[精选]锐捷安全专项认证课程-IDS技术25087.pptx

《[精选]锐捷安全专项认证课程-IDS技术25087.pptx》由会员分享，可在线阅读，更多相关《[精选]锐捷安全专项认证课程-IDS技术25087.pptx（56页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、IDS技术技术学习目标 通过本章的学习，希望您能够：通过本章的学习，希望您能够：了解什么是了解什么是IDSIDS了解了解IDSIDS的工作原理的工作原理了解数据捕获方式了解数据捕获方式了解了解IDSIDS、IPSIPS、防火墙的区别、防火墙的区别部署与配置部署与配置RG-IDSRG-IDS本章内容 什么是什么是IDSIDS IDSIDS工作原理工作原理 数据捕获方式数据捕获方式 IDSIDS、IPSIPS、防火墙的区别、防火墙的区别课程议题什么是什么是什么是什么是IDSIDS什么是IDS？IDSIDS（Intrusion Detection SystemIntrusion Detection

2、System）的概念）的概念IDSIDS是硬件或软件是硬件或软件用于检测对网络的攻击用于检测对网络的攻击对攻击的积极响应对攻击的积极响应好人好人好人好人坏人坏人坏人坏人什么是IDS？（续）IDS的起源与发展 概念的诞生概念的诞生19801980年年美国空军做了题为计算机安全威胁监控与监视，第一次详细阐述了入侵检美国空军做了题为计算机安全威胁监控与监视，第一次详细阐述了入侵检测的概念测的概念 模型的发展模型的发展1984198619841986年年乔治敦大学的乔治敦大学的Dorothy DenningDorothy Denning和和SRISRI公司的计算机科学实验室公司的计算机科学实验室Pet

3、er NeumannPeter Neumann研究出了一个入侵检测模型，取名为研究出了一个入侵检测模型，取名为IDESIDES（入侵检测专家系统）。它独立于特（入侵检测专家系统）。它独立于特定的系统平台、应用环境、应用弱点以及入侵类型真正提出的入侵检测思想定的系统平台、应用环境、应用弱点以及入侵类型真正提出的入侵检测思想 百花齐放百花齐放19901990年年美国加州大学第一次将网络数据流作为审计来源分析入侵活动，为入侵检测技美国加州大学第一次将网络数据流作为审计来源分析入侵活动，为入侵检测技术翻开新的一页。从此入侵检测技术分为网络入侵检测技术和主机入侵检测技术翻开新的一页。从此入侵检测技术分为

4、网络入侵检测技术和主机入侵检测技术，并且两种方式不断壮大起来术，并且两种方式不断壮大起来 里程碑里程碑20002000年年分布式分布式IDSIDS出现出现HIDS（Host IDS）InternetInternet网络服务器网络服务器网络服务器网络服务器1 1客户端客户端网络服务器网络服务器网络服务器网络服务器2 2X 检测内容：系统调用、端口调用、系统日志、安全审记、应用日志HIDSHIDSXHIDSHIDSHIDS（续）在最终目的进行分析在最终目的进行分析 对网络的视野有限对网络的视野有限 性能问题性能问题 部署问题部署问题NIDS（Network IDS）InternetInternet

5、NIDSNIDS网络服务器网络服务器网络服务器网络服务器1 1数据包数据包=包头信息包头信息+有效数据部分有效数据部分客户端客户端网络服务器网络服务器网络服务器网络服务器2 2X检测内容检测内容：包头信息包头信息+有效数据部分有效数据部分NIDS（续）视野开阔视野开阔 易于部署易于部署 带宽、性能问题带宽、性能问题 加密问题加密问题课程议题IDSIDS的工作原理的工作原理的工作原理的工作原理IDS警报 什么是警报什么是警报IDSIDS检测到入侵活动时，都必须产生一些警报以发出信号检测到入侵活动时，都必须产生一些警报以发出信号 由于由于IDSIDS没有没有100%100%的正确率，所以的正确率，

