《网络安全技术培训》由会员分享,可在线阅读,更多相关《网络安全技术培训(79页珍藏版)》请在金锄头文库上搜索。
1、 入侵检测技术入侵检测技术入侵检测技术入侵检测技术课程课程1为什么需要为什么需要IDS(intrusion Detection System)IDS(intrusion Detection System)IDSIDS的发展历程的发展历程IDSIDS的作用及相关术语的作用及相关术语IDSIDS的实现方式的实现方式 IDSIDS的实现技术的实现技术IDSIDS的部署的部署IDSIDS的性能指标的性能指标IDSIDS事件分析事件分析IDSIDS的发展的发展入侵检测系统入侵检测系统2什么是入侵检测什么是入侵检测入侵入侵对信息系统的非授权访问及(或)未经许可在信息系统对信息系统的非授权访问及(或)未经许
2、可在信息系统中进行操作中进行操作入侵检测入侵检测对企图入侵、正在进行的入侵或已经发生的入侵进行识对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程别的过程3防火墙的局限防火墙的局限%c1%1c%c1%1cDir c:4防火墙的局限防火墙的局限v防火墙不能防止通向站点的后门。v防火墙一般不提供对内部的保护。v防火墙无法防范数据驱动型的攻击。v防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。确保网络的安全确保网络的安全, ,就要对网络内部进行实时的就要对网络内部进行实时的检测检测 , , 这就需要这就需要IDSIDS无时不在的防护!无时不在的
3、防护!5为什么需要为什么需要IDS IDS IDSIDS的作用及相关术语的作用及相关术语IDSIDS发展历程发展历程IDSIDS的实现方式的实现方式 IDSIDS的实现技术的实现技术IDSIDS的部署的部署IDSIDS的性能指标的性能指标IDSIDS事件分析事件分析IDSIDS的发展的发展入侵检测系统入侵检测系统6监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机摄像机=探测引擎探测引擎Card KeyCard Key形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄象机,能够穿透一些巧
4、妙的伪装,抓住实际的内容。它还不仅仅只是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断连接、关闭道路(与防火墙联动)。入侵检测系统的作用入侵检测系统的作用7入侵检测系统作用入侵检测系统作用从不知到有知从被动到主动从事后到事前从预警到保障全面监测、及时响应全面监测、及时响应加强管理、提高威慑加强管理、提高威慑总结教训、优化策略总结教训、优化策略预警机制、保障意识预警机制、保障意识8入侵检测系统作用入侵检测系统作用监控网络和系统监控网络和系统发现入侵企图或异常现象发现入侵企图或异常现象实时报警实时报警主动响应主动响应审计跟踪审计跟踪9false positives(虚警(虚警)
5、检测系统在检测时把系统的正常行为判为入侵行为的错误被称为虚警。 检测系统在检测过程中出现虚警的概率称为系统的虚警率 false negatives(漏警)漏警) 检测系统在检测时把某些入侵行为判为正常行为的错误现象称为漏警。 检测系统在检测过程中出现漏警的概率称为系统的漏警率入侵检测相关术语入侵检测相关术语10入侵检测相关术语入侵检测相关术语Pattern Matching Signature 模式匹配模式匹配Common Intrusion Detection Frame组件组件事件产生器(事件产生器(Event generators)事件分析器(事件分析器(Event analyzers)
6、响应单元(响应单元(Response units)事件数据库(事件数据库(Event databases)Honeypot( (蜜罐蜜罐) ) 蜜罐是可以模拟脆弱性主机蜜罐是可以模拟脆弱性主机 诱惑攻击者在其上浪费时间,延缓对真诱惑攻击者在其上浪费时间,延缓对真正目标的攻击正目标的攻击11为什么需要为什么需要IDS IDS IDSIDS的作用及相关术语的作用及相关术语IDSIDS发展历程发展历程IDSIDS的实现方式的实现方式 IDSIDS的实现技术的实现技术IDSIDS的部署的部署IDSIDS的性能指标的性能指标IDSIDS的发展的发展入侵检测系统入侵检测系统12IDSIDS发展历程发展历程
7、1980年年4月,月,James P. Anderson为美国空军做了一份题为为美国空军做了一份题为Computer Security Threat Monitoring and Surveillance(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念。入侵检测的概念。从从1984年到年到1986年,乔治敦大学的年,乔治敦大学的Dorothy Denning和和SRI/CSL(SRI公司计算机科学实验室)的公司计算机科学实验室)的Peter Neumann研究研究出了一个实时入侵检测系统模型,取名为出了一个实时入侵检
8、测系统模型,取名为IDES(入侵检测专家系(入侵检测专家系统)。统)。1988年,年,SRI/CSL的的Teresa Lunt等人改进了等人改进了Denning的入侵检测模型,并开发出了一个的入侵检测模型,并开发出了一个IDES1990年是入侵检测系统发展史上的一个分水岭。这一年是入侵检测系统发展史上的一个分水岭。这一年,加州大学戴维斯分校的年,加州大学戴维斯分校的L. T. Heberlein等人开发出等人开发出了了NSM(Network Security Monitor)。)。 13为什么需要为什么需要IDS (intrusion Detection System)IDS (intrusi
