第13章 入侵检测技术

第13章入侵检测技术,高等教育出版社,网络攻防原理与实践,高等教育出版社,本章要点,2.入侵检测技术系统分类,1.入侵检测技术概述,3.入侵检测技术,4.入侵检测系统的发展趋势,5.入侵防御系统,网络攻防原理与实践,高等教育出版社,入侵检测的概念,入侵检测(IntrusionDetection)就是通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时做出响应。,网络攻防原理与实践,高等教育出版社,入侵检测的一般过程,入侵检测的一般过程是：信息收集、信息(数据)预处理、数据的检测分析、根据安全策略做出响应，如图13.1所示。,网络攻防原理与实践,高等教育出版社,入侵检测系统,入侵检测系统(IntrusionDetectionSystem，简称IDS)是实现入侵检测功能的一系列的软硬件的组合，是入侵检测的具体实现。简单地说，入侵检测系统包括的功能部件有：提供事件记录的信息源；发现入侵迹象的分析引擎；基于分析引擎的结果产生反应的响应部件。,网络攻防原理与实践,高等教育出版社,入侵检测系统,入侵检测系统作为安全防御体系的一个重要组成部分，它的作用发挥的充分与否将在很大程度上影响整个安全策略的成败。其主要功能有：用户和系统行为的监测和分析；系统配置和漏洞的审计检查；重要的系统和数据文件的完整性评估；已知的攻击行为模式的识别；异常行为模式的统计分析；操作系统的审计跟踪管理及违反安全策略的用户行为的识别。,网络攻防原理与实践,高等教育出版社,入侵检测系统分类,1.根据入侵检测系统的输入数据来源的分类基于主机的(Host-Based)入侵检测系统(HIDS)通常以系统日志、应用程序日志等审计记录文件作为数据源。通过比较审计记录与攻击签名以发现它们是否匹配。如果匹配，就向系统管理员发出入侵报警并采取相应的行动。基于网络的(Network-Based)入侵检测系统(NIDS)以原始的网络数据包作为数据源，利用网络适配器实时地监视并分析通过网络进行传输的所有通信业务。识别攻击签名的常用技术有：模式、表达式或字节码的匹配；频率或阈值的比较；事件相关性处理；异常统计检测。分布式入侵检测系统（DIDS）采用分布式智能代理结构，由一个或多个中央智能代理和大量分布在网络各处的本地代理组成。本地代理负责处理本地事件，中央代理负责统一调控各个本地代理的工作以及从整体上完成对网络事件进行综合分析的工作。检测工作通过全部代理互相协作共同完成。,网络攻防原理与实践,高等教育出版社,入侵检测系统分类,2.根据入侵检测系统所采用技术的分类。1）异常检测技术(AnomalyDetection)异常检测技术也称为基于行为的检测技术，指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。图13.2是典型的异常检测系统示意图。,网络攻防原理与实践,高等教育出版社,入侵检测系统分类,2）误用检测技术(MisuseDetection)误用检测技术的前提是假设所有的网络攻击行为和方法都具有一定的模式或特征，总结以往所有网络攻击特征并建立信息库，入侵检测系统将当前捕获到的网络行为特征与信息库中的特征信息比较。图13.3是典型的误用检测系统示意图。,网络攻防原理与实践,高等教育出版社,异常检测技术分类,异常检测技术的核心问题是建立行为模型目前主要分类：统计分析异常检测贝叶斯推理异常检测神经网络异常检测模式预测异常检测数据挖掘异常检测机器学习异常检测,网络攻防原理与实践,高等教育出版社,误用检测技术分类,误用检测技术主要分为：条件概率误用检测特征分析误用检测模型推理误用检测专家系统误用检测,网络攻防原理与实践,高等教育出版社,两种入侵检测技术的比较,异常检测模型和误用检测模型的比较：异常检测系统试图发现一些未知的入侵行为，而误用检测系统则是检测一些已知的入侵行为。异常检测指根据使用者的行为或资源使用状况来判断是否有入侵行为的发生；而误用检测系统则大多是通过对一些具体行为的判断和推理，从而检测出入侵行为。异常检测的主要缺陷在于误检率很高；而误用检测系统由于依据具体特征库进行判断，准确度要高很多。异常检测对具体系统的依赖性相对较小；而误用检测系统对具体的系统依赖性很强，移植性不好。,网络攻防原理与实践,高等教育出版社,入侵检测系统模型,1.入侵检测系统的CIDF模型CIDF模型是由工作组提出的,模型如图13.4所示。,CIDF将入侵检测系统需要分析的数据统称为事件，事件可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。,网络攻防原理与实践,高等教育出版社,入侵检测系统模型,入侵检测系统的简化模型互联网工程任务组(IETF)提出的对CIDF模型的一个更详细的描述如下图所示：,网络攻防原理与实践,高等教育出版社,入侵检测系统模型,2.Denning的通用入侵检测系统模型DorothyE.Denning于1987年提出了一个通用的入侵检测模型，如下图所示：,网络攻防原理与实践,高等教育出版社,入侵检测方法,1.基于模式匹配技术的入侵检测模式匹配是将收集到的信息与己知的网络入侵和系统误用数据库进行比较，从而发现违背安全策略的行为。2.