安全防御——IDS(入侵检测系统)
- IDS介绍
- 为什么需要IDS
- IDS的工作原理
- IDS的工作过程
-
- 第一步:信息收集
- 第二步:数据分析
- IDS的主要检测方法
-
- 1、模式匹配(误用检测)
- 2、统计分析(异常检测)
- 3、完整性分析(异常检测)
- 4、融合使用异常检测与误用(特征)检测
- 防火墙与IDS的区别
- IDS的架构
- IDS的部署方式
- IDS的接入方式:并行接入(并联)
- IDS的作用
- IDS的功能
- IDS的分类
-
- 根据数据源分类
- 根据检测原理分类
- 根据体系结构分类
- 根据工作方式分类
- IDS的局限性
- IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
- 实验
-
- 要求:
- 解答:
-
- 1、IP地址规划以及拓扑规划
- 2、配置云朵Cloud1
- 3、配置防火墙FW1
- 4、配置内网
- 5、配置外网
- 6、测试
IDS介绍
IDS(intrusion detection system)入侵检测系统是一种对网络传输进行实时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
专业上讲IDS就是依照一定的安全策略,对网络、系统的运行状况进行实时监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
为什么需要IDS
打一个形象的比喻:假如防火墙是一幢大楼的防盗门和安全锁,那么IDS(入侵检测系统)就是这幢大楼里的监视系统。一旦有小偷通过爬窗进入大楼,或者内部人员有越界行为,实时监视系统就会发现情况并发出警告。
实用检测
实时地监视,分析网络中所有的数据报文发现并实时处理所捕获的数据报文
安全审计
对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态,找出所需证据
主动响应
主动切断连接或与防火墙联动,调用其他程序处理
IDS的工作原理
IDS不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文,入侵检测系统提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。
IDS的工作过程
第一步:信息收集
收集的内容包括系统、网络、数据及用户活动的状态和行为。
入侵检测利用的信息一般来自以下四个方面:
系统日志:黑客经常在系统日志中留下他们的踪迹,因此,充分利用系统日志是非常重要的
目录以及文件的异常改变:网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文 件和私有数据文件经常是黑客修改或破坏的目标
程序执行中的异常行为:网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程 序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一 到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控 制着进程可访问的系统资源、程序和数据文件等。一个进程出现了不期望 的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行 分解,从而导致运行失败,或者是以非用户或非管理员意图的方式操作
物理形式的入侵信息:这包括两个方面的内容,一是未授权的对网络硬件连接;二是对物理 资源的未授权访问
第二步:数据分析
一般通过三种技术手段进行分析: 模式匹配, 统计分析和完整性分析。 其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
模式匹配:模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据 库进行比较,从而发现违背安全策略的行为
统计分析 :统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值如果超过了正常值范围,就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应 用户正常行为的突然改变。
完整性分析:完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和 目录的内容及属性,它在发现被修改成类似特洛伊木马的应用程序方面特 别有效。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是有入侵行为导致了文件或其他对象的任何改变,它都能够发现。缺点是 一般以批处理方式实现,不用于实时响应。
入侵检测是防火墙的一个有力补充,形成防御闭环,可以及时、准确、全面的发现入侵弥补防火墙对应用层检查的缺失。
IDS的主要检测方法
1、模式匹配(误用检测)
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化。
模式的表示方式:
(1)一个过程—如通过字符串匹配以寻找一个简单的条目或指令并执行
(2)一个输出—如获取权限
优点:只需收集相关的数据集合,显著减少系统负担且技术已相当成熟,检测准确度和检测效率高
缺点:需要不断的升级以对付不断出现的异常攻击手法,不能检测到从未出现过的黑客攻击手段
关键问题
要识别所有的攻击特征,就要建立完备的特征库
特征库要不断更新
无法检测新的入侵
2、统计分析(异常检测)
统计分析方法首先给信息对象(如用户、连接、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常偏差之外时,就认为有入侵发生
