《课程05安全检测技术.ppt》由会员分享,可在线阅读,更多相关《课程05安全检测技术.ppt(92页珍藏版)》请在三一文库上搜索。
1、第五章 安全检测技术,第5章 安全检测技术,传统的操作系统加固技术和防火墙技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应;而入侵检测技术则是动态安全技术的核心技术之一,可以作为防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力 (包括安全审计、安全检测、入侵识别、入侵取证和响应等) ,提高了信息安全基础结构的完整性。,第5章 安全检测技术,5.1 入侵检测技术与网络入侵检测系统产品 5.2 漏洞检测技术和MBSA,5.1 入侵检测技术与网络入侵检测系统产品,入侵检测系统 (Intrusion Detection System,IDS) 是一类专门面向
2、网络入侵的安全监测系统,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,查看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全防线,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。,5.1 入侵检测技术与网络入侵检测系统产品,入侵检测系统主要执行以下任务: 1) 监视、分析用户及系统活动。 2) 系统构造和弱点的审计。 3) 识别反映已知进攻的活动模式并报警。 4) 异常行为模式的统计分析。 5) 评估重要系统和数据文件的完整性。 6) 对操作系统的审计追踪管理,并识别用户违反安全策略的行为。,5.1 入侵
3、检测技术与网络入侵检测系统产品,一个成功的入侵检测系统,不但可使系统管理员时刻了解网络系统 (包括程序、文件和硬件设备等) 的任何变更,还能给网络安全策略的制订提供指南。同时,它应该是管理和配置简单,使非专业人员能容易地获得网络安全。当然,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,应及时做出响应,包括切断网络连接、记录事件和报警等。,5.1 入侵检测技术与网络入侵检测系统产品,目前,入侵检测系统主要以模式匹配技术为主,并结合异常匹配技术。从实现方式上一般分为两种:基于主机和基于网络,而一个完备的入侵检测系统则一定是基于主机和基于网络这两种方式兼备
4、的分布式系统。另外,能够识别的入侵手段数量的多少、最新入侵手段的更新是否及时也是评价入侵检测系统的关键指标。,5.1 入侵检测技术与网络入侵检测系统产品,利用最新的可适应网络安全技术和P2DR (Policy,Protection,Detection,Response,即策略、防护、检测、响应) 安全模型 (图5.1) ,已经可以深入研究入侵事件、入侵手段本身及被入侵目标的漏洞等。随着P2DR安全模型被广泛认同,入侵检测系统在信息系统安全中占据越来越重要的地位。,图5.1 P2DR安全模型,5.1 入侵检测技术与网络入侵检测系统产品,P2DR模型是动态安全模型(可适应网络安全模型)的代表性模型
5、。在整体的安全策略的控制和指导下,在综合运用防护工具 (如防火墙、操作系统身份认证、加密等手段) 的同时,利用检测工具 (如漏洞评估、入侵检测等系统) 了解和评估系统的安全状态,通过适当的响应将系统调整到“最安全”和“风险最低”的状态。,5.1.1 IDS分类,可以根据检测方法或者根据数据源的不同给IDS分类。,5.1.1 IDS分类,(1) 根据检测方法不同分类 按具体的检测方法,可将入侵检测系统分为基于行为和基于知识两类。 1) 基于行为的检测,也称为异常检测。是指根据使用者的行为或资源使用状况的正常程度来判断是否发生入侵,而不依赖具体行为是否出现,即建立被检测系统正常行为的参考库,并通过
