1、第第6章章 入侵检测系统入侵检测系统2本章概要本章概要本章针对入侵检测系统展开详尽的描述:本章针对入侵检测系统展开详尽的描述:p 入侵检测系统的概念;入侵检测系统的概念;p 入侵检测系统的主要技术;入侵检测系统的主要技术;p 入侵检测系统的类型;入侵检测系统的类型;p 入侵检测系统的优缺点;入侵检测系统的优缺点;p 入侵检测系统的部署方式。入侵检测系统的部署方式。p 补充介绍补充介绍IPS入侵防御系统的相关知识和内容入侵防御系统的相关知识和内容3课程目标课程目标通过本章的学习,读者应能够:通过本章的学习,读者应能够:p 了解入侵检测系统工作基本原理;了解入侵检测系统工作基本原理;p 了解入侵检
2、测系统在整个安全防护体系中的作用;了解入侵检测系统在整个安全防护体系中的作用;p 掌握入侵检测系统的部署方式。掌握入侵检测系统的部署方式。46.1 入侵检测系统的概念入侵检测系统的概念 当前,平均每当前,平均每20秒就发生一次入侵计算机网络的事件,秒就发生一次入侵计算机网络的事件,超过超过1/3的互联网防火墙被攻破!面对接二连三的安全问题,的互联网防火墙被攻破!面对接二连三的安全问题,人们不禁要问:到底是安全问题本身太复杂,以至于不可能人们不禁要问:到底是安全问题本身太复杂,以至于不可能被彻底解决,还是仍然可以有更大的改善,只不过我们所采被彻底解决,还是仍然可以有更大的改善,只不过我们所采取安
3、全措施中缺少了某些重要的环节。有关数据表明,后一取安全措施中缺少了某些重要的环节。有关数据表明,后一种解释更说明问题。有权威机构做过入侵行为统计,发现有种解释更说明问题。有权威机构做过入侵行为统计,发现有80来自于网络内部,也就是说,来自于网络内部,也就是说,“堡垒堡垒”是从内部被攻破是从内部被攻破的。另外,在相当一部分黑客攻击中,黑客都能轻易地绕过的。另外,在相当一部分黑客攻击中,黑客都能轻易地绕过防火墙而攻击网站服务器。这就使人们认识到:仅靠防火墙防火墙而攻击网站服务器。这就使人们认识到:仅靠防火墙仍然远远不能将仍然远远不能将“不速之客不速之客”拒之门外,还必须借助于一个拒之门外,还必须借
4、助于一个“补救补救”环节环节入侵检测系统。入侵检测系统。56.1.1 什么是入侵检测系统?什么是入侵检测系统?入侵检测系统入侵检测系统(Intrusiondetetionsystem,简称,简称IDS)是指是指监视监视(或者在可能的情况下阻止或者在可能的情况下阻止)入侵或者试图控制你的系统入侵或者试图控制你的系统或者网络资源的行为的系统。作为分层安全中日益被越普遍或者网络资源的行为的系统。作为分层安全中日益被越普遍采用的成分,入侵检测系统能有效地提升黑客进入网络系统采用的成分,入侵检测系统能有效地提升黑客进入网络系统的门槛。入侵检测系统能够通过向管理员发出入侵或者入侵的门槛。入侵检测系统能够通
5、过向管理员发出入侵或者入侵企图来加强当前的存取控制系统,例如防火墙企图来加强当前的存取控制系统,例如防火墙;识别防火墙通识别防火墙通常不能识别的攻击,如来自企业内部的攻击;在发现入侵企常不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息。图之后提供必要的信息。6入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力了系统管理员的安全管理能力(包括安全审计、监视、进攻识包括安全审计、监视、进攻识别和响应别和响应),提高了信息安全基础结构的完整性。它从计算机,提高了信息安全基础结构的完整性。它从计算
