chap4-02-入侵检测技术[稻谷书屋]

1、内容 入侵检测技术的概念 入侵检测系统的功能 入侵检测技术的分类 入侵检测技术的原理、结构和流程 入侵检测技术的未来发展 1教育 基本概念 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能 够及时发现并报告系统中未授权或异常现象的技术 ，是一种用于 检测计算机网络中违反安全策略行为的技术。 违反安全策略的行为有：入侵 非法用户的违规行为； 滥用 用户的违规行为。 入侵检测 (Intrusion Detection)就是对计算机网络和计算机系统的 关键结点的信息进行收集分析，检测其中是否有违反安全策略的 事件发生或攻击迹象 ，并通知系统安全管理员。 一般把用于入侵检测的软件，硬件合称为入

2、侵检测系统。 2教育 为什么会出现 IDS 客观因素： 入侵者总可以找到防火墙的弱点和漏洞 防火墙一般不能阻止来自内部的袭击 由于性能的限制，防火墙通常不能提供实时的监控 防火墙对于病毒的网络内部传播也是无能为力的 漏洞是普遍存在的 主观因素入侵和攻击不断增多 网络规模不断扩大 网络用户不断增加 黑客水平不断提高 3教育 IDS的发展史 1980年 4月， James Anderson为美国空军做了一份题为 Computer Security Threat Monitoring and Surveillance（计算机安全威胁监控与监视）的技术 报告， 第一次提出了入侵检测。 1986年，为检

3、测用户对数据库异常访问，在 IBM主机 上用Cobol开发的 Discovery系统成为最早的基于主机 的 IDS雏形之一 。 4教育 IDS的发展史 1987年，Dorothy E.Dennying 提出了异常入侵检测系 统的抽象模型，首次将入侵检测的概念作为一种计算 机系统安全防御问题的措施提出。 1988年， Morris Internet蠕虫事件使得 Internet约 5天 无法正常使用，该事件导致了许多 IDS系统的开发研制。 Teresa Lunt等人进一步改进了Dennying提出的入侵检 测模型，并创建了 IDES(Intrusion Detection Expert Sys

4、tem)，它提出了与系统平台无关的实时检测思想。 5教育 IDS的发展史 1990年， Heberlein等人提出基于网络的入侵检测 NSM(Network Security Monitor)， NSM可以通过在局 域网上主动地监视网络信息流量来追踪可疑的行为。 1991年，分布式入侵检测系统（DIDS）的研究，将基 于主机和基于网络的检测方法集成到一起。 DIDS是分 布式入侵检测系统历史上的一个里程碑式的产品，它 的检测模型采用了分层结构，包括数据、事件、主体、 上下文、威胁、安全状态等 6层。 6教育 IDS的发展史 1994年，Mark Crosbie 和Gene Spafford建议

5、 使用自治 代理 (Autonomous Agents)以便提高 IDS的可伸缩性、 可维护性、效率和容错性。 1995年， IDES后续版本NIDES(Next-Generation Intrusion Detection System)实现了可以检测多个主机 上的入侵。 1996年， GRIDS(Graph-based Intrusion Detection System)设计和实现 解决了入侵检测系统伸缩性不足的 问题，使得对大规模自动或协同攻击的检测更为便利。 Forrest 等人将免疫原理用到分布式入侵检测领域 7教育 IDS的发展史 1997年， Mark crosbie 和 Ge

6、ne Spafford将 遗传算法运用到入侵检 测中。 1998年， Ross Anderson和 Abida Khattak将 信息检索技术引进到 了入侵检测系统。 中国的IDS也得到了长足的发展。据 IDC的报告， 2000年中国安全 市场中， IDS与评估软件占了 19%的份额。 IDC在 2001年 4月的调 查显示，用户接下来对网络安全产品的需求中，对 IDS的需求占 到了 18.5%。从厂商方面来说，从 1999年前后，国外一些软件商 开始将其 IDS引入到国内，如安氏、 CA、 NAI、赛门铁克等。国 内如冠群金辰、金诺网安 等也占据着该市场的较大份额。 8教育 IDS的功能与作

