【文章內(nèi)容簡(jiǎn)介】 數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是 X光攝象機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝象機(jī)，還包括保安員的攝象機(jī)，能夠?qū)θ肭中袨樽詣?dòng)地進(jìn)行反擊：阻斷連接、關(guān)閉道路（與防火墻聯(lián)動(dòng)）。 入侵檢測(cè)系統(tǒng)圖示說(shuō)明 42 Professional Security Solution Provider 入侵檢測(cè)系統(tǒng)的主要類型 ? 主機(jī)入侵檢測(cè)系統(tǒng) Host Intrusion Detection ? 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) Network Intrusion Detection 43 Professional Security Solution Provider 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的概念 ? NIDS（ Network Intrusion Detection System） 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，它通過(guò)抓取網(wǎng)絡(luò)上的所有報(bào)文，分析處理后，報(bào)告異常和重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡(luò)安全管理員清楚地了解網(wǎng)絡(luò)上發(fā)生的事件，并能夠采取行動(dòng)阻止可能的破壞。 ? 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一。 44 Professional Security Solution Provider 入侵檢測(cè)系統(tǒng)的作用 ? 實(shí)時(shí)檢測(cè) – 實(shí)時(shí)地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報(bào)文 – 發(fā)現(xiàn)并實(shí)時(shí)處理所捕獲的數(shù)據(jù)報(bào)文 ? 安全審計(jì) – 對(duì)系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計(jì)分析 – 發(fā)現(xiàn)異?，F(xiàn)象 – 得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù) ? 主動(dòng)響應(yīng) – 主動(dòng)切斷連接或與防火墻聯(lián)動(dòng)，調(diào)用其他程序處理 45 Professional Security Solution Provider 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的工作原理 捕獲數(shù)據(jù)包 分析數(shù)據(jù)包 檢測(cè)、匹配數(shù)據(jù)包 響應(yīng) 46 Professional Security Solution Provider 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)與防火墻 所在的位臵不同 防范的方向不同 檢測(cè)的細(xì)粒度不同 47 Professional Security Solution Provider 所在的位臵不同 防火墻是安裝在網(wǎng)關(guān)上，將可信任區(qū)域和非可信任區(qū)域分開，對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行檢測(cè)，實(shí)現(xiàn)訪問(wèn)控制。一個(gè)網(wǎng)段只需要部署一個(gè)防火墻。 而 NIDS是可以裝在局域網(wǎng)內(nèi)的任何機(jī)器上，一個(gè)網(wǎng)段內(nèi)可以裝上數(shù)臺(tái) NIDS引擎，由一個(gè)總控中心來(lái)控制。 48 Professional Security Solution Provider 防范的方向不同 ? 防火墻主要是實(shí)現(xiàn)對(duì)外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)通訊的訪問(wèn)控制，防止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的可能存在的攻擊。 ? 網(wǎng)絡(luò) 入侵檢測(cè)系統(tǒng)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)， 防止內(nèi)外部的惡意攻擊和網(wǎng)絡(luò)資源濫用。 49 Professional Security Solution Provider 檢測(cè)的細(xì)粒度不同 防火墻為了實(shí)現(xiàn)快速的網(wǎng)絡(luò)包轉(zhuǎn)換，故只能對(duì)網(wǎng)絡(luò)包的 IP和端口進(jìn)行一些防黑檢測(cè)，比如端口掃描。 可是對(duì)通過(guò) IIS漏洞及 Nimda病毒之類的網(wǎng)絡(luò)入侵，防火墻是毫無(wú)辦法。 