网络安全入侵检测技术

网络安全原理与应用第七章入侵检测技术学习目标入侵检测的概念入侵检测技术入侵检测系统的组成及原理了解入侵检测技术的发展趋势入侵检测工具的使用7.1

入侵检测概述7.1.1概念7.1.2IDS的任务和作用7.1.3入侵检测过程7.1.1

入侵检测概念防火墙的有效过滤和及时阻隔，可以预防相当一部分

黑客攻击和入侵行为，尽管如此，仍然还是有许多突破防火墙的网络入侵行为；比如将病毒文件以压缩、加密、加壳等方式以正常的数据报文形式通过防火墙等；如何及时的将正常网络通信与这些入侵行为分辨出来，消除危及网络安全的隐患，这就提出了网络入侵检测技术；

入侵检测：顾名思义，即是对入侵行为的发觉；入侵检测系统进行入侵检测的软件与硬件的组合称为入侵检测系统（IntrusionDetectionSystem，简称IDS）入侵检测系统被认为是防火墙之后的第二道安全闸门7.1.1

入侵检测概念入侵检测技术与防火墙的不同防火墙是根据事先设定的规则进行被动过滤入侵检测技术是一种主动保护自己免受攻击的网络防御技术。入侵检测技术就是通过从计算机网络或计算机系统的关键点收集信息，然后对这些信息进行分析，从中发现网络或系统中的违反安全策略的行为和被攻击的迹象；违反安全策略的行为有：入侵──非法用户的违规行为，滥用──用户的违规行为。典型的入侵检测部署方案如图所示

入侵检测系统（IDS）部署方案图7.1

一种典型的入侵检测系统（IDS）部署方案7.1.2.IDS的任务和作用入侵检测系统（IDS）是在不影响网络性能的情况下

对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。这些是通过它执行以下任务来实现：监视、分析用户及系统活动；对系统构造和弱点的审计；识别和反应已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，识别用户违反安全策略的行为。7.1.2.IDS的任务和作用入侵检测系统的作用

监控网络和系统

发现入侵企图或异常现象

实时报警

主动响应

审计跟踪

形象地说：⑴它是一台网络摄像机，能够捕获并记录网络上的所有数据；⑵它是一台智能摄像机，能够分析网络数据并提炼出可疑的、

异常的网络数据；⑶它还是一台X光摄像机，能够穿透一些巧妙的伪装，抓住实际

的内容。7.1.2.IDS的任务和作用

我们做一个形象的比喻：假如防火墙是一幢大楼的门卫，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。1．精确地判断入侵事件安装在服务器上的IDS有一个完整的黑客攻击信息库，其中

存放着各种黑客攻击行为的特征数据。每当用户对服务器上的数据进行操作时，IDS就将用户的操

作与信息库中的数据进行匹配，一旦发现吻合，就认为此项

操作为黑客攻击行为。由于信息库的内容会不断升级，因此可以保证新的黑客攻击

方法也能被及时发现。

IDS的攻击识别率可以达到非常高。IDS的作用及其特性2．判断应用层的入侵事件与防火墙不同，IDS是通过分析数据包的内容来识别黑客入侵行为的。因此，IDS可以判断出应用层的入侵事件。这样就极大的提高了判别黑客攻击行为的准确程度。3．对入侵立即进行反应

IDS以进程的方式运行在服务器上，为系统提供实时的黑客

攻击检测保护。一旦发现黑客攻击行为，IDS可以立即做出响应。响应的方

法有多种形式：报警、必要时关闭服务直至切断链路，同时，IDS会对攻击的过程进行详细记录，为以后的调查工

作提供线索。4．全方位地监控与保护防火墙只能隔离来自本网段以外的攻击行为，而IDS可监控所有针对服务器的操作，因此它可以识别来自本网段内、其他网段以及外部网络的全部攻击行为。5．不同系统中进行针对性的检验网络上运行着各种应用程序，服务器的操作系统平台也是多种多样。IDS根据系统平台的不同进行有针对性的检验，从而提高了工作效率，同时也提高了检测的准确性。7.1.3

入侵检测过程入侵检测的工作过程分为三部分：信息收集信息分析结果处理信息收集入侵检测的第一步是信息收集：收集内容包括：

(1)系统和网络日志文件

(2)目录和文件中的不期望的改变

(3)程序执行中的不期望行为

(4)物理形式的入侵信息由放置在不同网段的传感器中的探测引擎来收集信息。7.1.3

入侵检测过程2.信息分析收集到的有关系统、网络数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：(1)

