《信息安全技术 教学课件 ppt 作者 俞承杭 CH11入侵检测与防御技术》由会员分享,可在线阅读,更多相关《信息安全技术 教学课件 ppt 作者 俞承杭 CH11入侵检测与防御技术(29页珍藏版)》请在金锄头文库上搜索。
1、,入侵检测与防御技术,第 11 章,第 2 页 /,本章要点,网络防火墙不能阻挡内部攻击,也无法阻挡基于数据驱动型的攻击,对隐藏在允许通过的数据包中的攻击行为产生作用,只起到部分看守大门的作用。 本章介绍一种实时监控网络工作状态的防护技术,这就是入侵检测技术。,第 3 页 /,一、入侵检测技术概述,1、技术使用背景 攻击因素 任何以干扰、破坏网络系统为目的的非授权行为都称为网络攻击或入侵,它可以是针对安全策略的违规行为、针对授权特征的滥用行为,还可以是针对正常行为特征的异常行为等,六个层次的攻击行为都会产生不同的破坏作用。 防火墙与加密技术的局限性 防火墙是所有保护网络的方法中被普遍接受的方法
2、,能阻挡外部入侵。 防火墙不能防止通向站点的后门,不提供对内部的保护,无法防范数据驱动型的攻击,不能防止用户由Internet上下载被病毒感染的文件或将该类程序附在电子邮件上传输。 通过密码保证网络安全也是常规手段,但是,在现今的计算条件下,没有无法破译的密码。 入侵检测技术 是防火墙的合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。,第 4 页 /,一、入侵检测技术概述,2、入侵检测系统 入侵检测 所谓入侵检测(Intrusion Detection),就是通过从计算机网络或计算机系统中的若干关键点收集信
3、息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象,并对此做出适当反应的过程。 入侵检测技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。 发现网络入侵现象,则马上做出适当的反应,一般为报警并与防火墙联动,阻断攻击。 入侵检测系统 入侵检测系统(Intrusion Detection System,即IDS)是实现入侵检测所有功能的一个由软件或硬件组成的完整系统。 在不影响网络性能的情况下能对网络进行旁路监测,提供对内部攻击、外部攻击和误操作的实时保护。,第 5 页 /,一、入侵检测技术概
4、述,形象地说,它就是网络摄像机,能够捕获并记录网络上的所有数据,同时它也是智能摄像机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄像机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄像机,还包括保安员的摄像机.,第 6 页 /,一、入侵检测技术概述,3、入侵检测系统的功能 1)监视、分析用户及系统活动。 2)系统构造和弱点的审计。 3)识别反映已知进攻的活动模式并向相关人士报警。 4)异常行为模式的统计分析。 5)评估重要系统和数据文件的完整性。 6)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。,第 7 页 /,一、入侵检测技术概述,4、入侵检测系统在系统中
5、部署位置 IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。 在交换式网络中的位置一般选择在: (1)尽可能靠近攻击源; (2)尽可能靠近受保护资源。 这些位置通常是: (1)服务器区域的交换机上; (2)Internet接入路由器之后的第一台交换机上; (3)重点保护网段的局域网交换机上。,第 8 页 /,二、入侵检测系统,1、入侵检测系统的组成 入侵检测系统应该是包含了收集信息、分析信息、给出结论、做出反应四个过程。 互联网工程任务组(The Internet Engineering Task Force
