网络安全教材配套课件入侵检测系统

网络安全,第十二章,第12章入侵检测系统,本章主要内容IDS概述；网络入侵检测系统；主机入侵检测系统。,12.1IDS概述,本讲主要内容入侵定义和手段；引出IDS的原因；入侵检测系统通用框架结构；入侵检测系统的两种应用方式；IDS分类；入侵检测系统工作过程；入侵检测系统不足；入侵检测系统发展趋势；入侵检测系统的评价指标。,一、入侵定义和手段,所有破坏网络可用性、保密性和完整性的行为都是入侵。目前黑客的入侵手段主要有恶意代码、非法访问和拒绝服务攻击等。,二、引出IDS的原因,无法防御以下攻击过程内部网络终端遭受的XSS攻击；内部网络蔓延蠕虫病毒；内部网络终端发送垃圾邮件。,二、引出IDS的原因,引入入侵检测系统（IDS），IDS可以获取流经内部网络中和非军事区中的关键链路的信息，能够对这些信息进行检测，发现包含在这些信息中与实施上述攻击过程有关的有害信息，并予以反制。,三、入侵检测系统通用框架结构,三、入侵检测系统通用框架结构,1事件发生器通用框架统一将需要入侵检测系统分析的数据称为事件，事件发生器的功能是提供事件。2事件分析器事件分析器根据事件数据库中的入侵特征描述、用户历史行为模型等信息，对事件发生器提供的事件进行分析，得出事件是否合法的结论。3响应单元响应单元是根据事件分析器的分析结果做出反应的单元。4事件数据库事件数据库中存储用于作为判别事件是否合法的依据的信息。,四、入侵检测系统的两种应用方式,在线方式下，IDS位于关键链路的中间，所以经过该关键链路传输的信息必须经过IDS。杂凑方式下，IDS不会影响信息流在关键链路的传输过程，只是被动地获取信息，对获取的信息进行检测。,在线方式,杂凑方式,五、IDS分类,入侵防御系统分为主机入侵防御系统和网络入侵防御系统；主机入侵防御系统检测进入主机的信息流、监测对主机资源的访问过程，以此发现攻击行为、管制流出主机的信息流，保护主机资源；网络入侵防御系统通过检测流经关键网段的信息流，发现攻击行为，实施反制过程，以此保护重要网络资源；主机入侵防御系统和网络入侵防御系统相辅相成，构成有机的防御体系。,六、入侵检测系统工作过程,网络入侵检测系统工作过程捕获信息；检测异常信息；反制异常信息；报警；登记。,得到流经关键网段的信息流。,异常指包含非法代码，包含非法字段值，与已知攻击特征匹配等。,反制是丢弃与异常信息具有相同源IP地址，或者相同目的IP地址的IP分组，释放传输异常信息的TCP连接等。,向网络安全管理员报告检测到异常信息流的情况，异常信息流的特征、源和目的IP地址，可能实施的攻击等。,记录下有关异常信息流的一切信息，以便对其进行分析。,六、入侵检测系统工作过程,在线方式下，网络入侵检测系统（NIDS）捕获内网和外网之间传输的信息的过程；杂凑方式下，网络入侵检测系统（NIDS）捕获终端和服务器间传输的信息的过程。,主机入侵检测系统工作过程拦截主机资源访问操作请求和网络信息流；采集相应数据；确定操作请求和网络信息流的合法性；反制动作；登记和分析。主机攻击行为的最终目标是非法访问网络资源，或者感染病毒，这些操作的实施一般都需要调用操作系统提供的服务，因此，首要任务是对调用操作系统服务的请求进行检测，根据调用发起进程，调用进程所属用户，需要访问的主机资源等信息确定调用的合法性。同时，需要对进出主机的信息进行检测，发现非法代码和敏感信息。,六、入侵检测系统工作过程,七、入侵检测系统不足,主机入侵防御系统是被动防御，主动防御是在攻击信息到达主机前予以干预，并查出攻击源，予以反制。