【正文】 防御系統(tǒng)工作過程 ? 捕獲信息； ? 檢測(cè)異常信息； ? 反制異常信息； ? 報(bào)警； ? 登記。 得到流經(jīng)關(guān)鍵網(wǎng)段的信息流。 異常指包含非法代碼，包含非法字段值，與已知攻擊特征匹配等。 反制是丟棄與異常信息具有相同源 IP地址，或者相同目的 IP地址的 IP分組，釋放傳輸異常信息的 TCP連接等。 向網(wǎng)絡(luò)安全管理員報(bào)告檢測(cè)到異常信息流的情況，異常信息流的特征、源和目的 IP地址，可能實(shí)施的攻擊等。 記錄下有關(guān)異常信息流的一切信息，以便對(duì)其進(jìn)行分析。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 主機(jī)入侵防御系統(tǒng)工作過程 ? 攔截主機(jī)資源訪問操作請(qǐng)求和網(wǎng)絡(luò)信息流； ? 采集相應(yīng)數(shù)據(jù)； ? 確定操作請(qǐng)求和網(wǎng)絡(luò)信息流的合法性； ? 反制動(dòng)作； ? 登記和分析。 主機(jī)攻擊行為的最終目標(biāo)是非法訪問網(wǎng)絡(luò)資源，或者感染病毒，這些操作的實(shí)施一般都需要調(diào)用操作系統(tǒng)提供的服務(wù)，因此，首要任務(wù)是對(duì)調(diào)用操作系統(tǒng)服務(wù)的請(qǐng)求進(jìn)行檢測(cè)，根據(jù)調(diào)用發(fā)起進(jìn)程，調(diào)用進(jìn)程所屬用戶，需要訪問的主機(jī)資源等信息確定調(diào)用的合法性。同時(shí)，需要對(duì)進(jìn)出主機(jī)的信息進(jìn)行檢測(cè)，發(fā)現(xiàn)非法代碼和敏感信息。 入侵防御系統(tǒng)工作過程 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 入侵防御系統(tǒng)的不足 ? 主機(jī)入侵防御系統(tǒng)是被動(dòng)防御，主動(dòng)防御是在攻擊信息到達(dá)主機(jī)前予以干預(yù)，并查出攻擊源，予以反制。另外，每一臺(tái)主機(jī)安裝主機(jī)入侵防御系統(tǒng)的成本和使安全策略一致的難度都是主機(jī)入侵防御系統(tǒng)的不足； ? 網(wǎng)絡(luò)入侵防御系統(tǒng)能夠?qū)崿F(xiàn)主動(dòng)防御，但只保護(hù)部分網(wǎng)絡(luò)資源，另外對(duì)未知攻擊行為的檢測(cè)存在一定的難度。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 入侵防御系統(tǒng)發(fā)展趨勢(shì) ? 融合到操作系統(tǒng)中 主機(jī)入侵防御系統(tǒng)的主要功能是監(jiān)測(cè)對(duì)主機(jī)資源的訪問過程，對(duì)訪問資源的合法性進(jìn)行判別，這是操作系統(tǒng)應(yīng)該集成的功能。 ? 集成到網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備中 所有信息流都需經(jīng)過轉(zhuǎn)發(fā)設(shè)備進(jìn)行轉(zhuǎn)發(fā)，因此，轉(zhuǎn)發(fā)設(shè)備是檢測(cè)信息流的合適之處。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 網(wǎng)絡(luò)入侵防御系統(tǒng) ? 系統(tǒng)結(jié)構(gòu)； ? 信息捕獲機(jī)制； ? 入侵檢測(cè)機(jī)制； ? 安全策略。 網(wǎng)絡(luò)入侵防御系統(tǒng)首先是捕獲流經(jīng)網(wǎng)絡(luò)的信息流，然后對(duì)其進(jìn)行檢測(cè)，并根據(jù)檢測(cè)結(jié)果確定反制動(dòng)作，檢測(cè)機(jī)制、攻擊特征庫和反制動(dòng)作由安全策略確定。