6、所以IDSIDS警报分为两大类警报分为两大类错误警报错误警报误报漏报正确警报正确警报正确命中正确拒绝IDS检测方式 异常检测异常检测 模式匹配（签名匹配）模式匹配（签名匹配）协议分析协议分析异常检测 概念概念也称为模型检测，需要为用户习惯建立模型。模型为用户定义了行为也称为模型检测，需要为用户习惯建立模型。模型为用户定义了行为特征，以及为用户执行正常任务定义了一个基线特征，以及为用户执行正常任务定义了一个基线 优点优点检测以前未发布的攻击检测以前未发布的攻击 缺点缺点用户习惯改变时，必须更新用户模型用户习惯改变时，必须更新用户模型很难把特定的攻击与警报相关联很难把特定的攻击与警报相关联模式匹配

7、 概念概念也称为滥用检测，探测与具体特征相匹配的入侵行为，将收集到的信也称为滥用检测，探测与具体特征相匹配的入侵行为，将收集到的信息与特征库匹配息与特征库匹配 优点优点基于已知的入侵行为基于已知的入侵行为安装后立刻就能进行检测安装后立刻就能进行检测 缺点缺点需要更新签名库（特征库）需要更新签名库（特征库）有些攻击能绕过有些攻击能绕过IDSIDS无法检测未知攻击无法检测未知攻击模式匹配（续）张张三三命中命中命中命中协议分析协议分析（续）ETHERARPIPRARPICMPIGMPTCPUDPPOP3FTPHTTP。DNS第一步第一步直接跳到第13个字节，并读取2个字节的协议标识。如果值是0800

8、，则说明这个以太网帧的数据域携带的是IP包，基于协议解码的入侵检测利用这一信息指示第二步的检测工作。第二步第二步跳到第24个字节处读取1字节的第四层协议标识。如果读取到的值是06，则说明这个IP帧的数据域携带的是TCP包，入侵检测利用这一信息指示第三步的检测工作。第三步第三步跳到第35个字节处读取一对端口号。如果有一个端口号是0080，则说明这个TCP帧的数据域携带的是HTTP包，基于协议解码的入侵检测利用这一信息指示第四步的检测工作。第四步第四步让解析器从第55个字节开始读取URL。URL串将被提交给HTTP解析器，在它被允许提交给Web服务器前，由HTTP解析器来分析它是否可能会做攻击行为

9、。协议分析（续）08000800 13 13字节字节 0606 24 24字节字节 08000800 35 35字节字节 5555字节字节 张三张三匹配匹配基于状态的检测PC-A1.1.1.1源地址源地址目标地址目标地址源端口源端口目标端口目标端口初始序列号初始序列号ACK标记标记 1.1.1.12.2.2.2103380350771syn1.1.1.12.2.2.2103380350772133076syn-ack1.1.1.12.2.2.2103380350773133077ack状态表状态表源地址源地址目标地址目标地址源端口源端口目标端口目标端口序列号序列号IDS响应技术 报警报警 记录

10、日志记录日志 TCP resetTCP reset 联动联动 SNMP TrapSNMP Trap 邮件通知邮件通知IDS逃避技术 泛洪泛洪使使IDSIDS产生大量警报，隐藏真正攻击产生大量警报，隐藏真正攻击消耗消耗IDSIDS系统资源系统资源 分片分片消耗消耗IDSIDS系统资源系统资源 加密加密 迷惑迷惑使用不同的字符表达方式使用不同的字符表达方式课程议题数据捕获方式数据捕获方式数据捕获方式数据捕获方式HUB 物理层设备物理层设备 将流量向所有端口复制将流量向所有端口复制 安全问题安全问题流量镜像 SPANSPAN（Switch Port Switch Port AnalyzerAnaly

11、zer）交换机的端口监控功能交换机的端口监控功能将一个或多个来自某端口将一个或多个来自某端口或或VLANVLAN的数据镜像到另的数据镜像到另一个目的端口一个目的端口目的端口常用来连接网络目的端口常用来连接网络分析仪分析仪安全性高安全性高配置SPAN配置端口镜像的源端口配置端口镜像的源端口monitor session session-number source interface interface both|rx|txSwitch(config)#monitor session session-number destination interface interfaceSwitch(conf

12、ig)#配置端口镜像的目的端口配置端口镜像的目的端口以太网接口的工作模式 正常模式正常模式只接收目的只接收目的MACMAC与自己与自己MACMAC匹配的报文匹配的报文接收广播报文接收广播报文 混杂模式混杂模式接收所有报文（目的接收所有报文（目的MACMAC非自身非自身MACMAC的报文）的报文）IDSIDS接口为混杂模式接口为混杂模式课程议题IDSIDS、IPSIPS与防火墙的区别与防火墙的区别与防火墙的区别与防火墙的区别IDS、IPS、防火墙对比 防火墙可以检测防火墙可以检测20%20%的攻击的攻击 IDSIDS可以检测可以检测80%80%的攻击的攻击 IPSIPS可以检测可以检测50%50

