Unit6-入侵响应与IDS的部署市公开课一等奖省赛课微课金奖课件

入侵检测及扫描技术——入侵响应与IDS布署11/34入侵响应22/34响应类型被动响应：只统计问题和汇报问题主动响应：用自动或用户指定方式，阻断攻击过程。33/34主动响应(activeresponse)可分为三类：针对入侵者采取办法修正系统搜集更详细信息44/34针对入侵者采取办法追踪攻击发起地，并采取办法禁用入侵者机器或网络连接。其危害是：可能会使无辜受害者遭受到新损害。攻击方可能假冒IP对目标进行攻击可能挑起更猛烈攻击还击者可能会成为刑事或民事诉讼对象。可能会牵涉到法律责任和其它一些实际问题，不应作为通用主动响应方式。55/34针对入侵者采取办法（续）正确方式是：断开与其之间网络会话，如向攻击方机器法送TCPRESET包，或发送ICMPDestinationUnreachable包，也可控制防火墙或网关去阻拦攻击包发邮件给系统管理员，请求识别并处理问题66/34修正系统修正系统填补攻击引发破坏（类似于生物体免疫系统，能够辨识问题并将引发问题部分隔离起来）。改变分析引擎一些参数设置和操作方式添加规则，如提升某类攻击可疑级别或扩大监控范围，到达在更加好粒度层次上搜集信息目标（类似于利用当前进程结果来调整优化以后进程）77/34搜集更详细信息能够与专用服务器（诱骗系统）结合起来，如honeypots,decoys或fishbowls,用来模拟关键系统文件系统或其它系统特征，引诱攻击者，统计攻击者行为，从而取得关于攻击者详细信息，作为深入采取法律办法依据.Decoy最早出现在1972年BillCheswick论文中（AnEveningwithBerferdinWhichaCrackerIsLured,Endured,andStudied）。88/34被动响应(passiveresponse)为用户提供信息，由用户决定接下来应该采取什么办法。警报和通知警报显示器（控制台或预定义其它部件上）警报和警告远程通报（移动电话或E-mail）SNMP陷阱和插件与网管工具一起协同工作，出现在网管控制台上99/34入侵追踪是主动响应一部分。给定一系列主机H1,H2,…Hn,当攻击者次序从H1连接到H2,称<H1,H2,..Hn>为一个连接链，追踪任务就是给定Hn,找出Hn-1,…H1部分或全部。当前追踪方法主要两类：基于主机和基于网络，每种又分为主动式和被动式1010/34追踪系统举例被动式主动式基于主机DIDSCallerIDCIS基于网络ThumbprintingIDIPTime-basedSWTDeviation-based1111/34基于主机追踪体系被动式追踪DIDSCallerIdentificationSystem（CIS）主动式追踪CallerID问题：必须信任追踪系统中每个节点；要求大规模地布署，所以在Internet上难以实现。1212/34基于网络追踪体系基于网络本身特征进行追踪，不要求每个节点参加，也不基于对每个节点信任被动式追踪ThumprintTime-basedDeviation-based主动式追踪：包括信息隐形技术，保密研究1313/34联动响应是一个主动响应方式，它是指当IDS检测到需要阻断入侵行为时，马上快速开启联动机制，自动通知防火墙或其它安全控制设备对攻击源进行封堵，到达整体安全控制效果。比如：与防火墙联动，封堵源自外部网络攻击；与网络管理系统联动，封掉被攻击者利用网络设备和主机；与操作系统联动，封掉有恶意用户账号。1414/34联动响应举例例1：攻击者A向防火墙内主机B实施TCPSYN-Flooding攻击。A假冒一个不存在主机C地址向B发送SYN包，B向C回应SYN-ACK包。但因为C并不存在，所以不会给B发送确认包，那么B上这个半连接就一直处于等候状态。A连续向B发送SYN包，因为B连接请求队列长度有限，当这个队列变满后，新连接请求就无法进来，除非队列中半连接因超时被复位。IDS对一段时间内半连接数量进行统计，当单位时间内TCP半连接数量超出一定阈值，则向防火墙发送命令，重新设置超时时间，即将超时时间设置为更短t，若在时间t内没有ACK确认包或RST包发给B，则防火墙向B发RST包来复位该半连接。1515/34主动响应存在问题

