86检测技术 8.6.1检测技术概述 862入侵检测技术 8.6.3漏洞扫描技术 8.6.4入侵检测和漏洞扫描系统模型 8.6.5检测产品的布署 866入侵检测系统的新发展 ●四南大字画字
8.6 检测技术 8.6.1 检测技术概述 8.6.2 入侵检测技术 8.6.3 漏洞扫描技术 8.6.4 入侵检测和漏洞扫描系统模型 8.6.5 检测产品的布署 8.6.6 入侵检测系统的新发展
8.6.1检测技术概述 入侵检测 从计算机安全的目标来看,入侵指企图破坏资源的完整性、保 密性、可用性的任何行为,也指违背系统安全策略的任何事件。 从入侵策略的角度看,入侵可分为企图进入、冒充合法用户、成 功闯入等方面。入侵者一般称为黑客或解密高手。 Anderson把入 侵者分为伪装者、违法者和秘密用户3类。 入侵检测指对计算机和网络资源的恶意使用行为进行识别和响 应的处理过程。它不仅检测来自外部的入侵行为,同时也能检测 出内部用户的未授权活动,是一种增强系统安全的有效方法。入 侵检测从计算机网络或计算机系统中若干关键点收集信息并对其 进行分析,从中发现网络或系统中是否有违反安全策略的行为和 遭到攻击的迹象,同时做出响应。入侵检测的一般过程包括信息 收集、信息预处理、数据检测分析和响应等,如图8.18所示 第8章网络安全
第8章 网络安全 8.6.1 检测技术概述 1. 入侵检测 从计算机安全的目标来看,入侵指企图破坏资源的完整性、保 密性、可用性的任何行为,也指违背系统安全策略的任何事件。 从入侵策略的角度看,入侵可分为企图进入、冒充合法用户、成 功闯入等方面。入侵者一般称为黑客或解密高手。Anderson把入 侵者分为伪装者、违法者和秘密用户3类。 入侵检测指对计算机和网络资源的恶意使用行为进行识别和响 应的处理过程。它不仅检测来自外部的入侵行为,同时也能检测 出内部用户的未授权活动,是一种增强系统安全的有效方法。入 侵检测从计算机网络或计算机系统中若干关键点收集信息并对其 进行分析,从中发现网络或系统中是否有违反安全策略的行为和 遭到攻击的迹象,同时做出响应。入侵检测的一般过程包括信息 收集、信息预处理、数据检测分析和响应等,如图8.18所示
8.6.1检测技术概述 全策略 信信宫 处娌 数顸处理 响应处理 图818入侵检测的一般过程 入侵检测可分为实时入侵检测和事后入侵检测。实时入侵检测在 网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中 的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入 侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。事 后入侵检测由网络管理人员定期或不定期进行,根据计算机系统对用户 操作所做的历史审计记录判断用户是否具有入侵行为,如果有就断开连 接,并记录入侵证据和进行数据恢复。但是其入侵检测的能力不如实时 入侵检测系统 第8章网络安全
第8章 网络安全 8.6.1 检测技术概述 图8.18 入侵检测的一般过程 入侵检测可分为实时入侵检测和事后入侵检测。实时入侵检测在 网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中 的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入 侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。事 后入侵检测由网络管理人员定期或不定期进行,根据计算机系统对用户 操作所做的历史审计记录判断用户是否具有入侵行为,如果有就断开连 接,并记录入侵证据和进行数据恢复。但是其入侵检测的能力不如实时 入侵检测系统
8.6.1检测技术概述 2漏洞检测 漏洞是由软件编写不当或软件配置不当造成的。漏洞扫描是网络 安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能 存在的、已知的安全漏洞进行逐项检查,根据检测结果向系统管理员提 供周密可靠的安全性分析报告,为提高网络安全整体水平提供了重要依 据。漏洞扫描也称为事前的检测系统、安全性评估或者脆弱性分析。其 作用是在发生网络攻击事件前,通过对整个网络扫描及时发现网络中存 在的漏洞隐患,及时给出漏洞相应的修补方案,网络人员根据方案可以 进行漏洞的修补。 漏泂检测技术通常采用两种策略,即被动式策略和主动式策略 被动式策略是基于主机的检测,对系统中不合适的设置、脆弱的口令以 及其他同安全规则相抵触的对象进行检查;而主动式策略是基于网络的 检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而 发现其中的漏洞。 第8章网络安全
