第八章入侵检测系统_第1页
第八章入侵检测系统_第2页
第八章入侵检测系统_第3页
第八章入侵检测系统_第4页
已阅读5页,还剩61页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、第八章 入侵检测系统2022-3-72内容提要内容提要 入侵检测技术用来发现攻击行为,进而采取正确的响应措施,是安全防御的重要环节。通过本章学习使学生能够掌握入侵检测系统的基本原理,在了解Snort工作原理的基础上,掌握其安装和使用方法,了解入侵防御技术的特点及其和入侵检测的区别。2022-3-73第八章第八章 入侵检测系统入侵检测系统 8.1 入侵检测系统概述8.2 入侵检测系统的组成8.3 入侵检测的相关技术8.4 入侵检测系统Snort8.5 入侵防御系统8.6 实验:基于snort的入侵检测系统安装和使用8.7 小结 习题2022-3-748.1 8.1 入侵检测系统概述入侵检测系统概

2、述 入侵检测系统全称为入侵检测系统全称为Intrusion Detection SystemIntrusion Detection System(IDSIDS),国际计算机安全协会(),国际计算机安全协会(International International Computer Security AssociationComputer Security Association,ICSAICSA)入侵检测系统)入侵检测系统论坛将其论坛将其定义为:通过从计算机网络或计算机系统中的若定义为:通过从计算机网络或计算机系统中的若干关键点收集信息进行分析,从中发现网络或系统中是否干关键点收集信息进行分析,

3、从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。有违反安全策略的行为和遭到攻击的迹象。 相对于防火墙来说,入侵检测通常被认为是一种相对于防火墙来说,入侵检测通常被认为是一种动态动态的防护手段的防护手段。与其他安全产品不同的是,入侵检测系统需。与其他安全产品不同的是,入侵检测系统需要较复杂的技术,它将得到的数据进行分析,并得出有用要较复杂的技术,它将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大地的结果。一个合格的入侵检测系统能大大地简化简化管理员的管理员的工作,使管理员能够更容易地工作,使管理员能够更容易地监视监视、审计审计网络和计算机系网络和计算机系统,统,

4、扩展扩展了管理员的安全管理能力,了管理员的安全管理能力,保证保证网络和计算机系网络和计算机系统的安全运行。统的安全运行。2022-3-758.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续) 防火墙防火墙是所有保护网络的方法中最能普遍接受的是所有保护网络的方法中最能普遍接受的方法,能阻挡外部入侵者,但方法,能阻挡外部入侵者,但对内部攻击无能为力对内部攻击无能为力;同时,防火墙绝对不是坚不可摧的,即使是某些防火同时,防火墙绝对不是坚不可摧的,即使是某些防火墙本身也会引起一些安全问题。防火墙不能墙本身也会引起一些安全问题。防火墙不能防止通向防止通向站点的后门,不提供对内部的保护,无法防范数

5、据驱站点的后门,不提供对内部的保护,无法防范数据驱动型的攻击,不能防止用户由动型的攻击,不能防止用户由InternetInternet上下载被病毒上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输感染的计算机程序或将该类程序附在电子邮件上传输。 入侵检测是防火墙的入侵检测是防火墙的合理补充合理补充,它帮助系统对付网,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力络攻击,扩展了系统管理员的安全管理能力( (包括安全包括安全审计、监视、进攻识别和响应审计、监视、进攻识别和响应) ),提高了信息安全基础,提高了信息安全基础结构的完整性。结构的完整性。 2022-3-768.1 入侵检

6、测系统概述(续)入侵检测系统概述(续)相关术语相关术语攻击攻击攻击者利用工具,出于某种动机,对目标系统采取的行动,攻击者利用工具,出于某种动机,对目标系统采取的行动,其后果是获取其后果是获取/ /破坏破坏/ /篡改目标系统的数据或访问权限篡改目标系统的数据或访问权限事件事件在攻击过程中发生的可以识别的行动或行动造成的后果在攻击过程中发生的可以识别的行动或行动造成的后果。在在入侵检测系统中,事件常常具有一系列属性和详细的描述信入侵检测系统中,事件常常具有一系列属性和详细的描述信息可供用户查看。息可供用户查看。也可以也可以将入侵检测系统需要分析的数据统将入侵检测系统需要分析的数据统称为事件(称为事

7、件(eventevent)2022-3-77入侵入侵 对信息系统的非授权访问及(或)未经许可在信息系统对信息系统的非授权访问及(或)未经许可在信息系统中进行操作中进行操作入侵检测入侵检测对企图入侵、正在进行的入侵或已经发生的入侵进行识对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程别的过程入侵检测系统(入侵检测系统(IDSIDS)用于辅助进行入侵检测或者独立进行入侵检测的用于辅助进行入侵检测或者独立进行入侵检测的自动化自动化工具工具8.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)2022-3-78 入侵检测(入侵检测(Intrusion DetectionIntrusion

