入侵檢測（IDS）

技術(shù)與方案博士mingzhu.內(nèi)容基本概念技術(shù)分類實現(xiàn)原理部署方案測試方案產(chǎn)品介紹內(nèi)容基本概念技術(shù)分類實現(xiàn)原理部署方案測試方案產(chǎn)品介紹IDS能做什么？監(jiān)控網(wǎng)絡(luò)和系統(tǒng)發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象實時報警主動響應(yīng)常見安全產(chǎn)品身份認(rèn)證加密防病毒防火墻入侵檢測IDS與防火墻的關(guān)系？有的防火墻能夠檢測到一些類型的攻擊，例如SubSeven后門程序所使用的27374端口。當(dāng)檢測到攻擊者利用特殊的數(shù)據(jù)包對網(wǎng)絡(luò)滲透時，防火墻還能報警。從嚴(yán)格的意義上來說，這是IDS的功能。然而，防火墻使用的檢測技術(shù)僅僅是簡單的決定什么樣的數(shù)據(jù)包能夠或不能夠進出網(wǎng)絡(luò)，而不能期望它去分析每個數(shù)據(jù)包中的內(nèi)容。甚至連代理型的防火墻都不能去檢測每個數(shù)據(jù)包中的所有內(nèi)容，因為這樣做非常耗CPU的資源。防火墻檢查數(shù)據(jù)包的包頭部分，決定是否放行或丟棄。IDS檢查數(shù)據(jù)包的包頭和數(shù)據(jù)部分，發(fā)現(xiàn)有惡意攻擊的內(nèi)容要發(fā)出警報。不同的網(wǎng)絡(luò)位置（并行和串行）防內(nèi)和防外IDS作用很多機器被攻擊的理由僅僅是被用來做DDOS攻擊的跳板?；ヂ?lián)網(wǎng)上的盜版者使用網(wǎng)絡(luò)中容易被攻擊的WEB站點存放盜版信息，散布盜版軟件和色情內(nèi)容。不經(jīng)過我們的同意，我們的系統(tǒng)被用來作為邪惡的，不合法的活動的跳板。IDS的日志記錄是重要的攻擊證據(jù)IDS能讓我們了解我們的網(wǎng)絡(luò)的健康和安全IDS能發(fā)現(xiàn)失敗的以管理員身份登陸的企圖和密碼猜測程序。內(nèi)置式IDS能夠在發(fā)現(xiàn)攻擊時及時阻止攻擊并通知管理員。IDS能夠發(fā)現(xiàn)攻擊并彌補其他網(wǎng)絡(luò)設(shè)備的不足，例如防火墻和路由器。IDS的日志信息能作為加強公司安全策略的參考。防火墻的規(guī)則和路由器的訪問列表能夠執(zhí)行特定的功能。緩沖區(qū)溢出攻擊在現(xiàn)在的攻擊中類型中占了很大的百分比，Snort內(nèi)置了很多檢測緩沖區(qū)溢出攻擊的規(guī)則。后門和木馬是帶有惡意代碼的遠程控制程序，目的是為了控制我們的機器。Snort能夠檢測這些木馬的通訊，從而在后門和木馬活動時報警。郵件服務(wù)器是攻擊者的主要目標(biāo)。因為這些服務(wù)器必須在互聯(lián)網(wǎng)上進行訪問，所以很容易遭到攻擊。Snort有很多規(guī)則可以檢測對郵件服務(wù)器的攻擊，還能夠檢測郵件病毒。除了檢測入侵，IDS還能做很多其他工作，包括監(jiān)視數(shù)據(jù)庫的訪問，監(jiān)視DNS服務(wù)，保護郵件服務(wù)器，監(jiān)督公司的安全策略等。內(nèi)容基本概念技術(shù)分類實現(xiàn)原理部署方案測試方案產(chǎn)品介紹IDS的分類主機入侵檢測（HIDS）網(wǎng)絡(luò)入侵檢測（NIDS）分布式入侵檢測（DIDS）產(chǎn)品舉例產(chǎn)品功能攻擊檢測狀態(tài)維護和重組應(yīng)用層協(xié)議解碼非法外聯(lián)檢測地址欺騙檢測策略編輯和策略模板多種響應(yīng)方式網(wǎng)絡(luò)流量統(tǒng)計內(nèi)容檢測回話回放遠程管理遠程升級用戶管理審計和報表數(shù)據(jù)庫管理攻擊檢測★檢測多種攻擊行為 檢測1400多種攻擊 細粒度檢測技術(shù) 細粒度檢測 模式匹配協(xié)議解碼異常檢測★應(yīng)用層協(xié)議解碼 理解網(wǎng)絡(luò)行為 進一步分析的基礎(chǔ) 基于應(yīng)用層解碼的自定義規(guī)則 高精度模式匹配 會話記錄 異常行為記錄應(yīng)用層協(xié)議解碼★非法外聯(lián)檢測 檢測網(wǎng)絡(luò)中的非法撥號 和入侵檢測無縫集成，無需客戶端代理★防IP地址欺騙

