安全防护与入侵检测S.ppt

安全防护与入侵检测,5.1 Sniffer Pro网络管理与监视5.1.1 Sniffer Pro的功能,Sniffer Pro支持各种平台（Windows XP/2000/NT/ME/9X/2003），性能优越，是可视化的网络分析软件，主要功能有以下几点。实时监测网络活动。数据包捕捉与发送。网络测试与性能分析。利用专家分析系统进行故障诊断。网络硬件设备测试与管理。,5.1.2 Sniffer Pro的登录与界面,1Sniffer Pro的登录（单块网卡时）,5.1.2 Sniffer Pro的登录与界面,1Sniffer Pro的登录（多块网卡时）,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,菜单栏,捕获栏,工具栏,状态栏,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,仪表盘：提供实时信息，判断网络是否异常。仪表显示网络利用率、数据包流量、错误统计率表格显示网络利用率、数据分布规模、错误详细统计,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,主机列表：收集发出流量的节点，显示节点的流量统计信息支持4种视图：大纲、详细资料、直方图、饼图,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,矩阵：收集网络主机间的会话内容并进行流量统计，根据MAC、IP地址查看矩阵内容。支持5种查看方式：地图、大纲、详细资料、直方图、饼图。,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,应用程序响应时间：主要用于对服务器的监控，了解网络应用的响应状况，及时发现服务存在的问题。,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,历史抽样：用于确定基准，即网络的正常运行情况。,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,协议分布：收集网络上所有可见的协议，查看协议分布情况。,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,全局统计：显示捕获过程的整体统计信息。,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,警告日志：显示警告信息。,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,捕获面板：显示捕获过程中所捕获数据包的数量和当前缓存的使用情况。,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,地址本：保存节点的地址信息，便于管理和分析网络状况。,5.1.3 Sniffer Pro报文的捕获与解析,Sniffer Pro是一款比较完备的网络管理工具，可以用来捕获流量。对于蠕虫病毒、广播风暴或者网络攻击，识别它们最好的方法是，分析问题并将之分类，这样就可以全面了解网络的现状，并针对不同的问题采取不同的解决方法。首先了解一下捕获栏的使用，如表5.1所示。捕获栏,表5.1捕获栏功能介绍,表5.1捕获栏功能介绍,定义过滤器,捕获ARP帧的结果,5.1.4 Sniffer Pro的高级应用,表5.2 Sniffer Pro高级系统层次与OSI对应关系,入侵检测系统,5.2 入侵检测系统,5.2.1 入侵检测的概念与原理,入侵检测是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。,入侵检测技术是用来发现内部攻击、外部攻击和误操作的一种方法。是一种动态的网络安全技术，传统的操作系统加固技术等都是静态安全防御技术。,入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行检测，从而提供对内部攻击、外部攻击和误操作的实时保护。,5.2 入侵检测系统,5.2.1 入侵检测的概念与原理,图5.26 通用入侵检测模型,入侵检测利用不同的引擎实时或定期地对网络数据源进行分析，并对其中的威胁部分提取出来，触发响应机制。