启明星辰入侵检测培训PPT(讲稿) 88页

'入侵检测系统IDS启明星辰认证培训部：沈尚方shen_shangfang@venustech.com.cn 第一部分入侵检测系统概述 入侵检测系统概述什么是入侵检测系统入侵检测的作用入侵检测的起源入侵检测系统的体系结构 什么是入侵检测系统入侵检测（intrusiondetection）入侵检测是对即将发生、正在发生的或已经发生的入侵行为的一种识别过程，是一种动态的安全防护手段，它能主动寻找入侵信号，给网络系统提供对外部攻击、内部攻击和误操作的安全保护，是一种增强系统安全的有效方法。入侵检测系统(IDS-intrusiondetectionsystem)用于辅助进行入侵检测或者独立进行入侵检测的自动化工具。一般是用于检测的软件和硬件的组合。 入侵检测系统概述什么是入侵检测系统入侵检测的作用入侵检测的起源入侵检测系统的体系结构 IDS的作用在安全体系中，IDS是唯一一个通过数据和行为模式判断其是否有效的系统检测检测后门监控检测CardKey响应 入侵检测系统的作用监控网络和系统发现入侵企图或异常现象实时报警主动响应审计跟踪 入侵检测系统概述什么是入侵检测系统入侵检测的作用入侵检测的起源入侵检测系统的体系结构 入侵检测技术的起源（1）审计技术：产生、记录并检查按照时间顺序排列的系统事件记录的过程1980年，Jamesanderson的《计算机安全监控与监视》computersecuritythreatmonitoringandsurveillance第一次详细阐述了入侵检测的概念将计算机系统威胁分为：外部渗透、内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想被认为是入侵检测的开山之作 入侵检测技术的起源（2）1984-1986年，乔治敦大学的Dorothydenning和SRI/CSL的peterneumann研究出了一个实时入侵检测系统模型—IDES（入侵检测专家系统）1990年，加州大学戴维斯分校的L.T.heberlein等人开发的NSM(networksecurityMonitor)该系统第一次直接将网络流作为审计数据来源。因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史的新的一页，两大阵营的正式形成：基于网络的IDS和基于主机的IDS 入侵检测技术的起源（3）1988年之后，美国开展对分布式入侵检测系统（DIDS）的研究，将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产物。20世纪90年代到现在，入侵检测系统的研发呈现百家争鸣的局面，并在智能化和分布式两个方向取得了长足的进展 入侵检测系统概述什么是入侵检测系统入侵检测的作用入侵检测的起源入侵检测系统的体系结构 入侵检测系统IDS体系结构事件产生器检测引擎（事件分析引擎）事件数据库响应组件 事件产生器负责原始数据的采集，并将获得的原始数据转化为可以向其它系统提供的事件。数据来源：对于NIDS系统，主要在网络不同的关键点处，收集的来自网络中的数据包。对于HIDS系统，主要来自审计日志、系统日志、主机网络端口等处获得的信息。 检测引擎（事件分析引擎）对事件产生器所提供的事件，进行分析，通过与预定义的检测规则进行比对，判断是否为入侵行为。并将分析结果提供给其他系统，转变为告警信息。 检测引擎（事件分析引擎）事件分析方法：目前IDS系统主要有两种通用的分析方法，每种分析方法也各有利弊。1、模式匹配(误用检测模型)：将收集到的事件与已知的网络入侵行为数据库和系统误用模式数据库进行对比，从而发现违背安全规律的行为。2、统计分析（异常检测模型）：首先给系统对象（用户、文件、目录和设备）等创建一个统计描述，统计一些正常使用时的一些测量属性（如访问次数、操作失败次数）。测量属性的平均值和偏差将被用来与网络、系统的行为进行对比，任何观察值在正常范围值之外，就认为入侵发生。 