项目8入侵检测技术

1、项目项目8 8 入侵检测技术入侵检测技术项目项目1 1 双机互连对等网络的组建双机互连对等网络的组建 8.1 8.1 项目提出项目提出 u张先生开办的公司发展势头良好，网站的点击也逐日张先生开办的公司发展势头良好，网站的点击也逐日增加。与此同时，张先生也更加愿意投入资金，添置增加。与此同时，张先生也更加愿意投入资金，添置了防火墙、杀毒软件等来保护自己的网站。尽管如此，了防火墙、杀毒软件等来保护自己的网站。尽管如此，他的网站还是会不时遭到莫名的攻击。他的网站还是会不时遭到莫名的攻击。u新来的网络管理员小李了解了该网站的大概情况后，新来的网络管理员小李了解了该网站的大概情况后，他向张先生建议，只配

2、备防火墙和杀毒软件还不够，他向张先生建议，只配备防火墙和杀毒软件还不够，还需要一个强大的技术来保证网络的安全，那就是入还需要一个强大的技术来保证网络的安全，那就是入侵检测技术。侵检测技术。u在采纳了小李的建议后，网站的安全状况有了明显的在采纳了小李的建议后，网站的安全状况有了明显的好转。好转。8.2 8.2 项目分析项目分析 u防火墙尽管具有强大的抵御外部攻击的功能，能防火墙尽管具有强大的抵御外部攻击的功能，能保护系统不受未经授权访问的侵扰，但却无法阻保护系统不受未经授权访问的侵扰，但却无法阻止来自内部人员的攻击。止来自内部人员的攻击。u在网络安全管理中，除了消极被动地阻止攻击行在网络安全管理

3、中，除了消极被动地阻止攻击行为，还应该主动出击去检测那些正在实施的攻击为，还应该主动出击去检测那些正在实施的攻击行为，进一步预防安全隐患的发生。行为，进一步预防安全隐患的发生。u传统的防火墙在工作时，就像深宅大院虽有高大传统的防火墙在工作时，就像深宅大院虽有高大的院墙，却不能挡住小老鼠甚至是家贼的偷袭一的院墙，却不能挡住小老鼠甚至是家贼的偷袭一样，因为入侵者可以找到防火墙背后可能敞开的样，因为入侵者可以找到防火墙背后可能敞开的后门。后门。u另外，防火墙完全不能阻止来自网络内部的攻击，通过调另外，防火墙完全不能阻止来自网络内部的攻击，通过调查发现，查发现，65%65%左右的攻击来自于网络内部，对

4、于企业内部心左右的攻击来自于网络内部，对于企业内部心怀不满的员工来说，防火墙形同虚设。怀不满的员工来说，防火墙形同虚设。u还有，由于性能的限制，防火墙不能提供实时的入侵检测还有，由于性能的限制，防火墙不能提供实时的入侵检测能力，而这一点，对于现在层出不穷的攻击技术来说是至能力，而这一点，对于现在层出不穷的攻击技术来说是至关重要的。关重要的。u最后，防火墙对于病毒也束手无策。最后，防火墙对于病毒也束手无策。u因此，以为在因此，以为在InternetInternet入口处部署防火墙系统就足够安全入口处部署防火墙系统就足够安全的想法是不切实际的。的想法是不切实际的。u根据这一问题，人们设计出了入侵检

5、测系统根据这一问题，人们设计出了入侵检测系统(IDS)(IDS)，IDSIDS可可以弥补防火墙的不足，为网络安全提供实时的入侵检测及以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如，记录证据用于跟踪、恢复、断采取相应的防护手段，如，记录证据用于跟踪、恢复、断开网络连接等。开网络连接等。u如果说防火墙是一幢大楼的门卫，那么入侵如果说防火墙是一幢大楼的门卫，那么入侵检测和防御就是这幢大楼里的监视系统。检测和防御就是这幢大楼里的监视系统。u一旦有入侵大楼的行为，或内部人员有越界一旦有入侵大楼的行为，或内部人员有越界行为，实时监视系统就会发现情况并发出警行为，实时监视系统就会发

6、现情况并发出警报。报。8.3 8.3 相关知识点相关知识点 8.3.1 8.3.1 入侵检测系统概述入侵检测系统概述u入侵检测系统入侵检测系统 (Intrusion Detection System(Intrusion Detection System，IDS) IDS) 是一类专门面向网络入侵的安全监测系统，它从计算是一类专门面向网络入侵的安全监测系统，它从计算机网络系统中的若干关键点收集信息，并分析这些信机网络系统中的若干关键点收集信息，并分析这些信息，查看网络中是否有违反安全策略的行为和遭到袭息，查看网络中是否有违反安全策略的行为和遭到袭击的迹象。击的迹象。u入侵检测被认为是防火墙之后的

