入侵检测系统部署指南
入侵检测系统部署指南
正如我们大家所知道的那样,互联网的无处不在已经完全改变了我们所知道的网络。过去完全孤立的网络现在连接到了全世界。这种无处不在的连接使企业能够完成过去不可想象的任务。同时,互联网也变成了网络犯罪分子的天堂。入侵检测系统(IDS)通常用于检测不正常的行为,旨在在黑客对你的网络造成实质破坏之前揪出黑客。本技术手册将从基础入门、购买建议、部署建议等方面来详细介绍。
基础入门
入侵检测系统(IDS)通常用于检测不正常的行为,旨在在黑客对你的网络造成实质破坏之前揪出黑客。他们可以是基于网络的,也可以是基于主机的。基于主机的IDS是安装在客户机上的,而基于网络的IDS是在网络上。
入侵检测系统是如何工作的?
快速了解IDS和IPS的区别
购买建议
在你开始评估各种入侵检测和防御系统产品之前,你应当回答一些关于自己的网络环境的问题,并要了解你的单位必须满足的一些外部要求,本文对这些问题和要求进行了总结。
购买IDS和IPS前需要考虑的几个问题
IDS选购最佳建议
部署建议
入侵检测系统(IDS)的选择,部署和维护工作是基于需求和公司现有的基础设施。一个产品可能会很好的为一家公司工作却不适合另一家。选择通常是最难做的决定,由于产品必须满足业务需求,预定的网络基础设施功能正常,并目前由人为支持。
如何确定你的企业是否需要IDS或IPS技术呢?
对于部署入侵检测系统的建议(上)
对于部署入侵检测系统的建议(下)
经费不足企业如何实施IDS?
无线IDS
无线入侵检测,这个词使我们想到安全,但许多无线入侵检测系统(WIDS)产品也可用于进行WLAN的性能监测,为故障排除、微调和使用规划提供有价值的见解。那么你要如何来利用WIDS从而获得更多的信息呢?
如何利用WIDS进行WLAN性能监测?
入侵检测系统是如何工作的?
问:入侵检测系统是如何工作的?
答:入侵检测系统(IDS)通常用于检测不正常的行为,旨在在黑客对你的网络造成
实质破坏之前揪出黑客。他们可以是基于网络的,也可以是基于主机的。基于主机的IDS
是安装在客户机上的,而基于网络的IDS是在网络上。
IDS工作方式可以是检测已知攻击信号,也可以检测反常行为。这些反常或异常行为
增大堆栈,并在协议和应用层被检测到。他们可以有效地检测到诸如Xmas tree扫描,DNS中毒和其他的恶意数据包。
一个基于网络的良好的IDS是SNORT。它是免费的,而且可以在Linux和Windows上
运行。建立起来的一个简单的方法是扫描一个端口,允许这个端口截获所有横跨网络节点
的所有流量。在你的操作系统上安装SNORT,使用“只接受”的网络线缆把它连接到网络
的这一部分。一旦你配置了你的规则,就准备好了。
原文标题:入侵检测系统是如何工作的?
原文链接:https://www.doczj.com/doc/7a12818571.html,/showcontent_44859.htm
(来源:TechTarget中国作者:Michael Gregg 译者:Tina Guo)
快速了解IDS和IPS的区别
正如我们大家所知道的那样,互联网的无处不在已经完全改变了我们所知道的网络。过去完全孤立的网络现在连接到了全世界。这种无处不在的连接使企业能够完成过去不可想象的任务。然而,与此同时还存在一个黑暗面。互联网变成了网络犯罪分子的天堂。这些网络犯罪分子利用这种连接向企业发起了数量空前的多的攻击。当互联网最初开始流行的时候,企业开始认识到它们应该使用防火墙防止对它们实施的攻击。防火墙通过封锁没有使用的TCP和UDP端口发挥作用。虽然防火墙在封锁某些端口的攻击是有效的,但是,有些端口对于HTTP、SMTP和POP3通信是有用的。为了保证这些服务工作正常,对这些常用的服务的对应的端口必须要保持开放的状态。问题是,黑客已经学会了如何让恶意通信通过这些通常开放的端口。
为了应付这种威胁,一些公司开始应用入侵检测系统(IDS)。IDS的思路是监视经过你的防火墙的全部通信并且查找可能是恶意的通信。这个思路在理论上是非常好的,但是,在实际上,IDS系统由于某些原因的影响工作得并不好。
早期的IDS系统通过查找任何异常的通信发挥作用。当检测到异常的通信时,这种行动将被记录下来并且向管理员发出警报。这个过程很少出现问题。对于初始者来说,查找异常通信方式会产生很多错误的报告。经过一段时间之后,管理员会对收到过多的错误警报感到厌烦,从而完全忽略IDS系统的警告。
IDS系统的另一个主要缺陷是它们仅监视主要的通信。如果检测到一种攻击,它将提醒管理员采取行动。人们认为IDS系统采取的这种方法是很好的。总之,由于IDS系统会产生很多的错误报告,你真的愿意让IDS系统对合法的网络通信采取行动吗?
在过去的几年里,IDS系统已经有了很大的进步。目前,IDS系统的工作方式更像是一种杀毒软件。IDS系统包含一个名为攻击签名的数据库。这个系统不断地把入网的通信与数据库中的信息进行比较。如果检测到攻击行动,IDS系统就发出这个攻击的报告。
比较新的IDS系统比以前的系统更准确一些。但是,这个数据库需要不断地更新以保持有效性。而且,如果发生了攻击并且在数据库中没有相匹配的签名,这个攻击可能就会被忽略。即使这个攻击被检测到了并且被证实是一种攻击,IDS系统除了向管理员发出警报和记录这个攻击之外没有力量做出任何事情。
这就是入侵防御系统(IPS)的任务了。IPS与IDS类似,但是,IPS在设计上解决了IDS的一些缺陷。
对于初始者来说,IPS位于你的防火墙和网络的设备之间。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。相比之下,IDS只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。
IPS检测攻击的方法也与IDS不同。目前有很多种IPS系统,它们使用的技术都不相同。但是,一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定
这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。
正如你所看到的,IDS和IPS系统有一些重要的区别。如果你要购买有效的安全设
备,如果你使用IPS而不是使用IDS,你的网络通常会更安全。
原文标题:快速了解IDS和IPS的区别
原文链接:https://www.doczj.com/doc/7a12818571.html,/showcontent_12057.htm
(来源:TechTarget中国作者:Brien M. Posey)
购买IDS和IPS前需要考虑的几个问题
在你开始评估各种入侵检测和防御系统产品之前,你应当回答一些关于自己的网络环境的问题,并要了解你的单位必须满足的一些外部要求。本文对这些问题和要求进行了总结,内容如下:
1、你的网络架构是什么?对这个问题的回答可有助于构建一个网络图示,其中显示的是到达其它网络的所有连接,还有所有主机的位置。
2、每个需要IDS和IPS保护的设备上分别运行着哪些操作系统、网络服务以及应用程序?这个问题的回答有助于针对自己的环境选择优化产品。
3、是否有非安全系统(如网络管理系统)需要与入侵检测和防御系统进行集成?这一点有助于决定是否需要IDS或IPS与其它产品的协同性。
4、你需要IDS和IPS防御哪些类型的威胁(内部威胁或来自外部入侵者的威胁)?对这个问题的回答越具体越好。
5、贵单位有没有明确清晰的安全策略?这些安全策略概述了哪些安全目标(如机密性和可用性)?管理目标是什么,这方面包括隐私保护和法律责任。
6、公司处理违反具体安全策略的过程是什么?哪些类型的侵犯或攻击应当引起自动的直接响应?对这个问题的回答有助于决定所选择的产品的性能。
7、对于违反使用策略或其它的不安全因素,你需要监视用户行为和网络的使用吗?
