入侵检测技术火龙果

1、1第第6章章 入侵检测技术入侵检测技术2入侵检测的定义入侵检测的定义l美国NSTAC（国家安全通信委员会）的（国家安全通信委员会）的IDSG（Intrusion Detection Sub-Group) ： 入侵（入侵（ Intrusion ）：）：对信息系统的非授权访问及（或）对信息系统的非授权访问及（或）未经许可在信息系统中进行操作。未经许可在信息系统中进行操作。 入侵检测（入侵检测（Intrusion Detection ）：）：对（网络）系统的运对（网络）系统的运行状态进行监视，对企图入侵、正在进行的入侵或已经发生行状态进行监视，对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程

2、。的入侵进行识别的过程。概述概述3lICSA.net国家计算机安全协会国家计算机安全协会(ICSA) : 入侵检测系统入侵检测系统: 该系统从多种计算机系统及网络该系统从多种计算机系统及网络中搜集信息，再从这些信息中分析入侵及误用特中搜集信息，再从这些信息中分析入侵及误用特征征。 入侵：入侵：由系统外部发起的攻击由系统外部发起的攻击 误用：误用：由系统内部发起的攻击由系统内部发起的攻击概述概述4入侵检测系统的特点入侵检测系统的特点 进行入侵检测的软件与硬件的组合便是入侵检测系统进行入侵检测的软件与硬件的组合便是入侵检测系统（IDS， Intrusion Detection System ） 一

3、个完善的入侵检测系统的特点：一个完善的入侵检测系统的特点： 经济性、经济性、 时效性时效性 安全性安全性 可扩展性可扩展性概述概述5典型典型IDS技术技术实时入侵检测漏洞扫描评估加固概述概述6IDS基本结构基本结构 入侵检测入侵检测是监测计算机网络和系统以发现违反是监测计算机网络和系统以发现违反安全策略事件的过程。简单地说，入侵检测系安全策略事件的过程。简单地说，入侵检测系统包括三个功能部件：统包括三个功能部件：（1 1）信息收集）信息收集（2 2）信息分析）信息分析（3 3）结果处理）结果处理7n信息收集信息收集 入侵检测的第一步是入侵检测的第一步是信息收集信息收集，收集内容包括系统、网，收

4、集内容包括系统、网络、数据及用户活动的状态和行为。络、数据及用户活动的状态和行为。 需要在计算机网络系统中的若干不同关键点（不同网段需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，尽可能扩大检测范围和不同主机）收集信息，尽可能扩大检测范围入侵检测很大程度上依赖于收集信息的可靠性和正确性。入侵检测很大程度上依赖于收集信息的可靠性和正确性。IDS基本结构基本结构8l信息收集的来源信息收集的来源 进行入侵检测的系统叫做主机，被检测的系统或网络叫做目标机。进行入侵检测的系统叫做主机，被检测的系统或网络叫做目标机。数据来源可分为四类：数据来源可分为四类：来自主机的来自主机的 基于主

5、机的监测收集通常在操作系统层的来自计算机内部的数据，基于主机的监测收集通常在操作系统层的来自计算机内部的数据，包括操作系统审计跟踪信息和系统日志包括操作系统审计跟踪信息和系统日志 来自网络的来自网络的 检测收集网络的数据检测收集网络的数据 来自应用程序的来自应用程序的 监测收集来自运行着的应用程序的数据，包括应用程序事件日志监测收集来自运行着的应用程序的数据，包括应用程序事件日志和其它存储在应用程序内部的数据和其它存储在应用程序内部的数据 来自目标机的来自目标机的 使用散列函数来检测对系统对象的修改。使用散列函数来检测对系统对象的修改。IDS基本结构基本结构9n信息分析信息分析 模式匹配（误用

6、检测）模式匹配（误用检测） 统计分析（异常检测）统计分析（异常检测） 完整性分析，往往用于事后分析完整性分析，往往用于事后分析IDS基本结构基本结构10模式匹配模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行误用模式数据库进行比较，从而发现违背安全策略的行为。为。 一般来讲，一种进攻模式可以用一个过程（如执行一条一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简

7、单的条目或指很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。安全状态的变化）。IDS基本结构基本结构11统计分析统计分析 统计分析方法首先给系统对象（如用户、文件、目录和统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。属性（如访问次数、操作失败次数和延时等）。 测量属性的平均值将被用来与网络、系统的行为进行比测量属性的平均值将被用来与网络、系

