《Ch08入侵检测技术》PPT课件.ppt

网络与信息安全 Ch08 入侵检测技术 1 本章学习目的 o掌握入侵检测系统的原理 o掌握入侵检测系统的核心技术 o了解入侵检测系统的作用 o了解入侵检测技术的发展趋势 o掌握入侵检测系统在网络安全中的地位 o掌握评价入侵检测系统的性能指标 2 入侵检测检测 系统统概述 防火墙是所有保护网络的方法中最能普遍接受的方法， 能阻挡外部入侵者，但对内部攻击无能为力；同时，防火墙 绝对不是坚不可摧的，即使是某些防火墙本身也会引起一些 安全问题。防火墙不能防止通向站点的后门，不提供对内部 的保护，无法防范数据驱动型的攻击，不能防止用户由 Internet上下载被病毒感染的计算机程序或将该类程序附在 电子邮件上传输。 入侵检测是防火墙的合理补充，它帮助系统对付网络攻击 ，扩展了系统管理员的安全管理能力(安全审计、监视、进攻 识别和响应)，提高了信息安全基础结构的完整性。 3 误报 o没有一个入侵检测能无敌于误报，因为没有一个应用 系统不会发生错误，原因主要有四个方面。 n1、缺乏共享数据的机制 n2、缺乏集中协调的机制 n3、缺乏揣摩数据在一段时间内变化的能力 n4、缺乏有效的跟踪分析 4 入侵检测系统面临的挑战 o一个有效的入侵检测系统应限制误报出现的次数 ，但同时又能有效截击。 o误报是指被入侵检测系统测报警的是正常及合法 使用受保护网络和计算机的访问。 o误报是入侵检测系统最头疼的问题，攻击者可以 而且往往是利用包的结构伪造无威胁的“正常”假 警报，而诱导没有警觉性的管理员人把入侵检测 系统关掉。 5 入侵检测系统的概念 o入侵检测是指“通过对行为、安全日志或审 计数据或其它网络上可以获得的信息进行 操作，检测到对系统的闯入或闯入的企图” （参见国标GB/T18336）。 o入侵检测是检测和响应计算机误用的学科 ，其作用包括威慑、检测、响应、损失情 况评估、攻击预测和起诉支持。 6 入侵检测系统的概念 o入侵检测技术是为保证计算机系统的安全而设计 与配置的一种能够及时发现并报告系统中未授权 或异常现象的技术，是一种用于检测计算机网络 中违反安全策略行为的技术。 o进行入侵检测的软件与硬件的组合便是入侵检测 系统（IntrusionDetectionSystem，简称IDS ）。 o入侵检测系统IDS（Intrusion Detection System）指的是一种硬件或者软件系统，该系统 对系统资源的非授权使用能够做出及时的判断、 记录和报警。 7 相关术语 攻击 攻击者利用工具，出于某种动机，对目标系统采取的行动， 其后果是获取/破坏/篡改目标系统的数据或访问权限 事件 在攻击过程中发生的可以识别的行动或行动造成的后果；在 入侵检测系统中，事件常常具有一系列属性和详细的描述信 息可供用户查看。 CIDF 将入侵检测系统需要分析的数据统称为事件（event） 8 入侵 对信息系统的非授权访问及（或）未经许可在信息系统中进 行操作 入侵检测 对企图入侵、正在进行的入侵或已经发生的入侵进行识别的 过程 入侵检测系统（IDS） 用于辅助进行入侵检测或者独立进行入侵检测的自动化工具 相关术语 9 入侵检测（Intrusion Detection）技术是一种动态的网 络检测技术，主要用于识别对计算机和网络资源的恶意使用 行为，包括来自外部用户的入侵行为和内部用户的未经授权 活动。一旦发现网络入侵现象，则应当做出适当的反应。 p 对于正在进行的网络攻击，则采取适当的方法来阻断攻击（与防火 墙联动）。 p 对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的 原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律 责任的依据。 p 它从计算机网络系统中的若干关键点收集信息，并分析这些信息， 看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测技术 10 入侵检测系统 入侵检测系统（IDS）由入侵检测的软件与硬件组合而 成，被认为是防火墙之后的第二道安全闸门，在不影响网络 性能的情况下能对网络进行监测，提供对内部攻击、外部攻 击和误操作的实时保护。 