8、贵单位的审计需求规定了IDS或IPS必须提供某些功能吗?这对于选择适合本单位需要的产品是很有用的。
9、贵单位的系统需要鉴定合格吗?评审机构是否对IDS或IPS有特定的要求?这方面体现出企业外部对企业的安全要求。
10、贵单位必须满足关于IDS或IPS的功能要求(涉及到执法的调查和安全事件的解决)吗?在借助IDS或IPS的日志作为证据时,这一点尤为重要。
11、贵单位必须满足加密要求吗?例如,有的机构必须购买使用了经认证的加密算法的安全产品。
12、贵单位需要IT人员全天候监视IDS或IPS吗?有些产品需要持续地监视和维
护,所以如果你并没有专门的人员来做这项工作,就应当考虑购买一种无需人监管的产
品。
上述这些问题针对购买IDS或IPS的各个方面,为用户制定IDS或IPS购买决策提供
了一个检查清单。任何单位在购买这类安全产品时,都应当针对这些问题的回答做出适当
的选择。
原文标题:购买IDS和IPS前需要考虑的几个问题
原文链接:https://www.doczj.com/doc/7a12818571.html,/showcontent_40037.htm
(来源:TechTarget中国作者:茫然)
IDS选购最佳建议
公司正在准备购买IDS设备,并且已经挑定了几个品牌。哪些资料可以用来帮助我们
来最终确定选购选择哪家的产品呢?我们知道这些IDS产品有许多相似的特性,我们应该
如何依据标准检查程序并争取到合理的价钱呢?
TechTarget特约专家Mike Rothman,META Group的首位网络安全分析师,他表示,
拥有多种选择在采购安全产品过程中是十分重要的。由于IDS已经是一项成熟的技术,不
同厂商的产品在技术上差异不是很大。事实上如果你只关心IDS产品的性能,你也许更应
该关注开源工具Snort。它通常被认为是评价IDS的三项重要标准之一,而且价格是免费的。
一般而言,在选购产品时不应该被产品评语、产品认证之类的检测结果所左右。这些
资源无疑可以帮助安全专家去了解产品,在一定层面上对产品做出比较,但是这些并无法
代替安装并测试产品是否可以满足特殊组织的工作要求。
在这种情况下,如果时间充裕,还是应该实施这些产品在模拟实验环境中。除非经过
测试,否则人们很难知道一个产品是否可以满足特定环境的工作需要。检测中你可能会发
现用户操作使用你并不适应,升级更新过于烦琐以及其他一些麻烦。这一切都要经过测
试,否则一切都很难说。
一旦你选定了在你的公司使用何种IDS设备,便要开始商讨价钱。切记在讨价还价前
一定要确定你所选购的机器是可以使用于你的环境要求的。
原文标题:IDS选购最佳建议
原文链接:https://www.doczj.com/doc/7a12818571.html,/showcontent_46085.htm
(来源:TechTarget中国作者:Mike Rothman)
IDS vs.IPS: 如何确定你的企业是否需要此类技术?
对于那些考虑使用入侵检测系统(IDS)和入侵防御系统(IPS)的企业来说,最困难的一个任务就是要确定什么时候需要这些技术,以及它们能够做什么。市面上的产品种类繁多:如防火墙、应用程序防火墙、统一威胁管理(UTM)设备、异常监测和入侵防护等,企业很难从中做出选择,也很难确定哪些产品是最适合自己的。
有的企业可能还在研究是否可以用IPS代替IDS,或者是否有必要同时使用这两种产品进行全方位的保护。分层的安全和不正确的操作之间通常存在着明显的界限。在本文中我们会对IDS和IPS进行一次对比,其中包括:两种技术能够提供的基本功能以及保护类型、两种技术在实际应用中的区别以及这两种技术的几个常用实例。
IDS vs.IPS:保护范围
对于不太熟悉IDS的人来说,IDS是一种监视未授权或者恶意网络活动的软件或者设备。IDS使用预先设定的规则,检查网络端点配置,确定它们是否容易受到攻击(这叫做基于主机的IDS);它还可以记录网络中的活动,并与已知的攻击或者攻击类型进行对比(这叫做基于网络的IDS)。该技术已经存在很多年了,而且里面添加了各种附加功能,其中包括高级签名。而且,免费的开源IDS产品(比如Snort 和OSSEC)也很受欢迎。
反之,IPS不仅能够监测由恶意代码、僵尸网络、病毒以及有针对性的攻击引起的不良数据包,还能够在破坏发生之前采取行动,从而保护网络。你可能认为你的网络不值得黑客去攻击,但是你要知道许多犯罪分子会使用自动扫描来探测互联网,对每个网络都进行探测,以便记录漏洞,供日后使用。这些攻击者可能在寻找特定的敏感数据或知识产权,或者对任何到手的东西都感兴趣,比如说员工信息、财务记录或者客户数据等。
在基础设施中的恶意软件引起破坏之前,性能良好的IDS或者IPS就能够有效地识别它们。比如,我们假设攻击者试图在你的网络中偷偷放入一个木马。该恶意代码可能已经将木马放入,并可能在静静地等待时机。这是开始的状态,激活后它会变成严重威胁。如果装有合适的入侵检测系统,当攻击者试图激活该恶意代码时,IDS或者IPS就会识别这种活动并立即采取措施,要么报警,要么进行防御。
不过,那些用来监测普通网络的传统防火墙很有可能对这种攻击一无所知。如果此类攻击附着在看起来正常的网络流量中,也有可能避开异常监测引擎。这些技术和入侵检测与防御系统的区别在于IDS/IPS可以进行更深层次的包监测,不仅分析数据包的来源和去向,而且还能分析它的内容,以此确定它们是否在对系统发起攻击。这些数据是决定包的特性是否与未授权或者恶意行动相对应的关键,这种情况可能是攻击的前兆。当攻击者采用畸形的或者老式数据包来伪装一次攻击时,IDS/IPS技术能够更加智能地处理危险的攻击内容。
IDS vs.IPS: 两种技术的区别
行业中人们对此有几种观点:有人认为IDS和IPS是独立的、可持续的技术;有人认为IDS是一种逐渐过时的技术,应该被IPS替代。在对IDS和IPS进行比较时,我更倾向于前者;IDS系统有许多具体的使用案例,比如,当信息安全人员需要识别攻击或者漏洞,而不需要采取任何措施的时候。这种检测最明显的使用案例包括:不需要停止攻击(收集数据或者监视蜜罐)的情况;安全团队没有权限去停止攻击(如果所观察的网络不是我们的)的情况;还有当我们想要监测日志,需要跨越安全来进行的情况。举个很好的例子:没有足够资金支付与主要生产合作伙伴的服务器连接的制造企业。在这种情况下,企业可以决定牺牲即时安全(immediate security)来获取持续的商业运作。类似的,IPS最适用于需要监测并阻止或防御攻击的企业,因为安全是这些企业最重要的东西,企业需要积极主动地保护重要资产;而IDS只能显示出攻击的存在,阻止入侵则是管理员的事情。
我们来看以下几种情况,来了解IDS和IPS是如何处理它们的。
处理已知的漏洞
应用程序和主机类型众多的企业可能会发现,将预定义和自定义规则结合起来,也是一个处理应用程序或者业务过程缺陷的权宜之计。如果企业不中断其他的主机功能,就不能为某个系统打补丁,那么IPS可能是下一步最好的选择,因为适当的IPS规则可以在入侵到达服务器之前就对已知漏洞进行防护。
IDS和IPS能够模拟主机响应,这让它们可以发现、阻止或者警告对受保护的服务器有负面作用或者去破解数据的攻击。这些措施可以用在网络之间的网关上(很像防火墙),或者用在处于受保护资源之前的内部基础设施中。在保护Web服务器或者其他能够访问互联网的应用程序或者设备不受外部攻击时,我们推荐使用网关或者面向外界的方法;而在保护特定的高价值资产时,我们推荐使用内部保护,比如有些恶意软件会从可信端点攻击任务优先的应用程序服务器,有时甚至还可能会存在内部攻击等。
相关数据
受欢迎的IDS和IPS设备提供非常全面的日志记录和数据收集功能。即便没有任何行动的警报,系统在受到攻击之后,从这些设备和传感器中收集到的数据也可用于事件关联(event correlation)和网络取证。比如,如果发现一些关键的生产服务器被入侵或者受到攻击,拥有IDS和IPS的企业在试图分离出导致这次入侵的事件时会有相当大的优势。这种数据在攻击期间和攻击之后都是分析的关键,而且对企业的事件响应和规则遵从审计会有所帮助。
结论
入侵检测系统像其他事物一样,都是服务于业务宗旨或者满足一个目标。这些仅仅是
最常见的IDS和IPS使用案例,本文只是提供了最基本的东西,便于大家理解这种技术是
否满足企业要求。如果你的环境中有重要系统、秘密数据或者必须遵守严格的规则遵从,
那么我推荐使用IDS、IPS或者两者一起。回顾上述使用案例,你可以判定你的企业是否
会从入侵防护系统中受益。
原文标题:IDS vs.IPS: 如何确定你的企业是否需要此类技术?
