系统入侵检测与防御

1、1第第8章章 系统入侵检测与防御系统入侵检测与防御曹天杰中国矿业大学计算机科学与技术学院1. 入侵检测系统入侵检测系统2. 入侵响应入侵响应3. 入侵检测的分析技术入侵检测的分析技术4. 入侵检测系统的结构与部署入侵检测系统的结构与部署5. 入侵检测系统入侵检测系统SNORT6. 其它类型的入侵检测系统其它类型的入侵检测系统7. 蜜罐蜜罐8. 入侵防御系统入侵防御系统3入侵检测的定义n入侵检测的概念最早由Anderson在1980年提出，是指对入侵行为的发觉，并对此做出反应的过程。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应

2、），提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。4入侵检测系统主要功能n（1）监视并分析用户和系统的活动。n（2）检查系统配置和漏洞。n（3）识别已知的攻击行为并报警。n（4）异常行为模式的统计分析。 n（5）评估系统关键资源和数据文件的完整性。n（6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。5基于主机的入侵检测系统n基于主机的入侵检测系统（Host-b

3、ased Intrusion Detection System）为早期的入侵检测系统结构，其检测的目标主要是主机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上，基本过程如图8.1所示。 入侵检测器主机系统应急措施配置系统库攻击模式库报警系统操作审计记录图8.1 基于主机系统的结构6基于主机的入侵检测系统的弱点 n（1）主机入侵检测系统安装在我们需要保护的设备上，如当一个数据库服务器要保护时，就要在服务器本身上安装入侵检测系统。这会降低应用系统的效率。此外，它也会带来一些额外的安全问题，安装了主机入侵检测系统后，将本不允许安

4、全管理员有权力访问的服务器变成他可以访问的了。n（2）主机的审计信息弱点，如易受攻击，入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。n（3）主机入侵检测系统依赖于服务器固有的日志与监视能力，且只能对服务器的特定的用户、应用程序执行动作、日志进行检测，所能检测到的攻击类型受到限制。n（4）主机入侵检测系统除了监测自身的主机以外，根本不监测网络上的情况，不能通过分析主机审计记录来检测网络攻击（如域名欺骗、端口扫描等）。n（5）全面部署主机入侵检测系统代价较大，企业中很难将所有主机用主机入侵检测系统保护，只能选择部分主机保护。那些未安装主机入侵检测系统的机器将成为保护的盲点，入

5、侵者可利用这些机器达到攻击目标。 7基于网络的入侵检测系统 n随着计算机网络技术的发展，单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。从而人们提出了基于网络入侵检测系统体系结构，这种检测系统根据网络流量、单台或多台主机的审计数据检测入侵。基于网络的入侵检测系统（NIDS）放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包进行特征分析。如果数据包与系统内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。目前，大部分入侵检测系统是基于网络的。8基于网络的入侵检测系统n图8.2中的探测器由过滤器、网络接口引擎器以及过滤规则决策器构成，探测器的功能是按一定的

6、规则从网络上获取与安全事件相关的数据包，然后传递给分析引擎器进行安全分析判断。分析引擎器将从探侧器上接收到的包结合网络安全数据库进行分析，把分析的结果传递给配置构造器。配置构造器按分析引擎器的结果构造出探测器所需要的配置规则。安全配置构造器分析结果网络接口分析引擎探测器探测器网络安全数据库图8.2 基于网络系统的结构9基于网络的入侵检测系统的优点n（1）平台无关性。n（2）成本低、配置简单。n（3）检测的攻击标记标识较多。n（4）实时性的检测和响应。10基于网络入侵检测系统的缺点n（1）不适用于交换的网络环境。n（2）网络入侵检测系统不适用于加密的网络环境。n（3）网络入侵检测系统为了性能目标

