入侵检测与病毒防范课件

1、入侵检测与病毒防范入侵检测系统入侵检测与病毒防范提纲 入侵检测概述 入侵检测系统结构 入侵检测方法 入侵检测系统举例 入侵检测技术发展趋势入侵检测与病毒防范入侵检测概述 计算机和网络系统的防御措施不是绝对安全的，IDS作为安全防护的第二道防线 入侵检测系统（IDS）用来检测对计算机、网络或者更广泛的信息系统的攻击，包括外部非法入侵者的恶意攻击或试探、内部合法用户的未授权访问。 对入侵检测系统的需求： 实时地检测如入侵行为 有效地阻止入侵或者与其它的控制机制联动入侵检测与病毒防范入侵检测概述 数据的来源 主机的审计日志， 基于主机的（Host- Based） IDS 网络流量数据， 基于网络的（

2、Network-Based ）IDS 分析方法 特征匹配， Rule-based, Misuse 异常检测, Abnomal入侵检测与病毒防范提纲 入侵检测概述 入侵检测系统结构 入侵检测方法 入侵检测系统举例 入侵检测技术发展趋势入侵检测与病毒防范入侵检测系统结构 入侵检测系统的一般结构数据采集数据采集（Sensor）分析器分析器知识库知识库响应响应/控制控制响应政策响应政策配置信息配置信息告警告警控制控制入侵检测与病毒防范基于主机的入侵检测 信息来源 系统状态信息（CPU, Memory, Network） 记账（Accounting）信息 审计信息（Audit），登录认证、操作审计，如s

3、yslog等 应用系统提供的审计记录入侵检测与病毒防范基于主机的入侵检测 基于主机的入侵检测的缺点 需要在主机上运行，占用系统资源 多数是事后的分析，实时性差 异构的平台支持困难入侵检测与病毒防范基于主机的分布式入侵检测分布式入侵检测系统分布式入侵检测系统Agent入侵检测与病毒防范基于网络的入侵检测 信息来源于网络上的数据包 被动监听方式工作，不影响网络性能 分析网络协议数据，与系统平台无关。HUBIDS SensorMonitored Servers入侵检测与病毒防范基于网络的入侵检测FrameHeaderIP DatagramHeaderICMP/UDP/TCPHeaderFrame D

4、ata AreaIP DataProtocolDataInterface LayerInternet LayerTransport Layer协议分析协议分析入侵检测与病毒防范基于网络的入侵检测EthernetIPTCP模式匹配EthernetIPTCP协议分析HTTPUnicodeXML入侵检测与病毒防范直接的模式匹配 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.M.E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1

5、 5018 .P.b2.A:.P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 64754745 5420 2f70 726f 6475 .GET /produ GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 50 6765 732f

6、 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1. 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1. 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: * */ /* *.Ref .Ref 80 6572 6572

7、3a20 6874 7470 3a2f 2f77 7777 erer: 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 7

8、46f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding d0 0a41 636

9、3 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz 100 696c 6c

10、61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible; MSIE 5.01; 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible; MSIE 5.01; 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 120 205

11、7 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976

12、 ction: Keep-Aliv 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: Keep-Aliv 160 650d 0a0d 0a e. 160 650d 0a0d 0a e.入侵检测与病毒防范经过协议解码之后的协议分析 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.M.E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:.P. 30

13、16d0 f6e5 0000 4745 5420 2f70 726f 6475 .GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765686f 6d65 5f63 6f6c 6c61 6765 ges/home_collagehome_collage 60 322e 6a70 6720322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg2.jpg HTTP/1.1. 70 4163 6

14、365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*.Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- c0 4c61 6e67 7561 6765 3a20 656e 2d75 7

15、30d Language: en-us. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 110 6962 6c65 3b20 4d53 4945 2035 2e30

16、 313b ible; MSIE 5.01; 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: Keep-Aliv 160 650d 0a0d 0a e.入侵检测与病毒防范混合型的分布式入侵检测系统主机主机主机主机流量流量分

17、析器分析器流量流量分析器分析器主机代理主机代理管理器管理器AgentAgent主机代理主机代理网络代理网络代理管理器管理器入侵检测与病毒防范混合型的分布式入侵检测系统 分布式入侵检测系统需要考虑的主要问题 不同的入侵检测Agent之间的协调； 不同审计记录格式：主机，网络； 网络上传输的数据量可能会影响网络性能； 数据传输的保密性与完整性，比如SNMP Trap v2 ； 层次结构入侵检测与病毒防范提纲 入侵检测概述 入侵检测系统结构 入侵检测方法 入侵检测系统举例 入侵检测技术发展趋势入侵检测与病毒防范入侵检测方法 特征匹配，误用/滥用（Misuse） 根据已知的攻击方法或系统安全缺陷方面的

