网络攻防技术课件第12章网络安全监控第1节
合集下载
网络攻击技术PPT课件
高速缓存用于寸放与本计算机最近进行通信的其他计算机的netbios 名字和ip地址对。 (3)、-r——本命令用于清除和重新加载netbios名字高速缓存。 (4)、-a ip——通过ip显示另一台计算机的物理地址和名字列表,你所 显示的内容就像对方计算机自己运行nbtstat -n一样。 (5)、-s ip——显示实用其ip地址的另一台计算机的netbios连接表。
3、Tracert(Traceroute)命令:
命令格式: C:\> tracert [-d] [-h maximum_hops] [-j host-list]
[-w timeout] target_name 简单事例: C:\>tarcert Target
4、ipconfig命令:
命令格式:
注意必须指定适配器。
ipconfig命令(续):
5、netstat命令:
命令格式:
C:\> NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]
参数:
(1)、-s——本选项能够按照各个协议分别显示其统计数据。如果你的应 用程序(如web浏览器)运行速度比较慢,或者不能显示web页之类的 数据,那么你就可以用本选项来查看一下所显示的信息。
NET USE {devicename | *} [password | *] /HOME NET USE [/PERSISTENT:{YES | NO}]
net use(续):
①、建立IPC$空连接:
IPC$(Internet Process Connection)是共享“命名管道”的 资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户 名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换, 从而实现对远程计算机的访问。
3、Tracert(Traceroute)命令:
命令格式: C:\> tracert [-d] [-h maximum_hops] [-j host-list]
[-w timeout] target_name 简单事例: C:\>tarcert Target
4、ipconfig命令:
命令格式:
注意必须指定适配器。
ipconfig命令(续):
5、netstat命令:
命令格式:
C:\> NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]
参数:
(1)、-s——本选项能够按照各个协议分别显示其统计数据。如果你的应 用程序(如web浏览器)运行速度比较慢,或者不能显示web页之类的 数据,那么你就可以用本选项来查看一下所显示的信息。
NET USE {devicename | *} [password | *] /HOME NET USE [/PERSISTENT:{YES | NO}]
net use(续):
①、建立IPC$空连接:
IPC$(Internet Process Connection)是共享“命名管道”的 资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户 名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换, 从而实现对远程计算机的访问。
网络攻防技术课件第12章网络安全监控
检测单一主机的入侵 根据主机系统审计记录数据
主体
安全监控器
客体
审计数据
实时信息
添加新规则
系统轮廓
更新规则
规则匹配
攻击状态
IDS发展
在DARPA支持下,加州大学戴维斯分校安全实 验室提出入侵检测框架模型(CIDF)
主要工作:体系结构、通信体制、描述语言、应用 程序接口(API)
构成:事件发生器、事件分析器、响应单元、事件
分析捕获数据来了解攻击新工具和新方法 主要包括:
网络协议分析 网络行为分析 攻击特征分析 ······
程序行为分析
一般利用沙箱对恶意程序的运行情况进行 跟踪分析
分析对象
文件操作 注册表操作 进程/线程操作 网络行为 内核加载操作
NSM部署
部署时重点考虑数据来源的可靠性与完备 性
全包捕获数据
完整地记录了两个网络节点之间传输的每 一个数据包,PCAP数据格式
细粒度的且高价值的信息,常用于取证和 上下文分析
数据体量太大,所需存储成本过高,不适 合长期存储;
完整数据包不方便快速审计,解析难度也 较大。
包字符串数据
介于全包捕获数据和会话数据之间 根据自定义的数据格式从全包捕获数据中
确保网络信息系统安全运行 防止攻击者实施渗透、破坏和信息窃取 进行信息收集、事件分析 为网络安全应急处理提供决策依据
NSM发展历程
NSM最早起源于入侵检测 1998年美国空军计算机应急响应小组(AFCERT)部
署了第一个监控网络流量的入侵检测系统——网络安全 监控器(NSM) 1993年AFCERT在NSM基础上升级部署了自动化安全 事件评估系统(ASIM) 网络安全监控逐步由被动变为主动,采用蜜罐 (Honeypot)、沙箱(Sand Box)等欺骗式防御技术。 趋势:更加关注高级态势感知的情报需求
