物聯(lián)網(wǎng)信息安全 課件 第2章 7入侵防御技術(shù)

物聯(lián)網(wǎng)信息安全入侵防御技術(shù)江蘇科技大學(xué)計(jì)算機(jī)學(xué)院入侵防御系統(tǒng)IPS入侵防御系統(tǒng)的設(shè)計(jì)思想以及其應(yīng)該具備的特征入侵防御系統(tǒng)的設(shè)計(jì)入侵防御系統(tǒng)的應(yīng)用部署1、入侵防御系統(tǒng)IPS面對(duì)形勢(shì)嚴(yán)峻的網(wǎng)絡(luò)與信息安全問(wèn)題，需要有更好更強(qiáng)大的技術(shù)來(lái)緩解這個(gè)局面，常見(jiàn)的網(wǎng)絡(luò)安全技術(shù)有防火墻技術(shù)和入侵檢測(cè)系統(tǒng)(IDS)等，雖然使得網(wǎng)絡(luò)安全性得到進(jìn)一步提高，但技術(shù)本身總會(huì)存在或多或少的缺陷，這就導(dǎo)致讓黑客有可乘之隙。網(wǎng)絡(luò)攻擊者可以利用這些漏洞，輕易避開(kāi)防御措施來(lái)竊取或破壞信息資源。在這種情況下，入侵防御系統(tǒng)(IntrusionPreventionSystem，IPS)應(yīng)運(yùn)而王。1、入侵防御系統(tǒng)IPSIPS是一種新型的智能化安全技術(shù)，它不僅能檢測(cè)入侵行為的發(fā)生，而且能操控防火墻和其他響應(yīng)方式，對(duì)入侵行為進(jìn)行及時(shí)的阻斷，保證信息結(jié)構(gòu)盡量不受攻擊。ISP串聯(lián)在網(wǎng)絡(luò)上，通過(guò)某個(gè)網(wǎng)絡(luò)端口監(jiān)視外網(wǎng)的流量，當(dāng)發(fā)生入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量的時(shí)候，會(huì)自動(dòng)產(chǎn)生防護(hù)機(jī)制，對(duì)其采取相關(guān)的攔截和阻斷。1、入侵防御系統(tǒng)IPSIPS是入侵檢測(cè)系統(tǒng)和防火墻的補(bǔ)充，與防火墻相比，盡管它的功能還是比較的單一，但由于它是串聯(lián)在網(wǎng)絡(luò)的接口處，對(duì)于防火墻所不能檢測(cè)到的數(shù)據(jù)能夠進(jìn)行過(guò)濾。與入侵檢測(cè)系統(tǒng)相比，IPS在檢測(cè)到攻擊后會(huì)及時(shí)響應(yīng)并對(duì)其采取相關(guān)的阻斷攻擊，可以說(shuō)IPS是新一代的網(wǎng)絡(luò)安全產(chǎn)品。然而隨著入侵防御技術(shù)的不斷發(fā)展，問(wèn)題也逐漸暴露出來(lái)，主要體現(xiàn)在單點(diǎn)故障、性能瓶頸、誤報(bào)和漏報(bào)三大方面。因此，研究入侵防御技術(shù)對(duì)于目前網(wǎng)絡(luò)安全狀況的改善有一定的作用。1、入侵防御系統(tǒng)IPS防火墻與IPS的相互補(bǔ)充示意圖1、入侵防御系統(tǒng)IPS作為防火墻與IDS聯(lián)動(dòng)模式的替代者，相比之前的安全產(chǎn)品，IPS被認(rèn)為具有很大的優(yōu)勢(shì)，目前在國(guó)內(nèi)外都得到廣泛應(yīng)用，在許多方面己經(jīng)完全取代了傳統(tǒng)IDS和防火墻的部分應(yīng)用。1、入侵防御系統(tǒng)IPS

防火墻是粒度比較粗的訪問(wèn)控制產(chǎn)品，在基于TCP/IP協(xié)議的過(guò)濾方面表現(xiàn)出色；IPS的功能比較單一，它只能串聯(lián)在網(wǎng)絡(luò)上，對(duì)防火墻所不能過(guò)濾的攻擊進(jìn)行過(guò)濾。所以防火墻和IPS構(gòu)成了一個(gè)兩級(jí)的過(guò)濾模式，可以最大限度地保證系統(tǒng)的安全。1、入侵防御系統(tǒng)IPSIPS的工作原理圖2、入侵防御系統(tǒng)的設(shè)計(jì)思想以及其應(yīng)該具備的特征

