14 第五章 任务1 入侵检测技术（2+2学时）

入侵检测技术厚德强能、求实创新第五章任务1入侵检测系统的概念1入侵检测系统分类2入侵检测系统应用与部署31入侵检测系统的概念厚德强能、求实创新1入侵检测系统的概念厚德强能、求实创新监控室=控制中心后门摄像机=探测引擎CardKey它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。防火墙大门入侵检测系统智能监控系统1入侵检测系统的概念厚德强能、求实创新某人尝试进入一个系统，访问未经授权的资源；或者利用系统漏洞获得系统的最高权限等的非法行为。通过对特定行为的分析检测到对系统的闯入。识别非法用户未经授权使用计算机系统，或合法用户越权操作计算机系统的行为，通过对计算机网络中的若干关键点或计算机系统资源信息的收集并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和攻击的迹象。IDS是英文“IntrusionDetectionSystems”的缩写，中文意思是“入侵检测系统”，进行入侵检测的软件与硬件的组合便是入侵检测系统。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。入侵入侵检测入侵检测系统厚德强能、求实创新1入侵检测系统的概念厚德强能、求实创新1入侵检测系统的概念入侵检测技术，是通过对行为、安全日志、审计数据或其他网络上可以获得的信息进行审计检查，检测到针对系统的闯入或闯入的企图。通用入侵检测系统组成：传感器分析器知识库控制器入侵检测概念厚德强能、求实创新1入侵检测系统的概念（1）传感器（探测器/数据收集器）。传感器负责收集捕获所有可能的与入侵行为有关的信息，为入侵分析引擎模块提供分析用的数据，包括网络数据包、系统或应用程序的日志和系统调用记录等。（2）分析器（检测器）。分析器是入侵检测系统的核心模块。其依据传感器和知识库提供的数据，按照一定的算法进行分析，从中判断是否有入侵行为出现，并产生入侵报警信息。（3）知识库。提供必要的数据信息支持，如用户的历史活动档案、检测规则集合等。（4）控制器。根据报警信息，提供入侵行为的控制措施，例如例如关闭网络服务、中断网络连接、启动备份系统等。厚德强能、求实创新1入侵检测系统的概念入侵检测工作过程信息收集信息分析安全响应①

系统和网络日志。②

目录和文件中不期望的改变。③

程序执行中的不期望行为。①

模式匹配。②

统计分析。③

完整性分析。①

被动响应通过发送告警通知将发生的异常情况报告给系统管理员，由管理员决策下一步的行动。②

主动响应分为对被攻击系统实施控制（防护）和对攻击来源实施控制（反击）两种。厚德强能、求实创新入侵检测的作用（1）发现受保护系统中的入侵行为或异常行为；（2）检验安全保护措施的有效性；（3）分析受保护系统所面临的威胁；（4）及时报警触发网络安全应急响应，阻止安全事件扩大；（5）为网络安全策略的制定提供重要指导；（6）告警信息用作网络犯罪取证。1入侵检测系统的概念厚德强能、求实创新2入侵检测系统分类入侵检测技术分类入侵检测实现技术，主要包括基于误用的入侵检测技术和基于异常的入侵检测技术两种。误用检测（MisuseDetection），通常称为基于特征的入侵检测，这种检测方法是收集非正常操作（入侵）行为的特征，建立相关的特征库；在后续的检测过程中，将收集到的数据与特征库中的特征代码进行比较，得出是否有入侵行为。误用检测的前提是：所有的入侵行为都有可被检测到的特征。特点：误报率低、漏报率高误用：定义什么是“坏”的，然后去找它。厚德强能、求实创新2入侵检测系统分类入侵检测技术分类异常检测（AnomalyDetection）通过统计分析系统正常操作应具有的特征，定义一组系统正常情况的值，建立系统正常行为的“轨迹”，然后将系统运行时的值与所定义的“正常”值相比较，判断是否有入侵行为特点：误报率高、漏报率低异常：定义什么是“好”的，然后把所有不像“好”的都视为可疑的。厚德强能、求实创新能否基于“人工智能”的机器学习的理念，提升漏报率、误报率呢？开发“智能入侵检测系统”2入侵检测系统分类想一想厚德强能、求实创新入侵检测系统分类2入侵检测系统分类根据IDS的检测数据来源和它的安全作用范围，可将IDS分为三大类：基于主机的入侵检测系统（HIDS）：即通过分析主机的信息来检测入侵行为。基于网络的入侵检测系统（NIDS）：即通过获取网络通信中的数据包，对这些数据包进行攻击特征扫描或异常建模来发现入侵行为。分布式入侵检测系统（DIDS）：从多台主机、多个网段采集检测数据，或者收集单个IDS的报警信息，根据收集到的信息进行综合分析，以发现入侵行为。厚德强能、求实创新2入侵检测系统分类基于主机的入侵检测系统（HIDS）HIDS一般适合检测以下入侵行为：①

