Click to edit Master title style,,Click to edit Master text styles,,Second level,,Third level,,Fourth level,,Fifth level,,*,,*,,Arial 或 Frutiger 55 Roman 25pt ,華文細(xì)黑簡25pt,,Arial 或 Frutiger 55 Roman 25pt ,華文細(xì)黑簡25pt,,Arial 或 Frutiger 55 Roman 25pt ,華文細(xì)黑簡25pt,,Arial 或 Frutiger 55 Roman 25pt ,華文細(xì)黑簡25pt,,Arial 或 Frutiger 55 Roman 25pt ,華文細(xì)黑簡25pt,,Arial 或Frutiger Bold 40pt ,黑體簡40pt,,,,*,Neusoft Co., Ltd.,,信息安全威脅審計技術(shù),,,曹鵬 網(wǎng)絡(luò)安全產(chǎn)品營銷中心解決方案部部長,CISP,北京,caopeng@,沈陽東軟軟件股份有限公司,,,怎么去理解審計的重要性和實際用途,好象是城市交通安全中的違章攝像頭和自動拍照系統(tǒng)。,,審計策略有時應(yīng)公開， 有時應(yīng)嚴(yán)格保密。,,審計結(jié)果數(shù)據(jù)需要有專人負(fù)責(zé)處理，沒有完全自動的審計產(chǎn)品，人的因素非常重要。,,,入侵檢測系統(tǒng),,WEB,日志分析系統(tǒng),,終端用戶審計和控制系統(tǒng),,遭受入侵后的檢測工作流程建議,安全審計部分內(nèi)容整體介紹,,,哪些站點最容易遭受攻擊,,什么是入侵檢測,,入侵檢測的主要檢測方式,,入侵檢測系統(tǒng)主要能夠?qū)崿F(xiàn)的安全功能有什么,,入侵檢測所面臨的技術(shù)挑戰(zhàn),,,從入侵檢測系統(tǒng)說起,~,,,,,,,政府站點,,,很多站點甚至都沒有發(fā)現(xiàn)自己已經(jīng)被攻擊,,,一例利用,FORNTPAGE,的攻擊事件,,,利用同樣的手段遠(yuǎn)程進(jìn)入調(diào)試頁面狀態(tài),,,修改后的結(jié)果,,,入侵過程描述,入侵主機(jī)情況描述：,該主機(jī)位于國家,xx,局的,x,層計算機(jī)辦公室，在,11,月中曾經(jīng)連續(xù)發(fā)生數(shù)據(jù)庫被刪除記錄的事件，最后該網(wǎng)站管理員認(rèn)定事件可疑，隨即向國家,xx,局網(wǎng)絡(luò)安全管理部門報告，我公司在接到國家,xx,局的報告后，立即趕到現(xiàn)場取證分析。,操作系統(tǒng)和補(bǔ)丁情況：,WIN2000,個人版操作系統(tǒng),SP2,的補(bǔ)丁包,主要服務(wù)用途：,做為國家,xx,局計算中心內(nèi)部網(wǎng)站使用，負(fù)責(zé)發(fā)布計算中心內(nèi)部信息。網(wǎng)站運(yùn)行,IIS5,，后臺數(shù)據(jù)庫采用,ACCESS,。,入侵后的行為表現(xiàn)：,主頁頁面新聞欄目內(nèi)容被刪除，后臺數(shù)據(jù)庫內(nèi)容被人非法刪改。,,,,,分析審計,WEB,服務(wù)器訪問日志,00:40:59 10.71.1.98 GET /mynews.mdb 200,該記錄表明,10.71.1.98,在早上,8,點,40,分的時候非法下載了,mynews.mdb,數(shù)據(jù)庫，服務(wù)器返回,200,正確請求值，表示請求成功該數(shù)據(jù)庫已經(jīng)被非法下載。,00:42:14 10.71.1.98 GET /login.asp 200,隨后該攻擊者直接訪問網(wǎng)站的在線管理系統(tǒng)。,,,,入侵檢測的基本概念,真正的入侵檢測系統(tǒng)是在,20,世紀(jì),80,年代末才開始被研究,,我們先來明確計算機(jī)安全的特性有那三個方面,CIA,,機(jī)密性,,完整性,,可用性,,,什么是入侵呢？,破壞上面四性的行為都可以定義為入侵，不管成功與否。,,從受害者的角度可以說：,,發(fā)生了什么？,,誰是受害者？,,受害程度大不大？,,誰是入侵者？,,入侵者的來源在哪里？,,入侵發(fā)生的時間？,,入侵是怎么發(fā)生的？