信息安全威胁审计技术
67页1、,信息安全威胁审计技术,曹鹏 网络安全产品营销中心解决方案部部长 CISP 北京 沈阳东软软件股份有限公司,怎么去理解审计的重要性和实际用途,好象是城市交通安全中的违章摄像头和自动拍照系统。 审计策略有时应公开, 有时应严格保密。 审计结果数据需要有专人负责处理,没有完全自动的审计产品,人的因素非常重要。,入侵检测系统 WEB日志分析系统 终端用户审计和控制系统 遭受入侵后的检测工作流程建议,安全审计部分内容整体介绍,哪些站点最容易遭受攻击 什么是入侵检测 入侵检测的主要检测方式 入侵检测系统主要能够实现的安全功能有什么 入侵检测所面临的技术挑战,从入侵检测系统说起,政府站点,很多站点甚至都没有发现自己已经被攻击,一例利用FORNTPAGE的攻击事件,利用同样的手段远程进入调试页面状态,修改后的结果,入侵过程描述,入侵主机情况描述: 该主机位于国家xx局的x层计算机办公室,在11月中曾经连续发生数据库被删除记录的事件,最后该网站管理员认定事件可疑,随即向国家xx局网络安全管理部门报告,我公司在接到国家xx局的报告后,立即赶到现场取证分析。 操作系统和补丁情况: WIN2000个人版操
2、作系统 SP2的补丁包 主要服务用途: 做为国家xx局计算中心内部网站使用,负责发布计算中心内部信息。网站运行IIS5,后台数据库采用ACCESS。 入侵后的行为表现: 主页页面新闻栏目内容被删除,后台数据库内容被人非法删改。,分析审计WEB服务器访问日志,00:40:59 10.71.1.98 GET /mynews.mdb 200 该记录表明10.71.1.98在早上8点40分的时候非法下载了mynews.mdb数据库,服务器返回200正确请求值,表示请求成功该数据库已经被非法下载。 00:42:14 10.71.1.98 GET /login.asp 200 随后该攻击者直接访问网站的在线管理系统。,入侵检测的基本概念,真正的入侵检测系统是在20世纪80年代末才开始被研究 我们先来明确计算机安全的特性有那三个方面CIA 机密性 完整性 可用性,什么是入侵呢?,破坏上面四性的行为都可以定义为入侵,不管成功与否。 从受害者的角度可以说: 发生了什么? 谁是受害者? 受害程度大不大? 谁是入侵者? 入侵者的来源在哪里? 入侵发生的时间? 入侵是怎么发生的? 为什么发生入侵? 但很多时候
3、我们身边没有一个安全专家可以帮助我们解答这些问题,为什么需要入侵检测系统,检测防护部分阻止不了的入侵 检测入侵的前兆 入侵事件的归档 网络遭受威胁程度的评估 入侵事件的恢复,入侵检测的分类和检测方式,基于主机的入侵检测系统 基于网络的入侵检测系统 基于文件效验方式的入侵检测 基于诱捕的蜜罐检测技术,全面的检测方式,异常检测:异常检测的假设是入侵者活动异常于正常主体的活动,建立正常活动的“活动简档”,当前主体的活动违反其统计规律时,认为可能是“入侵”行为。 特征检测:特征检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。支持用户自定义攻击特征代码分析。 事后检测:完整的将网络中所有活动数据报的特征记录下来,当发生不可确定的安全时间时,可以将信息包全部回放,进行事后检测分析。 协议内容检测:支持常见的明文应用层协议记录,可以及时恢复所有访问原始交互内容。支持用户自定义明文协议特征。,多种灵活接入方式,入侵检测设备直接连接在交换机的侦听口,入侵检测设备直接连接在交换设备之间,充当透明网桥功能同时进行数据包抓取分析,入侵检测设备支持多端口侦听,对中小企业网络更好
4、适应。,内部网络,DMZ区域,多侦听口设计多台交换机数据同时采集处理,强大的网络访问内容审计功能,可以进行多种协议HTTP、 FTP、POP3、SMTP、 IMAP、NNTP、Telnet、rsh、rlogin、MSN、Yahoo Messager、DNS等协议的回放和会话记录,便于回放资源访问的详细过程并追查攻击的来源。 支持用户自定义扩充,明文应用协议还原配置,对于HTTP协议做到访问页面级别的还原,SMTP协议还原支持,POP3协议还原支持,FTP协议还原支持(支持自动回放),TELNET协议还原支持(支持自动回放),IMAP协议还原支持,NNTP协议还原支持,DNS协议还原支持,MSN(网络聊天)会话回放,强大的事件定义库,根据网络自身应用特点添加自定义检测规则,根据网络自身应用特点添加自定义检测规则,根据网络自身应用特点添加自定义检测规则,根据网络自身应用特点添加自定义检测规则,灵活的策略编辑器,入侵检测响应选项,主动响应 收集相关信息 改变环境 反击攻击者 被动响应 报警和告示 SNMP/SYSLOG协议通知,发现攻击多种响应方式可供选择,记录日志:事件发生时,记录到监控主
《信息安全威胁审计技术》由会员luobi****88888分享,可在线阅读,更多相关《信息安全威胁审计技术》请在金锄头文库上搜索。
2022-06-14 18页
2022-06-14 11页
2022-06-14 11页
2022-06-14 24页
2022-06-14 11页
2022-03-24 13页
2022-03-22 49页
2022-03-22 28页
2022-03-22 21页
2022-03-23 44页