信息系统安全检测技术

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

第七章信息系统安全检测技术2019/8/31第七章信息系统安全检测技术信息安全第七章信息系统安全检测技术2019/8/32本章主要内容7.1入侵检测技术7.2漏洞检测技术7.3审计追踪第七章信息系统安全检测技术2019/8/33本章学习目标本章重点介绍入侵检测的概念、分类、基本方法;入侵响应、审计追踪技术;漏洞扫描技术的概念。给出了入侵检测系统现成实现模式。最后介绍了入侵检测工具Snort的安装与配置。通过本章的学习,使学员:(1)理解入侵检测的概念、分类、基本方法;(2)理解入侵响应、审计追踪技术;(3)理解漏洞扫描技术;(4)掌握Snort入侵检测工具的使用。第七章信息系统安全检测技术2019/8/34入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息、分析信息,查看是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全防线,提供对内部攻击、外部攻击和误操作的实时保护。7.1入侵检测技术第七章信息系统安全检测技术2019/8/357.1.1入侵检测定义入侵检测(IntrusionDetection)是检测和识别系统中未授权或异常现象,利用审计记录,入侵检测系统应能识别出任何不希望有的活动,这就要求对不希望的活动加以限定,一旦当它们出现就能自动地检测。入侵检测技术的第一条防线是接入控制,第二条防线是检测。IDS可分为两种:基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统(IDS)一定是基于主机和基于网络两种方式兼备的分布式系统。利用最新的可适应网络安全技术和P2DR(Policy,Protection,Detection,Response)安全模型,已经可以深入地研究入侵事件、入侵手段本身及被入侵目标的漏洞等。7.1入侵检测技术第七章信息系统安全检测技术2019/8/367.1.2IDS分类1.基于行为的和基于知识的检测按具体的检测方法,将检测系统分为基于行为的和基于知识的两类。基于行为的检测也被称为异常检测。基于知识的检测也被称为误用检测。7.1入侵检测技术第七章信息系统安全检测技术2019/8/377.1.2IDS分类2.根据数据源不同的检测根据检测系统所分析的原始数据不同,将入侵检测分为来自系统日志和网络数据包两种。7.1入侵检测技术系统日志网络数据包异常检测误用检测报警报警并做出相应措施实时检测周期性检测原始数据检测原理两类检测的关系第七章信息系统安全检测技术2019/8/387.1.3入侵检测系统基本原理1.入侵检测框架对安全事件的检测包括大量复杂的步骤,涉及到很多系统,任何单一技术很难提供完备的检测能力,需要综合多个检测系统以达到尽量完备检测能力。因此,对于入侵检测框架的研究国内外专家都十分重视。比较有名的成果是通用入侵检测框架(CIDF)和入侵检测交换格式(IDEF)。CIDF是由美国加洲大学Davis分校的安全实验室提出的框架:IDEF是由IETF的入侵检测工组(IDWG)开发的安全事件报警的标准格式。7.1入侵检测技术第七章信息系统安全检测技术2019/8/397.1.3入侵检测系统基本原理1.入侵检测框架7.1入侵检测技术数据源操作员传感器管理器分析器管理员活动事件报警安全策略通告响应通用入侵检测框架(CIDF)第七章信息系统安全检测技术2019/8/3107.1.3入侵检测系统基本原理1.入侵检测框架7.1入侵检测技术报警攻击模式库配置系统库入侵分析引擎响应处理数据采集安全控制主机系统系统操作审计记录/协议数据简单的入侵检测系统第七章信息系统安全检测技术2019/8/3117.1.3入侵检测系统基本原理2.信息收集在网络系统中的若干不同关键点(网段和主机)。收集系统、网络、数据及用户活动的状态和行为信息。