第8章 网络安全 8.6.1 检测技术概述 2. 漏洞检测 漏洞是由软件编写不当或软件配置不当造成的。漏洞扫描是网络 安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能 存在的、已知的安全漏洞进行逐项检查,根据检测结果向系统管理员提 供周密可靠的安全性分析报告,为提高网络安全整体水平提供了重要依 据。漏洞扫描也称为事前的检测系统、安全性评估或者脆弱性分析。其 作用是在发生网络攻击事件前,通过对整个网络扫描及时发现网络中存 在的漏洞隐患,及时给出漏洞相应的修补方案,网络人员根据方案可以 进行漏洞的修补。 漏洞检测技术通常采用两种策略,即被动式策略和主动式策略。 被动式策略是基于主机的检测,对系统中不合适的设置、脆弱的口令以 及其他同安全规则相抵触的对象进行检查;而主动式策略是基于网络的 检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而 发现其中的漏洞
8.62入侵检测技术 1.常用的入侵检测技术 入侵检测技术可分为五种 基于应用的监控技术。主要使用监控传感器在应用层收集信息 基于主机的监控技术。主要使用主机传感器监控本系统的信息。 基于目标的监控技术。主要针对专有系统属性、文件属性、敏 感数据等进行监控。 基于网络的监控技术。主要利用网络监控传感器监控包监听器 收集的信息。 综合以上4种方法进行监控。其特点是提高了侦测性能,但会 第8章网络安全
第8章 网络安全 8.6.2 入侵检测技术 1. 常用的入侵检测技术 入侵检测技术可分为五种: ➢ 基于应用的监控技术。主要使用监控传感器在应用层收集信息。 ➢ 基于主机的监控技术。主要使用主机传感器监控本系统的信息。 ➢ 基于目标的监控技术。主要针对专有系统属性、文件属性、敏 感数据等进行监控。 ➢ 基于网络的监控技术。主要利用网络监控传感器监控包监听器 收集的信息。 ➢ 综合以上4种方法进行监控。其特点是提高了侦测性能,但会 产生非常复杂的网络安全方案
832入侵检测技术 2.入侵检测技术的选用 在使用入侵检测技术时,应该注意具有以下技术特点: 信息收集分析时间 分析类型 侦测系统对攻击和误用的反应 侦测系统的管理和安装 侦测系统的完整性 设置诱骗服务器 信息收集分析时间可分为固定时间间隔和实时收集分析两种。分析类 型可分为签名分析、统计分析和完整性分析。完整性就是系统自身的安 全性。置诱骗服务器的目的就是吸引黑客的注意力,把攻击导向它,从 敏感的传感器中发现攻击者的攻击位置、攻击路径和攻击实质,随后把 这些信息送到一个安全的地方,供以后查用。 第8章网络安全
第8章 网络安全 8.3.2 入侵检测技术 2. 入侵检测技术的选用 在使用入侵检测技术时,应该注意具有以下技术特点: ➢ 信息收集分析时间 ➢ 分析类型 ➢ 侦测系统对攻击和误用的反应 ➢ 侦测系统的管理和安装 ➢ 侦测系统的完整性 ➢ 设置诱骗服务器 信息收集分析时间可分为固定时间间隔和实时收集分析两种。分析类 型可分为签名分析、统计分析和完整性分析。完整性就是系统自身的安 全性。置诱骗服务器的目的就是吸引黑客的注意力,把攻击导向它,从 敏感的传感器中发现攻击者的攻击位置、攻击路径和攻击实质,随后把 这些信息送到一个安全的地方,供以后查用
8.6.3漏洞扫描技术 1.漏洞扫描分类 漏洞扫描技术可分为5种: 基于应用的扫描技术。采用被动的、非破坏性的办法检查应用 软件包的设置,从而发现安全漏洞 基于主机的扫描技术。采用被动的、非破坏性的办法对系统进 行扫描。它涉及到系统的内核、文件的属性等问题 基于目标的扫描技术。采用被动的、非破坏性的办法检査系统 属性和文件属性,如数据库、注册号等 基于网络的扫描技术。它利用一系列的脚本对系统进行攻击, 检验系统是否可能被攻击崩溃,然后对结果进行分析的综合技术 综合利用上述4种方法的技术。集中了以上4种技术的优点, 极大地增强了漏洞识别的精度。 第8章网络安全
