6.4入侵系统检测

1、5.4 5.4 入侵检测系统入侵检测系统入侵检测的概念与原理入侵检测的概念与原理v入侵检测是指入侵检测是指“通过对行为、安全日志或审通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图作，检测到对系统的闯入或闯入的企图”（参见国际（参见国际GB/T18336GB/T18336）。）。5.4 5.4 入侵检测系统入侵检测系统 入侵检测入侵检测模型与具体系统和具体输入无关，模型与具体系统和具体输入无关，是一种通用的模型体系结构，如是一种通用的模型体系结构，如下下图所示。图所示。5.4 5.4 入侵检测系统入侵检测系统

2、v将入侵检测的软件与硬件的组合称为入侵检将入侵检测的软件与硬件的组合称为入侵检测系统（测系统（Intrusion Detection SystemIntrusion Detection System，IDSIDS），它是一套监控计算机系统或网络系统），它是一套监控计算机系统或网络系统中发生的事件，根据规则进行安全审计的软中发生的事件，根据规则进行安全审计的软件或硬件系统，是防火墙的合理补充，帮助件或硬件系统，是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识全管理能力（包括安全审计、监视、进攻识别和响应），

3、提高了信息安全基础结构的完别和响应），提高了信息安全基础结构的完整性整性5.4 5.4 入侵检测系统入侵检测系统入侵检测系统的构成与功能入侵检测系统的构成与功能 通常，入侵检测系统有以下通常，入侵检测系统有以下4 4个部件组成。个部件组成。v事件发生器事件发生器提供事件记录流的信息源，提供事件记录流的信息源，从网络中获取所有的数据包从网络中获取所有的数据包, ,然后将所有的数然后将所有的数据包传送给分析引擎进行数据分析和处理。据包传送给分析引擎进行数据分析和处理。v事件分析器事件分析器接收信息源的数据，进行数接收信息源的数据，进行数据分析和协议分析，通过这些分析发现入侵据分析和协议分析，通过这

4、些分析发现入侵现象，从而进行下一步的操作。现象，从而进行下一步的操作。5.4 5.4 入侵检测系统入侵检测系统v响应单元响应单元对基于分析引擎的数据结果产对基于分析引擎的数据结果产生反应，包括切断连接、发出报警信息或发生反应，包括切断连接、发出报警信息或发动对攻击者的反击等。动对攻击者的反击等。v事件数据库事件数据库存放各种中间和最终数据的存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。以是简单的文本文件。5.4 5.4 入侵检测系统入侵检测系统 5.2.2 5.2.2 入侵检测系统的构成与功能入侵检测系统的构成与功能 入

5、侵检测系统的组成如入侵检测系统的组成如下下图所示。图所示。5.4 5.4 入侵检测系统入侵检测系统入侵检测系统的构成与功能入侵检测系统的构成与功能 入侵检测系统的基本入侵检测系统的基本功能：功能：v检测和分析用户与系统的活动。检测和分析用户与系统的活动。v审计系统配置和漏洞。审计系统配置和漏洞。v评估系统关键资源和数据文件的完整性。评估系统关键资源和数据文件的完整性。v识别已知攻击。识别已知攻击。v统计分析异常行为。统计分析异常行为。v操作系统的审计、跟踪、管理，并识别违反安全操作系统的审计、跟踪、管理，并识别违反安全策略的用户活动。策略的用户活动。5.4 5.4 入侵检测系统入侵检测系统入侵

6、检测系统的分类入侵检测系统的分类 1 1按照检测类型划分按照检测类型划分v（1 1）异常检测模）异常检测模(Anomalydetection)(Anomalydetection)：它的：它的前提条件是入侵者活动异常于正常主体的活前提条件是入侵者活动异常于正常主体的活动。动。v（2 2）特征检测模型）特征检测模型(Signature-based (Signature-based detection)detection)：又称误用检测模型（：又称误用检测模型（Misuse Misuse detectiondetection），这一检测假设入侵者活动可以），这一检测假设入侵者活动可以用一种模式来表示