另外，每一台主机安装主机入侵防御系统的成本和使安全策略一致的难度都是主机入侵防御系统的不足；网络入侵防御系统能够实现主动防御，但只保护部分网络资源，另外对未知攻击行为的检测存在一定的难度。,八、入侵检测系统发展趋势,融合到操作系统中主机入侵防御系统的主要功能是监测对主机资源的访问过程，对访问资源的合法性进行判别，这是操作系统应该集成的功能。集成到网络转发设备中所有信息流都需经过转发设备进行转发，因此，转发设备是检测信息流的合适之处。,九、入侵检测系统的评价指标,正确性正确性要求入侵检测系统减少误报，误报是把正常的信息交换过程或网络资源访问过程作为攻击过程予以反制和报警的情况。2全面性全面性要求入侵检测系统减少漏报，漏报与误报相反，是把攻击过程当作正常的信息交换过程或网络资源访问过程不予干预，从而使黑客攻击成功的情况。3性能性能是指捕获和检测信息流的能力。,12.2网络入侵检测系统,本讲主要内容网络入侵检测系统结构；信息捕获机制；网络入侵检测机制；安全策略配置实例。,一、网络入侵检测系统结构,探测器1处于探测模式，需要采用相应捕获机制才能捕获信息流，探测器2处于转发模式；探测器1只能使用释放TCP连接的反制动作，探测器2可以使用其他反制动作；为了安全起见，探测器和管理服务器用专用网络实现互连。,二、信息捕获机制,利用集线器的广播传输功能，从集线器任何端口进入的信息流，将广播到所有其他端口。,利用集线器捕获信息机制,端口境像功能是将交换机某个端口（如图中的端口2）作为另一个端口（如图中的端口1）的境像，这样，所有从该端口输出的信息流，都被复制到境像端口，由于境像端口和其他交换机端口之间的境像关系是动态的，因此，连接在端口2的探测器，可以捕获从交换机任意端口输出的信息流。,二、信息捕获机制,利用端口境像捕获信息机制,跨交换机端口境像功能是将需要检测的端口和连接探测模式的探测器端口之间交换路径所经过交换机端口划分为一个特定的VLAN；从检测端口进入的信息除了正常转发外，在该特定VLAN内广播。,二、信息捕获机制,利用跨交换机端口境像捕获信息机制,通过分类器鉴别出具有指定源和目的IP地址、源和目的端口号等属性参数的IP分组；为这些IP分组选择特定的传输路径；虚拟访问控制列表允许这些IP分组既正常转发，又从特定传输路径转发；通过特定传输路径转发的IP分组到达探测器。,二、信息捕获机制,虚拟策略路由,三、网络入侵检测机制,攻击特征检测从已知的攻击信息流中提取出有别于正常信息流的特征信息；特征信息分为元攻击特征和有状态攻击特征；元攻击特征是单个独立的攻击特征，只要信息流中出现和元攻击特征相同的位流或字节流模式，即可断定发现攻击；有状态攻击特征是将整个会话分成若干阶段，攻击特征分散出现在多个阶段对应的信息流中，只有按照阶段顺序，在每一个检测到指定的攻击特征才可断定发现攻击；攻击特征只能检测出已知攻击，即提取出攻击特征的攻击行为。,三、网络入侵检测机制,有状态攻击特征可以用事件轴的方式给出攻击过程中每一个阶段的攻击特征。,协议译码IP分组的正确性，如首部字段值是否合理，整个TCP首部是否包含单片数据中，各个分片的长度之和是否超过64KB等；TCP报文的正确性，如经过TCP连接传输的TCP报文的序号和确认序号之间是否冲突，连续发送的TCP报文序号范围和另一方发送的窗口是否冲突，各段数据的序号范围是否重叠等；应用层报文的正确性，请求、响应过程是否合乎协议规范；各个字段值是否合理，端口号是否和默认应用层协议匹配等。,三、网络入侵检测机制,三、网络入侵检测机制,应用层协议检测将监测HTTP请求、响应过程是否如图所示，响应消息内容和请求消息内容是否一致，一旦发现异常，确定为攻击信息。