8.6 检测技术
8.6.1 检测技术概述
8.6.2 入侵检测技术
8.6.3 漏洞扫描技术
8.6.4 入侵检测和漏洞扫描系统模型
8.6.5 检测产品的布署
8.6.6 入侵检测系统的新发展
第 8章 网络安全
8.6.1 检测技术概述
1,入侵检测
从计算机安全的目标来看,入侵 指企图破坏资源的完整性、保
密性、可用性的任何行为,也指违背系统安全策略的任何事件。
从入侵策略的角度看,入侵可分为 企图进入、冒充合法用户、成
功闯入等方面。 入侵者 一般称为黑客或解密高手。 Anderson把入
侵者分为 伪装者、违法者和秘密用户 3类。
入侵检测 指对计算机和网络资源的恶意使用行为进行识别和响
应的处理过程。它不仅检测来自外部的入侵行为,同时也能检测
出内部用户的未授权活动,是一种增强系统安全的有效方法。入
侵检测从计算机网络或计算机系统中若干关键点收集信息并对其
进行分析,从中发现网络或系统中是否有违反安全策略的行为和
遭到攻击的迹象,同时做出响应。 入侵检测的一般过程包括 信息
收集、信息预处理、数据检测分析和响应等,如图 8.18所示。
第 8章 网络安全
8.6.1 检测技术概述
图 8.18 入侵检测的一般过程
入侵检测可分为 实时入侵检测和事后入侵检测。 实时入侵检测 在
网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中
的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入
侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。 事
后入侵检测 由网络管理人员定期或不定期进行,根据计算机系统对用户
操作所做的历史审计记录判断用户是否具有入侵行为,如果有就断开连
接,并记录入侵证据和进行数据恢复。 但是其入侵检测的能力不如实时
入侵检测系统。
第 8章 网络安全
8.6.1 检测技术概述
2,漏洞检测
漏洞 是由软件编写不当或软件配置不当造成的。 漏洞扫描 是网络
安全防御中的一项重要技术,其原理是 采用模拟攻击的形式对目标可能
存在的、已知的安全漏洞进行逐项检查,根据检测结果向系统管理员提
供周密可靠的安全性分析报告,为提高网络安全整体水平提供了重要依
据。 漏洞扫描也称为 事前的检测系统、安全性评估或者脆弱性分析。 其
作用是 在发生网络攻击事件前,通过对整个网络扫描及时发现网络中存
在的漏洞隐患,及时给出漏洞相应的修补方案,网络人员根据方案可以
进行漏洞的修补。
漏洞检测技术通常采用两种策略,即被动式策略和主动式策略。
被动式策略 是基于主机的检测,对系统中不合适的设置、脆弱的口令以
及其他同安全规则相抵触的对象进行检查; 而主动式策略 是基于网络的
检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而
发现其中的漏洞。
第 8章 网络安全
8.6.2 入侵检测技术
1,常用的入侵检测技术
入侵检测技术可分为五种:
? 基于应用的监控技术。 主要使用监控传感器在应用层收集信息。
? 基于主机的监控技术。 主要使用主机传感器监控本系统的信息。
? 基于目标的监控技术。 主要针对专有系统属性、文件属性、敏
感数据等进行监控。
? 基于网络的监控技术。 主要利用网络监控传感器监控包监听器
收集的信息。
? 综合以上 4种方法进行监控。 其特点是提高了侦测性能,但会
产生非常复杂的网络安全方案。
第 8章 网络安全
8.3.2 入侵检测技术
2,入侵检测技术的选用
在使用入侵检测技术时,应该注意具有以下技术特点,
