【文章內(nèi)容簡(jiǎn)介】 只有告警命令被發(fā)送給控制臺(tái) 目標(biāo)系統(tǒng) 審計(jì)記錄收集方法 審計(jì)記錄預(yù)處理 異常檢測(cè) 誤用檢測(cè) 安全管理員接口 審計(jì)記錄數(shù)據(jù) 歸檔 /查詢 審計(jì)記錄數(shù)據(jù)庫 審計(jì)記錄 基于審計(jì)的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)示意圖 集中式檢測(cè)的優(yōu)缺點(diǎn) ? 優(yōu)點(diǎn)： ? 不會(huì)降低目標(biāo)機(jī)的性能 ? 統(tǒng)計(jì)行為信息 ? 多主機(jī)標(biāo)志、用于支持起訴的原始數(shù)據(jù) ? 缺點(diǎn)： ? 不能進(jìn)行實(shí)時(shí)檢測(cè) ? 不能實(shí)時(shí)響應(yīng) ? 影響網(wǎng)絡(luò)通信量 分布式檢測(cè)的優(yōu)缺點(diǎn) ? 優(yōu)點(diǎn)： ? 實(shí)時(shí)告警 ? 實(shí)時(shí)響應(yīng) ? 缺點(diǎn)： ? 降低目標(biāo)機(jī)的性能 ? 沒有統(tǒng)計(jì)行為信息 ? 沒有多主機(jī)標(biāo)志 ? 沒有用于支持起訴的原始數(shù)據(jù) ? 降低了數(shù)據(jù)的辨析能力 ? 系統(tǒng)離線時(shí)不能分析數(shù)據(jù) 操作模式 ?操作主機(jī)入侵檢測(cè)系統(tǒng)的方式 ? 警告 ? 監(jiān)視 ? 毀壞情況評(píng)估 ? 遵從性 基于主機(jī)的技術(shù)面臨的問題 ?性能：降低是不可避免的 ?部署 /維護(hù) ?損害 ?欺騙 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) ?入侵檢測(cè)系統(tǒng)分析網(wǎng)絡(luò)數(shù)據(jù)包 ?基于網(wǎng)絡(luò)的檢測(cè)威脅 ?基于網(wǎng)絡(luò)的結(jié)構(gòu) ?優(yōu)點(diǎn)及問題 基于網(wǎng)絡(luò)的檢測(cè)威脅 ?非授權(quán)訪問 ?數(shù)據(jù) /資源的竊取 ?拒絕服務(wù) 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)結(jié)構(gòu) ? 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器（ Sensor)組成，傳感器會(huì)向中央控制臺(tái)報(bào)告。傳感器通常是獨(dú)立的檢測(cè)引擎，能獲得網(wǎng)絡(luò)分組、找尋誤用模式，然后告警。 ? 傳統(tǒng)的基于傳感器的結(jié)構(gòu) ? 分布式網(wǎng)絡(luò)節(jié)點(diǎn)結(jié)構(gòu) 傳統(tǒng)的基于傳感器的結(jié)構(gòu) ?傳感器（通常設(shè)置為混雜模式）用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)分組，并將分組送往檢測(cè)引擎 ?檢測(cè)引擎安裝在傳感器計(jì)算機(jī)本身 ?網(wǎng)絡(luò)分接器分布在關(guān)鍵任務(wù)網(wǎng)段上，每個(gè)網(wǎng)段一個(gè) 管理 /配置 入侵分析引擎器 網(wǎng)絡(luò)安全數(shù)據(jù)庫 嗅探器 嗅探器 分析結(jié)果 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)模型 分布式網(wǎng)絡(luò)節(jié)點(diǎn)結(jié)構(gòu) ? 為解決高速網(wǎng)絡(luò)上的丟包問題， 1999年 6月，出現(xiàn)的一種新的結(jié)構(gòu)，將傳感器分布到網(wǎng)絡(luò)上的每臺(tái)計(jì)算機(jī)上 ? 每個(gè)傳感器檢查流經(jīng)他的網(wǎng)絡(luò)分組，然后傳感器相互通信，主控制臺(tái)將所有的告警聚集、關(guān)聯(lián)起來 數(shù)據(jù)采集構(gòu)件 應(yīng)急處理構(gòu)件 通信傳輸構(gòu)件 檢測(cè)分析構(gòu)件 管理構(gòu)件 安全知識(shí)庫 分布式入侵檢測(cè)系統(tǒng)結(jié)構(gòu)示意圖 基于網(wǎng)絡(luò)的入侵檢測(cè)的好處 ?威懾外部人員 ?檢測(cè) ?自動(dòng)響應(yīng)及報(bào)告 基于網(wǎng)絡(luò)的技術(shù)面臨的問題 ?分組重組 ?高速網(wǎng)絡(luò) ?加密 基于異常的入侵檢測(cè) ? 思想：任何正常人的行為有一定的規(guī)律 ? 需要考慮的問題： （ 1）選擇哪些數(shù)據(jù)來表現(xiàn)用戶的行為 （ 2）通過以上數(shù)據(jù)如何有效地表示用戶的行為，主要在于學(xué)習(xí)和檢測(cè)方法的不同 （ 3）考慮學(xué)習(xí)過程的時(shí)間長(zhǎng)短、用戶行為的時(shí)效性等問題 數(shù)據(jù)選取的原則 （ 1） 數(shù)據(jù)能充分反映用戶行為特征的全貌 （ 2） 應(yīng)使需要的數(shù)據(jù)量最小 （ 3） 數(shù)據(jù)提取難度不應(yīng)太大 NIDS抓包 ?PF_PACKET ? 從鏈路層抓包 ?libpcap ? 提供 API函數(shù) ?winpcap ? Windows下的抓包庫 分析數(shù)據(jù)包 Ether IP TCP 模式匹配 Ether IP TCP 協(xié)議分析 HTTP Unicode XML 一個(gè)攻擊檢測(cè)實(shí)例 ? 