7、通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。n（4）网络流量较大时，处理能力有限。11混合型入侵检测系统 n基于主机的IDS和基于网络的IDS各有优缺点，且具有互补性。基于网络的IDS能够独立于主机，不影响主机性能，并且监控范围广，能够客观地反映网络活动，特别是能够监视到系统审计的盲区;而基于主机的IDS能够更加精确地监视系统中的各种活动，不会因为网络流量的增加而放弃对网络行为的监视，并且可以用于加密环境。因此，为了克服两者的不足造成防御体系的不全面，20世纪90年代以后，许多大型的分布式入侵检测系统都是混合型的入侵检测系统。混合型

8、入侵检测系统集基于主机的IDS和基于网络的IDS的优点于一身，即可以发现网络中的攻击信息，也可以从系统日志中发现异常情况，从而大大提高了入侵检测系统的功能。 12入侵响应n被动响应入侵检测系统 被动响应系统只会发出告警通知，将发生的异常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动，而由管理员决定是否采取下一步行动。告警和通知、SNMP陷阱和插件是两种常用的被动响应技术。n主动响应入侵检测系统 主动响应系统可以分为两类:对被攻击系统实施控制的系统和对攻击系统实施控制的系统。对攻击系统实施控制比较困难，主要是对被攻击系统实施控制。主动响应有两种形式，一种是由用户

9、驱动的，一种是由系统本身自动执行的。对入侵者采取反击行动，修正系统环境和收集尽可能多的信息是主动响应的基本手段。 13入侵响应n应急响应组 所谓应急响应即“Incident Response”或“Emergency Response”，通常指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。应急响应的开始是因为有“事件”发生。所谓“事件”或“安全事件”指的是那些影响计算机系统和网络安全的不当行为。网络安全事件造成的损失往往是巨大的，而且往往是在很短的时间内造成的。因此，应对网络事件的关键是速度与效率。应急响应技术在“事件”方面的内容包括事件分类、事件描述和事件报告等。n

10、应急响应计划 应急响应计划（Emergency Response Plan）是指组织为了应对突发/重大信息安全事件而编制的，对包括信息系统运行在内的业务运行进行维持或恢复的策略和规程。 14入侵检测的分析技术-异常检测 n异常检测技术也称为基于行为的检测技术，是根据用户的行为和系统资源的使用状况判断是否存在网络入侵。异常检测基于一个假设，即入侵行为存在于偏离系统正常使用的事件中，异常检测就是要找出偏离正常行为的事件，并从中发现入侵。通过将过去观察到的正常行为与受到攻击时的行为加以比较，根据使用者的异常行为或资源的异常使用状况来判断是否发生入侵活动，其原则是任何与已知行为模型不符合的行为都认为是

11、入侵行为。 15入侵检测的分析技术-异常检测 n异常检测的假设是入侵者活动异常于正常主体的活动。这种活动存在4种可能：入侵性而非异常、非入侵性且异常、非入侵性且非异常、入侵且异常。异常检测一般先建立用户正常行为的模型，再将实际观察到的行为与之相比较，检测与正常行为偏差较大的行为。因此，如果能够建立系统正常运行的轨迹，那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。模型如图8.5所示。 正常行为描述库异常检测匹配规则动态产生新描述动态更新描述网络数据日志数据入侵行为图8.5 异常检测模型 16入侵检测的分析技术-异常检测 n异常检测的优点是，与系统相对无关，通用性比较强，易于实现，易于

12、自动更新，可以发现未知的入侵行为，同时有一定的学习能力。但单纯的统计异常检测方法对时间发生的次序不够敏感，误报、虚报率较高，对没有统计特征的攻击方法难以检测。n异常检测的难题在于如何建立系统正常行为的“活动轮廓”以及如何设计统计算法，基于异常的入侵检测系统通过构造不同的异常模型来实现不同的检测方法，使用观测到的一组测量值偏离度来预测用户行为的变化而做出决策判断。目前基于异常的入侵检测系统主要采用的技术有统计分析、贝叶斯推理、神经网络和数据挖掘等方法。17入侵检测的分析技术-误用检测 n误用检测检测技术也称为基于知识的检测或基于特征的检测。误用检测假设所有入侵的行为或手段及其变种都能表达为一种模