? 信息收集分析时间
? 分析类型
? 侦测系统对攻击和误用的反应
? 侦测系统的管理和安装
? 侦测系统的完整性
? 设置诱骗服务器
信息收集分析时间可分为 固定时间间隔和实时收集分析两种。 分析类
型可分为 签名分析、统计分析和完整性分析。 完整性 就是系统自身的安
全性。 置诱骗服务器的目的 就是吸引黑客的注意力,把攻击导向它,从
敏感的传感器中发现攻击者的攻击位置、攻击路径和攻击实质,随后把
这些信息送到一个安全的地方,供以后查用。
第 8章 网络安全
8.6.3 漏洞扫描技术
1,漏洞扫描分类
漏洞扫描技术可分为 5种:
? 基于应用的扫描技术。 采用被动的、非破坏性的办法检查应用
软件包的设置,从而发现安全漏洞。
? 基于主机的扫描技术。 采用被动的、非破坏性的办法对系统进
行扫描。它涉及到系统的内核、文件的属性等问题。
? 基于目标的扫描技术。 采用被动的、非破坏性的办法检查系统
属性和文件属性,如数据库、注册号等。
? 基于网络的扫描技术。 它利用一系列的脚本对系统进行攻击,
检验系统是否可能被攻击崩溃,然后对结果进行分析的 综合技术。
? 综合利用上述 4种方法的技术。 集中了以上 4种技术的优点,
极大地增强了漏洞识别的精度。
第 8章 网络安全
8.6.3 漏洞扫描技术
2,漏洞扫描技术的选用
在使用漏洞扫描技术时,应该注意以下技术特点:
? 检测分析的位置
? 报表与安装
? 检测后的解决方案
? 检测系统本身的完整性
在不同威胁程度的环境下,可以有不同的检测标准。在漏洞扫描中,
第一步是收集数据,第二步是数据分析。 漏洞扫描系统生成的报表是理
解系统安全状况的关键。 一旦 扫描 完毕,如果发现了漏洞,则系统可以
有多种反应机制,如预警机制等。检测系统本身就是一种攻击,如果被
黑客利用,那么就会产生难以预料的后果。
第 8章 网络安全
8.6.4 入侵检测和漏洞扫描系统模型
入侵检测和漏洞扫描系统是安全技术的核心。入侵检测和漏洞扫描
系统的实现是和具体的网络拓扑密切相关的,不同的网络拓扑对入侵
检测和漏洞扫描系统的结构和功能有不同的要求。 通常情况下该系统
在网络系统中可设计为两个部分,安全服务器和主机代理,如图 8.19
图所示。
图 8.19 入侵检测和漏洞扫描系统示意图
第 8章 网络安全
8.6.4 入侵检测和漏洞检测系统模型
主机代理中有 主机入侵检测代理和主机漏洞扫描代理两种类型。 主
机入侵检测代理 动态地实现探测入侵信号,并做出相应的反应; 主机漏
洞扫描代理 检测系统的配置、日志等,把检测到的信息传给安全服务器
和用户。
入侵检测代理 在结构上由传感器、分析器、通信管理器等部件组成。
漏洞扫描代理 在结构上由检测器、检测单元、通信管理器等部件组成。
每一个 主机代理 感受敏感的安全信息,对这些信息进行处理,做出反应,
然后把一些信息交给网段代理和安全服务器处理。
安全服务器中包含 网络安全数据库、通信管理器、联机信息处理器
等部件。 其主要功能 是和每一个代理进行相互通信,实时处理所有从各
代理发来的信息,做出响应的反映,同时对网络的各安全参数进行审计
和记录日志, 并可以对防火墙实施控制。
第 8章 网络安全
8.6.5 检测产品的布署
这里对检测产品中的 IDS探测器 和 漏洞扫描仪 进行简单介绍 。
从图 8.20中看出,IDS探测器可以部署在网络中各个关键节点。
比如 IDS探测器 1部署在防火墙的前面,这样可以侦探各种入侵的企
图,但是这将产生许多不必要的报警。 IDS探测器2 部署在防火墙的
DMZ( Demilitarized Zone)区,DMZ区是内部网络对外部提供各种
