第五章 入侵检测

1、第五章 入侵检测,本章内容,入侵检测的结构 入侵检测系统分类 入侵检测系统分析方式 入侵检测系统的设置与部署 入侵检测系统的优缺点,入侵检测概述,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,后门、隐蔽通道,蠕虫,入侵检测概述,1. 入侵检测的概念 入侵行为 入侵行为主要指对系统资源的非授权使用，它可以造成系统数据的丢失和破坏，甚至会造成系统拒绝对合法用户服务等后果。 入侵检测 入侵检测技术是从计算机网络或系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭受袭击的迹象的一种机制,入侵检测概述,1. 入侵检测的概念 入侵检

2、测弥补防火墙的不足，对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时的检测及采取相应的防护手段 防火墙是进出网络的门，入侵检测系统是网络的监视器。入侵检测技术是一种主动保护系统免受黑客攻击的网络安全技术 检测来自内部的攻击事件和越权访问 85以上的攻击事件来自于内部的攻击 防火墙只能防外，难于防内 入侵检测系统作为防火墙系统的一个有效的补充 入侵检测系统可以有效的防范防火墙开放的服务入侵,入侵检测概述,1. 入侵检测的概念 入侵检测系统的主要功能有以下几点： 监测并分析用户和系统的活动。 核查系统配置和漏洞。 评估系统关键资源和数据文件的完整性。 识别已知的攻击行为。 统计分析异常行

3、为。 对操作系统进行日志管理，并识别违反安全策略的用户活动。,入侵检测概述,2. 入侵检测系统的基本结构 CIDF阐述了一个入侵检测系统模型,CIDF模型,入侵检测概述,2. 入侵检测系统的基本结构 入侵检测系统模型 1）事件产生器：采集和监视被保护系统的数据，并保存在数据库中，这些数据可以是网络的数据包，可以是从系统日志等其他途径搜集的信息 2）事件分析器：两个功能，一是用于分析事件产生器搜集到数据，区分数据的正确性，发现非法的或者具有潜在危险的、异常的数据现象，通知响应单元作出入侵防范；二是对数据库保存的数据做定期的统计分析，发现某段时间内的异常，进而对该时期内的异常数据进行详细分析,入侵

4、检测概述,2. 入侵检测系统的基本结构 入侵检测系统模型 3）响应单元：是系统事件分析器工作的重要组成部分，一旦事件分析器发现具有入侵企图的异常数据，响应单元就要发挥作用，对具有入侵企图的攻击实施拦截、阻断、反追踪等手段，保护系统免受攻击和破坏 4）事件数据库：记录事件分析单元提供的分析结果，同时记录所有来自于事件产生器的事件，用来进行以后的分析与检查,入侵检测过程,1.信息收集：从入侵检测系统的信息源中收集信息，内容包括系统、网络、数据以及用户活动的状态和行为等 2.信息分析：是入侵检测过程的核心环节 3.告警与响应：IDS根据攻击或事件的类型或性质，通知管理员或采取一定措施阻止入侵继续,入

5、侵检测过程,信息收集 入侵检测利用的信息一般来自五个方面: 1.系统和网络日志 (重复登录失败,登录到不期望位置等),所有重要系统都应定期做日志 2.目录和文件中的不期望的改变 (修改,创建,删除等),特别是正常情况下限制访问的 3.程序执行中的不期望行为(一个进程出现了不期望的行为可能表明攻击者正在入侵系统 )一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同 4.网络流量行为，端口扫描等 5.物理形式的入侵信息，一是未授权的对网络硬件连接；二是对物理资源的未授权访问,入侵检测过程,信息分析 对于收集到的有关系统、网络、数据及用户活动的状态和行为等信息

6、，一般通过三种技术手段进行分析： 1.模式匹配:模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 2.统计分析:首先给系统对象创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生 3.完整性分析:主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效,入侵检测过程,告警与响应 分为主动响应和被动响应 被动响应型系统只会发出告警通知，将发生的不正常情况报告给管理

