《信息安全产品配置与应用全套配套课件武春岭ppt03入侵检测体系结构和分类》由会员分享,可在线阅读,更多相关《信息安全产品配置与应用全套配套课件武春岭ppt03入侵检测体系结构和分类(25页珍藏版)》请在金锄头文库上搜索。
1、信息安全产品配置与应用 Configuration and Application of Information Security Products,重庆电子工程职业学院| 路亚,网络安全状况 为什么要使用入侵检测 入侵检测发展历程 入侵检测工作原理 入侵检测体系结构 入侵检测的分类 入侵检测的典型应用 入侵检测的瓶颈和解决办法 入侵检测与防火墙的联动 入侵检测与入侵防御,模块三、IDS产品配置与应用,入侵检测系统的组成,入侵检测系统模型,主要由以下几大部分组成: 数据收集器:主要负责收集数据,探测器收集铺货所以可能的和入侵行为有关的信息,包括网络数据包、系统或应用程序的日志和系统调用记录等。
2、探测器将数据收集后,送到检测器进行处理。 检测器:负责分析和检测入侵行为,并发出警报信号。 知识库:提供必要的数据信息支持,列如用户的历史活动档案、检测规则集等。 控制器:根据报警信号,人工或自动做出反应动作。,入侵检测在安全防御体系中的地位,监测 系统 访问,入侵检测,防火墙,入侵检测在安全防御体系中的地位,实时性,协议层次,应用层 表示层 会话层 传输层 IP层 数据链层 物理层,实时 准实时 事后,实时分析所有的数据包,决定是否允许通过,监控所有的数据包,判断是否非法,进行相应处理(如阻断或者报警),记录所有的操作以备事后查询,为系统提供全方位的保护,安全审计,提交事件信息,提交事件信息
3、,网络安全状况 为什么要使用入侵检测 入侵检测发展历程 入侵检测工作原理 入侵检测体系结构 入侵检测的分类 入侵检测的典型应用 入侵检测的瓶颈和解决办法 入侵检测与防火墙的联动 入侵检测与入侵防御,模块三、IDS产品配置与应用,IDS分类方法,根据体系结构进行分类 根据检测原理进行分类 根据实现方式进行分类,根据体系结构进行分类,集中式IDS 引擎和控制中心在一个系统之上,不能远距离操作,只能在现场进行操作。 优点是结构简单,不会因为通讯而影响网络带宽和泄密。 分布式IDS 引擎和控制中心在两个系统之上,通过网络通讯,可以远距离查看和操作。目前的大多数IDS系统都是分布式的。 优点不是必需在现
4、场操作,可以用一个控制中心管理多个引擎,可以统一进行策略编辑和下发,可以统一查看和集中分析上报的事件,可以通过分开事件显示和查看的功能提高处理速度等等。,根据体系结构进行分类,分布式IDS: 集权式:这种结构的IDS可能有多个分布在不同主机上的审计程序,但只有一个中央入侵检测服务器。 等级式:定义了若干个分等级的监控区,每个IDS负责一个区,每一级IDS只负责所控区的分析,然后将当地的分析结果传送给上一级。 协作式:将中央检测服务器的任务分配给多个基于主机的IDS,这些IDS不分等级,各司其职,负责监控当地主机的某些活动。,根据检测原理进行分类,误用检测(Misuse Detection):这
5、种检测方法是收集非正常操作(入侵)行为的特征,建立相关的特征库;在后续的检测过程中,将收集到的数据与特征库中的特征代码进行比较,得出是否有入侵行为。 异常检测(Anomaly Detection ):这种检测方法是首先总结正常操作应该具有的特征;在得出正常操作的模型之后,对后续的操作进行监视,一旦发现偏离正常统计学意义上的操作模式,即进行报警。,误用检测,前提:所有的入侵行为都有可被检测到的特征 攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵 过程 监控 特征提取 匹配 判定 指标:误报低、漏报高,模式匹配,误用检测特点,如果入侵特征与正常的用户行为匹配,则
6、系统会发生误报; 如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报; 攻击特征的细微变化,会使得误用检测无能为力。,误用检测实例,入侵检测引擎捕获到一个协议数据包,提交给协议分析模块,发现这是一个IP-TCP-Http的协议数据,将其提交给HTTP协议的数据分析模块。,1. Http请求如下 Get /scripts/%c1%9c/winnt/system32/cmd.exe?/c+dir+C: 2. 入侵检测系统存在如下特征条件 alert tcp $EXTERNAL_NET any - $HTTP_SERVERS 80 (msg:“WEB-IIS scripts access“; f
7、low:to_server; flags:A+; urlcontent:“/scripts/“; nocase; classtype:web-application-activity; sid:1287; rev:3;) 3. 匹配成功,表明这是一个攻击数据包。 4. 数据分析模块很快通知引擎管理模块,引擎管理模块根据用户的配置作出相应的策略,比如会立即发出Alert: WEB-IIS scripts access ,表明黑客试图通过IIS的unicode漏洞进行网络入侵。,误用检测实例,异常检测,前提:入侵是异常活动的子集 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合,
