CIW-14(入侵检测技术).ppt

1、CIW网络安全认证培训,第九讲 入侵检测技术,内容,什么是入侵检测系统 入侵检测系统的作用 入侵检测系统的发展历史 为什么需要入侵检测系统？ IDS的主要类型 主机入侵检测系统 网络入侵检测系统 网络入侵检测系统的工作原理 基于网络层的规避及对策,什么是入侵检测系统,IDS（Intrusion Detection System）就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。 入侵检测系统作为对防火墙和访问控制系统的补充组件，它可以帮助企业抵制来自内部、远程、乃至授权用户所进

2、行的网络探测、系统误用和其他恶意行为。 而且，作为一套安全战略工具，它还可帮助网络安全管理人员制定杜绝未来攻击的可靠应对措施。,入侵检测系统的作用,Firewall,Servers,DMZ,Intranet,监控中心,router,攻击者,报警,报警,入侵检测系统的发展历史,1980年4月，James P. Anderson为美国空军做了一份题为Computer Security Threat Mon itoring and Surveillance（计算机安全威胁监控与监视）的技术报告，第一次详细阐述 了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部 渗透、内

3、部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的 思想。这份报告被公认为是入侵检测的开山之作。,入侵检测系统的发展历史,从1984年到1986年，乔治敦大学的Dorothy Denning和SRI/CSL（SRI公司计算机科学实验室） 的Peter Neumann研究出了一个实时入侵检测系统模型，取名为IDES（入侵检测专家系统）。 该模型由六个部分组成：主体、对象、审计记录、轮廓特征、异常记录、活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。 1988年，SRI/CSL的Teresa Lunt等人改进了Denning的入侵

4、检测模型，并开发出了一个IDES。 该系统包括一个异常检测器和一个专家系统，分别用于统计异常模型的建立和基于规则的特征分析检测,入侵检测系统的发展历史,1990年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的L. T. Hebe rlein等人开发出了NSM（Network Security Monitor）。该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从此之后，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS 。,为什么需要入侵检测系统？,防范透过防火墙的入侵 利用应用系统漏洞实施

5、的入侵 利用防火墙配置失误实施的入侵 防范来自内部网的攻击行为 内部网的攻击占总的攻击事件的70以上 没有检测的内部网是内部人员的“自由王国” 对网络攻击行为的审计,IDS的主要类型,主机入侵检测系统 Host Intrusion Detection 网络入侵检测系统 Network Intrusion Detection,主机入侵检测系统,安装于被保护的主机中，适应加密环境，判断攻击准确 主要分析主机内部活动 系统日志 系统调用 文件完整性检查 占用一定的系统资源 网络视野较小 存在跨平台的问题 无法和商用操作系统的内核无缝集成 管理和实施复杂,网络入侵检测系统,安装在被保护的网段中，以混杂

6、模式监听 分析网段中所有的数据包，实时检测和响应 独立于操作系统 攻击者很难毁灭证据 不会增加网络中主机的负载 对加密通信无能为力 不能预测命令的执行后果 带宽问题,常见的网络入侵检测系统功能,检测黑客、蠕虫病毒、木马等网络攻击行为 检测网络游戏、BT下载、在线视频等网络滥用行为； 实现连接回放，再现用户的网络通讯行为； 图形化的网络流量监控和统计功能； 自定义规则，实现网络内容监控功能，进行URL限制和字匹配扫描； 联动防火墙或者其他网络设备,网络入侵检测系统的工作原理,1、捕获数据包 2、分析数据包 3、检测数据包 4、响应,1、捕获数据包,网络入侵检测系统要实现对网络中网络行为的实时检测

7、，首先要能够捕获网络中传输的数据包。我们通常将网络入侵检测系统部署在网络中的关键位置，以混杂模式进行监听，确保网络入侵检测系统能捕捉到所需的数据包。 常见的网络入侵检测系统结构 传感器（Sensor） 负责采集数据、分析数据并生成安全事件，通常为硬件设备 控制台（Console） 主要起到中央管理的作用，通常为图形界面的软件程序,网络入侵检测系统的结构,控制台 包含日志分析软件 探测器,在共享环境下,HUB,IDS Sensor,Console,Monitored Servers,在交换环境下,Switch,IDS Sensor,Monitored Servers,Console,通过端口镜像

8、实现 （SPAN / Port Monitor）,精细管理方案,小型企业,目标单位,基于对象的策略管理 每个虚拟系统分别执行不同的安全策略，实现面向不同对象、实现不同策略的智能化入侵检测,设计要点,集中管理方案,中型企业,目标单位,部署在多个关键网段 ，实现多处监控 集中管理，便于安全信息收集,设计要点,中型企业,分级管理方案,大型企业,目标单位,适应于广域网部署 统一管理，分层检测，保证总部和各分支机构的安全策略的统一性 重点检测广域网内部的蠕虫、病毒和黑客攻击，保护整个网络,设计要点,2、分析数据包,基于简单包匹配的分析 基于状态的数据包分析 基于高层协议的分析,基于高层协议的分析,检测要

9、点 TCP协议：protocol:tcp 目地端口21：dst port:21 必须是已经建立的连接：conn_status:established（TCP层状态跟踪） 必须是FTP已经登录成功：ftp_login:success协议命令分析，把cd命令与后面的参数分开来，看cd后面是目录名是否为“.%20.”：ftpcomm_cd_para:” .%20.”（协议解码） 分析下一个服务器回应的包，是“250”（成功）还是“550”（失败）ftp_reply:”250”|”550” 很难让这种分析产生误报和漏报，而且还能跟踪攻击是否成功。,3、检测数据包,基于特征（Signature-base