入侵检测系统两个重要参数误报：检测系统在检测时，将系统的正常行为判为入侵行为的错误，被称为误报。检测系统在检测过程中，出现误报的概率称为系统的误报率漏报：检测系统在检测时，没有能够正确的识别某些入侵行为，因而没有报警现象称为漏报。检测系统在检测过程中出现漏报的概率称为系统漏报率 误用检测前提：所有的入侵行为都有可被检测到的特征攻击特征库：当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵过程监控特征提取匹配判定特点：误报率低、漏报率高 误用检测误用检测的效率和准确性取决于攻击特征库完整性和对攻击行为特征提取的准确性采用模式匹配，能明显降低误报率，但是漏报率较高。攻击特征的细微变化，可能导致系统漏报。 异常检测前提：入侵是异常行为的子集用户轮廓（Profile）：通常定义为各种行为参数和阈值的集合。用于描述正常行为范围过程监控量化比对判定修改特点：误报率高、漏报率低 异常检测异常检测的效率和准确性取决于用户轮廓的完备性和监控的频率不需要对任何入侵行为进行定义，能有效的检测未知的入侵行为系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗系统更多的资源 事件数据库用于存放各种中间和最终数据，如检测规则和检测结果。从事件产生器或事件分析器接收数据，一般会将数据进行长时间的保存。 响应组件响应组件用于对检测引擎分析的结果作出反应。可以是切断连接、封锁用户帐号、改变文件属性等强烈反应，也可以是简单的报警（如控制台显示、电子邮件通知、手机短信等） 第二部分天阗网络IDS基本操作及维护 天阗6.0系类产品天阗6.0网络IDS的介绍天阗6.0入侵检测系统的基本操作天阗6.0入侵检测系统日常维护与操作建议 天阗入侵检测与管理系统产品组成现行产品版本：V6.0主要组成部分：主机入侵检测系统（主机型）网络入侵检测系统（网络型）入侵管理组件（管理型） 网络引擎产品型号产品型号NS200NS500NS2200NS2800多级管理不支持支持不支持支持向下分级无支持无支持网络环境百兆百兆千兆千兆检测网路一路两路一路两路检测能力100Mbps200Mbps1000Mbps2000Mbps 天阗网络入侵检测系统组成产品组件网络探测引擎管理控制中心综合信息显示日志分析中心特点天阗网络入侵检测系统独创性的将检测、管理配臵、报警显示以及日志分析四部分的功能可以实现分开部署，满足多人同时监测和分权限管理。 天阗网络IDS产品组成控制中心表现方式：软件功能：接收事件策略下发事件库升级探测引擎表现方式：硬件功能：抓包分析数据上报事件综合显示中心表现方式：软件功能：实时显示事件日志分析中心表现方式：软件功能：日志记录与报表 网络IDS的基本结构 网络IDS的探测引擎引擎的主要功能为：原始数据读取数据分析产生事件策略匹配事件处理通讯等功能 网络IDS的控制中心控制中心的主要功能为：通讯、事件读取、事件显示、策略定制、日志分析、事件帮助等 网络IDS的系统结构 网络IDS的通讯身份认证：是要保证一个引擎，或者子控制中心只能由固定的上级进行控制，任何非法的控制行为将予以阻止数据加密：完成身份认证后，利用相对简单的加密算法进行大量的数据交换，保证数据的保密性 天阗通常部署方式Internet外网接入的端天阗入侵检口镜像到IDS的测系统接入端口，对其进行实时的入侵检测天阗探测引擎天阗探测引擎对内网的服务器或主机进行入侵检测 准备事项明确引擎监控范围分配相应IP地址探测引擎：管理控制端口管理组件：管理控制中心交换机配臵结合交换机本身对镜像的支持能力保证检测重点服务器尽量不做全端口镜像 天阗6.0快速配臵1.进入用户管理与审计界面，用用户管理员帐号，添加一个管理员帐号；2.用刚才添加的管理员帐号进入控制中心,序列号授权；3.在控制中心中添加探测引擎,根据需求在控制中心中添加显示中心和子控，并进行设臵；4.启动探测引擎、各显示中心和子控制中心；连接成功；5.配臵通讯参数:显示中心的连接设臵；(显示中心)6.