,單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,入侵檢測,防火墻,是位于兩個或多個網(wǎng)絡(luò)之間，執(zhí)行訪問控制策略的一個或一組系統(tǒng)，是一類防范措施的總稱。,它可以有效地保護本地系統(tǒng)或網(wǎng)絡(luò)，抵制外部網(wǎng)絡(luò)安全威脅，同時支持受限的通過WAN或Internet對外界進行訪問。,防火墻,防火墻嵌入在局域網(wǎng)和,Internet,連接的網(wǎng)關(guān)上,所有從內(nèi)到外和從外到內(nèi)的數(shù)據(jù)都必須通過防火墻（物理上阻塞其它所有訪問）,只有符合安全政策的數(shù)據(jù)流才能通過防火墻,防火墻系統(tǒng)自身應(yīng)對滲透,(,peneration,),免疫，（如一般必須是一個安裝了安全操作系統(tǒng)的可信任系統(tǒng)）,防火墻特征,防火墻對企業(yè)內(nèi)部網(wǎng)實現(xiàn)了集中的安全管理，可以強化網(wǎng)絡(luò)安全策略，比分散的主機管理更經(jīng)濟易行,防火墻能防止非授權(quán)用戶進入內(nèi)部網(wǎng)絡(luò)，有效地對抗外部網(wǎng)絡(luò)入侵,由于所有的訪問都經(jīng)過防火墻，防火墻成為審計和記錄網(wǎng)絡(luò)的訪問和使用的最佳地點，可以方便地監(jiān)視網(wǎng)絡(luò)的安全性并報警。,可以作為部署網(wǎng)絡(luò)地址轉(zhuǎn)換（,Network Address Translation,）的地點，利用,NAT,技術(shù)，可以緩解地址空間的短缺，隱藏內(nèi)部網(wǎng)的結(jié)構(gòu)。,利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可以實現(xiàn)重點網(wǎng)段的分離，從而限制安全問題的擴散。,防火墻可以作為,IPSec,的平臺，可以基于隧道模式實現(xiàn),VPN,。,防火墻的優(yōu)點,為了提高安全性，限制或關(guān)閉了一些有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)，給用戶帶來使用的不便。,防火墻不能對繞過防火墻的攻擊提供保護，如撥號上網(wǎng)等。,不能對內(nèi)部威脅提供防護支持。,受性能限制，防火墻對病毒傳輸保護能力弱。,防火墻對用戶不完全透明，可能帶來傳輸延遲、性能瓶頸及單點失效。,防火墻不能有效地防范數(shù)據(jù)內(nèi)容驅(qū)動式攻擊。,作為一種被動的防護手段，防火墻不能自動防范因特網(wǎng)上不斷出現(xiàn)的新的威脅和攻擊。,防火墻的局限性,為什么需要IDS,不安全的防火墻設(shè)計,入侵檢測系統(tǒng)（IDS）,入侵（,Intrusion,）,:,企圖進入或濫用計算機系統(tǒng)的行為。,入侵檢測,（Intrusion Detection）：,對系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機密性、完整性和可用性,。,入侵檢測系統(tǒng)（,Intrusion Detection System）,進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng),入侵檢測的分類（1）,按照分析方法（檢測方法）,異常檢測,（Anomaly Detection):首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），,當用戶活動與正常行為有重大偏離時即被認為是入侵,誤用檢測,（Misuse