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 系統(tǒng)結(jié)構(gòu) ? 探測(cè)器 1處于探測(cè)模式，需要采用相應(yīng)捕獲機(jī)制才能捕獲信息流，探測(cè)器 2處于轉(zhuǎn)發(fā)模式； ? 探測(cè)器 1只能使用釋放 TCP連接的反制動(dòng)作，探測(cè)器 2可以使用其他反制動(dòng)作； ? 為了安全起見，探測(cè)器和管理服務(wù)器用專用網(wǎng)絡(luò)實(shí)現(xiàn)互連。 交換機(jī) 集線器 探測(cè)器 1 安全管理器 服務(wù)器 管理端口 探測(cè)器 2 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 信息捕獲機(jī)制 ? 利用集線器的廣播傳輸功能，從集線器任何端口進(jìn)入的信息流，將廣播到所有其他端口。 終端 A 終端 B 終端 C 探測(cè)模式探測(cè)器 集線器 利用集線器捕獲信息機(jī)制 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 端口境像功能是將交換機(jī)某個(gè)端口（如圖中的端口 2）作為另一個(gè)端口（如圖中的端口 1）的境像，這樣，所有從該端口輸出的信息流，都被復(fù)制到境像端口，由于境像端口和其他交換機(jī)端口之間的境像關(guān)系是動(dòng)態(tài)的，因此，連接在端口 2的探測(cè)器，可以捕獲從交換機(jī)任意端口輸出的信息流。 信息捕獲機(jī)制 終端 A 終端 B 終端 C 探測(cè)模式探測(cè)器 交換機(jī) 1 2 利用端口境像捕獲信息機(jī)制 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 跨交換機(jī)端口境像功能是將需要檢測(cè)的端口和連接探測(cè)模式的探測(cè)器端口之間交換路徑所經(jīng)過交換機(jī)端口劃分為一個(gè)特定的 VLAN； ? 從檢測(cè)端口進(jìn)入的信息除了正常轉(zhuǎn)發(fā)外，在該特定 VLAN內(nèi)廣播。 信息捕獲機(jī)制 終端 A 終端 B 終端 C 探測(cè)模式探測(cè)器 交換機(jī) 1 1 2 1 交換機(jī) 2 2 3 利用跨交換機(jī)端口境像捕獲信息機(jī)制 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 通過分類器鑒別出具有指定源和目的 IP地址、源和目的端口號(hào)等屬性參數(shù)的 IP分組； ? 為這些 IP分組選擇特定的傳輸路徑； ? 虛擬訪問控制列表允許這些 IP分組既正常轉(zhuǎn)發(fā)，又從特定傳輸路徑轉(zhuǎn)發(fā)； ? 通過特定傳輸路徑轉(zhuǎn)發(fā)的 IP分組到達(dá)探測(cè)器。 信息捕獲機(jī)制 終端 A 終端 B 終端 C 探測(cè)模式探測(cè)器 交換機(jī) 1 2 虛擬訪問控制列表 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 入侵檢測(cè)機(jī)制 攻擊特征檢測(cè) ? 從已知的攻擊信息流中提取出有別于正常信息流的特征信息； ? 特征信息分為元攻擊特征和有狀態(tài)攻擊特征； ? 元攻擊特征是單個(gè)獨(dú)立的攻擊特征，只要信息流中出現(xiàn)和元攻擊特征相同的位流或字節(jié)流模式，即可斷定發(fā)現(xiàn)攻擊； ? 有狀態(tài)攻擊特征是將整個(gè)會(huì)話分成若干階段，攻擊特征分散出現(xiàn)在多個(gè)階段對(duì)應(yīng)的信息流中，只有按照階段順序，在每一個(gè)檢測(cè)到指定的攻擊特征才可斷定發(fā)現(xiàn)攻擊； ? 攻擊特征只能檢測(cè)出已知攻擊，即提取出攻擊特征的攻擊行為。