13:网络安全产品-IDS、漏洞扫描与蜜罐
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5
网络安全产品与安全服务的关系(例)
服务 产品 机密性 完整性 认证 非否认 访问控制 审计
虚拟专用网 PGP PKI 防火墙 入侵检测
√ √ √
√ √ √ √ √ √ √ √
6
主要内容
1. 网络安全防护体系 2. 入侵检测 3. 漏洞扫描 4. 蜜罐 5. 反垃圾邮件
7
入侵检测
• 入侵检测概述 • 入侵检测技术
18
②误用入侵检测技术
• 优点:
1. 准确 2. 高效(相对) 3. 易实现
• 缺点:
1. 不能检测未知攻击 2. 知识库会无限增长 3. 描述所有攻击行为困难
19
②误用入侵检测技术
• 典型系统:Snort Snort是一个典型的轻量级误用网络入侵检 测系统。该系统自己定义了一套规则语言 来定义入侵行为,规则语言所描述的主要 是网络数据包的特性,比如地址、端口、 包头属性、包含的特殊数据等等。
– 例如:bob@example.domain →bob at example dot domain
③ Contact form ④ 拒绝Directory harvest attackers ⑤ 联合采用以上各种方法
46
反垃圾邮件技术
① 过滤 ② 验证查询技术 ③ 询问技术 ④ 密码术 ⑤ 综合使用以上技术
16
①异常入侵检测技术
• 典型系统:TripWare 优点:
–实现简单、管理方便
缺点:
–检测能力差
17
②误用入侵检测技术
• 定义:误用检测根据非法行为(状态)定 义,分析目标系统状态,以确定是否受到 攻击。 • 特点:技术较为成熟,为绝大多数市场产 品采用 • 典型应用:网络数据包、用户指令序列、 应用程序编码特征、等等
14
①异常入侵检测技术
• 优点:
1. 可以检测到未知攻击 2. 知识库相对稳定
• 缺点:
1. 准确性差 2. 误报率高
15
①异常入侵检测技术
• 典型系统:TripWare TripWare主要利用关键性文件的摘要作为自 己知识库,合法用户修改文件后要更新该 文件摘要。由于非法用户无权更改其摘要, 所以当发现文件摘要和保存的记录不符时, 判定系统受到攻击。
20
②误用入侵检测技术
• 典型系统:Snort Snort规则语言(示例):
1. log tcp any any -> 10.1.1.0/24 79 2. alert tcp any any -> 10.1.1.0/24 80 (content: "/cgi-bin/phf";msg "PHF probe!") 3. alert tcp !10.1.1.0/24 any -> 10.1.1.0/24 6000:6010 ( msg: "X traffic";) 4. alert tcp any any -> 192.168.1.0/24 143 (content:"|E8C0 FFF FF|/bin/sh"; msg:"New IMAP Buffer Overflow detected!";)
29
漏洞扫描
• 漏洞扫描主要包括
– IP地址扫描 – 端口扫描 – 漏洞扫描
• 通常采用基于规则匹配的自动扫描方式
30
漏洞扫描
• 漏洞扫描是一把双刃剑
31
漏洞扫描软件
• NMAP (www.insecure.org/nmap) • NESSUS(http://www.nessus.org/) • Satan(http://www.fish.com/satan) • ISS Internet Scanner(http://www.iss.net/)
– 降低风险-使得蜜网不会被用以危害第三方
2. 数据捕获
– 检测并捕获所有攻击者的活动
3. 数据分析
– 分析攻击者做了什么!
38
主要内容
1. 网络安全防护体系 2. 入侵检测 3. 漏洞扫描 4. 蜜罐 5. 反垃圾邮件
39
垃圾邮件
• 垃圾邮件= E-mail spam What is SPAM?