6、与当前行为进行比较来寻找偏离参考库的异常行为。,5.1.1 IDS分类,对于异常阈值与特征的选择是异常发现技术的关键。例如,通过流量统计分析将异常时间的异常网络流量视为可疑。 异常发现技术的局限是,并非所有的入侵都表现为异常,而且系统的轨迹也难以计算和更新。例如,一般在白天使用计算机的某用户,如果他突然在午夜注册登记,则有可能被认为是入侵者在使用。,5.1.1 IDS分类,2) 基于知识的检测,也被称为误用检测。是指运用已知攻击方法,根据已定义好的入侵模式,通过与这些入侵模式是否匹配来判断入侵。入侵模式是入侵过程的特征、条件、排列以及事件间的关系,即具体入侵行为的迹象。这些迹象不仅对分析已经发
7、生的入侵行为有帮助,而且对即将发生的入侵也有警戒作用,因为只要部分满足这些入侵迹象就意味着可能有入侵发生。,5.1.1 IDS分类,入侵模式匹配的关键是如何表达入侵的模式,把入侵与正常行为区分开来。入侵模式匹配的优点是误报少,局限是它只能发现已知的攻击,对未知的攻击无能为力。,5.1.1 IDS分类,(2) 根据数据源不同分类 根据检测系统所依据分析的原始数据不同,可将入侵检测分为来自系统日志和网络数据包两种。,5.1.1 IDS分类,入侵检测的早期研究主要集中在对主机系统日志文件的分析上,因为当时的用户对象局限于本地用户。操作系统的日志文件中包含了详细的用户信息和系统调用数据,从中可以分析系
8、统是否被侵入以及侵入者留下的痕迹等审计信息。,5.1.1 IDS分类,随着因特网的普及,用户可随机地从不同客户机上登录,主机间也经常需要交换信息,网络数据包中同样也含有用户信息。这样,就使入侵检测的对象范围扩大至整个网络。 此外,还可根据系统运行特性分为实时检测和周期性检测,以及根据检测到入侵行为后是否采取相应措施而分为主动型和被动型等。入侵检测系统中两类检测的关系如图5.2所示。,图5.2 两类检测的关系,5.1.2 IDS的基本原理,由于对安全事件的检测通常包括了大量复杂的步骤,涉及到很多方面,任何单一技术都很难提供完备的检测能力,需要综合多个检测系统以达到尽量完备的检测能力。在根据安全事
9、件报警的标准格式所定义的安全模型中,对一些入侵检测术语进行了规范,包括:,5.1.2 IDS的基本原理,1) 数据源 (Data source) :入侵检测系统用来检测非授权或不希望的活动的原始信息。通常的数据源包括 (但不限于) 原始的网络包、操作系统审计日志、应用程序日志以及系统生成的校验和数据等。 2) 活动 (Activity) :由传感器或分析器识别出的数据源的实例。例如,网络会话、用户活动和应用事件等。活动既包括极其严重的事件 (例如明显的恶意攻击) ,也包括不太严重的事件 (如值得进一步深究的异常用户活动) 。,5.1.2 IDS的基本原理,3) 传感器 (Sensor) :从数
10、据源搜集数据的入侵检测构件或模块。数据搜集的频率由具体提供的入侵检测系统决定。 4) 事件 (Event) :在数据源中发生且被分析器检测到的,可能导致警报传输的行为。例如,10秒内的3次失败登录,可能表示强行登录尝试攻击。,5.1.2 IDS的基本原理,5) 分析器 (Analyzer) :入侵检测的构件或进程,它分析传感器搜集的数据,这些数据反映了一些非授权的或不希望的活动,以及安全管理员感兴趣的安全事件的迹象。在很多现有的入侵检测系统中,将传感器和分析器作为同一构件的不同部分。 6) 安全策略 (Security policy) :预定义的正式文档声明,定义哪些服务可以通过被监控的网段,