受護網(wǎng)絡(luò)中主機的IP—MAC的紀(jì)錄跟蹤檢測非法外聯(lián)、地址欺騙★策略模板定制 預(yù)定義模板： Windows系統(tǒng) Unix系統(tǒng) SQL服務(wù)器 FTP服務(wù)器

… 用戶自定義模板：

WIN+SQL+自定義規(guī)則策略模板★網(wǎng)絡(luò)流量統(tǒng)計 實時刷新的圖形化界面： 比特統(tǒng)計 報文統(tǒng)計 關(guān)鍵端口流量統(tǒng)計 TCP連接統(tǒng)計 報警事件統(tǒng)計流量統(tǒng)計★網(wǎng)絡(luò)敏感內(nèi)容檢測 監(jiān)測內(nèi)部的網(wǎng)絡(luò)濫用行為: URL地址 FTP、TELNET的用戶名、密碼、命令 郵件主題內(nèi)容檢測★網(wǎng)絡(luò)事件回放 重現(xiàn)網(wǎng)絡(luò)行為： HTTP FTP SMTP POP3 TELNET會話回放★遠程升級 規(guī)則庫升級 探測器升級 “在線”、“手動”兩種方式遠程升級★用戶管理 電子鑰匙和密碼雙重身份認(rèn)證 管理用戶分權(quán)設(shè)置： 管理員——能夠管理整套入侵檢測系統(tǒng) 審計員——能夠查看各種審計信息 用戶操作審計用戶管理初次使用安裝硬件（探測器）軟件（光盤）電子鑰匙硬件安裝探測器的網(wǎng)口監(jiān)測口：連接交換機的SPAN口，無IP地址通信口：連接控制臺響應(yīng)口：提供和防火墻聯(lián)動、TCP阻斷等響應(yīng)軟件安裝所需軟件環(huán)境操作系統(tǒng)：windows2000/XP（注意打補丁）；瀏覽器：IE6.0以上（光盤提供）；數(shù)據(jù)庫：MSDE（光盤提供）；驅(qū)動程序：電子鑰匙驅(qū)動（光盤提供）。軟件安裝軟件組成部分控制臺主程序：配置管理及報警事件顯示?？刂婆_輔助程序：數(shù)據(jù)庫管理、日志審計、策略編輯、升級程序、會話會放。工具軟件：非法外聯(lián)檢測接收器、電子鑰匙初始化軟件。通信服務(wù)：負責(zé)處理與探測器之間的通信數(shù)據(jù)；（后臺運行）響應(yīng)服務(wù)：負責(zé)探測器端的響應(yīng)行為；（后臺運行）在線幫助文件。初次配置配置探測器使用超級終端從串口登錄探測器：user:admin,passwd:admin123初次配置配置控制臺使用電子鑰匙登錄：user:root,passwd:111111使用配置向?qū)гO(shè)置參數(shù)主要參數(shù)解釋：IP–探測器IP和控制臺IP；心跳檢測端口–UDP端口，互相檢測對方是否存在；數(shù)據(jù)通信端口–TCP端口，傳送報警信息和配置命令；通信模式–主動/被動模式，適合于復(fù)雜網(wǎng)絡(luò)環(huán)境；超時時間–雙方通信中斷的時間閾值。用戶界面簡介配置向?qū)в脩艚缑婧喗橹鹘缑嬗脩艚缑婧喗楦呒壟渲猫C監(jiān)測網(wǎng)絡(luò)配置監(jiān)測網(wǎng)絡(luò)配置把探測器的所處的網(wǎng)絡(luò)環(huán)境信息以配置的形式告知探測器，以便使探測器了解所處的網(wǎng)絡(luò)環(huán)境信息，得到更加準(zhǔn)確的檢測結(jié)果。在這里，你只需要將你網(wǎng)絡(luò)中的服務(wù)器信息和網(wǎng)絡(luò)信息進行一個配置就可以了。這樣的話，能夠有效的降低探測器的檢測范圍，同時可以降低探測器的誤報。這些網(wǎng)絡(luò)配置包括如下的配置：內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)、Web服務(wù)器、Ftp服務(wù)器、Telnet服務(wù)器、DNS服務(wù)器、SQL服務(wù)器、POP3服務(wù)器和SMTP服務(wù)器。這里的服務(wù)器是指的服務(wù)器類型，通過這個設(shè)置可以有效的減少檢測范圍。這個配置可以是內(nèi)部服務(wù)器，也可以是外部服務(wù)器，但是它必須是可信的服務(wù)器