6、机网络系统中的若干个关键点收集信息,并分析这些信息,检网络系统中的若干个关键点收集信息,并分析这些信息,检测网络中是否有违反安全策略的行为和遭到袭击的迹象。它测网络中是否有违反安全策略的行为和遭到袭击的迹象。它的作用是监控网络和计算机系统是否出现被入侵或滥用的征的作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。兆。作为监控和识别攻击的标准解决方案,作为监控和识别攻击的标准解决方案,IDS系统已经成为安防系统已经成为安防体系的重要组成部分。体系的重要组成部分。IDS系统以后台进程的形式运行。发现可疑情况,立即通知有系统以后台进程的形式运行。发现可疑情况,立即通知有关人员。关人员。7防火墙为
7、网络提供了第一道防线,入侵检测被认为是防火墙之防火墙为网络提供了第一道防线,入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下对网络进后的第二道安全闸门,在不影响网络性能的情况下对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。由于入侵检测系统是防火墙后的又一道防线,从而可以护。由于入侵检测系统是防火墙后的又一道防线,从而可以极大地减少网络免受各种攻击的损害。极大地减少网络免受各种攻击的损害。假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这幢大假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这幢大楼里的监视系
8、统。门锁可以防止小偷进入大楼,但不能保证楼里的监视系统。门锁可以防止小偷进入大楼,但不能保证小偷小偷100地被拒之门外,更不能防止大楼内部个别人员的地被拒之门外,更不能防止大楼内部个别人员的不良企图。而一旦小偷爬窗进入大楼,或内部人员有越界行不良企图。而一旦小偷爬窗进入大楼,或内部人员有越界行为,门锁就没有任何作用了,这时,只有实时监视系统才能为,门锁就没有任何作用了,这时,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来的入侵发现情况并发出警告。入侵检测系统不仅仅针对外来的入侵者,同时也针对内部的入侵行为。者,同时也针对内部的入侵行为。8不同于防火墙,不同于防火墙,IDS是
9、一个监听设备。在实际的使用中,一般是一个监听设备。在实际的使用中,一般位于内部网的入口处,安装在防火墙的后面,采位于内部网的入口处,安装在防火墙的后面,采by-pass(旁路)方式来侦听网络上的数据流。(旁路)方式来侦听网络上的数据流。IDS在交换式网络中的位置:在交换式网络中的位置:尽可能靠近攻击源;尽可能靠近攻击源;尽可能靠近受保护资源。尽可能靠近受保护资源。即:即:服务器区域的交换机上;服务器区域的交换机上;Internet接入路由器之后的第一台交换机上;接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。重点保护网段的局域网交换机上。9服务器核心交换机IDSIDS部署于服务器
10、区域的交换机上示部署于服务器区域的交换机上示意图意图106.1.2 入侵检测系统的特点入侵检测系统的特点 对一个成功的入侵检测系统来讲,它不但可使系统管理对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统员时刻了解网络系统(包括程序、文件和硬件设备等包括程序、文件和硬件设备等)的任何的任何变更,还能给网络安全策略的制订提供指南。更为重要的一变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该具有管理方便、配置简单的特性,从而使非专点是,它应该具有管理方便、配置简单的特性,从而使非专业人员非常容易地管理网络安全。而且,入侵检测的规模还业人员非常容易地管理网络安全。而且