8、 Detection)技术是一种动态)技术是一种动态的网络检测技术,的网络检测技术,主要用于识别对计算机和网络资源的主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象,则应当做户的未经授权活动。一旦发现网络入侵现象,则应当做出适当的反应出适当的反应:对于正在进行的网络攻击,则采取适当:对于正在进行的网络攻击,则采取适当的方法来阻断攻击(与防火墙联动),以减少系统损失;的方法来阻断攻击(与防火墙联动),以减少系统损失;对于已经发生的网络攻击,则应通过分析日志记录找到对于已经发生的网

9、络攻击,则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹,作为增强网络系统安发生攻击的原因和入侵者的踪迹,作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。络中是否有违反安全策略的行为和遭到袭击的迹象。 8.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)2022-3-798.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续) 入侵检测系统(入侵检测系统(IDSIDS)由)

10、由入侵检测的软件与硬件组合入侵检测的软件与硬件组合而而成,被认为是防火墙之后的第二道安全闸门,在成,被认为是防火墙之后的第二道安全闸门,在不影响网络不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护击和误操作的实时保护。这些都通过它执行以下任务来实现:。这些都通过它执行以下任务来实现: 1 1)监视、分析用户及系统活动。)监视、分析用户及系统活动。 2 2)系统构造和弱点的审计。)系统构造和弱点的审计。 3 3)识别反映已知进攻的活动模式并向相关人士报警。)识别反映已知进攻的活动模式并向相关人士报警。 4 4)

11、异常行为模式的统计分析。)异常行为模式的统计分析。 5 5)评估重要系统和数据文件的完整性。)评估重要系统和数据文件的完整性。 6 6)操作系统的审计跟踪管理,并识别用户违反安全策)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。略的行为。 2022-3-710入侵检测系统的作用入侵检测系统的作用监控网络和系统监控网络和系统发现入侵企图或异常现象发现入侵企图或异常现象实时报警实时报警主动响应主动响应审计跟踪审计跟踪 形象地说,它就是网络摄形象地说,它就是网络摄像像机,能够捕获并记录网络上机,能够捕获并记录网络上的所有数据,同时它也是智能摄的所有数据,同时它也是智能摄像像机,能够分析网络数

12、据并机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是提炼出可疑的、异常的网络数据,它还是X X光摄光摄像像机,能够机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄像像机,还包括保安员的摄机,还包括保安员的摄像像机机。2022-3-7118.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)2022-3-7128.1 8.1 入侵检测系统概述(续入侵检测系统概述(续)入侵检测的发展历程入侵检测的发展历程 19801980年年,概念的诞生,概念的诞生1984198419861986年,模型的发展年,模型的发展 1990

13、1990年,形成网络年,形成网络IDSIDS和主机和主机IDSIDS两大阵营两大阵营九十年代后至今,百家争鸣、繁荣昌盛九十年代后至今,百家争鸣、繁荣昌盛2022-3-713入侵检测的实现方式入侵检测的实现方式 入侵检测系统根据数据包来源的不同,采用不用的实入侵检测系统根据数据包来源的不同,采用不用的实现方式,一般地可分为网络型、主机型,也可是这两种类现方式,一般地可分为网络型、主机型,也可是这两种类型的混合应用。型的混合应用。基于网络的入侵检测系统(基于网络的入侵检测系统(NIDSNIDS)基于主机的入侵检测系统(基于主机的入侵检测系统(HIDSHIDS)混合型入侵检测系统(混合型入侵检测系统

14、(Hybrid IDSHybrid IDS)2022-3-714入侵检测的实现方式入侵检测的实现方式 1 1、网络、网络IDSIDS: 网络网络IDSIDS是网络上的一个监听设备是网络上的一个监听设备( (或一个专用主机或一个专用主机) ),通过监听网络上的所有报文,根据协议进行分析,并报告通过监听网络上的所有报文,根据协议进行分析,并报告网络中的非法使用者信息。网络中的非法使用者信息。 安装在被保护的网段(共享网络、交换环境中交换机要安装在被保护的网段(共享网络、交换环境中交换机要 支持端口映射)中支持端口映射)中混杂模式监听混杂模式监听分析网段中所有的数据包分析网段中所有的数据包实时检测和

15、响应实时检测和响应2022-3-7158.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)图图8-1 8-1 网络网络IDSIDS工作模型工作模型 NY2022-3-7168.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)网络网络IDS优势优势(1) (1) 实时分析网络数据实时分析网络数据,检测网络系统的非法行为;,检测网络系统的非法行为;(2) (2) 网络网络IDSIDS系统系统单独架设单独架设,不占用其它计算机系统的任何资,不占用其它计算机系统的任何资源;源;(3) (3) 网络网络IDSIDS系统是一个系统是一个独立的网络设备独立的网络设备,可以做到对黑客透,可以做

16、到对黑客透明,因此其本身的安全性高;明,因此其本身的安全性高;(4) (4) 它既可以用于实时监测系统,也是记录审计系统,可以它既可以用于实时监测系统,也是记录审计系统,可以做到做到实时保护实时保护,事后取证分析事后取证分析;(5) (5) 通过通过与防火墙的联动与防火墙的联动,不但可以对攻击预警,还可以更,不但可以对攻击预警,还可以更有效地阻止非法入侵和破坏。有效地阻止非法入侵和破坏。(6)(6)不会增加网络中主机的负担不会增加网络中主机的负担。2022-3-7178.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)网络网络IDS的劣势的劣势(1) (1) 交换环境和高速环境需附加条

