第六章 入侵检测与安全审计分析.ppt

* * * * * * * 3.2 分布式入侵检测系统 系统的构成是开放的、分布式的，多个功能构件分工合作 能够检测分布式的攻击 3.3 典型入侵检测系统——Snort Snort 是一个强大的轻量级的网络入侵检测系统。 它具有实时数据流量分析和日志IP 网络数据包的能力，能够进行协议分析，对内容进行搜索/匹配。 它能够检测各种不同的攻击方式，对攻击进行实时报警。 Snort 可以运行在*nix/Win32 平台上。 工作原理 在基于共享网络上检测原始的网络传输数据，通过分析捕获的数据包，匹配入侵行为的特征或者从网络活动的角度检测异常行为，进而采取入侵的预警或记录。属于基于误用的检测。 初始化 解析命令行 解析规则库 打开libpcap接口 获取数据包 解析数据包 生成二维链表 与二维链表某 节点匹配？ 响应 （报警、日志） 是 否 Snort工作流程图 3.4 入侵检测系统的应用 实例 分支机构2 INTERNET 分支机构1 NEsec300 FW 2 0 3 5 9 6 8 ? 告 警 内网接口 外网接口 电 源 内部核心子网 NEsec300 FW 2 0 3 5 9 6 8 ? 告 警 内网接口 外网接口 电 源 NEsec300 FW 2 0 3 5 9 6 8 ? 告 警 内网接口 外网接口 电 源 NEsec300 FW 2 0 3 5 9 6 8 ? 告 警 内网接口 外网接口 电 源 交换机 安全网关SG1 安全网关SG2 安全网关SG3 路由器 路由器 路由器 安全管理器 安全认证服务器 网络入侵检测探头 网络入侵策略管理器 4. 安全审计基础 为何我们需要安全审计？ 一旦我们采用的防御体系被突破怎么办？至少我们必须知道系统是怎样遭到攻击的，这样才能恢复系统，此外我们还要知道系统存在什么漏洞，如何能使系统在受到攻击时有所察觉，如何获取攻击者留下的证据。网络安全审计的概念就是在这样的需求下被提出的，它相当于飞机上使用的“黑匣子”。 网络安全审计系统能帮助我们对网络安全进行实时监控，及时发现整个网络上的动态，发现网络入侵和违规行为，忠实记录网络上发生的一切，提供取证手段。它是保证网络安全十分重要的一种手段。 安全审计的概念及目的 计算机网络安全审计（Audit）是通过一定的安全策略，利用记录及分析系统活动和用户活动的历史操作事件，按照顺序检查、审查和检验每个事件的环境及活动，发现系统的漏洞和入侵行为并改进系统的性能和安全。 其中系统活动包括操作系统和应用程序进程的活动； 用户活动包括用户在操作系统中和应用程序中的活动，如用户使用何种资源、使用的时间、执行何种操作等方面。 安全审计就是对系统的记录与行为进行独立的审查与估计。 CC标准中的网络安全审计功能定义 网络安全审计包括识别、记录、存储、分析与安全相关行为有关的信息。在CC标准中对网络审计定义了一套完整的功能，有： 安全审计自动响应 安全审计数据生成 安全审计分析 安全审计浏览 安全审计事件存储 安全审计事件选择 * * 目的及意义 对潜在的攻击者起到重大震慑和警告作用 测试系统的控制是否恰当，以便进行调整，保证与既定安全策略和操作协调一致 对已发生的破坏行为，作出损害评估并提供有效的灾难恢复依据和追究责任的证据 对系统控制、安全策略与规程中特定的改变作出评价和反馈，便于修订决策和部署 为系统管理员提供有价值的系统使用日志，帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞 * * 安全审计的类型 系统级审计 登录情况、登录识别号、每次登录尝试的日期和时间、每次退出的日期和时间、所使用的设备、登录后运行的内容、如用户启动应用的尝试，无论是成功还是失败。典型的系统级日志还包括和安全无关的信息，如系统操作、费用记账和网络性能。 应用级审计 打开和关闭数据文件、读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。 用户级审计 用户直接启动的所有命令、用户所有的鉴别和认证尝试、用户所访问的文件和资源等方面。 4.1 安全审计系统 网络层审计 系统层审计 应用层审计 TCP/IP、ATM… UNIX、Windows 9x/NT、ODBC 审计总控 CA发证操作 主页更新监视 … 网络安全审计层次结构图 * * 安全审计系统基本结构 系统事件 安全事件 应用事件 网络事件 其他事件 审计发生器 审计发生器 审计发生器 审计发生器 审计发生器 日志 记录器 日志 分析器 审计分析报告 日志 文件 审计策略 和规则 * * 安全审计系统特点 细粒度的网络内容审计 全面的网络行为审计 综合流量分析 * * 技术分类 日志安全审计 收集日志，进行统一管理、分析和报警。 主机安全审计 通过在服务器、用户电脑或其他审计对象