计算机系统安全第十一章入侵检测系统

计算机系统安全

第十一章

入侵检测系统

、什么是入侵检测

—1、入侵检测的概念

入侵检测的内容：试图闯入、成功闯入、冒充

其他用户、违反安全策略、合法用户的泄漏、

独占资源以及恶意使用。

入侵检测(IntrusionDetection)：通过从计算

机网络或计算机系统的关键点收集信息并进行

分析，从中发现网络或系统中是否有违反安全

策略的行为和被攻击的迹象。

入侵检测系统(IDS)：入侵检测的软件与硬

件的组合，是防火墙的合理补充，是防火墙之

后的第二道安全闸门。

、什么是入侵检测

1、入侵检测的概念：模型

Demiying的通用入侵检测模型。模型缺点是它没有包含已知

系统漏洞或攻击方法的知识

、什么是入侵检测

1、入侵检测的概念：任务

监视、分析用户及系统活动，查找非法用户和合法

用户的越权操作；

•系统构造和弱点的审计，并提示管理员修补漏洞；

•识别反映已知进攻的活动模式并报警，能够实时对

检测到的入侵行为进行反应；

•异常行为模式的统计分析，发现入侵行为的规律；

•评估重要系统和数据文件的完整性；

•操作系统的审计跟踪管理，并识别用户违反安全策

略的行为。

、什么是入侵检测

—1、入侵检测的概念

传统安全防范技术的不足

传统的操作系统加固技术和防火墙隔离技术

等都是静态安全防御技术，对网络环境下日

新月异的攻击手段缺乏主动的反应。

入侵检测技术通过对入侵行为的过程与特征

的研究使安全系统对入侵事件和入侵过程能

做出实时响应。

、什么是入侵检测

2、入侵检测的分类

根据所采用的技术可以分为：

1）异常检测：异常检测的假设是入侵者活动

异常于正常主体的活动，建立正常活动的

“活动简档”，当前主体的活动违反其统计

规律时，认为可能是“入侵”行为。

2）特征检测：特征检测假设入侵者活动可以

用一种模式来表示，系统的目标是检测主体

活动是否符合这些模式。

、什么是入侵检测

2、入侵检测的分类

根据所监测的对象来分：

1）基于主机的入侵检测系统（HIDS）：通过监视

与分析主机的审计记录检测入侵。能否及时采集到

审计是这些系统的弱点之一，入侵者会将主机审计

子系统作为攻击目标以避开入侵检测系统。

2）基于网络的入侵检测系统（NIDS）：通过在共

享网段上对通信数据的侦听采集数据，分析可疑现

象。这类系统不需要主机提供严格的审计，对主机

资源消耗少，并可以提供对网络通用的保护而无需

顾及异构主机的不同架构。

、什么是入侵检测

2、入侵检测的分类

根据系统的工作方式分为：

1）离线检测系统：离线检测系统是非实时工作的

系统，它在事后分析审计事件，从中检查入侵活动。

2）在线检测系统：在线检测系统是实时联机的检

测系统，它包含对实时网络数据包分析，实时主机

审计分析。其工作过程是实时入侵检测在网络连接

过程中进行，系统根据用户的历史行为模型、存储

在计算机中的专家知识以及神经网络模型对用户当

前的操作进行判断，一旦发现入侵迹象立即断开入

侵者与主机的连接，并收集证据和实施数据恢复・

、什么是入侵检测

3、信息收集

第一步是信息收集，包括系统、网络、数据及用户活

动的状态利行为。需要在系统中的不同关键点（网段

和主机）收集信息，这样做的理由就是从一个来源的

信息有可能看不出疑点，但从几个源来的信息的不一

致性却是可疑行为或入侵的最好标识。

L系统和网络日志文件

2.目录和文件中的不期望的改变

3.程序执行中的不期望行为

4.物理形式的入侵信息

、什么是入侵检测

4、信号分析

对收集到的上述四类信息，通过三种技术手

段进行分析：

模式匹配：用于实时的入侵检测

统计分析：用于实时的入侵检测

完整性分析：用于事后分析。

一、什么是入侵检测

4、信号分析

L模式匹配

模式匹配就是将收集到的信息与已知的网络入侵

和系统误用模式数据库进行比较，从而发现违背安

全策略的行为。

优点：只需收集相关的数据集合，显著减少系统负

担，且技术已相当成熟。它与病毒防火墙采用的方

法一样，检测准确率和效率都相当高。

缺点：需要不断的升级以对付不断出现的黑客攻击

手法，不能检测到从未出现过的黑客攻击手段。

、什么是入侵检测

4、信号分析

2.统计分析

对系统对象（如用户、文件、目录和设备等）创建一

个统计描述，统计正常使用时的一些测量属性（如访

问次数、操作失败次数和延时等）。测量属性的平均

值与网络、系统的行为进行比较，任何观察值在正常

值范围之外时，就认为有入侵发生。例如，某帐户突

然在凌晨两点试图登录。

优点：可检测到未知的入侵和更为复杂的入侵

缺点：误报、漏报率高，不适应用户正常行为的突然

改变。统计分析方法如基于专家系统的、基于模型推

理的和基于神经网络的分析方法。

、什么是入侵检测

3.完整性分析：利用消息摘要Hash函数计算

完整性分析关注某个文件或对象是否被更改,

包括文件和目录的内容及属性，它在发现被木

马、病毒更改的应用程序方面特别有效。检查

系统保存有每个文件的数字摘要数据库，通过

重新计算文件的数字文摘并与数据库中的值相

比较来判断文件是否被修改。

优点：攻克文件完整性检查系统，无论是时间

上还是空间上都是不可能的。

配置灵活，可以有选择地监测重要文件。

二、入侵检测产品分析

文件完整性检查的弱点:

一般以批处理方式实现，不用于实时响应。

该方法作为网络安全的必要补充，定期运行。

文件完整性检查系统依赖于本地的文摘数据

库。这些数据可能被入侵者修改。防范对策:

将摘要数据库放在只读介质上。

文件完整性检查非常耗时。

系统正常的升级会带来大量的文件更新。例

如，WindowsNT系统中升级MS-Outlook将会

带来1800多个文件变化。

二、入侵检测产品分析

―1、基于网络的入侵检测

基于网络的入侵检测系统使用原始网络包作为数据源。

通常采用四种技术来识别攻击标志：

模式、表达式或字节匹配

频率或穿越阈值

低级事件的相关性

统计学意义上的非常规现象检测

一旦检测到了攻击行为，IDS的响应模块提供多种选项

以通知、报警并对攻击采取相应的反应。通常都包括

通知管理员、中断连接，收集证据。

二、入侵检测产品分析

1、基于网络的入侵检测

优点：

1）成本低：可在几个关键访问点上进行配置，不要

求在各主机上装载并管理软件。

2）通过检测数据包的头部可发现基于主机的IDS所漏

掉的攻击（如：DOS、碎片包Teardrop攻击）。基

于主机的IDS无法查看包的头部。

3.攻击者不易销毁证据：可实时记录攻击者的有关信

息（不仅包括攻击的方法，还包括可识别黑客身份

和对其进行起诉的信息）。黑客一旦入侵到主机内

部都会修改审记记录，抹掉作案痕迹。

二、入侵检测产品分析

1、基于网络的入侵检测

4.实时检测和响应：

可以在攻击发生的同时将其检测出来，并做出更快的响

应。例如，对拒绝服务攻击发出TCP复位信号，在该攻

击对目标主机造成破坏前将其中断。而基于主机的系统

只有在可疑的登录信息被记录下来以后才能识别攻击并

做出反应。而这时关键系统可能早就遭到了破坏。

5.能检测未成功的攻击和不良意图。基于主机的系统无

法查到未遂的攻击，而这些丢失的信息对于评估和优化

安全策略至关重要。

6.操作系统无关性

二、入侵检测产品分析

1、基于网络的入侵检测

网络入侵检测系统的弱点：

A只检查它直接连接网段的通信；

»为了不影响性能，通常采用简单的特征检

测算法，难以实现复杂计算与分析；

»会将大量的数据传给检测分析系统；

A难以处理加密会话。目前通过加密通道的

攻击尚不多，但这个问题会越来越突出。

二、入侵检测产品分析

2、基于主机的入侵检测

通常是安装在被重点检测的主机之上，主要是对该主

机的网络实时连接以及系统审计日志进行智能分析和

判断。如果其中主体活动十分可疑（特征或违反统计

规律），入侵检测系统就会采取相应措施。

优点：

1.比基于网络的IDS更加准确地判断攻击是否成功。

2.监视特定的系统活动：监视用户和访问文件的活

动，包括文件访问、改变文件权限；记录帐户或文件

的变更，发现并中止改写重要系统文件或者安装特洛

伊木马的企图。

二、入侵检测产品分析

2、基于主机的入侵检测

3.检测被基于网络IDS漏掉的、不经过网络的攻击。

4.可用于加密的和交换的环境。

交换设备可将大型网络分成许多的小型网络部件加以

管理，所以很难确定配置基于网络的IDS的最佳位置。

基于主机的入侵检测系统可安装在所需的重要主机上,

在交换的环境中具有更高的能见度。

由于加密方式位于协议堆栈内，所以基于网络的IDS

