网络安全原理与应用（第二版）戚文静 第7章 入侵检测技术新

第7章 入侵检测技术,学习目标l 入侵检测的概念 l 入侵检测技术 l 入侵检测系统的组成及原理 l 入侵检测工具的使用,7.1入侵检测概述,7.1.1.概念 入侵检测（Intrusion Detection），顾名思义，即是对入侵行为的发觉。它在计算机网络或计算机系统中的若干关键点收集信息，通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System，简称IDS）。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须能将得到的数据进行分析，并得出有用的结果。 早期的IDS模型设计用来监控单一服务器，是基于主机的入侵检测系统；近期的更多模型则集中用于监控通过网络互连的多个服务器，,7.1.2. IDS的任务和作用,u 监视、分析用户及系统活动； u 对系统构造和弱点的审计； u 识别和反应已知进攻的活动模式并向相关人士报警； u 异常行为模式的统计分析； u 评估重要系统和数据文件的完整性； u 操作系统的审计跟踪管理，识别用户违反安全策略的行为。,7.1.3入侵检测过程,信息收集 (1) 系统和网络日志文件 (2) 目录和文件中的不期望的改变 (3) 程序执行中的不期望行为 (4) 物理形式的入侵信息 2. 信号分析 (1)模式匹配： (2) 统计分析 (3) 完整性分析,(1) 模式匹配的方法：模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。这种分析方法也称为误用检测。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级模式库以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。,(2) 统计分析的方法：统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。这种分析方法也称为异常检测。例如，统计分析时发现一个在晚八点至早六点从不登录的账户却在凌晨两点突然试图登录，系统认为该行为是异常行为。统计分析的优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法有：基于专家系统的、基于模型推理的和基于神经网络的分析方法。,(3) 完整性分析的方法：完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性的变化。完整性分析在发现被更改的、被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制（如：消息摘要函数），能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。尽管如此，完整性检测方法还是网络安全产品的重要组成部分。可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。,7.2入侵检测系统,7.2.1 入侵检测系统的分类按照入侵检测系统的数据来源划分 （1）基于主机的入侵检测系统 （2）基于网络的入侵检测系统 （3）采用上述两种数据来源的分布式的入侵检测系统 2按照入侵检测系统采用的检测方法来分类 （1）基于行为的入侵检测系统： （2）基于模型推理的入侵检测系统： （3）采用两者混合检测的入侵检测系统： 3按照入侵检测的时间的分类 （1）实时入侵检测系统： （2）事后入侵检测系统：,7.2.2 基于主机的入侵检测系统,这种类型的系统依赖于审计数据或系统日志的准确性、完整性以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵，则基于主机的检测系统的弱点就暴露出来了。特别是在现代的网络环境下，单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。这主要表现在以下四个方面：一是主机的审计信息弱点，如易受攻击，入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。二是不能通过分析主机审计记录来检测网络攻击。三是IDS的运行或多或少影响服务器性能。四是基于主机的IDS只能对服务器的特定用户、应用程序执行动作、日志进行检测，所能检测到的攻击类型受到限制。,7.2.3 基于网络的入侵检测系统,基于网络的IDS的优点是：（1）服务器平台独立：基于网络的IDS监视通信流量而不影响服务器平台的变化和更新。 （2）配置简单：基于网络的IDS环境只需要一个普通的网络访问接口。 （3）检测多种攻击：基于网络的IDS探测器可以监视多种多样的攻击包括协议攻击和特定环境的攻击，长于识别与网络低层操作有关的攻击。,7.2.4分布式入侵检测技术,典型的入侵检测系统是一个统一集中的代码块，它位于系统内核或内核之上，监控传送到内核的所有请求。但是，随着网络系统结构复杂化和大型化，系统的弱点或漏洞将趋于分布化。另外，入侵行为不再是单一的行为，而是表现出相互协作的入侵特点，在这种背景下，产生了基于分布式的入侵检测系统。,基于分布式系统的IDS结构,7.3入侵检测工具介绍,7.3.1 ISS BlackICE BlackICE Server Protection 软件（以下简称BlackICE）是由ISS安全公司出品的一款著名的基于主机的入侵检测系统。该软件在九九年曾获得了PC Magazine的技术卓越大奖。专家对它的评语是：“对于没有防火墙的家庭用户来说，BlackICE是一道不可缺少的防线；而对于企业网络，它又增加了一层保护措施-它并不是要取代防火墙，而是阻止企图穿过防火墙的入侵者。BlackICE集成有非常强大的检测和分析引擎，可以识别多种入侵技巧，给予用户全面的网络检测以及系统的保护。而且该软件还具有灵敏度及准确率高，稳定性出色，系统资源占用率极少的特点。,7.3.2 ISS RealSecure RealSecure 2.0 for Windows NT是一种领导市场的攻击检测方案，它提供了分布式的安全体系结构。多个检测引擎可以监控不同的网络并向中央管理控制台报告。控制台与引擎之间的通信可以通过128bit RSA进行认证和加密。 RealSecure可以在NT、Solaris、SunOS和Linux上运行，并可以在混合的操作系统或匹配的操作系统环境下使用。对于一个小型的系统，可以将引擎和控制台放在同一台机器上运行。一个引擎可以向多个控制台报告，一个控制台也可以管理多个引擎。还可以对CheckP