項目8入侵檢測技術(shù)_第1頁
項目8入侵檢測技術(shù)_第2頁
項目8入侵檢測技術(shù)_第3頁
項目8入侵檢測技術(shù)_第4頁
項目8入侵檢測技術(shù)_第5頁
已閱讀5頁,還剩53頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、項目項目8 8 入侵檢測技術(shù)入侵檢測技術(shù)項目項目1 1 雙機(jī)互連對等網(wǎng)絡(luò)的組建雙機(jī)互連對等網(wǎng)絡(luò)的組建 8.1 8.1 項目提出項目提出 u張先生開辦的公司發(fā)展勢頭良好,網(wǎng)站的點擊也逐日張先生開辦的公司發(fā)展勢頭良好,網(wǎng)站的點擊也逐日增加。與此同時,張先生也更加愿意投入資金,添置增加。與此同時,張先生也更加愿意投入資金,添置了防火墻、殺毒軟件等來保護(hù)自己的網(wǎng)站。盡管如此,了防火墻、殺毒軟件等來保護(hù)自己的網(wǎng)站。盡管如此,他的網(wǎng)站還是會不時遭到莫名的攻擊。他的網(wǎng)站還是會不時遭到莫名的攻擊。u新來的網(wǎng)絡(luò)管理員小李了解了該網(wǎng)站的大概情況后,新來的網(wǎng)絡(luò)管理員小李了解了該網(wǎng)站的大概情況后,他向張先生建議,只配

2、備防火墻和殺毒軟件還不夠,他向張先生建議,只配備防火墻和殺毒軟件還不夠,還需要一個強(qiáng)大的技術(shù)來保證網(wǎng)絡(luò)的安全,那就是入還需要一個強(qiáng)大的技術(shù)來保證網(wǎng)絡(luò)的安全,那就是入侵檢測技術(shù)。侵檢測技術(shù)。u在采納了小李的建議后,網(wǎng)站的安全狀況有了明顯的在采納了小李的建議后,網(wǎng)站的安全狀況有了明顯的好轉(zhuǎn)。好轉(zhuǎn)。8.2 8.2 項目分析項目分析 u防火墻盡管具有強(qiáng)大的抵御外部攻擊的功能,能防火墻盡管具有強(qiáng)大的抵御外部攻擊的功能,能保護(hù)系統(tǒng)不受未經(jīng)授權(quán)訪問的侵?jǐn)_,但卻無法阻保護(hù)系統(tǒng)不受未經(jīng)授權(quán)訪問的侵?jǐn)_,但卻無法阻止來自內(nèi)部人員的攻擊。止來自內(nèi)部人員的攻擊。u在網(wǎng)絡(luò)安全管理中,除了消極被動地阻止攻擊行在網(wǎng)絡(luò)安全管理

3、中,除了消極被動地阻止攻擊行為,還應(yīng)該主動出擊去檢測那些正在實施的攻擊為,還應(yīng)該主動出擊去檢測那些正在實施的攻擊行為,進(jìn)一步預(yù)防安全隱患的發(fā)生。行為,進(jìn)一步預(yù)防安全隱患的發(fā)生。u傳統(tǒng)的防火墻在工作時,就像深宅大院雖有高大傳統(tǒng)的防火墻在工作時,就像深宅大院雖有高大的院墻,卻不能擋住小老鼠甚至是家賊的偷襲一的院墻,卻不能擋住小老鼠甚至是家賊的偷襲一樣,因為入侵者可以找到防火墻背后可能敞開的樣,因為入侵者可以找到防火墻背后可能敞開的后門。后門。u另外,防火墻完全不能阻止來自網(wǎng)絡(luò)內(nèi)部的攻擊,通過調(diào)另外,防火墻完全不能阻止來自網(wǎng)絡(luò)內(nèi)部的攻擊,通過調(diào)查發(fā)現(xiàn),查發(fā)現(xiàn),65%65%左右的攻擊來自于網(wǎng)絡(luò)內(nèi)部,對

4、于企業(yè)內(nèi)部心左右的攻擊來自于網(wǎng)絡(luò)內(nèi)部,對于企業(yè)內(nèi)部心懷不滿的員工來說,防火墻形同虛設(shè)。懷不滿的員工來說,防火墻形同虛設(shè)。u還有,由于性能的限制,防火墻不能提供實時的入侵檢測還有,由于性能的限制,防火墻不能提供實時的入侵檢測能力,而這一點,對于現(xiàn)在層出不窮的攻擊技術(shù)來說是至能力,而這一點,對于現(xiàn)在層出不窮的攻擊技術(shù)來說是至關(guān)重要的。關(guān)重要的。u最后,防火墻對于病毒也束手無策。最后,防火墻對于病毒也束手無策。u因此,以為在因此,以為在InternetInternet入口處部署防火墻系統(tǒng)就足夠安全入口處部署防火墻系統(tǒng)就足夠安全的想法是不切實際的。的想法是不切實際的。u根據(jù)這一問題,人們設(shè)計出了入侵檢

5、測系統(tǒng)根據(jù)這一問題,人們設(shè)計出了入侵檢測系統(tǒng)(IDS)(IDS),IDSIDS可可以彌補(bǔ)防火墻的不足,為網(wǎng)絡(luò)安全提供實時的入侵檢測及以彌補(bǔ)防火墻的不足,為網(wǎng)絡(luò)安全提供實時的入侵檢測及采取相應(yīng)的防護(hù)手段,如,記錄證據(jù)用于跟蹤、恢復(fù)、斷采取相應(yīng)的防護(hù)手段,如,記錄證據(jù)用于跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等。開網(wǎng)絡(luò)連接等。u如果說防火墻是一幢大樓的門衛(wèi),那么入侵如果說防火墻是一幢大樓的門衛(wèi),那么入侵檢測和防御就是這幢大樓里的監(jiān)視系統(tǒng)。檢測和防御就是這幢大樓里的監(jiān)視系統(tǒng)。u一旦有入侵大樓的行為,或內(nèi)部人員有越界一旦有入侵大樓的行為,或內(nèi)部人員有越界行為,實時監(jiān)視系統(tǒng)就會發(fā)現(xiàn)情況并發(fā)出警行為,實時監(jiān)視系統(tǒng)就會發(fā)

6、現(xiàn)情況并發(fā)出警報。報。8.3 8.3 相關(guān)知識點相關(guān)知識點 8.3.1 8.3.1 入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)概述u入侵檢測系統(tǒng)入侵檢測系統(tǒng) (Intrusion Detection System(Intrusion Detection System,IDS) IDS) 是一類專門面向網(wǎng)絡(luò)入侵的安全監(jiān)測系統(tǒng),它從計算是一類專門面向網(wǎng)絡(luò)入侵的安全監(jiān)測系統(tǒng),它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息,并分析這些信機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息,并分析這些信息,查看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲息,查看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。擊的跡象。u入侵檢測被認(rèn)為是防火墻之后的

7、第二道安全防線,在入侵檢測被認(rèn)為是防火墻之后的第二道安全防線,在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測,從而提不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。u入侵檢測系統(tǒng)的基本功能有以下幾個方面。入侵檢測系統(tǒng)的基本功能有以下幾個方面。(1) (1) 檢測和分析用戶及系統(tǒng)的活動。檢測和分析用戶及系統(tǒng)的活動。(2) (2) 審計系統(tǒng)配置和漏洞。審計系統(tǒng)配置和漏洞。(3) (3) 識別已知攻擊。識別已知攻擊。(4) (4) 統(tǒng)計分析異常行為。統(tǒng)計分析異常行為。(5) (5) 評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。評估系