导入引擎授权文件；7.升级天阗事件库；8.选择策略下发至探测引擎. 基本配臵-1添加管理员天阗用户有三类：用户管理员、审计员、管理员默认用户有：用户管理员admin、审计员audit默认口令：venus60添加管理员时注意选择“可以登录” 基本配臵-2进入管理控制中心序列号授权以新添加管理员帐号登录 基本配臵-3添加模块选择添加组件的类型输入组件的IP地址 基本配臵-4配臵通讯参数管理控制中心综合显示中心配臵真实IP，避免使用127.0.0.1 基本配臵-4 基本配臵-5启动连接组件组件管理->启动连接查看组件属性检查综合显示中心已经启动 基本配臵-6引擎授权 基本配臵-76.升级事件库(每周5下午更新事件库)自动升级(需要能连接上互联网)手动升级思考：为什么要做事件库升级？ 基本配臵-8下发策略系统策略用户自定义策略 天阗6.0系类产品天阗6.0网络IDS的介绍天阗6.0入侵检测系统的基本操作天阗6.0入侵检测系统日常维护与操作建议 常用功能查看事件策略基本操作事件定义日志分析及报表输出数据库维护更新升级 查看事件查看报警事件双击出现事件详细信息 显示设臵添加窗口树形窗口 策略基本操作策略衍生策略集操作策略向导策略导入导出 策略基本操作编辑策略 过滤条件IP过滤和MAC过滤应用到事件保存下发策略 策略基本操作策略下发 事件定义-特征事件定义进入管理控制台，点击“策略任务”－“入侵检测”－“事件定义”，在新窗口里添加新事件：2012-5-14 事件定义-二次事件定义进入管理控制台，点击“策略任务”－“入侵检测”－“事件定义”，在新窗口里添加新事件：2012-5-14 天阗6.0日志查看与分析为什么要进行日志分析如何进行日志分析2012-5-14 为什么要进行日志分析不是每个事件都是入侵事件不是每个事件都会产生攻击效果了解网络安全状况方便管理网络使领导对报表一目了然2012-5-14 日志分析方法1.总体分析管理统计分析报表查看统计信息初步确定敏感事件或敏感IP地址2.具体分析利用过滤条件生成多角度、多层面详细报表，进一步确认敏感信息具体分析事件确认攻击是否发生、产生危害和源地址2012-5-14 日志分析方法3.总结现阶段安全状况分析事件的分布，找出重点威胁所在分析源地址的分布，找出重点威胁来源4.建议改进方案调整安全策略调整网络部署增加安全设备加强全员安全教育完善安全管理制度2012-5-14 事件分析示例1SCAN_UDP端口扫描事件事件原因通过查询日志发现，该事件发生的源地址只有一个，且发生的时间相当有规律性，均为定期周末的某一时刻，后确认该事件发生时，正好是漏扫的定期扫描时段，且该源地址恰为漏洞扫描设备地址结论漏洞扫描设备触发该事件，属于正常连接触发该事件。建议建议对于该事件过滤掉源ip地址。2012-5-14 事件分析示例2TELNET_口令弱结论和建议我们定义的合理的口令强度应为：长度不低于20位，且同时包含大小写字母、数字、特殊字符。建议通知各个上报该事件的分支机构，针对服务器，加强口令的长度或改用不易破解的字符.2012-5-14 事件分析示例3UDP_蠕虫_熊猫烧香_解析恶意网站域名通用描述该事件表明源IP地址感染了熊猫烧香蠕虫病毒，并且该蠕虫正在向DNS服务器提交恶意网站的域名解析请求。处理建议检查源IP地址，如果源IP地址非DNS服务器，使用最新的杀毒软件或专杀软件进行病毒的查杀，并设臵强壮的管理员密码。。报表分析由于源IP地址为DNS服务器，并且运行Linux系统，不可能感染该病毒，可能是由于源IP向上层DNS服务器转发了提交给自己的恶意网站域名解析请求，并不表明该源DNS服务器感染了熊猫烧香蠕虫病毒。2012-5-14 事件分析示例4UDP_X86LinuxMountd_缓冲区溢出事件解释Linux类系统下主要采用rpc.mountd来实现NSF服务器。某些版本的Linuxrpc.mountd实现上存在缓在缓冲区溢出漏洞，远程攻击者可能利用此漏洞以root用户的权限在主机上执行…….