11、,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时做出响应,包括切断网络连检测系统在发现入侵后,会及时做出响应,包括切断网络连接、记录事件和报警等。因此,一个好的入侵检测系统应具接、记录事件和报警等。因此,一个好的入侵检测系统应具有如下特点:有如下特点:11 a.不需要人工干预即可不间断地运行。不需要人工干预即可不间断地运行。b.有容错功能。即使系统发生了崩溃,也不会丢失数据,有容错功能。即使系统发生了崩溃,也不会丢失数据,或者在系统重新启动时重建自己的知识库。或者在系统重新启动时重建自己的知识
12、库。c.不需要占用大量的系统资源。不需要占用大量的系统资源。d.能够发现异于正常行为的操作。如果某个能够发现异于正常行为的操作。如果某个IDS系统使系系统使系统由统由“跑跑”变成了变成了“爬爬”,就不要考虑使用。,就不要考虑使用。12 e.能够适应系统行为的长期变化。例如系统中增加了一能够适应系统行为的长期变化。例如系统中增加了一个新的应用软件,系统写照就会发生变化,个新的应用软件,系统写照就会发生变化,IDS必须能适应必须能适应这种变化。这种变化。f.判断准确。相当强的坚固性,防止被篡改而收集到错判断准确。相当强的坚固性,防止被篡改而收集到错误的信息。误的信息。g.灵活定制。解决方案必须能够
13、满足用户要求。灵活定制。解决方案必须能够满足用户要求。h.保持领先。能及时升级。保持领先。能及时升级。136.1.3 入侵行为的误判入侵行为的误判 入侵行为判断的准确性是衡量入侵行为判断的准确性是衡量IDS是否高效的重要技术是否高效的重要技术指标,因为,指标,因为,IDS系统很容易出现判断失误,这些判断失误系统很容易出现判断失误,这些判断失误分为:正误判、负误判和失控误判三类。分为:正误判、负误判和失控误判三类。1.1.正误判正误判(falsepositive(falsepositive)概念:概念:把一个合法操作判断为异常行为。把一个合法操作判断为异常行为。特点:特点:导致用户不理会导致用户
14、不理会IDS的报警,类似于的报警,类似于“狼来了狼来了”的的后果,使得用户逐渐对后果,使得用户逐渐对IDS的报警淡漠起来,这种的报警淡漠起来,这种“淡漠淡漠”非常危险,将使非常危险,将使IDS形同虚设。形同虚设。14 2.负误判负误判(fasenegative)概念:概念:把一个攻击动作判断为非攻击行为,并允许其通把一个攻击动作判断为非攻击行为,并允许其通过检测。过检测。特点:特点:背离了安全防护的宗旨,背离了安全防护的宗旨,IDS系统成为例行公事,系统成为例行公事,后果十分严重。后果十分严重。3.失控误判失控误判(subversion)概念:概念:攻击者修改了攻击者修改了IDS系统的操作,使
15、它总是出现负误系统的操作,使它总是出现负误判的情况。判的情况。特点:特点:不易觉察,长此以往,对这些不易觉察,长此以往,对这些“合法合法”操作操作IDS将将不会报警。不会报警。156.2 入侵检测的主要技术一入侵分析技术入侵检测的主要技术一入侵分析技术入侵分析技术主要有三大类:入侵分析技术主要有三大类:签名、统计及数据完整性。签名、统计及数据完整性。166.2.1 签名分析法签名分析法 签名分析法主要用来检测有无对系统的己知弱点进行的签名分析法主要用来检测有无对系统的己知弱点进行的攻击行为。这类攻击可以通过监视有无针对特定对象的某种攻击行为。这类攻击可以通过监视有无针对特定对象的某种行为而被检
16、测到。行为而被检测到。主要方法:从攻击模式中归纳出其签名,编写到主要方法:从攻击模式中归纳出其签名,编写到IDS系系统的代码里,再由统的代码里,再由IDS系统对检测过程中收集到的信息进行系统对检测过程中收集到的信息进行签名分析。签名分析。签名分析实际上是一个模板匹配操作,匹配的一方是系签名分析实际上是一个模板匹配操作,匹配的一方是系统设置情况和用户操作动作,一方是已知攻击模式的签名数统设置情况和用户操作动作,一方是已知攻击模式的签名数据库。据库。176.2.2 统计分析法统计分析法 统计分析法是以系统正常使用情况下观察到的动作为基统计分析法是以系统正常使用情况下观察到的动作为基础,如果某个操作
