入侵檢測與防禦技術基礎
背景:傳統的信息安全方法採用嚴格的訪問控制和數據加密策略來防護,但在複雜系統中,這些策略是不充分的,不能完全保證系統的安全。
入侵檢測是對入侵行為的發覺,通過從計算機網絡或計算機系統的關鍵點收集信息並進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。
一、網絡威脅與現狀
威脅類型
現在大多數病毒等網絡威脅不再單純地攻擊電腦系統,而是被黑客攻擊和不法分子利用,成為他們獲取利益的工具。因此,傳統的電腦病毒等網絡威脅,正在向由利益驅動的、全面的網絡威脅發展變化
1.何為入侵、入侵的行為類型、系統漏洞定義
入侵:入侵是指未經授權而嘗試訪問信息系統資源、篡改信息系統中的數據,使信息系統不可靠或不能使用的行為;入侵企圖破壞信息系統的完整性、機密性、可用性以及可控性。
典型的入侵行為:篡改Web網頁;破解系統密碼;複製/查看敏感數據;使用網絡嗅探工具獲取用戶密碼;訪問未經允許的服務器;其他特殊硬件獲得原始網絡包;向主機植入特洛伊木馬程序。
漏洞:漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。
漏洞會影響到很大範圍的軟硬件設備,包括操作系統本身及支撐軟件,路由器、防火牆等。
在不同的軟、硬件設備中,不同系統,或同種系統在不同的設置條件下,都會存在各自不同的安全漏洞問題。
2.入侵檢測系統
入侵檢測(ID,Intrusion Detection)通過監視各種操作,分析、審計各種數據和現象來實時檢測入侵行為的過程,它是一種積極的和動態的安全防禦技術;口入侵檢測的內容涵蓋了授權的和非授權的各種入侵行為。
入侵檢測系統(IDS,Intrusion Detection System)用於入侵檢測的所有軟硬件系統;口發現有違反安全策略的行為或系統存在被攻擊的痕跡,立即啟動有關安全機制進行應對。
特點;監測速度快、隱蔽性好、視野更寬、較少的監測器、攻擊者不易轉移證據、操作系統無關性
、不佔用被保護的設備上的資源
入侵檢測系統
3.入侵檢測系統網絡安全體系中的位置
入侵檢測系統在安全體系中的位置
4.入侵檢測原理
入侵檢測原理
5.入侵檢測技術的實現
異常檢測模型(Anomaly Detection)首先總結正常操作應該具有的特徵(用戶輪廓),當用戶活動與正常行為有重大偏離時即被認為是入侵
誤用檢測模型(Misuse Detection)收集非正常操作的行為特徵,建立相關的特徵庫,當檢測的用戶或系統行為與庫中的記錄相匹配時,系統就認為這種行為是入侵,誤用檢測模型也稱為特徵檢測(Signature-based detection)
a:異常檢測
通過對系統審計數據的分析建立起系統主體(單個用戶、一組用戶、主機,甚至是系統中的某個關鍵的程序和文件等)的正常行為特徵輪廓;檢測時,如果系統中的審計數據與已建立的主體的正常行為特徵有較大出入就認為是一個入侵行為。
b:誤用檢測(特徵檢測)的特點:
容易實現:主要的匹配算法都是成熟算法,實現上技術難點比較少。口檢測精確:對入侵特徵的精確描述使入侵檢測系統可以很容易將入侵辨別出來。同時,因為檢測結果有明顯的參照,可以幫助系統管理員採取相應的措施來防止入侵。
升級容易:不少基於特徵檢測的入侵檢測系統都提供了自己的規則定義語言,當新的攻擊或漏洞出現時,廠商或用戶只要根據該攻擊或漏洞的特徵編寫對應的規則,就可以升級系統。
入侵檢測兩種檢測方式優缺點對比
異常檢測與誤用檢測對比
6.入侵防禦系統引入的原因
隨著網絡攻擊技術的不斷提高和網絡安全漏洞的不斷髮現,傳統防火牆技術加傳統IDS的技術,已經無法應對一些安全威脅。
