入侵檢測復習重點
入侵:是對信息系統(tǒng)的非授權(quán)訪問以及未經(jīng)許可在信息系統(tǒng)中進行的操作��。
入侵檢測:是對企圖入侵�����、正在進行的入侵或者已經(jīng)發(fā)生的入侵進行識別的過程����。
入侵檢測系統(tǒng):所有能夠執(zhí)行入侵檢測任務和功能的系統(tǒng)�����,其中包括軟件系統(tǒng)及軟�、硬件結(jié)合。
入侵檢測功能:監(jiān)控(用戶和系統(tǒng)的活動)�、審計(系統(tǒng)的配置和弱點)、評估(關鍵系統(tǒng)的數(shù)據(jù)文件完整性)��、識別(攻擊的活動模式)�、統(tǒng)計分析(對活動進行)
簡述P2DR模型在信息安全的地位(作用)
P:policy策略P:protection防護D:detection檢測R:response響應���。在整體策略控制下,在綜合應用各種防護工具的同時��,利用檢測工具了解����、評估系統(tǒng)通過應用適當響應而改善系統(tǒng)的防護措施,從而實現(xiàn)動態(tài)安全模型��。
攻擊的流程
目標探測與收集自身隱藏利用漏洞侵入主機穩(wěn)固并擴大戰(zhàn)果清除日志入侵檢測流程
數(shù)據(jù)收集數(shù)據(jù)分析(分析��、處理)數(shù)據(jù)響應
數(shù)據(jù)源來自哪里�?(分類方法)審計記錄、系統(tǒng)日志����、應用程序日志、網(wǎng)絡數(shù)據(jù)�、其它收集數(shù)據(jù)的原則
在計算機網(wǎng)絡系統(tǒng)的若干個不同的關鍵點(不同的網(wǎng)段或不同主機)來手機信息����。要保證數(shù)據(jù)的正確性和可靠性。
原因:可擴大范圍�����、不一致原則。按相應發(fā)生的時間�,相應策略的制定有哪些?類型有哪些����?
策略:緊急行動、及時行動����、本地的長期行動、全局的長期行動
類型:主動響應(反攻擊����、修正系統(tǒng)環(huán)境、收集信息����、欺騙網(wǎng));被動響應(報警�、記錄)入侵檢測系統(tǒng)的部署主機:關鍵主機
網(wǎng)絡:DMI區(qū)、隔離區(qū)����、外網(wǎng)入口���、內(nèi)網(wǎng)主干、關鍵子網(wǎng)
屬于預處理功能的有:格式轉(zhuǎn)換�、映射、過濾
獲取數(shù)據(jù)�、審計數(shù)據(jù)為什么要進行預處理?
格式轉(zhuǎn)換:來源冗雜�����,預處理后利于移植
映射和過濾:剔除冗雜����、無用的事件記錄
入侵檢測專家系統(tǒng)原理
在知識庫的基礎上,根據(jù)已獲得的事實和已知規(guī)則進行推導�,并得出結(jié)論。
在狀態(tài)轉(zhuǎn)移分析技術(shù)中�����,采用(狀態(tài)轉(zhuǎn)移圖)來表示一個具體的入侵攻擊過程����。狀態(tài)轉(zhuǎn)移圖由兩個基本組建構(gòu)成:(標識系統(tǒng)狀態(tài)的結(jié)點)和(表示特征行為的弧線)。狀態(tài)轉(zhuǎn)移分析原理
將攻擊者的入侵行為描繪為一系列的特征操作及其所引起的一系列系統(tǒng)狀態(tài)轉(zhuǎn)換過程�,從而使得目標系統(tǒng)從初始狀態(tài)轉(zhuǎn)移到所期望的危害狀態(tài)。
完整性檢查的基本思想H(file)=標識(old)H(file)=標識(new)
標識(old)與標識(new)compareH()代表單項消息摘要計算函數(shù)���。系統(tǒng)配置分析技術(shù)的基本原理
首先�����,一次成功的入侵活動可能會在系統(tǒng)從留下痕跡����,這可以通過檢查系統(tǒng)當前狀態(tài)來發(fā)現(xiàn)�;其次系統(tǒng)管理員和用戶經(jīng)常會錯誤地配置系統(tǒng),已給攻擊者可乘之機���。
簡述交換網(wǎng)絡下的數(shù)據(jù)檢測方法將包捕獲程序設置在官網(wǎng)或代理服務器上��;
交換機端口映射����;ARP���;
IDS連接在網(wǎng)絡流量通常最大上���、下行端口上�。簡述包捕獲機制BPF的原理
BPF主要由兩大部分組成:網(wǎng)絡分接頭(TAP)和數(shù)據(jù)包過濾器�。網(wǎng)絡分接頭從網(wǎng)絡設備驅(qū)動程序處收集數(shù)據(jù)包復制,并傳遞給正在捕獲數(shù)據(jù)包的應用程序�。過濾器決定某一數(shù)據(jù)包是被接收或者拒絕,以及如果被接收����,數(shù)據(jù)包的哪些部分會被復制給應用程序。
