銳捷安全專項認證課程-IDS技術(shù)

1、IDS技術(shù)學習目標通過本章的學習，希望您能夠：了解什么是IDS了解IDS的工作原理了解數(shù)據(jù)捕獲方式了解IDS、IPS、防火墻的區(qū)別部署與配置RG-IDS本章內(nèi)容什么是IDSIDS工作原理數(shù)據(jù)捕獲方式IDS、IPS、防火墻的區(qū)別課程議題什么是IDS什么是IDS？IDS（Intrusion Detection System）的概念I(lǐng)DS是硬件或軟件用于檢測對網(wǎng)絡(luò)的攻擊對攻擊的積極響應好人壞人什么是IDS？（續(xù)）IDS的起源與發(fā)展概念的誕生1980年美國空軍做了題為計算機安全威脅監(jiān)控與監(jiān)視，第一次詳細闡述了入侵檢測的概念模型的發(fā)展19841986年喬治敦大學的Dorothy Denning和SRI公

2、司的計算機科學實驗室Peter Neumann研究出了一個入侵檢測模型，取名為IDES（入侵檢測專家系統(tǒng)）。它獨立于特定的系統(tǒng)平臺、應用環(huán)境、應用弱點以及入侵類型真正提出的入侵檢測思想百花齊放1990年美國加州大學第一次將網(wǎng)絡(luò)數(shù)據(jù)流作為審計來源分析入侵活動，為入侵檢測技術(shù)翻開新的一頁。從此入侵檢測技術(shù)分為網(wǎng)絡(luò)入侵檢測技術(shù)和主機入侵檢測技術(shù)，并且兩種方式不斷壯大起來里程碑2000年分布式IDS出現(xiàn)HIDS（Host IDS）Internet網(wǎng)絡(luò)服務器1客戶端網(wǎng)絡(luò)服務器2X 檢測內(nèi)容：系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應用日志HIDSXHIDSHIDS（續(xù)）在最終目的進行分析對網(wǎng)絡(luò)的視野有限

3、性能問題部署問題NIDS（Network IDS）InternetNIDS網(wǎng)絡(luò)服務器1數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分客戶端網(wǎng)絡(luò)服務器2X檢測內(nèi)容：包頭信息+有效數(shù)據(jù)部分NIDS（續(xù)）視野開闊易于部署帶寬、性能問題加密問題課程議題IDS的工作原理IDS警報什么是警報IDS檢測到入侵活動時，都必須產(chǎn)生一些警報以發(fā)出信號由于IDS沒有100%的正確率，所以IDS警報分為兩大類錯誤警報誤報漏報正確警報正確命中正確拒絕IDS檢測方式異常檢測模式匹配（簽名匹配）協(xié)議分析異常檢測概念也稱為模型檢測，需要為用戶習慣建立模型。模型為用戶定義了行為特征，以及為用戶執(zhí)行正常任務定義了一個基線優(yōu)點檢測以前未發(fā)布的攻擊

4、缺點用戶習慣改變時，必須更新用戶模型很難把特定的攻擊與警報相關(guān)聯(lián)模式匹配概念也稱為濫用檢測，探測與具體特征相匹配的入侵行為，將收集到的信息與特征庫匹配優(yōu)點基于已知的入侵行為安裝后立刻就能進行檢測缺點需要更新簽名庫（特征庫）有些攻擊能繞過IDS無法檢測未知攻擊模式匹配（續(xù)）張三命中協(xié)議分析協(xié)議分析（續(xù)）ETHERARPIPRARPICMPIGMPTCPUDPPOP3FTPHTTP。DNS第一步直接跳到第13個字節(jié)，并讀取2個字節(jié)的協(xié)議標識。如果值是0800，則說明這個以太網(wǎng)幀的數(shù)據(jù)域攜帶的是IP包，基于協(xié)議解碼的入侵檢測利用這一信息指示第二步的檢測工作。第二步跳到第24個字節(jié)處讀取1字節(jié)的第四層

