文章目录
IDS 入侵检测系统 (旁路部署)
入侵检测(ID Intrusion Detection)通过监视各种操作,实时检测入侵行为的过程,是一种积极动态的安全防御技术。
入侵检测系统(IDS Intrusion Detection System)用于入侵检测的所有软硬件系统,一旦发现有违反安全策略的行为或者系统存在被攻击的痕迹时,立即启动安全机制进行应对,例如断开网络、关闭整个系统、向管理员告警等。
概述
入侵检测系统是通过数据和行为模式判断其风险水平的典型系统,防火墙相当于第一道安全闸门,可以组织一类人群的进入,但无法阻止同一类人群中的破坏分子,也不能组织内部的破坏分子,也不能组织内部的破坏分子;访问控制系统可以不让低级权限的人做越权工作,但无法保证拥有高级权限的人不做破坏行为,也无法保证低级权限的人通过非法行为获得高级权限。入侵检测系统可以说是防火墙系统的合理补充和有力延伸,它的目的是为响应决策提供威胁证据,在不影响网络部署的前提下,实时、动态地检测来自内部和外部的各种攻击,及时、准确、全面的发现入侵。这可以有效覆盖到防火墙检测和保护的盲区,通过与防火墙协同联动,达到有效网络安全防护
意义
防火墙最主要的就是解决好两个信任程度不同的两个网络间的访问控制问题、然后入侵检测再解决我们内部的问题、内部的数据流动、信息访问的这种安全可控的问题
入侵检测系统的特点
监测速度快
隐蔽性好
视野更宽
较少的监测器
攻击者不易转移证据
操作系统无关性
不占用被保护的系统资源
入侵检测的原理
入侵检测采用误用检测或异常检测的方式,发现非授权或恶意的系统及网络行为,为防范入侵行为提供有效的手段。
入侵检测原理
入侵检测系统的结构
入侵检测的技术实现
异常检测模型(Anomaly Detection):首先总结正常操作应该具有的特征,当用户活动与正常行为有重大偏离时即被认为是入侵;异常检测可以发现未知的攻击方法。
误用检测模型(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库;当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。误用检测适用于对已知模式的可靠检测。误用检测也称为特征检测(Signature-based Detection)
异常检测与误用检测的优缺点
异常检测
优点:
不需要专门维持操作系统缺陷特征库;
有效检测对合法用户的冒充检测;
缺点:
建立正常的行为轮廓和确定异常行为轮廓的阈值困难;
不是所有的入侵行为都会产生明显的异常;
误用检测
优点:
可检测所有已知的入侵行为;
能够明确入侵行为并提示防范方法;
缺点:
缺乏对未知入侵行为的检测;
对内部人员的越权行为无法进行检测;
入侵检测系统评价指标
入侵检测系统主要从以下方面进行的评价:
• 可靠性,指系统的容错能力和可持续运行能力;
• 可用性,指系统开销大小,对网络性能影响的大小;
• 可测试,指系统能够通过模拟攻击进行检测测试;
• 适应性,指系统易于开发和扩展;
• 实时性,指系统能够及早发现入侵企图;
• 安全性,指系统可确保自身的安全;
• 准确性,指系统正确识别入侵行为的能力。
IPS 入侵防御系统(串行部署)
入侵防御技术
入侵防御技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。入侵防御技术是种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后,能自动丢弃入侵报文或阻断攻击源,从而从根本上避免攻击行为。
入侵防御技术优势
实时阻断攻击:设备采用直路方式部署在网络中,能够在检测到入侵时,实时对入侵活动和攻击性网络流量进行拦截,把其对网络的入侵降到最低。
深层防护:由于新型的攻击都隐藏在TCP/IP协议的应用层里,入侵防御能检测报文应用层的内容,还可以对网络数据流重组进行协议分析和检测,并根据攻击类型、策略等来确定哪些流量应该被拦截。
全方位防护:入侵防御可以提供针对蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI(Common Gateway Interface)攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等攻击的防护措施,全方位防御各种攻击,保护网络安全。
内外兼防:入侵防御不但可以防止来自于企业外部的攻击,还可以防止发自于企业内部的攻击。系统对经过的流量都可以进行检测,既可以对服务器进行防护,也可以对客户端进行防护。
不断升级,精准防护:入侵防御特征库会根据持续更新特征库,以保持最高水平的安全性。您可以从升级中心定期升级设备的特征库,以保持入侵防御的持续有效性
入侵防御系统
对系统的运行状态进行检视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性
打个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求是:IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里,“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文
入侵检测系统与入侵防御系统对比
IDS主要作用是监控网络状况,但不会对入侵行为采取动作。通常情况下,IDS设备会以旁路的方式接入网络中,与防火墙联动,发现入侵后通知防火墙进行阻断。
IPS会发现入侵行为并阻断入侵行为。与IDS不同的是,IPS会实时阻断入侵行为,是一种侧重于风险控制的安全机制。
系统漏洞
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞问题具有时效性,随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现。漏洞问题会长期存在。
病毒
病毒是一种恶意代码,可感染或附着在应用程序或文件中,一般通过邮件或文件共享进行传播,威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽、窃取用户数据、控制主机权限等。反病毒功能可以通过维护更新病毒特征库保护网络安全,防止病毒文件侵害数据。
开源工具
zeek(贼可)
Zeek是一个开源的、被动网络流量分析软件
它主要被用作安全监测设备来检查链路上的所有流量中是否有恶意活动的痕迹。
但更普遍地,Zeek支持大量安全领域外的流量分析任务,包括性能测量和帮助排查问题
Zeek是一个被动的开源网络流量分析器。许多运营商将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障排除。
新用户从Zeek获得的第一个好处是描述网络活动的大量日志。这些日志不仅包括网络上看到的每个连接的全面记录,还包括应用程序层记录。这些包括所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应,带回复的DNS请求,SSL证书,SMTP会话的关键内容,以及更多。默认情况下,Zeek将所有这些信息写入结构良好的制表符分隔或JSON日志文件中,这些文件适合使用外部软件进行后处理。用户还可以选择让外部数据库或SIEM产品使用,存储,处理和显示数据以进行查询。
除了日志外,Zeek还具有用于一系列分析和检测任务的内置功能,包括:
1.从HTTP会话中提取文件
2.通过与外部注册表进行接口来检测恶意软件
3.报告网络上可见的易受攻击的软件版本
4.识别流行的网络应用程序
5.检测SSH暴力破解
6.验证SSL证书链
uricata(撒瑞K特)
Suricata是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。
Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。
snort(死诺特)
Snort是世界最顶尖的开源入侵检测系统
Snort IDS利用一系列的规则去定义恶意网络活动,against匹配到的报文并给用户告警
Snort主要用法,第一种类似TCP dump,作为网络sniffer使用,调试网络流量,第二种用于特征识别的网络入侵检测
线上Snort规则一种是免费的社区规则,一种是付费的订阅
OPNsense(欧喷色死)防火墙
开源易用的基于安全加固BSD的防火墙和入侵防护系统
稳定的国内镜像
多外网接入和负载均衡
网络流量监控/管理
内部证书授权
防火墙/入侵探测/在线病毒扫描
SSL VPN远程接入服务
DHCP/DNS/NTP
DHCP/DNS自动联动更新
Web透明代理/缓存
Zabbix监控