第7章入侵检测技术2

1、内容回顾复习复习:测试中的问题测试中的问题防火墙技术防火墙技术新内容新内容:入侵检测技术入侵检测技术防火墙技术两种主要防火墙技术： 包过滤防火墙 代理防火墙防火墙的体系结构 双宿主机防火墙体系结构 被屏蔽子网体系结构防火墙的局限性（1）防火墙防外不防内。）防火墙防外不防内。（2）防火墙不能防范不通过它的连接。）防火墙不能防范不通过它的连接。（3）防火墙只实现了粗粒度的访问控制。）防火墙只实现了粗粒度的访问控制。由于有这些局限性，为了保护网络，就必由于有这些局限性，为了保护网络，就必须完善网络的防护体系须完善网络的防护体系入侵检测技术是对防火墙技术的合理补充，入侵检测技术是对防火墙技术的合理补充

2、，是网络的第二道安全闸门是网络的第二道安全闸门第7章 入侵检测技术入侵检测技术(Instruction Detection System) (IDS)本章主要内容：本章主要内容： 重重 点：点： 1:入侵检测系统的概念入侵检测系统的概念 重重 点：点： 2:入侵检测技术的作用入侵检测技术的作用 重重难点：难点： 3:入侵检测原理入侵检测原理 重重难点：难点： 4:入侵检测应用入侵检测应用 IDS存在与发展的必然性存在与发展的必然性一、网络攻击的破坏性、损失的严重性一、网络攻击的破坏性、损失的严重性二、日益增长的网络安全威胁二、日益增长的网络安全威胁三、单纯的防火墙无法防范复杂多变的攻击三、单纯

3、的防火墙无法防范复杂多变的攻击入侵入侵检测系统的概念检测系统的概念 入侵入侵检测系统检测系统IDS （ Intrusion Detection System）：）： 通过对计算机网络或计算机系统中若干关键点收集信息收集信息，并对其进行分析分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象被攻击的迹象。这种进行入侵检测的软件与硬件的组合被称为入侵检测系统入侵检测系统。入侵检测与防火墙、系统扫描器入侵检测与防火墙、系统扫描器 入侵监测系统的位置： 处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器

4、配合工作。入侵检测与系统扫描器入侵检测与系统扫描器 入侵监测系统IDS与系统扫描器system scanner的区别：（1）系统扫描器系统扫描器是根据攻击特征数据库来扫描系统漏洞的，它更关注配置上的漏洞而不是当前进出你的主机的流量。在遭受攻击的主机上，即使正在运行着扫描程序，也无法识别这种攻击（2）IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。（3）总之，总之，网络扫描器检测主机上先前设置的漏洞，而IDS监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话，配置合理的IDS会发出许多报警。 入侵检测系统的作用入侵检测系统的

5、作用 入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术。 作为防火墙的合理补充，入侵检测技术通过对计算机网络系统中的若干关键点收集分析信息，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。 入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。它可以防止或减少网络威胁。 入侵检测系统的发展历程入侵检测系统的发展历程 1980年4月，James P. Anderson为美国空军做了一份题为Computer Security Threat Monitoring and Surv

6、eillance（计算机安全威胁监控与监视）的技术报告，第一次详细阐述了入侵检测的概念。 从1984年到1986年，乔治敦大学的Dorothy Denning和SRI/CSL（SRI公司计算机科学实验室）的Peter Neumann研究出了一个实时入侵检测系统模型，取名为IDES（入侵检测专家系统）。为构建入侵检测系统提供了一个通用的框架。 入侵检测系统的发展历程入侵检测系统的发展历程 1989年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor）。 该系统第一次直接将网络流作为审计

7、数据来源，并可以在不将审计数据转换成统一格式的情况下监控异种主机。 从此之后，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的基于网络的IDS和基于主机基于主机的的IDS。通用入侵检测系统模型通用入侵检测系统模型配置信息配置信息知识库知识库数据收集器数据收集器审计数据审计数据报警信息报警信息控制动作控制动作目标系统目标系统检测器检测器控制器控制器通用入侵检测系统模型通用入侵检测系统模型入侵入侵检测检测IDS的基本结构的基本结构入侵检测系统模型包括以下几个组成部分：入侵检测系统模型包括以下几个组成部分：（1 1）信息收集信息收集（信息收集器也（信息收集器也事件产生器事件产生器）主要

8、）主要负责收集所有可能的和入侵行为有关的数据。负责收集所有可能的和入侵行为有关的数据。（2 2）信息分析信息分析（检测器（检测器也叫也叫事件分析器事件分析器）:分析检分析检测入侵行为，并发出警报信号。测入侵行为，并发出警报信号。（3 3）知识库知识库（也叫（也叫事件数据库事件数据库）：提供必要的数：提供必要的数据信息支持，如用户的历史活动档案、检测规则据信息支持，如用户的历史活动档案、检测规则集合等。集合等。（4 4）结果处理结果处理（控制器也叫（控制器也叫响应单元响应单元）：根据警）：根据警报信号，人工或自动做出反应动作。报信号，人工或自动做出反应动作。入侵检测系统基本概念入侵检测系统基本概

9、念 事件：事件：将IDS需要分析的数据统称为事件（event）,它可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。 事件产生器事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。 事件分析器事件分析器分析得到的数据，并产生分析结果。 响应单元响应单元则是对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。 事件数据库事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。 入侵检测系统的功能入侵检测系统的功能 a.监测并分析用户和系统的活动； b.核查系统配置和漏洞； c.