原文链接:https://www.doczj.com/doc/7a12818571.html,/showcontent_43703.htm
(来源:TechTarget中国作者:Jennifer Jabbusch 译者:Sean)
对于部署入侵检测系统的建议
入侵检测系统(IDS)的选择,部署和维护工作是基于需求和公司现有的基础设施。一个产品可能会很好的为一家公司工作却不适合另一家。选择通常是最难做的决定,由于产品必须满足业务需求,预定的网络基础设施功能正常,并目前由人为支持。
大多数入侵检测系统的行业标准都支持基于网络的和基于主机的入侵检测系统。基于网络的入侵检测系统通过监测网络特定部分的所有可能包含恶意流量或有误意图的流量来对网络提供保护。基于网络的入侵检测系统的唯一功能是监测该网络流量。基于主机的入侵检测系统是部署在那些具有基函数的设备上,例如Web服务器,数据库服务器和其他主机设备。基于主机的入侵检测系统提供如用户认证,文件修改/删除和其他基于主机的信息,因此,将其划定为网络中设备的第二级保护。
起初行业标准的入侵检测系统部署规定使用基于网络的入侵检测系统,然后是基于主机的入侵检测系统。这确保网络、主机设备得到了保护。任何公司的核心基础都是网络基础设施,然后是这些网络中的设备。入侵检测系统应该按照相同的方式部署。
在三等级方法中基于主机的入侵检测系统应该是作为第二级任务部署的,在基于网络的入侵检测系统之后。一级部署包括网络中位于关键主机设备的外部参数。这些设备包括关键Web,邮件和其它位于DMZ或企业外部网的设备。第二级由大多数DMZ设备中其他非关键DMZ设备组成。最后,第三级会包括位于非军事区中受保护私有网络的所有其他设备,它们是关键的或者包含诸如客户,金融和数据库的机密数据。如上所述,独立的设备组成了网络,并应受到保护,但是只有在第一次网络安全。
基于网络入侵检测系统的建议
基于网络的入侵检测系统应部署在外部DMZ部分,然后才是DMZ部分。这将允许监控所有的外部和DMZ的恶意活动。所有的外部网络部分都应该予以监控,包括入站和出站流量。这将确保连接到外部恶意网络的所有设备都受到了监控和检查。这些建议都是业界用来跟踪外部网,内部网和DMZ环境下恶意活动的标准。对于所有入境点使用基于网络的入侵检测系统的额外保护需要首先确保是针对公司资源的所有恶意企图,不仅是众所周知的网络连接,还包括所有已知的外部链接。
策略和工具推荐
对于入侵检测系统部署的额外建议应该包括事故应急手册,程序和工具的开发。由于入侵检测系统的工作像防盗报警,因此报警声后的人为干预是必要的。拥有和使用好的事故应急技术可以加强从入侵检测系统收集到的数据的价值,以便进一步的检查。针对事件调查的软件工具也应该推行,以确保这些工具可以用来研究,评估和报告结果。如果在任何时候因为恶意活动,公司被迫采取合法行动,这些工具将会伴随着政策和标准的建立而
被用来提供证据。如果没有工具或者政策,该公司可能无法采取合法行动或者制止肇事者。
产品部署
基于网络的入侵检测系统应该立即部署在外部Internet网络部分,然后是DMZ部分。基于主机的入侵检测系统应该部署在DMZ的所有关键主机设备。最后,任何其他主要的主机设备也应该拥有一个基于主机的入侵检测系统应用,以确保这些系统同样也受到保护。
入侵检测系统(IDS)的选择,部署和维护工作是基于需求和公司现有的基础设施。一个产品可能会很好的为一家公司工作却不适合另一家。选择通常是最难做的决定。由于产品必须满足业务需求,预定的网络基础设施功能正常,并目前由人为支持。
入侵检测系统的项目任务
虽然下面列出的项目任务具备一般性,但是通常对于入侵检测系统的部署有一定的行业标准。
开发管理系统:这应该意味着选择和基于网络的、基于主机的设备部署的数量,管理控制台的场所,以及整体基础设施。
开发记录系统:由于一个入侵检测系统可以产生大量的数据,应该配备记录系统以允许大量的数据收集,备份和恢复程序,以及存储设备。在这一阶段,硬件和软件可能都需要被关注。
制定审计策略:这个紧接着之前的两个阶段,因为在这一点上,传感器和记录程序的数量应该被选择。一个IDS如果没有IDS记录的审计策略就相当于完全没有IDS。日志中的关键事件要每日检查,其他内容每周检查一次。严重的级别应该制定跟踪并处理所有事件。这些级别上的行动将包括完成工作的详细描述,人们在调用和收集数据的记录,以防真正的恶意活动或者对于关键系统的入侵。
基于网络的IDS部署:这项工作应该尽快开始以收集数据。同样,基于网络的IDS应该作为行业和建议标准的首个任务被部署。这种方法应该分三个层次,首先是安全参数的最远延伸,然后是DMZ和其他设备。
基于主机的IDS部署:作为一个行业标准,基于主机的IDS部署应该在基于网络的IDS部署之后。这实际上可与基于网络的同时完成,但重点还是应该首先放在基于网络的IDS部署。
完善IDS政策:这一步应该在整个IDS部署过程之后完成。根据业务需要或者威胁而变更政策,因此这是一个项目中不断变化的部分。
完善书面标准:正因为与其他系统相关联,所以这里必须有适当的公司标准以确保符合整体标准。IDS标准应该在项目开始之前开始,并一直持续到完成。这些标准应该包括配置、政策使用、记录、审计和报告。
IDS以外的项目任务
众所周知,一个有效的入侵检测系统必须包括除了硬件和软件以外的支持。对于事件响应必须制定书面程序,防止在一段时间内如果有针对公司系统的有效恶意尝试。以下是除了IDS以外的推荐步骤。
事件响应:必须制定一个事件响应的过程以确保一旦针对公司系统的恶意企图发生时,有一个可参照的标准。这包括书面程序,实际下一步所做的,调用什么,何时调用,如何调用以及通知链。IDS要像系统背后的事件响应一样良好。当警报响起,假如有重要信息的损失,该公司需要设立一个全面的测试应变程序,以确保没有任何损失,或者记录。一个很好的事件响应程序将会确保数据的完整性,并确保其在检查中有完好的历史证据链。
法医工具包(Forensic toolkits):一旦事故发生时,许多产品都能够完成对数据的审核。这些工具应该加以研究来满足公司的要求并对现场工作人员进行使用的培训。
Gramm-Leach-Bliley 法案
第501和505(b)规定了针对所有银行的指导方针,建立保护客户信息安全的标准。如果你的公司不是一个金融机构,你仍应该考虑下列标准信息安全实践中的通用性建议。
扫描和漏洞检测:扫描和漏洞检测应该由第三方来完成,以确保IDS和其他安全措施的执行情况。
政策审查:信息安全政策必须经常维护和审查,以确保准确性和与联邦标准的一致性。
防火墙和路由器审查:防火墙和路由器审查应该至少在每季度完成,以确保配置实用的准确和完整。
原文标题:对于部署入侵检测系统的建议(上)
原文链接:https://www.doczj.com/doc/7a12818571.html,/showcontent_35455.htm
原文标题:对于部署入侵检测系统的建议(下)
原文链接:https://www.doczj.com/doc/7a12818571.html,/showcontent_35459.htm
(来源:TechTarget中国作者:Edward Yakabovicz 译者:王波)
经费不足企业如何实施IDS?