,,為什么發(fā)生入侵？,,但很多時候我們身邊沒有一個安全專家可以幫助我們解答這些問題,?,,,為什么需要入侵檢測系統(tǒng),檢測防護(hù)部分阻止不了的入侵,,檢測入侵的前兆,,入侵事件的歸檔,,網(wǎng)絡(luò)遭受威脅程度的評估,,入侵事件的恢復(fù),,,入侵檢測的分類和檢測方式,基于主機(jī)的入侵檢測系統(tǒng),,基于網(wǎng)絡(luò)的入侵檢測系統(tǒng),,基于文件效驗方式的入侵檢測,,基于誘捕的蜜罐檢測技術(shù),,,全面的檢測方式,異常檢測：異常檢測的假設(shè)是入侵者活動異常于正常主體的活動，建立正常活動的“活動簡檔”，當(dāng)前主體的活動違反其統(tǒng)計規(guī)律時，認(rèn)為可能是“入侵”行為。,特征檢測：特征檢測假設(shè)入侵者活動可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。支持用戶自定義攻擊特征代碼分析。,事后檢測：完整的將網(wǎng)絡(luò)中所有活動數(shù)據(jù)報的特征記錄下來，當(dāng)發(fā)生不可確定的安全時間時，可以將信息包全部回放，進(jìn)行事后檢測分析。,協(xié)議內(nèi)容檢測：支持常見的明文應(yīng)用層協(xié)議記錄，可以及時恢復(fù)所有訪問原始交互內(nèi)容。支持用戶自定義明文協(xié)議特征。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,多種靈活接入方式,入侵檢測設(shè)備直接連接在交換機(jī)的偵聽口,入侵檢測設(shè)備直接連接在交換設(shè)備之間，充當(dāng)透明網(wǎng)橋功能同時進(jìn)行數(shù)據(jù)包抓取分析,,,,入侵檢測設(shè)備支持多端口偵聽，對中小企業(yè)網(wǎng)絡(luò)更好適應(yīng)。,內(nèi)部網(wǎng)絡(luò),DMZ,區(qū)域,多偵聽口設(shè)計多臺交換機(jī)數(shù)據(jù)同時采集處理,,,強(qiáng)大的網(wǎng)絡(luò)訪問內(nèi)容審計功能,可以進(jìn)行多種協(xié)議,HTTP,、,FTP,、,POP3,、,SMTP,、,IMAP,、,NNTP,、,Telnet,、,rsh,、,rlogin,、,MSN,、,Yahoo Messager,、,DNS,等協(xié)議的回放和會話記錄，便于回放資源訪問的詳細(xì)過程并追查攻擊的來源。,,支持用戶自定義擴(kuò)充,,,明文應(yīng)用協(xié)議還原配置,,,對于,HTTP,協(xié)議做到訪問頁面級別的還原,,,SMTP,協(xié)議還原支持,,,POP3,協(xié)議還原支持,,,FTP,協(xié)議還原支持（支持自動回放）,,,TELNET,協(xié)議還原支持（支持自動回放）,,,IMAP,協(xié)議還原支持,,,NNTP,協(xié)議還原支持,,,DNS,協(xié)議還原支持,,,MSN,（網(wǎng)絡(luò)聊天）會話回放,,,強(qiáng)大的事件定義庫,,,根據(jù)網(wǎng)絡(luò)自身應(yīng)用特點添加自定義檢測規(guī)則,,,根據(jù)網(wǎng)絡(luò)自身應(yīng)用特點添加自定義檢測規(guī)則,,,根據(jù)網(wǎng)絡(luò)自身應(yīng)用特點添加自定義檢測規(guī)則,,,根據(jù)網(wǎng)絡(luò)自身應(yīng)用特點添加自定義檢測規(guī)則,,,靈活的策略編輯器,,,入侵檢測響應(yīng)選項,主動響應(yīng),,收集相關(guān)信息,,改變環(huán)境,,反擊攻擊者,,被動響應(yīng),,報警和告示,,SNMP/SYSLOG,協(xié)議通知,,,,發(fā)現(xiàn)攻擊多種響應(yīng)方式可供選擇,記錄日志：事件發(fā)生時，記錄到監(jiān)控主機(jī)的攻擊檢測數(shù)據(jù)庫，可通過攻擊檢測查詢。,實時報警：事件發(fā)生時，實時報警中心顯示報警事件，實時報警圖標(biāo)閃爍。,郵件報警：事件發(fā)生時，將報警事件以郵件的形式發(fā)送出去。,切斷連接：事件發(fā)生時，切斷事件產(chǎn)生的,tcp,連接。,防火墻聯(lián)動：由防火墻完成阻斷工作。