计算机网络信息安全第11章

1、第11章入侵检测技术的原理与应用 11.1 入侵检测概述 11.2 入侵检测技术 11.3 入侵检测系统的组成与分类 11.4 入侵检测系统的评估指标 11.5 入侵检测系统的部署方法与应用案例 11.6 本章小结 本章思考与练习 11.1 入侵检测概述 11.1.1 入侵检测概念20世纪80年代初期，安全专家认为：“入侵是指未经授权蓄意尝试访问信息、篡改信息、使系统不可用的行为。”美国大学安全专家将入侵定义为“非法进入信息系统，包括违反信息系统的安全策略或法律保护条例的动作。”我们认为，入侵应与受害目标相关联，该受害目标可以是一个大的系统或单个对象。判断与目标相关的操作是入侵的依据是：对目标

2、的操作是否超出了目标的安全策略范围。因此，入侵是指违背访问目标的安全策略的行为。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能的系统称为入侵检测系统，简称IDS。 11.1.2 入侵检测系统模型最早的入侵检测模型是由Denning给出的，该模型主要根据主机系统审计记录数据，生成有关系统的若干轮廓，并监测轮廓的变化差异，发现系统的入侵行为，如图11-1所示。 图11-1 入侵检测模型 现在，入侵行为的种类在不断增多，许多攻击都是经过长时期准备的。面对这种情况，入侵检测系统的不同功能组件之间、不同IDS之间共享这类攻击信息是

3、十分重要的。于是，一种通用的入侵检测框架模型(简称CIDF)就被提出来了。该模型认为入侵检测系统由事件产生器(event generators)、事件分析器(event analyzers)、响应单元(response units)和事件数据库(event databases)组成，如图11-2所示。CIDF将入侵检测系统需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。事件产生器从整个计算环境中获得事件，并向系统的其他部分提供事件。 事件分析器分析所得到的数据，并产生分析结果。响应单元对分析结果做出反应，如切断网络连接，改变文件属性，简单报警等。事件数

4、据库存放各种中间和最终数据，数据存放的形式既可以是复杂的数据库，也可以是简单的文本文件。CIDF模型具有很强的扩展性，目前已经得到广泛认同。 图11-2 CIDF各组件之间的关系图 11.1.3 入侵检测作用入侵检测系统在网络安全保障过程中扮演类似“预警机”或“安全巡逻人员”的角色，入侵检测系统的直接目的不是阻止入侵事件的发生，而是通过检测技术来发现系统中企图或违背安全策略的行为，其作用表现为以下几个方面：* 发现受保护系统中的入侵行为或异常行为。* 检验安全保护措施的有效性。* 分析受保护系统所面临的威胁。* 有利于阻止安全事件扩大，及时报警触发网络安全应急响应。* 可以为网络安全策略的制定

5、提供重要指导。* 报警信息可用作网络犯罪取证。 11.2 入侵检测技术 11.2.1 基于误用的入侵检测技术基于误用的入侵检测通常称为基于特征的入侵检测方法，是指根据已知的入侵模式检测入侵行为。攻击者常常利用系统和应用软件中的漏洞技术进行攻击，而这些基于漏洞的攻击方法具有某种特征模式。如果入侵者的攻击方法恰好匹配上检测系统中的特征模式，则入侵行为可立即被检测到，如图11-3所示。 图11-3 基于攻击模式匹配的原理图 显然，误用入侵检测依赖于攻击模式库，因此，这种采用误用入侵检测技术的IDS产品的检测能力就取决于攻击模式库的大小以及攻击方法的覆盖面。如果攻击模式库太小，则IDS的有效性就大打折

6、扣。而如果攻击模式库过大，则IDS的性能会受到影响。基于上述分析，误用入侵检测的前提条件是，入侵行为能够按某种方式进行特征编码，而入侵检测的过程实际上就是模式匹配的过程。根据入侵特征描述的方式或构造技术，误用检测方法可以进一步细分。下面介绍几种常见的误用检测方法。 1基于条件概率的误用检测方法基于条件概率的误用检测方法是指将入侵方式对应一个事件序列，然后观测事件发生序列，应用贝叶斯定理进行推理，推测入侵行为。令ES表示事件序列，先验概率为P(Intrusion)，后验概率为P(ES | Intrusion)，事件出现概率为P(ES)，则： 通常，网络安全员可以给出先验概率P(Intrusion