10、评估系统关键资源和数据文件的完整性； d.识别已知的攻击行为； e.统计分析异常行为； f.审计操作系统日志管理，并识别违反安全策略的用户活动。 入侵检测系统的工作过程入侵检测系统的工作过程 信息收集 日志文件、非正常的目录文件改变、非正常的程序执行 信号分析模式匹配、统计分析、完整性分析 实时记录、报警或有限度反击信息收集信息收集 入侵检测利用的信息一般来自以下四个方面 ：（1）系统和网络日志文件：黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件。 （2）非正常的目录和文件改变：网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私

11、有数据文件经常是黑客修改或破坏的目标。 （3）非正常的程序执行：一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。 （4）物理形式的入侵信息：这包括两个方面的内容，一是未授权的对网络硬件连接；二是对物理资源的未授权访问。 信息分析信息分析对上述四类收集到的有关系统、网络、数据及用户对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段活动的状态和行为等信息，一般通过三种技术手段进行分析：进行分析： （1）模式匹配）模式匹配（2）统计分析）统计分析（3）完整性分析，往往用于事后分析）完整性分析，往往用于事后分析模式匹配模式匹配 模式匹配就是将收集到的信息与

12、已知的网络模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。数学表达式来表示安全状态的变化）。 一般来讲，一种进攻模式可以用一个过程一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是

13、只需收集限）来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技相关的数据集合，显著减少系统负担，且技术已相当成熟。术已相当成熟。 统计分析统计分析 统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。 例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为

14、的突然改变。完整性分析完整性分析 完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。 完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），它能识别哪怕是微小的变化。 其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。 缺点是一般以批处理方式实现，不用于实时响应。尽管如此，完整性检测方法还应该是网络安全产品的必要手段之一。 例如，可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。入侵检测系统分类（入侵检测系统分类（

15、1）按照检测方法分类：l异常检测模型：异常检测模型：检测与可接受行为的偏差。如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大集偏离时即被认为是入侵。 特点：特点：漏报率低，误报率高。l误用检测模型：误用检测模型：检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的 不可接受行为，那么每种能够与之匹配的行为都会引起报警。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时即被认为是入侵。 特点：特点：漏报率高，误报率低。入侵检测系统分类（入侵检测系统分类（2）根据入侵检测的

16、对象不同，可以分为：根据入侵检测的对象不同，可以分为： 主机型入侵检测系统主机型入侵检测系统 HIDS主要对象：日志主要对象：日志 优点和缺点优点和缺点 网络型入侵检测系统网络型入侵检测系统 NIDS主要对象：数据包主要对象：数据包优点和缺点优点和缺点入侵检测系统分类（入侵检测系统分类（3）入侵检测系统按其输入数据的来源，可以分为入侵检测系统按其输入数据的来源，可以分为3类：类： 基于主机的入侵检测系统：基于主机的入侵检测系统：其输入数据来源于系其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入统的审计日志，一般只能检测该主机上发生的入侵。侵。 2. 基于网络的入侵检测系统基于网络的

17、入侵检测系统：其输入数据来源于：其输入数据来源于网络的信息流，能够检测该网段上发生的网络入网络的信息流，能够检测该网段上发生的网络入侵。侵。1. 3. 采用上述两种数据来源的分布式入侵检测系统：采用上述两种数据来源的分布式入侵检测系统： 能够同时分析来自主机系统审计日志和网络数据能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统，一般为分布式结构，由多个流的入侵检测系统，一般为分布式结构，由多个部件组成。部件组成。 入侵检测系统的性能指标入侵检测系统的性能指标 每秒数据流量每秒数据流量 每秒抓包数每秒抓包数 每秒能监控的网络连接数每秒能监控的网络连接数 每秒能处理的事件数每秒能处理的事件数入侵检测系统的应用入侵检测系统的应用 Snort入侵检测系统：入侵检测系统：是一个免费的、跨平台的是一个免费的、跨平台的软件包。软件包。 金诺入侵检测系统：金诺入侵检测系统：是由上海金诺公司研发的具是由上海金诺公司研发的具有全方位的实时入侵检