在现实生活中,因为经费不足,中小企业对于实施IDS(入侵检测系统)往往是有心
无力。那么对于众多中小企业来说,是否有一个成本合算的实用建议可以使用呢?
对于中小型企业来说,一个总体的安全评估是首先需要做的。你的数据和业务流程面
临着怎样的威胁?你更关心来自互联网的威胁还是来自内部的威胁?研究表明企业受到的
攻击大部分来自内部。
众所周知,对中小型企业来说,首先应该确保在互联网接口上安装有防火墙,最好是
经过正式检测的,完成过滤和网络地址转换(NAT)功能。如果还能提供基于代理的服务
就更好了。
接下来,使用某些入侵检测的产品。思科的IDS产品的性能还是比较优良的。你可以
在网络中的许多位置配置传感器(防火墙之前,防火墙之后,DMZ中等等),并且通过中
央控制台进行管理。基于主机的入侵检测同样有效。
至于文件校验和其他类似技术,TripWire是用于提供这些服务的工具之一。尽管TripWire有商业版本,仍然可以免费下载可用的较老版本(仍然非常有效,用于Unix系统)。
如果你负担不起这里所建议的所有方法,你仍然有许多免费或花费很少的选择。不
过,你需要从另一面来考虑这个问题。如果你的网络遭到较严重的入侵,你将遭受多大的
损失?你愿意将相当于损失的百分之几的费用用于保护你的网络?把这笔花费当作保险费吧。
原文标题:经费不足企业如何实施IDS?
原文链接:https://www.doczj.com/doc/7a12818571.html,/showcontent_43648.htm
(来源:TechTarget中国作者:Stephen Mencik 译者:Shirley)
如何利用WIDS进行WLAN性能监测?
无线入侵检测:这个词使我们想到安全,但许多无线入侵检测系统(WIDS)产品也可用于进行WLAN的性能监测,为故障排除、微调和使用规划提供有价值的见解。那么你要如何来利用WIDS从而获得更多的信息呢?
无线局域网WLAN性能分析及其工具
许多情况都需要分析WLAN的性能,从最初的设计和新安装的设备的调试,到优化覆盖面和规划扩展。在这一生命周期中,许多工具都是有用的,包括站点调查工具、射频设计仪、频谱分析仪和无线流量分析仪。
无线流量分析仪是非常必要的,可以捕获802.11信息流并对其进行编码,然后重新将信息包装配到联合和射频设备关系之中。分析仪有助于在有限的时间内,理解WLAN特定地址中正在发生的情况。但是有时也需要退回去,查看WLAN信息流的更多的情况,收集更长的时间内的信息,而WIDS可以提供帮助。
WIDS可以监测整个WLAN,将由分布式传感器捕获的主要信息流转发到中央服务器。收集这些信息流,将其联系起来,分析安全事故。WIDS会显示由此产生的警报,并将其转发到另一个系统,或者记录在数据库中,供将来参考。当然,这些信息流也可以用于监测WLAN的性能。
性能警报
虽然WIDS的性能分析与警报功能不同,但是这里有一个性能警报样本,这是WIDS能够监测到的:
●站点的接入点超载
●接入点或者信息流的信道超载
●管理费用过多
●客户端发送/接收的恒定信息流
●接入点配置不合理或者不兼容
●同步PCF/DCF(集中式协调功能/分布式协调功能)操作
●接入点的电能解除DTIM冲突
●802.11g接入点无法使用802.11b接入点附近的保护
●802.11g接入点提供了不恰当的短期插槽
●接入点提供了非标准的数据率
●过多的重试或者CRC错误
●过度漫游或者再连接
●过度低速传输
●过度分散
●侦测到隐藏的站点
●侦测到雷达干扰
●信道噪声级过高
一些警报表明可能发生了配置错误(比如,保护),而其它警报指出了会降低性能的潜在的执行错误(比如,DTIM冲突)。关于超载或者射频干扰方面的警报可以通过扩展WLAN或者重新分配信道得以解决。以阀值为基础的警报可能需要使用基线测量法调试,它可以反映出什么对WLAN而言是“正常的”(比如,每个接入点工作站的预计数量、典型的信道使用方法)。你会希望停用任何与WLAN无关的WIDS的警报(比如,如果不使用802.11b,就可以停止802.11g保护)。
性能故障排除
虽然,扫描模式下的WIDS可以监测到性能问题,但是诊断却需要一个更为全面的信息流样本。为了推动这一项工作,许多WIDS可以使用远程传感器,创建信息流捕获文件。通常情况下,可以将结果输入到无线信息流分析仪中仔细审查。
故障排除通常需要活跃的工具。比如,AirMagnet企业版可以从WIDS的控制台研究到远程传感器,这样可以联系到某个目标接入点,并且运行网络诊断工具,比如ping和跟踪路由器。你也可以查看近实时信道的性能图表,这些图表中显示了信号的强度、噪声、CRC错误、重试、使用等情况,就好像在传感器的地址中运行AirMagnet Laptop所得到的信息一样。
虽然从中央地址进行调查可以节省时间,但是,一些性能问题仍然需要在线调查,使用移动的无线分析仪来调查。从你所学的知识开始,将WIDS和无线分析仪结合起来可以加速调查进程。比如,Network Chemistry公司的移动式RFprotect可以与分布式RFprotect分享信息,这样移动式RFprotect现场获得的资料可以反馈到分布式RFprotect 的数据库中,为特定的地址创建统一的“噪声规划”。
你的最终目标并不是仅仅找到潜在的性能问题,而是修复它们。为此,WIDS会为某个特定的警报或者测试结果提供修复措施。比如,AirTight企业版包括了一个以知识为基础的故障排除向导,帮助解决客户端的性能问题。
性能报告
WIDS收集的信息也可以创建历史数据库,可以用于健康报告和容量规划。WIDS的性能报告包含了带有性能警报的前10个接入点、过去制定的活跃站点的数量、频谱的使用情况和性能总结、以及性能报告在类型、地址、及设备方面的趋势。
举例来说,前10份报告可能会请你注意陷入困境的接入点。该接入点的性能警报会趋向于显示这些问题是否是新出现的、是否是间歇性的、是否还在增加。研究最近和过去
的警报也会显示出诸如利用率和错误阀值是否保持稳定等问题。检查同一位置其它接入点的警报可能有助于区分这个位置中单个失效的设备和影响到每个接入点的环境条件。另一方面,对跨多个站点的类似接入点进行比较,可以发现由特定产品、固件版本、或者配置选项导致的性能问题。
结论
WIDS设计主要用于监测,并且对监测到的事件做出响应。当谈到性能管理时,虽然,WIDS不能够取代便捷的无线流量分析仪,但是WIDS可以补充移动分析仪的不足,它对性能问题提供了更广泛的状况,突出重点。那些负责大型企业的WLAN工作者更喜欢分布式网络流量分析平台,比如WildPackets Omni或者 Network Instruments Observer Expert。这类产品可以对各种网络的信息流进行监测(包括WLAN),并且还提供应用层协议分析和报告。
原文标题:如何利用WIDS进行WLAN性能监测?
