《网络攻防与协议分析》课件-1.入侵检测系统的基本概念

入侵检测与入侵防御入侵检测系统入侵检测的起源1980年4月，JamesP.Anderson在“计算机安全威胁的监察与监管”（ComputerSecurityThreatMonitoringandSurveillance）报告中，首次提出了入侵检测的思想，这份报告被公认为入侵检测的开山之作。第一次详细阐述了入侵检测的概念计算机系统威胁分类:外部渗透、内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想威胁模型入侵检测的起源1984年到1986年，乔治敦大学的DorothyDenning和SRI/CSL的PeterNeumann研究出了一个实时入侵检测专家系统：IDES-a（IntrusionDetectionExportSystem）1987年，乔治敦大学的DorothyE.Denning在论文《入侵检测模型》（AnIntrusion-DetectionModel）中，首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出。通用的入侵检测系统抽象模型主体（Subjects）对象（Objects）审计记录（Auditrecords）活动档案（Profiles）异常记录（Anomolyrecords）活动规则（Activityrules）入侵检测的起源1988年之后，美国开展对分布式入侵检测系统（DistributedIntrusionDetectionSystem,

DIDS）的研究，将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。1989年，美国加州大学戴维斯分校的L.T.Heberlein等人开发出了N.S.M（NetworkSecurityMonitor），并于1990年发表相关论文。该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的NIDS和基于主机的HIDS1991年，HaroldS.Javitz和AlfonsoValdes发布《TheSRIIDESStatisticalAnomalyDetector》（统计异常检测）1994年，Sandeep.Kumar和EugeneH.Spafford发布《AnApplicationofPatternMatchinginIntrusionDetection》（模式匹配在入侵检测中的应用），误用检测理论。入侵检测的起源从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面。1995年，下一代入侵检测专家系统（NextGenerationIDES,NG-IDES）产生，可以检测多个主机上的入侵。1996年，基于图的入侵检测系统（Graph-basedIntrusionDetectionSystem,GrIDS）出现，主要用于针对大规模协同、自动化检测。1998年，S.Staniford等人提出一个公共入侵检测框架（CommonIntrusionDetectionFramework,CIDF），IDS被分为4个组件：事件产生器、事件分析器、响应单元及事件数据库，CIDF也是构建分布式IDS的基础。2007年，CIDF工作组再次发布了3篇IETFRFC标准草稿，分别为RFC4765入侵检测消息交换格式、RFC4766入侵检测消息交换要求和RFC4767入侵检测交换协议。网关类产品的局限防火墙的局限可以管控访问规则，不能识别流量问题可以控制流量大小，不能对应用层协议进行深度分析下一代防火墙可以防病毒，但因为防病毒的原理导致性能衰减可以对边界的部分攻击进行检测，无法对内网威胁的东西向传播进行检测防火墙核心交换机服务器服务器服务器数据流量A/B/C正常流量A异常流量B攻击流量C入侵检测系统的定义入侵检测系统（IntrusionDetectionSystem，简称“IDS”）是一种对

