网络安全技术与实践教学资料 项目六 入侵检测系统

项目六 入侵检测系统,入侵检测技术是实现安全监视的技术，是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力。完善的入侵检测系统包含了非常复杂的技术，本项目的教学不是讨论入侵检测的细节内容，也不深入讲解过于深奥的理论，而是强调学生概括掌握入侵检测技术的基本概念、原理、功能和发展动态，以使学生在将来的工作中知道入侵检测系统在构建完整的网络安全基础结构方面的重要意义，以对设备的选型有充分的理论依据。,目录,进行入侵检测,进行入侵检测,入侵检测的基本概念常用的检测技术介绍入侵检测系统主流产品入侵检测技术发展趋势,1. 入侵检测的基本概念,在1980年James Anderson首次给出了入侵的定义：入侵是指在非授权的情况下，试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为。入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析，从中发现违反安全策略的行为和遭到攻击的迹象，并做出自动的响应。目前得到广泛认同的通用模型是公共入侵检测框架（Common Intrusion Detection Framework，简称CIDF），一般的入侵检测系统包括如下几个部分：信息收集、信息分析、信息存储、攻击响应。,1. 入侵检测的基本概念,入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施之后的新一代安全保障技术，它作为防火墙之后的第二道安全屏障，致力于实时的入侵检测，企图尽早发现入侵以及入侵企图，并采取记录、报警、隔断等有效措施来堵塞漏洞和修复系统。按照原始数据的来源，可将入侵检测系统分为基于主机的入侵检测系统和基于网络的入侵检测系统。按照体系结构，IDS可分为集中式、等级式和协作式三种。根据分析引擎所采用的技术，入侵检测可以分为异常检测和误用检测两大类。,1. 入侵检测的基本概念,（1）异常检测技术异常检测假定所有的用户行为都有异常特性。它依据系统或用户的行为和使用计算机资源的情况是否符合正常行为模式来检测入侵行为。异常检测需要建立用户的正常行为模式，然后将实际用户行为和这些行为模式相比较，比较二者的差异是否超过预定的临界值来判定用户和计算机的行为是否属于入侵行为。异常检测技术的优点在于可以实现对未知入侵行为的预报能力，但它存在较高的误报率，如图所示。,异常检测模型,1. 入侵检测的基本概念,（2）误用检测技术通过攻击模式、攻击签名的形式表达入侵行为。该系统对已知的入侵行为进行分析，提取入侵的特征，构建攻击模式或攻击签名，通过系统当前状态与攻击模式或攻击签名的匹配，判断是否为入侵行为。误用检测技术的优点在于准确地检测已知的入侵行为，但它不能检测未知的入侵行为，如图所示。,误用检测模型,1. 入侵检测的基本概念,（3）协议分析技术协议分析的功能是辨别数据包的协议类型，以便使用相应的数据分析程序来检测数据包。把所有的协议构成一棵协议树，如可以用一棵二叉树来表示，如图所示。树中的每个结点对应一个特定的协议。,协议树示意图,协议分析是第三代入侵检测系统探测攻击手法的主要技术，它的优点是解析命令字符串，探测碎片攻击和协议确认，降低误报率，提高检测性能等。,拓展提高：,2. 常用的检测技术介绍,常用的检测技术有简单模式匹配、专家系统、状态转移分析、统计分析、遗传算法、人工神经网络、数据挖掘、协议分析和状态协议分析技术等。（1）简单模式匹配简单模式匹配是将收集到的数据与入侵规则库（很多入侵描述匹配规则集合）进行逐一匹配，从而发现其中包含的攻击特征。这个过程可以很简单，如通过字符串匹配来寻找一个简单的条目或指令；也可以很复杂，如使用数学模型来表示安全变化。一般来讲，一个入侵检测模式可以用一个过程（或执行一条指令）或输出（获取权限）来表示。,（2）专家系统专家系统是最早的误用检测技术，早期的入侵检测系统多使用这种技术。首先要把入侵行为编码成专家系统的规则，使用类似ifthen的规则格式输入已有的知识（入侵检测模式）。If部分为入侵特征，then部分为系统防御措施，当if部分的条件全部满足时，触发then部分的防御措施，然后输入检测数据，系统根据知识库中的内容对检测数据进行评估，判断是否存在入侵行为。,2. 常用的检测技术介绍,2.