原文链接:https://www.doczj.com/doc/7a12818571.html,/showcontent_42683.htm
(来源:TechTarget中国作者:Lisa Phifer 译者:Tina Guo)
实验10:入侵检测系统 【实验题目】 入侵检测系统 【实验目的与要求】 (1)理解入侵检测系统的工作原理; (2)掌握开源入侵检测系统(软件类)的发展现状;安装调研一种入侵检测系统如Snort 进行试用; (3)调研目前主流厂家的入侵检测系统和入侵防护系统(硬件类)的发展状况(厂商、产品型号和报价等); 【实验需求】 (1)入侵检测系统的工作原理: 数据收集:收集的数据包括主机日志、防火墙日志、数据库日志、应用程序数据以及网络数据包等; 数据处理:由于之前收集到的数据过于庞大和繁杂,需要对其进行相应的处理(去除冗余、噪声,并且进行数据标准化及格式化处理); 数据分析:采用统计、智能算法能方法分析数据是否正常,显示是否存在入侵;行为 响应处理:当发现入侵行为时,采取预案措施进行防护(如切断网络,记录日志)、并保留入侵证据以作他日调查所用,同时向管理员报警。 (2)开源入侵检测系统的发展现状:从总体上讲,目前除了完善常规的、传统的技术(模式识别和完整性检测)外,入侵检测系统应重点加强与统计分析相关的研究。许多学者在研究新的检测方法,如采用自动代理的主动防御方法,将免疫学原理应用到入侵检测的方法等。其主要发展方向可以概括为: (1)分布式入侵检测与CIDF 传统的入侵检测系统一般局限于单一的主机或网络架构,对异构系统及大规模网络的检测明显不足,同时不同的入侵检测系统之间不能协同工作。为此,需要分布式入侵检测技术与CIDF。 (2)应用层入侵检测 许多入侵的语义只有在应用层才能理解,而目前的入侵检测系统仅能检测Web之类的通用协议,不能处理如Lotus Notes数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。
支持集中管理的分布工作模式,能够远程监控。可以对每一个探测器 进行远程配置,可以监测多个网络出口或应用于广域网络监测,并支 持加密 通信和认证。 具备完善的攻击检测能力,如监视E-Mail 攻击、Web 攻击、RPC 攻 击、NFS 攻击、Telnet 攻击.监视非授权网络传输;监视口令攻击、 扫描攻击、特洛 伊攻击、拒绝服务攻击、防火墙攻击、Daemon 攻击、 监视非授权网络访问等。 9.提供相应硬件设备。 第一章入侵检测分系统安全方案 7.1设计目标 能提供安全审讣、监视、攻击识别和反攻击等多项功能,对内部攻 击、外部攻击和误操作进行实时监控。 通过入侵检测探测器和安全服务中心对网络内流动的数据包进行获 取和分析处理,发现网络攻击行为或者符合用户自定义策略的操作, 及时报警。 与网御Power V-203防火墙互动响应,阻断攻击行为,实时地实现入 侵防御。 7. 2技术要求 L 具有对主机、防火墙、交换机等网络设备监控的功能。 2. 3. 具备从56Kbps 到T3以上速率管理多个网段的功能,包括4/16Mbps 令牌环、lO/lOOMbps 以太网及FDDIo 支持实时网络数据流跟踪,网络攻击模式识别。 4. 支持网络安全事件的自动响应。即能够自动响应网络安全事件,包括 控制台报警;记录网络安全事件的详细宿息,并提示系统安全管理员 采取一定的安全措施;实时阻断连接。 5, 自动生成按用户策略筛选的网络日志。 6. 支持用户自定义网络安全策略和网络安全事件。 7.
7. 3配置方案 根据蚌埠广电局网络系统和应用系统的要求,配置一台入侵检测控制台和2 个引擎。入侵检测安全控制中心安装在内部网管理区的一台主机上,对入侵检测探测器1和入侵检测探测器2进行控制和管理。 入侵检测探测器与网络的连接方式主要有3钟,第一,与防火墙吊联;第二, 在内网区(或者SSN区)与防火墙之间加装一台集线器,并将其两个接口接入集线器;第三,安装在内网区(或者SSN区)交换机的监听口上。从尽可能不影响网络效率和可靠性的角度考虑,我们选择了第三种连接方式。 7.4选型建议 本方案推荐釆用联想先进的细粒度检测技术推出的网御IDS N800网络入侵 检测系统。 选择选用联想网御IDS N800网络入侵检测系统是因为该产品不仅能够满足 “蚌埠广电局网安全系统包技术指标要求”规定的入侵检测系统技术要求,同时该产品还具有以下显著的技术特点: 实时数据包收集及分析: 联想网御IDS N800不使用原有的协议而用特殊的网络驱动,在MAC层 收集.分析数据包,因此保证了数据包收集及分析的实时性和完整性。 稳定.高效的网络探测器:网络探测器采用多线程设计,网络数据的获取、分析、处理、及针对入侵行为的响应动作均独立进行,并在数据处理过程中进行了合理的分类,优化了处理过程■大大提高了网络探测器在数据流量较大的情况下稳定和较小丢包率的性能。 灵活的用方式和多网卡支持功能:联想网御IDS N800具有高灵活性接入 的特点,为了检测外部的入侵及对其响应,探测器放在外部网络和内部网络的连接路口(有防火墙时,可放在防火墙的内侧或外侧)。支持100Mbps Full Duplex(200Mbps),为了检测通过网关的所有数据流,入侵探测器使 用三个网络适配器(分别用于检测各个接收的数据流、发送的数据流和入侵响应专用适配器)和分线器可以放置在基于共享二层网络结构内的,也可而且在提供监听能力的交换网络环境中也可以正常的工作。一个探测器可支持到8个网络适配器,可灵活的在多种网络环境中根据检测的需求进行部署。 简单.易用的全中文控制台界面:联想网御IDS N800提供了基于浏览器 的控制台界面,操作简单、容易掌握。不需安装特殊的客户端软件,方便用户移动式管理。所有信息全中文显示,例如警报信息、警报的详细描述等,人机界面简洁、亲切,便于使用。
第八章入侵检测系统 第一节引言 通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。 保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。 检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。 响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。 入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion Detection System,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。 入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。 一个理想的入侵检测系统具有如下特性: ?能以最小的人为干预持续运行。 ?能够从系统崩溃中恢复和重置。 ?能抵抗攻击。IDS必须能监测自身和检测自己是否已经被攻击者所改变。
思科自防御网络安全方案典型配置 1. 用户需求分析 客户规模: ?客户有一个总部,具有一定规模的园区网络; ?一个分支机构,约有20-50名员工; ?用户有很多移动办公用户 客户需求: ?组建安全可靠的总部和分支LAN和WAN; ?总部和分支的终端需要提供安全防护,并实现网络准入控制,未来实现对VPN用户的网络准入检查; ?需要提供IPSEC/SSLVPN接入; ?在内部各主要部门间,及内外网络间进行安全区域划分,保护企业业务系统; ?配置入侵检测系统,检测基于网络的攻击事件,并且协调设备进行联动; ?网络整体必须具备自防御特性,实现设备横向联动抵御混合式攻击; ?图形化网络安全管理系统,方便快捷地控制全网安全设备,进行事件分析,结合拓扑发现攻击,拦截和阻断攻击; ?整体方案要便于升级,利于投资保护; 思科建议方案: ?部署边界安全:思科IOS 路由器及ASA防火墙,集成SSL/IPSec VPN; ?安全域划分:思科FWSM防火墙模块与交换机VRF及VLAN特性配合,完整实现安全域划分和实现业务系统之间的可控互访; ?部署终端安全:思科准入控制NAC APPLIANCE及终端安全防护CSA解决方案紧密集成; ?安全检测:思科IPS42XX、IDSM、ASA AIP模块,IOS IPS均可以实现安全检测并且与网络设备进行联动; ?安全认证及授权:部署思科ACS 4.0认证服务器; ?安全管理:思科安全管理系统MARS,配合安全配置管理系统CSM使用。
2. 思科建议方案设计图 点击放大 3. 思科建议方案总体配置概述 ?安全和智能的总部与分支网络 o LAN:总部,核心层思科Cat6500;分布层Cat4500;接入层Cat3560和CE500交换机,提供公司总部园区网络用户的接入;分支可以采用思科ASA5505 防火墙内嵌的 8FE接口连接用户,同时其头两个LAN端口支持POE以太网供电,可以连接AP及IP 电话等设备使用,并且ASA5505留有扩展槽为便于以后对于业务模块的支持。 o WAN:总部ISR3845 路由器,分支ISR2811或者ASA防火墙,实现总部和分支之间安全可靠地互联,可以采用专线,也可以经由因特网,采用VPN实现;并且为远程办公 用户提供IPSEC/SSL VPN的接入。 ?总部和分支自防御网络部署说明 o总部和分支路由器或者ASA防火墙,IPS,及IPSec VPN和WEB VPN功能,实现安全的网络访问和应用传输,以及高级的应用控制;另外,可利用思科Auto-Secure功能 快速部署基本的安全功能。 o安全域划分:实现行业用户内部业务系统逻辑隔离,并且保证在策略允许的情况下实现可控的互访,可以利用思科FWSM防火墙模块与C6K交换机完美集成,并且思科交换 机VRF特性相结合,二层VLAN隔离,三层VRF隔离,最终利用VRF终结业务对应不 同的虚拟防火墙,并且配置各个业务网段专用虚拟防火墙实现不同安全区域业务之间的 可控互访。 o终端安全:终端安全=NAC+CSA,利用思科NAC APPLINACE 解决方案通过配置CAM/CAS两台设备实现思科NAC解决方案保证对于网络内主机的入网健康检查,利用 思科CSA软件对于用户服务器及客户机进行安全加固、病毒零天保护、限制非法应用 (P2P)、限制U盘使用等操作,并且两套解决方案可以实现完美结合,并且CSA和与 MARS以及IPS进行横向联动,自动拦截攻击。 o安全检测:思科IPS42XX、IDSM、ASA AIP模块均可以实现安全检测并与网络设备进行联动,思科安全IPS设备支持并联和串连模式,旁路配置时可以监控各个安全域划分 区域内部业务,识别安全风险,与MARS联动,也可以与思科网络设备防火墙、C6K交
