信息安全防护技术—— 防火墙和入侵检测 万明 2018.10.29.

Presentation on theme: "信息安全防护技术—— 防火墙和入侵检测 万明 2018.10.29."— Presentation transcript:

1 信息安全防护技术—— 防火墙和入侵检测 万明

2 提纲 信息系统的网络安全概述 防火墙技术 入侵检测技术 互联网的安全防护应用 工业控制网络的安全防护应用

3 2017年中国互联网安全情况（CNCERT/CC）
自2013年以来，CNVD收录的安全漏洞数量年平均增长率为21.6%，但2017年较2016年收录的安全漏洞数量增长47.4%，达到15955个，收录的安全漏洞数量达到历史新高； 据CNCERT/CC抽样监测，2017年我国遭受的DDoS攻击依然严重,从攻击流量来看，反射放大攻击中的伪造流量来自境外的超过85%。 CNCERT国家互联网应急响应中心

4 近几年工业控制系统的安全形势 近几年的ICS-CERT的安全报告指出：
从2011年起至今，针对工业控制系统的安全事件总体呈明显上升趋势，制造、能源行业的安全事件占最高比例； 2014年度针对关键基础设施的攻击威胁中，高级可持续性威胁APT攻击达到55%以上。 我国工业控制系统面临的安全形势严峻： 2014对我国影响较大的工控系统漏洞就达到133个。 2016年我国新增公开漏洞数量达141个，截止到2016年底，累计漏洞总数已超过900个。 美国国土安全部下属的工业控制系统网络应急响应小组（Industrial Control Systems Cyber Emergency Response Team，ICS-CERT）

5 网络安全的国家需求（美国） 《National Strategy to Secure Cyberspace 》（2003）
Prevent cyber attacks against America’s critical infrastructures; … articul -ates five national priorit -ies including: A Nationa -l Cyberspace Security Response System … 防止关键基础设施遭受网络攻击；…明确5项国家优先计划包括：(建立)国家网络空间安全响应系统… 《National Strategy to Secure Cyberspace 》（2003） 《保护网络空间的国家战略》

6 网络安全的国家需求（俄罗斯） creation and improvement of the system of ensuring information security of the Russian Federation; … prevention and suppression of violations of law in the information sphere … 建立和完善俄联邦信息安全保障系统；…防范和抑制信息领域的犯罪活动… 《DOCTRINE OF INFORMATION SECURITY OF THE RUSSIAN FEDERATION》（2000） 《国家信息安全学说》

7 网络安全的国家需求（中国） 建设和完善信息安全监控体系，提高对网络安全事件应对和防范能力，防止有害信息传播。 中办发[2006]11号
中共中央办公厅 国务院办公厅 关于印发《2006—2020年国家信息化发展战略》的通知

8 网络安全的国家需求（中国） 2014年成立中央网络安全和信息化领导小组；
2015年7月1日实施《新的国家安全法》第25条规定“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。

9 什么是网络安全？ 网络安全从本质上说就是网络上的信息安全。 广义地说，凡是涉及网络上信息的保密性、完整
性、可用性、真实性和可控性的相关技术和理论， 都是网络安全要研究的领域。 网络安全的一个通用定义： 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠地正常运行，网络服务不中断。

10 网络安全的范畴？ 网络安全主要关注关键信息基础设施（关系国家安全、国计民生的重要信息系统和互联网应用系统）安全，包括
网络环境下计算机系统、计算机网络自身的安全保护。 基于计算机网络的通信和分布式应用系统的安全保护。 国家关键信息基础设施是指关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施，包括但不限于提供公共通信、广播电视传输等服务的基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统，重要互联网应用系统等。这次就更明确了一些单位，可以确定的是：公共通信运营商，广播电视等基础信息网络，能源、交通、水利、金融、教育、科研、工业制造、医疗卫生、社会保障、公用事业、国家机关的重要信息系统和重要互联网应用系统。

11 信息网络自身的脆弱性 Vulnerabilities： 脆弱性，弱点，缺陷，漏洞 设计阶段的缺陷 实现阶段的漏洞与后门
Internet设计阶段 Internet首先应用于研究环境，面向可信的、少量的用户群体，安全问题不是主要的考虑。 早期的RFC：“Security issues are not discussed in this memo” 绝大多数协议没有提供必要的安全机制，比如 缺乏安全的认证机制，比如SMTP, telnet 明码传输 , 不提供保密性服务 实现阶段 软件越来越复杂、庞大，市场竞争导致很多代码没有经过严格的质量控制 无意的软件漏洞，如 buffer overflow 有意的后门，如微软 配置维护阶段 系统的缺省安装 弱口令等 管理阶段的漏洞与不合理配置

12 信息网络面临的安全威胁 计算机网络上的通信面临以下的四种威胁： (1) 截获——从网络上窃听他人的通信内容。
(2) 中断——有意中断他人在网络上的通信。 (3) 篡改——故意篡改网络上传送的报文。 (4) 伪造——伪造信息在网络上传送。 截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。

13 主动攻击与被动攻击 在被动攻击中，攻击者只是观察和分析某一个协议数据单元 PDU 而不干扰信息流。
更改报文流 拒绝报文服务 伪造连接初始化

14 网络安全的主要需求 如何才是一个安全的网络？一个完善的安全网 络在保证其计算机网络硬件平台和系统软件平台安 全的基础上，应该还具备以下安全属性 : 1、机密性 2、完整性 3、有效性 4、授权性 5、审查性

15 安全属性 机密性又称保密性，是指信息在产生、传送、处理和存贮过程中不泄露给非授权的个人或组织。机密性一般是通过加密技术对信息进行加密处理来实现的，经过加密处理后的加密信息，即使被非授权者截取，也由于非授权者无法解密而不能了解其内容。 完整性是指信息在传送和存贮过程中保持一致，没有被非授权人员改变。完整性一般可以通过提取信息的数字摘要的方式来实现。