7、)，对入侵报告的数据统计处理可得出P(ES | ?Intrusion)和P(ES | Intrusion)，于是可以计算出：因此，可以通过事件序列的观测推算出P(Intrusion|ES)。基于条件概率的误用检测方法是基于概率论的一种通用方法。它是对贝叶斯方法的改进，其缺点是先验概率难以给出，而且事件的独立性难以满足。 2基于状态迁移的误用检测方法状态迁移方法利用状态图表示攻击特征，不同状态刻画了系统某一时刻的特征。初始状态对应于入侵开始前的系统状态，危害状态对应于已成功入侵时刻的系统状态。初始状态与危害状态之间的迁移可能有一个或多个中间状态。攻击者的操作将导致状态发生迁移，使系统从初始状态迁

8、移到危害状态。基于状态迁移的误用检测方法通过检查系统的状态变化来发现系统中的入侵行为。采用该方法的IDS有STAT(State Transition Analysis Technique)和USTAT(State Transition Analysis Tool for UNIX)。 3基于键盘监控的误用检测方法基于键盘监控的误用检测方法是先假设入侵行为对应特定的击键序列模式，然后监测用户击键模式，并将这一模式与入侵模式匹配，从而发现入侵行为。这种方法的缺点是，在没有操作系统支持的情况下，缺少捕获用户击键的可靠方法。此外，也可能存在多种击键方式表示同一种攻击。而且，如果没有击键语义分析，用户若

9、提供别名(例如Korn shell)则很容易欺骗这种检测技术。最后，该方法也不能够检测恶意程序的自动攻击。 4基于规则的误用检测方法基于规则的误用检测方法(rule-based misuse detection)是指将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为。这种方法的优点是，检测比较简单。存在的缺点是，检测受到规则库限制，无法发现新的攻击，并且容易受干扰。目前，大部分IDS都采用这种方法。Snort NIDS是典型的基于规则的误用检测方法应用实例。 11.2.2 基于异常的入侵检测技术异常检测方法通过对计算机或网络资源的统计分析，建立系统正常行为的“轨迹”，定义一

10、组系统正常情况的阈值，然后将系统运行时的数值与所定义的“正常”情况相比较，得出是否有被攻击的迹象，如图11-4所示。 图11-4 异常检测原理图 但是，异常检测的前提是异常行为包括入侵行为。理想情况下，异常行为集合等同于入侵行为集合，此时，如果IDS能够检测所有的异常行为，就表明能够检测所有的入侵行为。但是在现实中，入侵行为集合通常不等同于异常行为集合。事实上，行为有以下4种状况： 行为是入侵行为，但不表现异常； 行为不是入侵行为，却表现异常； 行为既不是入侵行为，也不表现异常； 行为是入侵行为，且表现异常。异常检测方法的基本思路是构造异常行为集合，从中发现入侵行为。异常检测依赖于异常模型的建

11、立，不同模型可构成不同的检测方法。 1基于统计的异常检测方法基于统计的异常检测方法就是利用数学统计理论技术，通过构建用户或系统正常行为的特征轮廓来检测入侵。其中，统计性特征轮廓通常由主体特征变量的频度、均值、方差、被监控行为的属性变量的统计概率分布以及偏差等统计量来描述。典型的系统主体特征有：系统的登录与注销时间、资源被占用的时间以及处理机、内存和外设的使用情况等。至于统计的抽样周期可以短到几分钟或长达几个月甚至更长。基于统计性特征轮廓的异常检测器，通过对收集到的数据进行统计处理，并与描述主体正常行为的统计性特征轮廓进行比较，然后根据二者的偏差是否超过指定的门限来进行进一步的判断和处理。许多入

