网络攻防技术课件第12章网络安全监控
合集下载
网络监听及防御技术[可修改版ppt]
![网络监听及防御技术[可修改版ppt]](https://img.taocdn.com/s3/m/6e3082097f1922791688e8f9.png)
PASS test Logged in ok
3.1 网络监听概述
3.1.1 基础知识与实例 3.1.2 网络监听技术的发展情况
3.1.2 网络监听技术的发展情况
1.网络监听(Sniffer)的发展历史 Sniffer这个名称最早是一种网络监听
工具的名称,后来其也就成为网络监听的 代名词。在最初的时候,它是作为网络管 理员检测网络通信的一种工具用Ethereal嗅探sina邮箱密码
U=hack_tesing Psw=hacktesting
3.1.1 基础知识与实例
4 实例:上届 学生实验编写 的sniffer, 嗅探FTP用户 名和密码
FTP Server Version is Serv-U V6.3 USER test
3.2.1 局域网中的硬件设备简介
1.集线器 (1) 集线器的原理: 集线器(又称为Hub)是一种重要的网络部 件,主要在局域网中用于将多个客户机和服务器 连接到中央区的网络上。
集线器工作在局域网的物理环境下,其主要 应用在OSI参考模型第一层,属于物理层设备。 它的内部采取电器互连的方式,当维护LAN的 环境是逻辑总线或环型结构时,完全可以用集线 器建立一个物理上的星型或树型网络结构。
网络监听器分软、硬两种
3.1.2 网络监听技术的发展情况
1.网络监听(Sniffer)的发展历史
软件嗅探器便宜易于使用,缺点是功能往 往有限,可能无法抓取网络上所有的传输 数据(比如碎片),或效率容易受限;
硬件嗅探器通常称为协议分析仪,它的优 点恰恰是软件嗅探器所欠缺的,处理速度 很高,但是价格昂贵。
目前主要使用的嗅探器是软件的。
3.1.2 网络监听技术的发展情况
2.Sniffer软件的主要工作机制 驱动程序支持:需要一个直接与网卡驱动程序接
网络攻击技术PPT课件
高速缓存用于寸放与本计算机最近进行通信的其他计算机的netbios 名字和ip地址对。 (3)、-r——本命令用于清除和重新加载netbios名字高速缓存。 (4)、-a ip——通过ip显示另一台计算机的物理地址和名字列表,你所 显示的内容就像对方计算机自己运行nbtstat -n一样。 (5)、-s ip——显示实用其ip地址的另一台计算机的netbios连接表。
3、Tracert(Traceroute)命令:
命令格式: C:\> tracert [-d] [-h maximum_hops] [-j host-list]
[-w timeout] target_name 简单事例: C:\>tarcert Target
4、ipconfig命令:
命令格式:
注意必须指定适配器。
ipconfig命令(续):
5、netstat命令:
命令格式:
C:\> NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]
参数:
(1)、-s——本选项能够按照各个协议分别显示其统计数据。如果你的应 用程序(如web浏览器)运行速度比较慢,或者不能显示web页之类的 数据,那么你就可以用本选项来查看一下所显示的信息。
NET USE {devicename | *} [password | *] /HOME NET USE [/PERSISTENT:{YES | NO}]
net use(续):
①、建立IPC$空连接:
IPC$(Internet Process Connection)是共享“命名管道”的 资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户 名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换, 从而实现对远程计算机的访问。
3、Tracert(Traceroute)命令:
命令格式: C:\> tracert [-d] [-h maximum_hops] [-j host-list]
[-w timeout] target_name 简单事例: C:\>tarcert Target
4、ipconfig命令:
命令格式:
注意必须指定适配器。
ipconfig命令(续):
5、netstat命令:
命令格式:
C:\> NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]
参数:
(1)、-s——本选项能够按照各个协议分别显示其统计数据。如果你的应 用程序(如web浏览器)运行速度比较慢,或者不能显示web页之类的 数据,那么你就可以用本选项来查看一下所显示的信息。
NET USE {devicename | *} [password | *] /HOME NET USE [/PERSISTENT:{YES | NO}]
net use(续):
①、建立IPC$空连接:
IPC$(Internet Process Connection)是共享“命名管道”的 资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户 名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换, 从而实现对远程计算机的访问。
网络安全行业网络攻防技术培训ppt
网络安全行业网络攻防技术培训
汇报人:可编辑
BIG DATA EMPOWERS TO CREATE A NEWERA
目录
CONTENTS
网络安全行业概述网络攻防技术基础网络攻击技术详解防御技术详解攻防技术实践案例
BIG DATA EMPOWERS TO CREATE A NEWERA
网络安全行业概述
BIG DATA EMPOWERS TO CREATE A NEWERA
网络攻击技术详解
社交工程攻击是一种利用人类心理和社会行为的弱点进行攻击的方法。
总结词
社交工程攻击通常涉及利用人们的信任、好奇心、恐惧等心理因素,诱导他们泄露敏感信息或执行恶意操作。常见的社交工程攻击手段包括钓鱼邮件、恶意网站、假冒身份等。
详细描述
恶意软件攻击是一种通过传播恶意软件来破坏、控制或窃取计算机系统的攻击方式。
恶意软件可以包括病毒、蠕虫、特洛伊木马等,它们通过感染文件、网络传播等方式传播,对计算机系统和数据安全构成严重威胁。
详细描述
总结词
总结词
详细描述
漏洞利用攻击通常涉及发现并利用漏洞,以获得对目标系统的未授权访问或控制权。这种攻击方式对网络安全构成严重威胁,因此及时修复漏洞至关重要。
详细描述
入侵检测系统通过实时监测和分析网络流量,发现异常行为和潜在威胁,及时发出警报并采取相应措施。入侵防御系统则更进一步,直接对恶意流量进行过滤和阻断,防止攻击造成损害。
总结词
数据加密技术采用特定的算法和密钥对数据进行加密处理,使得只有持有正确密钥的人员才能解密和访问数据。常见的加密算法包括对称加密、非对称加密和混合加密等。
BIG DATA EMPOWERS TO CREATE A NEWERA
汇报人:可编辑
BIG DATA EMPOWERS TO CREATE A NEWERA
目录
CONTENTS
网络安全行业概述网络攻防技术基础网络攻击技术详解防御技术详解攻防技术实践案例
BIG DATA EMPOWERS TO CREATE A NEWERA
网络安全行业概述
BIG DATA EMPOWERS TO CREATE A NEWERA
网络攻击技术详解
社交工程攻击是一种利用人类心理和社会行为的弱点进行攻击的方法。
总结词
社交工程攻击通常涉及利用人们的信任、好奇心、恐惧等心理因素,诱导他们泄露敏感信息或执行恶意操作。常见的社交工程攻击手段包括钓鱼邮件、恶意网站、假冒身份等。
详细描述
恶意软件攻击是一种通过传播恶意软件来破坏、控制或窃取计算机系统的攻击方式。
恶意软件可以包括病毒、蠕虫、特洛伊木马等,它们通过感染文件、网络传播等方式传播,对计算机系统和数据安全构成严重威胁。
详细描述
总结词
总结词
详细描述
漏洞利用攻击通常涉及发现并利用漏洞,以获得对目标系统的未授权访问或控制权。这种攻击方式对网络安全构成严重威胁,因此及时修复漏洞至关重要。
详细描述
入侵检测系统通过实时监测和分析网络流量,发现异常行为和潜在威胁,及时发出警报并采取相应措施。入侵防御系统则更进一步,直接对恶意流量进行过滤和阻断,防止攻击造成损害。
总结词
数据加密技术采用特定的算法和密钥对数据进行加密处理,使得只有持有正确密钥的人员才能解密和访问数据。常见的加密算法包括对称加密、非对称加密和混合加密等。
BIG DATA EMPOWERS TO CREATE A NEWERA
网络攻防原理第12讲-网络监听技术
1 234 5 6
管理员为了部署网络分析仪等 设备,通过配置交换机端口镜 像功能来实现对网络的监听。
16
(三)交换网络监听:MAC洪泛
MAC地址 端口 攻击思路:
CAM
伪M造AMCA1 C 13 伪M造AMCA2 C 23 伪M造AMCA3 C 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3
10.10.10.1 11:22:33:44:55:ACAC
10.10.10.3 11:22:33:44:55:CC
10.10.10.8 11:22:33:44:55:RR
A:10.10.10.1
内网 外网
IP地址 10.10.10.2 10.10.10.3 10.10.10.8
MAC地址 11:22:33:44:55:CBBC 11:22:33:44:55:CC 11:22:33:44:55:RR
12
共享网络监听的原理
广播特性的总线:主机发送的物理信号能被 物理连接在一起的所有主机接收到。
网卡处于混杂模式:接收所有的数据帧。
13
交换机的工作方式
交换机
CAM
Content Addressable Memory,内容可寻址 存储器
端口管理
MAC ① ② ③
端口 1 2 3
以太网 交换机
5
网络监听环境
主机A
内网 外网
主机B
LAN
路由器R
监听点
主机C
6
Internet
黑客
内容提要
1 网络监听概述 2 网络监听的原理 3 网络监听工具的使用 4 网络监听的防范
7
计算机之间的数据发送