16 安全属性 有效性又称可用性，是指授权用户在正常访问信息和资源时不被拒绝，可以及时获取服务，即保证为用户提供稳定的服务。
授权性又称访问控制，控制谁能够访问网络上的信息并且能够进行何种操作，防止非授权使用资源或控制资源，有助于信息的机密性、完整性。 审查性是指对每个经授权的用户的活动和进行的操作内容进行审计、跟踪和记录。有助于信息的机密性、完整性，及时发现非法操作。

17 网络通信安全的目标 (1) 防止析出报文内容-信息泄露； (2) 防止通信量分析-窃听； (3) 检测更改报文流-篡改；
(4) 检测拒绝报文服务-拒绝服务； (5) 检测伪造初始化连接-伪造。

18 网络安全服务 鉴别：证实通信过程涉及的另一方确实具有他们所声称的 身份，确保通信是可信的。
访问控制：限制和控制通过通信链路对主机系统和应用访 问的能力。 数据机密性：保护被传输的数据免遭被动攻击。 数据完整性：令接收方确信收到的消息与最初发出的消息 是完全一样的。 不可否认性（nonrepudiation）：防止发送方或接收方 否认已发送或已接收了一个消息的事实。 可用性：系统或系统资源可被授权实体访问和使用的特性。

19 网络安全服务与攻击的关系 可以在一定程度上防止如下攻击，但不保证100%有效 攻击 服务 偷听 流量分析 伪装 重放 消息修改 拒绝服务
对等实体鉴别 √ 数据起源鉴别 访问控制 机密性 通信流量机密性 数据完整性 不可否认性 可用性

20 网络攻击方法 网络扫描（端口扫描和漏洞扫描） 网络窃听 恶意代码（病毒和木马） 网络欺骗（IP欺骗、DNS欺骗和Web欺骗）
拒绝服务攻击：DoS攻击

21 网络扫描 端口扫描：端口扫描的原理是向目标主机的 TCP/IP服务端口发送探测数据包，并记录目 标主机的响应。通过分析响应来判断服务端口 是打开还是关闭，就可以得知端口提供的服务 或信息。端口扫描也可以通过捕获本地主机或 服务器的流入流出IP数据包来监视本地主机的 运行情况，它通过对接收到的数据进行分析， 帮助我们发现目标主机的某些内在的弱点。

22 网络扫描

23 网络扫描 漏洞扫描：漏洞扫描是建立在端口扫描的基础 之上的，绝大多数都是针对某一个网络服务， 也就是针对某一个特定的端口的。所以漏洞扫 描也是以与端口扫描同样的思路来开展扫描的。 漏洞扫描由Dan Farmer和Wiestse Verema 在1995年提出，其基本思想是模仿入侵者的 攻击方法，从攻击者的角度来评估系统和网络 的安全性，网络漏洞扫描工具则是实施安全扫 描的工具，同时也是攻击者用来寻找网络漏洞 的工具。

24 网络扫描 漏洞扫描两种实现方法： 漏洞匹配 在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在； 模拟攻击 通过模拟攻击者的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。

25 网络扫描 端口扫描工具： 漏洞扫描工具： Superscan Nmap 天眼 ISS（Internet Security Scanner）
Nessus

26 网络窃听 所谓“窃听”技术，就是 在互相通讯的两台计算机之间 通过技术手段插入一台可以接 收并记录通讯内容的设备，最 终实现对通讯双方的数据记录。 一般都要求用作监听途径的设 备不能造成通讯双方的行为异 常或连接中断。

27 网络窃听 Sniffer就是一个在以太网上进行监听的专用软件。 网络窃听的危害： （1）抓到正在传输的密码。
（2）抓到别人的秘密（信用卡号）或不想共享的资料。 （3）暴露网络信息。

28 恶意代码 恶意代码是攻击、病毒和特洛伊木马的结合。恶意代码不但破坏计算机系统（像计算机病毒），给黑客留出后门（像特洛伊木马），它还能够主动去攻击并感染别的机器。 主要包括：病毒和木马。 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 木马（Trojan）这个名字来源于古希腊传说，它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。

29 恶意代码 恶意代码是攻击、病毒和特洛伊木马的结合。恶意代码不但破坏计算机系统（像计算机病毒），给黑客留出后门（像特洛伊木马），它还能够主动去攻击并感染别的机器。 主要包括：病毒和木马。 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 木马（Trojan）这个名字来源于古希腊传说，它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。

30 恶意代码 典型的恶意代码——蠕虫 蠕虫病毒（Worm）是能够进行自我复制并在网络中传播并破坏计算机系统的可执行程序。蠕虫主要是利用操作系统和应用程序漏洞传播，通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。 “蠕虫”由两部分组成：一个主程序和一个引导 程序。主程序一旦在机器上建立就会去收集与当前 机器联网的其它机器的信息。它能通过读取公共配 置文件并运行显示当前网上联机状态信息的系统实 用程序而做到这一点。随后，它尝试利用前面所描 述的那些缺陷去在这些远程机器上建立其引导程序。

