IDS技术与方案(new)

《IDS技术与方案(new)》由会员分享，可在线阅读，更多相关《IDS技术与方案(new)（55页珍藏版）》请在装配图网上搜索。

1、入侵检测（IDS）技术与方案李明柱李明柱 博士博士内容o基本概念o技术分类o实现原理o部署方案o测试方案o产品介绍内容o基本概念o技术分类o实现原理o部署方案o测试方案o产品介绍什么是入侵检测？入侵检测系统（Intrusion Detection System或者称为IDS）工作在计算机网络系统中的关键节点上，通过实时地收集和分析计算机网络或系统中的信息，来检查是否出现违反安全策略的行为和遭到袭击的迹象，进而达到防止攻击、预防攻击的目的。入侵检测系统作为主动保护自己免受攻击的网络安全技术，处于防火墙之后，在不影响网络性能的情况下对网络和系统进行实时监测，可以有效地防止或减轻上述的网络威胁，帮助

2、系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。因此IDS成为防火墙之后的第二道安全闸门，不仅愈来愈多地受到人们的关注，而且已经开始在各种不同的环境中发挥关键作用。IDS能做什么？o监控网络和系统o发现入侵企图或异常现象o实时报警o主动响应常见安全产品o身份认证o加密o防病毒o防火墙o入侵检测IDS与防火墙的关系？o有的防火墙能够检测到一些类型的攻击，例如SubSeven后门程序所使用的27374端口。当检测到攻击者利用特殊的数据包对网络渗透时，防火墙还能报警。从严格的意义上来说，这是IDS的功能。然而，防火墙使用的检测技

3、术仅仅是简单的决定什么样的数据包能够或不能够进出网络，而不能期望它去分析每个数据包中的内容。甚至连代理型的防火墙都不能去检测每个数据包中的所有内容，因为这样做非常耗CPU的资源。o防火墙检查数据包的包头部分，决定是否放行或丢弃。IDS检查数据包的包头和数据部分，发现有恶意攻击的内容要发出警报。o不同的网络位置（并行和串行）o防内和防外IDS与防病毒产品的关系？oIDS只能检测出一些病毒，主要是基于某些漏洞传播的蠕虫。只有专业的防病毒软件能抵御所有的病毒。o不同的网络位置（并行和串行）IDS作用o很多机器被攻击的理由仅仅是被用来做DDOS攻击的跳板。o互联网上的盗版者使用网络中容易被攻击的WEB

4、站点存放盗版信息，散布盗版软件和色情内容。o不经过我们的同意，我们的系统被用来作为邪恶的，不合法的活动的跳板。oIDS的日志记录是重要的攻击证据oIDS能让我们了解我们的网络的健康和安全oIDS能发现失败的以管理员身份登陆的企图和密码猜测程序。o内置式IDS能够在发现攻击时及时阻止攻击并通知管理员。oIDS能够发现攻击并弥补其他网络设备的不足，例如防火墙和路由器。oIDS的日志信息能作为加强公司安全策略的参考。o防火墙的规则和路由器的访问列表能够执行特定的功能。o缓冲区溢出攻击在现在的攻击中类型中占了很大的百分比，Snort内置了很多检测缓冲区溢出攻击的规则。o后门和木马是带有恶意代码的远程控

5、制程序，目的是为了控制我们的机器。Snort能够检测这些木马的通讯，从而在后门和木马活动时报警。o邮件服务器是攻击者的主要目标。因为这些服务器必须在互联网上进行访问，所以很容易遭到攻击。Snort有很多规则可以检测对邮件服务器的攻击，还能够检测邮件病毒。o除了检测入侵，IDS还能做很多其他工作，包括监视数据库的访问，监视DNS服务，保护邮件服务器，监督公司的安全策略等。内容o基本概念o技术分类o实现原理o部署方案o测试方案o产品介绍IDS的分类o主机入侵检测（HIDS）o网络入侵检测（NIDS）o分布式入侵检测（DIDS）资源oIDS FAQnhttp:/ Mailinglistnhttp:/

6、 检测多种攻击行为检测多种攻击行为检测1400多种攻击细粒度检测技术细粒度检测模式匹配协议解码异常检测 IP碎片重组碎片重组防止IP碎片类型的攻击防止IP碎片欺骗 TCP状态跟踪和流重组状态跟踪和流重组协议异常检测防范针对IDS的DoS攻击增强应用层检测能力网络层状态维护和重组网络层状态维护和重组 应用层协议解码应用层协议解码理解网络行为进一步分析的基础基于应用层解码的自定义规则高精度模式匹配会话记录异常行为记录应用层协议解码应用层协议解码 非法外联检测非法外联检测检测网络中的非法拨号和入侵检测无缝集成，无需客户端代理 防防IP地址欺骗地址欺骗受护网络中主机的IPMAC的纪录跟踪检测非法外联、