主体
安全监控器
客体
审计数据
实时信息
添加新规则
系统轮廓
更新规则
规则匹配
攻击状态
IDS发展
在DARPA支持下,加州大学戴维斯分校安全实 验室提出入侵检测框架模型(CIDF)
主要工作:体系结构、通信体制、描述语言、应用 程序接口(API)
构成:事件发生器、事件分析器、响应单元、事件
分析捕获数据来了解攻击新工具和新方法 主要包括:
网络协议分析 网络行为分析 攻击特征分析 ······
程序行为分析
一般利用沙箱对恶意程序的运行情况进行 跟踪分析
分析对象
文件操作 注册表操作 进程/线程操作 网络行为 内核加载操作
NSM部署
部署时重点考虑数据来源的可靠性与完备 性
全包捕获数据
完整地记录了两个网络节点之间传输的每 一个数据包,PCAP数据格式
细粒度的且高价值的信息,常用于取证和 上下文分析
数据体量太大,所需存储成本过高,不适 合长期存储;
完整数据包不方便快速审计,解析难度也 较大。
包字符串数据
介于全包捕获数据和会话数据之间 根据自定义的数据格式从全包捕获数据中
确保网络信息系统安全运行 防止攻击者实施渗透、破坏和信息窃取 进行信息收集、事件分析 为网络安全应急处理提供决策依据
NSM发展历程
NSM最早起源于入侵检测 1998年美国空军计算机应急响应小组(AFCERT)部
署了第一个监控网络流量的入侵检测系统——网络安全 监控器(NSM) 1993年AFCERT在NSM基础上升级部署了自动化安全 事件评估系统(ASIM) 网络安全监控逐步由被动变为主动,采用蜜罐 (Honeypot)、沙箱(Sand Box)等欺骗式防御技术。 趋势:更加关注高级态势感知的情报需求
网络攻击与防范安全概论培训课件(PPT 104张)
国内的几个安全事件
(10) 承受能力原则。
•1998年8月22日,江西省中国公用多媒体信息网 安全系统的“动态化”原则是指整个系统内应尽可能多的具有可变因素和良好的扩展性。
被告人王磊犯破坏计算机信息系统罪,判处有期徒刑二年六个月;
( 169台)被电脑“黑客”攻击,整个系统瘫 被告人王磊犯破坏计算机信息系统罪,判处有期徒刑二年六个月;
子海关、电子证券、网络书店、网上拍卖、网络 国内学者给出的定义是:“信息安全保密内容分为:实体安全、运行安全、数据安全和管理安全四个方面。
安全测评是依据安全标准对安全产品或信息系统进行安全性评定。
购物、网络防伪、CTI(客户服务中心)、网上 漏洞扫描是针对特定信息网络存在的漏洞而进行的。
如保护CA认证中心采用多层安全门和隔离墙,核心密码部件还要用防火、防盗柜保护。
30分钟后 在全球的感染面积
RPC DCOM蠕虫
2003年8月11日首先被发现,然后迅速扩散,这时候 距离被利用漏洞的发布日期还不到1个月 该蠕虫病毒针对的系统类型范围相当广泛(包括 Windows NT/2000/XP) 截至8月24日,国内被感染主机的数目为25~100万台 全球直接经济损失几十亿美金
应用信息系统高速发展
• 电子商务、电子政务、电子税务、电子银行、电 凯文•米特尼克(1964年生)
2002年3月底,美国华盛顿著名艺术家Gloria Geary在eBay拍卖网站的帐户,被黑客利用来拍卖 Intel Pentium芯片 次日,继工行之后,中国银行也再出差错,中行银期转账全面暂停,网银、柜台均无法操作
• 网络安全
– 指网络系统的硬件、软件及其系统中的数据受 到保护,不因偶然的或者恶意的原因而遭到破 坏、更改、泄露,确保系统能连续、可靠、正 常地运行,使网络服务不中断。
网络攻防原理第12讲-网络监听技术
1 234 5 6
管理员为了部署网络分析仪等 设备,通过配置交换机端口镜 像功能来实现对网络的监听。
16
(三)交换网络监听:MAC洪泛
MAC地址 端口 攻击思路:
CAM
伪M造AMCA1 C 13 伪M造AMCA2 C 23 伪M造AMCA3 C 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3
10.10.10.1 11:22:33:44:55:ACAC
10.10.10.3 11:22:33:44:55:CC
10.10.10.8 11:22:33:44:55:RR
A:10.10.10.1
内网 外网
IP地址 10.10.10.2 10.10.10.3 10.10.10.8
MAC地址 11:22:33:44:55:CBBC 11:22:33:44:55:CC 11:22:33:44:55:RR
12
共享网络监听的原理
广播特性的总线:主机发送的物理信号能被 物理连接在一起的所有主机接收到。
网卡处于混杂模式:接收所有的数据帧。
13
交换机的工作方式
交换机
CAM
Content Addressable Memory,内容可寻址 存储器
端口管理
MAC ① ② ③
端口 1 2 3
以太网 交换机
5
网络监听环境
主机A
内网 外网
主机B
LAN
路由器R
监听点
主机C
6
Internet
黑客
内容提要
1 网络监听概述 2 网络监听的原理 3 网络监听工具的使用 4 网络监听的防范
7
计算机之间的数据发送
管理员为了部署网络分析仪等 设备,通过配置交换机端口镜 像功能来实现对网络的监听。
16
(三)交换网络监听:MAC洪泛
