防火墙_入侵检测系统组成和实例

防火墙防火墙_ _入侵检测系统组入侵检测系统组成和实例成和实例IDS在网络中的位置在网络中的位置DMZIntranet 位位置置1：位位于于防防火火墙墙外外侧侧的的非非系系统统信信任任域域，它它将将负负责责检检测测来来自自外外部部的的所所有有入入侵侵企企图图（这这可可能能产产生生大大量量的的报报告告），通通过过分分析析这这些些攻攻击击来来帮帮助助我我们们完完善善系系统并决定要不要在系统内部部署统并决定要不要在系统内部部署IDS。位位置置2：很很多多站站点点都都把把对对外外提提供供服服务务的的服服务务器器单单独独放放在在一一个个隔隔离离的的区区域域，通通常常称称为为DMZ非非军军事事化化区区。在在此此放放置置一一个个检检测测引引擎擎是是非非常常必必要要的的，因因为为这这里里提供的很多服务都是黑客乐于攻击的目标。提供的很多服务都是黑客乐于攻击的目标。位位置置3：这这里里应应该该是是最最重重要要、最最应应该该放放置置检检测测引引擎擎的的地地方方。对对于于那那些些已已经经透透过过系系统统边边缘缘防防护护，进进入入内内部部网网络络准准备备进进行行恶恶意意攻攻击击的的黑黑客客，这这里里正正是是利利用用IDS系统及时发现并作出反应的最佳时机和地点。系统及时发现并作出反应的最佳时机和地点。IDS在网络中的位置在网络中的位置IDS的组成p检测引擎p控制中心 HUB检测引擎Monitored Servers控制中心典型的攻防模型典型的攻防模型IDS基本结构基本结构入侵检测系统包括三个功能部件入侵检测系统包括三个功能部件（1 1）信息收集信息收集（2 2）信息分析信息分析（3 3）结果处理（响应）结果处理（响应）信息搜集信息搜集信息收集信息收集p入侵检测的第一步是信息收集，收集内容包括系统、网络、数入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为据及用户活动的状态和行为p需要在计算机网络系统中的若干不同关键点（不同网段和不同需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息主机）收集信息n尽可能扩大检测范围尽可能扩大检测范围n从一个源来的信息有可能看不出疑点从一个源来的信息有可能看不出疑点信息收集信息收集p入侵检测很大程度上依赖于收集信息的可靠性和正确性入侵检测很大程度上依赖于收集信息的可靠性和正确性p要保证用来检测网络系统的软件的完整性要保证用来检测网络系统的软件的完整性p特别是入侵检测系统软件本身应具有相当强的坚固性，防特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息止被篡改而收集到错误的信息 信息收集的来源信息收集的来源p系统或网络的日志文件系统或网络的日志文件p网络流量网络流量p系统目录和文件的异常变化系统目录和文件的异常变化p程序执行中的异常行为程序执行中的异常行为信息分析信息分析信息分析信息分析 模式匹配模式匹配 统计分析统计分析 完整性分析，往往用于事后分析完整性分析，往往用于事后分析模式匹配模式匹配p模式匹配就是将收集到的信息与已知的网络入侵和系统误用模模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为式数据库进行比较，从而发现违背安全策略的行为p一般来讲，一种攻击模式可以用一个过程（如执行一条指令）一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）（如利用正规的数学表达式来表示安全状态的变化）统计分析统计分析p统计分析方法首先给系统对象（如用户、文件、目录和设备等）统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）次数、操作失败次数和延时等）p测量属性的平均值和偏差将被用来与网络、系统的行为进行比测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生较，任何观察值在正常值范围之外时，就认为有入侵发生完整性分析完整性分析p完整性分析主要关注某个文件或对象是否被更改完整性分析主要关注某个文件或对象是否被更改p这经常包括文件和目录的内容及属性这经常包括文件和目录的内容及属性p在发现被更改的、被安装木马的应用程序方面特别有效在发现被更改的、被安装木马的应用程序方面特别有效结果处理结果处理结果处理结果处理p主动响应主动响应 阻止攻击，切断网络连接；阻止攻击，切断网络连接；p被动响应被动响应 记录事件和报警。记录事件和报警。