計(jì)算機(jī)網(wǎng)絡(luò)安全課件(沈鑫剡)第8章要點(diǎn)

計(jì)算機(jī)網(wǎng)絡(luò)平安第八章第8章入侵防衛(wèi)系統(tǒng)入侵防衛(wèi)系統(tǒng)概述；網(wǎng)絡(luò)入侵防衛(wèi)系統(tǒng)；主機(jī)入侵防衛(wèi)系統(tǒng)。入侵防衛(wèi)系統(tǒng)的作用是檢測(cè)網(wǎng)絡(luò)中可能存在的攻擊行為，并對(duì)攻擊行為進(jìn)行反制。由于攻擊手段的多樣性和不斷翻新，接受單一技術(shù)和手段是無(wú)法檢測(cè)出全部攻擊行為的，因此，入侵防衛(wèi)系統(tǒng)也是多個(gè)系統(tǒng)的有機(jī)集合，每一個(gè)系統(tǒng)各司其職。8.1入侵防衛(wèi)系統(tǒng)概述入侵防衛(wèi)系統(tǒng)分類；入侵防衛(wèi)系統(tǒng)工作過(guò)程；入侵防衛(wèi)系統(tǒng)不足；入侵防衛(wèi)系統(tǒng)發(fā)展趨勢(shì)。入侵防衛(wèi)系統(tǒng)和防火墻是抵擋黑客攻擊的兩面盾牌，防火墻通過(guò)限制信息在各個(gè)網(wǎng)絡(luò)間的傳輸，防止攻擊信息到達(dá)攻擊目標(biāo)。入侵防衛(wèi)系統(tǒng)通過(guò)檢測(cè)流經(jīng)各個(gè)網(wǎng)段的信息流，監(jiān)測(cè)對(duì)主機(jī)資源的訪問(wèn)過(guò)程，發(fā)覺(jué)并反制可能存在的攻擊行為。入侵防衛(wèi)系統(tǒng)分類入侵防衛(wèi)系統(tǒng)分為主機(jī)入侵防衛(wèi)系統(tǒng)和網(wǎng)絡(luò)入侵防衛(wèi)系統(tǒng)；主機(jī)入侵防衛(wèi)系統(tǒng)檢測(cè)進(jìn)入主機(jī)的信息流、監(jiān)測(cè)對(duì)主機(jī)資源的訪問(wèn)過(guò)程，以此發(fā)覺(jué)攻擊行為、管制流出主機(jī)的信息流，愛(ài)護(hù)主機(jī)資源；網(wǎng)絡(luò)入侵防衛(wèi)系統(tǒng)通過(guò)檢測(cè)流經(jīng)關(guān)鍵網(wǎng)段的信息流，發(fā)覺(jué)攻擊行為，實(shí)施反制過(guò)程，以此愛(ài)護(hù)重要網(wǎng)絡(luò)資源；主機(jī)入侵防衛(wèi)系統(tǒng)和網(wǎng)絡(luò)入侵防衛(wèi)系統(tǒng)相輔相成，構(gòu)成有機(jī)的防衛(wèi)體系。入侵防衛(wèi)系統(tǒng)工作過(guò)程網(wǎng)絡(luò)入侵防衛(wèi)系統(tǒng)工作過(guò)程捕獲信息；檢測(cè)異樣信息；反制異樣信息；報(bào)警；登記。得到流經(jīng)關(guān)鍵網(wǎng)段的信息流。異樣指包含非法代碼，包含非法字段值，與已知攻擊特征匹配等。反制是丟棄與異樣信息具有相同源IP地址，或者相同目的IP地址的IP分組，釋放傳輸異樣信息的TCP連接等。向網(wǎng)絡(luò)平安管理員報(bào)告檢測(cè)到異樣信息流的狀況，異樣信息流的特征、源和目的IP地址，可能實(shí)施的攻擊等。記錄下有關(guān)異樣信息流的一切信息，以便對(duì)其進(jìn)行分析。主機(jī)入侵防衛(wèi)系統(tǒng)工作過(guò)程攔截主機(jī)資源訪問(wèn)操作懇求和網(wǎng)絡(luò)信息流；采集相應(yīng)數(shù)據(jù)；確定操作懇求和網(wǎng)絡(luò)信息流的合法性；反制動(dòng)作；登記和分析。主機(jī)攻擊行為的最終目標(biāo)是非法訪問(wèn)網(wǎng)絡(luò)資源，或者感染病毒，這些操作的實(shí)施一般都須要調(diào)用操作系統(tǒng)供應(yīng)的服務(wù)，因此，首要任務(wù)是對(duì)調(diào)用操作系統(tǒng)服務(wù)的懇求進(jìn)行檢測(cè)，依據(jù)調(diào)用發(fā)起進(jìn)程，調(diào)用進(jìn)程所屬用戶，須要訪問(wèn)的主機(jī)資源等信息確定調(diào)用的合法性。