《第7章2入侵检测相关.ppt》由会员分享,可在线阅读,更多相关《第7章2入侵检测相关.ppt(54页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、7.7计算机取证7.8 蜜罐7.9 IPS7.10 UTM入侵检测相关技术目标理解进行计算机取证的原因,掌握计算机取证的概理解进行计算机取证的原因,掌握计算机取证的概念。念。掌握计算机取证关键技术,包括电子证据获取技术、掌握计算机取证关键技术,包括电子证据获取技术、保全技术、分析技术和鉴定技术。保全技术、分析技术和鉴定技术。了解了一些计算机取证工具,了解计算机反取证技了解了一些计算机取证工具,了解计算机反取证技术,包括数据擦除、数据隐藏和数据加密以及计术,包括数据擦除、数据隐藏和数据加密以及计算机反取证工具。算机反取证工具。理解蜜罐的原理。理解蜜罐的原理。了解了解IPS、UTM等概念。等概念。
2、27.7.1 计算机取证概述计算机取证概述利用计算机进行犯罪的两种方式:利用计算机进行犯罪的两种方式:一是利用计算机一是利用计算机 存储有关犯罪活动的信息;存储有关犯罪活动的信息;二是直接利用计算机作为犯罪工具进行犯罪活二是直接利用计算机作为犯罪工具进行犯罪活动。包括入侵。动。包括入侵。计算机取证计算机取证 计算机取证又称为数字取证或电子取计算机取证又称为数字取证或电子取证,是指对计算机入侵、破坏、欺诈、攻证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保照符合法律规范的方式进行证据获取、保存、分析和
3、出示的过程。存、分析和出示的过程。 从技术上,计算机取证是一个对受侵从技术上,计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事计算机系统进行扫描和破解,以对入侵事件进行重建的过程。件进行重建的过程。7.7.1 计算机取证概述计算机取证概述电子证据的来源电子证据的来源:u 系统日志,系统日志,IDS、防火墙、防火墙、ftp、wwwu 反病毒软件日志,系统的审计记录反病毒软件日志,系统的审计记录(Audit trails)u 网络监控流量网络监控流量(Network monitor traffic),E-mailu 操作系统和数据库的临时文件或隐藏文件操作系统和数据库的临时文件或隐藏文件
4、u数据库的操作记录,硬盘驱动的交换数据库的操作记录,硬盘驱动的交换u(swap)分区、分区、slack区和空闲区区和空闲区u软件设置,完成特定功能的脚本文件软件设置,完成特定功能的脚本文件uWeb浏览器数据缓冲,书签浏览器数据缓冲,书签u历史记录或会话日志、实时聊天记录历史记录或会话日志、实时聊天记录u电子邮件、电子通讯电子邮件、电子通讯等等等等7.7.1 计算机取证概述计算机取证概述电子证据的来源还有:67.7.3 计算机取证技术1 计算机证据获取技术计算机证据获取技术 当前的计算机取证软件的主要功能是文件信当前的计算机取证软件的主要功能是文件信息获取和数据恢复。包括现有文件和已删文件的息获
5、取和数据恢复。包括现有文件和已删文件的恢复。恢复。 网络监听。网络监听。 例如,例如,在在UNIX 环境下删除一个文件环境下删除一个文件的过程很简单,即首先把索引节点和的过程很简单,即首先把索引节点和文件所占用的数据分组的状态信息标文件所占用的数据分组的状态信息标记为空闲,然后增大目录文件中相应记为空闲,然后增大目录文件中相应的目录项的前一项中记录项长度的值,的目录项的前一项中记录项长度的值,绕过对被删除目录项的访问。绕过对被删除目录项的访问。 下下图 表示的是删除一个文件对应的目录项之后的情形。 正是由于文件系统的上述特点,所以在计算机的硬盘中会留下大量记录着在计算机的硬盘中会留下大量记录着
6、过去曾经发生过的文件操作的信息过去曾经发生过的文件操作的信息。当前取证软件的作用就是收集和分析这些残存信息。取证软件可以从目录文件中找到被删除的目录项,从中恢复出过去存在过的文件的名字,还可以从索引节点中得到有关文件的信息 EnCase是目前使用最为广泛的计算机取证工具,至少超过2000家的法律执行部门在使用它。 它能调查它能调查Windows、Macintosh、Linux、 UNIX或或DOS机器的硬盘,把硬盘中的文件镜像成只读的机器的硬盘,把硬盘中的文件镜像成只读的证据文件,这样可以防止调查人员修改数据而使其证据文件,这样可以防止调查人员修改数据而使其成为无效的证据;成为无效的证据; 为