12、侵检测系统或系统原型都采用了这种统计模型。 2基于模式预测的异常检测方法基于模式预测的异常检测方法的前提条件是，事件序列不是随机发生的，而是服从某种可辨别的模式，其特点是考虑了事件序列之间的相互联系。安全专家Teng和Chen给出了一种基于时间的推理方法，即利用时间规则识别用户正常行为模式的特征。通过归纳学习产生这些规则集，并能动态地修改系统中的这些规则，使之具有较高的预测性、准确性和可信度。如果规则大部分时间是正确的，并能够成功地用于预测所观察到的数据，那么规则就具有较高的可信度。例如，TIM(Time-based Inductive Machine)给出下述产生规则： 其中，E1E5表示安

13、全事件。上述规则说明，事件发生的顺序是E1，E2，E3，E4，E5。事件E4发生的概率是95%，事件E5发生的概率是5%。通过事件中的临时关系，TIM能够产生更多的通用规则。根据观察到的用户行为，归纳产生出一套规则集，构成用户的行为轮廓框架。如果观测到的事件序列匹配规则的左边，而后续的事件显著地背离根据规则预测到的事件，那么系统就可以检测出这种偏离，表明用户操作异常。这种方法的主要优点有：(1) 能较好地处理变化多样的用户行为，并具有很强的时序模式。(2) 能够集中考察少数几个相关的安全事件，而不用关注可疑的整个登录会话过程。(3) 容易发现针对检测系统的攻击。3基于文本分类的异常检测方法基于

14、文本分类的异常检测方法的基本原理是将程序的系统调用视为某个文档中的“字”，而进程运行所产生的系统调用集合就产生一个“文档”。对于每个进程所产生的“文档”，利用K-最近邻聚类(K-Nearest Neighbor)文本分类算法，分析文档的相似性，发现异常的系统调用，从而检测出入侵行为。 4基于贝叶斯推理的异常检测方法基于贝叶斯推理的异常检测方法，是指在任意给定的时刻，测量A1，A2，.，An变量值，推理判断系统是否发生入侵行为。其中，每个变量Ai表示系统某一方面的特征，例如磁盘I/O的活动数量、系统中页面出错的数目等。假定变量Ai可以取两个值：1表示异常，0表示正常。令I表示系统当前遭受的入侵攻

15、击。每个异常变量Ai的异常可靠性和敏感性分别用P(Ai=1|I)和P(Ai=1|I)表示。于是，在给定每个Ai值的条件下，由贝叶斯定理得出I的可信度为 从而得到 因此，根据各种异常测量的值、入侵的先验概率、入侵发生时每种测量得到的异常概率，就能够判断出系统入侵的概率。但是为了保证检测的准确性，还需要考查各变量Ai之间的独立性。 11.2.3 其他1基于规范的检测方法基于规范的入侵检测方法(specification-based intrusion detection)介于异常检测和误用检测之间，其基本原理是：用一种策略描述语言PE-grammars事先定义系统特权程序有关安全的操作执行序列(每

16、个特权程序都有一组安全操作序列，这些操作序列构成特权程序的安全跟踪策略(trace policy)；若特权程序的操作序列不符合已定义的操作序列，就进行入侵报警。这种方法的优点是，不仅能够发现已知的攻击，而且也能发现未知的攻击。 2基于生物免疫的检测方法基于生物免疫的检测方法，是指模仿生物有机体的免疫系统工作机制，使受保护的系统能够将“非自我(non-self)”的攻击行为与“自我(self)”的合法行为区分开来。该方法综合了异常检测和误用检测两种方法，其关键技术在于构造系统“自我”标志以及标志演变方法。 3基于攻击诱骗的检测方法基于攻击诱骗的检测方法，是指将一些虚假的系统或漏洞信息提供给入侵者

17、，如果入侵者应用这些信息攻击系统，就可以推断系统正在遭受入侵，并且安全管理员还可以诱惑入侵者，进一步跟踪攻击来源。 4基于入侵报警的关联检测方法基于入侵报警的关联检测方法通过对原始的IDS报警事件的分类及相关性分析来发现复杂攻击行为。其方法可以分为三类：第一类基于报警数据的相似性进行报警关联分析；第二类通过人为设置参数或通过机器学习的方法进行报警关联分析；第三类根据某种攻击的前提条件与结果(preconditions and consequences)进行报警关联分析。基于入侵报警的关联检测方法，有助于在大量报警数据中挖掘出潜在的关联安全事件，消除冗余安全事件，找出报警事件的相关度及关联关系，

