网管员必读——网络安全(第2版)第六章.ppt

1、第六章 IDS与IPS,本章介绍的是IDS（入侵检测系统）和IPS（入侵防御系统）两种网络安全防护技术及应用。 本章重点如下: 什么是入侵检测系统及主要类型 主要IDS技术 主要IDS模型及各自特点 IDS工作原理 IPS工作原理 IPS的分类IDS的主要不足和IPS的主要优势 防火墙、IDS和IPS比较,6.1 入侵检测系统（IDS）基础,入侵检测系统（IDS，Intrusion Detection Systems）是目前预防黑客攻击应用最为广泛的技术之一。 6.1.1 入侵检测系统概述 入侵检测（Intrusion Detection，ID）就是对入侵行为的检测。它通过收集和分析计算机网络

2、或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（IDS）。 入侵检测系统通常包含3个必要的功能组件：信息来源、分析引擎和响应组件。目前，IDS策略按检测范围分为十二大类，其中包含了1400余种入侵规则，包括TCP、UDP、ICMP、IPX、HTTP、FTP、Telnet、SMTP、NFS、rsh、DNS、POP2、POP3、IMAP、TFTP、Finger、SSL、NETBIOS等协议类型。 具体内容参见书中介绍。,6.1.2 主要入侵检测技术,入侵检测系统中最核心的问题是数据分析技术，包括对原始数据的同

3、步、整理、组织、分类以及各种类型的细致分析，提取其中所包含的系统活动特征或模式，用于对正常和异常行为的判断。采用哪种数据分析技术，将直接决定系统的检测能力和效果。 数据分析技术主要分为两类：误用检测（Misuse Detection）和异常检测（Anomaly Detection）。误用检测搜索审计事件数据，查看是否存在预先定义的误用模式，其典型代表是特征模式匹配技术、协议分析技术和状态协议分析技术等；异常检测提取正常模式审计数据的数学特征，检查事件数据是否存在与之相违背的异常模式，其典型代表有统计分析技术、数据重组技术、行为分析技术。 除了以上两类主要数据分析技术外，研究人员还提出了一些新的

4、分析技术，如免疫系统、基因算法、数据挖掘、基于代理的检测等。 具体内容参见书中介绍。,6.1.3 主要入侵检测模型,如果按照检测对象划分，入侵检测技术又可分为“基于主机的检测”、“基于网络的检测”和“混合型检测”三大类。 1. 基于主机的检测（HIDS） 基于主机的入侵检测系统是早期的入侵检测系统结构，通常是软件型的，直接安装在需要保护的主机上。其检测的目标主要是主机系统和系统本地用户，检测原理是根据主机的审计数据和系统日志发现可疑事件。 这种检测方式的优点主要有：信息更详细、误报率要低、部署灵活。这种方式的缺点主要有：会降低应用系统的性能；依赖于服务器原有的日志与监视能力；代价较大；不能对网

5、络进行监测；需安装多个针对不同系统的检测系统。 2. 基于网络的检测（NIDS） 基于网络的入侵检测方式是目前一种比较主流的监测方式，这类检测系统需要有一台专门的检测设备。,检测设备放置在比较重要的网段内，不停地监视网段中的各种数据包，而不再是只监测单一主机。它对所监测的网络上每一个数据包或可疑的数据包进行特征分析，如果数据包与产品内置的某些规则吻合，入侵检测系统就会发出警报，甚至直接切断网络连接。目前，大部分入侵检测产品是基于网络的。 这种检测技术的优点主要有：能够检测那些来自网络的攻击和超过授权的非法访问；不需要改变服务器等主机的配置，也不会影响主机性能；风险低；配置简单。其缺点主要是：成

6、本高、检测范围受局限；大量计算，影响系统性能；大量分析数据流，影响系统性能；对加密的会话过程处理较难；网络流速高时可能会丢失许多封包，容易让入侵者有机可乘；无法检测加密的封包；对于直接对主机的入侵无法检测出。 3. 混合型（Hybrid） 基于网络的入侵检测和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是它们可以互补构成一套完整的主动防御体系，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。 具体内容参见书中介绍。,6.1.4 当前入侵检测技术的不足,目前的IDS还存在很多问题，主要表现在如下： 误报率高：主要表现为把良性流量误认为恶性流量进行误报。