7、了确定镜像数据与原始数据相同,为了确定镜像数据与原始数据相同,EnCase会计会计算算CRC校验码并和校验码并和MD5哈希(哈希(Hash)值进行比较。)值进行比较。 EnCase对硬盘驱动镜像后重新组织文件结构,采对硬盘驱动镜像后重新组织文件结构,采用用Windows GUI显示文件的内容,允许调查员使用显示文件的内容,允许调查员使用多个工具完成多个任务。多个工具完成多个任务。证据获取技术包括:证据获取技术包括: 对计算机系统和文件的安全获取技术;对计算机系统和文件的安全获取技术; 避免对原始介质进行任何破坏和干扰;避免对原始介质进行任何破坏和干扰; 对数据和软件的安全搜集技术;对数据和软件
8、的安全搜集技术; 对磁盘或其它存储介质的安全无损伤备份技术;对磁盘或其它存储介质的安全无损伤备份技术;对已删除文件的恢复、重建技术;对已删除文件的恢复、重建技术;对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术;对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术;对交换文件、缓存文件、临时文件中包含的信息的复原技术;对交换文件、缓存文件、临时文件中包含的信息的复原技术;计算机在某一特定时刻活动内存中的数据的搜集技术;计算机在某一特定时刻活动内存中的数据的搜集技术;网络流动数据的获取技术等。网络流动数据的获取技术等。 硬盘数据的获取硬盘数据的获取- 以FAT文件系统为例,数据文件写到基
9、于该系统的磁盘上以后,会在目录入口和FAT表(File Allocation Table文件分配表)中记录相应信息。当我们从磁盘上删除一个文件后,该文件在目录入口中的信息就被清除了,在FAT表中记录的该文件所占用的扇区也被标识为空闲。 事实上,这时保存在磁盘上的实际数据并未被真正清除;只有当其他文件写入,有可能使用该文件占用的扇区时(因为它们已被标识为空闲),该文件才会被真正覆盖掉。计算机及硬盘数据恢复原理 网络数据获取方法 通过使用通过使用Sniffer类型工具,如:类型工具,如:Windows平台上的平台上的sniffer工具:工具:netxray和和sniffer pro软件等,可以完成
10、网络数据软件等,可以完成网络数据获取。获取。 在在Linux平台下的平台下的TCPDump:根据使:根据使用者的定义可以完成对网络上的数据包截用者的定义可以完成对网络上的数据包截获工作。获工作。2. 电子证据数据保全技术主要包括: 数据加密技术数据加密技术 数字摘要技术数字摘要技术 数字签名技术数字签名技术 数字证书技术数字证书技术 完成取证获得的证据数据的安全完成取证获得的证据数据的安全性、完整性和不可抵赖性。性、完整性和不可抵赖性。3. 电子证据数据分析技术 证据数据分析技术又叫信息发现,在证据数据分析技术又叫信息发现,在已经获取的数据流或信息流中寻找、匹配已经获取的数据流或信息流中寻找、
11、匹配关键词或关键短语,是目前主要数据分析关键词或关键短语,是目前主要数据分析技术。具体包括:技术。具体包括: 文件属性分析技术;文件属性分析技术; 文件数字摘要分析技术;文件数字摘要分析技术; 日志分析技术;日志分析技术; 数据分析技术;数据分析技术; 根据已经获得的文件或数据的用词、语法和写作根据已经获得的文件或数据的用词、语法和写作(编程)风格,推断出其可能的作者的分析技术;(编程)风格,推断出其可能的作者的分析技术;发掘同一事件的不同证据间的联系的分析技术;发掘同一事件的不同证据间的联系的分析技术;数据解密技术;数据解密技术;密码破译技术;密码破译技术;对电子介质中的被保护信息的强行访问