18、知识，建立特征（ Signature ） 数据库，然后在收集到的网络活动中寻找匹配的使用模式（Pattern） 专家系统是常用的方法，其知识库表现为一系列推导规则（Rules）,因此误用检测也称为基于规则的检测技术 准确率较高 只能检测已知的攻击入侵检测与病毒防范入侵检测方法 异常（Anomaly）检测 非规则检测建立在如下假设的基础上：入侵行为与合法用户或者系统的正常或者期望的行为有偏差。 正常的行为模式可以从大量历史活动资料的分析统计中得到。 任何不符合以往活动规律的行为都被视为是入侵行为。 能够检测出未知的攻击 误报率很高入侵检测与病毒防范提纲 入侵检测概述 入侵检测系统结构 入侵检测方

19、法 入侵检测系统举例 入侵检测技术发展趋势入侵检测与病毒防范入侵检测系统举例 Snort IDES(Intrusion Detction Expert System) NFR(Network Flight Recorder Inc.) IDA入侵检测与病毒防范Snort 入侵检测系统 Snort 系统概述 Martin Roesch , 开放源代码 支持多种平台：Linux , Solaris, Windows 不仅是一个功能强大的入侵检测系统，还可以作为网络信息包的分析器、记录器 基于网络的入侵检测系统，利用Libpcap 捕获数据包 基于规则的检测方法，可以检测出缓存溢出、端口扫描、等多种

20、攻击，目前有1800多条规则入侵检测与病毒防范Snort 入侵检测系统 Snort 系统概述 支持多种告警方式：记录到文件、Syslog、Snmptrap、 SMB 消息 直接记录到数据库：mySQL 入侵检测与病毒防范Snort 系统结构数据包数据包分析器分析器检测引擎检测引擎日志日志/告警告警LibpcapRules入侵检测与病毒防范数据包解码器（Packet Decoder）EthernetIP headerTCPtelnetnetwork入侵检测与病毒防范检测引擎 Snort 规则形式 规则头规则选项alert tcp any any - /24 111 (con

21、tent: ”|000186a5|”; msg:”mounted access”)入侵检测与病毒防范检测引擎 规则头 规则动作 Alert /Log /Pass 协议 目前支持TCP/ UDP/ICMP 以后支持ARP , RIP , OSPF 等 IP 地址 Any 匹配任何地址 支持CIDR （classless Inter-Domain Record） 比如：/16 , /24 , /25 端口号Port入侵检测与病毒防范检测引擎 规则头 方向 单向： 双向 ： Log ! /24 any 192.1

22、68.1.0/24 23 # 记录所有非本网的记录所有非本网的telnet 包包Log udp any any - /24 1:1024 入侵检测与病毒防范检测引擎 规则选项 选项之间用 ; 分隔 msg 在告警信息中显示的消息 ttl : IP 的 TTL 选项 id ： IP 分片的 dsize： 数据包的大小 content ：数据包中的内容 offset： 从何处开始检索content depth ：在content 中检索的深度入侵检测与病毒防范检测引擎 规则选项 nocase flags seq ack itype icode ipoption resp入侵检

23、测与病毒防范检测引擎 Snort 规则的二维链表规则链表头源地址目标地址源端口目标端口规则链表头源地址目标地址源端口目标端口规则链表选项Payload ContentTCP FlagICMP TypeLength规则链表选项Payload ContentTCP FlagICMP TypeLength入侵检测与病毒防范检测引擎 各种监测功能通过各种插件（Plug-in）模块来完成。 用户可以编写自己的模块来扩展新的功能入侵检测与病毒防范日志/告警子系统 3种日志模式 关闭 文本方式 二进制方式，与tcpdump 格式相同 4种告警方式 Syslog winPopup Snmp trap Mysq

24、l 数据库入侵检测与病毒防范IDES (Intrusion Detection Expert System) 目标系统根据用户的活动产生审计数据，用IDES定义的一种专用的格式。 收到审计数据以后，IDES调用统计分析和规则分析两个部件来检测是否存在异常。 一旦检测出异常就通过用户界面向管理员告警。 特点： 同时使用了统计的方法和基于规则的方法 使用了统计的记录格式，独立于被监控的系统平台Target SystemStatistical Intrusion DetectionRule-BasedIntrusion DetectionAudit RecordsUser Interface入侵检测

25、与病毒防范IDES 的统计入侵检测 被监控对象 主体（Subject）：用户、主机、组(Group)、整个系统 描述主体行为的尺度（Metrics） Metric 是描述用户行为的一个变量（参数），比如每次登录时间、每天登录次数、登录的地点等 离散型尺度：登录地点、访问的文件名称，用每个值的发生概率来描述； 连续型尺度：每次会话的持续时间等，用概率分布来描述。 档案（Profile ）: 不存放大量的历史数据，而是存放各个尺度的平均值、频率表、方差等。入侵检测与病毒防范IDES 的统计入侵检测 检测方法 根据主体的历史档案（Profile）判断用户的行为是否偏离了过去的行为模式或习惯。 每次审计记录接收以后，计算N维空间中当前事件与档案中的统计值之间的距离是否超过设定的阈值M1M2M1t事件事件e平均值平均值入侵检测与病毒防范IDES 基于规则的入侵检测 规则描述了可疑的行为类型，基于过去的入侵行为、系统漏洞等信息，不依赖于用户的历史行为 用户用P-BEST 书写规则，系统自动翻译成C语言代码，生成可执行的系统入侵检测与病毒防范IDS系