入侵检测可以利用的分析数据信息:(1)网络和系统日志文件(2)目录和文件中的不期望的改变(3)程序执行中的不期望行为(4)物理形式的入侵信息(5)其他信息7.1入侵检测技术第七章信息系统安全检测技术2019/8/3127.1.3入侵检测系统基本原理3.信息分析通过三种技术手段进行分析:模式匹配(实时):将收集到的信息与已知网络入侵和系统误用模式数据库进行比较,而发现违背安全策略的行为。统计分析(实时):先给系统对象(用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(访问次数、操作失败次数、延时)。测量属性的平均值将被用来与网络、系统的行为进行比较。完整性分析(事后):关注文件和目录的内容及属性,发现被更改的或被特洛伊木马化的应用程序。7.1入侵检测技术第七章信息系统安全检测技术2019/8/3131.基于主机的入侵检测系统7.1入侵检测技术7.1.4入侵检测系统的结构报警攻击模式库配置系统库入侵分析引擎响应处理数据采集安全控制主机系统系统操作审计记录/协议数据检测的目标主要是主机系统和系统本地用户。第七章信息系统安全检测技术2019/8/3141.基于主机的入侵检测系统7.1入侵检测技术7.1.4入侵检测系统的结构审计记录收集方法异常检测误用检测安全管理员接口审计记录数据库审计记录数据归档/查询目标系统审计记录预处理在需要保护的主机(端系统)上运行代理程序,根据主机的审计数据和系统的日志发现可疑事件,从而实现监控。第七章信息系统安全检测技术2019/8/3152.基于网络的入侵检测系统7.1入侵检测技术7.1.4入侵检测系统的结构分析结果网络接口网络接口分析引擎模块管理/配置模块网络安全数据库采集模块采集模块利用网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击,IDS相应模块通过通知、报警以及中断连接等方式来对攻击做出反应。第七章信息系统安全检测技术2019/8/3162.基于网络的入侵检测系统优点:①检测的范围是整个网段,而不仅仅是被保护的主机。②实时检测和应答。一旦发生恶意访问或攻击,能够更快地做出反应,将入侵活动对系统的破坏减到最低。③隐蔽性好。不需要在每个主机上安装,不易被发现。④不需要任何特殊的审计和登录机制,只要配置网络接口就可以了,不会影响其他数据源。⑤操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源。7.1入侵检测技术7.1.4入侵检测系统的结构第七章信息系统安全检测技术2019/8/3173.分布式入侵检测系统分布式入侵检测系统产生的原因情况:系统的弱点或漏洞分散在网络中各个主机上,这些弱点有可能被入侵者一起用来攻击网络,而仅仅依靠一个主机或网络入侵检测系统难以发现入侵行为。网络入侵行为不再是单一的行为,而是表现出相互协作入侵的特点,如分布式拒绝服务攻击。入侵检测所依靠的数据来源分散化,收集原始的检测数据变得困难。网络速度传输加快,网络流量大,原始数据的集中处理方式往往造成检测瓶颈,从而导致漏检。7.1入侵检测技术7.1.4入侵检测系统的结构第七章信息系统安全检测技术2019/8/3183.分布式入侵检测系统7.1入侵检测技术7.1.4入侵检测系统的结构…中央数据处理单元传感器传感器传感器传感器局域网管理器早期的分布式入侵检测系统分布式IDS系统的目标是既能检测网络入侵行为,又能检测主机的入侵行为。第七章信息系统安全检测技术2019/8/3193.分布式入侵检测系统7.1入侵检测技术7.1.4入侵检测系统的结构格式化数据模型格式化数据模型格式化数据数据仓库传感器检测器原始数据自适应模型产生器第七章信息系统安全检测技术2019/8/3201.基于用户行为概率统计模型的入侵检测方法根据系统内部保存的用户行为概率统计模型进行检测。在用户的历史行为以及早期的证据或模型的基础上生成每个用户的历史行为记录库,系统实时地检测用户对系统的使用情况,当用户改变他们的行为习惯时,当发现有可疑的行为发生时,这种异常就会被检测出来。