网络传输

进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。IDSIDS防火墙核心交换机服务器服务器服务器数据流量A/B/C正常流量A异常流量B攻击流量C入侵检测流量监测入侵检测的作用入侵检测可以识别入侵者，识别入侵行为，监视和检测已成功的安全突破，为对抗入侵及时提供重要信息，以阻止事件的发生和事态的扩大，具有如下作用：实时检测网络系统的非法行为，持续地监视、分析网络中所有的数据报文，发现并及时处理所捕获的数据报文；安全审计，通过对入侵检测系统记录的网络事件进行统计分析，发现其中的异常现象，为评估系统的安全状态提供相关证据；不占用被保护系统的任何资源，作为独立的网络设备，可以做到对黑客透明，本身的安全性较高；主机入侵检测系统运行于被保护系统之上，可以直接保护、恢复系统；IDS防火墙内部用户入侵检测受保护系统访问控制特权用户定时扫描系统交换机内部访问特权访问外部访问监测通过防火墙的流量监测内网流量入侵检测分类-数据源基于主机（Host-Based）的入侵检测系统HIDS能够监测系统、事件和操作系统下的安全记录、系统日志。在每个受保护的主机上运行客户端程序，用于实时监测主机系统的信息通信，一旦发现入侵数据，立即交由检测系统主机进行分析。办公PC服务器入侵分析中心网管PC日志代理日志代理过滤分析办公PC日志分析数据的获取方式分为直接检测和间接检测。数据获取的架构一般采用AAFID（AutonomousAgentsforIntrusionDetection）架构，将整个数据获取拆分为数据源（系统调用、端口调用、审计记录、系统日志、应用日志）、代理、过滤器几部分，最终将采集的数据交给分析系统。入侵检测分类-数据源IDS防火墙内部PCNIDS受保护系统访问控制特权PC内部访问特权访问外部访问端口镜像、分光器复制流量网管PC基于网络（Network-Based）的入侵检测系统NIDS使用原始流量数据包作为数据源，利用网络适配器实时监测并分析通过网络的数据流量，其主要工作思想是根据网络协议和通信原理实现数据包的捕获和过滤，进行入侵特征识别和协议分析。监测的内容，以TCP/IP协议族为基础。基于混合数据源的入侵检测系统以多种数据源为检测目标，其采用分布式部署模式，在需要监视的服务器和和网络路径上部署监视模块，监视模块再向管理服务器报告及上传证据。应用层传输层网络层数据链路层物理层TelnetFTPTFTPSNMPHTTPSMTPDNSDHCPTCPUDPICMPIPARP、RARPVLANEthernetPPP、PPPoE``````入侵检测分类-分析方法异常检测（AnomalyDetection):首先总结正常操作应该具有的特征（用户轮廓），试图用定量的方式加以描述，当用户活动与正常行为有重大偏离时即被认为是入侵。漏报率低，误报率高，可一定程度识别0-day攻击。流量监控数据量化规则比较规则修正判定告警流量监控特征提取模式匹配判定告警误用检测（MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。误报低、漏报高，针对已知攻击类型。入侵检测分类-检测方式实时检测系统非实时检测系统实时检测系统又称在线检测系统，通过实时监测并分析网络流量、主机审计记录及各种日志信息发现入侵行为。在数据产生的同时或者发生改变时进行分析，具备反应迅速、及时保护系统的特点，但系统规模较大时，实时性难以得到实际保证。非实时检测系统又称离线检测系统，对一定时间内的数据进行分析，发现入侵行为。常被用于入侵行为发生后，对产生的数据进行分析，通过不断完善规则库、知识库、特征库，以提高入侵检测的准确率。具备成本低，可分析大量事件、分析长期情况等特点，但无法提供及时保护。入侵检测分类-检测结果二分类入侵检测多分类入侵检测二分类入侵检测系统只提供是否发生入侵攻击的结论性判断，不断提供更多可读的、有意义的信息，只输出有无入侵发生，而不报告具体的入侵行为。