Die technischen Mittel von IDS sind eigentlich nicht sehr mysteriös. Als Nächstes wird Ihnen in diesem Artikel eine relativ einfache Einstiegsarchitektur von IDS vorgestellt. Aus Sicht der Marktverteilung und der einfachen Beschaffung ist es angemessener, NIDS als Beispiel für den Einsatz zu wählen. Dieser Artikel verwendet eine vollständige Windows -Plattform, um den gesamten Einbruchserkennungsprozess zu durchlaufen. Aus Platzgründen wird er aus einer qualitativen Analyseperspektive angegeben.
Vorkenntnisse
IDS: Intrusion Detection System, eine intelligente Kombination aus Software und Hardware, die Netzwerksysteminformationen sammelt, um Einbruchserkennung und -analyse durchzuführen.
Es gibt zwei Organisationen, die Standardisierungsarbeiten zu IDS durchführen: die Intrusion Detection Working Group (IDWG, Intrusion Detection Working Group) der IETF, dem Setter internationaler Internetstandards, und das Common Intrusion Detection Framework (CIDF, Common Intrusion Detection Framework).
IDS-Klassifizierung: Netzwerk-IDS (netzwerkbasiert), Host-basiertes IDS (hostbasiert), Hybrid-IDS (hybrid), Konsolen-IDS (Konsole), File Integrity Checkers (Dateiintegritätsprüfer), Honeypots (Honeypots). Ereignisgenerierungssystem
Gemäß der allgemeinen Modellidee des von CIDF dargelegten Intrusion Detection System (IDS) ist in der Abbildung die einfachste Intrusion Detection-Komponente mit allen Elementen dargestellt. Gemäß der CIDF-Spezifikation werden die Daten, die IDS analysieren muss, zusammenfassend als Ereignisse bezeichnet. Dabei handelt es sich möglicherweise um Datenpakete im Netzwerk oder um Informationen, die aus dem Systemprotokoll oder anderen Methoden stammen.
Ohne eingehende Daten (oder gesammelte Daten) ist ein IDS ein Baum ohne Wurzeln und völlig nutzlos.
Als grundlegende Organisation des IDS kann das Ereignisgenerierungssystem eine große Rolle spielen. Es sammelt alle definierten Ereignisse und überträgt sie dann auf einmal an andere Komponenten. In einer Windows-Umgebung besteht der aktuelle grundlegende Ansatz in der Verwendung von Winpcap und WinDump.
Wie wir alle wissen, sind für Ereignisgenerierungs- und Ereignisanalysesysteme derzeit Software und Programme beliebt, die auf Linux- und Unix-Plattformen basieren. Tatsächlich gibt es auf der Windows-Plattform auch Software ähnlich Libpcap (eine notwendige Software für Unix oder). Linux zum Erfassen von Netzwerkpaketen vom Kernel) Das Tool ist Winpcap.
Winpcap ist eine kostenlose, Windows-basierte Netzwerkschnittstellen-API, die die Netzwerkkarte in den „Promiscuous“-Modus versetzt und dann die im Netzwerk erfassten Pakete durchläuft. Seine Technologie ist einfach zu implementieren, sehr portabel und hat nichts mit Netzwerkkarten zu tun, ist jedoch nicht effizient und für Netzwerke unter 100 Mbit/s geeignet.
Das entsprechende Windows-basierte Netzwerk-Sniffing-Tool ist WinDump (eine portierte Version von Tcpdump auf der Linux/Unix-Plattform unter Windows). Diese Software muss auf der Winpcap-Schnittstelle basieren (jemand nennt hier anschaulich Winpcap: Daten-Sniffing-Treiber). Mithilfe von WinDump können die Header von Datenpaketen angezeigt werden, die den Regeln entsprechen. Mit diesem Tool können Sie Netzwerkprobleme finden oder Netzwerkbedingungen überwachen. Sie können sicheres und unsicheres Verhalten im Netzwerk bis zu einem gewissen Grad effektiv überwachen.
Beide Softwareprogramme sind kostenlos online verfügbar, und Leser können sich auch entsprechende Tutorials zur Softwarenutzung ansehen.
Im Folgenden finden Sie eine kurze Einführung in die Schritte zum Einrichten der Ereigniserkennung und -erfassung.
