网络攻防复习第五章 入侵检测

1、第5章 入侵检测 入侵检测：对入侵行为的发觉，并对此做出反应的过程。通过对计算机或者网络系统中的若干关键点收集信息并对其进行分析，从中发现计算机中或网络中是否存在违反安全策略的行为和被攻击的迹象，根据分析和检查的情况，作出相应的反应。1、 防火墙:网络连接设备，用于强制在网络通信之间执行一种安全策略。类型：包/会话过滤防火墙、代理网关（应用代理）防火墙、状态检测防火墙1、 包/会话过滤 包过滤：数据包过滤是指在网络层对数据包进行分析、选择和过滤。通过检查数据流中每一个IP数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。过滤规则基于模式匹配。检查的内容

2、：IP源地址和目的地址，端口，协议标识符（TCP，UDP，ICMP等）、TCP标志（SYN，ACK，RST，PSH，FIN）、ICMP消息类型 优点：速度快、逻辑简单、成本低、易于安装和使用，网络性能和通明度好，广泛地用于路由器上。 缺点：不能检测上下文，不能阻止针对特定应用的攻击，没有用户的身份验证机制。会话过滤：在包过滤基础上加了会话上下文，难以过滤无状态协议UDP和ICMP。依赖于可靠链接、针对语法描述、 应用级攻击无效2、代理网关：所有的流量都进入防火墙，出去的流量看起来来自防火墙应用级网关：每一个应用都有代理，连接和传递信息针对特定的应用程序之间的连接 优点：支持用户网关十分验证，可

3、用日志记录和审计所有活动 缺点：开销大，对每个应用程序都要建立一个代理电路级网关：对应用是透明的，连接和传递信息针对特定的TCP连接 优点：开销小 缺点：不检查TCP段的内容，比应用级网关控制更弱 二、Bastion Host堡垒主机： 概念：是通过包过滤来实现应用级网关的加固的系统。一种被强化的可以防御进攻的计算机，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。 所有不重要的服务都被关闭；对被支持的服务有特定的应用程序代理；支持用户身份认证；所有流量都经过堡垒主机。 分类： Single-Homed Bastion

4、Host单宿主堡垒主机 如果数据包过滤器被攻破，流量可以流动到内部网络。Dual-Homed Bastion Host双宿主堡垒主机内部和外部网络之间没有物理连接3、 网络过滤器1、 保护地址和路由Ø 隐藏内部网络上的主机的IP地址：只有当外部访问该服务时，才揭示它们的IP地址；保持其他地址保密，来使欺骗更难Ø 使用NAT（网络地址转换）映射，把数据包头的地址映射到内部地址： 1对1或N对1映射2、结构Netfilter/iptables包含在Linux 2.4以后的内核中，可以实现包过滤（无状态或有状态）、防火墙、NAT（网络地址翻译）和数据包的分割等功能。Netfilt

5、er：是一组内核钩子，允许内核模块用网络协议栈注册回调（工作在内核内部），iptables则是让用户定义规则集的表结构。netfilter的架构：在IPv4中定义的5个钩子：PRE_ROUTING, LOCAL_IN, FORWARD, LOCAL_OUT, POST_ROUTING. ü PRE_ROUTING：刚刚进入网络层的数据包通过此点（刚刚进行完版本号，校验ü LOCAL_IN：经路由查找后，送往本机的通过此检查点，INPUT包过滤在此点进行ü FORWARD：要转发的包通过此检测点，FORWARD包过滤在此点进行ü POST_ROUTING：

6、所有马上便要通过网络设备出去的包通过此检测点，内置的源地址转换功能（包括地址伪装）在此点进行ü LOCAL_OUT：本机进程发出的包通过此检测点，OUTPUT包过滤在此点进行SNAT：源地址转换，其作用是将ip数据包的源地址转换成另外一个地址。DNAT：目的地址转换，其作用是将ip数据包的目的地址转换成另外一个地址。如何区分SNAT和DNAT 从定义来讲它们一个是源地址转换，一个是目标地址转换。都是地址转换的功能，将私有地址转换为公网地址。 要区分这两个功能可以简单的由连接发起者是谁来区分： 内部地址要访问公网上的服务时（如web访问），内部地址会主动发起连接，由路由器或者防火墙上的

7、网关对内部地址做个地址转换，将内部地址的私有IP转换为公网的公有IP，网关的这个地址转换称为SNAT，主要用于内部共享IP访问外部。 当内部需要提供对外服务时（如对外发布web网站），外部地址发起主动连接，由路由器或者防火墙上的网关接收这个连接，然后将连接转换到内部，此过程是由带有公网IP的网关替代内部服务来接收外部的连接，然后在内部做地址转换，此转换称为DNAT，主要用于内部服务对外发布。4、 IDS入侵检测系统1、定义：入侵：被授权的用户试图获得额外的权限；被授权用户滥用赋予他们的权利入侵检测：对入侵行为的发觉，并对此做出反应的过程。通过对计算机或者网络系统中的若干关键点收集信息并对其进行

8、分析，从中发现计算机中或网络中是否存在违反安全策略的行为和被攻击的迹象。根据分析和检查的情况，做出相应的相应。入侵检测系统：是一个防御系统。依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。目标：防御攻击；进行取证调查；尽量减少损失；了解攻击是如何进行的，提高系统。2、 结构：组件：Ø Host主机：在其上运行IDS软件系统Ø target目标：被IDS监控的系统Ø 主机 - 目标托管（协同定位）：在入侵检测系统的初期，大多数的IDS跑在他们保护的系统上。&#

