实现技术,基于统计方法的入侵检测技术审计系统实时地检测用户对系统的使用情况,根据系统内部保持的用户行为的概率统计模型进行监测,当发现有可疑的用户行为发生时,保持跟踪并监测、记录该用户的行为。
基于神经网络的入侵检测技术采用神经网络技术,根据实时检测到的信息有效地加以处理作出攻击可能性的判断。
神经网络技术可以用于解决传统的统计分析技术所面临的以下问题:
难于建立确切的统计分布导致难于实现方法的普适性算法实现比较昂贵系统臃肿难于剪裁,基于专家系统的入侵检测技术根据安全专家对可疑行为的分析经验来形成一套推理规则,然后再在此基础之上构成相应的专家系统,并应用于入侵检测。
基于规则的专家系统或推进系统的也有一定的局限性。
基于模型推理的入侵检测技术用基于模型的推理方法人们能够为某些行为建立特定的模型,从而能够监视具有特定行为特征的某些活动。
根据假设的攻击脚本,这种系统就能检测出非法的用户行为。
一般为了准确判断,要为不同的攻击者和不同的系统建立特定的攻击脚本。
入侵检测实现技术,其他的检测实现技术,免疫系统方法遗传算法基于代理检测数据挖掘,入侵检测原理与技术,概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势,入侵检测缺陷,目标通过本章学习,学员可以了解黑客如何逃避入侵检测系统的审计。
概要利用字符串匹配缺陷分割IP数据包拒绝服务攻击,利用字符串匹配缺陷,路径欺骗改变字符串外形,但是实质相同。
解决办法:
协议分析、URL标准化HEX编码URL中将%20代替空格,使用%73代替s等。
WEB服务器可识别HEX编码,入侵检测系统无法识别解决办法:
协议分析;使用于WEB服务器相同的分析器分析HEX编码,然后进行URL分析发现攻击,利用字符串匹配缺陷,二次HEX编码微软IIS服务器对HEX码进行二次解码解码前:
scripts/.%255c./winnt%25是%的编码第一次解码:
scripts/.%5c./winnt%5是的编码第二次解码:
scripts/./winnt等同于scripts/././winnt,利用字符串匹配缺陷,Unicode(UTF-8)%7f以上的编码属于unicode序列%c0%af是一个合法的Unicode序列Scripts/.%c0%af./winnt转换后为:
scripts/././winnt,避免字符匹配缺陷,解码IP包头文件,确定协议类型分析HTTP请求所有成分进行URL处理,避免路径欺骗、HEX编码、二次编码和Unicode字符串匹配,分割IP数据包,有效的逃避手段切割一个攻击IP包分割后的IP包单独通过入侵检测入侵检测系统无法匹配成功,拒绝服务攻击,攻击原理发送大量的黑客入侵包入侵检测系统会发出大量的Alert审计数据库空间将溢出入侵检测系统停止工作,拒绝服务攻击,攻击后果大量消耗设备处理能力,使黑客有机可乘硬盘空间满,导致审计无法继续产生大量Alert,导致管理机无法处理导致管理员无法审查所有的Alert导致设备死锁,入侵检测原理与技术,概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势,IDS评估与测试,入侵检测系统能发现入侵行为吗?
入侵检测系统是否达到了开发者的设计目标?
什么样的入侵检测系统才是用户需要的性能优良的入侵检测系统呢?
要回答这些问题,就要对入侵检测系统进行测试和评估。
IDS的评价标准,Porras等给出了评价入侵检测系统性能的三个因素:
准确性(Accuracy)处理性能(Performance)完备性(Completeness)Debar等增加了两个性能评价测度容错性(FaultTolerance)及时性(Timeliness),IDS测试评估步骤,创建、选择一些测试工具或测试脚本确定计算环境所要求的条件,比如背景计算机活动的级别配置运行入侵检测系统运行测试工具或测试脚本分析入侵检测系统的检测结果,IDS测试分类,入侵识别测试(也可说是入侵检测系统有效性测试)资源消耗测试强度测试,评估IDS的性能指标,检测率、虚警率及检测可信度(最重要的指标)入侵检测系统本身的抗攻击能力延迟时间资源的占用情况系统的可用性。
系统使用的友好程度。
日志、报警、报告以及响应能力,性能指标接收器特性(ROC)曲线,入侵检测原理与技术,概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势,环境和策略考虑,网络中存在那些应用和设备?
目前拥有那些防范措施?
企业的业务经营方向?
企业中系统环境和网络管理的正式度?
安全目标和任务,是否主要关注来自企业外部的入侵事件?
企业关注来自内部人员的入侵吗?
企业是否使用IDS用于管理控制超过于网络入侵防范?
IDS产品功能和品质,产品是否可扩展针对你自己的网络结构,IDS系统是否具有良好的可扩展性?
产品是如何测试的针对你网络特点,产品提供者是否已测试?
该产品是否进行过攻击测试?
产品管理和操作难易度,IDS产品功能和品质,产品售后服务如何产品安装和配置的承诺是什么?
产品平常维护的承诺是什么?
产品培训的承诺是什么?
还能提供哪些额外的培训及其费用?
产品平常维护具体承诺入侵检测规则库升级费用?
入侵检测规则库升级周期?
当一直新的攻击出现后,规则升级的速度?
是否包含软件升级(费用)?
入侵检测产品,免费的入侵检测产品Snorthttp:
/www.snort.orgSHADOWhttp:
/www.nswc.navy.mil/ISSEC/CID,商业的入侵检测产品,CyberCopMonitor,NAIDragonSensor,EnterasyseTrustID,CANetProwler,SymantecNetRanger,CiscoNID-100/200,NFRSecurityRealSecure,ISSSecureNetPro,I,入侵检测原理与技术,概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势,IDS目前存在的问题,许多IDS是采用集中统一收集和分析数据的体系结构,这种体系结构存在单点失效和可扩展性有限等问题。
有一些IDS设计成分布式收集和分析信息,分层次、相互合作、无中心集权的系统,但仍无法解决上述重新配置和增加功能的问题。
关于入侵检测方法的研究仍在进行中,较成熟的检测方法已用于商业软件的开发中。
各种监测方式都存在不同的问题,例如,误报率高、效率低、占用资源多或者实时性差等缺点。
依靠单一的中心监测不可能检测所有的入侵,已不能满足系统安全性和性能的要求。
目前,国内只有少数的网络入侵检测软件,相关领域的系统研究也刚刚起步,与外国尚有很大差距。
发展趋势及主要研究方向,针对分布式攻击的分布式入侵检测方面的研究用于大规模高速网络入侵检测系统的研究应用层入侵检测的研究智能入侵检测的研究对入侵检测系统与防病毒工具、防火墙、VPN等其他安全产品协同工作方面的研究入侵检测系统的评估测试方面的研究入侵检测与操作系统集成方面的研究对入侵检测系统自身安全状况的研究,入侵检测原理与技术,概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 保密 安全 密码 技术 IDS
![提示](https://static.bingdoc.com/images/bang_tan.gif)