网络安全理论与时间

1、金陵科技学院教案【教学单元首页】第1次课授课学时4教案完成时间：2018.2*-H-早、节第4讲IDS主要内容入侵检测概述入侵检测原理及主要方法IDS的结构与分类NIDSHIDSDIDSIDS设计上的考虑与部署IDS的发展方向目的与要求系统地介绍系统入侵检测与预防技术。熟悉入侵的基本知识；掌握入侵攻 击的一般步骤；掌握入侵检测系统的构件；了解入侵检测系统的各种分类 方法，特别是HIDS和NIDS的区别；了解入侵检测的信息源，如基于网络、 基于主机等；理解入侵检测的分析方式，如基于网络信息的分析和基于主 机日志的分析；了解入侵检测的部署机制及相关应用。重点与难点掌握入侵攻击的一般步骤；掌握入侵检

2、测系统的构件；理解入侵检测的分 析方式，NIDS、HIDS、DIDS的原理。教学方法与手段课堂教学，多媒体课件与板书相结合授课内容1入侵检测概述1.1入侵检测的主要作用：（1）检测和记录网络中的攻击事件，阻断攻击行为，防止入侵事件的发生。（2）检测其他未授权操作或安全违规行为。（3）统计分析黑客在攻击前的探测行为，管理员发出警报。（4）报告计算机系统或网络中存在的安全威胁。（5）提供有关攻击的详细信息，帮助管理员诊断和修补网络中存在的安全弱点。（6）在大型复杂的计算机网络中部署入侵检测系统，提高网络安全管理的质量。1.2入侵检测的定义：（1）入侵检测：不仅包括攻击者非法取得系统的控制权的行为也

3、包括他们对系统 漏洞信息的收集，并由此对信息系统造成危害的行为。（2）入侵检测系统：所有能够执行入侵检测任务和实现入侵检测功能的系统都称 为入侵检测系统（Intrusion Detection System, IDS）。包括软件系统或软、硬件 结合的系统。1.3入侵检测系统模型（2）检测器：分析和检测入侵的任务并向控制器发出警报信号。（3）知识库：为检测器和控制器提供必需的数据信息支持。（4）控制器：根据警报信号人工或自动地对入侵行为做出响应。IDS的主要功能：（1）防火墙之后的第二道安全闸门。（2）提高信息安全基础结构的完整性。（3）在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击

4、、外部攻击和误操作的实时保护。1.5入侵检测执行的任务：（1）监视、分析用户及系统的活动（2）检测其他未授权操作或安全违规行为。（3）系统构造和弱点的审计（4）报告计算机系统或网络中存在的安全威胁。（5）异常行为模式的统计分析（6）识别用户违反安全策略的行为。IDS的主要功能：（1）网络流量的跟踪与分析功能（2）已知攻击特征的识别功能（3）异常行为的分析、统计与响应功能（4）特征库的在线和离线升级功能（5）数据文件的完整性检查功能（6）自定义的响应功能（7）系统漏洞的预报警功能（8）IDS探测器集中管理功能IDS的功能模块：（1）信息收集：系统和网络的日志文件：日志文件中包含发生在系统和网络上

5、的异常活动的证 据。通过日志发现入侵行为。目录和文件中的异常改变：目录和文件的异常改变，特别是那些限制访问的重 要文件和数据的改变，很可能是一种入侵行为。黑客经常替换、修改和破坏他们获 得访问权限。程序执行中的异常行为：程序由一个或多个进程来实现，每个进程执行在不同 权限的环境中，这种环境控制着进程可访问的资源、程序、和数据文件等。进程出 现异常，表明可能被入侵。物理形式的入侵信息：一是对网络硬件的非授权连接；二是对物理资源的未授 权访问。（2）信息分析模式匹配将收集到的信息与已知的网络入侵模式的特征数据库进行比较，从而发现违背 安全策略的行为。假定所有入侵行为和手段（及其变种）都能够表达为一

6、种模式或特征，那么所 有已知的入侵方法都可以用匹配的方法来发现。关键是如何表达入侵模式，把入侵行为与正常行为区分开来优点：误报率小；局限性：只能发现已知攻击，对未知攻击无能为力统计分析建立系统正常运行的行为轨迹：先创建系统对象（如用户、文件、目录和设 备等）的统计属性（如访问次数、操作失败次数、访问地点、访问时间等），再将系统实际行为与之比较。优点：检测到未知入侵；缺点：误报率高完整性分析利用杂凑函数，检测某个文件或对象是否被篡改优点：只要谁的或对象有改变都能够被发现缺点：完整性分析未开户时，不能主动发现入侵行为，实时性差。（3）安全响应主动响应：由用户驱动或系统本身自动执行，可对入侵行为采取

