电子科技大学计算机入侵检测技术

1、计算机入侵检测技术罗光春2015年3月前言 一、课程简介 通过该门课程的学习，使学生在该领域能具有较为全面、完备的知识背景。由于课程内容涉及到工程问题的数学推导与分析、安全系统的整体模型设计、实验的环境建立及其过程与分析、相关技术的对比与分析等方法，对学生从事科研工作具有一定指导意义。前言二、讲授主要内容：1、入侵检测技术基础。主要包括发展史、基本概念与定义、基本模型及其系统基础；2、入侵检测技术的最新动态和发展前沿。包括以下几个部分：1）基于多传感器的高可靠性入侵检测技术；2）基于移动代理的入侵检测技术；3）分布式拒绝服务攻击与IP拥塞控制；4）基于网络流量自相似性，对分布式拒绝 服务攻击进

2、行检测与防护； 前言章节教学内容与要求学时分配第一章，入侵检测技术基础 了解并掌握该领域的发展、现状和发展趋势；相关概念和定义；入侵检测系统的基本模型与功能；现有技术的优势和不足。分布式拒绝服务攻击的原理与防护，重点介绍攻击与防护手段的实现原理。 4第二章，基于多传感器数据融合的入侵检测技术 了解数据融合技术的理论依据及其相应的数学推导和分析；新型系统的模型和工作机制设计；实验过程、结论及其分析；如何撰写学术文章。8第三章，基于移动代理的入侵检测技术 了解移动代理技术的原理与应用实例；新型系统的模型和工作机制设计；实验过程、结论及其分析。6第四章，分布式拒绝服务攻击与IP拥塞控制 重点分析两者

3、之间的关系，和现有技术手段的不足。2第五章，利用自相似性系数对分布式拒绝服务攻击进行检测 网络业务的自相似性，重点介绍自相似性的业务模型和系数计算方法；利用自相似性系数对分布式拒绝服务攻击进行检测的方法，实验过程、结论及其分析。10共计：30学时三、教学内容与要求前言四、教师情况简介 罗光春，博士、教授、博士生导师、研究生院副院长；教育部新世纪优秀人才；获四川省杰出青年基金计划支持；四川省学术技术带头人后备人选； 研究方向：新型网络技术、云计算，网络安全； 在国内外学术刊物上发表文章30余篇； 主持总装备部“载人航天”重大专项、总装预研基金、信息产业部电子生产发展基金、发改委CNGI专项等各类

4、纵向、横向科研项目30余项； 出版著作8本； E-mail:前言 五、教学目标NO：成为计算机安全专家； 具有独立开发入侵检测系统的能力；掌握课程涉及到的所有技术细节；YES：系统了解入侵检测系统的概况；了解相关技术的基础知识和应用背景；建立在工程技术中进行科学研究的基本思想和方法； 包括：如何提出问题与分析问题、建立数学模型、推导与分析、实际系统的整体模型设计、实验的环境建立及其过程与结论分析、相关技术的对比与分析，以及学术论文的撰写等。前言 六、教学要求不迟到、早退；保持课堂安静；按时完成作业，以打印稿提交；第一章 入侵检测技术基础第一节 入侵检测技术的内容和定义一、网络安全的内容和定义

5、定义1.1计算机网络安全（Network Security）：安全的计算机网络系统是一个可以信赖的按照期望的运行方式运行的系统。 网络安全包括了数据、关系、能力三个要素。（1）数据保护（Data Protect）（2）关系保护（Relation Protect）（3）能力保护（Ability Protect）二、入侵检测技术的定义 定义1.2入侵（Intrusion）： 入侵是指采用数据攻击、身份冒充、非正常使用服务、拒绝服务等技术手段，对网络安全的三个要素发动的攻击。定义1.3入侵检测（Intrusion Detection）：入侵检测技术是对主机或网络系统的运行状态进行监视，发现各种攻击企