17、偏离了正常的轨道,此操作就值得怀疑。础,如果某个操作偏离了正常的轨道,此操作就值得怀疑。主要方法:首先根据被检测系统的正常行为定义出一个主要方法:首先根据被检测系统的正常行为定义出一个规律性的东西,在此称为规律性的东西,在此称为“写照写照”,然后检测有没有明显偏,然后检测有没有明显偏离离“写照写照”的行为。的行为。统计分析法的理论基础是统计学,此方法中,统计分析法的理论基础是统计学,此方法中,“写照写照”的确定至关重要。的确定至关重要。186.2.3 数据完整性分析法数据完整性分析法 数据完整性分析法主要用来查证文件或对象是否被修改数据完整性分析法主要用来查证文件或对象是否被修改过,它的理论基
18、础是密码学。过,它的理论基础是密码学。上述分析技术在上述分析技术在IDS中会以各种形式出现,把这些方法中会以各种形式出现,把这些方法组合起来使用,互相弥补不足是最好的解决方案,从而在组合起来使用,互相弥补不足是最好的解决方案,从而在IDS系统内部实现多层次、多手段的入侵检测功能。如签名系统内部实现多层次、多手段的入侵检测功能。如签名分析方法没有发现的攻击可能正好被统计分析方法捕捉到。分析方法没有发现的攻击可能正好被统计分析方法捕捉到。6.3 入侵检测系统的主要类型入侵检测系统的主要类型206.3.1 应用软件入侵检测应用软件入侵检测(Application Intrusion Detectio
19、n)1.1.概念概念 在应用软件级收集信息。在应用软件级收集信息。2.优点优点 控制性好控制性好具有很高的可控性。具有很高的可控性。3.缺点缺点 a.需要支持的应用软件数量多;需要支持的应用软件数量多;21 b.只能保护一个组件只能保护一个组件针对软件的针对软件的IDS系统只能对特系统只能对特定的软件进行分析,系统中其他的组件不能得到保护。定的软件进行分析,系统中其他的组件不能得到保护。网络入侵检测系统网络入侵检测系统(IDS)可以分为基于网络数据包分析的可以分为基于网络数据包分析的和基于主机的两种基本方式。简单说,前者在网络通信中寻和基于主机的两种基本方式。简单说,前者在网络通信中寻找符合网
20、络入侵模版的数据包,并立即做出相应反应;后者找符合网络入侵模版的数据包,并立即做出相应反应;后者在宿主系统审计日志文件中寻找攻击特征,然后给出统计分在宿主系统审计日志文件中寻找攻击特征,然后给出统计分析报告。它们各有优缺点,互相作为补充。析报告。它们各有优缺点,互相作为补充。226.3.2基于主机的入侵检测基于主机的入侵检测(Host Intrusion Detection)1.1.概念概念 基于主机的入侵检测始于基于主机的入侵检测始于20世纪世纪80年代早期,通常采用年代早期,通常采用查看针对可疑行为的审计记录来执行。它对新的记录条目与查看针对可疑行为的审计记录来执行。它对新的记录条目与攻击
21、特征进行比较,并检查不应该被改变的系统文件的校验攻击特征进行比较,并检查不应该被改变的系统文件的校验和来分析系统是否被侵入或者被攻击。如果发现与攻击模式和来分析系统是否被侵入或者被攻击。如果发现与攻击模式匹配,匹配,IDS系统通过向管理员报警和其他呼叫行为来响应。系统通过向管理员报警和其他呼叫行为来响应。它的主要目的是在事件发生后提供足够的分析来阻止进一步它的主要目的是在事件发生后提供足够的分析来阻止进一步的攻击。反应的时间依赖于定期检测的时间间隔。实时性没的攻击。反应的时间依赖于定期检测的时间间隔。实时性没有基于网络的有基于网络的IDS系统好。系统好。23 2.优点优点 基于主机的入侵检测具
