物聯(lián)網(wǎng)信息安全 課件 第2章 7入侵防御技術(shù)

物聯(lián)網(wǎng)信息安全入侵防御技術(shù)江蘇科技大學(xué)計算機學(xué)院入侵防御系統(tǒng)IPS入侵防御系統(tǒng)的設(shè)計思想以及其應(yīng)該具備的特征入侵防御系統(tǒng)的設(shè)計入侵防御系統(tǒng)的應(yīng)用部署1、入侵防御系統(tǒng)IPS面對形勢嚴(yán)峻的網(wǎng)絡(luò)與信息安全問題，需要有更好更強大的技術(shù)來緩解這個局面，常見的網(wǎng)絡(luò)安全技術(shù)有防火墻技術(shù)和入侵檢測系統(tǒng)(IDS)等，雖然使得網(wǎng)絡(luò)安全性得到進(jìn)一步提高，但技術(shù)本身總會存在或多或少的缺陷，這就導(dǎo)致讓黑客有可乘之隙。網(wǎng)絡(luò)攻擊者可以利用這些漏洞，輕易避開防御措施來竊取或破壞信息資源。在這種情況下，入侵防御系統(tǒng)(IntrusionPreventionSystem，IPS)應(yīng)運而王。1、入侵防御系統(tǒng)IPSIPS是一種新型的智能化安全技術(shù)，它不僅能檢測入侵行為的發(fā)生，而且能操控防火墻和其他響應(yīng)方式，對入侵行為進(jìn)行及時的阻斷，保證信息結(jié)構(gòu)盡量不受攻擊。ISP串聯(lián)在網(wǎng)絡(luò)上，通過某個網(wǎng)絡(luò)端口監(jiān)視外網(wǎng)的流量，當(dāng)發(fā)生入侵活動和攻擊性網(wǎng)絡(luò)流量的時候，會自動產(chǎn)生防護(hù)機制，對其采取相關(guān)的攔截和阻斷。1、入侵防御系統(tǒng)IPSIPS是入侵檢測系統(tǒng)和防火墻的補充，與防火墻相比，盡管它的功能還是比較的單一，但由于它是串聯(lián)在網(wǎng)絡(luò)的接口處，對于防火墻所不能檢測到的數(shù)據(jù)能夠進(jìn)行過濾。與入侵檢測系統(tǒng)相比，IPS在檢測到攻擊后會及時響應(yīng)并對其采取相關(guān)的阻斷攻擊，可以說IPS是新一代的網(wǎng)絡(luò)安全產(chǎn)品。然而隨著入侵防御技術(shù)的不斷發(fā)展，問題也逐漸暴露出來，主要體現(xiàn)在單點故障、性能瓶頸、誤報和漏報三大方面。因此，研究入侵防御技術(shù)對于目前網(wǎng)絡(luò)安全狀況的改善有一定的作用。1、入侵防御系統(tǒng)IPS防火墻與IPS的相互補充示意圖1、入侵防御系統(tǒng)IPS作為防火墻與IDS聯(lián)動模式的替代者，相比之前的安全產(chǎn)品，IPS被認(rèn)為具有很大的優(yōu)勢，目前在國內(nèi)外都得到廣泛應(yīng)用，在許多方面己經(jīng)完全取代了傳統(tǒng)IDS和防火墻的部分應(yīng)用。1、入侵防御系統(tǒng)IPS

防火墻是粒度比較粗的訪問控制產(chǎn)品，在基于TCP/IP協(xié)議的過濾方面表現(xiàn)出色；IPS的功能比較單一，它只能串聯(lián)在網(wǎng)絡(luò)上，對防火墻所不能過濾的攻擊進(jìn)行過濾。所以防火墻和IPS構(gòu)成了一個兩級的過濾模式，可以最大限度地保證系統(tǒng)的安全。1、入侵防御系統(tǒng)IPSIPS的工作原理圖2、入侵防御系統(tǒng)的設(shè)計思想以及其應(yīng)該具備的特征

