《信息安全技术课件之第19讲入侵检测系统的应用与部署》由会员分享,可在线阅读,更多相关《信息安全技术课件之第19讲入侵检测系统的应用与部署(36页珍藏版)》请在金锄头文库上搜索。
1、第第19讲讲 入侵检测系统的应用与部署入侵检测系统的应用与部署企业安全需求分析o在企业信息系统实际管理过程,即使安装了防火墙和防病毒产品,但有时攻击还是发生了,这就需要有入侵检测产品和防火墙一起共同构成网络安全的技术防范体系。o入侵检测系统能检测正在发生的入侵攻击行为。本讲任务o入侵检测系统的用途o入侵检测系统的检测方法o入侵检测系统的分类o入侵检测系统的部署 被保护网络被保护网络知识复习新课的引入? 防火墙技术的弱点防火墙技术的弱点1.1.防火墙不能止病毒的攻击防火墙不能止病毒的攻击2.2.防火墙不能防内部攻击防火墙不能防内部攻击3.3.防火墙不能防止防火墙不能防止IPIP期骗类型的攻击期骗
2、类型的攻击 总之,防火墙只是被动的过滤流经它的数据,只安装防火总之,防火墙只是被动的过滤流经它的数据,只安装防火墙就能保证系统的安全的想法是不切合际的,在这种情况下,墙就能保证系统的安全的想法是不切合际的,在这种情况下,入侵检测技术应用而生入侵检测技术应用而生. 入侵检测系统的定义1 1.1 .1 什么是入侵检测系统什么是入侵检测系统 ? ?vIDS是防火墙的合理补充是防火墙的合理补充,对系统的运行状态对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统的安全性。攻击结果,以保证系统的安全性。vIDS是防火墙之后的第二道安全防线是
3、防火墙之后的第二道安全防线。1.2 入侵检测系统的作用1.2 入侵检测系统的作用v对网络流量进行监控对网络流量进行监控v对系统构造和弱点的审计对系统构造和弱点的审计v监视、分析用户及系统活动监视、分析用户及系统活动,进行审计跟踪管理,进行审计跟踪管理,并识别用户违反安全策略的行为并识别用户违反安全策略的行为v识别攻击并向相关人士报警识别攻击并向相关人士报警v对相应的攻击行为或违反安全策略的行为响应,对相应的攻击行为或违反安全策略的行为响应,采取防范措施采取防范措施.1.3 入侵检测系统的构成控制台控制台探测器探测器1.4 入侵检测系统的工作流程收集数据分析数据响 应u系统和网络日志文件u目录和
4、文件中的不期望的改变u程序执行中的不期望行为u物理形式的入侵信息信息的来源数据分析-特征代码法数据分析-异常检测法响应方式v被动响方式 1. 躲避(忽略) 2.记录 3.通知v主动响应 1.网络的重新配置 2.连接、会话或进程中止 3.期骗v 自动响应与人工响应1.6 入侵检测系统的类型1.6.1. 基于网络的基于网络的IDS(NIDS)1.6.1 基于网络的基于网络的NIDS的数据来源的数据来源1.6.1 基于网络的NIDS的特征特点1)NIDS放置在网段内,监视网络数据包2)发现问题可以切断网络3)目前IDS大多数是NIDS优点1)不需要改变服务器的配置2)不影响业务系统的性能3)部署风险
5、小4)具有专门设备弱点1)检测范围有限2)很难检测复杂攻击3)传感器协同工作能力较弱4)处理加密的会话过程较困难理解交换机和集线器的数据转发方式广播广播端对端对端端1.6.2 基于主机基于主机HIDSHIDS HIDS实际是运行于特定主机上的一套检测系统,实际是运行于特定主机上的一套检测系统, HIDS的类型与的类型与具体的主机类型和操作系统有关,其保护对象就是安装具体的主机类型和操作系统有关,其保护对象就是安装HIDS的这台主的这台主机,机, HIDS的性能与此台主机的配置有关的性能与此台主机的配置有关1.6.2 HIDS的数据来源的数据来源1.6.2 HIDS的特征特点HIDS安装在被重点
6、检测的主机之上,HIDS对主机的网络实时连接以及系统审计,日志进行智能分析和判断优点发现主机出现可疑行为,HIDS采取措施对分析“可能的攻击行为”非常有用,得到的信息详尽误报率低弱点必须安装在要保护的设备上,出现安全风险依赖服务器固有的日志与监视能力部署代价大,易出现盲点不能检测网络行为知识复习IDS的定义IDS的作用IDS的工作流程IDS的检测方法IDS的类型. IDS的安装与部署IDS安装与部署步骤安装与部署步骤1 1. .确定确定IDSIDS实现目标实现目标2.2.选择监视内容选择监视内容, ,确定确定IDSIDS的安装位置(重点)的安装位置(重点)3.3.选择响应方式(重点)选择响应方
