Embed Size (px)
DESCRIPTION
《 网络安全 》 是一门综合性和实践性很强的课程,主要内容包括网络安全基础知识、黑客攻击防御技术、病毒防御、数据加密、防火墙技术、入侵检测技术、操作系统安全、 Web 安全、 VPN 技术等内容。. 山东女子学院 杨艳春. CH6 入侵检测技术. 课程内容. 第一部分 入侵检测概述 第二部分 入侵检测工作原理 第三部分 入侵检测的应用. 第一部分 入侵检测概述. 一、什么是入侵检测系统? 二、为什么需要 IDS? 三、 入侵检测系统分类 四、 入侵检测的作用. 一、什么是入侵检测系统? - PowerPoint PPT Presentation
Citation preview
网 络 安 全网 络 安 全
山东女子学院 杨艳春
《网络安全》是一门综合性和实践性很强的课程,主要内容包括网络安全基础知识、黑客攻击防御技术、病毒防御、数据加密、防火墙技术、入侵检测技术、操作系统安全、 Web安全、 VPN技术等内容。
第六章 入侵检测
CH6 入侵检测技术
2
第六章 入侵检测
课程内容
第一部分 入侵检测概述第二部分 入侵检测工作原理第三部分 入侵检测的应用
3
第六章 入侵检测
第一部分 入侵检测概述一、什么是入侵检测系统?
二、为什么需要 IDS?
三、 入侵检测系统分类
四、 入侵检测的作用
4
第六章 入侵检测
一、什么是入侵检测系统?
入侵检测系统是一套监控计算机系统或网络系统中发生的事件,根据规则进行安全审计的软件或硬件系统。
入侵检测系统收集计算机系统和网络的信息,并对这些信息加以分析,对保护的系统进行安全审计、监控、攻击识别并作出实时的反应。
5
第六章 入侵检测
二、 为什么需要 IDS?1. 入侵很容易
入侵教程随处可见 各种攻击工具唾手可得
2. 防火墙不能保证绝对的安全 防火墙只是网络边界的设备 防火墙自身可以被攻破 防火墙对某些攻击的防护能力很弱 无法阻止内部人员所做的攻击 攻击发生后,防火墙保存的信息难以调查和取证
6
第六章 入侵检测
三、 入侵检测系统分类
1. 根据检测类型分类 异常入侵检测系统
检测与可接受行为之间的偏差 误用入侵检测系统
检测与已知的不可接受行为之间的匹配程度2. 根据检测对象分类
基于主机的 IDS( Host-Based IDS ) 基于网络的 IDS( Network-Based IDS ) 混合型 IDS
7
第六章 入侵检测
四、 入侵检测的作用
监控、分析用户和系统的活动 审计系统的配置和漏洞 评估关键系统和数据文件的完整性 识别已知的攻击行为 统计分析异常行为 操作系统日志管理,并识别违反安全策略的
用户活动
8
第六章 入侵检测
课程内容 入侵检测概述 入侵检测工作原理 入侵检测的应用
9
第六章 入侵检测
入侵检测工作原理1. 入侵检测系统的构件2. 入侵检测的工作过程3. 入侵检测的信息收集内容4. 入侵检测的分析方法
10
第六章 入侵检测
一、 入侵检测系统的构件 输出:反应或事件
输出:高级中断事件 输出:事件的存储信息
输出:原始或低级事件
输入:原始事件源
事件产生器
响应单元
事件数据库 事件分析器
11
第六章 入侵检测
二、 入侵检测的工作过程1. 基本工作过程
信息收集检测引擎从信息源收集系统、网络、状态和行为信息。
信息分析从信息中查找和分析表征入侵的异常和可疑信息。
告警与响应根据入侵性质和类型,做出相应的告警和响应。
12
第六章 入侵检测
入侵检测的信息收集内容
1 )系统和网络日志文件2 )目录和文件中的不期望的改变3 )程序执行中的不期望行为
4 )物理形式的入侵信息
未授权的对网络硬件连接
对物理资源的未授权访问
13
第六章 入侵检测
入侵检测的信息分析方法1. 模式匹配 ---- 误用检测( Misuse Detection)
维护一个入侵特征知识库 准确性高
2. 统计分析 -------- 异常检测( Anomaly Detection)
统计模型 误报、漏报较多
3. 完整性分析 关注某个文件或对象是否被更改 事后分析
14
第六章 入侵检测
误用检测1. 基本原理
采用匹配技术检测已知攻击
提前建立已出现的入侵行为特征
检测当前用户行为特征
15
第六章 入侵检测
误用检测2. 误用检测的优点
算法简单 系统开销小 准确率高 效率高
16
第六章 入侵检测
误用检测3. 误用检测的缺点
被动只能检测出已知攻击 新类型的攻击会对系统造成很大的威胁
模式库的建立和维护难模式库要不断更新知识依赖于
硬件平台操作系统系统中运行的应用程序
17
第六章 入侵检测
异常检测1. 基本原理
正常用户行为的特征轮廓
检查实际用户行为和系统的运行情况
是否偏离预设的门限?