17、件交换环境和高速环境需附加条件(2) (2) 不能处理加密数据不能处理加密数据(3) (3) 资源及处理能力局限资源及处理能力局限(4) (4) 系统相关的脆弱性系统相关的脆弱性2022-3-718 入侵检测的实现方式入侵检测的实现方式 2 2、主机、主机IDSIDS 运行于被检测的主机之上,通过查询、监听当前系统运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理。修改的事件,进行上报和处理。 安装于被保护的主机中安装于被保护的主机中 主要主要分析主机内部活动分析主机内部活

18、动 占用一定的系统资源占用一定的系统资源2022-3-719主机主机IDS优势优势(1) (1) 精确地判断攻击行为是否成功。精确地判断攻击行为是否成功。(2) (2) 监控主机上特定用户活动、系统运行情况监控主机上特定用户活动、系统运行情况(3) HIDS(3) HIDS能够检测到能够检测到NIDSNIDS无法检测的攻击无法检测的攻击(4) (4) HIDSHIDS适用加密的和交换的环境适用加密的和交换的环境(5) (5) 不需要额外的硬件设备不需要额外的硬件设备2022-3-720主机主机IDS的劣势的劣势(1) HIDS(1) HIDS对被保护主机的影响对被保护主机的影响(2) HIDS

19、(2) HIDS的安全性受到宿主操作系统的限制的安全性受到宿主操作系统的限制(3) HIDS(3) HIDS的数据源受到审计系统限制的数据源受到审计系统限制(4) (4) 被木马化的系统内核能够骗过被木马化的系统内核能够骗过HIDSHIDS(5) (5) 维护维护/ /升级不方便升级不方便2022-3-7213 3、两种实现方式的比较、两种实现方式的比较: 1)1)如果攻击不经过网络如果攻击不经过网络, ,基于网络的基于网络的IDSIDS无法检测到只无法检测到只能通过使用基于主机的能通过使用基于主机的IDSIDS来检测;来检测; 2 2) )基于网络的基于网络的IDSIDS通过检查所有的包头来

20、进行检测通过检查所有的包头来进行检测,而,而基于主机的基于主机的IDSIDS并不查看包头。并不查看包头。主机主机IDSIDS往往不能识别基于往往不能识别基于IPIP的拒绝服务攻击和碎片攻击的拒绝服务攻击和碎片攻击; 3)3)基于网络的基于网络的IDSIDS可以研究数据包的内容,查找特定攻可以研究数据包的内容,查找特定攻击中使用的命令或语法,这类攻击可以被实时检查包序列击中使用的命令或语法,这类攻击可以被实时检查包序列的的IDSIDS迅速识别;而基于主机的系统无法看到负载,因此也迅速识别;而基于主机的系统无法看到负载,因此也无法识别嵌入式的数据包攻击。无法识别嵌入式的数据包攻击。2022-3-7

21、224 4、混合型入侵检测系统(、混合型入侵检测系统(Hybrid IDSHybrid IDS) 在新一代的入侵检测系统中将把现在的基于网络和基在新一代的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来,提供集成化的攻于主机这两种检测技术很好地集成起来,提供集成化的攻击签名检测报告和事件关联功能。击签名检测报告和事件关联功能。 可以深入地研究入侵事件入侵手段本身及被入侵目标可以深入地研究入侵事件入侵手段本身及被入侵目标的漏洞等的漏洞等。2022-3-723入侵检测系统的功能(小结)入侵检测系统的功能(小结)n1、监视并分析用户和系统的活动,查找非法用户和合法用户的越权操作

22、;n2、检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;n3、对用户的非正常活动进行统计分析,发现入侵行为的规律;n4、检查系统程序和数据一致性与正确性,如计算和比较文件系统的校验;n5、能够实时对检测到的入侵行为作出反应;n6、操作系统的审计跟踪管理。2022-3-7248.2 入侵检测系统的组成 根据不同的网络环境和系统的应用,入侵检测系统在根据不同的网络环境和系统的应用,入侵检测系统在具体实现上也有所不同。从系统构成上看,具体实现上也有所不同。从系统构成上看,入侵检测系统入侵检测系统至少包括数据提取、人侵分析、响应处理三个部分至少包括数据提取、人侵分析、响应处理三个部分,另外,另外

23、还可能还可能结合安全知识库、数据存储等功能模块结合安全知识库、数据存储等功能模块,提供更为,提供更为完善的安全检测及数据分析功能。如完善的安全检测及数据分析功能。如19871987年年DenningDenning提出提出的通用入侵检测模型主要由六部分构成,的通用入侵检测模型主要由六部分构成,IDESIDES与它的后继与它的后继版本版本NIDESNIDES都完全基于都完全基于DenningDenning的模型;另外,在总结现有的模型;另外,在总结现有的入侵检测系统的基础上提出了一个入侵检测系统的通用的入侵检测系统的基础上提出了一个入侵检测系统的通用模型如图模型如图8-28-2所示。所示。 202