1. Software- und Hardwaresysteme zusammenstellen. Entscheiden Sie je nach Auslastung des Netzwerks, ob Sie einen normalen kompatiblen Computer oder einen dedizierten Server mit höherer Leistung verwenden möchten. Wenn die Bedingungen nicht erfüllt sind, wird empfohlen, Windows Server 2003 Enterprise Edition zu verwenden können Sie auch Windows 2000 Advanced Server verwenden. Als Partitionsformat wird das NTFS-Format empfohlen.
2. Die Raumaufteilung des Servers muss sinnvoll und effektiv sein. Für die Installation von Ausführungsprogrammen und die Speicherung von Datenprotokollen ist es am besten, die beiden Räume in unterschiedlichen Partitionen zu platzieren.
3. Einfache Implementierung von Winpcap. Installieren Sie zunächst den Treiber. Sie können das WinPcap-Autoinstallationsprogramm (Treiber + DLLs) von der Homepage oder Mirror-Site herunterladen und direkt installieren.
Hinweis: Wenn Sie Winpcap für die Entwicklung verwenden, müssen Sie auch das Entwicklerpaket herunterladen.
WinPcap umfasst drei Module: Das erste Modul NPF (Netgroup Packet Filter) ist eine VxD-Datei (Virtual Device Driver). Seine Funktion besteht darin, Datenpakete zu filtern und diese Pakete intakt an das Benutzermodusmodul weiterzuleiten. Das zweite Modul packet.dll stellt eine öffentliche Schnittstelle für die Win32-Plattform bereit. Es basiert auf packet.dll und bietet eine bequemere und direktere Programmiermethode. Das dritte Modul Wpcap.dll ist von keinem Betriebssystem abhängig. Es ist die zugrunde liegende dynamische Linkbibliothek und bietet High-Level- und abstrakte Funktionen. Spezifische Gebrauchsanweisungen finden Sie auf den wichtigsten Websites. Um Winpcap besser nutzen zu können, sind starke Programmierfähigkeiten für die C-Umgebung erforderlich.
4. Erstellung von WinDump. Führen Sie nach der Installation den Windows-Eingabeaufforderungsmodus aus, und Benutzer können den Netzwerkstatus selbst überprüfen, ohne auf Details einzugehen.
Wenn keine Softwarekompatibilitätsprobleme vorliegen und die Installation und Konfiguration korrekt sind, kann eine Ereigniserkennung und -sammlung erreicht werden.
[Seite ausschneiden]Ereignisanalysesystem
Da die meisten unserer Netzwerke über geschaltete Ethernet-Switches verbunden sind, besteht der Zweck der Einrichtung eines Ereignisanalysesystems darin, mehrere Netzwerk-Firewall-Geräte zu erkennen und mehrere Erfassungsmethoden (z. B. Erfassung basierend auf Snmp- und Syslog-Dateninformationen) zu unterstützen Protokolle und Bereitstellung bestimmter Ereignisse Protokollverarbeitung, Statistik, Analyse und Abfragefunktionen.
Das Ereignisanalysesystem ist das Kernmodul von IDS. Seine Hauptfunktion besteht darin, verschiedene Ereignisse zu analysieren und Verhaltensweisen zu erkennen, die gegen Sicherheitsrichtlinien verstoßen. Wenn Sie selbst oder in Zusammenarbeit mit anderen ein Softwaresystem schreiben können, müssen Sie gründliche Vorbereitungen für die frühe Entwicklung treffen, z. B. ein klares Verständnis der Netzwerkprotokolle, Hackerangriffe und Systemschwachstellen haben und dann mit der Formulierung von Regeln und Strategien beginnen sollte auf Standardtechnologien und -spezifikationen basieren und dann den Algorithmus optimieren, um die Ausführungseffizienz zu verbessern, ein Erkennungsmodell zu erstellen und den Angriffs- und Analyseprozess zu simulieren.
Das Ereignisanalysesystem ist die Erkennungsmaschine im Überwachungsnetzwerksegment und führt die Analyse im Allgemeinen mit drei technischen Mitteln durch: Mustervergleich, Protokollanalyse und Verhaltensanalyse. Wenn ein bestimmtes Missbrauchsmuster erkannt wird, wird eine entsprechende Warnmeldung generiert und an das Reaktionssystem gesendet. Derzeit ist die Protokollanalyse die beste Möglichkeit zur Erkennung in Echtzeit.