9、216; 主机 - 目标分离：提高了IDS的安全性，使得更容易隐藏IDS的存在，攻击者看不到。3、控制策略：Centralized核心式：Partially Distributed半分布式：Fully Distributed分布式：4、 计时：基于区间：Ø 在基于间隔的入侵检测系统中，从监测点到分析引擎的信息流是不连续的。Ø 实际上，该信息被以类似于“存储和转发”通信方案的方式进行处理。Ø 许多早期的基于主机的IDSs使用该配时方案。Ø 基于时间间隔入侵检测系统从执行积极回应中被排除实时：Ø 实时入侵检测系统从信息源连续运行信息。Ø

10、实时的IDS产生结果的速度足够快，能采取措施，来影响被检测到的攻击的进度。5、 分类：HOSTBASED (HIDS)基于主机、NETWORKBASED (NIDS)基于网络、（AIDS）基于应用、HYBRID混合(HIDS)基于主机：（独立系统）也称基于系统的模型，它是通过分析系统的审计数据来发现可疑的活动，如内存和文件的变化等。其输入数据主要来源于系统的审计日志，一般只能检测该主机上发生的入侵。从单个计算机系统中收集到的信息进行操作。通常使用两种类型的信息来源：操作系统审计跟踪和系统日志。优点：Ø 可以检测不能由一个基于网络的IDS可以看出的攻击Ø 基于主机的消息来源是

11、在数据加密之前或者（和）数据在目标主机解密之后产生的Ø 不被交换网络影响Ø 当它正在做os审计追踪，可以帮助检测特洛伊木马或者其他设计软件完整性破坏的攻击缺点：每台监控主机都必须配置和管理信息IDS可以被攻击监控系统的性能开销大。(NIDS)基于网络：（ 感知器、 被动接口、 OS 独立）通过连接在网络上的站点捕获网上的包，并分析其是否具有已知的攻击模式，以此来判别是否为入侵者。当该模型发现某些可疑的现象时也一样会产生告警，并会向一个中心管理站点发出“告警”信号。因为传感器被限制在运行IDS，所以能更容易的防止攻击。许多传感器被设计成在“隐形”模式下运行，以便使攻击者难以确

12、定他们的存在和位置。优点：Ø NIDS采用被动接口捕获网络数据包分析。Ø 放在全球的NIDS传感器可配置，向中央站点报告，使一个小团队的安全专家来支持的大型企业。Ø NIDS系统很好地扩展网络的保护，因为实际工作站，服务器，或在网络上用户系统的数目都不是关键的 - 业务量是最重要的Ø 大多数基于网络的入侵检测系统是独立于操作系统的Ø 提供防止DOS攻击更好的安全性缺点：Ø 如果网络流量是加密，无法扫描协议或内容Ø 入侵检测让现代交换网络更加困难Ø 当前基于网络的监控方法不能有效地处理高速网络Ø 大多数基于

13、网络的系统都是基于预定义的攻击签名区分：Ø 1） 基于主机的入侵检测系统：其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵；Ø 2） 基于网络的入侵检测系统：其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵；(AIDS)基于应用：54页（应用事务日志、 检测未授权行为）应用程序的事务日志文件是AIDS最常见的信息来源检测可疑行为，由于授权用户超出其授权优点：Ø 可以跟踪未经授权的活动到个人用户Ø 基于应用的IDS往往可以在加密环境中工作缺点：Ø 作为用于基于主机的IDS操作系统的审计跟踪，应用程序日志没有得到

14、很好的保护Ø 经常监测抽象用户级别的事件，通常无法检测特洛伊木马或其他类似软件篡改攻击。HYBRID混合尽管这两种类型的入侵检测系统彼此显著不同，但它们也相互补充。这样的系统可以用于各个等级的活动关于入侵检测组件的互操作性，没有成熟的行业标准混合系统是难以管理和部署6、 入侵检测技术Anomaly Detection异常检测、Misuse Detection误用监测、Hybrid混合检测Anomaly Detection异常检测（白名单）：通过对系统异常行为的辨识来试图发现可能遭到的攻击。需要事先知道基于系统的正常行为模式，将动态观察到的系统行为与其正常行为模式进行匹配比较，并按预定

15、标准进行判断。如果差异大于制定阈值，则报警有入侵，被观察的行为可以是正在发生的或者是经过审计得到的。优点：可以发现未知的攻击行为和对于变形和异构的攻击的检测方面有优势。缺点：误报率较高，正常行为的描述和获取有困难。对哪类事件进行监控？OS系统调用；命令行；网络数据（例如，从路由器和防火墙）；进程；按键；文件和设备访问 入侵检测的方法：Ø 统计方法： 统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测方法5种统计模型为： 1、操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统

16、计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击； 2、方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常； 3、多元模型，操作模型的扩展，通过同时分析多个参数实现检测； 4、马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件； 5、时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。 统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。Ø 神经网络 这里的集成开发环境是训练神经网络，通过已知的n个之前的行为，来预测用户的下一个操作或命令，给定的n以前的操作窗口。 优点：他们应付噪声数据；他们的成功并不取决于对潜在数据性质的任何假设统计；他们更容易为新的用户群体修改 问题：一个小窗口会导致误报，一个大窗口将增加漏报的可能性；入侵者可以在学习