Unit6_入侵响应与IDS的部署课件.pptVIP

入侵检测及扫描技术 —— 入侵响应与IDS的部署 入侵响应 响应类型 被动响应：只记录问题和报告问题 主动响应：用自动的或用户指定的方式，阻断攻击过程。 主动响应(active response) 可分为三类： 针对入侵者采取的措施 修正系统 收集更详细的信息 针对入侵者采取的措施 追踪攻击的发起地，并采取措施禁用入侵者的机器或网络连接。其危害是： 可能会使无辜的受害者遭受到新的损害。 攻击方可能假冒IP对目标进行攻击 可能挑起更猛烈的攻击 反击者可能会成为刑事或民事诉讼的对象。 可能会牵涉到法律责任和其它一些实际问题，不应作为通用的主动响应方式。 针对入侵者采取的措施（续） 正确的方式是： 断开与其之间的网络会话，如向攻击方机器法送TCP的RESET包，或发送ICMP Destination Unreachable包，也可控制防火墙或网关去阻拦攻击包 发邮件给系统管理员，请求识别并处理问题 修正系统 修正系统弥补攻击引起的破坏（类似于生物体的免疫系统，可以辨识问题并将引起问题的部分隔离起来）。 改变分析引擎的一些参数设置和操作方式 添加规则，如提高某类攻击的可疑级别或扩大监控范围，达到在更好的粒度层次上收集信息的目的（类似于利用当前进程结果来调整优化以后的进程） 收集更详细的信息 可以与专用的服务器（诱骗系统）结合起来，如honey pots, decoys或fishbowls,用来模拟关键系统的文件系统或其他系统特征，引诱攻击者，记录攻击者行为，从而获得关于攻击者的详细信息，作为进一步采取法律措施的依据. Decoy最早出现在1972年Bill Cheswick的论文中（An Evening with Berferd in Which a Cracker Is Lured, Endured, and Studied）。 被动响应(passive response) 为用户提供信息，由用户决定接下来应该采取什么措施。 警报和通知 警报显示屏（控制台或预定义的其他部件上） 警报和警告的远程通报（移动电话或E-mail） SNMP陷阱和插件 与网管工具一起协同工作，出现在网管控制台上 入侵追踪 是主动响应的一部分。 给定一系列主机H1,H2,…Hn, 当攻击者顺序从H1连接到H2, 称 H1,H2,..Hn为一个连接链，追踪的任务就是给定Hn,找出Hn-1,…H1的部分或全部。 目前的追踪方法主要两类：基于主机的和基于网络的，每种又分为主动式和被动式 追踪系统举例 基于主机的追踪体系 被动式追踪 DIDS Caller Identification System（CIS） 主动式追踪 Caller ID 问题：必须信任追踪系统中的每个节点；要求大规模地部署，因此在Internet上难以实现。 基于网络的追踪体系 基于网络本身的特性进行追踪，不要求每个节点的参与，也不基于对每个节点的信任 被动式追踪 Thumprint Time-based Deviation-based 主动式追踪：涉及信息隐形技术，保密研究 联动响应 是一种主动响应方式，它是指当IDS检测到需要阻断的入侵行为时，立即迅速启动联动机制，自动通知防火墙或其它安全控制设备对攻击源进行封堵，达到整体安全控制的效果。 比如： 与防火墙联动，封堵源自外部网络的攻击； 与网络管理系统联动，封掉被攻击者利用的网络设备和主机； 与操作系统联动，封掉有恶意的用户账号。 联动响应举例 例1：攻击者A向防火墙内的主机B实施TCP SYN-Flooding攻击。A假冒一个不存在主机C的地址向B发送SYN包，B向C回应SYN-ACK包。但由于C并不存在，所以不会给B发送确认包，那么B上的这个半连接就一直处于等待状态。A连续向B发送SYN包，由于B的连接请求队列长度有限，当这个队列变满后，新的连接请求就无法进来，除非队列中的半连接因超时被复位。IDS对一段时间内的半连接数量进行记录，当单位时间内的TCP半连接数量超过一定阈值，则向防火墙发送命令，重新设置超时时间，即将超时时间设置为更短的t，若在时间t内没有ACK确认包或RST包发给B，则防火墙向B发RST包来复位该半连接。 主动响应存在的问题 IP 地址欺骗和误报警可能引起的错误：既然入侵检测系统有产生误报警的问题，我们就有可能错误地针对一个从未攻击我们的网络节点进行响应。 如果攻击者判定我们的系统有自动响应，他可能会利用这一点来针对我们。 如：攻击者可从某公司的合作伙伴/客户/供应商的地址发出虚假攻击，使得防火墙把一个公司与另一个公司隔离开，这样两者之间就有了不能逾越的隔离界限。 入侵响应小结 入侵响应应该与安全策略相协调。如在安全防护策略中规以定一怎样的措施来对检测到的入侵行为作出响应。 按照措施的时间和紧急程度分为：