老版本的 Sendmail漏洞利用 $ tel 25 WIZ shell 或者 DEBUG 直接獲得 rootshell！ 簡(jiǎn)單的匹配 ? 檢查每個(gè) packet是否包含： “ WIZ” | “DEBUG” 檢查端口號(hào) ? 縮小匹配范圍 Port 25:{ “WIZ” | “DEBUG” } 深入決策樹 ? 只判斷客戶端發(fā)送部分 Port 25:{ Clientsends: “WIZ” | Clientsends: “DEBUG” } 1. 概述 2. 入侵檢測(cè)的分類 3. 入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理 4. 入侵檢測(cè)響應(yīng)機(jī)制 5. 入侵檢測(cè)標(biāo)準(zhǔn)化工作 6. 入侵檢測(cè)的現(xiàn)狀和展望 響應(yīng)策略 ? 彈出窗口報(bào)警 ? Email通知 ? 切斷 TCP連接 ? 執(zhí)行自定義程序 ? 與其他安全產(chǎn)品交互 ? Firewall ? SNMP Trap 1. 概述 2. 入侵檢測(cè)的分類 3. 入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理 4. 入侵檢測(cè)響應(yīng)機(jī)制 5. 入侵檢測(cè)標(biāo)準(zhǔn)化工作 6. 入侵檢測(cè)的現(xiàn)狀和展望 IDS標(biāo)準(zhǔn)化工作的組織 ? IETF的入侵檢測(cè)工作組 IDWG： ? 通用入侵檢測(cè)框架 CIDF： 入侵檢測(cè)工作組 IDWG ? IDWG的主要工作是定義相關(guān)的數(shù)據(jù)格式和共享信息的交換過程，用于入侵檢測(cè)與響應(yīng)（ Intrusion Detection and Response，IDR）系統(tǒng)之間或與需要交互的管理系統(tǒng)之間的信息共享。 入侵檢測(cè)工作組 IDWG ? 從進(jìn)展?fàn)顩r來看，目前 IDWG基本形成了 4個(gè) RFC文檔，其中有 3個(gè)文檔實(shí)在 2022年 3月從草案正式被接受為 RFC文檔的，歷時(shí)數(shù)年之久，相當(dāng)不容易； 通用入侵檢測(cè)框架 CIDF ? CIDF所做的工作主要包括四部分： 1. IDS的體系結(jié)構(gòu) 2. 通信機(jī)制 3. 描述語言 4. 應(yīng)用編程接口 API CIDF將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件 ? 事件產(chǎn)生器（ Event generators） ? 事件分析器（ Event analyzers） ? 響應(yīng)單元（ Response units ） ? 事件數(shù)據(jù)庫（ Event databases ） 。 CIDF的體系結(jié)構(gòu) 事件產(chǎn)生器 響應(yīng)單元 事件數(shù)據(jù)庫 事件分析器 CIDF的體系結(jié)構(gòu) 原始事件 響應(yīng)事件 通用入侵檢測(cè)框架 CIDF ? 目前 CIDF的進(jìn)展不盡如人意，該項(xiàng)目組的工作基本處于停滯狀態(tài)，其思想和理念也沒有得到很好的貫徹和執(zhí)行。 1. 概述 2. 入侵檢測(cè)的分類 3. 入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理 4. 入侵檢測(cè)響應(yīng)機(jī)制 5. 入侵檢測(cè)標(biāo)準(zhǔn)化工作 6. 入侵檢測(cè)的現(xiàn)狀和展望 IDS現(xiàn)狀 存在問題： ? 誤報(bào)和漏報(bào)的矛盾 ? 隱私和安全的矛盾 ? 被動(dòng)分析與主動(dòng)發(fā)現(xiàn)的矛盾 ? 海量信息與分析代價(jià)的矛盾 ? 功能性和可管理性的矛盾 ? 單一的產(chǎn)品與復(fù)雜的網(wǎng)絡(luò)應(yīng)用的矛盾 ? 網(wǎng)絡(luò)規(guī)模擴(kuò)大，網(wǎng)絡(luò)速度提高，需滿足高速大規(guī)模網(wǎng)絡(luò)應(yīng)用需求 IDS發(fā)展方向 ?分析技術(shù)的改進(jìn) ?智能化的檢測(cè)方法 ?改進(jìn)對(duì)高速網(wǎng)絡(luò)數(shù)據(jù)流的檢測(cè) ?與防火墻聯(lián)動(dòng) ?集成網(wǎng)絡(luò)分析和管理功能 ?入侵檢測(cè)產(chǎn)品集成網(wǎng)管功能、掃描器(Scanner)、嗅探器 (Sniffer)等功能是以后發(fā)展的方向 IDS與 Firewall聯(lián)動(dòng) 通過在防火墻中駐留的一個(gè) IDS Agent對(duì)象，以接收來自IDS的控制消息，然后再增加防火墻的過濾規(guī)則，最終實(shí)現(xiàn)聯(lián)動(dòng) Cisco CIDF(CISL) ISS Checkpoint 產(chǎn)品 ? 免費(fèi) ? Snort ? ? SHADOW ? 產(chǎn)品 ? 商業(yè) ? CyberCop Monitor, NAI ? Dragon Sensor, Enterasys ? eTrust ID, CA ? NetProwler, Symantec ? NetRanger, Cisco ? NID100/200, NFR Security ? RealSecure, ISS ? SecureNet Pro, 資源 ? IDS FAQ ? ? FocusIDS Mailinglist ? ? Yawl ? ? OldHand ? ? Sin