一、文章目錄
IDS 入侵檢測系統 (旁路部署)
概述
意義
入侵檢測系統的特點
入侵檢測原理
入侵檢測的技術實現
入侵檢測系統評價指標
IPS 入侵防御系統(串行部署)
入侵防御技術
入侵防御技術優勢
入侵防御系統
入侵檢測系統與入侵防御系統對比
系統漏洞
病毒
開源工具
zeek(賊可)
uricata(撒瑞K特)
snort(死諾特)
OPNsense(歐噴色死)防火墻
二、IDS 入侵檢測系統 (旁路部署)
入侵檢測(ID Intrusion Detection)通過監視各種操作,實時檢測入侵行為的過程,是一種積極動態的安全防御技術。
入侵檢測系統(IDS Intrusion Detection System)用于入侵檢測的所有軟硬件系統,一旦發現有違反安全策略的行為或者系統存在被攻擊的痕跡時,立即啟動安全機制進行應對,例如斷開網絡、關閉整個系統、向管理員告警等。
三、概述
入侵檢測系統是通過數據和行為模式判斷其風險水平的典型系統,防火墻相當于第一道安全閘門,可以組織一類人群的進入,但無法阻止同一類人群中的破壞分子,也不能組織內部的破壞分子,也不能組織內部的破壞分子;訪問控制系統可以不讓低級權限的人做越權工作,但無法保證擁有高級權限的人不做破壞行為,也無法保證低級權限的人通過非法行為獲得高級權限。
入侵檢測系統可以說是防火墻系統的合理補充和有力延伸,它的目的是為響應決策提供威脅證據,在不影響網絡部署的前提下,實時、動態地檢測來自內部和外部的各種攻擊,及時、準確、全面的發現入侵。這可以有效覆蓋到防火墻檢測和保護的盲區,通過與防火墻協同聯動,達到有效網絡安全防護。
四、意義
防火墻最主要的就是解決好兩個信任程度不同的兩個網絡間的訪問控制問題、然后入侵檢測再解決我們內部的問題、內部的數據流動、信息訪問的這種安全可控的問題。
五、入侵檢測系統的特點
監測速度快
隱蔽性好
視野更寬
較少的監測器
攻擊者不易轉移證據
操作系統無關性
不占用被保護的系統資源
入侵檢測的原理
入侵檢測采用誤用檢測或異常檢測的方式,發現非授權或惡意的系統及網絡行為,為防范入侵行為提供有效的手段。
六、入侵檢測原理
入侵檢測系統的結構
入侵檢測的技術實現
異常檢測模型(Anomaly Detection):首先總結正常操作應該具有的特征,當用戶活動與正常行為有重大偏離時即被認為是入侵;異常檢測可以發現未知的攻擊方法。
誤用檢測模型(Misuse Detection):收集非正常操作的行為特征,建立相關的特征庫;當檢測的用戶或系統行為與庫中的記錄相匹配時,系統就認為這種行為是入侵。誤用檢測適用于對已知模式的可靠檢測。誤用檢測也稱為特征檢測(Signature-based Detection)
七、異常檢測與誤用檢測的優缺點
異常檢測
優點:
不需要專門維持操作系統缺陷特征庫;
有效檢測對合法用戶的冒充檢測;
缺點:
建立正常的行為輪廓和確定異常行為輪廓的閾值困難;
不是所有的入侵行為都會產生明顯的異常;
誤用檢測
優點:
可檢測所有已知的入侵行為;
能夠明確入侵行為并提示防范方法;
缺點:
缺乏對未知入侵行為的檢測;
對內部人員的越權行為無法進行檢測;
入侵檢測系統評價指標
入侵檢測系統主要從以下方面進行的評價:
? 可靠性,指系統的容錯能力和可持續運行能力;
? 可用性,指系統開銷大小,對網絡性能影響的大小;
? 可測試,指系統能夠通過模擬攻擊進行檢測測試;
? 適應性,指系統易于開發和擴展;
? 實時性,指系統能夠及早發現入侵企圖;
? 安全性,指系統可確保自身的安全;
? 準確性,指系統正確識別入侵行為的能力。
IPS 入侵防御系統(串行部署)
入侵防御技術
入侵防御技術可以深度感知并檢測流經的數據流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行限流以保護網絡帶寬資源。入侵防御技術是種既能發現又能阻止入侵行為的新安全防御技術。通過檢測發現網絡入侵后,能自動丟棄入侵報文或阻斷攻擊源,從而從根本上避免攻擊行為。
入侵防御技術優勢
實時阻斷攻擊:設備采用直路方式部署在網絡中,能夠在檢測到入侵時,實時對入侵活動和攻擊性網絡流量進行攔截,把其對網絡的入侵降到最低。
深層防護:由于新型的攻擊都隱藏在TCP/IP協議的應用層里,入侵防御能檢測報文應用層的內容,還可以對網絡數據流重組進行協議分析和檢測,并根據攻擊類型、策略等來確定哪些流量應該被攔截。
全方位防護:入侵防御可以提供針對蠕蟲、病毒、木馬、僵尸網絡、間諜軟件、廣告軟件、CGI(Common Gateway Interface)攻擊、跨站腳本攻擊、注入攻擊、目錄遍歷、信息泄露、遠程文件包含攻擊、溢出攻擊、代碼執行、拒絕服務、掃描工具、后門等攻擊的防護措施,全方位防御各種攻擊,保護網絡安全。
內外兼防:入侵防御不但可以防止來自于企業外部的攻擊,還可以防止發自于企業內部的攻擊。系統對經過的流量都可以進行檢測,既可以對服務器進行防護,也可以對客戶端進行防護。
不斷升級,精準防護:入侵防御特征庫會根據持續更新特征庫,以保持最高水平的安全性。您可以從升級中心定期升級設備的特征庫,以保持入侵防御的持續有效性。
入侵防御系統
對系統的運行狀態進行檢視,發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證系統資源的機密性、完整性和可用性
打個比喻——假如防火墻是一幢大廈的門鎖,那么IDS就是這幢大廈里的監視系統。一旦小偷進入了大廈,或內部人員有越界行為,只有實時監視系統才能發現情況并發出警告。
與防火墻不同的是,IDS入侵檢測系統是一個旁路監聽設備,沒有也不需要跨接在任何鏈路上,無須網絡流量流經它便可以工作。因此,對IDS的部署的唯一要求是:IDS應當掛接在所有所關注的流量都必須流經的鏈路上。在這里,“所關注流量”指的是來自高危網絡區域的訪問流量和需要進行統計、監視的網絡報文。
入侵檢測系統與入侵防御系統對比
IDS主要作用是監控網絡狀況,但不會對入侵行為采取動作。通常情況下,IDS設備會以旁路的方式接入網絡中,與防火墻聯動,發現入侵后通知防火墻進行阻斷。
IPS會發現入侵行為并阻斷入侵行為。與IDS不同的是,IPS會實時阻斷入侵行為,是一種側重于風險控制的安全機制。
系統漏洞
漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。漏洞問題具有時效性,隨著時間的推移,舊的漏洞會不斷消失,新的漏洞會不斷出現。漏洞問題會長期存在。
病毒
病毒是一種惡意代碼,可感染或附著在應用程序或文件中,一般通過郵件或文件共享進行傳播,威脅用戶主機和網絡的安全。有些病毒會耗盡主機資源、占用網絡帶寬、竊取用戶數據、控制主機權限等。反病毒功能可以通過維護更新病毒特征庫保護網絡安全,防止病毒文件侵害數據。
開源工具
zeek(賊可)
Zeek是一個開源的、被動網絡流量分析軟件,它主要被用作安全監測設備來檢查鏈路上的所有流量中是否有惡意活動的痕跡。但更普遍地,Zeek支持大量安全領域外的流量分析任務,包括性能測量和幫助排查問題。
Zeek是一個被動的開源網絡流量分析器。許多運營商將Zeek用作網絡安全監視器(NSM),以支持對可疑或惡意活動的調查。
Zeek還支持安全領域以外的各種流量分析任務,包括性能評估和故障排除。
新用戶從Zeek獲得的第一個好處是描述網絡活動的大量日志。這些日志不僅包括網絡上看到的每個連接的全面記錄,還包括應用程序層記錄。這些包括所有HTTP會話及其請求的URI,密鑰標頭,MIME類型和服務器響應,帶回復的DNS請求,SSL證書,SMTP會話的關鍵內容,以及更多。默認情況下,Zeek將所有這些信息寫入結構良好的制表符分隔或JSON日志文件中,這些文件適合使用外部軟件進行后處理。用戶還可以選擇讓外部數據庫或SIEM產品使用,存儲,處理和顯示數據以進行查詢。
除了日志外,Zeek還具有用于一系列分析和檢測任務的內置功能,包括:
uricata(撒瑞K特)
Suricata是一個免費、開源、成熟、快速、健壯的網絡威脅檢測引擎。
Suricata引擎能夠進行實時入侵檢測(IDS)、內聯入侵預防(IPS)、網絡安全監控(NSM)和離線pcap處理。
snort(死諾特)
Snort是世界最頂尖的開源入侵檢測系統
Snort IDS利用一系列的規則去定義惡意網絡活動,against匹配到的報文并給用戶告警
Snort主要用法,第一種類似TCP dump,作為網絡sniffer使用,調試網絡流量,第二種用于特征識別的網絡入侵檢測
線上Snort規則一種是免費的社區規則,一種是付費的訂閱。
OPNsense(歐噴色死)防火墻
開源易用的基于安全加固BSD的防火墻和入侵防護系統
穩定的國內鏡像
多外網接入和負載均衡
網絡流量監控/管理
內部證書授權
防火墻/入侵探測/在線病毒掃描
SSL VPN遠程接入服務
DHCP/DNS/NTP
DHCP/DNS自動聯動更新
Web透明代理/緩存
Zabbix監控
————————————————
版權聲明:本文為CSDN博主「天璇X」的原創文章,遵循CC 4.0 BY-SA版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/weixin_45868644/article/details/122237788