13、式或特征。误用检测技术通过对已知道的入侵行为和手段进行分析，提取检测特征，构建攻击模式或攻击签名。检测时，主要判别主机或者网络中所搜集到的数据特征是否匹配所收集的特征库中的一种，以此判断是否有入侵行为。n基于误用检测的入侵检测技术通过收集入侵攻击和系统缺陷的相关知识来构成入侵检测系统中的知识库，然后利用这些知识寻找那些企图利用这些系统缺陷的攻击行为。也就是说基于误用检测的入侵检测技术是通过检测那些与已知的入侵行为模式类似的行为或间接地违背系统安全规则的行为来判断是否有入侵活动。系统中的任何不能确认是攻击的行为都被认为是系统的正常行为。18入侵检测的分析技术-误用检测 n基于误用的入侵检测技术具

14、有良好的精确度，误报率较低，但其检测依赖于对入侵攻击和系统缺陷相关知识的不断更新和补充，因此不能检测未知的入侵行为。误用检测的关键是如何表达入侵行为、构建攻击模式，把真正的入侵与正常行为区分开，以及检测过程中的推理模型。在具体实现上，基于误用检测的IDS知识在表示入侵模式的方式以及在系统的审计入侵模式的机制上有所不同。误用检测的主要实现技术有专家系统、状态转换分析、模式匹配等。19入侵检测系统的结构n为了提高IDS产品、组件以及与其他安全产品之间的互操作性，美国国防高级研究计划署与Internet工程任务组的入侵检测工程组（IDWG）发起制定了一系列建议草案，从体系结构、API、通信机制、语言

15、格式等方面规范IDS的标准，提出了通用入侵检测框架（common intrusion detection framework，CIDF），如图所示。nCIDF阐述了一个入侵检测系统（IDS）的通用模型，其结构如图8.6所示。它将一个入侵检测系统分为以下组件：事件产生器（Event generators）、事件分析器（Event analyzers）、响应单元（Response units）、事件数据库（Event databases）。事件数据库事件分析器响应单元事件产生器图8.6 CIDF 体系结构20分布式的入侵检测系统 n随着网络系统结构的复杂化和大型化，出现了许多新的入侵检测问题：n首

16、先，系统的弱点或漏洞分散在网络中的各个主机上，这些弱点问题可能被入侵者一起用来攻击网络，而仅依靠一个主机或网络入侵检测系统难以发现入侵行为；n第二，网络入侵行为不再是单一的行为，而是表现出相互协作的入侵特点，例如，分布式拒绝服务攻击；n第三，入侵检测系统所依靠的数据来源分散化，使得收集原始的检测数据变得比较困难，例如交换型网络使得监听网络数据包受到限制；n第四，网络速度传输加快，网络的流量大，原始数据的集中处理方式往往造成检测瓶颈，从而导致漏检。21分布式的入侵检测系统 n分布式IDS的目标是既能检测网络入侵行为，又能检测主机的入侵行为。系统通常由数据采集模块，通信传输模块、入侵检测分析模块、

17、响应处理模块、管理中心模块和安全知识库组成。这些模块可根据不同情况进行组合，例如数据采集模块和通信模块组合产生出的新模块就能完成数据采集和传输两种任务。所有的这些模块组合起来就变成了一个入侵检测系统。需要指出的是，模块按照网络配置情况和检测的需要可以安装在单独的一台主机上或者分散在网络的不同位置，甚至一些模块本身就能够单独地检测本地的入侵，同时将入侵检测的局部结果信息提供给入侵检测管理中心。 22入侵检测系统SnortnSnort是一款免费的基于Libpcap的轻量级网络入侵检测系统。它具有易于配置、检测效率高的特点。Snort具有实时的流量分析和IP数据包日志分析能力，能够对协议进行分析或对