多分类入侵检测系统能够分辨出当前系统遭受的入侵攻击的具体类型，如果认为是非正常行为，输出的不仅是有无入侵发生，而且会报告具体的入侵类型。入侵检测分类-响应方式主动入侵检测系统被动入侵检测系统主动入侵检测系统检测出入侵行为后，对目标系统中漏洞采取修补、强制可疑用户下线、关闭相关服务等措施。主动响应措施包括：记录事件日志修正系统设计诱骗系统获取入侵信息禁用特定端口或服务隔离入侵IP地址被动入侵检测系统在检测到入侵行为后，只产生报警信息通知管理员，之后由管理员做出响应动作。被动响应只起到为用户提供通知或告警的作用，主要由用户自己决定用什么方式或措施应用这种入侵行为。入侵检测分类-分布方式集中式入侵检测系统分布式入侵检测系统集中式入侵检测系统的各个模块都集中在一台主机上运行，一般将网络中的数据包作为数据源，它按一定规则从网络中获取与攻击安全性相关的数据包，然后调用分析引擎分析，最后输出分析结果。集中式入侵检测适用于简单网络环境，入侵检测精度较差。分布式入侵检测系统各个模块分布在网络中不同计算机上，各模块分别完成数据收集、数据分析、控制输出分析结果的功能。分布式入侵检测系统具备减少主机压力、可扩展性强、解决IDS单点故障的优点。通用入侵检测模型（Denning模型）活动简档异常记录规则集处理引擎主体活动计时器规则设计与更新建立提取规则学习审计记录新活动简档历史简档更新最早的入侵检测模型，Denning于1987年提出，虽然与具体系统和具体输入无关，但是对此后的大部分实用系统都有很大的借鉴价值。层次化入侵检测模型（IDM）攻击特征库网络数据源安全策略库主机数据源攻击信息入侵信息攻击行为分析入侵行为分析检测出已知入侵检测未已知入侵攻击特征提起入侵特征提起安全状态层（SecurityState）威胁层（Threat）上下文层（Context）主体层（Subject）事件层（Event）数据层（Data）层次化入侵检测系统基于Denning模型设计而来，融入异常检测和误用检测两种检测策略。该模型讲入侵检测动态分为攻击检测和入侵检测，利用误用检测策略识别已知攻击（攻击检测），利用异常检测识别未知入侵（入侵检测）。层次化入侵检测模型将入侵检测系统分为6层，从低到高依次为：数据层、事件层、主体层、上下文层、威胁层和安全状态层。管理式入侵检测模型（SNMP-IDSM）主机AIDSA主机BIDSB从IDS事件MIB中进行SNMPGet操作端口扫描事件与用户异常行为事件向脚本MIB实施SNMPSet操作SNMP通知SNMP-IDSM以SNMP为公共语言实现IDS之间的消息交换和协同检测。通用入侵检测框架（CIDF）事件产生器事件分析器响应单元事件数据库通用入侵检测对象通用入侵检测对象通用入侵检测对象通用入侵检测对象通用入侵检测对象响应通用入侵检测框架（CommonIntrusionDetectionFramework,CIDF）定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议，符合CIDF规范的IDS和安全设备可以共享检测信息，进行协同工作。并集成了各种安全设备使之协同工作，是分布式入侵检测的基础。体系结构（TheCommonIntrusionDetectionFrameworkArchitecture,CIDFA），提出了一个标准的IDS的通用模型。规范语言（ACommonIntrusionSpecificationLanguage,CISL），定义了一个用来描述各种检测信息的标准语言。内部通讯（CommunicationintheCommonIntrusionDetectionFramework），定义了IDS组件之间进行通信的标准协议。程序接口（(CommonIntrusionDetectionFrameworkAPIs,CIDFAPIs），提供一整套标准的应用程序接口（API函数）。网络中无防火墙IDS

