网络攻防技术第12章网络安全监控.pptx-淘文阁

资源描述

《网络攻防技术第12章网络安全监控.pptx》由会员分享，可在线阅读，更多相关《网络攻防技术第12章网络安全监控.pptx（112页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第十二章网络安全监控目录l 12.1 网络安全监控概述l 12.2 入侵检测系统l 12.3 蜜罐l 12.4 沙箱12.1 网络安全监控概述ll NSM 概念ll NSM 背景和意义ll NSM 发展历程ll NSM 作用机制ll NSM 工作特征ll NSM 技术体系ll NSM 部署网络攻防的非对称博弈l l工作量不工作量不对对称称l l 攻攻击击方：夜深人静方：夜深人静,攻其弱点攻其弱点l l 防守方：防守方：全天候全天候全面防全面防护护l l信息不信息不对对称称l l 攻攻击击方：通方：通过过网网络扫络扫描、探描、探测测、踩踩

2、点点对对攻攻击击目目标标全全面了解面了解l l 防守方：防守方：对对攻攻击击方一无所知方一无所知l l后果不后果不对对称称l l 攻攻击击方：任方：任务务失失败败，极少受到，极少受到损损失失l l 防守方：安全策略被破坏，利益受防守方：安全策略被破坏，利益受损损网络安全监控概念l l网网络络安全安全监监控（控（Network Security MonitoringNetwork Security Monitoring，NSMNSM）l l通通过对过对网网络络安全状安全状态进态进行行动态动态、持、持续续的的监监控，控，

3、及早及早发现为发现为了安全威了安全威胁胁与内在与内在隐隐患，有效遏止患，有效遏止和阻断攻和阻断攻击击，最大限度降低威，最大限度降低威胁胁程度并减少危程度并减少危害害损损失。失。NSM 背景ll 2002 年有理查德贝杰提出，定义为“关于收集、分析和增强预警以检测和响应入侵的技术”ll 基于两个根本性假设l l安全漏洞不可避免安全漏洞不可避免l l网网络预络预防防终终究失效究失效NSM 意义ll 确保网络信息系统安全运行ll 防止攻击者实施渗透、破坏和信息窃取ll 进行信息收集、事件分析ll 为网络安全应急处理提供决策依据NSM 发展历程l l NSM NSM 最早起源于入侵最早起源于入侵

4、检测检测l l 1998 1998 年美国空年美国空军计军计算机算机应应急响急响应应小小组组（AFCERT AFCERT）部署）部署了第一个了第一个监监控网控网络络流量的入侵流量的入侵检测检测系系统统网网络络安全安全监监控器（控器（NSM NSM）l l 1993 1993 年年AFCERT AFCERT 在在NSM NSM 基基础础上升上升级级部署了自部署了自动动化安全化安全事件事件评评估系估系统统（ASIM ASIM）l l 网网络络安全安全监监控逐步由

5、被控逐步由被动变为动变为主主动动，采用蜜罐，采用蜜罐（Honeypot Honeypot）、沙箱（）、沙箱（Sand Box Sand Box）等欺）等欺骗骗式防御技式防御技术术。l l 趋势趋势：更加关注高：更加关注高级态势级态势感知的情感知的情报报需求需求NSM 作用机制NSM NSM 部署网部署网络传络传感器，以整合有效的安全策略感器，以整合有效的安全策略为为基基础础，处处理分析收集到的信息，理分析收集到的信息，为检测为检测和入侵响和入侵响应应提供依据。提供依据。NSM 工作特征ll 聚焦检测响应l l 聚焦

6、于事中聚焦于事中检测检测和及和及时时响响应应，及，及时发现时发现和阻断攻和阻断攻击链击链ll 以威胁为中心l l 以潜在的威以潜在的威胁为线胁为线索，索，优优化数据收集和分析，提高攻化数据收集和分析，提高攻击现场击现场的的还还原能力原能力ll 注重情报使能l l 通通过过学学习积习积累形成关于特定攻累形成关于特定攻击击者的网者的网络络“轮轮廓廓”l l 基于信誉度基于信誉度检测检测，提高效率，提高效率NSM 技术体系ll 主要包括规划、收集、检测和分析ll 主要任务：制定网络安全监控方案ll

7、从安全需求分析开始，始终围绕“威胁”ll 步骤：l l威威胁胁建模建模l l量化量化风险风险l l确定数据源确定数据源l l细细化重点化重点NSM 技术体系规划NSM 技术体系收集ll NSM 的可靠性和准确依赖于数据的可靠性和完备性ll 传感器实现数据收集ll 数据类型丰富l l网网络络流量数据流量数据l 会话数据/全包捕获数据/包字符串数据l l日志数据日志数据l l告警数据告警数据会话数据ll 两个网络节点之间的通信记录ll 包括协议、源和目的IP 地址、源和目的端口、通信开始和结束的时间戳、通信的数据量等ll 会话数据体量小、使用灵活，适合大规模存储，保存时间长ll 方便快速梳理和解