Eine Möglichkeit dieses Systems besteht darin, einen Protokollanalysator als Hauptteil zu verwenden, der auf der Grundlage vorgefertigter, offener Protokollanalyse-Toolkits aufgebaut werden kann. Der Protokollanalysator kann Netzwerkübertragungsströme auf Paketebene anzeigen und automatisch Warnungen ausgeben Basierend auf Netzwerkprotokollregeln, um das Vorhandensein von Angriffen schnell zu erkennen, sodass Netzwerkprogrammierer und Administratoren die Netzwerkaktivität überwachen und analysieren können, um Fehler proaktiv zu erkennen und zu lokalisieren. Benutzer können einen kostenlosen Netzwerkprotokollanalysator namens Ethereal ausprobieren, der Windows-Systeme unterstützt. Benutzer können die vom Ereignisgenerierungssystem erfassten und auf der Festplatte gespeicherten Daten analysieren. Sie können erfasste Pakete interaktiv durchsuchen und Zusammenfassungen und detaillierte Informationen für jedes Paket anzeigen. Ethereal verfügt über eine Vielzahl leistungsstarker Funktionen, wie z. B. die Unterstützung fast aller Protokolle, umfangreiche Filtersprachen und die einfache Anzeige rekonstruierter Datenströme von TCP-Sitzungen.
reaktionsfähiges System
Das Reaktionssystem ist ein interaktives System für Personen und Objekte. Es kann als Übergabestation und Koordinationsstation des gesamten Systems bezeichnet werden. Die Menschen sind die Systemadministratoren und die Dinge sind alle anderen Komponenten. Genauer gesagt hat der Koordinator des Reaktionssystems viel zu tun: Sicherheitsereignisse aufzeichnen, Alarmmeldungen (z. B. E-Mails) generieren, zusätzliche Protokolle aufzeichnen, Eindringlinge isolieren, Prozesse beenden und Viktimisierung auf vorab definierte Weise verhindern . Der Port und der Dienst des Angreifers oder sogar eine manuelle Reaktion und eine automatische Reaktion (maschinenbasierte Reaktion) können übernommen werden, und eine Kombination aus beiden ist besser.
Responsive Systemdesignelemente
(1) Empfangen Sie Ereignisalarminformationen vom Ereignisgenerierungssystem, die vom Ereignisanalysesystem gefiltert, analysiert und rekonstruiert wurden, und interagieren Sie dann mit dem Benutzer (Administrator), um Abfragen durchzuführen, Regelurteile zu treffen und Verwaltungsmaßnahmen zu ergreifen.
(2) Stellen Sie Administratoren eine Schnittstelle zum Verwalten des Ereignisdatenbanksystems zur Verfügung. Sie können die Regelbasis ändern, Sicherheitsrichtlinien entsprechend verschiedenen Netzwerkumgebungen konfigurieren und das Datenbanksystem lesen und schreiben.
(3) Wenn es auf das Front-End-System einwirkt, kann es Systeme zur Ereignisgenerierung und -analyse (gemeinsam als Ereignisdetektoren bezeichnet) verwalten, die vom System gesammelten, erkannten und analysierten Ereignisse klassifizieren und filtern und Sicherheitsregeln entsprechend neu implementieren verschiedene Sicherheitssituationen.
Reaktionssysteme und Ereignisdetektoren werden typischerweise als Anwendungen implementiert.
Designidee: Das Reaktionssystem kann in zwei Programmteile unterteilt werden: Überwachung und Steuerung. Der Überwachungsteil bindet einen inaktiven Port, empfängt die Analyseergebnisse und andere vom Ereignisdetektor gesendete Informationen und konvertiert die gespeicherten Dateien in das Ereignisdatenbanksystem. Als Administrator kann der Administrator schreibgeschützte, Änderungs- und Sondervorgänge entsprechend aufrufen zu Benutzerberechtigungen. Der Steuerungsteil kann GTK+ verwenden, um eine grafische Benutzeroberfläche zu schreiben und eine intuitivere grafische Benutzeroberfläche zu entwickeln. Der Hauptzweck besteht darin, Benutzern eine bequemere und benutzerfreundlichere Oberfläche zum Durchsuchen von Warninformationen zu bieten.
Ereignisdatenbanksystem
Obwohl Access unter der Windows-Plattform einfacher zu beherrschen ist, ist die Erstellung mit SQL Server 2000 effektiver als Access und der Einstieg ist nicht schwierig. Die Hauptfunktionen dieses Systems sind: Aufzeichnen, Speichern und Neuanordnen von Ereignisinformationen. Dies kann von Administratoren aufgerufen werden, um die Verwendung der forensischen Angriffsüberprüfung anzuzeigen und zu überprüfen.