簡述協(xié)議分析技術(shù)的原理
協(xié)議分析的功能是辨別數(shù)據(jù)包協(xié)議類型以便使用相應的數(shù)據(jù)分析程序來檢測數(shù)據(jù)包����。它將輸入數(shù)據(jù)包視為具有嚴格定義格式的數(shù)據(jù)流,并將輸入數(shù)據(jù)包按照各層協(xié)議報文封裝的反向順序����,層層解析出來。如果當前所檢查的某個協(xié)議字段里��,包含了非期望的不合理賦值�,則系統(tǒng)認為當前數(shù)據(jù)包為非法網(wǎng)絡流量。DIDS
以網(wǎng)絡數(shù)據(jù)包和主機審計數(shù)據(jù)作為數(shù)據(jù)來源���。屬于采用多種信息輸入元的入侵檢測技術(shù)���。
目標環(huán)境是一組以太局域網(wǎng)連接起來的主機�,且這些主機系統(tǒng)都滿足C2等級的安全審計功能要求����。
任務是監(jiān)控網(wǎng)絡中個主機的安全狀態(tài)��,同時檢測針對局域網(wǎng)本身的攻擊行為��。
包括三類組件:主機監(jiān)控器��、局域網(wǎng)監(jiān)控器�、中央控制臺
主機監(jiān)控器首先從主機系統(tǒng)中讀取C2審計數(shù)據(jù)文件,獲取審計記錄�����,然后將這些審計記錄映射到DIDS系統(tǒng)定義的規(guī)范格式HAR上�����。之后�����,將這些冗余格式的記錄進行必要的過濾操作以去除冗余后,再進行各種分析檢測工作��,生成不同的異常事件報告���,交由主機代理發(fā)送到中央控制臺��。
而LEG組件沒有現(xiàn)成的審計記錄可用��,因此�,LEG組件必須從當前網(wǎng)絡數(shù)據(jù)包中構(gòu)建所需的網(wǎng)絡審計記錄NAR�。LEG組件主要審計主機之間的連接、所訪問的服務類型以及每個連接的數(shù)據(jù)流量情況��。同時�����,LEG還建立和維護當前網(wǎng)絡行為的正常模型��,并檢測當前網(wǎng)絡使用情況與正常模型的偏離情況�����。
控制臺的專家系統(tǒng)����,在收集來自各個監(jiān)控器事件記錄的基礎上���,執(zhí)行關聯(lián)分析和安全狀態(tài)評估的任務。專家系統(tǒng)的核心部分是用于進行推理工作的規(guī)則庫��,DIDS專家系統(tǒng)用Prolog語言編寫所有檢測規(guī)則��。
用戶接口主要任務是以友好的方式適時地提供用戶關心的系統(tǒng)信息����,包括實時的異常事件顯示�����、整個系統(tǒng)的安全狀態(tài)信息等���;同時�����,它還提供用戶進行特定控制和查詢功能的接口�����,如查詢某條檢測規(guī)則的狀態(tài)等�����。DIDS中央控制臺組建能夠解決兩個關鍵的問題:
網(wǎng)絡環(huán)境下對特定用戶和系統(tǒng)對象的追蹤問題���。
不同層次的入侵數(shù)據(jù)抽象問題��。發(fā)展前景
首先���,入侵檢測系統(tǒng)將不斷提高自己的性能,包括:大幅度降低虛警概念��、提高檢測變異攻擊行為和協(xié)同攻擊的能力����、與網(wǎng)路管理系統(tǒng)更好的集成、更好的支持法律訴訟��,以及提供更容易操作的用戶界面等�。
其次,入侵檢測將更重視分布式環(huán)境下的架構(gòu)設計問題���,重視解決分布式環(huán)境下所遇到的特定問題�����,如自主代理的管理���、不同數(shù)據(jù)源的關聯(lián)分析�����、安全響應問題等��。
另外���,入侵檢測系統(tǒng)將從更多類型的數(shù)據(jù)源獲取所需信息�,來幫助提供檢測能力以及冗余保護機制。同時����,入侵檢測的標準化工作將會取得長足進步,確立統(tǒng)一的交互操作標準�����。最后����,入侵檢測技術(shù)將更多地與其他各種技術(shù)無縫集成在一起����,并不斷演化發(fā)展�,最終形成新的技術(shù)類型。GrIDS是基于圖標的入侵檢測系統(tǒng)�。是為大規(guī)模網(wǎng)絡環(huán)境而設計的入侵檢測模型。對被保護的大型組織網(wǎng)絡環(huán)境進行不同等級的分解形成不同層次的管理域��。GrIDS把目標環(huán)境中的各種報告事件和網(wǎng)絡流量信息匯集成圖標的形式���,然后在更高等級上把這些圖表匯集成更為簡要的形式���。GrIDS在不同抽象層次上進行分析檢測工作,以發(fā)現(xiàn)不同層次上的入侵行為����。