模式匹配(2)统计分析(3)完整性分析下面对每一种技术进行介绍：

7.1.3入侵检测过程(1)模式匹配的方法：建立描述各种黑客攻击行为特征的数据库比如，把某种攻击行为表示为一个字符串，用数学表达式来表示安全状态。模式匹配就是将收集到的信息与已知的信息库中的数据进行匹配，一旦发现吻合，就认为此项操作为违背安全策略的行为。优点与弱点：优点是：只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟，检测准确率和效率都相当高。弱点是：需要不断的升级模式库以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。7.1.3入侵检测过程(2)统计分析的方法：首先，当系统对象（如用户、文件、目录和设备等）在正常使用时，对其一些属性（如对某种服务的访问次数、某个用户每天的网络流量、访问某个文件的速度等）进行测量、统计。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例如，统计分析时发现一个在晚八点至早六点从不登录的账户却在凌晨两点突然试图登录，系统认为该行为是异常行为。优点与弱点优点是：可检测到未知的入侵和更为复杂的入侵；弱点是：误报、漏报率高，且不适应用户正常行为的突然改变。7.1.3入侵检测过程(3)完整性分析的方法：完整性分析利用加密机制（如：消息摘要函数），去识别某个文件或对象是否被更改（包括文件和目录的内容及属性的变化）。它够识别即使是微小的变化。在发现被特洛伊化的应用程序方面特别有效。优点与弱点优点是：只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。弱点是：一般以批处理方式实现，不用于实时响应。可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查3．结果处理控制台按照告警，产生预先定义的响应，采取相应措施。可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。7.1.3入侵检测过程7.2入侵检测系统7.2.1入侵检测系统的分类7.2.2基于主机的入侵检测系统7.2.3基于网络的入侵检测系统7.2.4混合入侵检测7.2.1入侵检测系统的分类1.按照入侵检测系统的数据来源划分（1）基于主机的入侵检测系统（2）基于网络的入侵检测系统（3）采用上述两种数据来源的分布式的入侵检测系统2．按照入侵检测系统采用的检测方法来分类（1）基于行为的入侵检测系统：（2）基于模型推理的入侵检测系统：（3）采用两者混合检测的入侵检测系统：3．按照入侵检测的时间的分类（1）实时入侵检测系统：（2）事后入侵检测系统：

3．按照入侵检测的时间的分类

根据入侵检测时间的不同，分为实时入侵检测和事后入侵检测。实时入侵检测

实时入侵检测是根据审计数据库中提出的历史行为模型，用模式匹配或异常检测等方式，对当前的网络行为进行匹配和判断，如果发现有入侵行为就立即断开与入侵者的网络连接，并记录入侵行为，及时通知系统管理员。事后入侵检测

事后入侵检测不对用户当前的网络行为进行实时的检测，而是对一段时间内已经完成的网络行为历史记录进行审计，发现有入侵行为后及时告警。因而其入侵防御能力没有实时入侵检测强。入侵检测系统基本结构基本结构主要由3部分构成：探测部分分析部分响应部分。探测部分相当于一个传感器，它的数据源是操作系统产生的审计文件或者是直接来自网络的网络流量。分析部分利用探测部分提供的信息，探测攻击。探测攻击时，使用的探测模型是异常探测和攻击探测。响应部分采取相应的措施对攻击源进行处理，这里通常使用的技术是防火墙技术。7.2.2基于主机的入侵检测系统（1）基于主机的入侵检测系统

运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。

安装于被保护的主机中

主要分析主机内部活动

占用一定的系统资源7.2.2基于主机的入侵检测系统

基于主机的入侵检测系统有如下优点

确定攻击是否成功；

监控主机上特定用户活动、系统运行情况；

能够检查到基于网络的系统检查不出的攻击；适用被加密的和交换的环境；

不要求额外的硬件设备。7.2.2基于主机的入侵检测系统

（2）主机入侵检测系统的弱点HIDS安装在需要保护的设备上，会降低应用系统的效率；HIDS依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必需重新配置；若入侵者设法逃避审计，则HIDS的就无能为力了。全面部署HIDS代价较大企业很难将所有主机用HIDS保护，只能选择部分主机保护。HIDS除了监测自身的主机以外，根本不监测网络上的情况。7.2.3基于网络的入侵检测系统