服务的区域,比如 Web服务、邮件服务,FTP服务等。由于 DMZ区
往往是遭受攻击最多的区域,在此部署一台探测器是非常必要。 IDS
探测器 3部署在防火墙与路由器之间,也是部署探测器的最关键的位
置,实时监测进入到内部网的数据包。 IDS探测器 4,5部署在内部各
个网段,监测来自内部的违反安全规则的行为。
第 8章 网络安全
8.6.5 检测产品的布署
图 8.20 IDS探测仪在网络中的部署示意图
第 8章 网络安全
8.6.5 检测产品的布署
目前,漏洞扫描仪在市场上最常见有两种类型,即 基于主机型与基
于网络型。 基于主机的漏洞扫描 主要是软件形式。 基于网络型漏洞扫描
有软件形式、机架式、掌上电脑形式。
图 8.21是一个适合内外网安全体系结构的漏洞扫描仪的布署示意图。
在该图中 扫描仪 1对入侵检测系统代理、服务器集群、代理服务器等进
行扫描,扫描仪 2对各种电脑主机进行扫描,及时发现并解决网络中存
在的隐患,就能够使网络受到攻击的风险降到最低,起到一个事先的预
防功效,以最小的投入换取最大的安全保障。
第 8章 网络安全
8.6.5 检测产品的布署
图 8.21 漏洞扫描仪在内部网中布署示意图
第 8章 网络安全
8.6.6 入侵检测系统的新发展
随着日益复杂的网络攻击的出现,原有的安全构架面临新的危机,
许多入侵可以穿过只有记录和检测功能的传统的网络入侵检测系统。 在
这一背景下,新的网络安全产品入侵防御系统就出现了。
1,IDS存在如下问题
? 较高的漏报率和误报率。
? 对 IDS系统的管理和维护比较难。
? 当 IDS系统遭受拒绝服务攻击时,它的失效开放机制使得黑客
可以实施攻击而不被发现。
? IDS系统是以被动的方式工作,只能检测攻击,不能阻止攻击。
第 8章 网络安全
8.6.6 入侵检测系统的新发展
2,IPS的定义与功能
IPS又称为入侵检测和防御系统( IDP),它不但能检测入侵的发生,
并且能指挥防火墙和其他响应方式,实时终止入侵行为的发生和发展,
是实时保护系统不受实质性攻击的智能化的安全产品。
从功能上来看,IPS则是一种主动的、积极的入侵防范、阻止系统,
是一种在线的解决方案。它部署在网络的进出口处,当它检测到攻击企
图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。它可以阻击
由防火墙漏掉的或 IDS检测到而不能处理的网络攻击,从而减少因网络
攻击而受到的损失,增强网络的性能和可用性。
但是,IPS在处理一些比较新的协议和比较少用的协议上面,表现得
不尽如人意。另外,一些需要解码的数据报,IPS不能够准确判断。在
这方面 IPS 还是需要继续改进的。
第 8章 网络安全
8.6.6 入侵检测系统的新发展
3,IPS,IDS和防火墙的比较
与 IDS相比,IPS不但能检测入侵的发生,而且有能力终止入侵活
动的进行;而 IDS是一种并联在网络上的设备,它只能被动地检测网
络遭到了何种攻击,它的阻断攻击能力非常有限,一般只能通过发送
TCP reset包或联动防火墙来阻止攻击。
与防火墙相比,IPS能够从不断更新的模式库中发现各种各样新
的入侵方法,并作出智能的保护性操作;而防火墙只能死板的执行预
先设定的简单规则,不能发现规则之外的入侵行为。 但是 IPS不能完
全代替防火墙,因为防火墙除了是粒度比较粗的访问控制产品,它还
可以提供网络地址转换、服务代理、流量统计等功能,甚至有的防火
墙还能提供 VPN功能。 另外,IPS的功能比较单一, 它只能串联在网
络上,类似于通常所说的网桥式防火墙,对防火墙所不能过滤的攻击
进行过滤。因此,把 IPS与防火墙结合起来,可以最大程度的保护系
