网络安全22入侵检测系统

1、入侵检测系统入侵检测系统 吕延庆mailto:入侵检测系统入侵检测系统入侵检测系统 Network Security & Privacy入侵检测系统入侵检测系统 计算机安全的三大中心目标是：计算机安全的三大中心目标是：保密性保密性( (Confidentiality) )、完整性、完整性( (Integrity) )、可用性、可用性( (Availability) ) 其中比较突出的技术有：其中比较突出的技术有：身份认证与识别，访问控制机制，加密技术，防火墙技术身份认证与识别，访问控制机制，加密技术，防火墙技术自适应网络安全技术自适应网络安全技术( (动态安全技术动态安全技术) )和动态安全模

2、型应运而和动态安全模型应运而生。典型的就是生。典型的就是P P2 2DRDR模型模型( (如图如图11-111-1所示所示) )。静态安全（防御）技术静态安全（防御）技术引言引言入侵检测系统入侵检测系统 图11-1 P2DR模型Policy(策略)(响应)ResponseProtection(防护)(检测)Detection入侵检测系统入侵检测系统 入侵检测是入侵检测系统属于比较新的技术，据专家预测，将来可入侵检测系统属于比较新的技术，据专家预测，将来可能个人计算机上必备的三大安全软件将为：杀毒软件，能个人计算机上必备的三大安全软件将为：杀毒软件，防火墙，入侵检测系统。防火墙，入侵检测系统。入

3、侵检测系统入侵检测系统 最早可追溯到最早可追溯到1980年，年，James P. Anderson在一份技在一份技术报告中提出审计记录可用于检测计算机误用行为的思术报告中提出审计记录可用于检测计算机误用行为的思想，这可谓是入侵检测的开创性的先河。想，这可谓是入侵检测的开创性的先河。 Dorothy E. Denning在在1987年的一篇论文年的一篇论文33中提出了中提出了实时入侵检测系统模型实时入侵检测系统模型 L. Todd Heberlien在在1990年提出的年提出的NSM(NetworkNSM(Network Security Monitor) Security Monitor) 是

4、入侵检测发展史上又一个具有重是入侵检测发展史上又一个具有重要意义的里程碑。要意义的里程碑。监视主机监视网络入侵检测系统入侵检测系统 IDS的作用的作用 已知的网络安全系统已知的网络安全系统(防火墙、安全评估系统、加密、身份认证防火墙、安全评估系统、加密、身份认证)众多，众多，为什么还要入侵检测系统？为什么还要入侵检测系统？ 入侵检测系统入侵检测系统 IDS与与Firewall联动联动通过在防火墙中驻留的一个通过在防火墙中驻留的一个IDS Agent对象，以接收来自对象，以接收来自IDS的控制消息，然后再增加防火墙的过滤规则，最终实的控制消息，然后再增加防火墙的过滤规则，最终实现联动现联动Cis

5、co CIDF(CISL)ISS Checkpoint入侵检测系统入侵检测系统 入侵检测系统入侵检测系统 入侵检测的基本概念入侵检测的基本概念入侵入侵 企图破坏资源的完整性、保密性、可用性的任何行企图破坏资源的完整性、保密性、可用性的任何行为，也指违背系统安全策略的任何事件为，也指违背系统安全策略的任何事件。 入侵行为不仅仅是指来自外部的攻击，同时内部用户的未授权行入侵行为不仅仅是指来自外部的攻击，同时内部用户的未授权行为也是一个重要的方面为也是一个重要的方面 从入侵策略的角度来看，入侵可分为企图进入、冒充其它合法用从入侵策略的角度来看，入侵可分为企图进入、冒充其它合法用户、成功闯入、合法用户