7、还有些IDS产品会对用户不关心事件的进行误报。 产品适应能力差：传统的IDS产品在开发时没有考虑特定网络环境下的需求，适应能力差。入侵检测产品要能适应当前网络技术和设备的发展进行动态调整，以适应不同环境的需求。 大型网络管理能力差：首先，要确保新的产品体系结构能够支持数以百计的IDS传感器；其次，要能够处理传感器产生的告警事件；最后还要解决攻击特征库的建立，配置以及更新问题。 缺少防御功能：大多数IDS产品缺乏主动防御功能。 处理性能差：目前的百兆、千兆IDS产品性能指标与实际要求还存在很大的差距。,6.1.5 入侵检测技术发展方向,针对上节提及的入侵检测系统不足，业内相关人士同样拿出了以下一

8、些主要的应对方法： 改进分析技术 内容恢复和网络审计功能的引入 集成网络分析和管理功能 检测技术的分布化 转移检测的对象 智能化入侵检测 安全性和易用性的提高 改进对大数据量网络的处理方法 全面的安全防御方案具体内容参见书中介绍。,6.2 入侵检测原理和应用,6.2.1 入侵检测原理 从总体来说，入侵检测系统可以分为两个部分：收集系统和非系统中的信息然后对收集到的数据进行分析，并采取相应措施。 1. 信息收集 信息收集包括收集系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自：系统和网络日志文件、非正常的目录和文件改变、非正常的程序执行这三个方面。 2. 信号分析 对收集到的有

9、关系统、网络、数据及用户活动的状态和行为等信息，是通过模式匹配、统计分析和完整性分析这三种手段进行分析的。前两种用于实时入侵检测，完整性分析用于事后分析。 具体内容参见书中介绍。,6.2.2 JUMP入侵检测系统的技术应用,现在许多著名的入侵检测设备商在开发入侵检测产品时不再是采用单一的数据分析技术，多数是采取集成的方式将几种主要的数据分析技术综合在一起应用。如著名的网络设备商JUMP（捷普）公司的网络入侵检测系统就采用了“状态协议分析技术+状态转换技术+统计分析技术”相结合的技术思路来解决入侵检测问题。下面首先介绍的是以JUMP的入侵检测系统为例进行的入侵检测原理介绍。 1. 采取基于状态协

10、议分析的智能匹配算法 JUMP入侵检测系统会首先对于收到的数据包进行协议解析，根据解析结果，将数据包分流到不同的检测方法集。这种匹配算法有效减少目标的匹配范围，因为它首先过滤了冗余数据，所以极大提高了入侵分析的效率，同时也使系统对攻击检测更加准确。连接状态特性分析，即不仅仅检测单一的连接请求或响应，而是将一个会话的所有流量作为一个整体来考虑。,2. 采用基于状态转换分析技术来降低系统的误警率，并同时提高系统的检测精确性 当前入侵检测系统普遍存在的问题是有极高的误警率，JUMP公司采用状态转换分析这种优化的模式匹配技术来对数据进行处理。这种方法采用状态转移的表达式来描述已知的攻击模式，匹配的是网

11、络当前的状态变化，因此对于利用网络地址和协议进行欺骗的黑客攻击以及那些变体攻击和躲避技术都能迅速检测，使系统整体误警率很低。 3. 采用了基于统计分析的检测方法，对状态转换分析技术有益补充 入侵系统产出误警报高的数据，往往就是那些预先定义的匹配特征数量较少的攻击模式，对于状态转换来说绝大多数就是那些只有一次状态转换的入侵模式。JUMP把这部分数据作为统计分析技术的数据源，应用基于概率统计的分析方法，定义入侵的判断阈值，检测数据当超过定义的阈值时就报警。经过层层的过滤，JUMP入侵检测系统就能给用户提供的是一个有高可用性和实际价值的产品。 采用上面的检测技术后，JUMP网络入侵检测系统已经具有了