7、终止网络服务、 修正系统环境（如修改防火墙安全策略等）。被动响应：发出告警信息和通知等。IDS的评价标准：先进的检测能力和响应能力不影响被保护网络正常运行无人监管能正常运行具有坚固的自身安全性具有很好的可管理性消耗系统资源较少可扩展性好，能适应变化。支持ip碎片重组支持TCP流重组支持TCP状态检测支持应用层协议解码灵活的用户报告功能安装、配置、调整简单易行能与常用的其他安全产品集成支持常用网络协议和拓扑结构2入侵检测原理及主要方法2.1入侵检测原理及主要方法（1）攻击检测：入侵检测类似于治安巡逻队，专门注重发现形迹可疑者。被动、离线地发现计算机网络系统中的攻击者。实时、在线地发现计算机网络系

8、统中的攻击者。（2）异常检测：IDS通常使用的两种基本分析方法之一，又称为基于行为的入侵检测技术。收集操作活动的历史数据，建立代表主机、用户或网络连接的正常行为描述， 判断是否发生入侵。（3）误用检测：IDS通常使用的两种基本分析方法之一，又称基于知识的检测技术。对已知的入侵行为和手段进行分析，提取检测特征，构建攻击模式或攻击签名， 判断入侵行为。2.2基于异常检测原理的入侵检测方法:（1）（2）（3）（4）（5）统计异常检测方法（较成熟）特征选择异常检测方法（较成熟）基于贝叶斯网络异常检测方法（理论研究阶段） 基于贝叶斯推理异常检测方法（理论研究阶段） 基于模式预测异常检测方法（理论研究阶段

9、）2.3基于误用检测原理的入侵检测方法:（1）（2）（3）（4）（5）优点：缺点：基于专家系统误用检测方法 基于状态迁移分析误用检测方法 基于键盘监控误用检测方法 基于模型误用检测方法准确地检测已知的入侵行为。不能检测出未知的入侵行为。2.4各种入侵检测技术基于概率统计的检测：异常检测中最常用的技术，对用户历史行为建立模型。基于神经网络的检测基：于专家系统的检测：根据安全专家对可疑行为的分析经验 来形成一套推理规则，再在此基础上建立专家系统。基于专家系统的检测：用一系列信息单元训练神经单元，在给定一个输入后，就可 能预测出输出。基于模型推理的检测：攻击者采用一定的行为程序构成的模型，根据其代表

10、的攻击 意图的行为特征，可以实时地检测出恶意的攻击企图。3 IDS的结构与分类IDS入侵检测步骤：信息收集：内容包括系统、网络、数据用户活动的状态和行为。来自系统日志、目 录及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息 数据分析：入侵检测的核心。首先构建分析器，把收集到的信息经过预处理建立模型，然后向模型中植入时 间数据，在知识库中保存。响应：主动响应由用户驱动或系统本身自动执行，可对入侵者采取行动、修正系统 环境或收集有用信息。被动响应包括告警和通知、简单网络管理协议(SNMP)陷阱和插件等。IDS的架构：通用入侵检测架构(Common Intrusion Detection

11、 Framework, CIDF)阐述了入侵 检测系统的通用模型。以下组件：事件产生器(Event Generation)事件分析器(Event Analyzers)响应单元(Response Unites)事件数据库(Event Databases)事件:将入侵检测系统需要分析的数据统称为事件(Event)。可以是基于网络得到 的数据，也可是基于主机得到的数据。3.3. IDS的功能构成：事件提取：负责提取相关运行数据或记录，并对数据进行简单过滤。入侵分析：找出入侵痕迹，区分正常和不正常的访问，分析入侵行为并定位入侵者。入侵响应：分析出入侵行为后被触发，根据入侵行为产生响应。远程管理：在一台