24、2-3-7258.2 入侵检测系统的组成 通用入侵检测框架通用入侵检测框架 (Common Intrusion Detection (Common Intrusion Detection FrameworkFramework,CIDF)CIDF)把一个入侵检测系统分为以下组件把一个入侵检测系统分为以下组件: :图图8-2 CIDF8-2 CIDF的入侵检测通用模型的入侵检测通用模型2022-3-7268.2 入侵检测系统的组成 CIDFCIDF把一个入侵检测系统分为以下组件把一个入侵检测系统分为以下组件: :事件产生器:事件产生器:负责原始数据采集,并将收集到的原始数据转负责原始数据采集,并将

25、收集到的原始数据转换为事件,向系统的其他部分提供此事件,又称传感器换为事件,向系统的其他部分提供此事件,又称传感器(sensor)(sensor)。事件分析器:事件分析器:接收事件信息,对其进行分析,判断是否为入接收事件信息,对其进行分析,判断是否为入侵行为或异常现象,最后将判断结果变为警告信息。侵行为或异常现象,最后将判断结果变为警告信息。事件数据库:事件数据库:存放各种中间和最终入侵信息的地方,并从事存放各种中间和最终入侵信息的地方,并从事件产生器和事件分析器接收需要保存的事件,一般会将数件产生器和事件分析器接收需要保存的事件,一般会将数据长时间保存。据长时间保存。事件响应器:事件响应器:

26、是根据入侵检测的结果,对入侵的行为作出适是根据入侵检测的结果,对入侵的行为作出适当的反映,可选的响应措施包括主动响应和被动响应。当的反映,可选的响应措施包括主动响应和被动响应。2022-3-7278.2 入侵检测系统的组成IDSIDS的基本结构的基本结构 无论无论IDSIDS系统是网络型的还是主机型的,从功能上看,都可系统是网络型的还是主机型的,从功能上看,都可分为两大部分:探测引擎和控制中心。前者用于读取原始数据和分为两大部分:探测引擎和控制中心。前者用于读取原始数据和产生事件;后者用于显示和分析事件以及策略定制等工作。产生事件;后者用于显示和分析事件以及策略定制等工作。 2022-3-72

27、88.2 入侵检测系统的组成(续)IDSIDS的基本结构的基本结构 图图8-3 8-3 引擎的工作流程引擎的工作流程 引擎的主要功能引擎的主要功能为:原始数据读取、为:原始数据读取、数据分析、产生事件、数据分析、产生事件、策略匹配、事件处理、策略匹配、事件处理、通信等功能通信等功能 2022-3-7298.2 入侵检测系统的组成(续)IDSIDS的基本结构的基本结构 图图8-4 8-4 控制中心的工作流程控制中心的工作流程 控制中心的主要功能为:通信、事件读取、事件显示、策控制中心的主要功能为:通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。略定制、日志分析、系统帮助等。通信事件读取

28、事件显示策略定制日志分析系统帮助事件/策略数据库2022-3-7308.38.3入侵检测的相关技术入侵检测的相关技术IDSIDS采用的技术采用的技术 入侵检测主要通过专家系统、模式匹配、协议分析入侵检测主要通过专家系统、模式匹配、协议分析或状态转换等方法来确定入侵行为。入侵检测技术有:或状态转换等方法来确定入侵行为。入侵检测技术有:静态配置分析技术静态配置分析技术异常检测技术异常检测技术误用检测技术误用检测技术 1 1静态配置分析技术静态配置分析技术 静态配置分析是通过检查系统的当前系统配置,诸静态配置分析是通过检查系统的当前系统配置,诸如系统文件的内容或系统表,来检查系统是否已经或者如系统文

29、件的内容或系统表,来检查系统是否已经或者可能会遭到破坏。可能会遭到破坏。静态是指检查系统的静态特征静态是指检查系统的静态特征( (系统配系统配置信息置信息) ),而不是系统中的活动,而不是系统中的活动。 2022-3-7318.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)IDSIDS采用的技术采用的技术 2 2、异常检测技术、异常检测技术 通过对系统审计数据的分析通过对系统审计数据的分析建立起系统主体建立起系统主体( (单个用户、单个用户、一组用户、主机,甚至是系统中的某个关键的程序和文件等一组用户、主机,甚至是系统中的某个关键的程序和文件等) )的的正常行为特征轮廓正常行为特征轮

30、廓;检测时,如果系统中的审计数据与已建;检测时,如果系统中的审计数据与已建立的主体的正常行为特征有立的主体的正常行为特征有较大出入较大出入就认为是一个入侵行为。就认为是一个入侵行为。这一检测方法称这一检测方法称“异常检测技术异常检测技术”。 一般采用统计或基于规则描述的方法一般采用统计或基于规则描述的方法建立系统主体的行为建立系统主体的行为特征轮廓,即统计性特征轮廓和基于规则描述的特征轮廓特征轮廓,即统计性特征轮廓和基于规则描述的特征轮廓。2022-3-7328.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)IDSIDS采用的技术采用的技术 3 3误用检测技术误用检测技术 误用检测技