6、图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性的计算机安全技术。二、入侵检测技术的定义一个理想的入侵检测系统应该具有如下的几个属性：（1）经济性（Abstemious）：入侵检测系统占用的网络资源和主机资源应该在一定范围以内。（2）及时性（Timely）：及时的发现各种入侵行为。（3）安全性（Security）：入侵检测系统自身必须安全。（4）可扩展性（Scalability）：可扩展性是指在入侵检测系统总体机制不变的情况下，仅稍作扩展就能检测新的入侵行为。第二节 入侵检测系统（IDS）的现状与发展趋势 入侵检测技术肇始于1980年4月James P. Anderson为美国

7、空军做的一份题为Computer Security Threat Monitoring and Surveillance的技术报告，以此为标志，国外一些机构在80年代就开展了早期基础理论研究工作 。 一、入侵检测技术现状 目前，一个常见的入侵检测系统具有如下的结构，如图1.1所示。数据提取模块为系统提供数据，数据分析模块对数据进行深入分析，结果处理模块进行告警与相关处理。数据提取数据分析数据数据果处理结事件事件图1.1 入侵检测系统模型一、入侵检测技术现状1、入侵检测技术一般可划分为基于特征（Signature-based）和基于异常 （Anomaly-based）两类，它们都是从信息特征着手

8、来检测攻击是否发生 。两种方式均有优缺点：（1）基于特征的检测技术是假定所有的入侵行为和手段都能够表达为一种模式或特征，所有已知的入侵方法都可以用匹配的方法发现。该技术的关键是如何表达入侵的模式，以正确区分真正的入侵与正常行为。优点是误报少，局限是只能发现已知的攻击，对未知的攻击无能为力；一、入侵检测技术现状（2）异常发现技术假定所有入侵行为都与正常行为不同。它的原理是，假设可以建立系统正常行为的轨迹，所有与正常轨迹不同的系统状态则视为可疑企图。异常阀值与特征的选择是保证其性能的关键。局限在于，并非所有的入侵都表现异常，而且系统的正常状态难以穷举、计算和更新。一、入侵检测技术现状2、入侵检测系

9、统按其输入数据的来源可分为3种： （1）基于主机的入侵检测系统，其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵。（2）基于网络的入侵检测系统，监听网络原始流量，通过线路监听手段对捕获的网络报文进行处理，从中获取有用的信息。（3）混合分布式入侵检测系统，能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统，系统由多个部件组成，采用分布式结构。 二、入侵攻击的发展趋势 位于美国卡内基梅隆大学的CERT CC（计算机紧急响应小组协调中心）给出了一些关于入侵攻击方式的趋势： 1、攻击过程的自动化与攻击工具的快速更新 2、攻击工具的不断复杂化 。当今攻击工具的三个重要特点是反检测功

10、能、动态行为特点以及攻击工具的模块化，其情况如图1.2。 二、入侵攻击的发展趋势3、漏洞发现得更快随着发现漏洞的工具变得越来越自动化，留给用户打补丁的时间变得越来越短。4、渗透防火墙。 三、入侵检测系统的弱点和缺陷 1、基于网络的入侵检测系统（NIDS）通过从网络上得到数据包进行分析，从而检测和识别出系统中的未授权或异常现象，它具有以下缺陷：（1）网络负荷与拓扑局限 （2）检测方法 （3）异常检测的局限（4）特征检测的局限 （5）协议局限 三、入侵检测系统的弱点和缺陷2、基于主机的入侵检测系统（HIDS），由于HIDS安装被保护主机上，所占用的资源不能太多，从而大大限制了所采用的检测方法及处理