第8章 网络安全 8.6.3 漏洞扫描技术 1. 漏洞扫描分类 漏洞扫描技术可分为5种: ➢ 基于应用的扫描技术。采用被动的、非破坏性的办法检查应用 软件包的设置,从而发现安全漏洞。 ➢ 基于主机的扫描技术。采用被动的、非破坏性的办法对系统进 行扫描。它涉及到系统的内核、文件的属性等问题。 ➢ 基于目标的扫描技术。采用被动的、非破坏性的办法检查系统 属性和文件属性,如数据库、注册号等。 ➢ 基于网络的扫描技术。它利用一系列的脚本对系统进行攻击, 检验系统是否可能被攻击崩溃,然后对结果进行分析的综合技术。 ➢ 综合利用上述4种方法的技术。集中了以上4种技术的优点, 极大地增强了漏洞识别的精度
8.6.3漏洞扫描技术 2.漏洞扫描技术的选用 在使用漏洞扫描技术时,应该注意以下技术特点 检测分析的位置 报表与安装 检测后的解决方案 检测系统本身的完整性 在不同威胁程度的环境下,可以有不同的检测标准。在漏洞扫描中, 第一步是收集数据,第二步是数据分析。漏洞扫描系统生成的报表是理 解系统安全状况的关键。一旦扫描完毕,如果发现了漏洞,则系统可以 有多种反应机制,如预警机制等。检测系统本身就是一种攻击,如果被 黑客利用,那么就会产生难以预料的后果。 第8章网络安全
第8章 网络安全 8.6.3 漏洞扫描技术 2. 漏洞扫描技术的选用 在使用漏洞扫描技术时,应该注意以下技术特点: ➢ 检测分析的位置 ➢ 报表与安装 ➢ 检测后的解决方案 ➢ 检测系统本身的完整性 在不同威胁程度的环境下,可以有不同的检测标准。在漏洞扫描中, 第一步是收集数据,第二步是数据分析。漏洞扫描系统生成的报表是理 解系统安全状况的关键。一旦扫描完毕,如果发现了漏洞,则系统可以 有多种反应机制,如预警机制等。检测系统本身就是一种攻击,如果被 黑客利用,那么就会产生难以预料的后果
8.64入侵检测和漏洞扫描系统模型 入侵检测和漏洞扫描系统是安全技术的核心。入侵检测和漏洞扫描 系统的实现是和具体的网络拓扑密切相关的,不同的网络拓扑对入侵 检测和漏洞扫描系统的结构和功能有不同的要求。通常情况下该系统 在网络系统中可设计为两个部分:安全服务器和主机代理,如图8.19 图所示。 WM1、FTP务 Int ernet 防火墙 Agent 交换机 交换机 UNIX NT UNIX UNIX 忠务器 图8.19入侵检测和漏洞扫描系统示意图 第8章网络安全
第8章 网络安全 8.6.4 入侵检测和漏洞扫描系统模型 入侵检测和漏洞扫描系统是安全技术的核心。入侵检测和漏洞扫描 系统的实现是和具体的网络拓扑密切相关的,不同的网络拓扑对入侵 检测和漏洞扫描系统的结构和功能有不同的要求。通常情况下该系统 在网络系统中可设计为两个部分:安全服务器和主机代理,如图8.19 图所示。 图8.19 入侵检测和漏洞扫描系统示意图
8.64入侵检测和漏洞检测系统模型 主机代理中有主机入侵检测代理和主机漏洞扫描代理两种类型。主 机入侵检测代理动态地实现探测入侵信号,并做出相应的反应;主机漏 洞扫描代理检测系统的配置、日志等,把检测到的信息传给安全服务器 和用户。 入侵检测代理在结构上由传感器、分析器、通信管理器等部件组成。 漏洞扫描代理在结构上由检测器、检测单元、通信管理器等部件组成。 每一个主机代理感受敏感的安全信息,对这些信息进行处理,做出反应, 然后把一些信息交给网段代理和安全服务器处理。 安全服务器中包含网络安全数据库、通信管理器、联机信息处理器 等部件。其主要功能是和每一个代理进行相互通信,实时处理所有从各 代理发来的信息,做出响应的反映,同时对网络的各安全参数进行审计 和记录日志,并可以对防火墙实施控制。 第8章网络安全
第8章 网络安全 8.6.4 入侵检测和漏洞检测系统模型 主机代理中有主机入侵检测代理和主机漏洞扫描代理两种类型。主 机入侵检测代理动态地实现探测入侵信号,并做出相应的反应;主机漏 洞扫描代理检测系统的配置、日志等,把检测到的信息传给安全服务器 和用户。 入侵检测代理在结构上由传感器、分析器、通信管理器等部件组成。 漏洞扫描代理在结构上由检测器、检测单元、通信管理器等部件组成。 每一个主机代理感受敏感的安全信息,对这些信息进行处理,做出反应, 然后把一些信息交给网段代理和安全服务器处理。 安全服务器中包含网络安全数据库、通信管理器、联机信息处理器 等部件。其主要功能是和每一个代理进行相互通信,实时处理所有从各 代理发来的信息,做出响应的反映,同时对网络的各安全参数进行审计 和记录日志 ,并可以对防火墙实施控制