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 協(xié)議譯碼 ? IP分組的正確性，如首部字段值是否合理，整個(gè)TCP首部是否包含單片數(shù)據(jù)中，各個(gè)分片的長(zhǎng)度之和是否超過 64KB等； ? TCP報(bào)文的正確性，如經(jīng)過 TCP連接傳輸?shù)?TCP報(bào)文的序號(hào)和確認(rèn)序號(hào)之間是否沖突，連續(xù)發(fā)送的 TCP報(bào)文序號(hào)范圍和另一方發(fā)送的窗口是否沖突，各段數(shù)據(jù)的序號(hào)范圍是否重疊等； ? 應(yīng)用層報(bào)文的正確性，請(qǐng)求、響應(yīng)過程是否合乎協(xié)議規(guī)范；各個(gè)字段值是否合理，端口號(hào)是否和默認(rèn)應(yīng)用層協(xié)議匹配等。 入侵檢測(cè)機(jī)制 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 異常檢測(cè) ? 基于統(tǒng)計(jì)機(jī)制，在一段時(shí)間內(nèi)，對(duì)流經(jīng)特定網(wǎng)段的信息流進(jìn)行統(tǒng)計(jì)，如單位時(shí)間特定源和目的終端之間的流量、不同應(yīng)用層報(bào)文分布等，將這些統(tǒng)計(jì)值作為基準(zhǔn)統(tǒng)計(jì)值。然后，實(shí)時(shí)采集流經(jīng)該網(wǎng)段的信息流，并計(jì)算出單位時(shí)間內(nèi)的統(tǒng)計(jì)值，然后和基準(zhǔn)統(tǒng)計(jì)值比較，如果多個(gè)統(tǒng)計(jì)值和基準(zhǔn)統(tǒng)計(jì)值存在較大偏差，斷定流經(jīng)該網(wǎng)段的信息流出現(xiàn)異常； ? 基于規(guī)則機(jī)制，通過分析大量異常信息流，總結(jié)出一些特定異常信息流的規(guī)則，一旦流經(jīng)該網(wǎng)段的信息流符合某種異常信息流對(duì)應(yīng)的規(guī)則，斷定該信息流為異常信息流。 入侵檢測(cè)機(jī)制 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 異常檢測(cè)的困難之處在于正常信息流和異常信息流的測(cè)量值之間存在重疊部分，必須在誤報(bào)和漏報(bào)之間平衡； ? 根據(jù)被保護(hù)資源的重要性確定基準(zhǔn)值（靠近 A點(diǎn)或 B點(diǎn) )。 入侵檢測(cè)機(jī)制 測(cè)量值或行為 發(fā)生概率 正常訪 問過程 攻擊過程 重疊部分 A B 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 安全策略 .1/ 24 W eb 服務(wù)器 .3/ 24 FT P 服務(wù)器 Int er 網(wǎng)絡(luò)入侵防御系統(tǒng) 規(guī)則編號(hào) 源 IP 地址 目的 IP 地址 服務(wù) 攻擊特征庫 / 類型 動(dòng)作 1 任意 .1/ 32 H T T P H T T P －嚴(yán)重 SY N 泛洪 交互式信息 源 IP 阻塞 丟棄 IP 分組 源 IP 阻塞 2 任意 .3/ 32 FT P FT P －嚴(yán)重 SY N 泛洪 交互式信息 源 IP 阻塞 丟棄 IP 分組 源 IP 阻塞 ? 安全策略指定需要檢測(cè)的信息流類別、檢測(cè)機(jī)制和反制動(dòng)作，對(duì)于攻擊特征檢測(cè)，需要給出攻擊特征庫； ? 由于攻擊和應(yīng)用層協(xié)議相關(guān)，因此對(duì)應(yīng)不同的應(yīng)用層協(xié)議存在不同的攻擊特征庫； ? 對(duì)同一類別信息流，可以指定多種檢測(cè)機(jī)制，對(duì)不同檢測(cè)機(jī)制檢測(cè)到的攻擊行為采取不同的反制動(dòng)作。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 主機(jī)入侵防御系統(tǒng) ? 