入侵检测复习重点.docx
- 文档编号:9490507
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:16
- 大小:28.67KB
入侵检测复习重点.docx
《入侵检测复习重点.docx》由会员分享,可在线阅读,更多相关《入侵检测复习重点.docx(16页珍藏版)》请在冰豆网上搜索。
入侵检测复习重点
入侵检测复习重点
入侵是对信息系统的非授权访问以及未经许可在信息系统中进行的操作。
入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。
入侵检测系统所有能够执行入侵检测任务和功能的系统,其中包括软件系统及软、硬件结合。
入侵检测功能监控(用户和系统的活动)、审计(系统的配置和弱点)、评估(关键系统的数据文件完整性)、识别(攻击的活动模式)、统计分析(对活动进行)
简述P2DR模型在信息安全的地位(作用)
Ppolicy策略Pprotection防护Ddetection检测Rresponse响应。
在整体策略控制下,在综合应用各种防护工具的同时,利用检测工具了解、评估系统通过应用适当响应而改善系统的防护措施,从而实现动态安全模型。
攻击的流程
目标探测与收集自身隐藏利用漏洞侵入主机稳固并扩大战果清除日志入侵检测流程
数据收集数据分析(分析、处理)数据响应
数据源来自哪里?
(分类方法)审计记录、系统日志、应用程序日志、网络数据、其它收集数据的原则
在计算机网络系统的若干个不同的关键点(不同的网段或不同主机)来手机信息。
要保证数据的正确性和可靠性。
原因可扩大范围、不一致原则。
按相应发生的时间,相应策略的制定有哪些?
类型有哪些?
策略紧急行动、及时行动、本地的长期行动、全局的长期行动
类型主动响应(反攻击、修正系统环境、收集信息、欺骗网);被动响应(报警、记录)入侵检测系统的部署主机关键主机
网络DMI区、隔离区、外网入口、内网主干、关键子网
属于预处理功能的有格式转换、映射、过滤
获取数据、审计数据为什么要进行预处理?
格式转换来源冗杂,预处理后利于移植
映射和过滤剔除冗杂、无用的事件记录
入侵检测专家系统原理
在知识库的基础上,根据已获得的事实和已知规则进行推导,并得出结论。
在状态转移分析技术中,采用(状态转移图)来表示一个具体的入侵攻击过程。
状态转移图由两个基本组建构成(标识系统状态的结点)和(表示特征行为的弧线)。
状态转移分析原理
将攻击者的入侵行为描绘为一系列的特征操作及其所引起的一系列系统状态转换过程,从而使得目标系统从初始状态转移到所期望的危害状态。
完整性检查的基本思想H(file)=标识(old)H(file)=标识(new)
标识(old)与标识(new)compareH()代表单项消息摘要计算函数。
系统配置分析技术的基本原理
首先,一次成功的入侵活动可能会在系统从留下痕迹,这可以通过检查系统当前状态来发现;其次系统管理员和用户经常会错误地配置系统,已给攻击者可乘之机。
简述交换网络下的数据检测方法将包捕获程序设置在官网或代理服务器上;
交换机端口映射;ARP;
IDS连接在网络流量通常最大上、下行端口上。
简述包捕获机制BPF的原理
BPF主要由两大部分组成网络分接头(TAP)和数据包过滤器。
网络分接头从网络设备驱动程序处收集数据包复制,并传递给正在捕获数据包的应用程序。
过滤器决定某一数据包是被接收或者拒绝,以及如果被接收,数据包的哪些部分会被复制给应用程序。
简述协议分析技术的原理
协议分析的功能是辨别数据包协议类型以便使用相应的数据分析程序来检测数据包。
它将输入数据包视为具有严格定义格式的数据流,并将输入数据包按照各层协议报文封装的反向顺序,层层解析出来。
如果当前所检查的某个协议字段里,包含了非期望的不合理赋值,则系统认为当前数据包为非法网络流量。
DIDS
以网络数据包和主机审计数据作为数据来源。
属于采用多种信息输入元的入侵检测技术。
目标环境是一组以太局域网连接起来的主机,且这些主机系统都满足C2等级的安全审计功能要求。
任务是监控网络中个主机的安全状态,同时检测针对局域网本身的攻击行为。
包括三类组件主机监控器、局域网监控器、中央控制台
主机监控器首先从主机系统中读取C2审计数据文件,获取审计记录,然后将这些审计记录映射到DIDS系统定义的规范格式HAR上。
之后,将这些冗余格式的记录进行必要的过滤操作以去除冗余后,再进行各种分析检测工作,生成不同的异常事件报告,交由主机代理发送到中央控制台。
而LEG组件没有现成的审计记录可用,因此,LEG组件必须从当前网络数据包中构建所需的网络审计记录NAR。