12、技术等。对电子介质中的被保护信息的强行访问技术等。 (1) 电子证据数据分析技术(3) Windows系统中的证据分析(a) 登录审计记录的分析 WindowsNT/2000/XP的审计记的审计记录记录下了哪些用户从哪一台计算机录记录下了哪些用户从哪一台计算机(只记录计算机名)登录成功或失败,(只记录计算机名)登录成功或失败,记录创建用户以及用户权限修改的过记录创建用户以及用户权限修改的过程。程。 这个选项可以如下配置: 系统的控制面板系统的控制面板管理工具管理工具本地安本地安全设置全设置本地策略本地策略审核策略审核策略 遗 憾 的 是 , 在 系 统 默 认 的 情 况 下遗 憾 的 是 ,
13、 在 系 统 默 认 的 情 况 下Windows系统并不打开这些审计记录。系统并不打开这些审计记录。 为了便于分析审计记录,我们可以使为了便于分析审计记录,我们可以使用用ntlast(处可下处可下载)进行分析。载)进行分析。 ntlast操作命令如下:untlast s u Administrator n 10 作用:显示最后作用:显示最后10次次Administrator成功登录的记录。成功登录的记录。untlast f u Administrator n 10 作用:显示最后作用:显示最后10次次Administrator失败登录的记录。失败登录的记录。u ntlast n 50 作用:
14、显示最后作用:显示最后50次登录的情况。次登录的情况。u ntlast v 作用:详细显示登录的情况。作用:详细显示登录的情况。u ntlast f r n 50 作用:输出最近作用:输出最近50次远程错误登录记录。次远程错误登录记录。 注意:注意:Windows的审计记录中记录的审计记录中记录的是访问者的主机名,并没有记录其的是访问者的主机名,并没有记录其IP地地址。址。 我们可以用于核对调查的嫌疑系统是我们可以用于核对调查的嫌疑系统是否登录目标系统,也可以用于调查临近的否登录目标系统,也可以用于调查临近的计算机是否对目标系统做了扫描(因为临计算机是否对目标系统做了扫描(因为临近计算机的名字
15、可以得到)。近计算机的名字可以得到)。(b) Windows事件日志的分析Windows系统提供的事件日志包括:系统提供的事件日志包括: 应用程序日志应用程序日志 安全日志安全日志 系统日志。系统日志。 这些日志可以通过使用控制面板这些日志可以通过使用控制面板管理工具管理工具事件查看器查看。日志由类事件查看器查看。日志由类型、日期、时间、来源、分类、事件、型、日期、时间、来源、分类、事件、用户、计算机几项构成。用户、计算机几项构成。 (c) 注册表信息Windows系统在注册表中保存了丰富系统在注册表中保存了丰富的信息,包括内容如下:的信息,包括内容如下: 系统启动时自动启动的程序系统启动时自
16、动启动的程序 如果攻击者在目标系统上安装了如果攻击者在目标系统上安装了木马程序,多数木马程序是通过注册表木马程序,多数木马程序是通过注册表项启动的。常见的有:项启动的。常见的有:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中指明系统启动时自动启动的程序中指明系统启动时自动启动的程序HKEY_LOCAL_MACHINESOFTWAREMicrofsoftWindowsCurrentVersionRunOnce中指明下次启动时自动启动的程序;中指明下次启动时自动启动的程序;HKEY_CLASSES_ROOTtxtfilesh
17、ellopencommand中指明打开中指明打开.txt后缀的文后缀的文件时启动的程序,攻击者可能利用修改这件时启动的程序,攻击者可能利用修改这些默认的程序达到启动程序的目的;些默认的程序达到启动程序的目的;HKEY_LOCAL_MACHINESYSTEMControlSet001Services下面制定了各个系下面制定了各个系统服务应当启动的程序,攻击者可能将木统服务应当启动的程序,攻击者可能将木马程序设置为服务程序或者修改服务程序马程序设置为服务程序或者修改服务程序替换成木马。替换成木马。 系统最近登录的网站可以通过如下系统最近登录的网站可以通过如下命令查找:命令查找: HKEY_USER