网络IDS：网络IDS是网络上的一个监听设备(或一个专用主机)，通过监听网络上的所有报文，根据协议进行分析，报告网络中的非法使用者信息。NIDS放置在比较重要的网段内，以网络包作为分析数据源。利用工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。网卡的三种模式：广播模式、直接模式、混杂模式它的分析模块通常使用模式匹配、统计分析等技术，分析网

段中所有的数据包，来识别攻击行为。NIDS由遍及网络的传感器（sensor）组成，传感器是一台将

以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。

7.2.3基于网络的入侵检测系统图7-1网络IDS工作模型基于网络的入侵检测模型示意图图9-12基于网络的入侵检测模型示意图7.2.3基于网络的入侵检测系统网络IDS优势

实时分析网络数据，检测网络系统的非法行为；网络IDS系统单独架设，不占用其它计算机系统的任何资源；网络IDS系统是一个独立的网络设备，可以做到对黑客透明，

因此其本身的安全性高；通过与防火墙的联动，不但可以对攻击预警，还可以更有效

地阻止非法入侵和破坏。网络入侵检测系统只检查它直接连接网段的通信，

不能检测在不同网段的网络包。会出现监测范围的局限。安装多台网络入侵检测系统的传感器（网卡）会使部

署整个系统的成本大大增加。网络入侵检测系统可以检测出普通的一些攻击，而很难实现

一些复杂的需要大量计算与分析时间的攻击检测。网络入侵检测系统处理加密的会话过程较困难，目前通过加密通道的攻击尚不多，但随着IPv6的普及，这个问题会越来越突出。网络IDS弱点7.2.4分布式入侵检测技术随着网络系统结构复杂化和大型化，系统的弱点或漏洞

将趋于分布化。同时，入侵行为不再是单一的行为，而是表现出相互协作的入侵，比如DDoS，在这种背景下，产生了基于分布式的入侵检测系统。分布式入侵检测系统采用了单控制台、多检测器的方式对大规模网络的主干网信道进行入侵检测和安全监测，具有良好的可扩展性和灵活的可配置性。入侵检测器广泛分布在计算机网络的各个不同的网段中，进行数据采集与入侵检测，将经过预处理的数据汇总到控制中心，控制中心将把各个区域检测器传来的分散数据融合在一起，进行全面的威胁评测，判断是否需要发出预警，对入侵行为进行响应。

图6-4DDoS攻击体系

7.2.4分布式入侵检测技术分布式入侵检测系统的拓扑图

基于主体的分布式系统的IDS结构

7.2.4分布式入侵检测技术7.2.4分布式入侵检测技术

基于主体的分布式系统的IDS结构

原始网络层：传送与接收数据链路层的数据包。网络原语层：从网络接口层接收原始数据，并把它们封装成主体可以处理的格式。主体：接收网络原语层的处理过的数据，监控网络的信息流。训练模块：在管理员的指导下，对主体进行训练。网络管理员给出不同的网络信息流的形式，入侵状态下的与正常状态下，让主体学习，主体经过一段学习训练后，就可以在网络信息流中检测异常的活动。7.2.4分布式入侵检测技术基于主体的分布式IDS结构基本原理：主体各有分工、协同工作。每个主体监控网络信息流中的一个方面，多个主体协同工作。比如，一个主体监控UDP包，另一个主体监控这些的目的端口，第三个主体监控这些包的来源。一个包发现疑点，相互通报，引起其它主体关注。最后，若可疑级别达到设定阀值时，则报警。7.3

入侵防御系统（IPS）7.3.1IPS概述

2003年2月，专家Gartner在发布的一个研究报告中称：

GartnerIDS不能给网络带来附加的安全，反而会增加管理

员的困扰。建议用户使用入侵防御系统：

（IntrusionPreventionSystem，IPS）来代替IDS。

IDS能帮助人们确切了解问题所在，然而绝大多数IDS只能

在攻击发生时被动发出警报。7.3入侵防御系统（IPS）入侵防护系统(IPS)则倾向于提供主动防护：其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络中实现这一功能的：即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。

IDS是一种并联在网络上的设备：它只能被动地检测网络遭到了何种攻击，它的阻断攻击能力非常有限，一般只能通过发送TCP重置包或联动防火墙来阻止攻击。

IPS则是一种串联在网络上的设备：一种主动的、积极的入侵防范、阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。

