单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,整理版,*,入侵检测原理与技术,IDS在网络中的部署,IDS的组成,入侵检测系统实例,IDS 现状与发展方向,蜜罐技术,1,整理版,入侵检测原理与技术IDS在网络中的部署1整理版,IDS在网络中的位置,DMZ,Intranet,2,整理版,IDS在网络中的位置DMZIntranet2整理版,位置1：,位于防火墙外侧的非系统信任域，它将负责检测来自外部的所有入侵企图（这可能产生大量的报告），通过分析这些攻击来帮助我们完善系统并决定要不要在系统内部部署IDS。,位置2：,很多站点都把对外提供服务的服务器单独放在一个隔离的区域，通常称为DMZ非军事化区。在此放置一个检测引擎是非常必要的，因为这里提供的很多服务都是黑客乐于攻击的目标。,位置3：,这里应该是最重要、最应该放置检测引擎的地方。对于那些已经透过系统边缘防护，进入内部网络准备进行恶意攻击的黑客，这里正是利用IDS系统及时发现并作出反应的最佳时机和地点。,IDS在网络中的位置,3,整理版,位置1：位于防火墙外侧的非系统信任域，它将负责检测来,IDS的组成,检测引擎,控制中心,HUB,检测引擎,Monitored Servers,控制中心,4,整理版,IDS的组成检测引擎HUB检测引擎Monitored Ser,典型的攻防模型,5,整理版,典型的攻防模型5整理版,IDS基本结构,入侵检测系统包括三个功能部件,（1）,信息收集,（2）,信息分析,（3）结果处理（响应）,6,整理版,IDS基本结构入侵检测系统包括三个功能部件6整理版,信息搜集,7,整理版,信息搜集7整理版,信息收集,入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为,需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息,尽可能扩大检测范围,从一个源来的信息有可能看不出疑点,8,整理版,信息收集入侵检测的第一步是信息收集，收集内容包括系统、网络、,信息收集,入侵检测很大程度上依赖于收集信息的可靠性和正确性,要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息,9,整理版,信息收集入侵检测很大程度上依赖于收集信息的可靠性和正确性9整,信息收集的来源,系统或网络的日志文件,网络流量,系统目录和文件的异常变化,程序执行中的异常行为,10,整理版,信息收集的来源系统或网络的日志文件10整理版,信息分析,11,整理版,信息分析11整理版,信息分析,模式匹配,统计分析,完整性分析，往往用于事后分析,12,整理版,信息分析 模式匹配12整理版,模式匹配,模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为,一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）,13,整理版,模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用,统计分析,统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）,测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生,14,整理版,统计分析统计分析方法首先给系统对象（如用户、文件、目录和设备,完整性分析,完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,在发现被更改的、被安装木马的应用程序方面特别有效,15,整理版,完整性分析完整性分析主要关注某个文件或对象是否被更改15整理,结果处理,16,整理版,结果处理16整理版,结果处理,主动响应,阻止攻击，切断网络连接；,被动响应,记录事件和报警。,17,整理版,结果处理主动响应17整理版,入侵检测性能关键参数,误报,(,false positive,)：,如果系统错误地将异常活动定义为入侵,漏报,(,false negative,)：,如果系统未能检测出真正的入侵行为,0 检出率(detection rate)100%,100%,误报率,18,整理版,入侵检测性能关键参数误报(false positive)：如,网络入侵检测工具snort,19,整理版,网络入侵检测工具snort19整理版,20,整理版,20整理版,Snort,是一个基于简单模式匹配的IDS,源码开放，跨平台(C语言编写，可移植性好),利用libpcap作为捕获数据包的工具,特点,设计原则：性能、简单、灵活,包含三个子系统：网络包的解析器、检测引擎、日志和报警子系统,内置了一套插件子系统，作为系统扩展的手段,模式特征链规则链,命令行方式运行，也可以用作一个sniffer工具,21,整理版,Snort是一个基于简单模式匹配的IDS21整理版,网络数据包解析,结合网络协议栈的结构来设计,Snort支持链路层和TCP/IP的协议定义,每一层上的数据包都对应一个函数,按照协议层次的顺序依次调用就可以得到各个层上的数据包头,从链路层，到传输层，直到应用层,在解析的过程中，性能非常关键，在每一层传递过程中，只传递指针，不传实际的数据,支持链路层：以太网、令牌网、FDDI,22,整理版,网络数据包解析结合网络协议栈的结构来设计22整理版,23,整理版,23整理版,Snort,工作模式,Sniffer模式（-v）：监听网络数据流,Packet Logger模式（-l）：记录数据包内容,Intrusion Detection模式（-c）：网络入侵检测,24,整理版,Snort工作模式Sniffer模式（-v）：监听网络数据流,Snort,输出选项,-A fast:只记录Alert的时间、IP、端口和攻击消息,-A full:完整的Alert记录,-A none:关闭Alert,-A unsock:将Alert发送到其他进程监听的socket,25,整理版,Snort输出选项-A fast:只记录Alert的时间、I,Snort,基本流程,注：libpcap是linux下的包捕获库，windows下的是winpcap。