第6章 入侵检测

第6章入侵检测 本章要点 入侵检测概述入侵检测系统的分类入侵检测的基本组成入侵检测产品及选购原则IDS入侵检测系统中国IT认证实验室 本章教学目标 掌握入侵检测的相关概念和分类掌握入侵检测的基本组成了解入侵检测产品及选购原则 入侵检测系统 监控室 控制中心 监控前门和保安 监控屋内人员 监控后门 监控楼外 1 尽可能靠近攻击源 网络边界 2 尽可能靠近受保护资源 网络主机 局域网中枢 服务器群 广域网核心 放置位置 VPN虚拟专用网 防火墙 包过滤 防病毒 入侵检测 入侵检测系统的主要功能有 a 监测并分析用户和系统的活动 b 核查系统配置和漏洞 c 评估系统关键资源和数据文件的完整性 d 识别已知的攻击行为 e 统计分析异常行为 f 操作系统日志管理 并识别违反安全策略的用户活动 硬件防火墙 硬件防毒墙和硬件入侵检测的产品有什么区别 硬件防火墙 其原理是把软件防火墙嵌入在硬件中 一般的软件安全厂商所提供的硬件放火墙便是在硬件服务器厂商定制硬件 然后再把linux系统与自己的软件系统嵌入 在兼容性方面也是硬件防火墙更胜一筹 其实软件防火墙与硬件防火墙的主要区别就在于硬件 软件防火墙只有包过滤得功能 硬件防火墙中可能还有除软件防火墙以外的其他功能 例如CF 内容过滤 IDS 入侵侦测 IPS 入侵防护 以及VPN等等的功能 硬件防毒墙 也就是安装了专业防毒软件的硬件设备 硬件入侵检测 IntrusionDetection 是指通过硬件设备对入侵行为的检测 它通过收集和分析网络行为 安全日志 审计数据 其它网络上可以获得的信息以及计算机系统中若干关键点的信息 检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象 入侵检测作为一种积极主动地安全防护技术 提供了对内部攻击 外部攻击和误操作的实时保护 在网络系统受到危害之前拦截和响应入侵 入侵检测是防火墙的合理补充 帮助系统对付网络攻击 扩展了系统管理员的安全管理能力 包括安全审计 监视 进攻识别和响应 提高了信息安全基础结构的完整性 它从计算机网络系统中的若干关键点收集信息 并分析这些信息 看看网络中是否有违反安全策略的行为和遭到袭击的迹象 误报率高 漏报率高 入侵检测系统分类 三 按数据来源分 基于主机的入侵检测系统 HIDS 基于网络的入侵检测系统 NIDS 分布式入侵检测系统 DIDS 基于网络的入侵检测系统传感器 NIDS 放置在需要保护的网段内 不间断地实时监控网络上各种数据包 对每个数据包或连接进行分析以发现异常行为或攻击企图并给予适当的及时响应 入侵检测比较 网络入侵检测系统基于硬件监控网络效率高不占用主机资源 主机入侵检测系统基于软件监控主机效率低占用主机资源 分布式入侵检测系统 管理端 探测器结构 典型应用拓扑 Internet 工作区域1 网管Linkmanager DCIDS入侵检测 对内服务器区 工作区域N DCFW防火墙 数据服务器 汇聚交换机 接入层交换机 Netlog日志系统 DCRS 7616 OA服务器 视频服务器 汇聚交换机 接入层交换机 专线 郑州办事处 DCR DCR DCR DCR 上海办事处 安阳分矿 入侵检测系统功能图 1 数据采集子系统 内容包括系统 网络 数据及用户活动的状态和行为 在计算机网络系统中的若干不同关键点收集信息 信息来源 系统和网络日志文件目录和文件中的不期望的改变程序执行中的不期望行为物理形式的入侵信息 2 数据分析子系统 特征库匹配 基于统计分析和完整性分析 其中前两种方法用于实时的入侵检测 而完整性分析则用于事后分析 特征库匹配 特征库匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较 从而发现违背安全策略的行为 该过程可以很简单 如通过字符串匹配以寻找一个简单的条目或指令 也可以很复杂 如利用正规的数学表达式来表示安全状态的变化 一般来讲 一种进攻模式可以用一个过程 如执行一条指令 或一个输出 如获得权限 来表示 该方法的一大优点是只需收集相关的数据集合 显著减少系统负担 且技术已相当成熟 它与病毒防火墙采用的方法一样 检测准确率和效率都相当高 但是 该方法存在的弱点是需要不断升级以对付不断出现的黑客攻击手法 不能检测到从未出现过的黑客攻击手段 统计分析方法 首先给信息对象 