安全防護(hù)與入侵檢測(cè)PPT通用課件

1、安全防護(hù)與入侵檢測(cè)Sniffer Pro網(wǎng)絡(luò)管理與監(jiān)視 Sniffer，中文可以翻譯為嗅探器，是一種基于被動(dòng)偵聽(tīng)原理的網(wǎng)絡(luò)分析方式。使用這種技術(shù)方式，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。?dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時(shí)，便可以使用網(wǎng)絡(luò)監(jiān)聽(tīng)的方式來(lái)進(jìn)行攻擊。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽(tīng)模式，便可以將網(wǎng)上傳輸?shù)脑丛床粩嗟男畔⒔孬@。Sniffer技術(shù)常常被黑客們用來(lái)截獲用戶的口令。但實(shí)際上Sniffer技術(shù)被廣泛地應(yīng)用于網(wǎng)絡(luò)故障診斷、協(xié)議分析、應(yīng)用性能分析和網(wǎng)絡(luò)安全保障等各個(gè)領(lǐng)域。基于以太網(wǎng)絡(luò)嗅探的Sniffer只能抓取一個(gè)物理網(wǎng)段內(nèi)的包，就是說(shuō)，你和監(jiān)聽(tīng)的目標(biāo)中間不能有路由或其他屏蔽廣播

2、包的設(shè)備，這一點(diǎn)很重要。所以，對(duì)一般撥號(hào)上網(wǎng)的用戶來(lái)說(shuō)，是不可能利用Sniffer來(lái)竊聽(tīng)到其他人的通信內(nèi)容的。網(wǎng)絡(luò)技術(shù)與設(shè)備簡(jiǎn)介 數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀（Frame）的單位傳輸?shù)?，幀由幾部分組成，不同的部分執(zhí)行不同的功能。幀通過(guò)特定的稱為網(wǎng)絡(luò)驅(qū)動(dòng)程序的軟件進(jìn)行成型，然后通過(guò)網(wǎng)卡發(fā)送到網(wǎng)線上，通過(guò)網(wǎng)線到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過(guò)程。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀已到達(dá)，然后對(duì)其進(jìn)行存儲(chǔ)。就是在這個(gè)傳輸和接收的過(guò)程中，嗅探器會(huì)帶來(lái)安全方面的問(wèn)題。 每一個(gè)在局域網(wǎng)（LAN）上的工作站都有其硬件地址，這些地址惟一地表示了網(wǎng)絡(luò)上的機(jī)器（這一點(diǎn)與Interne

3、t地址系統(tǒng)比較相似）。當(dāng)用戶發(fā)送一個(gè)數(shù)據(jù)包時(shí)，這些數(shù)據(jù)包就會(huì)發(fā)送到LAN上所有可用的機(jī)器。 網(wǎng)絡(luò)監(jiān)聽(tīng)原理 Sniffer程序是一種利用以太網(wǎng)的特性把網(wǎng)絡(luò)適配卡（NIC，一般為以太網(wǎng)卡）置為雜亂（promiscuous）模式狀態(tài)的工具，一旦網(wǎng)卡設(shè)置為這種模式，它就能接收傳輸在網(wǎng)絡(luò)上的每一個(gè)信息包 普通的情況下，網(wǎng)卡只接收和自己的地址有關(guān)的信息包，即傳輸?shù)奖镜刂鳈C(jī)的信息包。要使Sniffer能接收并處理這種方式的信息，系統(tǒng)需要支持BPF。但一般情況下，網(wǎng)絡(luò)硬件和TCPIP堆棧不支持接收或者發(fā)送與本地計(jì)算機(jī)無(wú)關(guān)的數(shù)據(jù)包，所以，為了繞過(guò)標(biāo)準(zhǔn)的TCPIP堆棧，網(wǎng)卡就必須設(shè)置為我們剛開(kāi)始講的混雜模式。一般

4、情況下，要激活這種方式，內(nèi)核必須支持這種偽設(shè)備Bpfilter，而且需要root權(quán)限來(lái)運(yùn)行這種程序，所以sniffer需要root身份安裝，如果只是以本地用戶的身份進(jìn)入了系統(tǒng)，那么不可能喚探到root的密碼，因?yàn)椴荒苓\(yùn)行Sniffer。 Sniffer產(chǎn)品的基本功能包括功能 1） 網(wǎng)絡(luò)安全的保障與維護(hù)2) 面向網(wǎng)絡(luò)鏈路運(yùn)行情況的監(jiān)測(cè)3) 面向網(wǎng)絡(luò)上應(yīng)用情況的監(jiān)測(cè)4） 強(qiáng)大的協(xié)議解碼能力，用于對(duì)網(wǎng)絡(luò)流量的深入解析5） 網(wǎng)絡(luò)管理、故障報(bào)警及恢復(fù)實(shí)時(shí)監(jiān)控統(tǒng)計(jì)和告警功能 根據(jù)用戶習(xí)慣，Sniffer可提供實(shí)時(shí)數(shù)據(jù)或圖表方式顯示統(tǒng)計(jì)結(jié)果，統(tǒng)計(jì)內(nèi)容包括：網(wǎng)絡(luò)統(tǒng)計(jì)：如當(dāng)前和平均網(wǎng)絡(luò)利用率、總的和當(dāng)前的幀數(shù)及

