第6章 入侵检测和入侵防御系统.ppt

* 第6章 入侵检测和入侵防御系统 目 录 入侵检测系统 1 主动响应与IPS 2 入侵防御讨论 3 6.1入侵检测系统 传统上，企业网络一般采用防火墙作为安全的第一道防线，但随着攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对网络安全的进一步需要，网络的防卫必须采用一种纵深的、多样化的手段。 入侵检测系统是继防火墙之后，保护网络安全的第二道防线，它可以在网络受到攻击时，发出警报或者采取一定的干预措施，以保证网络的安全。 6.1入侵检测系统 我们可以通过入侵检测系统(IDS)和监控时间日志两种方法就可以及时得到有关的网络安全事件。 入侵检测系统 入侵检测系统(IDS)是一种用来确定不需要的网络活动，并向有关人员发警报以便及时采取措施的检测系统。 注意：网络上不需要的活动不一定就是实际的入侵，可以是任何不想要的活动。 入侵检测系统 实现IDS最常见的方法是通过系统监控、检查指定链路上的所有流量，然后将流量通数据库中已知不需要检测的流量特征加以比较，这是基于特征的IDS。 还有一种是，IDS试图从实际网络数据构建“正常”通信量列表，然后标示任何与已建正常通信量列表不匹配的流量，这是基于异常检测的IDS。 入侵检测系统 入侵防御系统(IPS)，它的功能强大，除了能够检测恶意行为外，还能够采取行动阻止恶意行为的危害。 入侵检测系统的配置 硬件需求 安装NIDS—它能识别恶意流量 添加P105页 图6-1 Linux系统上Snort配置 Snort是一种开放源代码、免费、跨平台的网络入侵保护和检测系统，它使用了一种规则驱动的语言，支持各种形式的插件、扩充和定制，具有实时数据流量分析、对IP网络数据包进行日志记录、以及对入侵进行探测的功能。 虽然Snort的功能非常强大，但其代码非常简洁，可移植性非常好。迄今为止数百万的下载量使得Snort成为使用最为广泛的入侵保护和检测系统，并且成为了事实上的行业标准。 Linux系统上Snort配置 Snort最主要的功能是对入侵进行检测，其工作方式是对抓取的数据包进行分析后，与特定的规则模式进行匹配，如果能匹配，则认为发生了入侵事件。 此时，执行snort命令时需要用“-c”选项指定入侵检测时所使用的配置文件。 Snort默认安装时，已经在/etc/snort目录提供了一个例子配置文件，其文件名是snort.conf。 Linux系统上Snort配置 /etc/snort/snort.conf文件是snort命令运行时的主配置文件，为了使用的方便，用户可以在其中定义许多变量，以便以后在其它位置进行引用。另外，Snort系统本身也使用某些名称的变量，用户赋予的值将影响Snort的工作状态。变量的值一般是文件系统中的路径、IP地址、端口号等。 Linux系统上Snort配置 执行snort命令时，可以通过指定命令行选项使Snort工作于不同的状态，实际上，很多的命令行选项都可以在snort.conf文件中进行配置，于是，就不需要在snort命令行中指定了。除了命令行选项外，在snort.conf文件中还可以指定其它一些不能在命令行中使用的选项。 配置Snort选项的格式如下： config directive [: value] Linux系统上Snort配置 Snort的规则选项是入侵检测引擎的核心，所有的入侵行为都可以通过Snort规则选项将其表达出来，使用起来非常灵活。所有的snort规则选项和选项值之间用“:”分隔，而规则选项本身由“;”进行分隔。 6.2 主动响应与IPS 主动响应与入侵防御的对比 入侵防御通常应用在内联设备 而主动响应不需要内联设备来实现，而且主动响应更具有更改或阻塞网络流量的功能。 两者区别在于:任何不与恶意流量内联在线的响应机制，不再阻止这种流量到达想要到达的目标和位置。 6.2 主动响应与IPS 主动响应的目的是在不需要管理员的情况下买自动地对检测到的攻击做出反应并减少计算机入侵企图造成的破坏效果。 基于网络的主动响应有四种策略，针对协议栈的不同层： 数据链路 网络 传输层 应用层 基于IDS报警的响应攻击 当分组从一个网络路由到另外一个时，网关设备将会检查分组，并决定他们是否转发出去。因此，为了安全，任何响应系统必须与该网关通过本地接口连接，要么通过远程接口连接，以便能够影响路由决策(可以使用SnortSam软件实现)，或者流量直接经过主动响应系统本身(可以使用Fwsnort或snort_inline软件实现)。 SnortSam、Fwsnort和snort_inline软件如何保护网络不受攻击，在本节内有详细的介绍。 6.3 入侵防御讨论 防火墙的核心目的是根据流量与防火墙给定的策略，允许或阻止网络流量。 它能快速做出决定，尽快放行或阻