9、on Detection System)IDSIDS的作用及相关术语的作用及相关术语IDSIDS的实现方式的实现方式IDSIDS的实现技术的实现技术IDSIDS的部署的部署IDSIDS的性能指标的性能指标IDSIDS事件分析事件分析IDSIDS的发展的发展入侵检测系统入侵检测系统14主机主机IDSIDS运行于被检测的主机之上,通过查运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和修改的状态,发现系统资源被非法使用和修改的事件,进行上报和处理。其监测的资源主事件,进行上报和处理。其监测的资源主要包括:网络、文件、
10、进程、系统日志等要包括:网络、文件、进程、系统日志等 主机主机IDSIDS15网络网络IDSIDS网络网络IDSIDS通过抓取网络上的所有报文,分析处理通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行为模式,后,报告异常和重要的数据模式和行为模式,使网络安全管理员清楚地了解网络上发生的事使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏。件,并能够采取行动阻止可能的破坏。16网络网络IDSIDS与主机与主机IDSIDS区别区别成本较低成本较低 检测基于主机的系统漏掉的攻击检测基于主机的系统漏掉的攻击 攻击者不易转移证据攻击者不易转移证据操作系统无关性操作
11、系统无关性 检测未成功的攻击和不良意图检测未成功的攻击和不良意图 安装在被保护的网段中混杂模式监听安装在被保护的网段中混杂模式监听操作系统无关性操作系统无关性不会增加网络中主机的负载不会增加网络中主机的负载网络网络IDS17网络网络IDSIDS与主机与主机IDSIDS区别区别安装于被保护的主机中安装于被保护的主机中主要分析主机内部活动主要分析主机内部活动系统日志系统日志系统调用系统调用文件完整性检查文件完整性检查占用一定的系统资源占用一定的系统资源不要求额外的硬件设备不要求额外的硬件设备 确定攻击是否成功确定攻击是否成功适用被加密的和交换的环境适用被加密的和交换的环境主机主机IDS18IDSI
12、DSIDSIDS的基本结构实现的基本结构实现的基本结构实现的基本结构实现19主机引擎功能原理主机引擎功能原理网络检测防护模块文件检测防护模块注册表检测防护模块 IIS检测防护模块安全日志检测模块应用日志检测模块检测策略事件定义告警日志日志文件日志库数据库告告警警界界面面配配置置界界面面邮件告警手机告警报告主机引擎主机引擎控制中心控制中心控制命令控制命令交互反馈交互反馈20网络引擎原理网络引擎原理抓包口分析处理事件处理事件响应定时上报实时上报状态监控通讯口控制中心引擎操作系统联动口策略串口引擎配置接收策略下发21控制中心功能控制中心功能通讯口父控中心子控中心数据库界面显示日志告警通告自身管理引擎
13、管理日志分析管理员报表原始报文基于通用操作系统流量子控管理策略管理用户管理流量告警事件告警流量值22为什么需要为什么需要IDS (intrusion Detection System)IDS (intrusion Detection System)IDSIDS的作用及相关术语的作用及相关术语IDSIDS的实现方式的实现方式IDSIDS的实现技术的实现技术IDSIDS的部署的部署IDSIDS的性能指标的性能指标IDSIDS事件分析事件分析IDSIDS的发展的发展入侵检测系统入侵检测系统23IDSIDS实现技术实现技术l滥用检测技术(基于知识的检测 )l异常检测技术(基于行为的检测 )24基于知识
14、的检测(基于知识的检测(基于知识的检测(基于知识的检测(1 1 1 1) 基于知识的检测指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性,通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。基于知识的检测也被称为违规检测(Misuse Detection)。这种方法由于依据具体特征库进行判断,所以检测准确度很高,并且因为检测结果有明确的参照,也为系统管理员做出相应措施提供了方便。 25基于知识的入侵检测(基于知识的入侵检测(2 2)主要实现技术:主要实现技术:基于知识的入侵检测系统只是在表示入侵模式(
15、知识)的方式以及在系统的审计迹中检查入侵模式的机制上有所区别。专家系统(早期系统IDES、NIDES、W&S等)。入侵签名分析,由于这种技术在实现上简单有效,现有的商用入侵检测系统产品中多采用这种技术。状态迁移分析(USTAT)模式匹配,Sandeep Kumar设计的模式匹配检测模型中,使用CPN(Colored Petri Network)来描述入侵者的攻击模式。26基于知识的检测基于知识的检测基于知识的检测基于知识的检测-专家系统专家系统专家系统专家系统专家系统专家系统 将有关入侵的知识转化成if-then结构的规则,即将构成入侵所要求的条件转化为if 部分,将发现入侵后采取的相应措施转
16、化成then部分。当其中某个或某部分条件满足时,系统就判断为入侵行为发生。其中的if-then结构构成了描述具体攻击的规则库,状态行为及其语义环境可根据审计事件得到,推理机根据规则和行为完成判断工作。 27基于知识的检测基于知识的检测基于知识的检测基于知识的检测-模型匹配模型匹配模型匹配模型匹配 模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为:攻击者目的,攻击者达到此目的的可能行为步骤,以及对系统的特殊使用等。根据这些知识建立攻击脚本库,每一脚本都由一系列攻击行为组成。 28模式匹配模式匹配 0 0050 dac6 f2d6 00b0 d04d cbaa 08
