全套电子课件：入侵检测技术

1、第1章 入侵检测概述目 录1.1 入侵检测简介1.2 入侵检测系统在信息安全中的地位1.3 入侵检测系统的基本原理与工作模式1.4 入侵检测的分类1.5 常用入侵检测方法1.1 入侵检测简介 因特网是全球信息共享的基础设施，是一种开放和面向所有用户的技术。一方面要保证信息方便、快捷的共享，另一方面要防止垃圾、恶意信息的传播。 根据CNNIC在2007年1月的第19次中国互联网络发展状况统计报告统计，中国网民总人数为13700万人。这期中仅有8.4%的网民对于网络内容的建康性非常满意。也就是说有91.6%的中国网民(12550万人)都或多或少的对于网络的建康性不满意。网上的入侵事件时有发生。1.

2、1 入侵检测简介 图中所示为CERT/CC统计到的近年来信息安全事件分析，1998年到2003年安全事件增加了23倍(1998年为3734次， 2003年为127 529次)。1.1 入侵检测简介 Anderson在1980年给出了入侵的定义:入侵是指在非授权的情况下，试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为。 本书中的入侵是个广义的概念，不仅包括被发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问（Denial of Service）等对计算机系统造成危害的行为。什么是入侵检测 入侵检测（Intrusion Detection）

3、，顾名思义，就是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测的发展历史1. 概念的诞生1980年4月，James P. Anderson为美国空军做了一份题为计算机安全威胁监控与监视（Computer Security Threat Monitoring and Surveillance）的技术报告，第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为3种，还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入

4、侵检测的开山之作。入侵检测的发展历史2. 模型的发展19841986年，乔治敦大学的Dorothy Denning和SRI/CSL（SRI公司计算机科学实验室）的Peter Neumann研究出了一个实时入侵检测系统模型，取名为入侵检测专家系统（IDES）。该模型由6个部分组成：主体、对象、审计记录、轮廓特征、异常记录、活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。入侵检测的发展历史1988年，SRI/CSL的Teresa Lunt等人改进了Denning的入侵检测模型，并开发出了一个IDES。入侵检测的发展历史3. 百花齐放的春天1

5、990年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor）。该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从此之后，入侵检测系统发展史翻开了新的一页，基于网络的IDS和基于主机的IDS两大阵营正式形成。入侵检测的发展历史3. 百花齐放的春天入侵检测系统的作用 (1) 通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵事件的发生；(2) 检测其它安全措施未能阻止的攻击或安全违规行为；(3) 检测黑客在攻击前的探测行为，

6、预先给管理员发出警报；(4) 报告计算机系统或网络中存在的安全威胁；(5) 提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补；(6) 在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。1.2 入侵检测系统在信息安全中的地位P2DR2安全模型与入侵检测系统关系 目前普遍采用动态网络安全理论来确保网络系统的安全,这种理论就是基于P2DR2 安全模型的动态信息安全理论。P2DR2 模型是在整体的安全策略( Policy) 的控制和指导下,在综合运用防护工具(Protection ,如防火墙、操作系统身份认证、加密等手段) 的同时,利用检测工具(Dete

7、ction ,如漏洞评估、入侵检测等系统) 了解和评估系统的安全状态,通过适当的响应(Response) 将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环。传统安全技术的局限性(1) 防火墙无法阻止内部人员所做的攻击防火墙保护的是网络边界安全，对在网络内部所发生的攻击行为无能为力，而据调查，网络攻击事件有80%以上是由内部人员所为。(2) 防火墙对信息流的控制缺乏灵活性防火墙是依据管理员定义的过滤规则对进出网络的信息流进行过滤和控制的。如果规则定义过于严格，则限制了网络的互连互通；如果规则定义过于宽松，则又带来了安全隐患。防火墙自身无法根据情况的变化

8、进行自我调整。传统安全技术的局限性 (3) 在攻击发生后，利用防火墙保存的信息难以调查和取证在攻击发生后，能够进行调查和取证，将罪犯绳之以法，是威慑网络罪犯、确保网络秩序的重要手段。防火墙由于自身的功能所限，难以识别复杂的网络攻击并保存相关的信息。1.3 入侵检测系统的基本原理与工作模式1.3.1 入侵检测系统的基本原理入侵检测系统基本的工作原理如图1.5所示。主要分为四个阶段：数据收集、数据处理、数据分析和响应处理。1.3 入侵检测系统的基本原理与工作模式(1) 数据收集：数据收集是入侵检测的基础，通过不同途径收集的数据，很可能需要采用不同的方法进行分析。目前的数据主要有主机日志、网络数据包

