防火墙_入侵检测系统组成和实例.ppt

入侵检测原理与技术 IDS在网络中的部署IDS的组成入侵检测系统实例IDS现状与发展方向蜜罐技术 IDS在网络中的位置 位置1 位于防火墙外侧的非系统信任域 它将负责检测来自外部的所有入侵企图 这可能产生大量的报告 通过分析这些攻击来帮助我们完善系统并决定要不要在系统内部部署IDS 位置2 很多站点都把对外提供服务的服务器单独放在一个隔离的区域 通常称为DMZ非军事化区 在此放置一个检测引擎是非常必要的 因为这里提供的很多服务都是黑客乐于攻击的目标 位置3 这里应该是最重要 最应该放置检测引擎的地方 对于那些已经透过系统边缘防护 进入内部网络准备进行恶意攻击的黑客 这里正是利用IDS系统及时发现并作出反应的最佳时机和地点 IDS在网络中的位置 IDS的组成 检测引擎控制中心 HUB 检测引擎 MonitoredServers 控制中心 典型的攻防模型 IDS基本结构 入侵检测系统包括三个功能部件 1 信息收集 2 信息分析 3 结果处理 响应 信息搜集 信息收集 入侵检测的第一步是信息收集 收集内容包括系统 网络 数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点 不同网段和不同主机 收集信息尽可能扩大检测范围从一个源来的信息有可能看不出疑点 信息收集 入侵检测很大程度上依赖于收集信息的可靠性和正确性要保证用来检测网络系统的软件的完整性特别是入侵检测系统软件本身应具有相当强的坚固性 防止被篡改而收集到错误的信息 信息收集的来源 系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为 信息分析 信息分析 模式匹配统计分析完整性分析 往往用于事后分析 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较 从而发现违背安全策略的行为一般来讲 一种攻击模式可以用一个过程 如执行一条指令 或一个输出 如获得权限 来表示 该过程可以很简单 如通过字符串匹配以寻找一个简单的条目或指令 也可以很复杂 如利用正规的数学表达式来表示安全状态的变化 统计分析 统计分析方法首先给系统对象 如用户 文件 目录和设备等 创建一个统计描述 统计正常使用时的一些测量属性 如访问次数 操作失败次数和延时等 测量属性的平均值和偏差将被用来与网络 系统的行为进行比较 任何观察值在正常值范围之外时 就认为有入侵发生 完整性分析 完整性分析主要关注某个文件或对象是否被更改这经常包括文件和目录的内容及属性在发现被更改的 被安装木马的应用程序方面特别有效 结果处理 结果处理 主动响应阻止攻击 切断网络连接 被动响应记录事件和报警 入侵检测性能关键参数 误报 falsepositive 如果系统错误地将异常活动定义为入侵漏报 falsenegative 如果系统未能检测出真正的入侵行为 网络入侵检测工具snort Snort 是一个基于简单模式匹配的IDS源码开放 跨平台 C语言编写 可移植性好 利用libpcap作为捕获数据包的工具特点设计原则 性能 简单 灵活包含三个子系统 网络包的解析器 检测引擎 日志和报警子系统内置了一套插件子系统 作为系统扩展的手段模式特征链 规则链命令行方式运行 也可以用作一个sniffer工具 网络数据包解析 结合网络协议栈的结构来设计Snort支持链路层和TCP IP的协议定义每一层上的数据包都对应一个函数按照协议层次的顺序依次调用就可以得到各个层上的数据包头从链路层 到传输层 直到应用层在解析的过程中 性能非常关键 在每一层传递过程中 只传递指针 不传实际的数据支持链路层 以太网 令牌网 FDDI Snort工作模式 Sniffer模式 v 监听网络数据流PacketLogger模式 l 记录数据包内容IntrusionDetection模式 c 网络入侵检测 Snort输出选项 Afast 只记录Alert的时间 IP 