网络与信息安全入侵检测

1、网络与信息安全第16章入侵检测1 第第1616章章 入侵检测入侵检测 对付网络入侵，只有防火墙是不够的。防 火墙只是试图抵挡网络入侵者，很难去 发现入侵的企图和成功的入侵。这就需 要一种新的技术入侵检测技术。入侵 检测技术能发现网络入侵者的入侵行为 和入侵企图，及时向用户发出警报，将 入侵消灭在成功之前。 第第16章章 入侵检测入侵检测 Network and Information Security 网络与信息安全第16章入侵检测2 16.1 16.1 入侵检测系统概述入侵检测系统概述 入侵检测系统的任务和作用是： (1)监视、分析用户及系统活动； (2)对系统弱点的审计； (3)识别和反应

2、已知进攻的活动模式并向相关人士报 警； (4)异常行为模式的统计分析； (5)评估重要系统和数据文件的完整性； (6)操作系统的审计跟踪管理，识别用户违反安全策 略的行为。 Network and Information Security 第第16章章 入侵检测入侵检测 网络与信息安全第16章入侵检测3 入侵检测系统有两个指标。一是漏报率，指攻击 事件没有被IDS检测到，与其相对的是检出率； 二是误报率，指把正常事件识别为攻击并报警。 误报率与检出率成正比例关系。 Network and Information Security 第第16章章 入侵检测入侵检测 0 检出率 100% 100%

3、误 报 率 网络与信息安全第16章入侵检测4 16.2.1 16.2.1 入侵检测系统的入侵检测系统的CIDFCIDF模型模型 Network and Information Security 第第16章章 入侵检测入侵检测 16.2 16.2 入侵检测系统结构入侵检测系统结构 响应单元 原始数据源 事件分析器 事件产生器 事件数据库 网络与信息安全第16章入侵检测5 IETF的入侵检测系统模型 Network and Information Security 第第16章章 入侵检测入侵检测 安全 策略 通知告警事 件 活 动 探测器 响应 探测器 数据源分析器 管理员 管理器操作员 网络与信

4、息安全第16章入侵检测6 Denning的通用入侵检测系统模型 Network and Information Security 第第16章章 入侵检测入侵检测 历史行 为特征 审计记录 新建行 为特征 规则提取 创建 规则设计 与更新 更新 学习 规则集 处理引擎 正常行为 特征轮廓 时钟 主体 活动 异常 记录 网络与信息安全第16章入侵检测7 16.3.1 16.3.1 按数据来源的分类按数据来源的分类 由于入侵检测是个典型的数据处理过程，因 而数据采集是其首当其冲的第一步。同时， 针对不同的数据类型，所采用的分析机理 也是不一样的。根据入侵检测系统输入数 据的来源来看，它可分为：基于主

5、机的入 侵检测系统、基于网络的入侵检测系统和 分布式入侵检测系统。 Network and Information Security 第第16章章 入侵检测入侵检测 16.3 16.3 入侵检测系统类型入侵检测系统类型 网络与信息安全第16章入侵检测8 1.基于主机的(Host-Based)入侵检测系统 基于主机的入侵检测系统(HIDS)通常以系统日志、应用程 序日志等审计记录文件作为数据源。它是通过比较这些 审计记录文件的记录与攻击签名(Attack Signature，指 用一种特定的方式来表示已知的攻击模式)以发现它们是 否匹配。如果匹配，检测系统就向系统管理员发出入侵 报警并采取相应的

6、行动。基于主机的IDS可以精确地判断 入侵事件，并可对入侵事件作出立即反应。 它具有着明显的优点： (1) 能够确定攻击是否成功 (2) 非常适合于加密和交换环境 (3) 近实时的检测和响应 (4) 不需要额外的硬件 (5) 可监视特定的系统行为 Network and Information Security 第第16章章 入侵检测入侵检测 网络与信息安全第16章入侵检测9 2.基于网络的(Network-Based)入侵检测系统 以原始的网络数据包作为数据源。它是利用网络 适配器来实时地监视并分析通过网络进行传输 的所有通信业务的。其攻击识别模块在进行攻 击签名识别时常用的技术有： 模式、