6、的泄漏、拒绝服务以及恶意使用等几个户、成功闯入、合法用户的泄漏、拒绝服务以及恶意使用等几个方面。方面。检测检测 通过从计算机网络或计算机系统中若干关键点收集通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时做出响应。安全策略的行为和遭到攻击的迹象，同时做出响应。 入侵检测系统入侵检测系统 图图11-2 11-2 入侵检测的一般过程入侵检测的一般过程信息收集信息源安全策略数据预处理检测模型检测结果响应处理入侵检测系统入侵检测系统 p 信息源信息源是指包含有最原始的入侵

7、行为信息的数据是指包含有最原始的入侵行为信息的数据 主要是网络、系统的审计数据或原始的网络数据包主要是网络、系统的审计数据或原始的网络数据包p 数据预处理数据预处理是指将其转化为检测模型所接受的数据格式包括对冗余信息是指将其转化为检测模型所接受的数据格式包括对冗余信息的去除，即数据简约的去除，即数据简约 是入侵检测研究领域的关键，也是难点之一是入侵检测研究领域的关键，也是难点之一p 检测模型检测模型是指根据各种检测算法建立起来的检测分析模型是指根据各种检测算法建立起来的检测分析模型 它的输入一般是经过数据预处理后的数据，输出为对数据属性的判断结果它的输入一般是经过数据预处理后的数据，输出为对数

8、据属性的判断结果 数据属性一般是针对数据中包含的入侵信息的断言数据属性一般是针对数据中包含的入侵信息的断言p 检测结果检测结果即检测模型输出的结果即检测模型输出的结果 由于单一的检测模型的检测率不理想，往往需要利用多个检测模型由于单一的检测模型的检测率不理想，往往需要利用多个检测模型进行并行分析处理，然后对这些检测结果进行数据融合处理，以达进行并行分析处理，然后对这些检测结果进行数据融合处理，以达到满意的效果。到满意的效果。p 安全策略安全策略是指根据安全需求设置的策略。是指根据安全需求设置的策略。p 响应处理响应处理主要是指综合安全策略和检测结果所作出的响应过程主要是指综合安全策略和检测结果

9、所作出的响应过程 包括产生检测报告、通知管理员、断开网络连接或更改防火墙的配包括产生检测报告、通知管理员、断开网络连接或更改防火墙的配置等积极的防御措施置等积极的防御措施入侵检测系统入侵检测系统 3 入侵检测系统分类入侵检测系统分类 入侵检测系统的分类有多种，这里主要介绍两种：入侵检测系统的分类有多种，这里主要介绍两种：一种是根据入侵检测系统的一种是根据入侵检测系统的的分类的分类 基于主机的入侵检测系统（基于主机的入侵检测系统（HIDS） 基于网络的入侵检测系统（基于网络的入侵检测系统（NIDS）一种是根据入侵检测系统一种是根据入侵检测系统的分类的分类 异常检测异常检测(Anomaly Det

10、ection) 误用检测误用检测(Misuse Detection)入侵检测系统入侵检测系统 3.1 按数据来源的分类按数据来源的分类输入数据的来源来看，它可分为输入数据的来源来看，它可分为： 基于主机的入侵检测系统基于主机的入侵检测系统 基于网络的入侵检测系统。基于网络的入侵检测系统。入侵检测系统入侵检测系统 1基于主机的(Host-Based)入侵检测系统 基于主机的入侵检测系统基于主机的入侵检测系统(HIDS)通常以通常以系统日志、系统日志、应用程序日志等审计记录文件应用程序日志等审计记录文件作为数据源。它是通过比作为数据源。它是通过比较这些审计记录文件的记录与攻击签名较这些审计记录文件

11、的记录与攻击签名(Attack Signature，指用一种特定的方式来表示已知的攻击模式指用一种特定的方式来表示已知的攻击模式)以发现它们以发现它们是否匹配。如果匹配，检测系统就向系统管理员发出入是否匹配。如果匹配，检测系统就向系统管理员发出入侵报警并采取相应的行动。基于主机的侵报警并采取相应的行动。基于主机的IDS可以精确地判可以精确地判断入侵事件，并可对入侵事件作出立即反应。它还可针断入侵事件，并可对入侵事件作出立即反应。它还可针对不同操作系统的特点判断出应用层的入侵事件。对不同操作系统的特点判断出应用层的入侵事件。入侵检测系统入侵检测系统 早期的入侵检测系统大多都是基于主机的早期的入侵