31 恶意代码 典型的恶意代码 ——蠕虫 蠕虫病毒的传播模型

32 网络欺骗 IP欺骗： IP欺骗攻击是指攻击者使用未授权的IP地址来 配置网上的计算机，或者伪造数据包的源地址来欺骗 目标主机。IP欺骗在各种黑客攻击方法中都得到了广 泛的应用，比如，进行拒绝服务攻击，伪造TCP连接， 会话劫持，隐藏攻击主机地址等。 IP欺骗的表现形式： IP欺骗的表现形式： （1）一种是攻击者伪造的IP地址不可达或者根本不存在。这种形式的IP欺骗，主要用于迷惑目标主机上的入侵检测系统或者是对目标主机进行DoS攻击。 （2）另一种IP欺骗着眼于目标主机和其他主机的信任关系。攻击者通过在自己发出的IP包中填入被目标主机所信任的主机的IP来进行冒充，这样攻击者可以获得对目标主机的访问权，并可进一步攻击。 （1）一种是攻击者伪造的IP地址不可达或者根本不存在。 （2）另一种IP欺骗着眼于目标主机和其他主机的信任关系。

33 网络欺骗 DNS欺骗（ DNSSpoofing ）：
是一种惯用手法。攻击者通过入侵DNS服务器、控制 路由器等方法把受害者要访问的目标机器域名对应的IP解 析为攻击者所控制的机器，这样受害者原本要发送给目标 机器的数据就发到了攻击者的机器上，这时攻击者就可以 监听甚至修改数据，从而收集到大量的信息。 例如让DNS服务器解析银行网站的IP为自己机器IP，同时在自己机器上伪造银行登录页面，那么受害者的真实账号和密码就暴露给入侵者了。

34 网络欺骗 Web欺骗（钓鱼攻击）： 钓鱼攻击实际上是一种利用社会工程学以及计 算机技术2种手段在线窃取用户身份数据和财产账 号信息的攻击形式。 通过社会工程学知识的钓鱼攻击主要是设置心 理陷阱对受害者进行欺骗，从而获取身份信息的 目的。比较普遍的形式是发送电子邮件，骗取受 害者信任，使受害者填写邮件附件中泄漏身份信 息的表格。另外一类便是将间谍软件、木马植入 受害者的计算机，直接窃取受害者的身份信息。

35 网络欺骗 钓鱼攻击的一般步骤： Ⅰ. 钓鱼者入侵初级服务器，窃取用户的名字和 邮件地址； Ⅱ. 钓鱼者发送有针对性质的邮件；
Ⅲ. 受害用户访问假冒网址，受害用户被钓鱼邮 件引导访问假冒网址； Ⅳ. 受害用户提供秘密和用户信息被钓鱼者取得； Ⅴ. 钓鱼者使用受害用户的身份进入其他网络服 务器。

36 拒绝服务攻击 DoS是Denial of Service的简称，即拒 绝服务，造成DoS的攻击行为被称为DoS攻击。 DoS是指故意的攻击网络协议实现的缺陷或直 接通过野蛮手段残忍地耗尽被攻击对象的资源， 目的是让目标计算机或网络无法提供正常的服 务或资源访问，使目标系统服务系统停止响应 甚至崩溃。这些服务资源包括网络带宽，文件 系统空间容量，开放的进程或者允许的连接。 分布式拒绝服务攻击（DDoS）：使用僵尸网络发动DDoS攻击是当前最主要的威胁之一。

37 拒绝服务攻击 DoS具有代表性的攻击手段包括Ping of Death（死亡之Ping）、TearDrop（泪滴）、UDP flood 、SYN flood、Land Attack、IP Spoofing DoS等。 挂掉了！！！

38 常用的安全防范措施 防火墙 入侵检测 物理层 网络层 系统层 应用层 管理层 路由交换策略 VLAN划分 防火墙 入侵检测 抗拒绝服务
传输加密 系统层 漏洞扫描 系统安全加固 SUS补丁安全管理 应用层 防病毒 安全功能增强 管理层 独立的管理队伍 统一的管理策略 防火墙 入侵检测

39 提纲 信息系统网络安全概述 防火墙技术 入侵检测技术 互联网的安全防护应用 工业控制网络的安全防护应用

40 防火墙主要技术 防火墙是一道介于开放的、不安全的公共网与信息、资源 汇集的内部网之间的屏障，由一个或一组系统组成。狭义的 防火墙指安装了防火墙软件的主机或路由器系统，广义的防 火墙还包括整个网络的安全策略和安全行为。防火墙技术包 括： 包过滤技术 网络地址翻译 应用级代理

41 防火墙主要技术 包过滤技术 包过滤技术（Packet Filtering）是在网络层依据系统的 过滤规则，对数据包进行选择和过滤，这种规则又称为访问控 制表。这种防火墙通常安装在路由器上，或者单独的串接到网 络，如图所示。 　包过滤技术 这种技术通过检查数据流中的每个数据包的源地址、目标 地址、源端口、目的端口及协议状态或它们的组合来确定是否 允许该数据包通过。

42 防火墙主要技术 包过滤技术包括两种基本类型：无状态检查的包过滤和有 状态检查的包过滤，其区别在于后者通过记住防火墙的所有 通信状态，并根据状态信息来过滤整个通信流，而不仅仅是 包。 有许多方法可绕过包过滤器进入Internet ，包过滤技术存 在以下缺陷： TCP只能在第0个分段中被过滤。 特洛伊木马可以使用NAT来使包过滤器失效。 许多包过滤器允许1024以上的端口通过。 “纯”包过滤器的防火墙不能完全保证内部网的安全，而 必须与代理服务器和网络地址翻译结合起来才能解决问题。

43 防火墙主要技术 2. 网络地址翻译 网络地址翻译（NAT，Network Address Translation）最 初的设计目的是增加在专用网络中可使用的IP地址数，但现 在则用于屏蔽内部主机。 NAT通过将专用网络中的专用IP地址转换成在Internet上 使用的全球唯一的公共IP地址，实现对黑客有效地隐藏所有 TCP/IP级的有关内部主机信息的功能，使外部主机无法探测 到它们。 NAT实质上是一个基本代理：一个主机充当代理，代表内 部所有主机发出请求，从而将内部主机的身份从公用网上隐 藏起来了。

