入侵檢測技術(shù)原理

1、1會計學入侵檢測技術(shù)原理入侵檢測技術(shù)原理 網(wǎng)絡(luò)入侵的現(xiàn)狀網(wǎng)絡(luò)入侵的現(xiàn)狀 IDS的概念和作用的概念和作用 IDS的分類方法學的分類方法學 IDS的結(jié)構(gòu)和具體應(yīng)用的結(jié)構(gòu)和具體應(yīng)用 入侵檢測的困惑與反入侵檢測技術(shù)入侵檢測的困惑與反入侵檢測技術(shù) 入侵檢測的瓶頸和解決方法入侵檢測的瓶頸和解決方法 入侵檢測的標準化和最新發(fā)展入侵檢測的標準化和最新發(fā)展牛牛文庫文檔分享 入侵行為主要是指對信息系統(tǒng)資源入侵行為主要是指對信息系統(tǒng)資源的非授權(quán)使用，它可以造成系統(tǒng)數(shù)據(jù)的的非授權(quán)使用，它可以造成系統(tǒng)數(shù)據(jù)的丟失和破壞、可以造成系統(tǒng)拒絕對合法丟失和破壞、可以造成系統(tǒng)拒絕對合法用戶服務(wù)等危害。用戶服務(wù)等危害。 牛牛文庫文檔

2、分享牛牛文庫文檔分享內(nèi)外勾結(jié)內(nèi)外勾結(jié)特殊身份人員特殊身份人員外部個人和小組外部個人和小組（所謂黑客）（所謂黑客）競爭對手和恐怖組織競爭對手和恐怖組織敵對國家和軍事組織敵對國家和軍事組織內(nèi)部人員內(nèi)部人員80%15%牛牛文庫文檔分享越來越多的安全漏洞越來越多的安全漏洞為入侵提供了機會！為入侵提供了機會！牛牛文庫文檔分享牛牛文庫文檔分享 網(wǎng)絡(luò)入侵的現(xiàn)狀網(wǎng)絡(luò)入侵的現(xiàn)狀 IDS的概念和作用的概念和作用 IDS的分類方法學的分類方法學 IDS的結(jié)構(gòu)和具體應(yīng)用的結(jié)構(gòu)和具體應(yīng)用 入侵檢測的困惑與反入侵檢測技術(shù)入侵檢測的困惑與反入侵檢測技術(shù) 入侵檢測的瓶頸和解決方法入侵檢測的瓶頸和解決方法 入侵檢測的標準化和最

3、新發(fā)展入侵檢測的標準化和最新發(fā)展牛牛文庫文檔分享牛牛文庫文檔分享什么是入侵檢測系統(tǒng)？什么是入侵檢測系統(tǒng)？ IDS IDS（Intrusion Detection SystemIntrusion Detection System），是通過從），是通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。（略的行為和遭到襲擊的跡象的一種安全技術(shù)。（ICSAICSA入侵檢測系統(tǒng)論壇）入侵檢測系統(tǒng)論壇） 是一套監(jiān)控和識別計算

4、機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中是一套監(jiān)控和識別計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的事件，根據(jù)規(guī)則進行入侵檢測和響應(yīng)的軟發(fā)生的事件，根據(jù)規(guī)則進行入侵檢測和響應(yīng)的軟件系統(tǒng)或軟件與硬件組合的系統(tǒng)。件系統(tǒng)或軟件與硬件組合的系統(tǒng)。 牛牛文庫文檔分享牛牛文庫文檔分享活動被保護對象感應(yīng)器分析器管理器操作員管理員事件警報通告查看安全策略入侵檢測系統(tǒng)原理圖入侵檢測系統(tǒng)原理圖安全策略應(yīng)急處理牛牛文庫文檔分享牛牛文庫文檔分享牛牛文庫文檔分享牛牛文庫文檔分享兩個安全域之間通信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBlockHost CHost BTCPPassHost CHost AD

5、estinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進出網(wǎng)絡(luò)的行為牛牛文庫文檔分享來自內(nèi)部用戶的攻擊來自內(nèi)部用戶的攻擊攻擊包沒有經(jīng)過防攻擊包沒有經(jīng)過防火墻，防火墻無能火墻，防火墻無能為力為力Attack codeAttack code牛牛文庫文檔分享InternetRouterFirewallInternetModem防火墻路由器內(nèi)部網(wǎng)絡(luò)ISPModemComputerComputerComputerMinicomputer繞過防火墻的攻擊繞過防火墻的攻擊Attack code攻擊包沒有經(jīng)過防攻擊包沒有經(jīng)過防火墻，防火墻無能火墻，防火墻無能為力為力牛牛文庫文檔分享%