17、00 4500 .P.M.E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:.P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 64754745 5420 2f70 726f 6475 .GET /produ GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 40 6374 732f 7769 7265 6c65
18、7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1. 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1. 70 4163 6365 7074 3a20 2a2f 2a
19、0d 0a52 6566 Accept: */*.Ref 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*.Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 776
20、9 7265 6c65 7373 roducts/wireless a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. c0 4c61 6e67 7561 6765 3a20
21、656e 2d75 730d Language: en-us. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e
22、743a 204d 6f7a .User-Agent: Moz f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible; MSIE 5.01; 110 6962 6c65 3b20 4d53 4
23、945 2035 2e30 313b ible; MSIE 5.01; 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e6
24、5 .Conne 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: Keep-Aliv 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: Keep-Aliv 160 650d 0a0d 0a e. 160 650d 0a0d 0a e.29基于知识的检测基于知识的检测基于知识的检测基于知识的检测-状态转换分析状态转换分析状态转换分析状态转换分析状态转换分析状态转换分析 状态转换法将入侵过程看
25、作一个行为序列,这个行为序列导致系统从初始状态转入被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态,以及导致状态转换的转换条件,即导致系统进入被入侵状态必须执行的操作(特征事件)。然后用状态转换图来表示每一个状态和特征事件,这些事件被集成于模型中,所以检测时不需要一个个地查找审计记录。但是,状态转换是针对事件序列分析,所以不善于分析过分复杂的事件,而且不能检测与系统状态无关的入侵。 30PetriPetriPetriPetri网分析一分钟内网分析一分钟内网分析一分钟内网分析一分钟内4 4 4 4次登录失败次登录失败次登录失败次登录失败 31协议分析的优点协议分析的优点 提
26、高了性能:协议分析利用已知结构的通信协议,与模式匹配系统中传统的穷举分析方法相比,在处理数据帧和连接时更迅速、有效。 提高了准确性:与非智能化的模式匹配相比,协议分析减少了虚警和误判的可能性,命令解析(语法分析)和协议解码技术的结合,在命令字符串到达操作系统或应用程序之前,模拟它的执行,以确定它是否具有恶意。 基于状态的分析:当协议分析入侵检测系统引擎评估某个包时,它考虑了在这之前相关的数据包内容,以及接下来可能出现的数据包。与此相反,模式匹配入侵检测系统孤立地考察每个数据包。 反规避能力:因为协议分析入侵检测系统具有判别通信行为真实意图的能力,它较少地受到黑客所用的像URL编码、干扰信息、T
27、CP/IP分片等入侵检测系统规避技术的影响。 系统资源开销小:协议分析入侵检测系统的高效性降低了在网络和主机探测中的资源开销,而模式匹配技术却是个可怕的系统资源消费者。32协议分析协议分析 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.M.E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:.P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 6475 .GET /
28、produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765686f 6d65 5f63 6f6c 6c61 6765 ges/home_collagehome_collage 60 322e 6a70 6720322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg2.jpg HTTP/1.1. 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*.