18、内容进行实时搜索。Snort能够检测不同的攻击行为，如缓冲区溢出攻击、端口扫描、拒绝服务攻击等，并实时的报警。nSnort的安装和配置有两种选择，一种是只安装Snort，另一种是安装Snort的同时安装其他的工具软件，从而搭建一个完整的Snort系统。在第一种的安装方式下，Snort会将捕捉到的入侵检测数据以文本或二进制的形式保存在文件中，同时将生成的警告信息发送到SNMP管理器，这种方式使得用户面对大量的日志和警告信息。第二种方式，用户不但可以将入侵检测数据保存到数据库中，而且可以利用工具对入侵检测的数据进行分析。23搭建Windows入侵检测平台 n下面是搭建windwos入侵检测平台用到

19、的软件及其版本：n(1) pache_2.0.63_win32（windows版本的apache Web服务器），用作web服务器。n(2) PHP_4.3.2_win32，作为web服务器和MySQL数据库之间的接口。n(3) snort_2.0.0_win32 ,入侵检测软件Snortn(4) mysql_4.0.23_win32 ,用来存放Snort产生的警告信息，也可以使用Oracle等数据库。n(5) adodb465, ACID用来连接MySQL数据库。n(6) acid_0.9.6b23 是一个用PHP编写的软件包，用来查看和分析snort产生的入侵检测数据。n(7) jpgra

20、ph_1.26 用于生成Snort产生的入侵检测数据的统计图形。n(8) winpcap_3.2, 用于信息包捕获和网络分析，安装Snort所必须的软件包。24安装apache_2.0.63 For Windowsn1、安装apache_2.0.63 For Windowsn（1）双击apache_2.0.63安装包，安装程序默认安装至C:Program FilesApache Group目录。n如果主机以经安装了IIS，并启动了Web Server，由于IIS WebServer与Apache WebServer都默认在TCP80端口监听，所以会和Apache WebServer 冲突。解决

21、方法是，停止IIS工作或修改Apache WebServer的默认端口。我们修改Apache WebServer的监听端口为18080，打开Apache的配置文件C:Program FilesApache GroupApache2confhttpd.conf，将Listen 80改为Listen 108080，如图8.9所示图8.9 修改Apache WebServer的监听端口25安装apache_2.0.63 For Windowsn（2）安装Apache为服务方式运行n运行命令C:Program FilesApache GroupApache2binapache -k -install，

22、而且apache_2.0.63提供了图形界面支持，方便启动和关闭Apache服务，如图8.10所示。图8.10 Apache服务26安装apache_2.0.63 For Windowsn（3）检验Apache安装成功n在浏览器中输入:18080，若能看到图8.11所示的信息，则说明Apache安装成功。图8.11 检验Apache安装成功27安装apache_2.0.63 For Windowsn（4）添加Apache对PHP的支持na.解压缩php-4.3.2-win32.zip至c:phpnb.复制php4ts.dll至操作系统目录c:windowssyst

23、em32;nc.将c: phpphp.ini-dist改名为php.ini，并且复制到操作系统目录c:windowssystem32;nd.修改c: phpphp.ini，将文件php.ini中的extention=php_gb2.dll的注释“；”去掉，以添加对gb图形库的支持，如图8.12所示。图8.12 添加Apache对PHP的支持28安装apache_2.0.63 For Windowsn（5）启动Apache服务n运行net start apache2命令，如图8.13所示 图8.13 启动Apache服务29安装apache_2.0.63 For Windowsn（6）测试apa

24、che对php的支持已经成功安装n在C:Program FilesApache GroupApache2htdocs目录下建立test.php文件，文件的内容如图8.14所示。n在浏览器中输入:18080/test.php，如图8.15所示，说明成功安装了apache对php的支持。图8.14 测试apache对php的支持已经成成功安装图8.15 成功安装apache对php的支持30安装Snort 2.0.0与winpcap n直接双击snort 2.0.0.exe文件，将默认安装snort到c:snort（Snort的新版本的规则库现在已经收费）。31安装、