而網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)則可以擁有更多特征的入侵?jǐn)?shù)據(jù)特征庫(kù)，可以對(duì)整個(gè)網(wǎng)絡(luò)包進(jìn)行檢查過(guò)濾。 50 Professional Security Solution Provider 入侵檢測(cè)系統(tǒng)與防火墻圖示說(shuō)明 Firewall Servers DMZ IDS Agent Intra 監(jiān)控中心 router 攻擊者 發(fā)現(xiàn)攻擊 發(fā)現(xiàn)攻擊 發(fā)現(xiàn)攻擊 報(bào)警 報(bào)警 IDS Agent 51 Professional Security Solution Provider 防火墻與 NIDS聯(lián)動(dòng) 時(shí)間 Dt檢測(cè)時(shí)間 Pt防護(hù)時(shí)間 Rt響應(yīng)時(shí)間 Pt防護(hù)時(shí)間 + 52 Professional Security Solution Provider 多樣的入侵響應(yīng)方式 報(bào)警信息 自定義命令 喇叭 打印機(jī) 郵件 防火墻阻斷 XML文件 TCP截?cái)? 53 Professional Security Solution Provider 典型部署－企業(yè)內(nèi)部安裝 Intra IDS Agent IDS Agent Firewall Servers DMZ IDS Agent 監(jiān)控中心 router 54 Professional Security Solution Provider 典型部署－廣域網(wǎng)應(yīng)用 監(jiān)控中心（輔） IDS Agent IDS Agent IDS Agent IDS Agent IDS Agent IDS Agent 監(jiān)控中心（主） 55 Professional Security Solution Provider 電力行業(yè)入侵檢測(cè) IDS的部署 ? IDS系統(tǒng)的主要功能包括：實(shí)時(shí)檢測(cè)入侵行為，事后安全審計(jì) ? 對(duì)于安全區(qū) I與 II，建議統(tǒng)一部署一套 IDS管理系統(tǒng)。考慮到調(diào)度業(yè)務(wù)的可靠性，采用基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（ NIDS），其 IDS探頭主要部署在： ? 安全區(qū) I與 II的邊界點(diǎn)、 SPD的接入點(diǎn)、以及安全區(qū) I與 II內(nèi)的關(guān)鍵應(yīng)用網(wǎng)段。其主要的功能用于捕獲網(wǎng)絡(luò)異常行為，分析潛在風(fēng)險(xiǎn)，以及安全審計(jì)。 ? 對(duì)于安全區(qū) III，禁止使用安全區(qū) I與 II的 IDS，建議與安全區(qū) IV的 IDS系統(tǒng)統(tǒng)一規(guī)劃部署。 56 Professional Security Solution Provider 如何更有效防御攻擊？ 入侵保護(hù)系統(tǒng) IPS 入侵檢測(cè)系統(tǒng)IDS IDS IPS 傳統(tǒng)的安全技術(shù) ? 網(wǎng)絡(luò)訪問(wèn)控制 ? 不能有效檢測(cè)并阻斷夾雜在正常流量中的惡意攻擊代碼 ? 無(wú)法發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的攻擊行為 防火墻的局限 入侵檢測(cè)系統(tǒng)的不足 ? 檢測(cè)惡意流量，發(fā)現(xiàn)攻擊行為 ? 旁路部署，無(wú)法有效阻斷攻擊 ? 亡羊補(bǔ)牢，側(cè)重安全狀態(tài)監(jiān)控 57 Professional Security Solution Provider 網(wǎng)絡(luò)入侵保護(hù)系統(tǒng) IPS解決什么問(wèn)題？ 攻擊防護(hù) ? 防御黑客攻擊 ? 防御蠕蟲、網(wǎng)絡(luò)病毒 ? 防御拒絕服務(wù)攻擊 ? 防御間諜軟件 管理控制 ? 控制 IM即時(shí)通訊 ? 控制 P2P下載 ? 控制網(wǎng)絡(luò)在線游戲 ? 控制在線視頻 58 Professional Security Solution Provider IPS與 IDS的不同：實(shí)時(shí)的保護(hù) ! ! ! ! ! ! 59 Professional Security Solution Provider IDS/IPS混合防護(hù)方案 目標(biāo)客戶 ? 分層防護(hù)，監(jiān)控與防護(hù)相結(jié)合，更完善 ? 在線 NIPS模式、旁路 NIDS模式相配合 ? IDS旁路部署，無(wú)法阻斷攻擊，亡羊補(bǔ)牢，側(cè)重安全狀態(tài)監(jiān)控，注重安全審計(jì) ? IPS在線部署，精確檢測(cè)出惡意攻擊流量；主動(dòng)防御、實(shí)時(shí)有效的阻斷攻擊；側(cè)重訪問(wèn)控制，注重主動(dòng)防御 設(shè)計(jì)要點(diǎn) 60 Professional Security Solution Provider 入侵檢測(cè) /保護(hù)產(chǎn)品的選型因素 ?攻擊分析技術(shù)的要求 –新一代檢測(cè) /防護(hù)技術(shù)的應(yīng)用（協(xié)議識(shí)別、協(xié)議異常檢測(cè)、攻擊結(jié)果判定、拒絕服務(wù)檢測(cè)等） ?