,Syslog,：事件發(fā)生時，記錄到配置的,Syslog,服務(wù)器。,SNMP Trap,：事件發(fā)生時，記錄到配置的,SNMP,服務(wù)器。,播放聲音：事件發(fā)生時，按事件的優(yōu)先級發(fā)出不同的聲音。應(yīng)在“本地選項”中啟用服務(wù)、配置聲音文件。,Windows,日志：事件發(fā)生時，寫入安全管理器所在的主機(jī)的日志中。,Windows,消息：事件發(fā)生時，向指定的主機(jī)發(fā)送消息。,運(yùn)行程序：事件發(fā)生時，在安全管理器所在的主機(jī)上運(yùn)行指定的程序。,,,實時報警,,,攻擊檢測,,,應(yīng)用審計,,,網(wǎng)絡(luò)審計,,,統(tǒng)計圖表,當(dāng)查看實時報警、攻擊檢測、內(nèi)容恢復(fù)、應(yīng)用審計、網(wǎng)絡(luò)審計記錄時，可以通過圖表直觀的查看各種信息的統(tǒng)計結(jié)果。,,,,實時監(jiān)控系統(tǒng),,,自定義監(jiān)視狀態(tài)協(xié)議方便用戶擴(kuò)充,,,實時數(shù)據(jù)流量,在實時數(shù)據(jù)流量窗體中可通過折線圖查看當(dāng)前網(wǎng)絡(luò)中可監(jiān)聽到的網(wǎng)絡(luò)實時數(shù)據(jù)流量信息，包括,TCP,、,UDP,、,ICMP,三種協(xié)議的數(shù)據(jù)包數(shù)和字節(jié)數(shù)六種數(shù)據(jù)流量。,,,,數(shù)據(jù)實時捕捉工具,,,支持事件統(tǒng)一管理,分層次集中管理 統(tǒng)一取證,,支持通用管理協(xié)議,SNMP SYSLOG,與企業(yè)現(xiàn)有安管中心可以無縫集成,,,集中管理器,集中管理多個子監(jiān)控主機(jī)及子管理節(jié)點。對子監(jiān)控主機(jī)進(jìn)行升級、安全策略下發(fā)；對子管理節(jié)點進(jìn)行安全策略下發(fā)。,,所有激活的子監(jiān)控主機(jī)向集中管理器提交報警事件，由集中管理器集中審計。,,可利用統(tǒng)計圖表、生成報表功能對收集到的記錄進(jìn)行分析保存。,,可將收集到的記錄導(dǎo)出為,CSV,文件；可以文本形式保存消息日志。,,可根據(jù)不同的用戶權(quán)限打開相應(yīng)的其它管理器，實現(xiàn)對每一臺子監(jiān)控主機(jī)的單獨管理。,,,,,,報表查看器,可對通過安全管理器、集中管理器、脫機(jī)瀏覽器查詢出的各種數(shù)據(jù)記錄按不同的模板生成報表。,,可對報表進(jìn)行打印、保存或以郵件的形式發(fā)送出去。,,可打開保存在本地主機(jī)上的,rpt,格式的報表。,,可同時打開多個報表，便于集中分析。,,,,,,,,,添加自定義報表,,,,,,入侵檢測產(chǎn)品報表的重要性,只有定期的查看報告才能及時發(fā)現(xiàn)攻擊企圖，對各種入侵行為及時處理。,,建議每天上班和下班的時候都查看一遍入侵檢測產(chǎn)品的報告。,,報告顯示結(jié)果是否清楚明了至關(guān)重要。,,介紹我的一個真實的成功案件,,,蜜罐技術(shù),蜜罐技術(shù)就是建立一個虛假的網(wǎng)絡(luò)，誘惑黑客攻擊這個虛擬的網(wǎng)絡(luò)，從而達(dá)到保護(hù)真正網(wǎng)絡(luò)的目的。,,主要作用：,,誘惑黑客攻擊虛假的網(wǎng)絡(luò)而忽略真正的網(wǎng)絡(luò)。,,收集黑客的信息和企圖，幫助系統(tǒng)進(jìn)行安全防護(hù)和檢測，響應(yīng)。,,消耗黑客的精力，讓系統(tǒng)管理員有足夠的時間去響應(yīng)。,,現(xiàn)有技術(shù)允許將,4000,個,IP,地址綁定在一臺,PC,機(jī)上，顯然會增加攻擊者的工作量，光用掃描這些,IP,地址就要花去大量的時間。,,技術(shù)的費用很低，但是能達(dá)到很好的效果。,,,入侵檢測面臨的挑戰(zhàn),攻擊者不斷增加的知識，日趨成熟多樣自動化工具，以及越來越復(fù)雜細(xì)致的攻擊手法。,,惡意信息采用加密的方法傳輸。,,必須協(xié)調(diào)、適應(yīng)多樣性的環(huán)境中的不同的安全策略。,,不斷增大的網(wǎng)絡(luò)流量。