山东大学计算机科学与技术学院网络防御技术山东大学计算机科学与技术学院网络安全工具的特点优点局限性防火墙可简化网络管理,产品成熟无法处理网络内部的攻击IDS实时监控网络安全状态误报警,缓慢攻击,新的攻击模式蜜罐技术主动诱捕容易被识破VPN保护公网上的内部通信可视为防火墙上的一个漏洞防病毒针对文件与邮件,产品成熟功能单一山东大学计算机科学与技术学院入侵检测技术防火墙技术蜜罐技术山东大学计算机科学与技术学院入侵检测技术山东大学计算机科学与技术学院1.概述2.入侵检测方法3.入侵检测系统的设计原理4.入侵检测响应机制5.其它6.展望山东大学计算机科学与技术学院传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全入侵检测(IntrusionDetection)是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象入侵检测基本概念概述山东大学计算机科学与技术学院入侵检测的定义对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性进行入侵检测的软件与硬件的组合便是入侵检测系统IDS:IntrusionDetectionSystem山东大学计算机科学与技术学院1980年Anderson提出:入侵检测概念,分类方法1987年Denning提出了一种通用的入侵检测模型独立性:系统、环境、脆弱性、入侵种类系统框架:异常检测器,专家系统90年初:CMDS™、NetProwler™、NetRanger™ISSRealSecure™入侵检测起源山东大学计算机科学与技术学院入侵检测的起源(1)审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程审计的目标:–确定和保持系统活动中每个人的责任–重建事件–评估损失–监测系统的问题区–提供有效的灾难恢复–阻止系统的不正当使用山东大学计算机科学与技术学院入侵检测的起源(2)计算机安全和审计美国国防部在70年代支持“可信信息系统”的研究,最终审计机制纳入《可信计算机系统评估准则》(TCSEC)C2级以上系统的要求的一部分“褐皮书”《理解可信系统中的审计指南》山东大学计算机科学与技术学院入侵检测的起源(3)1980年4月,JamesP.Anderson:《ComputerSecurityThreatMonitoringandSurveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作山东大学计算机科学与技术学院入侵检测的起源(4)从1984年到1986年,乔治敦大学的DorothyDenning和SRI/CSL的PeterNeumann研究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系统)山东大学计算机科学与技术学院入侵检测的起源(5)1990,加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(NetworkSecurityMonitor)该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS山东大学计算机科学与技术学院IDS存在与发展的必然性一、网络攻击的破坏性、损失的严重性二、日益增长的网络安全威胁三、单纯的防火墙无法防范复杂多变的攻击山东大学计算机科学与技术学院为什么需要IDS关于防火墙–网络边界的设备–自身可以被攻破–对某些攻击保护很弱–不是所有的威胁来自防火墙外部山东大学计算机科学与技术学院IDS基本结构入侵检测是监测计算机网络和系统,以发现违反安全策略事件的过程简单地说,入侵检测系统包括三个功能部件:(1)信息收集(2)信息分析(3)结果处理山东大学计算机科学与技术学院入侵检测的分类按照数据来源:–基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机–基于网络:系统获取的数据是网络传输的数据包,保护的是网络的运行–混合型山东大学计算机科学与技术学院监视与分析主机的审计记录可以不运行在监控主机上能否及时采集到审计记录?如何保护作为攻击目标主机审计子系统?基于主机山东大学计算机科学与技术学院在共享网段上对通信数据进行侦听采集数据主机资源消耗少提供对网络通用的保护如何适应高速网络环境?非共享网络上如何采集数据?基于网络山东大学计算机科学与技术学院两类IDS监测软件网络IDS–侦测速度快–隐蔽性好–视野更宽–较少的监测器–占资源少主机IDS–视野集中–易于用户自定义–保护更加周密–对网络流量不敏感山东大学计算机科学与技术学院异常入侵检测方法•统计异常检测•基于特征选择异常检测•基于贝叶斯推理异常检测•基于贝叶斯网络异常检测•基于模式预测异常检测•基于神经网络异常检测•基于贝叶斯聚类异常检测•基于机器学习异常检测•基于数据挖掘异常检测入侵检测方法山东大学计算机科学与技术学院•基于条件概率误用检测•基于专家系统误用检测•基于状态迁移误用检测•基于键盘监控误用检测•基于模型误用检测误用入侵检测方法山东大学计算机科学与技术学院活动数据源感应器分析器管理器操作员管理员事件警报通告应急安全策略安全策略入侵检测系统原理图入侵检测系统的设计原理山东大学计算机科学与技术学院攻击模式库入侵检测器应急措施配置系统库数据采集安全控制系统审计记录/协议数据等系统操作简单的入侵检测示意图山东大学计算机科学与技术学院一个攻击检测实例老版本的Sendmail漏洞利用$telnetmail.victim.com25WIZshell或者DEBUG#直接获得rootshell!