入侵防御系統(tǒng)不但能檢測異常行為的發(fā)生，而且能通過主動響應(yīng)阻止入侵的發(fā)生，實時地保護(hù)信息系統(tǒng)不受實質(zhì)性攻擊，由此可以看出，入侵防御系統(tǒng)應(yīng)該包括入侵檢測和對入侵行為做出響應(yīng)的功能。在入侵檢測系統(tǒng)設(shè)計時，應(yīng)將防火墻、入侵檢測以及主動阻止入侵行為的功能融合考慮進(jìn)去，避免以上安全產(chǎn)品之間相互孤立，缺乏有效聯(lián)動，節(jié)省分別部署造成的資源和空間的浪費。理想的入侵防御系統(tǒng)應(yīng)該具備的特征：（1）嵌入式運行模式入侵防御系統(tǒng)采用嵌入式允許模式才能實現(xiàn)實時的檢測并阻斷入侵行為?？梢愿鶕?jù)實際情況將入侵防御系統(tǒng)嵌入到服務(wù)器、路由器、關(guān)鍵主機、交換機等網(wǎng)絡(luò)設(shè)備中，實現(xiàn)信息系統(tǒng)高強度實時積極防護(hù)。理想的入侵防御系統(tǒng)應(yīng)該具備的特征：（2）高效的處理能力入侵防御系統(tǒng)必須具備高效的數(shù)據(jù)包處理能力和精確的檢測能力，使入侵防御系統(tǒng)對整個網(wǎng)絡(luò)的性能的影響保持在較低的水平，不能使入侵防御系統(tǒng)成為網(wǎng)絡(luò)速率的瓶頸。理想的入侵防御系統(tǒng)應(yīng)該具備的特征：（3）深入分析能力入侵防御系統(tǒng)必須具備深入的分析能力，實現(xiàn)對惡意數(shù)據(jù)包的深層分析，發(fā)現(xiàn)并控制惡意的攻擊行為。理想的入侵防御系統(tǒng)應(yīng)該具備的特征：（4）高可靠性入侵防御系統(tǒng)串聯(lián)在網(wǎng)絡(luò)或系統(tǒng)中，一旦入侵防御系統(tǒng)發(fā)生故障將重影響網(wǎng)絡(luò)的正常運轉(zhuǎn)，甚至?xí)斐删W(wǎng)絡(luò)的中斷。入侵防御系統(tǒng)必須具備高可靠性才能保證信息及時可靠的發(fā)布。理想的入侵防御系統(tǒng)應(yīng)該具備的特征：（5）可升級與可擴展性入侵防御系統(tǒng)可以根據(jù)網(wǎng)絡(luò)形式的發(fā)展變化而升級，以滿足用戶的需求，并能夠通過更新檢測模塊和規(guī)則庫來應(yīng)對不斷出現(xiàn)的新攻擊。3、入侵防御系統(tǒng)的設(shè)計入侵防御系統(tǒng)的應(yīng)用部署3.1事件的分類網(wǎng)絡(luò)事件來源可以是網(wǎng)絡(luò)數(shù)據(jù)包、日志文件以及應(yīng)用程序活動狀態(tài)等，網(wǎng)絡(luò)事件經(jīng)過過濾器處理后可分為三類：正常（Normal）、可疑（Suspicious)和入浸（Intrusion)。其中,入侵事件是違反安全策略的行為；可疑事件是不確定的異常事件，只滿足安全策略；正常事件則是合法的，遵循安全策略的事件。3.2系統(tǒng)體系結(jié)構(gòu)入侵防御系統(tǒng)結(jié)構(gòu)圖3.2系統(tǒng)體系結(jié)構(gòu)一般入侵防御系統(tǒng)按照功能的不同可分為五個部分：數(shù)據(jù)包捕獲模塊、入侵檢測攜塊、響應(yīng)模塊、曰志管理模塊以及管理控制模塊*系統(tǒng)結(jié)構(gòu)如圖所示，這五個模塊相互協(xié)作實現(xiàn)入侵防御系統(tǒng)的功能。3.2系統(tǒng)體系結(jié)構(gòu)（1）數(shù)據(jù)捕獲模塊數(shù)據(jù)包的捕獲是入侵防御系統(tǒng)工作的第一步，數(shù)據(jù)包捕獲模塊從網(wǎng)卡處捕獲流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包(日志、網(wǎng)絡(luò)數(shù)據(jù)包以及其他相關(guān)信息)、網(wǎng)絡(luò)關(guān)鍵主機的log佶總以及安全部件的告警信息等，并對這些數(shù)據(jù)做簡單的過濾處理，為整個防御系統(tǒng)提供數(shù)據(jù)源。理想的入侵防御系統(tǒng)應(yīng)該具備的特征：（2）入侵檢測模塊入侵檢測模塊從控制管理模塊處獲取數(shù)據(jù)包，對數(shù)據(jù)進(jìn)行預(yù)處理后，以入侵檢測算法為基礎(chǔ)對數(shù)據(jù)進(jìn)行檢測，將數(shù)據(jù)分為正常和異常兩大類，同時將檢測結(jié)果反饋給管理控制模塊。理想的入侵防御系統(tǒng)應(yīng)該具備的特征：（3）響應(yīng)模塊響應(yīng)模塊主要是對管理控制模塊傳輸來的異常數(shù)據(jù)進(jìn)行防御響應(yīng)，根據(jù)少件危出程度的島低進(jìn)行分級處理，包括記錄、報瞥、阻斷等。3.2系統(tǒng)體系結(jié)構(gòu)響應(yīng)模型理想的入侵防御系統(tǒng)應(yīng)該具備的特征：（4）日志管理模塊日志管理模塊的主要任務(wù)是對異常事件發(fā)生的時間、主體和客體等關(guān)鍵信息進(jìn)行記錄和審計。日志管理模塊收集防火墻和入侵檢測系統(tǒng)以及響應(yīng)系統(tǒng)的信息，并將這些信息組裝成事件記錄到數(shù)據(jù)庫中，為管理控制模塊制定安全策略提供有效的分析數(shù)據(jù)。理想的入侵防御系統(tǒng)應(yīng)該具備的特征：（5）管理控制模塊管理控制模塊時刻保持與其他模塊進(jìn)行數(shù)據(jù)交互，負(fù)責(zé)整個系統(tǒng)的邏輯控制，定時更新并維護(hù)入侵檢測特征庫，遇到入侵?jǐn)?shù)據(jù)時與防火墻聯(lián)動阻斷惡意數(shù)據(jù)包流入網(wǎng)絡(luò)。管理控制模塊對整個入侵防御系統(tǒng)起著至關(guān)重要的作用。4、入侵防御系統(tǒng)的應(yīng)用部署隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，無論是個人或是企業(yè)都與網(wǎng)絡(luò)密不可分，面對新的安全威脅的不斷涌現(xiàn)，網(wǎng)絡(luò)安全顯得尤為重要。網(wǎng)絡(luò)安全設(shè)備的實際應(yīng)用不僅需要實時的檢測與防御能力，而且還需要一種全面、高效的部署方式。入侵防御的應(yīng)用部署如圖下所示。4、入侵防御系統(tǒng)的應(yīng)用部署入侵防御的應(yīng)用部署4、入侵防御系統(tǒng)的應(yīng)用部署圖中，防火墻位于內(nèi)網(wǎng)和外網(wǎng)的交界處，對內(nèi)網(wǎng)和外網(wǎng)之間的訪問流量進(jìn)行控制，是內(nèi)網(wǎng)的第一道安全屏障。入侵防御系統(tǒng)串聯(lián)在防火墻后面，對防火墻不能阻斷的攻擊進(jìn)行第二次檢測與阻斷。用戶區(qū)和服務(wù)器區(qū)與內(nèi)網(wǎng)串聯(lián)部位同時部署入侵防御系統(tǒng)，以保障內(nèi)網(wǎng)不受來自內(nèi)網(wǎng)的攻擊。由此可見，該入侵防御的部署方式能夠有效地防止來自外網(wǎng)的攻擊，實時有效地保護(hù)網(wǎng)絡(luò)中的重要設(shè)備與資源。5、應(yīng)用TippingPoint三大入侵防御功能:(1)應(yīng)用程序防護(hù)-UnityOne(2)網(wǎng)絡(luò)架構(gòu)防護(hù)(3)性能保護(hù)5.1、應(yīng)用程序防護(hù)-UnityOne