44 防火墙主要技术 按普及程度和可用性顺序，NAT防火墙最基本的翻译模 式包括：
静态翻译。在这种模式中，一个指定的内部网络源有一个 从改变的固定翻译表。 动态翻译。在这种模式中，为了隐藏内部主机的身份或扩 展内部网的地址空间，一个大的Internet客户群共享单一一 个或一组小的Internet IP地址。 负载平衡翻译。在这种模式中，一个IP地址和端口被翻译 为同等配置的多个服务器的一个集中处，这样一个公共地址 可以为许多服务器服务。 网络冗余翻译。在这种模式中，多个Internet连接被附加 在一个NAT防火墙上，从而防火墙根据负载和可用性对这些连 接进行选择和使用。

45 防火墙主要技术 3. 应用级代理 代理现在主要用于防火墙。代理服务器通过侦听网络内 部客户的服务请求，检查并验证其合法性，若合法，它将作 为一台客户机一样向真正的服务器发出请求并取回所需信息， 最后再转发给客户。代理的工作流程如图所示。 一个服务代理

46 防火墙分类 按技术分类 根据防火墙采用的技术，防火墙分为包过滤型、代理 型和监测型。 包过滤型
防火墙通过读取数据包中的地址信息来判断这些“包” 是否来自可信任的安全站点，一旦发现来自危险站点的数 据包，防火墙便会将这些数据拒之门外。系统管理员也可 以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用，实现成本低。其缺点 只能根据数据包的来源、目标和端口等网络信息进行判断， 无法识别基于应用层的恶意入侵。

47 防火墙分类 代理型 代理型防火墙也称为代理服务器。从结构上看，代理服务 器由代理的服务器部分和代理的客户机部分组成。从客户机来 看，代理服务器相当于一台真正的服务器，而从服务器来看， 代理服务器又是一台真正的客户机。 代理型防火墙的优点是安全性较高，可以针对应用层进行 侦测和扫描，对付基于应用层的入侵和病毒都十分有效。其缺 点是对系统的整体性能有较大的影响，而且代理服务器必须针 对客户机可能产生的所有应用类型逐一进行设置，大大增加了 系统管理的复杂性。

48 防火墙分类 监测型 监测型防火墙实际已经超越了最初的防火墙定义。监测型 防火墙能够对各层的数据进行主动的、实时的监测。并在对 这些数据分析的基础上，它能够有效地判断出各层中的非法 入侵。 监测型防火墙产品一般还带有分布式探测器，这些探测器 安置在各种应用服务器和其他网络的节点之中，不仅能够检 测来自网络外部的攻击，还对来自内部的恶意破坏也有极强 的防范作用。 因此，监测型防火墙不仅超越了传统防火墙的定义，而且 在安全性上也超越了前两代产品。

49 防火墙分类 2. 按结构分类 目前，防火墙按结构可分为简单型和复合型。简单型包括 只使用屏蔽路由器或者作为代理服务器的双目主机结构；复 合结构一般包括屏蔽主机和屏蔽子网。 双目主机结构 双目主机结构防火墙系统主要由一台双目主机构成，具有 两个网络接口，分别连接到内部网和外部网，充当转发器， 如图所示。这样，主机可以充当与这些接口相连的路由器， 能够把IP数据包从一个网络接口转发到另一个网络接口。但 是，实现双目主机的防火墙结构禁止这种转发功能。

50 防火墙分类 双目主机结构防火墙 防火墙内部的系统能与双目主机通信，同时防 火墙外部的系统如因特网也能与双目主机通信，但二者 之间不能直接通信。

51 防火墙分类 屏蔽主机结构 屏蔽主机结构使用一个单独的路由来提供与内部网相 连主机即壁垒主机的服务。在这种安全体系结构中，主 要的安全措施是数据包过滤，如图所示。在屏蔽路由器 中，数据包过滤配置按以下方式执行： 允许其他的内部主机为了某些服务与因特网上的主 机连接，即允许那些经过数据包过滤的服务。 不允许来自内部主机的所有连接，即强迫内部主机 通过壁垒主机使用代理服务。 由于这种结构允许数据包通过因特网访问内部数据， 因此，它的设计比双目主机结构要更冒风险。

52 防火墙分类 　 　 屏蔽主机结构防火墙

53 防火墙分类 屏蔽子网结构 屏蔽子网结构防火墙是通过添加隔离内外网的边界网络为 屏蔽主机结构增添另一个安全层，这个边界网络有时候称为 非军事区。 壁垒主机是最脆弱的、最易受攻击的部位，通过隔离壁 垒主机的边界网络，便可减轻壁垒主机被攻破所造成的后果。 因为壁垒主机不再是整个网络的关键点，所以它们给入侵者 提供一些访问，而不是全部。 最简单的屏蔽子网有两个屏蔽路由器，一个接外部网与 边界网络，另一个连接边界网络与内部网，如图所示。这样 为了攻进内部网，入侵者必须通过两个屏蔽路由器。

54 防火墙分类 屏蔽子网防火墙

55 防火墙的选择标准和发展方向 1. 选择防火墙标准 总拥有成本 。防火墙产品的总拥有成本不应该超过 受保护网络系统可能遭受最大损失的成本 。
防火墙本身的安全。防火墙本身应该是安全的，不 给外部入侵者可乘之机。 管理与培训。管理和培训是评价一个防火墙好坏的 重要方面。人员培训和日常维护费用通常会在总拥有成 本中占据较大的比例。 可扩充性。好产品应该留给用户足够的弹性空间。 防火墙的安全性能。即防火墙是否能够有效地阻挡 外部入侵。