5、字節(jié)數(shù)、總站數(shù)和激活的站數(shù)、協(xié)議類型、當(dāng)前和總的平均幀長(zhǎng)等。協(xié)議統(tǒng)計(jì)：如協(xié)議的網(wǎng)絡(luò)利用率、協(xié)議的數(shù)、協(xié)議的字節(jié)數(shù)以及每種協(xié)議中各種不同類型的幀的統(tǒng)計(jì)等。差錯(cuò)統(tǒng)計(jì)：如錯(cuò)誤的CRC校驗(yàn)數(shù)、發(fā)生的碰撞數(shù)、錯(cuò)誤幀數(shù)等。站統(tǒng)計(jì)：如接收和發(fā)送的幀數(shù)、開(kāi)始時(shí)間、停止時(shí)間、消耗時(shí)間、站狀態(tài)等。最多可統(tǒng)計(jì)1024個(gè)站。幀長(zhǎng)統(tǒng)計(jì)：如某一幀長(zhǎng)的幀所占百分比，某一幀長(zhǎng)的幀數(shù)等。當(dāng)某些指標(biāo)超過(guò)規(guī)定的閾值時(shí)，Sniffer可以自動(dòng)顯示或采用有聲形式的告警。Sniffer可根據(jù)網(wǎng)絡(luò)管理者的要求，自動(dòng)將統(tǒng)計(jì)結(jié)果生成多種統(tǒng)計(jì)報(bào)告格式，并可存盤或打印輸出。 Sniffer實(shí)時(shí)專家分析系統(tǒng) Sniffer與其他網(wǎng)絡(luò)協(xié)議分析儀最大的

6、差別在于它的人工智能專家系統(tǒng)(Expert System)。簡(jiǎn)單地說(shuō)，Sniffer能自動(dòng)實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)，捕捉數(shù)據(jù)，識(shí)別網(wǎng)絡(luò)配置，自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)故障并進(jìn)行告警，它能指出：網(wǎng)絡(luò)故障發(fā)生的位置，以及出現(xiàn)在OSI第幾層。網(wǎng)絡(luò)故障的性質(zhì)，產(chǎn)生故障的可能的原因以及為解決故障建議采取的行動(dòng)。Sniffer 還提供了專家配制功能，用戶可以自已設(shè)定專家系統(tǒng)判斷故障發(fā)生的觸發(fā)條件。Sniffer Pro的登錄與界面 File-select settings Sniffer Pro報(bào)文的捕獲與解析 基本捕獲條件 基本的捕獲條件有兩種： 1) 鏈路層捕獲，按源MAC和目的MAC地址進(jìn)行捕獲，輸入方式為十六進(jìn)制連續(xù)輸入，

7、如：00E0FC123456。 2) IP層捕獲，按源IP和目的IP進(jìn)行捕獲。輸入方式為點(diǎn)間隔方式，如：。如果選擇IP層捕獲條件則ARP等報(bào)文將被過(guò)濾掉，如圖5.3所示。 高級(jí)捕獲條件 在“Advance”頁(yè)面下，你可以編輯你的協(xié)議捕獲條件 任意捕獲條件 捕獲過(guò)程報(bào)文統(tǒng)計(jì) 在捕獲過(guò)程中可以通過(guò)查看下面面板查看捕獲報(bào)文的數(shù)量和緩沖區(qū)的利用率 捕獲報(bào)文查看 Sniffer軟件提供了強(qiáng)大的分析能力和解碼功能。對(duì)于捕獲的報(bào)文提供了一個(gè)Expert專家分析系統(tǒng)進(jìn)行分析，還有解碼選項(xiàng)及圖形和表格的統(tǒng)計(jì)信息，如圖5.7所示。 專家分析 專家分析系統(tǒng)提供了一個(gè)只能的分析平臺(tái)，對(duì)網(wǎng)絡(luò)上的流量進(jìn)行了一些分析對(duì)于分