提供擴展至用戶端、服務(wù)器、及第二至第七層的網(wǎng)絡(luò)型攻擊防護(hù)，如：病毒、蠕蟲與木馬程序。利用深層檢測應(yīng)用層數(shù)據(jù)包的技術(shù)，UnityOne可以分辨出合法與有害的封包內(nèi)容。最新型的攻擊可以透過偽裝成合法應(yīng)用的技術(shù)，輕易的穿透防火墻。而UnityOne運用重組TCP流量以檢視應(yīng)用層數(shù)據(jù)包內(nèi)容的方式，以辨識合法與惡意的數(shù)據(jù)流。大部分的入侵防御系統(tǒng)都是針對已知的攻擊進(jìn)行防御，然而UnityOne運用漏洞基礎(chǔ)的過濾機制，可以防范所有已知與未知形式的攻擊。5.2、網(wǎng)絡(luò)架構(gòu)防護(hù)

路由器、交換器、DNS服務(wù)器以及防火墻都是有可能被攻擊的網(wǎng)絡(luò)設(shè)備，如果這些網(wǎng)絡(luò)設(shè)備被攻擊導(dǎo)致停機，那么所有企業(yè)中的關(guān)鍵應(yīng)用程序也會隨之停擺。而UnityOne的網(wǎng)絡(luò)架構(gòu)防護(hù)機制提供了一系列的網(wǎng)絡(luò)漏洞過濾器以保護(hù)網(wǎng)絡(luò)設(shè)備免于遭受攻擊。此外，UnityOne也提供異常流量統(tǒng)計機制的過濾器，對于超過”基準(zhǔn)線”的正常網(wǎng)絡(luò)流量，可以針對其通訊協(xié)議或應(yīng)用程序特性來進(jìn)行警示、限制流量或阻絕流量等行動。如此一來可以預(yù)防DDoS及其它溢出式流量攻擊所造成的網(wǎng)絡(luò)斷線或阻塞。5.3、性能保護(hù)

是用來保護(hù)網(wǎng)絡(luò)帶寬及主機性能，免于被非法的應(yīng)用程序占用正常的網(wǎng)絡(luò)性能。如果網(wǎng)絡(luò)鏈路壅塞，那么重要的應(yīng)用程序數(shù)據(jù)將無法在網(wǎng)絡(luò)上傳輸。非商用的應(yīng)用程序，如點對點文檔共享(P2P)應(yīng)用或?qū)崟r通訊軟件(IM)將會快速的耗盡網(wǎng)絡(luò)的帶寬，因此Un