信息安全与技术课件06(清华大学)资料

1、信息安全与技术(jsh)清华大学出版社共三十二页第6章 入侵检测(jin c)技术 传统上，企业网络一般采用防火墙作为安全的第一道防线，但随着攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对网络安全的进一步需要，网络的防卫必须采用一种纵深的、多样化的手段。入侵检测系统是继防火墙之后，保护网络安全的第二道防线，它可以在网络受到攻击时，发出警报(jngbo)或者采取一定的干预措施，以保证网络的安全。共三十二页6.1 入侵(rqn)检测的概念6.1.1 入侵检测系统功能及工作过程6.1.2 入侵检测技术(jsh)的分类6.1.3 入侵检测系统的性能指标共三十二页6.1.1 入侵检测系统功

2、能(gngnng)及工作过程入侵是指任何企图危及资源的完整性、机密性和可用性的活动。入侵检测（Intrusion Detection），顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测技术是为保证计算机系统和计算机网络系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。入侵检测系统（Intrusion Detection System,简称IDS）是进行入侵检测的软件与硬件的组合。该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。与其他安全产

3、品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用(yu yn)的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。 共三十二页6.1.1 入侵检测系统功能及工作(gngzu)过程入侵检测系统的主要功能有：实时检测：监控和分析用户和系统活动，实时地监视、分析网络(wnglu)中所有的数据包；发现并实时处理所捕获的数据包，识别活动模式以反应已知攻击。安全审计：对系统记录的网络事件进行统计分析；发现异常现象；得出系统的安全状态，找出所需要的证据主动响应：主动切断连接或与防火墙联动，调用其他程序处理评估统计：评估关键系统和数据文件的完整性，统计

4、分析异常活动模式 共三十二页6.1.2 入侵检测技术(jsh)的分类入侵检测按技术(jsh)可以分为特征检测（Signature-based detection）和异常检测（Anomaly detection）。按监测对象可以分为基于主机入侵检测 ( HIDS )和基于网络入侵检测 ( NIDS )。共三十二页6.1.2 入侵检测技术(jsh)的分类特征检测特征检测是收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。特征检测可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。特征检测的难点是如何(rh)设计模式既能够表达“入侵

5、”现象又不会将正常的活动包含进来，采取的主要方法是模式匹配。共三十二页6.1.2 入侵检测技术(jsh)的分类异常检测异常检测是总结正常操作应该具有的特征，建立主体正常活动的“活动简档”，当用户活动状况与“活动简档”相比，有重大偏离(pinl)时即被认为该活动可能是“入侵”行为。异常检测的技术难点是异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。常用方法是概率统计。共三十二页6.1.2 入侵(rqn)检测技术的分类基于主机的入侵检测基于主机的入侵检测产品（HIDS）主要用于保护运行关键应用的服务器或被重点检测的主机之上。主要是

6、对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律)，入侵检测系统就会采取相应措施。 主机入侵检测的优点主要表现在以下方面：入侵行为分析能力误报率要低复杂性小，性能价格比高网络通信要求低主机入侵检测的缺点主要变现在以下几个方面。影响保护目标服务器依赖性全面布署代价大不能监控(jin kn)网络上的情况共三十二页6.1.2 入侵检测技术(jsh)的分类基于网络入侵检测网络入侵检测是大多数入侵检测厂商采用的产品形式。通过捕获和分析网络包来探测攻击。网络入侵检测可以在网段或者交换机上进行监听，来检测对连接在网段上的多个主机有影响的网络通讯，从而保护