12、管理站上实现统一的管理监控。IDS的分类：按照数据来源分类NIDS :截获数据包，提取特征并与知识库中已知的攻击签名相比较。HIDS:通过对日志和审计记录的监控和分析来发现攻击后的误操作。DIDS：同时分析来自主机系统审计日志和网络数据流。按照入侵检测策略分类滥用检测：将收集到的信息与数据库进行比较。异常检测：测量属性的平均值将被用来与系统行为比较。完整性分析：hash,关注是否被更改。NIDS 和 HIDS4 NIDSNIDS 概述：TelecommutersNIDS：根据网络流量、网络数据包和协议来分析入侵检测。使用原始网络包作为数据包。通常利用一个运行在混杂模式下的网络适配器来实现监视并

13、分析通过网络的 所有通信业务。4种常用技术：（1）模式、表达式或宇节匹配。（2）频率或穿越阈值。（3）低级事件的相关性。（4）统计学意义上的非常规现象检测。主要优点：（1）拥有成本低。（2）攻击者转移证据困难。（3）实时检测和响应。（4）防火墙外部IDS能够检测未成功的攻击企图。（5）操作系统独立。4.2基于网络入侵检测系统工作原理4.3NIDS关键技术:（1）ip碎片重组技术（2）TCP流重组技术（3）TCP状态检测技术（4）协议分析技术（5）零复制技术（6）蜜罐技术IP碎片重组技术、TCP流重组技术：攻击者将攻击请求分成若干个IP碎片包。IP碎片包被发给目标主机。碎片攻击包括：碎片覆盖、碎

14、片重写、碎片超时和针对网络拓扑的碎片技术等。IDS需要在内存中缓存所有的碎片。模拟目标主机对碎片包进行重组还原出真正的请求内容。进行入侵检测分析。IP分片：链路层具有最大传输单元MTU这个特性，它限制了数据帧的最大长度。不同的网络类型都有一个上限值。以太网的MTU是1500。如果IP层有数据包要传，而且数据包的长度超过了 MTU，那么IP层就要对数 据包进行分片（fragmentation）操作，使每一片的长度都小于或等于MTU。关键域：IDMFDFOFFSET首部数据部分共3800字节字节01400需分片的 数据报偏移=0/8 =028003799 首部1*首部2首部313992799140

15、0数据报片3偏移=2800/8 = 350数据报片2偏移=1400/8 = 175字节。数据报片1 偏移=0/8 = 028003799IP碎片攻击指的是一种计算机程序重组的漏洞：IP首部有两个字节表示整个IP数据包的长度，所以IP数据包最长只能为 0 xFFFF，就是65535字节。如果有意发送总长度超过65535的IP碎片，一些老的 系统内核在处理的时候就会出现问题，导致崩溃或者拒绝服务。另外，如果分片之 间偏移量经过精心构造，一些系统就无法处理，导致死机。所以说，漏洞的起因是 出在重组算法上。（1）ping o deathping o death是利用ICMP协议的一种碎片攻击。攻击者发

16、送一个长度超过 65535的Echo Request数据包，目标主机在重组分片的时候会造成事先分配的65535 字节缓冲区溢出，系统通常会崩溃或挂起。ping不就是发送ICMP Echo Request 数据包的吗？jolt2jolt2.c是在一个死循环中不停的发送一个ICMP/UDP的IP碎片，可以使 Windows系统的机器死锁。我测试了没打SP的Windows 2000，CPU利用率会立即上 升到100%，鼠标无法移动。（2）Teardrop利用重叠分片由于目标系统能够重组IP分片，因此需要网络入侵检测系统具有重组IP碎片 的能力。如果网络入侵检测系统没有重组IP碎片的能力，将无法检测通

17、过IP碎片进入 的攻击数据。由于目标系统能够重组IP分片，因此需要网络入侵检测系统具有重组IP碎片 的能力。如果网络入侵检测系统没有重组IP碎片的能力，将无法检测通过IP碎片进入 的攻击数据。基本的IP碎片重组问题：IP碎片通常会按照顺序到达目的地，最后的碎片的MF位为0（表示这是最后一 个碎片）。不过，IP片有可能不按照顺序到达，目标系统必须能够重组碎片。但是， 如果网络入侵检测系统总是假设IP碎片是按照顺序到达就会出现漏报的情况。攻击者可以打乱碎片的到达顺序，达到欺骗IDS的目的。IP碎片缓冲问题：IDS必须把IP碎片保存到一个缓冲区里，等所有的碎片到达之后重组IP分组。如果攻击者不送出所