6、c1%1c防火墻根據(jù)訪問控制防火墻根據(jù)訪問控制規(guī)則，判斷為合法訪規(guī)則，判斷為合法訪問而將數(shù)據(jù)包放行問而將數(shù)據(jù)包放行低版本的低版本的IIS 將將%c1%1c解析為解析為dir c:并執(zhí)行該命令并執(zhí)行該命令unicode attack數(shù)據(jù)驅(qū)動型攻擊數(shù)據(jù)驅(qū)動型攻擊牛牛文庫文檔分享要確保網(wǎng)絡(luò)的安全，就要對網(wǎng)絡(luò)訪問行為進要確保網(wǎng)絡(luò)的安全，就要對網(wǎng)絡(luò)訪問行為進行實時監(jiān)控，這就需要行實時監(jiān)控，這就需要IDSIDS無時不在的保護！無時不在的保護！牛牛文庫文檔分享防火墻就象一道門，它可以阻止一類人群的進入，但無法阻止防火墻就象一道門，它可以阻止一類人群的進入，但無法阻止混在同一類人群中的破壞分子，也不能阻止內(nèi)部

7、的破壞分子；混在同一類人群中的破壞分子，也不能阻止內(nèi)部的破壞分子；訪問控制系統(tǒng)可以不讓低級權(quán)限的人做越權(quán)工作，但無法保證訪問控制系統(tǒng)可以不讓低級權(quán)限的人做越權(quán)工作，但無法保證高級權(quán)限的做破壞工作，也無法保證低級權(quán)限的人通過非法行高級權(quán)限的做破壞工作，也無法保證低級權(quán)限的人通過非法行為獲得高級權(quán)限；為獲得高級權(quán)限； 在安全體系中，在安全體系中，IDSIDS是唯一一個通過數(shù)據(jù)和行為模式判斷其是否是唯一一個通過數(shù)據(jù)和行為模式判斷其是否有效的系統(tǒng)，它是防火墻和訪問控制機制的合理補充，可看作有效的系統(tǒng)，它是防火墻和訪問控制機制的合理補充，可看作是防火墻之后的第二道安全閘門，實時收集和分析計算機系統(tǒng)是防火

8、墻之后的第二道安全閘門，實時收集和分析計算機系統(tǒng)和網(wǎng)絡(luò)中的信息，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員和網(wǎng)絡(luò)中的信息，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括監(jiān)視、進攻識別、響應(yīng)和安全審計），的安全管理能力（包括監(jiān)視、進攻識別、響應(yīng)和安全審計），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。牛牛文庫文檔分享監(jiān)控室監(jiān)控室=控制中心控制中心后門后門保安保安=防火墻防火墻攝像機攝像機=IDS探測引擎探測引擎 形象地說，IDS就是一臺智能的X光攝像機，它能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，分析并提煉出可疑的、異常的內(nèi)容，尤其是它能夠洞察一些巧妙的偽裝，抓住內(nèi)容的實質(zhì)，此

9、外，它還能夠?qū)θ肭中袨樽詣拥剡M行響應(yīng)：報警、阻斷連接、關(guān)閉道路（與防火墻聯(lián)動）。牛牛文庫文檔分享IDSIDS系統(tǒng)的兩大職責：實時監(jiān)測和安全審計。系統(tǒng)的兩大職責：實時監(jiān)測和安全審計。實時監(jiān)測實時監(jiān)測實時地監(jiān)視網(wǎng)絡(luò)中所有的數(shù)據(jù)報文以及系統(tǒng)實時地監(jiān)視網(wǎng)絡(luò)中所有的數(shù)據(jù)報文以及系統(tǒng)中的訪問行為，識別已知的攻擊行為，分析異常訪問行為中的訪問行為，識別已知的攻擊行為，分析異常訪問行為，發(fā)現(xiàn)并實時處理來自內(nèi)部和外部的攻擊事件和越權(quán)訪問，發(fā)現(xiàn)并實時處理來自內(nèi)部和外部的攻擊事件和越權(quán)訪問；安全審計安全審計通過對通過對IDSIDS系統(tǒng)記錄的違反安全策略的用戶系統(tǒng)記錄的違反安全策略的用戶活動進行統(tǒng)計分析，并得出網(wǎng)絡(luò)系