8、统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生较，任何观察值在正常值范围之外时，就认为有入侵发生完整性分析完整性分析 完整性分析主要关注某个文件或对象是否被更改，这经常完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被安包括文件和目录的内容及属性，它在发现被更改的、被安装木马的应用程序方面特别有效。装木马的应用程序方面特别有效。IDS基本结构基本结构12入侵检测的分类（入侵检测的分类（1） 按照数据来源：按照数据来源： 基于主机：基于主机：系统获取数据的依据是系统运行所在的主系统获取数据的依据是系统运行所在的主机，保护的目标也是

9、系统运行所在的主机。机，保护的目标也是系统运行所在的主机。 基于网络：基于网络：系统获取的数据是网络传输的数据包，保系统获取的数据是网络传输的数据包，保护的是网络的运行。护的是网络的运行。 混合型：混合型：IDS基本结构基本结构13 按照分析方法（检测方法）按照分析方法（检测方法） 异常检测模型（异常检测模型（Anomaly Detection ):Anomaly Detection ): 首先总结正常操作应该具有的特征（用户轮廓），当用首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。户活动与正常行为有重大偏离时即被认为是入侵。 误用检测模型（误用检

10、测模型（Misuse Detection)Misuse Detection)： 收集非正常操作的行为特征，建立相关的特征库，当监收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。这种行为是入侵。IDS基本结构基本结构14异常检测模型异常检测模型 如果系统错误地将异常活动定义为入侵，称为误报如果系统错误地将异常活动定义为入侵，称为误报(false positive) ；如果系统未能检测出真正的入侵行为则称为漏；如果系统未能检测出真正的入侵行为则称为漏报报(false negative

11、)。 特点：异常检测系统的效率取决于用户轮廓的完备性和监特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率。控的频率。因为不需要对每种入侵行为进行定义，因此能有因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵。效检测未知的入侵。同时系统能针对用户行为的改变进行自同时系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。耗更多的系统资源。IDS基本结构基本结构15误用检测模型误用检测模型 如果入侵特征与正常的用户行为能匹配，则系统会发生如果入侵特征与正常的用户行为能匹配，则系统会发

12、生误报；如果没有特征能与某种新的攻击行为匹配，则系统误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报。会发生漏报。 特点：采用特征匹配，误用检测能明显降低错报率，但特点：采用特征匹配，误用检测能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力。无能为力。IDS基本结构基本结构16 根据时效性：根据时效性： 脱机分析：脱机分析：行为发生后，对产生的数据进行分析。早期行为发生后，对产生的数据进行分析。早期比较流行比较流行 联机分析：联机分析：在数据产生的同时或者发生改变时进行分析在数据产生的同时或者发生改变时

13、进行分析。 按系统各模块的运行方式按系统各模块的运行方式 集中式：集中式：系统的各个模块包括数据的收集分析集中在一系统的各个模块包括数据的收集分析集中在一台主机上运行。台主机上运行。 必须得有在系统组件之间保护消息的方法；必须得有一必须得有在系统组件之间保护消息的方法；必须得有一种在给定的时间内判断系统中的一个要素是否被篡改或是种在给定的时间内判断系统中的一个要素是否被篡改或是否已经失效的方法。否已经失效的方法。 分布式：分布式：系统的各个模块分布在不同的计算机和设备上。系统的各个模块分布在不同的计算机和设备上。IDS基本结构基本结构17u入侵检测系统的通用模型入侵检测系统的通用模型IDS基本

14、结构基本结构18基于主机的入侵检测系统（基于主机的入侵检测系统（HIDS) 系统监控和分析主机产生的数据（系统日志和审计记系统监控和分析主机产生的数据（系统日志和审计记 录）来发现攻击后的误操作。录）来发现攻击后的误操作。 优点是能针对不同操作系统捕获应用层入侵，误报优点是能针对不同操作系统捕获应用层入侵，误报 少；缺点是依赖于主机及其审计系统，实时性差。少；缺点是依赖于主机及其审计系统，实时性差。基于主机的入侵检测系统基于主机的入侵检测系统19基于主机入侵检测系统工作原理基于主机入侵检测系统工作原理20基于主机的入侵检测系统结构基于主机的入侵检测系统结构21基于网络的入侵检测系统基于网络的入

15、侵检测系统基于网络的入侵检测系统（基于网络的入侵检测系统（NIDS) NIDS的数据来源于网络上的数据流的数据来源于网络上的数据流 NIDS截获网络中的数据包，提取其特征并与知识库截获网络中的数据包，提取其特征并与知识库 中已知攻击特征相比较，以进行攻击辨识。中已知攻击特征相比较，以进行攻击辨识。 NIDS通常利用一个运行在随机模式下的网络适配器通常利用一个运行在随机模式下的网络适配器 来实时监视并分析通过网络的是数据流。来实时监视并分析通过网络的是数据流。22u基于网络入侵检测系统工作原理基于网络入侵检测系统工作原理23基于网络的入侵检测系统结构基于网络的入侵检测系统结构: 基于网络的入侵检