7、地址欺骗检测非法外联、地址欺骗 策略模板定制策略模板定制预定义模板：Windows系统Unix系统SQL服务器FTP服务器用户自定义模板：WIN+SQL+自定义规则策略模板策略模板 多种响应方式多种响应方式防火墙联动电子邮件声音报警Windows消息报警TCP阻断响应方式响应方式 网络流量统计网络流量统计实时刷新的图形化界面：比特统计报文统计关键端口流量统计TCP连接统计报警事件统计流量统计流量统计 网络敏感内容检测网络敏感内容检测监测内部的网络滥用行为:URL地址FTP、TELNET的用户名、密码、命令邮件主题内容检测内容检测 网络事件回放网络事件回放重现网络行为：HTTPFTPSMTPPO

8、P3TELNET会话回放会话回放 远程管理远程管理安全性：SSL加密信道灵活性：主动（Active）和被动（Passive）连接模式分级部署：CONSOLESENSOR 一对多控制CONSOLE支持级连远程管理远程管理 远程升级远程升级规则库升级探测器升级“在线”、“手动”两种方式远程升级远程升级 用户管理用户管理电子钥匙和密码双重身份认证管理用户分权设置：管理员能够管理整套入侵检测系统审计员能够查看各种审计信息用户操作审计用户管理用户管理 日志审计和报表日志审计和报表多重查询条件内置日报、月报等预设报表 数据库管理数据库管理日志信息的备份、删除、恢复、合并管理过程记录审计审计 报表报表 数据

9、库管理数据库管理IDS操作指南初次使用安装用户界面简介使用常见问题初次使用安装硬件（探测器）软件（光盘）电子钥匙硬件安装o探测器的网口探测器的网口n监测口：连接交换机的SPAN口，无IP地址n通信口：连接控制台n响应口：提供和防火墙联动、TCP阻断等响应软件安装o所需软件环境所需软件环境n操作系统：windows 2000/XP（注意打补丁）；n浏览器：IE 6.0以上（光盘提供）；n数据库：MSDE（光盘提供）；n驱动程序：电子钥匙驱动（光盘提供）。软件安装o软件组成部分软件组成部分n控制台主程序：配置管理及报警事件显示。n控制台辅助程序：数据库管理、日志审计、策略编辑、升级程序、会话会放。

10、n工具软件：非法外联检测接收器、电子钥匙初始化软件。n通信服务：负责处理与探测器之间的通信数据；（后台运行）n响应服务：负责探测器端的响应行为；（后台运行）n在线帮助文件。初次配置o配置探测器配置探测器n使用超级终端从串口登录探测器：user:admin,passwd:admin123初次配置o配置控制台配置控制台n使用电子钥匙登录：user:root,passwd:111111n使用配置向导设置参数主要参数解释：主要参数解释：IPIP 探测器IP和控制台IP；心跳检测端口 UDP端口，互相检测对方是否存在；数据通信端口 TCP端口，传送报警信息和配置命令；通信模式 主动/被动模式，适合于复杂

11、网络环境；超时时间 双方通信中断的时间阈值。用户界面简介o配置向导配置向导用户界面简介o主界面主界面用户界面简介o高级配置高级配置 监测网络配置监测网络配置监监测测网网络络配配置置把把探探测测器器的的所所处处的的网网络络环环境境信信息息以以配配置置的的形形式式告告知知探探测测器器，以以便便使使探探测测器器了了解解所所处处的的网网络络环环境境信信息息，得得到到更更加加准准确确的的检检测测结结果果。在在这这里里，你你只只需需要要将将你你网网络络中中的的服服务务器器信信息息和和网网络络信信息息进进行行一一个个配配置置就就可可以以了了。这这样样的的话话，能能够够有有效效的的降降低低探探测测器器的的检检

12、测测范范围围，同同时时可可以降低探测器的误报。以降低探测器的误报。这些网络配置包括如下的这些网络配置包括如下的配置：内部网络、外部网配置：内部网络、外部网络、络、Web服务器、服务器、Ftp服务服务器、器、Telnet服务器、服务器、DNS服服务器、务器、SQL服务器、服务器、POP3服务器和服务器和SMTP服务器。这服务器。这里的服务器是指的服务器里的服务器是指的服务器类型，通过这个设置可以类型，通过这个设置可以有效的减少检测范围。这有效的减少检测范围。这个配置可以是内部服务器，个配置可以是内部服务器，也可以是外部服务器，但也可以是外部服务器，但是它必须是可信的服务器是它必须是可信的服务器