入侵防御系統(tǒng)不但能檢測(cè)異常行為的發(fā)生，而且能通過(guò)主動(dòng)響應(yīng)阻止入侵的發(fā)生，實(shí)時(shí)地保護(hù)信息系統(tǒng)不受實(shí)質(zhì)性攻擊，由此可以看出，入侵防御系統(tǒng)應(yīng)該包括入侵檢測(cè)和對(duì)入侵行為做出響應(yīng)的功能。在入侵檢測(cè)系統(tǒng)設(shè)計(jì)時(shí)，應(yīng)將防火墻、入侵檢測(cè)以及主動(dòng)阻止入侵行為的功能融合考慮進(jìn)去，避免以上安全產(chǎn)品之間相互孤立，缺乏有效聯(lián)動(dòng)，節(jié)省分別部署造成的資源和空間的浪費(fèi)。理想的入侵防御系統(tǒng)應(yīng)該具備的特征：（1）嵌入式運(yùn)行模式入侵防御系統(tǒng)采用嵌入式允許模式才能實(shí)現(xiàn)實(shí)時(shí)的檢測(cè)并阻斷入侵行為?？梢愿鶕?jù)實(shí)際情況將入侵防御系統(tǒng)嵌入到服務(wù)器、路由器、關(guān)鍵主機(jī)、交換機(jī)等網(wǎng)絡(luò)設(shè)備中，實(shí)現(xiàn)信息系統(tǒng)高強(qiáng)度實(shí)時(shí)積極防護(hù)。理想的入侵防御系統(tǒng)應(yīng)該具備的特征：（2）高效的處理能力入侵防御系統(tǒng)必須具備高效的數(shù)據(jù)包處理能力和精確的檢測(cè)能力，使入侵防御系統(tǒng)對(duì)整個(gè)網(wǎng)絡(luò)的性能的影響保持在較低的水平，不能使入侵防御系統(tǒng)成為網(wǎng)絡(luò)速率的瓶頸。理想的入侵防御系統(tǒng)應(yīng)該具備的特征：（3）深入分析能力入侵防御系統(tǒng)必須具備深入的分析能力，實(shí)現(xiàn)對(duì)惡意數(shù)據(jù)包的深層分析，發(fā)現(xiàn)并控制惡意的攻擊行為。理想的入侵防御系統(tǒng)應(yīng)該具備的特征：（4）高可靠性入侵防御系統(tǒng)串聯(lián)在網(wǎng)絡(luò)或系統(tǒng)中，一旦入侵防御系統(tǒng)發(fā)生故障將重影響網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)，甚至?xí)斐删W(wǎng)絡(luò)的中斷。入侵防御系統(tǒng)必須具備高可靠性才能保證信息及時(shí)可靠的發(fā)布。理想的入侵防御系統(tǒng)應(yīng)該具備的特征：（5）可升級(jí)與可擴(kuò)展性入侵防御系統(tǒng)可以根據(jù)網(wǎng)絡(luò)形式的發(fā)展變化而升級(jí)，以滿足用戶的需求，并能夠通過(guò)更新檢測(cè)模塊和規(guī)則庫(kù)來(lái)應(yīng)對(duì)不斷出現(xiàn)的新攻擊。3、入侵防御系統(tǒng)的設(shè)計(jì)入侵防御系統(tǒng)的應(yīng)用部署3.1事件的分類網(wǎng)絡(luò)事件來(lái)源可以是網(wǎng)絡(luò)數(shù)據(jù)包、日志文件以及應(yīng)用程序活動(dòng)狀態(tài)等，網(wǎng)絡(luò)事件經(jīng)過(guò)過(guò)濾器處理后可分為三類：正常（Normal）、可疑（Suspicious)和入浸（Intrusion)。其中,入侵事件是違反安全策略的行為；可疑事件是不確定的異常事件，只滿足安全策略；正常事件則是合法的，遵循安全策略的事件。