在這種情況下,入侵防禦技術應運而生,入侵防禦技術可以深度感知並檢測流經的數據流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行限流以保護網絡帶寬資源。
7.入侵防禦技術
入侵防禦是一種安全機制,通過分析網絡流量,檢測入侵(包括緩衝區溢出攻擊、木馬、蠕蟲等),並通過一定的響應方式,實時地中止入侵行為,保護企業信息系統和網絡架構免受侵害。
入侵防禦是種既能發現又能阻止入侵行為的新安全防禦技術。通過檢測發現網絡入侵後,能自動丟棄入侵報文或者阻斷攻擊源,從而從根本上避免攻擊行為。
入侵防禦系統(IPS,Intrusion Prevention System)在發現入侵行為時能實時阻斷的入侵檢測系統。IPS使得IDS和防火牆走向統一。
IPS在網絡中一般有兩種部署方式如下圖
IPS在網絡中一般有兩種部署方式
8.入侵防禦(IPS)與入侵檢測系統(IDS)的對比
a:入侵防禦系統IPS:主要是實時阻斷用戶行為,側重於風險控制
IPS
b:入侵檢測系統IDS:主要是監控網絡狀況,側重於風險管理
IDS
二、入侵防禦檢測技術應用
1.入侵防禦設備的應用場景
a:防禦設備NIP能夠檢測出多種類型的攻擊
應用場景1
b:防禦設備主要用於互聯網邊界、IDC/服務器前端、網絡邊界、旁路監控
應用場景2
2.入侵防禦設備主要功能
入侵防禦設備主要功能
3.入侵防禦設備(華為NIP6000舉例,下面都將以這款產品為例)
a:硬件結構
硬件結構
b:接口對技術
接口對:即一進一出兩個接口。
將兩個同類型接口組成接口對後,從一個接口進入的流量固定從另一個接口轉發出去,不需要查詢MAC地址表。
如果進、出接口配置為同一個接口,則從該接口進入的報文經過設備處理後仍然從該接口轉發出去
c:接口對技術應用
IPS是通過直接嵌入到網絡流量中實現入侵防禦功能的,即通過一個網絡端口接收來自外部系統的流量,經過檢查確認其中不包含異常活動或可疑內容後,再通過另外一個端口將它傳送到內部系統中。這樣一來,有問題的數據包,以及所有來自同一數據流的後續數據包,都能在IPS設備中被清除掉。
4.入侵防禦實現機制
實現機制
a:簽名
入侵防禦簽名用來描述網絡中存在的攻擊行為的特徵,通過將數據流和入侵防禦簽名進行比較來檢測和防範攻擊。
如果某個數據流匹配了某個簽名中的特徵項時,設備會按照簽名的動作來處理數據流。
入侵防禦簽名分為預定義和自定義簽名。每個預定義簽名都有缺省的動作,分為:
放行:指對命中籤名的報文放行,不記錄日誌。口告警:指對命中籤名的報文放行,但記錄日誌。
阻斷:指丟棄命中籤名的報文,阻斷該報文所在的數據流並記錄日誌。
(1)簽名原理
網頁訪問請求中存在不安全代碼
配置IPS簽名,檢測是否存在不安全代碼
(2)簽名過濾器
由於設備升級簽名庫後會存在大量簽名,而這些簽名是沒有進行分類的,且有些簽名所包含的特徵本網絡中不存在,需要設置簽名過濾器對其進行管理,並過濾掉。
簽名過濾器的動作分為:
阻斷:丟棄命中籤名的報文,並記錄日誌。
告警:對命中籤名的報文放行,但記錄日誌。
採用簽名的缺省動作,實際動作以簽名的缺省動作為準。
簽名過濾器的動作優先級高於簽名缺省動作,當簽名過濾器動作不採用缺省動作時以簽名過濾器中的動作為準。
(3)例外簽名
由於簽名過濾器會批量過濾出簽名,且通常為了方便管理會設置為統一的動作。如果管理員需要將某些簽名設置為與過濾器不同的動作時,可將這些簽名引入到例外簽名中,並單獨配置動作。
例外簽名的動作分為:
阻斷:丟棄命中籤名的報文並記錄日誌。
告警:對命中籤名的報文放行,但記錄日誌。|口放行:對命中籤名的報文放行,且不記錄日誌。
