【正文】 ，性能不能適應需要 通用芯片 +嵌入式操作系統(tǒng) +特制軟件系統(tǒng)，大家處在幾乎相同的檔次，拉不開距離 專用芯片，性能高，開發(fā)投入大，一旦成功較容易保持領先地位 國產(chǎn)防火墻同國外先進產(chǎn)品存在明顯差距 政策壁壘相對小，國外 /外資產(chǎn)品在個別領域受到限制 ********************************入侵檢測 *************************************** 入侵檢測（ IDS）： 部署在指定的網(wǎng)段上（一般在防火墻里面）及早發(fā)現(xiàn)具有入侵特征的網(wǎng)絡通信行為，并啟動有關的處置（比如切斷連接等）的系統(tǒng) 入侵檢測的類型： 面向網(wǎng)絡的：在共享的網(wǎng)絡或者交換網(wǎng)絡的監(jiān)聽端口上部署，從網(wǎng)絡流量中識別攻擊特征串（比如緩沖區(qū)溢出攻擊中使用的攻擊代碼） 面向主機的：從主機的系統(tǒng)調(diào)用攔截、審計日志分析等渠道獲取數(shù)據(jù)、識別攻擊特征 入侵檢測原理 入侵行為有一定的規(guī)律，通過對網(wǎng)絡流量和主機審計記錄的分析可以判斷 判斷有時間限制，只有趕在穿透成功之前實現(xiàn)識 別和響應，才能達到攔截的效果 公式： PtDt+Rt （入侵檢測在公式成立時才有意義） Pt： 穿透時間 Dt: 檢測時間 Rt: 響應時間 網(wǎng)絡安全復習（簡潔版） 時光可見 第 6 頁 202227 問題：問什么有了防火墻還需要入侵檢測？ 防火墻是非常好的訪問控制點，但并不善于防止入侵。 入侵檢測的起源 1980 年， James Anderson 最早提出 《計算機安全威脅監(jiān)控與監(jiān)視》： 入侵檢測概念 1987 年， D． E． Denning 首次給出了一個入侵檢測的抽象模型，并將入侵檢測作為一種新的安全防御措施提出。 1988 年， Morris 蠕蟲事件直接 刺激了 IDS 的研究 1988 年，創(chuàng)建了基于主機的系統(tǒng) ,有 IDES， Haystack 等 1989 年，提出基于網(wǎng)絡的 IDS 系統(tǒng) ,有 NSM， NADIR， DIDS 等 90 年代，不斷有新的思想提出，如將人工智能、神經(jīng)網(wǎng)絡、模糊理論、證據(jù)理論、分布計算技術等引入 IDS 系統(tǒng) 2022 年 2 月，對 Yahoo！、 Amazon、 CNN 等大型網(wǎng)站的 DDOS 攻擊引發(fā)了對 IDS 系統(tǒng)的新一輪研究熱潮 2022 年～今， RedCode、求職信等新型病毒的不斷出現(xiàn)，進一步促進了 IDS 的發(fā)展。 入侵檢測系統(tǒng)包括三個功能部件 （ 也就是入侵檢測 分為三步：信息收集、信息分析、信息處理 ） 信息收集 收集內(nèi)容包括：系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為 入侵檢測很大程度上依賴于收集信息的可靠性和正確性，要保證用來檢測網(wǎng)絡系統(tǒng)的軟件的完整性，特別是入侵檢測系統(tǒng)軟件本身應具有相當?shù)膱怨绦?，防止被篡改而收集到錯誤的信息 信息收集的來源 系統(tǒng)或網(wǎng)絡的日志文件 網(wǎng)絡流量 系統(tǒng)目錄和文件的異常變化 程序執(zhí)行中的異常行為 信息分析 （模式匹配、統(tǒng)計分析、完整性分析） 模式匹配：就是將收集到的信息與已知的網(wǎng)絡入 侵和系統(tǒng)誤用模式數(shù)據(jù)進行比較，從而發(fā)現(xiàn)違背安全策略的行為 統(tǒng)計分析：首先給系統(tǒng)對象（用戶、文件、目錄和設備等）創(chuàng)建一個系統(tǒng)描述，網(wǎng)絡安全復習（簡潔版） 時光可見 第 7 頁 202227 統(tǒng)計正常使用時的一些測量屬性（訪問次數(shù)、操作失敗次數(shù)和延時等） 完整性分析（往往用于事后分析）：主要關注某個文件或對象是否被更改，包括文件和目錄的內(nèi)容及屬性。在發(fā)現(xiàn)被更改的，被安裝木馬的應用程序方面特別有效。 結果處理 誤報：系統(tǒng)錯誤地將異常活動定義為入侵 漏報：系統(tǒng)未能檢測出真正的入侵行為 入侵檢測分類： 按照分析方法 ：異常檢測、誤用檢測 按照數(shù)據(jù)來源：基于主機、基于網(wǎng)絡 異常檢測模型： 首先總結正常操作應該具有的特征（用戶輪廊），當用戶活動與正常行為有重大偏離時即被認為是入侵 異常檢測： 前提：入侵是異?；顒拥淖蛹? 