7、那些主机。 网络入侵检测优点表现(bioxin)在以下几个方面:网络通信检测能力无需改变主机配置和性能布署风险小，独立性和操作系统无关性定制设备，安装简单网络入侵检测缺点表现在以下几个方面:不能检测不同网段的网络包很难检测复杂的需要大量计算的攻击协同工作能力弱难以处理加密的会话共三十二页6.1.3 入侵检测(jin c)系统的性能指标网络入侵检测系统的性能指标(zhbio)主要包括3类，即准确性指标(zhbio)、效率指标(zhbio)和系统指标(zhbio)。准确性指标 准确性指标在很大程度上取决于测试时采用的样本集和测试环境。样本集和测试环境不同，准确性也不相同。主要包括三个指标，即检测率

8、、误报率和漏报率。 检测率是指被监视网络在受到入侵攻击时，系统能够正确报警的概率。通常利用已知入侵攻击的实验数据集合来测试系统的检测率。检测率=入侵报警的数量/入侵攻击的数量。误报率是指系统把正常行为作为入侵攻击而进行报警的概率和把一种周知的攻击错误报告为另一种攻击的概率。误报率=错误报警数量/（总体正常行为样本数量+总体攻击样本数量）。漏报率是指被检测网络受到入侵攻击时，系统不能正确报警的概率。通常利用已知入侵攻击的实验数据集合来测试系统的漏报率。漏报率=不能报警的数量/入侵攻击的数量共三十二页6.1.3 入侵检测(jin c)系统的性能指标2. 效率指标效率指标根据用户系统(xtng)的实

9、际需求，以保证检测质量为准；同时取决于不同的设备级别，如百兆网络入侵检测系统(xtng)和千兆网络入侵检测系统(xtng)的效率指标一定有很大差别。效率指标主要包括最大处理能力、每秒并发TCP会话数、最大并发TCP会话数等。 共三十二页6.1.3 入侵检测(jin c)系统的性能指标3.系统指标系统指标主要表征系统本身(bnshn)运行的稳定性和使用的方便性。系统指标主要包括最大规则数、平均无故障间隔等。 共三十二页6.2 网络入侵(rqn)检测系统产品6.2.1 入侵检测系统(xtng)简介6.2.2 Snort入侵检测系统共三十二页6.2.1 入侵(rqn)检测系统简介入侵检测系统作为最常

10、见的网络安全产品之一，已经得到了非常广泛(gungfn)的应用。当前网络入侵检测系统的产品有很多，主要有Snort，、金诺网安、安氏的领信IDS、启明星辰的天阗系列、联想的联想网御IDS、东软、绿盟科技的冰之眼系列、中科网威的天眼IDS、思科的Cisco IDS、CA的eTrust IDS等。共三十二页6.2.2 Snort入侵检测(jin c)系统1. Snort 简介Snort是Martin Roesch等人开发的一种开放源码的入侵检测系统。Martin Roesch把Snort定位为一个轻量级的入侵检测系统。它具有实时数据流量分析和IP数据包日志分析的能力，具有跨平台特征，能够进行协议分

11、析和对内容的搜索/匹配。它能够检测不同的攻击(gngj)行为，如缓冲区溢出、端口扫描、DoS攻击(gngj)等，并进行实时报警。共三十二页6.2.2 Snort入侵(rqn)检测系统2系统结构Snort具有良好的扩展性和可移植性，可支持Linux、windows等多种操作系统平台。基于Snort和BASE的入侵检测系统通常采用“传感器数据库分析平台”的三层架构体系。传感器即网络数据包捕获转储程序。这三种角色既可以部署于同一个主机平台也可以部署在不同的物理平台上，架构组织非常灵活。如果仅仅需要一个测试研究环境，单服务器部署是一个不错的选择；而如果需要一个稳定高效的专业IDS平台，那么多层分布的I

12、DS无论是在安全还是在性能方面都能够满足。具体(jt)的部署方案还要取决于实际环境需求。共三十二页6.2.2 Snort入侵(rqn)检测系统3. 安装环境一台安装windows2000/XP/2003操作系统的计算机，连接到本地(bnd)局域网中。需要安装部署下列软件包，如表6-1所示。4安装软件（1）WinPcap 安装（2）Snort 安装（3）MySQL 安装（4）Apache 安装（5）Php 安装（6）ADODB 安装（7）安装配置数据控制台ACID。（8）将Snort规则放入解压 d:snort目录下。（9）启动snort（10）测试snort共三十二页6.3 漏洞检测(jin