7、第二道安全防线，在入侵检测被认为是防火墙之后的第二道安全防线，在不影响网络性能的情况下能对网络进行监测，从而提不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。供对内部攻击、外部攻击和误操作的实时保护。u入侵检测系统的基本功能有以下几个方面。入侵检测系统的基本功能有以下几个方面。(1) (1) 检测和分析用户及系统的活动。检测和分析用户及系统的活动。(2) (2) 审计系统配置和漏洞。审计系统配置和漏洞。(3) (3) 识别已知攻击。识别已知攻击。(4) (4) 统计分析异常行为。统计分析异常行为。(5) (5) 评估系统关键资源和数据文件的完整性。评估系

8、统关键资源和数据文件的完整性。(6) (6) 对操作系统的审计、追踪、管理，并识别用户违反对操作系统的审计、追踪、管理，并识别用户违反安全策略的行为。安全策略的行为。u一个成功的入侵检测系统，不但可使系统管理员时刻一个成功的入侵检测系统，不但可使系统管理员时刻了解网络系统了解网络系统 ( (包括程序、文件和硬件设备等包括程序、文件和硬件设备等) ) 的任的任何变更，还能给网络安全策略的制定提供指南。何变更，还能给网络安全策略的制定提供指南。u同时，它应该是管理和配置简单，使非专业人员也能同时，它应该是管理和配置简单，使非专业人员也能容易地获得网络安全。容易地获得网络安全。u当然，入侵检测的规模

9、还应根据网络威胁、系统构造当然，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。和安全需求的改变而改变。u入侵检测系统在发现入侵后，应及时做出响应，包括入侵检测系统在发现入侵后，应及时做出响应，包括切断网络连接、记录事件和报警等。切断网络连接、记录事件和报警等。u目前，入侵检测系统主要以模式匹配技术为主，并结目前，入侵检测系统主要以模式匹配技术为主，并结合异常匹配技术。合异常匹配技术。u从实现方式上一般分为两种：基于主机和基于网络，从实现方式上一般分为两种：基于主机和基于网络，u而一个完备的入侵检测系统则一定是基于主机和基于而一个完备的入侵检测系统则一定是基于主机和基于网络这两

10、种方式兼备的分布式系统。网络这两种方式兼备的分布式系统。u另外，能够识别的入侵手段数量的多少、最新入侵手另外，能够识别的入侵手段数量的多少、最新入侵手段的更新是否及时也是评价入侵检测系统的关键指标。段的更新是否及时也是评价入侵检测系统的关键指标。8.3.2 8.3.2 入侵检测系统的基本结构入侵检测系统的基本结构u美国国防部高级研究计划署美国国防部高级研究计划署(DARPA)(DARPA)提出的建议是公提出的建议是公共入侵检测框架共入侵检测框架(CIDF)(CIDF)。CIDFCIDF阐述了一个入侵检测系阐述了一个入侵检测系统的通用模型，它将一个入侵检测系统分为以下四个统的通用模型，它将一个入

11、侵检测系统分为以下四个基本组件：事件发生器、事件分析器、响应单元和事基本组件：事件发生器、事件分析器、响应单元和事件数据库。件数据库。(1) (1) 事件发生器。事件发生器。 负责原始数据采集，并将收集到的原始数据转换为事件，向系负责原始数据采集，并将收集到的原始数据转换为事件，向系统的其他部分提供此事件。统的其他部分提供此事件。 收集内容，包括系统、网络数据及用户活动的状态和行为。收集内容，包括系统、网络数据及用户活动的状态和行为。 需要在计算机网络系统中的若干不同的关键点需要在计算机网络系统中的若干不同的关键点( (不同网段和不同不同网段和不同主机主机) )收集信息。包括系统和网络的日志文

12、件；网络流量；系统收集信息。包括系统和网络的日志文件；网络流量；系统目录和文件的异常变化；程序执行的异常行为等。目录和文件的异常变化；程序执行的异常行为等。u 入侵检测系统很大程度上依赖于收集信息的可靠性和正确性，入侵检测系统很大程度上依赖于收集信息的可靠性和正确性，要保证用来检测网络系统的软件的完整性，特别是入侵检测系要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有坚固性，防止被篡改而收集到错误的信息。统软件本身应具有坚固性，防止被篡改而收集到错误的信息。(2) (2) 事件分析器。接收事件信息，并对其进行分析，判断是否为入事件分析器。接收事件信息，并对其进行分析，判断

13、是否为入侵行为或异常现象，最后将判断的结果转变为告警信息。分析侵行为或异常现象，最后将判断的结果转变为告警信息。分析方法主要有以下几种。方法主要有以下几种。 模式匹配。将收集到的信息与已知的网络入侵和系统误用模式模式匹配。将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。数据库进行比较，从而发现违背安全策略的行为。 统计分析。首先给系统对象统计分析。首先给系统对象( (如用户、文件、目录、设备等如用户、文件、目录、设备等) )创创建一个统计描述，统计正常使用时的一些测量属性建一个统计描述，统计正常使用时的一些测量属性( (如访问次数、如访问次数、操作失败次

