入侵检测技术

1、仅供个人参考For pers onal use only in study and research; not for commercial use1. 教学：入侵检测技术1.1入侵检测简介1. 概念入侵检测(Intrusion Detection)是对入侵行为的。它通过收集和分析网络行为、审计数据、其它上可以获得的以及中若干关键点的信息，检查网络或系统中是否存在违反的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前和响应入侵。因此被认为是之后的第二道安全闸门，在不影响网络性能的下能对网络进行监测。2. 功能及优点

2、监督并分析用户和系统的活动；检查和漏洞；检查关键系统和数据文件的完整性；识别代表已知攻击的活动模式；对反常行为模式的统计分析；入侵检测系统和漏洞评估工具的优点在于：提高了体系其它部分的完整性；提高了系统的监察能力；跟踪用户从进入到退出的所有活动或影响；识别并报告数据文件的改动；发现系统配置的错误，必要时予以更正；识别特定类型的攻击，并向相应人员报警，以做出防御反应；可使人员最新的添加到程序中；允许非专家人员从事工作；为信息安全策略的创建提供指导；1.2 IDS简介1.概念IDS是英文Intrusion Detection Systems中文意缩写是入侵检测系统”。专业上讲就是依照一定的安全策略

3、，通过软、硬件，对网络、系统的运行状况进行监视，尽 可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和 可用性。例如：假如防火墙是一幢大楼的门锁，那么 IDS 就是这幢大楼里的监视系统。一 旦外部人员爬窗进入大楼， 或内部人员有越界行为， 只有实时监视系统才能发现情况并发出 警告。2.原理入侵检测可分为实时入侵检测和事后入侵检测两种： 实时入侵检测在网络连接过程中进 行，系统根据用户的历史行为模型、 存储在计算机中的专家知识以及对用户当前的操作进行 判断， 一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施。 这个检测过程是不断循环进行的。 而事后入侵检

4、测则是由具有网络安全专业知识的网络管理人员来进行的， 是定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。入侵检测流程：（1）入侵检测的第一步：信息收集收集的内容包括系统、 网络、 数据及用户活动的状态和行为。 收集信息需要在中不同的 关键点来进行， 这样一方面可以尽可能扩大检测范围， 另一方面从几个信源来的信息的不一 致性是可疑行为或入侵的最好标识， 因为有时候从一个信源来的信息有可能看不出疑点。 入 侵检测利用的信息一般来自以下四个方面：1）系统日志 经常在系统日志中留下他们的踪迹，因此，充分利用系统日志是检测入侵的必要条件。 日志文件中记录了各种行为类型， 每种类

5、型又包含不同的信息， 很显然地， 对用户活动来讲， 不正常的或不期望的行为就是重复登录失败、 登录到不期望的位置以及非授权的企图访问重 要文件等等。2）目录以及文件中的异常改变 网络环境中的文件系统包含很多和数据文件， 包含重要信息的文件和私有数据文件经常 是黑客修改或破坏的目标。3）程序执行中的异常行为网络系统上的程序执行一般包括操作系统、 网络服务、 用户启动的程序和特定目的的应 用，例如。 每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中， 这种环境控制着进程可访问的、 程序和数据文件等。 一个进程出现了不期望的行 为可能表明黑客正在入侵你的系统。 黑客可能

6、会将程序或服务的运行分解， 从而导致运行失 败，或者是以非用户或非管理员意图的方式操作。4）物理形式的入侵信息这包括两个方面的内容 :一是未授权的对网络硬件连接； 二是对物理资源的未授权访问。（2）入侵检测的第二步：数据分析 一般通过三种技术手段进行分析： 模式匹配， 统计分析和完整性分析。 其中前两种方法 用于实时的入侵检测，而完整性分析则用于事后分析。1）模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较， 从而 发现违背安全策略的行为。 该方法的一大优点是只需收集相关的数据集合， 显着减少系统负 担，且技术已相当成熟。它与采用的方法一样，检测准确率和效率都相

7、当高。但是，该方法 存在的弱点是需要不断的升级以对付不断出现的手法， 不能检测以前从未出现过的黑客攻击 手段。2）统计分析 统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统 计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等） 。测量属性的平均值 将被用来与网络、 系统的行为进行比较， 任何观察值如果超过了正常值范围， 就认为有入侵 发生。 其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、 漏报率高， 且不适应用户正常行为的突然改变。 具体的统计分析方法如基于专家系统的、 基于模型推理的和基于 神经网络的分析方法， 这在前面入侵检测的分类中已经提到