实验七入侵检测实验 一、实验目的 通过本实验掌握入侵检测系统(IDS)的基本原理和应用,掌握Windows 系统进行日常安全检测的基本方法和操作技能。 二、实验要求 1、实验前学生应具备以下知识: ?了解常见网络攻击技术的特点。 ?了解Windows系统用于安全审计的系统工具。 ?了解入侵检测系统(IDS)的基本概念。 2、实验内容可根据实验室的具体情况和课时安排的变化进行适当的调整实验过程中,部分实验内容需要与相邻的同学配合完成。此外,学生需要将实验的结果记录下来,实验内容中的思考题以书面形式解答并附在实验报告的后面。 3、需要注意的是,学生在实验过程中要严格按实验指导书的操作步骤和要求操作,且小组成员应紧密配合,以保证实验过程能够顺利完成。 三、实验仪器设备和材料清单 实验设备: 1.WindowsGP,Windows20GG服务器;或VMWare,Windows20GG/GP虚拟机。 2.TCPView、360安全卫士。 3.Snort。 4.黑客工具包。 四、实验内容
本次实验的主要项目包括以下几个方面: 1、利用TCPView监控网络连接和会话。 2、利用Windows系统工具监控文件共享、系统进程和服务。 3、配置Windows系统审核策略,监控敏感文件,攻击模拟后查看系统安全日志。 4、攻击模拟后查看Web、FTP等服务的访问日志。 5、安装、配置Snort监控所在网络的通信。 五、实验步骤 参考配置和步骤如下: 1、利用TCPView监控网络连接和会话 运行工具软件TCPView,运行浏览器等网络软件,如下图,查看本机的网络连接和会话。 2、利用360安全卫士进行安全检查 360安全卫士是目前最为流行的桌面安全工具,在其“高级工具”中集成了多个检测工具,可以帮助我们发现恶意程序和黑客的入侵,并作出相应的修补。 类似TCPView的工具也可以在360安全卫士的高级工具中找到。 3、利用Windows系统工具监控文件共享、系统进程和服务 运行“计算机管理”管理工具,打开“共享文件夹”,查看已经建立的会话和打开的文件。
1.1?某市政府网络系统现状分析 《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一个平台(电子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括: 政务通信专网 电子政务基础平台 安全监控和备份中心 政府办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统 某市政府中心网络安全方案设计 1.2?安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。 1)?将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险; 2)?通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护; 3)?使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。 具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。 1.2.1?防火墙系统设计方案 1.2.1.1?防火墙对服务器的安全保护
入侵检测技术 一、实验目的 通过实验深入理解入侵检测系统的原理和工作方式,熟悉入侵检测系统的配置和使用。实验具体要求如下: 1.理解入侵检测的作用和原理 2.理解误用检测和异常检测的区别 3.掌握Snort的安装、配置和使用等实用技术 二、实验原理 1、入侵检测概念及其功能 入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统(intrusion detection system,IDS)是完成入侵检测功能的软件和硬件的集合。 入侵检测的功能主要体现在以下几个方面: 1). 监视并分析用户和系统的活动。 2). 核查系统配置和漏洞。 3). 识别已知的攻击行为并报警。 4). 统计分析异常行为。 5). 评估系统关键资源和数据文件的完整性。 6). 操作系统的审计跟踪管理,并识别违反安全策略的用户行为。 2、入侵检测的分类 根据IDS检测对象和工作方式的不同,可以将IDS分为基于网络的IDS(简称NIDS)和基于主机的IDS(简称HIDS)。NIDS和HIDS互为补充,两者的结合使用使得IDS有了更强的检测能力。 1). 基于主机的入侵检测系统。 HIDS历史最久,最早用于审计用户的活动,比如用户登录、命令操作、应用程序使用资源情况等。HIDS主要使用主机的审计记录和日志文件作为输入,某些HIDS也会主动与主机系统进行交互以获得不存在于系统日志的信息。HIDS所收集的信息集中在系统调用和应用层审计上,试图从日志寻找滥用和入侵事件的线索。HIDS用于保护单台主机不受网络攻击行为的侵害,需要安装在保护的主机上。 2). 基于网络的入侵检测系统。 NIDS是在网络中的某一点被动地监听网络上传输的原始流量,并通过协议分析、特征、统计分析等分析手段发现当前发生的攻击行为。NIDS通过对流量分析提取牲模式,再与已知攻击牲相匹配或与正常网络行为原形相比较来识别攻击事件。 3、入侵检测系统 1). 入侵检测系统的特点: 入侵检测系统(Intrusion Detection System)是对防火墙有益的补充,它对网络和主机行为
它们处于竞争和共享的总线结构中。这种网络适用于规模不大的小型网络当中,管理简单方便,安全控制要求不高的场合。在服务器网络中,有目录服务器、邮件服务器等通过核心交换机,在经过防火墙与外网服务器相连,在通过外网防火墙与互联网相连。 网络拓扑结构安全性考虑 网络拓扑结构与网络的安全性关系很大,如果设备再好,结构设计有问题,比如拓扑结构不合理,使防火墙旋转放置在网络内部,而不是网络与外部的出口处,这样整个网络就不能抵挡外部的入侵了。设计好网络的拓扑结构,也就是使其进出口减少了收缩,把防御设备放置到网络的出入口,特别是防火墙和路由器,一定要放置在网络的边缘上,且是每个出入口均要有。 内网防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
防火墙的功能有: 1、过滤掉不安全服务和非法用户 2、控制对特殊站点的访问 3、提供监视Internet安全和预警的方便端点 由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方: 1、防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。 2、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。 3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击。 因此,防火墙只是一种整体安全防范政策的一部分。这种安全政策必须包括公开的、以便用户知道自身责任的安全准则、职员培训计划以及与网络访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护的有关政策。
本文由heisjay贡献 pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。戚 技术 人侵检测系统的发展厉史 华中科技大学 摘 DIS 涂保东 要:从大量史料中整理出入侵检测系统(}n七ru]s的历史进程 : , 。。 eciDteto 。 n ys s et m , IDS )研究与开发的历史 , 为人们了解 把握
目前研究与开发的热点提供参考 }Ds 关键词 入侵检测系统 发展历史 网络安全 很早以来人们就认识到用户的行为进行适当监控络恶意的和错误的操作 应对网以阻止 etm Dl(田 入侵检测专家系统) nnte「e 。 ’‘ 被 Dete et!on 网od e l “ 正式发表 。 De
旧g 用在早期的{ t A网(AR尸)上监控 保障网络数据 re o 用户的验证信息 这是第一个基于规 , 在该文中提出了入侵检测系统的抽象模型模型基于这样一个假设入侵者: 与运行的安全 。 入侵检测思想在二十 te tn多年前就已萌穿随着I的蓬勃发展近几年来旧S得到了较深入的研则的专家系统模型采用与系统平台和应用环境无关的设计针对已知的, 使用系统的模式与正常用户的使用模 式不同 , 因此可以通过监控系统的跟 系统漏洞和恶意行为进行检测 为构
踪记录来识别入侵者的异常使用模式 从而检测出入侵者违反系统安全性的o情形Den旧g的模型是许多旧S原型 。 究和广泛的应用 1980 年 4 月Jam g es P A n des 「。on 发 ‘’ 建入侵检测系统提供了一个通用的框品同P架随后S日完成了与sA四AR的合为其提交了第一款实用的旧S产 1985 表著名的研究报告 rT卜eat Comp an ute「 eeur、t丫