10、統(tǒng)的安全狀態(tài)，并對重活動進行統(tǒng)計分析，并得出網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)，并對重要事件進行記錄和還原，為事后追查提供必要的證據(jù)。要事件進行記錄和還原，為事后追查提供必要的證據(jù)。牛牛文庫文檔分享監(jiān)測監(jiān)測系統(tǒng)系統(tǒng)訪問訪問牛牛文庫文檔分享聯(lián)聯(lián)動動入侵檢測入侵檢測防火墻防火墻實時性實時性協(xié)議層次協(xié)議層次應(yīng)用層應(yīng)用層表示層表示層會話層會話層傳輸層傳輸層IP層層數(shù)據(jù)鏈層數(shù)據(jù)鏈層物理層物理層 實時實時 準實時準實時 事后事后實時分析所有的數(shù)據(jù)包，決定是否允許通過監(jiān)控所有的數(shù)據(jù)包，判斷是否非法，進行相應(yīng)處理（如阻斷或者報警）記錄所有的操作以備事后查詢?yōu)橄到y(tǒng)提供全方位的保護為系統(tǒng)提供全方位的保護安全審計安全審計提交事件信

11、息提交事件信息提交事件信息提交事件信息牛牛文庫文檔分享安全目標：安全目標：防護時間防護時間 檢測時間檢測時間 + 響應(yīng)時間響應(yīng)時間 在整體的安全在整體的安全策略策略的控制的控制和指導(dǎo)下，在綜合運用和指導(dǎo)下，在綜合運用防護防護工工具（如防火墻、身份認證、加具（如防火墻、身份認證、加密等手段）的同時，利用密等手段）的同時，利用檢測檢測工具（如漏洞評估、入侵檢測工具（如漏洞評估、入侵檢測等）了解和評估系統(tǒng)的安全狀等）了解和評估系統(tǒng)的安全狀態(tài)，通過適當?shù)膽B(tài)，通過適當?shù)捻憫?yīng)響應(yīng)及更新策及更新策略，然后循環(huán)（螺旋式上升過略，然后循環(huán)（螺旋式上升過程），逐漸將系統(tǒng)調(diào)整到程），逐漸將系統(tǒng)調(diào)整到“最最安全安全”

12、和和“風險最低風險最低”的狀態(tài)的狀態(tài)。牛牛文庫文檔分享牛牛文庫文檔分享對入侵和攻擊的全面檢測能力對入侵和攻擊的全面檢測能力新漏洞及最新的入侵手段（本地化的研發(fā)和售后服務(wù)）對抗欺騙的能力對抗欺騙的能力防誤報及漏報的能力（模式匹配、異常分析和智能分析）對抗攻擊的能力對抗攻擊的能力對抗針對IDS的拒絕服務(wù)的能力（事件風暴的防御）報警及阻斷能力報警及阻斷能力多種類型的報警及阻斷功能可以提供全方位的保護本身的安全性本身的安全性IDS自身的加密認證及安全措施，惡意代碼或數(shù)據(jù)回傳人機界面人機界面方便管理，降低管理人員的負擔（多級控制，豐富報表等）牛牛文庫文檔分享 網(wǎng)絡(luò)入侵的現(xiàn)狀網(wǎng)絡(luò)入侵的現(xiàn)狀 IDS的概念和

13、作用的概念和作用 IDS的分類方法學的分類方法學 IDS的結(jié)構(gòu)和具體應(yīng)用的結(jié)構(gòu)和具體應(yīng)用 入侵檢測的困惑與反入侵檢測技術(shù)入侵檢測的困惑與反入侵檢測技術(shù) 入侵檢測的瓶頸和解決方法入侵檢測的瓶頸和解決方法 入侵檢測的標準化和最新發(fā)展入侵檢測的標準化和最新發(fā)展牛牛文庫文檔分享牛牛文庫文檔分享牛牛文庫文檔分享牛牛文庫文檔分享牛牛文庫文檔分享用戶行為用戶行為模式匹配模式匹配入侵特征入侵特征知識庫知識庫發(fā)現(xiàn)入侵！發(fā)現(xiàn)入侵！牛牛文庫文檔分享牛牛文庫文檔分享誤用檢測實例誤用檢測實例 入侵檢測引擎捕獲到一個協(xié)議數(shù)據(jù)包，提交給協(xié)議分析模塊，發(fā)現(xiàn)這是一個IP-TCP-Http的協(xié)議數(shù)據(jù)，將其提交給HTTP協(xié)議的數(shù)據(jù)

