信息安全技术第6章入侵检测系统.ppt

第6章 入侵检测系统,2,本章概要,本章针对入侵检测系统展开详尽的描述： 入侵检测系统的概念； 入侵检测系统的主要技术； 入侵检测系统的类型； 入侵检测系统的优缺点； 入侵检测系统的部署方式。,3,课程目标,通过本章的学习，读者应能够： 了解入侵检测系统工作基本原理； 了解入侵检测系统在整个安全防护体系中的作用； 掌握入侵检测系统的部署方式。,4,6.1 入侵检测系统的概念,当前，平均每20秒就发生一次入侵计算机网络的事件，超过1/3的互联网防火墙被攻破！面对接二连三的安全问题，人们不禁要问：到底是安全问题本身太复杂，以至于不可能被彻底解决，还是仍然可以有更大的改善，只不过我们所采取安全措施中缺少了某些重要的环节。有关数据表明，后一种解释更说明问题。有权威机构做过入侵行为统计，发现有80来自于网络内部，也就是说，“堡垒”是从内部被攻破的。另外，在相当一部分黑客攻击中，黑客都能轻易地绕过防火墙而攻击网站服务器。这就使人们认识到：仅靠防火墙仍然远远不能将“不速之客”拒之门外，还必须借助于一个“补救”环节入侵检测系统。,5,6.1.1 什么是入侵检测系统？,入侵检测系统(Intrusiondetetionsystem，简称IDS)是指监视(或者在可能的情况下阻止)入侵或者试图控制你的系统或者网络资源的行为的系统。作为分层安全中日益被越普遍采用的成分，入侵检测系统能有效地提升黑客进入网络系统的门槛。入侵检测系统能够通过向管理员发出入侵或者入侵企图来加强当前的存取控制系统，例如防火墙;识别防火墙通常不能识别的攻击，如来自企业内部的攻击；在发现入侵企图之后提供必要的信息。,6,入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干个关键点收集信息，并分析这些信息，检测网络中是否有违反安全策略的行为和遭到袭击的迹象。它的作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。 作为监控和识别攻击的标准解决方案，IDS系统已经成为安防体系的重要组成部分。 IDS系统以后台进程的形式运行。发现可疑情况，立即通知有关人员。,7,防火墙为网络提供了第一道防线，入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下对网络进行检测，从而提供对内部攻击、外部攻击和误操作的实时保护。由于入侵检测系统是防火墙后的又一道防线，从而可以极大地减少网络免受各种攻击的损害。 假如说防火墙是一幢大楼的门锁，那入侵检测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼，但不能保证小偷100地被拒之门外，更不能防止大楼内部个别人员的不良企图。而一旦小偷爬窗进入大楼，或内部人员有越界行为，门锁就没有任何作用了，这时，只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来的入侵者，同时也针对内部的入侵行为。,8,6.1.2 入侵检测系统的特点,对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该具有管理方便、配置简单的特性，从而使非专业人员非常容易地管理网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时做出响应，包括切断网络连接、记录事件和报警等。因此，一个好的入侵检测系统应具有如下特点：,9,a.不需要人工干预即可不间断地运行。 b.有容错功能。即使系统发生了崩溃，也不会丢失数据，或者在系统重新启动时重建自己的知识库。 c.不需要占用大量的系统资源。 d.能够发现异于正常行为的操作。如果某个IDS系统使系统由“跑”变成了“爬”，就不要考虑使用。,10,e.能够适应系统行为的长期变化。例如系统中增加了一个新的应用软件，系统写照就会发生变化，IDS必须能适应这种变化。 f.判断准确。相当强的坚固性，防止被篡改而收集到错误的信息。 g.灵活定制。解决方案必须能够满足用户要求。 h.保持领先。能及时升级。,11,6.1.3 入侵行为的误判,入侵行为判断的准确性是衡量IDS是否高效的重要技术指标，因为，IDS系统很容易出现判断失误，这些判断失误分为：正误判、负误判和失控误判三类。 