入侵检测系统FAQ(全)
入侵检测系统FAQ(全)
1.1 什么是网络侵入检测系统(NIDS)?
入侵是指一些人(称为'黑客', '骇客')试图进入或者滥用你的系统。词语'滥用'的范围是很广泛的,可以包括从严厉的偷窃机密数据到一些次要的事情,比如滥用你的电子邮件系统发垃圾邮件(虽然对我们中许多人呢,这个是主要的)。
侵入检测系统(IDS)是用来检测这些入侵的系统。根据这个FAQ的打算,IDS可以有如下的分类:
网络侵入检测系统(NIDS) 监视网线的数据包并试图是否有黑客/骇客试图进入系统(或者进行拒绝服务攻击DoS)。一个典型的例子是一个系统观察到一个目标主机的很多不同端口的大量TCP连接请求(SYN),来发现是否有人正在进行TCP的端口扫描。一个NIDS可以运行在目标主机上观察他自己的流量(通常集成在协议栈或服务本身),也可以运行在独立主机上观察整个网络的流量(集线器, 路由器, 探测器[probe])。注意一个"网络"IDS监视很多主机,然而其他的只是监视一个主机(他们所安装的)。
系统完整检验(SIV) 监视系统文件试图发现是否有侵入者更改了文件(可能留个后门)。这样系统最著名的就是Tripwire。一个SIV也应该能监视其他的组件,比如Windows的注册表和chron的配置, 目的是发现知名的迹象。他也应该能检测到一个一般用户偶然获得root/Administrator级别权限。这个领域更多的产品应该被认为是工具而不是一个系统:比如Tripwire类似的工具检测临界系统组件的更改,却不能产生实时的告警。
日志文件监视器(LFM) 监视网络设备产生的日志文件。同NIDS类似,这些系统通过对日志文件的模式匹配提出是否有入侵者攻击的建议。一个典型的例子就是分析HTTP日志文件来发现入侵者试图一些知名漏洞(比如phf攻击)实例有swatch。
诱骗系统(包括decoys,lures,fly-traps,honeypots) 还有一些伪服务,目的是模拟一些知名洞来诱陷黑客。参见掌 统工具包中的例子:
https://www.wendangku.net/doc/b55460902.html,/dtk/。也可以简单的通过重新命名NT的系统管理员帐号,然后建立一个无权限的虚帐号进行广泛的审计。在此文档后面有关于诱骗系统的更多描述。同时参见https://www.wendangku.net/doc/b55460902.html,/~lspitz/honeypot.html
其他
1.2 谁在滥用(misusing)系统?
有两个词来描述攻击者: 黑客和骇客。黑客是一个一般术语:喜欢进入东西的人。良性的黑客是那些喜欢进入他/她自己的计算机发现如何工作的人。恶意的黑客是那些喜欢进入其他人系统的人。良性黑客希望媒体能停止对所有黑客的苛刻批评,使用骇客来做替代。很不幸,这个想法没有被接受无论如何,在这个FAQ使用的词语是'入侵者',来一般表示那些想要进入其
他人系统的人。
侵入者可以被分为两类:
外部的: 你网络外面的侵入者,或者可能攻击你的外部存在(乱改的web服务器,通过e-mail服务器转来的垃圾邮件)。外部的侵入者可能来自Internet, 拨号线, 物理介入, 或者从同你网络连接的伙伴网络(卖主,客户, 中间商等)。
内部的: 合法使用你的互连网络的侵入者。包括滥用权力的人(比如社会安全雇员因为不喜欢某人就将其标志为死亡)和模仿更改权力的人(比如使用别人的终端)。一个常被引用的统计就是80%的安全问题同内部人有关。
有几种类型的侵入者: '快乐骑士'(Joy riders)因能而黑;'文化破坏者'(Vandals)意于毁坏或更改Web页面; 奸商(Profiteers)意于利益,如控制系统勒索或者窃取数据得利。
1.3 入侵者如何进入系统?
入侵者进入系统的主要途径:
物理侵入: 如果一个侵入者对主机有物理进入权限。(比如他们能使用键盘或者参与系统),应该可以进入。方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。甚至BIOS保护也很容易穿过的: 事实上所有的BIOS都有后门口令。
系统侵入: 这类侵入表现为侵入者已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁,就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。
远程侵入: 这类入侵指入侵者通过网络远程进入系统。侵入者从无特权开始这种侵入方式包括多种形式。比如如果在他/她和受害主机之间有防火墙存在侵入者就复杂得多。
应该注意网络侵入检测系统主要关心远程侵入。
1.4 入侵者为什么能侵入系统?
软件总是存在bug。系统管理员和开发人员永远无法发现和解决所有的可能漏洞。侵入者只要发现一个漏洞就可以入侵系统。
1.4.1 软件bug
软件bug存在于服务器后台程序(Daemons), 客户程序, 操作系统, 网络协议栈。软件bug可以分为如下几种:
缓冲区溢出: 我们读来的几乎所有的安全漏洞归于这一类。一个典型的例子是一个开发人员设定了一个256字符长的缓冲区来存储用户名。开发人员想当然的认为没有人的名字比这个长。但是黑客想,如果我输入一个错误的很长的用户名会发生什么呢? 附加的字符会去哪里?如果黑客恰巧做对了, 他们发送300个字符, 包括了被服务器执行的代码,并且,他们进入了系统。黑客们通过几个方法发现这些bug。首先,很多服务的源代码在网络上是公开的。黑客们经常读这些代码寻找有缓冲区溢出问题的程序。第二,黑客们可以读程序本身来看是否有问题存在,虽然读汇编代码输出真的很难。第三,黑客们会检查程序所有的输入并且试图利用随机数据来溢出。如果程序崩溃了,就会存在让黑客认真构造输入并且允许进入的机会。应该注意这个问题在C/C++编写的程序中普遍存在,却很少出现在Java的程序当中。意外结合: 程序通常被组合成很多层代码,包括了潜在的作为最下面的操作系统层。侵入者常可以发送一些对于一层无意义的输入, 却对其他层有意义。Web上最常见的控制用户输入的语言就是Perl。Perl写的程序往往发送这些输入到其他的程序来进一步的处理。一个常见的黑客技术就是输入字符串"|mail < /etc/passwd"。这个命令得以执行是因为操作系统为这个输入启动一个附加的程序。然而操作系统解释管道符"|"并且按语义启动"mail"程序,结果是将password文件寄给侵入者。
未处理的输入: 很多程序写成处理有效的输入,很多程序员不知道当一些人的输入不符合规格的后果。
竞争(Race)条件: 现在的许多系统是多任务/多线程的。这就意味着他们可以同时运行多个程序。如果两个程序同时访问同一个数据就会发生危险。想象A和B的两个程序,需要修改同一个文件。为了修改,每个程序将文件读入内存,在内存中改变内容,然后将内存复制到文件。当程序A将文件读入内存并且进行修改的时候,产生了一个竞争条件。在A写文件前,程序B执行并且获得读写权限。现在程序A将内存复制到文件中。因为程序A 在B修改前开始,所有B的修改丢失了。因为你必须获得正确的执行顺序,所以竞争条件是非
常稀有的。侵入者通常不得不试上千次,然后获得权限,进入系统。
1.4.2 系统配置
系统配置bug可以分为如下类别:
缺省配置: 许多系统交付给客户的时候采用的缺省的易用的配置。不幸的是,"易用"就意味着"易侵入"。几乎所有的交付给你的Unix和WinNT系统可以很容易的被攻击。
懒惰的系统管理员: 惊人的数字的主机被配置成没有系统管理员口令。这个是因为系统管理员太懒惰了以至于懒得马上配置一个,他们只是希望系统最好能少麻烦的尽快启动运行。不幸,他们再也不回来设置一个,让侵入者轻易的进来。侵入者最容易的事情就是先扫描所有的机器找没有口令的主机。
生成的漏洞: 事实上所有的程序可能被配置成一个非安全的模式。有的时候系统管理员将不注意的在主机上打开一个漏洞。许多系统管理员手册都建议系统管理员关掉所有不是绝对必要的程序和服务来避免意外漏洞。应该注意安全审计包通常可以发现这些漏洞并且提醒系统管理员
信任的关系: 侵入者常用"岛跳"的方法利用信任关系攻击网络。一个互相信任主机的网络和他们最脆弱的连结一样安全。
1.4.3 口令解密
这个是一个特殊的部分。
真正脆弱的口令: 很多人使用他们自己的名字,孩子的名字,配偶的名字,宠物的名字,或者小车的型号做口令。也有的用户使用"password"或者简单到什么也没有。这给出了侵入者可以自己键入的不多与30个可能性的列表。
字典攻击: 上述攻击失败后,侵入者开始试图"字典攻击"。这种方法,侵入者利用程序尝试字典中的单词的每种可能。字典攻击可以利用重复的登陆或者收集加密的口令并且试图同加密后的字典中单词匹配。侵入者通常利用一个英语字典或其他语言的字典。他们也使用附加的类字典数据库,比如名字和常用的口令。
强力攻击(Brute force attacks): 同字典攻击类似,侵入者可能尝试所有的字符组合方式。一个4个由小写字母组成的口令可以在几分钟内被破解。(大约的共有50万个可能的组合)
一个较长的由大小写字母组成的口令,包括数字和标点(10万亿种可能的组合)可以在一个月内破解,如果你可以每秒试100万种组合。(实际上,一个单机每秒可以算上几千次。)
1.4.4 监听不安全的通信
共享媒体: 传统的以太网中, 你只要在线上启动Sniffer就可以看到在一个网段的所有通信。现在这个方法由于更多公司采用交换以太网而困难。
服务器监听: 然而在一个交换的网络里,如果你可以在一个服务器(特别是做路由器的)安装sniffer程序,你就可以可以使用得到的信息来攻击客户主机和信任主机。比如,你可能不知道某个用户的口令,通过在他登陆的时候监听Telnet会话,就可以得到他的口令。
远程监听: 大量的主机可以RMON,带有公共团体字符串。当带宽非常低的时候(你不能监听所有的通信),则呈现有趣的可能性。
1.4.5 设计的缺点
甚至当一个软件完全按照设计来实现的时候,仍然可能因为设计时的bug带来被侵入。
TCP/IP 协议缺点: TCP/IP协议在我们有很多被黑经验前被设计。结果有很多可能引起安全问题的设计缺点。一些例子比如smurf攻击,ICMP不可达的连结, IP哄骗, 和SYN floods。最大的问题是IP协议本身非常信任: 黑客自由的伪造和更改IP数据。IPSec被设计成解决了很多的缺点,但是没有被广泛的应用。
Unix 设计缺点: 有很多Unix固有的缺点使得Unix系统频繁的被入侵。主要问题是权限控制系统, 只有"root"才是系统管理员权限。结果:
1.5 入侵者如何获得口令?
入侵者利用如下方法获得口令:
明文监听: 一些协议(Telnet, FTP, 基本HTTP)使用明文的口令,意味着他们在比如客户/服务器传输过程中不进行加密。入侵者可以使用一个协议分析仪观察线缆上的这样的口令。不需要更多的努力;入侵者马上可以使用这些口令来登陆。
密文监听: 许多协议,使用加密的口令。这种情况下,入侵者就需要执行字典或者强力攻击口令来试图解密。应该注意到你不能发现入侵者的存在,因为他/她是完全被动并且不用向线缆传送任何东西。口令破解在入侵者利用自己的机器来鉴权的时候,不许要发送人和
东西到线缆。
重放(Replay)攻击: 很多情况下,入侵者不必解密口令。他们可以使用加密的格式来代替登陆系统。这通常需要重新编码客户端软件来使用加密的口令
口令文件窃取: 所有的用户数据库通常存储在磁盘上的一个单个文件。UNIX下这个文件是/etc/passwd(或者这个文件的其他镜像),WinNT下,是SAM文件每个方法,一旦入侵者取得了这个文件,他/她就能运行解密程序(如上面所述)来发现文件中一些脆弱的密码。
观察: 一个传统的口令安全问题是口令必须长而且难猜(使得字典和强力攻击不合理的困难)。然而,这样的口令往往很难记忆,所以用户就在某地写下来。入侵者常可以搜寻一个个人办公桌来发现写到小字条上的口令(一般在键盘下面)。入侵者也可以自己训练在用户后面观察口令的键入。
交际工程: 一个普通(且成功)的技巧是简单的打个电话给用户并且说"hi,我是MIS组的Bob, 我们正跟踪网络上的一些问题,并且出现在你的机器里。你用的是什么口令呢?"许多用户会在这种情况下放弃他们的口令。(许多公司有政策让用户永远不要给出他们的口令,甚至他们自己的MIS部门,但是这个伎俩仍然成功。一个简单的解决方法就是MIS组打电话给6个月的雇员问他们口令,然后批评他们的错误,这样他们就不会忘记了:-)
1.6典型的入侵过程?
一个典型的入侵过程也许如下:
步骤1.外部侦查--
入侵者会尽可能地找出实际上并不直接给予他们的资讯.他们常通过公开资讯或伪装成正常的使用者.用这种方式的入侵者, 将使你实在难以察觉. 如你的网络跟你的Domain Name 一起注册的(例如https://www.wendangku.net/doc/b55460902.html,),入侵者可以使用'whois'这种查表(lookup)来尽量找出你的网路(network)资讯.
入侵者也许经由你的DNS表(使用'nslookup','dig',或其他的工具程序来作domain 的转换)来找出你机器的名字.入侵者会浏览其他的公开资讯, 例如你的公开站点和匿名(anonymous)FTP 站点. 入侵者也许会寻找关于你公司的新闻文件和报刊的发行品.
步骤2.内部侦查--
入侵者使用更具侵略性的技术来对资讯扫描,但不会破坏任何东西.他们将由你全部的网页来找出CGI scripts(CGI
scripts 经常是容易被入侵的).他们也许会为了试探主机的存在而使用'ping'.他们也许会用UDP/TCP scan/strob(扫描)来
找出目标主机的可获得服务(services).他们也许会执行一个如同'rpcinfo','showmount', 'snmpwalk'等等的工具程序, 来寻找可获得的资讯.关于这点,入侵者只是做出"正常的"网路行为,并且没有作出任何被归类为闯入(intrusion)的举动.针对这点,NIDS会告诉你"有人在检查你的大门握把",但没有人真的去试着把门打开.
步骤3.入侵--
入侵者违越了规矩,并开始对目标主机作了可能的漏洞入侵.入侵者尝试在一个输入资料里,传递一个shell 指令,因而
危及CGI script.入侵者试图以传递大量的资料的方式,来侵害一个已知的缓冲区溢位(buffer-overrun)漏洞.入侵者开始检查有无简单可猜(甚至没有)密码的户帐号.一个黑客,会由几个阶段性的入侵.例如,如果黑客可以得到一个用户的帐号,他将试图作更进一步的入侵举动来获得root/admin.