8、統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。(6) (6) 對操作系統(tǒng)的審計、追蹤、管理,并識別用戶違反對操作系統(tǒng)的審計、追蹤、管理,并識別用戶違反安全策略的行為。安全策略的行為。u一個成功的入侵檢測系統(tǒng),不但可使系統(tǒng)管理員時刻一個成功的入侵檢測系統(tǒng),不但可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)了解網(wǎng)絡(luò)系統(tǒng) ( (包括程序、文件和硬件設(shè)備等包括程序、文件和硬件設(shè)備等) ) 的任的任何變更,還能給網(wǎng)絡(luò)安全策略的制定提供指南。何變更,還能給網(wǎng)絡(luò)安全策略的制定提供指南。u同時,它應(yīng)該是管理和配置簡單,使非專業(yè)人員也能同時,它應(yīng)該是管理和配置簡單,使非專業(yè)人員也能容易地獲得網(wǎng)絡(luò)安全。容易地獲得網(wǎng)絡(luò)安全。u當(dāng)然,入侵檢測的規(guī)模

9、還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造當(dāng)然,入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。和安全需求的改變而改變。u入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后,應(yīng)及時做出響應(yīng),包括入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后,應(yīng)及時做出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。切斷網(wǎng)絡(luò)連接、記錄事件和報警等。u目前,入侵檢測系統(tǒng)主要以模式匹配技術(shù)為主,并結(jié)目前,入侵檢測系統(tǒng)主要以模式匹配技術(shù)為主,并結(jié)合異常匹配技術(shù)。合異常匹配技術(shù)。u從實現(xiàn)方式上一般分為兩種:基于主機(jī)和基于網(wǎng)絡(luò),從實現(xiàn)方式上一般分為兩種:基于主機(jī)和基于網(wǎng)絡(luò),u而一個完備的入侵檢測系統(tǒng)則一定是基于主機(jī)和基于而一個完備的入侵檢測系統(tǒng)則一定是基于主機(jī)和基于網(wǎng)絡(luò)這兩

10、種方式兼?zhèn)涞姆植际较到y(tǒng)。網(wǎng)絡(luò)這兩種方式兼?zhèn)涞姆植际较到y(tǒng)。u另外,能夠識別的入侵手段數(shù)量的多少、最新入侵手另外,能夠識別的入侵手段數(shù)量的多少、最新入侵手段的更新是否及時也是評價入侵檢測系統(tǒng)的關(guān)鍵指標(biāo)。段的更新是否及時也是評價入侵檢測系統(tǒng)的關(guān)鍵指標(biāo)。8.3.2 8.3.2 入侵檢測系統(tǒng)的基本結(jié)構(gòu)入侵檢測系統(tǒng)的基本結(jié)構(gòu)u美國國防部高級研究計劃署美國國防部高級研究計劃署(DARPA)(DARPA)提出的建議是公提出的建議是公共入侵檢測框架共入侵檢測框架(CIDF)(CIDF)。CIDFCIDF闡述了一個入侵檢測系闡述了一個入侵檢測系統(tǒng)的通用模型,它將一個入侵檢測系統(tǒng)分為以下四個統(tǒng)的通用模型,它將一個入

11、侵檢測系統(tǒng)分為以下四個基本組件:事件發(fā)生器、事件分析器、響應(yīng)單元和事基本組件:事件發(fā)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫。件數(shù)據(jù)庫。(1) (1) 事件發(fā)生器。事件發(fā)生器。 負(fù)責(zé)原始數(shù)據(jù)采集,并將收集到的原始數(shù)據(jù)轉(zhuǎn)換為事件,向系負(fù)責(zé)原始數(shù)據(jù)采集,并將收集到的原始數(shù)據(jù)轉(zhuǎn)換為事件,向系統(tǒng)的其他部分提供此事件。統(tǒng)的其他部分提供此事件。 收集內(nèi)容,包括系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)及用戶活動的狀態(tài)和行為。收集內(nèi)容,包括系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)及用戶活動的狀態(tài)和行為。 需要在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同的關(guān)鍵點需要在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同的關(guān)鍵點( (不同網(wǎng)段和不同不同網(wǎng)段和不同主機(jī)主機(jī)) )收集信息。包括系統(tǒng)和網(wǎng)絡(luò)的日志文

12、件;網(wǎng)絡(luò)流量;系統(tǒng)收集信息。包括系統(tǒng)和網(wǎng)絡(luò)的日志文件;網(wǎng)絡(luò)流量;系統(tǒng)目錄和文件的異常變化;程序執(zhí)行的異常行為等。目錄和文件的異常變化;程序執(zhí)行的異常行為等。u 入侵檢測系統(tǒng)很大程度上依賴于收集信息的可靠性和正確性,入侵檢測系統(tǒng)很大程度上依賴于收集信息的可靠性和正確性,要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性,特別是入侵檢測系要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性,特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有堅固性,防止被篡改而收集到錯誤的信息。統(tǒng)軟件本身應(yīng)具有堅固性,防止被篡改而收集到錯誤的信息。(2) (2) 事件分析器。接收事件信息,并對其進(jìn)行分析,判斷是否為入事件分析器。接收事件信息,并對其進(jìn)行分析,判斷

13、是否為入侵行為或異?,F(xiàn)象,最后將判斷的結(jié)果轉(zhuǎn)變?yōu)楦婢畔?。分析侵行為或異常現(xiàn)象,最后將判斷的結(jié)果轉(zhuǎn)變?yōu)楦婢畔?。分析方法主要有以下幾種。方法主要有以下幾種。 模式匹配。將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式模式匹配。將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為。數(shù)據(jù)庫進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為。 統(tǒng)計分析。首先給系統(tǒng)對象統(tǒng)計分析。首先給系統(tǒng)對象( (如用戶、文件、目錄、設(shè)備等如用戶、文件、目錄、設(shè)備等) )創(chuàng)創(chuàng)建一個統(tǒng)計描述,統(tǒng)計正常使用時的一些測量屬性建一個統(tǒng)計描述,統(tǒng)計正常使用時的一些測量屬性( (如訪問次數(shù)、如訪問次數(shù)、操作失敗次

14、數(shù)和延時等操作失敗次數(shù)和延時等) );測量屬性的平均值和偏差將被用來與;測量屬性的平均值和偏差將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較,任何測量屬性值在正常值范圍之網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較,任何測量屬性值在正常值范圍之外時,就認(rèn)為有入侵發(fā)生。外時,就認(rèn)為有入侵發(fā)生。 完整性分析完整性分析( (往往用于事后分析往往用于事后分析) )。主要關(guān)注某個文件或?qū)ο笫恰V饕P(guān)注某個文件或?qū)ο笫欠癖桓?。否被更改?3) (3) 事件數(shù)據(jù)庫。存放各種中間和最終數(shù)據(jù)的地方,它事件數(shù)據(jù)庫。存放各種中間和最終數(shù)據(jù)的地方,它可以是復(fù)雜的數(shù)據(jù)庫,也可以是簡單的文本文件。從可以是復(fù)雜的數(shù)據(jù)庫,也可以是簡單的文本文件。從事件發(fā)

