当前位置: 首页 全部资源/科技 正文

入侵检测与防御技术基础与相应技术应用

admin |
163

入侵检测与防御技术基础

背景:传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策略是不充分的,不能完全保证系统的安全。

入侵检测是对入侵行为的发觉,通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

一、网络威胁与现状入侵检测与防御技术基础与相应技术应用插图

威胁类型

现在大多数病毒等网络威胁不再单纯地攻击电脑系统,而是被黑客攻击和不法分子利用,成为他们获取利益的工具。因此,传统的电脑病毒等网络威胁,正在向由利益驱动的、全面的网络威胁发展变化

1.何为入侵、入侵的行为类型、系统漏洞定义

入侵:入侵是指未经授权而尝试访问信息系统资源、篡改信息系统中的数据,使信息系统不可靠或不能使用的行为;入侵企图破坏信息系统的完整性、机密性、可用性以及可控性。

典型的入侵行为:篡改Web网页;破解系统密码;复制/查看敏感数据;使用网络嗅探工具获取用户密码;访问未经允许的服务器;其他特殊硬件获得原始网络包;向主机植入特洛伊木马程序。

漏洞:漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。

漏洞会影响到很大范围的软硬件设备,包括操作系统本身及支撑软件,路由器、防火墙等。

在不同的软、硬件设备中,不同系统,或同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。

2.入侵检测系统

入侵检测(ID,Intrusion Detection)通过监视各种操作,分析、审计各种数据和现象来实时检测入侵行为的过程,它是一种积极的和动态的安全防御技术;口入侵检测的内容涵盖了授权的和非授权的各种入侵行为。

入侵检测系统(IDS,Intrusion Detection System)用于入侵检测的所有软硬件系统;口发现有违反安全策略的行为或系统存在被攻击的痕迹,立即启动有关安全机制进行应对。

特点;监测速度快、隐蔽性好、视野更宽、较少的监测器、攻击者不易转移证据、操作系统无关性

、不占用被保护的设备上的资源

入侵检测与防御技术基础与相应技术应用插图1

入侵检测系统

3.入侵检测系统网络安全体系中的位置入侵检测与防御技术基础与相应技术应用插图2

入侵检测系统在安全体系中的位置

4.入侵检测原理入侵检测与防御技术基础与相应技术应用插图3

入侵检测原理

5.入侵检测技术的实现

异常检测模型(Anomaly Detection)首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵

误用检测模型(Misuse Detection)收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测(Signature-based detection)

a:异常检测

通过对系统审计数据的分析建立起系统主体(单个用户、一组用户、主机,甚至是系统中的某个关键的程序和文件等)的正常行为特征轮廓;检测时,如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。

b:误用检测(特征检测)的特点:

容易实现:主要的匹配算法都是成熟算法,实现上技术难点比较少。口检测精确:对入侵特征的精确描述使入侵检测系统可以很容易将入侵辨别出来。同时,因为检测结果有明显的参照,可以帮助系统管理员采取相应的措施来防止入侵。

升级容易:不少基于特征检测的入侵检测系统都提供了自己的规则定义语言,当新的攻击或漏洞出现时,厂商或用户只要根据该攻击或漏洞的特征编写对应的规则,就可以升级系统。

入侵检测两种检测方式优缺点对比入侵检测与防御技术基础与相应技术应用插图4

异常检测与误用检测对比

6.入侵防御系统引入的原因

随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加传统IDS的技术,已经无法应对一些安全威胁。

在这种情况下,入侵防御技术应运而生,入侵防御技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。

7.入侵防御技术

入侵防御是一种安全机制,通过分析网络流量,检测入侵(包括缓冲区溢出攻击、木马、蠕虫等),并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害。

入侵防御是种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后,能自动丢弃入侵报文或者阻断攻击源,从而从根本上避免攻击行为。