LEG组件主要审计主机之间的连接、所访问的服务类型以及每个连接的数据流量情况。
同时,LEG还建立和维护当前网络行为的正常模型,并检测当前网络使用情况与正常模型的偏离情况。
控制台的专家系统,在收集来自各个监控器事件记录的基础上,执行关联分析和安全状态评估的任务。
专家系统的核心部分是用于进行推理工作的规则库,DIDS专家系统用Prolog语言编写所有检测规则。
用户接口主要任务是以友好的方式适时地提供用户关心的系统信息,包括实时的异常事件显示、整个系统的安全状态信息等;同时,它还提供用户进行特定控制和查询功能的接口,如查询某条检测规则的状态等。
DIDS中央控制台组建能够解决两个关键的问题
网络环境下对特定用户和系统对象的追踪问题。
不同层次的入侵数据抽象问题。
发展前景
首先,入侵检测系统将不断提高自己的性能,包括大幅度降低虚警概念、提高检测变异攻击行为和协同攻击的能力、与网路管理系统更好的集成、更好的支持法律诉讼,以及提供更容易操作的用户界面等。
其次,入侵检测将更重视分布式环境下的架构设计问题,重视解决分布式环境下所遇到的特定问题,如自主代理的管理、不同数据源的关联分析、安全响应问题等。
另外,入侵检测系统将从更多类型的数据源获取所需信息,来帮助提供检测能力以及冗余保护机制。
同时,入侵检测的标准化工作将会取得长足进步,确立统一的交互操作标准。
最后,入侵检测技术将更多地与其他各种技术无缝集成在一起,并不断演化发展,最终形成新的技术类型。
GrIDS是基于图标的入侵检测系统。
是为大规模网络环境而设计的入侵检测模型。
对被保护的大型组织网络环境进行不同等级的分解形成不同层次的管理域。
GrIDS把目标环境中的各种报告事件和网络流量信息汇集成图标的形式,然后在更高等级上把这些图表汇集成更为简要的形式。
GrIDS在不同抽象层次上进行分析检测工作,以发现不同层次上的入侵行为。
主要设计目标能够检测到大规模网络环境下所发生的攻击类型,例如端口扫描、跨域的协同攻击以及蠕虫攻击等。
AAFID是基于自主代理的分布式入侵检测架构。
CIDF
DARPA提出的建议是公公入侵检测框架(CIDF),最早由加州大学戴维斯分校计算机安全实验室主持起草,并由1997年初正式提出。
CIDF所做的工作主要包括4部分CIDF的体系结构、通信机制、描述语言和应用编程接口API。
CIDF在IDES和NIDES系统的基础上提出了一个通用模型,将入侵检测系统分为4个基本组件事件产生器、事件分析器、响应单元和事件数据库。
前三个通常以应用程序的形式出现,而事件数据库则往往采用文件或数据流的形式。
IDS厂商数据收集组件、数据分析组件和控制台代替前三者。
CIDF模型将IDS需要分析的数据统称为事件(Event),它既可以是网络中的数据包,也可以使从系统日志或其它途径得到的信息。
以上CIDF模型中的4个组件代表的都是逻辑实体,其中的任何一个组件可能是某台计算机上的一个进程甚至线程,也可能是多个计算机上的多个进程,它们之间采用统一入侵检测对象(GIDO)格式进行数据交换。
GIDO是对事件进行编码的标准通用格式(由CIDF描述语言CISL定义),GIDO数据流可以是发生在系统中的审计事件,也可以是对审计事件的分析结果。
事件产生器的任务是从入侵检测系统之外的计算环境中收集事件,并将这些事件转换成CIDF的GIDO格式传送给其它组件。
事件分析器负责分析从其他组件收到的GIDO,并将产生的分析结果传送给其它组件。
分析器。
分析器可以是一个基于统计模型的工具,检查现在的事件是否满足先前所建立的正常事件模型;也可以是一个特征检测工具,用于在当前事件序列中检查是否存在已知的滥用攻击特征;此外,事件分析器还可以是一个关联分析器,观察不同事件之间的关系,并将关联事件进行汇聚处理,以利于以后进一步分析。
事件数据库用于存储GIDO,以备系统需要的时候使用。
响应单元负责处理接收到的GIDO,并据此采取相应的措施,如杀死相关进程、复位网络会话连接,以及修改文件权限等。
系统设计的生命周期
需求定义设计者需要定义入侵检测的各个目标并建立目标之间的优先级需求定义。
功能定义进一步将这些需求定义细化为系统中明确的功能定义。
可以采用各种模型描述语言来定义系统所要完成的各个具体功能及其之间的接口规范等。
原型实现涉及具体的开发过程来验证系统设计的正确性和可行性。
用户反馈上述生命周期过程并非静止不动的步骤过程,整个周期过程是螺旋式上升过程。
前一周期原型实现阶段后,经过一个用户反馈环节后,再次进入下一个周期过程中的需求定义环节。
在新需求定义阶段,将根据用户的需求反馈意见,再次更改原有的需求定义和分析规范,形成新的需求定义文档,从而推动下一个设计周期过程。
如此循环反复,直至满足设定的要求。