IDS与IPS接入方式比较图10-4IDS与IPS接入方式比较举一个简单的例子来说明，

IDS就如同火灾预警装置，火灾发生时，它会自动报警，但无

法阻止火灾的蔓延，必须要有人来操作进行灭火。而IPS就像智能灭火装置，当它发现有火灾发生后，会主动

采取措施灭火，中间不需要人的干预。使用IPS后，网络管理员只需少数的几次配置，也许就可以放

76心地隔岸观火，由IPS系统来对付来自各处的攻击了。

IPS实现实时检查和阻止入侵的原理在于IPS拥有

数目众多的过滤器，能够防止各种攻击。当新的攻击手段被

发现之后，IPS就会创建一个新的过滤器。

IPS数据包处理引擎是专业化定制的集成电路，可以深层检

查数据包的内容。如果攻击者利用介质访问控制对应用的

漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以

阻止。传统的防火墙的包过滤技术不会针对每一字节进行检查，因

而也就无法发现攻击活动，而IPS可以做到逐一字节地检查

数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。7.3.2IPS的工作原理与IDS的基于异常行为库匹配检测方法相反的是，

IPS是对基于正常行为的匹配检测，即系统设立正常行为库，

符合正常行为的访问才允许进入，而不符合的则拒绝，从其

原理中可看出，IPS将能防御住未知的攻击。同时，从其在网

络中的部署来看，它不同于IDS的旁路连接，而是在线连接

的，因此，对设备的性能要求非常高。IPS分成基于主机的IPS（HIPS）和基于网络的IPS（NIPS）：前者预防黑客对关键资产，如对关键服务器、数据库的攻击；后者预防对关键网段的攻击。7.4黑客攻击案例—网络入侵的典型过程

黑客攻击/入侵一般都是通过：用扫描等方法寻找有漏洞或端口可非法登陆的目标主机，确定目标并收集有关信息；然后是获取目标系统的一般权限；再想法获取特权权限；之后隐藏自己的行踪；进行攻击等破坏活动；最后在目标系统中开辟后门，方便以后非法入侵。7.4黑客攻击案例—网络入侵的典型过程（1）收集相关信息，确定攻击目标发起攻击之前，黑客一般先要确定攻击目标并收集目标系统的相关信息。主要包括以下内容：

1)系统的一般信息:

如软硬件平台、系统用户、网络拓扑图等。

2)系统及服务的管理、配置情况:

如，是否禁止Root远程登录、SMTP是否支持Decode别名等。

3)系统口令的安全性:

如，系统是否弱口令、用户默认口令是否改动等。

4)系统提供的服务乃至系统整体的安全性能状况7.4黑客攻击案例—网络入侵的典型过程

（2）获取目标系统的一般权限主要包括获取对目标系统的访问权利、读写文件、运行程序等权限。如果在第一步过程中获得的是系统管理员的口令，则黑客就获得了目标系统的管理员访问权限；如果黑客在第一步获得的是一般用户的口令，则还要通过已经掌握的信息，并结合其他攻击手段获取更高级别的访问权限。外，黑客还可以通过目标系统的UUCP（UnixtoUnixCopyProtocol）以及一些远程网络服务如WWW服务、匿名FTP服务、TFTP服务等中的安全漏洞获取系统的访问权。7.4黑客攻击案例—网络入侵的典型过程（3）获取目标系统的管理权限

攻击者要达到攻击目的，通常还要获取更多的权限，如系统账户管理等权限。通常通过以下几种途径获得：获得系统管理员的口令。利用第二步获取的访问权限和系统上的安全漏洞，如错误的文件访问权、错误的系统配置、某些SUID程序中存在的缓冲区溢出问题等。让系统管理员运行一些特洛伊木马程序，如经过篡改的Login程序等。

7.4黑客攻击案例—网络入侵的典型过程

（4）隐藏自己在目标系统中的行踪在有效进入目标系统后，黑客还要做的事就是及时隐藏自己的行踪。主要包括隐藏连接（如修改Logname的环境变量、Utmp日志文件或者假冒其他用户等）、隐藏进程、篡改系统日志中的审计信息、更改系统时间使系统管理员无法准确查入侵记录等。7.4黑客攻击案例—网络入侵的典型过程（5）对目标系统或其他系统发起攻击由于黑客的目的不尽相同。因此，可能是只为了破坏目标系统的数据完整性，也可能是为了获得整个系统的控制权等。因此，黑客可能发起如广播风暴攻击、拒绝服务攻击等；也可能以当前目标系统为跳板，继续向其他系统发起攻击，如分布式拒绝服务攻击（DDoS）等。7.4黑客攻击案例—网络入侵的典型过程（6）在目标系统中留下下次入侵的后门黑客为了方便以后的非法入侵和攻击，一般都会给自己设计一些后门。常见的方法有：