方法:创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)
优点:可检测到未知的入侵和更为复杂的入侵
缺点:误报、漏报率高,且不适应用户正常行为的突然改变,具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法等正在研发中的
关键问题
“正常”行为特征的选择
统计算法、统计点的选择
3、完整性分析(异常检测)
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制(签名),称为消息摘要函数(例如MD5),能识别及其微小的变化,以此判断入侵
方法:建立完整性分析对象(文件/目录/数字资源)在正常状态时的完整性签名,匹配签名值是否发生变化
优点:不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现
缺点:一般以批处理方式实现,不用于实时响应
4、融合使用异常检测与误用(特征)检测
防火墙与IDS的区别
区别:
功能上:
IDS作用是监控数据、异常告警、超限阻止等;
防火墙的作用是隔离非授权用户在区域间并过滤对受保护网络有害流量或数据包
工作性质上:
防火墙是针对异常攻击的一种被动的防御,旨在保护;
IDS则是主动出击寻找潜在的攻击者,发现入侵行为;
防火墙只是防御为主,通过防火墙的数据便不再进行任何操作;
IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补
防火墙看起来可以防止外部威胁进入我们的内部网络,但它并不能监控网络内部所发生的攻击行为,所以很多厂商会在防火墙中整合IDS(入侵检测系统)和IPS(入侵防御系统),URL过滤、防病毒等然后就做UTM( 统一威胁管理)。
对IDS的部署的唯一要求就是:IDS应当挂接在所有所关注流量都必须流经的链路上。
在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选在:(1)尽可能靠近攻击源(2)尽可能靠近受保护资源
这些位置通常是:服务器区域的交换机上边界路由器的相邻交换机上重点保护网段的局域网交换机上
IDS的架构
事件产生器:它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
事件分析器:分析数据,发现危险、异常事件,通知响应单元
响应单元:对分析结果作出反应
事件数据库:存放各种中间和最终数据
IDS的部署方式
共享模式和交换模式:从 HUB 上的任意一个接口,或者在交换机上做端口镜像的端口上收集信息。隐蔽模式:在其他模式的基础上将探测器的探测口 IP 地址去除,使得 IDS 在对外界不可见的情况下正常工作。Tap 模式:以双向监听全双工以太网连接中的网络通信信息,能捕捉到网络中的所有流量,能记录完整的状态信息使得与防火墙联动或发送 Reset 包更加容易。In-line 模式:直接将 IDS 串接在通信线路中,位于交换机和路由器之间。这种模式可以将威胁通信包丢弃,以实时阻断网络攻击。混合模式:通过监听所有连接到防火墙的网段,全面了解网络状况。
IDS的接入方式:并行接入(并联)
IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源,尽可能靠近受保护资源。
旁挂:需要在部署旁挂设备上使用端口镜像的功能,把需要采集的端口流量镜像到IDS旁挂口。
可以使用集线器、分光器实现流量复制。
IDS的作用
防火墙的重要补充
构建网络安全防御体系重要环节
克服传统防御机制的限制
IDS的功能
入侵检测系统能在入侵攻击对系统发生危害前检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,尽可能的减少入侵攻击所造成的损失,在攻击后,能收集入侵攻击的相关信息,作为防范系统的知识添加到知识库中,从而增强系统的防范能力。
(1)监视、分析用户及系统活动。
(2)对系统构造和弱点的审计。
(3)识别反映已知进攻的活动模式并报警。
(4)异常行为模式的统计分析。
(5)评估重要系统和数据文件的完整性。
(6)对操作系统的审计追踪管理,并识别用户违反安全策略的行为。
IDS的分类
根据数据源分类
1 基于主机的入侵检测系统(HIDS)
主要用于保护运行关键应用的服务器,通过监视与分析主机的审计记录和日志文件来检测入侵,日志中包含发生在系统上的不寻常活动的证据,这些证据可以指出有人正在入侵或者已经成功入侵了系统,通过查看日志文件,能够发现成功的入侵或入侵企图,并启动相应的应急措施。
2 基于网络的入侵检测系统(NIDS)
主要用于实时监控网络关键路径的信息,它能够监听网络上的所有分组,并采集数据以分析现象。基于网络的入侵检测系统使用原始的网络包作为数据源,通常利用一个运行在混杂模式下的网络适配器来进行实时监控,并分析通过网络的所有通信业务。
根据检测原理分类
1 异常入侵检测。
异常入侵检测是指能够根据异常行为和使用计算机资源的情况检测入侵。基于异常检测的入侵检测首先要构建用户正常行为的统计模型,然后将当前行为与正常行为特征相比较来检测入侵。常用的异常检测技术有概率统计法和神经网络方法两种。
2 误用入侵检测。
误用入侵检测技术是通过将收集到的数据与预先确定的特征知识库里的各种攻击模式进行比较,如果发现有攻击特征,则判断有攻击。完全依靠特征库来做出判断,所以不能判断未知攻击。常用的误用检测技术有专家系统、模型推理和状态转换分析。
根据体系结构分类
1.集中式
集中式入侵检测系统包含多个分布于不同主机上的审计程序,但只有一个中央入侵检
