1、广东天海威数码技术有限公司广东天海威数码技术有限公司入侵检测系统入侵检测系统概述概述大纲大纲v前言前言v入侵检测系统简介入侵检测系统简介v入侵检测系统分类入侵检测系统分类v入侵检测系统技术原理入侵检测系统技术原理v入侵检测系统的布署入侵检测系统的布署 v入侵检测主要功能指标入侵检测主要功能指标 一、入侵检测系统一、入侵检测系统简介简介 入侵检测系统定义入侵检测系统定义p入侵检测系统入侵检测系统(Intrusion Detection System,简称IDS):顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全
2、策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统。p特征特征 收集信息 分析信息 给出结论 做出反应一、入侵检测系统一、入侵检测系统简介简介 为什么需要入侵检测系统为什么需要入侵检测系统p 是对防火墙的补充p 在入侵成功之前进行识别p 能减少入侵攻击所造成的损失p 收集入侵攻击的相关信息,留作证据p 更新防范系统的知识库 一、入侵检测系统一、入侵检测系统简介简介 入侵检测系统的发展入侵检测系统的发展p以以DenningDenning模型为代表的模型为代表的IDSIDS早期技术早期技术 p中期:统计学理论和专家系统相结合中期:统计学理论和专家系统相结合 p基于网络的基于网
3、络的NIDSNIDS是目前的主流技术是目前的主流技术 p入侵检测系统发展趋势入侵检测系统发展趋势detaile 二、入侵检测系统的分类二、入侵检测系统的分类 入侵检测系统入侵检测系统(Intrusion Detection System)(Intrusion Detection System)通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。从技术上看,这些产品基本上分为以下几从技术上看,这些产品基本上分为以下几类:基于网络的入侵检测系统(NIDS)基于主机的入侵检测系统(HIDS)分布式入侵检测系统(DIDS)此外,文件的完整
4、性检查工具也可看作是一类入侵检测产品。二、二、入侵检测系统的分类入侵检测系统的分类1.1.基于网络的入侵检测系统基于网络的入侵检测系统 (NIDSNIDS)通过端口镜像实现通过端口镜像实现(SPAN/Port Monitor)二、二、入侵检测系统的分类入侵检测系统的分类1.1.基于网络的入侵检测系统基于网络的入侵检测系统 (NIDSNIDS)网络入侵检测系统的优点:1)检测基于网络的攻击。2)安装在网络关键点,不需要改变服务器等主机的配置。3)以并联的方式接入网络,不影响网络性能。4)简单易用。网络入侵检测系统的弱点:1)网络结构导致网络数据来源不充分,受交换环境影响。2)漏报和误报的矛盾。3
5、)海量信息与分析代价的矛盾。4)检测加密网络数据困难。二、二、入侵检测系统的分类入侵检测系统的分类2.2.基于主机的入侵检测基于主机的入侵检测系统系统二、二、入侵检测系统的分类入侵检测系统的分类2.2.基于主机的入侵检测基于主机的入侵检测主机入侵检测系统的优点:1)检测入侵误报率低2)获取入侵信息详细3)不受交换环境影响4)监测系统内部入侵和违规操作5)可以对本机进行防护和阻断主机入侵检测系统的弱点:1)主机入侵检测系统安装在我们需要保护的设备上会带来另外的安全隐患。2)会影响保护设备的性能。3)安装管理麻烦。4)操作系统局限 5)系统日志限制6)被修改过的系统核心能够骗过文件检查 二、二、入
6、侵检测系统的分类入侵检测系统的分类3.3.分布式入侵检测系统(分布式入侵检测系统(DIDSDIDS)三、入侵检测系统技术原理检测技术检测技术p基于特征(Signature-based)n维护一个入侵特征知识库n准确性高p基于异常(Anomaly-based)n统计模型n专家系统n误报较多三、入侵检测系统技术原理1、网络入侵检测、网络入侵检测p安装在被保护的网段中p混杂模式监听p分析网段中所有的数据包p实时检测和响应p操作系统无关性p不会增加网络中主机的负载三、入侵检测系统技术原理1、网络入侵检测系统技术原理黑客入侵黑客入侵的过程的过程和阶段和阶段阶段阶段 3:攻击攻击&资源控制资源控制 Pas