18、S?SoftwareMicrosoftTerminal Server ClientDefault中包含系统最近使用终端服务登录过的中包含系统最近使用终端服务登录过的网站。网站。 要查看要查看IIS的日志需要调查者对该服的日志需要调查者对该服务的漏洞以及常见的攻击方法有一个基础务的漏洞以及常见的攻击方法有一个基础的了解。常见的可疑日志如下:的了解。常见的可疑日志如下: 缓冲区溢出攻击,一般在缓冲区溢出攻击,一般在IIS日志中日志中会留下一长串乱码;会留下一长串乱码; 利用脚本访问数据库存在的漏洞攻利用脚本访问数据库存在的漏洞攻击,一般在日志中会出现击,一般在日志中会出现SQL语句;语句; 利用利
19、用UNICODE/CGIDECODE等漏洞等漏洞攻击,一般会留下攻击,一般会留下/./等特征的字符串。等特征的字符串。 要分析这些日志,首先要对攻击要分析这些日志,首先要对攻击者攻击的事件进行初步了解,然后分析者攻击的事件进行初步了解,然后分析所提取的该时间前后的访问日志;其次所提取的该时间前后的访问日志;其次是要弄清目标系统的是要弄清目标系统的IIS服务存在哪些服务存在哪些漏洞,攻击者利用这些漏洞可能留下哪漏洞,攻击者利用这些漏洞可能留下哪些日志特征;第三才是根据这些特征进些日志特征;第三才是根据这些特征进行查找。行查找。3. 电子证据数据分析 电子数据主要包括两种类型,一种是电子数据主要包
20、括两种类型,一种是文件系统中所存在的本地数据或搜集来的网文件系统中所存在的本地数据或搜集来的网络数据,另一种是周边数据。络数据,另一种是周边数据。 而电子证据数据内容分析技术就是在而电子证据数据内容分析技术就是在通过这两种数据流或信息流中寻找、匹配关通过这两种数据流或信息流中寻找、匹配关键词或关键短语,以及对数据中包含的系统键词或关键短语,以及对数据中包含的系统曾进行的曾进行的Internet访问的访问的URL、Email交流交流的邮件地址进行基于模糊逻辑的分析来试图的邮件地址进行基于模糊逻辑的分析来试图发现电子证据与犯罪事实之间的客观联系。发现电子证据与犯罪事实之间的客观联系。 分析需要很深
21、的专业知识,应由专业分析需要很深的专业知识,应由专业的取证专家来分析电子证据。的取证专家来分析电子证据。 第一,做一系列的关键字搜索以获取最第一,做一系列的关键字搜索以获取最重要的信息。重要的信息。 第二,对文件属性、文件的数字摘要和第二,对文件属性、文件的数字摘要和日志进行分析。日志进行分析。 第三,评估第三,评估Windows交换文件,交换文件,file slack空间,未分配的磁盘空间。空间,未分配的磁盘空间。 第四,对电子证据做一些智能相关性的第四,对电子证据做一些智能相关性的分析。分析。 第五,取证专家完成电子证据的分析后第五,取证专家完成电子证据的分析后应给出专家证明应给出专家证明
22、4 电子证据数据鉴定技术与提交 电子证据数据鉴定技术包括:电子证据数据鉴定技术包括: 硬件来源硬件来源 软件来源软件来源 地址来源地址来源(1) 硬件来源鉴定 CPU:提取:提取CPU类型、序列号信息;类型、序列号信息; 存储设备:类型、存储设备:类型、ID; 网络设备:类型、网络设备:类型、IP地址、序列号等;地址、序列号等; 网络接口卡:类型、网络接口卡:类型、MAC地址;地址; 集线器、交换机、路由器:集线器、交换机、路由器:IP地址、物地址、物理地址、机器类型;理地址、机器类型; ATM交换机:交换机:IP地址、地址、ATM地址。地址。(2) 软件来源鉴定 根据文件扩展名、摘要、作者名
23、、软件根据文件扩展名、摘要、作者名、软件注册码判断数据来自某一个软件及其作者、注册码判断数据来自某一个软件及其作者、产生时间。鉴定时要考虑各种软件运行的动产生时间。鉴定时要考虑各种软件运行的动态特性。如表态特性。如表 所示。所示。被鉴定被鉴定软件软件静态特征静态特征运行中特征运行中特征运行后残留特征运行后残留特征MS Word摘要特征:原始作者、最后保存者、编辑时间、生成时间、修订号、公司名称 注册特征:每个office文档,都会包含类似标识信息如:S-1-5-21-1177238915-1202660629-842925246-1000 编辑文档时,证书信息如A3BDA6FB5D97F524