18、有的碎片，就可能使那些缓存所有碎片的IDS消耗掉 所有内存。使用尽可能小的碎片：例如:每个碎片只有8个字节（碎片最小8个字节，8个字节是指数据段的长度， 不过每个IP包的第一个分片好像最小是24个字节，我记得在那边看到过不过不肯 定了），而每个碎片中都没有足够的信息，从而逃过检测。现在的包过滤设备一般会主动丢弃这种碎片，入侵检测设备也会发出碎片攻击 的报警，因此这种逃避方式很难奏效。IP碎片重组技术、TCP流重组技术：TCP是一种面向连接的协议，客户与服务器之间的任何一次会话都必须建立， 退出会话时必须断开连接。由于网络问题，数据包可能会经过不同的路由传输到目的地，并且到达目的地 的数据包可能

19、顺序会发生改变。只有将数据包重组以后，才能还原一次完整的TCP会话。TCP流重组技术：由于监视TCP会话的入侵检测系统是被动的监视系统，因此无法使用TCP重传 机制。如果在传输过程中丢失了很多报文，就可能使入侵检测系统无法进行序列号跟 踪。如果没有恢复机制，就可能使入侵检测系统不能同步监视TCP连接。即使入侵检测系统能够恢复序列号跟踪，也能被攻击。TCP建立连接：一次TCP会话建立的时候需要3个报文交换，即需要3次握手（如图1）。 其SEQ和ACK的关系如下：（1）客户发送一个SYN段，SYN=1表示发起一个连接，生成随机SEQ。（2）对方收到后将SEQ+1置于ACK发回给本机。表示对前者的确

20、认，生成随 机SE Q发回本机。（3）本机收到后将SEQ+1置于ACK发回给对方，将对方ACK置于SEQ。TCP数据传输：当双方建立TCP连接以后，就可以传输数据了，传输过程中发送方每发送一 个数据包，接收方都要给予一个应答。数据包的先后关系可以由TCP首部的序号和确认序号确定。双方序号的及确认序号之间的关系为：SYN的计算：在TCP建立连接的以后，会为后续TCP数据的传输设定一个初始的序列号。 以后每传送一个包含有效数据的TCP包，后续紧接着传送的一个TCP数据包的序 列号都要做出相应的修改。序列号是为了保证TCP数据包的按顺序传输来设计的，可以有效的实现TCP 数据的完整传输，特别是在数据

21、传送过程中出现错误的时候可以有效的进行错误修 正。在TCP会话的重新组合过程中我们需要按照数据包的序列号对接收到的数据包 进行排序。一台主机即将发出的报文中的SEQ值应等于它所刚收到的报文中的ACK值， 而它所要发送报文中的ACK值应为它所收到报文中的SEQ值加上该报文中所发 送的TCP数据的长度，即两者存在：（1）本次发送的SEQ=上次收到的ACK ；（2）本次发送的ACK=上次收到的SEQ+本次收到的TCP数据长度； 表中初始的序列号Init_seq可以从携带SYN标记的TCP包中获得。数据包长度序列号初始值1lnit_seq报文段1lenlInitseq-l报文段2len2Init_se

22、q-l-len】报文段3Len3hitseq 1 -len 1 -Ien2TCP状态检测技术:攻击NIDS最有效的办法是利用Coretez Giovanni写的Stick程序，Stick使用了很巧妙的办法，它可以在2秒内模拟450次没有经过3步握手的 攻击，快速的告警信息的产生会让IDS反应不过来、产生失去反应甚至死机现象。由于Stick发出多个有攻击特征（按照snort的规则组包）的数据包，所以IDS 匹配了这些数据包的信息时，就会频繁发出警告，造成管理者无法分辨哪些警告是 针对真正的攻击发出的，从而使IDS失去作用。当有攻击表现的信息包数量超过IDS的处理能力，IDS会陷入拒绝服务状态。饶

23、过IDS:饶过IDS的检测，主要是针对IDS模式匹配所采用的方法来逃避IDS的监视. 我们来详细看一下：1.针对HTTP请求以绕过IDS监视 URL编码问题，将URL进行 编码，可以避开一些采用规则匹配的NIDS。二进制编码中HTTP协议允许在URL中 使用任意ASCII字符，把二进制字符表示成形如T%xx的十六进制码，有的IDS并 不会去解码。如cgi-bin可以表示成%63%67%69%2d%62%69%6e，有些IDS的规 则匹配不出，但web服务器可以正确处理。不过现在大多数IDS已经是在匹配规则 之前解码，目前这个手段已经不适用了，一般的IDS都可以检测到的！# %u编码， 是用来代

