Les moyens techniques d' IDS ne sont en fait pas très mystérieux. Ensuite, cet article utilisera une approche « follow the vine » pour vous présenter une architecture d'entrée de gamme relativement simple d'IDS . Du point de vue de la répartition sur le marché et de la facilité d'acquisition, il est plus approprié de choisir NIDS comme exemple de déploiement. Cet article utilise une plate-forme Windows complète pour exécuter l'ensemble du processus de détection d'intrusion. En raison de limitations d'espace, il est présenté dans une perspective d'analyse qualitative.
Connaissances préliminaires
IDS : Intrusion Detection System, une combinaison intelligente de logiciels et de matériels qui collecte des informations sur le système réseau pour effectuer la détection et l'analyse des intrusions.
Il existe deux organisations qui effectuent des travaux de normalisation sur l'IDS : l'Intrusion Detection working Group (IDWG, Intrusion Detection Working Group) de l'IETF, l'organisme fixateur des normes Internet internationales, et le Common Intrusion Detection Framework (CIDF, Common Intrusion Detection Framework).
Classification IDS : Network IDS (basé sur le réseau), Host-based IDS (basé sur l'hôte), Hybrid IDS (hybride), Consoles IDS (console), File Integrity Checkers (vérificateur d'intégrité des fichiers), Honeypots (honeypots). système de génération d'événements
Selon l'idée générale du modèle du système de détection d'intrusion (IDS) exposée par CIDF, le composant de détection d'intrusion le plus simple avec tous les éléments est représenté sur la figure. Selon la spécification CIDF, les données qu'IDS doit analyser sont collectivement appelées événements. Il peut s'agir de paquets de données sur le réseau, d'informations obtenues à partir du journal système ou d'autres méthodes.
Sans flux de données (ou sans collecte de données), un IDS est un arbre sans racines et complètement inutile.
En tant qu'organisation de base d'IDS, le système de génération d'événements peut jouer un rôle important. Il collecte tous les événements définis et les transmet ensuite aux autres composants en une seule fois. Dans un environnement Windows, l'approche de base actuelle consiste à utiliser Winpcap et WinDump.
Comme nous le savons tous, pour les systèmes de génération et d'analyse d'événements, les logiciels et programmes basés sur les plates-formes Linux et Unix sont actuellement populaires. En fait, sur la plate-forme Windows, il existe également des logiciels similaires à Libpcap (qui est un logiciel nécessaire pour Unix ou Linux pour capturer les paquets réseau du noyau) L'outil est Winpcap.
Winpcap est une API d'interface réseau gratuite basée sur Windows qui définit la carte réseau en mode « promiscuité », puis parcourt les paquets capturés par le réseau. Sa technologie est simple à mettre en œuvre, très portable et n'a rien à voir avec les cartes réseau, mais elle n'est pas efficace et convient aux réseaux inférieurs à 100 Mbps.
L'outil de détection de réseau correspondant basé sur Windows est WinDump (une version portée de Tcpdump sur la plate-forme Linux/Unix sous Windows). Ce logiciel doit être basé sur l'interface Winpcap (quelqu'un appelle ici Winpcap : pilote de détection de données). Grâce à WinDump, il peut afficher les en-têtes des paquets de données qui correspondent aux règles. Vous pouvez utiliser cet outil pour rechercher des problèmes de réseau ou surveiller les conditions du réseau. Vous pouvez surveiller efficacement les comportements sûrs et dangereux du réseau dans une certaine mesure.
Les deux logiciels peuvent être trouvés gratuitement en ligne et les lecteurs peuvent également consulter des didacticiels d'utilisation des logiciels associés.
Ce qui suit est une brève introduction aux étapes permettant d’établir la détection et la collecte des événements.
1. Assembler des systèmes logiciels et matériels. En fonction de l'activité du réseau, décidez si vous souhaitez utiliser un ordinateur compatible ordinaire ou un serveur dédié avec des performances plus élevées. Pour installer le système d'exploitation Windows de base NT, il est recommandé d'utiliser Windows Server 2003 Enterprise Edition si les conditions ne sont pas remplies. , vous pouvez également utiliser Windows 2000 Advanced Server. Il est recommandé que le format de partition soit le format NTFS.
2. La division de l'espace du serveur doit être raisonnable et efficace. Pour l'installation des programmes d'exécution et le stockage des journaux de données, il est préférable de placer les deux espaces dans des partitions différentes.
3. Implémentation simple de Winpcap. Installez d'abord son pilote. Vous pouvez télécharger le programme d'installation automatique de WinPcap (pilote + DLL) depuis sa page d'accueil ou son site miroir et l'installer directement.