– 异常入侵检测技术 – 误用入侵检测技术
• IDS的体系结构分类 • 入侵防御系统IPS
什么是入侵检测
• 入侵检测(Intrusion Detection)是检测计算 机网络和系统以发现违反安全策略事件的 过程 • 入侵检测系统简称IDS • IDS与防火墙互为补充
9
入侵检测与防火墙互为补充
防火墙
21
②误用入侵检测技术
• 典型系统:Snort 优点:
–检测的准确度比较高
缺点:
–检测的效率低、对复杂攻击检测能力差、容易 被欺骗
22
IDS的体系结构分类
① 基于主机系统 ② 基于网络系统
23
①基于主机系统的结构
• 其检测目标主要是主机系统和系统本地用 户 • 根据主机的审计数据和系统的日志发现可 疑事件 • 依赖于审计数据和系统日志的准确性和完 整性
– 反向查询技术:判断域名和IP的对应性 – DKIM技术:鉴别邮件服务器的公钥签名(Yahoo) – SenderID技术:接收邮件服务器用SenderID对发件人身 份进行核对(MS) – FairUCE技术:建立域名与IP对应的黑白名单(IBM)
50
③询问
• 询问-应答:要求发件人对给定的问题进 行回答 • 计算机询问:要求发送服务器对计算机询 问进行自动应答
安全产品
检测入侵
安全服务
抵抗入侵
应急响应与恢复
4
1.网络安全防护体系
• 网络与信息安全产品分类
硬 件 安全应用 鉴别产品 软 件 身份管理与访 问控制 安全性与脆弱 性管理 安全内容管理 威胁管理 其他 防火墙/VPN、IDS/IPS、安全内容管理、统一威胁 防火墙 管理 令牌、IC卡、生物特征鉴别产品 PKI、认证系统、 漏洞扫描、漏洞修补、补丁管理 漏洞扫描 反垃圾邮件、有 防病毒、Web流过滤、内容安全(反垃圾邮件 防病毒 反垃圾邮件 害信息)、反流氓软件 软件防火墙、软件IDS/IPS、安全审计 Web扫描、安全管理 安全管理、等等…… 安全管理
Specially Processed Assorted Meat
40
Spam
• 各种各样的Spam
– E-mail spam – Mobile phone spam – Forum spam – Street spam
41
垃圾邮件
• 垃圾邮件的特点
– Unsolicited – Bulk
42
The 10 Worst Spam Origin Countries
The 10 Worst Spam Origin Countries Rank 1 2 3 4 5 6 7 8 9 10 Country United States China Russian Federation United Kingdom South Korea Germany Japan France Canada Taiwan As at 29 January 2008 Number of Current Known Spam Issues 1642 427 263 184 180 168 152 141 129 121
网络与信息安全
网络安全产品与技术(1)
入侵检测、漏洞扫描、蜜罐、反垃圾邮件
1
主要内容
1. 网络安全防护体系 2. 入侵检测 ★ 3. 漏洞扫描 4. 蜜罐 5. 反垃圾邮件
2
主要内容
1. 网络安全防护体系 2. 入侵检测 3. 漏洞扫描 4. 蜜罐 5. 反垃圾邮件
3
1.网络安全防护体系
阻止入侵
24
②基于网络系统的结构
• 根据网络流量和单台或多台主机的审计数 据对入侵行为进行检测。 • 由探测器和分析器以及网络安全知识库组 成 • 具有配置简单,服务器平台独立性等优点
25
入侵防御系统(IPS)
• IPS的主要功能:
– identify, classify, and stop malicious traffic before they affect network continuity. – 在网络恶意数据流对网络产生危害之前,对其 进行识别、分析和过滤。
Corporate Network
入侵检测
10
IDS的组成
• IDS包括三个功能组件
–提供事件记录流的信息源 –发现入侵迹象的分析引擎 –基于分析引擎的结果产生反应的响应部件
11
IDS组成的基本框架
12
入侵检测技术
① 异常入侵检测技术 ② 误用入侵检测技术
①异常入侵检测技术
• 定义:异常检测主要根据合法行为(状态) 定义来分析系统是否受到攻击或者运行异 常。 • 特点:能发现未知攻击,是目前的主要研 究发展方向 • 典型应用:CPU使用率,内存使用率,网络 流量,用户行为,系统调用等等
