IDS技術(shù)學(xué)習(xí)目標通過本章的學(xué)習(xí)，希望您能夠：了解什么是IDS了解IDS的工作原理了解數(shù)據(jù)捕獲方式了解IDS、IPS、防火墻的區(qū)別部署與配置RG-IDS本章內(nèi)容什么是IDSIDS工作原理數(shù)據(jù)捕獲方式IDS、IPS、防火墻的區(qū)別課程議題什么是IDS什么是IDS？IDS（IntrusionDetectionSystem）的概念I(lǐng)DS是硬件或軟件用于檢測對網(wǎng)絡(luò)的攻擊對攻擊的積極響應(yīng)好人壞人什么是IDS？（續(xù)）IDS的起源與發(fā)展概念的誕生—1980年美國空軍做了題為《計算機安全威脅監(jiān)控與監(jiān)視》，第一次詳細闡述了入侵檢測的概念模型的發(fā)展—1984~1986年喬治敦大學(xué)的DorothyDenning和SRI公司的計算機科學(xué)實驗室PeterNeumann研究出了一個入侵檢測模型，取名為IDES（入侵檢測專家系統(tǒng)）。它獨立于特定的系統(tǒng)平臺、應(yīng)用環(huán)境、應(yīng)用弱點以及入侵類型真正提出的入侵檢測思想百花齊放—1990年美國加州大學(xué)第一次將網(wǎng)絡(luò)數(shù)據(jù)流作為審計來源分析入侵活動，為入侵檢測技術(shù)翻開新的一頁。從此入侵檢測技術(shù)分為網(wǎng)絡(luò)入侵檢測技術(shù)和主機入侵檢測技術(shù)，并且兩種方式不斷壯大起來里程碑—2000年分布式IDS出現(xiàn)HIDS（HostIDS）Internet網(wǎng)絡(luò)服務(wù)器1客戶端網(wǎng)絡(luò)服務(wù)器2X檢測內(nèi)容：系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志HIDSXHIDSHIDS（續(xù)）在最終目的進行分析對網(wǎng)絡(luò)的視野有限性能問題部署問題NIDS（NetworkIDS）InternetNIDS網(wǎng)絡(luò)服務(wù)器1數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分客戶端網(wǎng)絡(luò)服務(wù)器2X檢測內(nèi)容：包頭信息+有效數(shù)據(jù)部分NIDS（續(xù)續(xù)）視野開闊易于部署帶寬、性能問問題加密問題課程議題IDS的工作作原理IDS警報什么是警報IDS檢測到到入侵活動時時，都必須產(chǎn)產(chǎn)生一些警報報以發(fā)出信號號由于IDS沒沒有100%的正確率，，所以IDS警報分為兩兩大類錯誤警報誤報漏報正確警報正確命中正確拒絕IDS檢測方方式異常檢測模式匹配（簽簽名匹配）協(xié)議分析異常檢測概念也稱為模型檢檢測，需要為為用戶習(xí)慣建建立模型。模模型為用戶定定義了行為特特征，以及為為用戶執(zhí)行正正常任務(wù)定義義了一個基線線優(yōu)點檢測以前未發(fā)發(fā)布的攻擊缺點用戶習(xí)慣改變變時，必須更更新用戶模型型很難把特定的的攻擊與警報報相關(guān)聯(lián)模式匹配概念也稱為濫用檢檢測，探測與與具體特征相相匹配的入侵侵行為，將收收集到的信息息與特征庫匹匹配優(yōu)點基于已知的入入侵行為安裝后立刻就就能進行檢測測缺點需要更新簽名名庫（特征庫庫）有些攻擊能繞繞過IDS無法檢測未知知攻擊模式匹配（續(xù)續(xù)）張三命中協(xié)議分析協(xié)議分析（續(xù)續(xù)）ETHERARPIPRARPICMPIGMPTCPUDPPOP3FTPHTTP。。。DNS第一步——直接跳到第13個字節(jié)，，并讀取2個個字節(jié)的協(xié)議議標識。如如果值是0800，則說說明這個以太太網(wǎng)幀的數(shù)據(jù)據(jù)域攜帶的是是IP包，基于協(xié)議解碼碼的入侵檢測測利用這一信信息指示第二二步的檢測工工作。第二步——跳到第24個個字節(jié)處讀取取1字節(jié)的第第四層協(xié)議標標識。

如果果讀取到的值值是06，則則說明這個IP幀的數(shù)據(jù)據(jù)域攜帶的是是TCP包，，

入侵檢測測利用這一信信息指示第三三步的檢測工工作。第三步步——跳到第第35個字字節(jié)處處讀取取一對對端口口號。。如果果有一一個端端口號號是0080，，則則說明明這個個TCP幀幀的數(shù)數(shù)據(jù)域域攜帶帶的是是HTTP包，，基于于協(xié)議議解碼碼的入入侵檢檢測利利用這這一一信息息指示示第四四步的的檢測測工作作。第四步步——讓解析析器從從第55個個字節(jié)節(jié)開始始讀取取URL。。URL串將將被提提交給HTTP解析析器，，在它它被允允許提提交給給Web服服務(wù)器器前，，由HTTP解解析器器來分析它它是否否可能能會做做攻擊擊行為為。