第 01 讲 计算机入侵检测系统

1、概念的诞生 Denning于1986年发表的论文“入侵检测模型”被公认为是IDS领域的又一篇开山之作。 1990年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的L. T. Heberlein等人开发出了一套网络入侵检测系统（Network Security Monitor）。 从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展概念的诞生 ：入侵检测的概念内网内网Internetq 入侵检测即是对入侵行为的发觉 q 入侵检测系统是入侵检测的软件与硬件的有机组合q 入侵检测系统是处于防火墙之后对网络活动的实时监控q 入

2、侵检测系统是不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动 v入侵检测的定义实时监控非法入侵的过程示意图报警报警日志记录日志记录攻击检测攻击检测记录入侵记录入侵过程过程 重新配置重新配置防火墙防火墙路由器路由器内部入侵内部入侵入侵检测入侵检测记录记录终止入侵终止入侵IDS监控非法入侵的案例 q 2001 2001年年4 4月，广东某月，广东某ISP和某数据分局的网络系统受到入侵和某数据分局的网络系统受到入侵攻击。攻击。IDS的相关术语 q 入侵入侵是指试图破坏一个资源的完整性、机密性和可获得性的活动是指试图破坏一个资源的完整性、机密性和可获得性的活动集合集合q 入侵检测入侵检测

3、是对正在发生或已经发生的入侵行为的一种识别的过程。是对正在发生或已经发生的入侵行为的一种识别的过程。q 入侵监测系统入侵监测系统q 虚警虚警 检测系统在检测时把系统的正常行为判为入侵行为的错误检测系统在检测时把系统的正常行为判为入侵行为的错误q 漏警漏警 检测系统检测系统未能检测出真正的入侵行为未能检测出真正的入侵行为 IDS IDS系统主要有两大职责：实时检测和安全审计，系统主要有两大职责：实时检测和安全审计，具体包含具体包含4 4个方面的内容个方面的内容q 识别黑客常用入侵与攻击识别黑客常用入侵与攻击q 监控网络异常通信监控网络异常通信q 鉴别对系统漏洞和后门的利用鉴别对系统漏洞和后门的利

4、用q 完善网络安全管理完善网络安全管理技术层面：技术层面：对具体的安全技术人员，对具体的安全技术人员，可以可以利用利用IDS做为工具来发现做为工具来发现安全问题、解决问题。安全问题、解决问题。管理层面：管理层面：对安全管理人员来说，是可以把对安全管理人员来说，是可以把IDSIDS做为其日常管理上做为其日常管理上的有效手段。的有效手段。领导层面：领导层面：对安全主管领导来说，是可以把对安全主管领导来说，是可以把IDS做为把握全局一种做为把握全局一种有效的有效的方法方法，目的是提高安全效能。，目的是提高安全效能。意识层面：意识层面：对政府或者大的行业来说，是可以通过对政府或者大的行业来说，是可以通

5、过IDS来建立一套来建立一套完善的网络预警与响应体系，减小安全风险。完善的网络预警与响应体系，减小安全风险。 基于网络入侵检测系统基于网络入侵检测系统基于主机入侵检测系统基于主机入侵检测系统q检测时效分类检测时效分类在线入侵检测在线入侵检测离线入侵检测离线入侵检测q检测所应用的技术检测所应用的技术基于异常的基于异常的IDSIDS 基于误用的基于误用的IDSIDS q系统结构系统结构集中式集中式IDSIDS分布式分布式IDSIDS平面内网Internetq是网络上的一个监听设备是网络上的一个监听设备q通过网络适配器捕获数据包并分析数通过网络适配器捕获数据包并分析数据包据包q根据判断方法分为基于知

6、识的数据模根据判断方法分为基于知识的数据模式判断和基于行为的行为判断方法式判断和基于行为的行为判断方法平面内网Internetq能够检测超过授权的非法访问能够检测超过授权的非法访问qIDSIDS发生故障不会影响正常业务的运行发生故障不会影响正常业务的运行 q配置简单配置简单平面内网Internetq 实时分析网络数据，监测网络系统的非实时分析网络数据，监测网络系统的非法行为法行为 q 不占用其他计算机系统的资源不占用其他计算机系统的资源 q 自身的安全性比较高自身的安全性比较高q 可用于实时检测系统，也可以用于记录可用于实时检测系统，也可以用于记录审计系统审计系统平面内网Internetq具有