主要設計目標:能夠檢測到大規(guī)模網(wǎng)絡環(huán)境下所發(fā)生的攻擊類型,例如端口掃描����、跨域的協(xié)同攻擊以及蠕蟲攻擊等。
AAFID是基于自主代理的分布式入侵檢測架構(gòu)�����。CIDF
DARPA提出的建議是公公入侵檢測框架(CIDF),最早由加州大學戴維斯分校計算機安全實驗室主持起草����,并由1997年初正式提出。CIDF所做的工作主要包括4部分:CIDF的體系結(jié)構(gòu)�、通信機制、描述語言和應用編程接口API����。
CIDF在IDES和NIDES系統(tǒng)的基礎上提出了一個通用模型,將入侵檢測系統(tǒng)分為4個基本組件:事件產(chǎn)生器���、事件分析器����、響應單元和事件數(shù)據(jù)庫��。前三個通常以應用程序的形式出現(xiàn)��,而事件數(shù)據(jù)庫則往往采用文件或數(shù)據(jù)流的形式���。IDS廠商數(shù)據(jù)收集組件��、數(shù)據(jù)分析組件和控制臺代替前三者�����。
CIDF模型將IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件(Event)���,它既可以是網(wǎng)絡中的數(shù)據(jù)包,也可以使從系統(tǒng)日志或其它途徑得到的信息����。以上CIDF模型中的4個組件代表的都是邏輯實體,其中的任何一個組件可能是某臺計算機上的一個進程甚至線程����,也可能是多個計算機上的多個進程,它們之間采用統(tǒng)一入侵檢測對象(GIDO)格式進行數(shù)據(jù)交換���。GIDO是對事件進行編碼的標準通用格式(由CIDF描述語言CISL定義)��,GIDO數(shù)據(jù)流可以是發(fā)生在系統(tǒng)中的審計事件�����,也可以是對審計事件的分析結(jié)果�����。事件產(chǎn)生器的任務是從入侵檢測系統(tǒng)之外的計算環(huán)境中收集事件��,并將這些事件轉(zhuǎn)換成CIDF的GIDO格式傳送給其它組件���。
事件分析器負責分析從其他組件收到的GIDO����,并將產(chǎn)生的分析結(jié)果傳送給其它組件���。分析器���。分析器可以是一個基于統(tǒng)計模型的工具,檢查現(xiàn)在的事件是否滿足先前所建立的正常事件模型����;也可以是一個特征檢測工具,用于在當前事件序列中檢查是否存在已知的濫用攻擊特征���;此外,事件分析器還可以是一個關聯(lián)分析器���,觀察不同事件之間的關系���,并將關聯(lián)事件進行匯聚處理���,以利于以后進一步分析。
事件數(shù)據(jù)庫用于存儲GIDO�,以備系統(tǒng)需要的時候使用。
響應單元負責處理接收到的GIDO�����,并據(jù)此采取相應的措施���,如殺死相關進程����、復位網(wǎng)絡會話連接��,以及修改文件權(quán)限等�。
系統(tǒng)設計的生命周期
需求定義:設計者需要定義入侵檢測的各個目標并建立目標之間的優(yōu)先級需求定義。
功能定義:進一步將這些需求定義細化為系統(tǒng)中明確的功能定義������?梢圆捎酶鞣N模型描述語言來定義系統(tǒng)所要完成的各個具體功能及其之間的接口規(guī)范等�。
原型實現(xiàn):涉及具體的開發(fā)過程來驗證系統(tǒng)設計的正確性和可行性��。用戶反饋:上述生命周期過程并非靜止不動的步驟過程�����,整個周期過程是螺旋式上升過程�����。前一周期原型實現(xiàn)階段后�,經(jīng)過一個用戶反饋環(huán)節(jié)后,再次進入下一個周期過程中的需求定義環(huán)節(jié)�。在新需求定義階段,將根據(jù)用戶的需求反饋意見����,再次更改原有的需求定義和分析規(guī)范,形成新的需求定義文檔����,從而推動下一個設計周期過程����。如此循環(huán)反復�����,直至滿足設定的要求�。
響應組件的設計
1用戶的需求問題(安全管理員��、系統(tǒng)管理員�、安全調(diào)查員)2操作環(huán)境特點
3響應信號的表現(xiàn)形式因環(huán)境不同而不同
4性能要求
5響應部件的本身也是攻擊者的目標所在,攻擊的方法可能包括艦艇可能的響應通信信道�、拒絕服務攻擊以及切斷相應報警通道等。
6響應部件還必須能夠管理從分析組件中發(fā)出的警報信息�����。
7響應部件中一般都應該包含對檢測結(jié)果的存檔和報告功能�,F(xiàn)有入侵檢測技術(shù)的局限性
