第四节第五节攻击检测技术概述入侵检测技术

1、目录4、入侵检测技术4.1引言4.2入侵检测的定义及评测标准4.3入侵检测防范的典型黑客攻击类型4. 4异常检测技术4.5滥用检测技术5.4. 1. 1网络入侵的特点网络入侵的特点：1 没有地域和时间的限制；2. 通过网络的攻击往往混朵在大量正常的网络活动z间，隐蔽 性强；3. 入侵手段更加隐蔽和复杂。5. 4. 1.2防火墙的缺点防火墙的缺点：1. 传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下 u新刀异的攻击手段缺乏主动的反应；2. 难于防止内部人员的攻击，而网络上来口内部攻击事件占70%左右；3. 难于管理和配置，易造成安全漏洞；4. 因为防火墙要转发报文，往

2、往成为网络性能的瓶颈。这个问题随着高带宽网络的流行 尤为严重；5. 单层防御体系，一旦被突破则黑客nj以为所欲为。5. 4.1.3为什么要采用入侵检测系统(1) 入侵检测技术是动态安全技术(p2dr)的最核心的技术z检测是静态防护转化为动态的关键；检测是动态响应的依据；检测是落实/强制执行安全策略的有力工具。防护安全策略(2) 入侵检测系统(ids)是对防火墙的必要补充；入侵检测是为那些已经采取了结合强防火墙和验证技术措施的客户准备的，入侵检测在其 上乂增加了一层安全性。(3) 对系统或网络资源进行实时检测，及时发现闯入系统或网络的入侵者；(4) 预防合法用户对资源的课操作以及发现内部人员作案

3、；(5) 采用被动式的监听报文的方式捕获入侵，不会成为网络性能的瓶颈。5.4.2入侵检测的定义及评测标准入侵检测的定义入侵检测：是指对于而向计算资源和网络资源的恶意行为的识别和响应。入侵：是指任何试图破坏资源完整性、机密性和可用性的行为。这里，应该包括用户对 于系统资源的谋用。从入侵策略的角度可将入侵检测的内容分为：试图闯入或成功闯入、冒充具它用户、违 反安全策略、合法用户的泄漏、独占资源以及恶意使用等6个方面。入侵检测的评价标准准确性：指ids对系统环境中的异常行为(或入侵)与合法行为进行区分的能力；性能：指tds处理审计事件的效率；完整性：指ids可以检测到所有的攻击；容错性：指ids本身

4、对于攻击的抵御能力和从系统崩溃中恢复的能力；吋限性(timeliness):指ids执行并完成分析，以及进行响应的吋间快慢。此外，还应考虑以下几点:1. ids运行吋，尽量减少对系统的开销，以便不影响其它正常操作；2. 能够针对系统的安全策略对tds进行配置；3. 对系统和用户行为随时间的变化具有适应性。慕于网络的ids还应具冇以下性质：可伸缩性、部件相关性小、允许动态重构。5. 4.3入侵检测防范的典型黑客攻击类型1. 探测攻击寻找攻击目标并收集相关信息及漏洞，如ping sweeps, tcp/udp scan, satan, port scan ；2. 拒绝服务攻击一一抢占冃标系统资源阻

5、止合法川户使用系统或使系统崩溃，如ping of death, syn flood, teardrop, udpbomb, land/latierra, winnuke, trinoo, tfn2k, stacheldraht 等；3. 缓冲区溢出攻击一一利用系统应用程序屮存在的错误，执行特定的代码以获取系统的 超级权限，如 dns overflow, statd overflow 等；4. web攻击：利用cgi、web服务器和浏览器屮存在的安全漏洞，损害系统安全或导致系统崩溃，如url, http, html, javascript, frames, java, and activex 等

6、；5. 邮件攻击：邮件炸弹、邮件滚雪球、邮件欺骗等；6. 卄授权访问：越权访问文件、执行无权操作，如admind, evilftp backdoor, finger_perl, ftp_root, backorifice 等；7. 网络服务缺陷攻击：利用nfs, nis, ftp等服务存在的漏洞，进行攻击和非法访问，如nfsgucss, nfsmknod等；&网络监听：获取有用信息，夺取网络控制权，如snoop, tepdump, netwatch, sniffer等。5. 4. 4. 1基于统计方法的攻击检测技术(1)基于统计方法的攻击检测技术审计系统实时地检测用户对系统的使用情况，