IDS执行以下任务来实现： 1）监视、分析用户及系统活动。 2）系统构造和弱点的审计。 3）识别反映已知进攻的活动模式并向相关人士报警。 4）异常行为模式的统计分析。 5）评估重要系统和数据文件的完整性。 6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 11 入侵的方法和手段 n端口扫描与漏洞攻击 n密码攻击 n网络监听 n拒绝服务攻击 n缓冲区溢出攻击 n欺骗攻击 12 入侵检测的发展历程 n 1980年，概念的诞生 n 19841986年，主机IDS n 1990年，形成网络IDS n 九十年代后至今，集成主机IDS和网络IDS,分布式入侵 检测系统DIDS 13 入侵检测的实现方式 入侵检测系统根据数据包来源的不同，采用不用的实 现方式，一般地可分为网络型、主机型，也可是这两种类 型的混合应用。 基于主机的入侵检测系统（HIDS） 基于网络的入侵检测系统（NIDS） 混合型入侵检测系统（Hybrid IDS） 14 入侵检测的实现方式 1、主机IDS： 运行于被检测的主机之上，通过查询、监听当前系统 的各种资源的使用运行状态，发现系统资源被非法使用和 修改的事件，进行上报和处理。 安装于被保护的主机中 主要分析主机内部活动 占用一定的系统资源 15 基于主机的入侵检测系统 n基于主机的入侵检测系统：主要用于保 护运行关键应用的服务器。它通过监视与分 析土机的审计记录和日志文件：来检测入侵 。日志中包含发生在系统上的不寻常和不期 望活动的证据，这些证据可以指出有人正在 入侵或已成功入侵了系统。通过查看日志文 件，能够发现成功的入侵或入侵企图，并很 快地启动相应的应急响应程序。 16 主机IDS优势 (1) 精确地判断攻击行为是否成功。 (2) 监控主机上特定用户活动、系统运行情况 (3) 能够检测到NIDS无法检测的攻击 (4) 适用加密的和交换的环境。 (5) 不需要额外的硬件设备。 17 主机IDS的劣势 (1) 对被保护主机的影响。 (2) 安全性受到宿主操作系统的限制。 (3) 数据源受到审计系统限制。 (4) 被木马化的系统内核能够骗过HIDS。 (5) 维护/升级不方便。 18 入侵检测的实现方式 2、网络IDS： 网络IDS是网络上的一个监听设备(或一个专用主机)， 通过监听网络上的所有报文，根据协议进行分析，并报告 网络中的非法使用者信息。 安装在被保护的网段中 分析网段中所有的数据包 实时检测和响应 19 基于网络的入侵检测系统 o基于网络的入侵检测系统：主要用于实 时监控网络关键路径的信息，它监听网 络上的所有分组来采集数据，分析可疑 现象。 20 网络IDS工作模型 21 网络IDS优势 (1) 实时分析网络数据，检测网络系统的非法行为； (2) 网络IDS系统单独架设，不占用其它计算机系统的任何资 源； (3) 网络IDS系统是一个独立的网络设备，可以做到对黑客透 明，因此其本身的安全性高； (4) 既可以用于实时监测系统，也是记录审计系统，可以做到 实时保护，事后分析取证； (5) 通过与防火墙的联动，不但可以对攻击预警，还可以更有 效地阻止非法入侵和破坏。 (6)不会增加网络中主机的负担。 22 网络IDS的劣势 (1)不适合交换环境和高速环境 (2)不能处理加密数据 (3) 资源及处理能力局限 (4) 系统相关的脆弱性 23 3、两种实现方式的比较： 1)如果攻击不经过网络则NIDS无法检测到，只能通过 HIDS来检测； 2)基于NIDS通过检查所有的包头来进行检测，而HIDS 并不查看包头。HIDS往往不能识别基于IP的拒绝服务攻击 和碎片攻击； 3)NIDS可以研究数据包的内容，查找特定攻击中使用 的命令或语法，这类攻击可以被实时检查包序列的IDS迅速 识别；而HIDS无法看到负载，因此也无法识别嵌入式的数 据包攻击。 24 4、混合型入侵检测系统（Hybrid IDS） 在新一代的入侵检测系统中将把现在的基于网络和基 于主机这两种检测技术很好地集成起来，提供集成化的攻 击签名检测报告和事件关联功能。 