7、员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动 主动响应系统可以分为对被攻击系统实施控制和对攻击系统实施控制的系统 ： 对被攻击系统实施控制（防护）:它通过调整被攻击系统的状态，阻止或减轻攻击影响，例如断开网络连接、增加安全日志、杀死可疑进程等 对攻击系统实施控制（反击）:这种系统多被军方所重视和采用,入侵检测系统分类,根据检测对象分为两大类：基于主机的和基于网络的入侵检测系统 1.基于主机的入侵检测系统 基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害，需要安装在被保护的主机上。,入侵检测系统分类,1.基于主机的入侵检测系统 按照检测对象的不同，基于主机的入侵

8、检测系统可以分为两类：网络连接检测和主机文件检测 1）网络连接检测 网络连接检测是对试图进入该主机的数据流进行检测，分析确定是否有入侵行为，避免或减少这些数据流进入主机系统后造成损害 如检测到有主机尝试连接未开放的端口，预示着可能有主机在进行漏洞扫描,入侵检测系统分类,1.基于主机的入侵检测系统 按照检测对象的不同，基于主机的入侵检测系统可以分为两类：网络连接检测和主机文件检测 2）主机文件检测 通常入侵行为会在主机的各种相关文件中留下痕迹，主机文件检测能够帮助系统管理员发现入侵行为或入侵企图，及时采取补救措施。 主机文件检测的检测对象主要包括以下几种： a.系统日志 b.文件系统 c.进程记

9、录 d.系统运行控制,入侵检测系统分类,1.基于主机的入侵检测系统 基于主机的入侵检测系统的优点 检测准确度较高。 可以检测到没有明显行为特征的入侵。 能够对不同的操作系统进行有针对性的检测。 成本较低。 不会因网络流量影响性能。 适于加密和交换环境。 基于主机的入侵检测系统具有以下不足： 检测效果取决于日志系统。 占用主机资源。 不能监控网络上的情况,入侵检测系统分类,2.基于网络的入侵检测系统 基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上，它使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻

10、击，入侵检测系统应答模块通过通知、报警以及中断连接等方式来对攻击做出反应 通过将实际的数据流量记录与入侵模式库中的入侵模式进行匹配，寻找可能的攻击特征,入侵检测系统分类,2.基于网络的入侵检测系统 基于网络的入侵检测系统发展过程 1）包嗅探器和网络监视器 网卡工作在混杂模式下 对包进行统计 详细地检查包 2）基于网络的入侵检测 检查端口扫描 检查常见的攻击行为 识别各种各样的IP欺骗攻击 检测到异常后，采取干涉入侵者发来的通信，或重新配置附近的防火墙策略以封锁入侵者的计算机或网络发来的所有通信,入侵检测系统分类,2.基于网络的入侵检测系统 基于网络的入侵检测系统的优点 可以提供实时的网络行为检

11、测。 可以同时保护多台网络主机。 检测范围广 与操作系统无关，不需要修改服务器等主机的配置 不影响被保护主机的性能。 基于网络的入侵检测系统有以下不足： 很难检测复杂的需要大量计算的攻击。 在交换式网络环境中难以配置。 检测性能受硬件条件限制。 不能处理加密后的数据,入侵检测系统分类,3.两种入侵检测系统的结合使用 基于网络的入侵检测系统和基于主机的入侵检测系统都有各自的优势和不足，这两种方式各自都能发现对方无法检测到的一些网络入侵行为，如果同时使用互相弥补不足，会起到良好的检测效果。 基于网络的入侵检测系统通过检查所有的数据包头来进行检测，而基于主机的入侵检测系统并不查看包头。基于网络的入侵

12、检测系统可以研究负载的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的入侵检测系统迅速识别；而基于主机的入侵检测系统无法看到负载，因此也无法识别嵌入式的负载攻击,入侵检测系统分类,4.分布式入侵检测系统 采用分布式结构的入侵检测模式是目前入侵检测技术的一个研究方向。这种模式的系统采用分布式智能代理的结构，由一个或者多个中央智能代理和大量分布在网络各处的本地代理组成。其中本地代理负责处理本地事件，中央代理负责统一调控各个本地代理的工作以及从整体上完成对网络事件进行综合分析的工作。检测工作通过全部代理互相协作共同完成,入侵检测系统分类,5.入侵防护系统 是网络入侵检测系统的一种

