Unit6-入侵响应与IDS的部署市公开课一等奖省赛课微课金奖课件.pptx

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,入侵检测及扫描技术,入侵响应与IDS布署,1,1/34,入侵响应,2,2/34,响应类型,被动响应：只统计问题和汇报问题,主动响应：用自动或用户指定方式，阻断攻击过程。,3,3/34,主动响应(active response),可分为三类：,针对入侵者采取办法,修正系统,搜集更详细信息,4,4/34,针对入侵者采取办法,追踪攻击发起地，并采取办法禁用入侵者机器或网络连接。其危害是：,可能会使无辜受害者遭受到新损害。,攻击方可能假冒IP对目标进行攻击,可能挑起更猛烈攻击,还击者可能会成为刑事或民事诉讼对象。,

2、可能会牵涉到法律责任和其它一些实际问题，不应作为通用主动响应方式。,5,5/34,针对入侵者采取办法（续）,正确方式是：,断开与其之间网络会话，如向攻击方机器法送TCPRESET包，或发送ICMP Destination Unreachable包，也可控制防火墙或网关去阻拦攻击包,发邮件给系统管理员，请求识别并处理问题,6,6/34,修正系统,修正系统填补攻击引发破坏（类似于生物体免疫系统，能够辨识问题并将引发问题部分隔离起来）。,改变分析引擎一些参数设置和操作方式,添加规则，如提升某类攻击可疑级别或扩大监控范围，到达在更加好粒度层次上搜集信息目标（类似于利用当前进程结果来调整优化以后进程）,

3、7,7/34,搜集更详细信息,能够与专用服务器（诱骗系统）结合起来，如honey pots,decoys或fishbowls,用来模拟关键系统文件系统或其它系统特征，引诱攻击者，统计攻击者行为，从而取得关于攻击者详细信息，作为深入采取法律办法依据.,Decoy最早出现在1972年Bill Cheswick论文中（An Evening with Berferd in Which a Cracker Is Lured,Endured,and Studied）。,8,8/34,被动响应(passive response),为用户提供信息，由用户决定接下来应该采取什么办法。,警报和通知,警报显示器（控

4、制台或预定义其它部件上）,警报和警告远程通报（移动电话或E-mail）,SNMP陷阱和插件,与网管工具一起协同工作，出现在网管控制台上,9,9/34,入侵追踪,是主动响应一部分。,给定一系列主机H1,H2,Hn,当攻击者次序从H1连接到H2,称 为一个连接链，追踪任务就是给定Hn,找出Hn-1,H1部分或全部。,当前追踪方法主要两类：基于主机和基于网络，每种又分为主动式和被动式,10,10/34,追踪系统举例,被动式,主动式,基于主机,DIDS,Caller ID,CIS,基于网络,Thumbprinting,IDIP,Time-based,SWT,Deviation-based,11,11/

5、34,基于主机追踪体系,被动式追踪,DIDS,Caller Identification System（CIS）,主动式追踪,Caller ID,问题：必须信任追踪系统中每个节点；要求大规模地布署，所以在Internet上难以实现。,12,12/34,基于网络追踪体系,基于网络本身特征进行追踪，不要求每个节点参加，也不基于对每个节点信任,被动式追踪,Thumprint,Time-based,Deviation-based,主动式追踪：包括信息隐形技术，保密研究,13,13/34,联动响应,是一个主动响应方式，它是指当IDS检测到需要阻断入侵行为时，马上快速开启联动机制，自动通知防火墙或其它安全

6、控制设备对攻击源进行封堵，到达整体安全控制效果。,比如：,与防火墙联动，封堵源自外部网络攻击；,与网络管理系统联动，封掉被攻击者利用网络设备和主机；,与操作系统联动，封掉有恶意用户账号。,14,14/34,联动响应举例,例1：攻击者A向防火墙内主机B实施TCP SYN-Flooding攻击。A假冒一个不存在主机C地址向B发送SYN包，B向C回应SYN-ACK包。但因为C并不存在，所以不会给B发送确认包，那么B上这个半连接就一直处于等候状态。A连续向B发送SYN包，因为B连接请求队列长度有限，当这个队列变满后，新连接请求就无法进来，除非队列中半连接因超时被复位。IDS对一段时间内半连接数量进行统