12、检测系统大多都是基于主机的IDS，作为入侵，作为入侵检测系统的一大重要类型，它具有着明显的优点：检测系统的一大重要类型，它具有着明显的优点：1) 能够确定攻击是否成功能够确定攻击是否成功2) 非常适合于加密和交换环境非常适合于加密和交换环境3) 近实时的检测和响应近实时的检测和响应4) 不需要额外的硬件不需要额外的硬件5) 可监视特定的系统行为可监视特定的系统行为 基于主机的IDS也存在一些不足：会占用主机的系统资源，增加系统负荷，而且针对不同的操作系统必须开发出不同的应用程序，另外，所需配置的IDS数量众多。但是对系统内在的结构没有任何的约束，同时可以利用操作系统本身提供的功能，并结合异常检

13、测分析，更能准确地报告攻击行为。入侵检测系统入侵检测系统 2. 基于网络的基于网络的(Network-Based)入侵检测系统入侵检测系统 基于网络的入侵检测系统基于网络的入侵检测系统(NIDS)以原始的网络数以原始的网络数据包作为数据源。它是利用网络适配器来实时地监视据包作为数据源。它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的。其攻击并分析通过网络进行传输的所有通信业务的。其攻击识别模块在进行攻击签名识别时常用的技术有：识别模块在进行攻击签名识别时常用的技术有： 模式、表达式或字节码的匹配；模式、表达式或字节码的匹配； 频率或阈值的比较；频率或阈值的比较； 事件相关性

14、处理；事件相关性处理； 异常统计检测。异常统计检测。入侵检测系统入侵检测系统 NIDS的优势和不足基于网络的基于网络的IDS是目前随网络迅速发展，较之于基于主机的是目前随网络迅速发展，较之于基于主机的IDS，它，它有着自身明显的优势：有着自身明显的优势：1) 攻击者转移证据更困难攻击者转移证据更困难2) 实时检测和应答实时检测和应答3) 能够检测到未成功的攻击企图能够检测到未成功的攻击企图4) 操作系统无关性操作系统无关性5) 较低的成本较低的成本 NIDS同样有着一定的不足：它只能监视通过本网段的活动，同样有着一定的不足：它只能监视通过本网段的活动，并且精确度较差；在交换网络环境中难于配置；

15、防欺骗的能力比并且精确度较差；在交换网络环境中难于配置；防欺骗的能力比较差，对于加密环境它就更是无能为力了。较差，对于加密环境它就更是无能为力了。入侵检测系统入侵检测系统 入侵检测系统入侵检测系统 入侵检测系统入侵检测系统 3分布式的入侵检测系统分布式的入侵检测系统 HIDS和和NIDS各自都有着自身独到的优势，而且在各自都有着自身独到的优势，而且在某些方面是很好的互补。采用这两者结合的入侵检测系某些方面是很好的互补。采用这两者结合的入侵检测系统，那将是汲取了各自的长处，又弥补了各自的不足的统，那将是汲取了各自的长处，又弥补了各自的不足的一种优化设计方案。通常，这样的系统一般为分布式结一种优化

16、设计方案。通常，这样的系统一般为分布式结构，由多个部件组成，它能同时分析来自主机系统的审构，由多个部件组成，它能同时分析来自主机系统的审计数据及来自网络的数据通信流量信息。计数据及来自网络的数据通信流量信息。 分布式的分布式的IDS将是今后人们研究的重点，它是一种将是今后人们研究的重点，它是一种相对完善的体系结构，为日趋复杂的网络环境下的安全相对完善的体系结构，为日趋复杂的网络环境下的安全策略的实现提供了最佳的解决对策。策略的实现提供了最佳的解决对策。入侵检测系统入侵检测系统 入侵检测的分类（2）按照分析方法（检测方法）按照分析方法（检测方法） 异常检测模型（异常检测模型（Anomaly De

