【正文】 防御系統(tǒng)工作過程 ? 捕獲信息； ? 檢測異常信息； ? 反制異常信息； ? 報警； ? 登記。 得到流經關鍵網段的信息流。 異常指包含非法代碼，包含非法字段值，與已知攻擊特征匹配等。 反制是丟棄與異常信息具有相同源 IP地址，或者相同目的 IP地址的 IP分組，釋放傳輸異常信息的 TCP連接等。 向網絡安全管理員報告檢測到異常信息流的情況，異常信息流的特征、源和目的 IP地址，可能實施的攻擊等。 記錄下有關異常信息流的一切信息，以便對其進行分析。 虛擬專用網絡 計算機網絡安全 主機入侵防御系統(tǒng)工作過程 ? 攔截主機資源訪問操作請求和網絡信息流； ? 采集相應數據； ? 確定操作請求和網絡信息流的合法性； ? 反制動作； ? 登記和分析。 主機攻擊行為的最終目標是非法訪問網絡資源，或者感染病毒，這些操作的實施一般都需要調用操作系統(tǒng)提供的服務，因此，首要任務是對調用操作系統(tǒng)服務的請求進行檢測，根據調用發(fā)起進程，調用進程所屬用戶，需要訪問的主機資源等信息確定調用的合法性。同時，需要對進出主機的信息進行檢測，發(fā)現(xiàn)非法代碼和敏感信息。 入侵防御系統(tǒng)工作過程 虛擬專用網絡 計算機網絡安全 入侵防御系統(tǒng)的不足 ? 主機入侵防御系統(tǒng)是被動防御，主動防御是在攻擊信息到達主機前予以干預，并查出攻擊源，予以反制。另外，每一臺主機安裝主機入侵防御系統(tǒng)的成本和使安全策略一致的難度都是主機入侵防御系統(tǒng)的不足； ? 網絡入侵防御系統(tǒng)能夠實現(xiàn)主動防御，但只保護部分網絡資源，另外對未知攻擊行為的檢測存在一定的難度。 虛擬專用網絡 計算機網絡安全 入侵防御系統(tǒng)發(fā)展趨勢 ? 融合到操作系統(tǒng)中 主機入侵防御系統(tǒng)的主要功能是監(jiān)測對主機資源的訪問過程，對訪問資源的合法性進行判別，這是操作系統(tǒng)應該集成的功能。 ? 集成到網絡轉發(fā)設備中 所有信息流都需經過轉發(fā)設備進行轉發(fā)，因此，轉發(fā)設備是檢測信息流的合適之處。 虛擬專用網絡 計算機網絡安全 網絡入侵防御系統(tǒng) ? 系統(tǒng)結構； ? 信息捕獲機制； ? 入侵檢測機制； ? 安全策略。 網絡入侵防御系統(tǒng)首先是捕獲流經網絡的信息流，然后對其進行檢測，并根據檢測結果確定反制動作，檢測機制、攻擊特征庫和反制動作由安全策略確定。 虛擬專用網絡 計算機網絡安全 系統(tǒng)結構 ? 探測器 1處于探測模式，需要采用相應捕獲機制才能捕獲信息流，探測器 2處于轉發(fā)模式； ? 探測器 1只能使用釋放 TCP連接的反制動作，探測器 2可以使用其他反制動作； ? 為了安全起見，探測器和管理服務器用專用網絡實現(xiàn)互連。 交換機 集線器 探測器 1 安全管理器 服務器 管理端口 探測器 2 虛擬專用網絡 計算機網絡安全 信息捕獲機制 ? 利用集線器的廣播傳輸功能，從集線器任何端口進入的信息流，將廣播到所有其他端口。 終端 A 終端 B 終端 C 探測模式探測器 集線器 利用集線器捕獲信息機制 虛擬專用網絡 計算機網絡安全 ? 端口境像功能是將交換機某個端口（如圖中的端口 2）作為另一個端口（如圖中的端口 1）的境像，這樣，所有從該端口輸出的信息流，都被復制到境像端口，由于境像端口和其他交換機端口之間的境像關系是動態(tài)的，因此，連接在端口 2的探測器，可以捕獲從交換機任意端口輸出的信息流。 信息捕獲機制 終端 A 終端 B 終端 C 探測模式探測器 交換機 1 2 利用端口境像捕獲信息機制 虛擬專用網絡 計算機網絡安全 ? 跨交換機端口境像功能是將需要檢測的端口和連接探測模式的探測器端口之間交換路徑所經過交換機端口劃分為一個特定的 VLAN； ? 從檢測端口進入的信息除了正常轉發(fā)外，在該特定 VLAN內廣播。 信息捕獲機制 終端 A 終端 B 終端 C 探測模式探測器 交換機 1 1 2 1 交換機 2 2 3 利用跨交換機端口境像捕獲信息機制 虛擬專用網絡 計算機網絡安全 ? 通過分類器鑒別出具有指定源和目的 IP地址、源和目的端口號等屬性參數的 IP分組； ? 為這些 IP分組選擇特定的傳輸路徑； ? 虛擬訪問控制列表允許這些 IP分組既正常轉發(fā)，又從特定傳輸路徑轉發(fā)； ? 