《IDP入侵检测系统课题研究》由会员分享,可在线阅读,更多相关《IDP入侵检测系统课题研究(56页珍藏版)》请在金锄头文库上搜索。
1、入侵检测防御系统,-IDP(IDS&IPS),提 纲,IDS:入侵检测系统 (Intrusion Detection System),入侵检测系统-IDS简介,概念:专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。,入侵检测系统-IDS简介,入侵检测理解图,为什么需要IDS威胁的演变,病毒/木马及恶意代码、垃圾邮件、网络蠕虫是当前用户遇到的最多三类问题,用户遇到的安全问题(1),为什么需要IDS威胁的演变,漏洞宣布到大规模蠕虫出现时间越来越短; 蠕虫攻陷全球的时间越来越快。,
2、攻击范围和时间的变化(2),为什么需要IDS威胁的演变,应用隐患(3),Web 应用/分布式应用已广为普及大多数攻击(蠕虫、病毒、DoS)都是通过 80 端口进行的,为什么需要IDS威胁的演变,威胁传播越来越快,人工响应基本不再可能,需要专业的设备来防御!,威胁变化简介(4),IDS的演变从防火墙到IDS,面对层出不穷的威胁,人们首先想到的是?,防火墙的弱点: 1、可以伪造数据绕过防火墙 2、防火墙只能防外,难于防内 3、不具备实时监控的能力 4、对于病毒的侵袭无法处理,IDS,Intranet,Internet,防火墙,IDS的发展史,IDS的原理组成构件,IDS的原理CIDF模型,gido
3、:是CIDF组件之间的交互数据使用通用入侵检测对象,gido,gido,gido,通过模式匹配,统计分析和完整性分析三种手段进行分析,记入日志 实时报警,IDS的原理工作流程,收集流量的内容及用户连接的状态和行为,IDS监听端口 收集它所关心的报文 特征比较 IDS提取相应的流量统计特征值,与特征库比对 报警 匹配度较高的报文流量将被认为是进攻,IDS将报警,IDS的分类分类概要,入侵检测系统按照不同的角度可以有不同的分类方法,IDS的分类检测的方法分类,异常检测工作原理图,异常检测原理:首先总结正常操作应该具有的特征(历史数据/用户轮廓),设定阀值,当用户活动与正常行为有重大偏离时即被认为是
4、入侵。,修订:在特定的环境下行为需要进行改变,那么就需要进行修订,性能指标:漏报率底、误报率高,IDS的分类检测的方法分类,异常检测系统的效率取决于历史特征库的完备性和监控的频率; 不需要对每种入侵行为进行定义,因此能有效检测未知的入侵; 系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源。,异常检测的优点,IDS的分类检测的方法分类,异常检测的缺点,入侵者可以逐渐改变自己的行为模式来逃避检测合法用户正常行为的突然改变也会造成误警 统计算法的计算量庞大,效率很低 统计点的选取和参考库的建立比较困难,IDS的分类检测的方法分类,误用检测工作原理图,
5、误用检测原理:收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。,性能指标:漏报率高、误报率底,11,IDS的分类检测的方法分类,缺点:如果入侵特征与正常的用户行为能匹配,则系统会产生误报;如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报。优点:采用模式匹配,误用检测能明显降低误报率,但漏报率随之增加。攻击特征的细微变化,会使得误用检测无能为力。,误用检测优缺点,IDS的分类检测的方法分类,两种检测类型对比,IDS的分类数据源方法分类,基于主机的入侵检测,主机型入侵检测系统保护的是主机系统,这种防护用以监测系统上正在运行的进
