安全防御——IDS(入侵检测系统)

news2024/11/17 21:56:35

安全防御——IDS(入侵检测系统)

  • IDS介绍
  • 为什么需要IDS
  • IDS的工作原理
  • IDS的工作过程
    • 第一步:信息收集
    • 第二步:数据分析
  • IDS的主要检测方法
    • 1、模式匹配(误用检测)
    • 2、统计分析(异常检测)
    • 3、完整性分析(异常检测)
    • 4、融合使用异常检测与误用(特征)检测
  • 防火墙与IDS的区别
  • IDS的架构
  • IDS的部署方式
  • IDS的接入方式:并行接入(并联)
  • IDS的作用
  • IDS的功能
  • IDS的分类
    • 根据数据源分类
    • 根据检测原理分类
    • 根据体系结构分类
    • 根据工作方式分类
  • IDS的局限性
  • IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
  • 实验
    • 要求:
    • 解答:
      • 1、IP地址规划以及拓扑规划
      • 2、配置云朵Cloud1
      • 3、配置防火墙FW1
      • 4、配置内网
      • 5、配置外网
      • 6、测试

IDS介绍

IDS(intrusion detection system)入侵检测系统是一种对网络传输进行实时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
专业上讲IDS就是依照一定的安全策略,对网络、系统的运行状况进行实时监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性

为什么需要IDS

打一个形象的比喻:假如防火墙是一幢大楼的防盗门和安全锁,那么IDS(入侵检测系统)就是这幢大楼里的监视系统。一旦有小偷通过爬窗进入大楼,或者内部人员有越界行为,实时监视系统就会发现情况并发出警告。

实用检测

实时地监视,分析网络中所有的数据报文

发现并实时处理所捕获的数据报文

安全审计

对系统记录的网络事件进行统计分析

发现异常现象

得出系统的安全状态,找出所需证据

主动响应

主动切断连接或与防火墙联动,调用其他程序处理

IDS的工作原理

IDS不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文,入侵检测系统提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。
在这里插入图片描述

IDS的工作过程

在这里插入图片描述

第一步:信息收集

收集的内容包括系统、网络、数据及用户活动的状态和行为

 入侵检测利用的信息一般来自以下四个方面:
系统日志:黑客经常在系统日志中留下他们的踪迹,因此,充分利用系统日志是非常重要的

目录以及文件的异常改变:网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文 件和私有数据文件经常是黑客修改或破坏的目标

程序执行中的异常行为:网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程 序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一 到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控 制着进程可访问的系统资源、程序和数据文件等。一个进程出现了不期望 的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行 分解,从而导致运行失败,或者是以非用户或非管理员意图的方式操作

物理形式的入侵信息:这包括两个方面的内容,一是未授权的对网络硬件连接;二是对物理 资源的未授权访问

第二步:数据分析

一般通过三种技术手段进行分析: 模式匹配, 统计分析和完整性分析。 其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
模式匹配:模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据 库进行比较,从而发现违背安全策略的行为

统计分析 :统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值如果超过了正常值范围,就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应 用户正常行为的突然改变。

完整性分析:完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和 目录的内容及属性,它在发现被修改成类似特洛伊木马的应用程序方面特 别有效。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是有入侵行为导致了文件或其他对象的任何改变,它都能够发现。缺点是 一般以批处理方式实现,不用于实时响应。
在这里插入图片描述
入侵检测是防火墙的一个有力补充,形成防御闭环,可以及时、准确、全面的发现入侵弥补防火墙对应用层检查的缺失。

IDS的主要检测方法

1、模式匹配(误用检测)

模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化。

模式的表示方式:

(1)一个过程—如通过字符串匹配以寻找一个简单的条目或指令并执行

(2)一个输出—如获取权限

优点:只需收集相关的数据集合,显著减少系统负担且技术已相当成熟,检测准确度和检测效率高

缺点:需要不断的升级以对付不断出现的异常攻击手法,不能检测到从未出现过的黑客攻击手段

关键问题

要识别所有的攻击特征,就要建立完备的特征库
特征库要不断更新
无法检测新的入侵

2、统计分析(异常检测)