24、5AE8600E717538FB6FE19AE4、以及key信息如10371F0D906B55A54BE3AC5A833B8D3E132B466B将包含到文档中。当office产生错误时,除了在temp目录下产生tmp或tm0文件,还发送报错信息到系统日志。正常退出特征:用户所在目录的template下,存储本次文档编辑的一部份信息;在%user%目录下的Application Data- Microsoft-office存储了自装机以来历次的删除记录、文档原来所在的目录,文档名;在系统本身%systemroot%中,存在每个程序的使用记录。异常退出特征:缓存文件中存储一部分恢复信息。 通过使
25、用扫描与信息收集工具以及通过使用扫描与信息收集工具以及攻击工具,查找在主机或网络中的有害攻击工具,查找在主机或网络中的有害代码与操作中存在的具有某些特点,实代码与操作中存在的具有某些特点,实现软件鉴别。现软件鉴别。(3) IP地址来源鉴定 对于所搜集来的电子数据证据,需要对对于所搜集来的电子数据证据,需要对其源其源IP地址进行认定,从而更加有效地定位犯地址进行认定,从而更加有效地定位犯罪。罪。IP地址来源鉴定方法:地址来源鉴定方法: 利用源路由选项利用源路由选项 路由回溯法:(沿路由逆向逐站追溯源站)路由回溯法:(沿路由逆向逐站追溯源站) 传统传统DDoS调查方法调查方法 开发新取证协议:如开
26、发新取证协议:如Recursive session token protocol used in computer forensics and TCP traceback等。等。 计算机反取证就是删除或者隐藏入侵计算机反取证就是删除或者隐藏入侵证据使取证工作无效。它主要包括三类技证据使取证工作无效。它主要包括三类技术:术: 数据擦除数据擦除 数据隐藏:实现数据隐藏的方法有数据隐藏:实现数据隐藏的方法有很多,常用方法主要有:数据加密、更改很多,常用方法主要有:数据加密、更改文件的扩展名、隐写术、伪装夹带技术以文件的扩展名、隐写术、伪装夹带技术以及改变系统的运行环境等及改变系统的运行环境等 数据加
27、密。数据加密。有现成的软件可用。有现成的软件可用。7.7.4 计算机取证的困难计算机取证的困难 研究反取证技术,一方面研究反取证技术,一方面可以了解入侵者有哪些常用手可以了解入侵者有哪些常用手段用来掩盖甚至擦除入侵痕迹;段用来掩盖甚至擦除入侵痕迹;另一方面可以在了解这些手段另一方面可以在了解这些手段的基础上,开发出更加有效、的基础上,开发出更加有效、实用的计算机取证工具。实用的计算机取证工具。 “蜜网项目组蜜网项目组”(The Honeynet Project)的创始人)的创始人Lance Spitzner给出了对蜜罐的权威定义:蜜罐是一给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被
28、扫描、攻种安全资源,其价值在于被扫描、攻击和攻陷。击和攻陷。蜜罐的核心价值就在于对这些攻击活蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。动进行监视、检测和分析。7.8 蜜罐蜜罐7.8 蜜罐蜜罐1. Honeynet的设计方案的设计方案 设计一个有效的设计一个有效的Honeynet,要考虑以下四,要考虑以下四个关键因素:个关键因素:有效地收集尽可能多的入侵者信息及攻击行有效地收集尽可能多的入侵者信息及攻击行为数据;为数据;收集到的信息能存放在安全的地方;收集到的信息能存放在安全的地方;信息的收集过程不被入侵者发觉;信息的收集过程不被入侵者发觉;Honeynet中的计算机不能被入侵者作
29、为攻击中的计算机不能被入侵者作为攻击Honeynet外的计算机的跳板。外的计算机的跳板。7.8 蜜罐蜜罐首先要把首先要把Honeynet设置成一个末节网设置成一个末节网络(络(Stub Network),),在出口处放置一个防火墙就可以捕获所在出口处放置一个防火墙就可以捕获所有进出网络的数据包,有进出网络的数据包,在在Honeynet内部安全的地方放置一个内部安全的地方放置一个入侵检测系统,它的功能是捕获网内的所有入侵检测系统,它的功能是捕获网内的所有信息。信息。 同时,设置一台日志服务器(同时,设置一台日志服务器(Log Server),用于把),用于把Honeynet中机器的系统日中机器的