山东大学计算机科学与技术学院简单的匹配检查每个packet是否包含:“WIZ”|“DEBUG”山东大学计算机科学与技术学院检查端口号缩小匹配范围Port25:{“WIZ”|“DEBUG”}山东大学计算机科学与技术学院深入决策树只判断客户端发送部分Port25:{Client-sends:“WIZ”|Client-sends:“DEBUG”}山东大学计算机科学与技术学院响应策略弹出窗口报警E-mail通知切断TCP连接执行自定义程序与其他安全产品交互–Firewall–SNMPTrap入侵检测响应机制山东大学计算机科学与技术学院IDS现状1.基于主机和基于网络的入侵检测系统采集、分析的数据不全面2.入侵检测由各个检测引擎独立完成,中心管理控制平台并不具备检测入侵的功能,缺乏综合分析3.在响应上,除了日志和告警,检测引擎只能通过发送RST包切断网络连接,或向攻击源发送目标不可达信息来实现安全控制其它山东大学计算机科学与技术学院产品免费–Snort–SHADOW山东大学计算机科学与技术学院产品商业–CyberCopMonitor,NAI–DragonSensor,Enterasys–eTrustID,CA–NetProwler,Symantec–NetRanger,Cisco–NID-100/200,NFRSecurity–RealSecure,ISS–SecureNetPro,Intrusion.com山东大学计算机科学与技术学院资源IDSFAQ–Focus-IDSMailinglist–Yawl–OldHand–Sinbad–=IDS山东大学计算机科学与技术学院面临的问题(1)随着能力的提高,入侵者会研制更多的攻击工具,以及使用更为复杂精致的攻击手段,对更大范围的目标类型实施攻击;(2)入侵者采用加密手段传输攻击信息;(3)日益增长的网络流量导致检测分析难度加大;(4)缺乏统一的入侵检测术语和概念框架;(5)不适当的自动响应机制存在着巨大的安全风险;(6)存在对入侵检测系统自身的攻击;(7)过高的错报率和误报率,导致很难确定真正的入侵行为;(8)采用交换方法限制了网络数据的可见性;(9)高速网络环境导致很难对所有数据进行高效实时分析展望山东大学计算机科学与技术学院防火墙技术山东大学计算机科学与技术学院报告内容基本概念防火墙配置模式防火墙相关技术几个新的方向山东大学计算机科学与技术学院基本概念防火墙定义为什么需要防火墙对防火墙的两大需求防火墙系统四要素防火墙技术的发展过程引入防火墙技术的好处争议及不足山东大学计算机科学与技术学院防火墙定义防火墙是位于两个(或多个)网络间,实施网间访问控制的一组组件的集合,它满足以下条件:–内部和外部之间的所有网络数据流必须经过防火墙–只有符合安全政策的数据流才能通过防火墙–防火墙自身应对渗透(peneration)免疫山东大学计算机科学与技术学院山东大学计算机科学与技术学院山东大学计算机科学与技术学院为什么需要防火墙山东大学计算机科学与技术学院内部网特点组成结构复杂各节点通常自主管理信任边界复杂,缺乏有效管理有显著的内外区别机构有整体的安全需求最薄弱环节原则山东大学计算机科学与技术学院为什么需要防火墙保护内部不受来自Internet的攻击为了创建安全域为了增强机构安全策略山东大学计算机科学与技术学院对防火墙的两大需求保障内部网安全保证内部网同外部网的连通山东大学计算机科学与技术学院防火墙系统四要素安全策略内部网外部网技术手段山东大学计算机科学与技术学院防火墙技术发展过程20世纪70年代和80年代,多级系统和安全模型吸引了大量的研究屏蔽路由器、网关防火墙工具包商业产品防火墙新的发展山东大学计算机科学与技术学院防火墙技术带来的好处强化安全策略有效地记录Internet上的活动隔离不同网络,限制安全问题扩散是一个安全策略的检查站山东大学计算机科学与技术学院争议及不足使用不便,认为防火墙给人虚假的安全感对用户不完全透明,可能带来传输延迟、瓶颈及单点失效不能替代墙内的安全措施–不能防范恶意的知情者–不能防范不通过它的连接–不能防范全新的威胁–不能有效地防范数据驱动式的攻击–当使用端-端加密时,其作用会受到很大的限制山东大学计算机科学与技术学院基本概念防火墙配置模式防火墙相关技术几个新的方向山东大学计算机科学与技术学院默认安全策略没有明确禁止的行为都是允许的没有明确允许的行为都是禁止的山东大学计算机科学与技术学院防火墙体系结构包过滤路由器单宿/多宿主机模式(dual-homed/multi-homed)屏蔽主机模式屏蔽子网模式山东大学计算机科学与技术学院包过滤路由器山东大学计算机科学与技术学院包过滤路由器最常见的防火墙是放在Internet和内部网络之间的包过滤路由器。包过滤路由器在网络之间完成数据包转发的普通路由功能,并利用包过滤规则来允许或拒绝数据包。一般情况下,是这样来定义过滤规则的:内部网络上的主机可以直接访问Internet,Internet上的主机对内部网络上的主机进行访问是有限制的。这种类型的防火墙系统的默认安全策略是对没有特别允许的外部数据包都拒绝。山东大学计算机科学与技术学院工作原理包过滤路由器对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据报以便确定其是否与某一条包过滤规则匹配。