14、分析模塊。牛牛文庫文檔分享誤用檢測實例誤用檢測實例牛牛文庫文檔分享行為尺度行為尺度可能的入侵可能的入侵用戶行為用戶行為牛牛文庫文檔分享牛牛文庫文檔分享牛牛文庫文檔分享牛牛文庫文檔分享牛牛文庫文檔分享牛牛文庫文檔分享主機IDS和網(wǎng)絡(luò)IDS的比較牛牛文庫文檔分享主機IDS和網(wǎng)絡(luò)IDS的比較牛牛文庫文檔分享主機IDS和網(wǎng)絡(luò)IDS的比較牛牛文庫文檔分享主機IDS和網(wǎng)絡(luò)IDS的比較牛牛文庫文檔分享 網(wǎng)絡(luò)入侵的現(xiàn)狀網(wǎng)絡(luò)入侵的現(xiàn)狀 IDS的概念和作用的概念和作用 IDS的分類方法學的分類方法學 IDS的結(jié)構(gòu)和具體應(yīng)用的結(jié)構(gòu)和具體應(yīng)用 入侵檢測的困惑與反入侵檢測技術(shù)入侵檢測的困惑與反入侵檢測技術(shù) 入侵檢測的瓶

15、頸和解決方法入侵檢測的瓶頸和解決方法 入侵檢測的標準化和最新發(fā)展入侵檢測的標準化和最新發(fā)展牛牛文庫文檔分享主體對目標對象的操作行為，是否存在異常，資源使用狀況，活動發(fā)生時間入侵行為異于正常行為異常事件，發(fā)生時間，特征輪廓主體正?；顒佑嘘P(guān)信息是否發(fā)生入侵？牛牛文庫文檔分享牛牛文庫文檔分享事件（event）：網(wǎng)絡(luò)中的數(shù)據(jù)包，或從系統(tǒng)日志等其他途徑得到的信息。 通過傳感器收集事件信息，并提供給系統(tǒng)的其他部分。分析得到的數(shù)據(jù)中是否存在誤用模式，并產(chǎn)生分析結(jié)果。 根據(jù)策略，對事件及分析結(jié)果作出反應(yīng)，如切斷連接、改變文件屬性或只是簡單的報警。 存放各種中間和最終數(shù)據(jù)，可以是關(guān)系型數(shù)據(jù)庫或簡單的文本文件。

16、牛牛文庫文檔分享牛牛文庫文檔分享牛牛文庫文檔分享引擎結(jié)構(gòu)引擎結(jié)構(gòu)控制中心結(jié)構(gòu)控制中心結(jié)構(gòu)牛牛文庫文檔分享牛牛文庫文檔分享HUBIDS SensorMonitored ServersConsoleNIDS的部署方式-共享環(huán)境Console隱蔽模式隱蔽模式，不設(shè)不設(shè)IP牛牛文庫文檔分享SwitchIDS SensorMonitored ServersConsoleNIDS的部署方式-交換環(huán)境通過端口鏡像實現(xiàn)通過端口鏡像實現(xiàn)（SPAN / Port Monitor）Console隱蔽模式隱蔽模式，不設(shè)不設(shè)IP牛牛文庫文檔分享NIDS的部署方式-TAP分流INTERNETTapIDS SensorCo

17、nsole無法提供端口鏡像牛牛文庫文檔分享IDS Sensors多個探測器分多個探測器分擔負載擔負載NIDS的部署方式-高速環(huán)境L4或或L7交換設(shè)備交換設(shè)備牛牛文庫文檔分享Internet部署一部署三部署四NIDS的部署方式-分布式部署部署二牛牛文庫文檔分享NIDS的部署方式-分布式部署邏輯結(jié)構(gòu)牛牛文庫文檔分享 網(wǎng)絡(luò)入侵的現(xiàn)狀網(wǎng)絡(luò)入侵的現(xiàn)狀 IDS的概念和作用的概念和作用 IDS的分類方法學的分類方法學 IDS的結(jié)構(gòu)和具體應(yīng)用的結(jié)構(gòu)和具體應(yīng)用 入侵檢測的困惑與反入侵檢測技術(shù)入侵檢測的困惑與反入侵檢測技術(shù) 入侵檢測的瓶頸和解決方法入侵檢測的瓶頸和解決方法 入侵檢測的標準化和最新發(fā)展入侵檢測的標準