7、式(重点)4.4.配置检测规则配置检测规则5.5.优化检测规则,实现系统优化检测规则,实现系统2.1 确定IDS实现的目标 根据机构实际的业务状况和安全需求来确定本根据机构实际的业务状况和安全需求来确定本机构的机构的IDSIDS实现的目标实现的目标: : v网络流量监控网络流量监控v监视、分析用户及系统活动监视、分析用户及系统活动 ,并识别用户违反安全策略的并识别用户违反安全策略的行为行为,进行审计跟踪管理进行审计跟踪管理v攻击检测攻击检测v对相应的攻击行为或违反安全策略的行为响应对相应的攻击行为或违反安全策略的行为响应,采取防范措采取防范措施施.关键流量关键流量 所有可能对网络、主机造成损害
8、的流量 所有从外网进入内网的流量 所有访问核心服务器的流量2.2 选择监视内容选择监视内容,确定确定IDS的部署位置的部署位置1.确定网络的关键保护对象或服务区域2.确定网络中的关键流量原则:IDS应挂接在所有的关键流量都必须经过的链路上案例一案例一 确定保护范围和关键流量确定保护范围和关键流量? 讨论上图的关键保护对象、服务区域和关键流量 结论结论vIDSIDS尽可能放在靠近攻击源的地方vIDSIDS尽可能放在靠近受保护资源的地方2.2 选择监视内容选择监视内容,确定确定IDS的部署位置的部署位置2.2 选择监视内容选择监视内容,确定确定IDS的部署位置的部署位置传出的通信数据无关紧要Int
9、ernet来自因特网的攻击一些攻击穿过了防火墙内网如检测所有的从外网来的攻击,IDS放于防火墙之外3. 根据监视内容确定IDS和防火墙的相对位置如果只关心穿过防火墙的攻击和内部攻击,则将IDS放于防火墙之内2.2 选择监视内容,确定IDS的部署位置4.NIDS(用探测器抓包)与交换机的连接(用探测器抓包)与交换机的连接NIDS探测器交交 换换 机机2.2 选择监视内容,确定选择监视内容,确定IDS的部署位置的部署位置NIDS(用网卡抓包)与交换机的连接(用网卡抓包)与交换机的连接注意注意:要用网要用网卡实现抓包卡实现抓包,网卡必须工作网卡必须工作于混杂模式于混杂模式交交 换换 机机NIDS计论
10、: NIDS的探测器与集线器相连接需镜像端口吗?小测试1. 探测器和交换机连接,其监听口必须连接到交换机的 端口2. 用网卡来充当探测器抓包,网卡必须工作于 模式3. IDS尽可能放在 或 的地方2.3 选择响应方式两种响应方式:A.被动响应方式v躲避(忽略):对攻击行为不采取任何措施,相信机构的防御能抵御这些攻击v记录 :对所有的事件都做出详细的记载,从而判断出可疑事件v通知:通过各种途径将相关入侵事件通知给相关人员(报警、电子邮件、短信)特点:不直接阻止攻击行为,被动响应给合法的通信造成的影响最小,是最常用的响应方式 2.3 选择响应方式B. 主动响应方式v连接、会话或进程终止:把有入侵行
11、为的连接、会话或进程终止v网络连接的重新配置:重新配置机构的防火墙或路由器,优化机构的网络配置v欺骗:欺骗响应是诱使攻击者相信他已经成功地侵入系统并没有被发现,同时,目标系统被保护,以便防止攻击,这通过将攻击者引导到另一个系统或让目标的关键部分转移到安全位置来实现,如密罐技术。特点:主动响应直接阻止攻击行为,可能会给合法的通信造成干扰或完全拒绝服务 2.4 合理配置检测规则 根据机构的实际情况,合理地配置IDS的检测规则,设定好正常行为和异常行为的界限(即临界值),减小漏报和误报的发生。2.5 优化检测规则 任何一个IDS的配置策略规则都必须经过实际的测试和实验,然后优化调整,使之适应机构的实际需要。注意:根据错误的证据对员工或外部人员进行错误的指责会让人对机构IDS的检测能力和有效性产生怀疑小结o入侵检测产品的用途o入侵检测产品的分类o入侵检测产品检测方法o入侵检测系统的部署o入侵检测的响应方式Any question?