端口和攻击消息 Afull 完整的Alert记录 Anone 关闭Alert Aunsock 将Alert发送到其他进程监听的socket Snort基本流程 注 libpcap是linux下的包捕获库 windows下的是winpcap Snort 日志和报警子系统 当匹配到特定的规则之后 检测引擎会触发相应的动作日志记录动作 三种格式 解码之后的二进制数据包文本形式的IP结构Tcpdump格式如果考虑性能的话 应选择tcpdump格式 或者关闭logging功能报警动作 包括Syslog记录到alert文本文件中发送WinPopup消息 关于snort的规则 Snort的规则比较简单规则结构 规则头 alerttcp 10 1 1 0 24any 10 1 1 0 24any规则选项 flags SF msg SYN FINScan 针对已经发现的攻击类型 都可以编写出适当的规则来规则头包括 规则行为 协议 源 目的IP地址 子网掩码以及源 目的端口 规则选项包含 报警信息和异常包的信息 特征码 使用这些特征码来决定是否采取规则规定的行动 现有大量的规则可供利用 Snort规则示例 规则示例 关于snort 开放性源码开放 最新规则库的开放作为商业IDS的有机补充特别是对于最新攻击模式的知识共享Snort的部署作为分布式IDS的节点为高级的IDS提供基本的事件报告发展数据库的支持互操作性 规则库的标准化二进制插件的支持预处理器模块 TCP流重组 统计分析 等 IDS现状 误报漏报率太高 各种检测方法都存在缺陷 没有主动防御能力 IDS技术是一种预设置式的工作方式 特征分析式工作原理 检测规则的更新总是落后于攻击手段的更新 所以这永远是亡羊补牢 被动防守 基于主机和基于网络的入侵检测系统采集 分析的数据不全面 入侵检测由各个检测引擎独立完成 中心管理控制平台并不具备检测入侵的功能 缺乏综合分析 在响应上 除了日志和告警 检测引擎只能通过发送RST包切断网络连接 或向攻击源发送目标不可达信息来实现安全控制 IDS现状 通过在防火墙中驻留的一个IDSAgent对象 以接收来自IDS的控制消息 然后再增加防火墙的过滤规则 最终实现联动 IDS与Firewall联动 发展方向 分布式入侵检测使用分布式的方法来监测分布式的攻击 其中的关键技术为监测信息的协同处理与入侵攻击的全局信息的提取智能化入侵检测使用智能化的方法与手段来进行入侵监测全面的安全防御方案网络安全作为一个整体工程来处理 从管理 网络结构 加密通道 防火墙 病毒防护 入侵监测多方位全面对所关注的网络作全面的评估 然后提出可行的全面解决方案 资源 IDSFAQ 蓝盾入侵检测典型应用 边缘路由器 病毒服务器 防火墙 IDS探测器 内网 VPN 解密 暂时缓存数据 查询病毒服务器 查询病毒服务器 数据包带有病毒吗 是否攻击包 YES NO 先杀毒再转发数据包 直接转发该数据包 YES 蓝盾信息安全整体解决方案 通知防火墙阻断攻击 生成动态规则阻断攻击 蜜罐技术 Honeypot 蜜罐主机是一种资源 它被伪装成一个实际目标 蜜罐主机希望人们去攻击或入侵它 目的 分散攻击者的注意力 收集同攻击和攻击者有关的信息 价值 默默地收集尽可能多的同入侵有关的信息 例如攻击模式 使用的程序 攻击意图和黑客社团文化等等 帮助我们明白黑客社团以及他们的攻击行为 以便更好的防御安全威胁 两种类型的蜜罐主机 两种类型的蜜罐主机产品型蜜罐 production 研究型蜜罐 research 产品型蜜罐用于帮助降低组织的安全风险 研究型蜜罐意味着收集尽可能多的信息 蜜罐主机的布置 蜜罐主机可以放置在 防火墙外面 Internet DMZ 非军事区 防火墙后面 Intranet 每种摆放方式都有各自的优缺点 蜜罐主机的布置 欺骗网络 honeynet 关键问题 信息控制代表了一种规则 你必须能够确定你的信息包能够发送到什么地方 其目的是 当你欺骗网络里的蜜罐主机被入侵后 它不会被用来攻击欺骗网络以外的机器 信