幻灯片 1

Size: px

Start display at page:

Download "幻灯片 1"

胡圆幸
5 years ago
Views:

1 信息系统安全理论与技术

2 课程主要内容第一篇网络安全基础知识第二篇网络安全体系结构第三篇网络安全技术第四篇网络安全工程

3 第三篇网络安全技术 8 防火墙技术 9 入侵检测 10 漏洞扫描 11 黑客技术 12 网络隔离技术 13 病毒防范技术

4 第 9 章入侵检测 (IDS) 本章主要重点 : 截获网络上的数据包监听数据包的技术 Libpcap WinPcap 入侵检测技术

5 9.1 网络监听在一个共享式网络, 可以听取所有的流量是一把双刃剑管理员可以用来监听网络的流量情况开发网络应用的程序员可以监视程序的网络情况黑客可以用来刺探网络情报目前有大量商业的免费的监听工具, 俗称嗅探器 (Sniffer)

6 9.1.1 以太网络的工作原理载波侦听 / 冲突检测 (CSMA/CD, carrier sense multiple access with collision detection) 技术载波侦听 : 是指在网络中的每个站点都具有同等的权利, 在传输自己的数据时, 首先监听信道是否空闲如果空闲, 就传输自己的数据如果信道被占用, 就等待信道空闲而冲突检测则是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突以太网采用了 CSMA/CD 技术, 由于使用了广播机制, 所以, 所有与网络连接的工作站都可以看到网络上传递的数据

7 以太网卡的工作模式网卡的 MAC 地址 (48 位 ) 通过 ARP 来解析 MAC 与 IP 地址的转换用 ipconfig/ifconfig 可以查看 MAC 地址正常情况下, 网卡应该只接收这样的包 MAC 地址与自己相匹配的数据帧广播包网卡完成收发数据包的工作, 两种接收模式混杂模式 : 不管数据帧中的目的地址是否与自己的地址匹配, 都接收下来非混杂模式 : 只接收目的地址相匹配的数据帧, 以及广播数据包 ( 和组播数据包 ) 为了监听网络上的流量, 必须设置为混杂模式

8 9.1.2 共享网络和交换网络共享式网络通过网络的所有数据包发往每一个主机最常见的是通过 HUB 连接起来的子网交换式网络通过交换机连接网络由交换机构造一个 MAC 地址 - 端口映射表发送包的时候, 只发到特定的端口上

9 共享式网络示意图

10 9.1.3 应用程序抓包的技术 UNIX 系统提供了标准的 API 支持 Packet socket BPF Windows 平台上通过驱动程序来获取数据包驱动程序 WinPcap

11 Packet socket 设置混杂模式用 ioctl() 函数可以设置打开一个 packet socket packet_socket = socket(pf_packet, int socket_type, int protocol); 以前的做法, socket(pf_inet, SOCK_PACKET, protocol) 不同的 UNIX 或者 Linux 版本可能会有不同的函数调用, 本质上打开一个 socket( 或者通过 open 打开一个设备 ) 通过 ioctl() 或者 setsockopt() 设置为混杂模式

12 BPF(Berkeley Packet Filter) BSD 抓包法 BPF 是一个核心态的组件, 也是一个过滤器 Network Tap 接收所有的数据包 Kernel Buffer, 保存过滤器送过来的数据包 User buffer, 用户态上的数据包缓冲区 Libpcap( 一个抓包工具库 ) 支持 BPF Libpcap 是用户态的一个抓包工具 Libpcap 几乎是系统无关的 BPF 是一种比较理想的抓包方案在核心态, 所以效率比较高, 但是, 只有少数 OS 支持 ( 主要是一些 BSD 操作系统 )

13 BPF 和 libpcap

14 关于 libpcap 用户态下的 packet capture 系统独立的接口,C 语言接口目前最新为 0.7 版本广泛应用于 : 网络统计软件入侵检测系统网络调试支持过滤机制,BPF