7、，系统的目标是检测主体用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。活动是否符合这些模式。5.4 5.4 入侵检测系统入侵检测系统入侵检测系统的分类入侵检测系统的分类2 2按照检测对象划分按照检测对象划分v（1 1）基于主机的入侵检测产品（）基于主机的入侵检测产品（HIDSHIDS）通常）通常是安装在被重点检测的主机之上，主要是对是安装在被重点检测的主机之上，主要是对该主机的网络进行实时连接以及系统审计日该主机的网络进行实时连接以及系统审计日志进行智能分析和判断。志进行智能分析和判断。5.4 5.4 入侵检测系统入侵检测系统 HIDSHIDS系统还存在以下优点。系统还存在以下优点

8、。v性能价格比高，在主机数量较少的情况下，性能价格比高，在主机数量较少的情况下，这种方法的性能价格比可能更高。尽管基于这种方法的性能价格比可能更高。尽管基于网络的入侵检测系统能很容易地提供广泛覆网络的入侵检测系统能很容易地提供广泛覆盖，但其价格通常是昂贵的。盖，但其价格通常是昂贵的。v更加精确，可以很容易地检测一些活动，如更加精确，可以很容易地检测一些活动，如对敏感文件、目录、程序或端口的存取，而对敏感文件、目录、程序或端口的存取，而这些活动很难在基于网络的系统中被发现。这些活动很难在基于网络的系统中被发现。v视野集中，一旦入侵者得到了一个主机的用视野集中，一旦入侵者得到了一个主机的用户名和口

9、令，基于主机的代理是最有可能区户名和口令，基于主机的代理是最有可能区分正常的活动和非法的活动的。分正常的活动和非法的活动的。5.4 5.4 入侵检测系统入侵检测系统入侵检测系统的分类入侵检测系统的分类 （2 2）基于网络的入侵检测产品（）基于网络的入侵检测产品（NIDSNIDS）放置）放置在比较重要的网段内，不停地监视网段中的在比较重要的网段内，不停地监视网段中的各种数据包。此外，各种数据包。此外，NIDSNIDS系统还存在以下优系统还存在以下优点。点。v隐蔽性好，一个网络上的检测器不像一个主隐蔽性好，一个网络上的检测器不像一个主机那样显眼和易被存取，因而也不那么容易机那样显眼和易被存取，因而

10、也不那么容易遭受攻击。遭受攻击。v视野更宽，基于网络的入侵检测甚至可以在视野更宽，基于网络的入侵检测甚至可以在网络的边缘上，即攻击者还没能接入网络时网络的边缘上，即攻击者还没能接入网络时就被发现并制止。就被发现并制止。5.4 5.4 入侵检测系统入侵检测系统入侵检测系统的分类入侵检测系统的分类v较少的监测器，由于使用一个检测器就可以较少的监测器，由于使用一个检测器就可以保护一个共享的网段，所以不需要很多的检保护一个共享的网段，所以不需要很多的检测器。测器。v攻击者不易转移证据，基于网络的攻击者不易转移证据，基于网络的IDSIDS使用正使用正在发生的网络通信进行实时攻击的检测，所在发生的网络通信

11、进行实时攻击的检测，所以攻击者无法转移证据。被捕获的数据不仅以攻击者无法转移证据。被捕获的数据不仅包括攻击的方法，而且还包括可识别黑客身包括攻击的方法，而且还包括可识别黑客身份和对其进行起诉的信息。份和对其进行起诉的信息。5.4 5.4 入侵检测系统入侵检测系统v操作系统无关性，基于网络的操作系统无关性，基于网络的IDSIDS作为安全监作为安全监测资源，与主机的操作系统无关。与之相比，测资源，与主机的操作系统无关。与之相比，基于主机的系统必须在特定的、没有遭到破基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作，生成有用的坏的操作系统中才能正常工作，生成有用的结果。结果。v占资源

12、少，在被保护的设备上不用占用任何占资源少，在被保护的设备上不用占用任何资源。资源。 5.4 5.4 入侵检测系统入侵检测系统 5.2.4 5.2.4 入侵检测系统的部署入侵检测系统的部署v 一般入侵检测产品通常由两部分组成：传感器一般入侵检测产品通常由两部分组成：传感器（SensorSensor）与控制台（）与控制台（ConsoleConsole）。）。下图为入侵检下图为入侵检测系统一般部署图：测系统一般部署图：5.4 5.4 入侵检测系统入侵检测系统 基于网络的入侵检测系统需要有传感器才能基于网络的入侵检测系统需要有传感器才能工作。工作。要使要使入侵检测系统工作在最佳状态入侵检测系统工作在最