8、析，常用于事后统计和分析。全包捕获数据ll 完整地记录了两个网络节点之间传输的每一个数据包，PCAP 数据格式ll 细粒度的且高价值的信息，常用于取证和上下文分析ll 数据体量太大，所需存储成本过高，不适合长期存储；ll 完整数据包不方便快速审计，解析难度也较大。包字符串数据ll 介于全包捕获数据和会话数据之间ll 根据自定义的数据格式从全包捕获数据中导出ll 解决了全包捕获数据对存储空间要求过高，而会话数据粒度不够、缺乏详细信息等问题ll 容易存储管理、分析统计。日志数据ll 充分利用系统和应用程序日志文件信息ll 源自设备、系统或应用的原始日志文件ll 通常包括：Web 代理日志、防火墙日

9、志、操作系统安全日志和系统登录日志等ll 记录用户认证与授权、用户登录、网络访问、文件读取等各种网络和系统行为告警数据ll 由检测工具依据配置规则在检查中所生成的告警报警记录和说明ll 告警数据反映了网络或系统的异常l l例如，系例如，系统统目目录录和文件的非期望和文件的非期望改改变变，替，替换换动态链动态链接接库库等系等系统统程序或修改系程序或修改系统统日志文件日志文件。ll 告警数据本身体量非常小，通常仅包含指向其他数据的指针，常用于分析。数据收集ll 传感器实现：软件/硬件。ll 网络流量数据：流量镜像/网络分流器l l流量流量镜镜像的方式不会影响正常像的方式不会影响正常通信通信l l网

10、网络络分流器通常分流器通常接在路由器和交接在路由器和交换换机之机之间间，专专用用的硬件的硬件设计设计，较较高高的性能和可靠性的性能和可靠性。ll 日志数据:目标主机上运行代理程序,获取主机的审计数据、系统日志、应用程序日志等。NSM 技术体系检测ll 是指以网络流量、日志和审计信息为数据源，对网络实时连接和主机文件等进行检测，发现可疑事件并作出告警。ll 告警信息是检测的重要检测结果ll 入侵检测系统（IDS）进行检测l l误误用用检测检测（特征（特征检测检测）l l异常异常检测检测误用检测（特征检测）l 发展相对成熟，最早且最广泛的检测技术l 假设：l 所有入侵行为都有可被检测到的特征l 工

11、作原理：l 对入侵行为的特征进行描述，在收集的数据中如果找到符合特征描述的行为，则视之为入侵误用检测（特征检测）l 特征类型分类l 主机/网络l 稳定/可变l 原子/可计算l 特征构成了误用模式数据库（特征库）l 误用检测的性能很大程度上依赖于特征库的质量误用检测（特征检测）l 特征类型分类l 主机/网络l 稳定/可变l 原子/可计算l 特征构成了误用模式数据库（特征库）l 误用检测的性能很大程度上依赖于特征库的质量误用检测（特征检测）l 公开信誉度列表是由开源社区志愿者支持维护的关于互联网恶意行为的信息列表l 主要收录恶意域名、可疑IP 地址、恶意程序签名等l 知名的公开信誉度列表有：恶意软

12、件域名列表MDL、ZeuS 和SpyEye 追踪器、PhishTank，垃圾邮件IP 地址封堵名单Spamhaus，MalCode 数据库等。误用检测（特征检测）l 误用检测的误报率较低l 只需收集相关的数据集合，减少系统负担，且技术已相当成熟。l 误用检测的漏报率较高l 仅仅刻画已知的入侵和系统误用模式，因此该技术不能检测出未知的入侵l 在模式匹配基础上增加了协议分析技术，以提高误用检测的性能。异常检测l 假设：入侵者的行为与正常用户的行为不同，利用这些不同可以检测入侵行为。l 工作原理是是对正常行为建模，在对网络流量或事件监测时，所有不符合常规行为模型的事件就被怀疑为攻击。l 利用统计分析

13、和预测等方法检测入侵l 轮廓（Profile）：定义出各种行为参数及其属性值的集合，描述正常行为。异常检测ll 异常检测具有更强的针对未知网络攻击的检测发现能力，但技术实现的难度也更大。ll 异常检测技术的误报率比较高，而误用检测技术误报率比较低。ll 新的区分方法l l基于基于模式模式预测预测的的方法方法l l基于基于机器学机器学习习的的方法方法l l基于基于数据挖掘的数据挖掘的方法方法l lNSM 技术体系分析ll 对提交的告警信息进行识别、验证和确认ll 分析技术：l l数据包分析：数据包分析：纵纵向分析向分析/关关联联性分析性分析l l数字取数字取证证：内存数据：内存数据/硬硬盘盘数据

