《入侵检测》PPT课件

1、湖南大学 07-08学年第二学期,入侵检测,易 卫 E-mail: 2008.2.10,湖南大学 07-08学年第二学期,第七章 对入侵检测系统的评价及发展方向,7.1 概述 入侵检测是一种比较新的网络安全策略。 入侵检测系统在识别入侵和攻击时具有一定的智能，这主要体现在入侵特征的提取和汇总、响应的合并与融合、在检测到入侵后能够主动采取响应措施等方面，所以说，入侵检测系统是一种主动防御技术。 入侵检测作为传统计算机安全机制的补充，它的开发应用增大了网络与系统安全的保护纵深，成为目前动态安全工具的主要研究和开发方向。,湖南大学 07-08学年第二学期,第7.2.1节 IDS的评价标准,从技术的角

2、度看，一个好的入侵检测系统，应该具有以下特点： 检测效率高 资源占用率小 开放性 完备性 安全性,湖南大学 07-08学年第二学期,第7.2.2节 通用入侵检测框架CIDF,美国国防部高级研究计划署提出的建议是通用入侵检测框架（CIDF）.它主要包括四部分工作：IDS的体系结构、通信体制、描述语言和应用编程接口API。 CIDF根据IDS系统的通用的需求以及现有的IDS系统的结构，将入侵检测系统分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库。 从功能的角度，这种划分体现了入侵检测系统所必须具有的体系结构：数据获取、数据分析、行为响应和数据管理。,湖南大学 07-08学年第二学期

3、,7.3 对IDS的测试与评估,对入侵检测进行测试和评估，具有以下作用： (1)有助于更好的显现入侵检测系统的特征。 (2)对入侵检测系统的各项性能进行评估。 (3)利用测试和评估结果，可作出一些预测。 (4)根据测试和评估结果，对入侵检测系统进行改善。 美国加州大学的Nicholas J. Puketza等人把测试分为三类：入侵识别测试（也可说是入侵检测系统有效性测试）、资源消耗测试、强度测试。 测试评估入侵检测系统的具体性能指标主要有： 1检测率、误报率及检测可信度 2入侵检测系统本身的抗攻击能力 3其他性能指标,湖南大学 07-08学年第二学期,第7.3.2节测试评估的相关问题及其现状,

4、测试评估所利用的相关数据 模拟隐蔽化的攻击 测试评估入侵检测系统的环境配置与框架 测试评估入侵检测系统的步骤 测试评估入侵检测系统中存在的问题,湖南大学 07-08学年第二学期,企业需要什么样的IDS？测试IDS的几个关键指标,通常，对企业网安全性的要求越高，需要采取的防范措施就越严密。那么，对于现实中的企业网，必不可少的防护措施有哪些？ 首先，我们需要选用防火墙作为防御非法入侵的大门，通过规则定义，我们告诉防火墙和路由器: 符合某些条件的信息可以被放行，不符合某些条件的信息需要被拒绝。同时，我们还可以使用PKI加密认证和VPN通道技术，让“合法”的信息到达目的地。 其次，对服务器系统进行加固

5、，提高安全防护水平。对系统的安全加固是个长期的工作，用户需要随时进行漏洞检查，做到随时发现随时填补。,湖南大学 07-08学年第二学期,第三，选用优秀的入侵检测系统(Intrusion Detection System，IDS)。在安全防护系统中，若不良来访者被允许访问，它会对企业网做出令网络管理者无法控制的事情，如果系统配备了IDS，这种破坏性行为将被抑制。我们知道，网络总是要提供服务的，对于一些常用的服务如浏览和E-mail收发等，防火墙只做到允许或者拒绝各种各样访问者访问这些服务，无法判定具有攻击行为的访问是否会摧毁防火墙。这就好像门卫难以判定每个来访者是办事者还是偷窃者一样。如果墙角(

6、或其他什么位置)安装了微型摄像机，能够监视来访者的一举一动，保安人员便可以根据来访者的行为及时发现不法分子，及时报警，确保办公与居住人员的安全。,湖南大学 07-08学年第二学期,IDS在国内已经出现一段时间了，它是网络安全防护体系的重要组成部分。目前，它在国内的应用还不够广泛，人们还没有充分利用这个利器更好地保护企业网。作为大多数技术人员来说，介绍IDS的资料相对较少，而市场上类似的产品却多如牛毛，如何正确选择适合各自企业应用的产品，是每个人都关心的话题。本文将从使用者的角度介绍选择IDS的几个关键技术点，希望能为用户的选购给予帮助。 需要提醒用户注意的是，在IDS方面做得出色的产品一定很实