就網(wǎng)絡入侵檢測而言,目前面臨的主要問題包括:
1高速網(wǎng)絡環(huán)境下的檢測問題(網(wǎng)絡帶寬增長速度>計算能力的提高速度�����,聲稱**MHz����,實際需要測量)2交換式網(wǎng)絡環(huán)境下的檢測問題(傳統(tǒng)網(wǎng)絡入侵檢測技術(shù)無法監(jiān)控����,需添加額外硬件��,帶來性能和通用性的實際問題���。)
3加密問題(大多網(wǎng)絡入檢技術(shù)需通過對數(shù)據(jù)包載荷中的特定特征字符串進行分析匹配����,才能發(fā)現(xiàn)入侵活動����。如對網(wǎng)絡傳輸數(shù)據(jù)加密,則影響入檢)
現(xiàn)有的入侵檢測還存在若干通用性的問題
1虛假警報問題(狼來了)
2可擴展性問題(時間“慢攻擊”���;空間“分布式”大型網(wǎng)絡設施�����,如時間同步����、數(shù)據(jù)簡化)3管理問題(網(wǎng)絡管理系統(tǒng)集成問題;如何管理入侵檢測系統(tǒng)內(nèi)部可能存在的大量部件)
4支持法律訴訟(法律不完善����,如何修改系統(tǒng)設計滿足取證、訴訟要求)5互操作性問題(各入檢系統(tǒng)遵循統(tǒng)一的數(shù)據(jù)交換格式和傳輸協(xié)議�,從而方便地共享信息��,更好協(xié)同工作)操作系統(tǒng)的分類準確性���、從HIDS基于主主機的審計機的入侵檢測記錄和日志文件中獲得按信息可移植性�、源分類NIDS基于網(wǎng)透明���、不易絡的入侵檢測被攻擊���、影響性能混合誤報率低漏報誤用率高,匹配特按檢測征庫方法分基于正常行類異常為的歷史統(tǒng)計誤高漏低聯(lián)機實時按時效性分類脫機非實時
數(shù)據(jù)挖掘與入侵檢測技術(shù)
如上圖所示���,數(shù)據(jù)挖掘流程中�,原始審計數(shù)據(jù)(RawAuditData)首先被處理成為ASCII碼形式標識的網(wǎng)絡數(shù)據(jù)包信息(NetworkPackets)或是主機事件數(shù)據(jù)(HostEvents)�,接著這些數(shù)據(jù)信息進一步被轉(zhuǎn)換成為面向網(wǎng)絡連接的記錄(ConnectionRecords)或是面向主機會話的記錄數(shù)據(jù)(HostSessionRecords)。這些記錄中包含許多連接/會話特征���。然后�,將數(shù)據(jù)挖掘的算法應用到這些連接記錄上,并計算出有用的數(shù)據(jù)模式(Patterns)��。接著�,對這些數(shù)據(jù)進行分析,之后用來幫助提取連接記錄中的其它有用特征(Features)�。最后,在確定了記錄數(shù)據(jù)的特征集合后�����,應用數(shù)據(jù)挖掘中的分類算法��,生成最終的檢測模型(Models)��。整個數(shù)據(jù)挖掘在入侵檢測應用流程中反復進行����。
擴展閱讀:入侵檢測與防火墻試卷復習題
防火墻部分
1、防火墻的配置中的三個基本原則
(1)簡單實用:對防火墻環(huán)境設計來講����,首要的就是越簡單越好。其實這也是任何事物的基本原則��。越簡單的實現(xiàn)方式,越容易理解和使用�。而且是設計越簡單,越不容易出錯����,防火墻的安全功能越容易得到保證,管理也越可靠和簡便�。
(2)全面深入:單一的防御措施是難以保障系統(tǒng)的安全的,只有采用全面的�����、多層次的深層防御戰(zhàn)略體系才能實現(xiàn)系統(tǒng)的真正安全�����。在防火墻配置中����,我們不要停留在幾個表面的防火墻語句上����,而應系統(tǒng)地看等整個網(wǎng)絡的安全防護體系,盡量使各方面的配置相互加強��,從深層次上防護整個系統(tǒng)。這方面可以體現(xiàn)在兩個方面:一方面體現(xiàn)在防火墻系統(tǒng)的部署上���,多層次的防火墻部署體系����,即采用集互聯(lián)網(wǎng)邊界防火墻�、部門邊界防火墻和主機防火墻于一體的層次防御;另一方面將入侵檢測����、網(wǎng)絡加密、病毒查殺等多種安全措施結(jié)合在一起的多層安全體系�。