1.正误判(falsepositive) 概念：把一个合法操作判断为异常行为。 特点：导致用户不理会IDS的报警，类似于“狼来了”的后果，使得用户逐渐对IDS的报警淡漠起来，这种“淡漠”非常危险，将使IDS形同虚设。,12,2.负误判(fasenegative) 概念：把一个攻击动作判断为非攻击行为，并允许其通过检测。 特点：背离了安全防护的宗旨，IDS系统成为例行公事，后果十分严重。 3.失控误判(subversion) 概念：攻击者修改了IDS系统的操作，使它总是出现负误判的情况。 特点：不易觉察，长此以往，对这些“合法”操作IDS将不会报警。,13,6.2 入侵检测的主要技术一入侵分析技术,入侵分析技术主要有三大类：签名、统计及数据完整性。,14,6.2.1 签名分析法,签名分析法主要用来检测有无对系统的己知弱点进行的攻击行为。这类攻击可以通过监视有无针对特定对象的某种行为而被检测到。 主要方法：从攻击模式中归纳出其签名，编写到IDS系统的代码里，再由IDS系统对检测过程中收集到的信息进行签名分析。 签名分析实际上是一个模板匹配操作，匹配的一方是系统设置情况和用户操作动作，一方是已知攻击模式的签名数据库。,15,6.2.2 统计分析法,统计分析法是以系统正常使用情况下观察到的动作为基础，如果某个操作偏离了正常的轨道，此操作就值得怀疑。 主要方法：首先根据被检测系统的正常行为定义出一个规律性的东西，在此称为“写照”，然后检测有没有明显偏离“写照”的行为。 统计分析法的理论基础是统计学，此方法中，“写照”的确定至关重要。,16,6.2.3 数据完整性分析法,数据完整性分析法主要用来查证文件或对象是否被修改过，它的理论基础是密码学。 上述分析技术在IDS中会以各种形式出现，把这些方法组合起来使用，互相弥补不足是最好的解决方案，从而在IDS系统内部实现多层次、多手段的入侵检测功能。如签名分析方法没有发现的攻击可能正好被统计分析方法捕捉到。,6.3 入侵检测系统的主要类型,18,6.3.1 应用软件入侵检测(Application Intrusion Detection) 1.概念 在应用软件级收集信息。 2.优点 控制性好具有很高的可控性。 3.缺点 a.需要支持的应用软件数量多；,19,b.只能保护一个组件针对软件的IDS系统只能对特定的软件进行分析，系统中其他的组件不能得到保护。 网络入侵检测系统(IDS)可以分为基于网络数据包分析的和基于主机的两种基本方式。简单说，前者在网络通信中寻找符合网络入侵模版的数据包，并立即做出相应反应；后者在宿主系统审计日志文件中寻找攻击特征，然后给出统计分析报告。它们各有优缺点，互相作为补充。,20,6.3.2基于主机的入侵检测(Host Intrusion Detection),1.概念 基于主机的入侵检测始于20世纪80年代早期，通常采用查看针对可疑行为的审计记录来执行。它对新的记录条目与攻击特征进行比较，并检查不应该被改变的系统文件的校验和来分析系统是否被侵入或者被攻击。如果发现与攻击模式匹配，IDS系统通过向管理员报警和其他呼叫行为来响应。它的主要目的是在事件发生后提供足够的分析来阻止进一步的攻击。反应的时间依赖于定期检测的时间间隔。实时性没有基于网络的IDS系统好。,21,2.优点 基于主机的入侵检测具有以下优势： a.监视所有系统行为。基于主机的IDS能够监视所有的用户登录和退出，甚至用户所做的所有操作，审计系统在日志里记录的策略改变，监视关键系统文件和可执行文件的改变等。可以提供比基于网络的IDS更为详细的主机内部活动信息。 b.有些攻击在网络的数据流中很难发现，或者根本没有通过网络在本地进行。这时基于网络的IDS系统将无能为力。,22,c.适应交换和加密。基于主机的IDS系统可以较为灵活地配置在多个关键主机上，不必考虑交换和网络拓扑问题。这对关键主机零散地分布在多个网段上的环境特别有利。某些类型的加密也是对基于网络的入侵检测的挑战。依靠加密方法在协议堆栈中的位置，它可能使基于网络的系统不能判断确切的攻击。基于主机的IDS没有这种限制。 d.不要求额外的硬件。基于主机的IDS配置在被保护的网络设备中，不要求在网络上增加额外的硬件。,23,3.缺点 a.看不到网络活动的状况。 b.运行审计功能要占用额外系统资源。 C.