RCSI30chap31IDS基础知识课件

1、IDS知识准备锐捷网络大学锐捷RCSI课程-附录一第1页，共44页。培训提要IDS基础知识项目介绍知识准备项目实施第2页，共44页。学习目标通过本章的学习，希望您能够：掌握如何构建一个安全的园区网络掌握构建安全的园区网络所需的技术掌握实施安全的园区网络的步骤第3页，共44页。本章内容掌握网络安全基础知识入侵检测技术IDS工作原理部署与配置RGIDS第4页，共44页。课程议题入侵检测技术第5页，共44页。什么是IDS？IDS（Intrusion Detection System）的概念IDS是硬件或软件用于检测对网络的攻击对攻击的积极响应第6页，共44页。IDS的起源与发展概念的诞生1980年美

2、国空军做了题为计算机安全威胁监控与监视，第一次详细阐述了入侵检测的概念模型的发展19841986年乔治敦大学的Dorothy Denning和SRI公司的计算机科学实验室Peter Neumann研究出了一个入侵检测模型，取名为IDES（入侵检测专家系统）。它独立于特定的系统平台、应用环境、应用弱点以及入侵类型真正提出的入侵检测思想百花齐放1990年美国加州大学第一次将网络数据流作为审计来源分析入侵活动，为入侵检测技术翻开新的一页。从此入侵检测技术分为网络入侵检测技术和主机入侵检测技术，并且两种方式不断壮大起来里程碑2000年分布式IDS出现第7页，共44页。HIDS（Host IDS）Int

3、ernet网络服务器1客户端网络服务器2X 检测内容：系统调用、端口调用、系统日志、安全审记、应用日志HIDSXHIDS第8页，共44页。HIDS（续）在最终目的进行分析对网络的视野有限性能问题部署问题第9页，共44页。NIDS（Network IDS）InternetNIDS网络服务器1数据包=包头信息+有效数据部分客户端网络服务器2X检测内容：包头信息+有效数据部分第10页，共44页。NIDS（续）视野开阔易于部署带宽、性能问题加密问题第11页，共44页。课程议题IDS的工作原理第12页，共44页。IDS警报什么是警报IDS检测到入侵活动时，都必须产生一些警报以发出信号由于IDS没有100

4、%的正确率，所以IDS警报分为两大类错误警报误报漏报正确警报正确命中正确拒绝第13页，共44页。IDS检测方式异常检测模式匹配（签名匹配）协议分析第14页，共44页。异常检测概念也称为模型检测，需要为用户习惯建立模型。模型为用户定义了行为特征，以及为用户执行正常任务定义了一个基线优点检测以前未发布的攻击缺点用户习惯改变时，必须更新用户模型很难把特定的攻击与警报相关联第15页，共44页。模式匹配概念也称为滥用检测，探测与具体特征相匹配的入侵行为，将收集到的信息与特征库匹配优点基于已知的入侵行为安装后立刻就能进行检测缺点需要更新签名库（特征库）有些攻击能绕过IDS无法检测未知攻击第16页，共44页

5、。协议分析第17页，共44页。协议分析（续）ETHERARPIPRARPICMPIGMPTCPUDPPOP3FTPHTTP。DNS第一步直接跳到第13个字节，并读取2个字节的协议标识。如果值是0800，则说明这个以太网帧的数据域携带的是IP包，基于协议解码的入侵检测利用这一信息指示第二步的检测工作。第二步跳到第24个字节处读取1字节的第四层协议标识。如果读取到的值是06，则说明这个IP帧的数据域携带的是TCP包，入侵检测利用这一信息指示第三步的检测工作。第三步跳到第35个字节处读取一对端口号。如果有一个端口号是0080，则说明这个TCP帧的数据域携带的是HTTP包，基于协议解码的入侵检测利用这

6、一信息指示第四步的检测工作。第四步让解析器从第55个字节开始读取URL。 URL串将被提交给HTTP解析器，在它被允许提交给Web服务器前，由HTTP解析器来分析它是否可能会做攻击行为。第18页，共44页。基于状态的检测IDSPC-A源地址目标地址源端口目标端口初始序列号ACK标记 103380350771syn103380350772133076syn-ack103380350773133077ack状态表源地址目标地址源端口目标端口序列号第19页，共44页。IDS响应技术报警记录日志TCP reset联动SNMP Trap邮件通知第20页，共44页。课程议题部署与配置RG-IDS第21页，

7、共44页。安装组件步骤安装RG IDS Sensor安装DataBase安装RG IDS LogServer安装RG IDS Event-Collector安装RG IDS Console安装RG IDS Report 第22页，共44页。安装顺序第23页，共44页。配置SensorSENSOR显示的当前状态 输入管理员密码，进入管理窗口配置SENSOR的网络连接状态第24页，共44页。配置DataBase安装微软MSDE组件初始配置计算机重启安装LogServer第25页，共44页。配置LogServer安装完成，出现“数据服务初始化配置”窗口也可以通过点击“开始程序入侵检测系统入侵检测系统

8、（网络）RG IDS 数据服务安装”进入此窗口第26页，共44页。配置 Event-Collector安装License安装许可证第27页，共44页。配置 Event-Collector在应用服务管理器中启用事件收集服务主要功能：后台服务的启动管理收集组件的状态调试信息第28页，共44页。配置用户控制台登录界面对用户做管理及审计信息第29页，共44页。添加组件组件管理添加组件第30页，共44页。添加传感器组件配置窗口第31页，共44页。添加传感器同步签名、应用策略、重启引擎应用策略后会出现断开标志；大约2分钟时间，后出现编译签名标志；整个同步签名需要大约需要20分钟时间。第32页，共44页。添加LogServer添加LogServer第33页，共44页。策略编辑策略编辑器窗口第34页，共44页。添加特殊事件添加特殊事件进入“策略”“告警策略”窗口展开“一般事件树”右键点击某个攻击签名，在出现的菜单中选择“添加到特殊事件窗口”在弹出的窗口中，输入新建事件组的名称点击“确定”按钮，该攻击签名将出现在特殊事件窗口中第35页，共44页。事件统计图一般事件统计图表窗口第36页，共44页。事件风险一般事件风险列表窗口第37页，共44页。系统日志系统日志窗口第38页，共44页。配置Report报表的登录界面第39页，共44页。配置Rep