入侵检测系统安装和使 用 Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】
入侵检测系统安装和使用 【实验目的】 通过安装并运行一个snort系统,了解入侵检测系统的作用和功能 【实验内容】 安装并配置appahe,安装并配置MySQL,安装并配置snort;服务器端安装配置php脚本,通过IE浏览器访问IDS 【实验环境】 硬件PC机一台。 系统配置:操作系统windows10。 【实验步骤】 1、安装appache服务器 启动appache服务器 测试本机的80端口是否被占用, 2、安装配置snort 查看Snort版本 安装最新版本程序 2、安装MySql配置mysql 运行snort 1、网络入侵检测snort的原理 Snort能够对网络上的数据包进行抓包分析,但区别于其它嗅探器的是,它能根据所定义的规则进行响应及处理。Snort通过对获取的数据包,进行各规则的分析后,根据规则链,可采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警),Pass(忽略),Log(不报警但记录网络流量)五种响应的机制。 Snort有数据包嗅探,数据包分析,数据包检测,响应处理等多种功能,每个模块实现不同的功能,各模块都是用插件的方式和Snort相结合,功能扩展方便。例如,预处理插件的功能就是在规则匹配误用检测之前运行,完成TIP碎片重组,http解码,telnet解码等功能,处理插件完成检查协议各字段,关闭连接,攻击响应等功能,输出插件将得理后的各种情况以日志或警告的方式输出。
入侵检测系统 1. 引言 1.1 背景 近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施,入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的发展。 依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 1.2 背国内外研究现状 入侵检测技术国外的起步较早,有比较完善的技术和相关产品。如开放源代码的snort,虽然它已经跟不上发展的脚步,但它也是各种商业IDS的参照系;NFR公司的NID等,都已相当的完善。虽然国内起步晚,但是也有相当的商业产品:天阗IDS、绿盟冰之眼等不错的产品,不过国外有相当完善的技术基础,国内在这方面相对较弱。
1.1 入侵检测部署方案 1.1.1需求分析 利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,或者入侵者也可能就在防火墙内。通过部署安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,能防御针对操作系统漏洞的攻击,能够实现应用层的安全防护,保护核心信息资产的免受攻击危害。 针对网络的具体情况和行业特点,我们得到的入侵检测的需求包括以下几个方面: ●入侵检测要求 能够对攻击行为进行检测,是对入侵检测设备的核心需求,要求可以检测的种类包括:基于特征的检测、异常行为检测(包括针对各种服务器的攻击等)、可移动存储设备检测等等。 ●自身安全性要求 作为网络安全设备,入侵检测系统必须具有很高的安全性,配置文件需要加密保存,管理台和探测器之间的通讯必须采用加密的方式,探测器要可以去除协议栈,并且能够抵抗各种攻击。 ●日志审计要求 系统能对入侵警报信息分类过滤、进行统计或生成报表。对客户端、服务器端的不同地址和不同服务协议的流量分析。可以选择不同的时间间隔生成报表,反映用户在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息,使管理员随时对网络安全状况有正确的了解。可以根据管理员的选择,定制不同形式的报表。 ●实时响应要求
当入侵检测报警系统发现网络入侵和内部的违规操作时,将针对预先设置的规则,对事件进行实时应急响应。根据不同级别的入侵行为能做出不同方式告警,用以提醒管理人员及时发现问题,并采取有效措施,控制事态发展。报警信息要分为不同的级别:对有入侵动机的行为向用户显示提示信息、对严重的违规现象实行警告通知、对极其危险的攻击可通过网管或者互动防火墙进行及时阻断、以及向安全管理中心报告。另外,必须在基于规则和相应的报警条件下,对不恰当的网络流量进行拦截。 联动要求 入侵检测系统必须能够与防火墙实现安全联动,当入侵检测系统发现攻击行为时,能够及时通知防火墙,防火墙根据入侵检测发送来的消息,动态生成安全规则,将可疑主机阻挡在网络之外,实现动态的防护体系!进一步提升网络的安全性。 1.1.2方案设计 网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。 入侵检测系统可以部署在网络中的核心,这里我们建议在网络中采用入侵检测系统,监视并记录网络中的所有访问行为和操作,有效防止非法操作和恶
实验五:入侵检测技术 一、实验目的 通过实验深入理解入侵检测系统的原理和工作方式,熟悉入侵检测系统的配置和使用。实验具体要求如下: 1.理解入侵检测的作用和原理 2.理解误用检测和异常检测的区别 3.掌握Snort的安装、配置和使用等实用技术 二、实验原理 1、入侵检测概念及其功能 入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统(intrusion detection system,IDS)是完成入侵检测功能的软件和硬件的集合。 入侵检测的功能主要体现在以下几个方面: 1). 监视并分析用户和系统的活动。 2). 核查系统配置和漏洞。 3). 识别已知的攻击行为并报警。 4). 统计分析异常行为。 5). 评估系统关键资源和数据文件的完整性。 6). 操作系统的审计跟踪管理,并识别违反安全策略的用户行为。 2、入侵检测的分类 根据IDS检测对象和工作方式的不同,可以将IDS分为基于网络的IDS(简称NIDS)和基于主机的IDS(简称HIDS)。NIDS和HIDS互为补充,两者的结合使用使得IDS有了更强的检测能力。 1). 基于主机的入侵检测系统。 HIDS历史最久,最早用于审计用户的活动,比如用户登录、命令操作、应用程序使用资源情况等。HIDS主要使用主机的审计记录和日志文件作为输入,某些HIDS也会主动与主机系统进行交互以获得不存在于系统日志的信息。HIDS所收集的信息集中在系统调用和应用层审计上,试图从日志寻找滥用和入侵事件的线索。HIDS用于保护单台主机不受网络攻击行为的侵害,需要安装在保护的主机上。 2). 基于网络的入侵检测系统。 NIDS是在网络中的某一点被动地监听网络上传输的原始流量,并通过协议分析、特征、统计分析等分析手段发现当前发生的攻击行为。NIDS通过对流量分析提取牲模式,再与已知攻击牲相匹配或与正常网络行为原形相比较来识别攻击事件。 3、入侵检测系统 1). 入侵检测系统的特点: 入侵检测系统(Intrusion Detection System)是对防火墙有益的补充,它对网络和主机行为
天融信入侵检测系统 安装手册 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.doczj.com/doc/7a12818571.html,
版权声明本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。 版权所有不得翻印?2013 天融信公司 商标声明本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。 TOPSEC? 天融信公司 信息反馈 https://www.doczj.com/doc/7a12818571.html,
目录 1前言 (1) 1.1文档目的 (1) 1.2读者对象 (1) 1.3约定 (1) 1.4相关文档 (2) 1.5技术服务体系 (2) 2安装天融信入侵检测系统 (3) 2.1系统组成与规格 (3) 2.1.1系统组成 (3) 2.1.2系统规格 (3) 2.2系统安装 (3) 2.2.1硬件设备安装 (3) 2.2.2检查设备工作状态 (4) 2.3登录天融信入侵检测系统 (4) 2.3.1缺省出厂配置 (5) 2.3.2通过CONSOLE口登录 (6) 2.3.3设置其他管理方式 (8) 2.3.4管理主机的相关设置 (10) 2.3.5通过浏览器登录 (10) 2.4恢复出厂配置 (11) 3典型应用 (12)
1前言 本安装手册主要介绍天融信入侵检测系统(即TopSentry)的安装和使用。通过阅读本文档,用户可以了解如何正确地在网络中安装天融信入侵检测系统,并进行简单配置。 本章内容主要包括: ●文档目的 ●读者对象 ●约定 ●相关文档 ●技术服务体系 1.1文档目的 本文档主要介绍如何安装天融信入侵检测系统及其相关组件,包括设备安装和扩展模块安装等。 1.2读者对象 本安装手册适用于具有基本网络知识的系统管理员和网络管理员阅读,通过阅读本文档,他们可以独自完成以下一些工作: 初次使用和安装天融信入侵检测系统。 管理天融信入侵检测系统。 1.3约定 本文档遵循以下约定: 1)命令语法描述采用以下约定, 尖括号(<>)表示该命令参数为必选项。 方括号([])表示该命令参数是可选项。 竖线(|)隔开多个相互独立的备选参数。 黑体表示需要用户输入的命令或关键字,例如help命令。 斜体表示需要用户提供实际值的参数。 2)图形界面操作的描述采用以下约定: “”表示按钮。