可能对某些攻击没有反应，基于主机的IDS没有这方

面的限制，因为这时数据流已经被解密了。

二、入侵检测产品分析

2、基于主机的入侵检测

5.接近实时的检测和响应

目前，基于主机的显著减少了从攻击验证到作出响应

的时间延迟，大多数情况下，系统能在遭到破坏之前

发现并阻止入侵者攻击。

6.不要求维护及管理额外硬件设备。

7.记录花费更加低廉：尽管很容易就能使基于网络

的IDS提供广泛覆盖，但其价格通常是昂贵的。配置

一个简单的入侵监测系统要花费$10,000以上，而基于

主机的入侵检测系统对于单独一代理标价仅几百美元,

并且客户只需很少的费用用于最初的安装。

二、入侵检测产品分析

基于主机的入侵检测系统的弱点：

1、会降低应用系统的效率。止匕外，安装了主机

入侵检测系统后，扩大了安全管理员访问权限。

2、依赖于服务器固有的日志与监视能力。如果

服务器没有配置日志功能，则必需重新配置。

3、全面布署，代价较大。若部分安装，则存在

保护盲点。

4、无法监测网络上的情况。对入侵行为的分析

的工作量将随着主机数目增加而增加。

二、入侵检测产品分析

3、混合入侵检测

基于网络的和基于主机的IDS对攻击的反应方

式有：告警、存贮和主动响应。

单纯使用一类产品的防御体系是不完整的，

两类产品结合起来部署，可以优势互补。既

可发现网络中的攻击信息，也可从系统日志

中发现异常情况。

三、入侵检测技术分析

~1、技术分类

入侵检测技术分为两种：特征检测、异常检测。

多数IDS以特征检测为主，异常检测为辅。

1）特征检测（误用检测、模式发现）

假设入侵者活动可以用某种模式来表示，系统

的目标是检测主体活动是否与这些模式匹配。

关键：入侵模式描述，区分入侵与正常行为。

优点：误报少。

局限：不能发现未知的攻击。

三、入侵检测技术分析

—1、技术分类

2）异常检测（异常发现）

按照统计规律，建立主体正常活动的“简档”，

若当前主体活动偏离“简档”相比较，则认为

该活动可能是“入侵”行为。例：流量统计分

析，将异常时间的异常网络流量视为可疑。

难点：建立“简档”；统计算法；异常阈值选

择。

避免对入侵的误判或漏判。

局限性：“入侵”与“异常”并非一一对应。

三、入侵检测技术分析

2、常用检测方法

IDS常用的检测方法：

特征检测、统计检测与专家系统。

据公安部计算机信息系统安全产品质量监督

检验中心的报告，国内送检的入侵检测产品

中95%是属于使用入侵模板进行模式匹配的

特征检测产品，其他5%是采用概率统计的统

计检测产品与基于日志的专家知识库系产品。

三、入侵检测技术分析

2、常用检测方法

1）特征检测：对攻击方式作出确定性的描

述分事件模式。当被审计的事件与已知的入

侵事件模式相匹配时报警。目前常用的是数

据包特征模式匹配。准确率高，对付已知攻

2）统计检测：常用于异常检测。测量参数

包括：审计事件的数量、间隔时间、资源消

耗情况等。常用的统计模型有：

三、入侵检测技术分析

2、常用检测方法

操作模型：测量结果与一些固定指标（经验

值，统计值）相比较，例：在短时间内的多