测服务器,审计程序把收集到的数据发送给中央服务器进行分析处理。这种结构的入侵检测系统在可伸缩性、可配置性方面存在致命缺陷。随着网络规模的增加,主机审计程序和服务器之间传送的数据量激增,会导致网络性能大大降低。并且一旦中央服务器出现故障,整个系统就会陷入瘫痪。此外,根据各个主机不同需求配置服务器也非常复杂。
2.等级式
在等级式(部分分布式)入侵检测系统中,定义了若干个分等级的监控区域,每个入侵
检测系统负责一个区域, 每一 级入侵检测系统只负责分析所监控区域,然后将当地的分析结果传送给上一级入侵检测系统。这种结构存在以下问题。首先,当网络拓扑结构改变时,区域分析结果的汇总机制也需要做相应的调整:其次,这种结构的入侵检测系统最终还是要把收集到的结果传送到最高级的检测服务器进行全局分析,所以系统的安全性并没有实质性改进。
3.协作式
协作式入侵检测系统将中央检测服务器的任务分配给多个基于主机的入侵检测系统,这些入侵检测系统不分等级,各司其职,负责监控当地主机的某些活动。所以,可伸缩性、安全性都得到了显著的提高,但维护成本也相应增大,并且增加了所监控主机的工作负荷,如通信机制,审计开销,踪迹分析等。
根据工作方式分类
1 离线检测。
离线检测系统是一种非实时工作的系统,在事件发生后分析审计事件,从中检查入侵事件。这类系统的成本低,可以分析大量事件,调查长期情况,但由于是事后进行的,不能对系统提供及时的保护,而且很多入侵在完成后会删除相应的日志,因而无法进行审计。
2 在线监测。
在线监测对网络数据包或主机的审计事件进行实时分析,可以快速响应,保护系统安全,但在系统规模较大时难以保证实时性。
IDS的局限性
对用户知识要求较高,配置、操作和管理使用较为复杂
网络发展迅速,对入侵检测系统的处理性能要求越来越高,现有技术难以满足实际需要
高虚警率,用户处理的负担重
由于警告信息记录的不完整,许多警告信息可能无法与入侵行为相关联,难以得到有用的结果
在应对对自身的攻击时,对其他数据的检测也可能会被抑制或受到影响
IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS的签名:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。
签名过滤器作用:
由于设备升级签名库后会存在大量签名,而这些签名没有进行分类,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。
签名过滤器的动作分为:
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
采用签名的缺省动作,实际动作以签名的缺省动作为准。
例外签名配置作用:
为了就是用于更细致化的进行IPS流量的放行。
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
放行:对命中的报文方向=行,且不记录日志。
实验
要求:
解答:
1、IP地址规划以及拓扑规划
2、配置云朵Cloud1
3、配置防火墙FW1
1)给防火墙添加防火墙设备包USG6000-enspv1.3
2)启动防火墙FW1,输入账号和密码
账号:admin
密码:Admin@123
并且修改原密码,设置新密码
3)从第1)步可以看出,云朵和防火墙之间设置的网段是192.168.0.0/24,所以要给防火墙的GE0/0/0接口修改IP地址,改为192.168.0./24。
4)在浏览器上输入与云朵直连的防火墙的GE0/0/0接口的IP地址,我这里是192.168.0.1
并且输入账号和密码,点击登录
得到以下网页
4、配置内网
5、配置外网
6、测试
完成实验
查看全文
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.dgrt.cn/a/8144.html
如若内容造成侵权/违法违规/事实不符,请联系一条长河网进行投诉反馈,一经查实,立即删除!
相关文章:
安全防御——IDS(入侵检测系统)
安全防御——IDS(入侵检测系统)IDS介绍为什么需要IDSIDS的工作原理IDS的工作过程第一步:信息收集第二步:数据分析IDS的主要检测方法1、模式匹配(误用检测)2、统计分析(异常检测)3、完……
Spark Streaming 总结(未完待续)
Spark Streaming引入1. Spark Streaming 是什么基本思想:Dstream:时间区间:Dstream Graph:持久化:离散化:SparkStreaming与Storm的区别2. 基本架构3. 运行流程引入
实时和离线 数据处理 ? 指的……
MySQL备份与恢复工具之XTRABACKUP
MySQL备份与恢复工具之XTRABACKUP:coffee: 安装:feet: 原理:deer: 用法全量备份与还原STEP 1: BACKUPSTEP 2: PREPARESTEP 3: RESTORE增量备份与还原STEP 1: BACKUPSTEP 2: PREPARESTEP 3: RESTOREPercona XtraBackup是一款开源的MySQL热备份工具。XtraBackup支持对基于InnoDB、……
基于SpringBoot+RabbitMQ+Redis开发的秒杀系统(异步下单、热点数据缓存、解决超卖)
基于SpringBootRabbitMQRedis开发的秒杀系统一、SeckillProject简介开发技术二、实现细节记录1、用户密码两次MD5加密2、分布式session维持会话3、异常统一处理4、页面缓存 对象缓存5、页面静态化6、内存标记 redis预减库存 RabbitMQ异步处理7、解决超卖8、接口限流三、效果……
【Python零基础入门篇 · 34】:进程间的通信-Queue、进程池的构建
文章目录进程间的通信-Queue队列的基本操作进程池的构建概念方法进程间的通信-Queue 可以使用multiprocessing模块的Queue实现了进程之间的数据传递,Queue本身是一个消息队列。