统计分析方法首先给信息对象(如用户、连接、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常偏差之外时,就认为有入侵发生

方法:创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)

优点:可检测到未知的入侵和更为复杂的入侵

缺点:误报、漏报率高,且不适应用户正常行为的突然改变,具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法等正在研发中的

关键问题

“正常”行为特征的选择
统计算法、统计点的选择

3、完整性分析(异常检测)

完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制(签名),称为消息摘要函数(例如MD5),能识别及其微小的变化,以此判断入侵

方法:建立完整性分析对象(文件/目录/数字资源)在正常状态时的完整性签名,匹配签名值是否发生变化

优点:不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现

缺点:一般以批处理方式实现,不用于实时响应

4、融合使用异常检测与误用(特征)检测

防火墙与IDS的区别

区别:

功能上:

IDS作用是监控数据、异常告警、超限阻止等;
防火墙的作用是隔离非授权用户在区域间并过滤对受保护网络有害流量或数据包

工作性质上:

防火墙是针对异常攻击的一种被动的防御,旨在保护;
IDS则是主动出击寻找潜在的攻击者,发现入侵行为;
防火墙只是防御为主,通过防火墙的数据便不再进行任何操作;
IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补

防火墙看起来可以防止外部威胁进入我们的内部网络,但它并不能监控网络内部所发生的攻击行为,所以很多厂商会在防火墙中整合IDS(入侵检测系统)和IPS(入侵防御系统),URL过滤、防病毒等然后就做UTM( 统一威胁管理)。
对IDS的部署的唯一要求就是:IDS应当挂接在所有所关注流量都必须流经的链路上
在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选在:(1)尽可能靠近攻击源(2)尽可能靠近受保护资源

这些位置通常是:
    服务器区域的交换机上
    边界路由器的相邻交换机上
    重点保护网段的局域网交换机上

IDS的架构

事件产生器:它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
事件分析器:分析数据,发现危险、异常事件,通知响应单元
响应单元:对分析结果作出反应
事件数据库:存放各种中间和最终数据
在这里插入图片描述

IDS的部署方式

共享模式和交换模式:从 HUB 上的任意一个接口,或者在交换机上做端口镜像的端口上收集信息。

隐蔽模式:在其他模式的基础上将探测器的探测口 IP 地址去除,使得 IDS 在对外界不可见的情况下正常工作。

Tap 模式:以双向监听全双工以太网连接中的网络通信信息,能捕捉到网络中的所有流量,能记录完整的状态信息使得与防火墙联动或发送 Reset 包更加容易。

In-line 模式:直接将 IDS 串接在通信线路中,位于交换机和路由器之间。这种模式可以将威胁通信包丢弃,以实时阻断网络攻击。

混合模式:通过监听所有连接到防火墙的网段,全面了解网络状况。

IDS的接入方式:并行接入(并联)

IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源,尽可能靠近受保护资源。
在这里插入图片描述
旁挂:需要在部署旁挂设备上使用端口镜像的功能,把需要采集的端口流量镜像到IDS旁挂口。
可以使用集线器、分光器实现流量复制。

IDS的作用

防火墙的重要补充
构建网络安全防御体系重要环节
克服传统防御机制的限制

IDS的功能

入侵检测系统能在入侵攻击对系统发生危害前检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,尽可能的减少入侵攻击所造成的损失,在攻击后,能收集入侵攻击的相关信息,作为防范系统的知识添加到知识库中,从而增强系统的防范能力。
(1)监视、分析用户及系统活动。

(2)对系统构造和弱点的审计。

(3)识别反映已知进攻的活动模式并报警。

(4)异常行为模式的统计分析。

(5)评估重要系统和数据文件的完整性。

(6)对操作系统的审计追踪管理,并识别用户违反安全策略的行为。

IDS的分类

根据数据源分类

1 基于主机的入侵检测系统(HIDS)