工作流程； ? 截獲機(jī)制； ? 主機(jī)資源； ? 用戶和系統(tǒng)狀態(tài)； ? 訪問控制策略； ? Honeypot。 主機(jī)入侵防御系統(tǒng)主要用于防止對(duì)主機(jī)資源的非法訪問和病毒入侵，因此，必須通過訪問控制策略設(shè)定主機(jī)資源的訪問權(quán)限，截獲主機(jī)資源的操作請(qǐng)求，根據(jù)訪問控制策略、用戶和系統(tǒng)狀態(tài)及主機(jī)資源類型確定操作請(qǐng)求的合理性。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 工作流程 ? 主機(jī)入侵防御系統(tǒng)主要用于防止非法訪問和病毒入侵； ? 只允許對(duì)主機(jī)資源的合法操作正常進(jìn)行。 截獲操作請(qǐng)求 確定操作對(duì)象類型 采集和操作相關(guān) 的信息 系統(tǒng)狀態(tài) 訪問控制策略 操作決策 必須截獲所有調(diào)用操作系統(tǒng)服務(wù)的請(qǐng)求，尤其是對(duì)主機(jī)資源的操作請(qǐng)求，如讀寫文件、修改注冊(cè)表等。 判別某個(gè)操作請(qǐng)求的合法性，判別的依據(jù)是訪問控制策略、操作對(duì)象和類型、請(qǐng)求進(jìn)程及進(jìn)程所屬的用戶、主機(jī)系統(tǒng)和用戶狀態(tài)等。 只允許操作系統(tǒng)完成合法的操作請(qǐng)求。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 截獲機(jī)制 ?修改操作系統(tǒng)內(nèi)核 通過修改操作系統(tǒng)內(nèi)核，可以根據(jù)特權(quán)用戶配置的資源訪問控制陣列和請(qǐng)求操作的用戶確定操作的合法性，為了安全，可以對(duì)請(qǐng)求操作的用戶進(jìn)行身份認(rèn)證。 ?攔截系統(tǒng)調(diào)用 用戶操作請(qǐng)求和操作系統(tǒng)內(nèi)核之間增加檢測(cè)程序，對(duì)用戶發(fā)出的操作請(qǐng)求進(jìn)行檢測(cè)，確定是合法操作請(qǐng)求，才提供給操作系統(tǒng)內(nèi)核。 ?網(wǎng)絡(luò)信息流監(jiān)測(cè) 對(duì)進(jìn)出主機(jī)的信息流實(shí)施監(jiān)測(cè)，防止病毒入侵，也防止敏感信息外泄。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 攔截系統(tǒng)調(diào)用和進(jìn)出主機(jī)的息流的過程 截獲機(jī)制 應(yīng)用程序 系統(tǒng)調(diào)用攔截程序 操作系統(tǒng)內(nèi)核 主機(jī)資源 網(wǎng)絡(luò)信息流監(jiān)測(cè)器 應(yīng)用程序 系統(tǒng)調(diào)用攔截程序 T C P/I P 組件 網(wǎng)卡驅(qū)動(dòng)程序 網(wǎng)絡(luò)信息流 Int er 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 主機(jī)資源 主機(jī)資源是需要主機(jī)入侵防御系統(tǒng)保護(hù)的一切有用的信息和信息承載體，包括如下： ?網(wǎng)絡(luò)； ?內(nèi)存； ?進(jìn)程； ?文件； ?系統(tǒng)配置信息。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 用戶和系統(tǒng)狀態(tài) ?主機(jī)位置信息 主機(jī)位置和主機(jī)的安全程度相關(guān)，也影響著主機(jī)入侵防御系統(tǒng)對(duì)主機(jī)的保護(hù)力度。確定主機(jī)位置的信息有： IP地址、域名前綴、 VPN客戶信息等。 ?用戶狀態(tài)信息 不同用戶的訪問權(quán)限不同，用戶身份通過用戶名和口令標(biāo)識(shí)，用戶狀態(tài)信息給出用戶登錄時(shí)的用戶名?？