11、性能，具有以下缺陷 ：（1）资源局限：系统本身有限的软硬件资源不足。（2）操作系统局限（3）系统日志限制（4）被修改过的系统核心能够骗过文件检查（5）网络检测局限四、入侵检测技术发展趋势 随着针对网络系统的攻击越来越普遍，攻击手法日趋复杂。IDS也随着网络技术和相关学科的发展而日趋成熟，其未来发展的趋势主要表现在以下5个方面：1、宽带高速的实时检测技术 2、大规模分布式的检测技术 3、数据挖掘技术 4、更先进的检测算法 5、入侵响应技术 第三节 分布式拒绝服务攻击（DDoS Attack） 一、DDoS攻击的原理 定义1.4：拒绝服务攻击（DoS AttackDeny Of Service a

12、ttack）是指当一个或多个攻击源通过假数据、非法请求服务来淹没正常服务，使服务下降、失败，以至于合法请求被丢失、忽略，或服务质量严重下降。这种攻击使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。一、DDoS攻击的原理定义1.5：分布式拒绝服务攻击（DDoS attackDistributed Deny Of Service attack）是指采用分布式的攻击方式，联合或控制网络上能够发动DoS攻击的若干主机同时发动攻击，制造数以百万计的数据分组流入欲攻击的目标，致使目标主机或网络极度拥塞，从而造成目标系统瘫痪。图1.3是一

13、个典型的DDoS攻击网络结构图。 图1.3 一个典型的DDoS攻击网络结构图一、DDoS攻击的原理为了提高分布式拒绝服务攻击的成功率，攻击者需要控制成百上千的被入侵主机。这些主机通常是Linux和SUN机器，当然攻击工具也能够移植到其它平台上运行。攻击工具入侵主机和安装程序的过程都是自动化的，其过程可分为以下几个步骤： （1） 探测扫描大量主机以寻找可入侵主机目标；（2）入侵有安全漏洞的主机并获取控制权；（3）在每台入侵主机中安装攻击程序；（4）利用已入侵主机继续进行扫描和入侵。二、DDoS攻击的产生原因和分类 1. DDoS攻击的产生原因：Internet的设计遵循端到端的模式：通信端主机使

14、用复杂的功能来达到预期的服务保证，而中继网络提供最少、最有效的服务。Internet按分布式方式管理，因此在接入用户中无法实施共同的安全策略。这样就无法避免存在一些安全隐患，可能会引发分布式拒绝服务攻击。1. DDoS攻击的产生原因无论受害机自身的安全性能是否较好，它防范DDoS攻击的脆弱性源于整个Internet架构的缺陷：（1）Internet的资源是有限的。Internet上每个主机的资源都是有限的，完全可能被足够多的使用者耗尽；（2）多数的能量大于少数。若攻击者的资源多于受害者的资源，多个攻击者经过协同后的恶意行为很可能造成损失；（3）决策同资源不能被一起分配。二、DDoS攻击的产生原

15、因和分类2. DDoS攻击的分类如图1.4所示，大致可从自动程度、扫描策略、繁殖机制、侵入的脆弱性、包内容与受害者服务关系、攻击速率、影响大小、攻击路径和攻击目标等角度划分。图1.4 DDoS攻击的分类三、常见的DDoS攻击方法及其原理 1、Spoofing攻击者常使用一种称为“IP Spoofing”的技术来入侵系统，以隐藏入侵者的身份或加强DOS攻击的能力。因为分组过滤(Packet Filtering)系统对每个数据分组所采用的规则是依据该分组的来源位置而定，IP Spoofing的技术在于它可以改变网络数据分组的源地址，欺骗路由器或防火墙，假装入侵者是来自于可信任的网络，而顺利进入私有

16、网络，使用一系列的DDoS攻击时攻击者可以借此技术来隐藏自己位置和身份。三、常见的DDoS攻击方法及其原理2、Ping of DeathPing of Death利用ping来产生超过IP协议所能够允许的最大数据分组(RFC-791：超过65535bytes)。当这个数据分组到达没有检查功能的系统，则可能会造成系统死机。曾经被发现有此漏洞的系统包括Unix、Mac、Netware等。一般而言，长度超过65535字节的数据分组便是一个不合法的数据分组，但可以把过长的数据分组切成可接受长度的片段（fragments）后逐一传送至远程计算机，再将这些片段组合还原成一个完整的数据分组，但这样有时会造成