30、系统日志做实时备份,从而得知任一时刻志做实时备份,从而得知任一时刻Honeynet中的计算机系统内部所发生的事情。中的计算机系统内部所发生的事情。 7.8 蜜罐蜜罐 为了使防火墙和入侵检测系统对入侵者透明,为了使防火墙和入侵检测系统对入侵者透明,可以把入侵检测系统放在防火墙的停火区,再在可以把入侵检测系统放在防火墙的停火区,再在防火墙和防火墙和Honeynet之间加上一个路由器;在防之间加上一个路由器;在防火 墙 处 给火 墙 处 给 H o n e y n e t 中 的 主 机 开中 的 主 机 开设设5至至15个活动连接,还有在路由器处设置个活动连接,还有在路由器处设置访问控制表。基于以
31、上观点,访问控制表。基于以上观点,Honeynet的的设计方案如图设计方案如图 6 6所示。所示。7.8 蜜罐蜜罐Honeynet的一种设计方案的一种设计方案7.8 蜜罐蜜罐2. Honeynet所收集数据的分析所收集数据的分析和挖掘(基于和挖掘(基于Unix/Linux) 1)对日志服务器()对日志服务器(Log Server)数据的结构分析数据的结构分析 日志服务器记录了入侵者进入系日志服务器记录了入侵者进入系统的过程。日志服务器上的数据就是统的过程。日志服务器上的数据就是对入侵过程以及入侵者在入侵以后动对入侵过程以及入侵者在入侵以后动作的精确描述。作的精确描述。 7.8 蜜罐蜜罐 2)对
32、系统日志记录的标记和分类)对系统日志记录的标记和分类 对系统记录进行标记和分类,实对系统记录进行标记和分类,实质上是一个数据的清理和整理过程。质上是一个数据的清理和整理过程。系统日志是按时间顺序把系统中所发系统日志是按时间顺序把系统中所发生的事情记录下来的。生的事情记录下来的。 算法思路是对系统日志中的记录算法思路是对系统日志中的记录逐条进行扫描,然后进行分类。逐条进行扫描,然后进行分类。7.8 蜜罐蜜罐 3)行为集上的关联规则发现)行为集上的关联规则发现 核心是使用核心是使用Apriori算法对行为集进行数算法对行为集进行数据挖掘,以给定的支持度和信任度,找出一些据挖掘,以给定的支持度和信任
33、度,找出一些攻击的行为模式,模式以行为链表示,即:攻击的行为模式,模式以行为链表示,即:Action1Action2 Action3Target 从系统日志到行为集,算法思路是把所有从系统日志到行为集,算法思路是把所有的行为都计算在内,其中包括一些正常访问的的行为都计算在内,其中包括一些正常访问的行为,所以在使用行为,所以在使用Apriori算法之前要把这些算法之前要把这些行为先去掉。行为先去掉。7.9 入侵防护系统入侵防护系统(IPS) 入侵防护系统入侵防护系统(IPS)(IPS)是企业下一代安全系统的大趋势。它不是企业下一代安全系统的大趋势。它不仅可进行检测,还能在攻击造成损坏前阻断它们,
34、从而将仅可进行检测,还能在攻击造成损坏前阻断它们,从而将IDSIDS提升到一个新水平。提升到一个新水平。IDSIDS和和IPSIPS的明显区别在于:的明显区别在于:IPSIPS阻阻断了病毒,而断了病毒,而IDSIDS则在病毒爆发后进行病毒清除工作。则在病毒爆发后进行病毒清除工作。McAfeeMcAfee公司认为,一个理想的入侵防护解决方案应该包括公司认为,一个理想的入侵防护解决方案应该包括以下八大特点:以下八大特点: 1 1主动、实时预防攻击主动、实时预防攻击2 2补丁等待保护补丁等待保护3 3保护每个重要的服务器保护每个重要的服务器4 4签名和行为规则签名和行为规则6.6.深层防护深层防护6
35、 6可管理性可管理性7 7可扩展性可扩展性8 8经验证的防护技术经验证的防护技术7.9.入侵防护系统入侵防护系统(IPS) IPS让防火墙与让防火墙与IDS走向统一:走向统一:7.9 入侵防护系统入侵防护系统(IPS) 实现方式及其比较实现方式及其比较 (1) 基于硬件进行入侵检测的基于硬件进行入侵检测的IPS, 有很强的处有很强的处 理理速度,实现了千兆网络的线速检测,但检测能力速度,实现了千兆网络的线速检测,但检测能力有限,只能检测固化在硬件中有限的入侵,且可有限,只能检测固化在硬件中有限的入侵,且可扩展性差,无法进行系统扩展性差,无法进行系统 升级,进而不能面对新升级,进而不能面对新的攻