8、析出的診斷結(jié)果可以查看在線幫助獲得。 在下圖中顯示出在網(wǎng)絡(luò)中WINS查詢失敗的次數(shù)及TCP重傳的次數(shù)統(tǒng)計(jì)等內(nèi)容，可以方便了解網(wǎng)絡(luò)中高層協(xié)議出現(xiàn)故障的可能點(diǎn)。 對(duì)于某項(xiàng)統(tǒng)計(jì)分析可以通過(guò)用鼠標(biāo)雙擊此條記錄可以查看詳細(xì)統(tǒng)計(jì)信息且對(duì)于每一項(xiàng)都可以通過(guò)查看幫助來(lái)了解起產(chǎn)生的原因，如圖5.8所示。 捕獲的報(bào)文 解碼功能是按照過(guò)濾器設(shè)置的過(guò)濾規(guī)則進(jìn)行數(shù)據(jù)的捕獲或顯示。在菜單上的位置分別為Capture-Define Filter和Display-Define Filter。 過(guò)濾器可以根據(jù)物理地址或IP地址和協(xié)議選擇進(jìn)行組合篩選，如圖5.9所示解碼分析 下圖5.9是對(duì)捕獲報(bào)文進(jìn)行解碼的顯示，通常分為三部分，

9、目前大部分此類軟件結(jié)構(gòu)都采用這種結(jié)構(gòu)顯示。對(duì)于解碼主要要求分析人員對(duì)協(xié)議比較熟悉，這樣才能看懂解析出來(lái)的報(bào)文。使用該軟件是很簡(jiǎn)單的事情，要能夠利用軟件解碼分析來(lái)解決問(wèn)題關(guān)鍵是要對(duì)各種層次的協(xié)議了解的比較透徹。工具軟件只是提供一個(gè)輔助的手段。因涉及的內(nèi)容太多，這里不對(duì)協(xié)議進(jìn)行過(guò)多講解，請(qǐng)參閱其他相關(guān)資料。 對(duì)于MAC地址，Snffier軟件進(jìn)行了頭部的替換，如00e0fc開(kāi)頭的就替換成Huawei，這樣有利于了解網(wǎng)絡(luò)上各種相關(guān)設(shè)備的制造廠商信息。Sniffer Pro的高級(jí)應(yīng)用 使用數(shù)據(jù)包生成器在網(wǎng)絡(luò)中發(fā)送測(cè)試數(shù)據(jù)包，這樣可以重現(xiàn)要排除的網(wǎng)絡(luò)故障，驗(yàn)證對(duì)網(wǎng)絡(luò)設(shè)備或應(yīng)用程序的修復(fù)方法是否正確和生成

10、各級(jí)網(wǎng)絡(luò)通信量負(fù)載，模擬實(shí)際的網(wǎng)絡(luò)情況并對(duì)設(shè)備或應(yīng)用程序進(jìn)行測(cè)試。要啟動(dòng)“數(shù)據(jù)包生成器”，請(qǐng)選擇工具菜單中的數(shù)據(jù)包生成器。通過(guò)“數(shù)據(jù)包生成器”，可以發(fā)送自已創(chuàng)建或從網(wǎng)絡(luò)捕獲的單個(gè)數(shù)據(jù)包。也可以發(fā)送捕獲緩沖區(qū)或捕獲文件的全部?jī)?nèi)容?？梢砸淮?、連續(xù)或以指定次數(shù)發(fā)送數(shù)據(jù)包、捕獲緩沖區(qū)或者捕獲文件。當(dāng)發(fā)送多個(gè)數(shù)據(jù)包或連續(xù)發(fā)送一個(gè)數(shù)據(jù)包時(shí)，您可以指定每個(gè)數(shù)據(jù)包之間的時(shí)延(以毫秒或希望所發(fā)送數(shù)據(jù)包達(dá)到的線路利用率百分比表示)。“數(shù)據(jù)包生成器”有兩個(gè)視圖。動(dòng)畫視圖顯示了數(shù)據(jù)包止在發(fā)送的時(shí)刻。詳細(xì)信息視圖詳細(xì)顯示了數(shù)據(jù)包傳輸?shù)倪^(guò)程。要啟動(dòng)“數(shù)據(jù)包生成器”，選擇工具菜單中的數(shù)據(jù)包生成器。通過(guò)它，可以發(fā)送自己創(chuàng)建或