13、%的攻击的攻击IDS、IPS、防火墙对比（续）特征特征特征特征IDSIDSIPSIPSFirewallFirewall部署方式部署方式旁路旁路在线在线在线在线优势优势性能性能结合结合IDS/FWIDS/FW严格的安全规则严格的安全规则检测层次检测层次L3L3以上以上L3L3以上以上L3/L4L3/L4成熟度成熟度很成熟很成熟不成熟不成熟非常成熟非常成熟课程议题部署与配置部署与配置部署与配置部署与配置RG-IDSRG-IDS安装组件步骤 安装安装RG IDS SensorRG IDS Sensor 安装安装DataBaseDataBase 安装安装RG IDS LogServerRG IDS L

14、ogServer 安装安装RG IDS Event-CollectorRG IDS Event-Collector 安装安装RG IDS ConsoleRG IDS Console 安装安装RG IDS ReportRG IDS Report 安装顺序配置Sensor SENSORSENSORSENSORSENSOR显示的当前状态显示的当前状态显示的当前状态显示的当前状态 输入管理员密码，进入管理窗口输入管理员密码，进入管理窗口输入管理员密码，进入管理窗口输入管理员密码，进入管理窗口 配置配置配置配置SENSORSENSORSENSORSENSOR的网络连接状态的网络连接状态的网络连接状态的网

15、络连接状态配置DataBase 安装微软安装微软MSDEMSDE组件组件 初始配置初始配置 计算机重启计算机重启安装安装LogServerLogServer配置LogServer 安装完成，出现安装完成，出现“数据服务初始化配置数据服务初始化配置”窗口窗口也可以通过点击也可以通过点击“开始开始程序程序入侵检测系统入侵检测系统入侵检测系统（网络）入侵检测系统（网络）RG IDS RG IDS 数据服务安装数据服务安装”进入此窗口进入此窗口配置 Event-Collector 安装安装LicenseLicense 安装许可证安装许可证配置 Event-Collector 在应用服务管理器中启用事件

16、收集服务在应用服务管理器中启用事件收集服务 主要功能：主要功能：后台服务的启动管理后台服务的启动管理收集组件的状态调试信息收集组件的状态调试信息配置用户 控制台登录界面控制台登录界面 对用户做管理及审计信息对用户做管理及审计信息添加组件 组件管理组件管理添加组件添加组件添加传感器 组件配置窗口组件配置窗口添加传感器 同步签名、应用策略、重启引擎同步签名、应用策略、重启引擎应用策略后会出现断开标志；大约2分钟时间，后出现编译签名标志；整个同步签名需要大约需要20分钟时间。添加LogServer 添加添加LogServerLogServer策略编辑 策略编辑器窗口策略编辑器窗口添加特殊事件 添加特

17、殊事件添加特殊事件进入进入“策略策略”“”“告警策略告警策略”窗口窗口展开展开“一般事件树一般事件树”右键点击某个攻击签名，在出现的菜单中选择右键点击某个攻击签名，在出现的菜单中选择“添加到特殊事件窗口添加到特殊事件窗口”在弹出的窗口中，输入新建事件组的名称在弹出的窗口中，输入新建事件组的名称点击点击“确定确定”按钮，该攻击签名将出现在特殊事件窗口中按钮，该攻击签名将出现在特殊事件窗口中事件统计图 一般事件统计图表窗口一般事件统计图表窗口事件风险 一般事件风险列表窗口一般事件风险列表窗口系统日志 系统日志窗口系统日志窗口配置Report 报表的登录界面报表的登录界面配置Report 安全事件报表、系统事件报表、审计事件报表安全事件报表、系统事件报表、审计事件报表配置Report 报表的数据服务器信息设置界面报表的数据服务器信息设置界面配置Report 数据服务器信息数据服务器信息课程回顾 什么是什么是IDSIDS IDSIDS工作原理工作原理 数据捕获方式数据捕获方式 IDSIDS、IPSIPS、防火墙的区别、防火墙的区别 部署与配置部署与配置RG-IDSRG-IDS演讲完毕，谢谢观看！