15、生器或事件分析器接收數(shù)據(jù),一般會將數(shù)據(jù)進(jìn)事件發(fā)生器或事件分析器接收數(shù)據(jù),一般會將數(shù)據(jù)進(jìn)行較長時間的保存。行較長時間的保存。(4) (4) 響應(yīng)單元。根據(jù)告警信息做出反應(yīng),是響應(yīng)單元。根據(jù)告警信息做出反應(yīng),是IDSIDS中的主中的主動武器,可做出強(qiáng)烈反應(yīng),如切斷連接、改變文件屬動武器,可做出強(qiáng)烈反應(yīng),如切斷連接、改變文件屬性等,也可以只做出簡單的報警。性等,也可以只做出簡單的報警。u以上四個組件只是邏輯實體,一個組件可能是某臺計以上四個組件只是邏輯實體,一個組件可能是某臺計算機(jī)上的一個進(jìn)程甚至線程,也可能是多個計算機(jī)上算機(jī)上的一個進(jìn)程甚至線程,也可能是多個計算機(jī)上的多個進(jìn)程,它們以的多個進(jìn)程,它

16、們以GIDO(GIDO(統(tǒng)一入侵檢測對象統(tǒng)一入侵檢測對象) )格式進(jìn)格式進(jìn)行數(shù)據(jù)交換。行數(shù)據(jù)交換。8.3.3 8.3.3 入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)的分類1. 1. 根據(jù)分析方法和檢測原理分類根據(jù)分析方法和檢測原理分類u基于異常的入侵檢測。首先總結(jié)出正常操作應(yīng)該具有基于異常的入侵檢測。首先總結(jié)出正常操作應(yīng)該具有的特征的特征( (用戶輪廓用戶輪廓) ),當(dāng)用戶活動與正常行為有重大偏,當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵。離時即被認(rèn)為是入侵。u基于誤用的入侵檢測。收集非正常操作時的行為特征,基于誤用的入侵檢測。收集非正常操作時的行為特征,建立相關(guān)的特征庫,當(dāng)被監(jiān)測的用戶或系統(tǒng)行為與庫

17、建立相關(guān)的特征庫,當(dāng)被監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時,系統(tǒng)就認(rèn)為這種行為是入侵。中的記錄相匹配時,系統(tǒng)就認(rèn)為這種行為是入侵。2. 2. 根據(jù)數(shù)據(jù)來源分類根據(jù)數(shù)據(jù)來源分類u基于主機(jī)的入侵檢測系統(tǒng)基于主機(jī)的入侵檢測系統(tǒng)(HIDS)(HIDS)。系統(tǒng)獲取數(shù)據(jù)的依。系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機(jī),保護(hù)的目標(biāo)也是系統(tǒng)運行據(jù)是系統(tǒng)運行所在的主機(jī),保護(hù)的目標(biāo)也是系統(tǒng)運行所在的主機(jī)。所在的主機(jī)。u基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)(NIDS)。系統(tǒng)獲取數(shù)據(jù)的依。系統(tǒng)獲取數(shù)據(jù)的依據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包,保護(hù)的是網(wǎng)絡(luò)的正常運行。據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包,保護(hù)的是網(wǎng)絡(luò)的正常運行。u

18、分布式入侵檢測系統(tǒng)分布式入侵檢測系統(tǒng)( (混合型混合型) )。將基于網(wǎng)絡(luò)和基于主。將基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)有機(jī)地結(jié)合在一起。機(jī)的入侵檢測系統(tǒng)有機(jī)地結(jié)合在一起。3. 3. 根據(jù)體系結(jié)構(gòu)分類根據(jù)體系結(jié)構(gòu)分類u 集中式。集中式結(jié)構(gòu)的集中式。集中式結(jié)構(gòu)的IDSIDS可能有多個分布于不同主機(jī)上的審計可能有多個分布于不同主機(jī)上的審計程序,但只有一個中央入侵檢測服務(wù)器。審計程序把當(dāng)?shù)厥占绦?,但只有一個中央入侵檢測服務(wù)器。審計程序把當(dāng)?shù)厥占降臄?shù)據(jù)蹤跡發(fā)送給中央服務(wù)器進(jìn)行分析處理。隨著網(wǎng)絡(luò)規(guī)模到的數(shù)據(jù)蹤跡發(fā)送給中央服務(wù)器進(jìn)行分析處理。隨著網(wǎng)絡(luò)規(guī)模的增加,主機(jī)審計程序和服務(wù)器之間傳送的數(shù)據(jù)就會劇增,

19、導(dǎo)的增加,主機(jī)審計程序和服務(wù)器之間傳送的數(shù)據(jù)就會劇增,導(dǎo)致網(wǎng)絡(luò)性能大大降低。并且一旦中央服務(wù)器出現(xiàn)問題,整個系致網(wǎng)絡(luò)性能大大降低。并且一旦中央服務(wù)器出現(xiàn)問題,整個系統(tǒng)就會陷入癱瘓。統(tǒng)就會陷入癱瘓。u 分布式。分布式結(jié)構(gòu)的分布式。分布式結(jié)構(gòu)的IDSIDS就是將中央檢測服務(wù)器的任務(wù)分配給就是將中央檢測服務(wù)器的任務(wù)分配給多個基于主機(jī)的多個基于主機(jī)的IDSIDS。這些。這些IDSIDS不分等級,各司其職,負(fù)責(zé)監(jiān)控不分等級,各司其職,負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)的某些活動。所以,其可伸縮性、安全性都得到提高,當(dāng)?shù)刂鳈C(jī)的某些活動。所以,其可伸縮性、安全性都得到提高,但維護(hù)成本也高了很多,并且增加了所監(jiān)控主機(jī)的工作負(fù)荷

20、。但維護(hù)成本也高了很多,并且增加了所監(jiān)控主機(jī)的工作負(fù)荷。4. 4. 根據(jù)工作方式分類根據(jù)工作方式分類u 離線檢測。離線檢測又稱脫機(jī)分析檢測系統(tǒng),就是在行為離線檢測。離線檢測又稱脫機(jī)分析檢測系統(tǒng),就是在行為發(fā)生后,對產(chǎn)生的數(shù)據(jù)進(jìn)行分析,而不是在行為發(fā)生的同發(fā)生后,對產(chǎn)生的數(shù)據(jù)進(jìn)行分析,而不是在行為發(fā)生的同時進(jìn)行分析,從而檢測入侵活動,它是非實時工作的系統(tǒng)。時進(jìn)行分析,從而檢測入侵活動,它是非實時工作的系統(tǒng)。如對日志的審查,對系統(tǒng)文件的完整性檢查等都屬于這種。如對日志的審查,對系統(tǒng)文件的完整性檢查等都屬于這種。一般而言,脫機(jī)分析也不會間隔很長時間,所謂的脫機(jī)只一般而言,脫機(jī)分析也不會間隔很長時間,

