网络安全理论与技术 课件 第4章 入侵检测系统

第四章入侵检测系统第四章入侵检测系统4.3入侵检测系统的分类及评价指标4.2入侵检测系统架构4.1入侵检测系统概述4.6入侵检测系统的发展方向4.4网络入侵检测系统4.5主机入侵检测系统4.7IDS与IPS的区别和联系（一）IDS的定义与功能定义：入侵检测系统（IDS）的功能是发现并反制针对网络或主机的入侵行为。主要功能：捕获信息、检测入侵、反制入侵。与防火墙的区别：防火墙控制信息传输，IDS检测异常信息。4.1入侵检测系统概述（二）

入侵的定义与手段入侵的定义：破坏网络可用性、保密性和完整性的行为。入侵的常见手段：恶意代码（病毒、后门）非法访问（漏洞利用、账号破解）拒绝服务攻击（SYN泛洪、僵尸网络）4.1入侵检测系统概述（三）IDS产生的背景现有网络安全技术的局限性：无法防御XSS攻击、蠕虫病毒、垃圾邮件等。IDS的功能需求：获取信息流、检测攻击、综合分析、记录入侵、追踪入侵源。（一）IDS的通用框架结构由事件发生器、事件分析器、响应单元、事件数据库组成。掌握各模块的功能与协作关系。4.2入侵检测系统架构事件发生器能够提供哪些类型事件消息？根据事件分析器的分析结果，响应单元可以执行哪些操作？事件数据库中存储哪些数据模型？4.2入侵检测系统架构（二）入侵检测系统的两种应用方式2.杂凑方式（镜像）优点：不会影响信息流在关键链路的传输；一旦检测出入侵行为，可以实时反制入侵行为。缺点：无法实时阻断入侵信息的传输过程。在线方式优点：一旦检测出入侵行为，可以实时阻断该入侵信息的传输过程，实时反制入侵行为。缺点：对IDS处理能力提出了较高要求，否则会对业务产生较大时延。4.3入侵检测系统的分类及评价指标根据不同的功能和部署位置，入侵检测系统可分为HIDS和NIDS1.主机入侵检测系统（HIDS）使用HIDS的必要性：（1）网络入侵检测系统通常只能捕获单段链路的信息流，无法对流经网络各条链路的所有信息进行检测；（2）网络入侵检测系统无法检测出所有已知或未知的攻击；（3）对不同配置的主机，入侵过程是不同的；（4）主机是判别信息流是否包含入侵信息的最合适位置；（5）黑客访问主机往往采用应用层安全协议，如HTTPS。网络入侵检测系统无法检测捕获的密文，而主机最终能够处理解密后的信息。4.3入侵检测系统的分类及评价指标HIDS的主要特点包括：有效抵御恶意代码。例如，通过网络下载的某个软件运行时，企图使用属于其他进程的存储空间，可以确定该软件带有缓冲区溢出攻击的恶意代码。管理信息传输。例如，发现通过某个TCP连接传输的信息被主机入侵检测系统定义为敏感信息，则可以确定主机中存在后门或间谍软件，HIDS将立即释放该TCP连接并记录下该TCP连接发起或响应进程。检测主机资源访问操作，强化资源保护。HIDS可以为主机的资源建立访问控制阵列，访问控制阵列给出每一个用户和进程允许访问的资源、资源访问属性等，根据访问控制阵列对主机资源的访问过程进行严格控制。4.3入侵检测系统的分类及评价指标2.网络入侵检测系统（NIDS）NIDS的主要特点包括：保护网络资源的可用性。例如，拒绝服务攻击通过阻塞链路来达到使正常用户无法正常访问网络资源，这一类攻击无法依靠HIDS防御。能够大规模的保护主机。单个网络入侵检测系统可以采用统一的安全策略保护一大批主机免遭攻击，这是HIDS难以实现的。与HIDS相辅相成。例如，黑客进行主机扫描时，网络入侵检测系统可以根据规定时间内主机发出的超量请求建立TCP连接的报文，从而确定网络正在遭受黑客对主机或端口扫描。而主机入侵检测系统则无法根据被响应报文确定黑客正在进行主机或端口扫描。4.3入侵检测系统的分类及评价指标评价入侵检测系统的指标主要有正确性、全面性和性能。一、正确性正确性要求入侵检测系统减少误报，误报是把正常的信息交换过程或网络资源访问过程作为攻击过程予以反制和报警的情况。减少误报的途径是建立能够正确区分正常信息(或操作)与攻击行为的统计值和规则集。二、全面性全面性要求入侵检测系统减少漏报，漏报主要发生在对未知攻击的检测中，减少漏报的关键同样在于用于区分正常信息交换过程(或资源访问过程)与攻击过程的统计值和规则集。三、性能性能是指捕获和检测信息流的能力。NIDS在线方式下必须具有线速捕获的能力。HIDS不能降低主机系统尤其是服务器响应服务请求的能力。