Der Aufbau dieses Systems ist relativ einfach und erfordert nur einige Grundfunktionen der Datenbanksoftware.
Um eine zielgerichtete Kommunikation zwischen Komponenten zu koordinieren, müssen die Komponenten die Semantik der verschiedenen zwischen ihnen übertragenen Daten richtig verstehen. Sie können auf den Kommunikationsmechanismus von CIDF zurückgreifen, um ein dreischichtiges Modell zu erstellen. Achten Sie auf die Interoperabilität zwischen verschiedenen Komponenten, um Sicherheit, Effizienz und Laufruhe zu gewährleisten.
Die Integration wird in späteren Arbeiten fortgesetzt und die Funktionen jeder Komponente werden weiter verbessert. Ein grundlegendes IDS-Framework basierend auf der Windows-Plattform ist fertiggestellt. Wenn Sie die Internetanforderungen erfüllen, versuchen Sie, Ihren eigenen Käse herzustellen. Nach harter Arbeit entsteht eine unbeschreibliche Süße.
[Seite ausschneiden]Ereignisanalysesystem
Da die meisten unserer Netzwerke über geschaltete Ethernet-Switches verbunden sind, besteht der Zweck der Einrichtung eines Ereignisanalysesystems darin, mehrere Netzwerk-Firewall-Geräte zu erkennen und mehrere Erfassungsmethoden (z. B. Erfassung basierend auf Snmp- und Syslog-Dateninformationen) zu unterstützen Protokolle und Bereitstellung bestimmter Ereignisse Protokollverarbeitung, Statistik, Analyse und Abfragefunktionen.
Das Ereignisanalysesystem ist das Kernmodul von IDS. Seine Hauptfunktion besteht darin, verschiedene Ereignisse zu analysieren und Verhaltensweisen zu erkennen, die gegen Sicherheitsrichtlinien verstoßen. Wenn Sie selbst oder in Zusammenarbeit mit anderen ein Softwaresystem schreiben können, müssen Sie gründliche Vorbereitungen für die frühe Entwicklung treffen, z. B. ein klares Verständnis der Netzwerkprotokolle, Hackerangriffe und Systemschwachstellen haben und dann mit der Formulierung von Regeln und Strategien beginnen sollte auf Standardtechnologien und -spezifikationen basieren und dann den Algorithmus optimieren, um die Ausführungseffizienz zu verbessern, ein Erkennungsmodell zu erstellen und den Angriffs- und Analyseprozess zu simulieren.
Das Ereignisanalysesystem ist die Erkennungsmaschine im Überwachungsnetzwerksegment und führt die Analyse im Allgemeinen mit drei technischen Mitteln durch: Mustervergleich, Protokollanalyse und Verhaltensanalyse. Wenn ein bestimmtes Missbrauchsmuster erkannt wird, wird eine entsprechende Warnmeldung generiert und an das Reaktionssystem gesendet. Derzeit ist die Protokollanalyse die beste Möglichkeit zur Erkennung in Echtzeit.
Eine Möglichkeit dieses Systems besteht darin, einen Protokollanalysator als Hauptteil zu verwenden, der auf der Grundlage vorgefertigter, offener Protokollanalyse-Toolkits aufgebaut werden kann. Der Protokollanalysator kann Netzwerkübertragungsströme auf Paketebene anzeigen und automatisch Warnungen ausgeben Basierend auf Netzwerkprotokollregeln, um das Vorhandensein von Angriffen schnell zu erkennen, sodass Netzwerkprogrammierer und Administratoren die Netzwerkaktivität überwachen und analysieren können, um Fehler proaktiv zu erkennen und zu lokalisieren. Benutzer können einen kostenlosen Netzwerkprotokollanalysator namens Ethereal ausprobieren, der Windows-Systeme unterstützt. Benutzer können die vom Ereignisgenerierungssystem erfassten und auf der Festplatte gespeicherten Daten analysieren. Sie können erfasste Pakete interaktiv durchsuchen und Zusammenfassungen und detaillierte Informationen für jedes Paket anzeigen. Ethereal verfügt über eine Vielzahl leistungsstarker Funktionen, wie z. B. die Unterstützung fast aller Protokolle, umfangreiche Filtersprachen und die einfache Anzeige rekonstruierter Datenströme von TCP-Sitzungen.