11、從網(wǎng)絡(luò)捕獲的單個(gè)數(shù)據(jù)包，也可以發(fā)送捕獲緩沖區(qū)或捕獲文件的全部?jī)?nèi)容。發(fā)送單個(gè)數(shù)據(jù)包 在發(fā)送數(shù)據(jù)包之前，必須準(zhǔn)備好要發(fā)送的消息。您可以創(chuàng)建數(shù)據(jù)包、使用已捕獲數(shù)據(jù)包或者使用修改后的已捕獲數(shù)據(jù)包。要?jiǎng)?chuàng)建新數(shù)據(jù)包，請(qǐng)單擊“數(shù)據(jù)包生成器”窗中的按鈕打開(kāi)“發(fā)送新幀”對(duì)話框。您可在配置選項(xiàng)卡中直接編輯十六進(jìn)制的顯示內(nèi)容。要選擇或編輯現(xiàn)有的(捕獲的)數(shù)據(jù)包，您必須先從解碼顯示的“摘要”窗格中選擇該數(shù)據(jù)包。然后，單擊“數(shù)據(jù)包生成器”窗日中的按鈕打開(kāi)“發(fā)送當(dāng)前幀”對(duì)話框。您可在配置選項(xiàng)卡中編輯十六進(jìn)制的顯示內(nèi)容。通過(guò)選擇對(duì)話框中的選項(xiàng)，您可以控制發(fā)送數(shù)據(jù)包的方式，如圖5.10所示。發(fā)送捕獲緩沖區(qū)或文件 要發(fā)送當(dāng)前的

12、捕獲緩沖區(qū)或捕獲文件，您必須先顯示其內(nèi)容。要顯示當(dāng)前緩沖區(qū)，請(qǐng)選擇捕獲菜單中的顯示。要顯示捕獲文件，請(qǐng)選擇文件菜單中的打開(kāi)。然后，在“數(shù)據(jù)包生成器”窗日中單擊至按鈕?！鞍l(fā)送當(dāng)前緩沖區(qū)”對(duì)話框?qū)@示緩沖區(qū)/文件內(nèi)容的有關(guān)信息，允許您控制發(fā)送數(shù)據(jù)包的方式，如圖5.11所示。1.入侵檢測(cè)的基本原理2.入侵檢測(cè)系統(tǒng)的分類3.入侵檢測(cè)系統(tǒng)的發(fā)展方向 入侵檢測(cè)的基本原理 1.入侵檢測(cè)系統(tǒng)的作用 我們知道，防火墻是Internet網(wǎng)絡(luò)上最有效的安全保護(hù)屏障，防火墻在網(wǎng)絡(luò)安全中起到大門警衛(wèi)的作用，對(duì)進(jìn)出的數(shù)據(jù)依照預(yù)先設(shè)定的規(guī)則進(jìn)行匹配，符合規(guī)則的就予以放行，起到訪問(wèn)控制的作用，是網(wǎng)絡(luò)安全的第一道閘門。但防火墻

13、的功能也有局限性，防火墻只能對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行分析，對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)生的事件完全無(wú)能為力。 同時(shí)，由于防火墻處于網(wǎng)關(guān)的位置，不可能對(duì)進(jìn)出攻擊作太多判斷，否則會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能。如果把防火墻比作大門警衛(wèi)的話，入侵檢測(cè)就是網(wǎng)絡(luò)中不間斷的攝像機(jī)，入侵檢測(cè)通過(guò)旁路監(jiān)聽(tīng)的方式不間斷的收取網(wǎng)絡(luò)數(shù)據(jù)，對(duì)網(wǎng)絡(luò)的運(yùn)行和性能無(wú)任何影響，同時(shí)判斷其中是否含有攻擊的企圖，通過(guò)各種手段向管理員報(bào)警。 IDS是主動(dòng)保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。IDS對(duì)網(wǎng)絡(luò)或系統(tǒng)上的可疑行為做出相應(yīng)的反應(yīng)，及時(shí)切斷入侵源，保護(hù)現(xiàn)場(chǎng)并通過(guò)各種途徑通知網(wǎng)絡(luò)管理員，增大保障系統(tǒng)安全。 2.入侵檢測(cè)系統(tǒng)的工作流程 入侵檢測(cè)系統(tǒng)由數(shù)據(jù)收集、數(shù)據(jù)