入侵检测性能关键参数入侵检测性能关键参数p误报误报(false positive)：如果系统错误地将异常活如果系统错误地将异常活动定义为入侵动定义为入侵p漏报漏报(false negative)：如果系统未能检测出真正如果系统未能检测出真正的入侵行为的入侵行为0 检出率(detection rate)100%100%误报率网络入侵检测工具snortSnortp是一个基于简单模式匹配的是一个基于简单模式匹配的IDSp源码开放，跨平台源码开放，跨平台(C语言编写，可移植性好语言编写，可移植性好)p利用利用libpcap作为捕获数据包的工具作为捕获数据包的工具p特点特点n设计原则：性能、简单、灵活设计原则：性能、简单、灵活n包含三个子系统：网络包的解析器、检测引擎、日志和报警包含三个子系统：网络包的解析器、检测引擎、日志和报警子系统子系统n内置了一套插件子系统，作为系统扩展的手段内置了一套插件子系统，作为系统扩展的手段n模式特征链模式特征链规则链规则链n命令行方式运行，也可以用作一个命令行方式运行，也可以用作一个sniffer工具工具网络数据包解析p结合网络协议栈的结构来设计结合网络协议栈的结构来设计pSnort支持链路层和支持链路层和TCP/IP的协议定义的协议定义n每一层上的数据包都对应一个函数每一层上的数据包都对应一个函数n按照协议层次的顺序依次调用就可以得到各个层上按照协议层次的顺序依次调用就可以得到各个层上的数据包头的数据包头p从链路层，到传输层，直到应用层从链路层，到传输层，直到应用层n在解析的过程中，性能非常关键，在每一层传递过在解析的过程中，性能非常关键，在每一层传递过程中，只传递指针，不传实际的数据程中，只传递指针，不传实际的数据n支持链路层：以太网、令牌网、支持链路层：以太网、令牌网、FDDISnort工作模式工作模式pSniffer模式（模式（-v）：监听网络数据流）：监听网络数据流pPacket Logger模式（模式（-l）：记录数据包内）：记录数据包内容容pIntrusion Detection模式（模式（-c）：网络入）：网络入侵检测侵检测Snort输出选项输出选项p-A fast:只记录只记录Alert的时间、的时间、IP、端口和攻击、端口和攻击消息消息p-A full:完整的完整的Alert记录记录p-A none:关闭关闭Alertp-A unsock:将将Alert发送到其他进程监听的发送到其他进程监听的socketSnort基本流程基本流程注：注：libpcap是是linux下的包下的包捕获库，捕获库，windows下的是下的是winpcap。Snort:日志和报警子系统p当匹配到特定的规则之后，检测引擎会触发相应的动作当匹配到特定的规则之后，检测引擎会触发相应的动作p日志记录动作，三种格式：日志记录动作，三种格式：n解码之后的二进制数据包解码之后的二进制数据包n文本形式的文本形式的IP结构结构nTcpdump格式格式p如果考虑性能的话，应选择如果考虑性能的话，应选择tcpdump格式，或者关闭格式，或者关闭logging功能功能p报警动作，包括报警动作，包括nSyslogn记录到记录到alert文本文件中文本文件中n发送发送WinPopup消息消息关于snort的规则pSnort的规则比较简单的规则比较简单n规则结构：规则结构：p规则头：规则头：alert tcp!10.1.1.0/24 any-10.1.1.0/24 anyp规则选项：规则选项：(flags:SF;msg:“SYN-FIN Scan”;)n针对已经发现的攻击类型，都可以编写出适当的规则来针对已经发现的攻击类型，都可以编写出适当的规则来p规则头包括：规则行为、协议、源规则头包括：规则行为、协议、源/目的目的IP地址、子网掩码地址、子网掩码以及源以及源/目的端口。目的端口。p规则选项包含规则选项包含:报警信息和异常包的信息报警信息和异常包的信息(特征码特征码)，使用这，使用这些特征码来决定是否采取规则规定的行动。些特征码来决定是否采取规则规定的行动。p现有大量的规则可供利用现有大量的规则可供利用Snort规则示例p规则示例关于snortp开放性开放性n源码开放，最新规则库的开放源码开放，最新规则库的开放p作为商业作为商业IDS的有机补充的有机补充n特别是对于最新攻击模式的知识共享特别是对于最新攻击模式的知识共享pSnort的部署的部署n作为分布式作为分布式IDS的节点的节点n为高级的为高级的IDS提供基本的事件报告提供基本的事件报告p发展发展n数据库的支持数据库的支持n互操作性，规则库的标准化互操作性，规则库的标准化n二进制插件的支持二进制插件的支持n预处理器模块：预处理器模块：TCP流重组、统计分析，等流重组、统计分析，等n IDS 现状现状n误报漏报率太高误报漏报率太高:各种检测方法都存在缺各种检测方法都存在缺陷；陷；n没有主动防御能力没有主动防御能力:IDS:IDS技术是一种预设置技术是一种预设置式的工作方式，特征分析式工作原理。