14、数和延时等操作失败次数和延时等) )；测量属性的平均值和偏差将被用来与；测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何测量属性值在正常值范围之网络、系统的行为进行比较，任何测量属性值在正常值范围之外时，就认为有入侵发生。外时，就认为有入侵发生。 完整性分析完整性分析( (往往用于事后分析往往用于事后分析) )。主要关注某个文件或对象是。主要关注某个文件或对象是否被更改。否被更改。(3) (3) 事件数据库。存放各种中间和最终数据的地方，它事件数据库。存放各种中间和最终数据的地方，它可以是复杂的数据库，也可以是简单的文本文件。从可以是复杂的数据库，也可以是简单的文本文件。从事件发

15、生器或事件分析器接收数据，一般会将数据进事件发生器或事件分析器接收数据，一般会将数据进行较长时间的保存。行较长时间的保存。(4) (4) 响应单元。根据告警信息做出反应，是响应单元。根据告警信息做出反应，是IDSIDS中的主中的主动武器，可做出强烈反应，如切断连接、改变文件属动武器，可做出强烈反应，如切断连接、改变文件属性等，也可以只做出简单的报警。性等，也可以只做出简单的报警。u以上四个组件只是逻辑实体，一个组件可能是某台计以上四个组件只是逻辑实体，一个组件可能是某台计算机上的一个进程甚至线程，也可能是多个计算机上算机上的一个进程甚至线程，也可能是多个计算机上的多个进程，它们以的多个进程，它

16、们以GIDO(GIDO(统一入侵检测对象统一入侵检测对象) )格式进格式进行数据交换。行数据交换。8.3.3 8.3.3 入侵检测系统的分类入侵检测系统的分类1. 1. 根据分析方法和检测原理分类根据分析方法和检测原理分类u基于异常的入侵检测。首先总结出正常操作应该具有基于异常的入侵检测。首先总结出正常操作应该具有的特征的特征( (用户轮廓用户轮廓) )，当用户活动与正常行为有重大偏，当用户活动与正常行为有重大偏离时即被认为是入侵。离时即被认为是入侵。u基于误用的入侵检测。收集非正常操作时的行为特征，基于误用的入侵检测。收集非正常操作时的行为特征，建立相关的特征库，当被监测的用户或系统行为与库

17、建立相关的特征库，当被监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。中的记录相匹配时，系统就认为这种行为是入侵。2. 2. 根据数据来源分类根据数据来源分类u基于主机的入侵检测系统基于主机的入侵检测系统(HIDS)(HIDS)。系统获取数据的依。系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行据是系统运行所在的主机，保护的目标也是系统运行所在的主机。所在的主机。u基于网络的入侵检测系统基于网络的入侵检测系统(NIDS)(NIDS)。系统获取数据的依。系统获取数据的依据是网络传输的数据包，保护的是网络的正常运行。据是网络传输的数据包，保护的是网络的正常运行。u

18、分布式入侵检测系统分布式入侵检测系统( (混合型混合型) )。将基于网络和基于主。将基于网络和基于主机的入侵检测系统有机地结合在一起。机的入侵检测系统有机地结合在一起。3. 3. 根据体系结构分类根据体系结构分类u 集中式。集中式结构的集中式。集中式结构的IDSIDS可能有多个分布于不同主机上的审计可能有多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器。审计程序把当地收集程序，但只有一个中央入侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理。随着网络规模到的数据踪迹发送给中央服务器进行分析处理。随着网络规模的增加，主机审计程序和服务器之间传送的数据就会剧增，

19、导的增加，主机审计程序和服务器之间传送的数据就会剧增，导致网络性能大大降低。并且一旦中央服务器出现问题，整个系致网络性能大大降低。并且一旦中央服务器出现问题，整个系统就会陷入瘫痪。统就会陷入瘫痪。u 分布式。分布式结构的分布式。分布式结构的IDSIDS就是将中央检测服务器的任务分配给就是将中央检测服务器的任务分配给多个基于主机的多个基于主机的IDSIDS。这些。这些IDSIDS不分等级，各司其职，负责监控不分等级，各司其职，负责监控当地主机的某些活动。所以，其可伸缩性、安全性都得到提高，当地主机的某些活动。所以，其可伸缩性、安全性都得到提高，但维护成本也高了很多，并且增加了所监控主机的工作负荷

20、。但维护成本也高了很多，并且增加了所监控主机的工作负荷。4. 4. 根据工作方式分类根据工作方式分类u 离线检测。离线检测又称脱机分析检测系统，就是在行为离线检测。离线检测又称脱机分析检测系统，就是在行为发生后，对产生的数据进行分析，而不是在行为发生的同发生后，对产生的数据进行分析，而不是在行为发生的同时进行分析，从而检测入侵活动，它是非实时工作的系统。时进行分析，从而检测入侵活动，它是非实时工作的系统。如对日志的审查，对系统文件的完整性检查等都属于这种。如对日志的审查，对系统文件的完整性检查等都属于这种。一般而言，脱机分析也不会间隔很长时间，所谓的脱机只一般而言，脱机分析也不会间隔很长时间，