管理员为了部署网络分析仪等 设备,通过配置交换机端口镜 像功能来实现对网络的监听。
16
(三)交换网络监听:MAC洪泛
MAC地址 端口 攻击思路:
CAM
伪M造AMCA1 C 13 伪M造AMCA2 C 23 伪M造AMCA3 C 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3
10.10.10.1 11:22:33:44:55:ACAC
10.10.10.3 11:22:33:44:55:CC
10.10.10.8 11:22:33:44:55:RR
A:10.10.10.1
内网 外网
IP地址 10.10.10.2 10.10.10.3 10.10.10.8
MAC地址 11:22:33:44:55:CBBC 11:22:33:44:55:CC 11:22:33:44:55:RR
12
共享网络监听的原理
广播特性的总线:主机发送的物理信号能被 物理连接在一起的所有主机接收到。
网卡处于混杂模式:接收所有的数据帧。
13
交换机的工作方式
交换机
CAM
Content Addressable Memory,内容可寻址 存储器
端口管理
MAC ① ② ③
端口 1 2 3
以太网 交换机
5
网络监听环境
主机A
内网 外网
主机B
LAN
路由器R
监听点
主机C
6
Internet
黑客
内容提要
1 网络监听概述 2 网络监听的原理 3 网络监听工具的使用 4 网络监听的防范
7
计算机之间的数据发送
网络攻防技术课件第12章网络安全监控第4节
沙箱分类(按资源访问)
基于虚拟机的沙箱
虚拟化技术实现对资源的隔离和访问控制 分为
插件级虚拟机 容器级虚拟机 桌面级虚拟机 系统级虚拟机
沙箱分类(按限制方式)
过滤型沙箱
采用API Hook、SSDT Hook、IDT Hook等 挂钩技术
位于非可信应用程序和系统调用结构或系统 服务例程之间
实例:Cuckoo
组成架构图
启动引擎
任务加载器
调度模块
报告模块 管理机
网络通信 网络通信
代理器
分析器
监控器 客户机
本章小结
随着网络威胁演变和传播的速度加快 传统的、局部的网络安全防护措施已无法
有效应对 整合整个安全界的资源和信息,在更大范
围内对网络攻击的认知和预测,提高网络 安全响应决策能力,有效对抗网络威胁。 网络安全监控将进入基于态势感知和威胁 情报共享的大安全监控时代。
安装预先制定的安全策略,过滤可疑调用
委托型沙箱
沙箱中的程序通过代理程序完成操作 “用户定义策略,沙箱代替用户程序访问”
沙箱关键技术
资源访问控制技术 程序行为监控技术 重定向技术 虚拟执行技术 行为分析技术
资源访问控制技术
任务:系统资源最大限度共享基础山,对 用户访问权限进行管理,防止越权和滥用
虚拟机 n.1
互联网/测试床
专用虚拟网络 • 运行虚拟机的专用隔离网络
虚拟机 n.2 虚拟机 n.3
实例:Cuckoo
实际部署:管理机
分析管理工作
管理客户机 启动分析任务 网络流量收集 生成分析报告
第三方软件:
Tcpdump:拦截网络流量 Volatility:获取客户机内存映像
实例:Cuckoo
网络安全:网络攻击与防御技术实践演示培训ppt
网络安全风险
网络安全风险是指由于网络系统的脆 弱性和外部威胁的存在,可能导致网 络系统遭受攻击和破坏,从而造成损 失和不良影响。
网络安全体系结构与技术
网络安全体系结构
网络安全体系结构包括防火墙、入侵检测系统、安全审计系 统、数据备份与恢复等,这些组件相互协作,共同维护网络 系统的安全。
网络安全技术
防火墙部署
防火墙的部署应根据网络架构和安 全需求进行合理配置,包括部署位 置、访问控制列表等配置。
入侵检测与防御系统
01
02
03
入侵检测概述
入侵检测系统用于实时监 测网络流量和系统行为, 发现异常行为并及时报警 。
入侵检测技术
包括基于特征的检测和基 于异常的检测,以及分布 式入侵检测等。
入侵防御系统
03
2020年针对SolarWinds软件供应链的攻击,影响了全球数千家
企业和组织。
CHAPTER 03
防御技术与实践
防火墙技术与部署
防火墙概述
防火墙是网络安全体系的核心组 件,用于隔离内部网络和外部网 络,防止未经授权的访问和数据
泄露。
防火墙技术
包括包过滤、代理服务器、有状态 检测等,每种技术都有其优缺点, 应根据实际需求选择合适的防火墙 技术。
入侵防御系统是一种主动 防御技术,能够实时阻断 恶意流量和攻击行为。
数据加密与安全通信
数据加密概述
数据加密是保障数据机密 性和完整性的重要手段, 通过加密算法将明文转换 为密文。
数据加密技术
包括对称加密、非对称加 密和混合加密等,每种加 密技术都有其适用场景和 优缺点。
安全通信协议
常用的安全通信协议包括 SSL/TLS、IPSec等,这些 协议能够提供端到端的数 据加密和完整性校验。
网络安全风险是指由于网络系统的脆 弱性和外部威胁的存在,可能导致网 络系统遭受攻击和破坏,从而造成损 失和不良影响。
网络安全体系结构与技术
网络安全体系结构
网络安全体系结构包括防火墙、入侵检测系统、安全审计系 统、数据备份与恢复等,这些组件相互协作,共同维护网络 系统的安全。
网络安全技术
防火墙部署