11、还包括 (但不限于) 哪些主机不允许外部网络访问,从而支持组织的安全需求。,5.1.2 IDS的基本原理,7) 报警 (Alert) :由分析器发给管理器的消息,表明一个事件被检测到。报警通常包含被检测到的异常活动的有关信息和事件细节。,5.1.2 IDS的基本原理,当一个入侵正在发生或者试图发生时,IDS系统将发布一个Alert信息通知系统管理员。如果控制台与IDS系统同在一台机器,Alert信息将显示在监视器上,也可能伴随着声音提示。如果是远程控制台,那么Alert将通过IDS系统内置方法 (通常是加密的) 、SNMP (简单网络管理协议,通常不加密) 、E-mail、SMS (短信息)
12、或者以上几种方法的混合方式传递给管理员。,5.1.2 IDS的基本原理,8) 管理器 (Manager) :入侵检测的构件或进程,操作员通过它可以管理入侵检测系统的各种构件。典型管理功能通常包括:传感器配置、分析器配置、事件通告管理、数据合并及报告等。,5.1.2 IDS的基本原理,9) 通告 (Notification) :入侵检测系统管理器用来使操作员知晓事件发生的方法。在很多入侵检测系统中,尽管有许多其他的通告技术可以采用,但通常是通过在入侵检测系统管理器屏幕上显示一个彩色图标、发送电子邮件或寻呼机消息,或者发送SNMP的陷门来实现。,5.1.2 IDS的基本原理,10) 管理员 (Ad
13、ministrator) :负责维护和管理一个组织机构的网络信息系统安全的人员。管理员与负责安装配置入侵检测系统及监视入侵检测系统输出的人员,可能是一人也可能是多人;他可能属于网络/系统管理组,也可能是一个单独的职位。 11) 操作员 (Operator) :入侵检测系统管理器的主要使用者。操作员监视入侵检测系统的输出,并负责发起或建议进一步的行动。,5.1.2 IDS的基本原理,12) 响应 (Response) :对一个事件所采取的响应动作。响应可以由入侵检测系统体系结构中的一些实体自动执行,也可由人工发起。基本的响应包括:向操作员发送通告、将活动记入日志、记录描述事件特征的原始数据、中断
14、网络连接或用户应用程序会话过程,或者改变网络或系统的访问控制等。 13) 特征表示 (Signature) :分析器用于标识安全管理员感兴趣的活动的规则。表示符代表了入侵检测系统的检测机制。,5.1.2 IDS的基本原理,14) 入侵检测系统 (IDS) :由一个或多个传感器、分析器、管理器组成,可自动分析系统活动,是检测安全事件的工具或系统。 一个简单的入侵检测系统的示意图如图5.3所示。,图5.3 简单的入侵检测系统示意图,5.1.2 IDS的基本原理,系统可以分成数据采集、入侵分析引擎、管理配置、响应处理和相关的辅助模块等。 1) 数据采集模块:为入侵分析引擎模块提供分析用的数据。一般有
15、操作系统的审计日志、应用程序日志、系统生成的校验和数据,以及网络数据包等。,5.1.2 IDS的基本原理,2) 入侵分析引擎模块:依据辅助模块提供的信息 (如攻击模式) ,按照一定的算法对收集到的数据进行分析,从中判断是否有入侵行为出现并产生入侵报警。该模块是入侵检测系统的核心模块。 3) 管理配置模块:它的功能是为其他模块提供配置服务,是入侵检测系统中模块与用户的接口。,5.1.2 IDS的基本原理,4) 响应处理模块:当发生入侵后,预先为系统提供紧急的措施,如关闭网络服务、中断网络连接及启动备份系统等。 5) 辅助模块:协助入侵分析引擎模块工作,为它提供相应的信息,如攻击模式库、系统配置库