16、测系统由遍及网基于网络的入侵检测系统由遍及网络的络的传感器传感器(Sensor)组成，传感器会组成，传感器会向向中央控制台中央控制台报告。报告。 传感器通常是独立的检测引擎，能传感器通常是独立的检测引擎，能获得网络分组、找寻误用模式，然后获得网络分组、找寻误用模式，然后告警。告警。2425一个网络IDS: snort 常用的网络入侵检测分析工具 是一个基于简单模式匹配的IDS 源码开放，跨平台(C语言编写，可移植性好) 利用libpcap作为捕获数据包的工具 扩展性好 标准的规则格式26snort有有三种工作模式三种工作模式：u 嗅探器嗅探器模式仅仅是从网络上读取数据包并作为连续不模式仅仅是从

17、网络上读取数据包并作为连续不 断的流显示在终端上。断的流显示在终端上。u 数据包记录器数据包记录器模式把数据包记录到硬盘上。模式把数据包记录到硬盘上。u 网络入侵检测网络入侵检测模式是最复杂的，而且是可设置的。我模式是最复杂的，而且是可设置的。我 们能让们能让snort分析网络数据流以匹配用户定义的一些分析网络数据流以匹配用户定义的一些 规则，并根据检测结果采取一定的动作。规则，并根据检测结果采取一定的动作。27IDS- snort28天阗黑客入侵检测与预警系统天阗黑客入侵检测与预警系统天阗网络入侵检测系统典型部署结构图天阗网络入侵检测系统典型部署结构图 29入侵防御系统入侵防御系统 IDS只

18、能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。因此，人们迫切地需要找到一种主动入侵防护解决方案，以确保企业外。因此，人们迫切地需要找到一种主动入侵防护解决方案，以确保企业网络在威胁四起的环境下正常运行。网络在威胁四起的环境下正常运行。 入侵防御系统（入侵防御系统（Intrusion Prevention System或或Intrusion Detection Prevention，即，即IPS或或IDP）就应运而生了。）就应运而生了。IPS是一种智能化的入侵检测和是一种智能化的入侵检测和防御产品防御产品，它不但能，它不

19、但能检测入侵检测入侵的发生，而且能通过一定的响应方式，的发生，而且能通过一定的响应方式，实时实时地中止入侵行为地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。的发生和发展，实时地保护信息系统不受实质性的攻击。IPS使得使得IDS和防火墙走向统一。和防火墙走向统一。 IDS以以关联方式关联方式部署在不同的服务器和网段上，先将服务器或网段上的流部署在不同的服务器和网段上，先将服务器或网段上的流量镜像到网络传感器上，再通过量镜像到网络传感器上，再通过IDS管理控制台进行分析，如果发现入侵管理控制台进行分析，如果发现入侵或攻击，则会产生报警，或攻击，则会产生报警， IPS 以以串联的方

20、式串联的方式部署在网络的进出口处，像防部署在网络的进出口处，像防火墙一样，它对进出网络的所有流量进行分析，当检测到有入侵或攻击企火墙一样，它对进出网络的所有流量进行分析，当检测到有入侵或攻击企图后，会自动将相应的数据包丢弃，或采取相应的措施将攻击源阻断图后，会自动将相应的数据包丢弃，或采取相应的措施将攻击源阻断。 30 IDS在网络中的部署方式在网络中的部署方式 IPS在网络中的部署方式在网络中的部署方式31基于主机的入侵防御基于主机的入侵防御 基于主机的入侵防御（基于主机的入侵防御（HIPS）通过在服务器等主机上安装代理程序来防止）通过在服务器等主机上安装代理程序来防止对主机的入侵和攻击，保护服务器免受外部入侵或攻击。对主机的入侵和攻击，保护服务器免受外部入侵或攻击。HIPS可以根据自定可以根据自定义的安全策略以及分析学习机制来阻断对服务器等主机发起的恶意入侵，义的安全策略以及分析学习机制来阻断对服务器等主机发起的恶意入侵，HIPS可以阻断缓冲区溢出、更改登录口令、改写动态链接库以及其他试图获可以阻断缓冲区溢出、更改登录口令、改写动态链接库以及其他试图获得操作系统入侵权的行为，加强了系统整体的