18、从而提高入侵判定的准确性。 11.3 入侵检测系统的组成与分类 11.3.1 入侵检测系统的组成一个入侵检测系统主要由以下功能模块组成：数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块和相关的辅助模块。数据采集模块的功能是为入侵分析引擎模块提供分析用的数据，包括操作系统的审计日志、应用程序的运行日志和网络数据包等。入侵分析引擎模块的功能是依据辅助模块提供的信息(如攻击模式)，根据一定的算法对收集到的数据进行分析，从中判断是否有入侵行为出现，并产生入侵报警。 该模块是入侵检测系统的核心模块。管理配置模块的功能是为其他模块提供配置服务，是IDS系统中的模块与用户的接口。应急处理模块的功能

19、是发生入侵后，提供紧急响应服务，例如关闭网络服务/中断网络连接/启动备份系统等。辅助模块的功能是协助入侵分析引擎模块工作，为它提供相应的信息，例如攻击特征库、漏洞信息等。图11-5给出了一个通用的入侵检测系统结构。 图11-5中的系统是一个广泛的概念，可以是工作站、网段、服务器、防火墙、Web服务器、企业网等。虽然每一种IDS在概念上是一致的，但在具体实现时，它在采用的分析数据方法、采集数据以及保护对象等关键方面还是有所区别。根据IDS的检测数据来源和它的安全作用范围，可将IDS分为三大类：第一类是基于主机的入侵检测系统(简称HIDS)，即通过分析主机的信息来检测入侵行为；第二类是基于网络的入

20、侵检测系统(简称NIDS)，即通过获取网络通信中的数据包，然后对这些数据包进行攻击特征扫描或异常建模来发现入侵行为；第三类是分布式入侵检测系统(简称DIDS)，DIDS从多台主机、多个网段采集检测数据，或者收集单个IDS的报警信息，然后根据收集到的信息进行综合分析，以发现入侵行为。 图11-5 通用的入侵检测系统示意图 11.3.2 基于主机的入侵检测系统基于主机的入侵检测系统，简称HIDS。HIDS收集主机系统的日志文件、系统调用以及应用程序的使用、系统资源、网络通信和用户使用等信息，然后分析这些信息是否包含攻击特征或异常情况，并依此来判断该主机是否受到入侵。由于入侵行为会引起主机系统的变化

21、，因此在实际的HIDS产品中，CPU利用率、内存利用率、磁盘空间大小、网络端口使用情况、注册表、文件的完整性、进程信息、系统调用等常作为识别入侵事件的依据。HIDS一般适合检测到以下入侵行为： * 针对主机的端口或漏洞扫描；* 重复失败的登入尝试；* 远程口令破解；* 主机系统的用户帐号添加；* 服务启动或停止；* 系统重启动；* 文件的完整性或许可权变化；* 注册表修改；* 重要系统启动文件变更；* 程序的异常调用；* 拒绝服务攻击。 1SWATCHSWATCH (The Simple WATCHer and filer)是Todd Atkins开发的用于实时监视日志的PERL程序。SWAT

22、CH利用指定的触发器监视日志记录，当日志记录符合触发器条件时，SWATCH会按预先定义好的方式通知系统管理员。SWATCH有一个很有用的安装脚本，可以将所有的库文件、手册页和PERL文件复制到相应的目录下。安装完成后，只要创建一个配置文件，就可以运行程序了。SWATCH的下载网址为/general/ security-tools/swatch。 2TripwireTripwire是一个文件和目录完整性检测工具软件包，用于协助管理员和用户监测特定文件的变化。Tripwire根据系统文件的规则设置，将已破坏或被篡改的文件通知系统管理员，因而常作为损害控制测量工具。详细资料请参看。 3网页保护系统网