29、Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. d0 0a41 6363 6570 742d 4
30、56e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible; MSIE 5.01; 120 2057 696e 646f 777
31、3 204e 5420 352e 3029 Windows NT 5.0) 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: Keep-Aliv 160 650d 0a0d 0a e.33基于知识的入侵检测(基于知识的入侵检测(3 3)优点可检测出所有对系统来说是已知的入侵行为系统安全管理员能够很容易地知道系统遭受到的是那种入侵攻击并采取相应
32、的行动局限:它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为,而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。系统运行的环境与知识库中关于攻击的知识有关。对于系统内部攻击者的越权行为,由于他们没有利用系统的缺陷,因而很难检测出来。34IDSIDS分析方式分析方式l滥用检测技术(基于知识的检测 )l异常检测技术(基于行为的检测 )35基于行为的检测(基于行为的检测(1 1) 基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出现来检测,所以也被称为异常检测(Anomaly Detection)。 与系统相对无关,通用性强能检测出新的攻
33、击方法误检率较高 Denning早在1986年就提出了一个基于行为的入侵检测系统模型Denning87。36基于行为的入侵检测(基于行为的入侵检测(2 2)实现技术统计,典型系统如:SRI的NIDES。利用统计理论提取用户或系统正常行为的特征轮廓。统计性特征轮廓通常由主体特征变量的频度、均值、方差、被监控行为的属性变量的统计概率分布以及偏差等统计量来描述。神经网络只要提供系统的审计迹数据,神经网络就可以通过自学习从中提取正常的用户或系统活动的特征模式;而不需要获取描述用户行为特征的特征集以及用户行为特征测度的统计分布。37基于行为的检测基于行为的检测-概率统计方法概率统计方法 操作密度审计记录
34、分布范畴尺度数值尺度记录的具体操作包括:CPU 的使用,I/O 的使用,使用地点及时间,邮件使用,编辑器使用,编译器使用,所创建、删除、访问或改变的目录及文件,网络上活动等。 38基于行为的检测基于行为的检测基于行为的检测基于行为的检测-神经网络方法神经网络方法神经网络方法神经网络方法神经网络方法神经网络方法 基本思想是用一系列信息单元(命令)训练神经单元,这样在给定一组输入后,就可能预测出输出。当前命令和刚过去的w个命令组成了网络的输入,其中w是神经网络预测下一个命令时所包含的过去命令集的大小。根据用户的代表性命令序列训练网络后,该网络就形成了相应用户的特征表,于是网络对下一事件的预测错误率
35、在一定程度上反映了用户行为的异常程度。目前还不很成熟。 39神经网络检测思想神经网络检测思想神经网络检测思想神经网络检测思想40基于行为的入侵检测(基于行为的入侵检测(3 3)优点优点不需要操作系统及其安全性缺陷专门知识能有效检测出冒充合法用户的入侵 缺点缺点为用户建立正常行为模式的特征轮廓和对用户活动的异常性报警的门限值的确定都比较困难不是所有入侵者的行为都能够产生明显的异常性有经验的入侵者还可以通过缓慢地改变他的行为,来改变入侵检测系统中的用户正常行为模式,使其入侵行为逐步变为合法。41检测实例检测实例老版本的Sendmail有一个漏洞,telnet到25端口,输入wiz,然后接着输入sh
36、ell,就能获得一个rootshell,还有输入debug命令,也能获得root权限,进而控制系统。 $ telnet 25WIZshell或者DEBUG# 直接获得rootshell!42简单的匹配检查每个packet是否包含:“WIZ”| “DEBUG”43检查端口号缩小匹配范围 Port 25:“WIZ”| “DEBUG” 44深入决策树深入决策树只判断客户端发送部分 Port 25:Client-sends: “WIZ” |Client-sends: “DEBUG” 45更加深入状态检测 + 引向异常的分支 Port 25:stateful client-sends: “WIZ” |
