入侵侦测与实时防御解决方案

2006-1-18　发布方：soft6　网友评论 0 条　点击进入论坛

　　【 解决方案】传统的入侵侦测、防御系统主要有IDS和IPS。其中，IDS是指入侵侦测系统 (Intrusion Detection System)。IDS只有【侦测】的功能，它是倾听 (Sniffer) 网络的封包，是否有不正常或攻击性质的行为发生，一但发现有这样的行为，例如，对你的系统进行通信端口扫描 (Port Scan)，它会发出讯息，警告管理者，但是却无力阻止攻击者的一切扫描和攻击的行为，只能被动的警告防御的一方：有人已经对你的系统进行扫描和攻击。

    IDP的特点

    1、 IDP与传统的入侵侦测、防御系统的区别：

图1、典型的IDS架构图及运作

　　IPS是入侵防御系统 (Intrusion Prevention System)。IPS 它会检查对应到OSI模型第4到7层的内容，是否有恶意的攻击程序、病毒，隐藏在 TCP/IP 的通信协议中。IPS必须是网关器模式，透过详细的内容检查后，一但发现后能够实时地将封包阻止，让这些穿过防火墙的封包无所遁形。

　　IDP是入侵侦测与实时防御 (Intrusion Detection and Prevention)。IDP 它兼具入侵侦测系统 (IDS)、入侵防御系统 (IPS) 两种功能，它和IDS不同的是，它对于所侦测到的攻击和扫描的行为，具有主动和自动的阻挡功能，并且在阻挡完成后，会告诉防御的一方有人曾经试图对你的系统进行扫描和攻击，但是已经被我 (IDP) 成功阻挡了，所以攻击者没有得逞，并且 IDP 也会告诉你 (防御者) 它所知道的关于这个攻击者的信息，常见的包括 IP 地址、DNS 名称，用哪个 port 连进来的，连到你 (防御者) 的哪个 port，发动攻击的日期和时间，攻击者的计算机名称 (就是你用 netstat -a 看到的 你的计算机的名称或是在网络邻居上的名称)，攻击者的网卡物理地址 (这是全世界独一无二的你想赖都赖不掉)。

　　2、防火墙与IDP的差异

    传统防火墙可以检视对应OSI 模型第2 到第4 层通讯协议的内容，因此防火墙可以检视IP Header、TCP Header、以及UDP Header 中的数据。防火墙最常检视/控管的项目为：Source IP Address（来源IP 地址）、Destination IP Address（目的IP 地址）、Source Port Number（来源端口号）、Destination Port Number（目的端口号）、以及Flag Fields（旗标字段，仅位于TCP Header 中）。

　　譬如「HTTP 服务」一般预设使用Port Number 80，FTP 预设使用Port Number 21，SMTP 预设使用Port Number 25。而防火墙也利用其自身可以检视来源/目的Port Number 的功能，来达到控管网络的目的。譬如可设定只开放外界使用公司内部 Web 服务器透过Port 80 所提供的服务。

　　这一切似乎都很美好，但是如此传统的防御机制已无法遏止日新月异的攻击手法。以SQL Slammer 攻击蠕虫为例，它攻击时是连接受害主机(victim host)的UDP Port 1434，而安装SQL Server 的主机都需要开放Port 1434 来让server 端与client 端作联机前的协调工作，以决定双方所将采用的通讯方式。防火墙必须开放外界使用受害主机的UDP Port 1434，不然外界无法使用内部的SQL Server。

　　另外，SQL Slammer 采用「缓冲溢位」(buffer overflow)的攻击手法，缓冲溢位攻击的程序代码便位于通讯架构的应用层（Application layer，相对于OSI 模型的5 到7 层），而传统防火墙是不检查应用层中的封包内容的。

　　防火墙仅能就网络封包做到2到4层的检测，就来源地址/端口号以及目的地址/服务进行控管。而IDP可以做到4到7层(也就是应用层)的检测，因此IDP可以发觉包藏在应用层里的恶意攻击码(譬如蠕虫攻击、缓冲溢位攻击便藏匿于此)，并予以狙击。

　　IDP内建庞大的攻击特征数据库，可以有效阻止已知的攻击，IDP也透过「异常协议侦测」的方式，实时检查并将不符合RFC规范的网络封包丢弃。所以在「攻击防御」方面，IDP远胜于防火墙之上。

　　由于IDP一般仅能就IP以及IP群组决定封包放行权限，所以在「资源存取权限管理」方面，防火墙较优于IDP。然而，防火墙并无法有效管控企业内部使用者使用P2P、实时通讯(Instant Messenger、Yahoo Messenger)等软件、也无法杜绝利用Web-Mail或者Web-Post等方式将机密外泄，这些问题需要能监控4到7层的IDP设备才能控管。目前已经有少部分的IDP产品采用IXP2xxx芯片利用其「深层检测」的优势，有效地解决上述问题。

　　IDP可以防止蠕虫由外入侵至企业网络内部，而如果防火墙要防止蠕虫攻击，仅能消极地关闭某些Port。但一般的档案型病毒，则不在IDP及防火墙的防护范围内。因此资安的最后一层防护网便是在使用者端安装防毒软件。

　　ShareTech AW 系列IDP架构与运作简介

　　前面已经说明IDP跟FireWall 的差别就是IDP 会做内容或行为检查，所以IDP的优劣就在于特征值数据库的多少及更新速度，也就是说IDP 的数据库有越多的特征值，意味它能辨识越多不正常的内容或网络行为，但是事情总不是如此完美，越多的检查就需要越强的运算能力，否则好处没尝到，反而付出网络速度缓慢的后果。

　　一般而言，IDP的特征值数据库会依照危险程度分成高、中、低三种，再让管理者决定放行或阻挡，考虑客户端的实际网络环境及机器的运算能力，在中小型的网络架构的IDP设备只需要有完整的危险程度高、中(例如，病毒、木马程序)的特征值数据库就足够，其它属于警告或通知性质的检查没必要处理。

　　ShareTech AW 系列IDP 的设定及更新
 
　　打开IDP 功能选项的页面如下图2所示：

图2  IDP数据库更新

　　目前 IDP 会每 30 分钟到IDP服务器更新特征值数据库，他使用 TCP 80及 UDP 53 Port 跟服务器沟通。

　　危险程度分成高、中、低三种，再让管理者决定放行或阻挡的设定就在同一个画面的下方，如下图3所示：

图3  IDP设定 

　　只要将高危险程度的封包设为 Drop (丢弃)，就可以满足大部分的信息安全机制。

　　ShareTech AW 系列IDP架构与运作简介

　　前面已经说明IDP跟FireWall 的差别就是IDP 会做内容或行为检查，所以IDP的优劣就在于特征值数据库的多少及更新速度，也就是说IDP 的数据库有越多的特征值，意味它能辨识越多不正常的内容或网络行为，但是事情总不是如此完美，越多的检查就需要越强的运算能力，否则好处没尝到，反而付出网络速度缓慢的后果。

　　一般而言，IDP的特征值数据库会依照危险程度分成高、中、低三种，再让管理者决定放行或阻挡，考虑客户端的实际网络环境及机器的运算能力，在中小型的网络架构的IDP设备只需要有完整的危险程度高、中(例如，病毒、木马程序)的特征值数据库就足够，其它属于警告或通知性质的检查没必要处理。

　　ShareTech AW 系列IDP 的设定及更新
 
　　打开IDP 功能选项的页面如下图2所示：

图2  IDP数据库更新

　　目前 IDP 会每 30 分钟到IDP服务器更新特征值数据库，他使用 TCP 80及 UDP 53 Port 跟服务器沟通。

　　危险程度分成高、中、低三种，再让管理者决定放行或阻挡的设定就在同一个画面的下方，如下图3所示：

图3  IDP设定 

　　只要将高危险程度的封包设为 Drop (丢弃)，就可以满足大部分的信息安全机制。

　　IDP的特征值数据库
 
　　AW系列IDP目前约有 2914个特征值（这个值随着数据库的更新会增加），分布在数十种的类别中，以木马程序分类为例，大部分都会被归类在高危险类，目前数据库中有313 种木马程序，如下图4所示：

图4  IDP预设特征中的木马特征设定

　　以第一个木马程序 180solution 描述如下：它会依据你输入的关键词，将你的网页转向他策略伙伴的网站，类似网页绑架的木马程序，如下图6所示是它的详细行为描述。

图5  木马程序 180solution详细行为描述

　　这个木马程序属于高危险程度的特征值，一但通过AW IDP 系列的网关器，马上就会被AW的IDP拦截，并将封包丢弃，如下图6所示。

图6  木马程序 180solution设定

　　对于中、低危险程度的封包处理，就由管理者决定，以P2P的行为为例，如下图7所示：

图7对于中、低危险程度的封包处理

　　BitTorrent 这个P2P为例，它是不是个危险行为，每个人的观点都不一样，在AW的IDP中就可以定义是否要让他通行或阻挡。

　　除了靠IDP服务器的特征值数据库外，管理者可以自订自己网络的行为特性制定自己的特征数据库，它建立的的范例如下图8所示：

图8  自定义特征数据库

　　特征名称：这个特征值的命名。

　　通讯协议：通讯协议是 TCP、UDP、ICMP或只是IP。

　　来源Port：来源地址，0:65535 代表外部任何 Port 。

　　目的Port：目的地址，如果防止的攻击来自外面，就是内部服务器的Port。

　　风险：区分高、中、低三种危险程度。

　　动作：放行或阻挡。

　　内容：封包内容是否有含有特定字元，可以是文字模式或编码模式(例如特定的MAC Address)。

　　完成后就如下图9所示：

图9  自定义特征数据库显示

　　异常侦测

　　除了特征数据库定义的封包行为会受到管制，对于相同的封包产生异常数量也是IDP 侦测的重点，如下图10：

图10  异常侦测

　　以UDP、ICMP 这种 Connectionless 的封包结构，常常会被黑客当作攻击的协议，AW的IDP可以设定适当的侦测流量，如下图11：

图11  异常侦测设定

　　设定最大流量有时会有误动作的情况，以VOIP使用的UDP协议为例，如果是VOIP的Gatekeeper或是VOIP流量较大的公司，实际的UDP封包侦测设为100 Packet /s ，它的实际流量可能只有64byte / Packet  X 100 Packet /s，约6.4K bytes /s ，就会产生误动作 ，设定每秒100 UDP 封包就阻挡的话，会造成实际运作上的困扰。所以这方面的数值要经由学习后才会有实际效果。它需要搭配IDP Report 中的 Log 记录来做比较性分析。

　　IDP 警示和报表

　　除了实际的阻挡之外，AW IDP 也有完整的报表制度，如下图12：

图12  IDP报表

　　搭配实际的攻防记录，让管理者更清楚地知道网络状况，如图13所示。

图13  IDP警示记录

相关案例

• ·黑匣子监控系统[图]
• ·EZ-Lock易锁_文件加密保护系统[图]
• ·东育恒远远程教学资源解决方案[组图]
• ·DCI黑匣子网络安全监控系统[图]
• ·F1JEE ,J2EE业务基础软件和工作流平台[图]

• ·博商零售业网上商店系统解决方案
• ·蓝波物资管理系统——船舶行业软件产品
• ·总体规划下渤船重工管加工分厂的数字化工作
• ·中国舰船研究设计中心PDM系统实施与应用[图]
• ·博商零售业网上商店系统解决方案

推荐解决方案

领军企业实施案例

电子杂志订阅

赞助商链接