6、,IETF)将入侵检测系统分为四个组件: 事件产生器(Event generators)。从整个计算环境中获得事件,并向系统的其他部分提供此事件。 事件分析器(Event analyzers)。分析得到的数据据并产生分析结果。 响应单元(Response units)。对分析结果作出作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。 事件数据库(Event databases)。保存各种中间和最终数据的数据库。,第 9 页 /,二、入侵检测系统,1、入侵检测系统的组成 一般将四个组件分为两大部分:引擎和控制中心。 引擎用于读取原始数据和产生事件 控制中心用于
7、显示和分析事件以及策略定制等工作 系统构成:,第 10 页 /,二、入侵检测系统,1、入侵检测系统的组成 引擎的工作流程:,第 11 页 /,二、入侵检测系统,1、入侵检测系统的组成 控制中心的工作流程,第 12 页 /,二、入侵检测系统,2、入侵检测系统的类型 大部分IDS都采用“信息收集系统+分析控制系统”结构,即由安装在被监控信息源的探头(或代理)来收集相关的信息,然后按照一定方式传输给分析机,经过对相关信息的分析,按照事先设定的规则、策略等给出反应。 按照“审计来源”将IDS分成基于网络的NIDS和基于主机的HIDS。,第 13 页 /,二、入侵检测系统,2、入侵检测系统的类型 网络型
8、入侵检测系统:NIDS NIDS是网络上的一个监听设备(或一个专用主机),通过监听网络上的所有报文,根据协议进行分析,并报告网络中的非法使用者信息。根据判断方法的不同,基本分为两大类:基于知识的数据模式判断方法和基于行为的行为判断方法。前者大量用于商业IDS系统;后者多在研究系统中采用。 NIDS的行为准则:分为统计行为判断和异常行为判断两种。 统计行为判断。是根据上面模式匹配的事件,在进行统计分析,根据已知非法行为的规则,判断出非法行为。如一次Ping事件很正常,但如果单位事件内出现大量Ping事件,则说明是一个Ping洪流事件,是一个典型的拒绝服务攻击;再如一次口令注册失败很正常,但如果连
9、续多次的口令注册失败,则很可能是一次暴力口令破解行为。异常行为判断。是根据平时统计的各种信息,得出正常网络行为准则,当遇到有违这种准则的事件时,报告非法行为事件。,第 14 页 /,二、入侵检测系统,2、入侵检测系统的类型 HIDS 基于主机的入侵检测产品(HIDS)通常是安装在被重点检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,入侵检测系统就会采取相应措施。其监测的资源主要包括网络、文件、进程、系统日志等。,第 15 页 /,二、入侵检测系统,2、入侵检测系统的类型 NIDS和HIDS的比较,第 16 页 /,二、入侵检测系统,3、入侵检
10、测系统关键技术 入侵检测常见的方法有静态配置分析、异常检测和误用检测,比较新的有基于系统关键程序的安全规格描述方法及通过构架陷阱进行入侵检测等技术。 静态配置分析 静态配置分析是通过检查系统的当前系统配置,诸如系统文件的内容或系统表,来检查系统是否已经或者可能会遭到破坏。是静态而非活动的。,第 17 页 /,二、入侵检测系统,3、入侵检测系统关键技术 异常检测技术 通过对系统审计数据的分析建立起系统主体(单个用户、一组用户、主机,甚至是系统中的某个关键的程序和文件等)的正常行为特征轮廓。检测时,如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。 特征轮廓是借助主体
11、登录的时刻、登录的位置、CPU的使用时间以及文件的存取等属性,来描述它的正常行为特征。 采用统计或基于规则描述的方法建立系统主体的行为特征轮廓。,第 18 页 /,二、入侵检测系统,3、入侵检测系统关键技术 误用检测技术 通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或是间接地违背系统安全规则的行为,来检测系统中的入侵活动,是一种基于已有的知识的检测。 分成基于专家系统、状态转换分析和模式匹配的入侵检测系统等几类。,第 19 页 /,二、入侵检测系统,4、入侵检测系统性能指标 入侵检测系统的性能主要通过以下几个指标来衡量: (1)系统结构 (2)通信安全性 (3