Remarque : Si vous utilisez Winpcap pour le développement, vous devez également télécharger le pack Développeur.
WinPcap comprend trois modules : Le premier module NPF (Netgroup Packet Filter) est un fichier VxD (Virtual Device Driver). Sa fonction est de filtrer les paquets de données et de transmettre ces paquets intacts au module mode utilisateur. Le deuxième module packet.dll fournit une interface publique pour la plate-forme Win32. Il est construit sur packet.dll et fournit une méthode de programmation plus pratique et directe. Le troisième module Wpcap.dll ne dépend d'aucun système d'exploitation. Il s'agit de la bibliothèque de liens dynamiques sous-jacente et fournit des fonctions abstraites de haut niveau. Des instructions d'utilisation spécifiques sont fournies sur les principaux sites Web. Comment mieux utiliser Winpcap nécessite de solides capacités de programmation en environnement C.
4. Création de WinDump. Après l'installation, exécutez en mode invite de commande Windows et les utilisateurs peuvent vérifier eux-mêmes l'état du réseau sans entrer dans les détails.
S'il n'y a aucun problème de compatibilité logicielle et que l'installation et la configuration sont correctes, la détection et la collecte des événements peuvent être réalisées.
[Page coupée]système d'analyse d'événements
Étant donné que la plupart de nos réseaux sont connectés par des commutateurs Ethernet commutés, le but de l'établissement d'un système d'analyse d'événements est de détecter plusieurs périphériques de pare-feu réseau et de prendre en charge plusieurs méthodes de collecte (telles que la collecte basée sur les informations de données Snmp et Syslog), et de fournir certains événements. fonctions de traitement des journaux, de statistiques, d'analyse et de requête.
Le système d'analyse des événements est le module central d'IDS. Sa fonction principale est d'analyser divers événements et de découvrir les comportements qui violent les politiques de sécurité. Comment l'établir est le point clé et difficile. Si vous pouvez écrire un système logiciel vous-même ou en collaboration avec d'autres, vous devez vous préparer rigoureusement au début du développement, par exemple avoir une compréhension claire des protocoles réseau, des attaques de pirates informatiques et des vulnérabilités du système, puis commencer à formuler des règles et des stratégies qui doit être basé sur des technologies et des spécifications standard, puis optimiser l'algorithme pour améliorer l'efficacité de l'exécution, établir un modèle de détection et simuler le processus d'attaque et d'analyse.
Le système d'analyse d'événements constitue le moteur de détection dans le segment du réseau de surveillance et effectue généralement une analyse via trois moyens techniques : la correspondance de modèles, l'analyse de protocole et l'analyse comportementale. Lorsqu'un certain modèle d'utilisation abusive est détecté, un message d'avertissement correspondant est généré et envoyé au système de réponse. À l’heure actuelle, l’analyse protocolaire constitue le meilleur moyen de détecter en temps réel.
Une manière possible d'utiliser ce système consiste à utiliser un analyseur de protocole comme corps principal, qui peut être construit sur la base de kits d'outils d'analyse de protocole ouverts et prêts à l'emploi ; l'analyseur de protocole peut afficher les flux de transmission réseau au niveau des paquets et exécuter automatiquement des avertissements. basé sur les règles du protocole réseau. Analyse pour détecter rapidement la présence d'attaques, permettant aux programmeurs et administrateurs réseau de surveiller et d'analyser l'activité du réseau pour détecter et localiser les pannes de manière proactive. Les utilisateurs peuvent essayer un analyseur de protocole réseau gratuit appelé Ethereal, qui prend en charge les systèmes Windows. Les utilisateurs peuvent analyser les données capturées par le système de génération d'événements et enregistrées sur le disque dur. Vous pouvez parcourir les paquets capturés de manière interactive et afficher des informations récapitulatives et détaillées pour chaque paquet. Ethereal possède une variété de fonctionnalités puissantes, telles que la prise en charge de presque tous les protocoles, des langages de filtrage riches et une visualisation facile des flux de données reconstruits des sessions TCP.
système réactif
Le système de réponse est un système interactif pour les personnes et les objets. Il peut être considéré comme la station de transfert et la station de coordination de l'ensemble du système. Les gens sont les administrateurs système et les choses sont tous les autres composants. Pour être plus précis, le coordinateur du système de réponse a beaucoup à faire : enregistrer les événements de sécurité, générer des messages d'alarme (tels que des e-mails), enregistrer des journaux supplémentaires, isoler les intrus, mettre fin aux processus et interdire la victimisation d'une manière prédéfinie. .Le port et le service de l'attaquant, ou même une contre-attaque ; une réponse manuelle et une réponse automatique (réponse basée sur la machine) peuvent être adoptées, et une combinaison des deux sera meilleure.