3.2系統(tǒng)體系結(jié)構(gòu)入侵防御系統(tǒng)結(jié)構(gòu)圖3.2系統(tǒng)體系結(jié)構(gòu)一般入侵防御系統(tǒng)按照功能的不同可分為五個(gè)部分：數(shù)據(jù)包捕獲模塊、入侵檢測(cè)攜塊、響應(yīng)模塊、曰志管理模塊以及管理控制模塊*系統(tǒng)結(jié)構(gòu)如圖所示，這五個(gè)模塊相互協(xié)作實(shí)現(xiàn)入侵防御系統(tǒng)的功能。3.2系統(tǒng)體系結(jié)構(gòu)（1）數(shù)據(jù)捕獲模塊數(shù)據(jù)包的捕獲是入侵防御系統(tǒng)工作的第一步，數(shù)據(jù)包捕獲模塊從網(wǎng)卡處捕獲流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包(日志、網(wǎng)絡(luò)數(shù)據(jù)包以及其他相關(guān)信息)、網(wǎng)絡(luò)關(guān)鍵主機(jī)的log佶總以及安全部件的告警信息等，并對(duì)這些數(shù)據(jù)做簡(jiǎn)單的過(guò)濾處理，為整個(gè)防御系統(tǒng)提供數(shù)據(jù)源。理想的入侵防御系統(tǒng)應(yīng)該具備的特征：（2）入侵檢測(cè)模塊入侵檢測(cè)模塊從控制管理模塊處獲取數(shù)據(jù)包，對(duì)數(shù)據(jù)進(jìn)行預(yù)處理后，以入侵檢測(cè)算法為基礎(chǔ)對(duì)數(shù)據(jù)進(jìn)行檢測(cè)，將數(shù)據(jù)分為正常和異常兩大類，同時(shí)將檢測(cè)結(jié)果反饋給管理控制模塊。理想的入侵防御系統(tǒng)應(yīng)該具備的特征：（3）響應(yīng)模塊響應(yīng)模塊主要是對(duì)管理控制模塊傳輸來(lái)的異常數(shù)據(jù)進(jìn)行防御響應(yīng)，根據(jù)少件危出程度的島低進(jìn)行分級(jí)處理，包括記錄、報(bào)瞥、阻斷等。3.2系統(tǒng)體系結(jié)構(gòu)響應(yīng)模型理想的入侵防御系統(tǒng)應(yīng)該具備的特征：（4）日志管理模塊日志管理模塊的主要任務(wù)是對(duì)異常事件發(fā)生的時(shí)間、主體和客體等關(guān)鍵信息進(jìn)行記錄和審計(jì)。日志管理模塊收集防火墻和入侵檢測(cè)系統(tǒng)以及響應(yīng)系統(tǒng)的信息，并將這些信息組裝成事件記錄到數(shù)據(jù)庫(kù)中，為管理控制模塊制定安全策略提供有效的分析數(shù)據(jù)。理想的入侵防御系統(tǒng)應(yīng)該具備的特征：（5）管理控制模塊管理控制模塊時(shí)刻保持與其他模塊進(jìn)行數(shù)據(jù)交互，負(fù)責(zé)整個(gè)系統(tǒng)的邏輯控制，定時(shí)更新并維護(hù)入侵檢測(cè)特征庫(kù)，遇到入侵?jǐn)?shù)據(jù)時(shí)與防火墻聯(lián)動(dòng)阻斷惡意數(shù)據(jù)包流入網(wǎng)絡(luò)。管理控制模塊對(duì)整個(gè)入侵防御系統(tǒng)起著至關(guān)重要的作用。4、入侵防御系統(tǒng)的應(yīng)用部署隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，無(wú)論是個(gè)人或是企業(yè)都與網(wǎng)絡(luò)密不可分，面對(duì)新的安全威脅的不斷涌現(xiàn)，網(wǎng)絡(luò)安全顯得尤為重要。網(wǎng)絡(luò)安全設(shè)備的實(shí)際應(yīng)用不僅需要實(shí)時(shí)的檢測(cè)與防御能力，而且還需要一種全面、高效的部署方式。