14、提取、數(shù)據(jù)分析、事件處理等幾個(gè)部份組成。 (1) 數(shù)據(jù)收集 入侵檢測(cè)的第一步是數(shù)據(jù)收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)運(yùn)行、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為，而且，需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集數(shù)據(jù)。入侵檢測(cè)很大程度上依賴于收集數(shù)據(jù)的準(zhǔn)確性與可靠性，因此，必須使用精確的軟件來(lái)報(bào)告這些信息，因?yàn)楹诳徒?jīng)常替換軟件以搞混和移走這些數(shù)據(jù)，例如替換被程序調(diào)用的子程序、庫(kù)和其它工具。數(shù)據(jù)的收集主要來(lái)源以下幾個(gè)方面：系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件不期望的改變、程序不期望的行為、物理形式的入侵?jǐn)?shù)據(jù)。 (2)數(shù)據(jù)提取 從收集到的數(shù)據(jù)中提取有用的數(shù)據(jù)，以供數(shù)據(jù)分析之用。 (3)數(shù)據(jù)分析 對(duì)收集到的

15、有關(guān)系統(tǒng)、網(wǎng)絡(luò)運(yùn)行、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等數(shù)據(jù)通過(guò)三種技術(shù)手段進(jìn)行分析：模塊匹配、統(tǒng)計(jì)分析和完整性分析。 (4)結(jié)果處理 記錄入侵事件，同時(shí)采取報(bào)警、中斷連接等措施。 入侵檢測(cè)系統(tǒng)的分類 入侵檢測(cè)系統(tǒng)(IDS)可以分成3類：基于主機(jī)型(Host Based) 入侵檢測(cè)系統(tǒng)、基于網(wǎng)絡(luò)型(Network Based) 入侵檢測(cè)系統(tǒng)和基于代理型(Agent Based) 入侵檢測(cè)系統(tǒng)。 1. 基于主機(jī)的入侵檢測(cè)系統(tǒng) 基于主機(jī)的入侵檢測(cè)系統(tǒng)通常以系統(tǒng)日志、應(yīng)用程序日志等審計(jì)記錄文件作為數(shù)據(jù)源。它是通過(guò)比較這些審計(jì)記錄文件的記錄與攻擊簽名(Attack Signature，指用一種特定的方式來(lái)表示

16、已知的攻擊模式)以發(fā)現(xiàn)它們是否匹配。如果匹配，檢測(cè)系統(tǒng)向系統(tǒng)管理員發(fā)出入侵報(bào)警并采取相應(yīng)的行動(dòng)?；谥鳈C(jī)的IDS可以精確地判斷入侵事件，并可對(duì)入侵事件及時(shí)做出反應(yīng)。它還可針對(duì)不同操作系統(tǒng)的特點(diǎn)判斷應(yīng)用層的入侵事件。基于主機(jī)的IDS有著明顯的優(yōu)點(diǎn)： l 適合于加密和交換環(huán)境； l 可實(shí)時(shí)的檢測(cè)和響應(yīng)； l 不需要額外的硬件。 基于主機(jī)的入侵檢測(cè)系統(tǒng)對(duì)系統(tǒng)內(nèi)在的結(jié)構(gòu)卻沒(méi)有任何約束，同時(shí)可以利用操作系統(tǒng)本身提供的功能，并結(jié)合異常檢測(cè)分析，更能準(zhǔn)確的報(bào)告攻擊行為。 基于主機(jī)的入侵檢測(cè)系統(tǒng)存在的不足之處在于：會(huì)占用主機(jī)的系統(tǒng)資源，增加系統(tǒng)負(fù)荷，而且針對(duì)不同的操作平臺(tái)必須開(kāi)發(fā)出不同的程序，另外所需配置的數(shù)

17、量眾多。 2. 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)把原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源。利用網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)地監(jiān)視并分析通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸?shù)乃型ㄐ艠I(yè)務(wù)。它的攻擊識(shí)別模塊進(jìn)行攻擊簽名識(shí)別的方法有：模式、表達(dá)式或字節(jié)碼匹配；頻率或閾值比較；次要事件的相關(guān)性處理；統(tǒng)計(jì)異常檢測(cè)。一旦檢測(cè)到攻擊，IDS的響應(yīng)模塊通過(guò)通知、報(bào)警以及中斷連接等方式來(lái)對(duì)攻擊行為做出反應(yīng)。然而它只能監(jiān)視通過(guò)本網(wǎng)段的活動(dòng)，并且精確度較差，在交換網(wǎng)絡(luò)環(huán)境中難于配置，防欺騙的能力也比較差。其優(yōu)勢(shì)有： l 成本低； l 攻擊者轉(zhuǎn)移證據(jù)困難； l 實(shí)時(shí)檢測(cè)和響應(yīng)； l 能夠檢測(cè)到未成功的攻擊企圖； l與操作系統(tǒng)無(wú)關(guān)。 3. 基于代理