Detection)：收集非正常操作的行為特征，建立相關(guān)的特征庫，,當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵,入侵檢測的分類（2）,按照數(shù)據(jù)來源：,基于主機：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機，保護的目標也是系統(tǒng)運行所在的主機,基于網(wǎng)絡(luò)：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護的是網(wǎng)絡(luò)的運行,混合型,IDS 分類,網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS),-在網(wǎng)絡(luò)中的某個節(jié)點上裝有探測器來監(jiān)測整個網(wǎng)絡(luò)(工作對象基于網(wǎng)絡(luò)),特點：,1.擁有較低的成本-在幾個很少的監(jiān)測點上進行配置就可以監(jiān)控一個網(wǎng)絡(luò)中所發(fā)生的入侵行為,2.能監(jiān)測主機IDS所不能監(jiān)測到的某些攻擊(如DOS、Teardrop)通過分析IP包的頭可以捕捉這些須通過分析包頭才能發(fā)現(xiàn)的攻擊,3.與操作系統(tǒng)無關(guān)性-基于網(wǎng)絡(luò)的IDS與所監(jiān)測的主機所運行的操作系統(tǒng)無關(guān)，而主機IDS則必須在特定的操作系統(tǒng)下才能運 行,4.檢測未成功能攻擊和不良意圖-與之相比，主機IDS只能檢測到成功的攻擊，而很多未成功的攻擊對系統(tǒng)的風險評估成到關(guān)鍵的作用,5.實時檢測和響應(yīng)-網(wǎng)絡(luò)IDS可以在攻擊發(fā)生的同時將其檢測出來，并進行實時的報警和響應(yīng)，而主機IDS只能在可疑信息被記錄下來后才能做出響應(yīng)，而這時，可以系統(tǒng)已被摧毀或主機IDS已被摧毀,IDS 分類,主機入侵檢測系統(tǒng)(HIDS),-在網(wǎng)絡(luò)中所監(jiān)測的每臺主機上都裝有探測器(工作對象基于主 機),特點：,1.確定攻擊是否成功-使用已發(fā)生的事件信息做為檢測條件，比網(wǎng)絡(luò)IDS更準確的判定攻擊是否成功,2.系統(tǒng)行動監(jiān)視的更好-對于每一個用戶(尤其是系統(tǒng)管理員)上 網(wǎng)下網(wǎng)的信息、連入網(wǎng)絡(luò)后的行為和所受到的入侵行為監(jiān)測的 更為詳細，記錄的更準確，相比之下，網(wǎng)絡(luò)IDS要想做到這一點存在很大的難度,3.能夠檢測到網(wǎng)絡(luò)IDS檢測不到的特殊攻擊-如某服務(wù)器上有人直接對該機進行非法操作，網(wǎng)絡(luò)IDS不能檢測出該攻擊，而主 機IDS則可以做到,4.適用于加密的環(huán)境-在某些特殊的加密網(wǎng)絡(luò)環(huán)境中，由于網(wǎng)絡(luò)IDS所需要的網(wǎng)絡(luò)環(huán)境不能滿足，所以在這種地方應(yīng)用主機 IDS就可以完成這一地方的監(jiān)測任務(wù),5.不需要額外的硬件設(shè)備-與網(wǎng)絡(luò)IDS相比，不需要專用的硬件檢測系統(tǒng)，降低的硬件成本,IDS 分類,大規(guī)模分布式入侵檢測系統(tǒng)(DIDS),-,系統(tǒng)中既包括網(wǎng)絡(luò)探測器也包括主機探測器(工作對象同時基,于網(wǎng)絡(luò)和主機),特點：,1.適用于大規(guī)模復(fù)雜的網(wǎng)絡(luò)環(huán)境-分層次、多級的分布的系統(tǒng)結(jié),構(gòu)適用于大規(guī)模的網(wǎng)絡(luò)環(huán)境中,2.全面的檢測方式更好的保護網(wǎng)絡(luò)-包含網(wǎng)絡(luò)IDS和主機IDS兩,種入侵檢測系統(tǒng)的檢測部分，更全面、更詳細的監(jiān)測網(wǎng)絡(luò)及系,統(tǒng)動態(tài)。