7、网络局限，只能检查单一网段的通信具有网络局限，只能检查单一网段的通信 q通常采用特征检测的方法通常采用特征检测的方法 q无法检测加密的数据包无法检测加密的数据包q资源和处理能力的局限资源和处理能力的局限q无法检测系统级的入侵无法检测系统级的入侵平面内网InternetqSnortSnort、NFRNFR、ShadowShadow入侵检测软件入侵检测软件等，等，其中其中Snort Snort 的社区的社区( ())非常活跃，其入侵特征更新速度与研发的非常活跃，其入侵特征更新速度与研发的进展已超过了大部分商品化产品进展已超

8、过了大部分商品化产品 qSnortSnort主界面里显示的信息包括：q触发安全规则的网络流量中各种协议所占的比例q警报的数量q入侵主机q目标主机的IP地址q端口号等 qSnortSnort一天之内的报警频率 一周报警频率 qSnortSnort一天之内的报警频率 一周报警频率 平面内网Internetq HIDS HIDS是配置在被保护的主机上的，用来是配置在被保护的主机上的，用来检测针对主机的入侵和攻击检测针对主机的入侵和攻击q 主要分析的数据包括主机的网络连接状主要分析的数据包括主机的网络连接状态、审计日志、系统日志。态、审计日志、系统日志。平面内网Internetq配置审计信息配置审计信

9、息q系统对审计数据进行分析系统对审计数据进行分析( (日志文件日志文件) )平面内网Internetq 能分辨出入侵者干了什么事：他们运行能分辨出入侵者干了什么事：他们运行了什么程序、打开了哪些文件、执行了哪些了什么程序、打开了哪些文件、执行了哪些系统调用。系统调用。 q基于主机的基于主机的IDSIDS与基于网络的与基于网络的IDSIDS相比通常相比通常能够提供更详尽的相关信息。能够提供更详尽的相关信息。q 基于主机的基于主机的IDSIDS通常情况下比基于网络的通常情况下比基于网络的IDSIDS误报率要低，因为检测在主机上运行的误报率要低，因为检测在主机上运行的命令序列比检测网络流更简单，系统

10、的复杂命令序列比检测网络流更简单，系统的复杂性也少得多。性也少得多。 平面内网Internetq 能精确的判断供给行为是否成功能精确的判断供给行为是否成功 q 能监控主机上特定用户活动和系统运行情况能监控主机上特定用户活动和系统运行情况q HIDSHIDS能检测到能检测到NIDSNIDS无法检测到的攻击无法检测到的攻击q HIDSHIDS能适用加密和交换的环境能适用加密和交换的环境q 不需要额外的硬件设备不需要额外的硬件设备平面内网Internetq HIDSHIDS对被保护主机的性能和安全性会带来一对被保护主机的性能和安全性会带来一定的影响定的影响 q HIDSHIDS的安全性会受到宿主机操

11、作系统的限制的安全性会受到宿主机操作系统的限制 q HIDSHIDS的数据源会受到审计系统限制的数据源会受到审计系统限制q 被木马化的系统内核能骗过被木马化的系统内核能骗过HIDSHIDSq 维护维护/ /升级不方便升级不方便基于网络的入侵检测产品和基于主机的入侵检测产品都有不足基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是，之处，单纯使用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，综

12、合了在网络内，则会构架成一套完整立体的主动防御体系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。网络中的攻击信息，也可从系统日志中发现异常情况。 输出：反应或事件 输出：高级中断事件 输出：事件的存储信息 输出：原始或低级事件 输入：原始事件源 事件产生器 响应单元 事件数据库 事件分析器 监听部分监听部分协议IPXICMPOSPFTCPUDPFTPTelnetPOP3SMTPHTTPDNSTFTPIGMPEGPGGPNFSIPPPPIPV6ATMNetBEUIInternet