响应组件的设计
1用户的需求问题(安全管理员、系统管理员、安全调查员)2操作环境特点
3响应信号的表现形式因环境不同而不同
4性能要求
5响应部件的本身也是攻击者的目标所在,攻击的方法可能包括舰艇可能的响应通信信道、拒绝服务攻击以及切断相应报警通道等。
6响应部件还必须能够管理从分析组件中发出的警报信息。
7响应部件中一般都应该包含对检测结果的存档和报告功能。
现有入侵检测技术的局限性
就网络入侵检测而言,目前面临的主要问题包括
1高速网络环境下的检测问题(网络带宽增长速度>计算能力的提高速度,声称**MHz,实际需要测量)2交换式网络环境下的检测问题(传统网络入侵检测技术无法监控,需添加额外硬件,带来性能和通用性的实际问题。
)
3加密问题(大多网络入检技术需通过对数据包载荷中的特定特征字符串进行分析匹配,才能发现入侵活动。
如对网络传输数据加密,则影响入检)
现有的入侵检测还存在若干通用性的问题
1虚假警报问题(狼来了)
2可扩展性问题(时间“慢攻击”;空间“分布式”大型网络设施,如时间同步、数据简化)3管理问题(网络管理系统集成问题;如何管理入侵检测系统内部可能存在的大量部件)
4支持法律诉讼(法律不完善,如何修改系统设计满足取证、诉讼要求)5互操作性问题(各入检系统遵循统一的数据交换格式和传输协议,从而方便地共享信息,更好协同工作)操作系统的分类准确性、从HIDS基于主主机的审计机的入侵检测记录和日志文件中获得按信息可移植性、源分类NIDS基于网透明、不易络的入侵检测被攻击、影响性能混合误报率低漏报误用率高,匹配特按检测征库方法分基于正常行类异常为的历史统计误高漏低联机实时按时效性分类脱机非实时
数据挖掘与入侵检测技术
如上图所示,数据挖掘流程中,原始审计数据(RawAuditData)首先被处理成为ASCII码形式标识的网络数据包信息(NetworkPackets)或是主机事件数据(HostEvents),接着这些数据信息进一步被转换成为面向网络连接的记录(ConnectionRecords)或是面向主机会话的记录数据(HostSessionRecords)。
这些记录中包含许多连接/会话特征。
然后,将数据挖掘的算法应用到这些连接记录上,并计算出有用的数据模式(Patterns)。
接着,对这些数据进行分析,之后用来帮助提取连接记录中的其它有用特征(Features)。
最后,在确定了记录数据的特征集合后,应用数据挖掘中的分类算法,生成最终的检测模型(Models)。
整个数据挖掘在入侵检测应用流程中反复进行。
扩展阅读入侵检测与防火墙试卷复习题
防火墙部分
1、防火墙的配置中的三个基本原则
(1)简单实用对防火墙环境设计来讲,首要的就是越简单越好。
其实这也是任何事物的基本原则。
越简单的实现方式,越容易理解和使用。
而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。
(2)全面深入单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。
在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。
这方面可以体现在两个方面一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。
(3).内外兼顾防火墙的一个特点是防外不防内,其实在现实的网络环境中,80%以上的威胁都来自内部,所以我们要树立防内的观念,从根本上改变过去那种防外不防内的传统观念。
对内部威胁可以采取其它安全措施,比如入侵检测、主机防护、漏洞扫描、病毒查杀。
这方面体现在防火墙配置方面就是要引入全面防护的观念,最好能部署与上述内部防护手段一起联动的机制。
目前来说,要做到这一点比较困难。
2、防火墙的具体配置步骤
将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上。
打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。
运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在"附件"程序组中)。
对超级终端的配置与交换机或路由器的配置一样,参见本教程前面有关介绍。
当PIX防火墙进入系统后即显示"pixfirewall>"的提示符,这就证明防火墙已启动成功,所进入的是防火墙用户模式。
可以进行进一步的配置了。
输入命令enable,进入特权用户模式,此时系统提示为pixfirewall#。
输入命令configureterminal,进入全局配置模式,对系统进行初始化设置。