同時(shí)，須要對(duì)進(jìn)出主機(jī)的信息進(jìn)行檢測(cè)，發(fā)覺(jué)非法代碼和敏感信息。入侵防衛(wèi)系統(tǒng)工作過(guò)程入侵防衛(wèi)系統(tǒng)的不足主機(jī)入侵防衛(wèi)系統(tǒng)是被動(dòng)防衛(wèi)，主動(dòng)防衛(wèi)是在攻擊信息到達(dá)主機(jī)前予以干預(yù)，并查出攻擊源，予以反制。另外，每一臺(tái)主機(jī)安裝主機(jī)入侵防衛(wèi)系統(tǒng)的成本和使平安策略一樣的難度都是主機(jī)入侵防衛(wèi)系統(tǒng)的不足；網(wǎng)絡(luò)入侵防衛(wèi)系統(tǒng)能夠?qū)崿F(xiàn)主動(dòng)防衛(wèi)，但只愛(ài)護(hù)部分網(wǎng)絡(luò)資源，另外對(duì)未知攻擊行為的檢測(cè)存在確定的難度。入侵防衛(wèi)系統(tǒng)發(fā)展趨勢(shì)融合到操作系統(tǒng)中主機(jī)入侵防衛(wèi)系統(tǒng)的主要功能是監(jiān)測(cè)對(duì)主機(jī)資源的訪問(wèn)過(guò)程，對(duì)訪問(wèn)資源的合法性進(jìn)行判別，這是操作系統(tǒng)應(yīng)當(dāng)集成的功能。集成到網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備中全部信息流都需經(jīng)過(guò)轉(zhuǎn)發(fā)設(shè)備進(jìn)行轉(zhuǎn)發(fā)，因此，轉(zhuǎn)發(fā)設(shè)備是檢測(cè)信息流的合適之處。8.2網(wǎng)絡(luò)入侵防衛(wèi)系統(tǒng)系統(tǒng)結(jié)構(gòu)；信息捕獲機(jī)制；入侵檢測(cè)機(jī)制；平安策略。網(wǎng)絡(luò)入侵防衛(wèi)系統(tǒng)首先是捕獲流經(jīng)網(wǎng)絡(luò)的信息流，然后對(duì)其進(jìn)行檢測(cè)，并依據(jù)檢測(cè)結(jié)果確定反制動(dòng)作，檢測(cè)機(jī)制、攻擊特征庫(kù)和反制動(dòng)作由平安策略確定。系統(tǒng)結(jié)構(gòu)探測(cè)器1處于探測(cè)模式，須要接受相應(yīng)捕獲機(jī)制才能捕獲信息流，探測(cè)器2處于轉(zhuǎn)發(fā)模式；探測(cè)器1只能運(yùn)用釋放TCP連接的反制動(dòng)作，探測(cè)器2可以運(yùn)用其他反制動(dòng)作；為了平安起見(jiàn)，探測(cè)器和管理服務(wù)器用專用網(wǎng)絡(luò)實(shí)現(xiàn)互連。信息捕獲機(jī)制利用集線器的廣播傳輸功能，從集線器任何端口進(jìn)入的信息流，將廣播到全部其他端口。利用集線器捕獲信息機(jī)制端口境像功能是將交換機(jī)某個(gè)端口（如圖中的端口2）作為另一個(gè)端口（如圖中的端口1）的境像，這樣，全部從該端口輸出的信息流，都被復(fù)制到境像端口，由于境像端口和其他交換機(jī)端口之間的境像關(guān)系是動(dòng)態(tài)的，因此，連接在端口2的探測(cè)器，可以捕獲從交換機(jī)隨意端口輸出的信息流。信息捕獲機(jī)制利用端口境像捕獲信息機(jī)制跨交換機(jī)端口境像功能是將須要檢測(cè)的端口和連接探測(cè)模式的探測(cè)器端口之間交換路徑所經(jīng)過(guò)交換機(jī)端口劃分為一個(gè)特定的VLAN；從檢測(cè)端口進(jìn)入的信息除了正常轉(zhuǎn)發(fā)外，在該特定VLAN內(nèi)廣播。