13、用户界面简介o高级配置高级配置 协议解码配置协议解码配置基于特征的入侵检测，基于特征的入侵检测，最直接的方法就是，最直接的方法就是，每捕获一个数据包就每捕获一个数据包就把它和事先定义的特把它和事先定义的特征串进行匹配，以查征串进行匹配，以查找可能的事件。但是找可能的事件。但是实际情况复杂得多，实际情况复杂得多，为此，采用了协议解为此，采用了协议解码技术，在捕获数据码技术，在捕获数据包时，按照其所用协包时，按照其所用协议的规范，对其进行议的规范，对其进行解码处理，然后如有解码处理，然后如有必要再进行特征串匹必要再进行特征串匹配。通过这种技术可配。通过这种技术可以很好地提高检测的以很好地提高检测的

14、准确度准确度 用户界面简介o高级配置高级配置 非法外联检测非法外联检测此配置的此配置的主要目的主要目的是检测非是检测非法的外联法的外联行为，比行为，比如使用如使用MODEM拨号上网拨号上网或者在两或者在两个隔离的个隔离的网络环境网络环境下使用双下使用双网卡机器网卡机器进行非法进行非法连接连接 非法外联检测原理 （一）从内部检测探测器非法外联主机发送伪造源地址数据包互联网回复发送ARP请求发送ARP回复非法外联检测原理 （二）从外部检测探测器非法外联主机发送伪造源地址数据包互联网回复发送ARP请求发送ARP回复非法外联接收器用户界面简介o高级配置高级配置 IP IP欺骗配置欺骗配置此配置的主要目

15、此配置的主要目的是防止内部的是防止内部IP地址欺骗，比如地址欺骗，比如某人假冒您的某人假冒您的IP地址发送信息。地址发送信息。入侵检测系统运入侵检测系统运行后，会自动学行后，会自动学习网络环境中的习网络环境中的IP与与MAC地址对地址对应表。如果在您应表。如果在您的网络环境中，的网络环境中，有人修改了有人修改了IP地地址（网卡不变），址（网卡不变），则入侵检测系统则入侵检测系统会探测到并报警会探测到并报警“IP欺骗欺骗”。当。当然，如果您的内然，如果您的内部网络的地址配部网络的地址配置发生了合法的置发生了合法的改变，您也要及改变，您也要及时地更新绑定表，时地更新绑定表，否则入侵检测系否则入侵检

16、测系统将一直报警统将一直报警 用户界面简介o高级配置高级配置 端口扫描配置端口扫描配置此配置可以让探测器监控指定的机器是否进行了端口扫描 用户界面简介o策略编辑策略编辑 模板选择模板选择用户界面简介o策略编辑策略编辑 自定义规则自定义规则用户界面简介o响应配置响应配置用户界面简介o用户管理用户管理用户界面简介o会话会放（会话会放（1 1）会话回放功能帮助使用者监视网络应用层的活动情况。使用者可以方便的设置和查看特定机器在网络中的操作行为，如访问网站，FTP操作，TELNET操作，收发邮件的内容等 用户界面简介oHTTPHTTP会话会放（会话会放（2 2）HTTP协议会话回放界面如下图所示。点击

17、左栏的HTTP图标，出现的是机器浏览各种网站的情况。中间栏显示的是被访问的网站，点开链接后，显示出访问机器的地址。右栏对应的是所选中的机器访问了那些网站上的文件 用户界面简介oHTTPHTTP会话会放（会话会放（3 3）双击感兴趣的网络地址，就可以看到网页的内容，如右图所示用户界面简介oSMTPSMTP会话会放（会话会放（4 4）SMTP协议会话回放界面如右图所示。点击左栏的SMTP图标，出现的是机器发送邮件的情况。中间栏显示的是发送邮件的服务器，点开链接后，显示发送邮件的地址。右栏对应的是发送邮件的详细信息，有邮件主题，发件人，收件人，发邮件时间等 用户界面简介oSMTPSMTP会话会放（会话会放（5 5）对感兴趣的邮件，双击即可看到邮件内容 用户界面简介o数据库管理数据库管理用户界面简介o日志审计日志审计用户界面简介o升级程序升级程序