37、stateful client-sends: “DEBUG”after stateful “DATA” client-sends line 1024 bytes means possible buffer overflow 46为什么需要为什么需要IDS (intrusion Detection System)IDS (intrusion Detection System)IDSIDS的作用及相关术语的作用及相关术语IDSIDS的实现方式的实现方式 IDSIDS的实现技术的实现技术IDSIDS的部署的部署IDSIDS的性能指标的性能指标IDSIDS的事件分析的事件分析IDSIDS的发展的发展入
38、侵检测系统入侵检测系统47共享环境共享环境HUBIDS 探测器被监测机器控制台48交换机IDS 探测器被监测机器控制台通过端口镜像实现通过端口镜像实现交换环境交换环境49为什么需要为什么需要IDS (intrusion Detection System)IDS (intrusion Detection System)IDSIDS的作用及相关术语的作用及相关术语IDSIDS的实现方式的实现方式 IDSIDS的实现技术的实现技术IDSIDS的部署的部署IDSIDS的性能指标的性能指标IDSIDS事件分析事件分析IDSIDS的发展的发展入侵检测系统入侵检测系统50IDSIDS性能指标性能指标系统结构
39、系统结构管理模式管理模式通讯安全通讯安全处理带宽处理带宽 检测能力检测能力事件响应事件响应 自身安全自身安全策略灵活性策略灵活性自定义事件自定义事件事件库更新事件库更新 易用性易用性综合分析综合分析 事件数量事件数量 结构:结构:探测引擎探测引擎:控制台:控制台:51IDSIDS性能指标性能指标结构结构主要网络主要网络入侵检测系统入侵检测系统路由器路由器主控中主控中心心服务器服务器各地网络各地网络传输网络传输网络更新更新Policy各地网络各地网络子控中子控中心心子控中子控中心心MessageMessageMessage集中报告集中报告集中报告集中报告PolicyPolicyPolicy管理体
40、系管理体系52IDSIDS性能指标性能指标结构结构(主控)(主控)(主控)(主控)(子控)(子控)(子控)(子控)(子控)(子控)(子控)(子控)重庆重庆重庆重庆大连大连大连大连西安西安西安西安上海上海上海上海北京北京北京北京攻击攻击报警报警报警报警预警预警预警预警预警预警预警预警预警预警预警预警管理体系管理体系53IDSIDS性能指标性能指标结构结构控制中心探测引擎控制中心请求应答请求?传输数据是明文还是密文?通讯安全通讯安全54IDSIDS性能指标性能指标探测引擎探测引擎抓包能力抓包能力分析能力分析能力分析算法分析算法处理带宽处理带宽55IDSIDS性能指标性能指标探测引擎探测引擎检测和发
41、现外部入侵的行为检测和发现外部入侵的行为信息探测行为信息探测行为如:端口扫描如:端口扫描攻击尝试行为攻击尝试行为如:暴力猜解如:暴力猜解权限突破行为权限突破行为如:缓冲区溢出如:缓冲区溢出入侵植入行为入侵植入行为如:木马植入如:木马植入拒绝服务行为拒绝服务行为如:如:FloodFlood攻击攻击检测能力检测能力56IDSIDS性能指标性能指标探测引擎探测引擎InternetInternet110010101110010101100010101100010101000010101000010101(attack)(attack)分片、乱序分片、乱序分片、乱序分片、乱序(tatkca)(tatkc
42、a)000010101000010101100010101100010101110010101110010101110010101110010101100010101100010101000010101000010101重组重组重组重组接收数据接收数据接收数据接收数据(attack)(attack)被被被被攻击攻击攻击攻击攻击攻击攻击特征攻击特征报警报警报警报警检测能力检测能力57IDSIDS性能指标性能指标探测引擎探测引擎检测和发现内部误用的行为检测和发现内部误用的行为越权访问越权访问敏感信息敏感信息业务攻击业务攻击网络游戏网络游戏检测和发现网络的异常状况检测和发现网络的异常状况异常流量变化