21、所謂的脫機(jī)只是與聯(lián)機(jī)相對而言的。是與聯(lián)機(jī)相對而言的。u 在線檢測。又稱為聯(lián)機(jī)分析檢測系統(tǒng),就是在數(shù)據(jù)產(chǎn)生或在線檢測。又稱為聯(lián)機(jī)分析檢測系統(tǒng),就是在數(shù)據(jù)產(chǎn)生或者發(fā)生改變的同時對其進(jìn)行檢查,以便發(fā)現(xiàn)攻擊行為,它者發(fā)生改變的同時對其進(jìn)行檢查,以便發(fā)現(xiàn)攻擊行為,它是實時聯(lián)機(jī)檢測系統(tǒng)。這種方式一般用于網(wǎng)絡(luò)數(shù)據(jù)的實時是實時聯(lián)機(jī)檢測系統(tǒng)。這種方式一般用于網(wǎng)絡(luò)數(shù)據(jù)的實時分析,有時也用于實時主機(jī)審計分析。它對系統(tǒng)資源的要分析,有時也用于實時主機(jī)審計分析。它對系統(tǒng)資源的要求比較高。求比較高。8.3.4 8.3.4 基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS和基于主機(jī)的和基于主機(jī)的IDSIDS1. 1. 基于網(wǎng)絡(luò)的入侵檢測系

22、統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)u基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDSNIDS)放置在比較重要的網(wǎng))放置在比較重要的網(wǎng)段內(nèi),不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每一個數(shù)據(jù)段內(nèi),不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每一個數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與系統(tǒng)內(nèi)置的某些規(guī)則吻包進(jìn)行特征分析。如果數(shù)據(jù)包與系統(tǒng)內(nèi)置的某些規(guī)則吻合,入侵檢測系統(tǒng)就會發(fā)出警報甚至直接切斷網(wǎng)絡(luò)連接。合,入侵檢測系統(tǒng)就會發(fā)出警報甚至直接切斷網(wǎng)絡(luò)連接。目前,大部分入侵檢測系統(tǒng)是基于網(wǎng)絡(luò)的。目前,大部分入侵檢測系統(tǒng)是基于網(wǎng)絡(luò)的。u一個典型的一個典型的NIDSNIDS如圖如圖8-28-2所示,一個傳感器被安裝在防所示,一個傳感器被

23、安裝在防火墻外以探查來自火墻外以探查來自InternetInternet的攻擊。另一個傳感器安裝的攻擊。另一個傳感器安裝在網(wǎng)絡(luò)內(nèi)部以探查那些已穿透防火墻的入侵以及內(nèi)部網(wǎng)在網(wǎng)絡(luò)內(nèi)部以探查那些已穿透防火墻的入侵以及內(nèi)部網(wǎng)絡(luò)入侵和威脅。絡(luò)入侵和威脅。u基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源?;诰W(wǎng)絡(luò)的據(jù)源。基于網(wǎng)絡(luò)的IDSIDS通常利用一個運行在混雜模式通常利用一個運行在混雜模式下的網(wǎng)絡(luò)適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有數(shù)下的網(wǎng)絡(luò)適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有數(shù)據(jù)包。據(jù)包。u一旦檢測到了攻擊行為,一旦檢測到了攻擊行為,NIDSNIDS

24、的響應(yīng)模塊就提供多種的響應(yīng)模塊就提供多種選項用于通知、報警,并對攻擊行為采取相應(yīng)的措施。選項用于通知、報警,并對攻擊行為采取相應(yīng)的措施。采取的措施因系統(tǒng)而異,但通常都包括通知管理員、采取的措施因系統(tǒng)而異,但通常都包括通知管理員、中斷連接并且中斷連接并且/ /或為法庭分析和證據(jù)收集而做的會話或為法庭分析和證據(jù)收集而做的會話記錄。記錄。u基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS已經(jīng)廣泛成為安全策略的實施中的重已經(jīng)廣泛成為安全策略的實施中的重要組件,它有許多僅靠基于主機(jī)的入侵檢測系統(tǒng)無法要組件,它有許多僅靠基于主機(jī)的入侵檢測系統(tǒng)無法提供的優(yōu)點。提供的優(yōu)點。(1 1)擁有成本較低。)擁有成本較低。u基于網(wǎng)絡(luò)的

25、基于網(wǎng)絡(luò)的IDSIDS可在幾個關(guān)鍵訪問點上進(jìn)行策略配置,可在幾個關(guān)鍵訪問點上進(jìn)行策略配置,以觀察發(fā)往多個系統(tǒng)的網(wǎng)絡(luò)通信。所以它不要求在許以觀察發(fā)往多個系統(tǒng)的網(wǎng)絡(luò)通信。所以它不要求在許多主機(jī)上裝載并管理軟件。多主機(jī)上裝載并管理軟件。u由于需監(jiān)測的點較少,因此對于一個公司的環(huán)境來說,由于需監(jiān)測的點較少,因此對于一個公司的環(huán)境來說,擁有成本很低。擁有成本很低。(2 2)檢測基于主機(jī)的)檢測基于主機(jī)的IDSIDS漏掉的攻擊。漏掉的攻擊。u 基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS檢查所有數(shù)據(jù)包的頭部從而發(fā)現(xiàn)惡意的和可疑的檢查所有數(shù)據(jù)包的頭部從而發(fā)現(xiàn)惡意的和可疑的行為跡象?;谥鳈C(jī)的行為跡象?;谥鳈C(jī)的IDSI

26、DS無法查看數(shù)據(jù)包的頭部,所以它無法無法查看數(shù)據(jù)包的頭部,所以它無法檢測到這一類型的攻擊。例如,許多來自于檢測到這一類型的攻擊。例如,許多來自于IPIP地址的拒絕服務(wù)地址的拒絕服務(wù)型(型(DoSDoS)和碎片包型()和碎片包型(TeardropTeardrop)的攻擊只能在它們經(jīng)過網(wǎng)絡(luò))的攻擊只能在它們經(jīng)過網(wǎng)絡(luò)時,檢查包的頭部才能被發(fā)現(xiàn)。這種類型的攻擊都可以在基于時,檢查包的頭部才能被發(fā)現(xiàn)。這種類型的攻擊都可以在基于網(wǎng)絡(luò)的網(wǎng)絡(luò)的IDSIDS中通過實時監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)包流而被發(fā)現(xiàn)。中通過實時監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)包流而被發(fā)現(xiàn)。u 基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS可以檢查有效負(fù)載的內(nèi)容,查找用于特定攻擊的可以檢

27、查有效負(fù)載的內(nèi)容,查找用于特定攻擊的指令或語法。例如,通過檢查數(shù)據(jù)包有效負(fù)載可以查到黑客軟指令或語法。例如,通過檢查數(shù)據(jù)包有效負(fù)載可以查到黑客軟件,而使正在尋找系統(tǒng)漏洞的攻擊者毫無察覺。由于基于主機(jī)件,而使正在尋找系統(tǒng)漏洞的攻擊者毫無察覺。由于基于主機(jī)的的IDSIDS不檢查有效負(fù)載,所以不能辨認(rèn)有效負(fù)載中所包含的攻擊不檢查有效負(fù)載,所以不能辨認(rèn)有效負(fù)載中所包含的攻擊信息。信息。(3 3)攻擊者不易轉(zhuǎn)移證據(jù)。)攻擊者不易轉(zhuǎn)移證據(jù)。u基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS使用正在發(fā)生的網(wǎng)絡(luò)通信進(jìn)行實時攻使用正在發(fā)生的網(wǎng)絡(luò)通信進(jìn)行實時攻擊的檢測。所以攻擊者無法轉(zhuǎn)移證據(jù)。擊的檢測。所以攻擊者無法轉(zhuǎn)移證據(jù)。u

