第7讲：第5章-基于主机的入侵检测技术解析.ppt

* 5.8 系统配置分析技术 系统配置分析技术的一个最著名的实现工具是COPS系统。 COPS系统所检查的系统安全范围包括如下类型： ⑹ 对重要的二进制文件和其他文件计算CRC校验和，检查是否发生更改。 ⑺ 检查用户主目录下文件是否可写。 ⑻ 是否具有匿名FTP登录服务账户。 ⑼ 是否存在TFTP服务、Sendmail中别名情况以及在inetd.conf文件中隐藏的启动脚本程序等。 * 5.8 系统配置分析技术 系统配置分析技术的一个最著名的实现工具是COPS系统。 COPS系统所检查的系统安全范围包括如下类型： ⑽ 各种类型的根权限检查。 ⑾按照CERT安全报告的发布日期，检查关键文件是否已经及时进行了升级或打上了补丁。 COPS系统负责报告所发现的安全问题，但是并不试图修复安全漏洞，这点与基本的入侵检测系统的设计理念相符合。 * 5.9 检测实例分析 5.9.1 入侵行为1及应对措施 入侵行为 通过发现信息的一系列操作, 黑客执行端口扫描,注意到许多机器的135, 139,389和445端口都是开放的. 检测 创建一个预设定流量的性能警报信息 为网络适配器建立一个任务栏图标 输入命令netstat –p tcp -n * 5.9 检测实例分析 5.9.2 入侵行为2及应对措施 入侵行为 试探帐号以图登录 运行Whisker 检测 设置和检查web service-connection attempts/sec 设置和检查web service-not found errors/sec 设置和检查Server-Logon/sec 设置检查Server-errorLogon * 5.9 检测实例分析 5.9.3 入侵行为3及应对措施 入侵行为 若黑客发现网络中一台计算机的系统管理员口令为空,表明该系统刚刚安装不久. 黑客要做的第一件事是上传木马程序和运行状况检测程序.如nc.exe, lsadump2.exe, tlist.exe等 检测 打开任务管理器,会注意到cmd.exe和nc.exe 使用explorer的查找功能,找到必威体育精装版的生成文件 查看事件日志可以显示攻击者的计算机名称 输入命令netstat –a –n 可以找到与本地端口处于连接状态的IP地址信息 * 5.9 检测实例分析 5.9.4 入侵行为4及应对措施 入侵行为 黑客通过nc的远程命令行对你的内部网络计算机进行了扫描,发现了某文件服务器上的一个共享目录PUBLIC, 并将此共享目录进行映射. 检测 在命令行中输入命令:net view, 可以观察到对内部文件服务器的驱动器映射情况. * 5.9 检测实例分析 5.9.5 小结 理论上只要坚持跟踪以下信息, 几乎所有基于网络的攻击都能被检测出来. 网络上的拥挤程度和网络连接情况 Web拥挤程度和”pages not found”错误的发生次数 成功及失败的登录尝试 对文件系统所进行的改变 当前运行的应用程序和服务 定时运行的应用程序或在启动时运行的应用程序 * 5.10 免费产品OSSEC 5.10.1 简介 OSSEC属于基于主机和应用的入侵检测系统，通过监视企业重要服务器和各种应用以避免企业资源被攻击、滥用和误用。 OSSEC是一款开源的多平台的入侵检测系统，可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中 主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。 * 5.10 免费产品OSSEC 5.10.1 简介 除了具有入侵检测系统功能外，它还一般被用在SEM/SIM(安全事件管理(SEM： Security Event Management)/安全信息管理(SIM：SecurityInformation Management)) 解决方案中。 因其强大的日志分析引擎，ISP(Internet service provider)(网络服务提供商)、大学和数据中心用其监控和分析他们的防火墙、入侵检测系统、网页服务和验证等产生的日志。 * 5.10 免费产品OSSEC 5.10.2 工作原理 (1) administrator 是一个Unix和linux平台下的命令行的用户接口(GUI)，主要起管理维护作用，对OSSEC的大部分管理、配置工作都在这里进行。 (2) event view。这是一个单独的Unix、linux平台下的图形化用户界面，用于查看从Agent中获取的各种事件数据，也就是报警的窗口。 * 5.10 免费产品OSSEC 5.10.2 工作原理 (3) manager。是一