(3).內(nèi)外兼顧:防火墻的一個特點是防外不防內(nèi),其實在現(xiàn)實的網(wǎng)絡環(huán)境中��,80%以上的威脅都來自內(nèi)部���,所以我們要樹立防內(nèi)的觀念�,從根本上改變過去那種防外不防內(nèi)的傳統(tǒng)觀念�。對內(nèi)部威脅可以采取其它安全措施,比如入侵檢測�����、主機防護、漏洞掃描���、病毒查殺����。這方面體現(xiàn)在防火墻配置方面就是要引入全面防護的觀念���,最好能部署與上述內(nèi)部防護手段一起聯(lián)動的機制���。目前來說,要做到這一點比較困難���。
2、防火墻的具體配置步驟
1.將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個空余串口上�����。
2.打開PIX防火電源�,讓系統(tǒng)加電初始化,然后開啟與防火墻連接的主機��。3.運行筆記本電腦Windows系統(tǒng)中的超級終端(HyperTerminal)程序(通常在"附件"程序組中)�����。對超級終端的配置與交換機或路由器的配置一樣,參見本教程前面有關介紹����。
4.當PIX防火墻進入系統(tǒng)后即顯示"pixfirewall>"的提示符,這就證明防火墻已啟動成功��,所進入的是防火墻用戶模式�����?梢赃M行進一步的配置了���。5.輸入命令:enable,進入特權(quán)用戶模式,此時系統(tǒng)提示為:pixfirewall#����。6.輸入命令:configureterminal,進入全局配置模式,對系統(tǒng)進行初始化設置����。(1).首先配置防火墻的網(wǎng)卡參數(shù)(以只有1個LAN和1個WAN接口的防火墻配置為例)
Interfaceethernet0auto#0號網(wǎng)卡系統(tǒng)自動分配為WAN網(wǎng)卡,"auto"選項為系統(tǒng)自適應網(wǎng)卡類型
Interfaceethernet1auto
(2).配置防火墻內(nèi)、外部網(wǎng)卡的IP地址
IPaddressinsideip_addressnetmask#Inside代表內(nèi)部網(wǎng)卡IPaddressoutsideip_addressnetmask#outside代表外部網(wǎng)卡(3).指定外部網(wǎng)卡的IP地址范圍:global1ip_address-ip_address(4).指定要進行轉(zhuǎn)換的內(nèi)部地址nat1ip_addressnetmask(5).配置某些控制選項:
conduitglobal_ipport[-port]protocolforeign_ip[netmask]
其中�����,global_ip:指的是要控制的地址�����;port:指的是所作用的端口����,0代表所有端口;protocol:指的是連接協(xié)議��,比如:TCP����、UDP等;foreign_ip:表示可訪問的global_ip外部IP地址���;netmask:為可選項,代表要控制的子網(wǎng)掩碼�。
7.配置保存:wrmem8.退出當前模式
9.查看當前用戶模式下的所有可用命令:show,在相應用戶模式下鍵入這個命令后����,即顯示出當前所有可用的命令及簡單功能描述���。
10.查看端口狀態(tài):showinterface,這個命令需在特權(quán)用戶模式下執(zhí)行���,執(zhí)行后即顯示出防火墻所有接口配置情況�。
11.查看靜態(tài)地址映射:showstatic�,這個命令也須在特權(quán)用戶模式下執(zhí)行,執(zhí)行后顯示防火墻的當前靜態(tài)地址映射情況�。3、配置訪問列表
所用配置命令為:access-list�,合格格式比較復雜。
它是防火墻的主要配置部分����,上述格式中帶"[]"部分是可選項,listnumber參數(shù)是規(guī)則號���,標準規(guī)則號(listnumber1)是1~99之間的整數(shù)����,而擴展規(guī)則號(listnumber2)是100~199之間的整數(shù)���。它主要是通過訪問權(quán)限"permit"和"deny"來指定的��,網(wǎng)絡協(xié)議一般有IPTCPUDPICMP等等����。如只允許訪問通過防火墻對主機:220.154.20.254進行www訪問。其中的100表示訪問規(guī)則號����,根據(jù)當前已配置的規(guī)則條數(shù)來確定,不能與原來規(guī)則的重復�����,也必須是正整數(shù)��。
4����、地址轉(zhuǎn)換(NAT)
防火墻的NAT配置與路由器的NAT配置基本一樣,首先也必須定義供NAT轉(zhuǎn)換的內(nèi)部IP地址組�����,接著定義內(nèi)部網(wǎng)段�����。
