1 / 55

山东女子学院 杨艳春

《 网络安全 》 是一门综合性和实践性很强的课程,主要内容包括网络安全基础知识、黑客攻击防御技术、病毒防御、数据加密、防火墙技术、入侵检测技术、操作系统安全、 Web 安全、 VPN 技术等内容。. 山东女子学院 杨艳春. CH6 入侵检测技术. 课程内容. 第一部分 入侵检测概述 第二部分 入侵检测工作原理 第三部分 入侵检测的应用. 第一部分 入侵检测概述. 一、什么是入侵检测系统? 二、为什么需要 IDS? 三、 入侵检测系统分类 四、 入侵检测的作用. 一、什么是入侵检测系统?

chassidy-evans
Download Presentation

山东女子学院 杨艳春

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 《网络安全》是一门综合性和实践性很强的课程,主要内容包括网络安全基础知识、黑客攻击防御技术、病毒防御、数据加密、防火墙技术、入侵检测技术、操作系统安全、Web安全、VPN技术等内容。《网络安全》是一门综合性和实践性很强的课程,主要内容包括网络安全基础知识、黑客攻击防御技术、病毒防御、数据加密、防火墙技术、入侵检测技术、操作系统安全、Web安全、VPN技术等内容。 山东女子学院 杨艳春

  2. CH6 入侵检测技术

  3. 课程内容 第一部分 入侵检测概述 第二部分 入侵检测工作原理 第三部分 入侵检测的应用

  4. 第一部分 入侵检测概述 一、什么是入侵检测系统? 二、为什么需要IDS? 三、 入侵检测系统分类 四、 入侵检测的作用

  5. 一、什么是入侵检测系统? • 入侵检测系统是一套监控计算机系统或网络系统中发生的事件,根据规则进行安全审计的软件或硬件系统。 • 入侵检测系统收集计算机系统和网络的信息,并对这些信息加以分析,对保护的系统进行安全审计、监控、攻击识别并作出实时的反应。

  6. 二、 为什么需要IDS? • 入侵很容易 • 入侵教程随处可见 • 各种攻击工具唾手可得 • 防火墙不能保证绝对的安全 • 防火墙只是网络边界的设备 • 防火墙自身可以被攻破 • 防火墙对某些攻击的防护能力很弱 • 无法阻止内部人员所做的攻击 • 攻击发生后,防火墙保存的信息难以调查和取证

  7. 三、 入侵检测系统分类 • 根据检测类型分类 • 异常入侵检测系统 • 检测与可接受行为之间的偏差 • 误用入侵检测系统 • 检测与已知的不可接受行为之间的匹配程度 • 根据检测对象分类 • 基于主机的IDS(Host-Based IDS) • 基于网络的IDS(Network-Based IDS) • 混合型IDS

  8. 四、 入侵检测的作用 • 监控、分析用户和系统的活动 • 审计系统的配置和漏洞 • 评估关键系统和数据文件的完整性 • 识别已知的攻击行为 • 统计分析异常行为 • 操作系统日志管理,并识别违反安全策略的用户活动

  9. 课程内容 • 入侵检测概述 • 入侵检测工作原理 • 入侵检测的应用

  10. 入侵检测工作原理 • 入侵检测系统的构件 • 入侵检测的工作过程 • 入侵检测的信息收集内容 • 入侵检测的分析方法

  11. 一、 入侵检测系统的构件

  12. 二、 入侵检测的工作过程 • 基本工作过程 • 信息收集 检测引擎从信息源收集系统、网络、状态和行为信息。 • 信息分析 从信息中查找和分析表征入侵的异常和可疑信息。 • 告警与响应 根据入侵性质和类型,做出相应的告警和响应。

  13. 入侵检测的信息收集内容 1)系统和网络日志文件 2)目录和文件中的不期望的改变 3)程序执行中的不期望行为 4)物理形式的入侵信息 • 未授权的对网络硬件连接 • 对物理资源的未授权访问

  14. 入侵检测的信息分析方法 • 模式匹配----误用检测(Misuse Detection) • 维护一个入侵特征知识库 • 准确性高 • 统计分析--------异常检测(Anomaly Detection) • 统计模型 • 误报、漏报较多 • 完整性分析 • 关注某个文件或对象是否被更改 • 事后分析

  15. 误用检测 • 基本原理 • 采用匹配技术检测已知攻击 • 提前建立已出现的入侵行为特征 • 检测当前用户行为特征

  16. 误用检测 2. 误用检测的优点 • 算法简单 • 系统开销小 • 准确率高 • 效率高

  17. 误用检测 3. 误用检测的缺点 • 被动 • 只能检测出已知攻击 • 新类型的攻击会对系统造成很大的威胁 • 模式库的建立和维护难 • 模式库要不断更新 • 知识依赖于 • 硬件平台 • 操作系统 • 系统中运行的应用程序

  18. 异常检测 • 基本原理 • 正常用户行为的特征轮廓 • 检查实际用户行为和系统的运行情况 • 是否偏离预设的门限?