MAC地址 端口 攻击思路:
CAM
伪M造AMCA1 C 13 伪M造AMCA2 C 23 伪M造AMCA3 C 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3
10.10.10.1 11:22:33:44:55:ACAC
10.10.10.3 11:22:33:44:55:CC
10.10.10.8 11:22:33:44:55:RR
A:10.10.10.1
内网 外网
IP地址 10.10.10.2 10.10.10.3 10.10.10.8
MAC地址 11:22:33:44:55:CBBC 11:22:33:44:55:CC 11:22:33:44:55:RR
12
共享网络监听的原理
广播特性的总线:主机发送的物理信号能被 物理连接在一起的所有主机接收到。
网卡处于混杂模式:接收所有的数据帧。
13
交换机的工作方式
交换机
CAM
Content Addressable Memory,内容可寻址 存储器
端口管理
MAC ① ② ③
端口 1 2 3
以太网 交换机
5
网络监听环境
主机A
内网 外网
主机B
LAN
路由器R
监听点
主机C
6
Internet
黑客
内容提要
1 网络监听概述 2 网络监听的原理 3 网络监听工具的使用 4 网络监听的防范
7
计算机之间的数据发送
网络安全:网络攻击与防御技术实践演示培训ppt
网络安全风险
网络安全风险是指由于网络系统的脆 弱性和外部威胁的存在,可能导致网 络系统遭受攻击和破坏,从而造成损 失和不良影响。
网络安全体系结构与技术
网络安全体系结构
网络安全体系结构包括防火墙、入侵检测系统、安全审计系 统、数据备份与恢复等,这些组件相互协作,共同维护网络 系统的安全。
网络安全技术
防火墙部署
防火墙的部署应根据网络架构和安 全需求进行合理配置,包括部署位 置、访问控制列表等配置。
入侵检测与防御系统
01
02
03
入侵检测概述
入侵检测系统用于实时监 测网络流量和系统行为, 发现异常行为并及时报警 。
入侵检测技术
包括基于特征的检测和基 于异常的检测,以及分布 式入侵检测等。
入侵防御系统
03
2020年针对SolarWinds软件供应链的攻击,影响了全球数千家
企业和组织。
CHAPTER 03
防御技术与实践
防火墙技术与部署
防火墙概述
防火墙是网络安全体系的核心组 件,用于隔离内部网络和外部网 络,防止未经授权的访问和数据
泄露。
防火墙技术
包括包过滤、代理服务器、有状态 检测等,每种技术都有其优缺点, 应根据实际需求选择合适的防火墙 技术。
入侵防御系统是一种主动 防御技术,能够实时阻断 恶意流量和攻击行为。
数据加密与安全通信
数据加密概述
数据加密是保障数据机密 性和完整性的重要手段, 通过加密算法将明文转换 为密文。
数据加密技术
包括对称加密、非对称加 密和混合加密等,每种加 密技术都有其适用场景和 优缺点。
安全通信协议
常用的安全通信协议包括 SSL/TLS、IPSec等,这些 协议能够提供端到端的数 据加密和完整性校验。
网络安全风险是指由于网络系统的脆 弱性和外部威胁的存在,可能导致网 络系统遭受攻击和破坏,从而造成损 失和不良影响。
网络安全体系结构与技术
网络安全体系结构
网络安全体系结构包括防火墙、入侵检测系统、安全审计系 统、数据备份与恢复等,这些组件相互协作,共同维护网络 系统的安全。
网络安全技术
防火墙部署
防火墙的部署应根据网络架构和安 全需求进行合理配置,包括部署位 置、访问控制列表等配置。
入侵检测与防御系统
01
02
03
入侵检测概述
入侵检测系统用于实时监 测网络流量和系统行为, 发现异常行为并及时报警 。
入侵检测技术
包括基于特征的检测和基 于异常的检测,以及分布 式入侵检测等。
入侵防御系统
03
2020年针对SolarWinds软件供应链的攻击,影响了全球数千家
企业和组织。
CHAPTER 03
防御技术与实践
防火墙技术与部署
防火墙概述
防火墙是网络安全体系的核心组 件,用于隔离内部网络和外部网 络,防止未经授权的访问和数据
泄露。
防火墙技术
包括包过滤、代理服务器、有状态 检测等,每种技术都有其优缺点, 应根据实际需求选择合适的防火墙 技术。
入侵防御系统是一种主动 防御技术,能够实时阻断 恶意流量和攻击行为。
数据加密与安全通信
数据加密概述
数据加密是保障数据机密 性和完整性的重要手段, 通过加密算法将明文转换 为密文。
数据加密技术
包括对称加密、非对称加 密和混合加密等,每种加 密技术都有其适用场景和 优缺点。
安全通信协议
常用的安全通信协议包括 SSL/TLS、IPSec等,这些 协议能够提供端到端的数 据加密和完整性校验。
网络安全课件ppt
TCP/IP协议栈
应用层
Telnet
FTP
SMTP
HTTP
DNS
SNMP
TFTP
传输层
TCP
UDP
IP
网际层
ARP
RARP
网络 接口层
Ethernet
Token Ring
X.25
其他协议
IEEE 802 RM