25、配置MySQL数据库 n（1）默认安装mysql 4.0.23 for windows至c:mysql。n（2）安装Mysql为服务方式运行：n（3）启动Mysql服务n（4）安装adodbn（5）安装acidn（6）安装jpgraph-1.26.tar.gzn（7）配置Snort32Snort For Windows的工作模式 nSnort有三种工作模式，分别为嗅探器模式、数据包记录器模式、网络IDS模式，我们主要用Snort作为IDS，但同时也要对其他两种模式有所了解。33nSnort的嗅探模式，通常可以用来检测Snort是否安装成功，输入命令Snort -v -i3，使得Snort只将I

26、P和TCP/UDP/ICMP的包头信息输出到屏幕上。如图8.30所示：Snort的嗅探模式 图8.30 Snort的嗅探模式34数据包记录器模式 n如果要将数据包记录在LOG文件中（c:snortlog），则使用下面的命令： Snort -d -e -v -i3 -l c:snortlog，n其中，-l选项指定了存放日志的文件夹；运行该命令后，将在c:snortlog目录下自动生成许多文件夹和文件，文件夹以数据包目的主机的IP地址命名，如图8.31所示，每个文件夹记录的是和该外部主机相关的网路流量。n打开日志文件，其记录的格式与嗅探器下的屏幕输出类似，为Tcpdump格式，如图8.32所示。图

27、8.31 数据包记录器模式图8.32 打开日志文件35IDS模式 n使用命令snort -d -e -v -i3 -l c:snortlog -c c:snortetcsnort.conf可以启动IDS模式，-c选项表示使用snort.conf中的规则集。Snort会将每个包和规则集进行匹配，如符合规则就采取规则所指定的动作。在下一部分，我们将使用Snort的IDS模式，检测攻击。36使用搭建的Windows入侵检测平台检测入侵 n我们在主机3上配置了入侵检测平台，使用mysql来存储检测的信息，使用acid作为检测控制台的主界面。n（1）启动Snort，使用命令C:

28、Snortbinsnort -dve -l c:snortlog -h 5/24 -c c:snortetcsnort.conf。n使用X-Scan 3.3在主机8上对网段5-00进行扫描，如图8.33所示。图8.33 扫描网段5-0037使用搭建的Windows入侵检测平台检测入侵 n打开acid检测控制台主界面:18080/acid/acid_main.php，如图8.34所示，分别给出了TCP、UDP、I

29、CMP协议的详细日志情况，点击后面的百分比可以查看详细信息。图8.34 检测控制台主界面38使用搭建的Windows入侵检测平台检测入侵 nICMP协议日志，给出了详细的信息，如时间戳、目的/源地址，如图8.35所示图8.35 ICMP协议日志39使用搭建的Windows入侵检测平台检测入侵 n点击alert后面的数字，则可详细的看到所给出的特殊的流量记录，这些可能就是某种攻击。如图8.36所示：图8.36 点击alert后面的数字40其它类型的入侵检测系统n文件完整性检查系统 文件完整性检查系统检查计算机中上次检查后文件变化的情况。文件完整性检查系统保存有每个文件的数字摘要数据库，每次检查时

30、，它重新计算文件的数字摘要并将它与数据库中的值相比较，若不同，则说明文件已经被修改；若相同，则说明文件未发生变化。n日志文件监视 日志文件通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等。41蜜罐n蜜罐是一种网络攻击诱骗工具，又叫网络陷阱，它通过模拟一个或多个易受攻击的目标系统，给黑客提供一个包含漏洞并容易被攻破的系统作为他们的攻击目标。其主要作用是吸引入侵者来嗅探、攻击，同时不被察觉地将他们的活动记录下来，进而评估黑客攻击的目的、使用的工具、运用的手段、造成的后果。通常蜜罐部署在容易被入侵者发现的地方，辅以各种网络攻击诱骗技术来诱使入侵者上当，让入侵者误以为