步骤4.立足--
在这阶段中,入侵者已经由机器的入侵,成功地在你的网路中立足.
入侵者主要的目的就是藏匿入侵证据(修改稽核(audit trail)与log档)并确认他可以再次侵入.他们也许会安装可让他们执行的'toolkits'用他们有着后门(backdoor)密码的木马(Trojanhorses)置换原先的服务,或创造一个属于自己的使用者帐户.System IntegrityVerifiers(SIVs)可以注意到档案的改变而对使用这些手段的入侵者做出检测.由于大部分的网路难以防御来自内部的侵害,入侵者将利用这个机器作为其他机器的跳岛.
步骤5.利益--
入侵者利用他们的优势偷取机密资料,滥用系统资源(阶段性的由其他机器侵扰你的机器)或破坏你的网页.其他的情节也许开始情况不同.不管是入侵特定的站点或者是随机地在网路世界中扫描特定的漏洞.例如入侵者可能会企图扫描有着SendMail DEBUG漏洞机器的整个网路.他们可以轻易入侵有漏洞的机器.他们不会直接针对你,甚至不知道你是谁.(就好像'birthdayattack'般,列出已知的系统漏洞与IP位置,凭运气的找到有着其中一项漏洞的机器)
1.7一般的入侵类型有哪些?
有三种攻击方式:
侦察--包括ping扫描,DNS zone 转换,e-mail侦察,TCP 或UDP 端口(port)扫描(scan),与经由公开网页伺服器可能的索引(indexing),来发现CGI漏洞.
漏洞--入侵者将会利用隐密的特性或缺陷(bugs)来存取系统.
拒绝服务(denial-of-service)(DOS)攻击--入侵者试图破坏服务(或机器),使网路连结(link)超载,CPU超载,填满硬盘.
入侵者不是想获得资讯,而是仅仅以如破坏者般的行为而不让你使用机器.
1.8 常见漏洞有哪些?
1.8.1 CGI脚本(scripts)
CGI程式是恶名昭彰地不安全.典型的安全漏洞包括经由shell特殊字元(metacharacters)的利用,直接传递变质的输入于命令shell里.使用隐藏的变数,指定系统里的档案名(filename),或揭示更多系统的种种.最为人知的CGI缺陷就是装载于NCSA httptd的'phf'数据库(library).'phf'library 假定为允许伺服解析(sever-parsed)HTML,而造成传回任何档案的漏洞. 其他入侵者试图使用的知名CGI脚本漏洞有:TextCounter, GuestBook, EWS,info2www, Count.cgi, handler, webdist.cgi,php.cgi, files.pl, nph-test-cgi, nph-publish,AnyForm, FormMail.如果你发现有人试图存取上述的CGI脚本(但你没有使用他们),这便清楚显示了一个入侵的意图(假设你没有把你想使用的CGI脚本用那个缺陷版本安装).
1.8.2 Web 服务器(server) 攻击
在CGI程序执行后,Web服务器可能有了其他的漏洞.非常多的self-written Web服务器(包括IIS 1.0 与NetWare2.x)
会因为在一档案名之中,能把一连串的"../"写在路径(path)名里,因而跳到系统档案的其他地方,得到任何档案.其他的一般漏洞,就是在请求(request)域(field) ,或其他HTTP数据的缓冲区溢出.
Web服务器常因为与其底层的operating system有着互动的关系,而产生漏洞.在Microsoft IIS里有个古老的漏洞被使用,因档案有两个档案名--一个长档名与一个短的相应8.3形式名,有时能绕过允许机制而获得存取.NTFS (the new file system)有一个特色,名为--"alternate data streams" 相似于Macintosh系统的数据与资源forks.你可以在通过stream name时,添加上":$DATA"(这是为了看他的脚本而不是执行什么),来存取他的档案.服务器长久以来因URLs而存在着问题.例如
"death by a thousand slashes"问题,导致Apache产生大量的CPU负载,因它试着在数以千计的"/" URL中处理每一个目录.
1.8.3 Web浏览器攻击
Microsoft与Netscape的Web浏览器,都有安全漏洞(当然啦,虽然最新版本的,我们还没发现),这包括了URL, HTTP, HTML,
JavaScript, Frames, Java, 与ActiveX 攻击.URL数据段,会有缓冲区溢位的情况,当它由HTTP标头(header)被解悉时,在屏幕上显示时,或于某种形式被处理(如由cache history储存).而且,有着古老InternetExplorer漏洞的在浏览器,在执行LNK或URL命令时会伴随着能在内部造成影响的漏洞.
HTTP 头可能因为传递给只收特定值的函数而产生漏洞
HTML常会存在漏洞,如MIME-type 缓冲区溢位于Netscape Communicator的??命令.JavaScript长久以来都很受喜爱,并常常试着经由产生一个档名与自动地隐藏"SUBMIT" button来侵害"file upload" 函式. 已有许多不同的这种漏洞被修正了,然而会有新发现的方法来绕过修正.
Frames 常如JavaScript的一部份般, 或Java hack来使用经由一个象素大小的屏幕,把网页隐藏)但它们呈现了特别的问题.如我能包含一个连结到一个可信赖的使用者frames 的站点,然后以我自己站点的网页置换那些frames的一部份,于是它们将会以那个远程站点的一部份般出现在你面前.
Java
有一个健全的安全模型(model),但经证实那个模型有着特殊的漏洞(虽然与其他的任何事物相比,它被证实是整个系统最为安全的元件之一).再者,它的健全安全性,也许是它的undoing:正常的Java applets 无法存取当地(local)系统,但有时,如果他们真能存取当地系统的话,
它们将会更为有用.因此,"信任(trust)"模型的完成,更容易被入侵.ActiveX 甚至比Java更危险, 当它是由一个信任模型纯粹运作并执行原有的(native)程序码. 你甚至会偶然地感染到病毒(virus)( 在贩售商的程序码中意外地被植入(imbeded)).
1.8.4 SMTP (SendMail) 攻击
SendMail 是一个极端复杂并被广泛使用的程序, 是以,它频为安全漏洞的来源. 在过去( '88 Morris Worm的时期),黑客会利用DEBUG 命令的漏洞或隐藏WIZ 的特徵,来闯入SMTP. 近来, 他们经常试着用缓冲区溢位手段.SMTP 也被用做侦察(reconnaissance) 攻击,
如利用VRFY 命令找出使用者名子.
1.8.5 Access
失败的login 企图,失败的档案存取企图, passwordcracking,管理者权力的滥用.
1.8.6 IMAP
使用者经由IMAP 协定从服务器收email (在对比之下, SMTP 介于服务器之间传送e-mail ). 黑客已在一些受欢迎的IMAP服务器里发现漏洞.
1.8.7 IP spoofing
有些类型的攻击是利用技术来伪造(或'spoof')你的IP地址.一个原始地址伴随着每个IP包(packet)被传送时,实际上它可以不是被用于routing. 这表示当与服务器交谈(talkin)时,一个入侵者可以佯装成你. 入侵者不会收到应(response)包(虽然你的机器有见到,但把他们丢弃了, 因为它们不符合你之前传递的任何请求(request) ). 入侵者不会经由这种方式取得数据,而是仍假装成你,传送命令给服务器.