IEEE 802.1a 局域网体系结构 IEEE 802.1b 寻址,网络互连与网络管理。 IEEE 802.2 逻辑链路控制 IEEE 802.3 CSMA\CD媒体访问控制方法与物理规范 IEEE 802.3i 10Mbps基带双绞线访问控制方法与物理规范。 IEEE 802.3u 100Mbps基带访问控制方法与物理规范。 IEEE 802.3z 1000Mbps光纤访问控制方法和物理规范 IEEE 802.4 Token-Bus访问控制方法与物理规范 IEEE 802.5 Token-Ring访问控制方法 IEEE 802.6 城域网访问控制方法和物理规范 IEEE 802.7 宽带局域网访问控制方法和物理规范 IEEE 802.8 FDDI访问控制方法和物理规范 IEEE 802.9 综合数据语音网络 IEEE 802.10 网络安全与保密 IEEE 802.11 无线局域网访问控制方法和物理规范 IEEE 802.12 100VG-AnyLAN访问控制方法和物理规范
操作系统诞生
最初的操作系统出现在IBM/704大型机( 20世纪50年代) 微型计算机的操作系统则诞生于20世纪70年代——CP/M
操作系统远古霸主——DOS
Disk Operating System又称DOS(简写),中文全名“磁盘操作系统”。 1981年 DOS有包括:MS-DOS,PC-DOS,FreeDOS,ROM-DOS等。 特点:DOS是一个单用户、单任务的操作系统 ;字符操作界面 ;DOS对多媒体的支持也不尽人意。
应用层
Telnet
FTP
SMTP
HTTP
DNS
SNMP
TFTP
传输层
TCP
UDP
IP
网际层
ARP
RARP
网络 接口层
Ethernet
Token Ring
X.25
其他协议
IEEE 802 RM
IEEE 802.1a 局域网体系结构 IEEE 802.1b 寻址,网络互连与网络管理。 IEEE 802.2 逻辑链路控制 IEEE 802.3 CSMA\CD媒体访问控制方法与物理规范 IEEE 802.3i 10Mbps基带双绞线访问控制方法与物理规范。 IEEE 802.3u 100Mbps基带访问控制方法与物理规范。 IEEE 802.3z 1000Mbps光纤访问控制方法和物理规范 IEEE 802.4 Token-Bus访问控制方法与物理规范 IEEE 802.5 Token-Ring访问控制方法 IEEE 802.6 城域网访问控制方法和物理规范 IEEE 802.7 宽带局域网访问控制方法和物理规范 IEEE 802.8 FDDI访问控制方法和物理规范 IEEE 802.9 综合数据语音网络 IEEE 802.10 网络安全与保密 IEEE 802.11 无线局域网访问控制方法和物理规范 IEEE 802.12 100VG-AnyLAN访问控制方法和物理规范
操作系统诞生
最初的操作系统出现在IBM/704大型机( 20世纪50年代) 微型计算机的操作系统则诞生于20世纪70年代——CP/M
操作系统远古霸主——DOS
Disk Operating System又称DOS(简写),中文全名“磁盘操作系统”。 1981年 DOS有包括:MS-DOS,PC-DOS,FreeDOS,ROM-DOS等。 特点:DOS是一个单用户、单任务的操作系统 ;字符操作界面 ;DOS对多媒体的支持也不尽人意。
网络攻防技术课件第12章网络安全监控第1节
攻击方:夜深人静, 攻其弱点 防守方:全天候全面防护
信息不对称
攻击方:通过网络扫描、探测、踩点对攻击目标全 面了解
防守方:对攻击方一无所知
后果不对称
攻击方:任务失败,极少受到损失 防守方:安全策略被破坏,利益受损
网络安全监控概念
网络安全监控(Network Security Monitoring, NSM)
的质量
误用检测(特征检测)
公开信誉度列表是由开源社区志愿者支持 维护的关于互联网恶意行为的信息列表
主要收录恶意域名、可疑IP地址、恶意程 序签名等
知名的公开信誉度列表有:恶意软件域名 列表MDL、ZeuS和SpyEye追踪器、 PhishTank,垃圾邮件IP地址封堵名单 Spamhaus,MalCode数据库等。
受监控服务器
分析捕获数据来了解攻击新工具和新方法 主要包括:
网络协议分析 网络行为分析 攻击特征分析 ······
程序行为分析
一般利用沙箱对恶意程序的运行情况进行 跟踪分析
分析对象
文件操作 注册表操作 进程/线程操作 网络行为 内核加载操作
NSM部署
部署时重点考虑数据来源的可靠性与完备 性
第十二章 网络安全监控
目录
12.1 网络安全监控概述 12.2 入侵检测系统 12.3 蜜罐 12.4 沙箱
12.1 网络安全监控概述
NSM概念 NSM背景和意义 NSM发展历程 NSM作用机制 NSM工作特征 NSM技术体系 NSM部署
网络攻防的非对称博弈
工作量不对称
一般通过工具或者dump文件来获取
数字取证——硬盘数据
从硬盘中提取与文件和文件系统有关的数 据信息
对读取的原始磁盘数据依照文件和文件系 统格式进行文件恢复,甚至对已经遭到破 坏的文件和文件碎片进行修复还原。
信息不对称
攻击方:通过网络扫描、探测、踩点对攻击目标全 面了解
防守方:对攻击方一无所知
后果不对称
攻击方:任务失败,极少受到损失 防守方:安全策略被破坏,利益受损
网络安全监控概念
网络安全监控(Network Security Monitoring, NSM)