22、有以下优势:基于主机的入侵检测具有以下优势:a.监视所有系统行为。基于主机的监视所有系统行为。基于主机的IDS能够监视所有的能够监视所有的用户登录和退出,甚至用户所做的所有操作,审计系统在日用户登录和退出,甚至用户所做的所有操作,审计系统在日志里记录的策略改变,监视关键系统文件和可执行文件的改志里记录的策略改变,监视关键系统文件和可执行文件的改变等。可以提供比基于网络的变等。可以提供比基于网络的IDS更为详细的主机内部活动更为详细的主机内部活动信息。信息。b.有些攻击在网络的数据流中很难发现,或者根本没有有些攻击在网络的数据流中很难发现,或者根本没有通过网络在本地进行。这时基于网络的通过网络在
23、本地进行。这时基于网络的IDS系统将无能为力。系统将无能为力。24 c.适应交换和加密。基于主机的适应交换和加密。基于主机的IDS系统可以较为灵活地系统可以较为灵活地配置在多个关键主机上,不必考虑交换和网络拓扑问题。这配置在多个关键主机上,不必考虑交换和网络拓扑问题。这对关键主机零散地分布在多个网段上的环境特别有利。某些对关键主机零散地分布在多个网段上的环境特别有利。某些类型的加密也是对基于网络的入侵检测的挑战。依靠加密方类型的加密也是对基于网络的入侵检测的挑战。依靠加密方法在协议堆栈中的位置,它可能使基于网络的系统不能判断法在协议堆栈中的位置,它可能使基于网络的系统不能判断确切的攻击。基于主
24、机的确切的攻击。基于主机的IDS没有这种限制。没有这种限制。d.不要求额外的硬件。基于主机的不要求额外的硬件。基于主机的IDS配置在被保护的配置在被保护的网络设备中,不要求在网络上增加额外的硬件。网络设备中,不要求在网络上增加额外的硬件。25 3.缺点缺点 a.看不到网络活动的状况。看不到网络活动的状况。b.运行审计功能要占用额外系统资源。运行审计功能要占用额外系统资源。C.主机监视感应器对不同的平台不能通用。主机监视感应器对不同的平台不能通用。d.管理和实施比较复杂。管理和实施比较复杂。266.3.3 基于网络的入侵检测基于网络的入侵检测(NetworkIntrusionDetection)
25、1.1.概念概念 基于网络的入侵检测系统使用原始的裸网络包作为源。基于网络的入侵检测系统使用原始的裸网络包作为源。利用工作在混杂模式下的网卡实时监视和分析所有的通过共利用工作在混杂模式下的网卡实时监视和分析所有的通过共享式网络的传输。当前,部分产品也可以利用交换式网络中享式网络的传输。当前,部分产品也可以利用交换式网络中的端口映射功能来监视特定端口的网络入侵行为。一旦攻击的端口映射功能来监视特定端口的网络入侵行为。一旦攻击被检测到,响应模块将按照配置对攻击做出反应。这些反应被检测到,响应模块将按照配置对攻击做出反应。这些反应通常包括发送电子邮件、寻呼、记录日志、切断网络连接等。通常包括发送电子
26、邮件、寻呼、记录日志、切断网络连接等。2.优点优点 基于网络的入侵检测系统具有以下几方面的优势:基于网络的入侵检测系统具有以下几方面的优势:27 a.基于网络的基于网络的ID技术不要求在大量的主机上安装和管理技术不要求在大量的主机上安装和管理软件,允许在重要的访问端口检查面向多个网络系统的流量。软件,允许在重要的访问端口检查面向多个网络系统的流量。在一个网段只需要安装一套系统,则可以监视整个网段的通在一个网段只需要安装一套系统,则可以监视整个网段的通信,因而花费较低。信,因而花费较低。b.基于主机的基于主机的IDS不查看包头,因而会遗漏一些关键信不查看包头,因而会遗漏一些关键信息,而基于网络的
27、息,而基于网络的IDS检查所有的包头来识别恶意和可疑行检查所有的包头来识别恶意和可疑行为。例如,许多拒绝服务攻击为。例如,许多拒绝服务攻击(DoS)只能在它们通过网络传输只能在它们通过网络传输时检查包头信息才能识别。时检查包头信息才能识别。28 c.基于网络基于网络IDS的宿主机通常处于比较隐蔽的位置,基的宿主机通常处于比较隐蔽的位置,基本上不对外提供服务,因此也比较坚固。这样对于攻击者来本上不对外提供服务,因此也比较坚固。这样对于攻击者来说,消除攻击证据非常困难。捕获的数据不仅包括攻击方法,说,消除攻击证据非常困难。捕获的数据不仅包括攻击方法,还包括可以辅助证明和作为起诉证据的信息。而基于主