56 防火墙的选择标准和发展方向 ２. 防火墙的发展方向 为了有效抵御网络攻击，适应Internet的发展势头，防火墙 表现出如下发展趋势：
智能化的发展。防火墙将从目前的静态防御策略向具备 人工智能的智能化方向发展。 速度的发展。随着网络速率的不断提高，防火墙必须提 高运算速度及包转发速度，否则成为网络的瓶颈。 体系结构的发展。要求防火墙能够协同工作，共同组成 一个强大的、具备并行处理能力和负载均衡能力的逻辑防 火墙。 功能的发展。未来网络防火墙将在现有的基础上继续完 善其功能并不断增加新的功能。 专业化的发展。单向防火墙、电子邮件防火墙、FTP防 火墙等针对特定服务的专业化防火墙将作为一种产品门类 出现。

57 提纲 信息系统网络安全概述 防火墙技术 入侵检测技术 互联网的安全防护应用 工业控制网络的安全防护应用

58 入侵检测概述 什么是入侵检测？ 入侵检测是对传统安全产品的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 近几年来随着计算机技术的发展，基于网络的计算机应用系统成为主流。计算机网络在现代生活和工作中的重要作用越来越重要。人们也越来越需要网络。但是随之而来的计算机网络安全问题也不断增加，网络的安全成为人们关注的焦点。 目前，解决网络安全问题的主要技术手段有加解密技术、防火墙技术、安全路由器等，它们在防御网络入侵方面有一定的作用。网络安全是一个综合的、立体的工程，单纯依靠一些防御工具不可能满足全部的安全要求。入侵检测系统应运而生，通过动态探查网络内的异常情况，及时发出警报，有效弥补了其它静态防御工具的不足。

59 入侵检测概述 入侵检测系统（IDS）特点 入侵检测是一种积极主动的安全防护技术。 IDS是安全防护的第二道防线。
在网络系统受到危害之前拦截和响应入侵。 入侵侦测技术是防火墙技术合理而有效的补充，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 　　 入侵检测发现攻击,自动发送给放火墙,防火墙加载动态规则拦截入侵,称为防火墙联动功能. 对于以上提到的问题，很多组织正在致力于提出更多的更强大的主动策略和方案来增强网络的安全性，然而另一个更为有效的解决途径就是入侵检测。在入侵检测之前，大量的安全机制都是根据从主观的角度设计的,他们没有根据网络攻击的具体行为来决定安全对策，因此，它们对入侵行为的反应非常迟钝，很难发现未知的攻击行为，不能根据网络行为的变化来及时地调整系统的安全策略。而入侵检测正是根据网络攻击行为而进行设计的，它不仅能够发现已知入侵行为，而且有能力发现未知的入侵行为，并可以通过学习和分析入侵手段，及时地调整系统策略以加强系统的安全性。 对IDS的要求： - 实时检测入侵行为 - 有效地阻止入侵或与其它的控制机制联动 - 不影响网络性能

60 入侵检测系统结构 远程管理 告警 控制 数据采集 分析器 响应/控制 （Sensor） 响应政策 配置信息 知识库 数据采集： 数据的来源
主机的审计日志， 基于主机的（Host- Based） IDS 网络流量数据， 基于网络的（Network-Based ）IDS 包括事件提取功能，负责提取与被保护系统相关的运行数据或记录，并负责对数据进行简单的过滤。 分析器：即入侵分析，在提取到的运行数据中找出入侵的痕迹，将授权的正常访问行为和非授权的不正常访问行为区分开，分析出入侵行为并对入侵者进行定位。 响应/控制 入侵响应功能在分析出入侵行为后被触发，根据入侵行为产生响应。一旦检测到攻击，IDS应答模块通过通知、报警以及 中断连接等方式来对攻击作出反应。 控制： 知识库： 响应政策配置信息： 远程管理 由于单个入侵检测系统的检测能力和检测范围的限制，入侵检测系统一般采用分布监视集中管理的结构，多个检测单元运行于网络中的各个网段或系统上，通过远程管理功能在一台管理站点上实现统一的管理和监控。

61 入侵检测系统分类 基于主机的入侵检测系统HIDS
基于主机的入侵检测系统将检测模块驻留在被保护系统上，通过提取被保护系统的运行数据并进行入侵分析来实现入侵检测的功能。 　　 数据源 系统状态信息（CPU, Memory, Network） 记账（Accounting）信息 审计信息（Audit），登录认证，操作审计，如 syslog等 应用系统提供的审计记录 基于主机的系统一般是根据攻击对系统的影响来判断攻击事件的，比如用户是否多次使用错误口令，文件状态是否非法改变等，时间上滞后于攻击本身 基于主机的入侵检测要依赖于特定的操作系统和审计跟踪日志获取信息，此类系统的原始数据来源受到所依附具体操作系统平台的限制，系统的实现主要针对某种特定的系统平台，在环境适应性、可移植性方面问题较多。所以现在的商用入侵检测产品几乎没有一种是单纯基于主机类型的。但是在获取高层信息以及实现一些特殊功能时，如针对系统资源情况的审计方面具有无法替代的作用 基于主机的系统一般是根据攻击对系统的影响来判断攻击事件的，比如用户是否多次使用错误口令，文件状态是否非法改变等，时间上滞后于攻击本身。 基于主机的IDS。基于主机的IDS一般监视Windows NT上的系统、事 件、安全日志以及UNIX环境中的syslog文件。一旦发现这些文件发生任 何变化，IDS将比较新的日志记录与攻击签名以发现它们是否匹配。如果 匹配的话，检测系统就向管理员发出入侵报警并且发出采取相应的行动。 使用日志文件或跟踪文件。非常不幸的是，这些文件记录的绝大多数数据是在系统正常运行时产生的。如果没有第三方工具把正常情形与异常情形时的记录内容区分开来，则入侵行为很难检测。 　　表示有入侵行为发生的现象如： 　　失败的登录：如果用户在登录过程中输入了错误的口令，就会引起登录失败。根据用户尝试登录的时间与次数，可以初步判定是常规失误还是蓄意入侵。 　　磁盘可用空间的增加或减少：系统管理员可以注意到平均磁盘利用率突然增加或减少，这表示入侵者增加或删除了一些文件。 　　FTP 日志：如果FTP日志中发现了未知的IP地址，表示入侵者试图进行连接。 　　只要管理员经常登录到每台服务器上并阅读审计跟踪信息，绝大多数非法闯入能够被轻易察觉，没有被察觉的多半由于管理员没有相关的知识或充足的时间。许多公司甚至没有可以看懂获得的审计跟踪信息的专业人员。除非可以猜测入侵者的心理动机，否则多数情况下对入侵者的跟踪是无效的。 　　管理员不可能把大量时间花在系统正常运行时生成的审计跟踪资料上，这往往会遗漏关键的提示信息。解决上述两个问题的方法是采用好的过滤器和警报系统。如能与专业团体保持合作，获得最新的入侵动向和防御方法则是上上之策。 　　