入侵检测安全解决方案 摘要: 随着互联网技术的飞速发展,网络安全逐渐成为一个潜在的巨大问题。但是长久以来,人们普遍关注的只是网络中信息传递的正确与否、速度怎样,而忽视了信息的安全问题,结果导致大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。本文先介绍入侵检测的概念和基本模型,然后按不同的类别分别介绍其技术特点。 关键词: 网络安全、入侵检测、入侵检测系统、蠕虫、入侵检测系统的发展 引言: 随着Internet的迅速扩张和电子商务的兴起,越来越多的企业以及政府部门依靠网络传递信息。然而网络的开放性与共享性使它很容易受到外界的攻击与破坏,信息的安全保密性受到了严重影响。与此同时,网上黑客的攻击活动也逐渐猖狂。人们发现保护资源和数据的安全,让其免受来自恶意入侵者的威胁是件非常重要的事。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题,入侵检测技术随即产生。 正文: 该网络的拓扑结构分析 从网络拓扑图可以看出,该网络分为办公局域网、服务器网络和外网服务器,通过防火墙与互联网连接。在办公局域网中有一个交换机和一些客户机。对于办公局域网络,每台计算机处于平等的位置,两者之间的通信不用经过别的节点,它们处于竞争和共享的总线结构中。这种网络适用于规模不大的小型网络当中,管理简单方便,安全控制要求不高的场合。在服务器网络中,有目录服务器、邮件服务器等通过核心交换机,在经过防火墙与外网服务器相连,在通过外网防火墙与互联网相连。 网络拓扑结构安全性考虑 网络拓扑结构与网络的安全性关系很大,如果设备再好,结构设计有问题,比如拓扑结构不合理,使防火墙旋转放置在网络内部,而不是网络与外部的出口处,这样整个网络就不能抵挡外部的入侵了。设计好网络的拓扑结构,也就是使其进出口减少了收缩,把防御设备放置到网络的出入口,特别是防火墙和路由器,一定要放置在网络的边缘上,且是每个出入口均要有。 内网防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。 防火墙的功能有: 1、过滤掉不安全服务和非法用户 2、控制对特殊站点的访问 3、提供监视Internet安全和预警的方便端点 由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方: 1、防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。
入侵检测系统实验 学习Windows系统下配置和使用入侵检测系统软件Snort 一、实验目的 .1、.通过实验深入理解入侵检测系统的原理和工作方式。 .2、.熟悉入侵检测工具snort在Windows操作系统中的安装和配置方法。 二、实验环境 ..实验室所有机器安装了Windows 2000操作系统,并并附带Apache、php、mysql、snort、adodb、acid、窘迫grapg、winpcap等软件的安装包。 三、实验原理 1、..入侵检测系统简介 ..入侵检测系统通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。2、..入侵检测系统的分类 ..入侵检测系统可分为主机型和网络型 ..主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。 ..网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式(promiscmode),监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。 3、..入侵检测的实现技术 ..可分为两类:一种基于标志(signature-based),另一种基于异常情况(anomaly-based)。 ..对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网
编订:__________________ 单位:__________________ 时间:__________________ 系统安全保护设施设计方 案(正式) Deploy The Objectives, Requirements And Methods To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-1249-61 系统安全保护设施设计方案(正式) 使用备注:本文档可用在日常工作场景,通过对目的、要求、方式、方法、进度等进行 具体、周密的部署,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常 工作或活动达到预期的水平。下载后就可自由编辑。 随着信息化的高速发展,信息安全已成为网络信息系统能否正常运行所必须面对的问题,它贯穿于网络信息系统的整个生命周期。是保障系统安全的重要手段,通过安全检测,我们可以提前发现系统漏洞,分析安全风险,及时采取安全措施。 1物理安全保护措施 物理安全是信息系统安全中的基础,如果无法保证实体设备的安全,就会使计算机设备遭到破坏或是被不法分子入侵,计算机系统中的物理安全,首先机房采用“门禁系统”配合“监控系统”等控制手段来控制机房出入记录有效的控制接触计算机系统的人员,由专人管理周记录、月总结。确保计算机系统物理环境的安全;其次采取设备线路准确标记、计算机设备周维护、月巡检以及机房动力环境监测短信报警等安
实验八入侵检测系统snort的使用 【实验目的】 1) 理解入侵检测的作用和检测原理。 2) 掌握Snort的安装、配置和使用等实用技术。 【实验环境】 Windows系统、snort软件、nmap软件 【实验重点及难点】 重点:入侵检测的工作原理。 难点:snort的配置文件的修改及规则的书写。 【Snort简介】 Snort是一套开放源代码的网络入侵预防软件与网络入侵检测软件。Snort使用了以侦测签章(signature-based)与通讯协定的侦测方法。截至目前为止,Snort的被下载次数已达到数百万次。Snort被认为是全世界最广泛使用的入侵预防与侦测软件。 【实验步骤】 1、从ftp上下载所需要的软包,winpcap,snort,nmap。安装软件前请阅读readme文件。 2、注意安装提示的每一项,在选择日志文件存放方式时,请选择“不需要数据库支持或者 snort默认的MySQL和ODBC数据库支持的方式”选项。 3、将snort.exe加入path变量中(该步骤可选,否则要切换到安装路径下执行命令)。 4、执行snort.exe,看能否成功执行,并利用“-W”选项查看可用网卡。如下: 上例中共有两个网卡,其中第二个是可用网卡,注意识别你自己机器上的网卡! 注:snort的运行模式主要有3种:嗅探器模式(同sniffer)、数据包记录器模式和网络入侵检测模式。 5、嗅探器模式 嗅探器模式就是snort从网络上读出数据包然后显示在你的控制台上。可用如下命令启动该模式: snort –v –i2 //-i2 指明使用第二个网卡,该命令将IP和TCP/UDP/ICMP的包头信息显示在屏幕上。如果需要看到应用层的数据,使用以下命名: snort –v –d –i2 更多详细内容请参考https://www.doczj.com/doc/7a12818571.html,/network/snort/Snortman.htm。 6、数据包记录器模式
在Windows server 2003 平台下搭建snort入侵检测系 统 一,需要的软件 1.apache 下载: https://www.doczj.com/doc/7a12818571.html,/httpd/binaries/win32/apache_2.2.8-win 32-x86-no_ssl.msi 2.acid 下载:https://www.doczj.com/doc/7a12818571.html,/acid-0.9.6b23.tar.gz侧阿特 3.adodb 下载: https://www.doczj.com/doc/7a12818571.html,/sourceforge/adodb/adodb504.tgz 4.jpgraph 下载: https://www.doczj.com/doc/7a12818571.html,/jpgraph2/jpgraph-2.3.tar.gz 5.mysql 下载:https://www.doczj.com/doc/7a12818571.html,/Downloads/MySQL-5.0/mysql-5.0.51a-win32.zip 6.php 下载:https://www.doczj.com/doc/7a12818571.html,/distributions/php-5.2.5-Win32.zip 7.snort 下载: https://www.doczj.com/doc/7a12818571.html,/dl/binaries/win32/Snort_2_8_0_2_Installer.exe 8.winpcap 下载:https://www.doczj.com/doc/7a12818571.html,/install/bin/WinPcap_4_0_2.exe 9.snortrules 下载:https://www.doczj.com/doc/7a12818571.html, 需要注册用户才能下载 二,安装步骤 计划把所有的软件包安装到c:\ 1.安装apache 指定安装目录c:\apache 2.安装php 解压缩php到c:\php5复制php5ts.dll文件到c:\windows\system32文件夹