18
第六章 入侵检测
异常检测2. 异常检测的优点
可以检测到未知的入侵 可以检测冒用他人帐号的行为 具有自适应,自学习功能 不需要系统先验知识
19
第六章 入侵检测
异常检测3. 异常检测的缺点
漏报、误报率高 入侵者可以逐渐改变自己的行为模式来逃避检测 合法用户正常行为的突然改变也会造成误警
统计算法的计算量庞大,效率很低 统计点的选取和参考库的建立比较困难
20
第六章 入侵检测
IDS 在交换式网络中的位置IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源。这些位置通常是:
·服务器区域的交换机上;
·Internet 接入路由器之后的第一台交换机上;
·重点保护网段的局域网交换机上。
21
第六章 入侵检测
课程内容 入侵检测概述 入侵检测技术与工作原理 入侵检测的应用
22
第六章 入侵检测
入侵检测应用1. IDS 的应用2. IDS 部署实例3. Snort 简介
23
第六章 入侵检测
IDS 应用 -- 如何选择 IDS
根据组织的安全需求及既定的安全策略,来确定所需的IDS 。
根据企业所要保护的系统,来确定选择基于主机的 IDS还是基于网络的 IDS 、或是二者的结合。
综合比较各种 IDS 的性能和价格,来选择具体应用的产品。
IDS 和其它安全设备一样,正确地配置和维护,是使它能真正发挥作用的关键之处。
24
第六章 入侵检测
IDS 部署实例
Real Secure 的部署图 25
第六章 入侵检测
IDS 部署实例 RealSecure 的部署图, RealSecure 是一种混合型的入侵检测系统,
提供基于网络和基于主机的实时入侵检测。 RealSecure 控制台:对多台网络传感器和服务器代理进行管理;对
被管理传感器进行远程的配置和控制;各个监控器发现的安全事件实时地报告控制台。
Network Sensor (网络引擎):对网络进行监听并自动对可疑行为进行响应,最大程度保护网络安全。
Server Sensor (服务器代理,安装在各个服务器上):对主机的核心级事件、系统日志以及网络活动实现实时入侵检测。
26
第六章 入侵检测
利用 RealSecure 进行可适应性攻击检测和响应
IntraneIntranett
企业网络
生产部
工程部
市场部
人事部
路由
InternetInternet中继
外部攻击外部攻击
警告 !记录攻击
警告 !记录攻击
外部攻击外部攻击终止连接终止连接
入侵检测工具举例
27
第六章 入侵检测
IntraneIntranett
企业网络企业网络
生产部
工程部
市场部
人事部
路由
InternetInternet中继
内部攻击内部攻击警告 !
启动事件日志 ,发送消息
警告 !
启动事件日志 ,发送消息
入侵检测工具举例
28
第六章 入侵检测
入侵检测系统 Snort 的使用
29
第六章 入侵检测
入侵防御系统 (IPS)
1. IPS 是英文“ Intrusion Prevention System” 的缩写2. IPS 技术可以深度检测流经的数据流量(协议分析跟踪、
特征匹配、流量统计分析、事件关联分析等 ),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施(按照处理力度):
向管理中心告警; 丢弃该报文; 切断此次应用会话; 切断此次 TCP 连接。
30
第六章 入侵检测
31
第六章 入侵检测
入侵检测系统 IDS vs 入侵防御系统 IPSIDS IPS
主线功能 网络安全状况的监管 深层防御、精确阻断 核心价值 通过对全网信息的分析,了解信息系
统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整
安全策略的实施—对黑客行为的阻击
如果检测到攻击
存在于网络之外起到报警的作用,而不是在网络前面起到防御的作用。
在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。
检测攻击的方法
对数据包的检测 检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。
部署位置 部署在网络内部,监控范围可以覆盖整个子网
部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。 32
第六章 入侵检测
如何选用 IPS & IDS 若用户计划在一次项目中实施较为完整的安全解决
方案,则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统,在网络的边界点部署入侵防御系统。
若用户计划分步实施安全解决方案,可以考虑先部署入侵检测系统进行网络安全状况监控,后期再部署入侵防御系统。
