蓝狐网络入侵防御系统.ppt

入侵防御系统 长沙蓝狐网络培训学校 钟乐 入侵防御产生的背景 众所周知，当前网络安全形势严峻，木马、病毒、蠕虫、黑客、恶意代码、漏洞利用等安全威胁层出不穷，国际权威安全组织CERT(Computer Exigency Response Team，计算机紧急响应小组)监测并统计得到：2008年上半年，平均每天会有1.5万个网页受到恶意代码感染，即每5秒钟内就会增加一个被感染的网页。这些安全威胁有一个共同的特点：均属于应用层安全威胁，传统防火墙等产品无法检测和防范这类安全威胁;因而，我们急需一款能够检测防范应用层安全威胁的产品。 入侵检测与入侵防御区别 入侵检测系统(IDS)：依据一定的安全策略，对网络，系统的运行状况进行监视，尽可能发现各种攻击企图，攻击行为或者攻击结果。 入侵检测系统主要功能： 监控并分析网络活动； 识别已知的攻击行为； 统计分析异常行为； 入侵检测与入侵防御区别 入侵防御系统（IPS）：依据一定的安全策略，对网络进行监控，一旦发现攻击，或者网络异常能采用相应的抵御措施，例如：丢弃该报文，重置，断开连接等等 入侵防御系统主要功能： 精确检测； 实时阻断； 基于signature的入侵检测 基于数据包的特征集进行威胁的判断，如果对数据包进行深层分析时，数据结构匹配所定义的特征集。则检测到威胁； 需要在特征数据库中创造signature,cisco产品中默认拥有1000多种signature; 误报率低，能检测出恶意的流量。但不能阻止“零日”攻击 基于profile的入侵检测 检测不符合规则的网络活动，与正常网络活动规则进行比较； 需要根据用户和网络正常情况下的统计情况，制定出规则； 难以制定规则，误报率高。但安全防护能力高。 协议分析 入侵检测协议分析引擎能针对指定的协议的数据报文，比如HTTP, FTP,DNS,H.323等等执行7层的深度分析 检查协议，用以确定报文的有效性； 检查数据包的载荷，用以判断报文内容安全性； 混杂模式: IDS 网路设备发送一份数据包的COPY，用于 数据分析 如果流量匹配一个 signature,则被触发 传感器能通过一个管理接口发送警报 并能采取相应的动作，比如重置连接 Target Management System Sensor 2 2 3 1 Switch Inline模式: IPS Target Management System 传感器被安置在数据转发路径上. 如果数据包触发个signature 它能够在数据包到达目标 之前被丢弃 并且能通过管理接口发送 一个报警消息 Sensor 逃避技术 黑客试图使用下面的逃避技术来躲开检测和防御： Flood Fragmentation Encryption obfuscation Flooding Saturating the network with “noise” traffic while also trying to launch an attack against the target is referred to as flooding. Fragmentation Splitting malicious packets into smaller packets to avoid detection and prevention is known as fragmentation. Encryption Launching an attack via an encrypted session can avoid network-based intrusion detection and prevention. This type of evasive technique assumes that the attacker has already established a secure session with the target network or host. SSL Session Obfuscation Disguising an attack by using special characters to conceal it from a sensor is commonly referred to as obfuscation. The following are forms of obfuscation: Control characters Hex representation Unicode representation Corporate Network 网络IPS Managem