43、异常流量变化网络病毒传播网络病毒传播网络业务故障网络业务故障检测能力检测能力58IDSIDS性能指标性能指标探测引擎探测引擎被动被动屏幕告警屏幕告警邮件告警邮件告警手机告警手机告警声音告警声音告警SNMPSNMP告警告警自定义告警自定义告警主动主动-IDS-IDS自身阻断自身阻断- -与防火墙联动与防火墙联动- -与与ScannerScanner联动联动响应方式响应方式59IDSIDS性能指标性能指标探测引擎探测引擎与漏洞扫描产品的联动与漏洞扫描产品的联动IDSIDS主动主动IDSIDS发现攻击,调用发现攻击,调用SCANNERSCANNER进行验证进行验证SCANNERSCANNER将验证结
44、果反馈给将验证结果反馈给IDSIDSSCANNERSCANNER主动主动SCANNERSCANNER扫描,产生结果扫描,产生结果提交提交IDSIDS生成优化策略,提高报警有效性生成优化策略,提高报警有效性响应方式响应方式60IDSIDS性能指标性能指标探测引擎探测引擎Host C Host D Host B Host A 受保护网络受保护网络InternetIDS发起攻击发送通知报发送通知报文文验证报文并验证报文并采取措施采取措施发送发送响应响应报文报文识别识别出攻出攻击行击行为为阻断连接或阻断连接或者报警等者报警等SCANNER系统脆弱报告系统脆弱报告攻击攻击响应方式响应方式61IDSIDS
45、性能指标性能指标探测引擎探测引擎自身安全自身安全自身操作系统的安全自身操作系统的安全自身程序的安全自身程序的安全地址透明度地址透明度抗打击能力抗打击能力62IDSIDS性能指标性能指标控制中心控制中心日志分析日志分析63IDSIDS性能指标性能指标控制中心控制中心关联分析中心关联分析中心关联分析中心关联分析中心入侵检测报告入侵检测报告综合安全报告综合安全报告扫描器日志扫描器日志主机主机IDS日志日志网络网络IDS日志日志数据库综合分析综合分析64IDSIDS性能指标性能指标控制中心控制中心分析结论:分析结论:从事件分布可以看出主要事件有三种;从事件分布可以看出主要事件有三种;CoderedCo
46、dered和和CodeblueCodeblue是内网的病毒事件、是内网的病毒事件、HTTP IIS UnicodeHTTP IIS Unicode由外部发起由外部发起目标主要针对目标主要针对210.75.220.X210.75.220.X和和210.75.220.Y210.75.220.Y;经过扫描验证,经过扫描验证,210.75.220.x210.75.220.x不存在不存在UnicodeUnicode漏洞,只是一种攻击企图。漏洞,只是一种攻击企图。而而210.75.220.Y210.75.220.Y存在存在UnicodeUnicode漏洞,并且病毒事件也是由这台主机造成的;漏洞,并且病毒事
47、件也是由这台主机造成的;应该对应该对210.75.220.Y210.75.220.Y进行加固,修补漏洞,同时清除内网的病毒传播;进行加固,修补漏洞,同时清除内网的病毒传播;综合分析综合分析65IDSIDS性能指标性能指标控制中心控制中心单行为事件演示单行为事件演示 TCP_Doly TCP_Doly后门连接后门连接 TCP TCP ustr.0%57%74%7a%75%70%20%55%73%65&sportustr.0%57%74%7a%75%70%20%55%73%65&sport=6789 =6789 行为关联事件演示行为关联事件演示 FTP_ FTP_口令扫描口令扫描 FTP_ FTP
48、_注册失败注册失败 num(event,sip,dip)10 num(event,sip,dip)10 HTTP_ftp HTTP_ftp文件调用文件调用 HTTP_ HTTP_读命令读命令 num(event=FTP_num(event=FTP_写命令写命令,sip,dip)1 ,sip,dip)1 自定义事件自定义事件66为什么需要为什么需要IDS (intrusion Detection System)IDS (intrusion Detection System)IDSIDS的作用及相关术语的作用及相关术语IDSIDS的实现方式的实现方式 IDSIDS的实现技术的实现技术IDSIDS的