23、页保护系统的基本作用是防止网页文件被入侵者非法修改，即在页面文件被篡改后，能够及时发现，产生报警，通知管理员，自动恢复。它的工作原理是监测网页文件并生成完整性标记，一旦发现网页文件的完整性受到破坏，则启动网页备份系统，恢复正常的网页内容。 基于主机的入侵检测系统的优点：* 可以检测基于网络的入侵检测系统不能检测的攻击。* 基于主机的入侵检测系统可以运行在应用加密系统的网络上，只要加密信息在到达被监控的主机时或到达前解密。* 基于主机的入侵检测系统可以运行在交换网络中。 基于主机的入侵检测系统的缺点：* 必须在每个被监控的主机上都安装和维护信息收集模块。* 由于HIDS的一部分安装在被攻击的主机

24、上，HIDS可能受到攻击并被攻击者破坏。* HIDS占用受保护的主机系统的系统资源，降低了主机系统的性能。* 不能有效地检测针对网络中所有主机的网络扫描。* 不能有效地检测和处理拒绝服务攻击。* 只能使用它所监控的主机的计算资源。 11.3.3 基于网络的入侵检测系统基于网络的入侵检测系统，简称NIDS。NIDS通过侦听网络系统，捕获网络数据包，并依据网络数据包是否包含攻击特征，或者网络通信流是否异常来识别入侵行为。NIDS通常由一组用途单一的计算机组成，其构成多分为两部分：探测器和管理控制器。探测器分布在网络中的不同区域，通过侦听(嗅探)方式获取网络包，探测器将检测到的攻击行为形成一个报警事

25、件，向管理控制器发送报警信息，报告发生入侵行为。管理控制器可监控不同网络区域的探测器，接收来自探测器的报警信息。基于网络的入侵检测系统的典型配置如图11-6所示。 图11-6 基于网络的入侵检测系统的典型配置 一般说来，NIDS能够检测到以下入侵行为：* 同步风暴(SYN Flood)；* 分布式拒绝服务攻击(DDoS)；* 网络扫描；* 缓冲区溢出；* 协议攻击；* 流量异常；* 非法网络访问。 当前，NIDS的软件产品有许多，国外产品有Session Wall、ISS RealSecure、Cisco Secure IDS等，国内产品有中科安胜、三零盛安、南大苏富特、联想、东软、天融信、方

26、正、福建海峡、安氏中国、绿盟科技等。此外，因特网上有公开源代码的网络入侵检测系统Snort。Snort是轻量型的NIDS，它首先通过libpcap软件包监听(sniffer/logger)获得网络数据包，然后进行入侵检测分析。其主要方法是基于规则的审计分析，并进行包的数据内容搜索/匹配。目前，Snort能检测缓冲区溢出、端口扫描、CGI攻击、SMB探测等多种攻击，还具有实时报警功能。详细资料请参看。 基于网络的入侵检测系统的优点：* 适当的配置可以监控一个大型网络的安全状况。* 基于网络的入侵检测系统的安装对已有网络影响很小，通常属于被动型的设备，它们只监听网络而不干扰网络的正常运作。* 基于

27、网络的入侵检测系统可以很好地避免攻击，对于攻击者甚至是不可见的。 基于网络的入侵检测系统的缺点：* 在高速网络中，NIDS很难处理所有的网络包，因此有可能出现漏检现象。* 交换机可以将网络分为许多小单元VLAN，而多数交换机不提供统一的监测端口，这就减少了基于网络的入侵检测系统的监测范围。* 如果网络流量被加密，则NIDS中的探测器将无法对数据包中的协议进行有效的析。* NIDS仅依靠网络流量无法推知命令的执行结果，从而无法判断攻击是否成功。 11.3.4 分布式入侵检测系统随着网络系统结构的复杂化和大型化，带来许多新的入侵检测问题：(1) 系统的漏洞分散在网络中的各个主机上，这些漏洞有可能被

28、攻击者一起用来攻击网络，仅依靠基于主机或网络的IDS不会发现入侵行为。(2) 入侵行为不再是单一的行为，而是相互协作的入侵行为。(3) 入侵检测所依靠的数据来源分散化，收集原始的检测数据变得困难。如交换型网络使监听网络数据包受到限制。(4) 网络速度传输加快，网络的流量增大，集中处理原始数据的方式往往造成检测瓶颈，从而导致漏检。 1基于主机检测的分布式入侵检测系统基于主机检测的分布式入侵检测系统，简称HDIDS，其结构分为两个部分：主机探测器和入侵管理控制器。HDIDS将主机探测器按层次、分区域地配置和管理，把它们集成为一个可用于监控、保护分布在网络区域中的主机系统。HDIDS用于保护网络的关