16、和安全控制策略等。,5.1.3 入侵检测系统的结构,由于IDS的物理实现方式不同,即系统组成的结构不同,按检测的监控位置划分,入侵检测系统可分为基于主机、基于网络和分布式三类。,5.1.3 入侵检测系统的结构,1. 基于主机的入侵检测系统 这是早期的入侵检测系统结构,系统 (图5.3) 的检测目标主要是主机系统和系统本地用户。检测原理是在每一个需要保护的主机上运行一个代理程序,根据主机的审计数据和系统的日志发现可疑事件。检测系统可以运行在被检测的主机或单独的主机上,从而实现监控。,5.1.3 入侵检测系统的结构,这种类型的系统依赖于审计数据或系统日志的准确性和完整性,以及安全事件的定义。若入侵
17、者设法逃避审计或进行合作入侵,就会出现问题。特别是在网络环境下,单独依靠主机审计信息进行入侵检测,将难以适应网络安全的需求。,5.1.3 入侵检测系统的结构,基于主机的入侵检测系统可以精确地判断入侵事件,并可对入侵事件立即进行反应;还可针对不同操作系统的特点来判断应用层的入侵事件。但一般与操作系统和应用层入侵事件的结合过于紧密,通用性较差,并且IDS的分析过程会占用宝贵的主机资源。另外,对基于网络的攻击不敏感,特别是假冒IP的入侵。,5.1.3 入侵检测系统的结构,由于服务器需要与因特网交互作用,因此在各服务器上应当安装基于主机的入侵检测软件,并将检测结果及时向管理员报告。基于主机的入侵检测系
18、统没有带宽的限制,它们密切监视系统日志,能识别运行代理程序的机器上受到的攻击。,5.1.3 入侵检测系统的结构,基于主机的入侵检测系统提供了基于网络系统不能提供的精细功能,包括二进制完整性检查、系统日志分析和非法进程关闭等功能,并能根据受保护站点的实际情况进行针对性的定制,使其工作效果明显,误警率相当低。,5.1.3 入侵检测系统的结构,2. 基于网络的入侵检测系统 随着计算机网络技术的发展,单独依靠主机审计信息进行入侵检测将难以适应网络安全的需求。因此,人们提出了基于网络的入侵检测系统体系结构。这种检测系统使用原始的网络分组数据包作为进行攻击分析的数据源,通常利用一个网络适配器来实时监视和分
19、析所有通过网络进行传输的通信。,5.1.3 入侵检测系统的结构,一旦检测到攻击,IDS的相应模块通过通知、报警以及中断连接等方式来对攻击做出反应。如图5.4所示。,图5.4 基于网络的入侵检测系统示意图,5.1.3 入侵检测系统的结构,系统中数据采集模块由过滤器、网络接口引擎和过滤规则决策器组成。它的功能是按一定的规则从网络上获取与安全事件相关的数据包,然后传递给入侵分析引擎模块进行安全分析;入侵分析引擎模块将根据从采集模块传来的数据包并结合网络安全数据库进行分析,把分析结果传送给管理/配置模块:而管理/配置模块的主要功能是管理其他功能模块的配置工作,并将入侵分析引擎模块的输出结果以有效的方式
20、通知网络管理员。,5.1.3 入侵检测系统的结构,基于网络的入侵检测系统有以下优点: 1) 检测的范围是整个网段,而不仅仅是被保护的主机。 2) 实时检测和应答。一旦发生恶意访问或攻击,基于网络的IDS检测就可以随时发现它们,因此能够更快地做出反应,从而将入侵活动对系统的破坏降到最低。 3) 隐蔽性好。由于不需要在每个主机上安装,所以不易被发现。基于网络的入侵检测系统的端系统甚至可以没有网络地址,从而使攻击者没有攻击的目标。,5.1.3 入侵检测系统的结构,4) 不需要任何特殊的审计和登录机制,只要配置网络接口就可以了,不会影响其他数据源。 5) 操作系统独立。基于网络的IDS并不依赖主机的操