防火墙的部署应根据网络架构和安 全需求进行合理配置,包括部署位 置、访问控制列表等配置。
入侵检测与防御系统
01
02
03
入侵检测概述
入侵检测系统用于实时监 测网络流量和系统行为, 发现异常行为并及时报警 。
入侵检测技术
包括基于特征的检测和基 于异常的检测,以及分布 式入侵检测等。
入侵防御系统
03
2020年针对SolarWinds软件供应链的攻击,影响了全球数千家
企业和组织。
CHAPTER 03
防御技术与实践
防火墙技术与部署
防火墙概述
防火墙是网络安全体系的核心组 件,用于隔离内部网络和外部网 络,防止未经授权的访问和数据
泄露。
防火墙技术
包括包过滤、代理服务器、有状态 检测等,每种技术都有其优缺点, 应根据实际需求选择合适的防火墙 技术。
入侵防御系统是一种主动 防御技术,能够实时阻断 恶意流量和攻击行为。
数据加密与安全通信
数据加密概述
数据加密是保障数据机密 性和完整性的重要手段, 通过加密算法将明文转换 为密文。
数据加密技术
包括对称加密、非对称加 密和混合加密等,每种加 密技术都有其适用场景和 优缺点。
安全通信协议
常用的安全通信协议包括 SSL/TLS、IPSec等,这些 协议能够提供端到端的数 据加密和完整性校验。
网络安全课件ppt
TCP/IP协议栈
应用层
Telnet
FTP
SMTP
HTTP
DNS
SNMP
TFTP
传输层
TCP
UDP
IP
网际层
ARP
RARP
网络 接口层
Ethernet
Token Ring
X.25
其他协议
IEEE 802 RM
IEEE 802.1a 局域网体系结构 IEEE 802.1b 寻址,网络互连与网络管理。 IEEE 802.2 逻辑链路控制 IEEE 802.3 CSMA\CD媒体访问控制方法与物理规范 IEEE 802.3i 10Mbps基带双绞线访问控制方法与物理规范。 IEEE 802.3u 100Mbps基带访问控制方法与物理规范。 IEEE 802.3z 1000Mbps光纤访问控制方法和物理规范 IEEE 802.4 Token-Bus访问控制方法与物理规范 IEEE 802.5 Token-Ring访问控制方法 IEEE 802.6 城域网访问控制方法和物理规范 IEEE 802.7 宽带局域网访问控制方法和物理规范 IEEE 802.8 FDDI访问控制方法和物理规范 IEEE 802.9 综合数据语音网络 IEEE 802.10 网络安全与保密 IEEE 802.11 无线局域网访问控制方法和物理规范 IEEE 802.12 100VG-AnyLAN访问控制方法和物理规范
操作系统诞生
最初的操作系统出现在IBM/704大型机( 20世纪50年代) 微型计算机的操作系统则诞生于20世纪70年代——CP/M
操作系统远古霸主——DOS
Disk Operating System又称DOS(简写),中文全名“磁盘操作系统”。 1981年 DOS有包括:MS-DOS,PC-DOS,FreeDOS,ROM-DOS等。 特点:DOS是一个单用户、单任务的操作系统 ;字符操作界面 ;DOS对多媒体的支持也不尽人意。
应用层
Telnet
FTP
SMTP
HTTP
DNS
SNMP
TFTP
传输层
TCP
UDP
IP
网际层
ARP
RARP
网络 接口层
Ethernet
Token Ring
X.25
其他协议
IEEE 802 RM
IEEE 802.1a 局域网体系结构 IEEE 802.1b 寻址,网络互连与网络管理。 IEEE 802.2 逻辑链路控制 IEEE 802.3 CSMA\CD媒体访问控制方法与物理规范 IEEE 802.3i 10Mbps基带双绞线访问控制方法与物理规范。 IEEE 802.3u 100Mbps基带访问控制方法与物理规范。 IEEE 802.3z 1000Mbps光纤访问控制方法和物理规范 IEEE 802.4 Token-Bus访问控制方法与物理规范 IEEE 802.5 Token-Ring访问控制方法 IEEE 802.6 城域网访问控制方法和物理规范 IEEE 802.7 宽带局域网访问控制方法和物理规范 IEEE 802.8 FDDI访问控制方法和物理规范 IEEE 802.9 综合数据语音网络 IEEE 802.10 网络安全与保密 IEEE 802.11 无线局域网访问控制方法和物理规范 IEEE 802.12 100VG-AnyLAN访问控制方法和物理规范
操作系统诞生
最初的操作系统出现在IBM/704大型机( 20世纪50年代) 微型计算机的操作系统则诞生于20世纪70年代——CP/M
操作系统远古霸主——DOS
Disk Operating System又称DOS(简写),中文全名“磁盘操作系统”。 1981年 DOS有包括:MS-DOS,PC-DOS,FreeDOS,ROM-DOS等。 特点:DOS是一个单用户、单任务的操作系统 ;字符操作界面 ;DOS对多媒体的支持也不尽人意。
网络攻防技术课件第12章网络安全监控第2节
入侵是指试图破坏计算机或网络系统的机密性,完 整性、可用性或者企图绕过系统安全机制的行为。
1980年,J.Anderson将入侵者分为三类:
假冒者:未经授权/冒用合法账户 违法者:越权操作 秘密用户:绕过访问控制、逃避审计
背景
入侵检测核心任务
收集和分析计算机网络或计算机系统中关键 点信息,发现网络或系统中的违反安全策略 行为和被攻击迹象
12.2 入侵检测系统
IDS概念 IDS背景 IDS发展 IDS分类 IDS实例:Snort
入侵检测
入侵检测系统(Intrusion Detection Systems, IDS),是NSM核心技术之一
对系统、应用程序的日志以及网络数据流量进 行主动监控的主动防御技术
背景
美国国家标准与技术研究院(NIST):
对网络性能影响较小 对内外攻击和误操作提供实时保护 扩展系统管理员安全管理能力
IDS存在与发展的必然性
网络攻击的破坏性、损失的严重性 日益增长的网络安全威胁 单纯的防火墙无法防范复杂多变的攻击
IDS发展
1987年Denning最早提出入侵检测模型
Teresa改进并提出了入侵检测专家系统 (Intrusion Detection Expert System IDES)
基于主机的IDS
监视和分析主机的审计记录和日志文件 保护运行关键应用的服务器
基于网络的IDS
监听网络上的所有分组 实时监控网络上的关键路径,影响小
混合型IDS
主机+网络,互补保护系统
NIDS和HIDS比较
基于主机的IDS
Customers
Hacker
Partners Internet
规则探测 插件
1980年,J.Anderson将入侵者分为三类:
假冒者:未经授权/冒用合法账户 违法者:越权操作 秘密用户:绕过访问控制、逃避审计
背景
入侵检测核心任务
收集和分析计算机网络或计算机系统中关键 点信息,发现网络或系统中的违反安全策略 行为和被攻击迹象
12.2 入侵检测系统
IDS概念 IDS背景 IDS发展 IDS分类 IDS实例:Snort
入侵检测
入侵检测系统(Intrusion Detection Systems, IDS),是NSM核心技术之一
对系统、应用程序的日志以及网络数据流量进 行主动监控的主动防御技术
背景
美国国家标准与技术研究院(NIST):
对网络性能影响较小 对内外攻击和误操作提供实时保护 扩展系统管理员安全管理能力
IDS存在与发展的必然性
网络攻击的破坏性、损失的严重性 日益增长的网络安全威胁 单纯的防火墙无法防范复杂多变的攻击
IDS发展
1987年Denning最早提出入侵检测模型
Teresa改进并提出了入侵检测专家系统 (Intrusion Detection Expert System IDES)
基于主机的IDS
监视和分析主机的审计记录和日志文件 保护运行关键应用的服务器
基于网络的IDS
监听网络上的所有分组 实时监控网络上的关键路径,影响小
混合型IDS
主机+网络,互补保护系统
NIDS和HIDS比较
基于主机的IDS
Customers
Hacker
Partners Internet
规则探测 插件
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
检测单一主机的入侵 根据主机系统审计记录数据
主体
安全监控器
客体
审计数据
实时信息
添加新规则
系统轮廓
更新规则
规则匹配
攻击状态
IDS发展
在DARPA支持下,加州大学戴维斯分校安全实 验室提出入侵检测框架模型(CIDF)
主要工作:体系结构、通信体制、描述语言、应用 程序接口(API)
构成:事件发生器、事件分析器、响应单元、事件
分析捕获数据来了解攻击新工具和新方法 主要包括:
网络协议分析 网络行为分析 攻击特征分析 ······
程序行为分析
一般利用沙箱对恶意程序的运行情况进行 跟踪分析
分析对象
文件操作 注册表操作 进程/线程操作 网络行为 内核加载操作
NSM部署
部署时重点考虑数据来源的可靠性与完备 性
全包捕获数据
完整地记录了两个网络节点之间传输的每 一个数据包,PCAP数据格式
细粒度的且高价值的信息,常用于取证和 上下文分析
数据体量太大,所需存储成本过高,不适 合长期存储;
完整数据包不方便快速审计,解析难度也 较大。
包字符串数据
介于全包捕获数据和会话数据之间 根据自定义的数据格式从全包捕获数据中
确保网络信息系统安全运行 防止攻击者实施渗透、破坏和信息窃取 进行信息收集、事件分析 为网络安全应急处理提供决策依据
NSM发展历程
NSM最早起源于入侵检测 1998年美国空军计算机应急响应小组(AFCERT)部
署了第一个监控网络流量的入侵检测系统——网络安全 监控器(NSM) 1993年AFCERT在NSM基础上升级部署了自动化安全 事件评估系统(ASIM) 网络安全监控逐步由被动变为主动,采用蜜罐 (Honeypot)、沙箱(Sand Box)等欺骗式防御技术。 趋势:更加关注高级态势感知的情报需求
攻击方:夜深人静, 攻其弱点 防守方:全天候全面防护
信息不对称
攻击方:通过网络扫描、探测、踩点对攻击目标全 面了解
防守方:对攻击方一无所知
后果不对称
攻击方:任务失败,极少受到损失 防守方:安全策略被破坏,利益受损
网络安全监控概念
网络安全监控(Network Security Monitoring, NSM)
基于主机的IDS
监视和分析主机的审计记录和日志文件 保护运行关键应用的服务器