基于数据挖掘技术的入侵检测数据挖掘是一个从大量数据中抽取挖掘出未知的、有价值的模式或规律等知识的复杂过程。与入侵检测相关的数据挖掘算法包括分类算法、关联分析算法和序列分析算法。3.基于数据融合技术的入侵检测将数据融合技术应用到入侵检测中，对来自多个不同入侵检测系统的报告结果进行融合，以获得对攻击或攻击者的一致性解释或描述，提高检测率，降低误报率和漏报率，并对将来可能发生的攻击进行预警。,网络攻防原理与实践,高等教育出版社,入侵检测系统的发展趋势,标准化的入侵检测系统入侵检测系统的标准化的指定有利于不同的IDS之间的协作，从而发现新的入侵活动；有利于IDS和访问控制、应急、入侵追踪等系统交换信息，相互协作，形成一个整体有效的安全保障系统。高速入侵检测技术随着高速局域网和光纤通信等新技术的应用,未来的发展趋势是重新设计入侵检测系统的软件结构和算法以提高数据处理能力，重新设计检测模块以符合新出现的高速网络传输协议的需要。,网络攻防原理与实践,高等教育出版社,入侵检测系统的发展趋势,大规模分布式入侵检测技术基于网络的入侵检测技术虽然采用的是分布式的检测方式，但是还需要一个中心模块进行管理，具有单失效点的固有缺陷。这些问题决定了目前的入侵检测技术难于适合普遍存在的大规模异构网络的安全需求。实时入侵检测目前的入侵检测系统是一种被动的系统，不能作为系统行为的主动参与者融合进操作过程中去，只能通过截获系统中的数据进行判断、分析。这些截获、分析、判断及响应等操作的延迟使得入侵检测系统无法立刻介入系统的行为过程。,网络攻防原理与实践,高等教育出版社,入侵防御系统的概念,入侵防御系统（IPS）是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时的保护信息系统不受实质性的攻击。可以简单的认为入侵防御系统是防火墙加上入侵检测系统，但并不能说入侵防御系统可以代替防火墙和入侵检测系统。,网络攻防原理与实践,高等教育出版社,入侵防御系统的原理,入侵防御系统倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。,网络攻防原理与实践,高等教育出版社,入侵防御系统的原理,入侵防御系统的工作原理,网络攻防原理与实践,高等教育出版社,入侵防御系统的的分类,基于主机的入侵防御(HIPS)通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序,保护系统安全弱点不被不法分子所利用。HIPS可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。在技术上，HIPS采用独特的服务器保护途径，利用由包过滤、状态包检测和实时入侵检测组成分层防护体系。基于网络的入侵防御(NIPS)NIPS通过检测流经的网络流量，提供对网络系统的安全保护。NIPS必须基于特定的硬件平台，才能实现千兆级网络流量的深度数据包检测和阻断功能。在技术上，NIPS吸取了目前NIDS所有的成熟技术，包括特征匹配、协议分析和异常检测。,网络攻防原理与实践,高等教育出版社,入侵防御系统的的分类,应用入侵防御(AIP)NIPS产品有一个特例，即应用入侵防御(AIP），它把HIPS扩展成为位于应用服务器之前的网络设备。NIPS工作在网络上，直接对数据包进行检测和阻断，与具体的主机/服务器操作系统平台无关。,网络攻防原理与实践,高等教育出版社,入侵防御系统的技术特征,嵌入式运行：只有以嵌入模式运行的IPS设备才能够实现实时的安全防护。深入分析和控制：IPS必须具有深入分析能力，根据攻击类型、策略等来确定哪些流量应该被拦截。入侵特征库：入侵特征库是IPS高效运行的必要条件，IPS应该定期升级入侵特征库。高效处理能力：IPS必须具有高效处理数据包的能力，对整个网络性能的影响保持在最低水平。,网络攻防原理与实践,高等教育出版社,入侵防御系统面临的挑战,单点故障设计要求IPS必须以嵌入模式工作在网络中，这就可能造成单点故障。嵌入式的IPS设备出现问题，会严重影响网络的正常运转。性能瓶颈IPS存在一个潜在的网络瓶颈，不仅会增加滞后时间，而且会降低网络的效率。绝大多数高端IPS产品供应商都通过使用自定义硬件来提高IPS的运行效率。误报和漏报如果入侵特征编写得不是十分完善，那么“误报”就有了可乘之机，导致合法流量也有可能被意外拦截。,网络攻防原理与实践,高等教育出版社,IPS与IDS的区别,到底什么情况下该选择入侵检测产品，什么时候该选择入侵防御产品呢?从产品价值角度讲入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。从产品应用角度来讲为了达到可以全面检测网络安全状况的目的，入侵检测系统需要部署在网络内部的中心点，需要能够观察到所有网络数据。而为了实现对外部攻击的防御，入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统，入侵防御系统即可实时分析网络数据。,网络攻防原理与实践,高等教育出版社,入侵防御系统的应用,缓冲区溢出防范针对缓冲区溢出攻击的防范，目前主要有：通过打补丁，修补存在溢出漏洞的系统。通过操作系统的设置使得缓冲区不可执行，从而阻止攻击者植入攻击代码。采用专用的防