防火墻-入侵檢測系統(tǒng)組成和實(shí)例

入侵檢測原理與技術(shù)IDS在網(wǎng)絡(luò)中的部署IDS的組成入侵檢測系統(tǒng)實(shí)例IDS現(xiàn)狀與發(fā)展方向蜜罐技術(shù)1編輯pptIDS在網(wǎng)絡(luò)中的位置DMZIntranet2編輯ppt

位置1：

位于防火墻外側(cè)的非系統(tǒng)信任域，它將負(fù)責(zé)檢測來自外部的所有入侵企圖（這可能產(chǎn)生大量的報告），通過分析這些攻擊來幫助我們完善系統(tǒng)并決定要不要在系統(tǒng)內(nèi)部部署IDS。

位置2：

很多站點(diǎn)都把對外提供服務(wù)的服務(wù)器單獨(dú)放在一個隔離的區(qū)域，通常稱為DMZ非軍事化區(qū)。在此放置一個檢測引擎是非常必要的，因?yàn)檫@里提供的很多服務(wù)都是黑客樂于攻擊的目標(biāo)。

位置3：

這里應(yīng)該是最重要、最應(yīng)該放置檢測引擎的地方。對于那些已經(jīng)透過系統(tǒng)邊緣防護(hù)，進(jìn)入內(nèi)部網(wǎng)絡(luò)準(zhǔn)備進(jìn)行惡意攻擊的黑客，這里正是利用IDS系統(tǒng)及時發(fā)現(xiàn)并作出反應(yīng)的最佳時機(jī)和地點(diǎn)。IDS在網(wǎng)絡(luò)中的位置3編輯pptIDS的組成檢測引擎控制中心