基于网络的IDS
监听网络上的所有分组 实时监控网络上的关键路径,影响小
混合型IDS
主机+网络,互补保护系统
NIDS和HIDS比较
基于主机的IDS
Customers
Hacker
Partners Internet
Network Desktops
Branch Office
Web Servers
Host-based IDS
流量镜像的方式不会影响正常通信 网络分流器通常接在路由器和交换机之间,
专用的硬件设计,较高的性能和可靠性。
日志数据:目标主机上运行代理程序,获取 主机的审计数据、系统日志、应用程序日 志等。
NSM技术体系——检测
是指以网络流量、日志和审计信息为数据 源,对网络实时连接和主机文件等进行检 测,发现可疑事件并作出告警。
NSM作用机制
攻击者
攻击者
IPS NSM
敏感信息
FW
AV
攻击者
NSM DLP
FW—防火墙
IPS—入侵保护系统
DLP—数据泄露防护
攻击者
NSM—网络安全监控
NSM部署网络传感器,以整合有效的安全策略为基础,处
理分析收集到的信息,为检测和入侵响应提供依据。
NSM工作特征
聚焦检测响应
聚焦于事中检测和及时响应,及时发现和阻断攻击链
异常检测技术的误报率比较高,而误用检 测技术误报率比较低。
新的区分方法
基于模式预测的方法 基于机器学习的方法 基于数据挖掘的方法 ······
NSM技术体系——分析
对提交的告警信息进行识别、验证和确认 分析技术:
数据包分析:纵向分析/关联性分析 数字取证:内存数据/硬盘数据/IDS记录 程序行为分析:沙箱
工具
Wireshark、Redline、Net Treat Analyzer、 Walleye等
NSM技术体系——分析
对提交的告警信息进行识别、验证和确认 帮助确定某个恶意行为在整个安全事件中
的作用和发生时机 分析技术:
数据包分析:纵向分析/关联性分析 数字取证:内存数据/硬盘数据/IDS记录 程序行为分析:沙箱
受监控服务器
12.2 入侵检测系统
IDS概念 IDS背景 IDS发展 IDS分类 IDS实例:Snort
入侵检测
入侵检测系统(Intrusion Detection Systems, IDS),是NSM核心技术之一
对系统、应用程序的日志以及网络数据流量进 行主动监控的主动防御技术
背景
的质量
误用检测(特征检测)
公开信誉度列表是由开源社区志愿者支持 维护的关于互联网恶意行为的信息列表
主要收录恶意域名、可疑IP地址、恶意程 序签名等
知名的公开信誉度列表有:恶意软件域名 列表MDL、ZeuS和SpyEye追踪器、 PhishTank,垃圾邮件IP地址封堵名单 Spamhaus,MalCode数据库等。
数据包分析
根据告警信息对数据包进行细致的分析和 解读,以实现对告警信息的验证和潜在攻 击线索
纵向分析:严格按照协议层次和格式,对 封装的数据包进行拆分和解析。
关联性分析:对各类信息进行关联和综合, 从而对网络事件进行判断,帮助甄别误报 或查找漏报。
数字取证
源自于计算机取证 主要关注计算机内存、硬盘数据以及入侵
·流量数据
·日志数据 ·告警数据
收集
·
·误用检测 ·异常检测
检测
NSM技术体系——规划
主要任务:制定网络安全监控方案 从安全需求分析开始,始终围绕“威胁” 步骤:
威胁建模 量化风险 确定数据源 细化重点
NSM技术体系——收集
NSM的可靠性和准确依赖于数据的可靠 性和完备性
传感器实现数据收集 数据类型丰富
导出 解决了全包捕获数据对存储空间要求过高,
而会话数据粒度不够、缺乏详细信息等问 题 容易存储管理、分析统计。
日志数据
充分利用系统和应用程序日志文件信息 源自设备、系统或应用的原始日志文件 通常包括:Web代理日志、防火墙日志、
操作系统安全日志和系统登录日志等 记录用户认证与授权、用户登录、网络访
告警信息是检测的重要检测结果 入侵检测系统(IDS)进行检测
误用检测(特征检测) 异常检测
误用检测(特征检测)
发展相对成熟,最早且最广泛的检测技术 假设:
所有入侵行为都有可被检测到的特征
工作原理:
对入侵行为的特征进行描述,在收集的数据 中如果找到符合特征描述的行为,则视之为 入侵
误用检测(特征检测)
特征类型分类
主机/网络 稳定/可变 原子/可计算
特征构成了误用模式数据库(特征库) 误用检测的性能很大程度上依赖于特征库
的质量
误用检测(特征检测)
特征类型分类
主机/网络 稳定/可变 原子/可计算
特征构成了误用模式数据库(特征库) 误用检测的性能很大程度上依赖于特征库
一般通过工具或者dump文件来获取
数字取证——硬盘数据
从硬盘中提取与文件和文件系统有关的数 据信息
对读取的原始磁盘数据依照文件和文件系 统格式进行文件恢复,甚至对已经遭到破 坏的文件和文件碎片进行修复还原。
相关技术:痕迹检测、相关性分析、高效 搜索算法、完整性校验算法和数据挖掘算 法等
数字取证——网络取证
美国国家标准与技术研究院(NIST):
入侵是指试图破坏计算机或网络系统的机密性,完 整性、可用性或者企图绕过系统安全机制的行为。
1980年,J.Anderson将入侵者分为三类:
假冒者:未经授权/冒用合法账户 违法者:越权操作 秘密用户:绕过访问控制、逃避审计