12、)事件定义 (4)自身安全 (5)事件分析能力,第 20 页 /,三、分析与响应,部署好入侵检测系统后,防护工作才刚刚开始。 IDS安装后,系统只拥有探测器及监控器,必须好好利用IDS,有效利用系统的定制权、监控权、反应权及改正权。,第 21 页 /,三、分析与响应,1、IDS的定制和调校 (1)定制。是指更精细地调校IDS,使IDS有能力找出与你网络有关的事件。 (2)监控。是指对IDS资源的理解,包括知道什么是假警报以及如何调查及处理那些看来是真的警示。 (3)反应。是指当有真警报发生时所采取的行动。 (4)改正。是指堵塞漏洞。,第 22 页 /,三、分析与响应,2、正确管理和监控IDS
13、(1)深入事件分析,提高精度。 1)不是每个事件都是入侵事件。 2)不是每个事件都会产生攻击效果,攻击的成功依赖于目标系统环境。 3)有些事件只是一种攻击尝试。 4)监测网络中的违法访问、攻击和企图攻击行为。 5)通过对事件的分析进行修补漏洞,预防黑客对网络上主机的非法访问和攻击。以帮助管理员更好地维护网络的稳定运行。 (2)监管IDS:有效地监控系统,必须做好几点。 1)IDS 监控及回应 2)事件处理 3)犯案分析及数据保留 4)报告过程,第 23 页 /,四、入侵防御系统简介,IDS只能被动地检测攻击,而不能主动地把变化莫测的威胁阻止在网络之外。人们迫切地需要找到一种主动入侵防护解决方案
14、,以确保企业网络在威胁四起的环境下正常运行。,入侵防御系统(Intrusion Prevention System或Intrusion Detection Prevention,即IPS或IDP)就应运而生了。IPS是一种智能化的入侵检测和防御产品,它不但能检测入侵的发生,而且能通过一定的响应方式,实时地中止入侵行为的发生和发展,实时地保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。,IPS在网络中一般有四种连接方式:Span(接在交换机旁边,作为端口映像)、Tap(接在交换机与路由器中间,旁路安装,拷贝一份数据到IPS中)、Inline(接在交换机与路由器中间,在线安装,在线
15、阻断攻击)和Port-cluster(被动抓包,在线安装)。,第 24 页 /,五、典型产品介绍,1、天阗黑客入侵检测与预警系统 天阗黑客入侵检测与预警系统是一种动态的入侵检测与响应系统。它利用全面流量监控发现异常,结合地理信息显示入侵事件的定位状况,应用入侵和漏洞之间具有的对应关联关系,给出入侵威胁和资产脆弱性之间的风险分析结果,从而有效地管理安全事件并进行及时处理和响应。它能够实时监控网络传输,自动检测可疑行为,及时发现来自网络外部或内部的攻击。天阗系统可以与防火墙紧密结合,弥补了防火墙的访问控制不严密的问题。 包含如下五个独立的部分: 1)天阗网络入侵检测系统,产品型号:NS200/NS
16、500/NS2200/NS2800。 2)天阗入侵事件定位系统,产品型号:IMS-EP。 3)天阗网络异常流量监测系统,产品型号:FS1900。 4)天阗入侵风险评估系统,产品型号:IMS-RA。 5)天阗主机入侵检测系统,产品型号:HS120/HS220/HS320/HS420/HS520,第 25 页 /,五、典型产品介绍,1、天阗黑客入侵检测与预警系统 天阗网络入侵检测系统典型部署结构图,第 26 页 /,五、典型产品介绍,2、Honeynet系统 事实上,Honeynet不是一个提供给用户的产品,而是一个研究入侵检测技术、了解攻击手段和方法的工具。 Honeynet是一个网络系统,而并非某台单一主机,这一网络系统是隐藏在防火墙后面的,所有进出的资料都受到监控、捕获及控制。这些被捕获的资料可以对我们研究分析入侵者们使用的工具、方法及动机。可以模拟各种不同的系统及设备,如Windows、Linux、Solaris、Router、Switch等。,第 27 页 /,五、典型产品介绍,2、Honeynet系统,利用Snort软件安装Windows下的蜜网陷阱,Snort 是一个强大的轻