62 入侵检测系统分类 基于主机的入侵检测系统实现方法 检测系统设置以发现不正当的系统设置和系统设置的不正当更改。例如COPS系统。
对系统安全状态进行定期检查以发现不正常的安全状态，例如Tripwire系统。 通过替换服务器程序，在服务器程序与远程用户之间增加一个中间层，在该中间层中实现跟踪和记录远程用户的请求和操作。例如TCPwrapper。 基于主机日志的安全审计，通过分析主机日志来发现入侵行为。 　　 COPS（Computer Oracle and Password System） 在主机入侵检测系统中，不管在什么操作系统，普遍用到各种勾子技术对系统的各种事件，活动进行截获分析。在Win NT/2000中，由于系统中的各种API 子系统，如Win32 子系统、Posix 子系统及其他系统最终都要调用相应的系统服务例程(System Services Routines)，所以可以对系统服务例程勾子化。入侵检测系统通过捕获操作文件系统和注册表的函数来检测对文件系统和注册表的非法操作。在有些系统中，可以通过拷贝勾子处理函数不仅可以对敏感文件或目录检测非法操作，还可以阻止对文件或目录的操作

63 入侵检测系统分类 基于主机代理的分布式入侵检测系统 主机Agent 分布式入侵检测系统 赛门铁克的Intruder Alert
主机入侵检测系统通常在被重点检测的主机上运行一个代理程序。该代理程序扮演着检测引擎的角色，它根据主机行为特征库对受检测主机上的可疑行为进行采集、分析和判断，并把警报信息发送给控制端程序，由管理员集中管理。此外，代理程序需要定期给控制端发出信号，以使管理员能确信代理程序工作正常。如果是个人主机入侵检测，代理程序和控制端管理程序可以合并在一起，管理程序也简单得多。 可以把它的功能结构分为两个大的部分：中心检测平台和代理服务器。代理服务器是负责从各个操作系统中采集审计数据，并把审计数据转换平台无关的格式后传送到中心检测平台，或者把中心平台的审计数据要求传送到各个操作系统中。而中心检测平台由专家系统、知识库和管理员组成，其功能是根据代理服务器采集来的审计数据进行专家系统分析，产生系统安全报告。管理员可以向各个主机提供安全管理功能，根据专家系统的分析向各个代理服务器发出审计数据的需求。另外，在中心检测平台和代理服务器之间是通过安全的RPC进行通信。 赛门铁克的Intruder Alert

64 入侵检测系统分类 基于网络的入侵检测系统(NIDS)
基于网络的入侵检测系统通过网络监视来实现数据提取，对可疑的异常活动和包含攻击特征的活动作出响应。 在局域网中，将网卡的接收模式设置为混杂模式，获得经过本网段的所有通信信息，从而实现网络监视的功能。 在其它网络环境下，虽然可能不采用广播的方式传送报文，但目前很多路由设备或交换机都提供数据报文监视功能。 NIDS对所有流经监测代理的网络通信量进行监控。 而基于网络的系统强调通过网络行为过程进行分析，不是依靠审计攻击事件对目标系统带来的实际影响，而通过行为特征来发现攻击事件。比如网络上一旦发生了针对Windows NT系统的攻击行为，即使其保护网络中没有NT系统，基于网络的入侵检测系统一样可以检测到该攻击。此类系统侧重于网络活动进行检测因而得以实时地发现攻击企图，许多情况下可以做到防范于未然。 基于网络监听方式实现的入侵检测系统同基于主机的系统相比，在实时性、适应性、可扩展性方面具有其独特的优势，但此类系统也存在一些固有的弱点，比如更容易受到基于网络的拒绝服务等恶意攻击，在高层信息的获取上更为困难，在实现技术上更为复杂等。但是也只有此类系统可以检测到某些种类的攻击，比如远程缓冲区溢出、网络碎片攻击等大量针对协议栈或特定网络服务的攻击手段。

65 入侵检测系统分类 基于网络的入侵检测系统(NIDS) WAN LAN HUB IDS Sensor Monitored Servers
在Internet中，局域网普遍采用IEEE 802.3协议。该协议定义主机进行数据传输时采用子网广播的方式，任何一台主机发送的数据包，都会在所经过的子网中进行广播，也就是说，任何一台主机接收和发送的数据都可以被同一子网内的其他主机接收。在正常设置下，主机的网卡对每一个到达的数据包进行过滤，只将目的地址是本机的或广播地址的数据包放入接收缓冲区，而将其他数据包丢弃，因此，正常情况下网络上的主机表现为只关心与本机有关的数据包，但是将网卡的接收模式进行适当的设置后就可以改变网卡的过滤策略，使网卡能够接收经过本网段的所有数据包，无论这些数据包的目的地是否是该主机。网卡的这种接收模式被称为混杂模式，目前绝大部分网卡都提供这种设置，因此，在需要的时候，对网卡进行合理的设置就能获得经过本网段的所有通信信息，从而实现网络监视的功能。

