入侵检测技术

1.教学：入侵检测技术1.1入侵检测简介1.概念入侵检测（IntrusionDetection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。2.功能及优点监督并分析用户和系统的活动；检查系统配置和漏洞；检查关键系统和数据文件的完整性；识别代表已知攻击的活动模式；对反常行为模式的统计分析；入侵检测系统和漏洞评估工具的优点在于：提高了信息安全体系其它部分的完整性；提高了系统的监察能力；跟踪用户从进入到退出的所有活动或影响；识别并报告数据文件的改动；发现系统配置的错误，必要时予以更正；识别特定类型的攻击，并向相应人员报警，以做出防御反应；可使系统管理人员最新的版本升级添加到程序中；允许非专家人员从事系统安全工作；为信息安全策略的创建提供指导；1.2IDS简介1.概念IDS是英文“IntrusionDetectionSystems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。例如：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦外部人员爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。2.原理入侵检测可分为实时入侵检测和事后入侵检测两种：实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的，是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。入侵检测流程：(1)入侵检测的第一步：信息收集收集的内容包括系统、网络、数据及用户活动的状态和行为。收集信息需要在计算机网络系统中不同的关键点来进行，这样一方面可以尽可能扩大检测范围，另一方面从几个信源来的信息的不一致性是可疑行为或入侵的最好标识，因为有时候从一个信源来的信息有可能看不出疑点。入侵检测利用的信息一般来自以下四个方面：1）系统日志黑客经常在系统日志中留下他们的踪迹，因此，充分利用系统日志是检测入侵的必要条件。日志文件中记录了各种行为类型，每种类型又包含不同的信息，很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。2）目录以及文件中的异常改变网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。3）程序执行中的异常行为网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特定目的的应用，例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解，从而导致运行失败，或者是以非用户或非管理员意图的方式操作。4）物理形式的入侵信息这包括两个方面的内容:一是未授权的对网络硬件连接；二是对物理资源的未授权访问。可能地快，而且要求传播、反应检测结果信息的时间尽可能少。1.3DCNIDS-18001.DCNIDS-1800简介DCNIDS-1800M/M2/M3/G/G2/G3是自动的、实时的网络入侵检测和响应系统，它采用了新一代的入侵检测技术，包括基于状态的应用层协议分析技术、开放灵活的行为描述代码、安全的嵌入式操作系统、先进的体系架构、丰富完善的各种功能，配合高性能专用硬件设备，是最先进的网络实时入侵检测系统。它以不引人注目的方式最大限度地、全天候地监控和分析企业网络的安全问题。捕获安全事件，给予适当的响应，阻止非法的入侵行为，保护企业的信息组件。2.DCNIDS-1800程序组件DCNIDS-1800采用多层分布式体系结构，由下列程序组件组成：Console（控制台）：控制台（console）是DCNIDS-1800的控制和管理组件。它是一个基于Windows的应用程序，控制台提供图形用户界面来进行数据查询、查看警报并配置传感器。控制台有很好的访问控制机制，不同的用户被授予不同级别的访问权限，允许或禁止查询、警报及配置等访问。控制台、事件收集器和传感器之间的所有通信都进行了安全加密。EC：EventCollector（事件收一个大型分布式应用中，用户希望能够通过单个集器）控制台完全管理多个传感器，允许从一个中央点分发安全策略，或者把多个传感器上的数据合并到一个报告中去。用户可以通过安装一个事件收集器来实现集中管理传感器及其数据。事件收集器还可以控制传感器的启动和停止，收集传感器日志信息，并且把相应的策略发送传感器，以及管理用户权限、提供对用户操作的审计功能。IDS服务管理的基本功能是负责“事件收集服务”和“安全事件响应服务”的起停控制，服务状态的显示。LogServer：LogServer（数据服务器）是DCNIDS-1800的数据处理模块。LogServer需要集成DB（数据库）一起协同工作。DB（数据库）是一个第三方数据库软件。DCNIDS-1800支持微软MSDE、SQLServer，并即将支持MySQL和Oracle数据库，Sensor（传感器）：部署在需要保护的网段上，对网段上流过的数据流进行检测，识别攻击特征，报告可疑事件，阻止攻击事件的进一步发生或给予其它相应的响应。Report（报表）和查询工具：Report（报表）和查询工具作为IDS系统的一个独立的部分，主要完成从数据库提取数据、统计数据和显示数据的功能。Report能够关联多个数据库，给出一份综合的数据报表。查询工具提供查询安全事件的详细信息。3.安装顺序完成网络部署方案设计后，就可以开始安装了。安装步骤如下：4.DCNIDS-1800基本配置(1).传感器的标准出厂设置为：传感器的IP：54默认网关：默认传感器管理员密钥：adminEC的IP：53licensekey——输入或修改licensekey（licensekey由神州数码提供）如下图所示。注：输入信息完毕使用回车即可将光标移至下一单元。此处licenseKey不要改动！(2).settimeanddate进入配置窗口，可以配置时区和时间。在中国地区应设置为PRC。如下图所示。注：此处选择好后使用tab键进行切换即可。确认保存后，系统需要重新启动一次方可生效！(3).Configurenetworking进入配置窗口，可以进行如下配置：nameofthisstation——设置sensor的名字，如传感器的名字为“DCNIDS-1800-M”；managementinterface——选择管理接口，管理接口并非监测数据的接口，例如监测接口选择em0，即将em0和em1同时连接到网络中，em1负责与EC进行通信，而em0则主要负责监测网络数据流。如下图所示；IPaddress——设置管理接口的IP地址，管理接口的IP地址即指EC与传感器通讯的地址。如设置管理接口的IP地址为“8”networkmask——设置网络掩码，如掩码设置为：“”defaultroute——设置缺省网关，如果传感器与管理控制台将在同一个网段，则缺省网关选择默认不必配置，如下图所示。(4).配置事件收集器（EC）地址和通信密钥，如下图所示IPofEC——输入EC的IP地址，如EC的IP地址选择：“0”encrypotionpassphrase—