4.4网络入侵检测系统（NIDS）(一)NIDS的基本结构探测器是NIDS的核心设备，它负责信息流捕获、分析和异常检测，执行反制动作。探测器有两种工作方式，分别是在线方式和杂凑方式安全管理器负责探测器安全策略的配置，报警信息的处理，登记信息的分析、归类，最终形成有关网络安全状态的报告提供给网络安全管理员。

4.4网络入侵检测系统（NIDS）(二)信息流捕获机制杂凑方式下的探测器捕获信息流可以利用集线器、交换机端口镜像、虚拟策略路由三种方式。例如：交换机的端口镜像功能是指，如果某个端口配置为另一个端口的镜像，从该端口输出的所有MAC帧都将被复制到镜像端口；通过将端口2配置为不同端口的镜像，探测器可以捕获从不同端口输出的MAC帧

4.4网络入侵检测系统（NIDS）(三)NIDS的检测机制网络入侵检测系统的入侵检测机制主要可以分为三类：攻击特征检测、协议译码和异常检测。攻击特征检测：从已经发现的攻击中提取出标识这一攻击的特征信息，构成攻击特征库，对捕获到的信息进行攻击特征匹配操作；如果匹配到某个攻击特征，则说明捕获到的信息就是攻击信息。协议译码：对IP分组格式、TCP报文格式进行检测。根据协议要求对应用层净荷格式、净荷中各字段内容、请求和响应过程进行检测。如果发现和协议要求不一致的地方，则表明该信息可能是攻击信息。异常检测：首先需要建立正常网络访问过程中的信息流模式库和资源访问操作规则库，然后实时分析捕获到的信息。如果根据捕获到的信息得出的信息流模式或者网络资源访问操作与已经建立的信息流模式库或资源访问操作规则库中的相应规则存在较大偏差，则说明发现异常信息。

4.4网络入侵检测系统（NIDS）（1）攻击特征检测攻击特征分为元攻击特征和有状态攻击特征两类。元攻击特征是指用于标识某个攻击的单一字符串。IDS一旦在捕获到的信息中发现和元攻击特征相同的内容就意味着该信息是攻击信息；元攻击特征检测是针对每一个IP分组独立进行的。在具体实现过程中，为了检测出分散在多个TCP报文中的元攻击特征，需要进行TCP报文拼装。有状态攻击特征是由分散在整个攻击过程中的多个攻击特征标识某个攻击，且这些攻击特征的出现位置和顺序都有着严格的限制。只有在规定位置并按照规定顺序检测到全部攻击特征，才能确定发现攻击。/etc/pIP首部TCP报文序列号nasswdIP首部TCP报文序列号n+1TCP报文拼装后，检测到攻击字符串/etc/passwd