21、所谓的脱机只是与联机相对而言的。是与联机相对而言的。u 在线检测。又称为联机分析检测系统，就是在数据产生或在线检测。又称为联机分析检测系统，就是在数据产生或者发生改变的同时对其进行检查，以便发现攻击行为，它者发生改变的同时对其进行检查，以便发现攻击行为，它是实时联机检测系统。这种方式一般用于网络数据的实时是实时联机检测系统。这种方式一般用于网络数据的实时分析，有时也用于实时主机审计分析。它对系统资源的要分析，有时也用于实时主机审计分析。它对系统资源的要求比较高。求比较高。8.3.4 8.3.4 基于网络的基于网络的IDSIDS和基于主机的和基于主机的IDSIDS1. 1. 基于网络的入侵检测系

22、统基于网络的入侵检测系统u基于网络的入侵检测系统（基于网络的入侵检测系统（NIDSNIDS）放置在比较重要的网）放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据段内，不停地监视网段中的各种数据包。对每一个数据包进行特征分析。如果数据包与系统内置的某些规则吻包进行特征分析。如果数据包与系统内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。合，入侵检测系统就会发出警报甚至直接切断网络连接。目前，大部分入侵检测系统是基于网络的。目前，大部分入侵检测系统是基于网络的。u一个典型的一个典型的NIDSNIDS如图如图8-28-2所示，一个传感器被安装在防所示，一个传感器被

23、安装在防火墙外以探查来自火墙外以探查来自InternetInternet的攻击。另一个传感器安装的攻击。另一个传感器安装在网络内部以探查那些已穿透防火墙的入侵以及内部网在网络内部以探查那些已穿透防火墙的入侵以及内部网络入侵和威胁。络入侵和威胁。u基于网络的入侵检测系统使用原始网络数据包作为数基于网络的入侵检测系统使用原始网络数据包作为数据源。基于网络的据源。基于网络的IDSIDS通常利用一个运行在混杂模式通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有数下的网络适配器来实时监视并分析通过网络的所有数据包。据包。u一旦检测到了攻击行为，一旦检测到了攻击行为，NIDSNIDS

24、的响应模块就提供多种的响应模块就提供多种选项用于通知、报警，并对攻击行为采取相应的措施。选项用于通知、报警，并对攻击行为采取相应的措施。采取的措施因系统而异，但通常都包括通知管理员、采取的措施因系统而异，但通常都包括通知管理员、中断连接并且中断连接并且/ /或为法庭分析和证据收集而做的会话或为法庭分析和证据收集而做的会话记录。记录。u基于网络的基于网络的IDSIDS已经广泛成为安全策略的实施中的重已经广泛成为安全策略的实施中的重要组件，它有许多仅靠基于主机的入侵检测系统无法要组件，它有许多仅靠基于主机的入侵检测系统无法提供的优点。提供的优点。（1 1）拥有成本较低。）拥有成本较低。u基于网络的

25、基于网络的IDSIDS可在几个关键访问点上进行策略配置，可在几个关键访问点上进行策略配置，以观察发往多个系统的网络通信。所以它不要求在许以观察发往多个系统的网络通信。所以它不要求在许多主机上装载并管理软件。多主机上装载并管理软件。u由于需监测的点较少，因此对于一个公司的环境来说，由于需监测的点较少，因此对于一个公司的环境来说，拥有成本很低。拥有成本很低。（2 2）检测基于主机的）检测基于主机的IDSIDS漏掉的攻击。漏掉的攻击。u 基于网络的基于网络的IDSIDS检查所有数据包的头部从而发现恶意的和可疑的检查所有数据包的头部从而发现恶意的和可疑的行为迹象。基于主机的行为迹象。基于主机的IDSI

26、DS无法查看数据包的头部，所以它无法无法查看数据包的头部，所以它无法检测到这一类型的攻击。例如，许多来自于检测到这一类型的攻击。例如，许多来自于IPIP地址的拒绝服务地址的拒绝服务型（型（DoSDoS）和碎片包型（）和碎片包型（TeardropTeardrop）的攻击只能在它们经过网络）的攻击只能在它们经过网络时，检查包的头部才能被发现。这种类型的攻击都可以在基于时，检查包的头部才能被发现。这种类型的攻击都可以在基于网络的网络的IDSIDS中通过实时监测网络数据包流而被发现。中通过实时监测网络数据包流而被发现。u 基于网络的基于网络的IDSIDS可以检查有效负载的内容，查找用于特定攻击的可以检

27、查有效负载的内容，查找用于特定攻击的指令或语法。例如，通过检查数据包有效负载可以查到黑客软指令或语法。例如，通过检查数据包有效负载可以查到黑客软件，而使正在寻找系统漏洞的攻击者毫无察觉。由于基于主机件，而使正在寻找系统漏洞的攻击者毫无察觉。由于基于主机的的IDSIDS不检查有效负载，所以不能辨认有效负载中所包含的攻击不检查有效负载，所以不能辨认有效负载中所包含的攻击信息。信息。（3 3）攻击者不易转移证据。）攻击者不易转移证据。u基于网络的基于网络的IDSIDS使用正在发生的网络通信进行实时攻使用正在发生的网络通信进行实时攻击的检测。所以攻击者无法转移证据。击的检测。所以攻击者无法转移证据。u

