网络安全技术-网络安全检查技术
入侵检测技术
什么是入侵行为
对入侵行为( 任何企图破坏资源的完整性、保密性和有效性的行为 ) 的发觉。
入侵检测分类方式
根据入侵检测的数据源
- 基于主机的入侵检测
- 基于网络的入侵检测
- 混合型入侵检测
按照检测方法
- 异常检测
- 误用检测
按时间
- 实施入侵检测
- 定时入侵检测(事后入侵检测)
按系统体系结构
- 集中式ids
- 分布式ids
主机入侵检测
- 数据 来源于主机系统,通常是系统日志和审计 记录
- 通过对系统 日志和审计记录的不断监控和分析来发现攻击后的误 操作
- 优点: 针对不同 的操作系统捕获应用层入侵 、误 报少
- 缺点: 依赖 于主机及其审计
网络入侵检测
- 数据 来源于是网络上的 数据流
- 能够 截获网络中的数据包 ,提取 其 特征 并与库中已知的攻击签名相比较,已达到检测 目的
- 优点: 侦测 速度快 、隐蔽性 好,不易受到攻击,资源消耗 少
- 缺点: 误报率较高
误用检测
误用 检测 是根据 己知的攻击方法,预先定义入侵特征,通过判断这此特征是否出现来完成检测任务。
用于误用入侵检测的技术
模式匹配技术,专家系统,特征分析方法,Petri 网、状态转义分析
异常检测
异常 检测 是根据 用户的行为或资源的使用状况的正常程度来判断是否属于入侵。
用于异常入侵检测的技术
统计分析,神经网络,数据挖掘方法
入侵检测系统指标参数
误 报率
误报 (false positive) :实际无害的事件却被 **IDS **检测为攻击事件。
漏报 率
漏报 (false negative) :
一 个攻击事件未被 IDS 检测到或被分析人员认为是无害的。
入侵防御系统
一种主动积极的网络防护系统,当发现攻击企图后,会将攻击包丢掉或采取阻断措施,实现对系统的实时防护,是一种积极的、主动的入侵防范和阻止系统。
入侵防御系统工作原理
入侵防御系统的分类
基于主机的入侵防御系统 (HIPS)
基于网络的入侵防御系统 (NIPS)
应用入侵防御系统
入侵防御系统的组成
漏洞检测技术
概述
计算机系统的安全 漏洞 ( Bug ) , 也可以称为系统 脆弱性(Vulnerability ) , 是指计算机系统在硬件、软件、协议的设计、具体实现以及系统安全策略上存在的缺陷和不足。
从广义的角度来看,一切可能导致系统安全性受影响或破坏的因素都可以视为系统安全漏洞。
安全漏洞的存在,使得非法用户可以利用这些漏洞获得某些系统权限,进而对系统执行非法操作
计算机系统的安全漏洞形成原因
- 网络协议本身的缺陷。
- 设计时带来的安全缺陷。
- 配置不当带来的安全缺陷。
漏洞的分类
- 按漏洞的成因分类
- 实现漏洞:来自于系统实现过程中的错误带来的漏洞 。
- 设计漏洞:来自于设计阶段错误而带来的漏洞。
- 配置漏洞:由于系统软硬件配配置错误导带来的漏洞。
- 按 攻击危险程度分
- 高级危险漏洞:允许攻击者访问且破坏整个系统安全策略的漏洞。
- 中级危险漏洞:允许有限权限的本地用户(例如普通用户权限)未经授权而提高其权限的漏洞。
- 低级危险漏洞:不允许恶意用户访问或进入目标系统,但可以得到某些关于目标系统的信息甚至是 机密 信息
漏洞的分类
- 按攻击结果可以分
- 攻击入侵型:攻击者可以通过这个漏洞入侵到目标主机,并执行各种命令或操作。
- 信息泄露型 : 攻击 者 可以通过这个漏洞取得攻击目标内的机密或 隐私信息
漏洞检测方法分类
按测试程序或测试者的角色分类
- 主动 检测 法 : 测试 程序或测试者扮演攻击者的角色,使用攻击的手段来发现计算机系统的各种漏洞。
- 被动 测试 方法 : 测试 程序或测试者扮演类似于审计员或系统管理员的角色,通过查看计算机系统的状态或通信过程来发现安全漏洞。
按测试程序或测试者测试的途径分类 - 本地 测试 : 通过 在测试程序或测试者所在本地计算机系统进行检
测以发现漏洞。 - 网络 测试 : 通过 计算机网络对远程计算机系统进行测试来发现漏洞。
- 分布式 测试 : 在 每台主机上根据该机在系统中的不同角色而执行不同的任务,并通过计算机网络交换各自的检测结果,从而作出综合性的安全评估来发现漏洞。
常用漏洞检测方法
- 脆弱性 扫描 技术
- 脆弱性扫描( Vulnerability Scanning )也叫脆弱性评估( Vulnerability Assessment ),其基本原理是采用模拟攻击者攻击的方式对目标可能存在的已知安全漏洞进行逐项检测。
- 脆弱性扫描不仅可以用于探测系统潜在的安全隐患,也可以用于对系统或网络进行风险评估。
- 采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查
- 向系统管理员提供安全性分析报告,对存在的安全漏洞给出相应的处理建议
- 源代码扫描技术
- 源代码扫描主要针对开放源代码的程序,通过检查程序中不符合安全规则的文件结构、命名规则、函数、堆栈指针等,进而发现程序中可能隐含的安全缺陷。
这种方法不能发现程序动态运行过程中的安全漏洞
- 反汇编扫描技术
- 汇编扫描技术通过自动化反汇编工具得到目标程序的汇编脚本语言,再对汇编出来的脚本语言进行扫描,进而识别一些可疑的汇编代码序列。
反汇编扫描对于不公开源代码的程序来说是最有效的发现安全漏洞的办法。
- 环境错误注入技术
- 环境错误注入技术是在计算机系统运行的环境中故意注入人为的错误,并验证计算机系统是否可以正确运行。