例如,统计系统会记录CPU的使用时间、I/O的使用通道和频率、常用目录的建立与删除、文件的读些、修改、删除、以及用户习惯使用的编辑器和编译器、最常用的系统调用、用户ID的存取、文件和目录的使用。7.1入侵检测技术7.1.5入侵检测的基本方法第七章信息系统安全检测技术2019/8/3212.基于神经网络的入侵检测方法这种方法是利用神经网络技术来进行入侵检测的,因此,这种方法对于用户行为具有学习和自适应性,能够根据实际检测到的信息有效地加以处理并做出判断。但尚不十分成熟,目前还没有出现较为完善的产品。7.1入侵检测技术7.1.5入侵检测的基本方法第七章信息系统安全检测技术2019/8/3223.基于专家系统的入侵检测方法根据安全专家对可疑行为的分析经验形成的一套推理规则,建立相应的专家系统,自动进行对所涉及的入侵行为进行分析。实现基于规则的专家系统是一个知识工程问题,应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。这样的能力需在专家指导和参与才能实现。一方面,推理机制使得系统面对一些新的行为现象时可能具备一定的应对能力(即有可能会发现一些新的安全漏洞);另一方面,攻击行为不会触发任何一个规则,从而被检测到。7.1入侵检测技术7.1.5入侵检测的基本方法第七章信息系统安全检测技术2019/8/3233.基于专家系统的入侵检测方法基于专家系统也有局限性。这类系统的基础的推理规则一般都是根据已知的安全漏洞进行安排和策划的,而对系统的最危险的威胁则主要是来自未知的安全漏洞。7.1入侵检测技术7.1.5入侵检测的基本方法第七章信息系统安全检测技术2019/8/3244.基于模型推理的入侵检测方法根据入侵者在进行入侵时所执行程序的某些行为特征建立一种入侵行为模型;根据这种行为模型所代表的入侵意图的行为特征来判断用户的操作是否属于入侵行为。当然这种方法也是建立在对已知的入侵行为的基础之上的,对未知的入侵行为模型识别需要进一步的学习和扩展。上述每一种方法都不能保证准确地检测出变化无穷的入侵行为,因此在网络安全防护中要充分衡量各种方法的利弊。综合运用这些方法才能有效地检测出入侵者的非法行为。7.1入侵检测技术7.1.5入侵检测的基本方法第七章信息系统安全检测技术2019/8/3251.信息收集分析时间2.采用的分析类型3.检测系统对攻击和误用的反应4.检测系统的管理和安装5.检测系统的完整性6.设置诱骗服务器7.1入侵检测技术7.1.6入侵检测实现时若干问题的考虑第七章信息系统安全检测技术2019/8/326入侵者常常是从收集、发现和利用信息系统的漏洞来发起对系统的攻击的系统,不同的应用,甚至同一系统不同的版本,其系统漏洞都不尽相同。这些大致上可以分为以下几类。1.网络传输和协议的漏洞2.系统的漏洞3.管理的漏洞7.2漏洞检测技术7.2.1入侵攻击可利用的系统漏洞的类型第七章信息系统安全检测技术2019/8/327实时监控非法入侵的安全实验EMAIL报警日志攻击检测记录重配置防火墙/路由器INTERNAL攻击检测记录通话终止第七章信息系统安全检测技术2019/8/328InternetWesServerWesServerWesServer7.2漏洞检测技术7.2.1入侵攻击可利用的系统漏洞的类型第七章信息系统安全检测技术2019/8/329漏洞检测技术通常采用两种策略,即被动式策略和主动式策略。被动式策略是基于主机的检测,对系统中不合适的设置、脆弱的口令以及其他同安全策略相抵触的对象进行检查;主动式策略是基于网络的检测,通过执行一些脚本文件对系统进行攻击。并记录它的反应,从而发现其中的漏洞。漏洞检测的结果实际上是对系统安全性能的一个评估,指出了这些攻击是可能的,因此成为安全方案的一个重要组成部分。7.2.2漏洞检测技术分类7.2漏洞检测技术第七章信息

1 / 59
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功