17、tection ):首先总结首先总结正常操作应该具有的特征（用户轮廓），正常操作应该具有的特征（用户轮廓），当当用户活动与正常行为有重大偏离时即被认为用户活动与正常行为有重大偏离时即被认为是入侵是入侵 误用检测模型（误用检测模型（Misuse Detection)：收集非正收集非正常操作的行为特征，建立相关的特征库，常操作的行为特征，建立相关的特征库，当当监测的用户或系统行为与库中的记录相匹配监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵时，系统就认为这种行为是入侵 入侵检测系统入侵检测系统 异常检测异常检测Below Threshold levelsExceed Thre

18、shold LevelsSystem AuditMetricsProfilerIntrusionNormal Activity异常检测模型异常检测模型入侵检测系统入侵检测系统 1.1. 前提：入侵是异常活动的子集前提：入侵是异常活动的子集 2.2. 用户轮廓用户轮廓(Profile): (Profile): 通常定义为各种行为参数及其通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围阀值的集合，用于描述正常行为范围3.3. 过程过程 监控监控 量化量化 比较比较 判定判定 修正修正4.4. 指标指标: :漏报漏报( (false positivefalse positive) ), ,

19、错报错报( (false negativefalse negative) )异常检测异常检测入侵检测系统入侵检测系统 异常检测如果系统错误地将异常活动定义为入侵，称为如果系统错误地将异常活动定义为入侵，称为误报误报(false positive) ；如果系统未能检测出真正的入侵行为则称为如果系统未能检测出真正的入侵行为则称为漏报漏报(false negative)。 特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率。特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义，因此能有效检测未知的入因为不需要对每种入侵行为进行定义，因此能有效检测未知的

20、入侵。同时系统能针对用户行为的改变进行自我调整和优化，但随侵。同时系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。着检测模型的逐步精确，异常检测会消耗更多的系统资源。 入侵检测系统入侵检测系统 Anomaly Detectionactivity measuresprobable intrusionRelatively high false positive rate - anomalies can just be new normal activities.入侵检测系统入侵检测系统 异常入侵检测方法异常入侵检测方法统计异常检测统计异常检测基于

21、特征选择异常检测基于特征选择异常检测基于贝叶斯推理异常检测基于贝叶斯推理异常检测基于贝叶斯网络异常检测基于贝叶斯网络异常检测基于模式预测异常检测基于模式预测异常检测基于神经网络异常检测基于神经网络异常检测基于贝叶斯聚类异常检测基于贝叶斯聚类异常检测基于机器学习异常检测基于机器学习异常检测基于数据挖掘异常检测基于数据挖掘异常检测入侵检测系统入侵检测系统 System AuditMetricsPattern MatcherIntrusionNormal ActivityNo Signature MatchSignature Match误用检测模型误用检测模型误用检测误用检测入侵检测系统入侵检测系统

22、 1.1. 前提：所有的入侵行为都有可被检测到的特征前提：所有的入侵行为都有可被检测到的特征 2.2. 攻击特征库攻击特征库: : 当监测的用户或系统行为与库中的记录当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵相匹配时，系统就认为这种行为是入侵 3.3. 过程过程 监控监控 特征提取特征提取 匹配匹配 判定判定 4.4. 指标指标 错报低错报低 漏报高漏报高 误用检测误用检测入侵检测系统入侵检测系统 误用检测模型如果入侵特征与正常的用户行能匹配，则系统会发生如果入侵特征与正常的用户行能匹配，则系统会发生误报误报；如果没；如果没有特征能与某种新的攻击行为匹配，则系统会发生

