爲什麼需要 IDS ?
關於防火牆
◼ 網絡邊界的設備,只能抵擋 外部 來 的入侵行爲
◼ 自身存在弱點,也可能被攻破
◼ 即使透過防火牆的保護,合法的使用者仍會非法地使用系統,甚至提升自己的權限
◼ 僅能拒絕非法的連接請求,但是對於入侵者的攻擊行爲仍一無所知
入侵檢測
顧名思義,是指 通過對計算機網絡或計算機系統中的若干關鍵點收集信息並對其進行分析,從中發現網絡或系統中是否有違反安全策略的行爲和被攻擊的跡象。
工作過程
信息收集
◼ 傳感器從信息源收集系統、網絡、狀態和行爲信息。
信息分析
◼ 從信息中查找和分析表徵入侵的異常和可疑信息。
告警與響應
◼ 根據入侵性質和類型,做出相應的告警和響應
入侵檢測系統分類
按照分析方法(檢測方法)
1 、異常檢測 模型( Anomaly Detection ): 需要建立目標系統及其用戶的 正常活動模型 ,然後基於這個模型對系統和用戶的實際活動進行審計,當 主體活動違反其統計規律 時,則將其視爲可疑行爲。 該技術的關鍵是異常閾值和特徵的選擇 。
◼ 優點是可以發現新型的入侵行爲,漏報少。
◼ 缺點是容易 產生誤報
誤用檢測
假定所有入侵行爲和手段( ( 及其變種) ) 都能夠表達爲一種模式或特徵 ,系統的目標就是檢測主體活動是否符合這些模式。該技術的關鍵是 模式匹配。
優點: : 可以有針對性地建立高效的入侵檢測系統,其 精確度較高,誤報少 。
主要缺陷: 只能發現攻擊庫中已知的攻擊,不能檢測未知的入侵,也不能檢測已知入侵的變種,因此可能發生漏報。且其複雜性將隨着攻擊數量的增加而增加。
特點:採用特徵匹配,誤用檢測能明顯降低誤報率,但漏報率隨之增加。攻擊特徵的細微變化,會使得誤用檢測無能爲力。
根據檢測對象分類
◼ 基於主機的IDS(Host-Based IDS) HIDS 一般主要使用 操作系統的審計日誌 作爲主要數據源輸入,試圖從日誌判斷濫用和入侵事件的線索。
◼ 基於網絡的IDS(Network-Based IDS)
NIDS 在 計算機網絡中的關鍵點 被動地監聽 網絡上傳輸的原始流量 ,對獲取的網絡數據進行分析處理,從中獲取有用的信息,以識別、判定攻擊事件。
◼ 混合型IDS
基於網絡的入侵檢測產品和基於主機的入侵檢測產品都有不足之處,單純使用一類產品會造成主動防禦體系不全面。但是,它們的缺憾是互補的。如果這兩類產品能夠無縫結合起來部署在網絡內,則會構架成一套完整立體的主動防禦體系,綜合了基於網絡和基於主機兩種結構特點的入侵檢測系統,既可發現網絡中的攻擊信息,也可從系統日誌中發現異常情況。
入侵檢測的部署
與防火牆不同,入侵檢測主要是一個監聽和分析設備,不需要跨接在任何網絡鏈路上,無需網絡流量流經它,便可正常工作。
對入侵檢測系統的部署,唯一的要求是: 應當掛接在所有所關注的流量都必須流經的鏈路上,即IDS 採用旁路部署方式接入網絡。 這些流量通常是指需要進行監視和統計的網絡報文。
IDS 和防火牆均具備對方不可代替的功能,因此在很多應用場景中, IDS 與防火牆共存,形成互補。
入侵防禦系統 IPS
主動防禦能力的需求
雖然傳統的安全防禦技術在某種程度上對防止系統非法入侵起到了一定的作用,但這些安全措施自身存在許多缺點,尤其是對網絡環境下日新月
異的攻擊手段缺乏 主動防禦能力
主動防禦能力是指:系統不僅要具有入侵檢測系統的入侵發現能力和防火牆的靜態防禦能力,還要有針對當前入侵行爲動態調整系統安全策略,阻止入侵和對入侵攻擊源進行主動追蹤和發現的能力。
入侵防禦系統IPS(Intrusion PreventionSystem,也有稱作Intrusion DetectionPrevention,即IDP)作爲IDS的替代技術誕生了。
IPS 是一種主動的、智能的入侵檢測、防範、阻止系統, 其設計旨在預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成任何損失,而不是簡單地在惡意流量傳送時或傳送後才發出警報 。 它部署在網絡的 邊界 ,當它檢測到攻擊企圖後,它會自動地將攻擊包丟掉或採取措施將攻擊源阻斷。
網閘
簡介
⚫ 網閘(GAP)全稱安全隔離網閘。
⚫ 安全隔離網閘是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接,並能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。
⚫ 相比於防火牆,能夠對應用數據進行過濾檢查,防止泄密、進行病毒和木馬檢查。
部署
部署於不同區域之間物理隔離、不同網絡之間物理隔離、網絡邊界物理隔離,也常用於數據同步、信息發佈等。
抗DDOS牆簡介
DDOS全名是Distribution Denial of service(分佈式拒絕服務攻擊)
⚫ DoS的攻擊方式有很多種,最基本的Dos攻擊就是利用合理的服務請求來佔用過多的服務資源,從而使服務器無法處理合法用戶的指令。
⚫ DDoS防火牆其獨特抗攻擊算法,高效的主動防禦系統可有效防禦DoS/DDoS、SuperDDoS、DrDoS、代理CC、變異CC、UDPFlood、變異
UDP、隨機UDP、ICMP、IGMP、SYN、SYNFLOOD、ARP攻擊等多種未知攻擊。
上網行爲管理簡介
⚫ 上網行爲管理是指幫助互聯網用戶控制和管理對互聯網的使用,包括對網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發審計、用戶行爲分析。
⚫ 專用於防止非法信息惡意傳播,避免國家機密、商業信息、科研成果泄漏的產品;
⚫ 並可實時監控、管理網絡資源使用情況,提高整體工作效率。
⚫ 主要功能:上網人員管理、郵件管理、網頁發帖管理、上網應用管理、流量管理、行爲分析
統一威脅管理UTM
市場分析諮詢機構IDC這樣定義UTM:這是一類集成了常用安全功能的設備,必須包括傳統防火牆、網絡入侵檢測與防護和網關防病毒功能,並且可能會集成其他一些安全或網絡特性。
❖ UTM可以說是將防火牆、IDS系統、防病毒和脆弱性評估等技術的優點與自動阻止攻擊的功能融爲一體。
❖ 應當說,UTM和NGFW只是針對不同級別用戶的需求,對宏觀意義上的防火牆的功能進行了更有針對性的歸納總結,是互爲補充的關係
小結
總結:發展趨勢
由於網絡攻擊技術的不確定性,靠單一的產品往往不能夠滿足不同用戶的不同安全需求。信息安全產品的發展趨勢是不斷地走向融合,走向集中管理。
通過採用協同技術,讓網絡攻擊防禦體系更加有效地應對重大網絡安全事件,實現多種安全產品的統一管理和協同操作、分析,從而實現對網絡攻擊行爲進行全面、深層次的有效管理,降低安全風險和管理成本,成爲網絡攻擊防護產品發展的一個主要方向。