28、被捕獲的數(shù)據(jù)不僅包括攻擊的方法,而且還包括可識被捕獲的數(shù)據(jù)不僅包括攻擊的方法,而且還包括可識別的黑客身份及對其進(jìn)行起訴的信息。別的黑客身份及對其進(jìn)行起訴的信息。u許多黑客都熟知審計記錄,他們知道如何操縱這些文許多黑客都熟知審計記錄,他們知道如何操縱這些文件掩蓋他們的入侵痕跡,如何阻止需要這些信息的基件掩蓋他們的入侵痕跡,如何阻止需要這些信息的基于主機(jī)的于主機(jī)的IDSIDS去檢測入侵。去檢測入侵。(4 4)實時檢測和響應(yīng)。)實時檢測和響應(yīng)。u 基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS可以在惡意及可疑的攻擊發(fā)生的同時將其可以在惡意及可疑的攻擊發(fā)生的同時將其檢測出來,并做出更快的通知和響應(yīng)。檢測出來,并做出

29、更快的通知和響應(yīng)。u 例如,一個基于例如,一個基于TCPTCP的對網(wǎng)絡(luò)進(jìn)行的拒絕服務(wù)攻擊可以通的對網(wǎng)絡(luò)進(jìn)行的拒絕服務(wù)攻擊可以通過將基于網(wǎng)絡(luò)的過將基于網(wǎng)絡(luò)的IDSIDS發(fā)出發(fā)出TCPTCP復(fù)位信號,在該攻擊對目標(biāo)主復(fù)位信號,在該攻擊對目標(biāo)主機(jī)造成破壞前,將其中斷。機(jī)造成破壞前,將其中斷。u 而基于主機(jī)的系統(tǒng)只有在可疑的登錄信息被記錄下來以后而基于主機(jī)的系統(tǒng)只有在可疑的登錄信息被記錄下來以后才能識別攻擊并做出反應(yīng)。而這時關(guān)鍵系統(tǒng)可能早已遭到才能識別攻擊并做出反應(yīng)。而這時關(guān)鍵系統(tǒng)可能早已遭到了破壞,或是運行基于主機(jī)的了破壞,或是運行基于主機(jī)的IDSIDS的系統(tǒng)已被摧毀。的系統(tǒng)已被摧毀。u 實時實時I

30、DSIDS可根據(jù)預(yù)定義的參數(shù)做出快速反應(yīng),這些反應(yīng)包可根據(jù)預(yù)定義的參數(shù)做出快速反應(yīng),這些反應(yīng)包括將攻擊設(shè)為監(jiān)視模式以收集信息,立即中止攻擊等。括將攻擊設(shè)為監(jiān)視模式以收集信息,立即中止攻擊等。(5 5)檢測未成功的攻擊和不良意圖。)檢測未成功的攻擊和不良意圖。u基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS增加了許多有價值的數(shù)據(jù),以增加了許多有價值的數(shù)據(jù),以判別不良意圖。即便防火墻可以正在拒絕這判別不良意圖。即便防火墻可以正在拒絕這些嘗試,位于防火墻之外的基于網(wǎng)絡(luò)的些嘗試,位于防火墻之外的基于網(wǎng)絡(luò)的IDSIDS可可以查出躲在防火墻后的攻擊意圖。以查出躲在防火墻后的攻擊意圖。u基于主機(jī)的基于主機(jī)的IDSIDS無

31、法查到從未攻擊到防火墻內(nèi)無法查到從未攻擊到防火墻內(nèi)主機(jī)的未遂攻擊,而這些丟失的信息對于評主機(jī)的未遂攻擊,而這些丟失的信息對于評估和優(yōu)化安全策略是至關(guān)重要的。估和優(yōu)化安全策略是至關(guān)重要的。(6 6)操作系統(tǒng)無關(guān)性。)操作系統(tǒng)無關(guān)性。u基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS作為安全監(jiān)測資源,與主機(jī)的作為安全監(jiān)測資源,與主機(jī)的操作系統(tǒng)無關(guān)。操作系統(tǒng)無關(guān)。u與之相比,基于主機(jī)的與之相比,基于主機(jī)的IDSIDS必須在特定的、沒必須在特定的、沒有遭到破壞的操作系統(tǒng)中才能正常工作,生有遭到破壞的操作系統(tǒng)中才能正常工作,生成有用的結(jié)果。成有用的結(jié)果。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)也有弱點:基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)也有弱點:u

32、只檢查直接連接網(wǎng)段的通信,不能檢測在不同網(wǎng)段的只檢查直接連接網(wǎng)段的通信,不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)包,在交換以太網(wǎng)環(huán)境中會出現(xiàn)監(jiān)測范圍的局限;網(wǎng)絡(luò)包,在交換以太網(wǎng)環(huán)境中會出現(xiàn)監(jiān)測范圍的局限;u很難實現(xiàn)一些復(fù)雜的需要大量計算與分析時間的攻擊很難實現(xiàn)一些復(fù)雜的需要大量計算與分析時間的攻擊檢測;檢測;u處理加密的會話過程較困難。處理加密的會話過程較困難。2. 2. 基于主機(jī)的入侵檢測系統(tǒng)基于主機(jī)的入侵檢測系統(tǒng)u 基于主機(jī)的入侵檢測系統(tǒng)(基于主機(jī)的入侵檢測系統(tǒng)(HIDSHIDS)通常是安裝在被重點檢測的)通常是安裝在被重點檢測的主機(jī)之上,主要是對該主機(jī)的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志主機(jī)之上,主要是對該主

33、機(jī)的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志進(jìn)行智能分析和判斷。如果其中主體活動十分可疑(特征或違進(jìn)行智能分析和判斷。如果其中主體活動十分可疑(特征或違反統(tǒng)計規(guī)律),入侵檢測系統(tǒng)就會采取相應(yīng)措施。反統(tǒng)計規(guī)律),入侵檢測系統(tǒng)就會采取相應(yīng)措施。u 基于主機(jī)的基于主機(jī)的IDSIDS使用驗證記錄,自動化程度大大提高,并發(fā)展了使用驗證記錄,自動化程度大大提高,并發(fā)展了精密的可迅速做出響應(yīng)的檢測技術(shù)。精密的可迅速做出響應(yīng)的檢測技術(shù)。u 通常,基于主機(jī)的通常,基于主機(jī)的IDSIDS可檢測系統(tǒng)、事件和可檢測系統(tǒng)、事件和WindowWindow下的安全記錄下的安全記錄以及以及UNIXUNIX環(huán)境下的系統(tǒng)記錄。當(dāng)有文件發(fā)生變

34、化時,環(huán)境下的系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時,IDSIDS將新的將新的記錄條目與攻擊標(biāo)記相比較,看它們是否匹配。如果匹配,系記錄條目與攻擊標(biāo)記相比較,看它們是否匹配。如果匹配,系統(tǒng)就會向管理員報警并向別的目標(biāo)報告,以采取措施。統(tǒng)就會向管理員報警并向別的目標(biāo)報告,以采取措施。u基于主機(jī)的基于主機(jī)的IDSIDS在發(fā)展過程中融入了其它技術(shù)。對關(guān)在發(fā)展過程中融入了其它技術(shù)。對關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的入侵檢測的一個常用方法,鍵系統(tǒng)文件和可執(zhí)行文件的入侵檢測的一個常用方法,是通過定期檢查校驗和來進(jìn)行的,以便發(fā)現(xiàn)意外的變是通過定期檢查校驗和來進(jìn)行的,以便發(fā)現(xiàn)意外的變化。反應(yīng)的快慢與輪詢間隔的頻率有直接的關(guān)系