12、全新定义的全面、准确、高效、快速等特点。使用以上三种技术的JUMP入侵检测系统应用结构如下图所示。,具体内容参见书中介绍。,6.3 分布式入侵检测系统,由于传统入侵检测技术的种种不足，加上新型的分布式入侵和攻击行为的频繁出现，所以一种新型的入侵检测技术就诞生了，那就是分布式入侵检测系统（DIDS）。它包括两方面的含义：首先它是针对分布式网络攻击的检测方法；其次使用分布式方法检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息提取。 6.3.1 分布式入侵检测框架及检测机制 随着高速网络的发展，网络范围的拓宽，各种分布式网络技术、网络服务的发展，使原来的网络入侵检测很难适应现

13、在的状况。因此有必要把检测分析过程也实现分布化。在分布式结构中，n个检测器分布在网络环境中，直接接受sensor（传感器）的数据，有效的利用各个主机的资源，消除了集中式检测的运算瓶颈和安全隐患；同时由于大量的数据用不着在网络中传输，大大降低了网络带宽的占用，提高了系统的运行效率。,在安全上，由于各个监测器分布、独立进行探测，任何一个主机遭到攻击都不影响其他部分的正常工作，增加了系统的安全性。 由于大部分检测工作都转移到各个相关主机上，每个detector利用数据库保存自己的状态及攻击特征知识库，受这些主机上资源的限制，并不能实现复杂的入侵检测功能。同时由于信息的分布，在针对高层次攻击像协同攻击

14、上，需多个检测进行协同处理。因此在检测体系中往往考虑采用分层结构，利用多个detector组合形成一个高层次的检测结构，信息在该结构中层层检测，层层提炼。在树形分层体系中，最底层的检测器群体为collection nodes（收集节点），负责收集所有的信息，并对信息进行最基本的处理，完成简单判断和处理任务。其特点是处理数据量大、速度快、效率高，但只能对简单的攻击进行检测。第二类节点是aggregation nodes（代理节点），起到承上启下的作用，每个节点都维持与之相连的下级节点链表，负责管理子节点和接收子节点处理后的数据，在进行高层次的关联分析、判断、输出判断结果 。在收集节点与comma

15、nd and control nodes（命令与控制节点）中间加入代理节点，可减轻中央控制的负担，增强系统的可伸缩性。,6.3.2 分布式入侵检测系统的协同机制,分布式DIDS协同作战的目的是让入侵检测充分考虑攻击行为的特征和网络安全的整体性与动态性，以提高入侵检测能力和网络系统的安全防护能力。协同的概念包括三层含义：数据采集协同、数据分析协同和响应协同。 1. 数据采集协同 入侵检测需要采集动态数据和静态数据。基于网络的IDS，仅在网络层对原始的IP包进行检测，已不能满足日益增长的安全需求。基于主机的IDS，通过直接查看用户行为和操作系统日志数据来寻找入侵，却很难发现来自底层的网络攻击。在数

16、据采集上进行协同并充分利用各层次的数据，是提高入侵检测能力的首要条件。 2. 数据分析协同 数据分析协同需要在两个层面上进行：一是对一个检测引擎采集的数据进行协同分析，综合使用模式匹配和异常检测技术等，以发现较为常见的、典型的攻击行为；,二是对来自多个检测引擎的审计数据，利用数据挖掘技术进行分析，以发现较为复杂的攻击行为。 3. 响应协同在这一协同方面，又主要体现在以下几个方面： IDS与防火墙的协同 其原理是通过在防火墙中驻留的一个IDS Agent对象，以接收来自IDS的控制消息，然后再增加防火墙的过滤规则，最终实现联动。 IDS与防病毒系统的协同 一方面，对越来越多来自网络的病毒攻击，I

17、DS可能根据某些特征做出警告。另一方面，由于IDS本身并不是防病毒系统，对网络中的主机是否真的正在遭受计算机病毒的袭击并不能非常准确的预报。如果能与防病毒系统协同，就可有针对性的对IDS的病毒报警信息进行验证，对遭受病毒攻击的主机系统进行适当的处理。 IDS与蜜罐系统协 “蜜罐”是试图将攻击者从关键系统引诱开的诱骗系统。通过它就很可能检测到攻击者。 具体内容参见书中介绍。,6.3.3开放式DIDS基本系统架构及设计考虑,从数据组织层次上，分布式入侵检测系统的体系结构由五个部分组成，如下图所示。,IDS对入侵的检测分为防护和检测两个部分。一般可以把扫描系统集成到IDS系统中，这样系统对自己的内部

