入侵检测与防火墙1.ppt

1、入侵检测与防火墙,郭庆北 2007-9-10,试验,1.个人防火墙配置 了解个人防火墙的安装配置，以及技术原理 2.Snort安装配置使用 在学习使用Snort开源软件,导弹防御系统,第1讲 入侵检测基本内容,网络入侵案例 对入侵检测的需求 基于攻击模式的网络攻击类型 基于攻击发起者的网络攻击类型 常见的网络攻击 入侵检测系统模型 入侵检测系统分类 入侵检测系统部署 入侵检测技术,网络入侵案例,案例1 北京珠穆朗玛网络技术有限公司诉北京百度网讯科技有限公司通过发动DDOS攻击实施不正当竞争行为并索赔1500万元一案，于今天上午在北京市第一中级人民法院进行公开开庭审理。这起案件被称为全国首例网络

2、攻击案，受到了新闻媒体和社会各界，尤其是IT领域的广泛关注。,案例2 美国东部时间5月7日下午(北京时间5月8日凌晨)，美国白宫官员表示，他们目前仍旧无法确定5月4日对美国白宫网站实施“拒绝服务攻击”的黑客究竟来自何方。 美国白宫发言人杰米-奥尔表示，5月4日的攻击行动大约发生在早上8:00(北京时间5月4日晚9:00)，它使美国白宫网站的服务受到影响，并使网站访问在上午9:00到11:15(北京时间5月4日晚10:00到5月5日凌晨0:15)之间完全被阻断。目前技术人员们正在采取措施加强白服务器的安全保障。,对入侵检测的需求,利益的驱使 个人能力显示的动机驱使 网络攻击工具的唾手可得 黑客的

3、相对隐藏性 对网络的访问简单而广泛,基于攻击模式的网络攻击类型,拒绝服务攻击（DoS）：这种攻击都是通过很大范围访问提供的服务，其范围之大使得服务器或者网络提供正常服务的能力很大程度上被削弱。 网络访问攻击：入侵者获取对网络资源的未授权访问，并利用此访问执行任意数量的未授权的甚至是非法的行为攻击。 网络访问攻击又可进一步分为：数据访问和系统访问 请问：攻击和病毒是不是一回事。,基于攻击发起者的网络攻击类型,由受信任的（内部）用户发起的攻击 由不受信任的（外部）用户发起的攻击 由没有经验的“脚本少年”黑客发起的攻击 由有经验的“专业”黑客发起的攻击,常见的网络攻击,拒绝服务攻击（DoS） 1.旨

4、在资源耗尽的开发 针对网络的CPU资源或者网络根据连接速度提供给用户的带宽。 2.旨在导致常规操作系统立即停止的开发 针对操作系统或者协议的脆弱性使系统崩溃。,资源耗尽类型的DoS攻击 1.简单的DoS攻击 单个攻击者发起的对一个或者多个对象的资源耗尽攻击。攻击者可能使用欺骗方法假装攻击来自于大范围内的IP地址，实际来自攻击者。 实例包括TCP SYN洪泛、Smurf攻击和不同的分组风暴。,Internet,（1）源IP地址不被使用的SYN,（2）不会得到响应的SYN-ACK,（3）源IP地址不被使用的SYN,（4）不会得到响应的SYN-ACK,（n）源IP地址不被使用的SYN,（n+1）不会

5、得到响应的SYN-ACK,TCP SYN 洪泛 DoS攻击,SYN-ACK永远得不到ACK响应，三次握手不能正常进行，耗费服务器端存储空间和CPU资源。 定时器机制失去意义。,IDS如何阻止这种攻击？ IDS通过查找SYN洪泛的行为模式来检查攻击，大多数的基于网络的IDS能够检测到SYN洪泛并且重置连接，回收服务器的资源。,2.Smurf攻击 Attacker向一个具有大量主机和因特网连接的网络的广播地址（如206.121.73.255）发送一个欺骗性ECHO请求。路由器在收到该广播分组后，会对本地网段中的所有主机进行广播。所有主机都回向欺骗性分组的IP地址发送ECHO响应信息。,IDS如何阻