35、。許化。反應(yīng)的快慢與輪詢間隔的頻率有直接的關(guān)系。許多多IDSIDS產(chǎn)品都是監(jiān)聽端口的活動,并在特定端口被訪產(chǎn)品都是監(jiān)聽端口的活動,并在特定端口被訪問時向管理員報警。這類檢測方法將基于網(wǎng)絡(luò)的入侵問時向管理員報警。這類檢測方法將基于網(wǎng)絡(luò)的入侵檢測的基本方法融入到基于主機(jī)的檢測環(huán)境中。檢測的基本方法融入到基于主機(jī)的檢測環(huán)境中。u盡管基于主機(jī)的入侵檢查系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢盡管基于主機(jī)的入侵檢查系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)快捷,但它確實具有基于網(wǎng)絡(luò)的測系統(tǒng)快捷,但它確實具有基于網(wǎng)絡(luò)的IDSIDS無法比擬無法比擬的優(yōu)點。這些優(yōu)點包括:更好的辨識分析、對特殊主的優(yōu)點。這些優(yōu)點包括:更好的辨識分析、對特

36、殊主機(jī)事件的緊密關(guān)注及低廉的成本。機(jī)事件的緊密關(guān)注及低廉的成本。 基于主機(jī)的入侵檢測系統(tǒng)有如下優(yōu)點?;谥鳈C(jī)的入侵檢測系統(tǒng)有如下優(yōu)點。(1 1)確定攻擊是否成功。)確定攻擊是否成功。u由于基于主機(jī)的由于基于主機(jī)的IDSIDS使用含有已發(fā)生事件信息,使用含有已發(fā)生事件信息,它們可以比基于網(wǎng)絡(luò)的它們可以比基于網(wǎng)絡(luò)的IDSIDS更加準(zhǔn)確地判斷攻更加準(zhǔn)確地判斷攻擊是否成功。擊是否成功。u在這方面,基于主機(jī)的在這方面,基于主機(jī)的IDSIDS是基于網(wǎng)絡(luò)的是基于網(wǎng)絡(luò)的IDSIDS的完美補(bǔ)充,網(wǎng)絡(luò)部分可以盡早提供警告,的完美補(bǔ)充,網(wǎng)絡(luò)部分可以盡早提供警告,主機(jī)部分可以確定攻擊成功與否。主機(jī)部分可以確定攻擊成功

37、與否。(2 2)監(jiān)視特定的系統(tǒng)活動。)監(jiān)視特定的系統(tǒng)活動。u基于主機(jī)的基于主機(jī)的IDSIDS監(jiān)視用戶和訪問文件的活動,監(jiān)視用戶和訪問文件的活動,包括文件訪問、改變文件權(quán)限,試圖建立新包括文件訪問、改變文件權(quán)限,試圖建立新的可執(zhí)行文件,或者試圖訪問特殊的設(shè)備。的可執(zhí)行文件,或者試圖訪問特殊的設(shè)備。u例如,基于主機(jī)的例如,基于主機(jī)的IDSIDS可以監(jiān)視所有用戶的登可以監(jiān)視所有用戶的登錄及下網(wǎng)情況,以及每位用戶在連接到網(wǎng)絡(luò)錄及下網(wǎng)情況,以及每位用戶在連接到網(wǎng)絡(luò)以后的行為。以后的行為。u對于基于網(wǎng)絡(luò)的系統(tǒng)要做到這個程度是非常對于基于網(wǎng)絡(luò)的系統(tǒng)要做到這個程度是非常困難的。困難的。(3 3)能夠檢查到基于

38、網(wǎng)絡(luò)的系統(tǒng)檢查不出的攻)能夠檢查到基于網(wǎng)絡(luò)的系統(tǒng)檢查不出的攻擊。擊。u基于主機(jī)的系統(tǒng)可以檢測到那些基于網(wǎng)絡(luò)的基于主機(jī)的系統(tǒng)可以檢測到那些基于網(wǎng)絡(luò)的系統(tǒng)察覺不到的攻擊。系統(tǒng)察覺不到的攻擊。u例如,來自主要服務(wù)器鍵盤的攻擊不經(jīng)過網(wǎng)例如,來自主要服務(wù)器鍵盤的攻擊不經(jīng)過網(wǎng)絡(luò),所以可以躲開基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。絡(luò),所以可以躲開基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。(4 4)適用于被加密的和交換的環(huán)境。)適用于被加密的和交換的環(huán)境。u由于基于主機(jī)的入侵檢測系統(tǒng)安裝在遍布企由于基于主機(jī)的入侵檢測系統(tǒng)安裝在遍布企業(yè)的各種主機(jī)上,它們比基于網(wǎng)絡(luò)的入侵檢業(yè)的各種主機(jī)上,它們比基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)更加適用于被加密的和交換的環(huán)

39、境。測系統(tǒng)更加適用于被加密的和交換的環(huán)境。(5 5)近于實時的檢測和響應(yīng)。)近于實時的檢測和響應(yīng)。u盡管基于主機(jī)的入侵檢測系統(tǒng)不能提供真正盡管基于主機(jī)的入侵檢測系統(tǒng)不能提供真正實時的反應(yīng),但如果應(yīng)用正確,反應(yīng)速度可實時的反應(yīng),但如果應(yīng)用正確,反應(yīng)速度可以非常接近實時。以非常接近實時。u從操作系統(tǒng)做出記錄到基于主機(jī)的系統(tǒng)得到從操作系統(tǒng)做出記錄到基于主機(jī)的系統(tǒng)得到辨識結(jié)果之間的這段時間是一段延遲,但大辨識結(jié)果之間的這段時間是一段延遲,但大多數(shù)情況下,在破壞發(fā)生之前,系統(tǒng)就能發(fā)多數(shù)情況下,在破壞發(fā)生之前,系統(tǒng)就能發(fā)現(xiàn)入侵者,并中止他的攻擊。現(xiàn)入侵者,并中止他的攻擊。(6 6)不要求額外的硬件設(shè)備。)

40、不要求額外的硬件設(shè)備。u基于主機(jī)的入侵檢測系統(tǒng)存在于現(xiàn)行網(wǎng)絡(luò)結(jié)基于主機(jī)的入侵檢測系統(tǒng)存在于現(xiàn)行網(wǎng)絡(luò)結(jié)構(gòu)之中,包括文件服務(wù)器、構(gòu)之中,包括文件服務(wù)器、WebWeb服務(wù)器及其它服務(wù)器及其它共享資源,這些使得基于主機(jī)的系統(tǒng)效率很共享資源,這些使得基于主機(jī)的系統(tǒng)效率很高,因為它們不需要在網(wǎng)絡(luò)上另外安裝登記、高,因為它們不需要在網(wǎng)絡(luò)上另外安裝登記、維護(hù)及管理硬件設(shè)備。維護(hù)及管理硬件設(shè)備。(7 7)記錄花費更加低廉。)記錄花費更加低廉。u基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)比基于主機(jī)的入侵基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)比基于主機(jī)的入侵檢測系統(tǒng)要昂貴的多。檢測系統(tǒng)要昂貴的多。基于主機(jī)的入侵檢測系統(tǒng)也有弱點:基于主機(jī)的入侵檢測系統(tǒng)