15 Libpcap 介绍为捕获数据包做准备的几个函数 char *pcap_lookupdev(char *errbuf); 返回一个指向网络设备的指针, 这个指针下面用到 pcap_t *pcap_open_live(char *device, int snaplen, int promisc, int to_ms, char *ebuf); 用来获取一个 packet capture descriptor; snaplen 指定了抓取数据包的最大长度 pcap_dumper_t *pcap_dump_open(pcap_t *p, char *fname); 打开一个 savefile 文件, 用于 dump pcap_t *pcap_open_offline(char *fname, char *ebuf); 打开一个 savefile, 从中读取数据包

16 Libpcap:dump 文件格式文件头 : struct pcap_file_header { }; bpf_u_int32 magic; // 0xa1b2c3d4 u_short version_major; u_short version_minor; bpf_int32 thiszone; bpf_u_int32 sigfigs; bpf_u_int32 snaplen; bpf_u_int32 linktype; 然后是每一个包的包头和数据 struct pcap_pkthdr { }; struct timeval ts; bpf_u_int32 caplen; bpf_u_int32 len; 其中数据部分的长度为 caplen

17 Libpcap: 设置 filter 设置过滤器用到的函数 int pcap_lookupnet(char *device, bpf_u_int32 *netp, bpf_u_int32 *maskp, char *errbuf) 获得与网络设备相关的网络号和掩码 int pcap_compile(pcap_t *p, struct bpf_program *fp, char *str, int optimize, bpf_u_int32 netmask) 把字符串 str 编译成一个过滤器程序 int pcap_setfilter(pcap_t *p, struct bpf_program *fp) 设置一个过滤器

18 Libpcap: 捕获数据捕获数据用到的两个函数 int pcap_dispatch(pcap_t *p, int cnt, pcap_handler callback, u_char *user) int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user) 参数含义 : cnt 指定了捕获数据包的最大数目 pcap_handler 是一个回调函数二者区别在于 pcap_loop 不会因为 read 操作超时而返回另一个函数 :void pcap_dump(u_char *user, struct pcap_pkthdr *h, u_char *sp) 把数据包写到一个由 pcap_dump_open() 打开的文件中

19 Windows 平台下的抓包技术内核本身没有提供标准的接口通过增加一个驱动程序或者网络组件来访问内核网卡驱动提供的数据包在 Windows 不同操作系统平台下有所不同不同 sniffer 采用的技术不同 WinPcap 是一个重要的抓包工具, 它是 libpcap 的 Windows 版本

20 Windows 2000 下抓包组件

21 WinPcap WinPcap 包括三个部分第一个模块 NPF(Netgroup Packet Filter), 是一个虚拟设备驱动程序文件它的功能是过滤数据包, 并把这些数据包原封不动地传给用户态模块, 这个过程中包括了一些操作系统特有的代码第二个模块 packet.dll 为 win32 平台提供了一个公共的接口不同版本的 Windows 系统都有自己的内核模块和用户层模块 Packet.dll 用于解决这些不同调用 Packet.dll 的程序可以运行在不同版本的 Windows 平台上, 而无需重新编译第三个模块 Wpcap.dll 是不依赖于操作系统的它提供了更加高层抽象的函数 packet.dll 和 Wpcap.dll packet.dll 直接映射了内核的调用 Wpcap.dll 提供了更加友好功能更加强大的函数调用

22 WinPcap 和 NPF

23 Windows 的网络结构 NDIS(Network Driver Interface Specification, 网络驱动接口规范 ) 描述了网络驱动与底层网卡之间的接口规范, 以及它与上层协议之间的规范 NPF 作为一个核心驱动程序而提供的

24 WinPcap 的优势提供了一套标准的抓包接口与 libpcap 兼容, 可使得原来许多 UNIX 平台下的网络分析工具快速移植过来便于开发各种网络分析工具除了与 libpcap 兼容的功能之外, 还有充分考虑了各种性能和效率的优化, 包括对于 NPF 内核层次上的过滤器支持支持内核态的统计模式提供了发送数据包的能力