6、止这种攻击？ Smurf依靠欺骗性源地址发送ECHO请求，IDS通过检查IP地址的合法性防止这种攻击。,3.分布式拒绝服务攻击 有大量的攻击机器对受害机器进行的攻击。 实例包括Trinoo、TFN、TFN2K和Stacheldraht等。,安全性受到威胁的主机,Master,Daemon,Daemon,udp31335,udp27444,Master,Daemon,Daemon,udp31335,udp27444,Master,Daemon,Daemon,udp31335,udp27444,受害者,Trinoo 网络攻击,udp Flood,安全性受到威胁的主机,Client,Daemon,D

7、aemon,ICMP Echo Replied,Tcp,Udp,Client,Daemon,Daemon,ICMP Echo Replied,Tcp,Udp,Client,Daemon,Daemon,ICMP Echo Replied,Tcp,Udp,受害者,TFN 网络攻击,ICMP Flooding SYN Flooding Smurf,安全性受到威胁的主机,Handler,Agent,Agent,Tcp,ICMP echo Replied,Handler,Agent,Agent,Tcp,ICMP echo Replied,Handler,Agent,Agent,Tcp,ICMP echo

8、 Replied,受害者,Stacheldraht 网络攻击,ICMP Flooding UDP Flooding SYN Flooding,Trinoo DDoS网络的建立遵循以下步骤： 1.攻击者使用一个通常是不安全的帐号搜集到一组安全性较差的机器。 2.一旦搜集到这样的一组安全性较差的主机，就会运行脚本程序对它们发起攻击并将它们转换成主控端或者端口监控程序。一个主控端可以控制多个端口监控程序。端口监控程序是在收到主控端提供的受攻击的IP地址之后，真正向受害主机发送大量UDP分组的机器。,3.当攻击者在主控端上发出一个命令之后，就发起DDoS攻击。 4.攻击由发向主控端命令里的受害IP地址

9、的UDP分组组成，接收端口是随机的。攻击源IP地址是不欺骗的。可以用不同的命令对分组的大小以及攻击持续的时间进行指定。分组的内容是相当随机的，大多数情况下是取后台程序所在主机上的随机存储器中的随机存储内容。,IDS如何阻止这种攻击？ IDS的监测主要基于主控端和受控端之间的通信所暴露的蛛丝马迹。IDS签名能够识别Trinoo网络中主控端和端口监控程序之间的流量。这些工具大都使用回送应答进行通信，所以IDS特征可以留意那些没有先前的回送发出却能出现的回送应答。,导致常规操作系统立即停止的攻击 1.死亡之Ping攻击 最大IP分组长度为65535字节，传输线路中的分组的实际大小是由IP MTU决定

10、。大多数操作系统都没有处理超出65535字节大小的IP分组的能力。一般说来即使收到大于65535字节的分组时就将它丢弃，但它还会在处理这种非法之前对分组进行重新组装，总长度超出合法的限制，导致操作系统缓冲区溢出，系统崩溃或挂起。,IDS如何阻止这种攻击？ IDS识别这种攻击，通常是查看IP头协议域设置为1（ICMP），最后一个片断位置以及（IP偏移*8）+（IP数据长度）65535的分组片断。,2.Land.c攻击 在Land.c攻击中，攻击者向一台主机发送源IP地址和目的IP地址都设置为该主机IP地址的TCP SYN分组，源端口和目的端口也设置为同样的值。一旦接收到一个SYN分组，主机就会向

11、它自身发送一个SYN-ACK分组作为响应，TCP例程等待ACK分组以完成TCP握手过程。却等到有相同TCP序号的SYN-ACK分组。再次发送。,操作系统陷入这种无休止的循环之中，或者渐渐慢下来，最后导致崩溃；或者出现核心处理混乱。,IDS如何阻止这种攻击？ IDS对于检测Land.c攻击的实现，一般是查看源IP地址和目的IP地址相同的IP分组（不可能IP分组）。,网络访问攻击 1.缓冲区溢出 缓冲区溢出是当前Internet中最为广泛的脆弱性。缓冲区溢出导致一部分数据覆盖缓冲区存储区域的近邻区域。,这是将要跳转 到下一个存储 空间所存储的 地方,缓冲区溢出用 来修改返回地 址，使其能被 黑客所