背景
入侵检测核心任务
收集和分析计算机网络或计算机系统中关键 点信息,发现网络或系统中的违反安全策略 行为和被攻击迹象
问、文件读取等各种网络和系统行为
告警数据
由检测工具依据配置规则在检查中所生成 的告警报警记录和说明
告警数据反映了网络或系统的异常
例如,系统目录和文件的非期望改变,替换 动态链接库等系统程序或修改系统日志文件。
告警数据本身体量非常小,通常仅包含指 向其他数据的指针,常用于分析。
数据收集
传感器实现:软件/硬件。 网络流量数据:流量镜像/网络分流器
以威胁为中心
以潜在的威胁为线索,优化数据收集和分析,提高攻击现场的 还原能力
注重情报使能
通过学习积累形成关于特定攻击者的网络“轮廓” 基于信誉度检测,提高效率
NSM技术体系
主要包括规划、收集、检测和分析
规划
·威胁建模
·量化风险
·明确数据源
·细化重点
·数据包分析 分析 ·恶意软件分析
·取证
误用检测(特征检测)
误用检测的误报率较低
只需收集相关的数据集合,减少系统负担, 且技术已相当成熟。
误用检测的漏报率较高
仅仅刻画已知的入侵和系统误用模式,因此 该技术不能检测出未知的入侵
在模式匹配基础上增加了协议分析技术,以 提高误用检测的性能。
异常检测
假设:入侵者的行为与正常用户的行为不 同,利用这些不同可以检测入侵行为。
工作原理是是对正常行为建模,在对网络 流量或事件监测时,所有不符合常规行为 模型的事件就被怀疑为攻击。
利用统计分析和预测等方法检测入侵 轮廓(Profile):定义出各种行为参数及
主体
安全监控器
客体
审计数据
实时信息
添加新规则
系统轮廓
更新规则
规则匹配
攻击状态
IDS发展
在DARPA支持下,加州大学戴维斯分校安全实 验室提出入侵检测框架模型(CIDF)
主要工作:体系结构、通信体制、描述语言、应用 程序接口(API)
构成:事件发生器、事件分析器、响应单元、事件
分析捕获数据来了解攻击新工具和新方法 主要包括:
网络协议分析 网络行为分析 攻击特征分析 ······
程序行为分析
一般利用沙箱对恶意程序的运行情况进行 跟踪分析
分析对象
文件操作 注册表操作 进程/线程操作 网络行为 内核加载操作
NSM部署
部署时重点考虑数据来源的可靠性与完备 性
全包捕获数据
完整地记录了两个网络节点之间传输的每 一个数据包,PCAP数据格式
细粒度的且高价值的信息,常用于取证和 上下文分析
数据体量太大,所需存储成本过高,不适 合长期存储;
完整数据包不方便快速审计,解析难度也 较大。
包字符串数据
介于全包捕获数据和会话数据之间 根据自定义的数据格式从全包捕获数据中
确保网络信息系统安全运行 防止攻击者实施渗透、破坏和信息窃取 进行信息收集、事件分析 为网络安全应急处理提供决策依据
NSM发展历程
NSM最早起源于入侵检测 1998年美国空军计算机应急响应小组(AFCERT)部
署了第一个监控网络流量的入侵检测系统——网络安全 监控器(NSM) 1993年AFCERT在NSM基础上升级部署了自动化安全 事件评估系统(ASIM) 网络安全监控逐步由被动变为主动,采用蜜罐 (Honeypot)、沙箱(Sand Box)等欺骗式防御技术。 趋势:更加关注高级态势感知的情报需求
攻击方:夜深人静, 攻其弱点 防守方:全天候全面防护
信息不对称
攻击方:通过网络扫描、探测、踩点对攻击目标全 面了解
防守方:对攻击方一无所知
后果不对称
攻击方:任务失败,极少受到损失 防守方:安全策略被破坏,利益受损
网络安全监控概念
网络安全监控(Network Security Monitoring, NSM)
基于主机的IDS
监视和分析主机的审计记录和日志文件 保护运行关键应用的服务器
基于网络的IDS
监听网络上的所有分组 实时监控网络上的关键路径,影响小
混合型IDS
主机+网络,互补保护系统
NIDS和HIDS比较
基于主机的IDS
Customers
Hacker
Partners Internet
Network Desktops
Branch Office
Web Servers
Host-based IDS
流量镜像的方式不会影响正常通信 网络分流器通常接在路由器和交换机之间,
专用的硬件设计,较高的性能和可靠性。
日志数据:目标主机上运行代理程序,获取 主机的审计数据、系统日志、应用程序日 志等。
NSM技术体系——检测
是指以网络流量、日志和审计信息为数据 源,对网络实时连接和主机文件等进行检 测,发现可疑事件并作出告警。
NSM作用机制
攻击者
攻击者
IPS NSM
敏感信息
FW
AV
攻击者
NSM DLP
FW—防火墙
IPS—入侵保护系统
DLP—数据泄露防护
攻击者
NSM—网络安全监控
NSM部署网络传感器,以整合有效的安全策略为基础,处
理分析收集到的信息,为检测和入侵响应提供依据。
NSM工作特征
聚焦检测响应
聚焦于事中检测和及时响应,及时发现和阻断攻击链
异常检测技术的误报率比较高,而误用检 测技术误报率比较低。
新的区分方法
基于模式预测的方法 基于机器学习的方法 基于数据挖掘的方法 ······
NSM技术体系——分析
对提交的告警信息进行识别、验证和确认 分析技术:
数据包分析:纵向分析/关联性分析 数字取证:内存数据/硬盘数据/IDS记录 程序行为分析:沙箱
