入侵檢測(cè)技術(shù)

1.教學(xué)：入侵檢測(cè)技術(shù)1.1入侵檢測(cè)簡(jiǎn)介1.概念入侵檢測(cè)（IntrusionDetection）是對(duì)入侵行為的檢測(cè)。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。2.功能及優(yōu)點(diǎn)監(jiān)督并分析用戶和系統(tǒng)的活動(dòng)；檢查系統(tǒng)配置和漏洞；檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性；識(shí)別代表已知攻擊的活動(dòng)模式；對(duì)反常行為模式的統(tǒng)計(jì)分析；入侵檢測(cè)系統(tǒng)和漏洞評(píng)估工具的優(yōu)點(diǎn)在于：提高了信息安全體系其它部分的完整性；提高了系統(tǒng)的監(jiān)察能力；跟蹤用戶從進(jìn)入到退出的所有活動(dòng)或影響；識(shí)別并報(bào)告數(shù)據(jù)文件的改動(dòng)；發(fā)現(xiàn)系統(tǒng)配置的錯(cuò)誤，必要時(shí)予以更正；識(shí)別特定類型的攻擊，并向相應(yīng)人員報(bào)警，以做出防御反應(yīng)；可使系統(tǒng)管理人員最新的版本升級(jí)添加到程序中；允許非專家人員從事系統(tǒng)安全工作；為信息安全策略的創(chuàng)建提供指導(dǎo)；1.2IDS簡(jiǎn)介1.概念I(lǐng)DS是英文“IntrusionDetectionSystems”的縮寫，中文意思是“入侵檢測(cè)系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，通過軟、硬件，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。例如：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦外部人員爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。2.原理入侵檢測(cè)可分為實(shí)時(shí)入侵檢測(cè)和事后入侵檢測(cè)兩種：實(shí)時(shí)入侵檢測(cè)在網(wǎng)絡(luò)連接過程中進(jìn)行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲(chǔ)在計(jì)算機(jī)中的專家知識(shí)以及神經(jīng)網(wǎng)絡(luò)模型對(duì)用戶當(dāng)前的操作進(jìn)行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機(jī)的連接，并收集證據(jù)和實(shí)施數(shù)據(jù)恢復(fù)。這個(gè)檢測(cè)過程是不斷循環(huán)進(jìn)行的。而事后入侵檢測(cè)則是由具有網(wǎng)絡(luò)安全專業(yè)知識(shí)的網(wǎng)絡(luò)管理人員來進(jìn)行的，是管理員定期或不定期進(jìn)行的，不具有實(shí)時(shí)性，因此防御入侵的能力不如實(shí)時(shí)入侵檢測(cè)系統(tǒng)。入侵檢測(cè)流程：(1)入侵檢測(cè)的第一步：信息收集收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。收集信息需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中不同的關(guān)鍵點(diǎn)來進(jìn)行，這樣一方面可以盡可能擴(kuò)大檢測(cè)范圍，另一方面從幾個(gè)信源來的信息的不一致性是可疑行為或入侵的最好標(biāo)識(shí)，因?yàn)橛袝r(shí)候從一個(gè)信源來的信息有可能看不出疑點(diǎn)。入侵檢測(cè)利用的信息一般來自以下四個(gè)方面：1）系統(tǒng)日志黑客經(jīng)常在系統(tǒng)日志中留下他們的蹤跡，因此，充分利用系統(tǒng)日志是檢測(cè)入侵的必要條件。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，很顯然地，對(duì)用戶活動(dòng)來講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等。2）目錄以及文件中的異常改變網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。3）程序執(zhí)行中的異常行為網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶啟動(dòng)的程序和特定目的的應(yīng)用，例如數(shù)據(jù)庫服務(wù)器。每個(gè)在系統(tǒng)上執(zhí)行的程序由一到多個(gè)進(jìn)程來實(shí)現(xiàn)。每個(gè)進(jìn)程執(zhí)行在具有不同權(quán)限的環(huán)境中，這種環(huán)境控制著進(jìn)程可訪問的系統(tǒng)資源、程序和數(shù)據(jù)文件等。一個(gè)進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。黑客可能會(huì)將程序或服務(wù)的運(yùn)行分解，從而導(dǎo)致運(yùn)行失敗，或者是以非用戶或非管理員意圖的方式操作。4）物理形式的入侵信息這包括兩個(gè)方面的內(nèi)容:一是未授權(quán)的對(duì)網(wǎng)絡(luò)硬件連接；二是對(duì)物理資源的未授權(quán)訪問?？赡艿乜?，而且要求傳播、反應(yīng)檢測(cè)結(jié)果信息的時(shí)間盡可能少。