13、特殊形式，从安全防护地位上来看，入侵防护系统已经超出了入侵检测系统的范围。入侵防护系统主要采用入侵检测技术实现网络防护功能，位于网络主干位置，以透明网关形式存在，检测所有进出网络的数据 入侵防护系统从链路层获取网络数据，使用入侵检测技术对数据包进行分析，对其中的高层应用协议数据进行重组与协议追踪，对有问题的数据包直接丢弃也可以采用修改重建或报警等响应方式，同时关闭连接,入侵检测系统分类,5.入侵防护系统 入侵防护系统优点： 实时阻断网络攻击 隐蔽数据检测，对通信双方完全透明 主干检测，保证数据百分之百捕获，避免绕过攻击 透明模式，不会对网络拓扑造成影响 入侵防护系统的不足： 分析效率较低，无法

14、适应高速网络环境 继承了入侵检测的误报缺陷，易造成对正常网络通信的影响 为减低误报率，造成漏报情况较多，只对能够准确确认的攻击进行处理 无法检测加密环境数据,入侵检测系统的分析方式,入侵检测系统的检测分析技术主要分为两类：异常检测和误用检测 1.异常检测技术基于行为的检测 1）异常检测技术的原理 异常检测技术也称为基于行为的检测技术，是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。 异常检测技术首先假设网络攻击行为是不常见的或是异常的，区别于所有的正常行为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型，那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比，若入

15、侵行为偏离了正常的行为轨迹，就可以被检测出来,入侵检测系统的分析方式,入侵检测系统的检测分析技术主要分为两类：异常检测和误用检测 1.异常检测技术基于行为的检测,比较,入侵检测系统的分析方式,入侵检测系统的检测分析技术主要分为两类：异常检测和误用检测 1.异常检测技术基于行为的检测,入侵检测系统的分析方式,1.异常检测技术基于行为的检测 2）异常检测技术的评价 a.能够检测出新的网络入侵方法的攻击。 b.较少依赖于特定的主机操作系统。 c.对于内部合法用户的越权违法行为的检测能力较强。 异常检测技术有以下不足： a.误报率高。 b.行为模型建立困难。 c.难以对入侵行为进行分类和命名。,入侵检

16、测系统的分析方式,1.异常检测技术基于行为的检测 3）异常检测技术分类 a.统计分析异常检测。 b.贝叶斯推理异常检测。 c.神经网络异常检测。 d.模式预测异常检测。 e.数据挖掘异常检测。 f.机器学习异常检测。,入侵检测系统的分析方式,2.误用检测技术基于知识的检测 1）误用检测技术入侵检测系统的基本原理 误用检测技术也称为基于知识的检测技术或者模式匹配检测技术。它的前提是假设所有的网络攻击行为和方法都具有一定的模式或特征，如果把以往发现的所有网络攻击的特征总结出来并建立一个入侵信息库，那么入侵检测系统可以将当前捕获到的网络行为特征与入侵信息库中的特征信息相比较，如果匹配，则当前行为就被

17、认定为入侵行为,入侵检测系统的分析方式,2.误用检测技术基于知识的检测 1）误用检测技术入侵检测系统的基本原理,比较、匹配,入侵检测系统的分析方式,2.误用检测技术基于知识的检测 2）误用检测技术的评价 误用检测技术有以下优点： 检测准确度高 技术相对成熟 便于进行系统防护 误用检测技术有以下缺点： 不能检测出新的入侵行为 完全依赖于入侵特征的有效性 维护特征库的工作量巨大 难以检测来自内部用户的攻击,入侵检测系统的分析方式,2.误用检测技术基于知识的检测 3）误用检测技术的分类 专家系统误用检测。 用专家系统对入侵进行检测，经常是针对有特征的入侵行为。规则，即是知识，不同的系统与设置具有不同

