第6章入侵检测技术.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,第六章 入侵检测,网 络 安 全,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第6章入侵检测技术,CH6,入侵检测技术,2,课程内容,第一部分 入侵检测概述,第二部分 入侵检测工作原理,第三部分 入侵检测的应用,3,第一部分 入侵检测概述,一、什么是入侵检测系统？,二、为什么需要,IDS？,三、入侵检测系统分类,四、入侵检测的作用,4,一、什么是入侵检测系统？,入侵检测系统是一套监控计算机系统或网络系统中发生的事件，根据规则进行安全审计的软件或硬件系统。,入侵检测系统收集计算机系统和网络的信息，并对这些信息加以分析，对保护的系统进行安全审计、监控、攻击识别并作出实时的反应。,5,二、为什么需要,IDS？,入侵很容易,入侵教程随处可见,各种攻击工具唾手可得,防火墙不能保证绝对的安全,防火墙只是网络边界的设备,防火墙自身可以被攻破,防火墙对某些攻击的防护能力很弱,无法阻止内部人员所做的攻击,攻击发生后，防火墙保存的信息难以调查和取证,6,三、入侵检测系统分类,根据检测类型分类,异常入侵检测系统,检测与可接受行为之间的偏差,误用入侵检测系统,检测与已知的不可接受行为之间的匹配程度,根据检测对象分类,基于主机的,IDS,（,Host-Based IDS,）,基于网络的,IDS,（,Network-Based IDS,）,混合型,IDS,7,四、入侵检测的作用,监控、分析用户和系统的活动,审计系统的配置和漏洞,评估关键系统和数据文件的完整性,识别已知的攻击行为,统计分析异常行为,操作系统日志管理，并识别违反安全策略的用户活动,8,课程内容,入侵检测概述,入侵检测工作原理,入侵检测的应用,9,入侵检测工作原理,入侵检测系统的构件,入侵检测的工作过程,入侵检测的信息收集内容,入侵检测的分析方法,10,一、,入侵检测系统的构件,11,二、入侵检测的工作过程,基本工作过程,信息收集,检测引擎从信息源收集系统、网络、状态和行为信息。,信息分析,从信息中查找和分析表征入侵的异常和可疑信息。,告警与响应,根据入侵性质和类型，做出相应的告警和响应。,12,入侵检测的信息收集内容,1,）系统和网络日志文件,2,）目录和文件中的不期望的改变,3,）程序执行中的不期望行为,4,）物理形式的入侵信息,未授权的对网络硬件连接,对物理资源的未授权访问,13,入侵检测的信息分析方法,模式匹配,-,误用检测（,Misuse Detection）,维护一个入侵特征知识库,准确性高,统计分析,-,异常检测,（,Anomaly Detection）,统计模型,误报、漏报较多,完整性分析,关注某个文件或对象是否被更改,事后分析,14,误用检测,基本原理,采用匹配技术检测已知攻击,提前建立已出现的入侵行为特征,检测当前用户行为特征,15,误用检测,2.,误用检测的优点,算法简单,系统开销小,准确率高,效率高,16,误用检测,3.,误用检测的缺点,被动,只能检测出已知攻击,新类型的攻击会对系统造成很大的威胁,模式库的建立和维护难,模式库要不断更新,知识依赖于,硬件平台,操作系统,系统中运行的应用程序,17,异常检测,基本原理,正常用户行为的特征轮廓,检查实际用户行为和系统的运行情况,是否偏离预设的门限？,18,异常检测,2.,异常检测的优点,可以检测到未知的入侵,可以检测冒用他人帐号的行为,具有自适应，自学习功能,不需要系统先验知识,19,异常检测,3.,异常检测的缺点,漏报、误报率高,入侵者可以逐渐改变自己的行为模式来逃避检测,合法用户正常行为的突然改变也会造成误警,统计算法的计算量庞大，效率很低,统计点的选取和参考库的建立比较困难,20,IDS,在交换式网络中的位置,IDS,在交换式网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源。这些位置通常是：,服务器区域的交换机上；,Internet,接入路由器之后的第一台交换机上；,重点保护网段的局域网交换机上。,21,课程内容,入侵检测概述,入侵检测技术与工作原理,入侵检测的应用,22,入侵检测应用,IDS,的应用,IDS,部署实例,Snort,简介,23,IDS,应用,-,如何选择,IDS,根据组织的安全需求及既定的安全策略，来确定所需的,IDS,。,根据企业所要保护的系统，来确定选择基于主机的,IDS,还是基于网络的,IDS,、或是二者的结合。,综合比较各种,IDS,的性能和价格，来选择具体应用的产品。,IDS,和其它安全设备一样，正确地配置和维护，是使它能真正发挥作用的关键之处。,24,IDS,部署实例,Real Secure,的部署图,25,IDS,部署实例,RealSecure,的部署图，,RealSecure,是一种混合型的入侵检测系统，提供基于网络和基于主机的实时入侵检测。,RealSecure,控制台：对多台网络传感器和服务器代理进行管理；对被管理传感器进行远程的配置和控制；各个监控器发现的安全事件实时地报告控制台。,Network,Sensor,（网络引擎）：对网络进行监听并自动对可疑行为进行响应，最大程度保护网络安全。,Server,Sensor,（服务器代理，安装在各个服务器上）：对主机的核心级事件、系统日志以及网络活动实现实时入侵检测。,26,利用,RealSecure,进行可适应性攻击检测和响应,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,外部攻击,警告!,记录攻击,外部攻击,终止连接,入侵检测工具举例,27,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,内部攻击,警告!,启动事件日志,发送消息,入侵检测工具举例,28,入侵检测系统,Snort,的使用,29,入侵防御系统,(IPS),IPS,是英文,“,Intrusion Prevention System,”,的缩写,IPS,技术可以深度检测流经的数据流量（协议分析跟踪、特征匹配、流量统计分析、事件关联分析等），如果一旦发现隐藏于其中网络攻击，可以根据该攻击的威胁级别立即采取抵御措施（按照处理力度）：,向管理中心告警；,丢弃该报文；,切断此次应用会话；,切断此次,TCP,连接。