7、用，但并不能说它就是一个优秀的安全产品，因为除此之外，它还应该附带很多附属功能，即让用户感觉简单、好用。作为一个真正的IDS产品，其主要功能应包括以下几个方面。 * 检测入侵。 * 远程管理。 * 抗欺骗能力。 * 自身安全性。,湖南大学 07-08学年第二学期,。下面，我们将分别对这4个方面进行分析,一、检测入侵 IDS最主要的功能是检测非法入侵。能够智能地报告入侵者的非法行为是检验IDS性能优劣的首要条件。用户安装上IDS后，在缺省情况下，应该对各个服务可能遇到的攻击进行告警检测。我们可以选择一些破坏性比较大的攻击，比如远程溢出攻击(只要攻击成功，即可全面控制计算机系统)，用它对IDS进行

8、一下测试。面对这种攻击，如果IDS产品没有反应，那么附加功能再多，也是一个检测非法入侵能力低下的产品。,湖南大学 07-08学年第二学期,二、远程管理 IDS的机制是监视网络上的流量，如果所要监视的网络不止一个Hub或交换机，就要在每个Hub或交换机上安装网络引擎。这样我们就需要一个控制台和日志分析程序来管理和分析多个网络引擎及它们产生的告警。用户有时希望坐在办公室中实时查看和管理机房里的IDS，作为产品提供商，应该满足用户的这种需求，为用户提供远程管理功能，只是需要注意把这个功能和IDS的另一个功能(即远程告警)区分开。事实上，IDS还应该能够支持各种各样的远程告警方式，像打电话、发邮件等等

9、。不过这种交流是单向的，用户只能被动地得到信息，而不能主动控制远程的网络引擎。,湖南大学 07-08学年第二学期,三、抗欺骗能力 IDS的目的是抵制入侵者，然而入侵者会想方设法逃避它。逃避IDS的方法很多，总结起来可以分成两大类: 让IDS漏报和让IDS误报。,湖南大学 07-08学年第二学期,四、自身安全性 毫无疑问，IDS程序本身的健壮性是衡量IDS系统好坏的另一个指标。如上所述，Stick程序能让IDS停止响应，该IDS的健壮性就值得怀疑。,湖南大学 07-08学年第二学期,IDS的健壮性主要体现在两个方面: 一是程序本身在各种网络环境下都能正常工作; 二是程序各个模块之间的通信能够不被

10、破坏，不可仿冒。IDS用于各个模块间远程通信和控制，如果通信被假冒，比如假冒一个停止远程探测器的命令或者假冒告警信息，都是釜底抽薪的狠招。这就需要用户在模块间的通信过程中引入加密和认证的机制，并且这个加密和认证的机制的健壮性要经受过考验。如果模块间的通信被切断，则需要良好的恢复重传机制。告警信息暂时没有发送出去，并不是丢弃，而是要本地保存，在适当的时候再发送。,湖南大学 07-08学年第二学期,第 7.4节 IDS产品的选择,目前国内外的IDS产品种类比较多。总的来看，国内的IDS产品在功能上差异不是很大。对于一般的用户来说，选择一种适合自己使用的入侵检测系统，应考虑以下几方面的因素： 实际的

11、应用需要 产品的技术性能 产品的其他性能 IDS产品的价格 运行与维护系统的开销 是否通过了国家权威机构的评测,湖南大学 07-08学年第二学期,选购IDS的11点原则,目前，市场上的入侵检测产品大大小小有上百家，如何选择适合自己的产品，是一件摆在广大安全管理员和企业技术决策者面前很头痛的事。下面我们就根据产品的综合性能，谈谈采购过程中的基本原则。 1.产品的攻击检测数量为多少？是否支持升级？ IDS的主要指标是它能发现的入侵方式的数量，几乎每个星期都有新的漏洞和攻击方法出现，产品的升级方式是否灵活直接影响到它功能的发挥。一个好的实时检测产品应该能经常性升级，并可通过互联网或下载升级包在本地升

12、级。,湖南大学 07-08学年第二学期,2.对于网络入侵检测系统，最大可处理流量(PPS)是多少？ 首先，要分析网络入侵检测系统所布署的网络环境，如果在512K或2M专线上布署网络入侵检测系统，则不需要高速的入侵检测引擎，而在负荷较高的环境中，性能是一个非常重要的指标。 3.产品容易被攻击者躲避吗？ 有些常用的躲开入侵检测的方法，如：分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。产品在设计时是否考虑到这一点。,湖南大学 07-08学年第二学期,4.能否自定义异常事件？ IDS对特殊的监控需求只能通过用户自己定制监控策略实现。一个优秀的IDS产品，必须提供灵活的用户自定义策略能力，包括对

13、服务、访问者、被访问者、端口、关键字以及事件的响应方式等策略。 5.产品系统结构是否合理？ 一个成熟的产品，必须是集成了基于百兆网络、基于千兆网络、基于主机的三种技术和系统。 传统的IDS大多是两层结构，即“控制台探测器”结构，一些先进的IDS产品开始采用三层架构进行部署，即“控制台事件收集器安全数据库探测器”结构，对于大型网络来说，三层结构更加易于实现分布部署和集中管理，从而提高安全决策的集中性。如果没有远程管理能力，对于大型网络基本不具备可用性。,湖南大学 07-08学年第二学期,6.产品的误报和漏报率如何？ 有些IDS系统经常发出许多假警，假警报常常掩盖了真攻击。这些产品在假警报重负下一

