入侵检测分析

1、入侵检测分析1一、入侵检测系统概述1、相关术语 攻击：攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取/破坏/篡改目标系统的数据或访问权限直接攻击和间接攻击事件：在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。 将入侵检测系统需要分析的数据统称为事件（event）入侵检测是对入侵行为的发觉，它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。入侵检测技术是通过从计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中

2、是否有违反安全策略的行为和遭到入侵的迹象的一种安全技术。负责入侵检测的软/硬件组合体称为入侵检测系统IDS。22、入侵检测技术入侵检测（Intrusion Detection）技术是一种动态的网络检测技术，主要用于识别对计算机和网络资源的恶意使用行为，包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象，则应当做出适当的反应。对于正在进行的网络攻击，则采取适当的方法来阻断攻击（与防火墙联动），以减少系统损失。对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息

3、，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测技术也是保障系统动态安全的核心技术之一 一、入侵检测系统概述3 3、入侵检测系统入侵检测系统（IDS）由入侵检测的软件与硬件组合而成，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现： 1）监视、分析用户及系统活动。 2）识别反映已知进攻的活动模式并向相关人士报警。 3）异常行为模式的统计分析。 4）评估重要系统和数据文件的完整性。 5）操作系统的审计跟踪管理，识别用户违反安全策略的行为6）检查系统配置和漏洞 一

4、、入侵检测系统概述44、入侵检测系统的作用监控网络和系统发现入侵企图或异常现象实时报警主动响应审计跟踪 一、入侵检测系统概述55、入侵检测的发展历程1980年，James Anderson最早提出入侵检测概念1987年，DEDenning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出。1988年，Morris蠕虫事件直接刺激了IDS的研究1988年，创建了基于主机的系统,有IDES，Haystack等1989年，提出基于网络的IDS系统,有NSM，NADIR， DIDS等90年代，不断有新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入ID

5、S系统2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮2001年今，RedCode、求职信等新型病毒的不断出现，进一步促进了IDS的发展 一、入侵检测系统概述6二、入侵检测系统的分类IDS一般从实现方式上分为两种：基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统IDS一定是基于主机和基于网络两种方式兼备的分布式系统。不管使用哪一种工作方式，都用不同的方式使用了上述两种分析技术，都需要查找攻击签名Attack Signature。所谓攻击签名，就是用一种特定的方式来表示已知的攻击方式 7二、入侵检测系统的分类1、基于网络的I

6、DS基于网络的IDS是网络上的一个监听设备(或一个专用主机)基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源。一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信， 一旦检测到攻击，IDS应答模块通过通知报警以及中断连接等方式来对攻击作出反应安装在被保护的网段（通常是共享网络，交换环境中交换机需支持端口映射）中混杂模式监听分析网段中所有的数据包实时检测和响应 8基于网络的IDS工作模型二、入侵检测系统的分类9基于网络的入侵检测系统的主要优点有 1 成本低 2 攻击者转移证据很困难 3 实时检测和应答一旦发生恶意访问或攻击，基于网络的IDS检测可以随时发现它们，因此能

7、够更快地作出反应，从而将入侵活动对系统的破坏减到最低 4 能够检测未成功的攻击企图 5 操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源，而基于主机的系统需要特定的操作系统才能发挥作用 二、入侵检测系统的分类10基于网络的入侵检测系统的主要缺点有 (1) 不适合交换环境和高速环境：很难实现一些复杂的需要大量计算与分析时间的攻击检测。(2)不能处理加密数据(3) 资源及处理能力局限：只检查它直接连接网段的通信，不能检测在不同网段的网络包。(4) 系统相关的脆弱性二、入侵检测系统的分类112、基于主机的IDS基于主机的IDS一般监视Windows NT上的系统、事件、安全日志以及U

8、NIX环境中的syslog文件，一旦发现这些文件发生任何变化，IDS将比较新的日志记录与攻击签名以发现它们是否匹配， 如果匹配的话检测系统就向管理员发出入侵报警并且发出采取相应的行动 安装于被保护的主机中主要分析主机内部活动占用一定的系统资源二、入侵检测系统的分类12基于主机的IDS的主要优势有 1 非常适用于高速环境 2 接近实时的检测和应答 3 不需要额外的硬件 二、入侵检测系统的分类133、两种入侵检测技术的比较 如果攻击不经过网络，基于网络的IDS无法检测到，只能通过使用基于主机的IDS 来检测 基于网络的IDS通过检查所有的包首标 header来进行检测，而基于主机的IDS并不查看包

9、首标；许多基于IP的拒绝服务攻击和碎片攻击只能通过查看它们通过网络传输时的包首标才能识别 基于网络的IDS可以研究负载的内容查找特定攻击中使用的命令或语法。这类攻击可以被实时检查包序列的IDS迅速识别；而基于主机的系统无法看到负载，因此也无法识别嵌入式的负载攻击 二、入侵检测系统的分类144、两种类型IDS的结合 在新一代的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来，提供集成化的攻击签名、检测、报告和事件关联功能利用最新的可适应网络安全技术和P2DR（Policy Protection Detection Response）安全模型，可 以深入地研究入侵事件、入侵手