信息捕獲機(jī)制利用跨交換機(jī)端口境像捕獲信息機(jī)制通過(guò)分類器鑒別出具有指定源和目的IP地址、源和目的端口號(hào)等屬性參數(shù)的IP分組；為這些IP分組選擇特定的傳輸路徑；虛擬訪問(wèn)限制列表允許這些IP分組既正常轉(zhuǎn)發(fā)，又從特定傳輸路徑轉(zhuǎn)發(fā)；通過(guò)特定傳輸路徑轉(zhuǎn)發(fā)的IP分組到達(dá)探測(cè)器。信息捕獲機(jī)制虛擬訪問(wèn)限制列表入侵檢測(cè)機(jī)制攻擊特征檢測(cè)從已知的攻擊信息流中提取出有別于正常信息流的特征信息；特征信息分為元攻擊特征和有狀態(tài)攻擊特征；元攻擊特征是單個(gè)獨(dú)立的攻擊特征，只要信息流中出現(xiàn)和元攻擊特征相同的位流或字節(jié)流模式，即可斷定發(fā)覺(jué)攻擊；有狀態(tài)攻擊特征是將整個(gè)會(huì)話分成若干階段，攻擊特征分散出現(xiàn)在多個(gè)階段對(duì)應(yīng)的信息流中，只有依據(jù)階段依次，在每一個(gè)檢測(cè)到指定的攻擊特征才可斷定發(fā)覺(jué)攻擊；攻擊特征只能檢測(cè)出已知攻擊，即提取出攻擊特征的攻擊行為。協(xié)議譯碼IP分組的正確性，如首部字段值是否合理，整個(gè)TCP首部是否包含單片數(shù)據(jù)中，各個(gè)分片的長(zhǎng)度之和是否超過(guò)64KB等；TCP報(bào)文的正確性，如經(jīng)過(guò)TCP連接傳輸?shù)腡CP報(bào)文的序號(hào)和確認(rèn)序號(hào)之間是否沖突，連續(xù)發(fā)送的TCP報(bào)文序號(hào)范圍和另一方發(fā)送的窗口是否沖突，各段數(shù)據(jù)的序號(hào)范圍是否重疊等；應(yīng)用層報(bào)文的正確性，懇求、響應(yīng)過(guò)程是否合乎協(xié)議規(guī)范；各個(gè)字段值是否合理，端口號(hào)是否和默認(rèn)應(yīng)用層協(xié)議匹配等。入侵檢測(cè)機(jī)制異樣檢測(cè)基于統(tǒng)計(jì)機(jī)制，在一段時(shí)間內(nèi)，對(duì)流經(jīng)特定網(wǎng)段的信息流進(jìn)行統(tǒng)計(jì)，如單位時(shí)間特定源和目的終端之間的流量、不同應(yīng)用層報(bào)文分布等，將這些統(tǒng)計(jì)值作為基準(zhǔn)統(tǒng)計(jì)值。然后，實(shí)時(shí)采集流經(jīng)該網(wǎng)段的信息流，并計(jì)算出單位時(shí)間內(nèi)的統(tǒng)計(jì)值，然后和基準(zhǔn)統(tǒng)計(jì)值比較，假如多個(gè)統(tǒng)計(jì)值和基準(zhǔn)統(tǒng)計(jì)值存在較大偏差，斷定流經(jīng)該網(wǎng)段的信息流出現(xiàn)異樣；基于規(guī)則機(jī)制，通過(guò)分析大量異樣信息流，總結(jié)出一些特定異樣信息流的規(guī)則，一旦流經(jīng)該網(wǎng)段的信息流符合某種異樣信息流對(duì)應(yīng)的規(guī)則，斷定該信息流為異樣信息流。入侵檢測(cè)機(jī)制異樣檢測(cè)的困難之處在于正常信息流和異樣信息流的測(cè)量值之間存在重疊部分，必需在誤報(bào)和漏報(bào)之間平衡；依據(jù)被愛(ài)護(hù)資源的重要性確定基準(zhǔn)值（靠近A點(diǎn)或B點(diǎn))。入侵檢測(cè)機(jī)制平安策略平安策略指定須要檢測(cè)的信息流類別、檢測(cè)機(jī)制和反制動(dòng)作，對(duì)于攻擊特征檢測(cè)，須要給出攻擊特征庫(kù)；由于攻擊和應(yīng)用層協(xié)議相關(guān)，因此對(duì)應(yīng)不同的應(yīng)用層協(xié)議存在不同的攻擊特征庫(kù)；對(duì)同一類別信息流，可以指定多種檢測(cè)機(jī)制，對(duì)不同檢測(cè)機(jī)制檢測(cè)到的攻擊行為實(shí)行不同的反制動(dòng)作。8.3主機(jī)入侵防衛(wèi)系統(tǒng)工作流程；截獲機(jī)制；主機(jī)資源；用戶和系統(tǒng)狀態(tài)；訪問(wèn)限制策略；Honeypot。