工具
Wireshark、Redline、Net Treat Analyzer、 Walleye等
NSM技术体系——分析
对提交的告警信息进行识别、验证和确认 帮助确定某个恶意行为在整个安全事件中
的作用和发生时机 分析技术:
数据包分析:纵向分析/关联性分析 数字取证:内存数据/硬盘数据/IDS记录 程序行为分析:沙箱
受监控服务器
12.2 入侵检测系统
IDS概念 IDS背景 IDS发展 IDS分类 IDS实例:Snort
入侵检测
入侵检测系统(Intrusion Detection Systems, IDS),是NSM核心技术之一
对系统、应用程序的日志以及网络数据流量进 行主动监控的主动防御技术
背景
的质量
误用检测(特征检测)
公开信誉度列表是由开源社区志愿者支持 维护的关于互联网恶意行为的信息列表
主要收录恶意域名、可疑IP地址、恶意程 序签名等
知名的公开信誉度列表有:恶意软件域名 列表MDL、ZeuS和SpyEye追踪器、 PhishTank,垃圾邮件IP地址封堵名单 Spamhaus,MalCode数据库等。
数据包分析
根据告警信息对数据包进行细致的分析和 解读,以实现对告警信息的验证和潜在攻 击线索
纵向分析:严格按照协议层次和格式,对 封装的数据包进行拆分和解析。
关联性分析:对各类信息进行关联和综合, 从而对网络事件进行判断,帮助甄别误报 或查找漏报。
数字取证
源自于计算机取证 主要关注计算机内存、硬盘数据以及入侵
·流量数据
·日志数据 ·告警数据
收集
·
·误用检测 ·异常检测
检测
NSM技术体系——规划
主要任务:制定网络安全监控方案 从安全需求分析开始,始终围绕“威胁” 步骤:
威胁建模 量化风险 确定数据源 细化重点
NSM技术体系——收集
NSM的可靠性和准确依赖于数据的可靠 性和完备性
传感器实现数据收集 数据类型丰富
导出 解决了全包捕获数据对存储空间要求过高,
而会话数据粒度不够、缺乏详细信息等问 题 容易存储管理、分析统计。
日志数据
充分利用系统和应用程序日志文件信息 源自设备、系统或应用的原始日志文件 通常包括:Web代理日志、防火墙日志、
操作系统安全日志和系统登录日志等 记录用户认证与授权、用户登录、网络访
告警信息是检测的重要检测结果 入侵检测系统(IDS)进行检测
误用检测(特征检测) 异常检测
误用检测(特征检测)
发展相对成熟,最早且最广泛的检测技术 假设:
所有入侵行为都有可被检测到的特征
工作原理:
对入侵行为的特征进行描述,在收集的数据 中如果找到符合特征描述的行为,则视之为 入侵
误用检测(特征检测)
特征类型分类
主机/网络 稳定/可变 原子/可计算
特征构成了误用模式数据库(特征库) 误用检测的性能很大程度上依赖于特征库
的质量
误用检测(特征检测)
特征类型分类
主机/网络 稳定/可变 原子/可计算
特征构成了误用模式数据库(特征库) 误用检测的性能很大程度上依赖于特征库
一般通过工具或者dump文件来获取
数字取证——硬盘数据
从硬盘中提取与文件和文件系统有关的数 据信息
对读取的原始磁盘数据依照文件和文件系 统格式进行文件恢复,甚至对已经遭到破 坏的文件和文件碎片进行修复还原。
相关技术:痕迹检测、相关性分析、高效 搜索算法、完整性校验算法和数据挖掘算 法等
数字取证——网络取证
美国国家标准与技术研究院(NIST):
入侵是指试图破坏计算机或网络系统的机密性,完 整性、可用性或者企图绕过系统安全机制的行为。
1980年,J.Anderson将入侵者分为三类:
假冒者:未经授权/冒用合法账户 违法者:越权操作 秘密用户:绕过访问控制、逃避审计
背景
入侵检测核心任务
收集和分析计算机网络或计算机系统中关键 点信息,发现网络或系统中的违反安全策略 行为和被攻击迹象
问、文件读取等各种网络和系统行为
告警数据
由检测工具依据配置规则在检查中所生成 的告警报警记录和说明
告警数据反映了网络或系统的异常
例如,系统目录和文件的非期望改变,替换 动态链接库等系统程序或修改系统日志文件。
告警数据本身体量非常小,通常仅包含指 向其他数据的指针,常用于分析。
数据收集
传感器实现:软件/硬件。 网络流量数据:流量镜像/网络分流器
以威胁为中心
以潜在的威胁为线索,优化数据收集和分析,提高攻击现场的 还原能力
注重情报使能
通过学习积累形成关于特定攻击者的网络“轮廓” 基于信誉度检测,提高效率
NSM技术体系
主要包括规划、收集、检测和分析
规划
·威胁建模
·量化风险
·明确数据源
·细化重点
·数据包分析 分析 ·恶意软件分析
·取证
误用检测(特征检测)
误用检测的误报率较低
只需收集相关的数据集合,减少系统负担, 且技术已相当成熟。
误用检测的漏报率较高
仅仅刻画已知的入侵和系统误用模式,因此 该技术不能检测出未知的入侵
在模式匹配基础上增加了协议分析技术,以 提高误用检测的性能。
异常检测
假设:入侵者的行为与正常用户的行为不 同,利用这些不同可以检测入侵行为。
工作原理是是对正常行为建模,在对网络 流量或事件监测时,所有不符合常规行为 模型的事件就被怀疑为攻击。
利用统计分析和预测等方法检测入侵 轮廓(Profile):定义出各种行为参数及