IDS技术原理教程分析.ppt

对数据包的不同处理方式 当处理到重叠的TCP/IP分片时，有些系统保留新数据，有些系统保留老数据，IDS处理重叠时可能与终端系统不同 Windows NT 4.0保留老数据 Linux保留新数据 终端系统可能会丢弃某些带了不被支持或不寻常的TCP/IP选项的数据包，IDS则可能还会处理那些包 终端系统可能被配置成丢弃源路由的包 终端系统可能丢弃有老时间戳的包 终端系统可能丢弃某些带有特殊TCP/IP选项组合的包 因为网络拓扑与数据包TTL值的设置，IDS和终端系统可能收到不同的数据包 更多的不同… 在进行TCP/IP分片的重组时，IDS与终端系统的所设定的超时可能不同，造成重组的结果不同 IDS与终端系统的硬件能力不同，导致一方能够完成的重组对另一方来说不可能完成 所有以上这些的不同，使下面的这几种攻击成为可能。 插入攻击 在数据流中插入多余的字符，而这些多余的字符会使IDS接受而被终端系统所丢弃。 逃避攻击 想办法使数据流中的某些数据包造成终端系统会接受而IDS会丢弃局面。 拒绝服务攻击 IDS本身的资源也是有限的，攻击者可以想办法使其耗尽其中的某种资源而使之失去正常的功能 CPU，攻击者可以迫使IDS去执行一些特别耗费计算时间而又无意义的事 内存，连接状态的保留、数据包的重组都需要大量的内存，攻击者可以想办法使IDS不停的消耗内存 日志记录空间，攻击者可以不停地触发某个事件让IDS不停地记录，最终占满记录空间 IDS需要处理网络上所有的数据包，如果攻击者能使IDS所在的网络达到很高的流量，IDS的检测能力将急剧下降 IDS的基本结构 IDS系统结构---探测引擎 采用旁路方式全面侦听网上信息流，实时分析 将分析结果与探测器上运行的策略集相匹配 执行报警、阻断、日志等功能。 完成对控制中心指令的接收和响应工作。 探测器是由策略驱动的网络监听和分析系统。 IDS的基本结构 ----引擎的功能结构 IDS系统结构-----控制中心 提供报警显示 提供对预警信息的记录和检索、统计功能 制定入侵监测的策略； 控制探测器系统的运行状态 收集来自多台引擎的上报事件，综合进行事件分析，以多种方式对入侵事件作出快速响应。 这种分布式结构有助于系统管理员的集中管理，全面搜集多台探测引擎的信息，进行入侵行为的分析。 IDS的基本结构-----控制中心的功能结构 IDS的系统结构 单机结构 ：引擎和控制中心在一个系统之上，不能远距离操作，只能在现场进行操作。 优点是结构简单，不会因为通讯而影响网络带宽和泄密。 分布式结构就是引擎和控制中心在2个系统之上，通过网络通讯，可以远距离查看和操作。目前的大多数IDS系统都是分布式的。 优点不是必需在现场操作，可以用一个控制中心控制多个引擎，可以统一进行策略编辑和下发，可以统一查看申报的事件，可以通过分开事件显示和查看的功能提高处理速度等等。 IDS的系统结构----分布式结构图 IDS性能指标 系统结构 事件数量 处理带宽 定义事件 事件响应 自身安全 多级管理 事件库更新 友好界面 日志分析 资源占用率 抗打击能力 日志分析 所谓日志分析，就是按照事件的各种属性、源、目的地址分布等信息进行统计分析、数据检索等操作，提供各种分析的图形、表格信息，使用户十分清楚地了解所发生地总体态势，并方便地查找出所需要地事件。 IDS的事件按照类型一般分为3大类：记录事件、可疑事件、非法事件。 事件响应 当IDS系统产生了一个事件后，不仅仅是报告显示该事件，还可以进行一系列操作对该事件进行实时处理。按照处理方法的不同，一般分为基本（被动）响应和积极（主动）响应2种。 基本响应是IDS所产生的响应只是为了更好地通知安全人员，并不对该网络行为进行进行自动的阻断行为。 基本响应主要由下面几种： 事件上报： 事件日志： Email通知： 手机短信息： 呼机信息： Windows消息： 通过IDS的事件积极响应，IDS系统可以直接阻止网络非法行为，保障被保护系统的安全。 阻断：通过发送扰乱报文，IDS系统破坏正常的网络连接，使非法行为无法继续进行。 源阻断：通过记忆网络非法行为的源IP地址，在一段时间内阻断所有该地址的网络连接，使网络非法行为在其行动的初期就被有效地组织。 联动：通过防火墙的联动，IDS系统可以彻底阻止网络非法行为 考察IDS系统的一个关键性指标是报警事件的多少。一般而言，事件越多，表明IDS系统能够处理的能力越强。一般而言，这个数量在500－1000之间，应该与流行系统的漏洞数目相关。 事件数量 作为分布式结构的IDS系统，通讯是其自身安全的关键因素。这包含2个部分：一是身份认证，一是数据加密。 身份认证是要保证一个