主机监视感应器对不同的平台不能通用。 d.管理和实施比较复杂。,24,6.3.3 基于网络的入侵检测(NetworkIntrusionDetection),1.概念 基于网络的入侵检测系统使用原始的裸网络包作为源。利用工作在混杂模式下的网卡实时监视和分析所有的通过共享式网络的传输。当前，部分产品也可以利用交换式网络中的端口映射功能来监视特定端口的网络入侵行为。一旦攻击被检测到，响应模块将按照配置对攻击做出反应。这些反应通常包括发送电子邮件、寻呼、记录日志、切断网络连接等。 2.优点 基于网络的入侵检测系统具有以下几方面的优势：,25,a.基于网络的ID技术不要求在大量的主机上安装和管理软件，允许在重要的访问端口检查面向多个网络系统的流量。在一个网段只需要安装一套系统，则可以监视整个网段的通信，因而花费较低。 b.基于主机的IDS不查看包头，因而会遗漏一些关键信息，而基于网络的IDS检查所有的包头来识别恶意和可疑行为。例如，许多拒绝服务攻击(DoS)只能在它们通过网络传输时检查包头信息才能识别。,26,c.基于网络IDS的宿主机通常处于比较隐蔽的位置，基本上不对外提供服务，因此也比较坚固。这样对于攻击者来说，消除攻击证据非常困难。捕获的数据不仅包括攻击方法，还包括可以辅助证明和作为起诉证据的信息。而基于主机IDS的数据源则可能已经被精通审计日志的黑客篡改。 d.基于网络的IDS具有更好的实时性。例如，它可以在目标主机崩溃之前切断TCP连接，从而达到保护的目的。而基于主机的系统是在攻击发生之后，用于防止攻击者的进一步攻击。,27,e.检测不成功的攻击和恶意企图。基于网络的IDS可以检测到不成功的攻击企图，而基于主机的系统则可能会遗漏一些重要信息。 f.基于网络的IDS不依赖于被保护主机的操作系统。 3.缺点 a.对加密通信无能为力。 b.对高速网络无能为力。 c.不能预测命令的执行后果。,28,6.3.4 集成入侵检测(Integrated Intrusion Detection),1.概念 综合了上面介绍的几种技术的入侵检测方法。 2.优点 a.具有每一种检测技术的优点，并试图弥补各自的不足。 b.趋势分析能够更容易看清长期攻击和跨网络攻击的模式。 C.稳定性好。 d.节约成本-购买集成化解决方案相对于分别购买独立组件的解决方案，可节约开支。 3.缺点 a.在安防问题上不思进取。 b.把不同供应商的组件集成在一起较困难。,29,6.4 入侵检测系统的优点和不足,30,6.4.1 入侵测系统的优点,入侵检测系统能够增强网络的安全性，它的优点： 能够使现有的安防体系更完善； 能够更好地掌握系统的情况； 能够追踪攻击者的攻击线路； 界面友好，便于建立安防体系； 能够抓住肇事者。,31,6.4.2 入侵检测系统的不足,入侵检测系统不是万能的，它同样存在许多不足之处： 不能够在没有用户参与的情况下对攻击行为展开调查； 不能够在没有用户参与的情况下阻止攻击行为的发生； 不能克服网络协议方面的缺陷； 不能克服设计原理方面的缺陷； 响应不够及时，签名数据库更新得不够快。经常是事后才检测到，适时性不好。,32,6.5 带入侵检测功能的网络体系结构,由前述可知，入侵检测系统能做什么，不能做什么；至于它在网络体系结构的位置，很大程度上取决于使用IDS的目的。它既可以放在防火墙前面，部署一个网络IDS，监视以整个内部网为目标的攻击，又可以在每个子网上都放置网络感应器，监视网络上的一切活动。 网络IDS参见下页图所示：,33,IDS部署示意,含HIDS的网络体系结构,34,6.6入侵检测系统的发展,入侵检测系统的发展方向是攻击防范技术和更好的攻击识别技术，也就是入侵防范技术。当系统遇到进攻时设法把它化解掉，让网络和系统还能正常运转。 抗入侵解决方案具有以下几方面的优势： 对入侵做出主动的反映； 不再完全依赖于签名数据库，易于管理； 追求的目标是在攻击对系统造成真正的危害之前将它们化解掉；,35,对攻击展开的跟踪调查随时都可以进行； 极大地改善了IDS系统的易用性，减轻了主机安防在系统管理方面的压力。 由于IDS的局限性，市场上又出现了IDP (Intrusion Detection Prevention) 产品。当前的IDP产品可以认为是IDS系统的替代品。与IDS相比，IDP最大的特点在于它不但能检测到入侵行为的发生，而且有能力中止入侵活