单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,入侵检测,防火墙,是位于两个或多个网络之间,执行访问控制策略的一个或一组系统,是一类防范措施的总称它可以有效地保护本地系统或网络,抵制外部网络安全威胁,同时支持受限的通过WAN或Internet对外界进行访问防火墙,防火墙嵌入在局域网和,Internet,连接的网关上,所有从内到外和从外到内的数据都必须通过防火墙(物理上阻塞其它所有访问),只有符合安全政策的数据流才能通过防火墙,防火墙系统自身应对渗透,(,peneration,),免疫,(如一般必须是一个安装了安全操作系统的可信任系统),防火墙特征,防火墙对企业内部网实现了集中的安全管理,可以强化网络安全策略,比分散的主机管理更经济易行,防火墙能防止非授权用户进入内部网络,有效地对抗外部网络入侵,由于所有的访问都经过防火墙,防火墙成为审计和记录网络的访问和使用的最佳地点,可以方便地监视网络的安全性并报警可以作为部署网络地址转换(,Network Address Translation,)的地点,利用,NAT,技术,可以缓解地址空间的短缺,隐藏内部网的结构。
利用防火墙对内部网络的划分,可以实现重点网段的分离,从而限制安全问题的扩散防火墙可以作为,IPSec,的平台,可以基于隧道模式实现,VPN,防火墙的优点,为了提高安全性,限制或关闭了一些有用但存在安全缺陷的网络服务,给用户带来使用的不便防火墙不能对绕过防火墙的攻击提供保护,如拨号上网等不能对内部威胁提供防护支持受性能限制,防火墙对病毒传输保护能力弱防火墙对用户不完全透明,可能带来传输延迟、性能瓶颈及单点失效防火墙不能有效地防范数据内容驱动式攻击作为一种被动的防护手段,防火墙不能自动防范因特网上不断出现的新的威胁和攻击防火墙的局限性,为什么需要IDS,不安全的防火墙设计,入侵检测系统(IDS),入侵(,Intrusion,),:,企图进入或滥用计算机系统的行为入侵检测,(Intrusion Detection):,对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性,入侵检测系统(,Intrusion Detection System),进行入侵检测的软件与硬件的组合便是入侵检测系统,入侵检测的分类(1),按照分析方法(检测方法),异常检测,(Anomaly Detection):首先总结正常操作应该具有的特征(用户轮廓),,当用户活动与正常行为有重大偏离时即被认为是入侵,误用检测,(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库,,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,入侵检测的分类(2),按照数据来源:,基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机,基于网络:系统获取的数据是网络传输的数据包,保护的是网络的运行,混合型,IDS 分类,网络入侵检测系统(NIDS),-在网络中的某个节点上装有探测器来监测整个网络(工作对象基于网络),特点:,1.拥有较低的成本-在几个很少的监测点上进行配置就可以监控一个网络中所发生的入侵行为,2.能监测主机IDS所不能监测到的某些攻击(如DOS、Teardrop)通过分析IP包的头可以捕捉这些须通过分析包头才能发现的攻击,3.与操作系统无关性-基于网络的IDS与所监测的主机所运行的操作系统无关,而主机IDS则必须在特定的操作系统下才能运 行,4.检测未成功能攻击和不良意图-与之相比,主机IDS只能检测到成功的攻击,而很多未成功的攻击对系统的风险评估成到关键的作用,5.实时检测和响应-网络IDS可以在攻击发生的同时将其检测出来,并进行实时的报警和响应,而主机IDS只能在可疑信息被记录下来后才能做出响应,而这时,可以系统已被摧毁或主机IDS已被摧毁,IDS 分类,主机入侵检测系统(HIDS),-在网络中所监测的每台主机上都装有探测器(工作对象基于主 机),特点:,1.确定攻击是否成功-使用已发生的事件信息做为检测条件,比网络IDS更准确的判定攻击是否成功,2.系统行动监视的更好-对于每一个用户(尤其是系统管理员)上 网下网的信息、连入网络后的行为和所受到的入侵行为监测的 更为详细,记录的更准确,相比之下,网络IDS要想做到这一点存在很大的难度,3.能够检测到网络IDS检测不到的特殊攻击-如某服务器上有人直接对该机进行非法操作,网络IDS不能检测出该攻击,而主 机IDS则可以做到,4.适用于加密的环境-在某些特殊的加密网络环境中,由于网络IDS所需要的网络环境不能满足,所以在这种地方应用主机 IDS就可以完成这一地方的监测任务,5.不需要额外的硬件设备-与网络IDS相比,不需要专用的硬件检测系统,降低的硬件成本,IDS 分类,大规模分布式入侵检测系统(DIDS),-,系统中既包括网络探测器也包括主机探测器(工作对象同时基,于网络和主机),特点:,1.适用于大规模复杂的网络环境-分层次、多级的分布的系统结,构适用于大规模的网络环境中,2.全面的检测方式更好的保护网络-包含网络IDS和主机IDS两,种入侵检测系统的检测部分,更全面、更详细的监测网络及系,统动态。