23、有特征能与某种新的攻击行为匹配，则系统会发生漏报漏报特点：特点：采用特征匹配，滥用模式能明显降低错报率，但漏报率随之采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得滥用检测无能为力增加。攻击特征的细微变化，会使得滥用检测无能为力入侵检测系统入侵检测系统 Misuse DetectionIntrusion Patternsactivitiespattern matchingintrusionCant detect new attacksExample: if (src_ip = dst_ip) then “land attack”入侵检测系统入侵检测系统 基于

24、条件概率误用检测基于条件概率误用检测基于专家系统误用检测基于专家系统误用检测基于状态迁移误用检测基于状态迁移误用检测基于键盘监控误用检测基于键盘监控误用检测基于模型误用检测基于模型误用检测 误用入侵检测方法误用入侵检测方法入侵检测系统入侵检测系统 snort介绍介绍snort是一个用是一个用C语言编写的语言编写的开放源代码开放源代码的跨平台、的跨平台、轻量级轻量级的网络入侵检测系统的网络入侵检测系统（NIDS）。本质上是一个基于）。本质上是一个基于libpcap的的网络数据包嗅探器和日志记录工具网络数据包嗅探器和日志记录工具 。snort具有具有实时报警实时报警能力，还可以通过命能力，还可以通

25、过命令行进行交互，并对可选的令行进行交互，并对可选的BPF（Berkeley Packet Filter）命令进行配置。）命令进行配置。可以安装在一台主机上对整个网络进行可以安装在一台主机上对整个网络进行监视。监视。 入侵检测系统入侵检测系统 4 入侵检测系统模型入侵检测系统模型 入侵检测系统是动态安全防御策略的核心技术，比较有影响的入侵检测系统模型有：CIDF模型；Denning的通用入侵检测系统模型。其中，CIDF模型是在对入侵检测系统进行规范化的进程中提出的，也是逐渐被入侵检测领域所采纳的模型；Denning的通用入侵检测系统模型作为入侵检测发展历程中颇具影响力的实例，给入侵检测领域的研

26、究带来了相当重要的启示。现在，很多的入侵检测系统研究原型都是基于这两个模型的，所以有必要对其作一介绍。入侵检测系统入侵检测系统 4.1 入侵检测系统的CIDF模型 CIDF模型是由CIDF(Common Intrusion Detection Framework)工作组提出的。CIDF(/)工作组是由Teresa Lunt发起的，专门从事对入侵检测系统(IDS)进行标准化的研究机构。它主要研究的是入侵检测系统的通用结构、入侵检测系统各组件间的通信接口问题、通用入侵描述语言(Common Intrusion Specification Language，CI

27、SL)以及不同入侵检测系统间通信问题等关于入侵检测的规范化问题。入侵检测系统入侵检测系统 CIDF提出了一个入侵检测系统的通用模型(如图11-5所示)，它将入侵检测系统分为以下几个单元： 事件产生器(Event Generators) 事件分析器(Event Analyzers) 响应单元(Response Units) 事件数据库(Event Databases)入侵检测系统入侵检测系统 图11-5 简化的入侵检测系统CIDF模型 响应单元原始数据源事件分析器事件产生器事件数据库入侵检测系统入侵检测系统 CIDF模型将入侵检测系统(IDS)需要分析的数据统称为事件(Event)，它可以是网络

28、中的数据包，也可以是从系统日志等审计记录途径得到的信息。 事件产生器即检测器，它从整个计算环境中获得事件，并向系统的其它部分提供此事件；事件分析器分析得到的数据，并产生分析结果；响应单元则是对分析结果作出反应的功能单元，它可以是作出切断连接、改变文件属性等反应，甚至发动对攻击者的反击，也可以只是简单的报警；事件数据库是存放各种中间和最终数据的地方的总称，它可以是复杂的数据库，也可以是简单的文本文件。各功能单元间的数据交换采用的是CISL语言。入侵检测系统入侵检测系统 图11-5是入侵检测系统的一个简化模型，它给出了入侵检测系统的一个基本框架。一般地，入侵检测系统由这些功能模块组成。在具体实现上