,30,31,入侵检测系统,IDS vs,入侵防御系统,IPS,IDS,IPS,主线功能,网络安全状况的监管,深层防御、精确阻断,核心价值,通过对全网信息的分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整,安全策略的实施,对黑客行为的阻击,如果检测到攻击,存在于网络之外起到报警的作用，而不是在网络前面起到防御的作用。,在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。,检测攻击的方法,对数据包的检测,检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。,部署位置,部署在网络内部，监控范围可以覆盖整个子网,部署在网络边界，抵御来自外部的入侵，对内部攻击行为无能为力。,32,如何选用,IPS&IDS,若用户计划在一次项目中实施较为完整的安全解决方案，则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统，在网络的边界点部署入侵防御系统。,若用户计划分步实施安全解决方案，可以考虑先部署入侵检测系统进行网络安全状况监控，后期再部署入侵防御系统。,若用户仅仅关注网络安全状况的监控,(,如金融监管部门，电信监管部门等,),，则可在目标信息系统中部署入侵检测系统即可。,33,Snort,简介,Snort,是一个用,C,语言编写的开放源代码软件，符合,GPL（GNU General Public License）,的要求，当前的最新版本是,2.8,，其作者为,Martin Roesch。,Snort,是一个跨平台、轻量级的网络入侵检测软件，实际上它是一个基于,libpcap,的网络数据包嗅探器和日志记录工具，可以用于入侵检测。从入侵检测分类上来看，,Snort,是一个基于网络和误用的入侵检测软件。,34,Snort,的工作模式,嗅探器,Snort,v,d-e,数据包记录器,Snort,vde,l c:snortlog,网络入侵检测系统,Snort,vde,l c:snortlog,c c:snortetcsnort.conf,35,底层库的安装与配置,安装,Snort,所需的底层库有三个：,Libpcap,，提供的接口函数主要实现和封装了与数据包截获有关的过程。,Libnet,，提供的接口函数主要实现和封装了数据包的构造和发送过程。,NDIS packet capture Driver,，是为了方便用户在,Windows,环境下抓取和处理网络数据包而提供的驱动程序。,在,Linux,和,Solaris,环境下，必须首先安装,Libpcap,，然后才能安装,Snort,，如果需要还应该安装,Libnet,；,在,Windows,环境下，必须首先安装,NDIS packet capture Driver(,可用,Winpcap,代替,),，然后才能安装,Snort,。,36,Snort,的安装,Win 32,环境下的安装方法一,解开,snort-2.1-win32-source.zip,用,VC+,打开位于,snort-2.1-win32-sourcesnort-2.1 win32-Prj,目录下的,snort.dsw,文件,选择,“,Win 32 Release,”,编译选项进行编译,在,Release,目录下会生成所需的,Snort.exe,可执行文件,Win32,环境下的安装方法二,直接执行,Snort Windows,安装包,SWIB,37,Snort,的配置,配置,Snort,并不需要自已编写配置文件，只需对,Snort.conf,文件进行修改即可,设置网络变量,var DNS_SERVERS 192.168.0.1,配置预处理器,配置输出插件,配置所使用的规则集,var RULE_PATH c:snortrules,38,操作实例,输出,IP,和,TCP/UDP/ICMP,的包头信息,39,输出,TCP/IP,信息包,启用,windows,下的运行窗口,输入,cmd,进入,DOS,界面,进入,c:snortbin,文件夹,cmd,cmd,40,cd c:snortbin,41,输出,TCP/IP,信息包,进入,c:snortbin,文件夹,输入命令,snort v,扫描信息包,42,snort-v,43,扫描中的界面,44,输出,TCP/IP,信息包,进入,c:snortbin,文件夹,输入命令,snort v,扫描信息包,snort-v,Ctrl+c,退出,Snort,运行并显示扫描统计信息,45,扫描后的统计界面,46,操作实例,同时显示,IP,和,TCP/UDP/ICMP,的包头信息、应用层数据信息、数据链路层的信息并将扫描的信息记录进,c:snortlog,文件夹内,47,指定网段输出多层信息包并保存到指定文件夹,进入,c:snortbin,文件夹,输入命令,snort vde l c:snortlog,扫描信息包,48,snort vde l c:snortlog,snort v d e l c:snortlog,或输入,49,输入命令后的开始界面,50,扫描中的界面,51,进入,c:snortbin,文件夹,snort-v,Ctrl+c,退出,Snort,运行并显示扫描统计信息,输出多层信息包并保存到指定文件夹,输入命令,snort vde l c:snortlog,扫描信息包,52,扫描后的统计界面,53,推荐网站,硅谷动力,红色黑客联盟,