《IDS技术与方案.ppt》由会员分享,可在线阅读,更多相关《IDS技术与方案.ppt(55页珍藏版)》请在三一办公上搜索。
1、,入侵检测(IDS)技术与方案,李明柱 博士,内容,基本概念技术分类实现原理部署方案测试方案产品介绍,内容,基本概念技术分类实现原理部署方案测试方案产品介绍,什么是入侵检测?,入侵检测系统(Intrusion Detection System或者称为IDS)工作在计算机网络系统中的关键节点上,通过实时地收集和分析计算机网络或系统中的信息,来检查是否出现违反安全策略的行为和遭到袭击的迹象,进而达到防止攻击、预防攻击的目的。入侵检测系统作为主动保护自己免受攻击的网络安全技术,处于防火墙之后,在不影响网络性能的情况下对网络和系统进行实时监测,可以有效地防止或减轻上述的网络威胁,帮助系统对付网络攻击,
2、扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。因此IDS成为防火墙之后的第二道安全闸门,不仅愈来愈多地受到人们的关注,而且已经开始在各种不同的环境中发挥关键作用。,IDS能做什么?,监控网络和系统发现入侵企图或异常现象实时报警主动响应,常见安全产品,身份认证加密防病毒防火墙入侵检测,IDS与防火墙的关系?,有的防火墙能够检测到一些类型的攻击,例如SubSeven后门程序所使用的27374端口。当检测到攻击者利用特殊的数据包对网络渗透时,防火墙还能报警。从严格的意义上来说,这是IDS的功能。然而,防火墙使用的检测技术仅仅是简单的决定什么样的
3、数据包能够或不能够进出网络,而不能期望它去分析每个数据包中的内容。甚至连代理型的防火墙都不能去检测每个数据包中的所有内容,因为这样做非常耗CPU的资源。防火墙检查数据包的包头部分,决定是否放行或丢弃。IDS检查数据包的包头和数据部分,发现有恶意攻击的内容要发出警报。不同的网络位置(并行和串行)防内和防外,IDS与防病毒产品的关系?,IDS只能检测出一些病毒,主要是基于某些漏洞传播的蠕虫。只有专业的防病毒软件能抵御所有的病毒。不同的网络位置(并行和串行),IDS作用,很多机器被攻击的理由仅仅是被用来做DDOS攻击的跳板。互联网上的盗版者使用网络中容易被攻击的WEB站点存放盗版信息,散布盗版软件和
4、色情内容。不经过我们的同意,我们的系统被用来作为邪恶的,不合法的活动的跳板。IDS的日志记录是重要的攻击证据IDS能让我们了解我们的网络的健康和安全IDS能发现失败的以管理员身份登陆的企图和密码猜测程序。内置式IDS能够在发现攻击时及时阻止攻击并通知管理员。IDS能够发现攻击并弥补其他网络设备的不足,例如防火墙和路由器。IDS的日志信息能作为加强公司安全策略的参考。防火墙的规则和路由器的访问列表能够执行特定的功能。缓冲区溢出攻击在现在的攻击中类型中占了很大的百分比,Snort内置了很多检测缓冲区溢出攻击的规则。后门和木马是带有恶意代码的远程控制程序,目的是为了控制我们的机器。Snort能够检测
5、这些木马的通讯,从而在后门和木马活动时报警。邮件服务器是攻击者的主要目标。因为这些服务器必须在互联网上进行访问,所以很容易遭到攻击。Snort有很多规则可以检测对邮件服务器的攻击,还能够检测邮件病毒。除了检测入侵,IDS还能做很多其他工作,包括监视数据库的访问,监视DNS服务,保护邮件服务器,监督公司的安全策略等。,内容,基本概念技术分类实现原理部署方案测试方案产品介绍,IDS的分类,主机入侵检测(HIDS)网络入侵检测(NIDS)分布式入侵检测(DIDS),资源,IDS FAQhttp:/pubs/Focus-IDS MailinglistYawlhttp:/OldHandhttp:/Sin
6、badhttp:/=IDS,产品举例,产品功能,攻击检测状态维护和重组应用层协议解码非法外联检测地址欺骗检测策略编辑和策略模板多种响应方式网络流量统计,内容检测回话回放远程管理远程升级用户管理审计和报表数据库管理,攻击检测,检测多种攻击行为检测1400多种攻击细粒度检测技术,细粒度检测,模式匹配,协议解码,异常检测,IP碎片重组防止IP碎片类型的攻击防止IP碎片欺骗 TCP状态跟踪和流重组协议异常检测防范针对IDS的DoS攻击增强应用层检测能力,网络层状态维护和重组,应用层协议解码理解网络行为进一步分析的基础基于应用层解码的自定义规则高精度模式匹配会话记录异常行为记录,应用层协议解码,非法外联
7、检测检测网络中的非法拨号和入侵检测无缝集成,无需客户端代理 防IP地址欺骗受护网络中主机的IPMAC的纪录跟踪,检测非法外联、地址欺骗,策略模板定制预定义模板:Windows系统Unix系统SQL服务器FTP服务器用户自定义模板:WIN+SQL+自定义规则,策略模板,多种响应方式防火墙联动电子邮件声音报警Windows消息报警TCP阻断,响应方式,网络流量统计实时刷新的图形化界面:比特统计报文统计关键端口流量统计TCP连接统计报警事件统计,流量统计,网络敏感内容检测监测内部的网络滥用行为:URL地址FTP、TELNET的用户名、密码、命令邮件主题,内容检测,网络事件回放重现网络行为:HTTPF