添加黑名單:是指丟棄命中籤名的報文,阻斷報文所在的數據流,記錄日誌,並可將報文的源地址或目的地址添加至黑名單。
5.入侵防禦對數據流的處理
當數據流命中的安全策略中包含入侵防禦配置文件時,設備將數據流送入到入侵防禦模塊,並依次匹配入侵防禦配置文件引用的簽名
入侵防禦對數據流的通用處理1
簽名的實際動作由簽名缺省動作、簽名過濾器和例外簽名配置的動作共同決定。
入侵防禦對數據流通用處理2
6.檢測方向
當配置引用了入侵防禦配置文件的安全策略時,安全策略的方向是會話發起的方向,而非攻擊流量的方向。
檢測方向
7.NIP安全策略特點
安全策略是控制設備對流量轉發以及對流量進行內容安全一體化檢測策略
NIP安全特點
8.IPS入侵防禦配置
a:配置入侵防禦功能時,首先要升級入侵防禦特徵庫或定義自定義簽名,然後創建入侵防禦配置文件,並將符合特定條件的簽名引入到入侵防禦配置文件中。最後將入侵防禦配置文件應用到安全策略中。
配置流程
b:升級特徵庫
升級特徵庫流程
c:安全策略實現了基於應用的流量轉發控制,而且還可以對流量的內容進行安全檢測和處理。
9.NIP安全策略配置
安全配置選項
預定義簽名的內容不能被修改,但可通過查看內容來得知其所檢測的入侵的特徵,方便後續進行配置。
配置簽名-查看預定義簽名內容
管理員可以批量修改預定義簽名的狀態。修改預定義簽名的狀態後,配置內容不會立即生效,需要單擊的“提交”來激活。
配置簽名-查看預定義簽名狀態
10.配置入侵防禦
配置流程思路
a:缺省入侵防禦配置文件
設備缺省存在多個入侵防禦配置文件以適用於不同的應用場景。
缺省的入侵防禦配置文件可以查看,複製或直接被安全策略引用,但是不可以修改或刪除
入侵防禦配置文件
b:新建入侵防禦配置文件
新建入侵防禦配置
c:配置簽名過濾器
用戶可通過配置簽名過濾器來過濾出滿足特定需求的多個簽名。一個簽名必須同時滿足所有過濾條件才能加入簽名過濾器。
配置簽名過濾器1
配置簽名過濾器2
d:例外簽名,可針對某個特定簽名單獨配置動作
例外簽名
e:後續處理
同一個策略下的簽名過濾器是有優先級的,當一條簽名同時屬於該策略下的兩個簽名過濾器時,該策略的屬性為前一個簽名過濾器的簽名過濾器的優先級可調整,調整後要記得執行“提交”按鈕;可查看或解除安全策略與配置文件的引用關係。
f:驗證與檢查
驗證結果:入侵防禦特性配置完成後,可執行如下操作檢查
檢查入侵防禦配置文件
檢查安全策略
查看日誌:NIP對命中安全策略的流量進行威脅檢測,如果檢測到攻擊行為,則按照入侵防禦配置文件中設置的動作處理並生成日誌。
11.查看業務日誌
NIP部署在外部網絡和受保護網絡之間,當NIP檢測出流量中含有病毒、威脅、殭屍、木馬、蠕蟲或攻擊時,產生威脅日誌。
威脅日誌
12、入侵防禦的典型部署方式
典型部署方式
12、NIP配置需求案例
內網用戶可以訪問lnternet。該企業需要在NIP上配置入侵防翻功能,具體要求如下:
a:組網需求
企業經常收到蠕蟲、木馬和殭屍網絡的攻擊,必須對以上攻擊進行防範。
避免內網用戶訪問Internet的Web服務器時受到攻擊。例如,含有惡意代碼的網站對內網用戶發起攻擊。
組網需求
b:配置步驟
配置步驟
13.防火牆IPS特性
a:USG6000的入侵防禦功能可以通過監控或者分析系統事件,檢測應用層攻擊和入侵,並通過一定的響應方式,實時地中止入侵行為。
防火牆IPS特性需要配置入侵防禦配置文件,然後應用到安全策略上;而NIP上配置的是基於接口對的策略。
配置流程
b:配置實例
配置入侵防禦功能,保護企業內部用戶和Web服務器避免受到來自Internet的攻擊
配置舉例