28、被捕获的数据不仅包括攻击的方法，而且还包括可识被捕获的数据不仅包括攻击的方法，而且还包括可识别的黑客身份及对其进行起诉的信息。别的黑客身份及对其进行起诉的信息。u许多黑客都熟知审计记录，他们知道如何操纵这些文许多黑客都熟知审计记录，他们知道如何操纵这些文件掩盖他们的入侵痕迹，如何阻止需要这些信息的基件掩盖他们的入侵痕迹，如何阻止需要这些信息的基于主机的于主机的IDSIDS去检测入侵。去检测入侵。（4 4）实时检测和响应。）实时检测和响应。u 基于网络的基于网络的IDSIDS可以在恶意及可疑的攻击发生的同时将其可以在恶意及可疑的攻击发生的同时将其检测出来，并做出更快的通知和响应。检测出来，并做出

29、更快的通知和响应。u 例如，一个基于例如，一个基于TCPTCP的对网络进行的拒绝服务攻击可以通的对网络进行的拒绝服务攻击可以通过将基于网络的过将基于网络的IDSIDS发出发出TCPTCP复位信号，在该攻击对目标主复位信号，在该攻击对目标主机造成破坏前，将其中断。机造成破坏前，将其中断。u 而基于主机的系统只有在可疑的登录信息被记录下来以后而基于主机的系统只有在可疑的登录信息被记录下来以后才能识别攻击并做出反应。而这时关键系统可能早已遭到才能识别攻击并做出反应。而这时关键系统可能早已遭到了破坏，或是运行基于主机的了破坏，或是运行基于主机的IDSIDS的系统已被摧毁。的系统已被摧毁。u 实时实时I

30、DSIDS可根据预定义的参数做出快速反应，这些反应包可根据预定义的参数做出快速反应，这些反应包括将攻击设为监视模式以收集信息，立即中止攻击等。括将攻击设为监视模式以收集信息，立即中止攻击等。（5 5）检测未成功的攻击和不良意图。）检测未成功的攻击和不良意图。u基于网络的基于网络的IDSIDS增加了许多有价值的数据，以增加了许多有价值的数据，以判别不良意图。即便防火墙可以正在拒绝这判别不良意图。即便防火墙可以正在拒绝这些尝试，位于防火墙之外的基于网络的些尝试，位于防火墙之外的基于网络的IDSIDS可可以查出躲在防火墙后的攻击意图。以查出躲在防火墙后的攻击意图。u基于主机的基于主机的IDSIDS无

31、法查到从未攻击到防火墙内无法查到从未攻击到防火墙内主机的未遂攻击，而这些丢失的信息对于评主机的未遂攻击，而这些丢失的信息对于评估和优化安全策略是至关重要的。估和优化安全策略是至关重要的。（6 6）操作系统无关性。）操作系统无关性。u基于网络的基于网络的IDSIDS作为安全监测资源，与主机的作为安全监测资源，与主机的操作系统无关。操作系统无关。u与之相比，基于主机的与之相比，基于主机的IDSIDS必须在特定的、没必须在特定的、没有遭到破坏的操作系统中才能正常工作，生有遭到破坏的操作系统中才能正常工作，生成有用的结果。成有用的结果。基于网络的入侵检测系统也有弱点：基于网络的入侵检测系统也有弱点：u

32、只检查直接连接网段的通信，不能检测在不同网段的只检查直接连接网段的通信，不能检测在不同网段的网络包，在交换以太网环境中会出现监测范围的局限；网络包，在交换以太网环境中会出现监测范围的局限；u很难实现一些复杂的需要大量计算与分析时间的攻击很难实现一些复杂的需要大量计算与分析时间的攻击检测；检测；u处理加密的会话过程较困难。处理加密的会话过程较困难。2. 2. 基于主机的入侵检测系统基于主机的入侵检测系统u 基于主机的入侵检测系统（基于主机的入侵检测系统（HIDSHIDS）通常是安装在被重点检测的）通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志主机之上，主要是对该主

33、机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑（特征或违进行智能分析和判断。如果其中主体活动十分可疑（特征或违反统计规律），入侵检测系统就会采取相应措施。反统计规律），入侵检测系统就会采取相应措施。u 基于主机的基于主机的IDSIDS使用验证记录，自动化程度大大提高，并发展了使用验证记录，自动化程度大大提高，并发展了精密的可迅速做出响应的检测技术。精密的可迅速做出响应的检测技术。u 通常，基于主机的通常，基于主机的IDSIDS可检测系统、事件和可检测系统、事件和WindowWindow下的安全记录下的安全记录以及以及UNIXUNIX环境下的系统记录。当有文件发生变

34、化时，环境下的系统记录。当有文件发生变化时，IDSIDS将新的将新的记录条目与攻击标记相比较，看它们是否匹配。如果匹配，系记录条目与攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警并向别的目标报告，以采取措施。统就会向管理员报警并向别的目标报告，以采取措施。u基于主机的基于主机的IDSIDS在发展过程中融入了其它技术。对关在发展过程中融入了其它技术。对关键系统文件和可执行文件的入侵检测的一个常用方法，键系统文件和可执行文件的入侵检测的一个常用方法，是通过定期检查校验和来进行的，以便发现意外的变是通过定期检查校验和来进行的，以便发现意外的变化。反应的快慢与轮询间隔的频率有直接的关系