18、的入侵檢測(cè)系統(tǒng) 基于代理的入侵檢測(cè)系統(tǒng)用于監(jiān)視大型網(wǎng)絡(luò)系統(tǒng)。隨著網(wǎng)絡(luò)系統(tǒng)的復(fù)雜化和大型化，系統(tǒng)弱點(diǎn)趨于分布式，而且攻擊行為也表現(xiàn)為相互協(xié)作式特點(diǎn)，所以不同的IDS之間需要共享信息，協(xié)同檢測(cè)。整個(gè)系統(tǒng)可以由一個(gè)中央監(jiān)視器和多個(gè)代理組成。中央監(jiān)視器負(fù)責(zé)對(duì)整個(gè)監(jiān)視系統(tǒng)的管理，它應(yīng)該處于一個(gè)相對(duì)安全的地方。代理則被安放在被監(jiān)視的主機(jī)上(如服務(wù)器、交換機(jī)、路由器等)。代理負(fù)責(zé)對(duì)某一主機(jī)的活動(dòng)進(jìn)行監(jiān)視，如收集主機(jī)運(yùn)行時(shí)的審計(jì)數(shù)據(jù)和操作系統(tǒng)的數(shù)據(jù)信息，然后將這些數(shù)據(jù)傳送到中央監(jiān)視器。代理也可以接受中央監(jiān)控器的指令。這種系統(tǒng)的優(yōu)點(diǎn)是可以對(duì)大型分布式網(wǎng)絡(luò)進(jìn)行檢測(cè)。 入侵檢測(cè)系統(tǒng)的部署 定義IDS的目標(biāo)不同的組網(wǎng)

19、應(yīng)用可能使用不同的規(guī)則配置，所以用戶在配置人侵檢測(cè)系統(tǒng)前應(yīng)先明確自己的目標(biāo)，建議從如下幾個(gè)方面進(jìn)行考慮。(1)明確網(wǎng)絡(luò)拓?fù)湫枨蟆?(2)安全策略需求。(3)1DS的管理需求。選擇監(jiān)視內(nèi)容 1）選擇監(jiān)視的網(wǎng)絡(luò)區(qū)域2）選擇監(jiān)視的數(shù)據(jù)包的類型3）根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容進(jìn)行檢測(cè) 一般來(lái)說(shuō)，不同的入侵檢測(cè)系統(tǒng)采用不同的方法來(lái)監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容，例如可以采用先根據(jù)網(wǎng)絡(luò)協(xié)議來(lái)選擇入侵特征規(guī)則進(jìn)行檢測(cè)，然后再根據(jù)此協(xié)議數(shù)據(jù)包中的字符特征進(jìn)行檢測(cè)。部署IDS 1)只檢測(cè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)邊界流量的IDS系統(tǒng)的部署在小型網(wǎng)絡(luò)結(jié)構(gòu)中，如果內(nèi)部網(wǎng)絡(luò)是可以信任的，那么只需要監(jiān)控內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的邊界流量。這種情況下，

20、入侵檢測(cè)系統(tǒng)部署在出口路由器或防火墻的后面，用來(lái)監(jiān)控網(wǎng)絡(luò)入口處所有流入和流出網(wǎng)絡(luò)的流量，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)可按照?qǐng)D5.13所示的方式進(jìn)行部署。在圖5.13中，IDS被部署在內(nèi)部網(wǎng)絡(luò)與Internet的出口處，IDS設(shè)備的監(jiān)聽(tīng)口連接到了內(nèi)部網(wǎng)絡(luò)出口處的交換機(jī)(Switch)鏡像接口上，從而可以捕獲到交換機(jī)鏡像接口的網(wǎng)絡(luò)流量。管理員可以通過(guò)命令行方式(Console、Telnet或SSH)或Web方式(HTTP或HTTPS)遠(yuǎn)程登錄到IDS管理接口并對(duì)設(shè)備進(jìn)行配置管理。圖5.13所示的部署方式不僅方便了用戶的使用和配置，也節(jié)約了投資成本，適合中小規(guī)模企業(yè)的網(wǎng)絡(luò)安全應(yīng)用。2)集中監(jiān)控多個(gè)子網(wǎng)流量在這種組網(wǎng)