如用户 连接 文件 目录和设备等 创建一个统计描述 统计正常使用时的一些测量属性 如访问次数 操作失败次数和延时等 测量属性的平均值将被用来与网络 系统的行为进行比较 任何观察值在正常偏差之外时 就认为有入侵发生 例如 统计分析可能标识一个不正常行为 因为它发现一个在晚八点至早六点不登录的账户却在凌晨两点试图登录 或者针对某一特定站点的数据流量异常增大等 其优点是可检测到未知的入侵和更为复杂的入侵 缺点是误报 漏报率高 且不适应用户正常行为的突然改变 完整性分析 主要关注某个文件或对象是否被更改 包括文件和目录的内容及属性 它在发现被更改的 被特络伊化的应用程序方面特别有效 完整性分析利用强有力的加密机制 称为消息摘要函数 例如MD5 能识别极其微小的变化 其优点是不管模式匹配方法和统计分析方法能否发现入侵 只要是成功的攻击导致了文件或其他对象的任何改变 它都能够发现 缺点是一般以批处理方式实现 不用于实时响应 3 控制台子系统 负责向网络管理员汇报各种网络违规行为 管理员对一些恶意行为采取行动 主要的任务 管理数据采集中心 根据安全策略进行一系列的响应动作 阻止非法行为 4 数据库管理子系统 前台通常与控制台了系统集成 数据来源 数据分析子系统发来的报警信息及其他重要信息 管理员经过查询对查询结果处理所得的数据 入侵检测产品 软件产品 一般适合于单机使用硬件产品 一般适合于局域网使用 实训项目 入侵检测软件NETWATCH应用 能检测到ARP攻击入侵检测软件萨克斯应用 能检测到ARP攻击 LAND15攻击 NETWATCH检测到木马入侵 入侵检测产品 软件产品 一般适合于单机使用硬件产品 一般适合于局域网使用 如何选择合适的入侵检测产品 选购原则 1 产品的攻击检测数量为多少 是否支持升级 IDS的主要指标是它能发现的入侵方式的数量 几乎每个星期都有新的漏洞和攻击方法出现 产品的升级方式是否灵活直接影响到它功能的发挥 一个好的实时检测产品应该能经常性升级 并可通过互联网或下载升级包在本地升级 2 对于网络入侵检测系统 最大可处理流量 PPS 是多少 首先 要分析网络入侵检测系统所布署的网络环境 如果在512K或2M专线上布署网络入侵检测系统 则不需要高速的入侵检测引擎 而在负荷较高的环境中 性能是一个非常重要的指标 选购原则 3 产品容易被攻击者躲避吗 有些常用的躲开入侵检测的方法 如 分片 TTL欺骗 异常TCP分段 慢扫描 协同攻击等 产品在设计时是否考虑到这一点 4 能否自定义异常事件 IDS对特殊的监控需求只能通过用户自己定制监控策略实现 一个优秀的IDS产品 必须提供灵活的用户自定义策略能力 包括对服务 访问者 被访问者 端口 关键字以及事件的响应方式等策略 选购原则 5 产品系统结构是否合理 一个成熟的产品 必须是集成了基于百兆网络 基于千兆网络 基于主机的三种技术和系统 传统的IDS大多是两层结构 即 控制台 探测器 结构 一些先进的IDS产品开始采用三层架构进行部署 即 控制台 事件收集器 安全数据库 探测器 结构 对于大型网络来说 三层结构更加易于实现分布部署和集中管理 从而提高安全决策的集中性 如果没有远程管理能力 对于大型网络基本不具备可用性 6 产品的误报和漏报率如何 有些IDS系统经常发出许多假警 假警报常常掩盖了真攻击 这些产品在假警报重负下一再崩溃 而当真正攻击出现时 有些IDS产品不能捕获攻击 而另一些IDS产品的报告混杂在假警报中 很容易被错过 过分复杂的界面使关掉假警报非常困难 几乎所有IDS产品在默认设置状态下都会产生非常多的假警报 给用户带来许多麻烦 选购原则 7 系统本身是否安全 IDS系统记录了企业最敏感的数据 必须有自我保护机制 防止成为黑客的攻击目标 8 产品实时监控性能如何 由IDS通信造成的对网络的负载不能影响正常的网络业务 必须对数据进行实时分析 否则无法在有攻击时保护网络 所以必须考虑网络入侵检测产品正常工作的最大带宽数 选购原则 9 系统是否易用 报警事件优化技术 是否针对报警事件进行优化处理 将用户从海量日志中解放出来 先进的IDS能够将一定时间内的类似事件经过优化处理后合并进行报警 这样 用户面对的日志信息不仅更为清晰而且避免错过重要报警信息 10 特征库升级与维护的费用怎样 像反病毒软件一样 入侵检测的特征库需要不断更新才能检测出新出现的攻击方法 11 