结论目的地址为windows操作系统，可确定为误报。2012-5-14 报表输出日志分析中心提供多种缺省模板和方案文件强大的条件过滤功能2012-5-14 报表输出管理统计分析报表目标对象是管理人员周期性统计报表类型模板使用水晶报表，支持PDF、RPT、EXCEL、WORD、XML、RICHTEXT、文本文件等多种导出格式 基本报表查询输出2012-5-14 交叉报表查询输出2012-5-14 综合报表查询输出2012-5-14 用户自定义报表输出2012-5-14 报表条件查询先单击需要查询的报表模板，然后点击“模板”－“条件查询”，选择好条件后点确定进行查询：2012-5-14 报表导出报表输出功能：“模板”－“报表导出”，在出面的新窗口中选择导出格式。2012-5-14 数据库维护自动维护自动备份日志新增条数 数据库维护手动维护设定手动维护条件，然后手动完成数据库维护工作手动删除、手动备份数据库摘要 数据库维护导入数据ACCESS数据库SQL数据库 更新升级产品升级引擎升级：控制中心下发软件升级：网站下载售后部门提供 更新升级事件库升级(每周5下午更新事件库)自动（需要能连接上互联网）手动2012-5-14 天阗6.0系类产品天阗6.0网络IDS的介绍天阗6.0入侵检测系统的基本操作天阗6.0入侵检测系统日常维护与操作建议 日常工作建议每日查看天阗控制台工作是否启动或是否工作正常。每日查看控制台连接引擎是否正常每日早晚各一次查看报警信息。对可疑事件进行及时分析。及时调整并下发天阗工作策略。根据情况及时上报事件。 日常维护建议至少每周进行一次天阗事件库更新。注意启明星辰网站对天阗事件库的更新或从售后服务部门获取。注意天阗控制中心和引擎的升级包。定期查看日志数据库大小及进行数据库维护。 探测引擎端口：TCP20001：此端口是用来传输数据的，如策略/文件的下发、日志的上传；此端口是用来和控制中心建立连接及认证的。方向为控制中心到探测引擎主动连接。控制中心：TCP50000：此端口是用来向上级控制中心或各组件传输数据的，如策略/文件的下发、日志的上传、显示中心和上级控制中心建立连接及进行认证。方向为各组件到总控制中心主动连接。总控制中心到子控制中心主动连接。 天阗6.0常见问题处理如何确认天阗安装完全控制中心，检查snmp是否正确安装添加组件，看下拉列表打开管理报表，看水晶报表打开服务，查看datatransfer（数据传输）、venusautostorage（管理报表） 天阗6.0常见问题处理探测引擎与控制中心连接不上网络物理连接是否正常；网络层是否可以进行通信；是否有不正常的关机行为发生；是否更换了控制台或ＩＰ地址；两者是否同在一个网络、若不则查看网关；控制台参数设臵是否有问题；防火墙是否进行了阻断；认证是否发生了问题；使用串口查看引擎设臵参数是否正确；使用维护工具查看引擎工作是否正常；初始化引擎；2012-5-14 天阗6.0常见问题处理控制中心无报警信息控制台和引擎连接是不是正常；网络上是不是有数据通信；探测引擎是否和交换机或集线器连接；交换机是否进行过镜像配臵，配臵是否进行过保存；防火墙是否进行了阻断；2012-5-14 天阗6.0常见问题处理如何确定控制中心与探测引擎通信正常在控制中心使用ping<探测引擎IP>命令后，使用arp–a命令。若出现探测引擎IP并其MAC地址，则说明控制中心与探测引擎通信没问题。若控制中心与探测引擎中间有路由器存在，可以使用以下命令：telnet<探测引擎IP>22。（需要先在探测引擎打开该端口）。若连接不被切断有信息返回说明控制中心与探测引擎通信没问题。2012-5-14 天阗6.0常见问题处理使用超级终端配臵探测引擎时，无任何信息显示检查串口线连接是否正确。检查超级终端参数配臵是否正确。探测引擎是否加电。确认串口线是否有问题。•使用超级终端配置探测引擎时，显示的信息不正常或没有输入口令的提示超级终端参数配置不正确。2012-5-14 Q&A？ 谢谢大家E-mail:train@venustech.com.cn'