13、佳状态下下, ,一般可以采取以下选择。一般可以采取以下选择。v放在边界防火墙之内，传感器可以发现所有放在边界防火墙之内，传感器可以发现所有来自来自Internet Internet 的攻击，然而如果攻击类型是的攻击，然而如果攻击类型是TCPTCP攻击，而防火墙或过滤路由器能封锁这种攻击，而防火墙或过滤路由器能封锁这种攻击，那么入侵检测系统可能就检测不到这攻击，那么入侵检测系统可能就检测不到这种攻击的发生。种攻击的发生。5.4 5.4 入侵检测系统入侵检测系统v放在边界防火墙之外，可以检测所有对保护放在边界防火墙之外，可以检测所有对保护网络的攻击事件网络的攻击事件。v放在主要的网络中枢中，传感器

14、可以监控大放在主要的网络中枢中，传感器可以监控大量的网络数据，可提高检测黑客攻击的可能量的网络数据，可提高检测黑客攻击的可能性，可通过授权用户的权利周界来发现未授性，可通过授权用户的权利周界来发现未授权用户的行为。权用户的行为。v放在一些安全级别需求高的子网中，对非常放在一些安全级别需求高的子网中，对非常重要的系统和资源的入侵检测重要的系统和资源的入侵检测。5.4 5.4 入侵检测系统入侵检测系统入侵检测系统的选型入侵检测系统的选型v对于入侵检测系统的选择，首先必须从技术对于入侵检测系统的选择，首先必须从技术上、物理结构和策略上综合考虑网络环境，上、物理结构和策略上综合考虑网络环境，以及网络中

15、存在哪些应用和设备、自身网络以及网络中存在哪些应用和设备、自身网络已经部署了哪些安全设备，从而明确哪种入已经部署了哪些安全设备，从而明确哪种入侵检测系统适合自身的网络环境。侵检测系统适合自身的网络环境。v其次确定入侵检测的范围，即是主要关注来其次确定入侵检测的范围，即是主要关注来自企业外部的入侵事件还是来自内部人员的自企业外部的入侵事件还是来自内部人员的入侵，是否使用入侵，是否使用IDSIDS用于管理控制其他应用用于管理控制其他应用。5.4 5.4 入侵检测系统入侵检测系统入侵防护技术入侵防护技术IPSIPSv入侵防护（入侵防护（Intrusion Prevention SystemIntru

16、sion Prevention System，IPSIPS）技术是一种主动的、积极的入侵防范及）技术是一种主动的、积极的入侵防范及阻止系统。它部署在网络的进出口处，当它阻止系统。它部署在网络的进出口处，当它检测到攻击企图后，会自动地将攻击包丢掉检测到攻击企图后，会自动地将攻击包丢掉或采取措施将攻击源阻断。或采取措施将攻击源阻断。5.4 5.4 入侵检测系统入侵检测系统入侵防护技术入侵防护技术IPSIPS IPSIPS主要的技术优势如下所示。主要的技术优势如下所示。v在线安装在线安装IPSIPS保留保留IDSIDS实时检测的技术与实时检测的技术与功能，但是却采用了防火墙式的在线安装。功能，但是却

17、采用了防火墙式的在线安装。v实时阻断实时阻断IPSIPS具有强有力的实时阻断功能，具有强有力的实时阻断功能，能够预先对入侵活动和攻击性网络流量进行能够预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失。拦截，避免其造成任何损失。5.4 5.4 入侵检测系统入侵检测系统入侵防护技术入侵防护技术IPSIPSv先进的检测技术先进的检测技术主要是并行处理检测和主要是并行处理检测和协议重组分析。协议重组分析。v特殊规则植入功能特殊规则植入功能IPSIPS允许植入特殊规则允许植入特殊规则以阻止恶意代码。以阻止恶意代码。IPSIPS能够辅助实施可接收应能够辅助实施可接收应用策略用策略。v自学习与自适应能力自学习与自适应能力为了应对不断更新和为了应对不断更新和提高的攻击手段，提高的攻击手段，IPSIPS具有了人工智能的自学具有了人工智能的自学习与自适应能力。习与自适应能力。5.4 5.4 入侵检测系统入侵检测系统入侵防护技术入侵防护技术IPSIPS 从保护对象上可将从保护对象上可将IPSIPS分为分为3 3类类v基于主机的入侵防护（基于主机的入侵防护（HIPSHIPS），用于保护服