第6章IDS与IPS-2

1、网络安全技术网络安全技术1第第6章章 IDS与与IPS本章学习目标本章学习目标入侵检测系统模型及功能入侵检测系统模型及功能入侵检测系统的工作原理及分类入侵检测系统的工作原理及分类常用入侵检测技术常用入侵检测技术入侵防御系统的工作原理及分类入侵防御系统的工作原理及分类防火墙、防火墙、IDS与与IPS之间的关系之间的关系网络安全技术网络安全技术2第第6章章 IDS与与IPS传统防火墙在使用的过程中暴露出以下的不足传统防火墙在使用的过程中暴露出以下的不足和弱点：入侵者可以伪造数据绕过防火墙或者和弱点：入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门；防火墙不能防找到防火墙中可能敞开的后门；

2、防火墙不能防止来自网络内部的袭击，通过调查发现，将近止来自网络内部的袭击，通过调查发现，将近65%的攻击都来自网络内部；传统防火墙不具的攻击都来自网络内部；传统防火墙不具备对应用层协议的检查过滤功能，无法对备对应用层协议的检查过滤功能，无法对Web攻击、攻击、FTP攻击等做出响应；防火墙对于病毒攻击等做出响应；防火墙对于病毒蠕虫的侵袭也是束手无策。蠕虫的侵袭也是束手无策。 因此，人们开始了对入侵检测系统的研究及开因此，人们开始了对入侵检测系统的研究及开发。发。 网络安全技术网络安全技术36.1 入侵检测系统概述入侵检测系统概述IDS是一种对网络传输进行即时监视，在发现是一种对网络传输进行即时监

3、视，在发现可疑传输时发出警报或者采取主动反应措施的可疑传输时发出警报或者采取主动反应措施的网络安全技术，是进行入侵检测的软件与硬件网络安全技术，是进行入侵检测的软件与硬件的组合。的组合。 网络安全技术网络安全技术46.1 入侵检测系统概述入侵检测系统概述6.1.1 入侵检测系统的功能入侵检测系统的功能（1）监视用户和系统的运行状况，查找非法用户和）监视用户和系统的运行状况，查找非法用户和合法用户的越权操作。合法用户的越权操作。（2）对系统的构造和弱点进行审计。）对系统的构造和弱点进行审计。（3）识别分析著名攻击的行为特征并报警。）识别分析著名攻击的行为特征并报警。（4）对异常行为模式进行统计分

4、析。）对异常行为模式进行统计分析。（5）评估重要系统和数据文件的完整性。）评估重要系统和数据文件的完整性。（6）对操作系统进行跟踪审计管理，并识别用户违）对操作系统进行跟踪审计管理，并识别用户违反安全策略的行为。反安全策略的行为。（7）容错功能。即使系统发生崩溃，也不会丢失数）容错功能。即使系统发生崩溃，也不会丢失数据，或者系统重新启动时重建自己的信息库。据，或者系统重新启动时重建自己的信息库。网络安全技术网络安全技术56.1 入侵检测系统概述入侵检测系统概述6.1.2 入侵检测系统的模型入侵检测系统的模型公共入侵检测框架（公共入侵检测框架（Common Intrusion Detection

5、 Framework，CIDF） 模型模型网络安全技术网络安全技术66.1 入侵检测系统概述入侵检测系统概述6.1.3 入侵检测技术及其发展趋势入侵检测技术及其发展趋势 1入侵检测技术入侵检测技术入侵检测技术是为保证计算机网络系统的安全而设入侵检测技术是为保证计算机网络系统的安全而设计与配置的一种能够及时发现并报告系统中未授权计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机中违反或异常现象的技术，是一种用于检测计算机中违反安全策略行为技术。安全策略行为技术。（1）误用检测技术）误用检测技术 误用检测技术应用了系统缺陷和特殊入侵的累积知识误用检测技术应用了系统缺