的质量
误用检测(特征检测)
公开信誉度列表是由开源社区志愿者支持 维护的关于互联网恶意行为的信息列表
主要收录恶意域名、可疑IP地址、恶意程 序签名等
知名的公开信誉度列表有:恶意软件域名 列表MDL、ZeuS和SpyEye追踪器、 PhishTank,垃圾邮件IP地址封堵名单 Spamhaus,MalCode数据库等。
受监控服务器
分析捕获数据来了解攻击新工具和新方法 主要包括:
网络协议分析 网络行为分析 攻击特征分析 ······
程序行为分析
一般利用沙箱对恶意程序的运行情况进行 跟踪分析
分析对象
文件操作 注册表操作 进程/线程操作 网络行为 内核加载操作
NSM部署
部署时重点考虑数据来源的可靠性与完备 性
第十二章 网络安全监控
目录
12.1 网络安全监控概述 12.2 入侵检测系统 12.3 蜜罐 12.4 沙箱
12.1 网络安全监控概述
NSM概念 NSM背景和意义 NSM发展历程 NSM作用机制 NSM工作特征 NSM技术体系 NSM部署
网络攻防的非对称博弈
工作量不对称
一般通过工具或者dump文件来获取
数字取证——硬盘数据
从硬盘中提取与文件和文件系统有关的数 据信息
对读取的原始磁盘数据依照文件和文件系 统格式进行文件恢复,甚至对已经遭到破 坏的文件和文件碎片进行修复还原。
网络攻防技术课件第12章网络安全监控第4节
沙箱分类(按资源访问)
基于虚拟机的沙箱
虚拟化技术实现对资源的隔离和访问控制 分为
插件级虚拟机 容器级虚拟机 桌面级虚拟机 系统级虚拟机
沙箱分类(按限制方式)
过滤型沙箱
采用API Hook、SSDT Hook、IDT Hook等 挂钩技术
位于非可信应用程序和系统调用结构或系统 服务例程之间
实例:Cuckoo
组成架构图
启动引擎
任务加载器
调度模块
报告模块 管理机
网络通信 网络通信
代理器
分析器
监控器 客户机
本章小结
随着网络威胁演变和传播的速度加快 传统的、局部的网络安全防护措施已无法
有效应对 整合整个安全界的资源和信息,在更大范
围内对网络攻击的认知和预测,提高网络 安全响应决策能力,有效对抗网络威胁。 网络安全监控将进入基于态势感知和威胁 情报共享的大安全监控时代。
安装预先制定的安全策略,过滤可疑调用
委托型沙箱
沙箱中的程序通过代理程序完成操作 “用户定义策略,沙箱代替用户程序访问”
沙箱关键技术
资源访问控制技术 程序行为监控技术 重定向技术 虚拟执行技术 行为分析技术
资源访问控制技术
任务:系统资源最大限度共享基础山,对 用户访问权限进行管理,防止越权和滥用
虚拟机 n.1
互联网/测试床
专用虚拟网络 • 运行虚拟机的专用隔离网络
虚拟机 n.2 虚拟机 n.3
实例:Cuckoo
实际部署:管理机
分析管理工作
管理客户机 启动分析任务 网络流量收集 生成分析报告
第三方软件:
Tcpdump:拦截网络流量 Volatility:获取客户机内存映像
实例:Cuckoo
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
异常检测技术的误报率比较高,而误用检 测技术误报率比较低。
新的区分方法
基于模式预测的方法 基于机器学习的方法 基于数据挖掘的方法 ······
NSM技术体系——分析
对提交的告警信息进行识别、验证和确认 分析技术:
数据包分析:纵向分析/关联性分析 数字取证:内存数据/硬盘数据/IDS记录 程序行为分析:沙箱
攻击方:夜深人静, 攻其弱点 防守方:全天候全面防护
信息不对称
攻击方:通过网络扫描、探测、踩点对攻击目标全 面了解
防守方:对攻击方一无所知
后果不对称
攻击方:任务失败,极少受到损失 防守方:安全策略被破坏,利益受损
网络安全监控概念
网络安全监控(Network Security Monitoring, NSM)
误用检测(特征检测)
误用检测的误报率较低
只需收集相关的数据集合,减少系统负担, 且技术已相当成熟。
误用检测的漏报率较高
仅仅刻画已知的入侵和系统误用模式,因此 该技术不能检测出未知的入侵
在模式匹配基础上增加了协议分析技术,以 提高误用检测的性能。
异常检测
假设:入侵者的行为与正常用户的行为不 同,利用这些不同可以检测入侵行为。
NSM作用机制
攻击者
攻击者
IPS NSM
敏感信息
FW
AV
攻击者
NSM DLP
FW—防火墙
IPS—入侵保护系统
DLP—数据泄露防护
攻击者
NSM—网络安全监控
NSM部署网络传感器,以整合有效的安全策略为基础,处
理分析收集到的信息,为检测和入侵响应提供依据。
NSM工作特征
聚焦检测响应
聚焦于事中检测和及时响应,及时发现和阻断攻击链
全包捕获数据
完整地记录了两个网络节点之间传输的每 一个数据包,PCAP数据格式
细粒度的且高价值的信息,常用于取证和 上下文分析
数据体量太大,所需存储成本过高,不适 合长期存储;
完整数据包不方便快速审计,解析难度也 较大。
包字符串数据
介于全包捕获数据和会话数据之间 根据自定义的数据格式从全包捕获数据中
误用检测(特征检测)
特征类型分类
主机/网络 稳定/可变 原子/可计算
特征构成了误用模式数据库(特征库) 误用检测的性能很大程度上依赖于特征库
的质量
误用检测(特征检测)
特征类型分类
