052入侵检测系统组成和实例.ppt

入侵检测原理与技术 IDS在网络中的部署 IDS的组成 入侵检测系统实例 IDS 现状与发展方向 蜜罐技术 IDS的组成 检测引擎 控制中心 IDS基本结构 入侵检测系统包括三个功能部件 （1）信息收集 （2）信息分析 （3）结果处理（响应） 信息搜集 信息收集 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点 信息收集 入侵检测很大程度上依赖于收集信息的可靠性和正确性 要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息 信息收集的来源 系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为 信息分析 信息分析 模式匹配 统计分析 完整性分析，往往用于事后分析 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化） 统计分析 统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等） 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生 完整性分析 完整性分析主要关注某个文件或对象是否被更改 这经常包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效 结果处理 结果处理 主动响应 阻止攻击，切断网络连接； 被动响应 记录事件和报警。 入侵检测性能关键参数 误报(false positive)：如果系统错误地将异常活动定义为入侵 漏报(false negative)：如果系统未能检测出真正的入侵行为 网络入侵检测工具snort Snort 是一个基于简单模式匹配的IDS 源码开放，跨平台(C语言编写，可移植性好) 利用libpcap作为捕获数据包的工具 特点 设计原则：性能、简单、灵活 包含三个子系统：网络包的解析器、检测引擎、日志和报警子系统 内置了一套插件子系统，作为系统扩展的手段 模式特征链——规则链 命令行方式运行，也可以用作一个sniffer工具 网络数据包解析 结合网络协议栈的结构来设计 Snort支持链路层和TCP/IP的协议定义 每一层上的数据包都对应一个函数 按照协议层次的顺序依次调用就可以得到各个层上的数据包头 从链路层，到传输层，直到应用层 在解析的过程中，性能非常关键，在每一层传递过程中，只传递指针，不传实际的数据 支持链路层：以太网、令牌网、FDDI Snort工作模式 Sniffer模式（-v）：监听网络数据流 Packet Logger模式（-l）：记录数据包内容 Intrusion Detection模式（-c）：网络入侵检测 Snort输出选项 -A fast:只记录Alert的时间、IP、端口和攻击消息 -A full:完整的Alert记录 -A none:关闭Alert -A unsock:将Alert发送到其他进程监听的socket Snort基本流程 Snort: 日志和报警子系统 当匹配到特定的规则之后，检测引擎会触发相应的动作 日志记录动作，三种格式： 解码之后的二进制数据包 文本形式的IP结构 Tcpdump格式 如果考虑性能的话，应选择tcpdump格式，或者关闭logging功能 报警动作，包括 Syslog 记录到alert文本文件中 发送WinPopup消息 关于snort的规则 Snort的规则比较简单 规则结构： 规则头： alert tcp !/24 any - /24 any 规则选项： (flags: SF; msg: “SYN-FIN Scan”;) 针对已经发现的攻击类型，都可以编写出适当的规则来 规则头包括：规则行为、协议、源/目的IP地址、子网掩码以及源/目的端口。 规则选项包含:报警信息和异常包的信息(特征码)，使用这些特征码来决定是否采取规则规定的行动。 现有大量的规则可供利用 Snort规则示例 规则示例 关于snort 开放性 源码开放，必威体育精装版规则库的开放 作为商业IDS的有机补充 特别是对于必威体育精装版攻击模式的知识共享 Snort的部署 作为分布式IDS的节点 为高级的IDS提供基本的事件报告 发展 数据库的支持 互操作性，规则库的标准化 二进制插件的支持 预处理器模块