6、陷和特殊入侵的累积知识 （2）异常检测技术）异常检测技术 根据用户的行为和系统资源的使用状况判断是否存在入侵。根据用户的行为和系统资源的使用状况判断是否存在入侵。 网络安全技术网络安全技术76.1 入侵检测系统概述入侵检测系统概述 2入侵检测技术的发展趋势入侵检测技术的发展趋势（1）分布式入侵检测）分布式入侵检测 （2）智能化入侵检测）智能化入侵检测 （3）全面的安全防御方案）全面的安全防御方案 （4）分析技术的改进）分析技术的改进 （5）向高度可集成性发展）向高度可集成性发展 网络安全技术网络安全技术86.1 入侵检测系统概述入侵检测系统概述6.1.4 入侵检测的流程入侵检测的流程 1信息收

7、集信息收集 （信息一般来自以下（信息一般来自以下4个方面）个方面）（1）系统和网络日志文件）系统和网络日志文件（2）非正常的系统目录和文件改变）非正常的系统目录和文件改变（3）非正常的程序执行）非正常的程序执行（4）物理形式的入侵信息）物理形式的入侵信息 2信息分析（信息分析（3种技术）种技术）（1）模式匹配）模式匹配（2）统计分析）统计分析3）完整性分析）完整性分析网络安全技术网络安全技术96.2 入侵检测系统的分类入侵检测系统的分类6.2.1 基于主机的入侵检测系统（基于主机的入侵检测系统（HIDS）在每个要保护的主机上运行一个代理程序，一在每个要保护的主机上运行一个代理程序，一般只能检测

8、该主机上发生的入侵般只能检测该主机上发生的入侵 。 1主机入侵检测系统的优点主机入侵检测系统的优点 （1）主机入侵检测系统对分析）主机入侵检测系统对分析“可能的攻击行为可能的攻击行为”非常有用。非常有用。（2）误报率低。）误报率低。 2主机入侵检测系统的弱点主机入侵检测系统的弱点（1）部署代价较大，降低了应用系统的效率。）部署代价较大，降低了应用系统的效率。（2）依赖于服务器固有的日志与监视能力。）依赖于服务器固有的日志与监视能力。 （3）除了监测自身的主机以外，根本不监测网络上）除了监测自身的主机以外，根本不监测网络上的情况。的情况。 网络安全技术网络安全技术106.2 入侵检测系统的分类入

9、侵检测系统的分类6.2.2 基于网络的入侵检测系统（基于网络的入侵检测系统（NIDS）该类系统一般被动地在网络上监听整个网络上该类系统一般被动地在网络上监听整个网络上的信息流，通过捕获网络数据包，进行分析，的信息流，通过捕获网络数据包，进行分析，检测该网段上发生的网络入侵检测该网段上发生的网络入侵 。图6-2 基于网络的入侵检测过程 网络安全技术网络安全技术116.2 入侵检测系统的分类入侵检测系统的分类 1网络入侵检测系统的优点网络入侵检测系统的优点（1）能够检测到超过授权的非法访问。）能够检测到超过授权的非法访问。 （2）不需要改变服务器等主机的配置。）不需要改变服务器等主机的配置。（3）

10、不会成为系统中的关键路径。发生故障不会影）不会成为系统中的关键路径。发生故障不会影响正常业务的运行。响正常业务的运行。 2网络入侵检测系统的弱点网络入侵检测系统的弱点（1）只检查它直接连接网段的通信，不能检测在不）只检查它直接连接网段的通信，不能检测在不同网段的网络包。同网段的网络包。 （2）可以检测出一些的普通攻击，而很难检测一些）可以检测出一些的普通攻击，而很难检测一些复杂的需要大量计算与分析时间的攻击。复杂的需要大量计算与分析时间的攻击。 （3）产生大量的分析数据流量。）产生大量的分析数据流量。 网络安全技术网络安全技术126.2 入侵检测系统的分类入侵检测系统的分类6.2.3 混合型入