定義供NAT轉(zhuǎn)換的內(nèi)部地址組的命令是nat���,它的格式為:nat[(if_name)]nat_idlocal_ip[netmask[max_conns[em_limit]]]���,其中if_name為接口名;nat_id參數(shù)代表內(nèi)部地址組號��;而local_ip為本地網(wǎng)絡地址�����;netmask為子網(wǎng)掩碼����;max_conns為此接口上所允許的最大TCP連接數(shù),默認為"0"�,表示不限制連接;em_limit為允許從此端口發(fā)出的連接數(shù)��,默認也為"0"��,即不限制�。
表示把所有網(wǎng)絡地址為10.1.6.0�����,子網(wǎng)掩碼為255.255.255.0的主機地址定義為1號NAT地址組��。
隨后再定義內(nèi)部地址轉(zhuǎn)換后可用的外部地址池����,它所用的命令為global,基本命令格式為:
global[(if_name)]nat_idglobal_ip[netmask[max_conns[em_limit]]]����,各參數(shù)解釋同上。如:
global(outside)1175.1.1.3-175.1.1.64netmask255.255.255.0
將上述nat命令所定的內(nèi)部IP地址組轉(zhuǎn)換成175.1.1.3~175.1.1.64的外部地址池中的外部IP地址���,其子網(wǎng)掩耳盜鈴碼為255.255.255.0����。
入侵檢測部分
1��、RG-IDS帳戶管理
(1)原理用戶管理承擔著系統(tǒng)認證中心的角色����。用戶登錄時認證中心對用戶名、密碼做認證�,如果有綁定設置則根據(jù)其綁定方式(靜態(tài)綁定�����、動態(tài)綁定)對用戶做綁定處理。此外�,在認證登錄用戶時,如果某個用戶從相同的IP(隱含的動態(tài)綁定)重復多次登錄嘗試��,則將該用戶視為可疑用戶��,認證中心會將該用戶鎖定�����,同時發(fā)送審計事件通知用戶管理員(觸發(fā)鎖定的登錄嘗試次數(shù)可以用戶管理員在創(chuàng)建時指定)����。用戶管理還具有添加、刪除用戶和修改用戶信息���,并且可以為不同的用戶分配權(quán)限����。不同角色的用戶具有不同的權(quán)限�����,每一種用戶都不能越權(quán)操作。(2)實驗步驟
第一步:用戶管理員登錄
使用的默認的“Admin”帳號登錄系統(tǒng)(默認安裝時用戶“Admin”的密碼為“Admin”�����,強烈建議用戶管理員第一次登錄后修改該密碼)�。第二步:用戶查看
查看用戶列表里各用戶的狀態(tài)。第三步:新建一個用戶
在“用戶屬性配置“窗口添加該用戶的基本信息以及給該用戶分配權(quán)限��。第四步:驗證該用戶
用新建的用戶登錄系統(tǒng)���。第五步:驗證管理權(quán)限
用戶可以查看本系統(tǒng)的策略�����。
2���、RG-IDS策略管理
(1)原理傳感器使用策略來控制其所監(jiān)測的內(nèi)容,并對監(jiān)測到的事件作出響應�。您可以使用系統(tǒng)管理平臺所附帶的預定義策略,也可以從預定義策略派生新的策略����。預定義策略分別側(cè)重于用戶所關心的各種層面���,用戶可選擇適合自己的預定義策略直接應用�����?紤]到用戶的不同需求����,系統(tǒng)管理平臺提供了用戶自定義策略的功能��。用戶可以從預定義策略派生新的策略并且對新策略進行編輯���,用戶還可對其關心的部分攻擊簽名進行微調(diào)���,以便更符合用戶的需要。
在策略管理中�,用戶需要配置安全事件的響應方式。這些響應方式包括Console顯示�、WriteDB、SNMPTrap�����、E-mail、OPSEC以及用戶自定義響應�。其中除Console顯示和WriteDB不需要配置,其他響應方式均需要做相應的配置工作(2)實驗步驟
第一步:策略編輯界面瀏覽
點擊主界面上的“策略”按鈕�,切換到策略編輯器界面,策略編輯器的窗口分為四個區(qū)域�。通過“策略編輯器”窗口,可以新建�、派生、修改���、刪除���、查看、導入和導出策略�。第二步:派生新策略
在策略模板區(qū)域選中一個預定義策略AttackDetector,右鍵單擊該策略�,在出現(xiàn)的菜單中選擇“派生策略”。第三步:策略編輯
策略中可以選擇用戶所關注的事件簽名進行檢測�,編輯策略的步驟如下:
1)點擊一個自定義策略。