攻擊檢測(cè) /防護(hù)覆蓋面要求 –支持協(xié)議、攻擊種類、新增規(guī)則、新增攻擊檢測(cè)類型 –檢測(cè)類型和數(shù)目 ?分析檢測(cè)及時(shí)性要求 –規(guī)則至少應(yīng)該保持每周一次的常規(guī)升級(jí)和隨時(shí)的針對(duì)嚴(yán)重攻擊的緊急升級(jí) ?大數(shù)據(jù)量網(wǎng)絡(luò)的要求 –基于硬件優(yōu)化的線速入侵檢測(cè)和防護(hù) ?可靠性、可用性及易用性 ?作用 –識(shí)別、檢測(cè) /阻斷攻擊 –禰補(bǔ)防火墻的不足，對(duì)于上層應(yīng)用協(xié)議的深層檢測(cè)及解碼分析 61 Professional Security Solution Provider 針對(duì)難以防范的拒絕服務(wù)攻擊 ? 1999年 Yahoo、 ebay 被拒絕服務(wù)攻擊， DDoS出現(xiàn) ? 2022年 CERT 被拒絕服務(wù)攻擊 ? 2022年 CNNIC 被拒絕服務(wù)攻擊 ? 2022年 全球 13臺(tái)根 DNS 中有 8臺(tái)被大規(guī)模拒絕服務(wù) ? 2022年，兩省高考網(wǎng)上查分系統(tǒng)遭受拒絕服務(wù)攻擊，無(wú)法完成網(wǎng)上招生工作 … 62 Professional Security Solution Provider DDoS攻擊的特點(diǎn) ? 危害巨大 – 兩臺(tái)位于寬帶網(wǎng)上的普通服務(wù)器就可以使目標(biāo)癱瘓 ? 極易實(shí)施 – 簡(jiǎn)單的設(shè)備，廣為傳播的免費(fèi)工具軟件 ? 難于防范 – 甚至防火墻都經(jīng)常成為被攻擊目標(biāo) ? 難于追查 – 需要電信級(jí)部門的緊密配合才有可能進(jìn)行追查 ? 智能化 – IP欺騙技術(shù) 63 Professional Security Solution Provider 抗拒絕服務(wù)系統(tǒng)實(shí)現(xiàn)的效果 SYN Flood UDP Flood ACK Flood DNS Flood HTTP Get 連接耗盡 其他 DDoS 抗拒絕服務(wù)系統(tǒng) 使拒絕服務(wù)攻擊流不再對(duì)服務(wù)器造成威脅 –保證訪問(wèn)速度 –保證訪問(wèn)成功率 64 Professional Security Solution Provider 不全面的防御導(dǎo)致被攻擊 SYN Flood DNS Flood 連接耗盡 HTTP Get SYN Flood DNS Flood 連接耗盡 HTTP Get 全面與否，決定成敗 65 Professional Security Solution Provider 我沒(méi)發(fā)過(guò)請(qǐng)求 DDoS攻擊介紹 —— SYN Flood ? SYN_RECV狀態(tài) ? 半開連接隊(duì)列 – 遍歷，消耗 CPU和內(nèi)存 – SYN|ACK 重試 – SYN Timeout： 30秒 ~2分鐘 ? 無(wú)暇理睬正常的連接請(qǐng)求 —拒絕服務(wù) SYN （我可以連接嗎？） 攻擊者 受害者 偽造地址進(jìn)行 SYN 請(qǐng)求 為何還沒(méi)回應(yīng) 就是讓你白等 不能建立正常的連接！ SYN Flood 攻擊原理 攻擊現(xiàn)象 66 Professional Security Solution Provider 方便的串聯(lián)部署 應(yīng)用場(chǎng)景 部署特色 ? 采用 CollapsarD型的設(shè)備 ? 零安裝，零配臵，即插即用 ? 網(wǎng)絡(luò)隱身，無(wú) IP地址配臵 ? 少量服務(wù)器 ? 小型網(wǎng)絡(luò) ? 防火墻 Server Group WAN Router Switch 67 Professional Security Solution Provider 旁路部署拓?fù)鋱D Router WAN Router Server Group Server Group Server Group ? 可支持對(duì)更大流量的拒絕服務(wù)攻擊防御 ? 完全解決單點(diǎn)故障 ? 對(duì)原有網(wǎng)絡(luò)結(jié)構(gòu)影響小 68 Professional Security Solution Provider 抗 拒絕服務(wù) 產(chǎn)品的選型因素 ? 提供內(nèi)部業(yè)務(wù)系統(tǒng)或網(wǎng)站的Inter出口，免遭到 DDoS攻擊。 ? 該防護(hù)措施使得網(wǎng)站不用購(gòu)買額外的帶寬或是設(shè)備，節(jié)省了大量重復(fù)投資，為客戶帶來(lái)了更好的投資回報(bào)率。 ? DDoS防護(hù)不僅僅可以避免業(yè)務(wù)損失，還能夠作為一種增值服務(wù)提供給最終用戶，帶來(lái)了新的利潤(rùn)增長(zhǎng)點(diǎn)，也增強(qiáng)了其行業(yè)競(jìng)爭(zhēng)能力。 作用 ? 抵御拒絕服務(wù)攻擊種類 – SYN Flood、 UDP Flood / UDP DNS Query Flood、 (M)Stream Flood、 ICMP Flood、 HTTP Get Flood、連接耗盡 ? 攻擊防護(hù)的及時(shí)性要求 – 本地技術(shù)支持的能力 – 隨時(shí)的針對(duì)嚴(yán)重攻擊的緊急升級(jí) ? 大數(shù)據(jù)量網(wǎng)絡(luò)的