传统的防病毒技术,单机版的也好,网关板的也好,都是基于病毒特征进行检测的,具有一定滞后性,如果攻击者设计开发新的病毒,因为是新的特征,则无能为力。
为了实时监测病毒,防御未知的威胁,则可以使用沙箱firehunter等设备。
网络入侵监测简介
传统电脑病毒等网络威胁,向由利益驱动的,全面的网络威胁发展变化。
主要有:黑客入侵、拒绝服务攻击、病毒及恶意软件、个人安全意识薄弱。
入侵
什么是入侵
指未经授权而尝试访问信息系统资源、篡改信息系统中的数据、使信息系统不可靠或者不能使用的行为,入侵企图破坏信息系统的完整性,机密性以及可用性、可控性。
典型的入侵行为
篡改web网页
破解系统密码
复制/查看敏感数据
使用网络嗅探工具获取用户密码
访问未经允许的服务器
其他特殊硬件获得原始网络包
向主机植入特洛伊木马程序
常见入侵方式
漏洞
指在硬件、软件、协议的具体实现或者系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或者破坏系统
漏洞会影响到很大范围的软硬件设备,包括操作系统本身及支撑软件,路由器、防火墙等。
在不同的软、硬件设备中,不同系统、或者同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。
入侵检测系统
ids和ips可以同时出现,也可以单个出现。华为使用NIP这个称呼表示IDS/IPS,LAB使用NIP6000E。
入侵检测:通过监视各种操作,分析、审计各种数据和现象来实时监测入侵行为的过程,它是一种积极的和动态的安全防御技术;入侵监测的内容涵盖了授权的和非授权的各种入侵行为。
入侵检测系统:用于入侵检测的所有软硬件系统,发现有违反安全策略的行为或系统存在被攻击的痕迹,立即启动有关安全机制进行应对。该系统也部分集成到了防火墙中。
特点
检测速度快
隐蔽性好:一般使用二层,结构上透明化,不改变网络结构。
视野更宽
较少的监测器
攻击者不易转移证据
操作系统无关性
不占用被保护的设备上的资源
入侵检测系统在安全体系中的位置
入侵检测系统结构
入侵检测的技术实现
异常检测模型
首先总结正常操作应该具有的特征,即用户轮廓,当用户活动与正常行为有重大偏离时即被认为是入侵。
通过对系统审计数据的分析建立起系统主体(单个用户、一组用户、主机,甚至是系统中的某个关键的程序和文件等)的正常行为特征轮廓,检测时,如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。
误用检测模型
也叫特征检测。收集非正常操作的行为特征,建立相关的特征库,当检测的用户或者系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
容易实现:主要的匹配算法都是成熟算法,实现上技术难点比较少
检测精确:对入侵特征的精确描述使入侵检测系统可以很容易将入侵辨别出来。同时,因为检测结果有明显的参照,可以帮助系统管理员采取相应的措施来防止入侵。
升级容易:不少基于特征检测的入侵检测系统都提供了自己的规则定义语言,当新的攻击或者漏洞出现时,厂商或用户只要根据该攻击或者漏洞的特征编写对应的规则,就可以升级系统。
对比
异常检测 | 误用检测 | |
优点 | 不需要专门的操作系统缺陷特征库 有效检测对合法用户的冒充检测 | 可检测所有已知入侵行为 能够明确入侵行为并提示防范方法 |
缺点 | 建立正常的行为轮廓和确定异常行为轮廓的阈值困难 不是所有的入侵行为都会产生明显的异常 | 缺乏对未知入侵行为的检测 对内部人员的越权行为无法进行检测 |
入侵防御系统
引入
传统防火墙加传统IDS的技术,无法应对日益增加的网络攻击技术和网络安全漏洞。
入侵防御技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻止攻击,对滥用报文进行限流以保护网络带宽资源。
入侵防御是一种安全机制,通过分析网络流量,检测入侵,包括缓冲区溢出攻击、木马、蠕虫等,并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统对网络架构免受侵害。
定义
在发现入侵行为时能实时阻断的入侵检测系统。IPS使得IDS和防火墙走向统一,IPS在网络种一般有两种部署方式。