12、利用。,缓冲区溢出攻击,栈顶,栈底,IDS如何阻止这种攻击？ IDS通过检查有过大嫌疑或数据长度不正常的数据元素，防止缓冲区攻击。,2.权限提升 攻击者利用不同的方式获取超出他应得的对系统资源的访问权限。 Unicode Exploit 操作系统安全例程大都是通过检查无格式的ASCII字符来防范由安全缺口造成的各种攻击企图。 “././winnt/system32/cmd.exe”，IIS代码密切注意“././”字符。,对“././winnt/system32/cmd.exe”的Unicode编码是“.%c1%pc./winnt/system/system32/cmd.exe”。,入侵监测系统

13、模型,CIDF模型（Common Intrusion Detection Framework） 阐述了一个入侵检测系统的通用模型，内容包括IDS的体系结构、通信机制、描述语言和应用编程接口（API）等4个方面。,输入：原始事件源,输出：事件的存储信息,输出：原始或低级事件,输出：高级中断事件,输出：反应或事件,监控、分析用户和系统的活动 入侵检测系统能够完成入侵检测任务的前提条件； 收集信息包括以下4个方面： (1)系统和网络日志 (2)目录和文件中的不期望的改变 (3)程序执行中的不期望行为 (4)物理形式的攻击信息,发现入侵企图或异常现象 IDS的核心功能；包括两个方面： IDS对进出网络

14、或主机的数据流进行监控，看是否存在对系统的入侵行为，作用是在入侵行为发生时及时发现，从而避免系统遭受攻击； 评估系统关键资源和数据文件的完整性，看系统是否已经遭受了入侵，作用是通过攻击行为留下的痕迹了解攻击行为的一些情况，从而避免再次遭受攻击。,记录、报警和响应 IDS首先记录攻击的基本情况，其次及时发出报警； 好的IDS，不仅应该能把相关的数据记录在文件或数据库中，还应该能提供好的报表打印功能，还应该采取必要的响应行为； 实现与防火墙等安全部件的响应互动，是IDS需要研究和完善的功能之一。,入侵检测系统分类,根据检测原理 异常入侵检测（也被称为基于行为的检测） 试图建立主体正常活动的“行为模

15、型”或轮廓。进行检测时，将当前主体活动状况与“行为模型”比较，发生显著偏离时则认为该活动可能是入侵行为。 其难点在于如何建立“行为模型”以及如何设计统计方法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。,误用入侵检测（也被称为基于知识的检测） 通过对比已知攻击手段及系统漏洞的模式特征来判断系统中是否有入侵发生。具体说，根据静态的、预先定义好的模式集合来过滤数据流，一旦发现数据包特征与某个模式特征相匹配，则认为是一次入侵。 可以将已有的入侵方式检查出来,但对新的入侵方式无能为力。 请问：如何建立匹配模式,你怎么看这个问题？,根据体系结构 集中式 有多个分布于不同主机上的审计程序，只有

16、一个中央入侵检测服务器； 审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理； 这种结构的IDS在可伸缩性、可配置性方面存在致命缺陷。,等级式（部分分布式） 定义若干个分等级的监控区域，每个IDS负责一个区域，每一级IDS只负责所监控区的分析，然后将当地的分析结果传送给上一级IDS。 存在的问题： 当网络拓扑结构发生改变时，区域分析结果的汇总机制也需要做相应的调整； 这种结构的IDS最后还是要把各地收集到的结果传送到最高级的监测服务器进行全局分析，系统的安全性没有实质性的改进。,协作式（分布式） 将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当

17、地主机的某些活动； 可伸缩性、安全性得到了提高，维护成本也高了很多，主机的工作负荷也增加了。,根据工作方式 离线检测 非实时工作的系统，在事件发生后分析审计事件，从中检查入侵事件； 成本低，可分析大量的事件，调查长期的情况； 由于在事后进行分析，不能对系统提供及时的保护。 在线检测 对网络数据包或主机的审计事件进行实时分析； 可以快速反应，保护系统的安全； 系统规模较大时，难以保证实时性。,入侵检测系统部署,IDS探测器可以放置的地方： Extranet保护对受信任的部分网络流量进行检测。 Intranet/internal保护保护数据中心和关键系统免收内部安全威胁。 Internet保护保护