28、机还包括可以辅助证明和作为起诉证据的信息。而基于主机IDS的数据源则可能已经被精通审计日志的黑客篡改。的数据源则可能已经被精通审计日志的黑客篡改。d.基于网络的基于网络的IDS具有更好的实时性。例如,它可以在具有更好的实时性。例如,它可以在目标主机崩溃之前切断目标主机崩溃之前切断TCP连接,从而达到保护的目的。而连接,从而达到保护的目的。而基于主机的系统是在攻击发生之后,用于防止攻击者的进一基于主机的系统是在攻击发生之后,用于防止攻击者的进一步攻击。步攻击。29 e.检测不成功的攻击和恶意企图。基于网络的检测不成功的攻击和恶意企图。基于网络的IDS可以检可以检测到不成功的攻击企图,而基于主机的
29、系统则可能会遗漏一测到不成功的攻击企图,而基于主机的系统则可能会遗漏一些重要信息。些重要信息。f.基于网络的基于网络的IDS不依赖于被保护主机的操作系统。不依赖于被保护主机的操作系统。3.缺点缺点 a.对加密通信无能为力。对加密通信无能为力。b.对高速网络无能为力。对高速网络无能为力。c.不能预测命令的执行后果。不能预测命令的执行后果。306.3.4 集成入侵检测集成入侵检测(Integrated Intrusion Detection)1.1.概念概念 综合了上面介绍的几种技术的入侵检测方法。综合了上面介绍的几种技术的入侵检测方法。2.优点优点 a.具有每一种检测技术的优点,并试图弥补各自的
30、不足。具有每一种检测技术的优点,并试图弥补各自的不足。b.趋势分析趋势分析能够更容易看清长期攻击和跨网络攻击的能够更容易看清长期攻击和跨网络攻击的模式。模式。C.稳定性好。稳定性好。d.节约成本节约成本-购买集成化解决方案相对于分别购买独立组购买集成化解决方案相对于分别购买独立组件的解决方案,可节约开支。件的解决方案,可节约开支。3.缺点缺点 a.在安防问题上不思进取。在安防问题上不思进取。b.把不同供应商的组件集成在一起较困难。把不同供应商的组件集成在一起较困难。316.4 入侵检测系统的优点和不足入侵检测系统的优点和不足326.4.1 入侵测系统的优点入侵测系统的优点 入侵检测系统能够增强
31、网络的安全性,它的优点:入侵检测系统能够增强网络的安全性,它的优点:p 能够使现有的安防体系更完善;能够使现有的安防体系更完善;p 能够更好地掌握系统的情况;能够更好地掌握系统的情况;p 能够追踪攻击者的攻击线路;能够追踪攻击者的攻击线路;p 界面友好,便于建立安防体系;界面友好,便于建立安防体系;p 能够抓住肇事者。能够抓住肇事者。336.4.2 入侵检测系统的不足入侵检测系统的不足入侵检测系统不是万能的,它同样存在许多不足之处:入侵检测系统不是万能的,它同样存在许多不足之处:p 不能够在没有用户参与的情况下对攻击行为展开调查;不能够在没有用户参与的情况下对攻击行为展开调查;p 不能够在没有
32、用户参与的情况下阻止攻击行为的发生;不能够在没有用户参与的情况下阻止攻击行为的发生;p 不能克服网络协议方面的缺陷;不能克服网络协议方面的缺陷;p 不能克服设计原理方面的缺陷;不能克服设计原理方面的缺陷;p 响应不够及时,签名数据库更新得不够快。经常是事后才响应不够及时,签名数据库更新得不够快。经常是事后才检测到,适时性不好。检测到,适时性不好。346.5 带入侵检测功能的网络体系结构带入侵检测功能的网络体系结构 由前述可知,入侵检测系统能做什么,不能做什么;至于它在网络由前述可知,入侵检测系统能做什么,不能做什么;至于它在网络体系结构的位置,很大程度上取决于使用体系结构的位置,很大程度上取决