9、、应用程序数据、防火墙日志等。(2) 数据处理：数据收集过程中得到的原始数据量一般非常大，而且还存在噪声。为了全球下一步的分析，需要从原始数据中去除冗余、噪声，并且进行格式化及标准化处理。(3) 数据分析：采用统计、智能算法行装方法分析经过初步处理的数据，检查数据是否正常，或显示存在入侵。(4) 响应处理：当发现入侵时，采取措施进行防护、保留入侵证据及通知管理人员。常用的措施包括切断网络连接、记录日志、通过电子邮件或电话通知等。入侵检测系统的基本工作模式入侵检测系统的基本工作模式为：(1)从系统的不同环节收集信息；(2)分析该信息，试图寻找入侵活动的特征；(3)自动对检测到的行为做出响应；(4

10、)纪录并报告检测过程结果。如图1.6所示。 入侵检测的分类 入侵根据入侵检测技术分类 根据入侵检测系统所采用的技术可分为特征误用检测、异常检测和协议分析三种。(1) 误用检测误用检测(Misuse detection) 又称为特征检测(Signature-based detection)，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。根据入侵检测技术分类 (2) 异常检测异常检测(Anomaly detection)的假设是入

11、侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。根据入侵检测技术分类 (3) 协议分析 协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。它充分利用了网络协议的高度有序性，并结合了高速数据包捕捉、协议分析和命令解析，来快速检测某个攻击特征是否存在，这种技术正逐渐进入成熟应用阶段。协议分析大大减少了计算量，即使在高负载的高速网络上，也能逐个分析所有

12、的数据包。根据入侵检测数据来源分类 (1) 基于主机的入侵检测系统(HIDS，Host-based Intrusion Detection System) 基于主机的入侵检测系统通常是安装在被保护的主机上，主要是对该主机的网络实时连接以及系统审计日志进行分析和检查，当发现可疑行为和安全违规事件时，系统就会向管理员报警，以便采取措施。根据入侵检测数据来源分类 (3) 混合入侵检测基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，综合了基于

13、网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。根据入侵检测数据来源分类 (4) 文件完整性检查文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库，每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较，如不同，则文件已被修改，若相同，文件则未发生变化。根据入侵检测体系结构分类 (1) 集中式入侵检测系统集中式IDS有多个分布在不同主机上的审计程序，仅有一个中央入侵检测服务器。审计程序将当地收集到的数据踪迹发送给中央服务器进行分析处理。随着服务器所承载的主机数量的增多，中央服务器进行

14、分析处理的数量就会猛增，而且一旦服务器遭受攻击，整个系统就会崩溃。 根据入侵检测体系结构分类 (2) 等级式（分层式）入侵检测系统 等级式IDS(也叫分层式)中定义了若干个等级的监控区域，每个IDS负责一个区域，每一级IDS只负责所监控区的分析，然后将当地的分析结果传送给上一级IDS。等级式IDS也存在一些问题：首先，当网络拓扑结构改变时，区域分析结果的汇总机制也需要做相应的调整；其次，这种结构的IDS最后还是要将各地收集的结果传送到最高级的检测服务器进行全局分析，所以系统的安全性并没有实质性的改进。根据入侵检测体系结构分类(3) 分布式（协作式）入侵检测系统 分布式IDS是将中央检测服务器的

15、任务分配给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当地主机的某些活动。所以，其可伸缩性、安全性都等到了显著的提高，并且与集中式IDS相比，分布式IDS对基于网络的共享数据量的要求较低。但维护成本却提高了很多，并且增加了所监控主机的工作负荷，如通信机制、审计开销、踪迹分析等。根据入侵检测系统时效性分类根据时效性，入侵检测系统可以分为脱机分析入侵检测系统、联机分析入侵检测系统。(1) 脱机分析：就是在行为发生后，对产生的数据进行分析，而不是在行为发生时进行分析。如对日志的审核、对系统文件的完整性检查等。(2) 联机分析：就是在数据产生或者发生改变的同时对其进行检查，以发现攻击行为，这种方式一般用于对网络数据的实时分析，并且对系统资源要求比较高。常用入侵检测方法 (1) 误用检测误用检测对已知的攻击或入侵的方式做出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。常用入侵检测方法 (2) 统计检测统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用入侵检测方法 (3) 专家系统用专家系统对