若用户仅仅关注网络安全状况的监控 (如金融监管部门,电信监管部门等 ) ,则可在目标信息系统中部署入侵检测系统即可。
33
第六章 入侵检测
Snort 简介 Snort 是一个用 C语言编写的开放源代码软件,符合
GPL( GNU General Public License )的要求,当前的最新版本是 2.8 ,其作者为 Martin Roesch。
Snort 是一个跨平台、轻量级的网络入侵检测软件,实际上它是一个基于 libpcap 的网络数据包嗅探器和日志记录工具,可以用于入侵检测。从入侵检测分类上来看,Snort 是一个基于网络和误用的入侵检测软件。
34
第六章 入侵检测
Snort 的工作模式1. 嗅探器
Snort –v –d -e
2. 数据包记录器 Snort –vde –l c:\snort\log
3. 网络入侵检测系统 Snort –vde –l c:\snort\log –c c:\snort\etc\snort.conf
35
第六章 入侵检测
底层库的安装与配置 安装 Snort 所需的底层库有三个:
Libpcap ,提供的接口函数主要实现和封装了与数据包截获有关的过程。
Libnet ,提供的接口函数主要实现和封装了数据包的构造和发送过程。
NDIS packet capture Driver ,是为了方便用户在Windows环境下抓取和处理网络数据包而提供的驱动程序。
在 Linux和 Solaris环境下,必须首先安装 Libpcap ,然后才能安装 Snort ,如果需要还应该安装 Libnet;
在Windows环境下,必须首先安装 NDIS packet capture Driver( 可用 Winpcap代替 ) ,然后才能安装 Snort 。
36
第六章 入侵检测
Snort 的安装1. Win 32环境下的安装方法一
解开 snort-2.1-win32-source.zip 用 VC++打开位于 snort-2.1-win32-source\snort-2.1 \
win32-Prj 目录下的 snort.dsw 文件 选择“ Win 32 Release”编译选项进行编译 在 Release 目录下会生成所需的 Snort.exe 可执行文
件2. Win32环境下的安装方法二
直接执行 Snort Windows 安装包 SWIB
37
第六章 入侵检测
Snort 的配置 配置 Snort 并不需要自已编写配置文件,只需对
Snort.conf 文件进行修改即可 设置网络变量
var DNS_SERVERS 192.168.0.1 配置预处理器 配置输出插件 配置所使用的规则集
var RULE_PATH c:\snort\rules
38
第六章 入侵检测
操作实例
输出 IP和 TCP/UDP/ICMP 的包头信息
39
第六章 入侵检测
输出 TCP/IP 信息包启用 windows下的运行窗口
输入 cmd 进入 DOS界面
进入 c:\snort\bin 文件夹
cmdcmd
40
第六章 入侵检测
cd c:\snort\bin
41
第六章 入侵检测
输出 TCP/IP 信息包进入 c:\snort\bin 文件夹
输入命令 snort –v扫描信息包
42
第六章 入侵检测
snort -v
43
第六章 入侵检测
扫描中的界
面
44
第六章 入侵检测
输出 TCP/IP 信息包进入 c:\snort\bin 文件夹
输入命令 snort –v扫描信息包
snort -v
Ctrl+c退出 Snort运行并显示扫描统计信息
45
第六章 入侵检测
扫描后的统计界面
46
第六章 入侵检测
操作实例
同时显示 IP和 TCP/UDP/ICMP 的包头信息、应用层数据信息、数据链路层的信息并将扫描的信息记录进 c:\snort\log 文件夹内
47
第六章 入侵检测
指定网段输出多层信息包并保存到指定文件夹进 入 c:\snort\bin 文件夹
输入命令 snort –vde –l c:\snort\log 扫描信息包
48
第六章 入侵检测
snort –vde –l c:\snort\log
snort –v –d –e –l c:\snort\log
或输
入
49
第六章 入侵检测
输入命令后的开始界面
50
第六章 入侵检测
扫描中的界
面
51
第六章 入侵检测
进入 c:\snort\bin 文件夹
snort -v
Ctrl+c退出 Snort运行并显示扫描统计信息
输出多层信息包并保存到指定文件夹
输入命令 snort –vde –l c:\snort\log 扫描信息包
52
第六章 入侵检测
扫描后的统计界面
53
第六章 入侵检测
推荐网站
1. http://www.enet.com.cn 硅谷动力2. http://www.7747.net 红色黑客联盟3. http://cnhonker.com/bbs/ 红客联盟
54
第六章 入侵检测
谢谢!55