主要用于保护运行关键应用的服务器,通过监视与分析主机的审计记录和日志文件来检测入侵,日志中包含发生在系统上的不寻常活动的证据,这些证据可以指出有人正在入侵或者已经成功入侵了系统,通过查看日志文件,能够发现成功的入侵或入侵企图,并启动相应的应急措施。
2 基于网络的入侵检测系统(NIDS)

主要用于实时监控网络关键路径的信息,它能够监听网络上的所有分组,并采集数据以分析现象。基于网络的入侵检测系统使用原始的网络包作为数据源,通常利用一个运行在混杂模式下的网络适配器来进行实时监控,并分析通过网络的所有通信业务。

根据检测原理分类

1 异常入侵检测。

异常入侵检测是指能够根据异常行为和使用计算机资源的情况检测入侵。基于异常检测的入侵检测首先要构建用户正常行为的统计模型,然后将当前行为与正常行为特征相比较来检测入侵。常用的异常检测技术有概率统计法和神经网络方法两种。
2 误用入侵检测。

误用入侵检测技术是通过将收集到的数据与预先确定的特征知识库里的各种攻击模式进行比较,如果发现有攻击特征,则判断有攻击。完全依靠特征库来做出判断,所以不能判断未知攻击。常用的误用检测技术有专家系统、模型推理和状态转换分析。

根据体系结构分类

1.集中式

集中式入侵检测系统包含多个分布于不同主机上的审计程序,但只有一个中央入侵检
测服务器,审计程序把收集到的数据发送给中央服务器进行分析处理。这种结构的入侵检测系统在可伸缩性、可配置性方面存在致命缺陷。随着网络规模的增加,主机审计程序和服务器之间传送的数据量激增,会导致网络性能大大降低。并且一旦中央服务器出现故障,整个系统就会陷入瘫痪。此外,根据各个主机不同需求配置服务器也非常复杂。
2.等级式

在等级式(部分分布式)入侵检测系统中,定义了若干个分等级的监控区域,每个入侵
检测系统负责一个区域, 每一 级入侵检测系统只负责分析所监控区域,然后将当地的分析结果传送给上一级入侵检测系统。这种结构存在以下问题。首先,当网络拓扑结构改变时,区域分析结果的汇总机制也需要做相应的调整:其次,这种结构的入侵检测系统最终还是要把收集到的结果传送到最高级的检测服务器进行全局分析,所以系统的安全性并没有实质性改进。
3.协作式

协作式入侵检测系统将中央检测服务器的任务分配给多个基于主机的入侵检测系统,这些入侵检测系统不分等级,各司其职,负责监控当地主机的某些活动。所以,可伸缩性、安全性都得到了显著的提高,但维护成本也相应增大,并且增加了所监控主机的工作负荷,如通信机制,审计开销,踪迹分析等。

根据工作方式分类

1 离线检测。
离线检测系统是一种非实时工作的系统,在事件发生后分析审计事件,从中检查入侵事件。这类系统的成本低,可以分析大量事件,调查长期情况,但由于是事后进行的,不能对系统提供及时的保护,而且很多入侵在完成后会删除相应的日志,因而无法进行审计。

2 在线监测。
在线监测对网络数据包或主机的审计事件进行实时分析,可以快速响应,保护系统安全,但在系统规模较大时难以保证实时性。

IDS的局限性

对用户知识要求较高,配置、操作和管理使用较为复杂
网络发展迅速,对入侵检测系统的处理性能要求越来越高,现有技术难以满足实际需要
高虚警率,用户处理的负担重
由于警告信息记录的不完整,许多警告信息可能无法与入侵行为相关联,难以得到有用的结果
在应对对自身的攻击时,对其他数据的检测也可能会被抑制或受到影响

IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?