25 用 WinPcap 开发自己的 Sniffer

26 Windows 平台下一些 Sniffer 工具 Buttsniffer 简单, 不需要安装, 可以在 Windows NT 下运行, 适合于后台运作 NetMon Windows 2000 自带 (Microsoft SMS 也带 ) 友好的图形界面, 分析功能强 NetXRay 界面友好, 统计分析功能强, 过滤器功能基于 WinPcap 的工具 WinDump Analyzer

27 UNIX/Linux 平台下的一些 Sniffer 工具 dsniff linux_sniffer Snort tcpdump sniffit

28 9.1.3 与 sniffer 有关的两项技术检测处于混杂模式的节点如何在交换网络上实现 sniffer

29 检测处于混杂模式的节点网卡和操作系统对于是否处于混杂模式会有一些不同的行为, 利用这些特征可以判断一个机器是否运行在混杂模式下一些检测手段根据操作系统的特征 Linux 内核的特性 : 正常情况下, 只处理本机 MAC 地址或者以太广播地址的包在混杂模式下, 许多版本的 Linux 内核只检查数据包中的 IP 地址以确定是否送到 IP 堆栈因此, 可以构造无效以太地址而 IP 地址有效的 ICMP ECHO 请求, 看机器是否返回应答包 ( 混杂模式 ), 或忽略 ( 非混杂模式 ) Windows 9x/NT: 在混杂模式下, 检查一个包是否为以太广播包时, 只看 MAC 地址前八位是否为 0xff 根据网络和主机的性能根据响应时间 : 向本地网络发送大量的伪造数据包, 然后, 看目标主机的响应时间, 首先要测得一个响应时间基准和平均值 L0pht 的 AntiSniff 产品, 参考它的技术文档

30 在交换式网络上监听数据包 ARP 重定向技术, 一种中间人攻击 A GW B 1 B 打开 IP 转发功能 2 B 发送假冒的 arp 包给 A, 声称自己是 GW 的 IP 地址 3 A 给外部发送数据, 首先发给 B 4 B 再转发给 GW 做法 : 利用 dsniff 中的 arpredirect 工具

31 发送数据包 Libnet 利用 Libnet 构造数据包并发送出去关于 Libnet 支持多种操作系统平台提供了 50 多个 C API 函数, 功能涵盖内存管理 ( 分配和释放 ) 函数地址解析函数各种协议类型的数据包构造函数数据包发送函数 (IP 层和链路层 ) 一些辅助函数, 如产生随机数错误报告等

32 使用 Libnet 的基本过程数据包内存初始化网络接口初始化构造所需的数据包计算数据包的校验和发送数据包关闭网络接口释放数据包内存 libnet_init_packet( ); libnet_open_raw_sock( ); libnet_build_ip( ); libnet_build_tcp( ); libnet_do_checksum( ); libnet_write_ip( ); libnet_close_raw_sock( ); libnet_destroy_packet( );

33 9.2 可适应网络安全模型网络安全是相对的, 没有绝对的安全 P2DR 安全模型以安全策略为核心响应 (response) 防护 (protecttion) 安全策略 (policy) 检测 (detection)

34 网络安全新定义及时的检测和处理 Pt 时间 Dt Rt 新定义 :Pt > Dt + Rt

35 P2DR 安全模型这是一个动态模型以安全策略为核心基于时间的模型可以量化可以计算 P2DR 安全的核心问题检测检测是静态防护转化为动态的关键检测是动态响应的依据检测是落实 / 强制执行安全策略的有力工具

36 9.3 Intrusion Detection System 入侵检测系统介绍入侵检测系统分类入侵检测系统用到的一些技术入侵检测系统的研究和发展

37 IDS 的用途攻击机制攻击工具攻击命令实时入侵攻击过程检测系统漏洞目标系统漏洞扫描评估加固网络漏洞目标网络攻击者

38 9.3.1 入侵检测系统的实现过程信息收集, 来源 : 网络流量系统日志文件系统目录和文件的异常变化程序执行中的异常行为信息分析模式匹配统计分析完整性分析, 往往用于事后分析