35、。许化。反应的快慢与轮询间隔的频率有直接的关系。许多多IDSIDS产品都是监听端口的活动，并在特定端口被访产品都是监听端口的活动，并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。检测的基本方法融入到基于主机的检测环境中。u尽管基于主机的入侵检查系统不如基于网络的入侵检尽管基于主机的入侵检查系统不如基于网络的入侵检测系统快捷，但它确实具有基于网络的测系统快捷，但它确实具有基于网络的IDSIDS无法比拟无法比拟的优点。这些优点包括：更好的辨识分析、对特殊主的优点。这些优点包括：更好的辨识分析、对特

36、殊主机事件的紧密关注及低廉的成本。机事件的紧密关注及低廉的成本。 基于主机的入侵检测系统有如下优点。基于主机的入侵检测系统有如下优点。（1 1）确定攻击是否成功。）确定攻击是否成功。u由于基于主机的由于基于主机的IDSIDS使用含有已发生事件信息，使用含有已发生事件信息，它们可以比基于网络的它们可以比基于网络的IDSIDS更加准确地判断攻更加准确地判断攻击是否成功。击是否成功。u在这方面，基于主机的在这方面，基于主机的IDSIDS是基于网络的是基于网络的IDSIDS的完美补充，网络部分可以尽早提供警告，的完美补充，网络部分可以尽早提供警告，主机部分可以确定攻击成功与否。主机部分可以确定攻击成功

37、与否。（2 2）监视特定的系统活动。）监视特定的系统活动。u基于主机的基于主机的IDSIDS监视用户和访问文件的活动，监视用户和访问文件的活动，包括文件访问、改变文件权限，试图建立新包括文件访问、改变文件权限，试图建立新的可执行文件，或者试图访问特殊的设备。的可执行文件，或者试图访问特殊的设备。u例如，基于主机的例如，基于主机的IDSIDS可以监视所有用户的登可以监视所有用户的登录及下网情况，以及每位用户在连接到网络录及下网情况，以及每位用户在连接到网络以后的行为。以后的行为。u对于基于网络的系统要做到这个程度是非常对于基于网络的系统要做到这个程度是非常困难的。困难的。（3 3）能够检查到基于

38、网络的系统检查不出的攻）能够检查到基于网络的系统检查不出的攻击。击。u基于主机的系统可以检测到那些基于网络的基于主机的系统可以检测到那些基于网络的系统察觉不到的攻击。系统察觉不到的攻击。u例如，来自主要服务器键盘的攻击不经过网例如，来自主要服务器键盘的攻击不经过网络，所以可以躲开基于网络的入侵检测系统。络，所以可以躲开基于网络的入侵检测系统。（4 4）适用于被加密的和交换的环境。）适用于被加密的和交换的环境。u由于基于主机的入侵检测系统安装在遍布企由于基于主机的入侵检测系统安装在遍布企业的各种主机上，它们比基于网络的入侵检业的各种主机上，它们比基于网络的入侵检测系统更加适用于被加密的和交换的环

39、境。测系统更加适用于被加密的和交换的环境。（5 5）近于实时的检测和响应。）近于实时的检测和响应。u尽管基于主机的入侵检测系统不能提供真正尽管基于主机的入侵检测系统不能提供真正实时的反应，但如果应用正确，反应速度可实时的反应，但如果应用正确，反应速度可以非常接近实时。以非常接近实时。u从操作系统做出记录到基于主机的系统得到从操作系统做出记录到基于主机的系统得到辨识结果之间的这段时间是一段延迟，但大辨识结果之间的这段时间是一段延迟，但大多数情况下，在破坏发生之前，系统就能发多数情况下，在破坏发生之前，系统就能发现入侵者，并中止他的攻击。现入侵者，并中止他的攻击。（6 6）不要求额外的硬件设备。）

40、不要求额外的硬件设备。u基于主机的入侵检测系统存在于现行网络结基于主机的入侵检测系统存在于现行网络结构之中，包括文件服务器、构之中，包括文件服务器、WebWeb服务器及其它服务器及其它共享资源，这些使得基于主机的系统效率很共享资源，这些使得基于主机的系统效率很高，因为它们不需要在网络上另外安装登记、高，因为它们不需要在网络上另外安装登记、维护及管理硬件设备。维护及管理硬件设备。（7 7）记录花费更加低廉。）记录花费更加低廉。u基于网络的入侵检测系统比基于主机的入侵基于网络的入侵检测系统比基于主机的入侵检测系统要昂贵的多。检测系统要昂贵的多。基于主机的入侵检测系统也有弱点：基于主机的入侵检测系统