可以深入地研究入侵事件入侵手段本身及被入侵目标 的漏洞等。 25 入侵检测的方法 o目前入侵检测方法有三种分类依据： n1、根据物理位置进行分类。 n2、根据建模方法进行分类。 n3、根据时间分析进行分类。 o常用的方法有三种：静态配置分析、异常 性检测方法和基于行为的检测方法。 26 静态配置分析 o静态配置分析通过检查系统的配置，诸如系统文 件的内容，来检查系统是否已经或者可能会遭到 破坏。静态是指检查系统的静态特征（比如，系 统配置信息）。 o采用静态分析方法主要有以下几方面的原因：入 侵者对系统攻击时可能会留下痕迹，可通过检查 系统的状态检测出来。 27 利用fport检测与端口关联的应用程序 o网络入侵者都会连接到主机的某个非法端口，通过检查出与端口关联 应用程序，可以进行入侵检测，这种方法属于静态配置分析。 o利用工具软件fport.exe检查与每一端口关联的应用程序，如图所示。 28 异常性检测方法 o异常性检测技术是一种在不需要操作系统及其安全性缺陷的专 门知识的情况下，就可以检测入侵者的方法，同时它也是检测 冒充合法用户的入侵者的有效方法。但是。在许多环境中，为 用户建立正常行为模式的特征轮廓以及对用户活动的异常性进 行报警的门限值的确定都是比较困难的事。因为并不是所有入 侵者的行为都能够产生明显的异常性，所以在入侵检测系统中 ，仅使用异常性检测技术不可能检测出所有的入侵行为。而且 ，有经验的入侵者还可以通过缓慢地改变他的行为，来改变入 侵检测系统中的用户正常行为模式，使其入侵行为逐步变为合 法，这样就可以避开使用异常性检测技术的入侵检测系统的检 测。 29 基于行为的检测方法 o基于行为的检测方法通过检测用户行为中的那些与某些已知的 入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地 违背系统安全规则的行为，来检测系统中的入侵活动。 o基于入侵行为的入侵检测技术的优势：如果检测器的入侵特征 模式库中包含一个已知入侵行为的特征模式，就可以保证系统 在受到这种入侵行为攻击时能够把它检测出来。但是，目前主 要是从已知的入侵行为以及已知的系统缺陷来提取入侵行为的 特征模式，加入到检测器入侵行为特征模式库中，来避免系统 以后再遭受同样的入侵攻击。 30 入侵检测的步骤 o入侵检测系统的作用是实时地监控计算机系统的 活动，发现可疑的攻击行为，以避免攻击的发生 ，或减少攻击造成的危害。由此也划分了入侵检 测的三个基本步骤： n信息收集 n数据分析 n响应 31 信息收集 o入侵检测的第一步就是信息收集，收集的内容包 括整个计算机网络中系统、网络、数据及用户活 动的状态和行为。 o入侵检测在很大程度上依赖于收集信息的可靠性 、正确性和完备性。因此，要确保采集、报告这 些信息的软件工具的可靠性，这些软件本身应具 有相当强的坚固性，能够防止被篡改而收集到错 误的信息。否则，黑客对系统的修改可能使入侵 检测系统功能失常但看起来却跟正常的系统一样 。 32 数据分析 o数据分析（Analysis Schemes）是入侵 检测系统的核心，它的效率高低直接决定 了整个入侵检测系统的性能。根据数据分 析的不同方式可将入侵检测系统分为异常 入侵检测与误用入侵检测两类： 33 响应 o数据分析发现入侵迹象后，入侵检测系统的下一 步工作就是响应。而响应并不局限于对可疑的攻 击者。目前的入侵检测系统一般采取下列响应。 n将分析结果记录在日志文件中，并产生相应的报 告。 n触发警报：如在系统管理员的桌面上产生一个告 警标志位，向系统管理员发送传呼或电子邮件等等。 n修改入侵检测系统或目标系统，如终止进程、切 断攻击者的网络连接，或更改防火墙配置等。 34 入侵检测的一般过程 信息源 信息采集数据预处理检测模型 安全策略 响应处理 35 通用入侵检测系统 36 入侵检测系统的基本工作模式 o从系统的不同环节收集信息 o分析该信息，试图寻找入侵活动的特征 o自动对检测到的行为作出响应 o记录并报告检测过程的结果 37 入侵检测方法 o特征检测 o统计检测 n操作模型 n方差模型 n多元模型 n马尔可夫过程模型 n时间序列分析模型 o专家系统 38 入侵检测的分类 o按系统分析的数据源分类 n基于主机、基于网络、混合式 o按体系结构分类 n集中式、层次式、分布式 o按分析方法分类 n异常、误用(漏报率?