21、作系统作为其检测资源,而基于主机的IDS需要特定的操作系统才能发挥作用。,5.1.3 入侵检测系统的结构,基于网络的入侵检测系统的主要不足在于:只能检测经过本网段的活动,并且精确度较差,在交换式网络环境下难以配置,防入侵欺骗的能力也比较差;而且无法知道主机内部的安全情况,而主机内部普通用户的威胁也是网络信息系统安全的重要组成部分;,5.1.3 入侵检测系统的结构,另外,如果数据流进行了加密,就不能审查其内容,对主机上执行的命令也就难以检测。 因此,基于网络和基于主机的安全检测在方法上是需要互补的。,5.1.3 入侵检测系统的结构,3. 分布式入侵检测系统 随着网络系统结构的复杂化和大型化,带来
22、了许多新的入侵检测问题,于是,产生了分布式入侵检测系统。分布式IDS的目标是既能检测网络入侵行为,又能检测主机的入侵行为。系统通常由数据采集模块、通信传输模块、入侵检测分析模块、响应处理模块、管理中心模块及安全知识库组成。,5.1.3 入侵检测系统的结构,这些模块可根据不同情况进行组合,例如,由数据采集模块和通信传输模块组合产生出的新模块能完成数据采集和传输这两种任务。所有这些模块组合起来就变成了一个入侵检测系统。,5.1.3 入侵检测系统的结构,需要特别指出的是,模块按网络配置情况和检测的需要,可以安装在单独的一台主机上,也可分散在网络中的不同位置,甚至一些模块本身就能够单独检测本地的入侵,
23、同时将入侵检测的局部结果信息提供给入侵检测管理中心。,5.1.3 入侵检测系统的结构,分布式IDS结构对大型网络的安全是有帮助的,它能够将基于主机和基于网络的系统结构结合起来,检测所用到的数据源丰富,可克服前两者的弱点。但是,分布式的结构增加了网络管理复杂度,如传输安全事件过程中增加了对通信安全问题的处理等。,5.1.4 入侵检测的基本方法,入侵检测的基本方法主要有基于用户行为概率统计模型、基于神经网络、基于专家系统和基于模型推理等。,5.1.4 入侵检测的基本方法,1. 基于用户行为概率统计模型的入侵检测方法 这种方法是基于对用户历史行为以及在早期的证据或模型的基础上进行的,系统实时检测用户
24、对系统的使用情况,根据系统内部保存的用户行为概率统计模型进行检测。当有可疑行为发生时,保持追踪并监测、记录该用户的行为。,5.1.4 入侵检测的基本方法,通常系统要根据每个用户以前的历史行为,生成每个用户的历史行为记录库,当某用户改变其行为习惯时,这种异常就会被检测出来。例如,统计系统会记录CPU的使用时间,I/O的使用通道和频率,常用目录的建立与删除,文件的读写、修改、删除,以及用户习惯使用的编辑器和编译器,最常用的系统调用,用户ID的存取,文件和目录的使用等。,5.1.4 入侵检测的基本方法,这种方法的弱点主要是: 1) 对于非常复杂的用户行为很难建立一个准确匹配的统计模型。 2) 统计模
25、型没有普遍性,因此,一个用户的检测措施并不适用于其他用户,这将使得算法庞大而且复杂。 3) 由于采用统计方法,系统将不得不保留大量的用户行为信息,导致系统的臃肿和难以剪裁。,5.1.4 入侵检测的基本方法,2. 基于神经网络的入侵检测方法 这种方法是利用神经网络技术来进行入侵检测的,因此,对于用户行为具有学习和自适应性,能够根据实际检测到的信息有效地加以处理并做出判断,但尚不十分成熟,目前还没有出现较为完善的产品。,5.1.4 入侵检测的基本方法,3. 基于专家系统的入侵检测方法 根据安全专家对可疑行为的分析经验形成的一套推理规则,在此基础上建立相应的专家系统,专家系统能自动对所涉及的入侵行为
26、进行分析。该系统应当能够随着经验的积累,利用其自学习能力进行规则的扩充和修正。,5.1.4 入侵检测的基本方法,4. 基于模型推理的入侵检测方法 根据入侵者在进行入侵时所执行程序的某些行为特征,建立一种入侵行为模型;根据这种行为模型来判断用户的操作是否属于入侵行为。当然这种方法也是建立在对已知入侵行为的基础上的,对未知入侵行为模型的识别需要进一步学习和扩展。,5.1.4 入侵检测的基本方法,上述每一种方法都不能保证准确地检测出变化无穷的入侵行为,因此,在网络安全防护中要充分衡量各种方法的利弊,综合运用这些方法才能有效地检测出入侵者的非法行为。,实训十一:了解入侵检测技术,本节“实训与思考”的目
