RCSP_五_(入侵检测技术)_第1页
RCSP_五_(入侵检测技术)_第2页
RCSP_五_(入侵检测技术)_第3页
RCSP_五_(入侵检测技术)_第4页
RCSP_五_(入侵检测技术)_第5页
已阅读5页,还剩1页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、 本文由Just_互日贡献 pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。 IDS技术 822课程 RCSP_T05 学习目标 通过本章的学习,希望您能够: 了解什么是IDS 了解IDS的工作原理 了解数据捕获方式 了解IDS、IPS、防火墙的区别 部署与配置RG-IDS 本章内容 什么是IDS IDS工作原理 数据捕获方式 IDS、IPS、防火墙的区别 课程议题 什么是IDS 什么是IDS? IDS(Intrusion Detection System)的概念 IDS是硬件或软件 用于检测对网络的攻击 对攻击的积极响应 什么是IDS?(续) 好人 坏人

2、IDS的起源与发展 概念的诞生1980年 美国空军做了题为计算机安全威胁监控与监视,第一次详细阐述了入侵检 测的概念 模型的发展19841986年 乔治敦大学的Dorothy Denning和SRI公司的计算机科学实验室Peter Neumann 研究出了一个入侵检测模型,取名为IDES(入侵检测专家系统)。它独立于特 定的系统平台、应用环境、应用弱点以及入侵类型真正提出的入侵检测思想 百花齐放1990年 美国加州大学第一次将网络数据流作为审计来源分析入侵活动,为入侵检测技 术翻开新的一页。从此入侵检测技术分为网络入侵检测技术和主机入侵检测技 术,并且两种方式不断壮大起来 里程碑2000年 分

3、布式IDS出现 HIDS(Host IDS) 网络服务器1 HIDS 检测内容:系统调用、端口调用、系统日志、 安全审记、应用日志 客户端 Internet 网络服务器2 HIDS XX HIDS(续) 在最终目的进行分析 对网络的视野有限 性能问题 部署问题 NIDS(Network IDS) 检测内容:包头信息+有效数据部分 网络服务器1 NIDS X 客户端 Internet 网络服务器2 数据包=包头信息+有效数据部分 NIDS(续) 视野开阔 易于部署 带宽、性能问题 加密问题 课程议题 IDS的工作原理 IDS警报 什么是警报 IDS检测到入侵活动时,都必须产生一些警报以发出信号

4、由于IDS没有100%的正确率,所以IDS警报分为两大类 错误警报 误报 漏报 正确警报 正确命中 正确拒绝 IDS检测方式 异常检测 模式匹配(签名匹配) 协议分析 异常检测 概念 也称为模型检测,需要为用户习惯建立模型。模型为用户定义了行为 特征,以及为用户执行正常任务定义了一个基线 优点 检测以前未发布的攻击 缺点 用户习惯改变时,必须更新用户模型 很难把特定的攻击与警报相关联 模式匹配 概念 也称为滥用检测,探测与具体特征相匹配的入侵行为,将收集到的信 息与特征库匹配 优点 基于已知的入侵行为 安装后立刻就能进行检测 缺点 需要更新签名库(特征库) 有些攻击能绕过IDS 无法检测未知攻

5、击 模式匹配(续) 张 三 命中 协议分析 协议分析(续) ETHER 第一步直接跳到第13个字节,并读取2个字节的协议标识。 如果值是0800,则说明这个以太网帧的数据域携带的是IP包, 基于协议解码的入侵检测利用这一信息指示第二步的检测工作。 RARP IP 第二步跳到第24个字节处读取1字节的第四层协议标识。 如果读取到的值是06,则说明这个IP帧的数据域携带的是TCP包, 入侵检测利用这一信息指示第三步的检测工作。 ARP ICMP IGMP TCP 第三步跳到第35个字节处读取一对端口号。如果有一个端口号是 0080,UDP 则说明这个TCP帧的数据域携带的是HTTP包,基于协议解码