18、不受外部不受信任的公共网络的安全威胁。 远程访问保护通过监视远程用户来加强周边控制。 Server farm保护保护电子商务服务器免受攻击和安全威胁。,协同网络,远程/分支办公室,数据中心,工作站服务器集群,远程访问,商业合作者访问,Extranet连接,Internet连接,Internet,IDS探测器放置在网络中典型的位置,关键服务器和资源,探测器和管理控制台的内部交互 IDS入侵检测过程： (1)探测器通过检测接口捕获网络分组。 (2)如果需要的话，对分组进行重组，并与规则集进行比较。 (3)如果监测到攻击，探测器进行记录，并通过命令和控制接口通知管理监控台平台。 (4)如果监测到攻击

19、，管理控制台发出警告，书写日志并采取某些行动。,Director,通信,IDS探测器,和IDS集成的SW,路由器,syslog,Cisco IDS解决方案中探测器和管理控制台的角色,流量,到Director的网络连接,监测网络,数据捕获,被动接口没有IP地址,使用探测器进行分组捕获,IP地址,如果探测器发现流经的网络流量是加密的，它不能对加密的数据进行报警。因此，应把探测器放置网络流量已经被破解的地方，这一点很关键。 另一方面，对于直接进行加密的关键网络资源，就应该建立基于主机的入侵检测系统。主机IDS可以对加密流量进行入侵检测，因为它在终端主机对数据解密以后仍能进行检测数据。,入侵检测技术,

20、概率统计方法 神经网络方法 专家系统 模型推理 计算机免疫技术 遗传算法 数据挖掘技术,概率统计方法,异常检测技术中应用最早、最多的方法； 它对用户历史行为建立模型，根据该模型，当发现有可疑的用户行为发生时保持跟踪，并监视和记录该用户的行为； 实现方法：检测器根据用户对象的动作行为为每个用户建立一个用户特征表，通过比较当前的特征与已存储定型的以前特征，从而判断是否为异常行为； 用户特征表需要根据审计记录情况不断地加以更新。,优越性：能应用成熟的概率统计理论； 不足之处： 统计检测对于事件发生的次序不敏感，完全依靠统计理论可能会漏掉那些利用彼此相关联事件的入侵行为； 定义判断入侵的阈值比较困难，

21、阈值太高则误检率提高，阈值太低则漏检率增高。,神经网络方法,人工神经网络简介 人工神经网络（ANN，Artificial Neural Network）是从微观结构和功能上对人脑神经系统的模拟而建立起来的一类模型，具有模拟人的部分形象思维的能力； 特点：具有非线性特性、学习能力和自适应能力； 它是由简单信息处理单元（人工神经元，简称神经元）胡连组成的网络，能接受并处理信息； 网络的信息处理由处理单元之间的相互作用来实现，它通过把问题表达成处理单元之间的连接权来处理。,yj：神经元i的输入值； wij：神经元i与j的连接权值； z：神经元的输出； ：神经元的阈值。,z = f(x) 激励函数 即

22、：,神经网络工作分两个阶段： 学习期：神经元之间的连接权值可由学习规则进行调整，搜索寻优以示准则（或称目标）函数达到最优，从而改善网络自身的性能； 工作期：连接权值不便，由网络的输入得到输出。,。,利用神经网络检测入侵的基本思想： 用一系列信息单元（命令）训练神经元，这样在给定一组输入后，就可能预测出输出； 是对基于概率统计方法的改进，克服了传统的统计分析技术的一些问题： 难以表达变量之间的非线性关系； 难以确立确切的统计分布； 难以实施方法的普遍性； 实现方法比较昂贵； 系统臃肿，难以剪裁。,用于检测的神经网络模块结构： 当前命令和刚过去的w个命令组成了神经网络的输入，其中w是神经网络预测下

23、一个命令时所包含的过去命令集的大小； 根据用户的代表性命令序列训练网络后，该神经网络就形成了相应用户的特征表，于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。,优点： 能更好的处理原始数据的随机特征，即不需要对这些数据作任何统计假设； 具有较好的抗干扰能力。 缺点： 网络的拓扑结构以及各元素的权重很难确定； 命令窗口w的大小难以选定，窗口太小，则网络输出不好，窗口太大，则网络会因为大量无关数据而降低效率。,专家系统,专家系统是基于一套由专家经验事先定义的规则的推理系统。 将有关入侵的知识转化为 if - then 结构的规则，即将构成入侵所要求的条件转化为 if 部分，将发现入侵后采取的相应措施转化成 then 部分； 当其中某个或部分条件满足时，系统就判断为入侵行为发生。 if - then 结构构成了