【正文】 統(tǒng)： Windows 9x/2022/2022/NT/XP、Sun Solaris、 HP UNIX、 IBM AIX、 IRIX、 Linux、 BSD等。 天鏡可以掃描的對(duì)象包括各種服務(wù)器、工作站、網(wǎng)絡(luò)打印機(jī)以及相應(yīng)的網(wǎng)絡(luò)設(shè)備如： 3Com交換機(jī)、 CISCO 路由器、 Checkpoint Firewall、 HP 打印機(jī)、 Cisco PIX Firewall 等。 天鏡可以提供掃描對(duì)象的賬戶信息，便于檢查是否異常賬戶出現(xiàn)。 掃描漏洞分類 ： Windows 系統(tǒng)漏洞、 WEB 應(yīng)用漏洞、 CGI 應(yīng)用漏洞、FTP 類漏洞、 DNS、后門類、網(wǎng)絡(luò)設(shè)備漏洞類、緩沖區(qū)溢出、信息泄漏、MAIL 類、 RPC、 NFS、 NIS、 SNMP、守護(hù)進(jìn)程、 PROXY強(qiáng)力攻擊等 1000 種以上。支持對(duì) MS SQLServer、 Oracle、 Sybase、 DB2 數(shù)據(jù)庫的掃描功能。 自由定制掃描策略 漏洞信息規(guī)范全面符合 CNCVE 標(biāo)準(zhǔn)，兼容國際 CVE 標(biāo)準(zhǔn)與 BUGTRAQ 等其他漏洞標(biāo)準(zhǔn)。 本章小結(jié) 漏洞是指硬件 、 軟件或策略上存在的的安全缺陷 ， 從而使得攻擊者能夠在未授權(quán)的情況下訪問 、 控制系統(tǒng) 。 簡要說明了漏洞的威脅 、 后果及發(fā)現(xiàn)的方法 。 針對(duì)流行的 Windows系統(tǒng) ， 分析了 CGI、 緩沖區(qū)溢出 、 拒絕服務(wù) 、 DNS協(xié)議分析 、FTP協(xié)議分析 ， 介紹存在的缺陷及檢測方法 。 在此基礎(chǔ)上介紹漏洞掃描技術(shù)：端口掃描 、 Ping掃描 、TCP掃描 、 UDP掃描等 。 掃描器的類型分主機(jī)型和網(wǎng)絡(luò)型兩種 。 主要由掃描引擎 、 掃描方法集 、 漏洞數(shù)據(jù)庫等幾方面組成 。 最后介紹一種主流的掃描系統(tǒng) ―― 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng)。 防火墻的技術(shù)知識(shí) 漏洞掃描技術(shù)知識(shí) 入侵檢測技術(shù)知識(shí) 議題整體介紹 安全審計(jì)與入侵檢測 安全審計(jì) ? 安全審計(jì)用于對(duì)安全方案中的功能提供持續(xù)的評(píng)估，為管理員提供一組可進(jìn)行分析的管理數(shù)據(jù)，利用安全審計(jì)結(jié)果，可調(diào)整安全策略，堵住出現(xiàn)的漏洞。 ? 安全審計(jì)應(yīng)具備： 1. 記錄關(guān)鍵事件 2. 提供可集中處理審計(jì)日志的數(shù)據(jù)形式 3. 提供易于使用的軟件工具 4. 實(shí)時(shí)的安全報(bào)警 哪些站點(diǎn)最容易遭受攻擊 什么是入侵檢測 入侵檢測的主要檢測方式 入侵檢測系統(tǒng)主要能夠?qū)崿F(xiàn)的安全功能有什么 入侵檢測所面臨的技術(shù)挑戰(zhàn) 從入侵檢測系統(tǒng)說起 政府站點(diǎn) 很多站點(diǎn)甚至都沒有發(fā)現(xiàn)自己已經(jīng)被攻擊 一例利用 FORNTPAGE的攻擊事件 利用同樣的手段遠(yuǎn)程進(jìn)入調(diào)試頁面狀態(tài) 修改后的結(jié)果 入侵過程描述 入侵主機(jī)情況描述： ? 該主機(jī)位于國家 xx局的 x層計(jì)算機(jī)辦公室，在 11月中曾經(jīng)連續(xù)發(fā)生數(shù)據(jù)庫被刪除記錄的事件，最后該網(wǎng)站管理員認(rèn)定事件可疑，隨即向國家 xx局網(wǎng)絡(luò)安全管理部門報(bào)告，我公司在接到國家 xx局的報(bào)告后，立即趕到現(xiàn)場取證分析。 