,入侵檢測的分類（3）,按系統(tǒng)各模塊的運行方式,集中式：系統(tǒng)的各個模塊包括數(shù)據(jù)的收集分析集中在一臺主機上運行,分布式：系統(tǒng)的各個模塊分布在不同的計算機和設(shè)備上,入侵檢測的分類（4）,根據(jù)時效性,脫機分析：行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進行分析,聯(lián)機分析：在數(shù)據(jù)產(chǎn)生的同時或者發(fā)生改變時進行分析,IDS能做什么？,監(jiān)控網(wǎng)絡(luò)和系統(tǒng),發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象,實時報警,主動響應(yīng)（非常有限）,入侵響應(yīng)系統(tǒng)（IRS）,入侵響應(yīng)（Intrusion Response）：,當檢測到入侵或攻擊時，采取適當?shù)拇胧┳柚谷肭趾凸舻倪M行。,入侵響應(yīng)系統(tǒng)（Intrusion Response System）,實施入侵響應(yīng)的系統(tǒng),入侵響應(yīng)系統(tǒng)分類（1）,按響應(yīng)類型,報警型響應(yīng)系統(tǒng),人工響應(yīng)系統(tǒng),自動響應(yīng)系統(tǒng),入侵響應(yīng)系統(tǒng)分類（2）,按響應(yīng)方式：,基于主機的響應(yīng),基于網(wǎng)絡(luò)的響應(yīng),入侵響應(yīng)系統(tǒng)分類（3）,按響應(yīng)范圍,本地響應(yīng)系統(tǒng),協(xié)同入侵響應(yīng)系統(tǒng),響應(yīng)方式（1）,記錄安全事件,產(chǎn)生報警信息,記錄附加日志,激活附加入侵檢測工具,隔離入侵者,IP,禁止被攻擊對象的特定端口和服務(wù),隔離被攻擊對象,較溫和,被動響應(yīng),介于溫和,和嚴厲之間,主動響應(yīng),響應(yīng)方式（2）,警告攻擊者,跟蹤攻擊者,斷開危險連接,攻擊攻擊者,較嚴厲,主動響應(yīng),自動響應(yīng)系統(tǒng)的結(jié)構(gòu),響應(yīng)決策,響應(yīng)執(zhí)行,響應(yīng)決策,知識庫,響應(yīng),工具庫,安全事件,響應(yīng)策略,響應(yīng)命令,自動入侵響應(yīng)總體結(jié)構(gòu),IDS部署方式,IDS 部署方式,NIDS的位置必須要看到所有數(shù)據(jù)包,共享媒介HUB,交換環(huán)境,隱蔽模式,千兆網(wǎng),分布式結(jié)構(gòu),探測器,控制中心,IDS 部署方式,共享式部署,HUB,Monitored Servers,Console,IDS 部署方式,交換環(huán)境部署方式,Switch,IDS Sensor,Monitored Servers,Console,通過端口鏡像實現(xiàn),（SPAN/Port Monitor）,IDS 部署方式,安全隱蔽模式,Switch,Monitored Servers,Console,不設(shè)IP,IDS 應(yīng)用,與其它網(wǎng)絡(luò)安全設(shè)備聯(lián)動工作,全方位發(fā)揮IDS的功能-與其它安全設(shè)備的聯(lián)動工作,1.與防火墻聯(lián)動,IDS不能做最好的阻斷-IDS根據(jù)實時檢測出的結(jié)果,調(diào)整防火墻來進行相應(yīng)的阻斷,2.與掃描器聯(lián)動,IDS可以根據(jù)掃描器所做的掃描結(jié)果，對一點特殊系統(tǒng)做重點監(jiān),測，也可讓掃描器根據(jù)實時探測的結(jié)果做更詳細的安全評估,3.與其它一些安全設(shè)備聯(lián)動工作以保障網(wǎng)絡(luò)系統(tǒng)安全,IDS 應(yīng)用,實際網(wǎng)絡(luò)環(huán)境中的應(yīng)用方式,在外部網(wǎng)絡(luò)中設(shè)置NIDS(放在防火墻前面)，可以捕捉外部攻擊機的真實地址來源并調(diào)整防火墻進行相應(yīng)的阻斷,在內(nèi)部網(wǎng)絡(luò)中設(shè)置NIDS(放在防火墻后面)，可以捕捉內(nèi)部攻擊機的真實地址來源,在所保護的主機上安裝HIDS，重點分析系統(tǒng)做接受的操作及相應(yīng)用戶的系統(tǒng)行為，以彌補NIDS的遺漏點,同時采用以上三種設(shè)置方式相結(jié)合能更好的保護網(wǎng)絡(luò)安全，更全面的監(jiān)測所保護的網(wǎng)絡(luò)系統(tǒng),IDS 應(yīng)用,NIDS應(yīng)用的局限性,網(wǎng)絡(luò)局限,1.