,将入侵检测的软件与硬件的组合称为入侵检测系统（IDS）,5.2.2 入侵检测系统的构成与功能,入侵检测系统一般由4个部分的组成：事件发生器、事件分析器、响应单元、事件数据库。,图5.27 入侵检测系统的组成,提供事件记录流的信息源,收集信息源的数据,对基于分析引擎的数据结果产生反应,存放各种中间和最终数据的地方的统称,5.2.2 入侵检测系统的构成与功能,入侵检测系统的功能：（1）检测和分析用户与系统的活动（2）审计系统配置和漏洞（3）评估系统关键资源和数据文件的完整性（4）识别已知攻击（5）统计分析异常行为（6）操作系统的审计、跟踪、管理、并识别违反安全策略的用户活动,5.2.3 入侵检测系统的分类,1按照检测类型划分,（2）特征检测模型（Signature-based detection）,（1）异常检测模型（Anomaly detection）,2按照检测对象划分,（1）基于主机的入侵检测产品（HIDS）安装在被检测的主机上，对该主机的网络进行实时连接以及系统审计日志进行智能分析和判断。（2）基于网络的入侵检测产品（NIDS）放置在比较重要的网段内，不停地监视网段中的各种数据包。,5.2.3 入侵检测系统的分类,5.2.4 入侵检测系统的部署,一般入侵检测产品都由传感器和控制台两个部分组成。传感器负责采集、分析数据并生成安全事件。控制台主要起到中央管理的作用。基于网络的入侵检测系统需要有传感器才能工作。入侵检测系统的位置主要是传感器的部署位置。如果传感器放的位置不正确，入侵检测系统也无法工作在最佳状态，一般可以采取以下4个选择：放在边界防火墙之内，传感器可以发现所有来自Internet 的攻击，然而如果攻击类型是TCP攻击，而防火墙或过滤路由器能封锁这种攻击，那么入侵检测系统可能就检测不到这种攻击的发生。放在边界防火墙之外，可以检测所有对保护网络的攻击事件，包括数目和类型。但是这样部署会使传感器彻底地暴露在黑客之下。,5.2.4 入侵检测系统的部署,放在主要的网络中枢中，传感器可以监控大量的网络数据，可提高检测黑客攻击的可能性，可通过授权用户的权利周界来发现未授权用户的行为。放在一些安全级别需求高的子网中，对非常重要的系统和资源的入侵检测，比如一个公司的财务部门，这个网段安全级别需求非常高，因此可以对财务部门单独放置一个检测器系统。,5.2.5 入侵检测系统的选型,表5.5入侵检测系统选择标准,5.2.5 入侵检测系统的选型,Axent Technologies公司网址:http:/Cisco Systems公司网址:http:/Internet Security Systems公司网址:http:/Intrusion Detection公司网址:http:/Network Associates公司网址:http:/http:/Computer Associates公司网址:http:/Trusted Information Systems公司网址:http:/Network Security Wizards公司网址:http:/Network Ice公司网址:http:/NFR公司网址:http:/CyberSafe公司网址:http:/中科网威公司网址:http:/启明星辰公司网址:http:/,IDS软件厂商的网址,入侵检测系统软件介绍,BlackICE Server Protection 软件 萨客嘶入侵检测系统,入侵检测系统BlackICE,BlackICE Server Protection 软件（以下简称BlackICE）是由ISS安全公司出品的一款著名的入侵检测系统。该软件在九九年曾获得了PC Magazine的技术卓越大奖。专家对它的评语是：“对于没有防火墙的家庭用户来说，BlackICE是一道不可缺少的防线；而对于企业网络，它又增加了一层保护措施它并不是要取代防火墙，而是阻止企图穿过防火墙的入侵者。BlackICE集成有非常强大的检测和分析引擎，可以识别多种入侵技巧，给予用户全面的网络检测以及系统的呵护。而且该软件还具有灵敏度及准确率高，稳定性出色，系统资源占用率极少的特点。软件版本：3.6、软件大小：6.11 M、软件语言：英文、软件类别：国外软件/注册版/网络安全、运行环境：Win9x/NT/2000/XP/2003/、下载地址：http:/,入侵检测系统BlackICE,BlackICE安装后以后台服务的方式运行，前端有一个控制台可以进行各种报警和修改程序的配置，界面很简洁。