入侵检测技术和密罐技术ppt课件

1、第六章第六章 入侵检测技术与密罐技术入侵检测技术与密罐技术 入侵检测Intrusion Detection是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。6.1 网络入侵检测概述 入侵检测Intrusion Detection是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统IDSIntrusion Detection System）。与其他安全产品不同

2、的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。1信息收集 入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点不同网段和不同主机收集信息。一是要尽可能扩大检测范围，二是因为虽然来自一个源的信息有可能看不出疑点，但来自几个源的信息的不一致性却是可疑行为或入侵的最好标识。 2 2信号分析信号分析（1 1模式匹配模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。数据库进行比较，从而发现违背

3、安全策略的行为。 （2 2统计分析统计分析 统计分析方法首先给系统对象创建一个统计描述，统计正常使用统计分析方法首先给系统对象创建一个统计描述，统计正常使用时的一些测量属性。时的一些测量属性。（3 3完整性分析完整性分析 完整性分析主要关注某个文件或对象是否被更改，这经常包括文完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特洛伊化的应用件和目录的内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效。程序方面特别有效。6.2 6.2 分层协议模型与分层协议模型与TCP/IPTCP/IP协议协议 6.2.1 OSI参考模型 为了减少网络

4、协议在设计上的复杂性，大多数的协议采用了层次模型。每一较低层次的模型都向其高一层的协议提供一定的服务，这些服务的具体实现方法对上一动协议而言是透明不可见的。相邻层的协议之间采用原主进行交互，这样的设计提供了各层协议在实现上的独立性。同样层的协议在不同的机器和操作系统上可能有不同的实现方式，但是只要它正确实现了下协议层的交互界面原语，提供了一致的服务，就可以确保网络通信的正常进行。OSI参考模型层次划分的主要原则参考模型层次划分的主要原则网络中个结点都具有相同的层次网络中个结点都具有相同的层次不同结点的同等层具有相同的功能不同结点的同等层具有相同的功能同一结点内相邻层之间通过接口通信同一结点内相

5、邻层之间通过接口通信每一层可以使用下层提供的服务每一层可以使用下层提供的服务,并向其上层提供服务并向其上层提供服务不同结点的同等层通过协议来实现对等层之间的通信不同结点的同等层通过协议来实现对等层之间的通信OSI参考模型的七个层次：参考模型的七个层次：提供用户网络分布信息服务的接口，如文件传送，电子邮件服务等。提供两个应用层协议实体之间的数据表示的语法，如加，解密算法等。提供应用层实体会话通道的建立和清除以及会话过程的维护等。提供上面面向应用的高3层和以下面向网络的低三层之间的接口，为会话层提供与具体网络无关的可靠的端对端通信机制。建立传输层之间的网络)WAV或都LAN)衔接，包括路由选择等服

6、务。建立于特定网络(LAN)的物理连接上，为网络层提供可靠传送通道，提供传输错误检测与数据重发。提供网络端设备接口的物理和电气接口，与物理传输介质直接相连。TCP/IPTCP/IP最早起源与最早起源与19691969年美国国防部年美国国防部(DOD(DOD赞助研赞助研究的网络究的网络ARPANET-ARPANET-世界上第一个采用分组交世界上第一个采用分组交换技术的计算机通信网。换技术的计算机通信网。TCP/IPTCP/IP协议模型从更实协议模型从更实用的角度出发，形成了具有高效率的用的角度出发，形成了具有高效率的4 4层体系结构，层体系结构，即：即：(1) 主机-网络(网络接口)层(2) 网

7、络互联层(IP)层(3) 传输层(4) 应用层6.2.2 TCP/IP6.2.2 TCP/IP协议报文格式协议报文格式 从体系结构看，TCP/IP可分为应用层，网络层和网络接口层.其中，网络接口层相当于OSI定义的七层模型中的物理层和数据链路层。每层包含的主要协议类型如表6-1所示。表表6-1TCP/IP协议族及分层结构协议族及分层结构1. 网络接口层协议 实际上，TCP/IP协议并不包括物理层协议，只定义了各种物理协议与TCP/IP之间的接口信息.这些物理网络包括了多种广域网，如ARPANET，MILNET和X.25公用数据网以及各种局域网，如Ethernet，Token-Ring等IEEE

8、定义的标准局域网类型等.由于该层与各种具体的物理网络打交道，所以其协议帖的格式随着所采用的网络类型的不同而不同，如以太网(Ethernet)的帖格式和令牌环网(Token-Ring)的帖格式就不一样。 IEEE802.3的帧头格式包括6B(48位)的目标主机以太网地址，6B的源主机的以太网地址和2B的帧类型，其中帧类型指明所采用的协议.常见的协议类型如下： (1)IP协议，类型值0 x800 (2)ARP协议，类型值0 x0806 (3)RAPR协议，类型值0 x80352. ARP2. ARP协议和协议和RARPRARP协议协议 为了使TCP/IP协议与具体的物理网络无关，将物理地址隐藏而统