27、的是: (1) 了解入侵检测技术的基本概念和基本内容。 (2) 通过因特网搜索与浏览,了解网络环境中主流的入侵检测技术专业网站,掌握通过专业网站不断丰富入侵检测技术最新知识的学习方法,尝试通过专业网站的辅助与支持来开展信息安全中入侵检测系统的应用实践。,5.2 漏洞检测技术和MBSA,就网络信息系统的安全而言,仅有事后追查或实时报警功能是不够的,还需要具备系统安全漏洞检测能力的事先检查型安全工具。系统漏洞检测又称漏洞扫描,就是对网络信息系统进行检查,主动发现其中可被攻击者利用的漏洞。不管攻击者是从外部还是从内部攻击某一网络系统,一般都会利用该系统已知的漏洞。因此,漏洞扫描技术应该用在攻击者入侵
28、和攻击网络系统之前。,5.2.1 入侵攻击可利用的系统漏洞类型,入侵者常常从收集、发现和利用信息系统的漏洞来发起对系统的攻击。不同的应用,甚至同一系统不同的版本,其系统漏洞都不尽相同,但大致上可以分为3类。,5.2.1 入侵攻击可利用的系统漏洞类型,(1) 网络传输和协议的漏洞 攻击者一般利用网络传输时对协议的信任以及网络传输过程本身所存在的漏洞进入系统,例如,IP欺骗和信息腐蚀就是利用网络传输时对IP和DNS协议的信任;而网络嗅探器则利用了网络信息明文传送的弱点。,5.2.1 入侵攻击可利用的系统漏洞类型,另外,攻击者还可利用协议的特性进行攻击,例如,对TCP序列号的攻击等。攻击者还可以设法
29、避开认证过程,或通过假冒 (如源地址) 而混过认证过程。,5.2.1 入侵攻击可利用的系统漏洞类型,例如,有的认证功能是通过主机地址来做认证的,一个用户通过认证,则这个机器上的所有用户就都通过了认证。此外,DNS、WHOIS (用来查询域名是否已经被注册,以及注册域名的详细信息的数据库) 、FINGER等服务也会泄露出许多对攻击者有用的信息,例如,用户地址、电话号码等。,5.2.1 入侵攻击可利用的系统漏洞类型,(2) 系统的漏洞 攻击者可以利用服务进程的BUG和配置错误进行攻击,任何提供服务的主机都有可能存在这样的漏洞,它们常被攻击者用来获取对系统的访问权。由于软件的BUG不可避免,这就为攻
30、击者提供了各种机会。另外,软件实现者为自己留下的后门 (和陷门) ,也为攻击者提供了机会。,5.2.1 入侵攻击可利用的系统漏洞类型,系统内部的程序也存在许多BUG,因此,存在着入侵者利用程序中的BUG来获取特权用户权限的可能。 窃取系统中的口令是最简单和直截了当的攻击方法,因而对系统口令文件的保护方式也在不断的改进。口令文件从明文 (隐藏口令文件) 改进成密文,又改进成使用阴影 (Shadow) 的方式。,5.2.1 入侵攻击可利用的系统漏洞类型,攻击者窃取口令的方法可以是: 1) 窃取口令文件并做字典攻击。 2) 从信道截获并做进一步分析。 3) 利用特洛伊木马窃取。 4) 采用其他方式进
31、行窃取。,5.2.1 入侵攻击可利用的系统漏洞类型,(3) 管理的漏洞 攻击者可以利用各种方式从系统管理员和用户那里诱骗或套取可用于非法进入系统的信息,包括口令、用户名等。,5.2.1 入侵攻击可利用的系统漏洞类型,通过对入侵攻击过程进行分析,可以将系统的安全漏洞划分为以下5类: 1) 可使远程攻击者获得系统一般访问权限。 2) 可使远程攻击者获得系统管理权限。 3) 远程攻击者可使系统拒绝合法用户的服务请求。 4) 可使一般用户获得系统管理权限。 5) 一般用户可使系统拒绝其他合法用户的服务请求。,5.2.1 入侵攻击可利用的系统漏洞类型,根据安全漏洞所在程序的类型,以上5类安全漏洞又可以划