39 入侵检测系统的通用模型数据源模式匹配器系统轮廓分析引擎数据库入侵模式库异常检测器响应和恢复机制

40 入侵检测引擎工作流程

41 协议分析 IP ICMP OSPF FTP Telnet IPX TCP POP3 协议协议 PPP IPV6 IGMP EGP GGP SMTP HTTP NFS NetBEUI UDP DNS TFTP ATM

42 9.3.2 入侵检测系统的种类基于主机安全操作系统必须具备一定的审计功能, 并记录相应的安全性日志基于网络 IDS 可以放在防火墙或者网关的后面, 以网络嗅探器的形式捕获所有的对内对外的数据包基于内核从操作系统的内核接收数据, 比如 LIDS 基于应用从正在运行的应用程序中收集数据

43 9.3.3 IDS 的技术异常检测 (anomaly detection) 也称为基于行为的检测首先建立起用户的正常使用模式, 即知识库标识出不符合正常模式的行为活动误用检测 (misuse detection) 也称为基于特征的检测建立起已知攻击的知识库判别当前行为活动是否符合已知的攻击模式

44 异常检测比较符合安全的概念, 但是实现难度较大正常模式的知识库难以建立难以明确划分正常模式和异常模式常用技术基于统计方法的入侵检测技术基于神经网络的入侵检测技术基于专家系统的入侵检测技术基于模型推理的入侵检测技术

45 误用检测目前研究工作比较多, 并且已经进入实用建立起已有攻击的模式特征库难点在于 : 如何做到动态更新, 自适应常用技术基于简单规则的模式匹配技术基于专家系统的检测技术基于状态转换分析的检测技术基于神经网络检测技术其他技术, 如数据挖掘模糊数学等

46 基于统计方法审计系统实时地检测用户对系统的使用情况, 根据系统内部保持的用户行为的概率统计模型进行监测, 当发现有可疑的用户行为发生时, 保持跟踪并监测记录该用户的行为基于神经网络采用神经网络技术, 根据实时检测到的信息有效地加以处理作出攻击可能性的判断神经网络技术可以用于解决传统的统计分析技术所面临的以下问题 : 难于建立确切的统计分布导致难于实现方法的普适性算法实现比较昂贵系统臃肿难于剪裁

47 基于专家系统根据安全专家对可疑行为的分析经验来形成一套推理规则, 然后再在此基础之上构成相应的专家系统, 并应用于入侵检测基于规则的专家系统或推进系统的也有一定的局限性基于模型推理用基于模型的推理方法人们能够为某些行为建立特定的模型, 从而能够监视具有特定行为特征的某些活动根据假设的攻击脚本, 这种系统就能检测出非法的用户行为一般为了准确判断, 要为不同的攻击者和不同的系统建立特定的攻击脚本

48 其他的检测技术免疫系统方法遗传算法基于代理检测数据挖掘

49 IDS 的两个指标漏报率指攻击事件没有被 IDS 检测到误报率 (false alarm rate) 把正常事件识别为攻击并报警误报率与检出率成正比例关系 100% 误报率0 检出率 (detection rate) 100%

50 9.3.4 基于网络的 IDS 系统收集网络流量数据利用 sniff 技术把 IDS 配置在合理的流量集中点上, 比如与防火墙或者网关配置在一个子网中利用某些识别技术基于模式匹配的专家系统基于异常行为分析的检测手段

51 一个轻量的网络 IDS: snort 是一个基于简单模式匹配的 IDS 源码开放, 跨平台 (C 语言编写, 可移植性好 ) 利用 libpcap 作为捕获数据包的工具特点设计原则 : 性能简单灵活包含三个子系统 : 网络包的解析器检测引擎日志和报警子系统内置了一套插件子系统, 作为系统扩展的手段模式特征链规则链命令行方式运行, 也可以用作一个 sniffer 工具