,26,整理版,Snort基本流程注：libpcap是linux下的包捕获库,Snort:日志和报警子系统,当匹配到特定的规则之后，检测引擎会触发相应的动作,日志记录动作，三种格式：,解码之后的二进制数据包,文本形式的IP结构,Tcpdump格式,如果考虑性能的话，应选择tcpdump格式，或者关闭logging功能,报警动作，包括,Syslog,记录到alert文本文件中,发送WinPopup消息,27,整理版,Snort:日志和报警子系统当匹配到特定的规则之后，检测引,关于snort的规则,Snort的规则比较简单,规则结构：,规则头：,alert tcp!10.1.1.0/24 any-10.1.1.0/24 any,规则选项：,(flags:SF;msg:“SYN-FIN Scan”;),针对已经发现的攻击类型，都可以编写出适当的规则来,规则头包括：规则行为、协议、源/目的IP地址、子网掩码以及源/目的端口。,规则选项包含:报警信息和异常包的信息(特征码)，使用这些特征码来决定是否采取规则规定的行动。,现有大量的规则可供利用,28,整理版,关于snort的规则Snort的规则比较简单28整理版,Snort规则示例,规则示例,29,整理版,Snort规则示例规则示例29整理版,关于snort,开放性,源码开放，最新规则库的开放,作为商业IDS的有机补充,特别是对于最新攻击模式的知识共享,Snort的部署,作为分布式IDS的节点,为高级的IDS提供基本的事件报告,发展,数据库的支持,互操作性，规则库的标准化,二进制插件的支持,预处理器模块：TCP流重组、统计分析，等,30,整理版,关于snort开放性30整理版,IDS,现状,误报漏报率太高:各种检测方法都存在缺陷；,没有主动防御能力:IDS技术是一种预设置式的工作方式，特征分析式工作原理。检测规则的更新总是落后于攻击手段的更新，所以这永远是亡羊补牢，被动防守；,31,整理版,IDS 现状误报漏报率太高:各种,基于主机和基于网络的入侵检测系统采集、分析的数据不全面；,入侵检测由各个检测引擎独立完成，中心管理控制平台并不具备检测入侵的功能，缺乏综合分析；,在响应上，除了日志和告警，检测引擎只能通过发送RST包切断网络连接，或向攻击源发送目标不可达信息来实现安全控制。,IDS,现状,32,整理版,基于主机和基于网络的入侵检测系统采集、分析的数据不全面；,通过在防火墙中驻留的一个,IDS Agent,对象，以接收来自IDS的控制消息，然后再增加防火墙的过滤规则，最终实现联动。,IDS与Firewall联动,33,整理版,通过在防火墙中驻留的一个IDS Agent对象，以接收来自I,发展方向,分布式入侵检测,使用分布式的方法来监测分布式的攻击，其中的关键技术为监测信息的协同处理与入侵攻击的全局信息的提取,智能化入侵检测,使用智能化的方法与手段来进行入侵监测,全面的安全防御方案,网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵监测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。,34,整理版,发展方向分布式入侵检测34整理版,资源,IDS FAQ,http:/ Mailinglist,http:/ FAQ35整理版,蓝盾入侵检测典型应用,36,整理版,蓝盾入侵检测典型应用36整理版,边缘路由器,病毒服务器,防火墙,IDS探测器,Internet,内网,VPN,解密,暂时缓存数据,查询病毒服务器,查询病毒服务器,数据包带有病毒吗,是否攻击包？,YES,NO,先杀毒再转发数据包,直接转发该数据包,YES,蓝盾信息安全整体解决方案,通知防火墙阻断攻击,生成动态规则阻断攻击,37,整理版,边缘路由器病毒服务器防火墙IDS探测器Internet内网V,蜜罐技术(,Honeypot,),蜜罐主机是一种资源，它被伪装成一个实际目标。蜜罐主机希望人们去攻击或入侵它。,目的,分散攻击者的注意力,收集同攻击和攻击者有关的信息。,38,整理版,蜜罐技术(Honeypot)蜜罐主机是一种资源，它被伪装成一,价值,默默地收集尽可能多的同入侵有关的信息，例如攻击模式，使用的程序，攻击意图和黑客社团文化等等。,帮助我们明白黑客社团以及他们的攻击行为，以便更好的防御安全威胁。,39,整理版,价值 默默地收集尽可能多的同入侵有关的信息，例如攻击模式，使,两种类型的蜜罐主机,两种类型的蜜罐主机,产品型蜜罐（production）,研究型蜜罐（research）。,产品型蜜罐用于帮助降低组织的安全风险；,研究型蜜罐意味着收集尽可能多的信息。,40,整理版,两种类型的蜜罐主机两种类型的蜜罐主机40整理版,蜜罐主机的布置,蜜罐主机可以放置在：,防火墙外面（Internet）,DMZ（非军事区）,防火墙后面（Intranet）,每种摆放方式都有各自的优缺点。,41,整理版,蜜罐主机的布置蜜罐主机可以放置在：41整理版,蜜罐主机的布置,42,整理版,蜜罐主机的布置42整理版,欺骗网络（honeynet）,43,整理版,欺骗网络（honeynet）43整理版,关键问题,信息控制,代表了一种规则，你必须能够确定你的信息包能够发送到什么地方。其目的是，当你欺骗网络里的蜜罐主机被入侵后，它不会被用来攻击欺骗网络以外的机器。,信息捕获,则是要抓到入侵者群体的所有流量，从他们的击键到他们发送的信息包。只有这样，我们才能进一步分析他们使用的工具、策略及目的。,44,整理版,关键问题信息控制代表了一种规则，你必须能够确定你的信息包能够,反欺骗网络技术及工具,fragrouter,（,http:/w