32、分为两类:前3种安全漏洞主要存在于系统的网络服务程序中,包括TELNET,FTP等用户服务,也包括HTTP,Sendmail等共用网络服务;后两种安全漏洞主要存在于一些系统服务程序及其配置文件中,尤其是以Root身份运行的服务程序。,5.2.1 入侵攻击可利用的系统漏洞类型,从系统本身的层次结构看,系统的安全漏洞可以分为以下4类: 1) 安全机制本身存在的安全漏洞。 2) 系统服务协议中存在的安全漏洞,按层次可细分为物理层、数据链路层、IP与ICMP层、TCP层、应用服务层。,5.2.1 入侵攻击可利用的系统漏洞类型,3) 系统、服务管理与配置的安全漏洞。 4) 安全算法、系统协议与服务实现中
33、存在的安全问题等。,5.2.1 入侵攻击可利用的系统漏洞类型,针对攻击者利用网络各个层次上的安全漏洞破坏网络的安全性,系统安全必须进行全方位多层次的安全防卫,才能使系统安全的风险最小。,5.2.1 入侵攻击可利用的系统漏洞类型,BUG:Bug一词的原意是“臭虫”或“虫子”。现在,在电脑系统或程序中,如果隐藏着的一些未被发现的缺陷或问题,人们也叫它“Bug”。,5.2.1 入侵攻击可利用的系统漏洞类型,原来,第一代的计算机是由许多庞大且昂贵的真空管组成,并利用大量的电力来使真空管发光。可能正是由于计算机运行产生的光和热,引得一只小虫子 (Bug) 钻进了一支真空管内,导致整个计算机无法工作。研究
34、人员费了半天时间,总算发现原因所在,把这只小虫子从真空管中取出后,计算机又恢复正常。,5.2.1 入侵攻击可利用的系统漏洞类型,后来,Bug这个名词就沿用下来,表示电脑系统或程序中隐藏的错误、缺陷或问题。与Bug相对应,人们将发现Bug并加以纠正的过程叫做“Debug”,意即“捉虫子”或“杀虫子”。在中文里面,至今仍没有与“Bug”准确对应的词汇,于是只能直接引用“Bug”一词。虽然也有人使用“臭虫”一词替代“Bug”,但容易产生歧义,所以推广不开。,5.2.2 漏洞检测技术分类,漏洞检测技术通常采用两种策略,即被动式和主动式策略。被动式策略是基于主机的检测,对系统中不合适的设置、脆弱的口令以
35、及其他同安全策略相抵触的对象进行检查;而主动式策略是基于网络的检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而发现其中的漏洞。漏洞检测的结果实际上是对系统安全性能的一个评估,因此成为安全方案的一个重要组成部分。,5.2.2 漏洞检测技术分类,根据所采用的技术特点,漏洞检测技术可分为以下5类: 1) 基于应用的检测技术。采用被动、非破坏性的办法来检查应用软件包的设置,发现安全漏洞。 2) 基于主机的检测技术。采用被动、非破坏性的办法对系统进行检测,常涉及系统内核、文件的属性、操作系统的补丁等问题。这种技术还包括口令解密,因此,这种技术可以非常准确地定位系统存在的问题,发现系统漏洞。
36、其缺点是与平台相关,升级复杂。,5.2.2 漏洞检测技术分类,3) 基于目标的检测技术。采用被动、非破坏性的办法检查系统属性和文件属性,如数据库、注册号等。通过消息摘要算法,对系统属性和文件属性进行杂凑 (Hash) 函数运算。如果函数的输入有一点变化,其输出就会发生大的变化,这样文件和数据流的细微变化都会被感知。这些算法实现是运行在一个闭环上,不断地处理文件和系统目标属性,然后产生校验数,把这些校验数同原来的校验数相比较,一旦发现改变就通知管理员。,5.2.2 漏洞检测技术分类,4) 基于网络的检测技术。采用积极、非破坏性的办法来检验系统是否有可能被攻击而崩溃。它利用了一系列脚本对系统进行攻