52 网络数据包解析结合网络协议栈的结构来设计 Snort 支持链路层和 TCP/IP 的协议定义每一层上的数据包都对应一个函数按照协议层次的顺序依次调用就可以得到各个层上的数据包头从链路层, 到传输层, 直到应用层在解析的过程中, 性能非常关键, 在每一层传递过程中, 只传递指针, 不传实际的数据支持链路层 : 以太网令牌网 FDDI

53 Snort: 规则链处理过程二维链表结构匹配过程首先匹配到适当的 Chain Header 然后, 匹配到适当的 Chain Option 最后, 满足条件的第一个规则指示相应的动作

54 Snort: 日志和报警子系统当匹配到特定的规则之后, 检测引擎会触发相应的动作日志记录动作, 三种格式 : 解码之后的二进制数据包文本形式的 IP 结构 Tcpdump 格式如果考虑性能的话, 应选择 tcpdump 格式, 或者关闭 logging 功能报警动作, 包括 Syslog 记录到 alert 文本文件中发送 WinPopup 消息

55 关于 snort 的规则 Snort 的规则比较简单规则结构 : 规则头 : alert tcp! /24 any -> /24 any 规则选项 : (flags: SF; msg: SYN-FIN Scan ;) 针对已经发现的攻击类型, 都可以编写出适当的规则来规则与性能的关系先后的顺序 Content option 的讲究许多 cgi 攻击和缓冲区溢出攻击都需要 content option 现有大量的规则可供利用

56 Snort 规则示例规则示例 Option 类型

57 关于 snort 开放性源码开放, 最新规则库的开放作为商业 IDS 的有机补充特别是对于最新攻击模式的知识共享 Snort 的部署作为分布式 IDS 的节点为高级的 IDS 提供基本的事件报告发展数据库的支持互操作性, 规则库的标准化二进制插件的支持预处理器模块 :TCP 流重组统计分析, 等

58 异常检测的网络 IDS 基于规则和特征匹配的 NIDS 的缺点对于新的攻击不能正确识别人工提取特征, 把攻击转换成规则, 加入到规则库中异常检测的 NIDS 可以有一定的自适应能力利用网络系统的已知流量模式进行学习, 把正常流量模式的知识学习到 IDS 中当出现新的攻击时, 根据异常行为来识别并且, 对于新的攻击以及异常的模式可以反馈到 IDS 系统中

59 9.3.5 人工神经网络 (ANN) 用于异常检测 ANN 有比较好的非线性分析能力一定程度上可以代替统计检测技术通过历史数据学习用户的典型特征难点 : 采集好的学习样本并量化表达如何获得自适应? 两个简单例子 MLP 网络用于入侵检测 CMAC 用于拒绝服务检测

60 MLP 网络用于入侵检测可以认为是误用检测, 但是它对未知攻击有一定的适应能力网络描述多层感知器结构, 四层全连接 9 个输入 2 个输出实验情况利用网络工具采集数据, 包含正常网络行为和模拟攻击行为需要足够的样本用于学习, 并且其中包含模拟攻击样本

61 MLP 网络结构 Sigmoid 函数 N 1 N 2 w w w O 1 O 2 N 9

62 MLP 网络 9 个输入 Protocol ID Source Port Destination Port Source Address Destination Address ICMP Type ICMP Code Raw Data Raw Data Length 2 个输入 (0.0,1.0) 表示没有攻击 (1.0,0.0) 表示有攻击神经元函数 sigmoid:1/(1+exp(-x))

63 MLP 网络的结果分析实验室学习的结果比较好误差的均方非常小能够识别出样本中所有的攻击行为只是说明了 ANN 用于 ID 的潜在的能力考虑其他的网络结构考虑动态的自适应能力

64 CMAC 网络用于自动对抗拒绝服务 CMAC(Cerebellar Model Articulation Controller) 1975 年 Albus 提出主要用于控制领域网络模型三层前向网络优势具有聚类的作用容易获得自适应能力

65 CMAC 模型 N 1 w N 2 Σ O 环境参数随机散列

66 CMAC 用于检测 DOS 攻击 CMAC 的输入和输出环境反馈 s, 范围 [0.0, 1.0] 0.0 表示系统已经停止, 拒绝服务 1.0 表示系统正常输出 O, 范围 [0.0, 1.0] 0.0 表示没有攻击 1.0 表示攻击接受正常数据时, 输出非常小 CMAC 的学习和自适应调整学习 w i+1 = w i + b(o d -O a ) w i+1 = w i + b((1-s) - O a ) w i+1 = w i + (1-s)((1-s) - O a )