21、情況下，內(nèi)部局域網(wǎng)中劃分了多個(gè)不同職能的子網(wǎng)，有些子網(wǎng)訪問(wèn)某些子網(wǎng)資源量希望受到監(jiān)控和保護(hù)，假設(shè)具體進(jìn)行監(jiān)控。 (1)需要對(duì)關(guān)鍵子網(wǎng)LAN1的流量進(jìn)行監(jiān)控。 (2)LAN2子網(wǎng)了放置了各種服務(wù)器，因此對(duì)LAN2的所有流量也需要進(jìn)行監(jiān)控。 (3)網(wǎng)絡(luò)管理員要能夠集中監(jiān)控網(wǎng)絡(luò)的流量和異常情況。在這種情況下，含IDS的網(wǎng)絡(luò)拓?fù)淙鐖D5.14示。入侵檢測(cè)系統(tǒng)的選型 異常檢測(cè)模型的基本原理異常檢測(cè)，也被稱為基于行為的檢測(cè)。其基本前提是假定所有的入侵行為都是異常的。其基本原理是，首先建立系統(tǒng)或用戶的正常行為特征輪廓，通過(guò)比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來(lái)判斷是否發(fā)生了入侵。而不是依賴于具

22、體行為是否出現(xiàn)來(lái)進(jìn)行檢測(cè)的，從這個(gè)意義上來(lái)講，異常檢測(cè)是一種間接的方法。異常檢測(cè)的關(guān)鍵技術(shù)l) 特征量的選擇異常檢測(cè)首先是要建立系統(tǒng)或用戶的正常行為特征輪廓，這就要求在建立正常模型時(shí)，選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用節(jié)隨行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。例如，可以檢測(cè)磁盤的轉(zhuǎn)速是否在常，CPU是否無(wú)故超頻等異常現(xiàn)象。2) 參考闊值的選定因?yàn)樵趯?shí)際的網(wǎng)絡(luò)環(huán)境下，入侵行為和異常行為往往不是一對(duì)一的等價(jià)關(guān)系，經(jīng)常發(fā)生這樣的異常情況，如某一行為是異常行為，而它并不是入侵行為;同樣存在某一行為是入侵行為，而它卻并不是異常行為的情況。這樣就會(huì)導(dǎo)致檢測(cè)結(jié)果的虛警(

23、false positives) 和漏警 (false negatives) 的產(chǎn)生。由于異常檢測(cè)是先建立正常的特征輪廓作為比較的參考基準(zhǔn)，這個(gè)參考基準(zhǔn)即參考闊值的選定是非常關(guān)鍵的，閡值定的過(guò)大，那漏警率會(huì)很高;闊值定的過(guò)小，則虛警率就會(huì)提高。合適的參考闊值的選定是影響這一檢測(cè)方法準(zhǔn)確率的至關(guān)重要的因素。從異常檢測(cè)的原理可以看出，該方法的技術(shù)難點(diǎn)在于正常行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個(gè)因素的制約，異常檢測(cè)的虛警率很高，但對(duì)于未知的入侵行為的檢測(cè)非常有效。此外，由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶的特征輪廓，這樣所需的計(jì)算量很大，對(duì)系統(tǒng)的處理性能要求會(huì)很高。異常檢測(cè)模型

24、的實(shí)現(xiàn)方法 基于統(tǒng)計(jì)分析的異常檢測(cè)方法 常見(jiàn)的幾種異常測(cè)量值的測(cè)量類型如下 ：活動(dòng)強(qiáng)度測(cè)量。用以描述活動(dòng)的處理速度。審計(jì)記錄分布測(cè)量。用以描述最近審計(jì)記錄中所有活動(dòng)類型的分布狀況。類型測(cè)量。用以描述特定的活動(dòng)在各種類型的分布狀況。 順序測(cè)量。用以描述活動(dòng)的輸出結(jié)果。2) 基于特征選擇的異常檢測(cè)方法 3) 基于貝葉斯推理的異常檢測(cè)方法4) 基有貝葉斯網(wǎng)絡(luò)的異常檢測(cè)方法5) 基于模式預(yù)測(cè)的鼻常檢測(cè)方法 6) 基于件經(jīng)網(wǎng)絡(luò)的異常檢測(cè)方法7) 基于貝葉斯聚類的異常檢測(cè)方法8) 基于機(jī)器自學(xué)習(xí)系統(tǒng)的異常檢測(cè)方法 9) 基于數(shù)據(jù)采掘技術(shù)的異常檢測(cè)方法 誤用檢測(cè)模型的基本原理 對(duì)于誤用檢測(cè)系統(tǒng)來(lái)說(shuō)，最重要的