18、网络以及提供的各种服务进行有效的扫描，发现常见的漏洞。,对于一个分布式系统，把扫描系统可以和安全网关结合在一起，或者单独拿出来作为一个系统模块，或者集成到IDS系统中，都是可以的。 现在的大部分DIDS系统都是基于Agent（代理）的体系架构，这样一个开放的系统的Agent体系结构首先是满足可扩展性。Mark Reilly and Manrean Stillman在他们的论文Open Infrastructure for scalable Intrusion Dectection中，给出了一个其于代理技术的分布式入侵检测系统的体系层次结构。如下图所示。 设计DIDS系统时需要考虑的问题如下：

19、DIDS系统由于是在分布式系统上面实现的，各个主机传送到中央处理的数据也许是有不同的格式。在异构的环境下面，要把不同的数据格式转换成统一的数据处理格式。 网路数据传送的保密性和安全信，以及可认证性问题。由于采取的DIDS也是要通过内部网络，甚至是公共的交换网络通信，保密性和可认证性是不和分的。,服务器端采取什么样的数据采集方式。可以是主机自动在一定时间内向管理中心发送主机入侵情况报告，也可以是管理中心向各个主机轮询，得到数据。 具体内容参见书中介绍。,图4-3 基于代理的分布式入侵检测系统架构,6.4 典型入侵检测产品简介,6.4.1 金诺网安入侵检测系统KIDS KIDS将主机入侵检测和网络

20、入侵检测相结合，分别从计算机和网络的各个关键点收集违反安全策略的行为和被攻击的迹象，并且可根据用户的需要实时报警和响应。 1. KIDS特点 在管理和产品部署结构上，KIDS系统具有安装快捷，部署灵活，升级简便，维护成本低，可用性强等优点。另外，它采用了独有的SafeBoot专利技术，具有“即插即用”、“直接引导”和“防篡改”等优点。 KIDS采用了智能的检测技术，综合了特征匹配、协议分析和流量异常监测等多种检测技术的优点；具有完善的攻击事件库，并与国际上标准的漏洞库CVE、BugTraq和Whitehats等保持兼容。KIDS能检测端口扫描、蠕虫病毒和各种拒绝服务攻击等具有“多会话形式”特点

21、的攻击。2. KIDS的组成 KDIS检测系统，具有如下功能模块：,管理中心KMC 控制台（KIDS Console，KC） 事件处理器（KIDS Event Processor，KEP） 数据库管理工具（KIDS Database Tool，KDT） 策略编辑器（KIDS Policy Editor，KPE） 响应器（KIDS Responder，KR） 报表分析工具（KIDS Reporter and Analyzer，KRA） 网络传感器（KIDS Network Sensor，KNS） 主机传感器（KIDS Host Sensor，KHS）3. KIDS主要功能 KDIS的主要功能如下

22、: 识别各种黑客攻击或入侵的方法和手段 监控内部人员的误操作、资源滥用或恶意行为 实时的报警和响应，帮助用户及时发现并解决安全问题 核查系统漏洞及后门 协助管理员加强网络安全的管理以上具体内容参见书中介绍。,6.4.2 华强IDS,1. 华强IDS组成 华强入侵检测系统是一套基于网络的分布式入侵检测系统。主要由两个部分组成：响应控制台和探测引擎。 探测引擎是安装在计算机局域网上的物理设备。它可以同时监控两个网段，主要功能是采集网络上的数据包信息，按照设定的规则过滤出相关的数据，对于入侵或非法登录实时报警或切断，同时向监控中心发送报警信息。 2. 响应控制台 控制台是整个网络预警监控系统的集中显