诹畹?。 ?系統(tǒng)狀態(tài)信息 系統(tǒng)安全狀態(tài)，目前設(shè)置的安全等級(jí)、是否配置防火墻。是否安裝放病毒軟件，是否監(jiān)測(cè)到黑客攻擊等。 用戶和系統(tǒng)狀態(tài)確定主機(jī)入侵防御系統(tǒng)對(duì)主機(jī)資源的保護(hù)方式和力度。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 訪問控制策略 ? 訪問控制策略用于確定操作請(qǐng)求是否進(jìn)行； ? 訪問控制策略將用戶位置、系統(tǒng)狀態(tài)和資源訪問規(guī)則結(jié)合在一起； ? 用戶位置給出標(biāo)識(shí)用戶終端所在位置的信息，如IP地址； ? 系統(tǒng)狀態(tài)給出終端的安全狀態(tài)； ? 資源訪問規(guī)則對(duì)應(yīng)不同用戶、不同訪問請(qǐng)求發(fā)起者、不同資源定義了允許對(duì)資源進(jìn)行的訪問操作和違反規(guī)則所采取動(dòng)作。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 Honeypot ? Honeypot是一個(gè)偽裝成有豐富資源的的應(yīng)用服務(wù)器，用戶通過正常訪問過程是無法訪問到的，因此，對(duì) Honeypot進(jìn)行訪問的往往是攻擊程序； ? Honeypot的作用是對(duì)資源訪問過程進(jìn)行嚴(yán)密監(jiān)控，提取訪問者的特征信息，如偵察行為特征、滲透行為特征及攻擊行為特征等； ? Honeypot詳細(xì)記錄下訪問過程中的每一個(gè)操作，以便今后分析； ? 總之， Honeypot就像是一個(gè)四處安裝監(jiān)控器，沒有任何盲區(qū)的房間，可以在犯罪分子沒有覺察的情況下，察看他們的盡情表演，以此了解他們犯罪過程中的每一個(gè)細(xì)節(jié)。 169。 2022工程兵工程學(xué)院 計(jì)算機(jī)教研室 計(jì)算機(jī)網(wǎng)絡(luò)安全 第九章 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 第 9章 網(wǎng)絡(luò)管理和監(jiān)測(cè) ?SNMP和網(wǎng)絡(luò)管理； ?網(wǎng)絡(luò)綜合監(jiān)測(cè)系統(tǒng)。 網(wǎng)絡(luò)管理是保證網(wǎng)絡(luò)正常運(yùn)行的必要手段，網(wǎng)絡(luò)管理過程中需要在網(wǎng)絡(luò)管理工作站和網(wǎng)絡(luò)結(jié)點(diǎn)之間傳輸命令和響應(yīng)消息，這些消息的正確傳輸是網(wǎng)絡(luò)管理工作正常進(jìn)行的基礎(chǔ)。真正的安全控制需要監(jiān)測(cè)到網(wǎng)絡(luò)上發(fā)生的一切事情及這些事情對(duì)網(wǎng)絡(luò)安全的影響，網(wǎng)絡(luò)綜合監(jiān)測(cè)系統(tǒng)就用于實(shí)現(xiàn)這一點(diǎn)。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 SNMP和網(wǎng)絡(luò)管理 ? 網(wǎng)絡(luò)管理系統(tǒng)結(jié)構(gòu)； ? SNMPv1基本功能； ? SNMPv1缺陷； ? SNMPv3的安全機(jī)制。 網(wǎng)絡(luò)管理包含對(duì)網(wǎng)絡(luò)設(shè)備的配置、網(wǎng)絡(luò)運(yùn)行情況的監(jiān)測(cè)、故障診斷和恢復(fù)、網(wǎng)絡(luò)安全狀態(tài)的監(jiān)測(cè)和控制等，實(shí)現(xiàn)網(wǎng)絡(luò)管理需要多個(gè)系統(tǒng)協(xié)調(diào)工作，系統(tǒng)之間需要相互交換