7、用 防火墙明显的不足和弱点 防火墙不能防范如TCP、 IP等本身存在的协议漏洞 无法解决安全后门问题； 不能阻止网络内部攻击，而调查发现， 80以上的 攻击都来自内部，对于企业内部心怀不满的员工来 说，防火墙形同虚设； 不能提供实时入侵检测能力，而这一点，对于现在 层出不穷的攻击技术来说是至关重要的； 对于病毒等束手无策。 9教育 IDS的功能与作用 识别黑客常用入侵与攻击手段。入侵检测系统通过分析各种 攻击特征，可以全面快速地识别探测攻击、拒绝服务攻击、 缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻 击手段，并做相应的防范和向管理员发出警告 监控网络异常通信。 IDS系统会对网络中不

8、正常的通信连接 做出反应，保证网络通信的合法性；任何不符合网络安全策 略的网络数据都会被 IDS侦测到并警告。 10教育 IDS的功能与作用 鉴别对系统漏洞及后门的利用 。 完善网络安全管理。 IDS通过对攻击或入侵的 检测及反应，可以有效地发现和防止大部分的 网络入侵或攻击行为，给网络安全管理提供了 一个集中、方便、有效的工具。使用IDS系统 的监测、统计分析、报表功能，可以进一步完 善网管。 11教育 IDS的功能与作用 IDS只能位于第二安全防线 IDS仅仅是一种实时监控报警工具，虽能够在检测到非法访 问时自动报警，但其本身无法防范攻击行为的发生； 不能将IDS与如防病毒或防火墙产品混淆

9、在一起。 IDS一般 无法实现精确的攻击检测，可能会出现 误报现象。 目前IDS面临的最主要的挑战之一是检测速度太慢 。大多数 IDS系统在不牺牲检测速度的前提下，会无法处理百兆位网 络满负荷时的数据量，而千兆位更是难以企及的目标。 12教育 技术分类 根据入侵检测的时序 实时入侵检测 。实时入侵检测在网络连接过程中进行，系统 根据用户的历史行为模型、存储在计算机中的专家知识以及 神经网络模型对用户当前的操作进行判断，一旦发现入侵迹 象立即断开入侵者与主机的连接，并收集证据和实施数据恢 复，这个检测过程是不断循环进行的。 事后入侵检测 。事后入侵检测需要由网络管理人员进行，他 们具有网络安全的

10、专业知识，根据计算机系统对用户操作所 做的历史审计记录判断用户是否具有入侵行为，如果有就断 开连接，并记录入侵证据和进行数据恢复。事后入侵检测由 管理员定期或不定期进行。 13教育 技术分类 从入侵检测系统所使用的技术的角度 基于特征的检测 。特征检测假设入侵者活动可以用一种模式 来表示，系统的目标是检测主体活动是否符合这些模式。它 可以将已有的入侵方法检查出来，但对新的入侵方法无能为 力。其难点在于如何设计模式既能够表达 “入侵 ”现象又不会 将正常的活动包含进来。 基于异常的检测 。异常检测假设入侵者活动异常于正常主体 的活动。根据这一理念建立主体正常活动的 “模板 ”，将当前 主体的活动

11、状况与 “模板 ”相比较，当违反其统计规律时，认 为该活动可能是 “入侵 ”行为。异常检测的难题在于如何建立 “模板 ”以及如何设计统计算法，从而不把正常的操作作为 “入 侵 ”或忽略真正的 “入侵 ”行为。 14教育 技术分类 从入侵检测的范围来讲 基于网络的入侵检测系统。网络入侵检测系统能够检测那些 来自网络的攻击，它能够检测到超越授权的非法访问，而不 需要改变其它设备的配置，也不需要在其它主机中安装额外 的软件，因此不会影响业务系统的性能。 弱点：（ 1）网络入侵检测系统只检查它直接连接到网段的通 信，不能检测在不同网段的网络包，存在监测范围的局限。 而安装多台设备显然增加了成本。（ 2

