云安全产品配置与应用 案例引导与入侵检测技术基础 3-1《云安全产品配置与应用》课程-入侵检测篇-【案例引导与入侵检测技术基础】.pptVIP

联动 入侵检测 防火墙 入侵检测在安全防御体系中的地位 实时性 协议层次 应用层 表示层 会话层 传输层 IP层 数据链层 物理层 实时 准实时 事后 实时分析所有的数据包，决定是否允许通过 监控所有的数据包，判断是否非法，进行相应处理（如阻断或者报警） 记录所有的操作以备事后查询 为系统提供全方位的保护 安全审计 提交事件信息 提交事件信息 入侵检测的分类方法 根据体系结构进行分类 根据检测原理进行分类 根据实现方式进行分类 根据体系结构进行分类 集中式IDS 引擎和控制中心在一个系统之上，不能远距离操作，只能在现场进行操作。 优点是结构简单，不会因为通讯而影响网络带宽和泄密。 分布式IDS 引擎和控制中心在两个系统之上，通过网络通讯，可以远距离查看和操作。目前的大多数IDS系统都是分布式的。 优点不是必需在现场操作，可以用一个控制中心管理多个引擎，可以统一进行策略编辑和下发，可以统一查看和集中分析上报的事件，可以通过分开事件显示和查看的功能提高处理速度等等。 根据体系结构进行分类 分布式IDS： 集权式：这种结构的IDS可能有多个分布在不同主机上的审计程序，但只有一个中央入侵检测服务器。 等级式：定义了若干个分等级的监控区，每个IDS负责一个区，每一级IDS只负责所控区的分析，然后将当地的分析结果传送给上一级。 协作式：将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当地主机的某些活动。 根据检测原理进行分类 误用检测(Misuse Detection)：这种检测方法是收集非正常操作（入侵）行为的特征，建立相关的特征库；在后续的检测过程中，将收集到的数据与特征库中的特征代码进行比较，得出是否有入侵行为。 异常检测(Anomaly Detection )：这种检测方法是首先总结正常操作应该具有的特征；在得出正常操作的模型之后，对后续的操作进行监视，一旦发现偏离正常统计学意义上的操作模式，即进行报警。 误用检测 前提：所有的入侵行为都有可被检测到的特征 攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 过程 监控 ? 特征提取 ? 匹配 ? 判定 指标:误报低、漏报高 用户行为 模式匹配 入侵特征 知识库 发现入侵！ 误用检测特点 如果入侵特征与正常的用户行为匹配，则系统会发生误报； 如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报； 攻击特征的细微变化，会使得误用检测无能为力。 误用检测实例 入侵检测引擎捕获到一个协议数据包，提交给协议分析模块，发现这是一个IP-TCP-Http的协议数据，将其提交给HTTP协议的数据分析模块。 1. Http请求如下 Get /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir+C： 2. 入侵检测系统存在如下特征条件 alert tcp $EXTERNAL_NET any - $HTTP_SERVERS 80 (msg:WEB-IIS scripts access; flow:to_server; flags:A+; urlcontent:/scripts/; nocase; classtype:web-application-activity; sid:1287; rev:3;) 3. 匹配成功，表明这是一个攻击数据包。 4. 数据分析模块很快通知引擎管理模块，引擎管理模块根据用户的配置作出相应的策略，比如会立即发出Alert： WEB-IIS scripts access ，表明黑客试图通过IIS的unicode漏洞进行网络入侵。 误用检测实例 异常检测 前提：入侵是异常活动的子集 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围；检查实际用户行为和系统的运行情况是否偏离预设的门限？ 过程： 监控 ? 量化 ? 比较 ? 判定 ?