8、。 下面只对统计分析的模型做以 介绍。入侵检测 5 种统计模型为：操作模型： 该模型假设异常可通过测量结果与一些固定指标相比较得到， 固定指标可以 根据经验值或一段时间内的统计平均得到， 举例来说， 在短时间内多次失败的登录很有可能 是尝试口令攻击；方差： 计算参数的方差并设定其置信区间， 当测量值超过置信区间的范围时表明有可能 是异常；多元模型：即操作模型的扩展，它通过同时分析多个参数实现检测； 马尔柯夫过程模型： 即将每种类型的事件定义为系统状态， 用状态转移来表示状态的变 化，当一个事件发生时，如果在状态矩阵中该转移的概率较小则该可能是异常事件；：即将事件计数与资源耗用根据时间排成序列，

9、 如果一个新事件在该时间发生的概率较 低，则该事件可能是入侵。统计方法的最大优点是它可以“学习”用户的使用习惯， 从而具有较高检出率与可用性。 但是它的“学习”能力有时也会给入侵者以机会， 因为入侵者可以通过逐步“训练”使入侵 事件符合正常操作的统计规律，从而透过入侵检测系统。3) 完整性分析 完整性分析主要关注某个文件或对象是否被更改， 这经常包括文件和目录的内容及属性， 它在发现被修改成类似特洛伊木马的方面特别有效。 其优点是不管模式匹配方法和统计分析 方法能否发现入侵，只要是有入侵行为导致了文件或其他对象的任何改变，它都能够发现。 缺点是一般以方式实现，不用于实时响应。3.分类按入侵检测

10、的手段， IDS 的入侵检测模型可分为基于网络和基于主机两种； 按入侵检测 的技术基础可分为基于标志的入侵检测和基于异常情况的入侵检测 ( anomaly-based )；按 输入入侵检测系统的数据的来源分为基于主机的入侵检测系统、 基于网络的入侵检测系统和 采用上述两种数据来源的分布式入侵检测系统； 按入侵检测所采用的技术方法分为基于用户 行为概率统计模型的入侵检测方法、 基于神经网络的入侵检测方法、 基于专家系统的和基于 模型推理的入侵检测技术。4.性能指标根据 Porras 等的研究，给出了评价 IDS 性能的三个因素 :准确性 (Accuracy): 指 IDS 从各种行为中正确地识别

11、入侵的能力，当一个 IDS 的检测不 准确时，就有可能把系统中的合法活动当作入侵行为并标识为异常(虚警现象 )。处理性能 (Performance): 指一个 IDS 处理数据源数据的速度。显然，当 IDS 的处理性 能较差时， 它就不可能实现实时的 IDS ，并有可能成为整个系统的瓶颈，进而严重影响整个 系统的性能。完备性 (Completeness): 指 IDS 能够检测出所有攻击行为的能力。 如果存在一个攻击行 为，无法被 IDS 检测出来，那么该 IDS 就不具有检测完备性。也就是说，它把对系统的入 侵活动当作正常行为 (漏报现象 )。由于在一般情况下，攻击类型、攻击手段的变化很快，

12、我 们很难得到关于攻击行为的所有知识，所以关于 IDS 的检测完备性的评估相对比较困难。在此基础上， Debar 等又增加了两个性能评价测度 :容错性 (Fault Tolerance): 由于 IDS 是检测入侵的重要手段 / 所以它也就成为很多入侵者 攻 击 的 首 选 目 标 。 IDS 自 身 必 须 能 够 抵 御 对 它 自 身 的 攻 击 ， 特 别 是 拒 绝 服 务 (Denial-of-Service) 攻击。由于大多数的 IDS 是运行在极易遭受攻击的操作系统和硬件平台 上，这就使得系统的容错性变得特别重要，在测试评估 IDS 时必须考虑这一点。及时性 (Timeline