11、侵检测系统混合型入侵检测系统 基于网络的入侵检测产品和基于主机的入侵检基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，两者的优缺点可以互补，测产品都有不足之处，两者的优缺点可以互补，如果将它们无缝地结合起来部署在网络内，则如果将它们无缝地结合起来部署在网络内，则会构架成一套完整的、立体的主动防御体系。会构架成一套完整的、立体的主动防御体系。 一些高端的一些高端的IDS产品都采用产品都采用HIDS和和NIDS有机结有机结合的混合型合的混合型IDS架构。架构。 网络安全技术网络安全技术136.3 典型入侵检测产品介绍典型入侵检测产品介绍6.3.1 金诺网安入侵检测系统金诺网安入侵检测系

12、统KIDS 1KIDS的模块组成的模块组成网络安全技术网络安全技术146.3 典型入侵检测产品介绍典型入侵检测产品介绍2KIDS的主要功能的主要功能（1）识别各种黑客攻击或入侵的方法和手段。）识别各种黑客攻击或入侵的方法和手段。（2）监控内部人员的误操作、资源滥用或恶意行为。）监控内部人员的误操作、资源滥用或恶意行为。（3）实时的报警和响应，帮助用户及时发现并解决）实时的报警和响应，帮助用户及时发现并解决安全问题。安全问题。（4）核查系统漏洞及后门。）核查系统漏洞及后门。（5）协助管理员加强网络安全管理。）协助管理员加强网络安全管理。网络安全技术网络安全技术156.3 典型入侵检测产品介绍典型

13、入侵检测产品介绍6.3.2 华强华强IDS 1华强华强IDS组成组成探测引擎探测引擎 是华强入侵检测系统运行的核心是华强入侵检测系统运行的核心响应控制台响应控制台 集中管理本地或远程网段的多个探测引擎集中管理本地或远程网段的多个探测引擎 网络安全技术网络安全技术166.3 典型入侵检测产品介绍典型入侵检测产品介绍2华强华强IDS的应用的应用在一般的小型网络中，只需部署单个在一般的小型网络中，只需部署单个IDS系统即可系统即可 。网络安全技术网络安全技术17图6-5 华强IDS应用方案的一般结构图 网络安全技术网络安全技术186.3 典型入侵检测产品介绍典型入侵检测产品介绍6.3.3 黑盾网络入

14、侵检测系统黑盾网络入侵检测系统 1HD-NIDS的功能的功能（1）网络实时检测功能）网络实时检测功能 （2）内容过滤功能）内容过滤功能 （3） MAC-IP绑定绑定 （4）页面重组功能）页面重组功能 （5）主机多网卡配置）主机多网卡配置 （6）定义规则）定义规则 （7）自动扫描网络状态）自动扫描网络状态 （8）阻断功能）阻断功能 （9）Log查询功能查询功能 （10）查询模块）查询模块 （11）在线升级功能）在线升级功能 网络安全技术网络安全技术196.3 典型入侵检测产品介绍典型入侵检测产品介绍2HD-NIDS的网络应用的网络应用 网络安全技术网络安全技术206.4 萨客嘶入侵检测系统萨客嘶

15、入侵检测系统 6.4.1 萨客嘶入侵检测系统介绍萨客嘶入侵检测系统介绍 1萨客嘶入侵检测系统概述萨客嘶入侵检测系统概述萨客嘶入侵检测系统是一种积极主动的网络安全防萨客嘶入侵检测系统是一种积极主动的网络安全防护工具，提供了对内部和外部攻击的实时保护，它护工具，提供了对内部和外部攻击的实时保护，它通过对网络中所有传输的数据进行智能分析和检测，通过对网络中所有传输的数据进行智能分析和检测，从中发现网络或系统中是否有违反安全策略的行为从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，和被攻击的迹象， 在网络系统受到危害之前拦截和在网络系统受到危害之前拦截和阻止入侵。阻止入侵。 网络安全技术网

16、络安全技术216.4 萨客嘶入侵检测系统萨客嘶入侵检测系统 2萨客嘶入侵检测系统主要功能萨客嘶入侵检测系统主要功能（1）入侵检测及防御功能）入侵检测及防御功能（2）行为审计功能）行为审计功能（3）流量统计功能）流量统计功能（4）策略自定义功能）策略自定义功能（5）警报响应功能）警报响应功能（6）IP碎片重组碎片重组 （7）TCP状态跟踪及流重组状态跟踪及流重组 网络安全技术网络安全技术226.4 萨客嘶入侵检测系统萨客嘶入侵检测系统6.4.2 萨客嘶入侵检测步骤萨客嘶入侵检测步骤 1在在1上运行上运行Nmap，对目标主机，对目标主机（0）进行扫描。）