产品是否通过了国家权威机构的评测 主要的权威评测机构有 国家信息安全评测认证中心 公安部计算机信息系统安全产品质量监督检验中心等 方正入侵检测系统软件版 安全监控实时监控网络使用详细情况 包括服务器 客户端 用户信息 使用数量 使用时间和网页浏览信息等等 甚至可以监控到每个计算机目前使用的端口 任务 类型 使用时间和数据交换等的详细信息 检测 保护 警告根据入侵检测规则阻断非法网络流量 发布警告和报告 通过报警 e mail 移动电话 给网络管理人员 提供黑客的不同信息 目的 黑客行为 攻击尝试的数量 解决办法 黑客攻击的起止时间等等 提供针对不同的攻击行为的详细信息和对策 提供详尽的黑客文件来定位黑客位置 方正入侵检测系统能很好地与方正防火墙联动 并且支持OPSEC等比较流行的网络安全设备的通讯协议 信息控制对进出的邮件进行有效的信息管理 检测e mail 正文和附件 并可以通过关键字的匹配进行阻断以保证保密或机密信息不泄漏 记录Tel Ftp等的详细信息 管理访问未授权的网页的信息 控制和管理硬盘共享功能 控制特定的服务器 客户端和服务 协议 如果需要可以定义规则阻断非法连接 安全管理方正入侵检测系统的企业级安全管理平台将整个网络的所有安全系统综合到一个统一的ESM平台中 使整个系统易于操作和管理 并且执行一致策略 从而节省安全系统管理费用 报告实时或定期的网络使用情况的详细信息报告 黑客攻击信息 检测信息 保护信息 阻止信息报告 数据交换详细信息报告 包括e mail 正文 附件 web mail Tel Ftp和远程登录等等 提供各种黑客攻击行为的报告 主要硬件产品 绿盟科技 冰之眼 IDS 冰之眼 网络入侵检测系统由网络探测器 内网探测器 SSL加密传输通道 中央控制台 日志分析系统 SQL日志数据库系统及绿盟科技中央升级站点几部分组成 利用碎片穿透技术突破防火墙和欺骗入侵检测系统已经成为黑客常用的手段 冰之眼 网络入侵检测系统能够针对各种协议有效进行IP层的碎片重组 让碎片欺骗技术无所遁形 TCP状态跟踪及流汇聚通过对TCP状态的检测 能够有效避免因单纯包匹配造成的误报 对于利用Stick snort工具进行欺骗攻击的IDSFlood行为能够有很好的甄别防范能力 针对常用协议进行解码 能够 认清 数据的真实面目并提高了检测效率和准确率 它能采用多种方式 对SYNlood Winnuke Jolt Teardrop等拒绝服务攻击进行检测 配合其他安全产品 能够进行有效的防御 RG IDS入侵检测系列 RG IDS是自动的 实时的网络入侵检测和响应系统 捕获安全事件 给予适当的响应 阻止非法的入侵行为 保护企业的信息组件 RG IDS采用多层分布式体系结构 由五部分程序组件组成 控制台 EC 事件收集器 LogServer 数据服务器 Sensor 传感器 报表和查询工具 主流IDS硬件 只检测内部网络和外部网络边界流量的IDS系统的部署 在小型网络结构中 如果内部网络是可以信任的 那么只需要监控内部网络和外部网络的边界流量 这种情况下 入侵检测系统部署在出口路由器或防火墙的后面 IDS被部署在内部网络与Internet的出口处 IDS设备的监听口连接到了内部网络出口处的交换机 Switch 镜像接口上 从而可以捕获到交换机镜像接口的网络流量 管理员可以通过命令行方式 Console Telnet或SSH 或Web方式 HTTP或HTTPS 远程登录到IDS管理接口并对设备进行配置管理 这种部署方式不仅方便了用户的使用和配置 也节约了投资成本 适合中小规模企业的网络安全应用 集中监控多个子网流量 在这种组网情况下 内部局域网中划分了多个不同职能的子网 有些子网访问某些子网资源量希望受到监控和保护 假设具体进行监控 1 需要对关键子网LAN1的流量进行监控 2 LAN2子网了放置了各种服务器 DMZ 因此对LAN2的所有流量也需要进行监控 3 网络管理员要能够集中监控网络的流量和异常情况 管理员可以通过安全管理平台全网的IDS设备进行统一的配置管理 策略部署和安全事件监控 还可以安全管理平台提供的多种智能分析和管理手段对收集到的网络安全事件信息进行处理 并依据处理结果调整安全策略和防护手段 从而提高网络安全的整体水平 实例 启明星辰网络安全预警体系遏制 熊猫烧香 为什么要IPS 入侵防御系统 防火墙是实施访问控制策略的系统 