6、程是否合法,针对主机或服务器系统入侵行为进行检测和响应,IDS的分类数据源方法分类,基于主机的入侵检测,每台主机上安装HIDS代理,检测内容:系统调用、端口调用、审计日志、系统日志、应用日志,X,工作原理:服务器上都安装了IDS,现在客户端向邮件服务器一步步的发入侵数据数据,邮件服务器的IDS进行各种各样的分析,是匹配入侵模式库也好,是与用户行为相偏离也好,这时候就把数据包抛弃。,操作,IDS的分类数据源方法分类,主要优点: 性价比高 更加细腻,能够监视特定的系统活动 误报率较低 适用于交换和加密环境 对网络流量不敏感 确定攻击是否成功,HIDS主要优点,IDS的分类数据源方法分类,主要缺性:
7、 它依赖于主机固有的日志与监视能力,而主机审计信息存在弱点:易受攻击,入侵者可设法逃避审计; HIDS的运行或多或少会影响系主机的性能; HIDS只能对主机的特定用户、应用程序执行动作和日志进行检测,所能检测到的攻击类型受到限制(不能监控网络上的情况); 全面部署HIDS代价较大。,HIDS主要缺点,IDS的分类数据源方法分类,基于网络的入侵检测,随着计算机网络技术的发展,单独依靠主机入侵检测难以适应网络安全需求。在这种情况下,人们提出了基于网络的入侵检测系统。 基于网络的入侵检测系统根据网络流量、网络数据包和协议来分析检测入侵 。 保护的目标是网络的运行。 系统安装在比较重要的网段内,IDS
8、的分类数据源方法分类,基于网络的入侵检测,网络入侵检测系统:使用原始的网络分组数据包作为攻击分析的数据源,通常利用工作在混杂模式下的网段上的通信业务,通过实时捕获网络数据包,进行分析,能够检测该网段上发生的入侵行为。,客户端,IDS的分类数据源方法分类,数据包=包头信息+有效数据部分,工作原理解析,x,包头信息以及有效数据部分,IDS的分类数据源方法分类,主要优点: 隐蔽性好; 实时检测和响应; 攻击者不易转移证据; 不影响业务系统; 可较全面发现入侵; 能够检测未成功的攻击企图。,NIDS主要优点,IDS的分类数据源方法分类,只能检测经过本网段的数据流,在交换式网络环境下会有监控范围的局限;
9、 对于主机内部的安全情况无法了解; 对于加密的数据包就无法审计其内容,对主机上执行的命令就难以检测; 网络传输速度加快,网络的流量大,集中处理原始的数据方式往往造成检测瓶颈,从而导致漏检,检测性能受硬件条件的限制。,NIDS主要缺点,两种检测类型对比,IDS的分类数据源方法分类,IDS的分类系统结构方法分类,集中式:有多个分布于不同主机上的审计程序,但只有一个中央入侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理。(可伸缩性、可配置性差)分布式:将中央检测服务器的任务分配给多个HIDS,它们不分等级,负责监控当地主机的可疑活动。(可伸缩性、安全性高;但维护成本高,监控主
10、机的工作负荷重),按照结构体系分类,IDS的分类响应方式分类,被动响应型:系统只会发出告警通知,将发生的不正常情况报告给管理员,本身并不试图降低所造成的破坏,更不会主动地对攻击者采取反击行动。,被动响应方式,注意:被动响应主要是依靠管理员在其报告的这一信息基础上采取进一步的行动,IDS的分类响应方式分类,主动响应型:当特定的入侵被检测到时,主动IDS会采用以下三种响应:收集辅助信息;改变环境以堵住导致入侵发生的漏洞;对攻击者采取行动。,主动响应方式,注意:目前,主动响应系统还比较少,即使做出主动响应,一般也都是断开可疑攻击的网络连接,或是阻塞可疑的系统调用,若失败,则终止该进程。但由于系统暴露
11、于拒绝服务攻击下,这种防御一般也难以实施。,IDS的评价标准,IDS的性能是指处理审计事件的速度。对一个实时IDS来说,必须要求性能良好,完 整 性,完整性是指IDS能检测出所有的攻击。,故障容错,当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。,抗攻击性,这一点很重要,尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS,再实施对系统的攻击,及 时 性,一个IDS必须尽快地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计数据或IDS本身,准 确 性,准确性是指IDS不会标记环境中的一个合法行为为异常或入侵,