IP spoofing 经常有如其他的攻击的部分般使用着:SMURF以伪造的源地址广播方式ping,导致大量的机器应答,经由地址,回覆到受害者, 使它(或它的连结)负载.
TCP序号预选
在TCP连接的起始, 你这端必须选择一个序号, 而服务器端也必须选择一个序号. 较老的TCP栈选择一个可预测的有续数字, 而让入侵者由一个伪造的IP地址(他们本来不应该看到应答包)想必能绕过安全机制.
DNS 通过可预知序号中毒
DNS服务器会"递归" 解析DNS 名.因此,在它满足一个用户端要求(request) 时,它本身也成为递归链下个服务器的客户它使用的有序号是可预测的.因此, 一个入侵者可以传送一个要求到DNS服务器并传送一个回应到服务器以伪装成为链结中的下一个服务器. 它会相信伪装回应, 并使用它来满足其他的用户端.
1.8.8 缓冲区溢位
一些其他的缓冲区溢位攻击有:DNS 溢位.过长的DNS名,传送到服务器中. DNS名限制了每一个次要成分(subcomponent)是64-bytes而总体是于256-bytes.
statd 溢位
当提交了过长的档案名.
1.8.9 DNS 攻击
DNS 是一个首要的目标.因为如果你能侵害(corrupt)DNS服务器, 你便能利用信任关
系.
DNS 缓存中毒
每个DNS包, 包括了一个"询问(Question)" 节与"回答(Answer)"节. 有缺陷的服务器将会相信(并缓存)在传送问题时伴随的回答大部分,但不是全部的DNS 服务器已于1998 11月,被补丁(patched) .DNS poisoning through sequence prediction
如上
DNS 溢位
如上
1.10 什么是拒绝服务? (DoS)
1.10.1 Ping-of-Death
传送一个开始于包(packet)的尾末之前,但扩展到包的尾末之后的无效片段(fragment).
1.10.2 SYN 泛滥(Flood)
很快速地传送TCP SYN包(做为连接(connection)的开启), 让受害者处于等待完成大量连接的状态, 造成他资源的耗尽与丢弃合法的连接. 一个新的防范措施--"SYN cookies". 每一个连结端有他自己的序数(sequence-number).对于一个SYN的反应,被攻击的机器产生一个特别的序数(一个连结的"cookie")然后忘却关于连接的一切. 然后当一个合法的连接的包来到时,它便能再创造关于连接的遗漏资讯.
1.10.3 Land/Latierra
传送与来源/目的地址/阜号相同的伪造SYN包,受害系统便试着完成TCP连接的无穷回路(infinite loop).
1.10.4 WinNuke
在TCP连接时传送OOB/URG资料到阜号139(NetBIOS Session/SMB)上,造成Windows 系统(死机)hang.
IDS产品技术白皮书
I D S产品技术白皮书-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
UnisIDS技术白皮书
1UnisIDS 简介 1.1入侵检测系统概述 1.1.1入侵检测系统分类 不同于防止只针对具备一定条件入侵者进入的防火墙,入侵检测系统(IDS ,Intrusion Detection System)可以在系统内部定义各种hacking手段,进行实时监控的功能。如果说防火墙是验证出入者身份的“大门”,那么 IDS相当于进行“无人自动监控”的闭路电视设备。入侵检测大致可分为基于网络的入侵检测和基于主机的入侵检测两种类型。 基于网络的入侵检测系统具有如下特点: 通过分析网络上的数据包进行入侵检测 入侵者难以消除入侵痕迹–监视资料将保存这些信息 可以较早检测到通过网络的入侵 可以检测到多种类型的入侵 扫描–利用各种协议的脆弱点 拒绝服务攻击–利用各种协议的脆弱点 hacking代码规则匹配–识别各种服务命令 可灵活运用为其他用途 检测/防止错误网络活动 分析、监控网络流量 防止机密资料的流失
图 1网络入侵检测模型 而基于主机的入侵检测系统则具有以下的特点 具有系统日志或者系统呼叫的功能 可识别入侵成功与否 可以跟踪、监视系统内部行为 检测系统缓冲区溢出 基于主机的入侵检测可以区分为 基于单机的入侵检测系统(收集单一系统的监视资料并判断入侵与否) 基于多机的入侵检测系统(从多个主机收集监视资料并判断入侵与否) 而清华紫光推出的UnisIDS入侵检测系统,实现了基于主机检测功能和基于网络检测功能的无缝集成,UnisIDS通过对系统事件和网络上传输的数据进
第八章入侵检测系统
第八章入侵检测系统 第一节引言 通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。 保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。 检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。 响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。 入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion Detection System,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。 入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。 一个理想的入侵检测系统具有如下特性: ?能以最小的人为干预持续运行。 ?能够从系统崩溃中恢复和重置。 ?能抵抗攻击。IDS必须能监测自身和检测自己是否已经被攻击者所改变。
入侵检测部署方案
1.1 入侵检测部署方案 1.1.1需求分析 利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,或者入侵者也可能就在防火墙内。通过部署安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,能防御针对操作系统漏洞的攻击,能够实现应用层的安全防护,保护核心信息资产的免受攻击危害。 针对网络的具体情况和行业特点,我们得到的入侵检测的需求包括以下几个方面: ●入侵检测要求 能够对攻击行为进行检测,是对入侵检测设备的核心需求,要求可以检测的种类包括:基于特征的检测、异常行为检测(包括针对各种服务器的攻击等)、可移动存储设备检测等等。 ●自身安全性要求 作为网络安全设备,入侵检测系统必须具有很高的安全性,配置文件需要加密保存,管理台和探测器之间的通讯必须采用加密的方式,探测器要可以去除协议栈,并且能够抵抗各种攻击。 ●日志审计要求 系统能对入侵警报信息分类过滤、进行统计或生成报表。对客户端、服务器端的不同地址和不同服务协议的流量分析。可以选择不同的时间间隔生成报表,反映用户在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息,使管理员随时对网络安全状况有正确的了解。可以根据管理员的选择,定制不同形式的报表。 ●实时响应要求
当入侵检测报警系统发现网络入侵和内部的违规操作时,将针对预先设置的规则,对事件进行实时应急响应。根据不同级别的入侵行为能做出不同方式告警,用以提醒管理人员及时发现问题,并采取有效措施,控制事态发展。报警信息要分为不同的级别:对有入侵动机的行为向用户显示提示信息、对严重的违规现象实行警告通知、对极其危险的攻击可通过网管或者互动防火墙进行及时阻断、以及向安全管理中心报告。另外,必须在基于规则和相应的报警条件下,对不恰当的网络流量进行拦截。 联动要求 入侵检测系统必须能够与防火墙实现安全联动,当入侵检测系统发现攻击行为时,能够及时通知防火墙,防火墙根据入侵检测发送来的消息,动态生成安全规则,将可疑主机阻挡在网络之外,实现动态的防护体系!进一步提升网络的安全性。 1.1.2方案设计 网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。 入侵检测系统可以部署在网络中的核心,这里我们建议在网络中采用入侵检测系统,监视并记录网络中的所有访问行为和操作,有效防止非法操作和恶
网神SecIPS 3600入侵防御系统产品白皮书