13、ss): 及时性要求 IDS 必须尽快地分析数据并把分析结果传播出去， 以使 系统安全管理者能够在入侵攻击尚未造成更大危害以前做出反应， 阻止入侵者进一步的破坏 活动，和上面的处理性能因素相比，及时性的要求更高。它不仅要求 IDS 的处理速度要尽 可能地快，而且要求传播、反应检测结果信息的时间尽可能少。1.3 DCNIDS-18001. DCNIDS-1800 简介DCNIDS-1800 M/M2/M3/G/G2/G3 是自动的、实时的网络入侵检测和响应系统， 它采用了新一代的入侵检测技术， 包括基于状态的应用层协议分析技术、 开放灵活的行为描 述代码、安全的嵌入式操作系统、先进的体系架构、丰

14、富完善的各种功能， 配合高性能专用 硬件设备， 是最先进的网络实时入侵检测系统。 它以不引人注目的方式最大限度地、 全天候 地监控和分析企业网络的安全问题。 捕获安全事件， 给予适当的响应， 阻止非法的入侵行为， 保护企业的信息组件。2. DCNIDS-1800 程序组件DCNIDS-1800 采用多层分布式体系结构，由下列程序组件组成：Console （控制台）：控制台（ console ）是 DCNIDS-1800 的控制和管理组件。它是 一个基于 Windows 的应用程序， 控制台提供图形用户界面来进行数据查询、 查看警报并配 置传感器。 控制台有很好的访问控制机制， 不同的用户被授予

15、不同级别的访问权限， 允许或 禁止查询、 警报及配置等访问。 控制台、 事件收集器和传感器之间的所有通信都进行了安全 加密。EC： EventCollector （事件收一个大型分布式应用中，用户希望能够通过单个集器） 控制台完全管理多个传感器， 允许从一个中央点分发安全策略， 或者把多个传感器上的数据 合并到一个报告中去。用户可以通过安装一个事件收集器来实现集中管理传感器及其数据。 事件收集器还可以控制传感器的启动和停止， 收集传感器日志信息， 并且把相应的策略发送 传感器，以及管理用户权限、提供对用户操作的审计功能。 IDS 服务管理的基本功能是负责 “事件收集服务”和“安全事件响应服务”

16、的起停控制，服务状态的显示。LogServer ：LogServer （数据服务器） 是 DCNIDS-1800 的数据处理模块。 LogServer 需要集成 DB （数据库）一起协同工作。 DB （数据库）是一个第三方数据库软件。 DCNIDS-1800 支持微软 MSDE 、SQL Server ，并即将支持 MySQL 和 Oracle 数据库，Sensor （传感器）：部署在需要保护的网段上，对网段上流过的数据流进行检测，识别 攻击特征，报告可疑事件，阻止攻击事件的进一步发生或给予其它相应的响应。Report （报表）和查询工具： Report （报表）和查询工具作为 IDS 系统的

17、一个独立的 部分，主要完成从数据库提取数据、统计数据和显示数据的功能。 Report 能够关联多个数 据库，给出一份综合的数据报表。查询工具提供查询安全事件的详细信息。3. 安装顺序完成网络部署方案设计后，就可以开始安装了。安装步骤如下：4. DCNIDS-1800 基本配置(1).传感器的标准出厂设置为：传感器的 IP：默认网关：默认传感器管理员密钥： adminEC 的 IP：license key 输入或修改 license key ( license key 由神州数码提供) 如下图所示。 注：输入信息完毕使用回车即可将光标移至下一单元。此处 license Key 不要改动！ (2)

18、. set time and date进入配置窗口，可以配置时区和时间。在中国地区应设置为PRC。如下图所示。注：此处选择好后使用 tab 键进行切换即可。确认保存后，系统需要重新启动一次方 可生效！(3) . Configure networking进入配置窗口，可以进行如下配置：name of this station 设置 sensor 的名字，如传感器的名字为 “ DCNIDS-1800-M management interface 选择管理接口， 管理接口并非监测数据的接口， 例如监测 接口选择emO，即将emO和em1同时连接到网络中，em1负责与EC进行通信，而emO 则主要负责监测网络数据流。如下图所示；IP address 设置管理接口的 IP 地址，管理接口的 IP 地址即指 EC 与传感器通讯的 地址。如设置管理接口的 IP 地址为“；network mask 设置网络掩码，如掩码设置为： “；default route 设置缺省网关，如果传感器与管理控制台将在同一个网段，则缺省 网关选择默认不必配置，如下图所示。(4) .配置事件收集器(EC)地址和通信密钥，如下图所示IP of EC 输入 EC 的 IP 地址，如 EC 的 IP 地址选择：“；encrypotion