36、击形式。的攻击形式。 (2)基于软件进行入侵检测的)基于软件进行入侵检测的IPS,有很强的检,有很强的检测能力,对数据包能进行深度包检测,即第测能力,对数据包能进行深度包检测,即第7层层检测。并且有很好的检测。并且有很好的 可扩展性,能对入侵检测规可扩展性,能对入侵检测规则库进行升级,从而能应对新型入侵。然而,由则库进行升级,从而能应对新型入侵。然而,由于软件处理的速度有限,此类于软件处理的速度有限,此类IPS不能做到线速不能做到线速检检 测,无法应用在高速主干网络中。测,无法应用在高速主干网络中。7.10 UTM2004年年9月,月,IDC首度提出首度提出“统一威胁管理统一威胁管理”的概念,
37、的概念,即将防病毒、入侵检测和防火墙安全设备划归统一威即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理胁管理(Unified Threat Management,简称,简称UTM)新新类别。类别。 UTMUTM常定义为由硬件、软件和网络技术组成的具有常定义为由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,专门用途的设备,它主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。准的统一威胁管理平台。UTMUTM设备应该具备的基本功设备应该具备的基本功能包括网络防火墙、网络入侵
38、检测能包括网络防火墙、网络入侵检测/ /防御和网关防病防御和网关防病毒功能。毒功能。虽然虽然UTMUTM集成了多种功能,但却不一定要同时开启集成了多种功能,但却不一定要同时开启 7.1 0.1 UTM概念概念 7.10.1 UTM概念概念UTM功能功能 访问控制 防病毒 VPN邮件防护 防火墙IDS/IPS P2P识别流量整形 高可用性高可靠性 设备监控系统维护处理能力的分散处理能力的分散 网关防御的弊端网关防御的弊端 过度集成带来的风险过度集成带来的风险 整合所带来的成本降低整合所带来的成本降低 降低信息安全工作强度降低信息安全工作强度 降低技术复杂度降低技术复杂度 7.10.2 UTM的优
39、缺点的优缺点 通过部署通过部署“UTM安全网关安全网关”,可综合保障网络安,可综合保障网络安全,让信息网络不再漏洞百出。通过附加网络功全,让信息网络不再漏洞百出。通过附加网络功能提升网络资源利用率,真正做到一次投资,综能提升网络资源利用率,真正做到一次投资,综合见效。合见效。 “UTM安全网关安全网关”产品基于统一威胁管理目标设产品基于统一威胁管理目标设计,用于全方位解决企业综合网络安全问题。产计,用于全方位解决企业综合网络安全问题。产品提供全面的防火墙、病毒防护、入侵检测、入品提供全面的防火墙、病毒防护、入侵检测、入侵防护、恶意攻击防护,同时提供侵防护、恶意攻击防护,同时提供VPN和流量整和
40、流量整形功能,在综合安全防护基础上,提供附加网络形功能,在综合安全防护基础上,提供附加网络增值功能。产品内置负载均衡策略和双机热备模增值功能。产品内置负载均衡策略和双机热备模式支持,可长期稳定运行。式支持,可长期稳定运行。 7.10.3 UTM的应用的应用 小结小结计算机犯罪使公众蒙受重大损失,而打击计计算机犯罪使公众蒙受重大损失,而打击计算机犯罪的关键是找到充分、可靠、有说服算机犯罪的关键是找到充分、可靠、有说服力的电子证据。因此,计算机与法学的交叉力的电子证据。因此,计算机与法学的交叉学科学科“计算机取证计算机取证”受到了越来越多的关注。受到了越来越多的关注。 检测作为一种积极主动的安全防护技术,提检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应保护,在网络系统受到危害之前拦截和响应入侵。入侵。 入侵检测产品仍具有较大的发展空间,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。尤其是分布加强统计分析的相关技术研究。尤其是分布式、智能化和全面化三个方面。式、智能化和全面化三个方面。