●版权声明 Copyright ? 2006-2011 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。 未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。 ●文档信息 ●版本变更记录
目录 1产品概述 (4) 2产品特点 (4) 3产品功能 (12) 4产品资质............................................................................. 错误!未定义书签。
1产品概述 网神SecIPS 3600入侵防御系统(简称:“网神IPS”)将深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。配合实时更新的入侵攻击特征库,可检测防护3000种以上的网络攻击行为,包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁,并具有丰富的上网行为管理,可对P2P、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。从而,很好地提供了动态、主动、深度的安全防御。 2产品特点 网神IPS的完善体系结构包括两大部分:强化安全的专用操作系统和模块化硬件系统。以下分别介绍这两大部分。 高效的体系结构 在平台优化的核心技术方面,主要有以下三个方面。 1)零拷贝技术 数据包以Scatter-and-Gather方式主动通过千兆网卡DMA进入内存后就不再拷贝,有效地减少内存存取次数。 2)核心层优化 所有报文的解析与比对都由核心层(Kernel)进行,完全不用通过核心层与应用层之多余的转换,因此不用进行内存拷贝,从而有效地减少内存存取次数。
网络入侵检测原理与技术
网络入侵检测原理与技术 摘要:计算机网络技术的发展和应用对人类生活方式的影响越来越大,通过Internet人们的交流越来越方便快捷,以此同时安全问题也一直存在着,而人们却一直未给予足够的重视,结果连接到Internet上的计算机暴露在愈来愈频繁的攻击中,基于计算机、网络的信息安全问题已经成为非常严重的问题。 关键词:入侵检测;入侵检测系统;入侵检测系统的原理、方法、技术 一、网络入侵及其原因 简单来说,网络安全问题可以分为两个方面: 1)网络本身的安全; 2)所传输的信息的安全。 那么,我们之所以要进行网络入侵检测,原因主要有以下几个:1)黑客攻击日益猖獗 2)传统安全产品存在相当多的问题 二、入侵检测原理、方法及技术 1、入侵检测概念 入侵检测是指对潜在的有预谋的未经授权的访问信息、操作信息以及致使系统不可靠、不稳定或者无法使用的企图的检测和监视。它是对安全保护的一种积极主动地防御策略,它从计算机网络系统中的若干关键点收集信息,并进行相应的分析,以检查网路中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后第二道安全闸门,在不影响网路性能的前提下对网络进行监测,从而提供对内外部攻击和误操作的实时保护。 2、入侵检测模型
3、入侵检测原理 根据入侵检测模型,入侵检测系统的原理可以分为以下两种: 1)异常检测原理 该原理根据系统或者用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。 异常检测原理根据假设攻击和正常的活动的很大的差异来识别攻击。首先收集一段正常操作的活动记录,然后建立代表用户、主机或网络连接的正常行为轮廓,再收集事件数据同时使用一些不同的方法来决定所检测到的事件活动是否正常。 基于异常检测原理的入侵检测方法和技术主要有以下几种方法: a)统计异常检测方法; b)特征选择异常检测方法; c)基于贝叶斯推理异常的检测方法; d)基于贝叶斯网络异常检测方法; e)基于模式预测异常检测方法。 其中比较成熟的方法是统计异常检测方法和特征选择异常检测方法,对这两种方法目前已有由此而开发成的软件产品面市,而其他方法都还停留在理论研究阶段。 异常检测原理的优点:无需获取攻击特征,能检测未知攻击或已知攻击的变种,且能适应用户或系统等行为的变化。 异常检测原理的缺点:一般根据经验知识选取或不断调整阈值以满足系统要求,阈值难以设定;异常不一定由攻击引起,系统易将用户或系统的特殊行为(如出错处理等)判定为入侵,同时系统的检测准确性受阈值的影响,在阈值选取不当时,会产生较多的检测错误,造成检测错误率高;攻击者可逐渐修改用户或系统行为的轮廓模型,因而检测系统易被攻击者训练;无法识别攻击的类型,因而难以采取适当的措施阻止攻击的继续。 2)误用检测原理 误用检测,也称为基于知识或基于签名的入侵检测。误用检测IDS根据已知攻击的知识建立攻击特征库,通过用户或系统行为与特征库中各种攻击模式的比较确定是否发生入侵。常用的误用检测方法和技术主要有: a)基于专家系统的检测方法; b)基于状态转移分析的检测方法; c)基于条件的概率误用检测方法; d)基于键盘监控误用检测方法; e)基于模型误用检测方法。 误用检测技术的关键问题是:攻击签名的正确表示。误用检测是根据攻击签名来判断入侵的,如何用特定的模式语言来表示这种攻击行为,是该方法的关键所在。尤其攻击签名必须能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于大部分的入侵行为是利用系统的漏洞和应用程序的缺陷进行攻击的,那么通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。 4、入侵检测方法 1)基于概率统计的检测 该方法是在异常入侵检测中最常用的技术,对用户行为建立模型并根据该模型,当发现出现可疑行为时进行跟踪,监视和记录该用户的行为。优越性在于理论成熟,缺点是匹配用
入侵检测系统的研究
入侵检测系统的研究 【摘要】近几年来,随着网络技术以及网络规模的 不断扩大,此时对计算机系统的攻击已经是随处可见。现阶段,安全问题成为越来越多的人关注的重点。本文主要分析了入侵检测系统的功能、技术等情况。 【关键词】入侵检测系统研究情况 、刖言 目前的安全防护主要有防火墙等手段,但是由于防火墙 本身容易受到攻击,并且内部网络中存在着一系列的问题,从而不能够发挥其应有的作用。面对这一情况,一些组织开 始提出了通过采用更强大的主动策略以及方案来增强网络 的安全性。其中个最有效的解决方法那就是入侵检测。入 侵检测采用的是一种主动技术,从而弥补防火墙技术的不足,并且也可以防止入侵行为。 二、入侵检测系统的概述 (一)入侵检测系统的具体功能 入侵检测就是要借助计算机和网络资源来识别以及响 应一些恶意使用行为。检测的内容主要分为两个部分:外部的入侵行为、内部用户的未授权活动。然而入侵检测系统是由入侵检测的软件以及硬件这两个部分组成的。到现在为
止,入侵检测成为继防火墙之后的第二道安全闸门。在网络 安全体系中,入侵检测是成为一个非常重要的组成部分。总 之,入侵检测的功能主要包括了以下几个功能:第一,对用户活动进行监测以及分析;第二,审计系统构造变化以及弱点;第三,对已知进攻的活动模式进行识别反映,并且要向相关人士报警;第四,统计分析异常行为模式,保证评估重要系统以及数据文件的完整性以及准确性;第五,审计以及跟踪管理操作系统。 二)入侵检测系统的模型 在1987 年正式提出了入侵检测的模型,并且也是第 次将入侵检测作为一种计算机安全防御措施提出来。入侵检测模型主要分为六个部分:第一部分,主体。主体就是指在目标系统上进行活动的实体,也就是一般情况下所说的用户。第二部分,对象。对象就是指资源,主要是由系统文件、设备、命令等组成的。第三部分,审计记录。在主体对象中,活动起着操作性的作用,然而对操作系统来说,这些操作包括了登陆、退出、读、写以及执行等。异常条件主要是指系统可以识别异常的活动,比如:违反系统读写权限。资源使用情况主要指的是在系统内部,资源的实际消耗情况。时间戳主要是指活动所发生的时间。第四部分,活动档案。活动档案就是指系统正常行为的模型,并且可以将系统正常活动的相关信息保存下来。第五部分,异常记录。异常记录主要是可以将异常事件的发生情况表现出来。第六部分,活动规则。活动规则主要是指通过一组异常记录来判断入侵是否发生在规划集合中。一般情况下,通过将系统的正常活动模型作为准则,并且要按照专家所提出的系统或者统计方法来分析以及处理审计记录,如果已经发生了入侵,那么此时就应该采用相应的处理措施。 三)入侵检测系统的具体分类 通过研究现有的入侵检测系统,可以按照信息源的不同 将入侵检测系统分为以下几类: 第一,以主机为基础的入侵检测系统。通过对主机的审 计记录来进行监视以及分析,从而可以达到了入侵检测。这 监视主要发生在分布式、加密以及交换的环境中,从而可以判断出攻击是否发生。然而这一入侵检测系统存在着缺点,那就是该系统与具体操作系统平台有联系,从而很难将来自网络的入侵检测出来,并且会占有一定的系