交換機局限,-網(wǎng)絡(luò)監(jiān)聽需要共享環(huán)境，主機的網(wǎng)絡(luò)上多采用交換機，而很多,交換機不能提供鏡像口，或所提供的鏡像口不能滿足需要,2.監(jiān)聽端口流量局限,-交換機的端口是全雙工，例如百兆交換機的理論雙向流量是,200兆，而監(jiān)聽端口只有100兆，這樣在雙向流量大于100兆的情,況下會造成丟包，同時如果利用一個端口監(jiān)聽其它多個端口時，,在網(wǎng)絡(luò)流量大的情況下也可能造成丟包,IDS 應(yīng)用,網(wǎng)絡(luò)拓撲局限,1.特殊路由局限,-如果IP源路由選項允許，可以通過精心設(shè)計IP路由繞過NIDS,2.MTU值的局限,-因為受保護的主機各式各樣，其MTU值設(shè)置也不會完全相,同，如果其中一些MTU值設(shè)置的與NIDS的MTU值不同的話，可,以設(shè)置MTU值處于兩者之間，并且設(shè)置此包不會片，這樣就使,NIDS收到的包與受保護主機收到的包不同，從而繞過NIDS的檢,測,3.TTL值的局限,-如果數(shù)據(jù)包到達NIDS和主機的HOP數(shù)不同，可以通過精心設(shè),置TTL值使得該包只能被受保護的主機收到而不能被NIDS收到，從而繞,過NIDS的檢測,產(chǎn)品是否可擴展,系統(tǒng)支持的傳感器數(shù)目、最大數(shù)據(jù)庫大小、傳感器與控制臺之間通信帶寬和對審計日志溢出的處理,該產(chǎn)品是否進行過攻擊測試,了解產(chǎn)品提供商提供的產(chǎn)品是否進行過攻擊測試，明確測試步驟和內(nèi)容，主要關(guān)注本產(chǎn)品抵抗拒絕服務(wù)攻擊的能力,產(chǎn)品支持的入侵特征數(shù),不同廠商對檢測特征庫大小的計算方法都不一樣，盡量參考國際標準,特征庫升級與維護的周期、方式、費用,入侵檢測的特征庫需要不斷更新才能檢測出新出現(xiàn)的攻擊方法,最大可處理流量,一般有百兆、千兆、萬兆之分,是否通過了國家權(quán)威機構(gòu)的測評,主要的權(quán)威測評機構(gòu)有：國家信息安全測評認證中心、公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心,是否有成功案例,需要了解產(chǎn)品的成功應(yīng)用案例，有必要進行實地考察和測試使用,系統(tǒng)的價格,性能價格比，以要保護系統(tǒng)的價值為主要的因素,入侵檢測系統(tǒng)選擇標準,IDS 技術(shù)的發(fā)展方向,1.分布式入侵檢測,1)針對分布式攻擊的檢測方法,2)使用分布式的方法來檢測分布式的攻擊，關(guān)鍵技術(shù)為檢,測信息的協(xié)同處理與入侵攻擊的全局信息提取,2.智能化入侵檢測,使用智能化的手法也實現(xiàn)入侵檢測，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、模糊,算法、遺傳算法、免疫原理等技術(shù),3.全面的安全防御方案,采用安全工程風險管理的理論也來處理網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)安全做為一個整體工程來處理，從管理、網(wǎng)絡(luò)結(jié)構(gòu)、防火墻、防病毒、入侵檢測、漏洞掃描等多方面對網(wǎng)結(jié)進行安全分析,隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，還會有更多新技術(shù)應(yīng)用到入侵檢測系統(tǒng)中來!,