统的安全。
8.6.1 检测技术概述
8.6.2 入侵检测技术
8.6.3 漏洞扫描技术
8.6.4 入侵检测和漏洞扫描系统模型
8.6.5 检测产品的布署
8.6.6 入侵检测系统的新发展
第 8章 网络安全
8.6.1 检测技术概述
1,入侵检测
从计算机安全的目标来看,入侵 指企图破坏资源的完整性、保
密性、可用性的任何行为,也指违背系统安全策略的任何事件。
从入侵策略的角度看,入侵可分为 企图进入、冒充合法用户、成
功闯入等方面。 入侵者 一般称为黑客或解密高手。 Anderson把入
侵者分为 伪装者、违法者和秘密用户 3类。
入侵检测 指对计算机和网络资源的恶意使用行为进行识别和响
应的处理过程。它不仅检测来自外部的入侵行为,同时也能检测
出内部用户的未授权活动,是一种增强系统安全的有效方法。入
侵检测从计算机网络或计算机系统中若干关键点收集信息并对其
进行分析,从中发现网络或系统中是否有违反安全策略的行为和
遭到攻击的迹象,同时做出响应。 入侵检测的一般过程包括 信息
收集、信息预处理、数据检测分析和响应等,如图 8.18所示。
第 8章 网络安全
8.6.1 检测技术概述
图 8.18 入侵检测的一般过程
入侵检测可分为 实时入侵检测和事后入侵检测。 实时入侵检测 在
网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中
的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入
侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。 事
后入侵检测 由网络管理人员定期或不定期进行,根据计算机系统对用户
操作所做的历史审计记录判断用户是否具有入侵行为,如果有就断开连
接,并记录入侵证据和进行数据恢复。 但是其入侵检测的能力不如实时
入侵检测系统。
第 8章 网络安全
8.6.1 检测技术概述
2,漏洞检测
漏洞 是由软件编写不当或软件配置不当造成的。 漏洞扫描 是网络
安全防御中的一项重要技术,其原理是 采用模拟攻击的形式对目标可能
存在的、已知的安全漏洞进行逐项检查,根据检测结果向系统管理员提
供周密可靠的安全性分析报告,为提高网络安全整体水平提供了重要依
据。 漏洞扫描也称为 事前的检测系统、安全性评估或者脆弱性分析。 其
作用是 在发生网络攻击事件前,通过对整个网络扫描及时发现网络中存
在的漏洞隐患,及时给出漏洞相应的修补方案,网络人员根据方案可以
进行漏洞的修补。
漏洞检测技术通常采用两种策略,即被动式策略和主动式策略。
被动式策略 是基于主机的检测,对系统中不合适的设置、脆弱的口令以
及其他同安全规则相抵触的对象进行检查; 而主动式策略 是基于网络的
检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而
发现其中的漏洞。
第 8章 网络安全
8.6.2 入侵检测技术
1,常用的入侵检测技术
入侵检测技术可分为五种:
? 基于应用的监控技术。 主要使用监控传感器在应用层收集信息。
? 基于主机的监控技术。 主要使用主机传感器监控本系统的信息。
? 基于目标的监控技术。 主要针对专有系统属性、文件属性、敏
感数据等进行监控。
? 基于网络的监控技术。 主要利用网络监控传感器监控包监听器
收集的信息。
? 综合以上 4种方法进行监控。 其特点是提高了侦测性能,但会
产生非常复杂的网络安全方案。
第 8章 网络安全
8.3.2 入侵检测技术
2,入侵检测技术的选用
在使用入侵检测技术时,应该注意具有以下技术特点,