数据库审计系统_技术白皮书V1.0
此处是Logo 数据库审计系统 技术白皮书 地址: 电话: 传真: 邮编:
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京所有,受到有关产权及版权法保护。任何个人、机构未经北京的书面授权许可,不得以任何方式复制或引用本文的任何内容。 ■适用性声明 文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。
目录 一.产品概述 (1) 二.应用背景 (1) 2.1现状与问题 (1) 2.1.1现状 (1) 2.1.2问题 (1) 2.2需求分析 (3) 2.2.1政策需求 (3) 2.2.1.1《信息系统安全等级保护基本要求》 (3) 2.2.1.2《商业银行信息科技风险管理指引》 (3) 2.2.2技术需求 (4) 2.2.3管理需求 (4) 2.2.4性能需求 (4) 2.2.5环境与兼容性需求 (5) 2.2.6需求汇总 (5) 三.产品介绍 (5) 3.1目标 (5) 3.2产品功能 (6) 3.2.1数据库访问行为记录 (6) 3.2.2违规操作告警响应 (6) 3.2.3集中存储访问记录 (6) 3.2.4访问记录查询 (7) 3.2.5数据库安全审计报表 (7) 3.3产品部署 (7) 3.3.1旁路部署 (7) 3.3.2分布式部署 (8) 3.4产品特性 (9) 3.4.1安全便捷的部署方式 (9) 3.4.2日志检索能力 (9) 3.4.3灵活的日志查询条件 (10) 3.4.4灵活的数据库审计配置策略 (10) 3.4.5数据库入侵检测能力 (10) 3.4.6符合审计需求设计 (11) 四.用户收益 (11) 4.1对企业带来的价值 (11) 4.2全生命周期日志管理 (12) 4.3日常安全运维工作的有力工具 (12)
天融信网络安全卫生NGIDS 技术白皮书
网络卫士入侵检测系统 TopSentry 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.wendangku.net/doc/b55460902.html,
版权声明本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有, 未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形 式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、 利益损失, 天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考, 有关内容可能会随时更新,天融信恕不承担另行通知之义务。 版权所有 不得翻印? 1995-2009天融信公司 商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的 注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。 TopSEC?天融信 信息反馈 https://www.wendangku.net/doc/b55460902.html,
目 录 1 产品概述 (1) 2 产品特点 (1) 3 产品功能 (5) 4 运行环境与标准 (6) 5 典型应用 (8) 5.1 基本的典型应用 (8) 5.2 多级管理部署方式 (8)
1 产品概述 网络卫士入侵检测系统是由北京天融信公司自主研发的基于网络的入侵检测系统。 北 京天融信公司基于多年来积累的安全产品研发和实施经验, 集中强大的研发队伍推出具有 完善功能和出色性能的入侵检测产品。 网络卫士入侵检测系统部署于网络中的关键点,实时监控各种数据报文及网络行为, 提供及时的报警及响应机制。其动态的安全响应体系与防火墙、路由器等静态的安全体系 形成强大的协防体系,大大增强了用户的整体安全防护强度。 2 产品特点 增强的多重入侵检测技术 ?网络卫士 IDS 综合使用误用检测、异常检测、智能协议分析、会话状态分析、实 时关联检测等多种入侵检测技术,大大提高了准确度,减少了漏报、误报现象。 ?采用基于协议分析的误用检测技术,实时跟踪各种系统、软件漏洞,并及时更新 事件库,可以及时、准确地检测到各种已知攻击。 ?网络卫士 IDS 建立了完备的异常统计分析模型, 用户还可以根据实际网络环境适 当调整相关参数,更加准确地检测到行为异常攻击。并且,基于内置的强大协议 解码器,网络卫士 IDS 能够检测到各种违背 RFC协议规范的协议异常攻击。 ?内置了遵循 RFC 规范, 并基于对协议在实践中的具体执行过程的充分理解而建立 的协议解码器。通过详尽、细粒度的应用协议分析技术,提高了检测的准确性。 ?有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的, 因为攻击行为 包含在多个请求中。加入状态特性分析,即不仅仅检测单一的连接请求或响应, 而是将一个会话的所有流量作为一个整体来考虑。 网络卫士 IDS能够维护完整的 会话列表,并实时跟踪会话状态。通过重组网络数据包、监控并分析会话状态, 在有效地防止 IDS 规避攻击的同时,不仅可以减少误报和漏报,而且可以大大提 高检测性能。
(完整版)基于神经网络的网络入侵检测
基于神经网络的网络入侵检测 本章从人工神经网络的角度出发,对基于神经网络的网络入侵检测系统展开研究。在尝试用不同的网络结构训练和测试神经网络后,引入dropout层并给出了一种效果较好的网络结构。基于该网络结构,对目前的神经网络训练算法进行了改进和优化,从而有效避免了训练时出现的过拟合问题,提升了训练效率。 4.1 BP神经网络相关理论 本章从学习算法与网络结构相结合的角度出发,神经网络包括单层前向网络、多层前向网络、反馈神经网络、随机神经网络、竞争神经网络等多种类型。构造人工神经网络模型时主要考虑神经元的特征、网络的拓补结构以及学习规则等。本文选择反向传播神经网络(Back Propagation Neural Network, BPNN)作为基本网络模型。 BP神经网络是一种通过误差逆传播算法训练的多层前馈神经网络,是目前应用最广泛的神经网络模型形式之一。网络中每一层的节点都只接收上一层的输出,而每一层节点的输出都只影响下一层的输入,同层节点之间没有交互,相邻两层节点之间均为全连接模式。BP神经网络在结构上分为输入层、隐含层与输出层三部分,其拓扑结构如图4-1所示。 图4-1 BP神经网络拓扑结构 Figure 4-1 Topological Structure of BP Neural Network
这里隐含层既可以是一层也可以是多层,数据在输入后由隐含层传递到输出层,通过各层的处理最终得到输出结果。 传统的BP网络算法可分为两个过程:神经网络中信号的前向传播和误差函数的反向传播。算法在执行时会不断调整网络中的权值和偏置,计算输出结果与期望结果之间的误差,当误差达到预先设定的值后,算法就会结束。 (1)前向传播 隐含层第J个节点的输出通过式(4-1)来计算: (4-1) 式中ωij代表输入层到隐含层的权重,αj代表输入层到隐含层的偏置,n 为输入层的节点个数,f(.)为激活函数。输出层第k个节点的输出通过式(4-2)来计算: (4-2) 式中ωjk代表隐含层到输出层的权重,bk代表隐含层到输出层的偏置,l为隐含层的结点个数。 根据实际输出与期望输出来计算误差,见式(4-3)。 (4-3) 式中(Yk-Ok)用ek来表示,Yk代表期望输出,m为输出层的结点个数。 当E不满足要求时,就会进入反向传播阶段。 (2)反向传播 反向传播是从输出到输入的传播过程。从式((4-1)至式(4-3 )中,可以发现网络误差E是与各层权值和偏置有关的函数,所以如果想减小误差,需要对权值和偏置进行调整。一般采取梯度下降法反向计算每层的权值增量,令权值的变化量同误差的负梯度方向成正相关,调整的原则是令误差沿负梯度方向不断减少。权值的更新公式见式(4-4),偏置的更新公式见式(4-5)。