10、段本身及被入侵 目标的漏洞等 二、入侵检测系统的分类155、IDS的基本结构无论IDS系统是网络型的还是主机型的，从功能上看，都可分为两大部分：探测引擎和控制中心。前者用于读取原始数据和产生事件；后者用于显示和分析事件以及策略定制等工作二、入侵检测系统的分类16引擎的主要功能为：原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能 引擎的工作流程 17控制中心的工作流程 控制中心的主要功能为：通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。1819三、入侵检测的原理异常检测（Anomaly Detection） 统计模型误报较多误用检测（Misuse Detection）

11、维护一个入侵特征知识库（CVE）准确性高特征检测 关注系统本身的行为通过提高行为特征定义的准确度和覆盖范围，较低误报和错别率201、异常检测异常检测的基本原理正常行为的特征轮廓检查系统的运行情况是否偏离预设的门限21异常检测的优点：可以检测到未知的入侵 可以检测冒用他人帐号的行为 具有自适应，自学习功能 不需要系统先验知识1、异常检测22异常检测的缺点：漏报、误报率高入侵者可以逐渐改变自己的行为模式来逃避检测合法用户正常行为的突然改变也会造成误警 统计算法的计算量庞大，效率很低 统计点的选取和参考库的建立比较困难1、异常检测232、误用检测误用检测采用匹配技术检测已知攻击提前建立已出现的入侵行

12、为特征检测当前用户行为特征24误用检测的优点算法简单系统开销小 准确率高效率高2、误用检测25误用检测的缺点被动只能检测出已知攻击 新类型的攻击会对系统造成很大的威胁 模式库的建立和维护难模式库要不断更新知识依赖于硬件平台操作系统系统中运行的应用程序2、误用检测263、特征检测特征检测定义系统行为轮廓，并将系统行为与轮廓进行比较，对未指明为正常行为的事件定义为入侵。特征检测系统采用某种特征语言定义系统的安全策略。27最大的优点可以通过提高行为特征定义的准确度和覆盖范围，大幅度降低漏报和错报率。最大缺点要求严格定义安全策略需要耗费大量的时间来维护动态系统的特征库3、特征检测28四、 入侵检测的步

13、骤入侵检测系统的作用是实时地监控计算机系统的活动，发现可疑的攻击行为，以避免攻击的发生，或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤：信息收集、数据分析和响应291信息收集 入侵检测的第一步是信息收集。收集内容包括系统、网络、数据及用户活动的状态和行为，而且，需要在计算机网络系统中的若干不同关键点、不同网段和不同主机收集信息。这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但是从几个信息源的不一致性却是可疑行为或入侵的最好标识 入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保采集、报告这些信息的软件工具的可靠性，这些

14、软件本身应具有相当强的坚固性，能够防止被篡改而收集到错误的信息。否则，黑客对系统的修改可能使入侵检测系统功能失常但看起来却跟正常的系统一样。四、 入侵检测的步骤30 因为黑客经常替换软件以搞混和移走这些信息。例如替换被程序调用的子程序 库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样，例如，unix系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件，这就需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性， 防止被篡改而收集到错误的信息 四、 入侵检测的步骤31入侵检测利用的信息一般来自以下

15、四个方面 系统和网络日志文件 目录和文件中的不期望的改变 程序执行中的不期望行为 物理形式的入侵信息 四、 入侵检测的步骤32四、 入侵检测的步骤系统和网络日志文件 黑客经常在系统日志文件中 留下他们 的踪迹， 因此充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看 日志文件能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内

16、容。 显然，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。33四、 入侵检测的步骤目录和文件中不期望的改变 网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望 的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。 入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件 34四、 入侵检测的步骤程序执行中的不期望行为 网络系统上的程序

17、执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用，例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现，每个进程执行在具有不同权限 的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程以及与网络间其它进程的通讯。一个进程出现了不期望的行为，可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解从而导致它失败，或者是以非用户或管理员意图的方式操作。35四、 入侵检测的步骤2 数据分析 数据分析（Analysis Schemes

18、）是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能。对上述四类收集到的有关系统、网络数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测而完整性分析则用于事后分析 36四、 入侵检测的步骤模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单，如通过字符串匹配以寻找一个简单的条目或指令；也可以很复杂，如利用正规的数学表达式来表示安全状态的变化 37四、 入侵检测的步骤统计分析 统计分析方法首先给系统对象（如用户、文件、目录和设备等）

19、创建一个统计描述，统计正常使用时的一些测量属性，如访问次数、操作失败次数和延时等 其优点是可检测到未知的入侵和更为复杂的入侵。 该法的缺点是误报、漏报率高，且不适应用户正常行为的突然改变。38四、 入侵检测的步骤完整性分析 完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的被特络伊化的应用程序方面特别有效其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。39四、 入侵检测的步骤3 响应 数据分析发现入侵迹象后，入侵检测系统的下一步工作就是响应。

20、而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应。1、将分析结果记录在日志文件中，并产生相应的报告。2、触发警报：如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件等等。3、修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等。40五、案例 入侵检测工具：BlackICEBlackICE是一个小型的入侵检测工具，在计算机上安全完毕后，会在操作系统的状态栏显示一个图标，当有异常网络情况的时候，图标就会跳动。主界面如图所示。41案例 入侵检测工具：BlackICE可以查看主机入侵的信息，选择属性页“Intruders”，如图所示。42入侵检测工具：冰之眼“冰之眼”网络入侵检测系统是NSFOCUS系列安全软件中一款专门针对网络遭受黑客攻击行为而研制的网络安全产品，该产品可最大限度地、全天候地监控企业级的安全。由于用户自身网络系统的缺陷、网络软