(1).首先配置防火墙的网卡参数(以只有1个LAN和1个WAN接口的防火墙配置为例)
Interfaceethernet0auto#0号网卡系统自动分配为WAN网卡,"auto"选项为系统自适应网卡类型
Interfaceethernet1auto
(2).配置防火墙内、外部网卡的IP地址
IPaddressinsideip_addressnetmask#Inside代表内部网卡IPaddressoutsideip_addressnetmask#outside代表外部网卡(3).指定外部网卡的IP地址范围global1ip_address-ip_address(4).指定要进行转换的内部地址nat1ip_addressnetmask(5).配置某些控制选项
conduitglobal_ipport[-port]protocolforeign_ip[netmask]
其中,global_ip指的是要控制的地址;port指的是所作用的端口,0代表所有端口;protocol指的是连接协议,比如TCP、UDP等;foreign_ip表示可访问的global_ip外部IP地址;netmask为可选项,代表要控制的子网掩码。
配置保存wrmem退出当前模式
查看当前用户模式下的所有可用命令show,在相应用户模式下键入这个命令后,即显示出当前所有可用的命令及简单功能描述。
10.查看端口状态showinterface,这个命令需在特权用户模式下执行,执行后即显示出防火墙所有接口配置情况。
1查看静态地址映射:
showstatic,这个命令也须在特权用户模式下执行,执行后显示防火墙的当前静态地址映射情况。
3、配置访问列表
所用配置命令为access-list,合格格式比较复杂。
它是防火墙的主要配置部分,上述格式中带"[]"部分是可选项,listnumber参数是规则号,标准规则号(listnumber1)是1~99之间的整数,而扩展规则号(listnumber2)是100~199之间的整数。
它主要是通过访问权限"permit"和"deny"来指定的,网络协议一般有IPTCPUDPICMP等等。
如只允许访问通过防火墙对主机:
220.1520.254进行www访问。
其中的100表示访问规则号,根据当前已配置的规则条数来确定,不能与原来规则的重复,也必须是正整数。
4、地址转换(NAT)
防火墙的NAT配置与路由器的NAT配置基本一样,首先也必须定义供NAT转换的内部IP地址组,接着定义内部网段。
定义供NAT转换的内部地址组的命令是nat,它的格式为nat[(if_name)]nat_idlocal_ip[netmask[max_conns[em_limit]]],其中if_name为接口名;nat_id参数代表内部地址组号;而local_ip为本地网络地址;netmask为子网掩码;max_conns为此接口上所允许的最大TCP连接数,默认为"0",表示不限制连接;em_limit为允许从此端口发出的连接数,默认也为"0",即不限制。
表示把所有网络地址为10.0,子网掩码为2525250的主机地址定义为1号NAT地址组。
随后再定义内部地址转换后可用的外部地址池,它所用的命令为global,基本命令格式为
global[(if_name)]nat_idglobal_ip[netmask[max_conns[em_limit]]],各参数解释同上。
如
global(outside)1173-1764netmask2525250
将上述nat命令所定的内部IP地址组转换成173~1764的外部地址池中的外部IP地址,其子网掩耳盗铃码为2525250。
入侵检测部分
1、RG-IDS帐户管理
(1)原理用户管理承担着系统认证中心的角色。
用户登录时认证中心对用户名、密码做认证,如果有绑定设置则根据其绑定方式(静态绑定、动态绑定)对用户做绑定处理。
此外,在认证登录用户时,如果某个用户从相同的IP(隐含的动态绑定)重复多次登录尝试,则将该用户视为可疑用户,认证中心会将该用户锁定,同时发送审计事件通知用户管理员(触发锁定的登录尝试次数可以用户管理员在创建时指定)。
用户管理还具有添加、删除用户和修改用户信息,并且可以为不同的用户分配权限。
不同角色的用户具有不同的权限,每一种用户都不能越权操作。
(2)实验步骤
第一步用户管理员登录
使用的默认的“Admin”帐号登录系统(默认安装时用户“Admin”的密码为“Admin”,强烈建议用户管理员第一次登录后修改该密码)。
第二步用户查看
查看用户列表里各用户的状态。
第三步新建一个用户
在“用户属性配置“窗口添加该用户的基本信息以及给该用户分配权限。