入侵检测系统的发展历史
本文由heisjay贡献 pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。戚 技术 人侵检测系统的发展厉史 华中科技大学 摘 DIS 涂保东 要:从大量史料中整理出入侵检测系统(}n七ru]s的历史进程 : , 。。 eciDteto 。 n ys s et m , IDS )研究与开发的历史 , 为人们了解 把握
目前研究与开发的热点提供参考 }Ds 关键词 入侵检测系统 发展历史 网络安全 很早以来人们就认识到用户的行为进行适当监控络恶意的和错误的操作 应对网以阻止 etm Dl(田 入侵检测专家系统) nnte「e 。 ’‘ 被 Dete et!on 网od e l “ 正式发表 。 De
旧g 用在早期的{ t A网(AR尸)上监控 保障网络数据 re o 用户的验证信息 这是第一个基于规 , 在该文中提出了入侵检测系统的抽象模型模型基于这样一个假设入侵者: 与运行的安全 。 入侵检测思想在二十 te tn多年前就已萌穿随着I的蓬勃发展近几年来旧S得到了较深入的研则的专家系统模型采用与系统平台和应用环境无关的设计针对已知的, 使用系统的模式与正常用户的使用模 式不同 , 因此可以通过监控系统的跟 系统漏洞和恶意行为进行检测 为构
踪记录来识别入侵者的异常使用模式 从而检测出入侵者违反系统安全性的o情形Den旧g的模型是许多旧S原型 。 究和广泛的应用 1980 年 4 月Jam g es P A n des 「。on 发 ‘’ 建入侵检测系统提供了一个通用的框品同P架随后S日完成了与sA四AR的合为其提交了第一款实用的旧S产 1985 表著名的研究报告 rT卜eat Comp an ute「 eeur、t丫
产品说明&技术白皮书-天融信入侵防御系统产品说明
天融信网络入侵防御TopIDP系列 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:(86)10-82776666 传真:(86)10-82776677 服务热线:400-610-5119 800-810-5119 Http: //https://www.wendangku.net/doc/b55460902.html,
1前言 (2) 2网络入侵防御系概况 (2) 2.1入侵防御系统与防火墙 (3) 2.2入侵防御系统与IDS (3) 3天融信网络入侵防御系统TOPIDP (3) 3.1产品概述 (3) 3.2T OP IDP体系架构 (4) 3.3T OP IDP主要功能 (5) 3.4天融信网络入侵防御系统T OP IDP特点 (6) 3.4.1领先的多核SmartAMP并行处理架构 (6) 3.4.2强大的攻击检测能力 (6) 3.4.3精准的应用协议识别能力 (7) 3.4.4实用的网络病毒检测功能 (8) 3.4.5智能的上网行为监控和管理 (8) 3.4.6立体的Web安全防护 (8) 3.4.7先进的无线攻击防御能力 (9) 3.4.8精确的QOS流量控制能力 (9) 3.4.9灵活的自定义规则能力 (9) 3.4.10丰富的网络部署方式 (9) 3.4.11高可靠的业务保障能力 (10) 3.4.12可视化的实时报表功能 (10) 4天融信网络入侵防御系统TOPIDP部署方案 (11) 4.1.1典型部署 (11) 4.1.2内网部署 (12) 4.1.3IDP.VS.IDS混合部署 (13) 4.1.4WIPS旁路部署 (14) 5结论 (15)
1前言 随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,互联网络已成为人们生活中必不可缺的工具,在网络带来高效和快捷的同时,网络安全形势也从早期的随意性攻击,逐步走向了以政治或经济利益为主的攻击; 攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击;攻击的层面也从网络层,传输层转换到高级别的网络应用层面;而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上,其攻击行为有明显的政治或经济诉求目的,给政府、企业的网络信息业务系统安全造成极大隐患。 同时,大量的网络资源滥用充斥在整个网络通路上,各种基于P2P协议的资源下载工具、网络视频、网络游戏、IM视频通讯工具等造成企业网络带宽过度消耗,影响企业正常业务系统运行。 能否主动发现并防御这些网络攻击,规范终端的网络行为,保护企业的信息化资产,保障企业业务系统的正常运行,是企业要面临的重要问题。 2网络入侵防御系概况 网络入侵防御系统,简称IDP(Intrusion Detection and Prevention System ),是串联在计算机网络中可对网络数据流量进行深度检测、实时分析,并对网络中的攻击行为进行主动防御的安全设备;入侵防御系统主要是对应用层的数据流进行深度分析,动态地保护来自内部和外部网络攻击行为的网关设备。必须同时具备以下功能 ●深层检测(deep packet inspection) ●串连模式(in-line mode) ●即时侦测(real-time detection) ●主动防御(proactive prevention) ●线速运行(wire-line speed)
网络安全技术习题及答案第章入侵检测系统
第9章入侵检测系统1. 单项选择题 1) B 2) D 3) D 4) C 5) A 6) D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: ●识别黑客常用入侵与攻击手段 ●监控网络异常通信 ●鉴别对系统漏洞及后门的利用 ●完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。
入侵检测系统
入侵检测系统 1. 引言 1.1 背景 近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施,入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的发展。 依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 1.2 背国内外研究现状 入侵检测技术国外的起步较早,有比较完善的技术和相关产品。如开放源代码的snort,虽然它已经跟不上发展的脚步,但它也是各种商业IDS的参照系;NFR公司的NID等,都已相当的完善。虽然国内起步晚,但是也有相当的商业产品:天阗IDS、绿盟冰之眼等不错的产品,不过国外有相当完善的技术基础,国内在这方面相对较弱。
入侵检测系统研究的论文
入侵检测系统研究的论文 摘要介绍了入侵检测系统的概念,分析了入侵检测系统的模型;并对现有的入侵检测系统进行了分类,讨论了入侵检测系统的评价标准,最后对入侵检测系统的发展趋势作了有意义的预测。 关键词入侵检测系统;cidf ;网络安全;防火墙 0 引言 近年来,随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,特别是各种官方机构的网站,成为黑客攻击的热门目标。近年来对电子商务的热切需求,更加激化了这种入侵事件的增长趋势。由于防火墙只防外不防内,并且很容易被绕过,所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。 1 入侵检测系统(ids)概念 1980年,james 第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1]。即其之后,1986年dorothy 提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(ides),1990年,等设计出监视网络数据流的入侵检测系统,nsm(network security monitor)。自此之后,入侵检测系统才真正发展起来。 anderson将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4]:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。 