14、再崩溃，而当真正攻击出现时，有些IDS产品不能捕获攻击，而另一些IDS产品的报告混杂在假警报中，很容易被错过。过分复杂的界面使关掉假警报非常困难，几乎所有IDS产品在默认设置状态下都会产生非常多的假警报，给用户带来许多麻烦。 7.系统本身是否安全？ IDS系统记录了企业最敏感的数据，必须有自我保护机制，防止成为黑客的攻击目标。,湖南大学 07-08学年第二学期,8.产品实时监控性能如何？ 由IDS通信造成的对网络的负载不能影响正常的网络业务，必须对数据进行实时分析，否则无法在有攻击时保护网络，所以必须考虑网络入侵检测产品正常工作的最大带宽数。,湖南大学 07-08学年第二学期,9.系统是否易用

15、？ 系统的易用性包括五个方面：界面易用全中文界面，方便易学，操作简便灵活。帮助易用在监控到异常事件时能够立刻查看报警事件的帮助信息，同时在联机帮助中能够按照多种方式查看产品帮助。策略编辑易用能否提供单独的策略编辑器？可否同时编辑多个策略？是否提供策略打印功能。日志报告易用是否提供灵活的报告定制能力。报警事件优化技术是否针对报警事件进行优化处理，将用户从海量日志中解放出来，先进的IDS能够将一定时间内的类似事件经过优化处理后合并进行报警，这样，用户面对的日志信息不仅更为清晰而且避免错过重要报警信息。,湖南大学 07-08学年第二学期,10.特征库升级与维护的费用怎样？像反病毒软件一样，入侵检测的

16、特征库需要不断更新才能检测出新出现的攻击方法。 11.产品是否通过了国家权威机构的评测？主要的权威评测机构有：国家信息安全评测认证中心、公安部计算机信息系统安全产品质量监督检验中心等。,湖南大学 07-08学年第二学期,第7.5节 IDS的发展方向,从最近几年的发展趋势看，入侵技术的发展与演化主要反映在下面几个方面：入侵和攻击的复杂化与综合化 ; 入侵主体的间接化 ; 入侵和攻击的规模扩大 ;入侵和攻击技术的分布化 ;攻击对象的转移 。 以下从五个方面详细介绍入侵检测技术的主要发展方向: ( 1 ) 改进检测方法，提高检测准确率，减少漏报和误报。 ( 2 ) 检测和防范分布式攻击和拒绝服务攻击

17、。 ( 3 ) 实现入侵检测系统与其他安全部件的互动。 ( 4 ) 入侵检测系统的标准化工作。 ( 5 ) 入侵检测系统的测试和评估。 进行测试评估的研究，几个比较关键的问题是：网络流量仿真、用户行为仿真、攻击特征库的构建、评估环境的实现和评测结果的分析。,湖南大学 07-08学年第二学期,无论从规模与方法上入侵技术今年来都发生了变化。入侵的手段与技术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面： (1)入侵或攻击的综合化与复杂化。入侵手段有多种，入侵者往往采取一种攻击手段。由于网络防范措施的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击时往往同时采用多种入侵手段，以保

18、证入侵的成功率，并可在攻击实施的初期掩盖攻击或入侵的真实目的。,湖南大学 07-08学年第二学期,(2) 入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。 通过一定的技术，可掩盖攻击主题的源地址及主机位置。即使用了隐蔽技术后，对于被攻击对象攻击的主题是无法直接确定的！ (3) 入侵或攻击的规模扩大。对于网络的入侵与攻击，在其初期往往是针对于某公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也不排除商业的盗窃与破坏行为。由于战争对于电子技术和网络技术的依赖性越来越大，随之产生、发展、逐步升级到电子战与信息战。对于信息战，无论其规模与技术都与一般意义上的计算机网络的入侵与攻击

19、都不可相提并论的。信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。,湖南大学 07-08学年第二学期,入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单击执行。由于防范技术的发展使得此类行为不能奏效。所谓分布式拒绝服务（DDOS）在很短的时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常的通信无差异，所以往往在攻击发动的初期不易被确认，分布式攻击是近期最常用的攻击手段。 攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的形势。现在已经有了专门针对IDS作攻击的报道。攻击者详细的分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点，然后加以攻击。,湖南大学 07-08学年第二学期,今后的入侵检测技术大致可朝下述三个方向。 分布式入侵检测：第一层含义，即针对分布式网络的攻击的检测方法；第二层含义即使用分布式的方法来实现分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。,湖南大学 07-08学年第二学期,智能化入侵检测：即使用智能化的方法与手段来进行入侵