防火墙_入侵检测系统组成和实例
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
测量属性的平均值和偏差将被用来与网络、系统的行为进行比 较,任何观察值在正常值范围之外时,就认为有入侵发生
14
完整性分析
完整性分析主要关注某个文件或对象是否被更改 这经常包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效
15
结果处理
16
结果处理
主动响应 阻止攻击,切断网络连接;
6
信息搜集
7
信息收集
入侵检测的第一步是信息收集,收集内容包括系统、网络、 数据及用户活动的状态和行为
需要在计算机网络系统中的若干不同关键点(不同网段和不 同主机)收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点
8
信息收集
入侵检测很大程度上依赖于收集信息的可靠性和正确性 要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当强的坚固性,防
一般来讲,一种攻击模式可以用一个过程(如执行一条指令) 或一个输出(如获得权限)来表示。该过程可以很简单(如通 过字符串匹配以寻找一个简单的条目或指令),也可以很复杂 (如利用正规的数学表达式来表示安全状态的变化)
13
统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等) 创建一个统计描述,统计正常使用时的一些测量属性(如访问 次数、操作失败次数和延时等)
透过系统边缘防护,进入内部网络准备进行恶意攻击的黑客, 这里正是利用 IDS系统及时发现并作出反应的最佳时机和地点。
3
IDS的组成
检测引擎 控制中心
检测引擎
控制中心 HUB
Monitored Servers
4
典型的攻防模型
5
IDS基本结构
入侵检测系统包括三个功能部件 (1)信息收集 (2)信息分析 (3)结果处理(响应)
当匹配到特定的规则之后,检测引擎会触发相应的动作 日志记录动作,三种格式:
解码之后的二进制数据包 文本形式的IP结构 Tcpdump格式
如果考虑性能的话,应选择tcpdump格式,或者关闭logging 功能
报警动作,包括
Syslog 记录到alert文本文件中 发送WinPopup消息
22
23
Snort工作模式
Sniffer模式(-v):监听网络数据流 Packet Logger模式(-l):记录数据包内
容 Intrusion Detection模式(-c):网络入
侵检测
24
Snort输出选项
-A fast:只记录Alert的时间、IP、端口和攻击 消息
-A full:完整的Alert记录 -A none:关闭Alert -A unsock:将Alert发送到其他进程监听的
止被篡改而收集到错误的信息
9
wk.baidu.com
信息收集的来源
系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为
10
信息分析
11
信息分析
▪ 模式匹配 ▪ 统计分析 ▪ 完整性分析,往往用于事后分析
12
模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模 式数据库进行比较,从而发现违背安全策略的行为
规则头包括:规则行为、协议、源/目的IP地址、子网掩 码以及源/目的端口。
规则选项包含:报警信息和异常包的信息(特征码),使用这 些特征码来决定是否采取规则规定的行动。
现有大量的规则可供利用
28
Snort规则示例
规则示例
入侵企图(这可能产生大量的报告),通过分析这些攻击来帮助我们完善系 统并决定要不要在系统内部部署IDS。
位置2: 很多站点都把对外提供服务的服务器单独放在一个隔离的区域,
通常称为DMZ非军事化区。在此放置一个检测引擎是非常必要的,因为这里 提供的很多服务都是黑客乐于攻击的目标。
位置3: 这里应该是最重要、最应该放置检测引擎的地方。 对于那些已经
27
关于snort的规则
Snort的规则比较简单
规则结构: 规则头: alert tcp !10.1.1.0/24 any -> 10.1.1.0/24 any 规则选项: (flags: SF; msg: “SYN-FIN Scan”;)
针对已经发现的攻击类型,都可以编写出适当的规则来
socket
25
Snort基本流程
初始化
解析命令行
解析规则库
生成二维链表
打 开 libpcap接 口
No
获取数据包
解析数据包
与二维链表某节点匹配?
Yes
响 应 (Alert,Log)
注:libpcap是linux下的包 捕获库,windows下的是 winpcap。
26
Snort: 日志和报警子系统
被动响应 记录事件和报警。
17
入侵检测性能关键参数
误报(false positive):如果系统错误地将异常活 动定义为入侵
漏报(false negative):如果系统未能检测出真 正的入侵行为
100%
误 报 率
0 检出率(detection rate) 100%
18
网络入侵检测工具snort
19
20
Snort
是一个基于简单模式匹配的IDS 源码开放,跨平台(C语言编写,可移植性好) 利用libpcap作为捕获数据包的工具 特点
设计原则:性能、简单、灵活 包含三个子系统:网络包的解析器、检测引擎、日志和报警
子系统 内置了一套插件子系统,作为系统扩展的手段 模式特征链——规则链 命令行方式运行,也可以用作一个sniffer工具
入侵检测原理与技术
IDS在网络中的部署 IDS的组成 入侵检测系统实例 IDS 现状与发展方向 蜜罐技术
1
IDS在网络中的位置
DMZ
Internet
1 2
防火 墙 3
WWW服 务 器 邮件 服务器
销售 部门
… 生产 部门
人劳 部门 Intranet
2
IDS在网络中的位置
位置1: 位于防火墙外侧的非系统信任域, 它将负责检测来自外部的所有
21
网络数据包解析
结合网络协议栈的结构来设计 Snort支持链路层和TCP/IP的协议定义
每一层上的数据包都对应一个函数 按照协议层次的顺序依次调用就可以得到各个层上
的数据包头
从链路层,到传输层,直到应用层