IDS的签名:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。

签名过滤器作用:

由于设备升级签名库后会存在大量签名,而这些签名没有进行分类,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。

签名过滤器的动作分为:

阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
采用签名的缺省动作,实际动作以签名的缺省动作为准。

例外签名配置作用:
为了就是用于更细致化的进行IPS流量的放行。

阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。

放行:对命中的报文方向=行,且不记录日志。

实验

要求:

实现对PC1访问Server1服务流量的有效拦截
在这里插入图片描述

解答:

1、IP地址规划以及拓扑规划

在这里插入图片描述

2、配置云朵Cloud1

在这里插入图片描述

3、配置防火墙FW1

1)给防火墙添加防火墙设备包USG6000-enspv1.3
在这里插入图片描述

2)启动防火墙FW1,输入账号和密码

账号:admin
密码:Admin@123

并且修改原密码,设置新密码

3)从第1)步可以看出,云朵和防火墙之间设置的网段是192.168.0.0/24,所以要给防火墙的GE0/0/0接口修改IP地址,改为192.168.0./24。

4)在浏览器上输入与云朵直连的防火墙的GE0/0/0接口的IP地址,我这里是192.168.0.1
并且输入账号和密码,点击登录
得到以下网页
在这里插入图片描述

5)配置接口区域 以及IP地址
在这里插入图片描述

6)配置安全策略
在这里插入图片描述

4、配置内网

在这里插入图片描述

在这里插入图片描述

5、配置外网

在这里插入图片描述
在这里插入图片描述

6、测试

1)正常访问http服务
在这里插入图片描述

2)非法访问
在这里插入图片描述

完成实验

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/604645.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

chatgpt赋能python:Python创建venv的完全指南

Python创建venv的完全指南 在Python开发中,虚拟环境是一个非常有用的工具。它可以让我们在同一台计算机上拥有多个Python环境,而不会互相干扰。在本文中,我们将介绍如何使用Python创建venv(虚拟环境)。 什么是venv&a…

4-5.配置信息和路由信息

一、配置信息 app.run()的参数 参数1:host,如果我们不指定,默认值是127.0.0.1。参数2:port,如果我们不指定,默认值是5000。参数3:debug,调试模式,如果不指定&#xff0…

chatgpt赋能python:Python创建画布语句

Python 创建画布语句 在数据可视化的领域,画布(Canvas)是一个重要的概念。画布可以视为一个空白的像素或向量画布,用于绘制图表、图形、图像和动画等。Python 提供了多种创建画布的方式,其中包括使用第三方库和内置库…

哲学家就餐问题(死锁)

本文主要讲述死锁的一个经典案例—哲学家就餐问题,并对该问题进行修复。 1. 问题描述 看上图,有五位哲学家,每天循环做两件事:思考,吃面。吃面时每人面前都有一个盘子,盘子左边和右边都有一根筷子&#xff…

5.3 树和二叉树的抽象数据类型定义

博主简介:一个爱打游戏的计算机专业学生博主主页: 夏驰和徐策所属专栏:算法设计与分析 1.什么是树的抽象数据类型定义 树的抽象数据类型定义是指对树这种数据结构的一种抽象描述,其中包括了树的基本操作和性质。它定义了树作为一…

基于深度学习的目标姿态检测方法_kaic

目录 摘要 第1章 引言 1.1 研究背景和意义 1.2 国内外研究现状 1.3 主要内容 第2章 单目相机的目标姿态检测技术 2.1单目相机的工作原理 2.2目标姿态检测 2.3已有的目标姿态检测方法及其局限性 2.4本章总结 第3章 构建数据集 3.1 数据集来源 3.2数据集标注 3.3数据集分析 3.4本…

基于Springboot的社区论坛系统(源代码+数据库)055

部分代码地址 https://gitee.com/ynwynwyn/forum-public 基于Springboot的社区论坛系统(源代码数据库) 一、系统介绍 前台: 话题列表,搜索话题,发布话题通过标签筛选话题个人设置:修改个人信息,查看发布话题记录&a…

FPGA设计的指导性原则 (三)

例12. 在SDC文件中附加syn_ramstyle综合约束属性,指定综合存贮单元的类型 SDC文件是Synplicity综合工具通用的综合约束属性文件,其扩展名为”sde”。在SDC 指定 syn_ramstyle的语法格式为: define_attribute (signal_name [bit_range)) syn_ramstyle (atring) 其中,黑体…

1.Python高频函数—数据合并merge()