2)點擊“編輯鎖定”以確保其他人不能同時更改策略�����。3)在攻擊簽名窗口展開攻擊簽名。4)“選中”或“取消選中”攻擊簽名���。5)為攻擊簽名選擇響應方式�。6)點擊“保存策略”�����。
第四步:策略鎖定和解除策略鎖定
鎖定策略時����,在策略管理窗口點擊快捷按鈕“編輯鎖定”���,策略管理窗口被鎖定��。當多用戶同時登錄控制臺時�����,當前用戶可以編輯策略����,其他用戶不能修改�����。
接觸策略鎖定時,在策略管理窗口點擊快捷按鈕“解除鎖定”�����,編輯權(quán)限被釋放�����,當多用戶同時登錄控制臺時�����,允許其他某個用戶編輯策略����。第五步:導出策略
右鍵點擊一個策略,選擇“導出策略”����。第六步:導入策略
右鍵點擊某個策略,選擇“導入策略”����。第七步:策略應用
打開“組件”�����,在EC引擎上點擊右鍵�����,選擇“應用策略”�。
3��、配置交換機端口鏡像
(1)原理交換機的端口鏡像特性可以允許管理員對網(wǎng)絡中的特定流量進行鏡像分析�����。即在交換機上��,對特定流量進行復制并發(fā)送到指定端口���。
(2)實驗步驟
第一步:定義需要鏡像的特定流量第二步:配置鏡像流量的流出端口第三步:驗證測試
4、端口掃描攻擊檢測
(1)原理端口掃描向目標主機的TCP/IP服務端口發(fā)送探測數(shù)據(jù)包����,并記錄目標主機的響應。通過分析響應來判斷服務端口是打開還是關閉���,就可以得知端口提供的服務或信息����。端口掃描也可以通過捕獲本地主機或服務器的流入流出IP數(shù)據(jù)包來監(jiān)視本地主機的運行情況,它僅能對接收到的數(shù)據(jù)進行分析����,幫助我們發(fā)現(xiàn)目標主機的某些內(nèi)在的弱點,而不會提供進入一個系統(tǒng)的詳細步驟�����。
端口掃描技術(shù)行為作為惡意攻擊的前奏��,嚴重威脅用戶的網(wǎng)絡���,RG-IDS通過掃描的行為特征準確的識別出惡意的掃描行為���,并及時通知管理員。
本實驗通過攻擊者常用的portscan12端口掃描工具進行端口掃描攻擊���,檢驗RG-IDS對端口掃描攻擊的檢測能力�����。(2)實驗步驟第一步:策略編輯
點擊主界面上的“策略”按鈕��,切換到策略編輯器界面����,從現(xiàn)有的策略模板中生成一個新的策略。新的策略中選擇“tcp:portscan”簽名��,并將策略下發(fā)到引擎�。第二步:實施攻擊
啟動端口掃描攻擊程序。第三步:查看警報
進入RG-IDS控制臺�����,通過“安全事件”組件��,查看IDS檢測的安全事件信息
5�����、DoS攻擊檢測
(1)原理WebDoS主要是用來攻擊Web頁面��。攻擊者向目標主機上開銷比較大的CGI頁面發(fā)起HTTP請求�����,造成目標主機拒絕服務����。攻擊者模擬多個用戶(多少線程就是多少用戶)不停地進行訪問,訪問那些需要大量數(shù)據(jù)操作�����,即需要消耗大量CPU資源的頁面�。這種攻擊和正常的Web訪問很類似,因此攻擊者可以很好地隱藏自己���,也可以繞開防火墻��。
WebCC攻擊方法較為簡單����,易被黑客所掌握����。因此此類攻擊嚴重威脅用戶的正常的Web資源,RG-IDS通過行為特征準確地識別出惡意的行為�,并及時產(chǎn)生告警。(2)實驗步驟
第一步:搭建Web服務器
將Webserverv12.exe工具拷貝到被攻擊機172.16.5.125中�,并運行該軟件����,使被攻擊機不用做任何配置即可當做一臺簡易的Web服務器����。第二步:策略編輯
點擊主界面上的“策略”按鈕,切換到策略編輯器界面�,從現(xiàn)有的策略模板中生成一個新的策略。新的策略中選擇“”下的“Webcc”簽名�����,設置該簽名的參數(shù):WebHOST為“172.16.5.125”����,保存策略,并將策略應用到引擎設備上�����。第三步:實施攻擊
在MS-DoS下運行Webcc.exe文件�����,啟動WebCC攻擊程序�。命令格式為:“Webcc要攻擊的Web服務器地址要刷新的Web頁的路徑要攻擊的Web服務器端口”。第四步:查看警報
進入RG-IDS控制臺�����,通過“安全事件”組件�,查看IDS檢測的安全事件信息,
6��、密碼策略審計
(1)原理密碼攻擊是駭客攻擊時最常用到的方式之一���,利用密碼的猜測�、暴力破解等方法來掌握關鍵帳號的密碼�����,已達到控制遠程機器的目的����。
防范此種攻擊最常用的方法是保障密碼的強度,即對帳號所使用的密碼長度�、復雜度(使用大小寫、字母�����、數(shù)字、非標準字符等進行組合)進行強制性要求����。