用戶界面簡介高級配置–協(xié)議解碼配置基于特征的入侵檢測，最直接的方法就是，每捕獲一個數(shù)據(jù)包就把它和事先定義的特征串進行匹配，以查找可能的事件。但是實際情況復(fù)雜得多，為此，采用了協(xié)議解碼技術(shù)，在捕獲數(shù)據(jù)包時，按照其所用協(xié)議的規(guī)范，對其進行解碼處理，然后如有必要再進行特征串匹配。通過這種技術(shù)可以很好地提高檢測的準(zhǔn)確度

用戶界面簡介高級配置–非法外聯(lián)檢測此配置的主要目的是檢測非法的外聯(lián)行為，比如使用MODEM撥號上網(wǎng)或者在兩個隔離的網(wǎng)絡(luò)環(huán)境下使用雙網(wǎng)卡機器進行非法連接

非法外聯(lián)檢測原理

（一）從內(nèi)部檢測探測器非法外聯(lián)主機發(fā)送偽造源地址數(shù)據(jù)包互聯(lián)網(wǎng)回復(fù)發(fā)送ARP請求發(fā)送ARP回復(fù)非法外聯(lián)檢測原理

（二）從外部檢測探測器非法外聯(lián)主機發(fā)送偽造源地址數(shù)據(jù)包互聯(lián)網(wǎng)回復(fù)發(fā)送ARP請求發(fā)送ARP回復(fù)非法外聯(lián)接收器用戶界面簡介高級配置–IP欺騙配置此配置的主要目的是防止內(nèi)部IP地址欺騙，比如某人假冒您的IP地址發(fā)送信息。入侵檢測系統(tǒng)運行后，會自動學(xué)習(xí)網(wǎng)絡(luò)環(huán)境中的IP與MAC地址對應(yīng)表。如果在您的網(wǎng)絡(luò)環(huán)境中，有人修改了IP地址（網(wǎng)卡不變），則入侵檢測系統(tǒng)會探測到并報警“IP欺騙”。當(dāng)然，如果您的內(nèi)部網(wǎng)絡(luò)的地址配置發(fā)生了合法的改變，您也要及時地更新綁定表，否則入侵檢測系統(tǒng)將一直報警

用戶界面簡介高級配置–端口掃描配置此配置可以讓探測器監(jiān)控指定的機器是否進行了端口掃描

用戶界面簡介策略編輯–模板選擇用戶界面簡介策略編輯–自定義規(guī)則用戶界面簡介響應(yīng)配置用戶界面簡介用戶管理用戶界面簡介會話會放（1）會話回放功能幫助使用者監(jiān)視網(wǎng)絡(luò)應(yīng)用層的活動情況。使用者可以方便的設(shè)置和查看特定機器在網(wǎng)絡(luò)中的操作行為，如訪問網(wǎng)站，F(xiàn)TP操作，TELNET操作，收發(fā)郵件的內(nèi)容等

用戶界面簡介HTTP會話會放（2）HTTP協(xié)議會話回放界面如下圖所示。點擊左欄的HTTP圖標(biāo)，出現(xiàn)的是機器瀏覽各種網(wǎng)站的情況。中間欄顯示的是被訪問的網(wǎng)站，點開鏈接后，顯示出訪問機器的地址。右欄對應(yīng)的是所選中的機器訪問了那些網(wǎng)站上的文件

用戶界面簡介HTTP會話會放（3）雙擊感興趣的網(wǎng)絡(luò)地址，就可以看到網(wǎng)頁的內(nèi)容

，如右圖所示用戶界面簡介SMTP會