通過特定傳輸路徑轉發(fā)的 IP分組到達探測器。 信息捕獲機制 終端 A 終端 B 終端 C 探測模式探測器 交換機 1 2 虛擬訪問控制列表 虛擬專用網絡 計算機網絡安全 入侵檢測機制 攻擊特征檢測 ? 從已知的攻擊信息流中提取出有別于正常信息流的特征信息； ? 特征信息分為元攻擊特征和有狀態(tài)攻擊特征； ? 元攻擊特征是單個獨立的攻擊特征，只要信息流中出現(xiàn)和元攻擊特征相同的位流或字節(jié)流模式，即可斷定發(fā)現(xiàn)攻擊； ? 有狀態(tài)攻擊特征是將整個會話分成若干階段，攻擊特征分散出現(xiàn)在多個階段對應的信息流中，只有按照階段順序，在每一個檢測到指定的攻擊特征才可斷定發(fā)現(xiàn)攻擊； ? 攻擊特征只能檢測出已知攻擊，即提取出攻擊特征的攻擊行為。 虛擬專用網絡 計算機網絡安全 協(xié)議譯碼 ? IP分組的正確性，如首部字段值是否合理，整個TCP首部是否包含單片數據中，各個分片的長度之和是否超過 64KB等； ? TCP報文的正確性，如經過 TCP連接傳輸的 TCP報文的序號和確認序號之間是否沖突，連續(xù)發(fā)送的 TCP報文序號范圍和另一方發(fā)送的窗口是否沖突，各段數據的序號范圍是否重疊等； ? 應用層報文的正確性，請求、響應過程是否合乎協(xié)議規(guī)范；各個字段值是否合理，端口號是否和默認應用層協(xié)議匹配等。 入侵檢測機制 虛擬專用網絡 計算機網絡安全 異常檢測 ? 基于統(tǒng)計機制，在一段時間內，對流經特定網段的信息流進行統(tǒng)計，如單位時間特定源和目的終端之間的流量、不同應用層報文分布等，將這些統(tǒng)計值作為基準統(tǒng)計值。然后，實時采集流經該網段的信息流，并計算出單位時間內的統(tǒng)計值，然后和基準統(tǒng)計值比較，如果多個統(tǒng)計值和基準統(tǒng)計值存在較大偏差，斷定流經該網段的信息流出現(xiàn)異常； ? 基于規(guī)則機制，通過分析大量異常信息流，總結出一些特定異常信息流的規(guī)則，一旦流經該網段的信息流符合某種異常信息流對應的規(guī)則，斷定該信息流為異常信息流。 入侵檢測機制 虛擬專用網絡 計算機網絡安全 ? 異常檢測的困難之處在于正常信息流和異常信息流的測量值之間存在重疊部分，必須在誤報和漏報之間平衡； ? 根據被保護資源的重要性確定基準值（靠近 A點或 B點 )。 入侵檢測機制 測量值或行為 發(fā)生概率 正常訪 問過程 攻擊過程 重疊部分 A B 虛擬專用網絡 計算機網絡安全 安全策略 .1/ 24 W eb 服務器 .3/ 24 FT P 服務器 Int er 網絡入侵防御系統(tǒng) 規(guī)則編號 源 IP 地址 目的 IP 地址 服務 攻擊特征庫 / 類型 動作 1 任意 .1/ 32 H T T P H T T P －嚴重 SY N 泛洪 交互式信息 源 IP 阻塞 丟棄 IP 分組 源 IP 阻塞 2 任意 .3/ 32 FT P FT P －嚴重 SY N 泛洪 交互式信息 源 IP 阻塞 丟棄 IP 分組 源 IP 阻塞 ? 安全策略指定需要檢測的信息流類別、檢測機制和反制動作，對于攻擊特征檢測，需要給出攻擊特征庫； ? 由于攻擊和應用層協(xié)議相關，因此對應不同的應用層協(xié)議存在不同的攻擊特征庫； ? 對同一類別信息流，可以指定多種檢測機制，對不同檢測機制檢測到的攻擊行為采取不同的反制動作。 虛擬專用網絡 計算機網絡安全 主機入侵防御系統(tǒng) ? 工作流程； ? 截獲機制； ? 主機資源； ? 用戶和系統(tǒng)狀態(tài)； ? 訪問控制策略； ? Honeypot。 主機入侵防御系統(tǒng)主要用于防止對主機資源的非法訪問和病毒入侵，因此，必須通過訪問控制策略設定主機資源的訪問權限，截獲主機資源的操作請求，根據訪問控制策略、用戶和系統(tǒng)狀態(tài)及主機資源類型確定操作請求的合理性。 虛擬專用網絡 計算機網絡安全 工作流程 ? 主機入侵防御系統(tǒng)主要用于防止非法訪問和病毒入侵； ? 只允許對主機資源的合法操作正常進行。 截獲操作請求 確定操作對象類型 采集和操作相關 的信息 系統(tǒng)狀態(tài) 訪問控制策略 操作決策 必須截獲所有調用操作系統(tǒng)服務的請求，尤其是對主機資源的操作請求，如讀寫文件、修改注冊表等。 