1放宽文件访问权限。

2重新开放不安全的服务，如NFS、NIS、TFTP等服务。

3修改系统配置，如系统启动文件、网络服务配置文件等。

4替换系统本身的共享文件库。

5安扎各种特洛伊木马。

6修改系统的源代码。在黑客攻击过程中，攻击者可能会用到上面的所有步骤，也可能将几个步骤整合在一起进行，以更好的达到攻击的目的。7.5Snort——一种轻量级入侵检测工具7.5.1Snort简介Snort是一个优秀的轻量级入侵检测工具，由MartinRoesch开发。该工具能实时分析数据流量和日志IP网络数据包，能够进行协议分析。通过对内容的匹配搜索，检测不同的攻击行为，并实时报警。snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测模式。其中网络入侵检测模式是该软件的最大亮点。用户可以根据实际需求来自行配置安全选项。运行Snort需要Libpcap的支持，用户可以在

/先下载安装Libpcap，然下载Snort

安装文件。7.5Snort——一种轻量级入侵检测工具基于Snort规则的入侵检测典型案例：木马攻击规则：alertUDP$INTERNAL33166->$EXTERNALany(msg:“IDS189/Trojan-active-back-orifice”;)表示当有人向主机UDP端口33166连线送入资料时，向管理员发出特洛伊木马BackOrifice在活动的警报。DDoS攻击规则：alerttcp$EXTERNAL_NETany->$HOMENET13768(msg:“DDOSmstreamclienttohandler”;content:“<”;flags:A+;referenc:cve,CAN-2000-0138;classtype:attempted-dos;sid:247;rev:1;)

表示在目的端口号为13768的TCP连接中，数据包含字符串“<”时，向管理员发出警报。Ping攻击规则：alerticmp＄EXTERNALNETany->＄HOMENETany(msg:“ICMPwebtrendsscanner”;content:“|36363636989898989898989898989898|”;itype:8;icode:0;reference:arachnids,307;classtype:attempted-recon;sid:476;rev:1；)表示在ICMP的ping报文中的数据含有字符串“36363636989898989898989898989898”时，向管理员发出警报。7.6入侵检测工具介绍7.6.1ISSBlackICE

BlackICEServerProtection软件（简称BlackICE）是由ISS安全公司出品的一款著名的基于主机的入侵检测系统。该软件在九九年曾获得了PCMagazine的技术卓越大奖。专家对它的评语是：“对于没有防火墙的家庭用户来说，BlackICE是一道不可缺少的防线；而对于企业网络，它又增加了一层保护措施--它并不是要取代防火墙，而是阻止企图穿过防火墙的入侵者。BlackICE集成有非常强大的检测和分析引擎，可以识别多种入侵技术，给予用户全面的网络检测以及系统的保护。而且该软件还具有灵敏度及准确率高，稳定性出色，系统资源占用率极少的特点。RealSecure2.0forWindowsNT是一种领导市场的攻击检测方案，它提供了分布式的安全体系结构。多个检测引擎可以监控不同的网络并向中央管理控制台报告。控制台与引擎之间的通信可以通过128bitRSA进行认证和加密。RealSecure可以在NT、Solaris、SunOS和Linux上运行，并可以在混合的操作系统或匹配的操作系统环境下使用。对于一个小型的系统，可以将引擎和控制台放在同一台机器上运行。一个引擎可以向多个控制台报告，一个控制台也可以管理多个引擎。还可以对CheckPointSoftware的Firewall-1重新进行配置。ISS还计划使其能对Cisco的路由器进行重新配置。RelSecure的优势在于其简洁性和低价格，引擎价格1万美元，控制台是免费的。7.3.2ISSRealSecure7.6.1I

SSBlackICEBlackICEServerProtection软件（以下简称BlackICE）是由ISS安全公司出品的一款著名的基于主机的入侵检测系统。该软件在九九年曾获得了PCMagazine的技术卓越大奖。BlackICE集成有非常强大的检测和分析引擎，可以识别多种