reaktionsfähiges System
Das Reaktionssystem ist ein interaktives System für Personen und Objekte. Es kann als Übergabestation und Koordinationsstation des gesamten Systems bezeichnet werden. Die Menschen sind die Systemadministratoren und die Dinge sind alle anderen Komponenten. Genauer gesagt hat der Koordinator des Reaktionssystems viel zu tun: Sicherheitsereignisse aufzeichnen, Alarmmeldungen (z. B. E-Mails) generieren, zusätzliche Protokolle aufzeichnen, Eindringlinge isolieren, Prozesse beenden und Viktimisierung auf vorab definierte Weise verhindern . Der Port und der Dienst des Angreifers oder sogar eine manuelle Reaktion und eine automatische Reaktion (maschinenbasierte Reaktion) können übernommen werden, und eine Kombination aus beiden ist besser.
Responsive Systemdesignelemente
(1) Empfangen Sie Ereignisalarminformationen vom Ereignisgenerierungssystem, die vom Ereignisanalysesystem gefiltert, analysiert und rekonstruiert wurden, und interagieren Sie dann mit dem Benutzer (Administrator), um Abfragen durchzuführen, Regelurteile zu treffen und Verwaltungsmaßnahmen zu ergreifen.
(2) Stellen Sie Administratoren eine Schnittstelle zum Verwalten des Ereignisdatenbanksystems zur Verfügung. Sie können die Regelbasis ändern, Sicherheitsrichtlinien entsprechend verschiedenen Netzwerkumgebungen konfigurieren und das Datenbanksystem lesen und schreiben.
(3) Wenn es auf das Front-End-System einwirkt, kann es Systeme zur Ereignisgenerierung und -analyse (gemeinsam als Ereignisdetektoren bezeichnet) verwalten, die vom System gesammelten, erkannten und analysierten Ereignisse klassifizieren und filtern und Sicherheitsregeln entsprechend neu implementieren verschiedene Sicherheitssituationen.
Reaktionssysteme und Ereignisdetektoren werden typischerweise als Anwendungen implementiert.
Designidee: Das Reaktionssystem kann in zwei Programmteile unterteilt werden: Überwachung und Steuerung. Der Überwachungsteil bindet einen inaktiven Port, empfängt die Analyseergebnisse und andere vom Ereignisdetektor gesendete Informationen und konvertiert die gespeicherten Dateien in das Ereignisdatenbanksystem. Als Administrator kann der Administrator schreibgeschützte, Änderungs- und Sondervorgänge entsprechend aufrufen zu Benutzerberechtigungen. Der Steuerungsteil kann GTK+ verwenden, um eine grafische Benutzeroberfläche zu schreiben und eine intuitivere grafische Benutzeroberfläche zu entwickeln. Der Hauptzweck besteht darin, Benutzern eine bequemere und benutzerfreundlichere Oberfläche zum Durchsuchen von Warninformationen zu bieten.
Ereignisdatenbanksystem
Obwohl Access unter der Windows-Plattform einfacher zu beherrschen ist, ist die Erstellung mit SQL Server 2000 effektiver als Access und der Einstieg ist nicht schwierig. Die Hauptfunktionen dieses Systems sind: Aufzeichnen, Speichern und Neuanordnen von Ereignisinformationen. Dies kann von Administratoren aufgerufen werden, um die Verwendung der forensischen Angriffsüberprüfung anzuzeigen und zu überprüfen.
Der Aufbau dieses Systems ist relativ einfach und erfordert nur einige Grundfunktionen der Datenbanksoftware.
Um eine zielgerichtete Kommunikation zwischen Komponenten zu koordinieren, müssen die Komponenten die Semantik der verschiedenen zwischen ihnen übertragenen Daten richtig verstehen. Sie können auf den Kommunikationsmechanismus von CIDF zurückgreifen, um ein dreischichtiges Modell zu erstellen. Achten Sie auf die Interoperabilität zwischen verschiedenen Komponenten, um Sicherheit, Effizienz und Laufruhe zu gewährleisten.
Die Integration wird in späteren Arbeiten fortgesetzt und die Funktionen jeder Komponente werden weiter verbessert. Ein grundlegendes IDS-Framework basierend auf der Windows-Plattform ist fertiggestellt. Wenn Sie die Internetanforderungen erfüllen, versuchen Sie, Ihren eigenen Käse herzustellen. Nach harter Arbeit entsteht eine unbeschreibliche Süße.