入侵检测系统执行的主要任务包括[3]:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为三个步骤:信息收集、数据分析、响应。 入侵检测的目的:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大; 2 入侵检测系统模型 美国斯坦福国际研究所(sri)的于1986年首次提出一种入侵检测模型[2],该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(common intrusion detection framework简称cidf)组织,试图将现有的入侵检测系统标准化,cidf阐述了一个入侵检测系统的通用模型(一般称为cidf模型)。它将一个入侵检测系统分为以下四个组件: 事件产生器(event generators) 事件分析器(event analyzers) 响应单元(response units) 事件数据库(event databases) 它将需要分析的数据通称为事件,事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件,并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应
绿盟威胁分析系统产品白皮书
■版权声明绿盟威胁分析系统产品白皮书 【绿盟科技】 ■文档编号NSF-PROD-TAC-产品白皮书-V1.0 ■密级完全公开 ■版本编号V1.0 ■日期2013-10-10 ■撰写人唐伽佳■批准人段小华 ?2016绿盟科技
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 ■版本变更记录 时间版本说明修改人 2013-10-10 V1.0 新建唐伽佳
目录 一. 前言 (1) 二. 攻防的新特点 (2) 三. 攻防技术发展特点 (3) 四. 绿盟威胁分析系统 (4) 4.1体系结构 (6) 4.2主要功能 (6) 4.3部署方案 (10) 五. 结论 (10)
插图索引 图 4.1 绿盟威胁分析系统体系架构 (6) 图 4.2 NSFOCUS TAC 虚拟执行过程图 (8) 图 4.3 NSFOCUS TAC SPAN和TAP部署方案 (10) 图 4.4 NSFOCUS NIPS(N系列)多链路防护解决方案......................................... 错误!未定义书签。
一. 前言 如今,政府和企业同时面临着一个不断演变的网络威胁环境。最初的黑客攻击是为了获得影响力及自我满足去攻击媒体网站,或者使用DoS方式来中断网站的服务;而现在已演变成为了经济、政治等目的的攻击。攻击者能够通过窃取知识产权来直接获取利益,也可以入侵、窃取客户的个人金融信息,更有甚者破坏对方的服务以至国家的基础设施。动机的变化,同时也带来了攻击方式的变化。 从过去广泛、漫无目的的攻击威胁,在数年内迅速的转化为针对受害者组织将造成严重后果的高级可持续威胁(Advanced Persistent Threat)。高级可持续威胁(APT)是由美国空军的信息安全分析师与2006年创造的术语,一般来说,高级可持续威胁具备以下三个特点: 高级:攻击者为黑客入侵技术方面的专家,能够自主的开发攻击工具,或者挖掘漏洞,并通过结合多种攻击方法和工具,以达到预定攻击目标。 持续性渗透:攻击者会针对确定的攻击目标,进行长期的渗透。在不被发现的情况下,持续攻击以获得最大的效果。 威胁:这是一个由组织者进行协调和指挥的人为攻击。入侵团队会有一个具体的目标,这个团队训练有素、有组织性、有充足的资金,同时有充分的政治或经济动机。 此类APT威胁往往可以绕过防火墙、IPS、AV以及网闸等传统的安全机制,悄无声息的从企业或政府机构获取高级机密资料。在2012年Verizon信息外泄调查报告中可以看到,2011年发生的重大信息数据外泄的受访组织中,有59%是在相关执法机构告知后才知道信息外泄的情况。 Gartner在2012年的报告中说道:“越来越多的人同意APT攻击是可以避开我们传统的基于特征的安全检测机制,并且存在与系统内的时间越来越长,无法被侦测出来。威胁真的发生了,你已经被入侵,只是你不知道而已”。 高级可持续威胁(APT)已经成为当今公认最具威胁的网络攻击类型。
东软入侵检测系统
NetEye IDS 东软入侵检测系统 NetEye IDS 技术白皮书
Neteye IDS 目录 1概述 (2) 1.1网络面临的主要威胁 (2) 1.2入侵检测系统IDS,消除网络威胁 (2) 1.3NetEye IDS 2.2, 给您提供全面的安全 (2) 2系统结构 (2) 2.1检测引擎 (2) 2.2NetEye IDS 管理主机 (2) 3功能模块简介 (2) 3.1网络攻击与入侵检测功能 (2) 3.2多种通信协议内容恢复功能 (2) 3.3应用审计和网络审计功能 (2) 3.4图表显示网络信息功能 (2) 3.5报表功能 (2) 3.6实时网络监控功能 (2) 3.7网络扫描器。 (2) 3.8数据备份恢复功能 (2) 3.9其它辅助管理,配置工具。 (2) 4技术特点 (2) 5典型应用示例 (2) 5.1简单区域网应用示例 (2) 5.2分布式监测应用示例 (2) 2
Neteye IDS 1概述 由于互联网络的发展,整个世界经济正在迅速地融为一体,而整个国家犹如一部巨大的网络机器。计算机网络已经成为国家的经济基础和命脉。计 算机网络在经济和生活的各个领域正在迅速普及,一句话,整个社会对网络 的依赖程度越来越大。众多的企业、各种组织、政府部门与机构都在组建和 发展自己的网络,并连接到Internet上,以充分利用网络的信息和资源。网 络已经成为社会和经济发展强大动力,其地位越来越重要。伴随着网络的发 展,带来了很多的问题,其中安全问题尤为突出。了解网络面临的各种威胁, 防范和消除这些威胁,实现真正的网络安全已经成了网络发展中最重要的事 情。 网络面临的主要威胁 日益严重的网络信息安全问题,不仅使上网企业、机构及用户蒙受巨大的经济损失,而且使国家的安全与主权面临严重威胁。要避免网络信息安全 问题,首先必须搞清楚触发这一问题的原因。总结起来,主要有以下几个方 面原因: (1)黑客的攻击:黑客对于大家来说,不再是一个高深莫测的人物,黑客技术逐渐被越来越多的人掌握和发展。目前,世界上有20多万个黑客网 站,这些站点介绍一些攻击方法和攻击软件的使用以及系统存在的一些漏 洞,因而系统、站点遭受攻击的可能性就变大了。尤其是现在还缺乏针对网 络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力” 强,是网络安全的主要威胁。 (2)管理的欠缺: 3
安全审计系统产品白皮书
绿盟安全审计系统产品白皮书 ? 2011 绿盟科技
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,并受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 ■商标信息 绿盟科技、NSFOCUS、绿盟是绿盟科技的商标。
目录 一. 前言 (1) 二. 为什么需要安全审计系统 (1) 2.1安全审计的必要性 (2) 2.2安全审计系统特点 (3) 三. 如何评价安全审计系统 (3) 四. 绿盟科技安全审计系统 (4) 4.1产品功能 (4) 4.2体系架构 (5) 4.3产品特点 (7) 4.3.1 网络事件“零遗漏”审计 (7) 4.3.2 高智能深度协议分析 (7) 4.3.3 全面精细的敏感信息审计 (7) 4.3.4 多维度网络行为审计 (7) 4.3.5 全程数据库操作审计 (8) 4.3.6 业界首创“网站内容安全”主动审计 (9) 4.3.7 强劲的病毒检测能力 (9) 4.3.8 基于协议的流量分析 (10) 4.3.9 基于对象的虚拟审计系统 (10) 4.3.10 强大丰富的管理能力 (10) 4.3.11 审计信息“零管理” (12) 4.3.12 方便灵活的可扩展性 (13) 4.3.13 高可靠的自身安全性 (13) 4.4解决方案 (13) 4.4.1 小型网络之精细审计方案 (13) 4.4.2 中型网络之集中审计方案 (14) 4.4.3 大型网络之分级审计方案 (15) 五. 结论 (16)