7、根据系统内部保持的用户行为的概率统计 模型进行监测，当发现有可疑的用户行为发生时，保持跟踪并监测、记录该用户的行为。sri (stanford research institute)研制开发的 ides (intrusion detection expert system)是一个典型的实时检测系统°ides系统能根据用户以前的历史行为决定用户当前的 行为是否合法。系统根据用八的历史行为,生成每个用户的历史行为记录库。ides能够h适应地学习被检测系统中每个用户的行为习惯，当某个用户改变他的行为习 惯时，这种异常就会被检测出来。目前ides实现的监测主要基于以下两个方面：-般项目：例如

8、cpu的使用时间：i/o的使用通道和频率，常用目录的建立与删除, 文件的读写、修改、删除，以及来口局域网的行为；特定项目：包括习惯使用的编辑器和编译器、最常用的系统调用、用户id的存取、文 件和目录的使用。基于统计的攻击检测系统的缺点因为用户的行为可以是非常复杂的，所以想要准确匹配一个用户的丿力史行为和当前的 行为相当困难。错发的警报往往来口对审计数据的统计算法所基丁的不准确或不贴切的假设。基于神经网络的攻击检测技术采用神经网络技术，根据实时检测到的信息有效地加以处理作出攻击可能性的判断。神 经网络技术可以用于解决传统的统计分析技术所面临的以卜问题：1. 难于建立确切的统计分布：统计方法基木上

9、是依赖于用户行为的主观假设，如偏差高 斯分布；错发警报常由这种假设所导致；2. 难于实现方法的普适性：适用于某类用户行为的检测措施一般无法适用于另一类用3. 算法实现比较昂贵：由于基于统计的算法对不同类型的用户行为不具有口适应性，因 此算法比较复杂而且庞大，导致算法实现上的昂贵；4. 系统臃肿难于剪裁：由于采用统计方法检测具有大量用户的计算机系统，将不得不保 留大量的用户行为信息，导致系统的臃肿和难于剪裁。目前，虽然神经网络技术提岀了对基于传统统计技术的攻击检测方法的改进方向，但尚 不十分成熟，所以传统的统计方法仍将继续发挥作用。5. 4. 5. 1基于专家系统的攻击检测技术基于专家系统的攻击

10、检测技术根据安全专家对可疑行为的分析经验來形成-套推理规则，然后再在此基础之上构成相 应的专家系统，并应用于入侵检测。所谓专家系统是基于一套山专家经验事先定义的规则的推理系统。例如，在数分钟之内 某个用户连续进行登录，而且失败超过三次就可以被认为是一种攻击行为。专家系统对历史数据的依赖性总的來说比基于统计的检测技术的审计系统较少，因此系 统的适应性比较强，可以较灵活地适应广泛的安全策略和检测需求。基于规则的专家系统或推进系统的局限性：因为作为这类系统的某础的推理规则一般都是根据已知的安全漏洞进行安排和策划的, 而对系统的最危险的威胁则主要是來白未知的安全漏洞；其功能应当能够随着经验的积累而利用

11、其白学习能力进行规则的扩充和修正，实际操作 起來很闲难。5. 4. 5. 2基于模型推理的攻击检测技术基于模型推理的攻击检测技术攻击者在攻击一个系统时往往采用一定的行为程序，如猜测口令的程序，这种行为程序 构成了某种貝有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实 时地检测111恶意的攻击企图。用基于模型的推理方法人们能够为某些行为建立特定的模型，从而能够监视具有特定行 为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为。i般为了准确判断，要为不同的攻击者和不同的系统建立特定的攻击脚本。5. 4. 5. 3基于模式匹配的检测技术基于模式匹配的检测技术在大多数入侵检测系统中，识别网络攻击采用的方法述是模式匹配，这主耍是因为冃前 其它技术或者实用性较差或者实时性不能满足要求。模式匹配的基本思想是：提取各种攻击的特征（如协议、1p地址、服务端口等），建 立一个用于检测的特征库，以特征库为依据來执行模式匹配从而识别大量的攻击和试探。冃前常见的模式匹配算法，如snort,存在效率低