次登录失败，可能是口令尝试攻击；

概率模型：计算参数的方差，设定其置信区

间，当测量值超过置信区间的范围时表明有

可能是异常；或者当概率很低的事件发生时，

可能发生入侵。

用户历史行为：当用户改变他们的行为习惯

时，这种异常就会被检测出来。

三、入侵检测技术分析

2、常用检测方法

3）专豕系统：

根据专家对可疑行为的经验形成一套推理规

则。专家系统的建立依赖于知识库的完备性,

知识库的完备性又取决于审计记录的完备性

与实时性。入侵的特征抽取与表达，是入侵

检测专家系统的关键。在系统实现中，将有

关入侵的知识转化为if-then结构（也可以是

复合结构），条件部分为入侵特征，then部

分是系统防范措施。

三、入侵检测技术分析

36侵的发展趋势

多样化与复杂化：采用多种手段，提高成功率。

隐蔽化：掩盖攻击者身份和目的。

欺骗性：间接攻击；IP地址欺骗

攻击规模扩大：电子战与信息战。

攻击的分布化：DDoS在很短时间内造成被攻击

主机的瘫痪，且在攻击的初期不易被发觉。

攻击对象转移：网络3网络防护系统。

三、入侵检测技术分析

=4、入侵检测技术发展方向

■分布式入侵检测：两层含义

1）针对分布式网络攻击的检测方法

2）使用分布式的方法来检测分布式的攻击，

关键技术为检测信息的协同处理

解决异构系统及大规模网络的入侵检测，发

展分布式入侵检测技术与通用入侵检测架构。

■智能化入侵检测：

三、入侵检测技术分析

神经网络、遗传算法、模糊技术、免疫原理等

方法，用于入侵特征的辨识。

利用专家系统，具有自学习能力，实现知识库

的不断更新与扩展。

应用智能体(Agent)技术进行入侵检测。应该将

常规高效的IDS与智能检测模块结合使用。

应用层入侵检测：许多入侵的语义只有在应用

层才能理解。使IDS不仅能检测Web类的通用协

议，还能处理如LotusNotes＞数据库系统等其

他的应用系统。

四、入侵检测产品

—IT入侵检测的评估

1）能保证自身的安全。

2）系统运行与维护的开销小。

3）误报率和漏报率要低。

4）支持多种网络，对网络性能影响小。

5）能检测的入侵特征数量。

6）是否支持IP碎片重组、TCP流重组。TCP流重

组是网络IDS分析应用层协议的基础。如检查邮

件内容、附件，FTP数据，非法HTTP请求等。

四、入侵检测产品

2、入侵检测的产品

ACisco公司的NetRanger

传感器(sensor)：采集数据(网络包、日志)，

分析数据，发出报警信息等。

控制台(console)：图形化界面，中央管理机

构。接收报警，启动对策。

ANetworkAssociates公司的CyberCop

>InternetSecuritySystem公司的RealSecure

四、入侵检测产品

3、入侵检测产品选择要点

1.系统的价格

2.特征库升级与维护的费用

3.网络IDS的最大可处理流量（包/秒PPS）

4.漏报率、误报率

5.产品的可伸缩性：系统支持的传感器数目、

入侵特征库大小、传感器与控制台之间通信

带宽，