7、表达式或字节码的匹配； 频率或阈值的比较； 事件相关性处理； 异常统计检测。 一旦检测到攻击，IDS的响应模块通过通知、 报警以及中断连接等方式来对攻击行为作出反 应。 Network and Information Security 第第16章章 入侵检测入侵检测 网络与信息安全第16章入侵检测10 较之于基于主机的IDS，它有着自身明显的优势： (1) 攻击者转移证据更困难 (2) 实时检测和应答 (3) 能够检测到未成功的攻击企图 (4) 操作系统无关性 (5) 较低的成本 当然，对于基于网络的IDS来讲，同样有着一定的不足： 它只能监视通过本网段的活动，并且精确度较差；在 交换网络环境

8、中难于配置；防欺骗的能力比较差，对 于加密环境它就更是无能为力了。 Network and Information Security 第第16章章 入侵检测入侵检测 网络与信息安全第16章入侵检测11 3.分布式的入侵检测系统 从以上对基于主机的IDS和基于网络的IDS的 分析可以看出：这两者各自都有着自身独到的优 势，而且在某些方面是很好的互补。如果采用这 两者结合的入侵检测系统，那将是汲取了各自的 长处，又弥补了各自的不足的一种优化设计方案。 通常，这样的系统一般为分布式结构，由多个部 件组成，它能同时分析来自主机系统的审计数据 及来自网络的数据通信流量信息。 分布式的IDS将是今后人们研

9、究的重点，它 是一种相对完善的体系结构，为日趋复杂的网络 环境下的安全策略的实现提供了最佳的解决方案。 Network and Information Security 第第16章章 入侵检测入侵检测 网络与信息安全第16章入侵检测12 16.3.2 16.3.2 按分析技术的分类按分析技术的分类 从入侵检测的典型实现过程可以看出， 数据分析是入侵检测系统的核心，它是关系 到能否检测出入侵行为的关键。检出率是人 们关注的焦点，不同的分析技术所体现的分 析机制也是不一样的，从而对数据分析得到 的结果当然也就大不相同，而且不同的分析 技术对不同的数据环境的适用性也不一样。 根据入侵检测系统所采用的

10、分析技术来看， 它可以分为采用异常检测的入侵检测系统和 采用误用检测的入侵检测系统。 Network and Information Security 第第16章章 入侵检测入侵检测 网络与信息安全第16章入侵检测13 1.异常检测(Anomaly Detection) 假定所有的入侵行为都是异常的，即入侵行为是异常行为 的子集。原理是：首先建立系统或用户的“正常”行为特征轮 廓，通过比较当前的系统或用户的行为是否偏离正常的行为特 征轮廓来判断是否发生了入侵行为。 Network and Information Security 第第16章章 入侵检测入侵检测 动态产生新 的行为特征 更新 审

11、计数据 偏离正常 行为特征 系统正常的 行为特征轮廓 统计分析 入侵 行为 网络与信息安全第16章入侵检测14 从异常检测的实现机理来看，异常检测所面临的关 键问题有： (1) 特征量的选择 (2) 阈值的选定 (3) 比较频率的选取 从异常检测的原理我们可以看出，该方法的技术难 点在于：“正常”行为特征轮廓的确定；特征量 的选取；特征轮廓的更新。由于这几个因素的制 约，异常检测的误报率会很高，但对于未知的入 侵行为的检测非常有效，同时它也是检测冒充合 法用户的入侵行为的有效方法。 Network and Information Security 第第16章章 入侵检测入侵检测 网络与信息安全

12、第16章入侵检测15 2.误用检测(Misuse Detection) 其基本前提是：假定所有可能的入侵行为都 能被识别和表示。原理是：首先对已知的 攻击方法进行攻击签名(攻击签名是指用一 种特定的方式来表示已知的攻击模式)表示， 然后根据已经定义好的攻击签名，通过判 断这些攻击签名是否出现来判断入侵行为 的发生与否。同样，误用检测也存在着影 响检测性能的关键问题：攻击签名的恰当 表示。 Network and Information Security 第第16章章 入侵检测入侵检测 网络与信息安全第16章入侵检测16 误用检测的主要局限性表现在： (1) 它只能根据已知的入侵序列和系统缺陷的