12、）采用特征检测的方法 可以检测出普通的一些攻击，很难检测复杂的需要大量时间 和分析的攻击。（ 3） 大数据流量 网络入侵检测上存在一定的 困难。（ 4）加密通信检测上存在困难，而加密通信将会越来 越多。 15教育 技术分类 基于主机的入侵检测系统。通常安装在被重点检测的主机 上，主要是对该主机的网络实时连接以及系统审计日志进行 智能分析和判断，如果其中主体活动十分可疑，入侵检测系 统就会采取相应措施。 弱点：（ 1）安装在保护的设备上会降低系统的效率，也会带 来一些额外的安全问题。（ 2）系统依赖于服务器固有的日志 与监视能力，如果服务器没有配置日志功能，则必需重新配 置，这将会给运行中的系统

13、带来不可预见的性能影响。（ 3） 全面布署基于主机的入侵检测系统代价较大，则未安装检测 系统的设备将成为保护的盲点，入侵者可利用这些机器达到 攻击目标。（ 4）对网络入侵行为无法检测。 16教育 技术分类 从使用的检测方法 基于特征的检测。特征检测对已知的攻击或入侵的 方式作出确定性的描述，形成相应的事件模式。当 被审计的事件与已知的入侵事件模式相匹配时，即 报警。原理上与专家系统相仿。其检测方法上与计 算机病毒的检测方式类似。目前基于对包特征描述 的模式匹配应用较为广泛，该方法预报检测的准确 率较高，但对于无经验知识的入侵与攻击行为无能 为力。 17教育 技术分类 从使用的检测方法 基于统计

14、的检测 。统计模型常用异常检测， 在统计模型中常用的测量参数包括：审计事 件的数量、间隔时间、资源消耗情况等。操 作模型、计算参数的方差、马尔柯夫过程模 型、时间序列分析。 18教育 技术分类 从使用的检测方法 基于专家系统的检测。专家系统的建立依赖于知识 库的完备性，知识库的完备性又取决于审计记录的 完备性与实时性。入侵的特征抽取与表达，是基于 专家系统的入侵检测的关键。在系统实现中，就是 将有关入侵的知识转化为if-then结构（也可以是复 合结构），条件部分为入侵特征， then部分是系统 防范措施。运用专家系统防范有特征入侵行为的有 效性完全取决于专家系统知识库的完备性。 19教育 入

15、侵检测技术的原理 物理链路 网络流量网络流量 入侵检测数据 20教育 入侵检测系统的结构 传感器 传感器 信 息 处 理 分 析 管 理 与 控 制 传感器 数据库 21教育 工作流程 信息收集，入侵检测的第一步是信息收集，内 容包括网络流量的内容、用户连接活动的状态 和行为。 数据分析，对上述收集到的信息，一般通过三 种技术手段进行分析：模式匹配，统计分析和 完整性分析 。其中前两种方法用于实时的入侵 检测，而完整性分析则用于事后分析。 结果处理，实时记录、报警或有限度反击。 22教育 系统中 IDS的位置 23教育 系统中 IDS的位置 部署 1： 放在防火墙和外部网络之间 优点：可充分检测到针对网络和系统的攻击 缺点：无法检测防火墙内部用户之间的事件 ； 容易成为黑客入侵的对象； 部署 2 放在防火墙与路由器之间 优点：可发现防火墙配置是否合理；可检测内部事件； 部署 3 放于主要的网络中枢 部署 4 部署于一些安全级别需求高的子网 24教育 IDS面临的主要问题 较高的误报和漏报率 不断增大的网络流量 基于模式匹配的工作方式无法防御未知的攻击 基于网络的 IDS基本上无法防止本地缓冲区溢 出的攻击 对 DoS的检测能力问题 25教育 技术发展方向 入侵技术的发