用戶輪廓 (Profile): 通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍 過程 指標 :漏報率低 ,誤報率高 異常檢測的特點： 異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率 因為不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵 系統(tǒng)能針對用戶行為的改 變進行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源 誤用檢測模型：收集非正常操作的行為特征，建立相關的特征庫，當監(jiān) 測的用 戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵 誤用檢測： 前提：所有的入侵行為都有可被檢測到的特征 攻擊特征庫 : 當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵 過程 指標 :誤報低、漏報高 誤用檢測特點： 采用特征匹配，濫用模式能明 顯降低錯報率，但漏報率隨之增加。 攻擊特征的細微變化，會使得濫用檢測無能為力 基于主機：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機，保護的目標也是系統(tǒng)運行所在的主機 1 基于網(wǎng)絡：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡傳輸?shù)臄?shù)據(jù)包，保護的是網(wǎng)絡的運行 1 入侵檢測響應機制 網(wǎng)絡安全復習（簡潔版） 時光可見 第 8 頁 202227 彈出窗口報警 通知 切斷 TCP 連接 執(zhí)行自定義程序 與其他安全產(chǎn)品交互： firewall、 SNMP Trap 1蜜罐： 一個高級的網(wǎng)絡節(jié)點可以采用路由器把攻擊者引導到一個經(jīng)過特殊裝備的系統(tǒng)上，這種 系統(tǒng)被成為蜜罐 。 蜜罐的分類： 交互性：攻擊者在蜜罐中活動的交互性級別 低交互型－虛擬蜜罐 高交互型－物理蜜罐 虛擬機蜜罐－虛擬硬件、真實操作系統(tǒng) /網(wǎng)絡服務 蜜罐技術的優(yōu)勢： 高度保真的小數(shù)據(jù)集 低誤報率 低漏報率 能夠捕獲新的攻擊方法及技術 并不是資源密集型 原理簡單，貼近實際 蜜罐技術的發(fā)展歷程：蜜罐 —蜜網(wǎng) —蜜場 蜜罐技術研究熱點：虛擬蜜罐工具、蜜網(wǎng)體系框架、蜜場、客戶端蜜罐 —捕獲并分析針對客戶端的安全威脅 蜜網(wǎng)技術實質上就是一種研究型、 高交互型的蜜罐技術，是一個體系框架 蜜網(wǎng)技術的核心需求： 數(shù)據(jù)控制機制 數(shù)據(jù)捕獲機制 數(shù)據(jù)分析機制 1 CIDF 是一套規(guī)范，它定義了 IDS 表達檢測信息的標準語言以及 IDS 組件之間的通信協(xié)議 1 CIDF 的規(guī)格文檔由四部分組成，分別為： 體系結構：闡述了一個標準的 IDS 的通用模型 規(guī)范語言：定義了一個用來描述各種檢測信息的標準語言 內(nèi)部通訊：定義了 IDS 組件之間進行通信的標準協(xié)議 程序接口：提供了一整套標準的應用程序接口 第四知識點 漏洞與攻擊 漏洞是程序的一種 客觀存在的脆弱性，可以被利用來實施攻擊 攻擊是對漏洞的最直觀的驗證方式，攻擊在某些條件下也是最好的防御 擁塞： 因處理能力或某種必備資源不足而產(chǎn)生的失去服務能力的現(xiàn)象，也叫 ―拒絕服務 ‖（ Denial of service） 人為造成目標主機或網(wǎng)絡處于擁塞狀態(tài)的行為，稱為 ―拒絕服務攻擊 ‖ 拒絕服務攻擊不可能對目標主機進行實質性的破壞，但可能造成因服務停頓而帶來網(wǎng)絡安全復習（簡潔版） 時光可見 第 9 頁 202227 的損失（可能非常之巨大） 主要的攻擊方式：郵件炸彈攻擊 （垃圾郵件與郵件炸彈） 、 ping 風暴攻擊、同步風暴攻擊、 IP 碎片攻擊、分 布式拒絕服務攻擊 同步風暴攻擊： 英文 Syn flood，是利用 TCP 三次握手中的漏洞造成主機擁塞 同步風暴攻擊為什么能夠得手 目標系統(tǒng)有漏洞 具體地說，握手機制的實現(xiàn)，順序有問題 ——申請開銷過早 如果先花費少量開銷維持握手狀態(tài)，等到對方的 ACK 來了之后再申請真正的開銷，情況就會好得多 同步風暴攻擊 應對 目標系統(tǒng)更新版本，握手機制的實現(xiàn)采用新順序，推遲申請開銷的時機 安裝 IDS 發(fā)現(xiàn)可疑 IP 立即封鎖 各個 ISP 聯(lián)防協(xié)查 IP 碎片攻擊原理 所有攻擊，都是 在報片偏移上做文章 Jolt2（右界溢出）：在報片重組時造成溢出，一些未打補丁的 windows 系統(tǒng)會造成藍屏、死機 Teardrop（報片重疊 0：在報片重組時造成重疊，一些老的 linux 版本在遇到重疊時會導致系統(tǒng)崩潰（重疊） 分布式拒絕服務攻擊： 英文 Distributed Denial of Service，簡稱 DdoS。 顧名思義，是多個攻擊源同時攻擊，造成目標系統(tǒng)擁塞 。 每個攻