33、于使用IDS的目的。它既可以放在防火的目的。它既可以放在防火墙前面,部署一个网络墙前面,部署一个网络IDS,监视以整个内部网为目标的攻击,又可以在,监视以整个内部网为目标的攻击,又可以在每个子网上都放置网络感应器,监视网络上的一切活动。每个子网上都放置网络感应器,监视网络上的一切活动。防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。截不符合安全策略的数据包。IDS通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。并发出报
34、警。防火墙和防火墙和IDS是互补的关系,协同工作。是互补的关系,协同工作。35IDS与防火墙联动与防火墙联动理论上的,实践中的缺陷:理论上的,实践中的缺陷:使用、设置上复杂,影响使用、设置上复杂,影响FW的稳定性与性能;的稳定性与性能;阻断来自源地址的流量,但不能阻断连接或单个数据包;阻断来自源地址的流量,但不能阻断连接或单个数据包;黑客盗用合法地址发起攻击,造成防火墙拒绝来自该地址的黑客盗用合法地址发起攻击,造成防火墙拒绝来自该地址的合法访问;合法访问;可靠性差,实际环境中没有实用价值。可靠性差,实际环境中没有实用价值。因为存在诸多不足,目前因为存在诸多不足,目前IDS还是主要起监听记录作用
35、。还是主要起监听记录作用。36IDS部署示意部署示意InternetIDS 1IDS 2IDS 3IDS 4子网子网 A子网子网 B交换机交换机带主机带主机IDS感应感应器的服务器器的服务器服务器服务器含含HIDS的网络体系结构的网络体系结构376.6入侵检测系统的发展入侵检测系统的发展 入侵检测系统的发展方向是攻击防范技术和更好的攻击入侵检测系统的发展方向是攻击防范技术和更好的攻击识别技术,也就是入侵防范技术。当系统遇到进攻时设法把识别技术,也就是入侵防范技术。当系统遇到进攻时设法把它化解掉,让网络和系统还能正常运转。它化解掉,让网络和系统还能正常运转。抗入侵解决方案具有以下几方面的优势:抗
36、入侵解决方案具有以下几方面的优势:l 对入侵做出主动的反映;对入侵做出主动的反映;l 不再完全依赖于签名数据库,易于管理;不再完全依赖于签名数据库,易于管理;l 追求的目标是在攻击对系统造成真正的危害之前将它们化追求的目标是在攻击对系统造成真正的危害之前将它们化解掉;解掉;38 对攻击展开的跟踪调查随时都可以进行;对攻击展开的跟踪调查随时都可以进行;极大地改善了极大地改善了IDS系统的易用性,减轻了主机安防在系统管系统的易用性,减轻了主机安防在系统管理方面的压力。理方面的压力。由于由于IDS的局限性,市场上又出现了的局限性,市场上又出现了IDP(Intrusion Detection Prev
37、ention)产品。当前的产品。当前的IDP产品可以认为是产品可以认为是IDS系统的替代品。与系统的替代品。与IDS相比,相比,IDP最大的特点在于它不但最大的特点在于它不但能检测到入侵行为的发生,而且有能力中止入侵活动的进行;能检测到入侵行为的发生,而且有能力中止入侵活动的进行;并且并且IDP能够从不断更新的模式库中发现各种各样新的入侵能够从不断更新的模式库中发现各种各样新的入侵方法,从而做出更智能的保护性操作,并减少漏报和误报。方法,从而做出更智能的保护性操作,并减少漏报和误报。39IPS 入侵防御系统入侵防御系统IPS(Instrusion Prevention System,入侵防御系
38、统)的设,入侵防御系统)的设计基于一种全新的思想和体系结构,工作于串联(计基于一种全新的思想和体系结构,工作于串联(IN-Line)方式,以硬件方式实现网络数据流的捕获和检测,使用硬件方式,以硬件方式实现网络数据流的捕获和检测,使用硬件加速技术进行深层数据包分析处理。突破了传统加速技术进行深层数据包分析处理。突破了传统IDS只能检只能检测不能防御入侵的局限性。测不能防御入侵的局限性。40IPS的技术特征的技术特征n 完善的安全策略完善的安全策略n 嵌入式运行模式嵌入式运行模式n 丰富的入侵检测手段丰富的入侵检测手段n 强大的响应手段强大的响应手段n 高效的运行机制高效的运行机制n 较强的自身防