4.4网络入侵检测系统（NIDS）（2）协议译码协议译码可以在网络层、传输层和应用层分别对捕获的信息流进行检测IP分组检测检测各个字段值是否符合协议要求，重点检测分片是否正确；要求单个IP分组的分片必须完整包含整个TCP报文首部；要求所有分片拼装后的总长度限制在64kB。TCP报文检测通过检测TCP报文的序号，确定该TCP连接是否被攻击者用来传输攻击信息。应用层协议检测对净荷格式、净荷中各字段内容、请求和响应过程进行检测。

4.4网络入侵检测系统（NIDS）（3）异常检测有效检测出异常的前提：正常访问网络资源的信息流模式与入侵者攻击网络或非法访问网络资源的信息流模式之间存在较大区别。目前广泛采用两种用于建立正常访问网络资源的信息流模型（基准信息）的机制：基于统计机制和基于规则机制。生成基准信息后，网络入侵检测系统通过实时分析捕获到的信息流，找出和基准信息之间的偏差；如果偏差超过设定的范围，则意味着检测到异常信息。

4.4网络入侵检测系统（NIDS）基于统计机制通过对大量报文信息的统计分析，系统能够生成两类基准信息：阈值。如单位时间内建立的TCP连接数，传输的IP分组数，特定终端发送给特定服务器的建立TCP连接的请求数等。描述特定终端行为或特定终端和服务器之间行为的一组参数。例如，特定终端请求建立TCP连接的平均间隔、平均传输间隔、持续传输时间分布、特定应用层数据分布等。案例：系统建立的统计基准信息：IP地址为

的终端每秒发送的请求建立TCP连接的请求报文数为500。通过实时分析捕获到的信息流，如果发现IP地址为

的终端目前每秒发送的请求建立TCP连接的请求报文数为1000，则可以断定该终端正在实施主机扫描或端口扫描，必须予以防范。

4.4网络入侵检测系统（NIDS）基于规则机制基于规则机制是通过分析用户正常网络访问状态下，登记的信息和用户操作特点总结出的限制特定用户操作的规则。例如：系统建立了具有交互特性的TCP连接的规则如下：相邻TCP报文的最小间隔：500ms。相邻TCP报文的最大间隔：30s。TCP报文包含的最小字节数：20B。TCP报文包含的最大字节数：100B。背靠背TCP报文的最小比例：50%。TCP小报文的最小比例：80%。

4.4网络入侵检测系统（NIDS）异常检测的误报和漏报从正常访问过程和攻击过程的行为分布图可以发现，正常访问网络的行为和攻击网络的行为之间存在重叠。将A和B之间原本是攻击行为认为是正常访问，会存在漏报（红色部分）将A和B之间原本是正常访问误认为是攻击，会产生误报（黄色部分）