入侵防御的應(yīng)用部署如圖下所示。4、入侵防御系統(tǒng)的應(yīng)用部署入侵防御的應(yīng)用部署4、入侵防御系統(tǒng)的應(yīng)用部署圖中，防火墻位于內(nèi)網(wǎng)和外網(wǎng)的交界處，對(duì)內(nèi)網(wǎng)和外網(wǎng)之間的訪問(wèn)流量進(jìn)行控制，是內(nèi)網(wǎng)的第一道安全屏障。入侵防御系統(tǒng)串聯(lián)在防火墻后面，對(duì)防火墻不能阻斷的攻擊進(jìn)行第二次檢測(cè)與阻斷。用戶區(qū)和服務(wù)器區(qū)與內(nèi)網(wǎng)串聯(lián)部位同時(shí)部署入侵防御系統(tǒng)，以保障內(nèi)網(wǎng)不受來(lái)自內(nèi)網(wǎng)的攻擊。由此可見(jiàn)，該入侵防御的部署方式能夠有效地防止來(lái)自外網(wǎng)的攻擊，實(shí)時(shí)有效地保護(hù)網(wǎng)絡(luò)中的重要設(shè)備與資源。5、應(yīng)用TippingPoint三大入侵防御功能:(1)應(yīng)用程序防護(hù)-UnityOne(2)網(wǎng)絡(luò)架構(gòu)防護(hù)(3)性能保護(hù)5.1、應(yīng)用程序防護(hù)-UnityOne

提供擴(kuò)展至用戶端、服務(wù)器、及第二至第七層的網(wǎng)絡(luò)型攻擊防護(hù)，如：病毒、蠕蟲(chóng)與木馬程序。利用深層檢測(cè)應(yīng)用層數(shù)據(jù)包的技術(shù)，UnityOne可以分辨出合法與有害的封包內(nèi)容。最新型的攻擊可以透過(guò)偽裝成合法應(yīng)用的技術(shù)，輕易的穿透防火墻。而UnityOne運(yùn)用重組TCP流量以檢視應(yīng)用層數(shù)據(jù)包內(nèi)容的方式，以辨識(shí)合法與惡意的數(shù)據(jù)流。大部分的入侵防御系統(tǒng)都是針對(duì)已知的攻擊進(jìn)行防御，然而UnityOne運(yùn)用漏洞基礎(chǔ)的過(guò)濾機(jī)制，可以防范所有已知與未知形式的攻擊。5.2、網(wǎng)絡(luò)架構(gòu)防護(hù)

路由器、交換器、DNS服務(wù)器以及防火墻都是有可能被攻擊的網(wǎng)絡(luò)設(shè)備，如果這些網(wǎng)絡(luò)設(shè)備被攻擊導(dǎo)致停機(jī)，那么所有企業(yè)中的關(guān)鍵應(yīng)用程序也會(huì)隨之停擺。而UnityOne的網(wǎng)絡(luò)架構(gòu)防護(hù)機(jī)制提供了一系列的網(wǎng)絡(luò)漏洞過(guò)濾器以保護(hù)網(wǎng)絡(luò)設(shè)備免于遭受攻擊。此外，UnityOne也提供異常流量統(tǒng)計(jì)機(jī)制的過(guò)濾器，對(duì)于超過(guò)”基準(zhǔn)線”的正常網(wǎng)絡(luò)流量，可以針對(duì)其通訊協(xié)議或應(yīng)用程序特性來(lái)進(jìn)行警示、限制流量或阻絕流量等行動(dòng)。如此一來(lái)可以預(yù)防DDoS及其它溢出式流量攻擊所造成的網(wǎng)絡(luò)斷線或阻塞。5.3、性能保護(hù)

是用來(lái)保護(hù)網(wǎng)絡(luò)帶寬及主機(jī)性能，免于被非法的應(yīng)用程序占用正常的網(wǎng)絡(luò)性能。如果網(wǎng)絡(luò)鏈路壅塞，那么重要的應(yīng)用程序數(shù)據(jù)將無(wú)法在網(wǎng)絡(luò)上傳輸。非商用的應(yīng)用程序，如點(diǎn)對(duì)點(diǎn)文檔共享(P2P)應(yīng)用或?qū)崟r(shí)通訊軟件(IM)將會(huì)快速的耗盡網(wǎng)絡(luò)的帶寬，因此Un