41、也有弱点：u依赖于服务器固有的日志与监视能力，而主机审计信依赖于服务器固有的日志与监视能力，而主机审计信息易受攻击，入侵者可设法逃避审计；息易受攻击，入侵者可设法逃避审计；u全面部署全面部署HIDSHIDS代价较大；代价较大；u除了监测自身的主机以外，不监测网络上的情况；除了监测自身的主机以外，不监测网络上的情况；uHIDSHIDS的运行或多或少会影响主机的性能；的运行或多或少会影响主机的性能；u只对主机的特定用户、应用程序执行动作和日志进行只对主机的特定用户、应用程序执行动作和日志进行检测，所检测到的攻击类型有限。检测，所检测到的攻击类型有限。u基于主机和基于网络的入侵检测系统都有其优势和劣

42、基于主机和基于网络的入侵检测系统都有其优势和劣势，两种方法互为补充。势，两种方法互为补充。u一种真正有效的入侵检测系统应将二者结合。一种真正有效的入侵检测系统应将二者结合。u基于主机和基于网络的入侵检测系统的比较见表基于主机和基于网络的入侵检测系统的比较见表8-1 8-1 8.4 8.4 项目实施项目实施 任务任务: SessionWall: SessionWall入侵检测软件的使用入侵检测软件的使用1. 1. 任务目标任务目标 (1) (1) 掌握掌握SessionWall-3SessionWall-3的使用方法。的使用方法。 (2) (2) 理解入侵检测系统的作用。理解入侵检测系统的作用。

43、2. 2. 任务内容任务内容 (1) SessionWall-3(1) SessionWall-3的使用。的使用。 (2) (2) 自定义自定义QQQQ服务。服务。8.4 8.4 项目实施项目实施 3. 3. 完成任务所需的设备和软件完成任务所需的设备和软件(1) Windows Server 2000 (1) Windows Server 2000 虚拟机虚拟机1 1台台( (主机主机A)A)，Windows XPWindows XP计算机计算机1 1台台( (主机主机B)B)。(2) SessionWall-3(2) SessionWall-3软件软件1 1套。套。(3) X-Scan(3

44、) X-Scan扫描软件扫描软件1 1套。套。(4) UDP Flood(4) UDP Flood攻击软件攻击软件1 1套。套。4. 4. 任务实施步骤任务实施步骤(1) SessionWall-3(1) SessionWall-3的使用的使用u 在在Windows Server 2000Windows Server 2000虚拟机虚拟机( (主机主机A)A)中安装中安装SessionWall-3SessionWall-3软软件，另一件，另一Windows XPWindows XP计算机计算机( (主机主机B)B)用来对主机用来对主机A A实施实施X-Scan X-Scan 和和UDP Flo

45、odUDP Flood攻击。攻击。u 步骤步骤1 1：在：在Windows Server 2000Windows Server 2000虚拟机虚拟机( (主机主机A)A)上安装并启动上安装并启动SessionWall-3SessionWall-3软件，启动后的主窗口如图软件，启动后的主窗口如图8-38-3所示。所示。u 步骤步骤2 2：在另一：在另一Windows XPWindows XP计算机计算机( (主机主机B)B)上启动上启动X-ScanX-Scan扫描软扫描软件，对主机件，对主机A A进行各种安全扫描。进行各种安全扫描。u 步骤步骤3 3：在主机：在主机A A上可看到报警消息图标和安

46、全冲突图标在不停上可看到报警消息图标和安全冲突图标在不停地闪烁，并发出报警声。选择菜单地闪烁，并发出报警声。选择菜单“View”“Alert View”“Alert Messages”Messages”命令，打开如图命令，打开如图8-48-4所示的对话框，该对话框中列出所示的对话框，该对话框中列出了各种报警消息。了各种报警消息。u 步骤步骤4 4：查看违反安全规则的行为。：查看违反安全规则的行为。SessionWall-3SessionWall-3中内置了许多中内置了许多预定义的违反安全规则的行为，当检测到这些行为发生的时候，预定义的违反安全规则的行为，当检测到这些行为发生的时候，系统会在系统

47、会在“Detected security violations”Detected security violations”对话框中显示这些对话框中显示这些行为。在工具栏上单击行为。在工具栏上单击“show security violations”show security violations”按钮，打按钮，打开如图开如图8-58-5所示的对话框，该对话框中列出了检测到的违反安全规所示的对话框，该对话框中列出了检测到的违反安全规则的行为。则的行为。u 步骤步骤5 5：在主机：在主机B B上对主机上对主机A A的的8080端口发起端口发起UDP FloodUDP Flood攻击，查看攻击，查看主

48、机主机A A的最近活动情况的最近活动情况(Recent activity)(Recent activity)，如图，如图8-68-6所示，可见所示，可见主机主机A A在在8080端口收到了大量的端口收到了大量的UDPUDP攻击数据包。攻击数据包。(2) (2) 自定义自定义QQQQ服务服务uSessionWall-3SessionWall-3已经预定义了许多服务，用户根据需要已经预定义了许多服务，用户根据需要也可以自定义服务，如也可以自定义服务，如QQQQ服务。服务。u步骤步骤1 1：选择菜单：选择菜单“settings”“Definitions”settings”“Definitions”命