66 绿盟、启明星辰、东软等公司都提供NIDS产品
入侵检测系统分类 基于网络代理的分布式入侵检测系统 天一猎鹰HM-IDS"入侵检测系统是一种基于代理的分布式入侵检测系统，可以根据需要将代理灵活的部署，利用代理捕捉入侵和可疑的事件，在入侵成功之前发现并阻止入侵，即使入侵成功了也能尽快发现以减少损失，这样很大程度上提高了网络的安全性。 天一猎鹰HM-IDS"采用基于代理的分布式入侵检测体系结构。代理是分布于不同网段的攻击检测系统，通过侦听报文获得审计信息，在进行分析的前提下，对入侵事件做出相应响应，并向中心服务器报告可疑事件或入侵。 这种结构具有以下优点： ● 效率高,响应时间短。 ● 可扩展性好。 ● 配置灵活。 ● 健壮性好。 绿盟、启明星辰、东软等公司都提供NIDS产品

67 入侵检测系统分类 混合分布式入侵检测系统(DIDS)
HIDS与NIDS并行可以做到优势互补。在实施NIDS系统的同时，在特定的敏感主机上增加代理。网络部分提供早期警告，而基于主机的部分可提供攻击成功与否的情况分析与确认。 混合分布式入侵检测系统可以从不同的主机系统、网络部件和通过网络监听方式收集数据，利用网络数据也可收集分析来自主机系统的高层事件发现可疑行为。 虽然基于网络的入侵检测系统实现的功能可以很强大，如要适应现代千兆比特的高速网络和交换式网络方面也有许多难以克服的困难。而且基于主机的入侵检测系统也有其独特功能，所以未来的入侵检测系统要想取得成功必须将基于主机和基于网络的两种入侵检测系统无缝的结合起来，这就是混合分布式入侵检测系统，在基于主机和基于网络的两种入侵检测系统都发展到一定成熟度后，混合分布式系统就自然出现了，它兼两种入侵检测系统各自的优点。

68 入侵检测系统分类 混合分布式入侵检测系统 主机 主机Agent 流量 分析器 网络 Agent 管理器 混合分布式（DIDS）。
管理器/代理(Manager/Agent)结构 它将主机IDS和网络IDS相结合，分别从计算机和网络的各个关键点收集违反安全策略的行为或被攻击的迹象，并且可以根据用户的需要实时报警和响应，还可防止来自外网的黑客入侵，制止来自内联网的恶意行为、误操作或资源滥用。 管理控制台对所有的探测器进行统一的集中式管理和监控。系统管理员可以通过一台管理控制台实施对全网的安全监控和管理。 一个完备的入侵检测系统IDS一定是基于主机和基于网络两种方式兼备的分布式系统。 分布式入侵检测系统这种工作方式比较新，目前这种技术在例如ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包，不同的是，它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子，该黑匣子相当于基于网络的入侵检测系统，只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流，它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大，但对网络流量有一定的影响 要包括管理中心Admin、基于网络的入侵检测引擎Network Agent和基于主机的入侵检测引擎Host Agent三个模块，用户可根据需要选用相应的模块。其中，Admin基于Windows 2000的管理平台，可集中管理和配置Network Agent和Host Agent，存储Network Agent和Host Agent发送的数据，接收Network Agent和Host Agent发来的实时警报; Network Agent可通过分析网络上的数据包进行入侵检测，使得入侵者难以消除入侵痕迹，并让用户较早地检测到通过网络的入侵，还可以检测到多种类型的入侵; Host Agent具有系统日志或者系统呼叫的功能，可识别入侵成功与否，跟踪、监视系统内部行为，检测系统缓冲区溢出等等 清华紫光入侵检测系统UnisIDS实现了基于主机检测功能和基于网络检测功能的无缝集成。

69 入侵检测系统主要技术 入侵检测 误用检测 异常检测 已知攻击，需要攻击的特征规则 特征匹配 未知攻击或新型攻击，无需预定义特征规则
建立正常行为模型，模型偏差程度

70 入侵检测系统主要技术 异常检测技术的基本原理
异常检测技术（Anomaly Detection）也称为基于行为的检测技术，是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。 异常检测技术首先假设网络攻击行为是不常见的或是异常的，区别于所有的正常行为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型，那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比，若入侵行为偏离了正常的行为轨迹，就可以被检测出来。

71 入侵检测系统主要技术 异常检测技术的评价 误用检测技术有以下优点： 能够检测出新的网络入侵方法的攻击。 较少依赖于特定的主机操作系统。
对于内部合法用户的越权违法行为的检测能力较强。 异常检测技术有以下不足： 误报率高。 行为模型建立困难。 难以对入侵行为进行分类和命名。

72 入侵检测系统主要技术 异常检测技术的分类 （1）统计分析异常检测。 （2）贝叶斯推理异常检测。 （3）神经网络异常检测。
（4）模式预测异常检测。 （5）数据采掘异常检测。 （6）机器学习异常检测。

73 入侵检测系统主要技术 误用检测技术的基本原理
误用检测技术（Misuse Detection）也称为基于知识的检测技术或者模式匹配检测技术。它的前提是假设所有的网络攻击行为和方法都具有一定的模式或特征，如果把以往发现的所有网络攻击的特征总结出来并建立一个入侵信息库，那么入侵检测系统可以将当前捕获到的网络行为特征与入侵信息库中的特征信息相比较，如果匹配，则当前行为就被认定为入侵行为。