IP地址坑骗和误报警可能引发错误：既然入侵检测系统有产生误报警问题，我们就有可能错误地针对一个从未攻击我们网络节点进行响应。假如攻击者判定我们系统有自动响应，他可能会利用这一点来针对我们。如：攻击者可从某企业合作搭档/客户/供给商地址发出虚假攻击，使得防火墙把一个企业与另一个企业隔离开，这么二者之间就有了不能逾越隔离界限。1616/34入侵响应小结入侵响应应该与安全策略相协调。如在安全防护策略中规以定一怎样办法来对检测到入侵行为作出响应。按照办法时间和紧急程度分为：即时办法：入侵发生时及时办法：入侵被完全检测出来时当地长久办法：处于当地安全长久考虑全局长久办法：对社会安全情况很主要1717/34IDS布署和应用1818/34网络检测器位置对于主机型IDS，其数据采集部分当然位于其所监测主机上。基于网络入侵检测系统需要有检测器才能工作。假如检测器放位置不正确，入侵检测系统也无法工作在最正确状态。普通说来检测器放在防火墙附近比很好。放在防火墙之外检测器在防火墙内防火墙内外都有检测器检测器其它位置1919/34检测器布署示意图Internet布署二布署三布署四布署一2020/34检测器放在边界防火墙之内放置于防火墙DMZ区域能够查看受保护区域主机被攻击状态能够看出防火墙系统策略是否合理能够看出DMZ区域被黑客攻击重点2121/34检测器放在边界防火墙之外放置于路由器和边界防火墙之间能够审计全部来自Internet上面对保护网络攻击数目能够审计全部来自Internet上面对保护网络攻击类型2222/34检测器放在主要网络中枢监控大量网络数据，可提升检测黑客攻击可能性可经过授权用户权利边界来发觉未授权用户行为2323/34放在安全级别高子网对非常主要系统和资源入侵检测2424/34共享媒介上检测器布署HUBIDSSensorMonitoredServersConsole2525/34交换环境检测器布署SwitchIDSSensorMonitoredServersConsole经过端口镜像实现（SPAN/PortMonitor）2626/34隐蔽模式下检测器布署SwitchIDSSensorMonitoredServersConsole不设IP2727/34基于主机IDS经典配置防火墙路由器DNSServer被保护内部网络系统管理控制台2828/34基于网络IDS经典配置DNSServerNIDS控制管理器被保护内部网络NIDS探测器2929/34应用于交换机环境时问题因为交换机不采取共享媒质方法，传统采取一个sniffer来监听整个子网方法不再可行。可处理方法有：

1．交换机关键芯片上普通有一个用于调试端口（spanport），任何其它端口进出信息都可从此得到。假如交换机厂商把此端口开放出来，用户可将IDS系统接到此端口上。优点：无需改变IDS体系结构。缺点：采取此端口会降低交换机性能。3030/34应用于交换机环境时问题(续)2．把入侵检测系统放在交换机内部或防火墙内部等数据流关键入口、出口。优点：可得到几乎所相关键数据。缺点：必须与其它厂商紧密合作，且会降低网络性能。3.采取分接器（Tap），将其接在全部要监测线路上。

优点：在不降低网络性能前提下搜集了所需信息。缺点：必须购置额外设备(Tap)；若所保护资源众多，IDS必须配置众多网络接口。4．使用含有网络接口检测功效主机代理。3131/34IDS在安全体系结构中层次第一个观点：检测应该处于和保护基本不交叉一个独立层次上，这种类型IDS轻易实现。优点：因为和OS无关，所以可靠性好缺点：信息不能共享，加重了IDS负担，了解可能会有误差。第二种观点：检测应该与保护紧密结合。强调与OS结合，IDS常以内核补丁或驱动程序形式出现。优点：检测准确缺点：难以实现，运行在内核中，影响系统效率3232/34IDS体系结构应该含有特