49、令，命令，打开打开“Definitions”Definitions”窗口，在窗口，在“Services”Services”选项卡中选项卡中显示了系统预定义的服务，如图显示了系统预定义的服务，如图8-78-7所示。所示。u步骤步骤2 2：单击：单击“Add”Add”按钮，打开按钮，打开“Service Properties”Service Properties”对话框，设置服务名称为对话框，设置服务名称为QQQQ，协议为，协议为UDPUDP，端口号为，端口号为80008000，如图，如图8-88-8所示，单击所示，单击“OK”OK”按钮，返回按钮，返回“Definitions”Definitio

50、ns”窗口，再单击窗口，再单击“确定确定”按钮。按钮。u步骤步骤3 3：定义好：定义好QQQQ服务后，当网络中存在服务后，当网络中存在QQQQ连接时，连接时，就会被系统监测到，如图就会被系统监测到，如图8-98-9所示。所示。8.5 8.5 拓展提高：入侵防护系统拓展提高：入侵防护系统 u随着网络入侵事件的不断增加和黑客攻击水随着网络入侵事件的不断增加和黑客攻击水平的不断提高，一方面网络遭受攻击的速度平的不断提高，一方面网络遭受攻击的速度日益加快，另一方面网络受到攻击做出响应日益加快，另一方面网络受到攻击做出响应的时间却越来越滞后。的时间却越来越滞后。u解决这一矛盾，传统的防火墙或入侵检测技解

51、决这一矛盾，传统的防火墙或入侵检测技术术(IDS)(IDS)显得力不从心，这就需要引入一种显得力不从心，这就需要引入一种全新的技术全新的技术入侵防护系统入侵防护系统(Intrusion (Intrusion Prevention SystemPrevention System，IPS)IPS)。1. IPS1. IPS的原理的原理u 防火墙是实施访问控制策略的系统，对流经的网络流防火墙是实施访问控制策略的系统，对流经的网络流量进行检查，拦截不符合安全策略的数据包。量进行检查，拦截不符合安全策略的数据包。u 入侵检测技术入侵检测技术(IDS)(IDS)通过监视网络或系统资源，寻找通过监视网络或系

52、统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。传统违反安全策略的行为或攻击迹象，并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量，但仍然的防火墙旨在拒绝那些明显可疑的网络流量，但仍然允许某些流量通过，因此防火墙对于很多入侵攻击仍允许某些流量通过，因此防火墙对于很多入侵攻击仍然无计可施。然无计可施。u 绝大多数绝大多数 IDS IDS 系统都是被动的，而不是主动的。也系统都是被动的，而不是主动的。也就是说，在攻击实际发生之前，它们往往无法预先发就是说，在攻击实际发生之前，它们往往无法预先发出警报。出警报。u而入侵防护系统而入侵防护系统 (IPS) (IPS) 则倾向于提供主动防护，

53、其则倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。时或传送后才发出警报。uIPS IPS 是通过直接嵌入到网络流量中实现这一功能的，是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。另外一个端口将它传送到内部

54、系统中。u这样一来，有问题的数据包，以及所有来自同一数据这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在流的后续数据包，都能在IPSIPS设备中被清除掉。设备中被清除掉。2. IPS2. IPS的分类的分类（1 1）基于主机的入侵防护系统）基于主机的入侵防护系统(HIPS)(HIPS)。u在技术上，在技术上，HIPSHIPS采用独特的服务器保护途径，由包过采用独特的服务器保护途径，由包过滤、状态包检测和实时入侵检测组成分层防护体系。滤、状态包检测和实时入侵检测组成分层防护体系。u这种体系能够在提供合理吞吐率的前提下，最大限度这种体系能够在提供合理吞吐率的前提下，最大限度地保

55、护服务器的敏感内容，既可以以软件形式嵌入到地保护服务器的敏感内容，既可以以软件形式嵌入到应用程序对操作系统的调用当中，拦截针对操作系统应用程序对操作系统的调用当中，拦截针对操作系统的可疑调用，提供对主机的安全防护，也可以以更改的可疑调用，提供对主机的安全防护，也可以以更改操作系统内核程序的方式，提供比操作系统更加严谨操作系统内核程序的方式，提供比操作系统更加严谨的安全控制机制。的安全控制机制。u由于由于HIPSHIPS工作在受保护的主机工作在受保护的主机/ /服务器上，它服务器上，它不但能够利用特征和行为规则检测，阻止诸如不但能够利用特征和行为规则检测，阻止诸如缓冲区溢出之类的已知攻击，还能够防范未知缓冲区溢出之类的已知攻击，还能够防范未知攻击，防止针对攻击，防止针对WebWeb页面、应用和资源的未授页面、应用和资源的未授权的任何非法访问。权的任何非法访问。uHIPSHIPS与具体的主机与具体的主机/ /服务器操作系统平台紧密服务器操作系统平台紧密相关，不同的平台需要不同的软件代理程序。相关，不同的平台需要不同的软件代理程序。（2 2）基于网络的入侵防护）基于网络的入侵防护(NIPS)(NIPS)。uNIPSNIPS通过检测流经的网络流量，提供对网络通过检测流经