,异常检测基于统计机制，在一段时间内，对流经特定网段的信息流进行统计，如单位时间特定源和目的终端之间的流量、不同应用层报文分布等，将这些统计值作为基准统计值。然后，实时采集流经该网段的信息流，并计算出单位时间内的统计值，然后和基准统计值比较，如果多个统计值和基准统计值存在较大偏差，断定流经该网段的信息流出现异常；基于规则机制，通过分析大量异常信息流，总结出一些特定异常信息流的规则，一旦流经该网段的信息流符合某种异常信息流对应的规则，断定该信息流为异常信息流。,三、网络入侵检测机制,具有交互特性的TCP连接的规则如下：相邻TCP报文的最小间隔：500ms相邻TCP报文的最大间隔：30sTCP报文包含的最小字节数：20BTCP报文包含的最大字节数：100B背靠背TCP报文的最小比例：50%TCP小报文的最小比例：80%,三、网络入侵检测机制,异常检测的困难之处在于正常信息流和异常信息流的测量值之间存在重叠部分，必须在误报和漏报之间平衡；根据被保护资源的重要性确定基准值（靠近A点或B点)。,三、网络入侵检测机制,四、安全策略配置实例,安全策略指定需要检测的信息流类别、检测机制和反制动作，对于攻击特征检测，需要给出攻击特征库；由于攻击和应用层协议相关，因此对应不同的应用层协议存在不同的攻击特征库；对同一类别信息流，可以指定多种检测机制，对不同检测机制检测到的攻击行为采取不同的反制动作。,12.3主机入侵检测系统,本讲主要内容黑客攻击主机系统过程；主机入侵检测系统功能；主机入侵检测系统工作流程；拦截机制；主机资源；用户和系统状态；访问控制策略配置实例。,一、黑客攻击主机系统过程,黑客对主机系统的攻击过程分为：侦察、渗透、隐藏、传播和发作等阶段。侦察阶段用于确定攻击目标；渗透阶段完成将病毒或木马程序植入主机系统的过程；隐藏阶段完成在主机系统中隐藏植入的病毒或木马程序，创建黑客攻击主机系统通道的过程；传播阶段完成以攻陷的主机系统为跳板，对其他主机系统实施攻击的过程；发作阶段完成对网络或主机系统的攻击。,二、主机入侵检测系统功能,主机入侵检测系统的关键功能就是拦截系统调用，根据安全策略和主机系统状态检测系统调用的合理性和合法性，拒绝执行可疑的系统调用，并对发出可疑系统调用的进程和进程所属的用户进行反制。,三、主机入侵检测系统工作流程,主机入侵防御系统主要用于防止非法访问和病毒入侵；只允许对主机资源的合法操作正常进行。,必须截获所有调用操作系统服务的请求，尤其是对主机资源的操作请求，如读写文件、修改注册表等。,判别某个操作请求的合法性，判别的依据是访问控制策略、操作对象和类型、请求进程及进程所属的用户、主机系统和用户状态等。,只允许操作系统完成合法的操作请求。,四、拦截机制,修改操作系统内核通过修改操作系统内核，可以根据特权用户配置的资源访问控制阵列和请求操作的用户确定操作的合法性，为了安全，可以对请求操作的用户进行身份认证。拦截系统调用用户操作请求和操作系统内核之间增加检测程序，对用户发出的操作请求进行检测，确定是合法操作请求，才提供给操作系统内核。网络信息流监测对进出主机的信息流实施监测，防止病毒入侵，也防止敏感信息外泄。,拦截系统调用和进出主机的息流的过程,四、拦截机制,五、主机资源,主机资源是需要主机入侵防御系统保护的一切有用的信息和信息承载体，包括如下：网络；内存；进程；文件；系统配置信息。,六、用户和系统状态,主机位置信息主机位置和主机的安全程度相关，也影响着主机入侵防御系统对主机的保护力度。确定主机位置的信息有：IP地址、域名前缀、VPN客户信息等。用户状态信息不同用户的访问权限不同，用户身份通过用户名和口令标识，用户状态信息给出用户登录时的用户名。口令