67 CMAC 对于拒绝服务的模拟结果分析学习速度快 On-line 学习攻击模式能够精确地识别以前碰到过的攻击模式对于同类型的攻击, 具有较好的适应性在训练了 ping flood 之后, 识别 UDP packet storm 攻击的错误为 2.2% 对状态的分析能力如果一种网络行为模式在初始时候被识别的概率为 75%, 随着系统状态的进一步退化, 同样的行为模式被识别的概率应该增加系统的反馈用来增强识别攻击的可能性

68 9.3.6 基于主机的 IDS 系统信息收集系统日志系统状态信息特点 :OS 相关常用的分析技术统计分析状态转移分析关联分析

69 STAT STAT: A state transition analysis tool for intrusion detection 由美国加州大学 Santa Barbaba 分校开发从初始状态到入侵状态的转移过程用有限状态机来表示入侵过程初始状态指入侵发生之前的状态入侵状态指入侵发生之后系统所处的状态系统状态通常用系统属性或者用户权限来描述用户的行为和动作导致系统状态的转变 S1 S2 S3 Assertions Assertions Assertions

70 STAT 的优缺点优点 : 状态转移图提供了一种针对入侵渗透模式的直观的高层次的与审计记录无关的表示方法用状态转移法, 可以描述出构成特定攻击模式的特征行为序列状态转移图给出了保证攻击成功的特征行为的最小子集, 从而使得检测系统可以适应相同入侵模式的不同表现形式可使攻击行为在到达入侵状态之前就被检测到, 从而采取措施阻止攻击行为可以检测协同攻击和慢速攻击缺点 : 状态 (assertions) 和特征行为需要手工编码 Assertions 和特征用于表达复杂细致的入侵模式时可能无法表达 STAT 只是一个框架, 需要具体的实现或者与其他系统协同工作 STAT 的速度相对比较慢

71 STAT USTAT USTAT: 用于 UNIX 系统的 STAT 实现包括四部分预处理器 : 对数据进行过滤, 并转换为与系统日志文件无关的格式知识库 : 包括状态描述库和规则库规则库用于存放已知攻击类型所对应的状态转移规则 ; 状态描述库存放系统在遭受不同类型攻击下所出现的状态推理引擎 : 根据预处理器给出的信息和状态描述库中定义的系统状态, 判断状态的变化并更新状态信息一旦发现可疑的安全威胁, 通知决策引擎决策引擎 : 将安全事件通知管理员, 或者采取预先定义的自动响应措施

72 基于 STAT 的 IDS USTAT NSTAT 把 USTAT 扩展到多台主机, 从而可以检测到针对多台共享同一个网络文件系统的主机的攻击 NetSTAT 是一个基于网络的 IDS, 分析网络中的流量, 找到代表恶意行为的数据包 WinSTAT 基于主机的 IDS, 分析 Windows NT 的事件日志 WebSTAT 基于应用的 IDS, 用 Apache Web Server 的日志作为输入 AlertSTAT 是一个高层的入侵关联器, 以其他检测器的报警作为输入, 以便检测出高层次多步骤的攻击

73 9.3.7 IDS 的部署和结构入侵检测系统的管理和部署多种 IDS 的协作管理平台和 sensor 基于 Agent 的 IDS 系统 Purdue 大学研制了一种被称为 AAFID(Autonomous agents for intrusion detection) 的 IDS 模型 SRI 的 EMERALD(Event Monitoring Enabling Response to Anomalous Live Disturbances)