在解析的过程中,性能非常关键,在每一层传递过 程中,只传递指针,不传实际的数据
支持链路层:以太网、令牌网、FDDI
14
完整性分析
完整性分析主要关注某个文件或对象是否被更改 这经常包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效
15
结果处理
16
结果处理
主动响应 阻止攻击,切断网络连接;
6
信息搜集
7
信息收集
入侵检测的第一步是信息收集,收集内容包括系统、网络、 数据及用户活动的状态和行为
需要在计算机网络系统中的若干不同关键点(不同网段和不 同主机)收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点
8
信息收集
入侵检测很大程度上依赖于收集信息的可靠性和正确性 要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当强的坚固性,防
一般来讲,一种攻击模式可以用一个过程(如执行一条指令) 或一个输出(如获得权限)来表示。该过程可以很简单(如通 过字符串匹配以寻找一个简单的条目或指令),也可以很复杂 (如利用正规的数学表达式来表示安全状态的变化)
13
统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等) 创建一个统计描述,统计正常使用时的一些测量属性(如访问 次数、操作失败次数和延时等)
透过系统边缘防护,进入内部网络准备进行恶意攻击的黑客, 这里正是利用 IDS系统及时发现并作出反应的最佳时机和地点。
3
IDS的组成
检测引擎 控制中心
检测引擎
控制中心 HUB
Monitored Servers
4
典型的攻防模型
5
IDS基本结构
入侵检测系统包括三个功能部件 (1)信息收集 (2)信息分析 (3)结果处理(响应)
当匹配到特定的规则之后,检测引擎会触发相应的动作 日志记录动作,三种格式:
解码之后的二进制数据包 文本形式的IP结构 Tcpdump格式
如果考虑性能的话,应选择tcpdump格式,或者关闭logging 功能
报警动作,包括
Syslog 记录到alert文本文件中 发送WinPopup消息
22
23
Snort工作模式
Sniffer模式(-v):监听网络数据流 Packet Logger模式(-l):记录数据包内
容 Intrusion Detection模式(-c):网络入
侵检测
24
Snort输出选项
-A fast:只记录Alert的时间、IP、端口和攻击 消息
-A full:完整的Alert记录 -A none:关闭Alert -A unsock:将Alert发送到其他进程监听的
止被篡改而收集到错误的信息
9
wk.baidu.com
信息收集的来源
系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为
10
信息分析
11
信息分析
▪ 模式匹配 ▪ 统计分析 ▪ 完整性分析,往往用于事后分析
12
模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模 式数据库进行比较,从而发现违背安全策略的行为
规则头包括:规则行为、协议、源/目的IP地址、子网掩 码以及源/目的端口。
规则选项包含:报警信息和异常包的信息(特征码),使用这 些特征码来决定是否采取规则规定的行动。
现有大量的规则可供利用
28
Snort规则示例
规则示例
入侵企图(这可能产生大量的报告),通过分析这些攻击来帮助我们完善系 统并决定要不要在系统内部部署IDS。
位置2: 很多站点都把对外提供服务的服务器单独放在一个隔离的区域,
通常称为DMZ非军事化区。在此放置一个检测引擎是非常必要的,因为这里 提供的很多服务都是黑客乐于攻击的目标。
位置3: 这里应该是最重要、最应该放置检测引擎的地方。 对于那些已经
27
关于snort的规则
Snort的规则比较简单
规则结构: 规则头: alert tcp !10.1.1.0/24 any -> 10.1.1.0/24 any 规则选项: (flags: SF; msg: “SYN-FIN Scan”;)
针对已经发现的攻击类型,都可以编写出适当的规则来
socket
25
Snort基本流程
初始化
解析命令行
解析规则库
生成二维链表
打 开 libpcap接 口
No
获取数据包
解析数据包
与二维链表某节点匹配?
Yes
响 应 (Alert,Log)
注:libpcap是linux下的包 捕获库,windows下的是 winpcap。
26
Snort: 日志和报警子系统
被动响应 记录事件和报警。
17
入侵检测性能关键参数
误报(false positive):如果系统错误地将异常活 动定义为入侵
漏报(false negative):如果系统未能检测出真 正的入侵行为
100%
误 报 率
0 检出率(detection rate) 100%
18
网络入侵检测工具snort
19
20
Snort
是一个基于简单模式匹配的IDS 源码开放,跨平台(C语言编写,可移植性好) 利用libpcap作为捕获数据包的工具 特点
设计原则:性能、简单、灵活 包含三个子系统:网络包的解析器、检测引擎、日志和报警
子系统 内置了一套插件子系统,作为系统扩展的手段 模式特征链——规则链 命令行方式运行,也可以用作一个sniffer工具
入侵检测原理与技术
IDS在网络中的部署 IDS的组成 入侵检测系统实例 IDS 现状与发展方向 蜜罐技术
1
IDS在网络中的位置
DMZ
Internet
1 2
防火 墙 3
WWW服 务 器 邮件 服务器
销售 部门
… 生产 部门
人劳 部门 Intranet
2
IDS在网络中的位置
位置1: 位于防火墙外侧的非系统信任域, 它将负责检测来自外部的所有
21
网络数据包解析
结合网络协议栈的结构来设计 Snort支持链路层和TCP/IP的协议定义
每一层上的数据包都对应一个函数 按照协议层次的顺序依次调用就可以得到各个层上
的数据包头
从链路层,到传输层,直到应用层
在解析的过程中,性能非常关键,在每一层传递过 程中,只传递指针,不传实际的数据
支持链路层:以太网、令牌网、FDDI