针对主机的端口或漏洞扫描；

②

重复失败的登入尝试；③

远程口令破解；④

主机系统的用户账号添加；⑤

服务启动或停止；⑥

系统重启动；⑥

文件的完整性或许可权变化；⑦

注册表修改；⑧

重要系统启动文件变更；⑧

程序的异常调用；⑨

拒绝服务攻击。1、可以检测基于网络的入侵检测系统不能检测的攻击；2、基于主机的入侵检测系统可以运行在应用加密系统的网络上，只要加密信息在到达被监控的主机时或到达前解密；3、基于主机的入侵检测系统可以运行在交换网络中。1、必须在每个被监控的主机上都安装和维护信息收集模块；2、由于HIDS的一部分安装在被攻击的主机上，HIDS可能受到攻击并被攻击者破坏；3、HIDS占用受保护的主机系统的系统资源，降低了主机系统的性能；4、不能有效地检测针对网络中所有主机的网络扫描：不能有效地检测和处理拒绝服务攻击；只能使用它所监控的主机的计算资源。优点缺点厚德强能、求实创新基于主机的入侵检测系统（HIDS）2入侵检测系统分类产品：Wazuh简介：目前最流行、功能最全面的开源HIDS之一。它源于OSSEC的分支，但极大地扩展了其功能。核心功能：日志分析、完整性监控、漏洞检测、合规性检查、安全事件响应、与ElasticStack深度集成提供强大的可视化。厚德强能、求实创新基于网络的入侵检测系统（NIDS）2入侵检测系统分类NIDS能够检测到以下入侵行为：①同步风暴(SYNFlood)；②分布式拒绝服务攻击(DDoS)；③网络扫描；④缓冲区溢出；⑤协议攻击；⑥流最异常；⑦非法网络访问。1、适当的配置可以监控大型网络的安全状况；2、基于网络的入侵检测系统通常属于被动型的设备，只监听网络而不干扰网络的正常运作，部署时对已有网络影响很小；3、基于网络的入侵检测系统对于攻击者甚至是不可见的，可以很好地避免被攻击。1、在高速网络中，NIDS很难处理所有的网络包，因此有可能出现漏检现象；2、交换机可以将网络分为许多小单元VLAN，而多数交换机不提供统一的监测端口，这就减少了基于网络的入侵检测系统的监测范围；3、如果网络流量被加密，NIDS中的传感器无法对数据包中的协议进行有效的分析；4、NIDS仅依靠网络流量无法推知命令的执行结果，从而无法判断攻击是否成功。优点缺点厚德强能、求实创新产品：Snort简介：世界上部署最广泛的开源入侵检测与预防系统，是NIDS领域的事实标准。核心功能：强大的实时流量分析和基于规则的协议分析。2入侵检测系统分类基于网络的入侵检测系统（NIDS）厚德强能、求实创新DIDS通过将HIDS的进程与数据细节和NIDS的时间与数据集成到一个中央IDS中，丰富了检测所用的数据源，实现了大型复杂网络的跨子网检测，有利于实现网络的分布式安全管理。分布式入侵检测系统（DIDS）2入侵检测系统分类厚德强能、求实创新3入侵检测系统应用与部署IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源。通常包括4个位置：①DMZ区、②外网入口、③内网主干、④关键子网与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求是：IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。厚德强能、求实创新未部署IDS时的企业网络架构没有IDS系统的企业网络是极不安全的只能依靠路由器的基本防护功能来保护内网显然远远不能满足企业的安全需求3入侵检测系统应用与部署厚德强能、求实创新DMZ对网络流量进行监控的IDS部署于主机上的IDS部署IDS时的企业网络架构3入侵检测系统应用与部署厚德强能、求实创新检测器放置于防火墙的DMZ区域：可以查看受保护区域主机被攻击状态；可以看出防火墙系统的策略是否合理；可以看出DMZ区域被黑客攻击的重点检测器放在主要的网络中枢：监控大量的网络数据，可提高检测黑客攻击的可能性；可通过授权用户的权限边界来发现未授权用户的行为检测器放在安全级别高的子网：对非常重要的系统和资源的入侵检测3入侵检测系统应用与部署厚德强能、求实创新3入侵检测系统应用与部署任务：Snort入侵检测技术的安装与配置（1）安装入侵检测系统Snort①

安装daq依赖程序，依次输入如下命令：sudoapt-getinstallflexsudoapt-getinstallbisonsudoaptinstallaptitudesudoaptitude

installlibpcap-dev②

安装daq，snort官网下载daq-2.0.7.tar.gz。输入如下命令：wget/downloads/snort/daq-2.0.7.tar.gztarxvfzdaq-2.0.7.tar.gzcddaq-2.0.7./configure&&make&&sudomakeinstall③

安装snort的依赖程序，输入如下命令：aptitudeinstalllibpcre3-devaptitudeinstalllibdumbnet-devaptitudeinstallzlib1g-devaptinstallopensslapt-getinstalllibssl-dev厚德强能、求实创新3入侵检测系统应用与部署④

安装LuaJIT，luajit官网下载LuaJIT-2.0.5.tar.gz。输入如下命令：sudowget/download/LuaJIT-2.0.5.tar.gzsudotar-zxvfLuaJIT-2.0.5.tar.gzcdLuaJIT-2.0.5/sudomake&&sudomakeinstall⑤

安装Snort，snort官网下载snort-2.9.2