13、c)技术和系统漏洞检测(jin c)工具6.3.1 入侵攻击可利用的系统漏洞类型6.3.2 漏洞检测技术分类6.3.3 系统漏洞检测方法6.3.4 常见(chn jin)的系统漏洞及防范6.3.5 系统漏洞检测工具共三十二页6.3.1 入侵攻击可利用(lyng)的系统漏洞类型入侵者常常从收集、发现和利用(lyng)信息系统的漏洞来发起对系统的攻击。不同的应用，甚至同一系统不同的版本，其系统漏洞都不尽相同，大致上可以分为3类（1） 网络传输和协议的漏洞攻击者利用网络传输时对协议的信任以及网络传输的漏洞进入系统。攻击者还可利用协议的特性进行攻击，攻击者还可以设法避开认证过程，或通过假冒 (如源地址

14、) 而混过认证过程DNS、WHOIS、FINGER等服务也会泄露出许多对攻击者有用的信息。（2） 系统的漏洞攻击者可以利用服务进程的BUG和配置错误进行攻击。因为系统内部的程序可能存在许多BUG，因此，存在着入侵者利用程序中的BUG来获取特权用户权限的可能。（3） 管理的漏洞攻击者可以利用各种方式从系统管理员和用户那里诱骗或套取可用于非法进入的系统信息，包括口令、用户名等。共三十二页6.3.1 入侵(rqn)攻击可利用的系统漏洞类型通过对入侵过程的分析，系统的安全漏洞可以分为以下5类：可使远程攻击者获得系统的一般访问权限；可使远程攻击者获得系统的管理权限；远程攻击者可使系统拒绝(jju)合法用

15、户的服务请求；可使一般用户获得系统管理权限；一般用户可使系统拒绝其他合法用户的服务请求。共三十二页6.3.1 入侵攻击可利用(lyng)的系统漏洞类型从系统本身的结构看，系统的漏洞可分为：安全机制本身存在的安全漏洞；系统服务协议中存在的安全漏洞；系统、服务管理与配置的安全漏洞；安全算法(sun f)、系统协议与服务现实中存在的安全问题。共三十二页6.3.2 漏洞(ludng)检测技术分类漏洞检测技术(jsh)可采用两种策略，即被动式策略和主动式策略。前者是基于主机的检测，对系统中不合适的设置、脆弱的密码以及其他同安全策略相抵触的对象进行检查。后者是基于网络的检测，通过执行一些脚本文件对系统进行

16、攻击，并记录其反应，从而发现其中漏洞。根据所采用的技术特点，漏洞检测技术可以分为以下5类 ：（1）基于应用的检测技术。采用被动、非破坏性的办法来检查应用软件包的设置，发现安全漏洞。（2）基于主机的检测技术。采用被动、非破坏性的办法对系统进行检测，常涉及系统内核、文件的属性、操作系统的补丁等问题。这种技术还包括口令解密，因此，这种技术可以非常准确地定位系统存在的问题，发现系统漏洞。其缺点是与平台相关，升级复杂。共三十二页6.3.2 漏洞检测(jin c)技术分类（3）基于目标的检测技术。采用被动、非破坏性的办法检查系统属性和文件属性，如数据库、注册号等。通过消息摘要算法，对系统属性和文件属性进行