41、也有弱點:u依賴于服務(wù)器固有的日志與監(jiān)視能力,而主機(jī)審計信依賴于服務(wù)器固有的日志與監(jiān)視能力,而主機(jī)審計信息易受攻擊,入侵者可設(shè)法逃避審計;息易受攻擊,入侵者可設(shè)法逃避審計;u全面部署全面部署HIDSHIDS代價較大;代價較大;u除了監(jiān)測自身的主機(jī)以外,不監(jiān)測網(wǎng)絡(luò)上的情況;除了監(jiān)測自身的主機(jī)以外,不監(jiān)測網(wǎng)絡(luò)上的情況;uHIDSHIDS的運行或多或少會影響主機(jī)的性能;的運行或多或少會影響主機(jī)的性能;u只對主機(jī)的特定用戶、應(yīng)用程序執(zhí)行動作和日志進(jìn)行只對主機(jī)的特定用戶、應(yīng)用程序執(zhí)行動作和日志進(jìn)行檢測,所檢測到的攻擊類型有限。檢測,所檢測到的攻擊類型有限。u基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)都有其優(yōu)勢和劣

42、基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)都有其優(yōu)勢和劣勢,兩種方法互為補(bǔ)充。勢,兩種方法互為補(bǔ)充。u一種真正有效的入侵檢測系統(tǒng)應(yīng)將二者結(jié)合。一種真正有效的入侵檢測系統(tǒng)應(yīng)將二者結(jié)合。u基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的比較見表基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的比較見表8-1 8-1 8.4 8.4 項目實施項目實施 任務(wù)任務(wù): SessionWall: SessionWall入侵檢測軟件的使用入侵檢測軟件的使用1. 1. 任務(wù)目標(biāo)任務(wù)目標(biāo) (1) (1) 掌握掌握SessionWall-3SessionWall-3的使用方法。的使用方法。 (2) (2) 理解入侵檢測系統(tǒng)的作用。理解入侵檢測系統(tǒng)的作用。

43、2. 2. 任務(wù)內(nèi)容任務(wù)內(nèi)容 (1) SessionWall-3(1) SessionWall-3的使用。的使用。 (2) (2) 自定義自定義QQQQ服務(wù)。服務(wù)。8.4 8.4 項目實施項目實施 3. 3. 完成任務(wù)所需的設(shè)備和軟件完成任務(wù)所需的設(shè)備和軟件(1) Windows Server 2000 (1) Windows Server 2000 虛擬機(jī)虛擬機(jī)1 1臺臺( (主機(jī)主機(jī)A)A),Windows XPWindows XP計算機(jī)計算機(jī)1 1臺臺( (主機(jī)主機(jī)B)B)。(2) SessionWall-3(2) SessionWall-3軟件軟件1 1套。套。(3) X-Scan(3

44、) X-Scan掃描軟件掃描軟件1 1套。套。(4) UDP Flood(4) UDP Flood攻擊軟件攻擊軟件1 1套。套。4. 4. 任務(wù)實施步驟任務(wù)實施步驟(1) SessionWall-3(1) SessionWall-3的使用的使用u 在在Windows Server 2000Windows Server 2000虛擬機(jī)虛擬機(jī)( (主機(jī)主機(jī)A)A)中安裝中安裝SessionWall-3SessionWall-3軟軟件,另一件,另一Windows XPWindows XP計算機(jī)計算機(jī)( (主機(jī)主機(jī)B)B)用來對主機(jī)用來對主機(jī)A A實施實施X-Scan X-Scan 和和UDP Flo

45、odUDP Flood攻擊。攻擊。u 步驟步驟1 1:在:在Windows Server 2000Windows Server 2000虛擬機(jī)虛擬機(jī)( (主機(jī)主機(jī)A)A)上安裝并啟動上安裝并啟動SessionWall-3SessionWall-3軟件,啟動后的主窗口如圖軟件,啟動后的主窗口如圖8-38-3所示。所示。u 步驟步驟2 2:在另一:在另一Windows XPWindows XP計算機(jī)計算機(jī)( (主機(jī)主機(jī)B)B)上啟動上啟動X-ScanX-Scan掃描軟掃描軟件,對主機(jī)件,對主機(jī)A A進(jìn)行各種安全掃描。進(jìn)行各種安全掃描。u 步驟步驟3 3:在主機(jī):在主機(jī)A A上可看到報警消息圖標(biāo)和安

46、全沖突圖標(biāo)在不停上可看到報警消息圖標(biāo)和安全沖突圖標(biāo)在不停地閃爍,并發(fā)出報警聲。選擇菜單地閃爍,并發(fā)出報警聲。選擇菜單“View”“Alert View”“Alert Messages”Messages”命令,打開如圖命令,打開如圖8-48-4所示的對話框,該對話框中列出所示的對話框,該對話框中列出了各種報警消息。了各種報警消息。u 步驟步驟4 4:查看違反安全規(guī)則的行為。:查看違反安全規(guī)則的行為。SessionWall-3SessionWall-3中內(nèi)置了許多中內(nèi)置了許多預(yù)定義的違反安全規(guī)則的行為,當(dāng)檢測到這些行為發(fā)生的時候,預(yù)定義的違反安全規(guī)則的行為,當(dāng)檢測到這些行為發(fā)生的時候,系統(tǒng)會在系統(tǒng)

47、會在“Detected security violations”Detected security violations”對話框中顯示這些對話框中顯示這些行為。在工具欄上單擊行為。在工具欄上單擊“show security violations”show security violations”按鈕,打按鈕,打開如圖開如圖8-58-5所示的對話框,該對話框中列出了檢測到的違反安全規(guī)所示的對話框,該對話框中列出了檢測到的違反安全規(guī)則的行為。則的行為。u 步驟步驟5 5:在主機(jī):在主機(jī)B B上對主機(jī)上對主機(jī)A A的的8080端口發(fā)起端口發(fā)起UDP FloodUDP Flood攻擊,查看攻擊,查看主

48、機(jī)主機(jī)A A的最近活動情況的最近活動情況(Recent activity)(Recent activity),如圖,如圖8-68-6所示,可見所示,可見主機(jī)主機(jī)A A在在8080端口收到了大量的端口收到了大量的UDPUDP攻擊數(shù)據(jù)包。攻擊數(shù)據(jù)包。(2) (2) 自定義自定義QQQQ服務(wù)服務(wù)uSessionWall-3SessionWall-3已經(jīng)預(yù)定義了許多服務(wù),用戶根據(jù)需要已經(jīng)預(yù)定義了許多服務(wù),用戶根據(jù)需要也可以自定義服務(wù),如也可以自定義服務(wù),如QQQQ服務(wù)。服務(wù)。u步驟步驟1 1:選擇菜單:選擇菜單“settings”“Definitions”settings”“Definitions”命

49、令,命令,打開打開“Definitions”Definitions”窗口,在窗口,在“Services”Services”選項卡中選項卡中顯示了系統(tǒng)預(yù)定義的服務(wù),如圖顯示了系統(tǒng)預(yù)定義的服務(wù),如圖8-78-7所示。所示。u步驟步驟2 2:單擊:單擊“Add”Add”按鈕,打開按鈕,打開“Service Properties”Service Properties”對話框,設(shè)置服務(wù)名稱為對話框,設(shè)置服務(wù)名稱為QQQQ,協(xié)議為,協(xié)議為UDPUDP,端口號為,端口號為80008000,如圖,如圖8-88-8所示,單擊所示,單擊“OK”O(jiān)K”按鈕,返回按鈕,返回“Definitions”Definitio