Sensor过滤HubIDS控制台管理员InternetPC服务器DNSMail黑客网络中考虑安全防护方案时，首先考虑的是在网络入口处安装防火墙进行防护，但个别特殊情况下无法部署防火墙，此时入侵检测系统通常安装在入口交换机/路由器上，监测所有进出网络的数据包并进行相应的保护。网络中有防火墙IDS

Sensor过滤HubIDS控制台管理员Internet黑客管理员DNSMail交换机防火墙路由器PCPCPC服务器DMZ区域内网IDS

Sensor防火墙系统具有防御外部网络攻击的作用，网络中部署防火墙时和入侵检测系统相互配合可以进行更有效安全管理，此时通常将IDS系统部署于防火墙之后，作为防火墙防御之后的二次防御。在某些情况下，还需要考虑外部网络针对防火墙的攻击，此时会在防水墙外部部署入侵检测系统，随着防火墙技术的发展，此种场景已被融入到下一代防火墙NGFW中。网神SecIDS3600入侵检测系统低端中低端中端中高端高端D1500系列D3000系列D5000系列D9000系列D10000系列SecIDS-登录设备在PC机打开浏览器，输入入侵检测系统Web管理口地址：，在弹出的登录对话框中输入用户名和密码（默认用户名：admin，默认密码：!1fw@2soc#3vpn），点击<登录>按钮。SecIDS-配置策略向导用户进入Web管理页面后，在导航栏区域点击“策略”>“配置向导”，进入配置向导页面。SecIDS-配置向导-接口配置在配置向导页面，用户点击<下一步>按钮，配置安全策略名称和开启接口IDS功能。SecIDS-配置向导-地址配置在配置向导页面，用户点击<下一步>按钮，配置安全策略匹配条件“地址区域流”,建议配置全0地址，即对所有地址进行安全检测SecIDS-配置向导-特征库选项在配置向导页面，用户点击<下一步>按钮，配置安全策略使用的模板，建议使用level5模板，该模板包含特征库的全部特征SecIDS-配置向导-日志可视化配置在配置向导页面，用户点击<下一步>按钮，可视这个配置是可选的，用户可以根据自己的情况选择是否配置。如果不配置，直接点击<下一步>按钮。SecIDS-配置向导-配置概览配置完成后，最后点击<确定>按钮，结束配置。入侵检测过程-信息收集信息收集信息分析告警与响应入侵检测的第一步是信息收集，收集的信息包括系统、网络、数据以及用户活动的状态和行为等。信息收集的范围越广，入侵检测系统的检测范围越大。入侵检测很大程度上依赖于所收集信息的可靠性和正确性，这需要保证用来检测网络系统的软件的完整性，软件本身应具有相当强的坚固性，防止因软件篡改而收集到错误信息。信息收集-基于主机数据源系统的运行状态信息系统的记账信息C2级安全审计信息系统日志所有操作系统都提供一些系统命令获取系统的运行情况。这些命令直接检查系统内核的存储区，所以他们能提供相当准确的系统事件的关键信息。记账是获取系统行为信息最古老、普遍的方法。网络设备和主机系统中都使用了记账系统，用于提供系统用户使用共享资源的信息。记账系统的广泛应用使得可以采用它作为入侵检测系统审计数据源。Syslog是操作系统为系统应用提供的一项审计服务，这项服务在系统应用提供的文本形式的信息前面添加应用运行的系统名和时间戳信息，然后进行本地或远程归档处理。但只有少数入侵检测系统采用Syslog守护程序提供的信息。系统的安全审计记录了系统中所有潜在的安全相关事件的信息。UNIX的审计系统中记录了用户启动的所有进程执行的系统调用序列。UNIX的安全记录中包含了大量的关于事件的信息：用于识别用户的详细信息、系统调用执行的参数、系统程序执行的返回值和错误码等。主机数据源信息收集-基于网络数据源简单网络管理协议（SNMP）的管理信息库（MIB）是一个用于网络管理的信息库，其中存储有网络配置信息和设备性能数据网神SecIDS3600系统中的管理对象在SNMP报文中用管理变量描述，SNMP用层次结构命名方案识别对象，层次结构的各节点表示管理对象。SNMP信息网络通信包网络嗅探器是收集网络中发生事件信息的有效方法，常被攻击者用来截取网络数据包，目前多数计算机系统的攻击行为是通过网络进行的。将网络通信包作为入侵检测系统的分析数据源，可解决如下问题：检测只能通过分析网络业务才能检测出的网络攻击，如DDoS。不存在基于主机入侵检测系统在网络环境下遇到的审计记录的格式异构性问题。使用一个单独的机器进行信息采集，这种数据收集、分析工具不影响整个网络的处理性能。通过签名分析报文的头部信息，检测针对主机的攻击。信息收集-其他数据源应用程序日志文件系统应用服务器化的趋势，使得应用程序的日志文件在入侵检测系统的分析数据源中具有重要的地位，与系统审计记录和网络通信包相比，其具有精确性、完整性、性能强等优点。但其也具有如下缺点：只有当系统能够正常应用程序日志文件时，才能检测出攻击行为；无法检测出针对系统软件底层协议的安全问题。其他入侵检测系统的报警信息基于网络、分布式环境的检测系统一般采用分层的结构，由许多局部入侵检测系统进行局部检测，然后由上层检测系统进行汇总，其他局部入侵检测系统的结果也可作为参考，弥补不同检测机制的入侵检测系统的先天不足。其他设备交换机、路由器、网管系统等网络设备都具备较为完善的日志信息，这些信息包含了关于设备的性能、使用统计资料的信息。防火墙、安全扫描系统、访问控制系统等安全产品都能产生其自身的活动日志，这些日志包含安全相关信息，可作为入侵检测系统的信息源。入侵检测过程-信息分析信息收集信息分析告警与响应入侵检测系统从信息源中收集到信息量极大，而这绝大部分是正常信息，少部分信息代表着入侵行为的发生，因此信息分析是