17、杂凑 (Hash) 函数运算。如果函数的输入有一点变化，其输出就会发生大的变化，这样文件和数据流的细微变化都会被感知。这些算法实现(shxin)是运行在一个闭环上，不断地处理文件和系统目标属性，然后产生校验数，把这些校验数同原来的校验数相比较，一旦发现改变就通知管理员。（4）基于网络的检测技术。采用积极、非破坏性的办法来检验系统是否有可能被攻击而崩溃。它利用了一系列脚本对系统进行攻击，然后对结果进行分析。网络检测技术常被用来进行穿透实验和安全审计。这种技术可以发现系统平台的一系列漏洞，也容易安装。但是，它容易影响网络的性能。（5）综合的技术。它集中了以上4种技术的优点，极大地增强了漏洞识别的精

18、度。共三十二页6.3.3 系统漏洞检测(jin c)方法系统漏洞检测是通过一定的技术方法主动地去发现系统中未知的安全漏洞。现有的漏洞检测方法有源代码扫描、反汇编代码扫描、渗透分析、环境错误(cuw)注入等。 共三十二页6.3.3 系统漏洞检测(jin c)方法（1）源代码扫描由于相当多的安全漏洞在源代码中会出现类似的错误，因此可以通过匹配程序中不符合规则的部分（如文件结构、命名规则、函数、堆栈指针等），从而发现程序中可能隐含的缺陷。源代码扫描技术主要针对开放源代码的程序，因而这种检测技术需要熟练掌握编程语言，并预先定义出不安全代码的审查规则，通过表达式匹配的方法检查(jinch)源程序代码。该

19、方法不仅能够发现程序动态运行过程中存在的安全漏洞，而且会出现大量的误报。（2）反汇编代码扫描对于不公开的源代码程序，反汇编代码扫描是最有效的检测方法，但分析反汇编代码需要有丰富的经验和很高的技术。采用反汇编代码扫描方法可以自行分析代码，也可以借助辅助工具得到目标程序的汇编脚本语言，再对汇编出来的脚本语言使用扫描方法，检测不安全的汇编代码序列。通常，通过反汇编代码扫描方法可以检测出大部分的系统漏洞，但这种方法费时费力，对人员的技术水平要求很高，也同样不能检测到程序动态运行过程中产生的安全漏洞。共三十二页6.3.3 系统漏洞检测(jin c)方法（3）渗透分析渗透分析法是依据已知安全漏洞检测未知的

20、漏洞，但是渗透分析以事先知道系统中的某种漏洞为先决条件。渗透分析的有效性与执行分析的程序员有关，缺乏(quf)评估的客观性。（4）环境错误注入环境错误注入法是软件运行的环境中故意注入人为的错误，并验证反应这也是验证计算机和软件系统容错性和可靠性的一种有效方法。 共三十二页6.3.4 常见(chn jin)的系统漏洞及防范利用Windows XP的AutoRun漏洞删除硬盘文件(wnjin)。IPC$默认共享漏洞Unicode漏洞IDQ溢出漏洞WebDAV溢出漏洞共三十二页6.3.5 系统漏洞检测工具网络攻击的目标主要有两类：系统和数据，其所对应的安全性也涉及系统安全和数据安全两个方面。 系统型

21、攻击的特点是：攻击发生在网络层，破坏系统的可用性，使系统不能正常工作。可能留下明显(mngxin)的攻击痕迹，用户会发现系统不能工作。数据型攻击的特点是：发生在网络的应用层，面向信息，主要目的是篡改和偷取信息，不会留下明显的痕迹。 共三十二页本章(bn zhn)小结介绍了入侵检测的概念，入侵检测系统功能及工作过程。入侵检测按技术分类可以分为特征检测和异常检测。按监测对象分类可以分为基于主机入侵检测和基于网络入侵检测。网络入侵检测系统的性能指标主要包括3类，即准确性指标、效率指标和系统指标。入侵检测系统作为最常见的网络安全产品之一，已经得到了非常广泛的应用。当前网络入侵检测系统的产品有很多，主要有Snort，、金诺网安、安氏的领信IDS、启明星辰的天阗系列、联想的联想网御IDS、东软、绿盟科技的冰之眼系列、中科网威的