BlackICE软件最具特色的地方是内置了应用层的入侵检测功能，并且能够与自身的防火墙进行联动，可以自动阻断各种已知的网络攻击行为。,入侵检测系统BlackICE,BlackICE具有强大的网络攻击检测能力，可以说大部分的非法入侵都会被它发现，并采取Critical、Serious、Suspicious和Information这4种级别报警（分别用红、橙黄、黄和绿4种颜色标识，危险程度依次降低）。同样，BlackICE对外来访问也设有4个安全级别，分别是Trusting、Cautious、Nervous和Paranoid。Paranoid是阻断所有的未受权信息，Nervous是阻断大部分的未受权信息，Cautious是阻断部分的未受权的信息，而软件缺省设置的是Trusting级别，即接受所有的信息。修改以上安全级别，可以通过“Tools”菜单中的“Edit BlackICE Settings”，选择“Firewall”来进行。,入侵检测系统BlackICE,BlackICE提供了一个简单的防火墙设置界面，通过选择“Tools”菜单中的“Advanced Firewall Settings”，就可以对TCP/UDP端口或IP地址进行禁止或允许等访问规则的配置。,入侵检测系统BlackICE,另外，针对上述功能BlackICE软件还提供了详细的检测日志。“Intruders”中列出了BlackICE发现的全部可疑IP地址，逐一点击可以查看每个IP的详细信息，包括IP地址、Node节点名、Group组、NetBIOS名称、MAC地址和DNS解析地址等。,入侵检测系统BlackICE,“History”给出了在过去的时间段里（Min、Hour、Day）发生的事件和网络流量的曲线趋势图表（当曲线出现波动时，表示存在不正常的网络行为，点击某个波形就可以查看相对应的事件信息）。“Events”显示BlackICE所发现的全部入侵或访问事件。,萨客嘶入侵检测系统,萨客嘶入侵检测系统是一种积极主动的网络安全防护工具，提供了对内部和外部攻击的实时保护，它通过对网络中所有传输的数据进行智能分析和检测，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，在网络系统受到危害之前拦截和阻止入侵。萨客嘶入侵检测系统基于协议分析，采用了快速的多模式匹配算法，能对当前复杂高速的网络进行快速精确分析，在网络安全和网络性能方面提供全面和深入的数据依据，是企业、政府、学校等网络安全立体纵深、多层次防御的重要产品。,主要功能,入侵检测及防御功能检测用户网络中存在的黑客入侵，网络资源滥用，蠕虫攻击，后门木马，ARP欺骗、拒绝服务攻击等各种威胁。同时可以根据策略配置主动切断危险行为，对目标网络进行保护。行为审计功能对网络中用户的行为进行审计记录，包括用户范围WEB网站，收发邮件，使用FTP传输文件，使用MSN、QQ等即时通讯软件等行为，帮助管理员发现潜在的网络威胁。同时对网络中的敏感行为进行审计。流量统计功能对网络流量进行实时显示和统计分析，帮助用户有效的发现网络资源滥用、蠕虫、拒绝服务攻击，确保用户网络正常使用。,主要功能,入侵检测及防御功能检测用户网络中存在的黑客入侵，网络资源滥用，蠕虫攻击，后门木马，ARP欺骗、拒绝服务攻击等各种威胁。同时可以根据策略配置主动切断危险行为，对目标网络进行保护。行为审计功能对网络中用户的行为进行审计记录，包括用户范围WEB网站，收发邮件，使用FTP传输文件，使用MSN、QQ等即时通讯软件等行为，帮助管理员发现潜在的网络威胁。同时对网络中的敏感行为进行审计。流量统计功能对网络流量进行实时显示和统计分析，帮助用户有效的发现网络资源滥用、蠕虫、拒绝服务攻击，确保用户网络正常使用。策略自定义功能高级用户可以根据自身网络情况，对检测规则进行定义，制定针对用户网络的高效策略，加强入侵检测系统的检测准确性。,主要功能,警报响应功能对警报事件进行及时响应，包括实时切断会话连接、记录日志。IP碎片重组 利用碎片穿透技术突破防火墙和欺骗IDS已经成为黑客们常用的手段，萨客嘶入侵检测系统能够进行完全的IP碎片重组，发现所有的基于IP碎片的攻击。TCP状态跟踪及流重组 通过对TCP协议状态的跟踪，能够完全避免因单包匹配造成的误报。Stick、Snot等黑客工具通过发送没有经过三次握手的TCP攻击报文触发大量的 IDS报警，但这些TCP报文并不会真正对目标机器产生实际的效果。