防火墙_入侵检测系统组成和实例

信息搜集
信息收集

入侵检测的第一步是信息收集，收集内容包括系统、网络、 数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点（不同网段和不 同主机）收集信息


尽可能扩大检测范围 从一个源来的信息有可能看不出疑点
信息收集

入侵检测很大程度上依赖于收集信息的可靠性和正确性
YES
数据包带有病毒吗
NO
蜜罐技术(Honeypot)
蜜罐主机是一种资源，它被伪装成一个实际目标。 蜜罐主机希望人们去攻击或入侵它。 目的 分散攻击者的注意力 收集同攻击和攻击者有关的信息。

价值
默默地收集尽可能多的同入侵有关的信息，例如 攻击模式，使用的程序，攻击意图和黑客社团文 化等等。 帮助我们明白黑客社团以及他们的攻击行为，以 便更好的防御安全威胁。
在发现被更改的、被安装木马的应用程序方面特别有效
结果处理
结果处理

主动响应 阻止攻击，切断网络连接； 被动响应 记录事件和报警。

入侵检测性能关键参数

误报(false positive)：如果系统错误地将异常活 动定义为入侵 漏报(false negative)：如果系统未能检测出真 正的入侵行为

Snort的部署


发展



IDS 现状

误报漏报率太高: 各种检测方法都存在缺 陷； 没有主动防御能力:IDS技术是一种预设置 式的工作方式，特征分析式工作原理。检 测规则的更新总是落后于攻击手段的更新， 所以这永远是亡羊补牢，被动防守；

IDS 现状

基于主机和基于网络的入侵检测系统采集、分析的 数据不全面； 入侵检测由各个检测引擎独立完成，中心管理控制 平台并不具备检测入侵的功能，缺乏综合分析；
100%

误 报 率
0 检出率(detection rate) 100%
网络入侵检测工具snort
Snort



是一个基于简单模式匹配的IDS 源码开放，跨平台(C语言编写，可移植性好) 利用libpcap作为捕获数据包的工具 特点




设计原则：性能、简单、灵活 包含三个子系统：网络包的解析器、检测引擎、日志和报警 子系统 内置了一套插件子系统，作为系统扩展的手段 模式特征链——规则链 命令行方式运行，也可以用作一个sniffer工具

两种类型的蜜罐主机

两种类型的蜜罐主机
产品型蜜罐（production） 研究型蜜罐（research）。
产品型蜜罐用于帮助降低组织的安全风险； 研究型蜜罐意味着收集尽可能多的信息。

蜜罐主机的布置

蜜罐主机可以放置在：

防火墙外面（Internet） DMZ（非军事区） 防火墙后面（Intranet）
入侵企图（这可能产生大量的报告），通过分析这些攻击来帮助我们完善系 统并决定要不要在系统内部部署IDS。
位置2： 很多站点都把对外提供服务的服务器单独放在一个隔离的区域，
通常称为DMZ非军事化区。在此放置一个检测引擎是非常必要的，因为这里
提供的很多服务都是黑客乐于攻击的目标。
位置3： 这里应该是最重要、最应该放置检测引擎的地方。 对于那些已经
网络数据包解析
结合网络协议栈的结构来设计 Snort支持链路层和TCP/IP的协议定义


每一层上的数据包都对应一个函数 按照协议层次的顺序依次调用就可以得到各个层上 的数据包头

从链路层，到传输层，直到应用层

在解析的过程中，性能非常关键，在每一层传递过 程中，只传递指针，不传实际的数据 支持链路层：以太网、令牌网、FDDI
http://online.securityfocus.com/archive/96 http://www.docshow.net http://www.oldhand.org http://sinbad.dhs.org/doc.html?board=IDS
Focus-IDS Mailinglist

规则头： alert tcp !10.1.1.0/24 any -> 10.1.1.0/24 any 规则选项： (flags: SF; msg: “SYN-FIN Scan”;)

针对已经发现的攻击类型，都可以编写出适当的规则来

规则头包括：规则行为、协议、源/目的IP地址、子网掩 码以及源/目的端口。 规则选项包含:报警信息和异常包的信息(特征码)，使用这 些特征码来决定是否采取规则规定的行动。 现有大量的规则可供利用

解码之后的二进制数据包 文本形式的IP结构 Tcpdump格式

如果考虑性能的话，应选择tcpdump格式，或者关闭logging 功能 报警动作，包括


Syslog 记录到alert文本文件中 发送WinPopup消息
关于snort的规则

Snort的规则比较简单

规则结构：
入侵检测原理与技术
IDS在网络中的部署 IDS的组成 入侵检测系统实例 IDS 现状与发展方向 蜜罐技术

IDS在网络中的位置
1
DMZ
Internet
2
WW W服务器
防火墙
3 邮件服务器
… 销售部门 生产部门 人劳部门
Intranet
IDS在网络中的位置
位置1： 位于防火墙外侧的非系统信任域， 它将负责检测来自外部的所有

