RCSI3.0-chap3.1-IDS基础知识.ppt

IDS知识准备 锐捷网络大学 锐捷RCSI课程 附录一 培训提要 IDS基础知识项目介绍知识准备项目实施 学习目标 通过本章的学习 希望您能够 掌握如何构建一个安全的园区网络掌握构建安全的园区网络所需的技术掌握实施安全的园区网络的步骤 本章内容 掌握网络安全基础知识入侵检测技术IDS工作原理部署与配置RG IDS 课程议题 入侵检测技术 什么是IDS IDS IntrusionDetectionSystem 的概念IDS是硬件或软件用于检测对网络的攻击对攻击的积极响应 IDS的起源与发展 概念的诞生 1980年美国空军做了题为 计算机安全威胁监控与监视 第一次详细阐述了入侵检测的概念模型的发展 1984 1986年乔治敦大学的DorothyDenning和SRI公司的计算机科学实验室PeterNeumann研究出了一个入侵检测模型 取名为IDES 入侵检测专家系统 它独立于特定的系统平台 应用环境 应用弱点以及入侵类型真正提出的入侵检测思想百花齐放 1990年美国加州大学第一次将网络数据流作为审计来源分析入侵活动 为入侵检测技术翻开新的一页 从此入侵检测技术分为网络入侵检测技术和主机入侵检测技术 并且两种方式不断壮大起来里程碑 2000年分布式IDS出现 HIDS HostIDS Internet 网络服务器1 客户端 网络服务器2 检测内容 系统调用 端口调用 系统日志 安全审记 应用日志 HIDS HIDS HIDS 续 在最终目的进行分析对网络的视野有限性能问题部署问题 NIDS NetworkIDS Internet NIDS 网络服务器1 数据包 包头信息 有效数据部分 客户端 网络服务器2 检测内容 包头信息 有效数据部分 NIDS 续 视野开阔易于部署带宽 性能问题加密问题 课程议题 IDS的工作原理 IDS警报 什么是警报IDS检测到入侵活动时 都必须产生一些警报以发出信号由于IDS没有100 的正确率 所以IDS警报分为两大类错误警报误报漏报正确警报正确命中正确拒绝 IDS检测方式 异常检测模式匹配 签名匹配 协议分析 异常检测 概念也称为模型检测 需要为用户习惯建立模型 模型为用户定义了行为特征 以及为用户执行正常任务定义了一个基线优点检测以前未发布的攻击缺点用户习惯改变时 必须更新用户模型很难把特定的攻击与警报相关联 模式匹配 概念也称为滥用检测 探测与具体特征相匹配的入侵行为 将收集到的信息与特征库匹配优点基于已知的入侵行为安装后立刻就能进行检测缺点需要更新签名库 特征库 有些攻击能绕过IDS无法检测未知攻击 协议分析 协议分析 续 ETHER ARP IP RARP ICMP IGMP TCP UDP POP3 FTP HTTP DNS 第一步 直接跳到第13个字节 并读取2个字节的协议标识 如果值是0800 则说明这个以太网帧的数据域携带的是IP包 基于协议解码的入侵检测利用这一信息指示第二步的检测工作 第二步 跳到第24个字节处读取1字节的第四层协议标识 如果读取到的值是06 则说明这个IP帧的数据域携带的是TCP包 入侵检测利用这一信息指示第三步的检测工作 第三步 跳到第35个字节处读取一对端口号 如果有一个端口号是0080 则说明这个TCP帧的数据域携带的是HTTP包 基于协议解码的入侵检测利用这一信息指示第四步的检测工作 第四步 让解析器从第55个字节开始读取URL URL串将被提交给HTTP解析器 在它被允许提交给Web服务器前 由HTTP解析器来分析它是否可能会做攻击行为 基于状态的检测 IDS PC A1 1 1 1 源地址目标地址源端口目标端口初始序列号ACK标记 1 1 1 1 2 2 2 2 1033 80 350771 syn 1 1 1 1 2 2 2 2 1033 80 350772 133076 syn ack 1 1 1 1 2 2 2 2 1033 80 350773 133077 ack 状态表源地址目标地址源端口目标端口序列号 IDS响应技术 报警记录日志TCPreset联动SNMPTrap邮件通知 课程议题 部署与配置RG IDS 安装组件步骤 安装RGIDSSensor安装DataBase安装RGIDSLogServer安装RGIDSEvent Collector安装RGIDSConsole安装RGIDSReport 安装顺序 配置Sensor SENSOR显示的当前状态输入管理员密码 进入管理窗口配置SENSOR的网络连接状态 配置DataBase 安装微软MSDE组件初始配置计算机重启安装LogServer 配置LogServer 安装完成 出现 数据服务初始化配置 窗口也可以通过点击 开始 程序 入侵检测系统 入侵检测系统 网络 RGIDS数据服务安装 进入此窗口 配置Event Collector 安装License安装许可证 配置Event Collector 在应用服务管理器中启用事件收集服务主要功能 后台服务的启动管理收集组件的状态调试信息 配置用户 控制台登录界面对用户做管理及审计信息 添加组件 组件管理 添加组件 添加传感器 组件配置窗口 添加传感器 同步签名 应用策略 重启引擎 应用策略后会出现断开标志 大约2分钟时间 后出现编译签名标志 整个同步签名需要大约需要20分钟时间 添加LogServer 添加LogServer 策略编辑 策略编辑器窗口 添加特殊事件 添加特殊事件进入 策略 告警策略 窗口展开 一般事件树 右键点击某个攻击签名 在出现的菜单中选择 添加到特殊事件窗口 在弹出的窗口中 输入新建事件组的名称点击 确定 按钮 该攻击签名将出现在特殊事件窗口中 事件统计图 一般事件统计图表窗口 事件风险 一般事件风险列表窗口 系统日志 系统日志窗口 配置Report 报表的登录界面 配置Report 安全事件报表 系统事件报表 审计事件报表 配置Report 报表的数据服务器信息设置界面 配置Report 数据服务器信息 课程回顾 入侵检测技术IDS工作原理部署与配置RG IDS Q A