（通常是被丢弃）此时IDS产生大量的警告就属于误报。处理不当可能造成IDS系统瘫痪。萨客嘶入侵检测系统完全模仿受保护的机器丢弃这些残缺报文，极大地减小了误报率。采用类似于Telnet方式将攻击报文拆成一个个的小报文进行发送，可以逃避基于单包的IDS的检测。萨客嘶入侵检测系统采用流汇重组式检测该类攻击手段。,5.2.6 入侵防护技术IPS,入侵防护技术（IPS）是一种主动的、积极的入侵防范及阻止系统，是建立在入侵检测系统（IDS）基础上的新生网络安全产品。目前，从保护对象上可将IPS分为3类。基于主机的入侵防护（HIPS），用于保护服务器和主机系统不受不法分子的攻击和误操作的破坏。基于网络的入侵防护（NIPS），通过检测流经的网络流量，提供对网络体系的安全保护，一旦辨识出有入侵行为，NIPS就阻断该网络会话。应用入侵防护（AIP），是将基于主机的入侵防护扩展成为位于应用服务器之前的网络信息安全设备。,蜜 罐 系 统,5.3 蜜 罐 系 统,5.3.1 蜜罐概述 蜜罐及蜜网技术是一种捕获和分析恶意代码及黑客攻击活动，从而达到了解对手目的的技术。蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷，从而实现对攻击活动的监视、检测和分析。设计蜜罐就是让黑客入侵，欺骗对方，借此保护服务器和收集证据。,5.3.2 蜜罐的分类,根据网络应用的不同，蜜罐的系统和漏洞设置要求也不尽相同，蜜罐是有针对性的，因此，就产生了多种多样的蜜罐。（1）按照部署分为以下两种。产品型用于保护单位网络，实现防御、检测和帮助对攻击的响应，主要产品有KFSensor、Specter、ManTrap。研究型用于对黑客攻击进行捕获和分析，了解攻击的过程、方法和工具，例如Gen 蜜网、Honeyd。,（2）按照攻击者在蜜罐中活动的交互性级别分为以下两种。,低交互型蜜罐用于模拟服务和操作系统，利用一些工具程序强大的模仿能力，伪造出不属于自己平台的“漏洞”，容易部署、减少风险，但只能捕获少量信息，主要有Specter、KFSensor、Honeyd。高交互型蜜罐最真实的蜜罐，它运行着真实的系统，并且带有真实可入侵的漏洞，属于最危险的漏洞，但是它记录下的入侵信息往往是最真实的，可以捕获更丰富的信息，但部署复杂，但风险较大，主要有ManTrap,Gen蜜网。,5.3.3 蜜罐的应用实例,安全配置IIS蜜罐抵御黑客攻击 一般地，黑客们会使用端口扫描器来查找那些开放着80号端口的IP地址，并对这些端口实施其攻击和侵入的企图。另外，网站的终端用户会使用域名来访问站点。因此可以在在IIS中配置蜜罐。通过启用网站上的主机头名并将IP企图重新转向，就可以跟踪和记录黑客来自何方，同时又保持了对终端用户的可用性。在IIS中配置蜜罐并不是一件件很复杂的事情，但它却可有助于极大地减少对IIS服务器的攻击。,5.3.3 蜜罐的应用实例,首先，就是要在Web服务器上建立一个空的目录。其名称与位置没有什么关系，对于本例而言，我们创建了一个称为Honeypot的目录，它位于C:Inetpubwwwroot的目录下。启动IIS 管理程序，并为所有的站点分配一个主机头名，这样每一台虚拟服务器都有一个带有IP地址的主机头名。如下图：,5.3.3 蜜罐的应用实例,然后，再创建一个新的网站指向刚才创建的目录。这个蜜罐网站应当指定所有未分配的IP地址，并且不能配置主机的头信息（虽然这个站点的名称叫“honeypot”，但这并不影响黑客对它的访问。）。进入这个新网站的属性设置界面，选择“目录安全”选项卡，并选中“集成windows身份验证”，取消选择其它的认证方法，然后单击“确定”。如下图：,5.3.3 蜜罐的应用实例,接着，选择网站选项卡，并单击“高级”，单击“多网站配置”下的”添加”按钮，并添加所有的IP地址。（如果你收到了一个关于IP地址冲突的错误消息，不要紧，这表明你没有为此网站设置主机头名。你需要做的是将IP地址从列表中清除，或为此网站配置一个主机头名。）如图所示：,最后，保存所有的更改，然后退出Internet信息服务。,5.3.3 蜜罐的应用实例,这样设置完后，当一个恶意用户通过IP地址来访问网站时，他就会被发送至空目录，并得到一个403错误。而通过DNS域名来访问网站的用户由于有了主机的头信息，就能够访问网站的内容。,