每种摆放方式都有各自的优缺点。
蜜罐主机的布置
欺骗网络（honeynet）
关键问题


信息控制代表了一种规则，你必须能够确定你的信息包能 够发送到什么地方。其目的是，当你欺骗网络里的蜜罐主 机被入侵后，它不会被用来攻击欺骗网络以外的机器。 信息捕获则是要抓到入侵者群体的所有流量，从他们的击 键到他们发送的信息包。只有这样，我们才能进一步分析 他们使用的工具、策略及目的。

智能化入侵检测
使用智能化的方法与手段来进行入侵监测
全面的安全防御方案
网络安全作为一个整体工程来处理。从管理、网络结构、加密通 道、防火墙、病毒防护、入侵监测多方位全面对所关注的网络作 全面的评估，然后提出可行的全面解决方案。
资源

IDS FAQ

http://www.robertgraham.com/pubs/
反欺骗网络技术及工具
fragrouter（http://www.monkey.org/~dugsong/fragroute/） 能对抗入侵检测系统，它把包分片重组。 Rain Forest Puppy则开发了一个扫描函数库whisker (http://www.wiretrip.net/rfp/libwhisker/README)，该函数库支 持多种反入侵检测系统的功能。 以该库为基础的扫描工具nikto （http://www.cirt.net/code/nikto.shtml）可以扫描140种服务 器的2200个潜在的文件/CGI安全漏洞。 K2发表的ADMmutate，可绕过现有大多数IDS检测。

模式匹配就是将收集到的信息与已知的网络入侵和系统误用模 式数据库进行比较，从而发现违背安全策略的行为 一般来讲，一种攻击模式可以用一个过程（如执行一条指令） 或一个输出（如获得权限）来表示。该过程可以很简单（如通 过字符串匹配以寻找一个简单的条目或指令），也可以很复杂 （如利用正规的数学表达式来表示安全状态的变化）


Yawl

OldHand


Sinbad

蓝盾入侵检测典型应用
蓝盾信息安全整体解决方案
病毒服务器
Internet
查询病毒 服务器
边缘路由器 解密
生成动态规则 阻断攻击
VPN
防火墙 内网 查询病毒 服务器 暂时缓存 数据 YES
是否攻击包？ 先杀毒再转发数据 包
直接转发 该数据包
IDS探测器
通知防火墙阻断攻击
在响应上，除了日志和告警，检测引擎只能通过发 送RST包切断网络连接，或向攻击源发送目标不可 达信息来实现安全控制。


IDS与Firewall联动
通过在防火墙中ቤተ መጻሕፍቲ ባይዱ留的一个IDS Agent对象，以接收来自 IDS的控制消息，然后再增加防火墙的过滤规则，最终实 现联动。
发展方向

分布式入侵检测
使用分布式的方法来监测分布式的攻击，其中的关键技术为监测 信息的协同处理与入侵攻击的全局信息的提取
透过系统边缘防护，进入内部网络准备进行恶意攻击的黑客， 这里正是利用 IDS系统及时发现并作出反应的最佳时机和地点。
IDS的组成
检测引擎 控制中心

检测引擎 控制中心
HUB
Monitored Servers
典型的攻防模型
IDS基本结构
入侵检测系统包括三个功能部件 （1）信息收集 （2）信息分析 （3）结果处理（响应）
要保证用来检测网络系统的软件的完整性
特别是入侵检测系统软件本身应具有相当强的坚固性，防 止被篡改而收集到错误的信息
信息收集的来源

系统或网络的日志文件 网络流量
系统目录和文件的异常变化
程序执行中的异常行为
信息分析
信息分析

模式匹配 统计分析 完整性分析，往往用于事后分析
模式匹配

统计分析

统计分析方法首先给系统对象（如用户、文件、目录和设备等） 创建一个统计描述，统计正常使用时的一些测量属性（如访问 次数、操作失败次数和延时等） 测量属性的平均值和偏差将被用来与网络、系统的行为进行比 较，任何观察值在正常值范围之外时，就认为有入侵发生

完整性分析

完整性分析主要关注某个文件或对象是否被更改 这经常包括文件和目录的内容及属性
Snort工作模式
Sniffer模式（-v）：监听网络数据流 Packet Logger模式（-l）：记录数据包内 容 Intrusion Detection模式（-c）：网络入 侵检测

Snort输出选项
-A fast:只记录Alert的时间、IP、端口和攻击 消息 -A full:完整的Alert记录 -A none:关闭Alert -A unsock:将Alert发送到其他进程监听的 socket

Snort基本流程
初始化 解析命令行 解析规则库 打开libpcap接口 生成二维链表
No
获取数据包
解析数据包
与二维链表某节点匹配？
Yes
注：libpcap是linux下的包 捕获库，windows下的是 winpcap。
响应(Alert,Log)
Snort: 日志和报警子系统


当匹配到特定的规则之后，检测引擎会触发相应的动作 日志记录动作，三种格式：
Snort规则示例

规则示例
关于snort

开放性

源码开放，最新规则库的开放 特别是对于最新攻击模式的知识共享 作为分布式IDS的节点 为高级的IDS提供基本的事件报告 数据库的支持 互操作性，规则库的标准化 二进制插件的支持 预处理器模块：TCP流重组、统计分析，等 ……
作为商业IDS的有机补充