当前位置：文档之家› 6端口扫描与入侵检测

6端口扫描与入侵检测

系统目录和文件的异常变化
网络环境中的文件系统包含很多软件和数据文件，网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标目录和文件中的不期望的改变（包括修改、目录和文件中的不期望的改变（包括修改、创建和删），特别是那些正常情况下限制访问的特别是那些正常情况下限制访问的，除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号入侵者经常替换、入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件
入侵检测的起源（）入侵检测的起源（1）
审计技术：产生、审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程审计的目标：审计的目标：
确定和保持系统活动中每个人的责任重建事件评估损失监测系统的问题区提供有效的灾难恢复阻止系统的不正当使用
入侵检测起源（）入侵检测起源（2）
入侵检测的起源（）入侵检测的起源（3）
年到1986年从1984年到年到年乔治敦大学的Dorothy Denning 乔治敦大学的 SRI/CSL的 SRI/CSL的Peter Neumann 研究出了一个实时入侵检测系统模型—IDES（入侵检测专家（研究出了一个实时入侵检测系统模型系统）系统）
异常廓的完备性和监控的频率因为不需要对每种入侵行为进行定义，因此能有因为不需要对每种入侵行为进行定义，效检测未知的入侵系统能针对用户行为的改变进行自我调整和优化，系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源
统计分析
统计分析方法首先给系统对象（如用户、文件、统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）些测量属性（如访问次数、操作失败次数和延时等）测量属性的平均值和偏差将被用来与网络、测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生
优点
应用程序日志没有记录
缺点
复杂，需要自己构造数据包很多系统要超级用户才能进行容易被发现
扫描技术详解…… 端口扫描中的技巧
随机端口扫描。即端口不是线性增长，而是有随机数决定。慢扫描。在每两次扫描中人为地延长时间间隔，增加扫描的隐蔽性。分片重组扫描。将扫描用的tcp头部信息分组装入两个IP包中，可能穿过防火墙。伪造IP扫描。扫描关键端口(如21,23,53,80, 137,138,139等)使用自己的IP，使想要的信息可以返回；剩下的全用伪造的IP。
误用检测
1. 前提：所有的入侵行为都有可被检测到的特征前提：攻击特征库: 2. 攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵相匹配时， 3. 过程监控特征提取匹配判定
指标:误报低、 4. 指标:误报低、漏报高
入侵检测的起源（）入侵检测的起源（2）
1980年4月，James P. Anderson 《Computer Security Threat Monitoring and Surveillance》计算机安全威胁监控与监视）（计算机安全威胁监控与监视）第一次详细阐述了入侵检测的概念计算机系统威胁分类: 外部渗透、计算机系统威胁分类外部渗透、内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开山之作
端口扫描 2、1 网络通讯基础 TCP/IP参考模型 TCP协议报文格式 TCP协议的三次握手 2、2 端口扫描原理 2、3目前主流的端口扫描技术 1、TCP connetc scan 2、TCP SYN scan 3、TCP FIN scan 4、IP scan 5、TCP XMAS TREE SCAN 6、TCP NULL SCAN 7、UPD SCAN 8、ICMP ECHO 扫描
入侵检测的起源（）入侵检测的起源（3）
入侵检测的起源（）入侵检测的起源（4）
1990，加州大学戴维斯分校的L. T. Heberlein等人，加州大学戴维斯分校的等人开发出了NSM（Network Security Monitor）开发出了（）该系统第一次直接将网络流作为审计数据来源，因该系统第一次直接将网络流作为审计数据来源，而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的和基于主机的IDS 式形成：基于网络的和基于主机的
完整性分析
完整性分析主要关注某个文件或对象是否被更改这经常包括文件和目录的内容及属性在发现被更改的、在发现被更改的、被安装木马的应用程序方面特别有效
结果处理
入侵检测性能关键参数
误报( 误报 false positive)：如果系统错误地将异如果系统错误地将异常活动定义为入侵漏报( 漏报 false negative)：如果系统未能检测出如果系统未能检测出真正的入侵行为
VPN 防病毒
可视为防火墙上的一个漏洞功能单一
Intrusion Detection
传统的信息安全方法采用严格的访问控制和数据加密策略来防护，但在复杂系统中，据加密策略来防护，但在复杂系统中，这些策略是不充分的。略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全入侵检测（入侵检测（Intrusion Detection）是对入侵行）为的发觉。为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象
关于防火墙
网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部
入侵很容易
入侵教程随处可见各种工具唾手可得
网络安全工具的特点
优点防火墙 IDS Scanner 可简化网络管理，可简化网络管理，产品成熟实时监控网络安全状态简单可操作，简单可操作，帮助系统管理员和安全服务人员解决实际问题保护公网上的内部通信针对文件与邮件，针对文件与邮件，产品成熟局限性无法处理网络内部的攻击误报警，缓慢攻击，误报警，缓慢攻击，新的攻击模式并不能真正扫描漏洞
攻击者常在系统日志文件中留下他们的踪迹，因此，攻击者常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件日志文件中记录了各种行为类型，日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变用户对文件的访问、改变、含登录、用户改变、用户对文件的访问、授权和认证信息等内容显然，对用户活动来讲，显然，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的是重复登录失败、企图访问重要文件等等
入侵检测的定义
对系统的运行状态进行监视，对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，击企图、攻击行为或者攻击结果，以保证系统资源的机密性、系统资源的机密性、完整性和可用性进行入侵检测的软件与硬件的组合便是入侵检测系统 IDS : Intrusion Detection System
端口侦听 1、端口侦听的原理 2、“端口侦听”与“端口扫描”的异同
端口扫描器的使用 Netbrute
IDS存在与发展的必然性存在与发展的必然性
一、网络攻击的破坏性、损失的严重性网络攻击的破坏性、二、日益增长的网络安全威胁三、单纯的防火墙无法防范复杂多变的攻击
为什么需要IDS 为什么需要
扫描技术详解…… TCP connect扫描
直接用connect连接对方的端口
连接成功，说明对方端口是开放的
优点
简单，不需要特权用户
缺点
容易被察觉在应用日志中会有记录下来一些没有任何动作的连接
扫描技术详解…… TCP SYN扫描
Half open scan 在3次握手完成前终止连接方法
发SYN 如果收到RST，说明端口关闭如果收到SYN ACK，说明端口开放，发送RST
端口扫描与入侵检测
端口概述 1、1计算机网络服务 1、2通讯端口端口的分类公认端口注册端口动态或私有端口 TCP和UDP协议端口 TCP UDP 1、3 常见服务端口
扫描概述…… 扫描的目的
前提：网络ip地址清单或范围确定目标系统是否在活动确定那些服务在运行（监听）检测目标操作系统类型试图发现目标系统的漏洞
信息收集
入侵检测很大程度上依赖于收集信息的可靠性和正确性要保证用来检测网络系统的软件的完整性特别是入侵检测系统软件本身应具有相当强的坚固性，固性，防止被篡改而收集到错误的信息
信息收集的来源
系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为
系统或网络的日志文件
1980年年 1987年年 Anderson提出：入侵检测概念，分类方法提出：入侵检测概念，提出 Denning提出了一种通用的入侵检测模型提出了一种通用的入侵检测模型独立性：系统、环境、脆弱性、入侵种类系统、环境、脆弱性、
系统框架：异常检测器，系统框架：异常检测器，专家系统 90年初 CMDS™、NetProwler™、NetRanger™ 90年初 CMDS 、NetProwler 、NetRanger RealSecure™ ISS RealSecure

e商务文档

6端口扫描与入侵检测

相关文档推荐：