前言 数据处理中经常对多个表的数据进行合并处理,python 提供两个十分好用的函数处理。merge() 、 concat() merger函数是Python里的数据分析工作中最常见的函数之一,主要应用场景是:针对同一个主键存在两张不同字段的表。(这里强…

《Kali渗透基础》05. 主动信息收集(二)

kali渗透 1:端口扫描2:UDP 扫描2.1:Scapy2.2:nmap 3:半开放扫描3.1:Scapy3.2:nmap3.3:hping3 4:全连接扫描4.1:Scapy4.2:nmap4.3:dmit…

前端web入门-CSS-day04

(创作不易,感谢有你,你的支持,就是我前行的最大动力,如果看完对你有帮助,请留下您的足迹) 目录 复合选择器 后代选择器 子代选择器 并集选择器 交集选择器 伪类选择器 伪类-超链接(拓…

leetcode95--不同的二叉搜索树 II(java)

不同的二叉搜索树 II leetcode95 -- 不同的二叉搜索树 II题目描述 解题思路代码演示二叉树专题 leetcode95 – 不同的二叉搜索树 II 原题链接: https://leetcode.cn/problems/unique-binary-search-trees-ii/ 题目描述 给你一个整数 n ,请你生成并返回所有由 n 个节…

HTTP协议+Ajax基本知识+axios+模板引擎的基本使用

1.客服端服务器 我们先来了解一下上网的目的是什么? 例如:刷微博、浏览新闻、在线听音乐、在线看电影、等等... 上网的本质目的:通过互联网的形式来 获取和消费资源 1.2 服务器 上网过程中,负责 存放和对外提供资源 的电脑&am…

dockers映射网络及数据卷

DOCKER docker run创建镜像时 1)检查本地是狗存在指定的惊像 2)利用镜像创建并启动一个容器 3)分配一个文件系统给容器,在只读的镜像曾外改在一层可读可写层 4)从宿主机配置的网桥接口中桥接一个虚拟机接口到容器…

springboot+vue实验室器材预约学习系统设计与实现

1、理论学习 深入学习Java Web开发技术。 在此基础上研究核心框架SpringBoot, MyBatis和Bootstrap等,为设计开发基于J2EE_SpringBoot的中药实验管理系统做好技术准备。 2.1功能要求 课题以提高中药实验开放共享、实施实验室网络化管理、提供优质的实验教学信息化服…

几何分布和负二项分布的关系

几何分布和负二项分布的关系 几何分布 在独立重复Bernoulli试验中,事件A首次发生时所进行的试验次数X服从几何分布 P ( X k ) ( 1 − p ) k − 1 p ( k 1 , 2 ⋯ ) E ( X ) 1 p 、 D ( X ) 1 − p p 2 P(Xk)(1-p)^{k-1}p(k…

sql server 字符串链接,及表连接多个值显示连接显示为一列 STUFF for xml path

sql server 字符串链接,及表连接多个值显示连接显示为一列 STUFF for xml path STUFF ( character_expression , start , length , replaceWith_expression ) 以下示例从第一个字符串 abcdef 的第 2 个位置 (b) 开始删除三个字符,然后在删除位置插入…

第10章_管理库表(DDL语句)

第10章_管理库表(DDL语句) 1. 基础知识 1.1 一条数据存储的过程 存储数据是处理数据的第一步 。只有正确地把数据存储起来,我们才能进行有效的处理和分析。否则,只能是一团乱麻,无从下手。那么,怎样才能把用户各种经营相关的、…

Oracle中的数据导出(2)

将Oracle数据库中的数据导出给其他的系统使用 怎么实现上述的这个需求呢? 这里我是使用spool脚本方法导出数据,其中在Oracle中的数据导出(1)http://t.csdn.cn/k5AOZ 已经描述了spool命令的使用。此篇我将使用spool命令脚本导出数据,下面是…

深入理解Linux虚拟内存管理(三)

系列文章目录 Linux 内核设计与实现 深入理解 Linux 内核(一) 深入理解 Linux 内核(二) Linux 设备驱动程序(一) Linux 设备驱动程序(二) Linux 设备驱动程序(三&#xf…