12、性 能,IDS代表产品,Cisco IDSM-2 广泛部署的Cisco Catalyst机箱的一个服务模块,启明星辰天阗IDS 自主设计高效的协议自识别方法VFPR方法,实现全面检测有效呈现,绿盟科技冰之眼NIDS 是对防火墙的有效补充,实时检测网络流量,监控各种网络行为,IDS存在的问题及发展趋势,误报和漏报的矛盾 隐私和安全的矛盾 被动分析与主动发现的矛盾 海量信息与分析代价的矛盾 功能性和可管理性的矛盾 单一的产品与复杂的网络应用的矛盾,入侵检测目前存在的问题,分析技术的改进 内容恢复和网络审计功能的引入 集成网络分析和管理功能 安全性和易用性的提高 改进对大数据量网络的处理方法 防火墙
13、联动功能,入侵检测系统的发展趋势,IDS存在的问题及发展趋势,提 纲,IPS:入侵防御系统 (Intrusion Prevention System),入侵检测系统-IPS简介,概念:IPS是一种智能化的入侵检测和防御产品,它不但能检测入侵的发生,而且能通过一定的响应方式,实时地中止入侵行为的发生和发展,实时地保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一,IPS的产生用户需求,超过70%攻击在应用层产生 服务漏洞攻击、SQL注入等,70%,L7(应用层),L2-L4(网络层),攻击层次越来越高,超过70%的应用层攻击防火墙无法拦截,位于旁路的IDS,虽然能有效检测和告警入侵事
14、件,但无法直接阻断攻击,检测到攻击,攻击,将连接阻断,三种方式、逐渐进步,但都未达到最优,防火墙与IDS联动,没有标准协议,有滞后现象,非最优方案,检测到攻击,攻击,阻断策略 (私有协议),IPS的产生基础理念,深层防御需要深层分析和在线部署,IPS是深层防御的最优方案,Y,旁路部署,深层分析,IDS,在线部署,低层分析,FW,N,N,Y,入侵威胁,无连接攻击,深层攻击,在线部署,深层分析,IPS,IPS的分类部署方式分类,基于主机的IPS系统(HIPS) 在主机/服务器上安装代理软件的形式,防止网络攻击入侵操作系统以及应用程序,保护服务器的安全弱点。 不同的平台需要不同的软件代理程序,基于网
15、络IPS系统(NIPS) 检测流经网络的流量,提供对网络系统的安 全保护,由于它采用在线连接方式,所以一旦辨识出入侵行为,NIPS 就可以阻止该网络会话。 NIPS通常被设计成类似于交换机的网络设备,提供线速的吞吐速率以及多个网络端口,基于应用的入侵防御系统AIP 部署在应用数 据链路中的一种高性能设备,它是把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备 它被设计成一种高性能的设备,配置在应用数据的网络链路上,对具体的某些应用服务进行防护。,IPS的原理工作流程,数据,对数据包进行分类,流状态信息,过滤器1,过滤器2,过滤器N,命中?,命中?,命中?,通过或未通过,更新,丢弃,数据,
16、丢弃,IPS工作原理图,IPS主动防御机制基本特性,嵌入式的运行模式 只有以嵌入模式运行的 IPS 设备才能够实现实时的安全防护,实时阻拦所有可疑的数据包,并对该数据流的剩余部分进行拦截,完善的安全策略 要达到主动防御需要有完备地安全策略,具备深入分析能力,高质量的入侵特征库 能应对不断更新的威胁,可以多层、深度防护,达到高效检测,高效处理能力 必须具有高效处理数据包的能力,对整个网络性能的影响保持在最低水平,强大的响应功能 IPS强大的响应功能是它区别于IDS的最显著的特点,也是其进行主动防御的保障,IPS代表产品,H3C系列 多核架构及分布式搜索引擎,在各种大流量、复杂应用的环境下,仍能具备深度检测和防护能力,启明星辰天清IPS 能识别多种深层攻击行为进行主动阻断,实现深层防御精确阻断的效果,