9、一使用IP地址进行网际通信，就必须提供一种在IP地址和物理地址之间进行映射的机制.对于像以太网这样的具备广播能力的网络，TCP/IP使用地址解析协议(Address Resolution Protocol，ARP)， 来提供从物理地址到IP地址映像服务的则是逆像地址解析协议(Reverse Address Resolution Protocol，RARP)。(1) ARP(1) ARP协议协议 ARP是采用一种称为动态绑定”(Dynamic Binding)的技术来解析对方物理地址的。ARP协议的报文格式如图6-3所示：(2) RARP(2) RARP协议协议 RARP协议的报文格式与ARP相

10、同。当发送方以广播方式发送RARP请求报文时，在源主机硬件地址和目的主机硬件地址字段中都填入本机物理地址。RARP服务器接收到该请求报文后，就回送一个RARP响应报文，在其目的主机IP地址字段中返回发送方的IP地址。3. IP3. IP协议协议 IP协议(Internet Protocol)是TCP/IP协议族的核心协议这一，它提供了无连接数据包传输和网际路由服务。（1 1IPIP数据报格式数据报格式 IP数据报由报头和报文数据两部分组成，如图6-4所示：（数据报的分段与重组 分段：在各种物理网络中，如Ethernet、Token-Ring等都有最大帧长度限制。为了使较大的数据报能够以合适的大

11、小在物理网络上进行传输，地址协议首先要根据物理网络所允许的最在报文长度对上层协议的数据进行长度检查，必要时数据报分成苦干段后再发送。报文标识：数据报的惟一标识。同一数据报的不同分段中都设置相同的报文标识。各个数据报分段在网络中进行独立的传输，因此，在经过中间路由结点时，可能会选择不同的路由抵达目的主机。这些，抵达目的主机的各个数据报分段的顺序与其发送顺序极有可能不同，所以，目的主机的协议必段数据报中的相关字段标识、长度、偏移量等将这些分段数据重组为原始的数据报。数据报的重组（数据报的选项（数据报的选项 在数据报的选项字段中提供了若干选项参数，如表6所示，主要用于控制和测试协议协议 网际控制报文

12、协议Internetwork Control Message Protocol，ICMP是用来提供差错报告服务的协议。是协议的一部分，必须包含在每一个协议实现中。数据报要通过协议发也去，具有多种类型可以提供多种服务。报文格式报文格式每个报文都是作为数据报的数据部每个报文都是作为数据报的数据部分在网络中进行传输的。其报文格式如图分在网络中进行传输的。其报文格式如图6 66 6所所示。示。08162432其中，其中，“报文类型字段为了，其报文类型字段为了，其取值含义如表取值含义如表6 6所示所示081624差错报文差错报文 的差错报告都是采用路由器向源主机报告模式，即当路由器发现了数据报的错误后，

13、使用报文向该数据报的源发送主机报告错误情况。同时，发生错误的数据报被丢弃，不再进行转发。的差错报文分为目的不可达报文、超时报文和参数出错报文等类型。“目的不可达类型值为，进一步可细分为个小类，用“报文说明字段来表示，如表6所示：超时报文。如果一个路由器发现当前数据报的生存期递减为，则该路由器将丢弃该数据报，并且向源主机发送类型为，“阐明字段值为的报文，报告该数据报。当目的主机在重组数据报分段时超时，则丢弃已收到的各个分段数据，并向源主机发送类型为，“阐明字段值为的报文。参数出错报文。当路由器或者目的的主参数出错报文。当路由器或者目的的主机在处理收到的数据报时，发现在机在处理收到的数据报时，发现

14、在报头参数中存在无法继续完成处理任务报头参数中存在无法继续完成处理任务的错误时，则将该数据报丢弃，并向源的错误时，则将该数据报丢弃，并向源主机发送类型为，主机发送类型为，“阐明字段值为阐明字段值为的报文，并在的报文，并在“其他信息字其他信息字段中以一个字节为指针指出差错所在的段中以一个字节为指针指出差错所在的位置。位置。控制报文控制报文 控制报文主要用于网络拥塞控制和路由控制。主要有以下两种类型的报文：报源抑制报文和重定向报文。请求应答报文请求应答报文 回送请求与响应报文：主要用于测试网络目的结点的可达性，其报文格式如图6-7所示：08162432时间戳请求与响应报文：主要用于估算源和目的结点