14、数据/IDS/IDS记录记录l l程序行程序行为为分析：沙箱分析：沙箱ll 工具WWiresharkireshark、RedlineRedline、Net Treat AnalyzerNet Treat Analyzer、WalleyeWalleye等等NSM 技术体系分析ll 对提交的告警信息进行识别、验证和确认ll 帮助确定某个恶意行为在整个安全事件中的作用和发生时机ll 分析技术：l l数据包分析：数据包分析：纵纵向分析向分析/关关联联性分析性分析l l数字取数字取证证：内存数据：内存数据/硬硬盘盘数据数据/IDS/IDS记录记录l l程序行程序行为为分析：沙箱分析：沙箱数据包分析ll

15、根据告警信息对数据包进行细致的分析和解读，以实现对告警信息的验证和潜在攻击线索ll 纵向分析：严格按照协议层次和格式，对封装的数据包进行拆分和解析。ll 关联性分析：对各类信息进行关联和综合，从而对网络事件进行判断，帮助甄别误报或查找漏报。数字取证l 源自于计算机取证l 主要关注计算机内存、硬盘数据以及入侵检测系统的工作记录、系统审计记录、操作系统日志记录和反病毒软件日志记录等l 分为l 内存数据取证l 硬盘数据取证l 网络取证数字取证内存数据l 从内存中提取与攻击相关的数据信息。l 主要包括：l 进程控制块和线程控制块l 恶意程序内存数据l 网络和文件操作对象l 加密口令信息l 硬件和软件的

16、配置信息l 一般通过工具或者dump 文件来获取数字取证硬盘数据l 从硬盘中提取与文件和文件系统有关的数据信息l 对读取的原始磁盘数据依照文件和文件系统格式进行文件恢复，甚至对已经遭到破坏的文件和文件碎片进行修复还原。l 相关技术：痕迹检测、相关性分析、高效搜索算法、完整性校验算法和数据挖掘算法等数字取证网络取证l 分析捕获数据来了解攻击新工具和新方法l 主要包括：l 网络协议分析l 网络行为分析l 攻击特征分析l 程序行为分析l 一般利用沙箱对恶意程序的运行情况进行跟踪分析l 分析对象l 文件操作l 注册表操作l 进程/线程操作l 网络行为l 内核加载操作NSM 部署ll 部署时重点考虑数据

17、来源的可靠性与完备性ll 数据来源：主机、网络和蜜罐ll 基于网络的IDS 通过传感器收集网络流量l l传传感器独立的感器独立的检测检测引擎引擎l l共享介共享介质环质环境：任意位置接入境：任意位置接入l l交交换环换环境：交境：交换换机机设设置端口置端口镜镜像像NSM 部署共享介共享介质环质环境：任意位置接入境：任意位置接入NSM 部署交交换环换环境：交境：交换换机机设设置端口置端口镜镜像像12.2 入侵检测系统ll IDS 概念ll IDS 背景ll IDS 发展ll IDS 分类ll IDS 实例：Snort入侵检测l l入侵入侵检测检测系系统统（Intrusion Detection

18、Intrusion Detection SystemsSystems，IDSIDS），是），是NSMNSM核心技核心技术术之一之一l l对对系系统统、应应用程序的日志以及网用程序的日志以及网络络数据流量数据流量进进行主行主动监动监控的主控的主动动防御技防御技术术背景ll 美国国家标准与技术研究院（NIST）：l l 入侵是指入侵是指试图试图破坏破坏计计算机或网算机或网络络系系统统的机密性，完的机密性，完整性、可用性或者企整性、可用性或者企图绕过图绕过系系统统安全机制的行安全机制的行为为。ll 1980 年，J.Anderson 将入侵者分

19、为三类：l l假冒者：未假冒者：未经经授授权权/冒用合法冒用合法账户账户l l违违法者：越法者：越权权操作操作l l秘密用秘密用户户：绕过访问绕过访问控制、逃避控制、逃避审计审计背景ll 入侵检测核心任务l l收集和分析收集和分析计计算机网算机网络络或或计计算机系算机系统统中关中关键键点信息，点信息，发现发现网网络络或系或系统统中的中的违违反安全策略反安全策略行行为为和被攻和被攻击击迹象迹象ll 对网络性能影响较小ll 对内外攻击和误操作提供实时保护ll 扩展系统管理员安全管理能力IDS 存在与发展的必然性ll 网络攻击的破坏性、损失的严重性ll 日益增长的网络安全威胁ll 单纯的防火墙无法防