入侵检测的分类(3),按系统各模块的运行方式,集中式:系统的各个模块包括数据的收集分析集中在一台主机上运行,分布式:系统的各个模块分布在不同的计算机和设备上,入侵检测的分类(4),根据时效性,脱机分析:行为发生后,对产生的数据进行分析,联机分析:在数据产生的同时或者发生改变时进行分析,IDS能做什么?,监控网络和系统,发现入侵企图或异常现象,实时报警,主动响应(非常有限),入侵响应系统(IRS),入侵响应(Intrusion Response):,当检测到入侵或攻击时,采取适当的措施阻止入侵和攻击的进行入侵响应系统(Intrusion Response System),实施入侵响应的系统,入侵响应系统分类(1),按响应类型,报警型响应系统,人工响应系统,自动响应系统,入侵响应系统分类(2),按响应方式:,基于主机的响应,基于网络的响应,入侵响应系统分类(3),按响应范围,本地响应系统,协同入侵响应系统,响应方式(1),记录安全事件,产生报警信息,记录附加日志,激活附加入侵检测工具,隔离入侵者,IP,禁止被攻击对象的特定端口和服务,隔离被攻击对象,较温和,被动响应,介于温和,和严厉之间,主动响应,响应方式(2),警告攻击者,跟踪攻击者,断开危险连接,攻击攻击者,较严厉,主动响应,自动响应系统的结构,响应决策,响应执行,响应决策,知识库,响应,工具库,安全事件,响应策略,响应命令,自动入侵响应总体结构,IDS部署方式,IDS 部署方式,NIDS的位置必须要看到所有数据包,共享媒介HUB,交换环境,隐蔽模式,千兆网,分布式结构,探测器,控制中心,IDS 部署方式,共享式部署,HUB,Monitored Servers,Console,IDS 部署方式,交换环境部署方式,Switch,IDS Sensor,Monitored Servers,Console,通过端口镜像实现,(SPAN/Port Monitor),IDS 部署方式,安全隐蔽模式,Switch,Monitored Servers,Console,不设IP,IDS 应用,与其它网络安全设备联动工作,全方位发挥IDS的功能-与其它安全设备的联动工作,1.与防火墙联动,IDS不能做最好的阻断-IDS根据实时检测出的结果,调整防火墙来进行相应的阻断,2.与扫描器联动,IDS可以根据扫描器所做的扫描结果,对一点特殊系统做重点监,测,也可让扫描器根据实时探测的结果做更详细的安全评估,3.与其它一些安全设备联动工作以保障网络系统安全,IDS 应用,实际网络环境中的应用方式,在外部网络中设置NIDS(放在防火墙前面),可以捕捉外部攻击机的真实地址来源并调整防火墙进行相应的阻断,在内部网络中设置NIDS(放在防火墙后面),可以捕捉内部攻击机的真实地址来源,在所保护的主机上安装HIDS,重点分析系统做接受的操作及相应用户的系统行为,以弥补NIDS的遗漏点,同时采用以上三种设置方式相结合能更好的保护网络安全,更全面的监测所保护的网络系统,IDS 应用,NIDS应用的局限性,网络局限,1.交换机局限,-网络监听需要共享环境,主机的网络上多采用交换机,而很多,交换机不能提供镜像口,或所提供的镜像口不能满足需要,2.监听端口流量局限,-交换机的端口是全双工,例如百兆交换机的理论双向流量是,200兆,而监听端口只有100兆,这样在双向流量大于100兆的情,况下会造成丢包,同时如果利用一个端口监听其它多个端口时,,在网络流量大的情况下也可能造成丢包,IDS 应用,网络拓扑局限,1.特殊路由局限,-如果IP源路由选项允许,可以通过精心设计IP路由绕过NIDS,2.MTU值的局限,-因为受保护的主机各式各样,其MTU值设置也不会完全相,同,如果其中一些MTU值设置的与NIDS的MTU值不同的话,可,以设置MTU值处于两者之间,并且设置此包不会片,这样就使,NIDS收到的包与受保护主机收到的包不同,从而绕过NIDS的检,测,3.TTL值的局限,-如果数据包到达NIDS和主机的HOP数不同,可以通过精心设,置TTL值使得该包只能被受保护的主机收到而不能被NIDS收到,从而绕,过NIDS的检测,产品是否可扩展,系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理,该产品是否进行过攻击测试,了解产品提供商提供的产品是否进行过攻击测试,明确测试步骤和内容,主要关注本产品抵抗拒绝服务攻击的能力,产品支持的入侵特征数,不同厂商对检测特征库大小的计算方法都不一样,尽量参考国际标准,特征库升级与维护的周期、方式、费用,入侵检测的特征库需要不断更新才能检测出新出现的攻击方法,最大可处理流量,一般有百兆、千兆、万兆之分,是否通过了国家权威机构的测评,主要的权威测评机构有:国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心,是否有成功案例,需要了解产品的成功应用案例,有必要进行实地考察和测试使用,系统的价格,性能价格比,以要保护系统的价值为主要的因素,入侵检测系统选择标准,IDS 技术的发展方向,1.分布式入侵检测,1)针对分布式攻击的检测方法,2)使用分布式的方法来检测分布式的攻击,关键技术为检,测信息的协同处理与入侵攻击的全局信息提取,2.智能化入侵检测,使用智能化的手法也实现入侵检测,现阶段常用的有神经网络、模糊,算法、遗传算法、免疫原理等技术,3.全面的安全防御方案,采用安全工程风险管理的理论也来处理网络安全问题,将网络安全做为一个整体工程来处理,从管理、网络结构、防火墙、防病毒、入侵检测、漏洞扫描等多方面对网结进行安全分析,随着网络技术的发展,还会有更多新技术应用到入侵检测系统中来!,。