37、击,然后对结果进行分析。网络检测技术常被用来进行穿透实验和安全审计。这种技术可以发现系统平台的一系列漏洞,也容易安装。但是,它容易影响网络的性能。 5) 综合技术。它集中了以上4种技术的优点,极大地增强了漏洞识别的精度。,5.2.3 漏洞检测的基本要点,漏洞检测的基本要点是: 1) 检测分析的位置。在漏洞检测中,第一步是数据采集,第二步是数据分析。在大型网络中,通常采用控制台和代理相结合的结构,这种结构特别适用于异构型网络,检测不同的平台较容易。在不同威胁程度的环境下,可以有不同的检测标准。,5.2.3 漏洞检测的基本要点,2) 报告与安装。漏洞检测系统生成的报告是理解系统安全状况的关键,它记
38、录了系统的安全特征,针对发现的漏洞提出需要采取的措施。整个漏洞检测系统还应该提供友好的界面及灵活的配置特性。安全漏洞数据库可以不断更新补充。,5.2.3 漏洞检测的基本要点,3) 检测后的解决方案。如果发现了漏洞,一旦检测完毕,那么系统应有多种反应机制。预警机制可以让系统发送消息、电子邮件、传呼、短信等来报告发现了漏洞。报表机制生成综合的报表,列出所有的漏洞,管理员根据这些报告可以采取有针对性的补救措施。同入侵检测系统一样,漏洞检测有许多管理功能,通过一系列的报表可让系统管理员对这些结果做进一步的分析。,5.2.3 漏洞检测的基本要点,4) 检测系统本身的完整性。这里同样有许多在设计、安装、维
39、护检测系统时要考虑的安全问题。安全数据库必须安全,否则就会成为黑客的工具,因此,加密就显得特别重要。由于新的攻击方法不断出现,所以要给用户提供一个更新系统的方法。更新的过程也必须进行加密,否则将产生新的危险。实际上,漏洞检测系统本身就是一种攻击,如果被黑客利用,那就会产生难以预料的后果,因此,必须采用保密措施。,5.2.4 微软系统漏洞检测工具MBSA,为了确保计算机系统的安全,除了安装安全防护软件 (如:杀毒软件、防火墙等)外,及时安装漏洞补丁程序也是非常重要的。例如对于Windows系统来说,几乎每个星期都有新的漏洞被发现。这些漏洞常被计算机病毒和黑客们用来非法入侵计算机和进行破坏。,5.
40、2.4 微软系统漏洞检测工具MBSA,虽然微软会及时发布修补程序,但是发布时间是随机的,而且这些漏洞会因Windows软件版本的不同而发生变化;另一方面,尽管Windows的“附件”带了一个自动更新程序,但它只是机械地把一大堆补丁程序统统安装到系统中,安装完成后你仍然不知道系统还存在着哪些漏洞。因此,完全修补所有漏洞成为每个Windows用户的难题。,5.2.4 微软系统漏洞检测工具MBSA,解决这个难题的简单方法,就是利用特定的软件,例如微软的系统漏洞检测工具MBSA (Microsoft Baseline Security Analyzer,微软基准安全分析器) 对Windows系统进行扫
41、描,检查是否存在漏洞?哪些方面存在漏洞?以便及时修补。,5.2.4 微软系统漏洞检测工具MBSA,MBSA是一个免费软件,它具有其他同类软件无法比拟的优点:除了能检查Windows的漏洞,还能检测Office、IIS、SQL Server等微软产品的漏洞,扫描完成后会用“”将存在的漏洞标示出来,并提供相应的解决方法来指导用户进行修补。对于每个使用微软产品并联网的用户来说,MBSA是个必装的软件。,5.2.4 微软系统漏洞检测工具MBSA,当然,除了MBSA之外,还有很多免费或共享的漏洞扫描工具,如HFNetChk、LANguard Network Security Scanner等,它们的功能也很实用。,实训十二:漏洞检测工具MBSA,本节“实训与思考”的目的是: (1) 了解漏洞检测技术的基本概念和基本内容。 (2) 学习在Windows环境中安装和使用MBSA软件。,