? 信息收集分析时间
? 分析类型
? 侦测系统对攻击和误用的反应
? 侦测系统的管理和安装
? 侦测系统的完整性
? 设置诱骗服务器
信息收集分析时间可分为 固定时间间隔和实时收集分析两种。 分析类
型可分为 签名分析、统计分析和完整性分析。 完整性 就是系统自身的安
全性。 置诱骗服务器的目的 就是吸引黑客的注意力,把攻击导向它,从
敏感的传感器中发现攻击者的攻击位置、攻击路径和攻击实质,随后把
这些信息送到一个安全的地方,供以后查用。
第 8章 网络安全
8.6.3 漏洞扫描技术
1,漏洞扫描分类
漏洞扫描技术可分为 5种:
? 基于应用的扫描技术。 采用被动的、非破坏性的办法检查应用
软件包的设置,从而发现安全漏洞。
? 基于主机的扫描技术。 采用被动的、非破坏性的办法对系统进
行扫描。它涉及到系统的内核、文件的属性等问题。
? 基于目标的扫描技术。 采用被动的、非破坏性的办法检查系统
属性和文件属性,如数据库、注册号等。
? 基于网络的扫描技术。 它利用一系列的脚本对系统进行攻击,
检验系统是否可能被攻击崩溃,然后对结果进行分析的 综合技术。
? 综合利用上述 4种方法的技术。 集中了以上 4种技术的优点,
极大地增强了漏洞识别的精度。
第 8章 网络安全
8.6.3 漏洞扫描技术
2,漏洞扫描技术的选用
在使用漏洞扫描技术时,应该注意以下技术特点:
? 检测分析的位置
? 报表与安装
? 检测后的解决方案
? 检测系统本身的完整性
在不同威胁程度的环境下,可以有不同的检测标准。在漏洞扫描中,
第一步是收集数据,第二步是数据分析。 漏洞扫描系统生成的报表是理
解系统安全状况的关键。 一旦 扫描 完毕,如果发现了漏洞,则系统可以
有多种反应机制,如预警机制等。检测系统本身就是一种攻击,如果被
黑客利用,那么就会产生难以预料的后果。
第 8章 网络安全
8.6.4 入侵检测和漏洞扫描系统模型
入侵检测和漏洞扫描系统是安全技术的核心。入侵检测和漏洞扫描
系统的实现是和具体的网络拓扑密切相关的,不同的网络拓扑对入侵
检测和漏洞扫描系统的结构和功能有不同的要求。 通常情况下该系统
在网络系统中可设计为两个部分,安全服务器和主机代理,如图 8.19
图所示。
图 8.19 入侵检测和漏洞扫描系统示意图
第 8章 网络安全
8.6.4 入侵检测和漏洞检测系统模型
主机代理中有 主机入侵检测代理和主机漏洞扫描代理两种类型。 主
机入侵检测代理 动态地实现探测入侵信号,并做出相应的反应; 主机漏
洞扫描代理 检测系统的配置、日志等,把检测到的信息传给安全服务器
和用户。
入侵检测代理 在结构上由传感器、分析器、通信管理器等部件组成。
漏洞扫描代理 在结构上由检测器、检测单元、通信管理器等部件组成。
每一个 主机代理 感受敏感的安全信息,对这些信息进行处理,做出反应,
然后把一些信息交给网段代理和安全服务器处理。
安全服务器中包含 网络安全数据库、通信管理器、联机信息处理器
等部件。 其主要功能 是和每一个代理进行相互通信,实时处理所有从各
代理发来的信息,做出响应的反映,同时对网络的各安全参数进行审计
和记录日志, 并可以对防火墙实施控制。
第 8章 网络安全
8.6.5 检测产品的布署
这里对检测产品中的 IDS探测器 和 漏洞扫描仪 进行简单介绍 。
从图 8.20中看出,IDS探测器可以部署在网络中各个关键节点。
比如 IDS探测器 1部署在防火墙的前面,这样可以侦探各种入侵的企
图,但是这将产生许多不必要的报警。 IDS探测器2 部署在防火墙的
DMZ( Demilitarized Zone)区,DMZ区是内部网络对外部提供各种
服务的区域,比如 Web服务、邮件服务,FTP服务等。由于 DMZ区