主机/网络 稳定/可变 原子/可计算
特征构成了误用模式数据库(特征库) 误用检测的性能很大程度上依赖于特征库
·流量数据
·日志数据 ·告警数据
收集
·
·误用检测 ·异常检测
检测
NSM技术体系——规划
主要任务:制定网络安全监控方案 从安全需求分析开始,始终围绕“威胁” 步骤:
威胁建模 量化风险 确定数据源 细化重点
NSM技术体系——收集
NSM的可靠性和准确依赖于数据的可靠 性和完备性
传感器实现数据收集 数据类型丰富
确保网络信息系统安全运行 防止攻击者实施渗透、破坏和信息窃取 进行信息收集、事件分析 为网络安全应急处理提供决策依据
NSM发展历程
NSM最早起源于入侵检测 1998年美国空军计算机应急响应小组(AFCERT)部
署了第一个监控网络流量的入侵检测系统——网络安全 监控器(NSM) 1993年AFCERT在NSM基础上升级部署了自动化安全 事件评估系统(ASIM) 网络安全监控逐步由被动变为主动,采用蜜罐 (Honeypot)、沙箱(Sand Box)等欺骗式防御技术。 趋势:更加关注高级态势感知的情报需求
分析捕获数据来了解攻击新工具和新方法 主要包括:
网络协议分析 网络行为分析 攻击特征分析 ······
程序行为分析
一般利用沙箱对恶意程序的运行情况进行 跟踪分析
分析对象
文件操作 注册表操作 进程/线程操作 网络行为 内核加载操作
NSM部署
部署时重点考虑数据来源的可靠性与完备 性
一般通过工具或者dump文件来获取
数字取证——硬盘数据
从硬盘中提取与文件和文件系统有关的数 据信息
对读取的原始磁盘数据依照文件和文件系 统格式进行文件恢复,甚至对已经遭到破 坏的文件和文件碎片进行修复还原。
相关技术:痕迹检测、相关性分析、高效 搜索算法、完整性校验算法和数据挖掘算 法等
数字取证——网络取证
第十二章 网络安全监控
目录
12.1 网络安全监控概述 12.2 入侵检测系统 12.3 蜜罐 12.4 沙箱
12.1 网络安全监控概述
NSM概念 NSM背景和意义 NSM发展历程 NSM作用机制 NSM工作工作量不对称
网络流量数据
会话数据/全包捕获数据/包字符串数据
日志数据 告警数据
会话数据
两个网络节点之间的通信记录 包括协议、源和目的IP地址、源和目的端
口、通信开始和结束的时间戳、通信的数 据量等 会话数据体量小、使用灵活,适合大规模 存储,保存时间长 方便快速梳理和解析,常用于事后统计和 分析。
工具
Wireshark、Redline、Net Treat Analyzer、 Walleye等
NSM技术体系——分析
对提交的告警信息进行识别、验证和确认 帮助确定某个恶意行为在整个安全事件中
的作用和发生时机 分析技术:
数据包分析:纵向分析/关联性分析 数字取证:内存数据/硬盘数据/IDS记录 程序行为分析:沙箱
受监控服务器
以威胁为中心
以潜在的威胁为线索,优化数据收集和分析,提高攻击现场的 还原能力
注重情报使能
通过学习积累形成关于特定攻击者的网络“轮廓” 基于信誉度检测,提高效率
NSM技术体系
主要包括规划、收集、检测和分析
规划
·威胁建模
·量化风险
·明确数据源
·细化重点
·数据包分析 分析 ·恶意软件分析
·取证
数据来源:主机、网络和蜜罐 基于网络的IDS通过传感器收集网络流量
传感器独立的检测引擎 共享介质环境:任意位置接入 交换环境:交换机设置端口镜像
NSM部署
共享介质环境:任意位置接入
控制台
传感器
HUB
受监控服务器
NSM部署
交换环境:交换机设置端口镜像
控制台
传感器
交换机 通过端口镜像实现
(SPAN / Port Monitor)
数据包分析
根据告警信息对数据包进行细致的分析和 解读,以实现对告警信息的验证和潜在攻 击线索
纵向分析:严格按照协议层次和格式,对 封装的数据包进行拆分和解析。
关联性分析:对各类信息进行关联和综合, 从而对网络事件进行判断,帮助甄别误报 或查找漏报。
数字取证
源自于计算机取证 主要关注计算机内存、硬盘数据以及入侵
流量镜像的方式不会影响正常通信 网络分流器通常接在路由器和交换机之间,
专用的硬件设计,较高的性能和可靠性。
日志数据:目标主机上运行代理程序,获取 主机的审计数据、系统日志、应用程序日 志等。
NSM技术体系——检测
是指以网络流量、日志和审计信息为数据 源,对网络实时连接和主机文件等进行检 测,发现可疑事件并作出告警。
告警信息是检测的重要检测结果 入侵检测系统(IDS)进行检测
误用检测(特征检测) 异常检测
误用检测(特征检测)
发展相对成熟,最早且最广泛的检测技术 假设:
所有入侵行为都有可被检测到的特征
工作原理:
对入侵行为的特征进行描述,在收集的数据 中如果找到符合特征描述的行为,则视之为 入侵
导出 解决了全包捕获数据对存储空间要求过高,
而会话数据粒度不够、缺乏详细信息等问 题 容易存储管理、分析统计。
日志数据
充分利用系统和应用程序日志文件信息 源自设备、系统或应用的原始日志文件 通常包括:Web代理日志、防火墙日志、
操作系统安全日志和系统登录日志等 记录用户认证与授权、用户登录、网络访
工作原理是是对正常行为建模,在对网络 流量或事件监测时,所有不符合常规行为 模型的事件就被怀疑为攻击。