入侵防御是种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后,能自动丢弃入侵报文或者阻断攻击源,从而从根本上避免攻击行为。
优势
实时阻断攻击
深层防护
全方位防护
内外兼防
不断升级,精准防护
部署方式
旁路
SPAN:接在交换机上,通过交换机做端口镜像
TAP:通过专用的流量镜像设备,部署在网络边界。
直路
Inline:串接在网络边界,在线部署,在线阻断。
入侵检测系统与防御系统对比
IDS的主要作用是监控网络状况,侧重于风险管理。
IPS的主要作用是实现阻断入侵行为,侧重于风险控制。
应用场景
NIP能够检测出多种类型的网络攻击
NIP6000的主要的应用场景有互联网边界、IDC服务器前端、网络边界、旁路监控
主要功能
入侵防御设备硬件结构
NIP6000
接口对技术
一进一出两个接口。指流量的进出。
将两个同类型接口组成接口对后,从一个接口进入的流量固定从另一个接口转发出去,不需要查询MAC地址表。
如果进、出接口配置为同一个接口,则从该接口进入的报文经过设备处理后仍然从该接口转发出去。
IPS是通过直接嵌入到网络流量中实现入侵防御功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另一个端口将它传送到内部系统中,这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。
IPS技术原理
和防火墙区别
1、功能:ips有告警模式和防护模式,而NGFW只有防护模式
2、签名库:IPS全,NGFW不全
3、联动:IPS是纯二层设备,旁路联动防火墙处理,而NGFW没有联动功能。
入侵防御实现机制
重组应用数据------>协议识别和协议解析------>特征匹配----->响应处理。
签名
入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。
如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流.
签名原理
网页访问请求中存在不安全代码:
配置IPS签名,检查是否存在此不安全代码:
一般采用正则表达式的方式:
入侵防御签名分为预定义和自定义签名。预定义签名如果不够用,可以根据流量特征,自己定义签名。
签名缺省动作
每个预定义签名都有缺省的动作,分为:
放行:指对命中签名的报文放行,不记录日志。
告警:指对命中签名的报文放行,但记录日志。
阻断:指丢弃命中签名的报文,阻断该报文所在数据流并记录日志。
签名过滤器
设备升级签名库后会存在大量签名,而这些签名是没有进行分类的,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。
签名过滤器的动作分为:
阻断:丢弃命中签名的报文,并记录日志
告警:对命中签名的报文放行,但记录日志
采用签名的缺省动作,实际动作以签名的缺省动作为准。
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。
入侵防御对数据流的处理
当数据流命中的安全策略中包含入侵防御配置文件时,设备将数据流送入到入侵防御模块,并依次匹配入侵防御配置文件引用的签名(入侵防御对数据流的通用处理见右图)
签名的实际动作由签名缺省动作、签名过滤器和例外签名配置的动作共同决定。
优先级:例外签名>签名过滤器>缺省签名
检测方向
当配置引用了入侵防御配置文件的安全策略时,安全策略的方向是会话发起发的方向,而非攻击流量的方向。
保护内网服务端流量
保护内网客户端流量
安全策略
控制设备对流量转发以及对流量进行内容安全一体化检测的策略。
入侵防御特性配置
步骤
- 升级特征库
- 配置签名
预定义签名的内容不能被修改,但是可以通过查看内容来得知器所检测的入侵的特征,方便后续配置签名过滤器或者例外签名进行排除。
- 配置入侵防御配置文件
- 将符合特定条件的签名引入到入侵防御配置文件中
- 将入侵防御配置文件应用到安全策略中
- 验证与检查
排错思路
1、入侵防御库是否升级(是否有授权),入侵防御库是否是最新的库
2、入侵防御配置是否有错误,配置签名例外,签名过滤器配置错误
3、入侵防御配置文件是否提交
4、安全策略是否调用