常用的检测技术,（3）状态转移分析状态转移分析是使用高层状态转移图来表示和检测已知入侵的误用检测技术。所有入侵者的入侵过程都可以看做是从有限的特权开始，利用系统的弱点，逐步提升自身的权限。系统状态迁移正是利用这一共性来表示入侵特征的状态，并具有迁移到其他状态的触发条件，通过弧将连续的状态连接起来表示状态改变所需要的条件。在该方法中，入侵以入侵者执行的活动序列来描述，该序列是从系统的初始状态到最终的危害状态。初始状态对应用于入侵开始时的系统状态，危害状态对应用于入侵完成时的系统状态。,2. 常用的检测技术介绍,2.常用的检测技术,（4）统计分析统计分析是出现最早、使用最广泛的异常检测技术。首先，统计分析技术对每一个系统用户和系统主体用某种统计模型建立历史统计模式，并定期更新以便及时地反映出用户行为随时间推移而产生的变化。监测系统维护一个由行为模式组成的统计知识库，每个模式采用一系列统计参数来表示特定用户正常行为。然后依据统计知识库检测用户对系统使用的情况，看是否有异常的用户行为来判断系统是否受到入侵；也就是说，系统根据用户以前的历史行为记录来决定用户当前的行为是否合法。统计分析方法有两大关键技术：一个是建立科学、客观的统计模型；另一个是选择合适的统计参数。有5种统计模型用于入侵检测：操作模型、方差、多元模型、马尔可夫过程模型和时间序列分析。统计模型常用的统计参数包括数据流量包、事件数量、时间参数、资源占用等。,2. 常用的检测技术介绍,2.常用的检测技术,（5）遗传算法遗传算法是一种优化技术，通过遗传算法可以进行特征或规则的提取和优化。它利用生物进化的概念进行问题的搜索，最终达到优化的目的。该算法在实施中，先对求解问题进行编码，产生初始群体，接着计算个体的适应速度，再进行染色体复制、交换、突变等操作，便产生了新的个体。重复以上操作，直到求得最佳或较佳的个体。遗传算法在对异常检测的准确率和速度上有较大的优势，但主要的不足是不能在审计跟踪中精确定位攻击，这一点和人工神经网络面临的问题相似。,2. 常用的检测技术介绍,2.常用的检测技术,（6）人工神经网络人工神经网络具有自学习，自适应的能力，只要提供系统的审计数据，人工神经网络就会通过自学习从中提取正常用户或系统活动的特征模式，避开选择统计特征的困难问题。它提出了对于基于统计方法的入侵检测技术的改进方向，目前还没有成熟的产品，但该方法大有前途，值得研究。其主要不足是不能为其检测提供任何令人信服的解释。,2. 常用的检测技术介绍,2.常用的检测技术,（7）数据挖掘数据挖掘采用的是以数据为中心的观点，它把入侵检测问题看作一个数据分析过程，从审计数据流或网络数据流中提取感兴趣的知识表示为概念、规则、规律、模式等形式，用这些知识去检测异常入侵和已知的入侵。具体的工作包括利用数据挖掘中的关联算法和序列挖掘算法提取用户的行为模式，利用分类算法对用户行为和特权程序的系统调用进行分类预测。,2. 常用的检测技术介绍,2.常用的检测技术,（8）协议分析和状态协议分析协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。它充分利用网络协议的高度有序性，并结合高速数据包捕捉、协议分析和命令解析，来快速检测某个攻击特征是否存在，这种技术正逐渐进入成熟应用阶段。状态协议分析就是在常规协议分析技术的基础之上，加入状态特性分析，即不是检测单一的连接请求或响应，而是将一个会话的所有流量作为一个整体来考虑。有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的，因为其攻击行为包含在多个请求中。此时，状态协议分析就显得十分必要。,2. 常用的检测技术介绍,2.常用的检测技术,协议分析和状态协议分析与模式匹配相比，其优点有：协议分析利用已知结构的通信协议，与模式匹配系统中传统的穷举方法相比，在处理数据帧和链接时更迅速、更有效；与非智能化的模式匹配相比，协议分析减少了误报和漏报；当协议分析入侵检测系统引擎评估某个数据包时，需要考虑在这之前相关的数据包内容以及接下来可能出现的数据包，与此相反，模式匹配入侵检测系统孤立的考察每个数据包；协议分析具有判别通信行为真实意图的能力，能够有效抵御利用路径模糊、十六进制编码和Unicode编码等隐藏的攻击行为；协议分析的高效性降低了资源在网络和主机探测中的资源消耗，而模式匹配技术却会大量的消耗系统资源。,2. 常用的检测技术介绍,3. 入侵检测系统主流产品,近年来，国内外不少厂家生产了自己的入侵检测产品。