初始化Queue()对象时(例如:qQueue()),若……
03-vue-cli-项目创建
1. 打开存放新建项目的文件夹 打开开始菜单,输入 CMD,或使用快捷键 winR,输入 CMD,敲回车,弹出命令提示符。打开你将要新建的项目目录 2 根据模版创建新项目 在当前目录下输入“vue init webpack项目名称(使……
如何配置CK-S610-A01半导体读写器的RFID工具擦写TI低频玻璃管标签RI-TRP-DR2B-40的UID号
德州仪器TI玻璃管RI-TRP-DR2B-40(RI-TRP-DR2B 32-mm glass transponder)在晶圆半导体业内应用广泛,俗称glass transponder(玻璃转发器),carrier ID(射频标签),其存容量为……
学习java之前端知识掌握Day004
目录
盒子模型
内边距padding
外边距margin
外边距的妙用
盒子型模的尺寸
box-sizing
标准文档流的组成
display属性
浮动
高度塌陷
清除浮动
解决父级边框塌陷的方法
浮动元素后面加空div
设置父元素的高度
父级添加overflow属性 父级添加伪类after
inline-bl……
pwnable.kr 简单题目详细笔记汇总
文章目录fdcollisionbofflagpasscoderandominputlegmistakeshellshockcoin1lottocmd1cmd2uafblukatmemcpyasmunlinkhorcruxespwnable.kr fd pwnable.kr collision pwnable.kr bof pwnable.kr flag pwnable.kr passcode pwnable.kr random pwnable.kr input pwnable.kr leg pwn……
c++ 连接mysql数据库
使用vs2019对window11中的数据库进行连接
1. 配置连接环境 首先需要把mysql中的头文件和库文件放入到c项目工程中
1.打开安装MySQL的目录,在windows系统中如果是默认路径,应该和我的是一样的:C:\Program Files\MySQL\MySQL Server 8.0
2.找……
经验风险最小化
学习理论:
偏差方差权衡(Bias/variance tradeoff)训练误差和一般误差(Training error & generation error)经验风险最小化(Empiried risk minization)联合界引理和Hoeffding不等式……
PCA和协方差的理解
学过概率统计的孩子都知道,统计里最基本的概念就是样本的均值,方差,或者再加个标准差。首先我们给你一个含有n个样本的集合,依次给出这些概念的公式描述,这些高中学过数学的孩子都应该知道吧,一带而过。 很……
hadoop 标准序列化过程
一般的value序列化:(使用构造方法,重写write和readFields和tostring)
标准的序列化反序列化例子(与上面的区别是多了一个compareTo方法(检查key是否相同以及排序)
使用set方法代替构造方法(可……
马尔科夫过程
作者:Yang Eninala链接:https://www.zhihu.com/question/20962240/answer/33438846来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。隐马尔可夫(HMM)好讲,简单易……
Junit测试出现 empty test suite
以下再idea中使用Junit测试 package PFP.Test;/*** Created by lichen on 2017/8/12.*/
public class Person {public void run(){System.out.println("run");}public void eat(){System.out.println("eat");}}package PFP.Test;import org.junit.After;
i……
react3:受控组件(表单默认变成受控)-组件通信 – typescript项目
受控组件:表单
非受控组件表单元素值不受所在组件状态的控制, 我们将这样的表单元素称作: 非受控组件. 受控组件受控组件 : 值受到 React 组件状态控制的表单元素一般是通过 defaultValue 属性, onChange 事件配合将非受控组件变为受控组件. 多表单元素操作 &#……
朴素贝叶斯:分母相对于所有类别为常数
这句话理解: 由于朴素贝叶斯是一个生成模型,用来做分类器使用。 假设总共的类别是{Ck}类,那么假设一封邮件判断它是不是垃圾邮件,Ck{0,1}0代表正常邮件,1代表垃圾邮件。 假设一封邮件X{x(1),x(2),x(3)….x(n)}先验概率&#x……
编程日记2023/4/16 14:50:25
beta分布
作者:小杰链接:https://www.zhihu.com/question/30269898/answer/123261564来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。beta分布介绍 相信大家学过统计学的都对 正态分布 二项分布 均匀分布 等……
混合高斯模型(多元高斯求导)
先理解这个求导,再看CS229中吴恩达对mu,sigma求导…
多目标优化介绍(小生境)
小生境(Niche):来自于生物学的一个概念,是指特定环境下的一种生存环境,生物在其进化过程中,一般总是与自己相同的物种生活在一起,共同繁衍后代。例如,热带鱼不能在较冷的地带生存&am……
编程日记2023/4/16 14:50:23