17、进行扫描。 2在目标主机（在目标主机（0）上可以检测）上可以检测到上述入侵事件到上述入侵事件 。 3导出记录导出记录 4入侵规则设置入侵规则设置网络安全技术网络安全技术236.5 Snort入侵检测系统入侵检测系统 6.5.1 Snort介绍介绍 1Snort概述概述Snort是一款免费、开源的网络入侵检测系统，具是一款免费、开源的网络入侵检测系统，具有小巧灵便、易于配置、检测效率高等特性，常被有小巧灵便、易于配置、检测效率高等特性，常被称为轻量级的称为轻量级的IDS。Snort有有3种工作模式，即嗅探器、数据包记录器和种工作模式，即嗅探器、数据包记录器和NIDS。 网络

18、安全技术网络安全技术246.5 Snort入侵检测系统入侵检测系统 2Snort体系结构体系结构Snort的结构由以下四大软件模块组成。的结构由以下四大软件模块组成。（1）数据包嗅探模块）数据包嗅探模块（2）预处理模块）预处理模块（3）检测引擎模块）检测引擎模块（4）报警日志模块）报警日志模块网络安全技术网络安全技术256.5 Snort入侵检测系统入侵检测系统6.5.2 部署部署Snort入侵检测系统入侵检测系统部署部署Snort入侵检测系统所需软件如下。入侵检测系统所需软件如下。 （1）apache（windows版本的版本的apache Web服务器）服务器）（2）acid（基于（基于p

19、hp的入侵检测数据库分析控制台）的入侵检测数据库分析控制台）（3）adodb（ADOdb库库for PHP） （4）jpgraph（php下面的图形库）下面的图形库）（5）mysql（windows版本的版本的mysql数据库服务器）数据库服务器） （6）php（windows版本的版本的php脚本环境支持）脚本环境支持）（7）snort（在在windows平台下的平台下的snort安装包安装包）（8）winpcap（网络数据包截取驱动程序）（网络数据包截取驱动程序）（9）snortrules（snort检测规则库）检测规则库）（10）php5apache2.dll-php5.1.x.zip（

20、用于在（用于在apache下正常显下正常显示的示的php补丁）补丁） 网络安全技术网络安全技术266.5 Snort入侵检测系统入侵检测系统部署并使用部署并使用Snort入侵检测系统需要经过如图入侵检测系统需要经过如图6-19所示步骤。所示步骤。 网络安全技术网络安全技术276.6 入侵防御系统概述入侵防御系统概述 IDS面临的问题：面临的问题：IDS系统在识别大规模的组合系统在识别大规模的组合式、分布式的入侵攻击方面，还没有较好的方式、分布式的入侵攻击方面，还没有较好的方法和成熟的解决方案，误报与漏报现象严重，；法和成熟的解决方案，误报与漏报现象严重，；IDS只能报警而不能有效采取阻断措施的

21、设计只能报警而不能有效采取阻断措施的设计理念。理念。 从被动防御到主动防御，正成为企业当前面临从被动防御到主动防御，正成为企业当前面临的新考验。入侵防御系统正是一种主动、机智的新考验。入侵防御系统正是一种主动、机智的防御系统，它的拦截行为与其分析行为处在的防御系统，它的拦截行为与其分析行为处在同一层次，能够更敏锐地捕捉入侵的流量，并同一层次，能够更敏锐地捕捉入侵的流量，并能将危害切断在发生之前。能将危害切断在发生之前。 网络安全技术网络安全技术286.6 入侵防御系统概述入侵防御系统概述6.6.1 入侵防御系统的特征入侵防御系统的特征 1以嵌入模式运行以嵌入模式运行只有以嵌入模式运行的只有以嵌