18、的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性以取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构，条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。,入侵检测系统的分析方式,2.误用检测技术基于知识的检测 3）误用检测技术的分类 特征分析误用检测 特征分析误用检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警，原理上与专家系统相仿。对于无经

19、验知识的入侵与攻击行为无能为力。 模型推理误用检测 该方法根据网络入侵行为的特征建立起来误用证据模型，入侵检测系统，根据模型中的入侵行为特征进行推理，判断当前的用户行为是否是入侵行为。,入侵检测系统的分析方式,2.误用检测技术基于知识的检测 3）误用检测技术的分类 条件概率误用检测 将网络入侵方式看做一个事件序列，根据所观察到的各种网络事件的发生情况来推断入侵行为的发生。 缺点：先验概率难以给出，并且难以确定事件的独立性 键盘监控误用检测 假设每种网络入侵行为都具有特定的击键序列模式，通过监视各个用户的击键序列模式，判断其与已知的攻击模式是否匹配。 缺点：无法检测通过程序进行的攻击行为，攻击者

20、击键序列模式难以捕捉，可以通过使用命令别名进行欺骗,入侵检测系统的分析方式,3.异常检测技术和误用检测技术的比较 异常检测技术：必须掌握被保护系统已知行为和预期行为的所有信息，这一点实际上无法做到，因此入侵检测系统必须不断地学习并更新已有的行为轮廓 误用检测技术：只有拥有所有可能的入侵行为的先验知识，而且必须能识别各种入侵行为的过程细节或者每种入侵行为的特征模式，才能检测到所有的入侵行为，该类入侵检测系统只能检测出已有的入侵模式，必须对不断出现的新入侵行为进行归纳总结,入侵检测系统的分析方式,3.异常检测技术和误用检测技术的比较 异常检测技术：必须掌握被保护系统已知行为和预期行为的所有信息，这

21、一点实际上无法做到，因此入侵检测系统必须不断地学习并更新已有的行为轮廓 误用检测技术：只有拥有所有可能的入侵行为的先验知识，而且必须能识别各种入侵行为的过程细节或者每种入侵行为的特征模式，才能检测到所有的入侵行为，该类入侵检测系统只能检测出已有的入侵模式，必须对不断出现的新入侵行为进行归纳总结,入侵检测系统的分析方式,4.其他入侵检测技术研究 1）遗传算法 遗传算法的基本原理是首先定义一组入侵检测指令集，这些指令用于检测出正常或者异常的行为，需要训练指令 2）免疫技术 免疫技术应用了生物医学中的免疫系统原理。处于网络环境中的主机之所以受到入侵，是因为主机系统本身以及所运行的应用程序存在着各种脆

22、弱性因素，网络攻击者正是利用这些漏洞来侵入到主机系统中的。受生物免疫系统启发，入侵检测免疫技术通过学习分析已有行为的样本来获得识别不符合常规行为的能力,入侵检测系统的分析方式,4.其他入侵检测技术研究 3）基于应用协议状态的跟踪型入侵检测技术 跟踪型入侵检测技术实现对高层应用协议的状态跟踪，建立高层应用协议状态机。跟踪协议状态的变化，对每个状态下的数据包仅分析该状态下存在的入侵行为。,入侵检测系统的分析方式,4.其他入侵检测技术研究 4）入侵诱骗技术 入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术。主要包括蜜罐(Honeypot)技术和蜜网技术(Honeynet)两种。它是用特有的特征

23、吸引攻击者，同时对攻击者的各种攻击行为进行分析，并找到有效的对付方法。 为了吸引攻击者，网络管理员通常还在Honeypot上故意留下一些安全后门，或者放置一些攻击者希望得到的敏感信息，当然这些信息都是虚假的。当入侵者正为攻入目标系统而沾沾自喜时，殊不知自己在目标系统中的所做所为，包括输入的字符，执行的操作等都已经被Honeypot所纪录。,入侵检测系统的分析方式,4.其他入侵检测技术研究 4）入侵诱骗技术 蜜罐部署位置 网络入口 不会增加内部网络的任何安全风险，可以消除在防火墙后面出现一台失陷主机的可能性，无法定位内部的攻击信息，也捕获不到内部攻击者 内网 可能给内部网络引入新的安全威胁，特别