利用统计分析和预测等方法检测入侵 轮廓(Profile):定义出各种行为参数及
其属性值的集合,描述正常行为。
异常检测
异常检测具有更强的针对未知网络攻击的 检测发现能力,但技术实现的难度也更大。
问、文件读取等各种网络和系统行为
告警数据
由检测工具依据配置规则在检查中所生成 的告警报警记录和说明
告警数据反映了网络或系统的异常
例如,系统目录和文件的非期望改变,替换 动态链接库等系统程序或修改系统日志文件。
告警数据本身体量非常小,通常仅包含指 向其他数据的指针,常用于分析。
数据收集
传感器实现:软件/硬件。 网络流量数据:流量镜像/网络分流器
的质量
误用检测(特征检测)
公开信誉度列表是由开源社区志愿者支持 维护的关于互联网恶意行为的信息列表
主要收录恶意域名、可疑IP地址、恶意程 序签名等
知名的公开信誉度列表有:恶意软件域名 列表MDL、ZeuS和SpyEye追踪器、 PhishTank,垃圾邮件IP地址封堵名单 Spamhaus,MalCode数据库等。
通过对网络安全状态进行动态、持续的监控, 及早发现为了安全威胁与内在隐患,有效遏止 和阻断攻击,最大限度降低威胁程度并减少危 害损失。
NSM背景
2002年有理查德·贝杰提出,定义为“关 于收集、分析和增强预警以检测和响应入 侵的技术”
基于两个根本性假设
安全漏洞不可避免 网络预防终究失效
NSM意义
检测系统的工作记录、系统审计记录、操 作系统日志记录和反病毒软件日志记录等 分为
内存数据取证 硬盘数据取证 网络取证
数字取证——内存数据
从内存中提取与攻击相关的数据信息。 主要包括:
新的区分方法
基于模式预测的方法 基于机器学习的方法 基于数据挖掘的方法 ······
NSM技术体系——分析
对提交的告警信息进行识别、验证和确认 分析技术:
数据包分析:纵向分析/关联性分析 数字取证:内存数据/硬盘数据/IDS记录 程序行为分析:沙箱
攻击方:夜深人静, 攻其弱点 防守方:全天候全面防护
信息不对称
攻击方:通过网络扫描、探测、踩点对攻击目标全 面了解
防守方:对攻击方一无所知
后果不对称
攻击方:任务失败,极少受到损失 防守方:安全策略被破坏,利益受损
网络安全监控概念
网络安全监控(Network Security Monitoring, NSM)
误用检测(特征检测)
误用检测的误报率较低
只需收集相关的数据集合,减少系统负担, 且技术已相当成熟。
误用检测的漏报率较高
仅仅刻画已知的入侵和系统误用模式,因此 该技术不能检测出未知的入侵
在模式匹配基础上增加了协议分析技术,以 提高误用检测的性能。
异常检测
假设:入侵者的行为与正常用户的行为不 同,利用这些不同可以检测入侵行为。
NSM作用机制
攻击者
攻击者
IPS NSM
敏感信息
FW
AV
攻击者
NSM DLP
FW—防火墙
IPS—入侵保护系统
DLP—数据泄露防护
攻击者
NSM—网络安全监控
NSM部署网络传感器,以整合有效的安全策略为基础,处
理分析收集到的信息,为检测和入侵响应提供依据。
NSM工作特征
聚焦检测响应
聚焦于事中检测和及时响应,及时发现和阻断攻击链
全包捕获数据
完整地记录了两个网络节点之间传输的每 一个数据包,PCAP数据格式
细粒度的且高价值的信息,常用于取证和 上下文分析
数据体量太大,所需存储成本过高,不适 合长期存储;
完整数据包不方便快速审计,解析难度也 较大。
包字符串数据
介于全包捕获数据和会话数据之间 根据自定义的数据格式从全包捕获数据中
误用检测(特征检测)
特征类型分类
主机/网络 稳定/可变 原子/可计算
特征构成了误用模式数据库(特征库) 误用检测的性能很大程度上依赖于特征库
的质量
误用检测(特征检测)
特征类型分类
主机/网络 稳定/可变 原子/可计算
特征构成了误用模式数据库(特征库) 误用检测的性能很大程度上依赖于特征库
·流量数据
·日志数据 ·告警数据
收集
·
·误用检测 ·异常检测
检测
NSM技术体系——规划
主要任务:制定网络安全监控方案 从安全需求分析开始,始终围绕“威胁” 步骤:
威胁建模 量化风险 确定数据源 细化重点
NSM技术体系——收集
NSM的可靠性和准确依赖于数据的可靠 性和完备性
传感器实现数据收集 数据类型丰富
确保网络信息系统安全运行 防止攻击者实施渗透、破坏和信息窃取 进行信息收集、事件分析 为网络安全应急处理提供决策依据
NSM发展历程
NSM最早起源于入侵检测 1998年美国空军计算机应急响应小组(AFCERT)部
署了第一个监控网络流量的入侵检测系统——网络安全 监控器(NSM) 1993年AFCERT在NSM基础上升级部署了自动化安全 事件评估系统(ASIM) 网络安全监控逐步由被动变为主动,采用蜜罐 (Honeypot)、沙箱(Sand Box)等欺骗式防御技术。 趋势:更加关注高级态势感知的情报需求
分析捕获数据来了解攻击新工具和新方法 主要包括:
网络协议分析 网络行为分析 攻击特征分析 ······
程序行为分析
一般利用沙箱对恶意程序的运行情况进行 跟踪分析
分析对象
文件操作 注册表操作 进程/线程操作 网络行为 内核加载操作
NSM部署
部署时重点考虑数据来源的可靠性与完备 性
一般通过工具或者dump文件来获取
数字取证——硬盘数据
从硬盘中提取与文件和文件系统有关的数 据信息