13、 模式来检测系统中的可疑行为，而面对新的入侵 攻击行为以及那些利用系统中未知或潜在缺陷的 越权行为则无能为力。也就是说，不能检测未知 的入侵行为。 (2) 与系统的相关性很强，即检测系统知识库 中的入侵攻击知识与系统的运行环境有关。对于 不同的操作系统，由于其实现机制不同，对其攻 击的方法也不尽相同，因而很难定义出统一的模 式库。 (3) 对于系统内部攻击者的越权行为，由于他 们没有利用系统的缺陷，因而很难检测出来。 Network and Information Security 第第16章章 入侵检测入侵检测 网络与信息安全第16章入侵检测17 3.采用两种技术混合的入侵检测 入侵检测的两

14、种最常用技术在实现机理、处 理机制上存在明显的不同，而且各自都有 着自身无法逾越的障碍，使得各自都有着 某种不足。但是采用这两种技术混合的方 案，将是一种理想的选择，这样可以做到 优势互补。 Network and Information Security 第第16章章 入侵检测入侵检测 网络与信息安全第16章入侵检测18 16.3.3 16.3.3 其它的分类其它的分类 除了上述对入侵检测系统的基本分类外，还有 其它不同形式的分类方法，如按照入侵检测 系统的响应方式来划分，可分为主动的入侵 检测系统和被动的入侵检测系统。主动的入 侵检测系统对检测到的入侵行为进行主动响 应、处理，而被动的入侵

15、检测系统则对检测 到的入侵行为仅进行报警。 Network and Information Security 第第16章章 入侵检测入侵检测 网络与信息安全第16章入侵检测19 经典的入侵检测技术都需要大量或者是完备的审 计数据集才能达到比较理想的检测性能，因此 计算量大，并且学习时间较长。协议分析技术 能有效避免这些方法中的缺点，协议分析技术 结合高速数据包捕捉、命令解析等技术来进行 入侵检测，提高了入侵检测的速度和性能。 16.4.1 16.4.1 基于协议分析的检测方法基于协议分析的检测方法 基于协议分析的检测方法就是根据网络数据包封 装结构的有序性，快速检测出各层协议中可能 的攻击特征

16、。 Network and Information Security 16.4 16.4 基于协议分析的入侵检测技术基于协议分析的入侵检测技术 第第16章章 入侵检测入侵检测 网络与信息安全第16章入侵检测20 TCP/IP协议是一组不同层次上多个协议的 组合，每一层上的协议分别负责不同的 通信功能。下层协议为上层协议的实现 提供服务。只有下层协议的特征得到满 足才考虑上层协议的特征。因此，从分 类上来说下层协议可以看成是上层协议 数据包的大类。在TCP/IP协议实现时， 上层协议的一些细节可以在下层协议的 实现中得到体现。 Network and Information Security 第

17、第16章章 入侵检测入侵检测 网络与信息安全第16章入侵检测21 传统的检测方法是入侵检测系统在网络数据包里检 查某个攻击特征存在性的一种技术，它认为数据 包都是无序的，只是被动的执行匹配，因此具有 计算量大、准确率低的缺陷。而实际上网络数据 包不是一个随机变换的字节流，而是一组高度规 则的数据，数据包中的字节符合一套广泛而详细 的规则。协议分析的方法就是利用网络协议的有 序性，快速检测出各个攻击特征的存在。协议分 析方法的功能是辨别数据包的协议类型，以便使 用相应的检测函数来检测数据包，并根据协议首 部相应的字段确定上层协议，直至完成应用层协 议的解析。 Network and Inform

18、ation Security 第第16章章 入侵检测入侵检测 网络与信息安全第16章入侵检测22 16.4.2 16.4.2 协议分析树协议分析树 网络数据包是一组高度规则的数据，数据包中的字节符合一 套广泛而详细的规则。基于此原理，可以把所有的协议构 成一棵协议树，一个特定的协议是树结构中的一个节点。 Network and Information Security 第第16章章 入侵检测入侵检测 Frame ARP IP RARP TCP UDP ICMP HTTP FTP SNMP TFTP 网络与信息安全第16章入侵检测23 构建带权重协议分析树构建带权重协议分析树 树的节点数据结构中应包含该协议的特征、协议名 称、协议代号、协议权重、下层协议代号、协议 对应的检测函数链表。 根据日志记录中各种协议受到攻击次数的统计，可 以预测以后可能发生的入侵。因此可以给协议分 析树的节点赋权重，表示基于该节点协议入侵的 可能性