31、术误用检测技术(Misuse Detection)(Misuse Detection)通过检测用户行为中通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或是间接地违背系统安全规则的行为,来检测系统中的中缺陷或是间接地违背系统安全规则的行为,来检测系统中的入侵活动,是一种入侵活动,是一种基于已有知识的检测基于已有知识的检测。 这种入侵检测技术的主要局限在于它只是根据已知的入侵这种入侵检测技术的主要局限在于它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为,序列和系统缺陷的模式来检测系统中的可疑行为,而

32、不能处理而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。2022-3-7338.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)入侵检测入侵检测分析分析技术的比较技术的比较 1 1模式匹配的缺陷模式匹配的缺陷 1 1)计算负荷大)计算负荷大 2 2)检测准确率低)检测准确率低 2 2协议分析新技术的优势协议分析新技术的优势 1 1)提高了性能)提高了性能 2 2)提高了准确性)提高了准确性 3 3)反规避能力)反规避能力 4 4)系统资源开销小)系统资源开销小 2022-3-7348.38.3入侵检测的相关技术(续)入侵检

33、测的相关技术(续)入侵检测系统的性能指标1 1、入侵检测系统的主要相关术语:、入侵检测系统的主要相关术语: 警告警告(Alert/Alarm)(Alert/Alarm):用来表示一个系统被攻击者攻击,用来表示一个系统被攻击者攻击,一般包含从攻击内容中得到的攻击信息,或者异常事件和统一般包含从攻击内容中得到的攻击信息,或者异常事件和统计信息。计信息。 误警误警(False Positive)(False Positive):也成误报,指入侵检测系统对也成误报,指入侵检测系统对那些良性事件的报警,这表明那些良性事件的报警,这表明IDSIDS的错误报警,太多的误警的错误报警,太多的误警可能导致正常的

34、报警事件被淹没。可能导致正常的报警事件被淹没。 漏警漏警(False Negative)(False Negative):也称漏报,当一个攻击事件已也称漏报,当一个攻击事件已经发生,而入侵检测系统却没有有效地检测出来,如果漏警经发生,而入侵检测系统却没有有效地检测出来,如果漏警太多,或者关键入侵事件的漏报就使入侵检测系统失去了其太多,或者关键入侵事件的漏报就使入侵检测系统失去了其存在意义;存在意义;2022-3-7358.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)噪声噪声(Noise)(Noise):指入侵检测系统生成但又没有真正威胁的报指入侵检测系统生成但又没有真正威胁的报警,

35、这些报警是正确的,并且也是可疑的,如配置于防火警,这些报警是正确的,并且也是可疑的,如配置于防火墙之外的入侵检测系统检测到的扫描事件,可能被防火墙墙之外的入侵检测系统检测到的扫描事件,可能被防火墙过滤而没有产生扫描攻击,但是入侵检测系统却检测到并过滤而没有产生扫描攻击,但是入侵检测系统却检测到并产生报警。产生报警。重复报警重复报警(Repetitive Alarm)(Repetitive Alarm): 指入侵检测系统对某一入指入侵检测系统对某一入侵事件的反复报警,重复报警并不表示入侵检测系统的错侵事件的反复报警,重复报警并不表示入侵检测系统的错误行为,太多的重复报警也可能使网络管理员产生视觉

36、疲误行为,太多的重复报警也可能使网络管理员产生视觉疲劳,影响对其他攻击产生适当响应,另外与其他安全技术劳,影响对其他攻击产生适当响应,另外与其他安全技术协同工作也可能产生严重问题,过多的重复报警可能会产协同工作也可能产生严重问题,过多的重复报警可能会产生拒绝服务。生拒绝服务。入侵检测系统的性能指标2022-3-736入侵检测系统的性能指标入侵检测系统的性能指标2 2、准确性指标准确性指标在很大程度上取决于测试时采用的样本集和测试环境。包括:在很大程度上取决于测试时采用的样本集和测试环境。包括:检测率检测率(%)(%):指被监控系统在受到入侵攻击时,检测系统能:指被监控系统在受到入侵攻击时,检测

37、系统能够正确报警的概率。通常利用已知入侵攻击的实验数据够正确报警的概率。通常利用已知入侵攻击的实验数据集合来测试系统的检测率。其值为:检测到的攻击数集合来测试系统的检测率。其值为:检测到的攻击数/ /攻击事件总数;攻击事件总数;误警率误警率(%)(%):是指把那些正确事件误报为攻击以及把一种攻:是指把那些正确事件误报为攻击以及把一种攻击行为误报为另一种攻击的概率,其值为:击行为误报为另一种攻击的概率,其值为:1 1( (正确的正确的告警数告警数/ /总的告警数总的告警数) );漏警率漏警率(%)(%):已经攻击而没有检测出来的攻击占所有攻击的:已经攻击而没有检测出来的攻击占所有攻击的概率,通常