8、TPSMTPPOP3TELNET,会话回放,远程管理安全性:SSL加密信道灵活性:主动(Active)和被动(Passive)连接模式分级部署:CONSOLESENSOR 一对多控制CONSOLE支持级连,远程管理,远程升级规则库升级探测器升级“在线”、“手动”两种方式,远程升级,用户管理电子钥匙和密码双重身份认证管理用户分权设置:管理员能够管理整套入侵检测系统审计员能够查看各种审计信息用户操作审计,用户管理,日志审计和报表多重查询条件内置日报、月报等预设报表 数据库管理日志信息的备份、删除、恢复、合并管理过程记录,审计 报表 数据库管理,IDS操作指南,初次使用安装用户界面简介使用常见问题,
9、初次使用安装,硬件(探测器)软件(光盘)电子钥匙,硬件安装,探测器的网口监测口:连接交换机的SPAN口,无IP地址通信口:连接控制台响应口:提供和防火墙联动、TCP阻断等响应,软件安装,所需软件环境操作系统:windows 2000/XP(注意打补丁);浏览器:IE 6.0以上(光盘提供);数据库:MSDE(光盘提供);驱动程序:电子钥匙驱动(光盘提供)。,软件安装,软件组成部分控制台主程序:配置管理及报警事件显示。控制台辅助程序:数据库管理、日志审计、策略编辑、升级程序、会话会放。工具软件:非法外联检测接收器、电子钥匙初始化软件。通信服务:负责处理与探测器之间的通信数据;(后台运行)响应服务
10、:负责探测器端的响应行为;(后台运行)在线帮助文件。,初次配置,配置探测器使用超级终端从串口登录探测器:user:admin,passwd:admin123,初次配置,配置控制台使用电子钥匙登录:user:root,passwd:111111使用配置向导设置参数,主要参数解释:IP 探测器IP和控制台IP;心跳检测端口 UDP端口,互相检测对方是否存在;数据通信端口 TCP端口,传送报警信息和配置命令;通信模式 主动/被动模式,适合于复杂网络环境;超时时间 双方通信中断的时间阈值。,用户界面简介,配置向导,用户界面简介,主界面,用户界面简介,高级配置 监测网络配置,监测网络配置把探测器的所处的
11、网络环境信息以配置的形式告知探测器,以便使探测器了解所处的网络环境信息,得到更加准确的检测结果。在这里,你只需要将你网络中的服务器信息和网络信息进行一个配置就可以了。这样的话,能够有效的降低探测器的检测范围,同时可以降低探测器的误报。这些网络配置包括如下的配置:内部网络、外部网络、Web服务器、Ftp服务器、Telnet服务器、DNS服务器、SQL服务器、POP3服务器和SMTP服务器。这里的服务器是指的服务器类型,通过这个设置可以有效的减少检测范围。这个配置可以是内部服务器,也可以是外部服务器,但是它必须是可信的服务器,用户界面简介,高级配置 协议解码配置,基于特征的入侵检测,最直接的方法就
12、是,每捕获一个数据包就把它和事先定义的特征串进行匹配,以查找可能的事件。但是实际情况复杂得多,为此,采用了协议解码技术,在捕获数据包时,按照其所用协议的规范,对其进行解码处理,然后如有必要再进行特征串匹配。通过这种技术可以很好地提高检测的准确度,用户界面简介,高级配置 非法外联检测,此配置的主要目的是检测非法的外联行为,比如使用MODEM拨号上网或者在两个隔离的网络环境下使用双网卡机器进行非法连接,非法外联检测原理(一)从内部检测,探测器,非法外联主机,发送伪造源地址数据包,互联网,回复,发送ARP请求,发送ARP回复,非法外联检测原理(二)从外部检测,探测器,非法外联主机,发送伪造源地址数据
13、包,互联网,回复,发送ARP请求,发送ARP回复,非法外联接收器,用户界面简介,高级配置 IP欺骗配置,此配置的主要目的是防止内部IP地址欺骗,比如某人假冒您的IP地址发送信息。入侵检测系统运行后,会自动学习网络环境中的IP与MAC地址对应表。如果在您的网络环境中,有人修改了IP地址(网卡不变),则入侵检测系统会探测到并报警“IP欺骗”。当然,如果您的内部网络的地址配置发生了合法的改变,您也要及时地更新绑定表,否则入侵检测系统将一直报警,用户界面简介,高级配置 端口扫描配置,此配置可以让探测器监控指定的机器是否进行了端口扫描,用户界面简介,策略编辑 模板选择,用户界面简介,策略编辑 自定义规则
14、,用户界面简介,响应配置,用户界面简介,用户管理,用户界面简介,会话会放(1),会话回放功能帮助使用者监视网络应用层的活动情况。使用者可以方便的设置和查看特定机器在网络中的操作行为,如访问网站,FTP操作,TELNET操作,收发邮件的内容等,用户界面简介,HTTP会话会放(2),HTTP协议会话回放界面如下图所示。点击左栏的HTTP图标,出现的是机器浏览各种网站的情况。中间栏显示的是被访问的网站,点开链接后,显示出访问机器的地址。右栏对应的是所选中的机器访问了那些网站上的文件,用户界面简介,HTTP会话会放(3),双击感兴趣的网络地址,就可以看到网页的内容,如右图所示,用户界面简介,SMTP会话会放(4),SMTP协议会话回放界面如右图所示。点击左栏的SMTP图标,出现的是机器发送邮件的情况。中间栏显示的是发送邮件的服务器,点开链接后,显示发送邮件的地址。右栏对应的是发送邮件的详细信息,有邮件主题,发件人,收件人,发邮件时间等,用户界面简介,SMTP会话会放(5),对感兴趣的邮件,双击即可看到邮件内容,用户界面简介,数据库管理,用户界面简介,日志审计,用户界面简介,升级程序,