7、swordattacks Privilegegrabbing Trojan Horse Vandalism Audit TrailTampering Admin Changes Theft阶段阶段 2:边界渗透边界渗透 App.Attack Spoofing Protocol exploits Denial of Service阶段阶段1:踩点踩点&扫描扫描 Scanning&probingAutomated网络入侵检测系网络入侵检测系统统网络入侵检测系网络入侵检测系统统三、入侵检测系统技术原理2、网络入侵检测系统技术原理三、入侵检测系统技术原理3、网络入侵检测系统技术原理工作工作原理原理网络
8、服务器网络服务器1数据包=包头信息+有效数据部分客户端网络服务器网络服务器2X检测内容:包头信息+有效数据部分三、入侵检测系统技术原理4、网络入侵检测系统技术原理设计设计原理原理三、入侵检测系统技术原理1、主机入侵检测、主机入侵检测p安装于被保护的主机中p主要分析主机内部活动n系统日志n系统调用n文件完整性检查p占用一定的系统资源三、入侵检测系统技术原理3、主机入侵检测系统技术原理、主机入侵检测系统技术原理网络服务器网络服务器1客户端网络服务器网络服务器2X检测内容:系统调用、设备监控、端口调用、系统日志、安全审记、应用日志、文件防护监控、注册表监控等。其它功能:个人版防火墙。特点:集中管理和
9、报警。X工作工作原理原理三、入侵检测系统技术原理4、主机入侵检测系统技术原理设计设计原理原理三、入侵检测系统技术原理1、分布式入侵检测系统技术原理、分布式入侵检测系统技术原理设计设计原理原理DIDS管理中心HIDS主机代理HIDS主机事件发生器HIDS主机监视器NIDS检测引擎NIDS网络事件发生器NIDS网络监视器三、入侵检测系统技术原理项目HIDSNIDS误警无一定量漏报与技术水平相关与数据处理能力有关(不可避免)系统部署与维护与网络拓扑无关与网络拓扑相关检测规则少量大量检测特征事件与信号分析特征代码分析安全策略基本安全策略(点策略)运行安全策略(线策略)安全局限到达主机的所有事件传输中的
10、非加密非保密信息安全隐患违规事件攻击方法或手段四、入侵检测系统的布署 pNIDS的位置必须要看到所有数据包n共享媒介HUBn交换环境n隐蔽模式n千兆网p分布式结构nSensornConsole四、入侵检测系统的布署 HUBIDS SensorMonitored ServersConsole共享媒介共享媒介四、入侵检测系统的布署 交换环境交换环境SwitchIDS SensorMonitored ServersConsole通过端口镜像实现通过端口镜像实现(SPAN/Port Monitor)四、入侵检测系统的布署 隐蔽模式隐蔽模式SwitchIDS SensorMonitored Server
11、sConsole不设不设IP四、入侵检测系统的布署四、入侵检测系统的布署 千兆网络千兆网络L4或或L7交换设备交换设备五、入侵检测主要功能指标五、入侵检测主要功能指标 在性能许可的前提下,尽可能选择功能最适合公司使用的入侵检测系统。在功能选择应该考虑下列一些:自动检测类型广泛的攻击支持异常检测与统计检测等检测方法蠕虫检测功能提供自定义策略服务入侵检测功能检测分析功能入侵取证和入侵者身份确认功能升级功能远程集中管理功能日志安全存储功能报警功能网络流量分析功能与防火墙联动五、入侵检测主要功能指标五、入侵检测主要功能指标察入侵检测产品性能主要考虑下列指标:检测入侵的种类和数量误报率和漏报率系统检测效