Éléments de conception de système réactifs
(1) Recevoir des informations d'alarme d'événement du système de génération d'événements qui ont été filtrées, analysées et reconstruites par le système d'analyse d'événements, puis interagir avec l'utilisateur (administrateur) pour interroger et émettre des jugements de règles et prendre des mesures de gestion.
(2) Fournir aux administrateurs une interface pour gérer le système de base de données d'événements. Ils peuvent modifier la base de règles, configurer les politiques de sécurité en fonction de différents environnements réseau et lire et écrire le système de base de données.
(3) Lorsqu'il agit sur le système frontal, il peut gérer les systèmes de génération et d'analyse d'événements (collectivement appelés détecteurs d'événements), classer et filtrer les événements collectés, détectés et analysés par le système, et réimplémenter les règles de sécurité en fonction de différentes situations de sécurité.
Les systèmes de réponse et les détecteurs d'événements sont généralement mis en œuvre sous forme d'applications.
Idée de conception : Le système de réponse peut être divisé en deux parties de programme, surveillance et contrôle. La partie d'écoute lie un port inactif, reçoit les résultats d'analyse et d'autres informations envoyées par le détecteur d'événements et convertit les fichiers stockés dans le système de base de données d'événements. En tant qu'administrateur, l'administrateur peut appeler des opérations de lecture seule, de modification et spéciales en fonction. aux autorisations des utilisateurs. La partie contrôle peut utiliser GTK+ pour écrire une interface graphique et développer une interface utilisateur graphique plus intuitive. L'objectif principal est de donner aux utilisateurs une interface plus pratique et conviviale pour parcourir les informations d'avertissement.
système de base de données d'événements
Sous la plate-forme Windows, bien qu'Access soit plus facile à maîtriser, le construire avec SQL Server 2000 est plus efficace qu'Access, et il n'est pas difficile de démarrer. Les principales fonctions de ce système sont : l'enregistrement, le stockage et la réorganisation des informations sur les événements, qui peut être appelé par les administrateurs pour afficher et examiner l'utilisation de l'analyse médico-légale des attaques.
La structure de ce système est relativement simple et ne nécessite que quelques fonctions de base du logiciel de base de données.
Pour coordonner une communication ciblée entre les composants, ceux-ci doivent comprendre correctement la sémantique des différentes données transmises entre eux. Vous pouvez vous référer au mécanisme de communication du CIDF pour construire un modèle à 3 couches. Faites attention à l’interopérabilité entre les différents composants pour garantir la sécurité, l’efficacité et la fluidité.
L'intégration se poursuivra dans les travaux ultérieurs et les fonctions de chaque composant continueront d'être améliorées. Un cadre IDS de base basé sur la plate-forme Windows est terminé. Si vous répondez aux exigences d'Internet, essayez de fabriquer votre propre fromage. Il y a une douceur indescriptible après un travail acharné.
[Page coupée]système d'analyse d'événements
Étant donné que la plupart de nos réseaux sont connectés par des commutateurs Ethernet commutés, le but de l'établissement d'un système d'analyse d'événements est de détecter plusieurs périphériques de pare-feu réseau et de prendre en charge plusieurs méthodes de collecte (telles que la collecte basée sur les informations de données Snmp et Syslog), et de fournir certains événements. fonctions de traitement des journaux, de statistiques, d'analyse et de requête.
Le système d'analyse des événements est le module central d'IDS. Sa fonction principale est d'analyser divers événements et de découvrir les comportements qui violent les politiques de sécurité. Comment l'établir est le point clé et difficile. Si vous pouvez écrire un système logiciel vous-même ou en collaboration avec d'autres, vous devez vous préparer rigoureusement au début du développement, par exemple avoir une compréhension claire des protocoles réseau, des attaques de pirates informatiques et des vulnérabilités du système, puis commencer à formuler des règles et des stratégies qui doit être basé sur des technologies et des spécifications standard, puis optimiser l'algorithme pour améliorer l'efficacité de l'exécution, établir un modèle de détection et simuler le processus d'attaque et d'analyse.
Le système d'analyse d'événements constitue le moteur de détection dans le segment du réseau de surveillance et effectue généralement une analyse via trois moyens techniques : la correspondance de modèles, l'analyse de protocole et l'analyse comportementale. Lorsqu'un certain modèle d'utilisation abusive est détecté, un message d'avertissement correspondant est généré et envoyé au système de réponse. À l’heure actuelle, l’analyse protocolaire constitue le meilleur moyen de détecter en temps réel.