检式的工作方式，特征分析式工作原理。检测规则的更新总是落后于攻击手段的更新，测规则的更新总是落后于攻击手段的更新，所以这永远是亡羊补牢，被动防守；所以这永远是亡羊补牢，被动防守；n基于主机和基于网络的入侵检测系统采集、分析的基于主机和基于网络的入侵检测系统采集、分析的数据不全面；数据不全面；n入侵检测由各个检测引擎独立完成，中心管理控制入侵检测由各个检测引擎独立完成，中心管理控制平台并不具备检测入侵的功能，缺乏综合分析；平台并不具备检测入侵的功能，缺乏综合分析；n在响应上，除了日志和告警，检测引擎只能通过发在响应上，除了日志和告警，检测引擎只能通过发送送RSTRST包切断网络连接，或向攻击源发送目标不可包切断网络连接，或向攻击源发送目标不可达信息来实现安全控制。达信息来实现安全控制。IDS 现状现状通过在防火墙中驻留的一个通过在防火墙中驻留的一个IDS Agent对象，以接收来自对象，以接收来自IDS的控制消息，然后再增加防火墙的过滤规则，最终实的控制消息，然后再增加防火墙的过滤规则，最终实现联动。现联动。IDS与与Firewall联动联动发展方向发展方向p分布式入侵检测分布式入侵检测 使用分布式的方法来监测分布式的攻击，其中的关键技术为监测使用分布式的方法来监测分布式的攻击，其中的关键技术为监测信息的协同处理与入侵攻击的全局信息的提取信息的协同处理与入侵攻击的全局信息的提取 p智能化入侵检测智能化入侵检测 使用智能化的方法与手段来进行入侵监测使用智能化的方法与手段来进行入侵监测 p全面的安全防御方案全面的安全防御方案 网络安全作为一个整体工程来处理。从管理、网络结构、加密通网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵监测多方位全面对所关注的网络作道、防火墙、病毒防护、入侵监测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。全面的评估，然后提出可行的全面解决方案。资源资源pIDS FAQnhttp:/ Mailinglistnhttp:/ 分散攻击者的注意力分散攻击者的注意力 收集同攻击和攻击者有关的信息。收集同攻击和攻击者有关的信息。价值 p默默地收集尽可能多的同入侵有关的信息，例如默默地收集尽可能多的同入侵有关的信息，例如攻击模式，使用的程序，攻击意图和黑客社团文攻击模式，使用的程序，攻击意图和黑客社团文化等等。化等等。p帮助我们明白黑客社团以及他们的攻击行为，以帮助我们明白黑客社团以及他们的攻击行为，以便更好的防御安全威胁。便更好的防御安全威胁。两种类型的蜜罐主机p两种类型的蜜罐主机两种类型的蜜罐主机产品型蜜罐（产品型蜜罐（production）研究型蜜罐（研究型蜜罐（research）。）。p产品型蜜罐用于帮助降低组织的安全风险；产品型蜜罐用于帮助降低组织的安全风险；p研究型蜜罐意味着收集尽可能多的信息。研究型蜜罐意味着收集尽可能多的信息。蜜罐主机的布置蜜罐主机的布置p蜜罐主机可以放置在：蜜罐主机可以放置在：n防火墙外面（防火墙外面（Internet）nDMZ（非军事区）（非军事区）n防火墙后面（防火墙后面（Intranet）p每种摆放方式都有各自的优缺点。每种摆放方式都有各自的优缺点。蜜罐主机的布置蜜罐主机的布置欺骗网络（欺骗网络（honeynet）关键问题p信息控制信息控制代表了一种规则，你必须能够确定你的信息包能代表了一种规则，你必须能够确定你的信息包能够发送到什么地方。其目的是，当你欺骗网络里的蜜罐主够发送到什么地方。其目的是，当你欺骗网络里的蜜罐主机被入侵后，它不会被用来攻击欺骗网络以外的机器。机被入侵后，它不会被用来攻击欺骗网络以外的机器。p信息捕获信息捕获则是要抓到入侵者群体的所有流量，从他们的击则是要抓到入侵者群体的所有流量，从他们的击键到他们发送的信息包。只有这样，我们才能进一步分析键到他们发送的信息包。只有这样，我们才能进一步分析他们使用的工具、策略及目的。他们使用的工具、策略及目的。反欺骗网络技术及工具pfragrouter（http:/www.monkey.org/dugsong/fragroute/）能对抗入侵检测系统，它把包分片重组。能对抗入侵检测系统，它把包分片重组。pRain Forest Puppy则开发了一个扫描函数库则开发了一个扫描函数库whisker(http:/