24、表Unicode/wide特征字符，但微软IIS web服务器支持这种非标准的web 请求编码方式由于%u编码不是标准的编码，IDS系统不能解码%u，所以可以绕过IDS 的检测。网络中斜线问题即/和/。# /问题：如果在HTTP的提交的请求中把 /转换成/，如7cgi-bin/test.cgi”转换成”/cgi-bin/test.cgi”，虽然 两个字符串不匹配，但对许多web服务器的解释是一样的。如果把双斜线换成三斜 线或更多效果也是一样的。目前有些IDS无法检测到这种类型的请求。#/问题： Microsoft用/来分隔目录，Unix用/来分隔，而HTTP RFC规定用/，Microsoft

25、 的web服务器如IIS会主动把/转换成/。例如发送/cgi-bin/test.cgi”之 类的命令，IIS可以正确识别，但这样IDS就不会匹配/cgi-bin/test.cgiT，此 法可以逃避一些IDS。-协议分析技术：协议分析技术的优点：性能提高。准确性提高。基于状态的分析。反规避能力大大增强。系统资源开销小。协议分析技术的缺点：根据现有协议模式到固定位置取值根据取得的值，分析这些协议的流量，寻找可疑的或不正常的行为。状态协议分析在常规协议分析技术基础上加入状态特性分析，将一个会话的所 有流量作为一个整体来考虑。当流量不是期望值时，IDS就发出告警。-零复制技术基本思想：在数据包传递过程

26、中，减少数据复制次数，减少系统调用，实现CPU 的零参与，彻底消除CPU在这方面的负载。传统的方法：需通过系统调用将网卡中的数据包复制到上层应用系统中，会占 用系统资源，造成IDS性能下降。改进后的方法：通过重写网卡驱动，使网卡驱动与上层系统共享一块内存区域， 网卡从网络上捕获到的数据包直接传递给入侵检测系统。蜜罐技术:蜜罐（honeypot）的作用：把潜在入侵者的注意力从关键系统移开。收集入侵者的动作信息。设法让攻击者停留一段时间，使管理员能检测到它并采取相应的措施。蜜罐的实现：在外部Internet上的一台计算机上运行没有打上补丁的微软Windows或 Red Hat Linux引诱黑客来

27、攻击设置网络监控系统，记录进出计算机的所有流量下游责任：蜜罐会被黑客用来攻击其他系统。蜜网（honeynet）:另外采用了各种入侵检测和安全审计技术的蜜罐。减小或排除对其它系统造成的风险。蜜罐技术优势：大大减少了所要分析的数据。蜜网计划已经收集了大量信息，很少有黑客采用新的攻击手法。蜜罐不仅是一种研究工具，同样有着真正的商业应用价值。虚拟蜜网的出现大大降低了蜜罐的成本及管理难度，节省了机器占用的空间。HIDSHIDS 概述：检测目标：主机系统和本地用户。检测原理：根据主机的审计数据和系统日志发现可疑事件，检测系统可以运行 在被检测的主机或单独的主机上。当有文件发生变化时，IDS将新的记录条目与

28、攻击标记相比较，看二者是否匹 配，如果匹配，系统就会向管理员报警并向其他的目标报告，以采取措施。HIDS的特点：（1）监视特定的系统活动：监视用户和访问文件的活动，包括文件访问、改变文件的权限、试图建立新的 可执行文件或试图访问特殊设备。监视只有管理员才能实施的异常行为。监视主要系统文件和可执行文件的改变。（2）非常适用于加密和交换环境。NIDS无法检测密文HIDS驻留在主机中，OS做解密（3）近实时的检测和应答。（4）不需要额外的硬件。（5）NIDS不能检测针对主机的攻击，而HIDS能检测该攻击（6）HIDS能监测系统文件、进程和日志文件，寻找可疑活动。（7）HIDS可检测缓冲区溢出攻击，在某些时刻阻止入侵。（8）一旦检测到入侵，HIDS代理程序可以利用多种方式做出反应Host-based IDSTelecommutersHIDS的关键技术HTTP 请求类型缓冲区溢出关键字物理目录DIDS分布式入侵检测6.1入侵检测系统的实际应用问题：系统的弱点或漏洞分散在网络的各个主机上，这些弱点有可能被入侵者一起用 来攻击网络，而依靠唯一的主机或网络，IDS不能发现入侵行为。入侵行为不再是单一的行为，而表现出协作入侵的特点，如分布式拒绝服务攻 击（DDo