29、，由于各种网络环境的差异以及安全需求的不同，因而在实际的结构上就存在一定程度的差别。图11-6是互联网工程任务组(IETF)提出的对CIDF模型的一个更详细的描述。入侵检测系统入侵检测系统 图11-6 IETF的入侵检测模型实例 安全策略通知告警事件活动探测器响应探测器数据源分析器管理员管理器操作员入侵检测系统入侵检测系统 这里介绍的模型是IETF下的IDWG(入侵检测工作组) (/html.charters/idwg-charter.html)对入侵检测系统进行标准化的设计方案。目前，此模型还只是Internet草案，未形成正式的RFC文档，现有的各种入侵

30、检测系统的研究原型还未采纳这种标准，但是，在不久的将来，随着行业的不断规范化，这一模型将会被投入到实际运用中。入侵检测系统入侵检测系统 11.4.2 Denning的通用入侵检测系统模型 Dorothy E.Denning于1987年提出了一个通用的入侵检测模型(如图11-7所示)。该模型由以下六个主要部分组成：主体(Subjects)、客体(Objects)、审计记录(Audit Records)、行为轮廓(Profiles)、异常记录(Anomaly Records)及活动规则(Activity Rules)。入侵检测系统入侵检测系统 图11-7 Denning 的通用入侵检测系统模型历史

31、行为特征审计记录新建行为特征规则提取创建规则设计与更新更新学习规则集处理引擎正常行为特征轮廓时钟主体活动异常记录入侵检测系统入侵检测系统 在该模型中，主体是指目标系统上活动的实体，通常指的是用户，也可能是代表用户行为的系统进程，或者是系统自身。主体的所有行为都是通过命令来实现的。客体是指系统资源，如文件、命令、设备等。它是主体的行为的接受者。主体和客体没有明显的界限，往往在某一环境下的主体在另一环境下则会成为客体。入侵检测系统入侵检测系统 审计记录是指主体对客体进行操作而在目标系统上产生的记录，如用户的登录、命令的执行、文件的访问等都会在系统中产生相应的记录。它是由构成的六元组。其中，活动是指

32、主体对客体的操作，如登录、退出、读、写等；异常条件是指主体活动出现异常情况时系统的状态；资源使用状况是指系统的资源消耗情况；时间戳是指活动发生的时间。入侵检测系统入侵检测系统 行为轮廓是描述主体对客体正常行为的模型，它包含有系统正常活动的各种相关信息。异常记录是指当系统检测到异常行为时产生的记录，由事件、时间戳、行为轮廓组成。活动规则是指系统判断是否是入侵的准则，以及当满足入侵条件时，系统所采取的相应的对策。 这个模型是个典型的异常检测的实现原型，对入侵检测的研究起着相当重要的推动作用。SRI的NIDES(http:/ 5 分布式入侵检测系统分布式入侵检测系统 一方面，由于网络环境的分布性和开

33、放性，使得我们要保护的目标主机和网络在数量和层次上将不再局限在很有限的范围内，而且不断发展的网络技术使得攻击手段也在不断推陈出新，这样，对入侵行为的检测将面临更大的挑战。另一方面，单一机制的入侵检测系统存在着自身难以克服的缺陷，无法满足日益苛刻的安全需求。这使得人们在深入研究的同时不得不另辟蹊径。分布式入侵检测系统就是这一时期的产物，它的出现为人们提供了新的安全解决方案。入侵检测系统入侵检测系统 分布式入侵检测系统是采用基于主机的和基于网络的入侵检测系统相结合的综合方案，这样既可以克服基于主机的入侵检测系统和基于网络的入侵检测系统的各自不足，又可以充分发挥它们各自的优势，从而实现对被保护目标的最佳防护。图11-8是分布式入侵检测系统的组