Une manière possible d'utiliser ce système consiste à utiliser un analyseur de protocole comme corps principal, qui peut être construit sur la base de kits d'outils d'analyse de protocole ouverts et prêts à l'emploi ; l'analyseur de protocole peut afficher les flux de transmission réseau au niveau des paquets et exécuter automatiquement des avertissements. basé sur les règles du protocole réseau. Analyse pour détecter rapidement la présence d'attaques, permettant aux programmeurs et administrateurs réseau de surveiller et d'analyser l'activité du réseau pour détecter et localiser les pannes de manière proactive. Les utilisateurs peuvent essayer un analyseur de protocole réseau gratuit appelé Ethereal, qui prend en charge les systèmes Windows. Les utilisateurs peuvent analyser les données capturées par le système de génération d'événements et enregistrées sur le disque dur. Vous pouvez parcourir les paquets capturés de manière interactive et afficher des informations récapitulatives et détaillées pour chaque paquet. Ethereal possède une variété de fonctionnalités puissantes, telles que la prise en charge de presque tous les protocoles, des langages de filtrage riches et une visualisation facile des flux de données reconstruits des sessions TCP.
système réactif
Le système de réponse est un système interactif pour les personnes et les objets. Il peut être considéré comme la station de transfert et la station de coordination de l'ensemble du système. Les gens sont les administrateurs système et les choses sont tous les autres composants. Pour être plus précis, le coordinateur du système de réponse a beaucoup à faire : enregistrer les événements de sécurité, générer des messages d'alarme (tels que des e-mails), enregistrer des journaux supplémentaires, isoler les intrus, mettre fin aux processus et interdire la victimisation d'une manière prédéfinie. .Le port et le service de l'attaquant, ou même une contre-attaque ; une réponse manuelle et une réponse automatique (réponse basée sur la machine) peuvent être adoptées, et une combinaison des deux sera meilleure.
Éléments de conception de système réactifs
(1) Recevoir des informations d'alarme d'événement du système de génération d'événements qui ont été filtrées, analysées et reconstruites par le système d'analyse d'événements, puis interagir avec l'utilisateur (administrateur) pour interroger et émettre des jugements de règles et prendre des mesures de gestion.
(2) Fournir aux administrateurs une interface pour gérer le système de base de données d'événements. Ils peuvent modifier la base de règles, configurer les politiques de sécurité en fonction de différents environnements réseau et lire et écrire le système de base de données.
(3) Lorsqu'il agit sur le système frontal, il peut gérer les systèmes de génération et d'analyse d'événements (collectivement appelés détecteurs d'événements), classer et filtrer les événements collectés, détectés et analysés par le système, et réimplémenter les règles de sécurité en fonction de différentes situations de sécurité.
Les systèmes de réponse et les détecteurs d'événements sont généralement mis en œuvre sous forme d'applications.
Idée de conception : Le système de réponse peut être divisé en deux parties de programme, surveillance et contrôle. La partie d'écoute lie un port inactif, reçoit les résultats d'analyse et d'autres informations envoyées par le détecteur d'événements et convertit les fichiers stockés dans le système de base de données d'événements. En tant qu'administrateur, l'administrateur peut appeler des opérations de lecture seule, de modification et spéciales en fonction. aux autorisations des utilisateurs. La partie contrôle peut utiliser GTK+ pour écrire une interface graphique et développer une interface utilisateur graphique plus intuitive. L'objectif principal est de donner aux utilisateurs une interface plus pratique et conviviale pour parcourir les informations d'avertissement.
système de base de données d'événements
Sous la plate-forme Windows, bien qu'Access soit plus facile à maîtriser, le construire avec SQL Server 2000 est plus efficace qu'Access, et il n'est pas difficile de démarrer. Les principales fonctions de ce système sont : l'enregistrement, le stockage et la réorganisation des informations sur les événements, qui peut être appelé par les administrateurs pour afficher et examiner l'utilisation de l'analyse médico-légale des attaques.
La structure de ce système est relativement simple et ne nécessite que quelques fonctions de base du logiciel de base de données.
Pour coordonner une communication ciblée entre les composants, ceux-ci doivent comprendre correctement la sémantique des différentes données transmises entre eux. Vous pouvez vous référer au mécanisme de communication du CIDF pour construire un modèle à 3 couches. Faites attention à l’interopérabilité entre les différents composants pour garantir la sécurité, l’efficacité et la fluidité.
L'intégration se poursuivra dans les travaux ultérieurs et les fonctions de chaque composant continueront d'être améliorées. Un cadre IDS de base basé sur la plate-forme Windows est terminé. Si vous répondez aux exigences d'Internet, essayez de fabriquer votre propre fromage. Il y a une douceur indescriptible après un travail acharné.