32
主要内容
1. 网络安全防护体系 2. 入侵检测 3. 漏洞扫描 4. 蜜罐 5. 反垃圾邮件
33
什么是蜜罐
• 蜜罐是一种网络攻击诱骗工具,它通过模 拟一个或多个易受攻击的系统,给黑客提 供一个包含漏洞并容易被攻破的系统作为 他们的攻击目标。 • 重要意义:
– 扭转了网络安全中攻击者与防守者的不对称现 象
47
①过滤
• 在邮件接收系统 邮件接收系统进行辨别和处理 邮件接收系统 • 应用最为广泛的技术
– 关键词过滤 – 黑白名单 – HASH技术 – 基于规则的过滤及 – 智能和概率系统
48
①过滤
•ቤተ መጻሕፍቲ ባይዱ局限性
– 可能被绕过 – 误报问题 – 过滤复查
49
②验证查询技术
• 假设前提:垃圾邮件一般都是使用的伪造的发送 者地址 • 常用技术:
34
蜜罐的用途
• 目的:
– 研究攻击 – 转移攻击 – 计算机取证
35
蜜罐的分类
• 产品蜜罐
– 减少攻击
• 研究蜜罐
– 研究攻击
36
蜜网(honeynet)
• 一种研究型、高交互型的蜜罐技术
– 对攻击者活动进行收集
• 一个体系框架
– 包括一个或多个蜜罐 – 高可控的蜜罐网络
37
蜜网的需求
1. 数据控制
26
入侵防御系统(IPS)
对恶意数据包的实时主动 的检测和过滤过程
过滤恶意 数据包
27
主要内容
1. 网络安全防护体系 2. 入侵检测 3. 漏洞扫描 4. 蜜罐 5. 反垃圾邮件
28
漏洞扫描
• 为什么需要漏洞扫描
– 想要攻击目标系统用的是什么操作系统?什么 样的硬件系统?开放了何种服务?存在什么样 的漏洞? – 扫描是攻击者获得目标信息的主要手段
资料来源:www.spamhaus.org
43
与正常邮件数量对比
44
垃圾邮件是怎么来的
• 邮件地址收集方法
① 手工收集 ② 购买与交换 ③ Harvesting bots ④ Directory harvest attack ⑤ 使用以上多种方法
45
如何防止非法邮件地址收集
① List poisoning ② Obfuscate (或者Munging-伪装)
51
52
④密码术
• 利用密码技术对邮件发送者进行验证
– 目前已经提出了一些采用密码技术来验证邮件 发送者的方案,但都没有应用于SMTP协议 – 密钥或证书的管理是密码术用于反垃圾邮件的 关键难点
• • • • 哪些CA可信? 如何获取对方的密钥? CA不可用怎么办? ……
53
?
54
网络安全产品与安全服务的关系(例)
服务 产品 机密性 完整性 认证 非否认 访问控制 审计
虚拟专用网 PGP PKI 防火墙 入侵检测
√ √ √
√ √ √ √ √ √ √ √
6
主要内容
1. 网络安全防护体系 2. 入侵检测 3. 漏洞扫描 4. 蜜罐 5. 反垃圾邮件
7
入侵检测
• 入侵检测概述 • 入侵检测技术
18
②误用入侵检测技术
• 优点:
1. 准确 2. 高效(相对) 3. 易实现
• 缺点:
1. 不能检测未知攻击 2. 知识库会无限增长 3. 描述所有攻击行为困难
19
②误用入侵检测技术
• 典型系统:Snort Snort是一个典型的轻量级误用网络入侵检 测系统。该系统自己定义了一套规则语言 来定义入侵行为,规则语言所描述的主要 是网络数据包的特性,比如地址、端口、 包头属性、包含的特殊数据等等。
– 例如:bob@example.domain →bob at example dot domain
③ Contact form ④ 拒绝Directory harvest attackers ⑤ 联合采用以上各种方法
46
反垃圾邮件技术
① 过滤 ② 验证查询技术 ③ 询问技术 ④ 密码术 ⑤ 综合使用以上技术
16
①异常入侵检测技术
• 典型系统:TripWare 优点:
–实现简单、管理方便
缺点:
–检测能力差
17
②误用入侵检测技术
• 定义:误用检测根据非法行为(状态)定 义,分析目标系统状态,以确定是否受到 攻击。 • 特点:技术较为成熟,为绝大多数市场产 品采用 • 典型应用:网络数据包、用户指令序列、 应用程序编码特征、等等
14
①异常入侵检测技术
• 优点:
1. 可以检测到未知攻击 2. 知识库相对稳定
• 缺点:
1. 准确性差 2. 误报率高
15
①异常入侵检测技术