1.3DCNIDS-18001.DCNIDS-1800簡(jiǎn)介DCNIDS-1800M/M2/M3/G/G2/G3是自動(dòng)的、實(shí)時(shí)的網(wǎng)絡(luò)入侵檢測(cè)和響應(yīng)系統(tǒng)，它采用了新一代的入侵檢測(cè)技術(shù)，包括基于狀態(tài)的應(yīng)用層協(xié)議分析技術(shù)、開放靈活的行為描述代碼、安全的嵌入式操作系統(tǒng)、先進(jìn)的體系架構(gòu)、豐富完善的各種功能，配合高性能專用硬件設(shè)備，是最先進(jìn)的網(wǎng)絡(luò)實(shí)時(shí)入侵檢測(cè)系統(tǒng)。它以不引人注目的方式最大限度地、全天候地監(jiān)控和分析企業(yè)網(wǎng)絡(luò)的安全問題。捕獲安全事件，給予適當(dāng)?shù)捻憫?yīng)，阻止非法的入侵行為，保護(hù)企業(yè)的信息組件。2.DCNIDS-1800程序組件DCNIDS-1800采用多層分布式體系結(jié)構(gòu)，由下列程序組件組成：Console（控制臺(tái)）：控制臺(tái)（console）是DCNIDS-1800的控制和管理組件。它是一個(gè)基于Windows的應(yīng)用程序，控制臺(tái)提供圖形用戶界面來進(jìn)行數(shù)據(jù)查詢、查看警報(bào)并配置傳感器?？刂婆_(tái)有很好的訪問控制機(jī)制，不同的用戶被授予不同級(jí)別的訪問權(quán)限，允許或禁止查詢、警報(bào)及配置等訪問?？刂婆_(tái)、事件收集器和傳感器之間的所有通信都進(jìn)行了安全加密。EC：EventCollector（事件收一個(gè)大型分布式應(yīng)用中，用戶希望能夠通過單個(gè)集器）控制臺(tái)完全管理多個(gè)傳感器，允許從一個(gè)中央點(diǎn)分發(fā)安全策略，或者把多個(gè)傳感器上的數(shù)據(jù)合并到一個(gè)報(bào)告中去。用戶可以通過安裝一個(gè)事件收集器來實(shí)現(xiàn)集中管理傳感器及其數(shù)據(jù)。事件收集器還可以控制傳感器的啟動(dòng)和停止，收集傳感器日志信息，并且把相應(yīng)的策略發(fā)送傳感器，以及管理用戶權(quán)限、提供對(duì)用戶操作的審計(jì)功能。IDS服務(wù)管理的基本功能是負(fù)責(zé)“事件收集服務(wù)”和“安全事件響應(yīng)服務(wù)”的起?？刂疲?wù)狀態(tài)的顯示。LogServer：LogServer（數(shù)據(jù)服務(wù)器）是DCNIDS-1800的數(shù)據(jù)處理模塊。LogServer需要集成DB（數(shù)據(jù)庫）一起協(xié)同工作。DB（數(shù)據(jù)庫）是一個(gè)第三方數(shù)據(jù)庫軟件。DCNIDS-1800支持微軟MSDE、SQLServer，并即將支持MySQL和Oracle數(shù)據(jù)庫，Sensor（傳感器）：部署在需要保護(hù)的網(wǎng)段上，對(duì)網(wǎng)段上流過的數(shù)據(jù)流進(jìn)行檢測(cè)，識(shí)別攻擊特征，報(bào)告可疑事件，阻止攻擊事件的進(jìn)一步發(fā)生或給予其它相應(yīng)的響應(yīng)。Report（報(bào)表）和查詢工具：Report（報(bào)表）和查詢工具作為IDS系統(tǒng)的一個(gè)獨(dú)立的部分，主要完成從數(shù)據(jù)庫提取數(shù)據(jù)、統(tǒng)計(jì)數(shù)據(jù)和顯示數(shù)據(jù)的功能。Report能夠關(guān)聯(lián)多個(gè)數(shù)據(jù)庫，給出一份綜合的數(shù)據(jù)報(bào)表。查詢工具提供查詢安全事件的詳細(xì)信息。3.安裝順序完成網(wǎng)絡(luò)部署方案設(shè)計(jì)后，就可以開始安裝了。安裝步驟如下：4.DCNIDS-1800基本配置(1).傳感器的標(biāo)準(zhǔn)出廠設(shè)置為：傳感器的IP：54默認(rèn)網(wǎng)關(guān)：默認(rèn)傳感器管理員密鑰：adminEC的IP：53licensekey——輸入或修改licensekey（licensekey由神州數(shù)碼提供）如下圖所示。注：輸入信息完畢使用回車即可將光標(biāo)移至下一單元。此處licenseKey不要改動(dòng)！(2).settimeanddate進(jìn)入配置窗口，可以配置時(shí)區(qū)和時(shí)間。在中國地區(qū)應(yīng)設(shè)置為PRC。如下圖所示。注：此處選擇好后使用tab鍵進(jìn)行切換即可。確認(rèn)保存后，系統(tǒng)需要重新啟動(dòng)一次方可生效！(3).Configurenetworking進(jìn)入配置窗口，可以進(jìn)行如下配置：nameofthisstation——設(shè)置sensor的名字，如傳感器的名字為“DCNIDS-1800-M”；managementinterface——選擇管理接口，管理接口并非監(jiān)測(cè)數(shù)據(jù)的接口，例如監(jiān)測(cè)接口選擇em0，即將em0和em1同時(shí)連接到網(wǎng)絡(luò)中，em1負(fù)責(zé)與EC進(jìn)行通信，而em0則主要負(fù)責(zé)監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)流。如下圖所示；IPaddress——設(shè)置管理接口的IP地址，管理接口的IP地址即指EC與傳感器通訊的地址。如設(shè)置管理接口的IP地址為“8”networkmask——設(shè)置網(wǎng)絡(luò)掩碼，如掩碼設(shè)置為：“”defaultroute——設(shè)置缺省網(wǎng)關(guān)，如果傳感器與管理控制臺(tái)將在同一個(gè)網(wǎng)段，則缺省網(wǎng)關(guān)選擇默認(rèn)不必配置，如下圖所示。(4).配置事件收集器（EC）地址和通信密鑰，如下圖所示IPofEC——輸入EC的IP地址，如EC的IP地址選擇：“0”encrypotionpassphrase—