31、已经成功侵入网络系统，而系统则完成了对入侵者的攻击过程的记录，通过这些记录我们可以分析、学习入侵者侵入系统所使用的工具、采用的手段、技术和他们的意图。42蜜罐的原理 n从蜜罐的定义可以看出，蜜罐的目的就是布置安全陷阱，诱骗攻击者对它攻击，在攻击者认为它成功达到攻击目的的同时，蜜罐系统对整个攻击过程也进行了记录。下面就从布置安全陷阱、诱骗攻击和记录攻击过程三个方面来叙述蜜罐的原理。n（1）布置安全陷阱 如何巧妙的布置安全陷阱是蜜罐系统非常关键的一个步骤，如果攻击者很容易识别陷阱或根本不知道陷阱位于何处，蜜罐系统的作用也就无用武之地了。在一个典型的受保护网络中，蜜罐系统通常位于受保护网络内，它不对

32、外提供IP地址，也不对外提供任何网络服务及服务接口，因此在这样的系统中，任何对该蜜罐主机的连接及操作都可以认为是攻击的发生。43蜜罐的原理 n（2）诱骗攻击 当攻击者成功入侵受保护网络后，如何诱骗攻击者只对蜜罐攻击而暂时忽略对其它安全主机的攻击呢？这正是诱骗攻击的目的，也是蜜罐系统与受保护主机在安全设置上的区别。n（3）记录攻击过程 攻击过程的记录存在于实施攻击的整个过程，它通过对攻击过程的详细跟踪来实现对攻击过程的特征提取。同样的，有的攻击者如果在攻击过程中发现所攻击系统是蜜罐系统，可能会寻找蜜罐系统的弱点而将蜜罐系统的日志删除，因此在日志记录过程中，要谨防蜜罐系统中日志记录模块的安全性。4

33、4蜜罐分类 n（1）蜜罐从性质上可以分为产品型蜜罐和研究型蜜罐n（2）根据蜜罐系统与攻击交互的频繁程度可将蜜罐系统分为低交互蜜罐、中交互蜜罐和高交互蜜罐n（3）从具体实现的角度，可以分为物理蜜罐和虚拟蜜罐。45蜜罐的优缺点 n蜜罐系统有其他网络安全技术没有的几个独特的优势。n第一个优势是蜜罐的数据价值高。n第二个优势是蜜罐的资源消耗少。n第三个优势是蜜罐的设计和配置简单。46蜜罐的优缺点 n蜜罐虽然有众多的优点，同时它也有缺点，这些缺点主要体现在以下几个方面。n第一个缺陷是蜜罐的视野比较狭窄。n第二个缺陷是蜜罐运行时容易留下指纹。47入侵防御系统n入侵防御系统（Intrusion Preven

34、tion System，IPS）是近年来新兴的一种网络安全产品。它是由入侵检测系统（Intrusion Detection System，IDS）发展而来，兼有防火墙的一部分功能。IPS系统包含两大功能模块：防火墙和入侵检测。从功能上讲，IPS是传统防火墙和入侵检测系统的组合，它对入侵检测模块的检测结果进行动态响应，将检测出的攻击行为在位于网络出入口的防火墙模块上进行阻断。然而，IPS并不是防火墙和入侵检测系统的简单组合，它是一种有取舍地吸取了防火墙和入侵检测系统功能的一个新产品，其目的是为网络提供深层次的、有效的安全防护。48基于网络的入侵防御系统 n网络入侵防御系统（Network-based Intrusion Prevention System，NIPS）与受保护网段是串联部署的。受保护的网段与其它网络之间交互的数据流都必须通过NIPS设备。当通信（指网络流量）通过NIPS时，通信将被监视是否存在攻击。各种系统的攻击检测机制是不一样的，但是最精确的系统通常集成了多种技术，可以达到很高的攻击和误用检测水准。极高的精确性和高级别的性能，对有效的NIPS是至关重要的，因为攻击的误报将导致合法的通信被阻断，也就是可能出现拒绝服务的情形。高性能是保证合法通信通过NIPS时不会延迟。当检测到攻击时，NIPS丢弃或阻断含有攻击性的数据，进而阻断了攻击。49基于