IPS与IMP2P的.pptVIP

IPS与IM/P2P Course 201 目录 概述 IDS和IPS介绍与对比 IDS和IPS 常用到的概念 Rule-based or Misuse Detection Anomaly-based Detection Fortinet Advantages 常用到的概念 Firewalls 类似于一个建筑物的门，可以防止没有授权的用户进入. IDS类似于报警系统，对非法进入者进行报警 IPS类似于看门的警察来防止非法的进入人员. OSI模型 OSI模型，各层相关的协议以及基本功能。 IDS与IPS介绍与对比 什么是IDS? IDS可以看作是识别和判断某网络行为是否合法的工具或方法 检测数据流中是否有入侵 (基于网络的sniffing) 用于检测特定的攻击和扫描 也用于检测数据流中非正常行为，以备未来的分析 什么是IDS? IDS由以下几部分组成: 探头用于产生安全事件 控制台是用来监控日志和报警，和控制探头的 中心引擎将探头产生的日志记录到数据库中，然后根据系统的规则对日志进行分析产生相应的告警. 目前绝大多数的解决方案都包含这几部分 什么是IDS? IDS探头通常部署于网络的关键环节 被动地部署于不同的地方来收集信息 他们分析数据包匹配规则—如果匹配后，报警，然后根据记录的数据进行回应 IDS使用已知的特征值来识别数据包中的恶意内容 什么是IDS? 入侵检测的特征值 特征值有三种类型，字符串，端口， header condition signatures. 1) 字符串 根据字符来判断是否是攻击. 例如，UNIX下的一个典型的攻击时“cat ”+ +“ /.rhosts” , 如果成功了，会导致UNIX很容易被攻击. 为了减少误报，尽可能地使用混合的字符串特征值。比如针对Web服务器，混合字符串特征值可以是 cgi-bin AND aglimpse AND IFS. 什么是IDS? 2) 端口特征值 它是简单地匹配已知协议的端口，比如 telnet (TCP port 23), FTP (TCP port 21/20), SUNRPC (TCP/UDP port 111), and IMAP (TCP port 143). 如果这些端口实际上并没有被站点所使用，那么这些数据包就是可疑的.  3) Header signatures 是用来发现数据包包头中不合逻辑的的内容. 最为著名的是 Winnuke,数据包指向 NetBIOS端口，但是设置了Urgent pointer或者 Out Of Band pointer Out Of Band pointer . 这会导致Windows系统的蓝屏死机. 另外一个著名的头标记类的攻击时TCP包头中SYN和FIN标记都同时设置，这意味着发起人希望同时打开和关闭一个会话。 IDS系统的类型 基于主机的IDS (HIDS) 安装于主机的软件，针对扫描主机的行为 记录行为和恶意代码的数据库进行比较t 基于网络的IDS (NIDS) 部署于网络，分析网络中的数据包以发现攻击 HIDS 和NIDS都是被动的—仅作日志和报警 HIDS厂家有McAfee, Symantec, CyberSafe IDS系统的类型 什么是IPS? IPS 系统在线部署，监控网络行为，当一个事件被触发后，根据规则采取相应的行为 当出现恶意行为或异常被检测后，能够予以阻断 主动地，而非应对地 (IDS) 是NIDS的下一代产品 所有的攻击都可以被记录，但是不采用行动 可以被认为是下一代防火墙或者应用层防火墙 什么是IPS? IPS采用基于行为分析的引擎，而不仅仅是基于特征值的方式，它能够更好理解网络数据包 协议异常分析引擎 流量异常引擎 (TCP, UDP, ICMP) 预定义的特征值升级 所有协议和流量特征都可以象已知特征库一样部署操作策略 IDS vs IPS IDS (Intrusion Detection Systems) : 它是被动地监控网络流量，它主要对监控和日志进行了优化，而非及时阻断。 IPS (Intrusion Prevention Systems) : 主动地，在线部署，可以实时地阻断恶意代码攻击. FortiO采用的IPS模式! IDS/IPS 常用到的概念 IDS/IPS 常用到的概念 误报 IPS和IDS发现了一个攻击，但是实际上它不是 漏报 IPS和IDS没有发现已发生的攻击 IDS/IPS 常用到的概念 Snort是什么? Snort是开源的网络入侵检测与防御，使用的基于规则的语言，可以基于特征值、协议和异常检测技术 Snort有三种基本应用，可以直接作为 tcpdump, 数据包