• 典型系统:TripWare TripWare主要利用关键性文件的摘要作为自 己知识库,合法用户修改文件后要更新该 文件摘要。由于非法用户无权更改其摘要, 所以当发现文件摘要和保存的记录不符时, 判定系统受到攻击。
20
②误用入侵检测技术
• 典型系统:Snort Snort规则语言(示例):
1. log tcp any any -> 10.1.1.0/24 79 2. alert tcp any any -> 10.1.1.0/24 80 (content: "/cgi-bin/phf";msg "PHF probe!") 3. alert tcp !10.1.1.0/24 any -> 10.1.1.0/24 6000:6010 ( msg: "X traffic";) 4. alert tcp any any -> 192.168.1.0/24 143 (content:"|E8C0 FFF FF|/bin/sh"; msg:"New IMAP Buffer Overflow detected!";)
29
漏洞扫描
• 漏洞扫描主要包括
– IP地址扫描 – 端口扫描 – 漏洞扫描
• 通常采用基于规则匹配的自动扫描方式
30
漏洞扫描
• 漏洞扫描是一把双刃剑
31
漏洞扫描软件
• NMAP (www.insecure.org/nmap) • NESSUS(http://www.nessus.org/) • Satan(http://www.fish.com/satan) • ISS Internet Scanner(http://www.iss.net/)
– 降低风险-使得蜜网不会被用以危害第三方
2. 数据捕获
– 检测并捕获所有攻击者的活动
3. 数据分析
– 分析攻击者做了什么!
38
主要内容
1. 网络安全防护体系 2. 入侵检测 3. 漏洞扫描 4. 蜜罐 5. 反垃圾邮件
39
垃圾邮件
• 垃圾邮件= E-mail spam What is SPAM?
– 异常入侵检测技术 – 误用入侵检测技术
• IDS的体系结构分类 • 入侵防御系统IPS
什么是入侵检测
• 入侵检测(Intrusion Detection)是检测计算 机网络和系统以发现违反安全策略事件的 过程 • 入侵检测系统简称IDS • IDS与防火墙互为补充
9
入侵检测与防火墙互为补充
防火墙
21
②误用入侵检测技术
• 典型系统:Snort 优点:
–检测的准确度比较高
缺点:
–检测的效率低、对复杂攻击检测能力差、容易 被欺骗
22
IDS的体系结构分类
① 基于主机系统 ② 基于网络系统
23
①基于主机系统的结构
• 其检测目标主要是主机系统和系统本地用 户 • 根据主机的审计数据和系统的日志发现可 疑事件 • 依赖于审计数据和系统日志的准确性和完 整性
– 反向查询技术:判断域名和IP的对应性 – DKIM技术:鉴别邮件服务器的公钥签名(Yahoo) – SenderID技术:接收邮件服务器用SenderID对发件人身 份进行核对(MS) – FairUCE技术:建立域名与IP对应的黑白名单(IBM)
50
③询问
• 询问-应答:要求发件人对给定的问题进 行回答 • 计算机询问:要求发送服务器对计算机询 问进行自动应答
安全产品
检测入侵
安全服务
抵抗入侵
应急响应与恢复
4
1.网络安全防护体系
• 网络与信息安全产品分类
硬 件 安全应用 鉴别产品 软 件 身份管理与访 问控制 安全性与脆弱 性管理 安全内容管理 威胁管理 其他 防火墙/VPN、IDS/IPS、安全内容管理、统一威胁 防火墙 管理 令牌、IC卡、生物特征鉴别产品 PKI、认证系统、 漏洞扫描、漏洞修补、补丁管理 漏洞扫描 反垃圾邮件、有 防病毒、Web流过滤、内容安全(反垃圾邮件 防病毒 反垃圾邮件 害信息)、反流氓软件 软件防火墙、软件IDS/IPS、安全审计 Web扫描、安全管理 安全管理、等等…… 安全管理
Specially Processed Assorted Meat
40
Spam
• 各种各样的Spam
– E-mail spam – Mobile phone spam – Forum spam – Street spam
41
垃圾邮件
• 垃圾邮件的特点
– Unsolicited – Bulk
42
The 10 Worst Spam Origin Countries