29、键服务器或其他具有敏感信息的系统，利用主机的系统资源、系统调用、审计日志等信息，判断主机系统的运行是否遵循安全规则。在实际工作过程中，主机探测器多以安全代理(Agent)形式直接安装在每个被保护的主机系统上，并通过网络中的系统管理控制台进行远程控制。这种集中式的控制方式，便于对系统进行状态监控、管理以及对检测模块的软件进行更新。HDIDS的典型配置如图11-7所示。 图11-7 基于主机的入侵检测系统典型配置 2基于网络的分布式入侵检测系统HDIDS只能保护主机的安全，而且要在每个受保护主机系统上都配置一个主机的探测器，如果当网络中需要保护的主机系统比较多时，其安装配置的工作非常大。此外，对于

30、一些复杂攻击，主机探测器无能为力。因此，需要使用基于网络的分布式入侵检测系统，简称NDIDS。NDIDS结构分为两部分：网络探测器和管理控制器，如图11-8所示。网络探测器部署在重要的网络区域，如服务器所在的网段，用于收集网络通信数据和业务数据流，通过采用异常和误用两种方法对收集到信息进行分析，若出现攻击或异常网络行为，就向管理控制器发送报警信息。 图11-8 网络入侵检测系统功能模块的分布式配置及管理 NDIDS一般适用于大规模网络或者是地理区域分散的网络，采用这种结构有利于实现网络的分布式安全管理。现在市场上的网络入侵系统一般支持分布式结构。综上所述，分布式IDS系统结构能够将基于主机和网

31、络的系统结构结合起来，检测所用到的数据源丰富，可以克服前两者的弱点。但是，由于是分布式的结构，所以带来了新的弱点。例如，传输安全事件过程中增加了通信的安全问题处理，安全管理配置复杂度增加等。 11.4 入侵检测系统的评估指标 入侵检测系统的主要指标有：(1) 可靠性。由于入侵检测系统需要不间断地监测受保护系统，因此，要求入侵检测系统具有容错能力，可以连续运行。(2) 可用性。入侵检测系统运行开销要尽量小，特别是基于主机的入侵检测系统，不能影响到主机和网络的系统性能。(3) 可扩展性。该指标主要评价入侵检测系统配置修改和安装部署的能力，以适应新的攻击技术方法不断出现和系统环境的变迁需求。 (4)

32、 时效性。时效性要求入侵检测系统必须尽快地分析报警数据，并将分析结果传送到报警控制台，以使系统安全管理者能够在入侵攻击尚未造成更大危害以前做出反应，阻止攻击者破坏审计系统甚至入侵检测系统的企图。和上面的处理性能因素相比，该指标的及时性要求更高。它不仅要求入侵检测系统的处理速度要尽可能地快，而且要求传播、反应检测结果信息的时间尽可能少，能实时发现入侵企图，以便及时制止入侵活动和限制破坏程度。 (5) 准确性。准确性是指入侵检测系统能正确地检测出系统入侵活动的能力。当一个入侵检测系统的检测不准确时，它就可能把系统中的合法活动当作入侵行为，或者把入侵行为作为正常行为，这时就出现误报警和漏报警现象。实用的入侵检测系统应具有低的误警率和漏警率。(6) 安全性。与其他系统一样，入侵检测系统本身也往往存在安全漏洞。若对入侵检测系统攻击成功，则直接导致报警失灵，使攻击者的攻击行为无法被记录。因此，入侵检测系统的安全性要求具有保护自身的安全功能，具有抗攻击干扰能力。 11.5 入侵检测系统的部署方法与应用案例 11.5.1 IDS的部署方法与步骤IDS部署是指将IDS安装在网络系统区域中，使之能够检测到网络中的攻击行为。IDS部署的基本过程包含以下几个步骤：第一步，根据组织或公司的安全策略要求，确定IDS要监测的对象或要保护的