对于未知的安全漏洞,触发某些不正常的环境非常困难
常用漏洞检测工具
Internet Security Scanner ( ISS )
最早的漏洞扫描器之一,且几乎是漏洞扫描界的业界标准Nessus
开源, 采用插件技术来进行漏洞检测漏洞检测技术 网络安全技术常用漏洞 检测 工具
Microsoft Baseline Security Analyzer ( MBSA )
基准安全分析器 ,可用于对操作系统的漏洞进行识别
X X- - Scan 扫描器
采用多线程方式对指定 IP 地址段(或单机)进行安全漏洞扫描,
支持插件功能,提供了图形界面和命令行两种操作方式
渗透测试技术
测试( Testing )是使用人工操作或者自动运行的方式来检验某个系统(如软件)是否满足规定的需求,或弄清预期结果与实际结果之间的差别的过程。
渗透测试( Penetration Testing ),有时也简称为渗透( PenTest ),是为了证明网络 防御 系统 按照 预期计划正常运行而提供的一种安全检测机制。
例如,为了检查公司定期更新安全策略和程序是否成功,可以采用漏洞扫描器等工具对其进行渗透测试,并通过测试结果对其进行安全评估。
渗透测试过程·
完成渗透测试,一般可遵循软件测试的过程
第一步:对要执行渗透测试的系统、网络进行分析,确定测试策
略,制定测试计划。
第二步:设计渗透测试用例。
第三步:执行渗透测试。
第四步:提交安全缺陷。
第五步:消除安全缺陷。
第六步:撰写渗透测试报告。
渗透测试方法
1、 按测试方法分
黑盒测试( Black- - Box )也称为外部测试( external testing )或零知识测试( Zero- - Knowledge Testing ),是渗透者完全处于对系统一无所知的状态所进行的安全测试过程。
灰盒测试( Grey- - Box )同时从内部和外部两个视角来深入评估目标系统 的 安全性。
白盒测试( White- - Box )也称为内部测试( internal testing ),渗透者通过正常渠道向被测单位取得各种资料(如网络拓扑、系统信息甚至网站或其它程序的源代码等),从本地或远程对目标进行技术和非技术的安全测试过程。
社会工程学是通过人与人之间的交流(如谈话、电子邮件联系、即时通信联系等)获得自己想要的信息的一种渗透测试方法。
2 、按测试目标分类
** 操作系统渗透**:对操作系统(如 Windows 、 Solaris 、 AIX 、 Linux 、Adroid 、 IOS 等)进行渗透测试。
应用系统渗透:对渗透目标提供的各种应用(如 WEB 、电子邮件、电子商务系统、支付系统等)进行渗透测试。
数据库系统渗透:对数据库系统(如 MS- - SQL 、 Oracle 、 MySQL 、DB2 、 Access 等)进行渗透测试。
网络设备渗透:对各种网络及安全系统(如路由器、交换机、防火墙、入侵检测系统等)进行渗透测试。
渗透 测试的标准
1 、 开源安全测试方法
OSSTMM : Open Source Security Testing Methodology Manual
从技术角度来看,开源安全测试方法包括范围( scope )、通道( channel )、索引( index )和向量( vector )四个关键部分。
OSSTMM 要求设计一系列的渗透测试用例,对目标系统的访问控制安全、流程安全、数据控制、物理位置、边界保护、安全意识水平、信任级别、欺诈保护控制以及其他许多流程进行全面测试。
OSSTMM 规定了6 种安全渗透测试类型
双盲测试( Double Blind Testing ):在双盲测试中,渗透人员不需要知道任何关于目标系统的前置知识,同时被测试目标也不会在测试开始前得到通知。
盲测( Blind Testing ):在盲测过程中,渗透测试人员不需要知道任何关于目标系统的前置知识,凭借渗透者自身的技术优势和掌握的测试工具对目标进行安全分析。
灰盒测试 ( Gray Box Testing ):在灰盒测试中,渗透人员对被测试系统具有一定的了解,而测试开始前也会通知被测试目标。
串联测试 ( Tandem Testing ):在串联测试中,渗透测试人员对目标系统只有最低限度的了解,而在测试开始前会详细通知被测试系统。
双灰盒测试( Double Gray Box Testing ):双灰盒测试的过程和灰盒测试类似,只不过在双灰盒测试中,会为渗透人员定义一个时限,并且不会测试任何通道和向量。
反向测试 ( Reversal Testing ):在反向测试中,渗透测试人员拥有关于目标系统的所有知识,而在测试开始前被测试目标不会得到任何通知。
2 、信息系统安全评估框架
ISSAF : Information Systems Security Assessment Framework
ISSAF 专注于测试目标使用的具体网络组网技术、系统软件和所
采用的安全防御软件(如路由器、交换机、防火墙、入侵检测和、
VPN 、各种操作系统、 Web 应用服务器、数据库等)。
ISSAF 将测试目标分成很多个域( domain ),如技术、管理域,
然后按照逻辑顺序对各域进行安全评估
在技术方面, ISSAF 建立了一系列需要遵循的 核心规则和流程 ,
和一个完备的 安全评估 程序
在 管理方面, ISSAF 定义了管理和测试过程中应该遵守的 最佳
实践