23、示和控制软件系统，它负责接收分布在TCP/IP网络上的探测引擎传送的网络预警信息，处理这些信息，并提供报警显示，同时它还要负责控制探测器系统的运行状态，提供对预警信息的记录和检索、统计功能。,2. 华强IDS的应用 对于不同的网络结构和应用目的，华强入侵检测系统安装方式和策略配置都应当有所不同。下面左图示例说明系统在简单集线器或交换机网络中基本网络应用网络结构。华强入侵检测建议与防火墙配套使用，并结合网络安全扫描系统，构建安全的、全面的网络拓扑。下面右图所示的是华强入侵检测系统在用户中应用的一般网络结构图。 以上具体内容参见书中介绍。,6.4.3 冰之眼网络入侵检测系统,“冰之眼”网络入侵检测

24、系统是承绿盟科技公司的一款软、硬结合的入侵检测系统。 1. 冰之眼网络入侵检测系统主要功能 “冰之眼”网络入侵检测系统的主要功能如下： 检测来自数千种蠕虫、病毒、木马和黑客的威胁。 检测来自拒绝服务攻击的威胁。 检测您的网络因为各种IMS（实时消息系统）、网络在线游戏导致的企业资源滥用。 检测P2P应用可能导致的企业重要机密信息泄漏和可能引发与版权相关的法律问题。 保障您的电子商务或电子政务系统24x7不间断运行。 险期限提高企业整体的网络安全水平。 降低企业整体的安全费用和对于网络安全领域人才需求。 迅速定位网络故障，提高网络稳定运行时间,2.产品架构 “冰之眼”入侵检测系统由网络探测器、S

25、SL加密传输通道、中央控制台、日志分析系统、SQL日志数据库系统及绿盟科技中央升级站点几部分组成。相互关系如下面左、右图连接而成。,以上具体内容参见书中介绍。,6.4.4 黑盾网络入侵检测系统（HD-NIDS）,黑盾网络入侵检测系统（HD-NIDS）是福建省海峡信息技术有限公司开发的分布式网络入侵检测软件系统。 1. HD-NIDS的体系结构 HD-NIDS具有多层体系结构，由Agent（代理支）、Console（控制层）和Manager（管理层）三部分组成。Agent负责监视所在网段的网络数据包，将检测到的攻击及其所有相关数据发送给管理器。Console负责从代理处收集信息，显示所受攻击信息

26、，使你能够配置和管理隶属于某个管理器的代理。Manager对配置和攻击警告信息响应，执行控制台发布的命令，将代理发出的攻击警告传递给控制台。 2. HD-NIDS的实时攻击检测功能 HD-NIDS可以检测的主要攻击包括： 多种DoS攻击 检测多种DDoS攻击 检测被保护的子网中是否存在后门和木马程序,检测多种针对Finger服务的攻击 检测多种针对FTP服务的攻击 检测基于NetBIOS的攻击 检测缓冲区溢出类型的攻击 检测基于RPC的攻击 检测基于SMTP的攻击 检测基于Telnet的攻击 检测网络上传输的病毒和蠕虫 检测针对CGI的攻击 检测针对WebServer的FrontPage和Co

27、ldFusion扩展进行的攻击 检测针对IISserver进行的攻击 检测利用ICMP进行的扫描和攻击 检测利用Traceroute对网络的探测 检测ActiveX、JavaApplet的传输3HD-NIDS的网络应用（略）以上具体内容参见书中介绍。,6.5 IPS,IPS （Intrusion Prevention System，入侵防御系统）技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。简单地理解，可认为IPS就是防火墙加上入侵检测系统，在IDS监测的功能上又增加了主动响应的功能。 6.5.1 IPS的产生 IPS的产生就是因为I

28、DS只能发现入侵，但不能主动抵御入侵。IPS既可以做到及时发现入侵，又能主动抵御入侵。但是，IPS在设计上解决了IDS的一些缺陷。 IPS位于防火墙和网络的设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其他地方之前阻止这个恶意的通信。相比之下，IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。 以上具体内容参见书中介绍。,6.5.2 IPS工作原理,IPS的基本工作原理如下图所示。首先数据包在流入IPS设备时就要在一个入口处进行数据包分类，依据就是数据包报头和流信息。对于不完整或者不符合分类标准的数据包予以丢弃。通过的数据进入对应的过滤器，根据过滤器中所设置的不同攻击行为特征进行数据包检查。,具体工作原理参见书中介绍。,如果符合了其中的攻击行为特征，则把相应数据包标记为“命中”。被标记为“命中”