13、v统计统计v专家系统专家系统q特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。q其检测方法上与计算机病毒的检测方式类似。q目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。 基于基于统计检测统计检测主要是通过主要是通过统计统计模型对审计事件的数量、模型对审计事件的数量、间隔时间、资源消耗情况等统计量进行统计间隔时间、资源消耗情况等统计量进行统计, ,如果出现异常如果出现异常, ,即报警。即报警。三、入侵检测的三、入侵检测的技术技术v统计检测模型为统计检测模型

14、为：1、操作模型、操作模型:该模型假设异常可通过测量结果与一些固定该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击；有可能是口令尝试攻击； 2、方差模型，计算参数的方差，设定其置信区间，当测、方差模型，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；量值超过置信区间的范围时表明有可能是异常；v统计检测模型统计检测模型 3、多元模型，操作模型的扩展，通

15、过同时分析多个参数、多元模型，操作模型的扩展，通过同时分析多个参数实现检测；实现检测； 4、马尔柯夫过程模型，将每种类型的事件定义为系统状、马尔柯夫过程模型，将每种类型的事件定义为系统状态，态，用状态转移矩阵来表示状态的变化用状态转移矩阵来表示状态的变化，当一个事件发生，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件；时，或状态矩阵该转移的概率较小则可能是异常事件； 5、时间序列分析，将事件计数与资源耗用根据时间排成、时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。件可

16、能是入侵。 q 规则，不同的系统与设置具有不同的规则，且规则之间往规则，不同的系统与设置具有不同的规则，且规则之间往往无通用性。往无通用性。q 专家系统的建立依赖于知识库的完备性，知识库的完备性专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。又取决于审计记录的完备性与实时性。q 入侵的特征抽取与表达，是入侵检测专家系统的关键。入侵的特征抽取与表达，是入侵检测专家系统的关键。q 在系统实现中，将有关入侵的知识转化为在系统实现中，将有关入侵的知识转化为if-then结构（也结构（也可以是复合结构），条件部分为入侵特征，可以是复合结构），条件部分为入侵特征，the

17、n部分是系统部分是系统防范措施。防范措施。q 运用专家系统防范有特征入侵行为的有效性完全取决于专运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性家系统知识库的完备性Internetq当事件出现时显示攻击的特征信息当事件出现时显示攻击的特征信息q重新配置防火墙重新配置防火墙 q阻塞特定的阻塞特定的TCP连接连接q邮件，传真，电话提示管理员邮件，传真，电话提示管理员 q启动其它程序来阻止攻击启动其它程序来阻止攻击 qSNMP陷阱陷阱q生成报告生成报告q q 2003 年年1 月月25 日中午日中午12 点，全国各点，全国各ISP 遭到攻击遭到攻击q q 接到接到ISP 的报告

18、的报告q q 分析确认是一种新型的蠕虫攻击分析确认是一种新型的蠕虫攻击q q 公司进入应急响应状态公司进入应急响应状态q q 积极防御实验室会同上海、深圳技术人员约积极防御实验室会同上海、深圳技术人员约30 多人对此蠕虫进多人对此蠕虫进行研究行研究q q 国内第一个抓到该蠕虫的特征，升级入侵检测事件库国内第一个抓到该蠕虫的特征，升级入侵检测事件库q q 马上通知马上通知CNCERT ，在国际出入口进行封堵在国际出入口进行封堵q q 通过信息产业部通知大家进行差杀，并在入侵检测产品上监测通过信息产业部通知大家进行差杀，并在入侵检测产品上监测其事件变化。其事件变化。q q 最后，韩国、美国遭受很大损失，而我国各大最后，韩国、美国遭受很大损失，而我国各大ISP 基本运行正常基本运行正常q 屏幕告警通知屏幕告警通知q 事件日志事件日志q Email通知通知q 手机短信、呼机信息手机短信、呼机信息 q Windows消息消息q SNMP发送发送q 语音报警语音报警 是指那些只向用户提供信息而依靠用户采取是指那些只向用户提供信息而依靠用户采取下一