主機(jī)入侵防衛(wèi)系統(tǒng)主要用于防止對(duì)主機(jī)資源的非法訪問(wèn)和病毒入侵，因此，必需通過(guò)訪問(wèn)限制策略設(shè)定主機(jī)資源的訪問(wèn)權(quán)限，截獲主機(jī)資源的操作懇求，依據(jù)訪問(wèn)限制策略、用戶和系統(tǒng)狀態(tài)及主機(jī)資源類型確定操作懇求的合理性。工作流程主機(jī)入侵防衛(wèi)系統(tǒng)主要用于防止非法訪問(wèn)和病毒入侵；只允許對(duì)主機(jī)資源的合法操作正常進(jìn)行。必需截獲全部調(diào)用操作系統(tǒng)服務(wù)的懇求，尤其是對(duì)主機(jī)資源的操作懇求，如讀寫文件、修改注冊(cè)表等。判別某個(gè)操作懇求的合法性，判別的依據(jù)是訪問(wèn)限制策略、操作對(duì)象和類型、懇求進(jìn)程及進(jìn)程所屬的用戶、主機(jī)系統(tǒng)和用戶狀態(tài)等。只允許操作系統(tǒng)完成合法的操作懇求。截獲機(jī)制修改操作系統(tǒng)內(nèi)核通過(guò)修改操作系統(tǒng)內(nèi)核，可以依據(jù)特權(quán)用戶配置的資源訪問(wèn)限制陣列和懇求操作的用戶確定操作的合法性，為了平安，可以對(duì)懇求操作的用戶進(jìn)行身份認(rèn)證。攔截系統(tǒng)調(diào)用用戶操作懇求和操作系統(tǒng)內(nèi)核之間增加檢測(cè)程序，對(duì)用戶發(fā)出的操作懇求進(jìn)行檢測(cè)，確定是合法操作懇求，才供應(yīng)應(yīng)操作系統(tǒng)內(nèi)核。網(wǎng)絡(luò)信息流監(jiān)測(cè)對(duì)進(jìn)出主機(jī)的信息流實(shí)施監(jiān)測(cè)，防止病毒入侵，也防止敏感信息外泄。攔截系統(tǒng)調(diào)用和進(jìn)出主機(jī)的息流的過(guò)程截獲機(jī)制主機(jī)資源主機(jī)資源是須要主機(jī)入侵防衛(wèi)系統(tǒng)愛(ài)護(hù)的一切有用的信息和信息承載體，包括如下：網(wǎng)絡(luò)；內(nèi)存；進(jìn)程；文件；系統(tǒng)配置信息。用戶和系統(tǒng)狀態(tài)主機(jī)位置信息主機(jī)位置和主機(jī)的平安程度相關(guān)，也影響著主機(jī)入侵防衛(wèi)系統(tǒng)對(duì)主機(jī)的愛(ài)護(hù)力度。確定主機(jī)位置的信息有：IP地址、域名前綴、VPN客戶信息等。用戶狀態(tài)信息不同用戶的訪問(wèn)權(quán)限不同，用戶身份通過(guò)用戶名和口令標(biāo)識(shí)，用戶狀態(tài)信息給出用戶登錄時(shí)的用戶名?？诹畹?。系統(tǒng)狀態(tài)信息系統(tǒng)平安狀態(tài)，目前設(shè)置的平安等級(jí)、是否配置防火墻。是否安裝放病毒軟件，是否監(jiān)測(cè)到黑客攻擊等。用戶和系統(tǒng)狀態(tài)確定主機(jī)入侵防衛(wèi)系統(tǒng)對(duì)主機(jī)資源的愛(ài)護(hù)方式和力度。訪問(wèn)限制策略訪問(wèn)限制策略用于確定操作懇求是否進(jìn)行；訪問(wèn)限制策略將用戶位置、系統(tǒng)狀態(tài)和資源訪問(wèn)規(guī)則結(jié)合在一起；用戶位置給出標(biāo)識(shí)用戶終端所在位置的信息，如IP地址；系統(tǒng)狀態(tài)給出終端的平安狀態(tài)；資源訪問(wèn)規(guī)則對(duì)應(yīng)不同用戶、不同訪問(wèn)懇求發(fā)起者、不同資源定義了允許對(duì)資源進(jìn)行的訪問(wèn)操作和違反規(guī)則所實(shí)行動(dòng)作。HoneypotHoneypot是一個(gè)偽裝成有豐富資源的的應(yīng)用服務(wù)器，用戶通過(guò)正常訪問(wèn)過(guò)程是無(wú)法訪問(wèn)到的