50、ns”窗口,再單擊窗口,再單擊“確定確定”按鈕。按鈕。u步驟步驟3 3:定義好:定義好QQQQ服務(wù)后,當(dāng)網(wǎng)絡(luò)中存在服務(wù)后,當(dāng)網(wǎng)絡(luò)中存在QQQQ連接時,連接時,就會被系統(tǒng)監(jiān)測到,如圖就會被系統(tǒng)監(jiān)測到,如圖8-98-9所示。所示。8.5 8.5 拓展提高:入侵防護(hù)系統(tǒng)拓展提高:入侵防護(hù)系統(tǒng) u隨著網(wǎng)絡(luò)入侵事件的不斷增加和黑客攻擊水隨著網(wǎng)絡(luò)入侵事件的不斷增加和黑客攻擊水平的不斷提高,一方面網(wǎng)絡(luò)遭受攻擊的速度平的不斷提高,一方面網(wǎng)絡(luò)遭受攻擊的速度日益加快,另一方面網(wǎng)絡(luò)受到攻擊做出響應(yīng)日益加快,另一方面網(wǎng)絡(luò)受到攻擊做出響應(yīng)的時間卻越來越滯后。的時間卻越來越滯后。u解決這一矛盾,傳統(tǒng)的防火墻或入侵檢測技解

51、決這一矛盾,傳統(tǒng)的防火墻或入侵檢測技術(shù)術(shù)(IDS)(IDS)顯得力不從心,這就需要引入一種顯得力不從心,這就需要引入一種全新的技術(shù)全新的技術(shù)入侵防護(hù)系統(tǒng)入侵防護(hù)系統(tǒng)(Intrusion (Intrusion Prevention SystemPrevention System,IPS)IPS)。1. IPS1. IPS的原理的原理u 防火墻是實施訪問控制策略的系統(tǒng),對流經(jīng)的網(wǎng)絡(luò)流防火墻是實施訪問控制策略的系統(tǒng),對流經(jīng)的網(wǎng)絡(luò)流量進(jìn)行檢查,攔截不符合安全策略的數(shù)據(jù)包。量進(jìn)行檢查,攔截不符合安全策略的數(shù)據(jù)包。u 入侵檢測技術(shù)入侵檢測技術(shù)(IDS)(IDS)通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源,尋找通過監(jiān)視網(wǎng)絡(luò)或系

52、統(tǒng)資源,尋找違反安全策略的行為或攻擊跡象,并發(fā)出報警。傳統(tǒng)違反安全策略的行為或攻擊跡象,并發(fā)出報警。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量,但仍然的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量,但仍然允許某些流量通過,因此防火墻對于很多入侵攻擊仍允許某些流量通過,因此防火墻對于很多入侵攻擊仍然無計可施。然無計可施。u 絕大多數(shù)絕大多數(shù) IDS IDS 系統(tǒng)都是被動的,而不是主動的。也系統(tǒng)都是被動的,而不是主動的。也就是說,在攻擊實際發(fā)生之前,它們往往無法預(yù)先發(fā)就是說,在攻擊實際發(fā)生之前,它們往往無法預(yù)先發(fā)出警報。出警報。u而入侵防護(hù)系統(tǒng)而入侵防護(hù)系統(tǒng) (IPS) (IPS) 則傾向于提供主動防護(hù),

53、其則傾向于提供主動防護(hù),其設(shè)計宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔設(shè)計宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截,避免其造成損失,而不是簡單地在惡意流量傳送截,避免其造成損失,而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。時或傳送后才發(fā)出警報。uIPS IPS 是通過直接嵌入到網(wǎng)絡(luò)流量中實現(xiàn)這一功能的,是通過直接嵌入到網(wǎng)絡(luò)流量中實現(xiàn)這一功能的,即通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量,經(jīng)過即通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量,經(jīng)過檢查確認(rèn)其中不包含異?;顒踊蚩梢蓛?nèi)容后,再通過檢查確認(rèn)其中不包含異?;顒踊蚩梢蓛?nèi)容后,再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。另外一個端口將它傳送到內(nèi)部

54、系統(tǒng)中。u這樣一來,有問題的數(shù)據(jù)包,以及所有來自同一數(shù)據(jù)這樣一來,有問題的數(shù)據(jù)包,以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包,都能在流的后續(xù)數(shù)據(jù)包,都能在IPSIPS設(shè)備中被清除掉。設(shè)備中被清除掉。2. IPS2. IPS的分類的分類(1 1)基于主機(jī)的入侵防護(hù)系統(tǒng))基于主機(jī)的入侵防護(hù)系統(tǒng)(HIPS)(HIPS)。u在技術(shù)上,在技術(shù)上,HIPSHIPS采用獨特的服務(wù)器保護(hù)途徑,由包過采用獨特的服務(wù)器保護(hù)途徑,由包過濾、狀態(tài)包檢測和實時入侵檢測組成分層防護(hù)體系。濾、狀態(tài)包檢測和實時入侵檢測組成分層防護(hù)體系。u這種體系能夠在提供合理吞吐率的前提下,最大限度這種體系能夠在提供合理吞吐率的前提下,最大限度地保

55、護(hù)服務(wù)器的敏感內(nèi)容,既可以以軟件形式嵌入到地保護(hù)服務(wù)器的敏感內(nèi)容,既可以以軟件形式嵌入到應(yīng)用程序?qū)Σ僮飨到y(tǒng)的調(diào)用當(dāng)中,攔截針對操作系統(tǒng)應(yīng)用程序?qū)Σ僮飨到y(tǒng)的調(diào)用當(dāng)中,攔截針對操作系統(tǒng)的可疑調(diào)用,提供對主機(jī)的安全防護(hù),也可以以更改的可疑調(diào)用,提供對主機(jī)的安全防護(hù),也可以以更改操作系統(tǒng)內(nèi)核程序的方式,提供比操作系統(tǒng)更加嚴(yán)謹(jǐn)操作系統(tǒng)內(nèi)核程序的方式,提供比操作系統(tǒng)更加嚴(yán)謹(jǐn)?shù)陌踩刂茩C(jī)制。的安全控制機(jī)制。u由于由于HIPSHIPS工作在受保護(hù)的主機(jī)工作在受保護(hù)的主機(jī)/ /服務(wù)器上,它服務(wù)器上,它不但能夠利用特征和行為規(guī)則檢測,阻止諸如不但能夠利用特征和行為規(guī)則檢測,阻止諸如緩沖區(qū)溢出之類的已知攻擊,還能夠防范未知緩沖區(qū)溢出之類的已知攻擊,還能夠防范未知攻擊,防止針對攻擊,防止針對WebWeb頁面、應(yīng)用和資源的未授頁面、應(yīng)用和資源的未授權(quán)的任何非法訪問。權(quán)的任何非法訪問。uHIPSHIPS與具體的主機(jī)與具體的主機(jī)/ /服務(wù)器操作系統(tǒng)平臺緊密服務(wù)器操作系統(tǒng)平臺緊密相關(guān),不同的平臺需要不同的軟件代理程序。相關(guān),不同的平臺需要不同的軟件代理程序。(2 2)基于網(wǎng)絡(luò)的入侵防護(hù))基于網(wǎng)絡(luò)的入侵防護(hù)(NIPS)(NIPS)。uNIPSNIPS通過檢測流經(jīng)的網(wǎng)絡(luò)流量,提供對網(wǎng)絡(luò)通過檢測流經(jīng)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論