,,廣泛接受的術(shù)語和概念框架的缺乏。,,不斷變化的入侵檢測市場給購買、維護(hù),IDS,造成的困難。,,,,入侵檢測面臨的挑戰(zhàn),采用不恰當(dāng)?shù)淖詣臃磻?yīng)所造成的風(fēng)險。,,對,IDS,自身的攻擊。,,大量的誤報和漏報使得發(fā)現(xiàn)問題的真正所在非常困難。,,客觀的評估與測試信息的缺乏。,,交換式局域網(wǎng)造成網(wǎng)絡(luò)數(shù)據(jù)流的可見性下降，同時更快的網(wǎng)絡(luò)使數(shù)據(jù)的實時分析越發(fā)困難。,,,,WEB,服務(wù)器日志審計,WEB,日志的分析方法,,WEB,分析工具軟件的介紹,,介紹幾個日志分析的實際例子,,,,通過服務(wù)器的返回代碼來判斷,攻擊者使用,CGI,漏洞掃描器對潛在的,CGI,漏洞腳本進(jìn)行掃描時，,HTTP 404 Not Found errors,的記錄會大量增長，一次完整的掃描一般可以產(chǎn)生,500,個以上的連續(xù),404,錯誤。,,攻擊者嘗試暴力破解服務(wù)器上的帳戶，,HTTP 401 Authorization Required errors,的記錄會增長。,,入侵者嘗試,SQL,注入腳本攻擊，,HTTP 500 Server Errors,記錄會增長。,,,,終端用戶的安全審計,終端用戶的安全防護(hù)一直是信息安全的“死角”，但也是最容易出現(xiàn)問題的地方。,隨著,NT,內(nèi)核的操作系統(tǒng)被大量的采用，所有的工作站其實都是在運(yùn)行著一臺服務(wù)器。,,,當(dāng)前的解決問題的途徑,采用簡單快速有效的系統(tǒng)安全加固配置方法，以文檔的方式總結(jié)出來下發(fā)給所有員工。,,利用,SUS,服務(wù)進(jìn)行內(nèi)部網(wǎng)絡(luò)的補(bǔ)丁統(tǒng)一分發(fā)和管理，大大加快內(nèi)部網(wǎng)絡(luò)的補(bǔ)丁更新速度和頻率。,,利用一些第三方的軟件進(jìn)行安全審計與控制。,,,事件響應(yīng),不要驚慌，冷靜分析和處理問題,,確定問題的性質(zhì)，事件嚴(yán)重程度。,,,,,技術(shù)處理流程建議,暫時中斷服務(wù)器的網(wǎng)絡(luò)通訊，但不要急于重新格式化安裝新系統(tǒng)。,,利用,SNIFFER,監(jiān)視網(wǎng)絡(luò)通訊狀況,,利用系統(tǒng)當(dāng)前分析軟件將進(jìn)程，端口關(guān)聯(lián)表，服務(wù)狀態(tài)，自啟動程序列表分析并保存結(jié)果。,,可以將分析的原始數(shù)據(jù)發(fā)送給安全專家請求協(xié)助。,,利用自評估根據(jù)檢測服務(wù)器的安裝狀態(tài)補(bǔ)丁安裝情況等。,,,,Thank you,Neusoft Group Ltd.,謝謝,,,演講完畢，謝謝觀看！,內(nèi)容總結(jié),信息安全威脅審計技術(shù)。審計策略有時應(yīng)公開， 有時應(yīng)嚴(yán)格保密。但很多時候我們身邊沒有一個安全專家可以幫助我們解答這些問題?。入侵檢測設(shè)備直接連接在交換設(shè)備之間，充當(dāng)透明網(wǎng)橋功能同時進(jìn)行數(shù)據(jù)包抓取分析。SNMP Trap：事件發(fā)生時，記錄到配置的SNMP服務(wù)器?？筛鶕?jù)不同的用戶權(quán)限打開相應(yīng)的其它管理器，實現(xiàn)對每一臺子監(jiān)控主機(jī)的單獨管理?？纱蜷_保存在本地主機(jī)上的rpt格式的報表。建議每天上班和下班的時候都查看一遍入侵檢測產(chǎn)品的報告。技術(shù)的費用很低，但是能達(dá)到很好的效果。廣泛接受的術(shù)語和概念框架的缺乏。不斷變化的入侵檢測市場給購買、維護(hù)IDS造成的困難。采用不恰當(dāng)?shù)淖詣臃磻?yīng)所造成的風(fēng)險。大量的誤報和漏報使得發(fā)現(xiàn)問題的真正所在非常困難?？陀^的評估與測試信息的缺乏。采用簡單快速有效的系統(tǒng)安全加固配置方法，以文檔的方式總結(jié)出來下發(fā)給所有員工。利用自評估根據(jù)檢測服務(wù)器的安裝狀態(tài)補(bǔ)丁安裝情況等。演講完畢，謝謝觀看,