15、间的报文往返时间，其报文格式如图68所示：08162432协议协议 TCP的主要功能是在一对高层协议Upper Layer Protocol，ULP之间在数据报服务的基础上，建立可靠的端对端连接，并提供虚电路服务和面向数据传输服务。连接管理可分为三个阶段：建立连接、数据传输和终止连接。在建立连接时，可赋予该连接某些属性，如安全性和优先级等。TCPTCP的报文格式如的报文格式如6-106-10所示：所示：08162432报文各字段格式说明如表6-6所示：6UDP协议 在TCP/IP/协议组中，用户数据报协议UDP提供应用进程之间传送数据报的基本机制。UDP提供的协议端口能够区分在一台机器上运行多

16、个程序。在实际操作中，每个UDP报文不仅传送用户数据，而且还包括发送方和接收方的协议端口号，这就使得发送方能够正确地把报文送到正确的接收进程，而接受进程也能够回送应答报文。UDP协议的作用：UDP主要用于直接使用数据报服务的应用程序，这些应用程序自己提供误码校验以及拥塞控制机制。由于，UDP依赖IP协议传送报文，因此，它所提供的服务与IP协议一样，也是不可靠的。 这种服务不确认报文是否到达，不对报文排序，也不进行流控制。因此，UDP报文可能丢失、重复及失序等，这就需要应用程序自己去解决差错处理问题。另一方面，由于UDP是一种简单的协议机制，通信开销很小，效率比较高，因而比较适合交易型的应用。例

17、如，Internet上的DNS服务，它由很多简单的交互式过程组成：一个请求服务报文后紧跟着一个应答报文，在这种情况下，如果要进行连接的管理工作，则会浪费很多时间，因为这些连接通常在做完一个分组交换后就断开了。（1 1UDPUDP报文格式报文格式 UDP报文的格式如图6-11所示08162432报文格示中每个字含义如下所述：报文格示中每个字含义如下所述：源端口号：发送方的UDP端口号，用于多路复用。目的端口号：接收的UDP端口号，用于多路复用。报文长度：包括UDP报头和数据在内的报文长度 值，以字节为单位，最小为8报头长度）。校验和：其计算对象包括协议头、UDP报头和数据，校验和为可选字段，如果

18、该字段设置为0，则表示发送者没有为该UDP数据报提供校验和。（2 2UDPUDP端口端口 UDP与TCP一样通过端口机制来实现多路复用机制。UDP接收多个应用程序送来的数据，把它们送给IP层进行发送，同时接收IP层送来的UDP数据报，把它们送到对应的应用程序。UDPUDP有有216216个端口，分为两个部分：一部分是保留端口，个端口，分为两个部分：一部分是保留端口，即周知端口，分配给确定的服务进程使用，如即周知端口，分配给确定的服务进程使用，如DNSDNS服务；服务；另一部分是自由端口，由操作系统负责分配端口值。另一部分是自由端口，由操作系统负责分配端口值。表表6-76-7给出了部分周知的分配

19、情况：给出了部分周知的分配情况：6 63 3网络数据包的截获网络数据包的截获 网络数据截获可以通过两种方法实现：一种是利用以太网络的广播特性，另一种是通过设置路由器的监听端口或者是镜像端口来实现。631以太网环境下的数据截获以太网环境下的数据截获 以太网数据传输通过广播传输媒体实现，即从理论上讲，以太局域网上的任何一台主机都能接触到网络上传输的数据包。要截获到流经网卡的不属于自己主机的数据，必段绕过系统正常工作的得理机制，直接访问网络底层。632 交换网络环境下的数据截获交换网络环境下的数据截获 在实际的网络环境中，许多网络采取了交换运行环境例如交换机、路由器等），此时传输媒体不再具备广播特性

20、，所以不能够单凭设置网络接口的混杂模式来截获所有的数据包。6.46.4网络入侵监测系统网络入侵监测系统 入侵检测Intrusion Detection），是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是IDS。1. 1. 入侵检测系统概述入侵检测系统概述 入侵检测产品可分为：网络入侵检测系统产品和主机入侵检测系统产品。混合的入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。此外，文件的完整性检查工具也可看作是一类入侵检测产品。 2. 入侵检测技术 （1特征检测 特征检

21、测对已知的攻击或入侵的方式做出确定性的描述，形成相应的事件模式。其原理上与专家系统相仿，其检测方法上与计算机病毒的检测方式类似。2. 入侵检测技术 （2异常检测 异常检测的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档将当前主体的活动状况与“活动简档相比较，当违反其统计规律时，认为该活动可能是“入侵行为。2. 入侵检测技术 （3协议分析技术 协议分析技术能够智能地“了解协议，利用网络协议的高度规则性快速探测攻击的存在，从而避免了模式匹配所做的大量无用功，导致所需计算的大量减少。即便在高负载的网络上，也可以完全探测出各种攻击，并对其进行更详细地分析而不会丢包。（4统计检测 常用的入侵检测5种统计模型为： 操作模型 方差 多元模型 马尔柯夫过程模型 时间序列分析（5专家系统 用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。3. 入侵检测产品选择要点 （1系统的价格（2特征库升级与维护的费用（3对于网络入侵检测