往往是遭受攻击最多的区域,在此部署一台探测器是非常必要。 IDS
探测器 3部署在防火墙与路由器之间,也是部署探测器的最关键的位
置,实时监测进入到内部网的数据包。 IDS探测器 4,5部署在内部各
个网段,监测来自内部的违反安全规则的行为。
第 8章 网络安全
8.6.5 检测产品的布署
图 8.20 IDS探测仪在网络中的部署示意图
第 8章 网络安全
8.6.5 检测产品的布署
目前,漏洞扫描仪在市场上最常见有两种类型,即 基于主机型与基
于网络型。 基于主机的漏洞扫描 主要是软件形式。 基于网络型漏洞扫描
有软件形式、机架式、掌上电脑形式。
图 8.21是一个适合内外网安全体系结构的漏洞扫描仪的布署示意图。
在该图中 扫描仪 1对入侵检测系统代理、服务器集群、代理服务器等进
行扫描,扫描仪 2对各种电脑主机进行扫描,及时发现并解决网络中存
在的隐患,就能够使网络受到攻击的风险降到最低,起到一个事先的预
防功效,以最小的投入换取最大的安全保障。
第 8章 网络安全
8.6.5 检测产品的布署
图 8.21 漏洞扫描仪在内部网中布署示意图
第 8章 网络安全
8.6.6 入侵检测系统的新发展
随着日益复杂的网络攻击的出现,原有的安全构架面临新的危机,
许多入侵可以穿过只有记录和检测功能的传统的网络入侵检测系统。 在
这一背景下,新的网络安全产品入侵防御系统就出现了。
1,IDS存在如下问题
? 较高的漏报率和误报率。
? 对 IDS系统的管理和维护比较难。
? 当 IDS系统遭受拒绝服务攻击时,它的失效开放机制使得黑客
可以实施攻击而不被发现。
? IDS系统是以被动的方式工作,只能检测攻击,不能阻止攻击。
第 8章 网络安全
8.6.6 入侵检测系统的新发展
2,IPS的定义与功能
IPS又称为入侵检测和防御系统( IDP),它不但能检测入侵的发生,
并且能指挥防火墙和其他响应方式,实时终止入侵行为的发生和发展,
是实时保护系统不受实质性攻击的智能化的安全产品。
从功能上来看,IPS则是一种主动的、积极的入侵防范、阻止系统,
是一种在线的解决方案。它部署在网络的进出口处,当它检测到攻击企
图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。它可以阻击
由防火墙漏掉的或 IDS检测到而不能处理的网络攻击,从而减少因网络
攻击而受到的损失,增强网络的性能和可用性。
但是,IPS在处理一些比较新的协议和比较少用的协议上面,表现得
不尽如人意。另外,一些需要解码的数据报,IPS不能够准确判断。在
这方面 IPS 还是需要继续改进的。
第 8章 网络安全
8.6.6 入侵检测系统的新发展
3,IPS,IDS和防火墙的比较
与 IDS相比,IPS不但能检测入侵的发生,而且有能力终止入侵活
动的进行;而 IDS是一种并联在网络上的设备,它只能被动地检测网
络遭到了何种攻击,它的阻断攻击能力非常有限,一般只能通过发送
TCP reset包或联动防火墙来阻止攻击。
与防火墙相比,IPS能够从不断更新的模式库中发现各种各样新
的入侵方法,并作出智能的保护性操作;而防火墙只能死板的执行预
先设定的简单规则,不能发现规则之外的入侵行为。 但是 IPS不能完
全代替防火墙,因为防火墙除了是粒度比较粗的访问控制产品,它还
可以提供网络地址转换、服务代理、流量统计等功能,甚至有的防火
墙还能提供 VPN功能。 另外,IPS的功能比较单一, 它只能串联在网
络上,类似于通常所说的网桥式防火墙,对防火墙所不能过滤的攻击
进行过滤。因此,把 IPS与防火墙结合起来,可以最大程度的保护系
统的安全。