8、用于描述正常行为范围;检查实际用户行为和系统的运行情况是否偏离预设的门限? 过程: 监控 量化 比较 判定 修正 指标:漏报率低,误报率高,异常检测特点,异常检测系统的效率取决于用户轮廓的完备性和监控的频率; 因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵; 系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源。,异常检测实例,实例一:暴力攻击Mail服务 通过提交上千次相同命令,来实施对POP3服务器的拒绝服务攻击. 入侵检测系统发现该行为发生次数超过预定义阈值,认为是异常事件。 实例二:暴力破解FTP账号密码 黑客得知FTP Ser
9、ver存在用户名admin 使用字典程序对admin用户暴力猜密码 入侵检测系统会发现在很短的时间内会出现大量如下数据包:user * pass *,此时入侵检测系统就会发出Alert,表明FTP服务器正在遭受暴力破解的攻击。,根据实现方式的分类,基于主机的IDS 基于网络的IDS,基于主机的IDSHIDS,安装于被保护的主机中,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理。 主要分析主机内部活动 系统运行状态信息 系统记帐信息 系统事件日志 应用程序事件日志 系统调用(进程) 端口调用(网络访问) C2级安全审计记录 文件完整性检查 实现
10、方式:通过主机代理(agent)来实现,代理是运行在目标主机上的小的可执行程序,它们与控制台(console)通信。 占用一定的系统资源。,基于网络的IDSNIDS,在比较重要的网段安装探测器来监测和保护整个网段。 主要分析网络活动 SNMP信息 网络通信数据包 实现方式:往往将一台机器(网络传感器)的一个网卡设于混杂模式(promisc mode),监听所有本网段内的数据包并进行事件收集和分析、执行响应策略以及与控制台通信。 操作系统无关性,不会增加网络中主机的负载。,HIDS的优点 不需额外硬件设备 不需要专用的硬件检测系统,在主机数较少的情况下,性价比较高 审计内容更细致 能够检测到NI
11、DS所检测不到的一些行为,如对敏感文件、目录、程序或端口的存取等 视野更集中 一旦入侵者得到了一个主机的用户名和口令,HIDS更能区分正常的活动和非法的活动 可确定攻击是否成功 使用已发生的事件信息做为检测条件,比NIDS更准确的判定攻击是否成功 适用于加密及交换环境 在某些特殊的加密和交换网络环境中,NIDS所需要的工作环境不能满足,而应用主机IDS就可以完成这一区域的监测任务 对网络流量不敏感 一般不会因为网络流量的增加而丢失对网络行为的监视,主机IDS和网络IDS的比较,HIDS的缺点 额外产生的安全问题 HIDS的安全性受其所在主机操作系统的安全性限制。 受系统日志限制 HIDS通过监
12、测系统日志来发现可疑的行为,但有些程序的系统日志并不详细,或者没有日志,有些入侵行为本身不会被具有系统日志的程序纪录下来。 被修改过的系统核心能够骗过文件检查 如果入侵者修改系统核心,则可以骗过基于文件一致性检查的工具。 如果主机数目多,代价过大 不能监控网络上的情况,主机IDS和网络IDS的比较,NIDS的优点 检测范围广,监测主机数量大时相对成本低 在几个很少的监测点上进行配置就可以监控整个网络中所发生的入侵行为 能监测主机IDS所不能监测到的某些攻击(如DOS、Teardrop) 通过分析IP包的头可以捕捉这些须通过分析包头才能发现的攻击 独立性和操作系统无关性 并不依赖主机的操作系统作
13、为检测资源,无需改变主机配置和性能 能够检测未成功的攻击和不良企图 HIDS只能检测到成功的攻击,而很多未成功的攻击对系统的风险评估起到关键的作用 实时检测和响应 NIDS可以在攻击发生的同时将其检测出来,并进行实时的报警和响应,从而将入侵活动对系统的破坏减到最低;而HIDS只能在可疑信息被记录下来后才能做出响应,此时可能系统或HIDS已被摧毁 攻击者转移证据很困难 安装方便,主机IDS和网络IDS的比较,NIDS的缺点 不能检测不同网段的网络包 在交换式以太网环境中会出现监测范围的局限,而安装多台网络入侵检测系统的传感器会增加整个系统的布署成本。 很难检测复杂的需要大量计算的攻击 NIDS为了性能目标通常采用特征检测的方法,可以检测出普通的一些攻击,而很难实现一些复杂的需要大量计算与分析时间的攻击检测。 协同工作能力弱 网络传感器可能会将大量的分析数据传回分析系统,在一些环境中监听特定的数据包会产生大量的分析数据流量,而一些系统在实现时采用一定方法来减少回传的数据量,对入侵判断的决策由传感器实现,而中央控制台成为状态显示与通信中心,不再作为入侵行为分析器,这样的系统中的传感器协同工作能力较弱 。 难以处理加密的会话 目前通过加密通道的攻击尚不多,但随着IPv6的普及,这个问题会越来越突出。,主机IDS和网络IDS的比较,谢谢!,