操作系統(tǒng)和補(bǔ)丁情況： ? WIN2022個(gè)人版操作系統(tǒng) SP2的補(bǔ)丁包 主要服務(wù)用途： ? 做為國家 xx局計(jì)算中心內(nèi)部網(wǎng)站使用，負(fù)責(zé)發(fā)布計(jì)算中心內(nèi)部信息。網(wǎng)站運(yùn)行 IIS5，后臺(tái)數(shù)據(jù)庫采用 ACCESS。 入侵后的行為表現(xiàn)： ? 主頁頁面新聞欄目內(nèi)容被刪除，后臺(tái)數(shù)據(jù)庫內(nèi)容被人非法刪改。 分析審計(jì) WEB服務(wù)器訪問日志 ?08:40:59 1071198 GET /mynewsmdb 200 ?該記錄表明 1071198在早上 8點(diǎn) 40分的時(shí)候非法下載了 mynewsmdb數(shù)據(jù)庫，服務(wù)器返回 200正確請求值，表示請求成功該數(shù)據(jù)庫已經(jīng)被非法下載。 ?08:42:14 1071198 GET /loginasp 200 ?隨后該攻擊者直接訪問網(wǎng)站的在線管理系統(tǒng)。 入侵檢測的基本概念 ?入侵檢測是指對(duì)于計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意行為的識(shí)別和響應(yīng)的過程。 ?通過對(duì)于網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為和遭受攻擊的跡象的一種安全技術(shù)。 ?真正的入侵檢測系統(tǒng)是在 20世紀(jì) 80年代末才開始被研究 ?我們先來明確計(jì)算機(jī)安全的特性有那三個(gè)方面 CIA 什么是入侵呢？ ? 破壞上面四性的行為都可以定義為入侵，不管成功與否。 ? 從受害者的角度可以說： 1. 發(fā)生了什么？ 2. 誰是受害者？ 3. 受害程度大不大？ 4. 誰是入侵者？ 5. 入侵者的來源在哪里？ 6. 入侵發(fā)生的時(shí)間？ 7. 入侵是怎么發(fā)生的？ 8. 為什么發(fā)生入侵？ ? 但很多時(shí)候我們身邊沒有一個(gè)安全專家可以幫助我們解答這些問題 ? 為什么需要入侵檢測系統(tǒng) ?監(jiān)視分析用戶和系統(tǒng)的行為 ?審計(jì)系統(tǒng)配置和漏洞 ?評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性 ?識(shí)別攻擊行為 ?對(duì)異常行為進(jìn)行統(tǒng)計(jì) ?自動(dòng)收集和系統(tǒng)相關(guān)的補(bǔ)丁 ?進(jìn)行審計(jì)跟蹤，識(shí)別違反安全法規(guī)的行為 ?安全誘騙服務(wù)器，記錄非法入侵行為。 入侵檢測的分類和檢測方式 ?基于主機(jī)的入侵檢測系統(tǒng) ?基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) 全面的檢測方式 ?統(tǒng)計(jì)分析：異常檢測的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)，建立正?；顒?dòng)的 “ 活動(dòng)簡檔 ” ，當(dāng)前主體的活動(dòng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為可能是 “ 入侵 ” 行為。 ?模式匹配：特征檢測假設(shè)入侵者活動(dòng)可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測主體活動(dòng)是否符合這些模式。支持用戶自定義攻擊特征代碼分析。 ?事后檢測：完整的將網(wǎng)絡(luò)中所有活動(dòng)數(shù)據(jù)報(bào)的特征記錄下來，當(dāng)發(fā)生不可確定的安全時(shí)間時(shí)，可以將信息包全部回放，進(jìn)行事后檢測分析。 ?協(xié)議內(nèi)容檢測：支持常見的明文應(yīng)用層協(xié)議記錄，可以及時(shí)恢復(fù)所有訪問原始交互內(nèi)容。支持用戶自定義明文協(xié)議特征。 入侵檢測基本原理 入侵檢測當(dāng)前系統(tǒng)/用戶行為歷史行為特定行為模式監(jiān)測入侵? 