  19. 异常检测 2. 异常检测的优点 • 可以检测到未知的入侵 • 可以检测冒用他人帐号的行为 • 具有自适应,自学习功能 • 不需要系统先验知识

  20. 异常检测 3. 异常检测的缺点 • 漏报、误报率高 • 入侵者可以逐渐改变自己的行为模式来逃避检测 • 合法用户正常行为的突然改变也会造成误警 • 统计算法的计算量庞大,效率很低 • 统计点的选取和参考库的建立比较困难

  21. IDS在交换式网络中的位置 IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源。这些位置通常是: ·服务器区域的交换机上; ·Internet接入路由器之后的第一台交换机上; ·重点保护网段的局域网交换机上。

  22. 课程内容 • 入侵检测概述 • 入侵检测技术与工作原理 • 入侵检测的应用

  23. 入侵检测应用 • IDS的应用 • IDS部署实例 • Snort简介

  24. IDS应用--如何选择IDS • 根据组织的安全需求及既定的安全策略,来确定所需的IDS。 • 根据企业所要保护的系统,来确定选择基于主机的IDS还是基于网络的IDS、或是二者的结合。 • 综合比较各种IDS的性能和价格,来选择具体应用的产品。 • IDS和其它安全设备一样,正确地配置和维护,是使它能真正发挥作用的关键之处。

  25. IDS部署实例 Real Secure的部署图

  26. IDS部署实例 • RealSecure的部署图,RealSecure是一种混合型的入侵检测系统,提供基于网络和基于主机的实时入侵检测。 • RealSecure控制台:对多台网络传感器和服务器代理进行管理;对被管理传感器进行远程的配置和控制;各个监控器发现的安全事件实时地报告控制台。 • NetworkSensor(网络引擎):对网络进行监听并自动对可疑行为进行响应,最大程度保护网络安全。 • ServerSensor(服务器代理,安装在各个服务器上):对主机的核心级事件、系统日志以及网络活动实现实时入侵检测。

  27. 警告! 记录攻击 外部攻击 外部攻击 终止连接 入侵检测工具举例 利用RealSecure进行可适应性攻击检测和响应 生产部 Internet 中继 工程部 路由 市场部 Intranet 人事部 企业网络

  28. 内部攻击 警告! 启动事件日志, 发送消息 入侵检测工具举例 生产部 Internet 中继 工程部 路由 市场部 Intranet 人事部 企业网络

  29. 入侵检测系统Snort的使用

  30. 入侵防御系统(IPS) • IPS是英文“Intrusion Prevention System”的缩写 • IPS技术可以深度检测流经的数据流量(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等 ),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施(按照处理力度): • 向管理中心告警; • 丢弃该报文; • 切断此次应用会话; • 切断此次TCP连接。

  31. 入侵检测系统IDS vs入侵防御系统IPS

  32. 如何选用IPS & IDS • 若用户计划在一次项目中实施较为完整的安全解决方案,则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统,在网络的边界点部署入侵防御系统。 • 若用户计划分步实施安全解决方案,可以考虑先部署入侵检测系统进行网络安全状况监控,后期再部署入侵防御系统。 • 若用户仅仅关注网络安全状况的监控(如金融监管部门,电信监管部门等),则可在目标信息系统中部署入侵检测系统即可。

  33. Snort简介 • Snort是一个用C语言编写的开放源代码软件,符合GPL(GNU General Public License)的要求,当前的最新版本是2.8,其作者为Martin Roesch。 • Snort是一个跨平台、轻量级的网络入侵检测软件,实际上它是一个基于libpcap的网络数据包嗅探器和日志记录工具,可以用于入侵检测。从入侵检测分类上来看,Snort是一个基于网络和误用的入侵检测软件。

  34. Snort 的工作模式 • 嗅探器 • Snort –v –d -e • 数据包记录器 • Snort –vde –l c:\snort\log • 网络入侵检测系统 • Snort –vde –l c:\snort\log –c c:\snort\etc\snort.conf

  35. 底层库的安装与配置 • 安装Snort所需的底层库有三个: • Libpcap,提供的接口函数主要实现和封装了与数据包截获有关的过程。 • Libnet,提供的接口函数主要实现和封装了数据包的构造和发送过程。 • NDIS packet capture Driver,是为了方便用户在Windows环境下抓取和处理网络数据包而提供的驱动程序。 • 在Linux和Solaris环境下,必须首先安装Libpcap,然后才能安装Snort,如果需要还应该安装Libnet; • 在Windows环境下,必须首先安装NDIS packet capture Driver(可用Winpcap代替),然后才能安装Snort。

  36. Snort的安装 • Win 32环境下的安装方法一 • 解开snort-2.1-win32-source.zip • 用VC++打开位于snort-2.1-win32-source\snort-2.1 \win32-Prj目录下的snort.dsw文件 • 选择“Win 32 Release”编译选项进行编译 • 在Release目录下会生成所需的Snort.exe可执行文件 • Win32环境下的安装方法二 • 直接执行Snort Windows 安装包SWIB

  37. Snort的配置 配置Snort并不需要自已编写配置文件,只需对Snort.conf文件进行修改即可 • 设置网络变量 • var DNS_SERVERS 192.168.0.1 • 配置预处理器 • 配置输出插件 • 配置所使用的规则集 • var RULE_PATH c:\snort\rules

  38. 操作实例 • 输出IP和TCP/UDP/ICMP的包头信息

  39. 输出TCP/IP信息包 启用windows下的运行窗口 输入cmd进入DOS界面 cmd cmd 进入c:\snort\bin文件夹

  40. cd c:\snort\bin

  41. 输出TCP/IP信息包 进入c:\snort\bin文件夹 输入命令snort –v扫描信息包

  42. snort -v

  43. 扫描中的界面

  44. snort -v 输出TCP/IP信息包 进入c:\snort\bin文件夹 输入命令snort –v扫描信息包 Ctrl+c退出Snort运行并显示扫描统计信息

  45. 扫描后的统计界面

  46. 操作实例 • 同时显示IP和TCP/UDP/ICMP的包头信息、应用层数据信息、数据链路层的信息并将扫描的信息记录进c:\snort\log文件夹内

  47. 指定网段输出多层信息包并保存到指定文件夹 进入c:\snort\bin文件夹 输入命令snort –vde –l c:\snort\log 扫描信息包

  48. 或输入 snort –vde –l c:\snort\log snort –v –d –e –l c:\snort\log

  49. 输入命令后的开始界面

More Related