20、范复杂多变的攻击IDS 发展l l19871987年年DenningDenning最早提出入侵最早提出入侵检测检测模型模型l lTeresaTeresa改改进进并提出了入侵并提出了入侵检测专检测专家系家系统统（Intrusion Detection Expert System Intrusion Detection Expert System IDESIDES）l l 检测单检测单一主机的入侵一主机的入侵l l 根据主机系根据主机系统审计记录统审计记录数据数据IDS 发展l l在在DARPADARPA支持下，加州大学戴支持下，加州大学戴维维斯分校安全斯分校安全实实验验室提出入侵

21、室提出入侵检测检测框架模型（框架模型（CIDFCIDF）l l 主要工作：体系主要工作：体系结结构、通信体制、描述构、通信体制、描述语语言、言、应应用用程序接口（程序接口（API API）l l 构成：事件构成：事件发发生器、事件分析器、响生器、事件分析器、响应单应单元、事件元、事件数据数据库库IDS 运作流程IDS 分类（按数据来源）ll 基于主机的IDSl l监视监视和分析主机的和分析主机的审计记录审计记录和日志文件和日志文件l l保保护护运行关运行关键应键应用的服用的服务务器器ll 基于网络的IDSl l监监听网听网络络上的所有分上的所有分组

22、组l l实时监实时监控网控网络络上的关上的关键键路径，影响小路径，影响小ll 混合型IDSl l主机主机+网网络络，互，互补补保保护护系系统统NIDS 和HIDS 比较基于主机的IDSInternetDesktops DesktopsWeb Servers Web ServersTelecommuters TelecommutersCustomers CustomersServers ServersNetwork NetworkBranch Office Branch OfficePartners PartnersHackerHost-based IDS Host-based IDS基于主机入

23、侵检测系统工作原理Internet Internet网络服务器1客户端网络服务器2X检测内容：l 系统调用l 端口调用l 系统日志l 安全审记l 应用日志HIDS HIDSXHIDS HIDS基于网络的IDSInternetDesktops DesktopsWeb Servers Web ServersTelecommuters TelecommutersCustomers CustomersServers ServersNetwork NetworkBranch Office Branch OfficePartners PartnersNetwork-based IDS Network-ba

24、sed IDSNetwork-based IDS Network-based IDSNetwork-based IDS Network-based IDS基于网络入侵检测系统工作原理网络服务器2Internet InternetNIDS NIDS网络服务器1数据包=包头信息+有效数据部分客户端X检测内容：包头信息+有效数据部分IDS 分类（根据方法分类）ll 异常检测l l定量的方式描述行定量的方式描述行为为特征特征l l对对正常行正常行为为建模，和用建模，和用户户行行为进为进行比行比较较，区，区分非正常入侵行分非正常入侵行为为ll 误用检测l l基于已知系基于已知系统统缺陷和入侵模式特征缺陷

25、和入侵模式特征l l对对不正常行不正常行为为建模，建模，发现发现与攻与攻击击特征相匹配特征相匹配的事件的事件activity measuresprobable intrusion异常检测模型IDS 分类（根据体系结构）ll 集中式IDSl l 多个分布在不同主机的多个分布在不同主机的审计审计程序和一个中央程序和一个中央IDS IDS 服服务务ll 等级式IDSl l 监监控区域分控区域分级级，分，分级监级监控，控，结结果上果上传传l l 汇总汇总机制随网机制随网络络拓扑改拓扑改变变而改而改变变ll 分布式（协作式）IDSl l

26、中央中央检测检测服服务务器的任器的任务务下分下分给给多个基于主机的多个基于主机的IDS IDS，不分等不分等级级l l 对对共享数据量要求低，可伸共享数据量要求低，可伸缩缩性，安全性提高性，安全性提高l l 系系统设计统设计复复杂杂，主机工作，主机工作负负荷增加荷增加分布式入侵检测系统结构实例：Snortll 开源、轻量级网络入侵检测系统ll 基于模式匹配的误用检测模型实例：Snortll 功能：l l数据包数据包审计审计l l协议协议分析分析l l检测检测入侵和探入侵和探测测行行为为ll 三种应用模式l l包嗅探包嗅探l l网网络络流量分析与流量分析与诊诊断的断的IPIP包包记录记录l l完整功能的入侵完整功能的入侵检测检测系系统统ll 扩展性良好l l预处预处理插件理插件l l插件插件l l输输出插件出插件实例：Snortll 运行流程与插件实例：Snort12.3 蜜罐技术ll 蜜罐的背景和概念ll 蜜罐技术发展ll 蜜罐的安全价值ll 蜜罐分类ll 蜜罐技术原理ll 实例：Honeyd、Honeynet、蜜场

展开阅读全文

网络攻防技术 第12章 网络安全监控.pptx

网络攻防技术第12章网络安全监控.pptx