協(xié)議分分析（（續(xù)））0800[13字節(jié)]06[24字節(jié)]0800[35字節(jié)]55字節(jié)張三匹配基于狀狀態(tài)的的檢測測IDSPC-A源地址址目標地地址源端口口目標端端口初始序序列號號ACK標記103380350771syn103380350772133076syn-ack103380350773133077ack①②③狀態(tài)表表源地址址目標地地址源端口口目標端端口序列號號IDS響應(yīng)應(yīng)技術(shù)術(shù)報警記錄日日志TCPreset聯(lián)動SNMPTrap郵件通通知IDS逃避避技術(shù)術(shù)泛洪使IDS產(chǎn)產(chǎn)生大大量警警報，，隱藏藏真正正攻擊擊消耗IDS系統(tǒng)統(tǒng)資源源分片消耗IDS系統(tǒng)統(tǒng)資源源加密迷惑使用不不同的的字符符表達達方式式課程議議題數(shù)據(jù)捕捕獲方方式HUB物理層層設(shè)備備將流量量向所所有端端口復(fù)復(fù)制安全問問題流量鏡鏡像SPAN（（SwitchPortAnalyzer）交換機機的端端口監(jiān)監(jiān)控功功能將一個個或多多個來來自某某端口口或VLAN的的數(shù)據(jù)據(jù)鏡像像到另另一個個目的的端口口目的端端口常常用來來連接接網(wǎng)絡(luò)絡(luò)分析析儀安全性性高配置SPAN配置端端口鏡鏡像的的源端端口monitorsessionsession-numbersourceinterfaceinterface{both|rx|tx}Switch(config)#monitorsessionsession-numberdestinationinterfaceinterfaceSwitch(config)#配置端端口鏡鏡像的的目的的端口口以太網(wǎng)網(wǎng)接口口的工工作模模式正常模模式只接收收目的的MAC與與自己己MAC匹匹配的的報文文接收廣廣播報報文混雜模模式接收所所有報報文（（目的的MAC非非自身身MAC的的報文文）IDS接口口為混混雜模模式課程議議題IDS、IPS與防防火墻墻的區(qū)區(qū)別IDS、IPS、防防火墻墻對比比防火墻墻可以以檢測測20%的的攻擊擊IDS可以以檢測測80%的的攻擊擊IPS可以以檢測測50%的的攻擊擊IDS、IPS、防防火墻墻對比比（續(xù)續(xù)）特征IDSIPSFirewall部署方式旁路在線在線優(yōu)勢性能結(jié)合IDS/FW嚴格的安全規(guī)則檢測層次L3以上L3以上L3/L4成熟度很成熟不成熟非常成熟課程議議題部署與與配置置RG-IDS安裝組組件步步驟安裝RGIDSSensor安裝DataBase安裝RGIDSLogServer安裝RGIDSEvent-Collector安裝RGIDSConsole安裝RGIDSReport安裝順順序配置SensorSENSOR顯顯示的的當(dāng)前前狀態(tài)態(tài)輸入管管理員員密碼碼，進進入管管理窗窗口配置SENSOR的的網(wǎng)絡(luò)絡(luò)連接接狀態(tài)態(tài)配置DataBase安裝微微軟MSDE組組件初始配配置計算機機重啟啟安裝LogServer配置LogServer安裝完完成，，出現(xiàn)現(xiàn)“數(shù)數(shù)據(jù)服服務(wù)初初始化化配置置”窗窗口也可以以通過過點擊擊“開開始——程序序—入入侵檢檢測系系統(tǒng)——入侵侵檢測測系統(tǒng)統(tǒng)（網(wǎng)網(wǎng)絡(luò)））—RGIDS數(shù)數(shù)據(jù)據(jù)服務(wù)務(wù)安裝裝”進進入此此窗口口配置Event-Collector安裝License安裝許許可證證配置Event-Collector在應(yīng)用用服務(wù)務(wù)管理理器中中啟用用事件件收集集服務(wù)務(wù)主要功功能：：后臺服服務(wù)的的啟動動管理理收集組組件的的狀態(tài)態(tài)調(diào)試試信息息配置用用戶控制臺臺登錄錄界面面對用戶戶做管管理及及審計計信息息添加組組件組件管管理———添添加組組件添加傳傳感器器組件配配置窗窗口添加傳傳感器器同步簽簽名、、應(yīng)用用策略略、重重啟引引擎應(yīng)用策策略后后會出出現(xiàn)斷斷開標標志；；大約2分鐘鐘時間間，后后出現(xiàn)現(xiàn)編譯譯簽名名標志志；整個同同步簽簽名需需要大大約需需要20分分鐘時時間。。添加LogServer添加LogServer策略編編輯策略編編輯器器窗口口添加特特殊事事件添加特特殊事事件進入““策略略”———““告警警策略略”窗窗口展開““一般般事件件樹””右鍵點點擊某某個攻攻擊簽簽名，，在出出現(xiàn)的的菜單單中選選擇““添加加到特特殊事事件窗窗口””在彈出出的窗窗口中中，輸輸入新新建事事件組組的名名稱點擊““確定定”按按鈕，，該攻攻擊簽簽名將將出現(xiàn)現(xiàn)在特特殊事事件窗窗口中中事件統(tǒng)統(tǒng)計圖圖一般事事件統(tǒng)統(tǒng)計圖圖表窗窗口事件風(fēng)風(fēng)險一般事事件風(fēng)風(fēng)險列列表窗窗口系統(tǒng)日日志系統(tǒng)日日志窗窗口配置Report報表的的登錄錄界