38、利用已知入侵攻击的实验数据集合来测试系概率,通常利用已知入侵攻击的实验数据集合来测试系统的漏报率。其值为统的漏报率。其值为( (攻击事件检测到的攻击数攻击事件检测到的攻击数)/)/攻攻击事件总数;击事件总数;重复报警率重复报警率(%)(%):重复报警占所有报警的比率,其值为重复:重复报警占所有报警的比率,其值为重复报警数报警数/ /总的报警数。总的报警数。8.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)2022-3-737入侵检测系统的性能指标入侵检测系统的性能指标3 3、效率指标效率指标 根据用户系统的实际需求,根据用户系统的实际需求,以保证入侵检测准确以保证入侵检测准确性的前提

39、下,提高入侵检测系统的最大处理能力性的前提下,提高入侵检测系统的最大处理能力。效。效率指标也取决于不同的设备级别,如百兆网络环境下率指标也取决于不同的设备级别,如百兆网络环境下和千兆网络环境下入侵检测系统的效率指标一定有很和千兆网络环境下入侵检测系统的效率指标一定有很大差别。效率指标主要包括:大差别。效率指标主要包括:最大处理能力、每秒能最大处理能力、每秒能监控的网络连接数、每秒能够处理的事件数等监控的网络连接数、每秒能够处理的事件数等。8.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)2022-3-738入侵检测系统的性能指标入侵检测系统的性能指标n最大处理能力最大处理能力: 指网

40、络入侵检测系统在维持其正常检测率的情况指网络入侵检测系统在维持其正常检测率的情况下,系统低于其漏警指标的最大网络流量。下,系统低于其漏警指标的最大网络流量。目的是验目的是验证系统在维持正常检测的情况下能够正常报警的最大证系统在维持正常检测的情况下能够正常报警的最大流量。流量。以每秒数据流量(以每秒数据流量(MbpsMbps或或GbpsGbps)来表示。取决)来表示。取决于三个因素,其一是入侵检测系统抓包能力,其二是于三个因素,其一是入侵检测系统抓包能力,其二是分析引擎的分析能力,最后还与数据包的大小有直接分析引擎的分析能力,最后还与数据包的大小有直接关系,相同流量下,网络数据包越小,数据包越多

41、,关系,相同流量下,网络数据包越小,数据包越多,处理能力越差。处理能力越差。8.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)2022-3-739入侵检测系统的性能指标入侵检测系统的性能指标n每秒能监控的网络连接数每秒能监控的网络连接数:网络入侵检测系统不仅要:网络入侵检测系统不仅要对单个的数据包作检测,对单个的数据包作检测,还要将相同网络连接的数据还要将相同网络连接的数据包组合起来作分析包组合起来作分析。网络连接的跟踪能力和数据包重网络连接的跟踪能力和数据包重组能力是网络入侵检测系统进行协议分析、应用层入组能力是网络入侵检测系统进行协议分析、应用层入侵分析的基础侵分析的基础。例如:

42、检测利用。例如:检测利用HTTPHTTP协议的攻击、敏协议的攻击、敏感内容检测、邮件检测、感内容检测、邮件检测、TelnetTelnet会话的记录与回放、会话的记录与回放、硬盘共享的监控等。硬盘共享的监控等。n每秒能够处理的事件数每秒能够处理的事件数:网络入侵检测系统检测到网:网络入侵检测系统检测到网络攻击和可疑事件后,会生成安全事件或称报警事件,络攻击和可疑事件后,会生成安全事件或称报警事件,并将事件记录在事件日志中。每秒能够处理的事件数,并将事件记录在事件日志中。每秒能够处理的事件数,反映了检测分析引擎的处理能力和事件日志记录的后反映了检测分析引擎的处理能力和事件日志记录的后端处理能力。端

43、处理能力。8.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)2022-3-740入侵检测系统的性能指标入侵检测系统的性能指标n系统指标系统指标 系统指标主要表示系统本身运行的稳定性和使用系统指标主要表示系统本身运行的稳定性和使用的方便性。系统指标主要包括:最大规则数、平均的方便性。系统指标主要包括:最大规则数、平均无故障间隔等。无故障间隔等。 最大规则数最大规则数:系统允许配置的入侵检测规则条目:系统允许配置的入侵检测规则条目的最大数目。的最大数目。 平均无故障间隔平均无故障间隔:系统无故障连续工作的时间。:系统无故障连续工作的时间。8.38.3入侵检测的相关技术(续)入侵检测的相关

44、技术(续)2022-3-741入侵检测系统的性能指标入侵检测系统的性能指标n其它指标其它指标系统结构:系统结构:完备的完备的IDSIDS应能采用分级、远距离分式式部署和管理。应能采用分级、远距离分式式部署和管理。8.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)2022-3-7428.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)事件数量:事件数量:考察考察IDSIDS系统的一个关键性指标是报警事件的系统的一个关键性指标是报警事件的多少。一般而言,事件越多,表明多少。一般而言,事件越多,表明IDSIDS系统能够处理的能系统能够处理的能力越强。力越强。 处理带宽处理带宽 :I