否記錄證據(jù)響應(yīng)處理是安全策略入侵檢測系統(tǒng)的部署 入侵檢測設(shè)備直接連接在交換機(jī)的偵聽口 入侵檢測設(shè)備直接連接在交換設(shè)備之間，充當(dāng)透明網(wǎng)橋功能同時(shí)進(jìn)行數(shù)據(jù)包抓取分析 入侵檢測設(shè)備支持多端口偵聽，對(duì)中小企業(yè)網(wǎng)絡(luò)更好適應(yīng)。 內(nèi)部網(wǎng)絡(luò) DMZ區(qū)域 多偵聽口設(shè)計(jì)多臺(tái)交換機(jī)數(shù)據(jù)同時(shí)采集處理 商業(yè) IDS產(chǎn)品功能介紹 ?傳統(tǒng)基于特征品配告警的入侵檢測產(chǎn)品。 ?根據(jù)異常流量分析進(jìn)行的入侵檢測告警產(chǎn)品。 強(qiáng)大的網(wǎng)絡(luò)訪問內(nèi)容審計(jì)功能 ? 可以進(jìn)行多種協(xié)議 HTTP、 FTP、 POPSMTP、 IMAP、 NNTP、 Tel、 rsh、rlogin、 MSN、 Yahoo Messager、 DNS等協(xié)議的回放和會(huì)話記錄，便于回放資源訪問的詳細(xì)過程并追查攻擊的來源。 ? 支持用戶自定義擴(kuò)充 明文應(yīng)用協(xié)議還原配置 對(duì)于 HTTP協(xié)議做到訪問頁面級(jí)別的還原 SMTP協(xié)議還原支持 POP3協(xié)議還原支持 FTP協(xié)議還原支持（支持自動(dòng)回放） TELNET協(xié)議還原支持（支持自動(dòng)回放） IMAP協(xié)議還原支持 NNTP協(xié)議還原支持 DNS協(xié)議還原支持 MSN（網(wǎng)絡(luò)聊天）會(huì)話回放 強(qiáng)大的事件定義庫 靈活的策略編輯器 入侵檢測響應(yīng)選項(xiàng) ? 主動(dòng)響應(yīng) 1. 收集相關(guān)信息 2. 改變環(huán)境 3. 反擊攻擊者 ? 被動(dòng)響應(yīng) 1. 報(bào)警和告示 實(shí)時(shí)報(bào)警 攻擊檢測 基于異常行為的入侵檢測 ?主要根據(jù)網(wǎng)絡(luò)流量進(jìn)行分析判斷，利用NETFLOW的數(shù)據(jù)采集技術(shù)實(shí)現(xiàn)電信級(jí)別的 DDOS入侵檢測與防護(hù)。 ?檢測的重點(diǎn)在于對(duì)于網(wǎng)絡(luò)的可用性進(jìn)行保護(hù)，這與傳統(tǒng)的事件檢測是有不同的側(cè)重。 主機(jī)入侵檢測系統(tǒng)的設(shè)計(jì)原理 ? 根據(jù)主機(jī)的可審計(jì)數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑時(shí)間，檢測系統(tǒng)運(yùn)行在被檢測的主機(jī)上。 ? 主要存在弱點(diǎn)如下： 1. 攻擊者可調(diào)用更低級(jí)別特權(quán)來繞過檢測。 2. 影響服務(wù)器性能。 3. 所檢測到的攻擊類型與范圍存在一定程度限制。 網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計(jì)原理 ?可靠性 ?容錯(cuò)性 ?可用性 ?可檢驗(yàn) ?容易開發(fā) ?可適應(yīng)性 ?準(zhǔn)確性 ?安全性 內(nèi)容小結(jié) ?本次課程介紹了主流的傳統(tǒng)安全產(chǎn)品的主要技術(shù)功能與技術(shù)實(shí)現(xiàn)方法，同時(shí)介紹了相關(guān)不同產(chǎn)品的配置技巧。 ?當(dāng)前安全產(chǎn)品更多更實(shí)用的功能在實(shí)際應(yīng)用中并沒有被發(fā)揮出來，本課程對(duì)于這部分也著重進(jìn)行了介紹。 ?控制、審計(jì)、隔離加密、驗(yàn)證等傳統(tǒng)安全元素融合搭配發(fā)揮更好的安全防護(hù)功效。 ?更多更新歡迎訪問我的網(wǎng)站 isfocus 本次課程結(jié)束