判別某個操作請求的合法性，判別的依據是訪問控制策略、操作對象和類型、請求進程及進程所屬的用戶、主機系統(tǒng)和用戶狀態(tài)等。 只允許操作系統(tǒng)完成合法的操作請求。 虛擬專用網絡 計算機網絡安全 截獲機制 ?修改操作系統(tǒng)內核 通過修改操作系統(tǒng)內核，可以根據特權用戶配置的資源訪問控制陣列和請求操作的用戶確定操作的合法性，為了安全，可以對請求操作的用戶進行身份認證。 ?攔截系統(tǒng)調用 用戶操作請求和操作系統(tǒng)內核之間增加檢測程序，對用戶發(fā)出的操作請求進行檢測，確定是合法操作請求，才提供給操作系統(tǒng)內核。 ?網絡信息流監(jiān)測 對進出主機的信息流實施監(jiān)測，防止病毒入侵，也防止敏感信息外泄。 虛擬專用網絡 計算機網絡安全 攔截系統(tǒng)調用和進出主機的息流的過程 截獲機制 應用程序 系統(tǒng)調用攔截程序 操作系統(tǒng)內核 主機資源 網絡信息流監(jiān)測器 應用程序 系統(tǒng)調用攔截程序 T C P/I P 組件 網卡驅動程序 網絡信息流 Int er 虛擬專用網絡 計算機網絡安全 主機資源 主機資源是需要主機入侵防御系統(tǒng)保護的一切有用的信息和信息承載體，包括如下： ?網絡； ?內存； ?進程； ?文件； ?系統(tǒng)配置信息。 虛擬專用網絡 計算機網絡安全 用戶和系統(tǒng)狀態(tài) ?主機位置信息 主機位置和主機的安全程度相關，也影響著主機入侵防御系統(tǒng)對主機的保護力度。確定主機位置的信息有： IP地址、域名前綴、 VPN客戶信息等。 ?用戶狀態(tài)信息 不同用戶的訪問權限不同，用戶身份通過用戶名和口令標識，用戶狀態(tài)信息給出用戶登錄時的用戶名?？诹畹?。 ?系統(tǒng)狀態(tài)信息 系統(tǒng)安全狀態(tài)，目前設置的安全等級、是否配置防火墻。是否安裝放病毒軟件，是否監(jiān)測到黑客攻擊等。 用戶和系統(tǒng)狀態(tài)確定主機入侵防御系統(tǒng)對主機資源的保護方式和力度。 虛擬專用網絡 計算機網絡安全 訪問控制策略 ? 訪問控制策略用于確定操作請求是否進行； ? 訪問控制策略將用戶位置、系統(tǒng)狀態(tài)和資源訪問規(guī)則結合在一起； ? 用戶位置給出標識用戶終端所在位置的信息，如IP地址； ? 系統(tǒng)狀態(tài)給出終端的安全狀態(tài)； ? 資源訪問規(guī)則對應不同用戶、不同訪問請求發(fā)起者、不同資源定義了允許對資源進行的訪問操作和違反規(guī)則所采取動作。 虛擬專用網絡 計算機網絡安全 Honeypot ? Honeypot是一個偽裝成有豐富資源的的應用服務器，用戶通過正常訪問過程是無法訪問到的，因此，對 Honeypot進行訪問的往往是攻擊程序； ? Honeypot的作用是對資源訪問過程進行嚴密監(jiān)控，提取訪問者的特征信息，如偵察行為特征、滲透行為特征及攻擊行為特征等； ? Honeypot詳細記錄下訪問過程中的每一個操作，以便今后分析； ? 總之， Honeypot就像是一個四處安裝監(jiān)控器，沒有任何盲區(qū)的房間，可以在犯罪分子沒有覺察的情況下，察看他們的盡情表演，以此了解他們犯罪過程中的每一個細節(jié)。 169。 2022工程兵工程學院 計算機教研室 計算機網絡安全 第九章 虛擬專用網絡 計算機網絡安全 第 9章 網絡管理和監(jiān)測 ?SNMP和網絡管理； ?網絡綜合監(jiān)測系統(tǒng)。 網絡管理是保證網絡正常運行的必要手段，網絡管理過程中需要在網絡管理工作站和網絡結點之間傳輸命令和響應消息，這些消息的正確傳輸是網絡管理工作正常進行的基礎。真正的安全控制需要監(jiān)測到網絡上發(fā)生的一切事情及這些事情對網絡安全的影響，網絡綜合監(jiān)測系統(tǒng)就用于實現(xiàn)這一點。 虛擬專用網絡 計算機網絡安全 SNMP和網絡管理 ? 網絡管理系統(tǒng)結構； ? SNMPv1基本功能； ? SNMPv1缺陷； ? SNMPv3的安全機制。 網絡管理包含對網絡設備的配置、網絡運行情況的監(jiān)測、故障診斷和恢復、網絡安全狀態(tài)的監(jiān)測和控制等，實現(xiàn)網絡管理需要多個系統(tǒng)協(xié)調工作，系統(tǒng)之間需要相互交換