17、对方计算机的缓存溢出而死机或重启。 三、常见的DDoS攻击方法及其原理3、TeardropTeardrop攻击是利用IP数据分组重组的漏洞。当数据经由网络传送时，IP数据分组经常会被切割成许多小片段，每个小片段和原来数据分组的结构大致都相同，除了一些记载位移的信息。图1.5 Teardrop攻击3、TeardropTeardrop攻击方式是送出一对经过特别设计的数据分组片段，使得这一对数据分组片段在远端计算机重新组合时，形成与原来数据不同的数据分组。它的原理在于改变第二个片段的位移信息，使得第二个片段的数据往左移至第一个片段的中间，从而与第一个片段数据重叠。当系统检查到后面片段的数据长度大于重

18、叠的数据片段时，重叠部份将会被忽略，但是后面片段的数据长度小于重叠的数据片段时，会使得数据片段长度太小而引发错误。当对方接收到传来的数据分组时，只会去检查是否太长，即是否应该舍弃重叠多余的部分，但却不会去检查是否太短而造成了错误。所以当这些片段到达目的地并被重组时，会让提供网络服务的主机因误判数据分组的大小而导致系统出错，甚至死机。 三、常见的DDoS攻击方法及其原理4、SYN flood & Land AttackSYN Flood和 Land攻击都是利用TCP/IP协议本身的漏洞。在进行TCP连接时，A会先送出联机要求 SYN 数据分组给B，当B收到之后，它为该联机要求配置系统资源并响应一

19、个 SYN-ACK 数据分组给A，最后A会送出一个 ACK 数据分组给B当作确认，如果这些动作都无误，那么A就开始传送数据到B。 图1.6 SYN flood攻击原理图 4、SYN flood & Land AttackSYN Flood攻击针对欲攻击的系统发送一连串具有假源地址的SYN分组，每个分组会让系统响应一个 SYN-ACK 分组到假源地址，甚至是网络上不存在的地址，然后系统会等待对方送出 ACK 分组。系统队列里的SYN-ACK分组必须等到接收到对方的ACK分组或超过超时时间才会抛弃，因为系统回送的SYN-ACK分组传至假的或是不存在的地址，因此当然无法收到正确的ACK分组；最后系统

20、队列会因为充满了SYN-ACK分组而无法再响应其它合法用户的请求。 图1.6 SYN flood攻击原理图 三、常见的DDoS攻击方法及其原理5、Smurf利用IP 协议漏洞（目的地址为广播地址，源地址为要攻击的地址）以程序来传送大量ping分组给Internet上的若干主机，制造大量的reply分组导致网络交通的拥塞瘫痪。Smurf的攻击方式可以分为两个步骤：（1）大量制造以攻击目标地址为源地址的ICMP echo request 分组。（2）将这些分组送至广播地址，造成更多倍数量的ICMP echo reply分组传回至攻击目标。 四、DDoS攻击的防护机制 根据DDoS攻击的方法和特性，

21、目前普遍认为，在独立站点上实现对DDoS攻击的有效防范是不可能的。当前提出的主要机制和方法如图1.7、表1.1所示。 图1.7 DDoS攻击防护机制分类四、DDoS攻击的防护机制通过修改配置和协议预防攻击可以防止ICMP flood，CGI request等利用协议、系统缺陷的攻击，无法防范反弹攻击。Find-DDoS等检测工具可以有效地防止本机不会成为已知DDoS攻击的帮凶，无法防止自己被攻击。反向查找攻击源头非常困难。攻击检测和过滤可检测出常见的DDoS攻击，但此时已对攻击带来的后果无能为力，整个受害子网出现拒绝服务现象。分布式攻击检测和过滤(主机端)目前尚无针对所有分布式攻击及时和准确的攻击检测和过滤方法。分布式攻击检测和过滤(路由器端)