本實驗通過模擬某FTP服務器登錄帳號密碼使用簡單密碼,IDS將及時產(chǎn)生告警��。(2)實驗步驟第一步:策略編輯
點擊主界面上的“策略”按鈕����,切換到策略編輯器界面,從現(xiàn)有的策略模板中生成一個新的策略��。
第二步:使用弱密碼進行登錄
在FTP服務器上建立帳戶“test01”���、“test02”�����,密碼分別是“123456”和“test02”����。在FTP客戶端機器上分別使用帳戶“test01”、“test02”進行登錄。第三步:查看警報
進入RG-IDS控制臺����,通過“安全事件”組件���,查看IDS檢測的安全事件信息�,如下圖第四步:修改策略
在RG-IDS控制臺中修改策略參數(shù)�,將“ALERTPASSWORDS”的值修改為“1”,保存并應用策略到IDS當中��。
第五步:重新登錄FTP服務器
重復第二�����、三步驟��,觀察報警詳細信息的差異����,告警信息中將顯示出不安全的密碼。
7��、IIS服務漏洞攻擊檢測
(1)原理IIS(InternetInformationService)可以讓有條件的用戶輕易地建立一個本地化的網(wǎng)站服務器����,同時提供HTTP訪問、文件傳輸(FTP)服務以及郵件服務等。
但是IIS服務漏洞或缺口層出不窮���,黑客不僅僅可以利用其漏洞停滯計算機的對外網(wǎng)絡服務�����,更可修改其中的主頁內(nèi)容��,甚至利用其漏洞進入到計算機內(nèi)部��,刪改主機上的文件��。以“擴展UNICODE目錄遍歷漏洞”為例�����,黑客就可以利用工具軟件(如:IISCracker)進入到計算機內(nèi)部���。通過“IISCracker”入侵成功后,可以查看對方主機上的文件����,通過遠程控制入侵,黑客擁有對主機上的主頁和文件進行竊取��、修改和刪除等權(quán)限。
本實驗通過“IISCracker”工具攻擊開放IIS服務的Web服務器��,并獲得權(quán)限�。RG-IDS能及時準確地檢測出該類攻擊,并將警告上報控制臺��。(2)實驗步驟
第一步:使用Windows的IIS組件搭建Web服務器
第二步:策略編輯
點擊主界面上的“策略”按鈕�����,切換到策略編輯器界面�����,從現(xiàn)有的策略模板中生成一個新的策略����。
第二步:實施攻擊
啟動IIS攻擊程序第四步:查看警報
進入RG-IDS控制臺��,通過“安全事件”組件�����,查看IDS檢測的安全事件信息
7�、緩沖區(qū)溢出攻擊檢測
(1)原理Win32.Sasser.A是一個通過Windows201*�、WindowsXP和WindowsServer201*的系統(tǒng)漏洞(MS04-011)傳播的蠕蟲病毒�,病毒文件長度為15872字節(jié)。遠程攻擊者可以利用這個漏洞以SYSTEM權(quán)限在系統(tǒng)上執(zhí)行任意指令�,利用這個漏洞最有名的攻擊就是“震蕩波”病毒。微軟的Server服務中的漏洞可能允許遠程執(zhí)行代碼���,這是一個比較嚴重的漏洞���,從Windows201*SP4到WindowsXPSP2再到Windows201*SP1,還有64位操作系統(tǒng)�����,無一幸免�。這個漏洞的最著名的利用就是“魔波”(MS06-040)蠕蟲病毒。
RG-IDS通過檢測該溢出攻擊發(fā)生時的網(wǎng)絡行為特征(基于客戶系統(tǒng)已存在的漏洞)���。
(2)實驗步驟第一步:策略編輯
點擊主界面上的“策略”按鈕���,切換到策略編輯器界面,從現(xiàn)有的策略模板中生成一個新的策略�����。
第二步:實施攻擊
1、MS04-011
選擇開始菜單-metasploit3-metasploit3GUI�,打開metasploit程序。2�����、MS06-040
依次選擇exploits-windows-smb����,在下面的漏洞列表中雙擊ms06_040_netapi。第三步:查看警報
進入RG-IDS控制臺����,通過“安全事件”組件����,查看IDS檢測的安全事件信息
友情提示:本文中關于《入侵檢測復習重點》給出的范例僅供您參考拓展思維使用,入侵檢測復習重點:該篇文章建議您自主創(chuàng)作��。
來源:網(wǎng)絡整理 免責聲明:本文僅限學習分享����,如產(chǎn)生版權(quán)問題,請聯(lián)系我們及時刪除����。
《
入侵檢測復習重點》由互聯(lián)網(wǎng)用戶整理提供,轉(zhuǎn)載分享請保留原作者信息,謝謝!
鏈接地址:http://www.weilaioem.com/gongwen/747917.html