74 部署三 Internet 部署一部署四部署二

75 检测器放置于防火墙的 DMZ 区域可以查看受保护区域主机被攻击状态可以看出防火墙系统的策略是否合理可以看出 DMZ 区域被黑客攻击的重点检测器放置于路由器和边界防火墙之间可以审计所有来自 Internet 上面对保护网络的攻击数目可以审计所有来自 Internet 上面对保护网络的攻击类型

76 检测器放在主要的网络中枢监控大量的网络数据, 可提高检测黑客攻击的可能性可通过授权用户的权利周界来发现为授权用户的行为检测器放在安全级别高的子网对非常重要的系统和资源的入侵检测

77 商业 IDS 例子 : ISS RealSecure 结构 RealSecure OS Sensor RealSecure Console RealSecure Network Sensor RealSecure Server Sensor

78 入侵检测工具举例生产部工程部警告! 利用 RealSecure 进行可适应性攻击检测和响应 DMZ? E? File Transfer? HTTP 路由中继 Internet 市场部人事部记录攻击 Intranet 外部攻击企业网络

生产部工程部入侵检测工具举例利用 RealSecure 进行可适应性攻击检测和响应 DMZ? E-MailE?

79 生产部工程部入侵检测工具举例利用 RealSecure 进行可适应性攻击检测和响应 DMZ? E? File Transfer? HTTP 路由中继 Internet 市场部人事部企业网络 Intranet 内部攻击警告! 启动事件日志, 发送消息

80 生产部工程部市场部人事部警告! 记录进攻, 发送消息, 终止连接企业网络入侵检测工具举例利用 RealSecure 进行可适应性攻击检测和响应 Intranet 重新配置路由或防火墙以便隐藏 IP 地址 DMZ? E? File Transfer? HTTP 路由中继中止连接 Internet 商务伙伴外部攻击

81 9.3.8 IDS 的困难异常检测技术仍然需要研究和发展 NIDS 的部署交换式网络的普及有些交换机提供了把多个端口或者 VLAN 镜像到单个端口的能力, 用于捕获数据包应用系统的多样性需要统一的规范交换信息 IPSec 等一些加密或者隧道协议

82 9.3.9 IDS 与响应和恢复技术 IDS 属于检测的环节, 一旦检测到入侵或者攻击, 必须尽快地做出响应, 以保证信息系统的安全 IDS 的响应机制, 可以从基本的管理角度来考虑, 也可以从技术角度来实施, 包括与其他防护系统的互操作, 比如防火墙对于一个企业而言,IDS 与 DRP(Disaster Recovery Planning) 需要一起来制订和实施 DRP 包括业务影响分析 (BIA, Business Impact Analysis) 数据必须定期备份信息系统的根本目的是提供便利的服务灾难评估明确责任人

83 IDS 的研究与发展 IDS 自身的发展基于异常检测的技术分布式 IDS 系统引入生物学免疫系统的概念与其他防护系统的集成 IDS 与其他学科 IDS 与模式识别人工智能 IDS 与数据挖掘 IDS 与神经网络 IDS 与 IDS 之间的互操作 CIDF: 由美国加州大学 Davis 分校提出的框架, 试图规范一种通用的语言格式和编码方式来表示 IDS 组件边界传递的数据 IDEF: IETF IDWG 提出的草案, 规范了部分术语的使用, 用 XML 来描述消息格式

84 CIDF 的体系结构响应单元输出 : 反应或事件输出 : 高级中断事件输出 : 事件的存储信息事件分析器事件数据库输出 : 原始或低级事件事件产生器输入 : 原始事件源

85 本章小结截获网络上的数据包监听数据包的技术 Libpcap WinPcap 入侵检测技术

Chapter #

Chapter # 第三章 TCP/IP 协议栈本章目标通过本章的学习, 您应该掌握以下内容 : 掌握 TCP/IP 分层模型掌握 IP 协议原理理解 OSI 和 TCP/IP 模型的区别和联系 TCP/IP 介绍主机主机 Internet TCP/IP 早期的协议族全球范围 TCP/IP 协议栈 7 6 5 4 3 应用层表示层会话层传输层网络层应用层主机到主机层 Internet 层 2 1 数据链路层