最新07安全检测技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
系统目录和文件的异常变化
网络环境中的文件系统包含很多软件和数据文件,包 含重要信息的文件和私有数据文件经常是黑客修改或 破坏的目标。目录和文件中的不期望的改变(包括修 改、创建和删除),特别是那些正常情况下限制访问 的,很可能就是一种入侵产生的指示和信号
入侵者经常替换、修改和破坏他们获得访问权的系统 上的文件,同时为了隐藏系统中他们的表现及活动痕 迹,都会尽力去替换系统程序或修改系统日志文件
1. 概述 2. 2 入侵检测的分类 3. 入侵检测系统的设计原理 4. 入侵检测响应机制 5. 入侵检测标准化工作 6. 入侵检测的现状和展望
按检测方法分类
异常检测模型(Anomaly Detection ):首先总结正 常操作应该具有的特征(用户轮廓),当用户活动与 正常行为有重大偏离时即被认为是入侵
误用检测模型(Misuse Detection):收集非正常操 作的行为特征,建立相关的特征库,当监测的用户或 系统行为与库中的记录相匹配时,系统就认为这种行 为是入侵
局限性 误报警,缓慢攻击,新的攻 击模式 并不能真正扫描漏洞
可视为防火墙上的一个漏洞
防火墙 可简化网络管理,产品成熟 无法处理网络内部的攻击
防病毒 针对文件与邮件,产品成熟 功能单一
与其他网络安全设备的不同之处在于,IDS是 一种积极主动的安全防护技术。
入侵检测的起源(1)
审计技术:产生、记录并检查按时间顺序排列的系统 事件记录的过程
审计的目标:
确定和保持系统活动中每个人的责任 重建事件 评估损失 监测系统的问题区 提供有效的灾难恢复 阻止系统的不正当使用
入侵检测的起源(2)
计算机安全和审计 美国国防部在70年代支持“可信信息系统”的
研究,最终审计机制纳入《可信计算机系统评 估准则》(TCSEC)C2级以上系统的要求的 一部分 “褐皮书”《理解可信系统中的审计指南》
统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设 备等)创建一个统计描述,统计正常使用时的一些测量属 性(如访问次数、操作失败次数和延时等)
测量属性的平均值将被用来与网络、系统的行为进行比较, 任何观察值在正常值范围之外时,就认为有入侵发生
完整性分析
完整性分析主要关注某个文件或对象是否被更 改,这经常包括文件和目录的内容及属性,它 在发现被更改的、被安装木马的应用程序方面 特别有效
信息分析
▪ 模式匹配 ▪ 统计分析 ▪ 完整性分析,往往用于事后分析
模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统 误用模式数据库进行比较,从而发现违背安全策略的行 为
一般来讲,一种进攻模式可以用一个过程(如执行一条 指令)或一个输出(如获得权限)来表示。该过程可以 很简单(如通过字符串匹配以寻找一个简单的条目或指 令),也可以很复杂(如利用正规的数学表达式来表示 安全状态的变化)
入侵检测的起源(3)
▪ 1980年4月,James P. Anderson :《Computer
Security Threat Monitoring and Surveillance》(计算 机安全威胁监控与监视)的技术报告,第一次详细阐述了入 侵检测的概念
▪ 他提出对计算机系统风险和威胁的分类方法,并将威胁分为
07安全检测技术
1. 概述 2. 入侵检测的分类 3. 入侵检测系统的设计原理 4. 入侵检测响应机制 5. 入侵检测标准化工作 6. 入侵检测的现状和展望
网络安全工具的特点
IDS
优点 实时监控网络安全状态
Scanner 简单可操作,帮助系统管理 员和安全服务人员解决实际 问题
VPN 保护公网上的内部通信
IDES结构框架
审计数据源
模式匹配器 策略规则
轮廓特征引擎 异常检测器 警告/报告产生器
入侵检测的起源(5)
▪ 1990,加州大学戴维斯分校的L. T. Heberlein等人开发
出了NSM(Network Security Monitor)
▪ 该系统第一次直接将网络流作为审计数据来源,因而可
以在不将审计数据转换成统一格式的情况下监控异种主 机
系统或网络的日志文件
黑客经常在系统日志文件中留下他们的踪迹,因此, 充分利用系统和网络日志文件信息是检测入侵的必要 条件
日志文件中记录了各种行为类型,每种类型又包含不 同的信息,例如记录“用户活动”类型的日志,就包 含登录、用户ID改变、用户对文件的访问、授权和认 证信息等内容
显然,对用户活动来讲,不正常的或不期望的行为就 是重复登录失败、登录到不期望的位置以及非授权的 企图访问重要文件等等
尽可能扩大检测范围 从一个源来的信息有可能看不出疑点
Leabharlann Baidu
信息收集
入侵检测很大程度上依赖于收集信息的可靠性和 正确性。
因此要保证用来检测网络系统的软件的完整性, 特别是入侵检测系统软件本身应具有相当强的坚 固性,防止被篡改而收集到错误的信息
信息收集的来源
系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为
外部渗透、内部渗透和不法行为三种
▪ 还提出了利用审计跟踪数据监视入侵活动的思想。这份报告
被公认为是入侵检测的开山之作
入侵检测的起源(4)
从1984年到1986年,乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一 个实时入侵检测系统模型,取名为IDES(入侵检测专家 系统)
▪ 入侵检测系统发展史翻开了新的一页,两大阵营正式形
成:基于网络的IDS和基于主机的IDS
为什么需要IDS
关于防火墙
网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部
入侵很容易
入侵教程随处可见 各种工具唾手可得
IDS存在与发展的必然性
一、网络攻击的破坏性、损失的严重性 二、日益增长的网络安全威胁 三、单纯的防火墙无法防范复杂多变的攻击
IDS基本结构
入侵检测是监测计算机网络和系统,以发现违 反安全策略事件的过程
简单地说,入侵检测系统包括三个功能部件: (1)信息收集 (2)信息分析 (3)结果处理
信息收集
入侵检测的第一步是信息收集,收集内容包括系 统、网络、数据及用户活动的状态和行为。
需要在计算机网络系统中的若干不同关键点(不 同网段和不同主机)收集信息,