18、化和最新發(fā)展牛牛文庫文檔分享入侵檢測沒有用的技術(shù)？牛牛文庫文檔分享入侵檢測真的沒有用嗎？牛牛文庫文檔分享牛牛文庫文檔分享牛牛文庫文檔分享牛牛文庫文檔分享牛牛文庫文檔分享 采用正常端口通信：Netspy的默認端口是7306， BO2k的默認端口是54320 基于ICMP協(xié)議通信：IDS一般不檢查ICMP包數(shù)據(jù)類型 基于特殊報頭域值激活后門：被控制主機內(nèi)核對特殊報頭的包特殊處理，如執(zhí)行一個攻擊者預(yù)先設(shè)計好的動作舉例：利用HttpTunnel工具牛牛文庫文檔分享 網(wǎng)絡(luò)入侵的現(xiàn)狀網(wǎng)絡(luò)入侵的現(xiàn)狀 IDS的概念和作用的概念和作用 IDS的分類方法學的分類方法學 IDS的結(jié)構(gòu)和具體應(yīng)用的結(jié)構(gòu)和具體應(yīng)用 入侵

19、檢測的困惑與反入侵檢測技術(shù)入侵檢測的困惑與反入侵檢測技術(shù) 入侵檢測的瓶頸和解決方法入侵檢測的瓶頸和解決方法 入侵檢測的標準化和最新發(fā)展入侵檢測的標準化和最新發(fā)展牛牛文庫文檔分享牛牛文庫文檔分享網(wǎng)絡(luò)數(shù)據(jù)網(wǎng)絡(luò)數(shù)據(jù)誤誤用用檢檢測測異異常常檢檢測測智智能能協(xié)協(xié)議議分分析析會會話話狀狀態(tài)態(tài)分分析析報報警警事事件件實實時時關(guān)關(guān)聯(lián)聯(lián)檢檢測測綜合使用誤用檢測、異常檢測綜合使用誤用檢測、異常檢測、智能協(xié)議分析、會話狀態(tài)分、智能協(xié)議分析、會話狀態(tài)分析、實時關(guān)聯(lián)檢測等多種入侵析、實時關(guān)聯(lián)檢測等多種入侵檢測技術(shù)檢測技術(shù) ，保證檢測準確性，保證檢測準確性特特有有的的多多層層加加速速功功能能組組件件強大的病毒（蠕蟲）檢測

20、能力，具有超過強大的病毒（蠕蟲）檢測能力，具有超過600條的蠕蟲檢測規(guī)則條的蠕蟲檢測規(guī)則對各種常見網(wǎng)絡(luò)協(xié)議報文進對各種常見網(wǎng)絡(luò)協(xié)議報文進行回放行回放牛牛文庫文檔分享 網(wǎng)絡(luò)入侵的現(xiàn)狀網(wǎng)絡(luò)入侵的現(xiàn)狀 IDS的概念和作用的概念和作用 IDS的分類方法學的分類方法學 IDS的結(jié)構(gòu)和具體應(yīng)用的結(jié)構(gòu)和具體應(yīng)用 入侵檢測的困惑與反入侵檢測技術(shù)入侵檢測的困惑與反入侵檢測技術(shù) 入侵檢測的瓶頸和解決方法入侵檢測的瓶頸和解決方法 入侵檢測的標準化和最新發(fā)展入侵檢測的標準化和最新發(fā)展牛牛文庫文檔分享牛牛文庫文檔分享牛牛文庫文檔分享牛牛文庫文檔分享 只有在線對流量進行深度防御，才能第只有在線對流量進行深度防御，才能第一

21、時間阻擋來自外部網(wǎng)絡(luò)的攻擊一時間阻擋來自外部網(wǎng)絡(luò)的攻擊服務(wù)器服務(wù)器防火墻防火墻IDS報警報警 !發(fā)送TCPRST指令，終止TCP連接 重新配置防火墻，使其能阻擋來自攻擊地址的流量TCP resets 和 Firewall 不能真正工作 整個操作要花100毫秒的時間 ，這對現(xiàn)代的網(wǎng)絡(luò)來說是一個巨大的時間窗口 不能阻擋類似于Slammer(單個UDP數(shù)據(jù)報)的攻擊 IPS能在一個攻擊發(fā)生危害之前，對其實施阻擋 它根據(jù)每個數(shù)據(jù)包，作出允許還是拒絕的決定 對網(wǎng)絡(luò)進行精細化管理、防御“IDS+FW”對瞬間完成的攻擊不對瞬間完成的攻擊不能起到理想的防御效果！能起到理想的防御效果！ 為什么需要IPS牛牛文庫文檔分享IPS技術(shù)實現(xiàn)的難點單點故障 解決方案一：Fail-Open（硬件Bypass）解決方案二：雙機熱備牛牛文庫文檔分享IPS技術(shù)實現(xiàn)的難點性能瓶頸Traffic Preven