为什么需要 IDS ?
关于防火墙
◼ 网络边界的设备,只能抵挡 外部 来 的入侵行为
◼ 自身存在弱点,也可能被攻破
◼ 即使透过防火墙的保护,合法的使用者仍会非法地使用系统,甚至提升自己的权限
◼ 仅能拒绝非法的连接请求,但是对于入侵者的攻击行为仍一无所知
入侵检测
顾名思义,是指 通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
工作过程
信息收集
◼ 传感器从信息源收集系统、网络、状态和行为信息。
信息分析
◼ 从信息中查找和分析表征入侵的异常和可疑信息。
告警与响应
◼ 根据入侵性质和类型,做出相应的告警和响应
入侵检测系统分类
按照分析方法(检测方法)
1 、异常检测 模型( Anomaly Detection ): 需要建立目标系统及其用户的 正常活动模型 ,然后基于这个模型对系统和用户的实际活动进行审计,当 主体活动违反其统计规律 时,则将其视为可疑行为。 该技术的关键是异常阈值和特征的选择 。
◼ 优点是可以发现新型的入侵行为,漏报少。
◼ 缺点是容易 产生误报
误用检测
假定所有入侵行为和手段( ( 及其变种) ) 都能够表达为一种模式或特征 ,系统的目标就是检测主体活动是否符合这些模式。该技术的关键是 模式匹配。
优点: : 可以有针对性地建立高效的入侵检测系统,其 精确度较高,误报少 。
主要缺陷: 只能发现攻击库中已知的攻击,不能检测未知的入侵,也不能检测已知入侵的变种,因此可能发生漏报。且其复杂性将随着攻击数量的增加而增加。
特点:采用特征匹配,误用检测能明显降低误报率,但漏报率随之增加。攻击特征的细微变化,会使得误用检测无能为力。
根据检测对象分类
◼ 基于主机的IDS(Host-Based IDS) HIDS 一般主要使用 操作系统的审计日志 作为主要数据源输入,试图从日志判断滥用和入侵事件的线索。
◼ 基于网络的IDS(Network-Based IDS)
NIDS 在 计算机网络中的关键点 被动地监听 网络上传输的原始流量 ,对获取的网络数据进行分析处理,从中获取有用的信息,以识别、判定攻击事件。
◼ 混合型IDS
基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处,单纯使用一类产品会造成主动防御体系不全面。但是,它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内,则会构架成一套完整立体的主动防御体系,综合了基于网络和基于主机两种结构特点的入侵检测系统,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。
入侵检测的部署
与防火墙不同,入侵检测主要是一个监听和分析设备,不需要跨接在任何网络链路上,无需网络流量流经它,便可正常工作。
对入侵检测系统的部署,唯一的要求是: 应当挂接在所有所关注的流量都必须流经的链路上,即IDS 采用旁路部署方式接入网络。 这些流量通常是指需要进行监视和统计的网络报文。
IDS 和防火墙均具备对方不可代替的功能,因此在很多应用场景中, IDS 与防火墙共存,形成互补。
入侵防御系统 IPS
主动防御能力的需求
虽然传统的安全防御技术在某种程度上对防止系统非法入侵起到了一定的作用,但这些安全措施自身存在许多缺点,尤其是对网络环境下日新月
异的攻击手段缺乏 主动防御能力
主动防御能力是指:系统不仅要具有入侵检测系统的入侵发现能力和防火墙的静态防御能力,还要有针对当前入侵行为动态调整系统安全策略,阻止入侵和对入侵攻击源进行主动追踪和发现的能力。
入侵防御系统IPS(Intrusion PreventionSystem,也有称作Intrusion DetectionPrevention,即IDP)作为IDS的替代技术诞生了。
IPS 是一种主动的、智能的入侵检测、防范、阻止系统, 其设计旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报 。 它部署在网络的 边界 ,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。
网闸
简介
⚫ 网闸(GAP)全称安全隔离网闸。
⚫ 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
⚫ 相比于防火墙,能够对应用数据进行过滤检查,防止泄密、进行病毒和木马检查。
部署
部署于不同区域之间物理隔离、不同网络之间物理隔离、网络边界物理隔离,也常用于数据同步、信息发布等。
抗DDOS墙简介
DDOS全名是Distribution Denial of service(分布式拒绝服务攻击)
⚫ DoS的攻击方式有很多种,最基本的Dos攻击就是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。
⚫ DDoS防火墙其独特抗攻击算法,高效的主动防御系统可有效防御DoS/DDoS、SuperDDoS、DrDoS、代理CC、变异CC、UDPFlood、变异
UDP、随机UDP、ICMP、IGMP、SYN、SYNFLOOD、ARP攻击等多种未知攻击。
上网行为管理简介
⚫ 上网行为管理是指帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。
⚫ 专用于防止非法信息恶意传播,避免国家机密、商业信息、科研成果泄漏的产品;
⚫ 并可实时监控、管理网络资源使用情况,提高整体工作效率。
⚫ 主要功能:上网人员管理、邮件管理、网页发帖管理、上网应用管理、流量管理、行为分析
统一威胁管理UTM
市场分析咨询机构IDC这样定义UTM:这是一类集成了常用安全功能的设备,必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能,并且可能会集成其他一些安全或网络特性。
❖ UTM可以说是将防火墙、IDS系统、防病毒和脆弱性评估等技术的优点与自动阻止攻击的功能融为一体。
❖ 应当说,UTM和NGFW只是针对不同级别用户的需求,对宏观意义上的防火墙的功能进行了更有针对性的归纳总结,是互为补充的关系
小结
总结:发展趋势
由于网络攻击技术的不确定性,靠单一的产品往往不能够满足不同用户的不同安全需求。信息安全产品的发展趋势是不断地走向融合,走向集中管理。
通过采用协同技术,让网络攻击防御体系更加有效地应对重大网络安全事件,实现多种安全产品的统一管理和协同操作、分析,从而实现对网络攻击行为进行全面、深层次的有效管理,降低安全风险和管理成本,成为网络攻击防护产品发展的一个主要方向。