这些产品己经得到了广泛的应用，下面简要介绍一下国内外的一些产品。（1）Cisco公司的Cisco Secure IDSCisco Secure IDS以前被称为NetRanger，该产品由控制器（Director）、感应器（Sensor）和入侵检测模块IDSM（Intrusion Detection System Module）三大组成部分组成。（2）ISS RealSecureISS是最早将基于主机和基于网络的入侵检测系统完全集成到一个统一的管理框架中的供应商之一。（3）“冰之眼”网络入侵检测系统“冰之眼”网络入侵检测系统是绿盟科技开发的网络入侵检测产品。（4）开源入侵检测系统SnortSnort是以开放源代码（Open Source）形式发行的一个高性能、跨平台的轻量级网络入侵检测系统，在网络安全方面有着极高的地位，并且应用十分广泛。,4. 入侵检测技能发展趋势,入侵检测技术在不断地发展更新，近年来入侵检测技术沿着以下几个方向发展：分布式入侵检测。为了躲避检测，越来越多的攻击者采用分布式协同的方式发起攻击，传统的IDS局限于单一的主机或网络架构，对异构系统及大规模的网络检测明显不足，不同的系统之间不能协同工作。为解决这一问题，需要发展分布式入侵检测技术与通用入侵检测架构。智能化入侵检测。入侵方法越来越多样化与综合化，尽管已经有智能代理、神经网络与遗传算法在入侵检测领域应用研究，但这只是一些尝试性的研究工作，需要对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。应用层入侵检测。许多入侵活动的含义只有在应用层才能理解。但传统方法很少涉及到应用层，使得一些应用系统内的入侵活动难以检测，所以需要开发应用层的入侵检测技术。全面的安全防御方案。即使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。,从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。,拓展提高：,小张是某学校计算机系的老师，目前正在为同学们讲解计算机网络安全的相关知识，为了加深同学们的认识和了解，小张决定通过具体实例来介绍。,任务：利用入侵检测系统进行入侵检测,进行入侵检测,在计算机网络中，入侵可以直接危害到计算机的安全，由于入侵现象较为常见，因此，小张决定通过演示入侵检测来完成讲解内容。,任务：利用入侵检测系统进行入侵检测,任务实施,安装并使用入侵检测系统的具体操作步骤如下所示。 （1）动态显示入侵活动 1) 安装并启动 SessionWall-3，注意如果在安装时选择了SessionWall-3作为服务启动，则系统每次启动都要启动 SessionWall-3。启动后看到如图所示的界面。,启动 SessionWall-3,2) 在另一台计算机上启动 Supercan 4.0 进行网络扫描，目标包括前一台计算机。 3) 在第一台计算机上查看报警消息。单击View|Alert Messages命令，打开如图所示的对话框。,查看报警消息,4) 查看违反安全的网络数据。SessionWall中内置了一些预定义的违反安全的行为，当检测到这些行为发生的时候，系统会在Detected security violations对话框中显示这些行为。在工具栏上单击show security violations按钮，打开显示违反安全行为的窗口，如图 所示。,查看违反安全的网络数据,5) 用B计算机对A计算机发起SYN Flood攻击，查看A计算机上的近来活动，如图所示。,SYN Flood攻击,6) 用B计算机对A计算机发起WinNuke拒绝服务攻击，查看A计算机上的违反安全行为的窗口如图所示。,WinNuke拒绝服务攻击,（2）查看和创建规则要素的定义 SessionsWall可以创建规则来实现保证安全。创建规则的要素有网络对象、服务、规则类型、动作和用户等。查看和创建规则要素的定义的具体操作步骤如下。 1) 在菜单中单击Setting|Definitions命令，在Network Objects选项卡中显示已经定义的网络对象，对象是主机、网络、域、用户或者地址范围等的集合。 2) 单击Add按钮，在网络对象中选择“HOST”对象，单击 Add按钮添加自定义的主机。 3) 在HOST Properties对话框中输入主机的IP地址或者MAC地址，单击OK按钮，就添加了一个自定义的主机的地址。 4) 打开 Se