5、協(xié)議標識。如果讀取到的值是06，則說明這個IP幀的數(shù)據(jù)域攜帶的是TCP包，入侵檢測利用這一信息指示第三步的檢測工作。第三步跳到第35個字節(jié)處讀取一對端口號。如果有一個端口號是0080，則說明這個TCP幀的數(shù)據(jù)域攜帶的是HTTP包，基于協(xié)議解碼的入侵檢測利用這一信息指示第四步的檢測工作。第四步讓解析器從第55個字節(jié)開始讀取URL。 URL串將被提交給HTTP解析器，在它被允許提交給Web服務器前，由HTTP解析器來分析它是否可能會做攻擊行為。協(xié)議分析（續(xù)）0800 13字節(jié) 06 24字節(jié) 0800 35字節(jié) 55字節(jié) 張三匹配基于狀態(tài)的檢測IDSPC-A源地址目標地址源端口目標端口初始序列號A

6、CK標記 103380350771syn103380350772133076syn-ack103380350773133077ack狀態(tài)表源地址目標地址源端口目標端口序列號IDS響應技術(shù)報警記錄日志TCP reset聯(lián)動SNMP Trap郵件通知IDS逃避技術(shù)泛洪使IDS產(chǎn)生大量警報，隱藏真正攻擊消耗IDS系統(tǒng)資源分片消耗IDS系統(tǒng)資源加密迷惑使用不同的字符表達方式課程議題數(shù)據(jù)捕獲方式HUB物理層設(shè)備將流量向所有端口復制安全問題流量鏡像SPAN（Switch Port Analyzer）交換機的端口監(jiān)控功能將一個或多個來自某端口或VLAN的數(shù)據(jù)鏡像到另一個目的端口目的端口常用來連接網(wǎng)絡(luò)分析儀安

7、全性高配置SPAN配置端口鏡像的源端口monitor session session-number source interface interface both | rx | txSwitch(config)#monitor session session-number destination interface interfaceSwitch(config)#配置端口鏡像的目的端口以太網(wǎng)接口的工作模式正常模式只接收目的MAC與自己MAC匹配的報文接收廣播報文混雜模式接收所有報文（目的MAC非自身MAC的報文）IDS接口為混雜模式課程議題IDS、IPS與防火墻的區(qū)別IDS、IPS、防火墻對比

8、防火墻可以檢測20%的攻擊IDS可以檢測80%的攻擊IPS可以檢測50%的攻擊IDS、IPS、防火墻對比（續(xù)）特征IDSIPSFirewall部署方式旁路在線在線優(yōu)勢性能結(jié)合IDS/FW嚴格的安全規(guī)則檢測層次L3以上L3以上L3/L4成熟度很成熟不成熟非常成熟課程議題部署與配置RG-IDS安裝組件步驟安裝RG IDS Sensor安裝DataBase安裝RG IDS LogServer安裝RG IDS Event-Collector安裝RG IDS Console安裝RG IDS Report 安裝順序配置SensorSENSOR顯示的當前狀態(tài) 輸入管理員密碼，進入管理窗口配置SENSOR的網(wǎng)

9、絡(luò)連接狀態(tài)配置DataBase安裝微軟MSDE組件初始配置計算機重啟安裝LogServer配置LogServer安裝完成，出現(xiàn)“數(shù)據(jù)服務初始化配置”窗口也可以通過點擊“開始程序入侵檢測系統(tǒng)入侵檢測系統(tǒng)（網(wǎng)絡(luò)）RG IDS 數(shù)據(jù)服務安裝”進入此窗口配置 Event-Collector安裝License安裝許可證配置 Event-Collector在應用服務管理器中啟用事件收集服務主要功能：后臺服務的啟動管理收集組件的狀態(tài)調(diào)試信息配置用戶控制臺登錄界面對用戶做管理及審計信息添加組件組件管理添加組件添加傳感器組件配置窗口添加傳感器同步簽名、應用策略、重啟引擎應用策略后會出現(xiàn)斷開標志；大約2分鐘時間，后出現(xiàn)編譯簽名標志；整個同步簽名需要大約需要20分鐘時間。添加LogServer添加LogServer策略編輯策略編輯器窗口添加特殊事件添加特殊事件進入“策略”“告警策略”窗口展開“一般事件樹”右鍵點擊某個攻擊簽名，在出現(xiàn)的菜單中選擇“添加到特殊事件窗口”在彈出的窗口中，輸入新建事件組的名稱點擊“確定”按鈕，該攻擊簽名將出現(xiàn)在特殊事件窗口中事件統(tǒng)計圖一般事件統(tǒng)計圖表窗口事件風險一般事件風險列表窗口