74 入侵检测系统主要技术 误用检测技术的评价 误用检测技术有以下优点： 检测准确度高。 技术相对成熟。 便于进行系统防护。
误用检测技术有以下不足： 不能检测出新的入侵行为。 完全依赖于入侵特征的有效性。 维护特征库的工作量巨大。 难以检测来自内部用户的攻击。

75 入侵检测系统主要技术 误用检测技术的分类 （1）专家系统误用检测。 （2）特征分析误用检测。 （3）模型推理误用检测。
（4）条件概率误用检测。 （5）键盘监控误用检测。

76 入侵检测系统主要技术 异常检测技术和误用检测技术的比较
基于异常检测技术的入侵检测系统如果想检测到所有的网络入侵行为，必须掌握被保护系统已知行为和预期行为的所有信息，这一点实际上无法做到，因此入侵检测系统必须不断地学习并更新已有的行为轮廓。对于基于误用检测技术的入侵检测系统而言，只有拥有所有可能的入侵行为的先验知识，而且必须能识别各种入侵行为的过程细节或者每种入侵行为的特征模式，才能检测到所有的入侵行为，而这种情况也是不存在的，该类入侵检测系统只能检测出已有的入侵模式，必须不断地对新出现的入侵行为进行总结和归纳。 在入侵检测系统的配置方面，基于异常检测技术的入侵检测系统通常比基于误用检测技术的入侵检测系统所做的工作要少很多，因为异常检测需要对系统和用户的行为轮廓进行不断地学习更新，需要做大量的数据分析处理工作，要求管理员能够总结出被保护系统的所有正常行为状态，对系统的已知和期望行为进行全面的分析，因此配置难度相对较大。但是，有些基于误用检测技术的入侵检测系统允许管理员对入侵特征数据库进行修改，甚至允许管理员自己根据所发现的攻击行为创建新的网络入侵特征规则记录，这种入侵检测系统在系统配置方面的工作量会显著增加。

77 入侵检测系统设置 入侵检测系统的设置主要分为以下几个基本的步骤： （1）确定入侵检测需求。 （2）设计入侵检测系统在网络中的拓扑位置。
（3）配置入侵检测系统。 （4）入侵检测系统磨合。 （5）入侵检测系统的使用及自调节。 这些步骤的操作流程如图所示。

78 入侵检测系统设置 在图中可以看到，在设置的过程中要进行多次的回溯，而在这几次回溯中，第3、第4步之间的回溯过程会重复多次，通过不断地调整入侵检测系统的检测配置，将误报警率和漏报警率降到最低，使得入侵检测系统能够在最佳状态下进行检测分析。而在使用中，随着网络整体结构的改变（包括增加新的应用或服务器、检测方式更新等），入侵检测系统的设置也要进行相应地修改，以保证能够适应新的变化。

79 提纲 信息系统网络安全概述 防火墙技术 入侵检测技术 互联网的安全防护应用 工业控制网络的安全防护应用

80 防火墙的应用 访问控制 认证 NAT 加密 防病毒、内容过滤 流量管理

81 防火墙的逻辑位置 防火墙的逻辑位置结构示意图

82 入侵检测的应用 报警 报警 Servers Intranet Internet DMZ 攻击者 IDS Agent 发现攻击
Firewall router IDS Agent 发现攻击 报警 DMZ 监控中心 发现攻击 发现攻击 Servers IDS Agent 报警

83 入侵检测系统的逻辑位置 入侵检测的部署点可以划分为4个位置：①DMZ区；②外网入口；③内网主干；④关键子网，如图所示。

84 提纲 信息系统网络安全概述 防火墙技术 入侵检测技术 互联网的安全防护应用 工业控制网络的安全防护应用

85 工控网与互联网的差异化

86 传统IT安全： 机密性 > 完整性 > 可用性 工控系统安全：可用性 > 完整性 >机密性
工控网与互联网的安全技术差异化 传统网络安全技术不适于应用到工业控制系统 传统IT安全： 机密性 > 完整性 > 可用性 工控系统安全：可用性 > 完整性 >机密性 方式 防火墙 入侵检测 漏洞扫描 传统IT网络 工业控制网络 TCP/IP协议 存在误报率 实时的补丁修复 专有协议格式 不允许存在误报 补丁修复困难 传统IT系统：机密性 工业测控系统：可用性 设计初衷

87 防火墙/入侵检测的安全挑战 :全球最具权威的IT研究与顾问咨询公司之一 指出：3/4 的安全威胁来自应用层。
正常控制 具统计工控系统中APT攻击越来越多； 主要瞄准应用层具有潜伏性、持续性的特点。 恶意控制 端口 正常采集 越权监听 传输层 正常流量 木马传输 针对工控系统的安全防护要从应用层着手！

88 防火墙/入侵检测的安全挑战 控制威胁传播途径？ 对于新型的应用层攻击： 传统防火墙5元组ACL 将彻底失效 传统防火墙入侵检测已经不满足
源IP 目的IP 协议 源端口 目的端口 传统防火墙入侵检测已经不满足 工业安全防护的需求！

89 工控安全技术方案 基于ISA的“纵深防御” 针对应用层协议的安全防护 “白名单”的区域管控 划分控制系统安全区域，对安全区域的隔离保护
保护合法用户访问网络资源 “白名单”的深度解析 Modbus协议 OPC协议

90 工控防火墙和入侵检测特点 工业防火墙：利用工业协议的深度解析，实现工业通信的访问控制；
工业入侵检测系统：以第三方监听的方式，检测工业控制异常行为并报警。

91 谢谢！