25、技術(shù)如下：如何全面描述攻擊的特征，覆蓋在此基礎(chǔ)上的變種方。如何排除其他帶有干擾性質(zhì)的行為， 減少誤報(bào)率。誤用入侵檢測(cè)模型的基本方法 誤用檢測(cè)模型常用的檢測(cè)方法有基于條件概率誤用入侵檢測(cè)方法、基于專家系統(tǒng)誤 用入侵檢測(cè)方法、基于狀態(tài)遷移分析誤用入侵檢測(cè)方法、基于鍵盤監(jiān)控誤用入侵檢測(cè)方法和基于模型誤用入侵檢測(cè)方法等。1) 基于條件概率的誤用入侵檢測(cè)方法2) 基于專家系統(tǒng)的誤用入侵檢測(cè)方法3) 基于狀態(tài)遷移分析的誤用入侵檢測(cè)方法4) 基于鍵盤監(jiān)控的誤用入侵檢測(cè)方法5) 基于模型的誤用入侵檢測(cè)方法異常檢測(cè)模型和誤用檢測(cè)模型的比較異常檢測(cè)系統(tǒng)試圖發(fā)現(xiàn)一些未知的入侵行為，而誤用檢測(cè)系統(tǒng)則是檢測(cè)一些已知的入

26、侵行為。異常檢測(cè)指根據(jù)使用者的行為或資源使用狀況來(lái)判斷是否入侵行為的發(fā)生 ， 而不依 賴于具體行為是否出現(xiàn)來(lái)檢測(cè);而誤用檢測(cè)系統(tǒng)則大多是通過(guò)對(duì)一些具體的行為的判斷和推理，從而檢測(cè)出入侵行為。異常檢測(cè)的主要缺陷在于誤檢率很高，尤其在用戶數(shù)目眾多或工作行為經(jīng)常改變的環(huán)境中;而誤用檢測(cè)系統(tǒng)由于依據(jù)具體特征庫(kù)進(jìn)行判斷，準(zhǔn)確度要高很多。異常檢測(cè)對(duì)具體系統(tǒng)的依賴性相對(duì)較小 ; 而誤用檢測(cè)系統(tǒng)對(duì)具體的系統(tǒng)依賴性很強(qiáng)，移植性不好。其他入侵檢測(cè)模型1） 基于生物免疫的入侵檢測(cè)方法2）基于偽裝的入侵檢測(cè)方法3）基于統(tǒng)計(jì)學(xué)方法的入侵檢測(cè)系統(tǒng)4）基于專家系統(tǒng)的入侵檢測(cè)方法入侵防護(hù)技術(shù)IPS IPS只能被動(dòng)地檢測(cè)攻擊，

27、而不能主動(dòng)地把變化莫測(cè)的威脅阻止在網(wǎng)絡(luò)之外。因此，人們迫切地需要找到一種主動(dòng)入侵防護(hù)解決方案，以確保企業(yè)網(wǎng)絡(luò)在威脅四起的環(huán)境下正常運(yùn)行。入侵防御系統(tǒng)(InmSion Prevention System 或 IntmSion Detection Prevention，即IPS或IDP)就應(yīng)運(yùn)而生了。ES是一種智能化的入侵檢測(cè)和防御產(chǎn)品，它不但能檢測(cè)入侵的發(fā)生，而且能通過(guò)一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為的發(fā)生和發(fā)展，實(shí)時(shí)地保護(hù)信息系統(tǒng) 不受實(shí)質(zhì)性的攻擊。IPS使得BS 和防火墻走向統(tǒng)一。目前比較流行的網(wǎng)絡(luò)級(jí)安全防范措施是使用專業(yè)防火墻+入侵檢測(cè)系統(tǒng)(IDS) 為企業(yè) 內(nèi)部網(wǎng)絡(luò)構(gòu)筑一道安全屏障。防火墻可以有效地阻止有害數(shù)據(jù)的通過(guò)，而 IDS 則主要用于有害數(shù)據(jù)的分析和發(fā)現(xiàn)，它是防火墻功能的延續(xù)。兩者聯(lián)動(dòng)，可及時(shí)發(fā)現(xiàn)并減緩 DoS、DDoS 攻擊，減輕攻擊所造成的損失。最近市場(chǎng)上出現(xiàn)了一種將防火墻和IDS兩者合二為一的新產(chǎn)品入侵防御系統(tǒng)(IntruSion bevention System 簡(jiǎn)稱 IPS)。它不但能檢測(cè)侵的發(fā)生，而且能通過(guò)一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為的發(fā)生和發(fā)展，二者的整合大幅度地提高了檢測(cè)和阻止網(wǎng)絡(luò)攻擊的效率，是今后網(wǎng)絡(luò)安全架構(gòu)的一種發(fā)展趨勢(shì)。將入侵防御技術(shù)應(yīng)用到具體的網(wǎng)絡(luò)環(huán)境后，就形成了入侵防御系統(tǒng)：IPS。 IPS的原理 入侵防御技術(shù)