对读取的原始磁盘数据依照文件和文件系 统格式进行文件恢复,甚至对已经遭到破 坏的文件和文件碎片进行修复还原。
相关技术:痕迹检测、相关性分析、高效 搜索算法、完整性校验算法和数据挖掘算 法等
数字取证——网络取证
第十二章 网络安全监控
目录
12.1 网络安全监控概述 12.2 入侵检测系统 12.3 蜜罐 12.4 沙箱
12.1 网络安全监控概述
NSM概念 NSM背景和意义 NSM发展历程 NSM作用机制 NSM工作工作量不对称
网络流量数据
会话数据/全包捕获数据/包字符串数据
日志数据 告警数据
会话数据
两个网络节点之间的通信记录 包括协议、源和目的IP地址、源和目的端
口、通信开始和结束的时间戳、通信的数 据量等 会话数据体量小、使用灵活,适合大规模 存储,保存时间长 方便快速梳理和解析,常用于事后统计和 分析。
工具
Wireshark、Redline、Net Treat Analyzer、 Walleye等
NSM技术体系——分析
对提交的告警信息进行识别、验证和确认 帮助确定某个恶意行为在整个安全事件中
的作用和发生时机 分析技术:
数据包分析:纵向分析/关联性分析 数字取证:内存数据/硬盘数据/IDS记录 程序行为分析:沙箱
受监控服务器
以威胁为中心
以潜在的威胁为线索,优化数据收集和分析,提高攻击现场的 还原能力
注重情报使能
通过学习积累形成关于特定攻击者的网络“轮廓” 基于信誉度检测,提高效率
NSM技术体系
主要包括规划、收集、检测和分析
规划
·威胁建模
·量化风险
·明确数据源
·细化重点
·数据包分析 分析 ·恶意软件分析
·取证
数据来源:主机、网络和蜜罐 基于网络的IDS通过传感器收集网络流量
传感器独立的检测引擎 共享介质环境:任意位置接入 交换环境:交换机设置端口镜像
NSM部署
共享介质环境:任意位置接入
控制台
传感器
HUB
受监控服务器
NSM部署
交换环境:交换机设置端口镜像
控制台
传感器
交换机 通过端口镜像实现
(SPAN / Port Monitor)
数据包分析
根据告警信息对数据包进行细致的分析和 解读,以实现对告警信息的验证和潜在攻 击线索
纵向分析:严格按照协议层次和格式,对 封装的数据包进行拆分和解析。
关联性分析:对各类信息进行关联和综合, 从而对网络事件进行判断,帮助甄别误报 或查找漏报。
数字取证
源自于计算机取证 主要关注计算机内存、硬盘数据以及入侵
流量镜像的方式不会影响正常通信 网络分流器通常接在路由器和交换机之间,
专用的硬件设计,较高的性能和可靠性。
日志数据:目标主机上运行代理程序,获取 主机的审计数据、系统日志、应用程序日 志等。
NSM技术体系——检测
是指以网络流量、日志和审计信息为数据 源,对网络实时连接和主机文件等进行检 测,发现可疑事件并作出告警。
告警信息是检测的重要检测结果 入侵检测系统(IDS)进行检测
误用检测(特征检测) 异常检测
误用检测(特征检测)
发展相对成熟,最早且最广泛的检测技术 假设:
所有入侵行为都有可被检测到的特征
工作原理:
对入侵行为的特征进行描述,在收集的数据 中如果找到符合特征描述的行为,则视之为 入侵
导出 解决了全包捕获数据对存储空间要求过高,
而会话数据粒度不够、缺乏详细信息等问 题 容易存储管理、分析统计。
日志数据
充分利用系统和应用程序日志文件信息 源自设备、系统或应用的原始日志文件 通常包括:Web代理日志、防火墙日志、
操作系统安全日志和系统登录日志等 记录用户认证与授权、用户登录、网络访
工作原理是是对正常行为建模,在对网络 流量或事件监测时,所有不符合常规行为 模型的事件就被怀疑为攻击。
利用统计分析和预测等方法检测入侵 轮廓(Profile):定义出各种行为参数及
其属性值的集合,描述正常行为。
异常检测
异常检测具有更强的针对未知网络攻击的 检测发现能力,但技术实现的难度也更大。
问、文件读取等各种网络和系统行为
告警数据
由检测工具依据配置规则在检查中所生成 的告警报警记录和说明
告警数据反映了网络或系统的异常
例如,系统目录和文件的非期望改变,替换 动态链接库等系统程序或修改系统日志文件。
告警数据本身体量非常小,通常仅包含指 向其他数据的指针,常用于分析。
数据收集
传感器实现:软件/硬件。 网络流量数据:流量镜像/网络分流器
的质量
误用检测(特征检测)
公开信誉度列表是由开源社区志愿者支持 维护的关于互联网恶意行为的信息列表
主要收录恶意域名、可疑IP地址、恶意程 序签名等
知名的公开信誉度列表有:恶意软件域名 列表MDL、ZeuS和SpyEye追踪器、 PhishTank,垃圾邮件IP地址封堵名单 Spamhaus,MalCode数据库等。
通过对网络安全状态进行动态、持续的监控, 及早发现为了安全威胁与内在隐患,有效遏止 和阻断攻击,最大限度降低威胁程度并减少危 害损失。
NSM背景
2002年有理查德·贝杰提出,定义为“关 于收集、分析和增强预警以检测和响应入 侵的技术”
基于两个根本性假设
安全漏洞不可避免 网络预防终究失效
NSM意义
检测系统的工作记录、系统审计记录、操 作系统日志记录和反病毒软件日志记录等 分为
内存数据取证 硬盘数据取证 网络取证
数字取证——内存数据
从内存中提取与攻击相关的数据信息。 主要包括: