第15次课入侵检测技术第8章入侵检测技术(480KB).pptVIP

4. 任务实施步骤 (1) SessionWall-3的使用 在Windows Server 2000虚拟机(主机A)中安装SessionWall-3软件，另一Windows XP计算机(主机B)用来对主机A实施X-Scan 和UDP Flood攻击。 步骤1：在Windows Server 2000虚拟机(主机A)上安装并启动SessionWall-3软件，启动后的主窗口如图8-3所示。 步骤2：在另一Windows XP计算机(主机B)上启动X-Scan扫描软件，对主机A进行各种安全扫描。 步骤3：在主机A上可看到报警消息图标和安全冲突图标在不停地闪烁，并发出报警声。选择菜单“View”→“Alert Messages”命令，打开如图8-4所示的对话框，该对话框中列出了各种报警消息。 步骤4：查看违反安全规则的行为。SessionWall-3中内置了许多预定义的违反安全规则的行为，当检测到这些行为发生的时候，系统会在“Detected security violations”对话框中显示这些行为。在工具栏上单击“show security violations”按钮，打开如图8-5所示的对话框，该对话框中列出了检测到的违反安全规则的行为。 步骤5：在主机B上对主机A的80端口发起UDP Flood攻击，查看主机A的最近活动情况(Recent activity)，如图8-6所示，可见主机A在80端口收到了大量的UDP攻击数据包。 (2) 自定义QQ服务 SessionWall-3已经预定义了许多服务，用户根据需要也可以自定义服务，如QQ服务。 步骤1：选择菜单“settings”→“Definitions”命令，打开“Definitions”窗口，在“Services”选项卡中显示了系统预定义的服务，如图8-7所示。 步骤2：单击“Add”按钮，打开“Service Properties”对话框，设置服务名称为QQ，协议为UDP，端口号为8000，如图8-8所示，单击“OK”按钮，返回“Definitions”窗口，再单击“确定”按钮。 步骤3：定义好QQ服务后，当网络中存在QQ连接时，就会被系统监测到，如图8-9所示。 8.4 拓展提高：入侵防护系统 随着网络入侵事件的不断增加和黑客攻击水平的不断提高，一方面网络遭受攻击的速度日益加快，另一方面网络受到攻击做出响应的时间却越来越滞后。 解决这一矛盾，传统的防火墙或入侵检测技术(IDS)显得力不从心，这就需要引入一种全新的技术——入侵防护系统(Intrusion Prevention System，IPS)。 1. IPS的原理 防火墙是实施访问控制策略的系统，对流经的网络流量进行检查，拦截不符合安全策略的数据包。 入侵检测技术(IDS)通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量，但仍然允许某些流量通过，因此防火墙对于很多入侵攻击仍然无计可施。 绝大多数 IDS 系统都是被动的，而不是主动的。也就是说，在攻击实际发生之前，它们往往无法预先发出警报。 而入侵防护系统 (IPS) 则倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。 IPS 是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。 这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。 2. IPS的分类 （1）基于主机的入侵防护系统(HIPS)。 在技术上，HIPS采用独特的服务器保护途径，由包过滤、状态包检测和实时入侵检测组成分层防护体系。 这种体系能够在提供合理吞吐率的前提下，最大限度地保护服务器的敏感内容，既可以以软件形式嵌入到应用程序对操作系统的调用当中，拦截针对操作系统的可疑调用，提供对主机的安全防护，也可以以更改操作系统内核程序的方式，提供比操作系统更加严谨的安全控制机制。 由于HIPS工作在受保护的主机/服务器上，它不但能够利用特征和行为规则检测，阻止诸如缓冲区溢出之类的已知攻击，还能够防范未知攻击，防止针对Web页面、应用和资源的未授权的任何非法访问。 HIPS与具体的主机/服务器操作系统平台紧密相关，不同的平台需要不同的软件代理程序。 （2）基于网络的入侵防护(NIPS)。 NIPS通过检测流经的网络流量，提供对网络系统的安全保护。由于它采用在线连接方式，所以一旦辨识出入侵行为，NIPS就可以去除整个网络会话，而不仅仅是复位会话。 同样由于实时在线，NIPS需要具备很高的性能，以免成为网络的瓶