39、护能力较强的自身防护能力41IPS的分类的分类基于主机的入侵防御(基于主机的入侵防御(HIPS)基于网络的入侵防御(基于网络的入侵防御(NIPS)应用入侵防御(应用入侵防御(AIP)服务器核心交换机IPS42IPS的优势与作用的优势与作用技术优势:技术优势:实时检测与主动防御实时检测与主动防御l 实时阻断实时阻断l 先进的检测技术先进的检测技术l 特殊规则植入功能特殊规则植入功能l 自学习与自适应能力自学习与自适应能力主要作用:主要作用:为网络提供为网络提供“虚拟补丁虚拟补丁”进行进行“流量净化流量净化”加强加强“内容管理内容管理”43IPS的缺陷的缺陷n 单点故障单点故障n 性能瓶颈性能瓶颈
40、n 误报与漏报误报与漏报n 总体拥有成本高总体拥有成本高44IDS与与IPS比较比较IPS在在IDS的基础上发展而来。的基础上发展而来。区别:区别:设备的位置不同;设备的位置不同;攻击的检测方式不同;攻击的检测方式不同;攻击的处理方式不同;攻击的处理方式不同;IPS不会取代不会取代IDS 技术层面的原因,技术层面的原因,IPS尚难于应对较为复杂的攻击;尚难于应对较为复杂的攻击;IPS的的分析报告功能还太弱;分析报告功能还太弱;IDS正在走向检测与访问控制相融合;正在走向检测与访问控制相融合;技术上的相互渗透和融合并非一定要在产品上取而代之。技术上的相互渗透和融合并非一定要在产品上取而代之。45
41、IDS与与IPS的选择的选择IDS主要并联于网络设备,只是监听网络数据传输,其性能对主要并联于网络设备,只是监听网络数据传输,其性能对于原来的网络通信基本上没有影响,因此,在选择于原来的网络通信基本上没有影响,因此,在选择IDS设备设备时,通常只需重点考虑其所能提供的功能即可。时,通常只需重点考虑其所能提供的功能即可。IDS网络检测器网络检测器 IDS主机检测器主机检测器IPS串联于网络之中,且往往处于网络的总出口处,如果性能串联于网络之中,且往往处于网络的总出口处,如果性能较差,将会成为网络传输的瓶颈。因此,选择较差,将会成为网络传输的瓶颈。因此,选择IPS时,除需时,除需要考察其功能外,还
42、应当重点考虑其处理性能。要考察其功能外,还应当重点考虑其处理性能。IPS的性能参数的性能参数 IPS的功能参数的功能参数466.7 入侵检测产品入侵检测产品 常见的入侵检测产品有:常见的入侵检测产品有:l Cisco System:NetRanger;l NetworkAssociate:CyberCop;l InternetSecuritySystem:RealSecure;l IntrusionDetection:KaneSecurityMonitor;l AxentTechnologies:OmniGuard/IntruderAlert;l 中科网威:天眼;中科网威:天眼;l 启明星辰:
43、启明星辰:SkyBell。47H3C IPS产品介绍产品介绍H3C SecPath IPS(Intrusion Prevention System)集成入侵防御与检测、)集成入侵防御与检测、病毒过滤、带宽管理和病毒过滤、带宽管理和URL过滤等功能,是业界综合防护技术最领先的过滤等功能,是业界综合防护技术最领先的入侵防御入侵防御/检测系统。通过深入到检测系统。通过深入到7层的分析与检测,实时阻断网络流量层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、中隐藏的病毒、蠕虫、木马、间谍软件、DDoS等攻击和恶意行为,并对等攻击和恶意行为,并对分布在网络中的各种分布在网络中的各种P2P、IM等非关键业务进行有效管理,实现对网络等非关键业务进行有效管理,实现对网络应用、网络基础设施和网络性能的全面保护。应用、网络基础设施和网络性能的全面保护。48H3C IPS产品介绍产品介绍49第第6章结束!章结束!