4.4网络入侵检测系统（NIDS）异常检测机制总结：异常检测虽然能够发现一些未知的攻击，但阈值或行为规则的设定过程比较复杂，需要根据应用特点和实际情况反复调整，还需根据所保护资源的重要性在误报和漏报之间权衡利弊。没有一种检测机制可以一劳永逸地解决入侵检测问题。随着攻击过程越来越复杂，黑客攻击的隐蔽性越来越好，必须在入侵检测技术领域不断创新，研究跟踪能力更强、智能性更高的入侵检测机制，提升国家网络安全技术水平。（四）NIDS安全策略的配置定义需要检测的信息流：安全策略通过指定IP分组的源IP地址范围和目的IP地址范围来确定需要实施入侵检测的IP分组。确定检测机制：包括协议译码、攻击特征检测和异常检测；通过指定攻击特征库来指定需要检测的攻击特征，例如，指定攻击特征库为HTTP-严重。制定反制动作：常见的反制动作有丢弃包含入侵信息的IP分组、复位包含入侵信息的TCP报文所属的TCP连接、阻塞源IP地址等。4.4网络入侵检测系统（NIDS）针对Web和FTP服务器的安全要求，配置相应的的安全策略。根据表中配置的两条安全策略，在线方式下的网络入侵检测系统只允许转发哪两类IP分组？在安全策略中，对检测出的攻击行为实施具体的反制动作。4.4网络入侵检测系统（NIDS）安全策略的配置实例4.5主机入侵检测系统（HIDS）由于黑客实施攻击的每个阶段都需要通过系统调用对主机资源进行操作，因此主机入侵检测系统的核心功能是拦截系统调用，根据安全策略和主机状态来检测系统调用的合理性和合法性，拒绝执行可疑的系统调用，并对发出可疑系统调用的进程和进程所属的用户进行反制。一、主机入侵检测系统的功能检测主机是否遭受黑客攻击需要从两个方面考虑：检测接收到的信息流中是否包含恶意代码，是否具备利用操作系统和应用程序漏洞实施攻击的特征。检测系统调用的合理性和合法性。4.5主机入侵检测系统（HIDS）1.修改操作系统内核当操作系统内核接收到操作请求时，根据操作请求中携带的信息和配置，如表中的访问控制阵列，由内核确定是否为正常访问操作。若操作系统厂家完成对操作系统内核的修改，则HIDS就成为操作系统的有机组成部分.二、拦截系统调用的机制2.系统调用拦截程序系统调用拦截程序能够拦截应用程序发出的系统调用，并根据发出系统调用的应用程序、需要访问的主机资源、访问操作类型等数据，结合所配置的安全策略，确定是否允许该访问操作主机资源。4.5主机入侵检测系统（HIDS）HIDS根据用户配置的访问控制策略实施对主机资源的访问控制过程。1.主机入侵检测系统拦截到某个访问操作请求时，首先收集以下信息:操作请求的发起者资源访问操作操作对象主机位置用户和系统状态2.根据上述收集的信息，HIDS依据配置的访问控制策略，确定允许/拒绝对主机资源的访问操作请求。三、HIDS中访问控制策略的配置4.5主机入侵检测系统（HIDS）（a）伪装（b）重播案例——使用入侵检测系统成功防范网络攻击背景：某大型电子商务公司面临频繁的网络攻击，尤其是SQL注入和DDoS攻击，威胁其业务连续性和客户数据安全。解决方案：部署NIDS和HIDS，并结合SIEM系统进行集中监控和分析。SQL注入攻击防范检测：NIDS检测到某次HTTP请求中包含可疑的SQL语句片段，立即触发警报。分析：SIEM系统分析该请求，确认其为SQL注入攻击。响应：系统自动阻断该请求，并通知安全团队进行进一步调查。结果：成功阻止了通过SQL注入获取数据库中的敏感信息，保护了客户数据安全。DDoS攻击防范检测：NIDS检测到大量异常流量，确认为DDoS攻击。分析：SIEM系统分析流量模式，确认攻击来源和类型。响应：系统自动启动防御机制，如流量清洗和黑洞路由，成功抵御攻击。结果：确保了网站的正常运行，避免了业务中断和客户流失。4.6入侵检测系统的发展方向（a）伪装（b）重播SIEM（安全信息和事件管理）系统SIEM系统的主要功能包括：日志收集与聚合、事件关联与分析、威胁检测与响应、合规性管理、可视化与报告、历史数据分析。IDS是实时入侵检测工具，而SIEM是综合安全管理平台。两者主要区别如下：4.6入侵检测系统的发展方向功能互补。IDS专注于实时监控和检测潜在入侵行为。