第四步验证该用户
用新建的用户登录系统。
第五步验证管理权限
用户可以查看本系统的策略。
2、RG-IDS策略管理
(1)原理传感器使用策略来控制其所监测的内容,并对监测到的事件作出响应。
您可以使用系统管理平台所附带的预定义策略,也可以从预定义策略派生新的策略。
预定义策略分别侧重于用户所关心的各种层面,用户可选择适合自己的预定义策略直接应用。
考虑到用户的不同需求,系统管理平台提供了用户自定义策略的功能。
用户可以从预定义策略派生新的策略并且对新策略进行编辑,用户还可对其关心的部分攻击签名进行微调,以便更符合用户的需要。
在策略管理中,用户需要配置安全事件的响应方式。
这些响应方式包括Console显示、WriteDB、SNMPTrap、E-mail、OPSEC以及用户自定义响应。
其中除Console显示和WriteDB不需要配置,其他响应方式均需要做相应的配置工作
(2)实验步骤
第一步策略编辑界面浏览
点击主界面上的“策略”按钮,切换到策略编辑器界面,策略编辑器的窗口分为四个区域。
通过“策略编辑器”窗口,可以新建、派生、修改、删除、查看、导入和导出策略。
第二步派生新策略
在策略模板区域选中一个预定义策略AttackDetector,右键单击该策略,在出现的菜单中选择“派生策略”。
第三步策略编辑
策略中可以选择用户所关注的事件签名进行检测,编辑策略的步骤如下
1)点击一个自定义策略。
2)点击“编辑锁定”以确保其他人不能同时更改策略。
3)在攻击签名窗口展开攻击签名。
4)“选中”或“取消选中”攻击签名。
5)为攻击签名选择响应方式。
6)点击“保存策略”。
第四步策略锁定和解除策略锁定
锁定策略时,在策略管理窗口点击快捷按钮“编辑锁定”,策略管理窗口被锁定。
当多用户同时登录控制台时,当前用户可以编辑策略,其他用户不能修改。
接触策略锁定时,在策略管理窗口点击快捷按钮“解除锁定”,编辑权限被释放,当多用户同时登录控制台时,允许其他某个用户编辑策略。
第五步导出策略
右键点击一个策略,选择“导出策略”。
第六步导入策略
右键点击某个策略,选择“导入策略”。
第七步策略应用
打开“组件”,在EC引擎上点击右键,选择“应用策略”。
3、配置交换机端口镜像
(1)原理交换机的端口镜像特性可以允许管理员对网络中的特定流量进行镜像分析。
即在交换机上,对特定流量进行复制并发送到指定端口。
(2)实验步骤
第一步定义需要镜像的特定流量第二步配置镜像流量的流出端口第三步验证测试
4、端口扫描攻击检测
(1)原理端口扫描向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应。
通过分析响应来判断服务端口是打开还是关闭,就可以得知端口提供的服务或信息。
端口扫描也可以通过捕获本地主机或服务器的流入流出IP数据包来监视本地主机的运行情况,它仅能对接收到的数据进行分析,帮助我们发现目标主机的某些内在的弱点,而不会提供进入一个系统的详细步骤。
端口扫描技术行为作为恶意攻击的前奏,严重威胁用户的网络,RG-IDS通过扫描的行为特征准确的识别出恶意的扫描行为,并及时通知管理员。
本实验通过攻击者常用的portscan12端口扫描工具进行端口扫描攻击,检验RG-IDS对端口扫描攻击的检测能力。
(2)实验步骤第一步策略编辑
点击主界面上的“策略”按钮,切换到策略编辑器界面,从现有的策略模板中生成一个新的策略。
新的策略中选择“tcp:
portscan”签名,并将策略下发到引擎。
第二步实施攻击
启动端口扫描攻击程序。
第三步查看警报
进入RG-IDS控制台,通过“安全事件”组件,查看IDS检测的安全事件信息
5、DoS攻击检测
(1)原理WebDoS主要是用来攻击Web页面。
攻击者向目标主机上开销比较大的CGI页面发起HTTP请求,造成目标主机拒绝服务。
攻击者模拟多个用户(多少线程就是多少用户)不停地进行访问,访问那些需要大量数据操作,即需要消耗大量CPU资源的页面。
这种攻击和正常的Web访问很类似,因此攻击者可以很好地隐藏自己,也可以绕开防火墙。
WebCC攻击方法较为简单,易被黑客所掌握。
因此此类攻击严重威胁用户的正常的Web资源,RG-IDS通过行为特征准确地识别出恶意的行为,并及时产生告警。
(2)实验步骤
第一步搭建Web服务器
将Webserverv1exe工具拷贝到被攻击机171125中,并运行该软件,使被攻击机不用做任何配置即可当做一台简易的Web服务器。
第二步策略编辑
点击主界面上的“策略”按钮,切换到策略编辑器界
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵 检测 复习 重点