45、DSIDS的处理带宽,即的处理带宽,即IDSIDS能够处理的网络流量,能够处理的网络流量,是是IDSIDS的一个重要性能。目前的网络的一个重要性能。目前的网络IDSIDS系统一般能够处系统一般能够处理理202030M30M网络流量,经过专门定制的系统可以勉强处理网络流量,经过专门定制的系统可以勉强处理404060M60M的流量。的流量。 入侵检测系统的性能指标2022-3-7438.38.3入侵检测的相关技术(续)入侵检测的相关技术(续) 入侵检测系统的性能指标探测引擎与控制中心的通信:探测引擎与控制中心的通信:作为分布式结构的作为分布式结构的IDSIDS系统,系统,通信是其自身安全的关键因素

46、。通信是其自身安全的关键因素。通信安全通过身份认证通信安全通过身份认证和数据加密两种方法来实现和数据加密两种方法来实现。 身份认证是要保证一个引擎,或者子控制中心只能身份认证是要保证一个引擎,或者子控制中心只能由固定的上级进行控制,任何非法的控制行为将予以阻由固定的上级进行控制,任何非法的控制行为将予以阻止。止。身份认证采用非对称加密算法,通过拥有对方的公身份认证采用非对称加密算法,通过拥有对方的公钥,进行加密、解密完成身份认证钥,进行加密、解密完成身份认证。2022-3-7448.38.3入侵检测的相关技术(续)入侵检测的相关技术(续) 入侵检测系统的性能指标事件定义:事件定义:事件的可定义

47、性或可定义事件是事件的可定义性或可定义事件是IDSIDS的一个主要的一个主要特性。特性。 二次事件:二次事件:对事件进行实时统计分析,并产生新的高级事对事件进行实时统计分析,并产生新的高级事件能力。件能力。事件响应:事件响应:通过事件上报、事件日志、通过事件上报、事件日志、EmailEmail通知、手机短通知、手机短信息、语音报警等方式进行响应,也可通过信息、语音报警等方式进行响应,也可通过TCPTCP阻断、防火阻断、防火墙联动等方式主动响应。墙联动等方式主动响应。2022-3-7458.38.3入侵检测的相关技术(续)入侵检测的相关技术(续) 入侵检测系统的性能指标自身安全:自身安全:自身安

48、全指的是自身安全指的是探测引擎的安全性探测引擎的安全性。要有良。要有良好的隐蔽性,一般使用定制的操作系统。好的隐蔽性,一般使用定制的操作系统。终端安全终端安全 :主要指控制中心的安全性。有多个用户、多主要指控制中心的安全性。有多个用户、多个级别的控制中心,不同的用户应该有不同的权限,保个级别的控制中心,不同的用户应该有不同的权限,保证控制中心的安全性。证控制中心的安全性。2022-3-7468.38.3入侵检测的相关技术(续)入侵检测的相关技术(续) 入侵检测系统面临的主要问题 入侵检测系统作为一种新型网络安全防护手段,发挥入侵检测系统作为一种新型网络安全防护手段,发挥很大作用,但是与诸如防火

49、墙等技术高度成熟的产品相比,很大作用,但是与诸如防火墙等技术高度成熟的产品相比,入侵检测系统还存在相当多的问题:入侵检测系统还存在相当多的问题:1 1、层出不穷的入侵手段、层出不穷的入侵手段2 2、越来越多的信息采用加密的方法传输、越来越多的信息采用加密的方法传输3 3、不断增大的网络流量、不断增大的网络流量4 4、缺乏标准、缺乏标准5 5、误报率过高、误报率过高2022-3-7478.4 8.4 入侵检测系统入侵检测系统SnortSnort8.4.1 Snort概述概述 nSnortSnort是一个功能强大、跨平台、轻量级的网络入侵检是一个功能强大、跨平台、轻量级的网络入侵检测系统,从入侵检

50、测分类上来看,测系统,从入侵检测分类上来看,SnortSnort应该是个基于应该是个基于网络和误用的入侵检测软件。它可以运行在网络和误用的入侵检测软件。它可以运行在LinuxLinux、OpenBSDOpenBSD、FreeBSDFreeBSD、SolarisSolaris、以及其它、以及其它Unix Unix 系统、系统、WindowsWindows等操作系统之上。等操作系统之上。SnortSnort是一个用是一个用C C语言编写的语言编写的开放源代码软件,符合开放源代码软件,符合GPL(GNUGPL(GNU通用公共许可证通用公共许可证 GNU GNU General Public Lice

51、nse)General Public License)的要求,由于其是开源且免的要求,由于其是开源且免费的,许多研究和使用入侵检测系统都是从费的,许多研究和使用入侵检测系统都是从SnortSnort开始,开始,因而因而SnortSnort在入侵检测系统方面占有重要地位。在入侵检测系统方面占有重要地位。SnortSnort的的网站是网站是。用户可以登陆网站得到。用户可以登陆网站得到源代码,在源代码,在LinuxLinux和和WindowsWindows环境下的安装可执行文件,环境下的安装可执行文件,并可以下载描述入侵特征

52、的规则文件。并可以下载描述入侵特征的规则文件。2022-3-7488.4 8.4 入侵检测系统入侵检测系统SnortSnort.2系统组成和处理流程系统组成和处理流程 图85 Snort程序流程图2022-3-7498.4 8.4 入侵检测系统入侵检测系统SnortSnort(续)(续)n虽然虽然SnortSnort是一个轻量级的入侵检测系统,但是它的功能是一个轻量级的入侵检测系统,但是它的功能却非常强大,其特点如下:却非常强大,其特点如下: 1 1、跨平台性、跨平台性 2 2、功能完备、功能完备 3 3、使用插件的形式、使用插件的形式 4 4、SnortSnort规则描述简单