6、的入侵检测利 用 这一信息指示第四步的检测工作。 POP3 FTP HTTP 第四步让解析器从第55个字节开始读取URL。 URL串将被提交 DNS 给HTTP解析器,在它被允许提交给Web服务器前,由HTTP解析器来 分析它是否可能会做攻击行为。 协议分析(续) 0800 13字节 13字节 06 24字节 24字节 0800 35字节 35字节 匹配 55字节 张三 基于状态的检测 源地址 目标地址 源端口 目标端口 初始序列号 ACK 标记 1033 80 350771 syn IDS 状态表 源地址 目标地址 源端口 目标端口 序列号 2

7、.2.2.2 1033 80 350773 133077 ack 80 1033 133076 350772 syn-ack PC-A IDS响应技术 报警 记录日志 TCP reset 联动 SNMP Trap 邮件通知 IDS逃避技术 泛洪 使IDS产生大量警报,隐藏真正攻击 消耗IDS系统资源 分片 消耗IDS系统资源 加密 迷惑 使用不同的字符表达方式 课程议题 数据捕获方式 HUB 物理层设备 将流量向所有端口复制 安全问题 流量镜像 SPAN(Switch Port Analyzer) 交换机的端口监控功能 将一个或多个来自某端口 或

8、VLAN的数据镜像到另 一个目的端口 目的端口常用来连接网络 分析仪 安全性高 配置SPAN Switch(config)# monitor session session-number source interface interface both | rx | tx 配置端口镜像的源端口 Switch(config)# monitor session session-number destination interface interface 配置端口镜像的目的端口 以太网接口的工作模式 正常模式 只接收目的MAC与自己MAC匹配的报文 接收广播报文 混杂模式 接收所有报文(目的MAC非自

9、身MAC的报文) IDS接口为混在模式 课程议题 IDS、IPS与防火墙的区别 IDS、IPS、防火墙对比 防火墙可以检测20%的攻击 IDS可以检测80%的攻击 IPS可以检测50%的攻击 IDS、IPS、防火墙对比(续) 特征 IDS IPS Firewall 部署方式 旁路 在线 在线 优势 检测层次 性能 L3以上 结合IDS/FW L3以上 严格的安全规则 L3/L4 成熟度 很成熟 不成熟 非常成熟 课程议题 部署与配置RG-IDS 安装组件步骤 安装RG IDS Sensor 安装DataBase 安装RG IDS LogServer 安装RG IDS Event-Collect

10、or 安装RG IDS Console 安装RG IDS Report 安装顺序 配置Sensor SENSOR显示的当前状态 输入管理员密码,进入管理窗口 配置SENSOR的网络连接状态 配置DataBase 安装微软MSDE组件 初始配置 计算机重启 安装LogServer 配置LogServer 安装完成,出现“数据服务初始化配置”窗口 也可以通过点击“开始程序入侵检测系统入侵检测系统(网络) RG IDS 数据服务安装”进入此窗口 配置 Event-Collector 安装License 安装许可证 配置 Event-Collector 在应用服务管理器中启用事件收集服务 主要功能:

11、后台服务的启动管理 收集组件的状态调试信息 配置用户 控制台登录界面 对用户做管理及审计信息 添加组件 组件管理添加组件 添加传感器 组件配置窗口 添加传感器 同步签名、应用策略、重启引擎 应用策略后会出现断开标志; 大约2分钟时间,后出现编译 签名标志; 整个同步签名需要大约需要20 分钟时间。 添加LogServer 添加LogServer 策略编辑 策略编辑器窗口 添加特殊事件 添加特殊事件 进入“策略”“告警策略”窗口 展开“一般事件树” 右键点击某个攻击签名,在出现的菜单中选择“添加到特殊事件窗口” 在弹出的窗口中,输入新建事件组的名称 点击“确定”按钮,该攻击签名将出现在特殊事件窗口中 事件统计图 一般事件统计图

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论