SIEM不仅收集和分析IDS的告警，还整合其他安全设备的日志，提供更全面的安全分析和事件管理。数据整合。SIEM系统通常整合来自多个IDS的数据，结合其他日志（如防火墙、服务器）综合分析。增强分析：IDS提供初步检测，SIEM通过关联分析、历史数据挖掘，提供更深入的安全洞察。4.6入侵检测系统的发展方向入侵检测系统的不足（1）主机入侵检测系统存在的不足主机入侵检测系统只是一个应用程序，而操作系统无法对主机入侵检测系统提供额外的安全保护，因此，很容易发生卸载主机入侵检测系统、修改主机入侵检测系统配置的事件。（2）网络入侵检测系统存在的不足对于黑客通过HTTPS攻击Web服务器的情况，网络入侵检测系统是无能为力的。另外，为每一段链路都配置网络入侵检测系统的成本较高，运维管理难度较大。（3）难以防御未知攻击正常的网络资源访问过程可能被误认为是攻击；真正的攻击可能因为与正常的网络操作过程相似而被认为是合法操作。1.人工智能与机器学习的深度应用行为分析与异常检测：利用机器学习模型分析用户和设备行为，识别异常模式。例如，通过深度学习检测零日攻击或高级持续性威胁（APT）。自适应学习：IDS能够动态调整检测规则，适应不断变化的网络环境和攻击手法。减少误报：通过AI优化规则引擎，降低误报率，提高检测准确性。2.大数据分析与威胁情报集成海量数据关联分析：结合大数据技术，对网络流量、日志和事件进行实时关联分析。例如，使用Spark、Hadoop等框架处理大规模数据。威胁情报共享：集成全球威胁情报源（如CVE、MITREATT&CK），实时更新攻击特征库。支持自动化响应，快速阻断已知威胁。4.6入侵检测系统的发展方向入侵检测技术的六大发展趋势3.云原生与边缘计算支持云环境适配：针对云原生架构（如Kubernetes、微服务）设计轻量级IDS。支持容器、无服务器计算（Serverless）等新型技术。边缘计算部署：在边缘设备（如IoT、5G网络）上部署IDS，实现本地化检测和响应。减少延迟，提高实时性。4.自动化与协同响应SOAR集成：与安全编排、自动化与响应（SOAR）平台集成，实现自动化威胁响应。例如，自动隔离受感染主机、阻断恶意IP。协同防御：IDS与防火墙、SIEM（安全信息与事件管理）等系统联动，形成协同防御体系。例如，检测到攻击后自动更新防火墙规则。4.6入侵检测系统的发展方向5.加密流量（SSL/TLS）检测随着加密流量的普及，IDS需要支持SSL/TLS解密，检测隐藏在加密流量中的威胁。例如，使用中间人（MITM）技术解密流量进行分析。6.轻量化与高性能资源优化：开发轻量级IDS，适用于资源受限的环境（如IoT设备）。高性能检测：利用硬件加速（如FPGA、GPU）提升检测性能，支持高吞吐量网络。4.6入侵检测系统的发展方向总结未来IDS的发展将更加智能化、自动化和协同化，同时适应云原生、边缘计算和零信任等新兴架构。通过结合AI、大数据、威胁情报和自动化技术，IDS将能够更高效地应对日益复杂的网络威胁，为网络安全提供更强大的保障。4.6入侵检测系统的发展方向4.7IDS、IPS的区别和联系IDS（入侵检测系统）和IPS（入侵防御系统）是网络安全领域的两个核心组件，两者既有密切关联，又在功能、部署方式和作用上存在显著差异。它们共同构成网络安全的“检测”与“防御”闭环。特性IDS（入侵检测系统）IPS（入侵防御系统）主要目标监测和告警：识别潜在攻击行为并生成警报。主动防御：检测到攻击后实时阻断恶意流量工作模式被动模式：仅分析流量，不干预网络通信。主动模式：直接拦截或丢弃可疑流量。部署位置通常部署在网络内部（旁路监听）通常部署在网络边界（如防火墙后，串联模式）。延迟影响无网络延迟（仅监听）。可能引入微秒级延迟（需实时处理流量）误报风险误报仅触发告警，不影响业务。误报可能导致合法流量被阻断，需更高准确性。IDS与IPS的协同关系：检测与防御的互补(1)IDS的核心作用威胁发现：通过特征匹配或行为分析（基于异常的检测）识别攻击。事后分析：记录攻击日志，用于安全事件溯源和取证。安全态势感知：长期监控网络流量，帮助构建安全基线。(2)IPS的核心作用实时阻断：