7、计，当单位时间内TCP半连接数量超出一定阈值，则向防火墙发送命令，重新设置超时时间，即将超时时间设置为更短t，若在时间t内没有ACK确认包或RST包发给B，则防火墙向B发RST包来复位该半连接。,15,15/34,主动响应存在问题,IP 地址坑骗和误报警可能引发错误：既然入侵检测系统有产生误报警问题，我们就有可能错误地针对一个从未攻击我们网络节点进行响应。,假如攻击者判定我们系统有自动响应，他可能会利用这一点来针对我们。,如：攻击者可从某企业合作搭档/客户/供给商地址发出虚假攻击，使得防火墙把一个企业与另一个企业隔离开，这么二者之间就有了不能逾越隔离界限。,16,16/34,入侵响应小结,入侵

8、响应应该与安全策略相协调。如在安全防护策略中规以定一怎样办法来对检测到入侵行为作出响应。,按照办法时间和紧急程度分为：,即时办法：入侵发生时,及时办法：入侵被完全检测出来时,当地长久办法：处于当地安全长久考虑,全局长久办法：对社会安全情况很主要,17,17/34,IDS布署和应用,18,18/34,网络检测器位置,对于主机型IDS，其数据采集部分当然位于其所监测主机上。,基于网络入侵检测系统需要有检测器才能工作。假如检测器放位置不正确，入侵检测系统也无法工作在最正确状态。普通说来检测器放在防火墙附近比很好。,放在防火墙之外,检测器在防火墙内,防火墙内外都有检测器,检测器其它位置,19,19/3

9、4,检测器布署示意图,Internet,布署二,布署三,布署四,布署一,20,20/34,检测器放在边界防火墙之内,放置于防火墙DMZ区域,能够查看受保护区域主机被攻击状态,能够看出防火墙系统策略是否合理,能够看出DMZ区域被黑客攻击重点,21,21/34,检测器放在边界防火墙之外,放置于路由器和边界防火墙之间,能够审计全部来自Internet上面对保护网络攻击数目,能够审计全部来自Internet上面对保护网络攻击类型,22,22/34,检测器放在主要网络中枢,监控大量网络数据，可提升检测黑客攻击可能性,可经过授权用户权利边界来发觉未授权用户行为,23,23/34,放在安全级别高子网,对非常

10、主要系统和资源入侵检测,24,24/34,共享媒介上检测器布署,HUB,IDS Sensor,Monitored Servers,Console,25,25/34,交换环境检测器布署,Switch,IDS Sensor,Monitored Servers,Console,经过端口镜像实现,（SPAN/Port Monitor）,26,26/34,隐蔽模式下检测器布署,Switch,IDS Sensor,Monitored Servers,Console,不设IP,27,27/34,基于主机IDS经典配置,防火墙,路由器,DNS Server,被保护内部网络,系统管理控制台,28,28/34,基

11、于网络IDS经典配置,DNS Server,NIDS控制管理器,被保护内部网络,NIDS,探测器,29,29/34,应用于交换机环境时问题,因为交换机不采取共享媒质方法，传统采取一个sniffer来监听整个子网方法不再可行。可处理方法有：,1交换机关键芯片上普通有一个用于调试端口（span port），任何其它端口进出信息都可从此得到。假如交换机厂商把此端口开放出来，用户可将IDS系统接到此端口上。,优点：无需改变IDS体系结构。,缺点：采取此端口会降低交换机性能。,30,30/34,应用于交换机环境时问题(续),2把入侵检测系统放在交换机内部或防火墙内部等数据流关键入口、出口。,优点：可得到

12、几乎所相关键数据。,缺点：必须与其它厂商紧密合作，且会降低网络性能。,3.采取分接器（Tap），将其接在全部要监测线路上。,优点：在不降低网络性能前提下搜集了所需信息。,缺点：必须购置额外设备(Tap)；若所保护资源众多，IDS必须配置众多网络接口。,4使用含有网络接口检测功效主机代理。,31,31/34,IDS在安全体系结构中层次,第一个观点：检测应该处于和保护基本不交叉一个独立层次上，这种类型IDS轻易实现。,优点：因为和OS 无关，所以可靠性好,缺点：信息不能共享，加重了IDS负担，了解可能会有误差。,第二种观点：检测应该与保护紧密结合。强调与OS结合，IDS常以内核补丁或驱动程序形式出现。,优点：检测准确,缺点：难以实现，运行在内核中，影响系统效率,32,32/34,IDS体系结构应该含有特征,类似于免疫系统对病原体检测,分层保护：最大程度地保护系统,分布式检测：保障系统可靠性,检测系统各个组成部分相互独立：某部分失效不会影响其它部分。,含有自适应能力：记忆能力和检测未知能力，非常主要。,33,33/34,参考文件,戴英侠，连一峰，王航编著，系统安全与入侵检测，清华大学出版社，北京，年3月,唐正军编著，入侵检测技术导论，机械工业出版社，北京，年4月,34,34/34,