10、d）：运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。 维护一个入侵特征知识库 准确性高 不能发现未知的攻击手法 基于异常（Anomaly-based）：根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测。 与系统相对无关，通用性强 可以发现未知的攻击手法 误报较多,基于特征的检测-专家系统,将有关入侵的知识转化成if-then结构的规则，即将构成入侵所要求的条件转化为if 部分，将发现入侵后采取的相应措施转化成then部分。 当其中某个或某部分条件满足时，系统就判断为入侵行为发生。 其中的if-then结构构成了描述具体攻击的规则库，

11、状态行为及其语义环境可根据审计事件得到，推理机根据规则和行为完成判断工作。,基于特征的检测-模型推理,模型推理是指结合攻击脚本推理出入侵行为是否出现。 其中有关攻击者行为的知识被描述为：攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特殊使用等。 根据这些知识建立攻击脚本库，每一脚本都由一系列攻击行为组成。,基于特征的检测-状态转换分析,状态转换法将入侵过程看作一个行为序列，这个行为序列导致系统从初始状态转入被入侵状态。 分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的转换条件，即导致系统进入被入侵状态必须执行的操作(特征事件)。 然后用状态转换图来表示每

12、一个状态和特征事件，这些事件被集成于模型中，所以检测时不需要一个个地查找审计记录。但是，状态转换是针对事件序列分析，所以不善于分析过分复杂的事件，而且不能检测与系统状态无关的入侵。,基于异常的检测-神经网络方法,基本思想是用一系列信息单元(命令)训练神经单元，这样在给定一组输入后，就可能预测出输出。当前命令和刚过去的w个命令组成了网络的输入，其中w是神经网络预测下一个命令时所包含的过去命令集的大小。 根据用户的代表性命令序列训练网络后，该网络就形成了相应用户的特征表，于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。目前还不很成熟。,基于异常的检测。,特征选择异常检测方法 贝

13、叶斯推理异常检测方法 贝叶斯网络异常检测方法 模式预测异常检测方法 机器学习异常检测方法 数据挖掘异常检测方法 。,4、响应策略,切断网络连接 执行特定程序 E-mail、短信、声音报警 写入实时安全日志记录 与其他安全产品交互 Firewall SNMP Trap,网络入侵检测的工作流程,基于网络层的规避及对策,理论 1998年1月Ptacek&Newsham论文：Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection 主要思想 一个网络上被动的设备很难只根据网络上的数据预计受保护的终端系统

14、的行为，利用IDS对数据包的分析处理方式与终端服务器TCP/IP实现方式的不同，进行插入、逃避及拒绝服务攻击，使IDS无法正确地检测到攻击。,对数据包的不同处理方式,当处理到重叠的TCP/IP分片时，有些系统保留新数据，有些系统保留老数据，IDS处理重叠时可能与终端系统不同 Windows NT 4.0保留老数据 Linux保留新数据 终端系统可能会丢弃某些带了不被支持或不寻常的TCP/IP选项的数据包，IDS则可能还会处理那些包 终端系统可能被配置成丢弃源路由的包 终端系统可能丢弃有老时间戳的包 终端系统可能丢弃某些带有特殊TCP/IP选项组合的包 因为网络拓扑与数据包TTL值的设置，IDS

15、和终端系统可能收到不同的数据包,更多的不同,在进行TCP/IP分片的重组时，IDS与终端系统的所设定的超时可能不同，造成重组的结果不同 IDS与终端系统的硬件能力不同，导致一方能够完成的重组对另一方来说不可能完成 所有以上这些的不同，使下面的这几种攻击成为可能。,插入攻击,在数据流中插入多余的字符，而这些多余的字符会使IDS接受而被终端系统所丢弃。,逃避攻击,想办法使数据流中的某些数据包造成终端系统会接受而IDS会丢弃局面。,snot攻击,IDS本身的资源也是有限的，攻击者可以想办法使其耗尽其中的某种资源而使之失去正常的功能：如snot攻击 CPU，攻击者可以迫使IDS去执行一些特别耗费计算时

16、间而又无意义的事 内存，连接状态的保留、数据包的重组都需要大量的内存，攻击者可以想办法使IDS不停的消耗内存 日志记录空间，攻击者可以不停地触发某个事件让IDS不停地记录，最终占满记录空间 IDS需要处理网络上所有的数据包，如果攻击者能使IDS所在的网络达到很高的流量，IDS的检测能力将急剧下降,入侵检测系统标准化的发展,CIDF(Common Intrusion Detection Framework，公共入侵检测框架)-美国国防高级研究计划署（DARPA）发起 事件产生器 事件分析器 响应单元 事件数据库 IDEF（Intrusion Detection Exchange Format，入侵检测数据交换格式） IETF的入侵检测工作组（IDWG） 入侵检测消息交换格 式（IDMEF） 入侵检测交换协议（IDXP） 隧道轮廓（Tunnel Profile）,检测分析技术的发展,专家系统 神经网络 基于模型推理的入侵检测技术 关联分析技术,产品,免费 Snort SHADOW /ISSEC/CID/,产品,商业 CyberCop M