HUB檢測引擎MonitoredServers控制中心4編輯ppt典型的攻防模型5編輯pptIDS基本結(jié)構(gòu)入侵檢測系統(tǒng)包括三個功能部件（1）信息收集（2）信息分析（3）結(jié)果處理（響應(yīng)）6編輯ppt信息搜集7編輯ppt信息收集入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為需要在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息盡可能擴(kuò)大檢測范圍從一個源來的信息有可能看不出疑點(diǎn)8編輯ppt信息收集入侵檢測很大程度上依賴于收集信息的可靠性和正確性要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅固性，防止被篡改而收集到錯誤的信息9編輯ppt信息收集的來源系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為10編輯ppt信息分析11編輯ppt信息分析模式匹配統(tǒng)計分析完整性分析，往往用于事后分析12編輯ppt模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為一般來講，一種攻擊模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化）13編輯ppt統(tǒng)計分析統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）測量屬性的平均值和偏差將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時，就認(rèn)為有入侵發(fā)生14編輯ppt完整性分析完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓倪@經(jīng)常包括文件和目錄的內(nèi)容及屬性在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效15編輯ppt結(jié)果處理16編輯ppt結(jié)果處理主動響應(yīng)阻止攻擊，切斷網(wǎng)絡(luò)連接；被動響應(yīng)記錄事件和報警。17編輯ppt入侵檢測性能關(guān)鍵參數(shù)誤報(falsepositive)：如果系統(tǒng)錯誤地將異常活動定義為入侵漏報(falsenegative)：如果系統(tǒng)未能檢測出真正的入侵行為0檢出率(detectionrate)100%100%誤報率18編輯ppt網(wǎng)絡(luò)入侵檢測工具snort19編輯ppt20編輯pptSnort是一個基于簡單模式匹配的IDS源碼開放，跨平臺(C語言編寫，可移植性好)利用libpcap作為捕獲數(shù)據(jù)包的工具特點(diǎn)設(shè)計原則：性能、簡單、靈活包含三個子系統(tǒng)：網(wǎng)絡(luò)包的解析器、檢測引擎、日志和報警子系統(tǒng)內(nèi)置了一套插件子系統(tǒng)，作為系統(tǒng)擴(kuò)展的手段模式特征鏈——規(guī)則鏈命令行方式運(yùn)行，也可以用作一個sniffer工具21編輯ppt網(wǎng)絡(luò)數(shù)據(jù)包解析結(jié)合網(wǎng)絡(luò)協(xié)議棧的結(jié)構(gòu)來設(shè)計Snort支持鏈路層和TCP/IP的協(xié)議定義每一層上的數(shù)據(jù)包都對應(yīng)一個函數(shù)按照協(xié)議層次的順序依次調(diào)用就可以得到各個層上的數(shù)據(jù)包頭從鏈路層，到傳輸層，直到應(yīng)用層在解析的過程中，性能非常關(guān)鍵，在每一層傳遞過程中，只傳遞指針，不傳實(shí)際的數(shù)據(jù)支持鏈路層：以太網(wǎng)、令牌網(wǎng)、FDDI22編輯ppt23編輯pptSnort工作模式Sniffer模式（-v）：監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流PacketLogger模式（-l）：記錄數(shù)據(jù)包內(nèi)容IntrusionDetection模式（-c）：網(wǎng)絡(luò)入侵檢測24編輯pptSnort輸出選項-Afast:只記錄Alert的時間、IP、端口和攻擊消息-Afull:完整的Alert記錄-Anone:關(guān)閉Alert-Aunsock:將Alert發(fā)送到其他進(jìn)程監(jiān)聽的socket25編輯pptSnort基本流程注：libpcap是linux下的包捕獲庫，windows下的是winpcap。26編輯pptSnort:日志和報警子系統(tǒng)當(dāng)匹配到特定的規(guī)則之后，檢測引擎會觸發(fā)相應(yīng)的動作日志記錄動作，三種格式：解碼之后的二進(jìn)制數(shù)據(jù)包文本形式的IP結(jié)構(gòu)Tcpdump格式如果考慮性能的話，應(yīng)選擇tcpdump格式，或者關(guān)閉logging功能報警動作，包括Syslog記錄到alert文本文件中發(fā)送WinPopup消息27編輯ppt關(guān)于snort的規(guī)則Snort的規(guī)則比較簡單規(guī)則結(jié)構(gòu)：規(guī)則頭：alerttcp!/24any->/24any規(guī)則選項：(flags:SF;msg:“SYN-FINScan”;)針對已經(jīng)發(fā)現(xiàn)的攻擊類型，都可以編寫出適當(dāng)?shù)囊?guī)則來規(guī)則頭包括：規(guī)則行為、協(xié)議、源/目的IP地址、子網(wǎng)掩碼以及源/目的端口。規(guī)則選項包含:報警信息和異常包的信息(特征碼)，使用這些特征碼來決定是否采取規(guī)則規(guī)定的行動。現(xiàn)有大量的規(guī)則可供利用28編輯pptSnort規(guī)則示例規(guī)則示例29編輯ppt關(guān)于snort開放性源碼開放，最新規(guī)則庫的開放作為商業(yè)IDS的有機(jī)補(bǔ)充特別是對于最新攻擊模式的知識共享Snort的部署作為分布式IDS的節(jié)點(diǎn)為高級的IDS提供基本的事件報告發(fā)展數(shù)據(jù)庫的支持互操作性，規(guī)則庫的標(biāo)準(zhǔn)化二進(jìn)制插件的支持預(yù)處理器模塊：TCP流重組、統(tǒng)計分析，等……30編輯pptIDS現(xiàn)狀誤報漏報率太高:各種檢測方法都存在缺陷；沒有主動防御能力:IDS技術(shù)是一種預(yù)設(shè)置式的工作方式，特征分析式工作原理。檢測規(guī)則的更新總是落后于攻擊手段的更新，所以這永遠(yuǎn)是亡羊補(bǔ)牢，被動防守；31編輯ppt基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)采集、分析的數(shù)據(jù)不全面；入侵檢測由各個檢測引擎獨(dú)立完成，中心管理控制平臺并不具備檢測入侵的功能，缺乏綜合分析；在響應(yīng)上，除了日志和告警，檢測引擎只能通過發(fā)送RST包切斷網(wǎng)絡(luò)連接，或向攻擊源發(fā)送目標(biāo)不可達(dá)信息來實(shí)現(xiàn)安全控制。IDS現(xiàn)狀32編輯ppt通過在防火墻中駐留的一個IDSAgent對象，以接收來自IDS的控制消息，然后再增加防火墻的過濾規(guī)則，最終實(shí)現(xiàn)聯(lián)動。IDS與Firewall聯(lián)動33編輯ppt發(fā)展方向分布式入侵檢測