22、入模式运行的IPS产品才能够实现实时的安产品才能够实现实时的安全防护。全防护。 2深入分析能力深入分析能力以确定拦截哪些恶意流量以确定拦截哪些恶意流量 。 3高质量的攻击行为特征库高质量的攻击行为特征库PS要依靠各种攻击行为特征来对数据包分类和过滤要依靠各种攻击行为特征来对数据包分类和过滤 。 4高效的处理能力高效的处理能力使之对整个网络性能的影响降低到最小使之对整个网络性能的影响降低到最小 。网络安全技术网络安全技术296.6 入侵防御系统概述入侵防御系统概述6.6.2 入侵防御系统的工作原理入侵防御系统的工作原理网络安全技术网络安全技术306.6 入侵防御系统概述入侵防御系统概述6.6.3

23、 入侵防御系统的分类入侵防御系统的分类 1基于主机的入侵防御系统（基于主机的入侵防御系统（HIPS）HIPS通过在主机通过在主机/服务器上安装软件代理程序，防服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序。止网络攻击入侵操作系统以及应用程序。 2基于网络的入侵防御系统（基于网络的入侵防御系统（NIPS）NIPS通过检测流经的网络流量，提供对网络系统的通过检测流经的网络流量，提供对网络系统的安全保护，可以做到实时的阻挡黑客的入侵行为以安全保护，可以做到实时的阻挡黑客的入侵行为以及破坏行为。及破坏行为。 网络安全技术网络安全技术316.6 入侵防御系统概述入侵防御系统概述6.6.4

24、 典型入侵防御产品介绍典型入侵防御产品介绍 1天清入侵防御系统天清入侵防御系统天清天清IPS产品有如下特点。产品有如下特点。 （1）精确阻断达到国际领先水平）精确阻断达到国际领先水平 （2）在线部署，高效可靠）在线部署，高效可靠 （3）综合管理，易用、易查）综合管理，易用、易查 （4）支持在线更新，防御最新威胁）支持在线更新，防御最新威胁 网络安全技术网络安全技术326.6 入侵防御系统概述入侵防御系统概述 2华为入侵防御系统华为入侵防御系统TippingPoint IPS产品有如下特点。产品有如下特点。（1）安全与高性能的结合）安全与高性能的结合 （2）主动防御的网络安全）主动防御的网络安全

25、 （3）升级维护轻松及时）升级维护轻松及时 （4）轻松管理）轻松管理 （5）多重高可靠性打造）多重高可靠性打造 99.999% 安全网络安全网络 网络安全技术网络安全技术336.7 防火墙、防火墙、IDS与与IPS比较比较 6.7.1 如何区分和选择如何区分和选择IDS与与IPS 1从产品价值角度来看，从产品价值角度来看，IDS注重的是网络注重的是网络安全状况的监管。安全状况的监管。 2从产品应用角度来看，为了达到可以全面从产品应用角度来看，为了达到可以全面检测网络安全状况的目的，检测网络安全状况的目的，IDS需要部署在网需要部署在网络内部的中心点，需要观察到所有网络数据。络内部的中心点，需要

26、观察到所有网络数据。 3如何选择如何选择IDS和和IPS网络安全技术网络安全技术346.7 防火墙、防火墙、IDS与与IPS比较比较6.7.2 IPS等于等于“防火墙防火墙+IDS”吗吗 防火墙和防火墙和IDS是两种截然不同的技术行为。是两种截然不同的技术行为。防火墙是网关形式，要求高性能和高可靠性。因此防火墙是网关形式，要求高性能和高可靠性。因此防火墙会非常看重吞吐率、延时、防火墙会非常看重吞吐率、延时、HA等方面的要求。等方面的要求。防火墙最主要的特征应当是通（传输）和断（阻隔）防火墙最主要的特征应当是通（传输）和断（阻隔）两个功能，所以其传输要求是非常高的。两个功能，所以其传输要求是非常高的。IDS是一个检测和发现为特征的技术行为，其追求是一个检测和发现为特征的技术行为，其追求的是漏报率和误报率的降低。其对于性能的追求主