12、率抗攻击能力六、入侵检测系统产品的选购六、入侵检测系统产品的选购 用户在选择入侵检测系统产品时需要注意以下事项:用户在选择入侵检测系统产品时需要注意以下事项:产品功能 a)a)检测入侵能力检测入侵能力:入侵检测系统检测入侵能力方面主要考虑以下几点:自动识别类型广泛的攻击、支持异常检测与统计检测等检测方法、专用的蠕虫检测能力、策略自定义功能、内容检测、专用的针对服务器入侵检测能力等。b)b)响应和取证能力响应和取证能力:入侵检测系统在响应和取证方面主要考虑以下几点:多种报警功能、入侵取证能力、入侵主机身份确认能力、安全设备联动能力、报警日志集中安全存储等。c)c)管理能力管理能力:入侵检测系统应
13、支持集中式的安全管理。入侵检测系统管理员应能够有效管理检测引擎,管理功能主要有:配置检测引擎参数、配置文件下载上传、时间同步、管理口管理、远程重启和关闭检测引擎、模式库升级管理、检测引擎模块升级管理。并提供简单易用的串口管理功能。六、入侵检测系统产品的选购六、入侵检测系统产品的选购用户在选择入侵检测系统产品时需要注意以下事项:产品功能 d)d)报表分析能力报表分析能力:支持管理、监视、控制和分析功能融合的图形化控制台。入侵检测系统应提供组合搜索分析入侵信息的能力,并能按事件分类生成实用的报表。六、入侵检测系统产品的选购六、入侵检测系统产品的选购 用户在选择入侵检测产品时需要注意以下事项:用户在
14、选择入侵检测产品时需要注意以下事项:产品性能 a)检测入侵种类和规则数量b)误报率和漏报率c)抗攻击能力d)系统检测效率厂商专业性 随着新的入侵事件和新的蠕虫出现,厂商应及时升级入侵检测产品,因此用户应选择具有研发实力的安全厂商。六、入侵检测系统产品的选购六、入侵检测系统产品的选购 用户在选择入侵检测产品时需要注意以下事项:产品服务 安全产品的技术支持具有紧急的特点,所以,拥有强大的本地技术支持能力也是选择入侵监测系统的重要因素。其中包括紧急响应速度和能力及专业的报警日志分析取证能力等。Q&A解释:pDenning美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入
15、侵检测模型 back 入侵检测系统的发展p1980年的4月,James P.Anderson为美国空军做了一份题为“计算机安全威胁监控与监视”(Computer Security Threat Monitoring and Sur-veillance)的技术报告,这份报告被公认为是入侵检测的开山之作。1986年,为检测用户对数据库异常访问,W.T.Tener在IBM主机上用COBOL开发的Discovery系统,成为最早的基于主机的IDS雏形之一。1987年,乔治敦大学的Dorothy E.Denning提出了一个实时的入侵检测系统抽象模型IDES(Intrusion Detection Ex
16、pert System,入侵检测专家系统)1990年是入侵检测系统发展史上的一个分水岭。1994年,Mark Crosbie和Gene Spafford建议使用自治代理(autonomous agents)以便提高IDS的可伸缩性、可维护性、效率和容错性,该理念非常符合正在进行的计算机科学其他领域(如软件代理,software agent)的研究。1995年开发了IDES完善后的版本NIDES(Next-Generation Intrusion Detection System)可以检测多个主机上的入侵。另一条致力于解决当代绝大多数入侵检测系统伸缩性不足的途径于1996年提出,这就是GrIDS(Graph-based Intrusion Detection System)的设计和实现,该系统使得对大规模自动或协同攻击的检测更为便利,这些攻击有时甚至可能跨过多个管理领域。近些年来,入侵检测的主要创新包括:Forrest等将免疫原理运用到分布式入侵检测领域。1998年Ross Anderson和 Abida Khattak将信息检索技术引进到入侵检测。pback