24、是如果蜜罐和内部网络之间没有额外的防火墙保护 DMZ区 较好的解决方案，同时保证DMZ内的其他服务器是安全的，只提供所必需要的服务，而蜜罐通常会伪装尽可能多的服务。DMZ同其他网络连接都用防火墙隔离，防火墙则可以根据需要同Internet连接。这种布局可以很好的解决对蜜罐的严格控制与灵活的运行环境矛盾，从而实现最高安全。,入侵检测系统的分析方式,4.其他入侵检测技术研究 4）入侵诱骗技术 蜜罐技术 蜜罐技术是一个资源，它的价值在于它会受到探测、攻击或攻陷。蜜罐并不修正任何问题，它们仅记录有价值的信息。它只是一种工具，如何使用这个工具取决于用户想做什么。 Honeypot可以对其他系统和应用进行

25、仿真，创建一个陷阱环境将攻击者陷在其中。所以为了方便引诱攻击这，最好是将Honeypot设置成域名服务器WEB或电子邮件转发服务等流行应用中的一种。,入侵检测系统的设置,入侵检测系统的设置主要分为以下几个基本的步骤：,入侵检测系统设置流程图,入侵检测系统的设置,入侵检测系统的设置主要分为以下几个基本的步骤： 1）确定入侵检测需求。 2）设计入侵检测系统在网络中的拓扑位置。 3）配置入侵检测系统。 4）入侵检测系统磨合。 5）入侵检测系统的使用及自调节。,入侵检测系统的部署方式,Switch,IDS Sensor,Monitored Servers,Console,通过端口镜像实现 （SPAN

26、/ Port Monitor）,入侵检测系统的部署,1.基于网络入侵检测系统部署,入侵检测系统部署位置图,入侵检测系统的部署,1.基于网络入侵检测系统部署 1）DMZ区 部署在DMZ区的总口上是常用的部署方式，可以检测到所有针对用户向外提供服务的服务器进行攻击的行为。由于DMZ区中的服务器是外网可见的，因此这里部署入侵检测也是最为需要的 该点部署入侵检测的优点： 检测来自外部的攻击，这些攻击已经渗入过第一层防御体系 可以容易地检测网络防火墙的性能并找到配置策略中的问题 检测的对象比较集中 即使进入的攻击行为不可识别，入侵检测系统通过正确的配置也可以从被攻击主机的反馈中获得受攻击的信息,入侵检测

27、系统的部署,1.基于网络入侵检测系统部署 2）外网入口 位于防火墙之前，布置该点可以检测所有进出防火墙外网口的数据，可以检测到所有来自外部网络的可能的攻击行为并记录 入侵检测器性能的限制，部署该点效果并不理想，对使用NAT的内部网来说，无法定位攻击的源和目的地址 优点： 可以针对目标网络的攻击进行计数，并记录最为原始的攻击数据包 可以记录针对目标网络的攻击类型,入侵检测系统的部署,1.基于网络入侵检测系统部署 3）内部主干 内部主干部署点也最常用的部署方式，主要检测内网流出和经过防火墙流入内网的网络数据，可以检测通过防火墙进入的攻击以及内部网络向外的不正常的操作。能够准确定位攻击源和目的 防火墙已经过滤掉大量非法数据包，因此使入侵检测器能有效的工作 优点： 检测大量的网络通信，提高了检测攻击的识别可能 检测内网可信用户的越权行为 实现对内部网络信息的检测,入侵检测系统的部署,1.基于网络入侵检测系统部署 4）关键子网 部署在内部关键子网的出口，可以检测来自内部和外部的所有的针对受保护子网的不正常的网络行为。内部子网的进出流量比较小，可以保证入侵检测器的有效检测 优点： 集中资源用于检测针对关键系统和资源的来自企业内外部的攻击 将有限的资源进行有效的部署，获取最高的使用价值,入侵检测系统的部署,2.基于主机入侵检测系统部署 基于主机的入侵检测系统的部署可以给系统提供高