工业控制系统入侵检测与防护
《工业控制系统信息安全》
第9章 工业控制系统入侵检测与防护
-1-
第9章 工业控制系统入侵检测与防护
9.1 入侵检测与防护系统简介 9.2 入侵检测系统(IDS) 9.3 入侵防护系统(IPS)
-2-
9.1 入侵检测与防护系统简介
• 工业控制系统信息安全更需要“未雨绸缪,防患于未然”的主动防御,将入侵 攻击扼杀于萌芽中。
-5-
9.2.2 入侵检测系统的功能
入侵检测系统的功能如图9-1所示,其主要功能介绍如下。 (1)监测、分析用户和系统的 活动 (2)发现入侵企图或异常现象 (3)记录、报警和响应
图9-1 入侵检测系统功能图
-6-
9.2.3 入侵检测系统的分类
1.按照原始数据的来源分类 2.按照检测原理分类 3.按照体系结构分类 4.按照工作方式分类
-11-
9.2.6 入侵检测系统的部署
1.IDS的一般部署 2.NIDS的部署 3.HIDS的部署 4.混合部署
-12-
第9章工业控制系统入侵检测与防护
9.1 入侵检测与防护系统简介 9.2 入侵检测系统(IDS) 9.3 入侵防护系统(IPS)
-13-
9.3.1 入侵防护系统的定义
• IPS是一种主动的、智能的入侵检测、防范、阻止系统,其设计旨在预先对入 侵活动和攻击性网络流量进行拦截,避免造成任何损失,而不是简单地在恶意 流量传送时或传送后才发出警报。它部署在网络的进出口处,当它检测到攻击 企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断。
• 入侵检测系统和入侵防护系统是工业控制系统运行安全防护的两个有效手段, 在工业控制系统信息安全防护中起着举足轻重的作用,它们对工业控制系统网 络传输和系统运行过程中的入侵行为进行实时监视,在发现可疑时发出警报或 者触发入侵反应系统采取反应措施。
• 由于工业控制系统与传统 IT 系统有一定的区别,系统的功能和结构相对固定, 通信协议固定而有限,这使得开发符合工业控制系统特点的入侵检测和防护成 为可能,尤其可以克服IT系统中基于异常行为的入侵检测系统的误报率高的缺 点。
-7-
9.2.4 入侵检测系统的不足
(1)IDS系统本身还在迅速发展和变化,远未成熟 (2)事件响应与恢复机制不完善 (3)IDS与其他安全技术的协作性不够 (4)现有IDS系统虚警率偏高 (5)IDS系统规范和标准化还有待在建立
-8-
9.2.5 入侵检测系统的体系结构
1.基于主机的入侵检测系统结构(HIDS) 1)HIDS结构的定义 2)HIDS结构的模型 3)HIDS结构的优点 4)HIDS结构的弱点
-17-
9.3.3 入侵防护系统的原理
• IPS在检测方面的原理与IDS相同,在阻止入侵方面的原理只有IPS具备。 它首先由信息采集模块实施信息收集,内容包括系统和网络的数据, 以及用户活动的状态和行为,然后利用模式匹配、协议分析、统计分 析和完整性分析等技术手段,由信号分析模块对收集到的有关系统、 网络、数据及用户活动的状态和行为等信息进行分析,最后由反应模 块对采集、分析后的结果做出相应的反应。
9.3.2 入侵防护系统的分类
2.基于网络的入侵防护(NIPS)
-16-
9.3.2 入侵防护系统的分类
3.应用入侵防护(AIP) AIP是NIPS的一个特例,它把基于主机的入侵防护扩展成为位于应用服务器之 前的网络设备,AIP被设计成一种高性能的设备,配置在应用数据的网络链路 上,以确保用户遵守设定好的安全策略,保护服务器的安全。由于NIPS工作 在网络上,直接对数据包进行检测和阻断,因此,与具体的主机/服务器操作 系统平台无关。
• IPS与传统的IDS相比有两点关键区别
• 入侵防护系统模型图
-18-
9.3.4 入侵防护系统的关键技术
1.主动防御技术 2.防火墙和IPS联动技术 3.综合多种检测方法 4.硬件加速系统
-19-
-9-
9.2.5 入侵检测系统的体系结构
2.基于网络的入侵检测系统结构(NIDS) 1)NIDS结构的定义 2)NIDS结构的模型 3)NIDS结构的优点 4)NIDS结构的弱点
-10-
9.2.5 入侵检测系统的体系结构
3.分布式入侵检测系统结构(DIDS) 1)DIDS结构的定义 2)DIDS结构的模型 3)DIDS结构的优点 4)DIDS结构的弱点
• 目前,工业控制系统的入侵检测和防护系统正处于理论研究阶段和应用阶段, 其发展方向必将对工业控制系统信息安全产生深远的影响。
-3-
第9章 工业控制系统入侵检测与防护
9.1 入侵检测与防护系统简介 9.2 入侵检测系统(IDS) 9.3 入侵防护系统(IPS)
-4-
9.2.1 入侵检测系统的定义
根据美国国际计算机安全协会(ICSA)的定义,入侵检测是通过从计算机网络或计算机系统 中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行 为和遭到袭击的迹象的一种安全技术。违反安全策略的行为通常包括两种:入侵,非法用户 的违规行为;误用,用户的违规行为。
入侵检测系统(Intrusion Detection System,IDS)是完成入侵检测功能的独立系统,是一 个软、硬件的组合体,能够检测未授权对象(人或程序)针对系统的入侵企图或行为,同时 监控授权对象对系统资源的非法操作。
入侵检测技术是一种主动保护自己的网络和系统免遭非法攻击的网络安全技术,它从计算机 系统或者网络中收集、分析信息,检测任何企图破坏计算机资源的完整性(Integrity)、机 密性(Confidentiality)和可用性(Availability)的行为,即查看是否有违反安全策略的 行为和遭到攻击的迹象,并做出相应的反应。
• IPS是一种智能化的入侵检测和防御产品,它不但能检测入侵的发生,而且能 通过一定的响应方式,实时地终止入侵行为的发生和发展,实时地保护信息系 统不受实质性的攻击。IPS使得IDS和防火墙走向统一。
• IPS技术的四大特征
-14-
9.3.2 入侵防护系统的分类
1.基于主机的入侵防护(HIPS)
-15-