入侵防御系统(IPS,Intrusion Prevention System)在发现入侵行为时能实时阻断的入侵检测系统。IPS使得IDS和防火墙走向统一。

IPS在网络中一般有两种部署方式如下图入侵检测与防御技术基础与相应技术应用插图5

IPS在网络中一般有两种部署方式

8.入侵防御(IPS)与入侵检测系统(IDS)的对比

a:入侵防御系统IPS:主要是实时阻断用户行为,侧重于风险控制入侵检测与防御技术基础与相应技术应用插图6

IPS

b:入侵检测系统IDS:主要是监控网络状况,侧重于风险管理入侵检测与防御技术基础与相应技术应用插图7

IDS


二、入侵防御检测技术应用

1.入侵防御设备的应用场景

a:防御设备NIP能够检测出多种类型的攻击入侵检测与防御技术基础与相应技术应用插图8

应用场景1

b:防御设备主要用于互联网边界、IDC/服务器前端、网络边界、旁路监控入侵检测与防御技术基础与相应技术应用插图9

应用场景2

2.入侵防御设备主要功能入侵检测与防御技术基础与相应技术应用插图10

入侵防御设备主要功能

3.入侵防御设备(华为NIP6000举例,下面都将以这款产品为例)

a:硬件结构入侵检测与防御技术基础与相应技术应用插图11

硬件结构

b:接口对技术

接口对:即一进一出两个接口。

将两个同类型接口组成接口对后,从一个接口进入的流量固定从另一个接口转发出去,不需要查询MAC地址表。

如果进、出接口配置为同一个接口,则从该接口进入的报文经过设备处理后仍然从该接口转发出去

c:接口对技术应用

IPS是通过直接嵌入到网络流量中实现入侵防御功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。

入侵检测与防御技术基础与相应技术应用插图12

4.入侵防御实现机制入侵检测与防御技术基础与相应技术应用插图13

实现机制

a:签名

入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。

如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。

入侵防御签名分为预定义和自定义签名。每个预定义签名都有缺省的动作,分为:

放行:指对命中签名的报文放行,不记录日志。口告警:指对命中签名的报文放行,但记录日志。

阻断:指丢弃命中签名的报文,阻断该报文所在的数据流并记录日志。

(1)签名原理

网页访问请求中存在不安全代码

入侵检测与防御技术基础与相应技术应用插图14

配置IPS签名,检测是否存在不安全代码

入侵检测与防御技术基础与相应技术应用插图15

(2)签名过滤器

由于设备升级签名库后会存在大量签名,而这些签名是没有进行分类的,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。

签名过滤器的动作分为:

阻断:丢弃命中签名的报文,并记录日志。

告警:对命中签名的报文放行,但记录日志。

采用签名的缺省动作,实际动作以签名的缺省动作为准。

签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。

(3)例外签名

由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。

例外签名的动作分为:

阻断:丢弃命中签名的报文并记录日志。

告警:对命中签名的报文放行,但记录日志。|口放行:对命中签名的报文放行,且不记录日志。

添加黑名单:是指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单。

5.入侵防御对数据流的处理

当数据流命中的安全策略中包含入侵防御配置文件时,设备将数据流送入到入侵防御模块,并依次匹配入侵防御配置文件引用的签名

入侵检测与防御技术基础与相应技术应用插图16

入侵防御对数据流的通用处理1

签名的实际动作由签名缺省动作、签名过滤器和例外签名配置的动作共同决定。

入侵检测与防御技术基础与相应技术应用插图17

入侵防御对数据流通用处理2

6.检测方向

当配置引用了入侵防御配置文件的安全策略时,安全策略的方向是会话发起的方向,而非攻击流量的方向。

入侵检测与防御技术基础与相应技术应用插图18

检测方向

7.NIP安全策略特点

安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测策略

入侵检测与防御技术基础与相应技术应用插图19

NIP安全特点

8.IPS入侵防御配置

a:配置入侵防御功能时,首先要升级入侵防御特征库或定义自定义签名,然后创建入侵防御配置文件,并将符合特定条件的签名引入到入侵防御配置文件中。最后将入侵防御配置文件应用到安全策略中。