对流经的网络流量进行检查 拦截不符合安全策略的数据包 入侵检测技术 IDS 通过监视网络或系统资源 寻找违反安全策略的行为或攻击迹象 并发出报警 传统的防火墙旨在拒绝那些明显可疑的网络流量 但仍然允许某些流量通过 因此防火墙对于很多入侵攻击仍然无计可施 绝大多数IDS系统都是被动的 而不是主动的 在攻击实际发生之前 它们往往无法预先发出警报 入侵检测系统 IDS 对那些异常的 可能是入侵行为的数据进行检测和报警 告知使用者网络中的实时状况 并提供相应的解决 处理方法 是一种侧重于风险管理的安全产品 入侵防御系统 IPS 对那些被明确判断为攻击行为 会对网络 数据造成危害的恶意行为进行检测和防御 降低或是减免使用者对异常状况的处理资源开销 是一种侧重于风险控制的安全产品 IPS如何实现深度检测和入侵抵御 对于部署在数据转发路径上的IPS 可以根据预先设定的安全策略 对流经的每个报文进行深度检测 协议分析跟踪 特征匹配 流量统计分析 事件关联分析等 如果一旦发现隐藏于其中网络攻击 可以根据该攻击的威胁级别立即采取抵御措施 这些措施包括 按照处理力度 向管理中心告警 丢弃该报文 切断此次应用会话 切断此次TCP连接 在哪里部署 办公网中 至少需要在以下区域部署IPS 即办公网与外部网络的连接部位 入口 出口 重要服务器集群前端 办公网内部接入层 至于其它区域 可以根据实际情况与重要程度 酌情部署 IPS工作原理 IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器 能够防止各种攻击 当新的攻击手段被发现之后 IPS就会创建一个新的过滤器 IPS数据包处理引擎是专业化定制的集成电路 可以深层检查数据包的内容 如果有攻击者利用Layer2 介质访问控制 至Layer7 应用 的漏洞发起攻击 IPS能够从数据流中检查出这些攻击并加以阻止 IPS可以做到逐一字节地检查数据包 所有流经IPS的数据包都被分类 分类的依据是数据包中的报头信息 如源IP地址和目的IP地址 端口号和应用域 每种过滤器负责分析相对应的数据包 通过检查的数据包可以继续前进 包含恶意内容的数据包就会被丢弃 被怀疑的数据包需要接受进一步的检查 IPS的种类 基于主机的入侵防护 HIPS 通过在主机 服务器上安装软件代理程序 防止网络攻击入侵操作系统以及应用程序基于网络的入侵防护 NIPS 通过检测流经的网络流量 提供对网络系统的安全保护 必须基于特定的硬件平台 才能实现千兆级网络流量的深度数据包检测和阻断功能 这种特定的硬件平台通常可以分为三类 一类是网络处理器 网络芯片 一类是专用的FPGA编程芯片 第三类是专用的ASIC芯片 应用入侵防护 AIP 把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备 直接对数据包进行检测和阻断 与具体的主机 服务器操作系统平台无关 IPS技术特征 嵌入式运行 只有以嵌入模式运行的IPS设备才能够实现实时的安全防护 实时阻拦所有可疑的数据包 并对该数据流的剩余部分进行拦截 深入分析和控制 IPS必须具有深入分析能力 以确定哪些恶意流量已经被拦截 根据攻击类型 策略等来确定哪些流量应该被拦截 入侵特征库 高质量的入侵特征库是IPS高效运行的必要条件 IPS还应该定期升级入侵特征库 并快速应用到所有传感器 高效处理能力 IPS必须具有高效处理数据包的能力 对整个网络性能的影响保持在最低水平 H3CSecPathT5000 S3IPS H3CSecPathT5000 S3IPS IntrusionPreventionSystem 集成入侵防御与检测 病毒过滤 带宽管理和URL过滤等功能 是业界综合防护技术最领先的入侵防御 检测系统 通过深入到7层的分析与检测 实时阻断网络流量中隐藏的病毒 蠕虫 木马 间谍软件 网页篡改等攻击和恶意行为 实现对网络应用 网络基础设施和网络性能的全面保护 SecPathT5000 S3IPS适用于大型网络的数据中心和运营商核心网络 启明星辰天清入侵防御系统 天清入侵防御系统 IntrusionPreventionSystem 是启明星辰自行研制开发的入侵防御类网络安全产品 围绕深层防御 精确阻断这个核心 通过对网络中深层攻击行为进行准确的分析判断 在判定为攻击行为后立即予以阻断 主动而有效的保护网络的安全 联想网御