49、部署的部署IDSIDS的性能指标的性能指标IDSIDS事件分析事件分析IDSIDS的发展的发展入侵检测系统入侵检测系统67不是每个事件都是入侵事件不是每个事件都是入侵事件不是每个事件都会产生攻击效果不是每个事件都会产生攻击效果方便管理网络方便管理网络使领导对报表一目了然使领导对报表一目了然为什么进行日志分析为什么进行日志分析68按照事件类型产生临时报表按照事件类型产生临时报表检查报表,排除非敏感事件检查报表,排除非敏感事件报表的条件输出报表的条件输出按事件分析,初步确认攻击是否发生、是否产按事件分析,初步确认攻击是否发生、是否产生危害、源地址来源生危害、源地址来源分析事件的分布,找出重点威胁所
50、在分析事件的分布,找出重点威胁所在分析源地址的分布,找出重点威胁来源并提出分析源地址的分布,找出重点威胁来源并提出防御建议防御建议分析实例分析实例 69源地址统计源地址统计210.82.240.199 210.82.240.199 试图对试图对XXXXXX进行进行UnicodeUnicode攻攻击,建议一周内拒绝该地址的访问击,建议一周内拒绝该地址的访问分析源地址的分布,分析源地址的分布,找出重点威胁来源并提出防御建议找出重点威胁来源并提出防御建议70为什么需要为什么需要IDS (intrusion Detection System)IDS (intrusion Detection Syste
51、m)IDSIDS的作用及相关术语的作用及相关术语IDSIDS的实现方式的实现方式 IDSIDS的实现技术的实现技术IDSIDS的部署的部署IDSIDS的性能指标的性能指标IDSIDS事件分析事件分析IDSIDS的发展的发展入侵检测系统入侵检测系统71Q宽带高速实时的检测技术宽带高速实时的检测技术Q大规模分布式的检测技术大规模分布式的检测技术Q数据挖掘技术数据挖掘技术Q智能化入侵监测智能化入侵监测 Q全面的安全防御全面的安全防御QIMS入侵管理系统入侵管理系统入侵检测的发展入侵检测的发展72高速高速零拷贝技术。(零拷贝技术。(DMADMA)减少)减少TCP/IPTCP/IP堆栈的处堆栈的处理,网
52、卡捕获的报文直接放到用户进程可以理,网卡捕获的报文直接放到用户进程可以访问的空间,减少由数据拷贝和系统调用的访问的空间,减少由数据拷贝和系统调用的上下文切换而带来的开销,性能极大提高上下文切换而带来的开销,性能极大提高高性能硬件高性能硬件并行处理并行处理基于协议的状态分析基于协议的状态分析先进的检测算法先进的检测算法73基于状态的协议分析基于状态的协议分析交互交互ShellShell命令和执行结果命令和执行结果 100 100个个传递用户名、口令传递用户名、口令 40个个协商终端类型等信息协商终端类型等信息 10个个 报文报文 共共150个个获取终端类型等信息获取终端类型等信息 1种种获取用户
53、名、口令获取用户名、口令 2种种获取交互信息获取交互信息 1种种 IDS IDS分析方法分析方法 共共4 4种种通过状态,将通过状态,将TelnetTelnet的会话报文分成了三类,相应的分析也分成三的会话报文分成了三类,相应的分析也分成三类,减少一个报文分析的数量和忽略我们不关心的报文。比较分析类,减少一个报文分析的数量和忽略我们不关心的报文。比较分析量,无状态分析量,无状态分析150*4=600150*4=600次,基于状态分析次,基于状态分析10*1+40*2+100*1=19010*1+40*2+100*1=190次。次。74入侵检测的发展趋势入侵检测的发展趋势IMS入侵管理系统(可视
54、可控可管)个性化、定制化大规模多级分布式部署、集中管理全局预警网络拓扑自学习和GIS与风险评估系统关联的“精确报警”IPS入侵防御系统与防火墙、漏洞扫描、网管等产品的广泛联动(“动态安全防御联盟”)IDS入侵检测系统75入侵检测的发展趋势入侵检测的发展趋势拓扑发现拓扑发现攻 击 类 型双击目标查看详细信息外 部 IP 地 址目标节点用可视化的方式显示当前安全状态用不同的颜色和形状表示关键点。(如外部IP)76Any questions?77课程结束课程结束思考题思考题: :什么是入侵和入侵检测?入侵检测的核心技术是什么?影响入侵检测的漏擎率和虚擎率的指标有哪些?入侵检测产品现有的技术有哪些?入侵检测的规则是如何定义的?入侵检测如何布署?入侵检测系统上报的事件是否全为黑客攻击事件?如何分析入侵检测事件78谢谢大家谢谢大家联络方试联络方试Tel:0532-83838569 Mob:13156856475青岛思睿网络科技有限公司青岛思睿网络科技有限公司 79