53、规则描述简单nSnortSnort基于规则的检测机制十分简单和灵活,使得可以迅基于规则的检测机制十分简单和灵活,使得可以迅速对新的入侵行为做出反应,发现网络中潜在的安全漏速对新的入侵行为做出反应,发现网络中潜在的安全漏洞。同时该网站提供几乎与洞。同时该网站提供几乎与http:/(应急(应急响应中心,负责全球的网络安全事件以及漏洞的发布)响应中心,负责全球的网络安全事件以及漏洞的发布)同步的规则库更新,因此甚至许多商业的入侵检测软件同步的规则库更新,因此甚至许多商业的入侵检测软件直接就使用直接就使用SnortSnort的规则库。的规则库

54、。2022-3-7501、SNORT的优点的优点snortsnort是一个轻量级的入侵检测系统是一个轻量级的入侵检测系统 snortsnort的可移植性很好的可移植性很好 snortsnort的功能非常强大的功能非常强大 扩展性能较好,对于新的攻击威胁反应迅速扩展性能较好,对于新的攻击威胁反应迅速 snortsnort的扩展能力较强。的扩展能力较强。遵循公共通用许可证遵循公共通用许可证GPLGPL2022-3-751 2、SNORT的安装的安装 (1 1)如何获得)如何获得snortsnort 可以从可以从snortsnort的站点的站点httphttp://www.

55、获得其源获得其源代码或者代码或者RPMRPM包。使用源代码安装包。使用源代码安装snortsnort需要需要libpcaplibpcap库,库,可以从可以从ftpftp://下载下载。 (2 2)安装)安装snortsnort bash#rpm -ihv -nodepsbash#rpm -ihv -nodeps snort-1.7-1.i386.rpm snort-1.7-1.i386.rpm 2022-3-752 3、SNORT的应用的应用 (1 1)作为嗅探器)作为嗅探器 把把TCP/IPTCP/IP包头信息打印在屏

56、幕上,输入下面的命令:包头信息打印在屏幕上,输入下面的命令: ./snort -v./snort -v 要看到应用层的数据,可以使用下面的命令:要看到应用层的数据,可以使用下面的命令: ./snort -vd./snort -vd 要显示数据链路层的信息,使用下面的命令:要显示数据链路层的信息,使用下面的命令: ./snort -vde./snort -vde 下面的命令就和上面最后的一条命令等价:下面的命令就和上面最后的一条命令等价: ./snort -d -v -e./snort -d -v -e2022-3-753 (2 2)记录数据包)记录数据包 指定一个日志目录:指定一个日志目录:

57、./snort -dev -l ./log./snort -dev -l ./log 目录以数据包目的主机的目录以数据包目的主机的IPIP地址命名,例如地址命名,例如: ./snort -dev -l ./log -h /24./snort -dev -l ./log -h /24 把所有的包日志到一个单一的二进制文件中:把所有的包日志到一个单一的二进制文件中: ./snort -l ./log -b./snort -l ./log -b 在嗅探器模式下把一个在嗅探器模式下把一个tcpdumptcpdu

58、mp格式的二进制文件中的格式的二进制文件中的包打印到屏幕上,可以输入下面的命令:包打印到屏幕上,可以输入下面的命令: ./snort -dv -r packet.log./snort -dv -r packet.log 从日志文件中提取从日志文件中提取ICMPICMP包,只需要输入下面的命令行:包,只需要输入下面的命令行: ./snort -dvr packet.log icmp./snort -dvr packet.log icmp2022-3-754 (3 3)作为入侵检测系统)作为入侵检测系统 使用下面命令行可以启动入侵检测模式:使用下面命令行可以启动入侵检测模式: ./snort -d

59、ev -l ./log -h /24 -c ./snort -dev -l ./log -h /24 -c snort.confsnort.conf 如果想长期使用如果想长期使用snortsnort作为自己的入侵检测系统,最作为自己的入侵检测系统,最好不要使用好不要使用-v-v选项。因为使用这个选项,使选项。因为使用这个选项,使snortsnort向屏幕向屏幕上输出一些信息,会大大降低上输出一些信息,会大大降低snortsnort的处理速度,从而在的处理速度,从而在向显示器输出的过程中丢弃一些包。向显示器输出的过程中丢弃一些包。 此外,在绝大多数情况

60、下,也没有必要记录数据链此外,在绝大多数情况下,也没有必要记录数据链路层的包头,所以路层的包头,所以-e-e选项也可以不用:选项也可以不用: ./snort -d -h /24 -l ./log -c ./snort -d -h /24 -l ./log -c snort.confsnort.conf2022-3-755 (4 4)配置实例配置实例 使用默认的日志方式(以解码的使用默认的日志方式(以解码的ASCIIASCII格式)并格式)并且把报警发给且把报警发给syslogsyslog: ./snort -c snort.conf./snort -

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论