使用分布式的方法來監(jiān)測分布式的攻擊，其中的關(guān)鍵技術(shù)為監(jiān)測信息的協(xié)同處理與入侵攻擊的全局信息的提取智能化入侵檢測

使用智能化的方法與手段來進(jìn)行入侵監(jiān)測

全面的安全防御方案網(wǎng)絡(luò)安全作為一個整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵監(jiān)測多方位全面對所關(guān)注的網(wǎng)絡(luò)作全面的評估，然后提出可行的全面解決方案。34編輯ppt資源IDSFAQ/pubs/Focus-IDSMailinglist/archive/96YawlOldHandSinbad/doc.html?board=IDS35編輯ppt藍(lán)盾入侵檢測典型應(yīng)用36編輯ppt邊緣路由器病毒服務(wù)器防火墻IDS探測器Internet內(nèi)網(wǎng)VPN解密暫時緩存數(shù)據(jù)查詢病毒服務(wù)器查詢病毒服務(wù)器數(shù)據(jù)包帶有病毒嗎是否攻擊包？YESNO先殺毒再轉(zhuǎn)發(fā)數(shù)據(jù)包直接轉(zhuǎn)發(fā)該數(shù)據(jù)包YES藍(lán)盾信息安全整體解決方案通知防火墻阻斷攻擊生成動態(tài)規(guī)則阻斷攻擊37編輯ppt蜜罐技術(shù)(Honeypot)蜜罐主機(jī)是一種資源，它被偽裝成一個實(shí)際目標(biāo)。蜜罐主機(jī)希望人們?nèi)ス艋蛉肭炙?。目?/p>

分散攻擊者的注意力收集同攻擊和攻擊者有關(guān)的信息。38編輯ppt價值默默地收集盡可能多的同入侵有關(guān)的信息，例如攻擊模式，使用的程序，攻擊意圖和黑客社團(tuán)文化等等。幫助我們明白黑客社團(tuán)以及他們的攻擊行為，以便更好的防御安全威脅。39編輯ppt兩種類型的蜜罐主機(jī)兩種類型的蜜罐主機(jī)產(chǎn)品型蜜罐（production）研究型蜜罐（research）。產(chǎn)品型蜜罐用于幫助降低組織的安全風(fēng)險；研究型蜜罐意味著收集盡可能多的信息。

40編輯ppt蜜罐主機(jī)的布置蜜罐主機(jī)可以放置在：防火墻外面（Internet）DMZ（非軍事區(qū)）防火墻后面（Intranet）每種擺放方式都有各自的優(yōu)缺點(diǎn)。41編輯ppt蜜罐主機(jī)的布置42編輯ppt欺騙網(wǎng)絡(luò)（honeynet）43編輯ppt關(guān)鍵問題信息控制代表了一種規(guī)則，你必須能夠確定你的信息包能夠發(fā)送到什么地方。其目的是，當(dāng)你欺騙網(wǎng)絡(luò)里的蜜罐主機(jī)被入侵后，它不會被用來攻擊欺騙網(wǎng)絡(luò)以外的機(jī)器。信息捕獲則是要抓到入侵者群體的所有流量，從他們的擊鍵到他們發(fā)送的信息包。只有這樣，我們才能進(jìn)一步分析他們使用的工具、策略及目的。44編輯ppt反欺騙網(wǎng)絡(luò)技術(shù)及工具fragrouter（/~dugsong/fragroute/