，误报率? ) o按响应方式分类 n主动的、被动的 39 oCIDF模型(Common Intrusion Detection Framework，公共入侵检测框架 ) n事件产生器：这是入侵检测系统中负责原始数据采集 的部分，它对数据流、日志文件等进行追踪，然后将搜集 到的原始数据转换为事件，并向系统的其他部分提供此事 件； n事件分析器：事件分析器接收事件信息，然后对它们 进行分析，判断是否是入侵行为或异常现象，最后将判断 的结果转变为警告信息； n事件数据库：事件数据库是存放各种中间和最终数据 的地方。它从事件产生器或事件分析器接收数据，一般会 将数据进行较长时间的保存。它可以是复杂的数据库，也 可以是简单的文本文件； n响应单元：响应单元根据警告信息作出反应，它可以 做出切断连接、改变文件属性等强烈反应，也可以只是简 单的报警，它是入侵检测系统中的主动武器 40 CIDF模型 oCIDF阐述了一个入侵检测系统（IDS）的 通用模型。它将一个入侵检测系统分为以 下组件： n事件产生器（Eventgenerators），用E 盒表示； n事件分析器（Eventanalyzers），用A盒 表示； n响应单元（Responseunits），用R盒表 示； n事件数据库（Eventdatabases），用D盒 表示。 41 CIDF的体系结构图 42 CIDF工作流程 o1、E盒通过传感器收集事件数据，并将信息传送 给A盒，A盒检测误用模式； o2、D盒存储来自A、E盒的数据，并为额外的分析 提供信息； o3、R盒从A、E盒中提取数据，D盒启动适当的响 应。A、E、D及R盒之间的通信都基于GIDO（ generalizedIntrusiondetectionobjects，通用 入侵检测对象）和CISL（ commonintrusionspecificationlanguage，通 用入侵规范语言）。 o如果想在不同种类的A、E、D及R盒之间实现互操 作，需要对GIDO实现标准化并使用CISL。 43 入侵检测技术的发展趋势 o对分析技术加以改进：采用当前的分析技术和模型，会产生大 量的误报和漏报，难以确定真正的入侵行为。采用协议分析和 行为分析等新的分析技术后，可极大地提高检测效率和准确性 ，从而对真正的攻击做出反应。 o增进对大流量网络的处理能力：随着网络流量的不断增长，对 获得的数据进行实时分析的难度加大，这导致对所在入侵检测 系统的要求越来越高。入侵检测产品能否高效处理网络中的数 据是衡量入侵检测产品的重要依据。 o向高度可集成性发展：集成网络监控和网络管理的相关功能。 入侵检测可以检测网络中的数据包，当发现某台设备出现问题 时，可立即对该设备进行相应的管理。未来的入侵检测系统将 会结合其它网络管理软件，形成入侵检测、网络管理、网络监 控三位一体的工具。 44 蜜网陷阱Honeynet Honeynet是一个网络系统，并非某台单一主机，这一网络系统隐藏 在防火墙的后面，所有进出的数据都受到关注、捕获及控制。这些被捕 获的数据用来研究分析入侵者们使用的工具、方法及动机。在一个 Honeynet中，可以使用各种不同的操作系统及设备，如Solaris、Linux 、Windows NT、Cisco Switch等。 这样 ，建立的网络环 境看上去会更加真实可信，同时还 有不同的 系统平台上面运行着不同的服务，比如Linux的DNS Server、 WindowsNT的WebServer或者一个Solaris的FTP Server，可以使用不同 的工具以及不同的策略或许某些入侵者仅仅 把目标定于几个特定的系 统漏洞上，而这种多样化的系统，就可能更多地揭示出入侵者的一些 特性。 蜜网陷阱系统Honeynet 45 蜜网陷阱Honeynet 46 47 天阗黑客入侵检测与预警系统 天阗网络入侵检测系统典型部