入侵检测与防御技术基础与相应技术应用插图20

配置流程

b:升级特征库

入侵检测与防御技术基础与相应技术应用插图21

升级特征库流程

c:安全策略实现了基于应用的流量转发控制,而且还可以对流量的内容进行安全检测和处理。

入侵检测与防御技术基础与相应技术应用插图22

9.NIP安全策略配置入侵检测与防御技术基础与相应技术应用插图23

安全配置选项

预定义签名的内容不能被修改,但可通过查看内容来得知其所检测的入侵的特征,方便后续进行配置。

入侵检测与防御技术基础与相应技术应用插图24

配置签名-查看预定义签名内容

管理员可以批量修改预定义签名的状态。修改预定义签名的状态后,配置内容不会立即生效,需要单击的“提交”来激活。

入侵检测与防御技术基础与相应技术应用插图25

配置签名-查看预定义签名状态

10.配置入侵防御入侵检测与防御技术基础与相应技术应用插图26

配置流程思路

a:缺省入侵防御配置文件

设备缺省存在多个入侵防御配置文件以适用于不同的应用场景。

缺省的入侵防御配置文件可以查看,复制或直接被安全策略引用,但是不可以修改或删除

入侵检测与防御技术基础与相应技术应用插图27

入侵防御配置文件

b:新建入侵防御配置文件

入侵检测与防御技术基础与相应技术应用插图28

新建入侵防御配置

c:配置签名过滤器

用户可通过配置签名过滤器来过滤出满足特定需求的多个签名。一个签名必须同时满足所有过滤条件才能加入签名过滤器。

入侵检测与防御技术基础与相应技术应用插图29

配置签名过滤器1入侵检测与防御技术基础与相应技术应用插图30

配置签名过滤器2

d:例外签名,可针对某个特定签名单独配置动作入侵检测与防御技术基础与相应技术应用插图31

例外签名

e:后续处理

同一个策略下的签名过滤器是有优先级的,当一条签名同时属于该策略下的两个签名过滤器时,该策略的属性为前一个签名过滤器的签名过滤器的优先级可调整,调整后要记得执行“提交”按钮;可查看或解除安全策略与配置文件的引用关系。

入侵检测与防御技术基础与相应技术应用插图32

f:验证与检查

验证结果:入侵防御特性配置完成后,可执行如下操作检查

检查入侵防御配置文件

检查安全策略

查看日志:NIP对命中安全策略的流量进行威胁检测,如果检测到攻击行为,则按照入侵防御配置文件中设置的动作处理并生成日志。

11.查看业务日志

NIP部署在外部网络和受保护网络之间,当NIP检测出流量中含有病毒、威胁、僵尸、木马、蠕虫或攻击时,产生威胁日志。

入侵检测与防御技术基础与相应技术应用插图33

威胁日志

12、入侵防御的典型部署方式入侵检测与防御技术基础与相应技术应用插图34

典型部署方式

12、NIP配置需求案例

内网用户可以访问lnternet。该企业需要在NIP上配置入侵防翻功能,具体要求如下:

a:组网需求

企业经常收到蠕虫、木马和僵尸网络的攻击,必须对以上攻击进行防范。

避免内网用户访问Internet的Web服务器时受到攻击。例如,含有恶意代码的网站对内网用户发起攻击。

入侵检测与防御技术基础与相应技术应用插图35

组网需求

b:配置步骤入侵检测与防御技术基础与相应技术应用插图36

配置步骤

13.防火墙IPS特性

a:USG6000的入侵防御功能可以通过监控或者分析系统事件,检测应用层攻击和入侵,并通过一定的响应方式,实时地中止入侵行为。

防火墙IPS特性需要配置入侵防御配置文件,然后应用到安全策略上;而NIP上配置的是基于接口对的策略。

入侵检测与防御技术基础与相应技术应用插图37

配置流程

b:配置实例

配置入侵防御功能,保护企业内部用户和Web服务器避免受到来自Internet的攻击

入侵检测与防御技术基础与相应技术应用插图38

声明:原创文章请勿转载,如需转载请注明出处!