入侵防御系统.ppt

计算机网络安全 第八章 第8章 入侵防御系统 入侵防御系统概述； 网络入侵防御系统； 主机入侵防御系统。 入侵防御系统的作用是检测网络中可能存在的攻击行为，并对攻击行为进行反制。由于攻击手段的多样性和不断翻新，采用单一技术和手段是无法检测出所有攻击行为的，因此，入侵防御系统也是多个系统的有机集合，每一个系统各司其职。 8.1 入侵防御系统概述 入侵防御系统分类； 入侵防御系统工作过程； 入侵防御系统不足； 入侵防御系统发展趋势。 　入侵防御系统和防火墙是抵御黑客攻击的两面盾牌，防火墙通过控制信息在各个网络间的传输，防止攻击信息到达攻击目标。入侵防御系统通过检测流经各个网段的信息流，监测对主机资源的访问过程，发现并反制可能存在的攻击行为。 入侵防御系统分类 入侵防御系统分为主机入侵防御系统和网络入侵防御系统； 主机入侵防御系统检测进入主机的信息流、监测对主机资源的访问过程，以此发现攻击行为、管制流出主机的信息流，保护主机资源； 网络入侵防御系统通过检测流经关键网段的信息流，发现攻击行为，实施反制过程，以此保护重要网络资源； 主机入侵防御系统和网络入侵防御系统相辅相成，构成有机的防御体系。 入侵防御系统工作过程 网络入侵防御系统工作过程 捕获信息； 检测异常信息； 反制异常信息； 报警； 登记。 入侵防御系统工作过程 主机入侵防御系统工作过程 拦截主机资源访问操作请求和网络信息流； 采集相应数据； 确定操作请求和网络信息流的合法性； 反制动作； 登记和分析。 　主机攻击行为的最终目标是非法访问网络资源，或者感染病毒，这些操作的实施一般都需要调用操作系统提供的服务，因此，首要任务是对调用操作系统服务的请求进行检测，根据调用发起进程，调用进程所属用户，需要访问的主机资源等信息确定调用的合法性。同时，需要对进出主机的信息进行检测，发现非法代码和敏感信息。 入侵防御系统的不足 主机入侵防御系统是被动防御，主动防御是在攻击信息到达主机前予以干预，并查出攻击源，予以反制。另外，每一台主机安装主机入侵防御系统的成本和使安全策略一致的难度都是主机入侵防御系统的不足； 网络入侵防御系统能够实现主动防御，但只保护部分网络资源，另外对未知攻击行为的检测存在一定的难度。 入侵防御系统发展趋势 融合到操作系统中 　主机入侵防御系统的主要功能是监测对主机资源的访问过程，对访问资源的合法性进行判别，这是操作系统应该集成的功能。 集成到网络转发设备中 　所有信息流都需经过转发设备进行转发，因此，转发设备是检测信息流的合适之处。 8.2 网络入侵防御系统 系统结构； 信息捕获机制； 入侵检测机制； 安全策略。 　网络入侵防御系统首先是捕获流经网络的信息流，然后对其进行检测，并根据检测结果确定反制动作，检测机制、攻击特征库和反制动作由安全策略确定。 系统结构 探测器1处于探测模式，需要采用相应捕获机制才能捕获信息流，探测器2处于转发模式； 探测器1只能使用释放TCP连接的反制动作，探测器2可以使用其他反制动作； 为了安全起见，探测器和管理服务器用专用网络实现互连。 信息捕获机制 利用集线器的广播传输功能，从集线器任何端口进入的信息流，将广播到所有其他端口。 信息捕获机制 端口境像功能是将交换机某个端口（如图中的端口2）作为另一个端口（如图中的端口1）的境像，这样，所有从该端口输出的信息流，都被复制到境像端口，由于境像端口和其他交换机端口之间的境像关系是动态的，因此，连接在端口2的探测器，可以捕获从交换机任意端口输出的信息流。 信息捕获机制 跨交换机端口境像功能是将需要检测的端口和连接探测模式的探测器端口之间交换路径所经过交换机端口划分为一个特定的VLAN； 从检测端口进入的信息除了正常转发外，在该特定VLAN内广播。 信息捕获机制 通过分类器鉴别出具有指定源和目的IP地址、源和目的端口号等属性参数的IP分组； 为这些IP分组选择特定的传输路径； 虚拟访问控制列表允许这些IP分组既正常转发，又从特定传输路径转发； 通过特定传输路径转发的IP分组到达探测器。 入侵检测机制 攻击特征检测 从已知的攻击信息流中提取出有别于正常信息流的特征信息； 特征信息分为元攻击特征和有状态攻击特征； 元攻击特征是单个独立的攻击特征，只要信息流中出现和元攻击特征相同的位流或字节流模式，即可断定发现攻击； 有状态攻击特征是将整个会话分成若干阶段，攻击特征分散出现在多个阶段对应的信息流中，只有按照阶段顺序，在每一个检测到指定的攻击特征才可断定发现攻击； 攻击特征只能检测出已知攻击，即提取出攻击特征的攻击行为。 入侵检测机制 协议译码 IP分组的正确性，如首部字段值是否合理，整个TCP首部是否包含单片数据中，各个分片的长度之和是否超过64KB等； TCP报文的正确性，如经过TCP连接传输的TC