The 10 Worst Spam Origin Countries Rank 1 2 3 4 5 6 7 8 9 10 Country United States China Russian Federation United Kingdom South Korea Germany Japan France Canada Taiwan As at 29 January 2008 Number of Current Known Spam Issues 1642 427 263 184 180 168 152 141 129 121
网络与信息安全
网络安全产品与技术(1)
入侵检测、漏洞扫描、蜜罐、反垃圾邮件
1
主要内容
1. 网络安全防护体系 2. 入侵检测 ★ 3. 漏洞扫描 4. 蜜罐 5. 反垃圾邮件
2
主要内容
1. 网络安全防护体系 2. 入侵检测 3. 漏洞扫描 4. 蜜罐 5. 反垃圾邮件
3
1.网络安全防护体系
阻止入侵
24
②基于网络系统的结构
• 根据网络流量和单台或多台主机的审计数 据对入侵行为进行检测。 • 由探测器和分析器以及网络安全知识库组 成 • 具有配置简单,服务器平台独立性等优点
25
入侵防御系统(IPS)
• IPS的主要功能:
– identify, classify, and stop malicious traffic before they affect network continuity. – 在网络恶意数据流对网络产生危害之前,对其 进行识别、分析和过滤。
Corporate Network
入侵检测
10
IDS的组成
• IDS包括三个功能组件
–提供事件记录流的信息源 –发现入侵迹象的分析引擎 –基于分析引擎的结果产生反应的响应部件
11
IDS组成的基本框架
12
入侵检测技术
① 异常入侵检测技术 ② 误用入侵检测技术
①异常入侵检测技术
• 定义:异常检测主要根据合法行为(状态) 定义来分析系统是否受到攻击或者运行异 常。 • 特点:能发现未知攻击,是目前的主要研 究发展方向 • 典型应用:CPU使用率,内存使用率,网络 流量,用户行为,系统调用等等
32
主要内容
1. 网络安全防护体系 2. 入侵检测 3. 漏洞扫描 4. 蜜罐 5. 反垃圾邮件
33
什么是蜜罐
• 蜜罐是一种网络攻击诱骗工具,它通过模 拟一个或多个易受攻击的系统,给黑客提 供一个包含漏洞并容易被攻破的系统作为 他们的攻击目标。 • 重要意义:
– 扭转了网络安全中攻击者与防守者的不对称现 象
47
①过滤
• 在邮件接收系统 邮件接收系统进行辨别和处理 邮件接收系统 • 应用最为广泛的技术
– 关键词过滤 – 黑白名单 – HASH技术 – 基于规则的过滤及 – 智能和概率系统
48
①过滤
•ቤተ መጻሕፍቲ ባይዱ局限性
– 可能被绕过 – 误报问题 – 过滤复查
49
②验证查询技术
• 假设前提:垃圾邮件一般都是使用的伪造的发送 者地址 • 常用技术:
34
蜜罐的用途
• 目的:
– 研究攻击 – 转移攻击 – 计算机取证
35
蜜罐的分类
• 产品蜜罐
– 减少攻击
• 研究蜜罐
– 研究攻击
36
蜜网(honeynet)
• 一种研究型、高交互型的蜜罐技术
– 对攻击者活动进行收集
• 一个体系框架
– 包括一个或多个蜜罐 – 高可控的蜜罐网络
37
蜜网的需求
1. 数据控制
26
入侵防御系统(IPS)
对恶意数据包的实时主动 的检测和过滤过程
过滤恶意 数据包
27
主要内容
1. 网络安全防护体系 2. 入侵检测 3. 漏洞扫描 4. 蜜罐 5. 反垃圾邮件
28
漏洞扫描
• 为什么需要漏洞扫描
– 想要攻击目标系统用的是什么操作系统?什么 样的硬件系统?开放了何种服务?存在什么样 的漏洞? – 扫描是攻击者获得目标信息的主要手段
资料来源:www.spamhaus.org
43
与正常邮件数量对比
44
垃圾邮件是怎么来的
• 邮件地址收集方法
① 手工收集 ② 购买与交换 ③ Harvesting bots ④ Directory harvest attack ⑤ 使用以上多种方法
45
如何防止非法邮件地址收集
① List poisoning ② Obfuscate (或者Munging-伪装)
51
52
④密码术
• 利用密码技术对邮件发送者进行验证
– 目前已经提出了一些采用密码技术来验证邮件 发送者的方案,但都没有应用于SMTP协议 – 密钥或证书的管理是密码术用于反垃圾邮件的 关键难点
• • • • 哪些CA可信? 如何获取对方的密钥? CA不可用怎么办? ……
53
?
54