入侵检测技术课件

2022/12/23基本内容防火墙是网络系统的第一道安全闸门，但一般网络系统必须对外开放一些应用端口，如20、21、80、110等，这时防火墙的不足就会充分体现出来。为此我们必须借助更深入的防护技术来实施保护，本节介绍其中的一种方法——入侵检测技术。第1页/共48页2022/12/19基本内容防火墙是网络系统的第一道安全闸门12022/12/23基本术语攻击•攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取/破坏/篡改目标系统的数据或访问权限事件•在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。•CIDF将入侵检测系统需要分析的数据统称为事件（event）第2页/共48页2022/12/19基本术语攻击第2页/共48页22022/12/23基本术语入侵•对信息系统的非授权访问及（或）未经许可在信息系统中进行操作入侵检测•对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程入侵检测系统（IDS）•用于辅助进行入侵检测或者独立进行入侵检测的自动化工具第3页/共48页2022/12/19基本术语入侵第3页/共48页32022/12/23入侵检测系统概述为什么需要入侵检测系统？入侵检测系统是防火墙之后的第二道防线；关于防火墙网络边界的设备自身可以被攻破对某些攻击保护很弱、粗粒度检测：无法防范数据驱动型的攻击，不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输不是所有的威胁来自防火墙外部：防火墙不能防止通向站点的后门，不提供对网络内部的保护第4页/共48页2022/12/19入侵检测系统概述为什么需要入侵检测系统？42022/12/23入侵检测系统概述入侵很容易入侵教程随处可见各种工具唾手可得入侵检测是防火墙的合理补充，它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。第5页/共48页2022/12/19入侵检测系统概述入侵很容易第5页/共4852022/12/23入侵检测入侵检测（IntrusionDetection）是一种动态的网络检测技术，是对入侵行为的检测。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到攻击的迹象。主要用于识别对计算机和网络资源的恶意使用行为，包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象，则应当做出适当的反应。对于正在进行的网络攻击，则采取适当的方法来阻断攻击（与防火墙联动），以减少系统损失。对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律责任的依据。第6页/共48页2022/12/19入侵检测入侵检测（IntrusionD62022/12/23入侵检测系统入侵检测系统（IDS）由执行入侵检测的软件与硬件组合而成，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：

1）监视、分析用户及系统活动。

2）系统构造和弱点的审计。

3）识别反映已知进攻的活动模式并向相关人士报警。

4）异常行为模式的统计分析。

5）评估重要系统和数据文件的完整性。

6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。第7页/共48页2022/12/19入侵检测系统入侵检测系统（IDS）由执行72022/12/23入侵检测系统的作用监控网络和系统发现入侵企图或异常现象实时报警主动响应审计跟踪形象地说，它就是网络摄像机，能够捕获并记录网络上的所有数据，同时它也是智能摄像机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄像机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄像机，还包括保安员的摄像机.第8页/共48页2022/12/19入侵检测系统的作用监控网络和系统82022/12/23入侵检测的发展历程1980年，概念的诞生1984～1986年，模型的发展1990年，形成网络IDS和主机IDS两大阵营九十年代后至今，百家争鸣、繁荣昌盛第9页/共48页2022/12/19入侵检测的发展历程1980年，概念的诞生92022/12/23入侵检测的原理与技术入侵检测的实现方式与技术分类：1、入侵检测系统根据数据包来源的不同，针对不同的检测对象，一般地可分为网络型、主机型，也可是这两种类型的混合应用。•基于网络的入侵检测系统（NIDS）•基于主机的入侵检测系统（HIDS）•混合型入侵检测系统（HybridIDS）2、入侵检测系统也可按照检测方式的不同来区分：•异常检测（Anomalydetection）•误用检测（Misusedetection）第10页/共48页2022/12/19入侵检测的原理与技术入侵检测的实现方式与102022/12/23网络入侵检测系统(NIDS)安装在被保护的网段中混杂模式监听分析网段中所有的数据包实时检测和响应操作系统无关性不会增加网络中主机的负载，但需要性能优越的网络处理平台第11页/共48页2022/12/19网络入侵检测系统(NIDS)安装在被保护112022/12/23图_网络IDS工作模型网络入侵检测系统(NIDS)第12页/共48页2022/12/19图_网络IDS工作模型网络入侵检测122022/12/23主机入侵检测系统（HIDS）安装于被保护的主机中主要分析主机内部活动：系统日志审计系统调用系统关键文件完整性保护本机网络数据的检测占用一定的系统资源第13页/共48页2022/12/19主机入侵检测系统（HIDS）安装于被保护132022/12/23入侵检测的原理与技术IDS的基本结构

无论IDS系统是网络型的还是主机型的，从功能上看，都可分为两大部分：探测引擎和控制中心。前者用于读取原始数据和产生事件；后者用于显示和分析事件以及策略定制等工作。第14页/共48页2022/12/19入侵检测的原理与技术IDS的基本结构第142022/12/23入侵检测的原理与技术IDS的基本结构

引擎的主要功能为：原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能

第15页/共48页2022/12/19入侵检测的原理与技术IDS的基本结构152022/12/23入侵检测的原理与技术IDS的基本结构

控制中心的主要功能为：通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。控制中心的工作流程

第16页/共48页2022/12/19入侵检测的原理与技术IDS的基本结构控162022/12/23入侵检测的原理与技术IDS采用的技术

入侵检测主要通过专家系统、模式匹配、协议分析或状态转换等方法来确定入侵行为。入侵检测技术有：静态配置分析技术异常检测技术误用检测技术第17页/共48页2022/12/19入侵检测的原理与技术IDS采用的技术第1172022/12/23入侵检测的原理与技术1．静态配置分析技术

静态配置分析是通过检查系统的当前系统配置，诸如系统文件的内容或系统表，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(系统配置信息)，而不是系统中的活动。

第18页/共48页2022/12/19入侵检测的原理与技术1．静态配置分析技术182022/12/23入侵检测的原理与技术2、异常检测技术

通过对系统审计数据的分析建立起系统主体(单个用户、一组用户、主机，甚至是系统中的某个关键的程序和文件等)的正常行为特征轮廓；检测时，如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。这一检测方法称“异常检测技术”。一般采用统计或基于规则描述的方法建立系统主体的行为特征轮廓，即统计性特征轮廓和基于规则描述的特征轮廓。异常检测技术统计性特征轮廓基于规则描述的特征轮廓神经网络方法第19页/共48页2022/12/19入侵检测的原理与技术2、异常检测技术第192022/12/23入侵检测的原理与技术3．误用检测技术

误用检测技术(MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或是间接地违背系统安全规则的行为，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵，是一种基于已有的知识的检测。核心是模式匹配，目前最成熟、广泛采用的技术之一，常用于NIDS，也是影响其效率的关键因素。实现算法：BM算法（boyermoore）字符串匹配算法这种入侵检测技术的主要局限在于它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。第20页/共48页2022/12/19入侵检测的原理与技术3．误用检测技术第202022/12/23误用检测-基于入侵特征库模式匹配的缺陷：计算的负载：该算法所需计算量极其巨大。存储量巨大：模式匹配/特征搜索技术使用固定特征模式来探测攻击，每一个变化都要求攻击特征数据库增加一个特征记录。探测准确性：不能智能地判断不同字符串/命令串的真实含义和最终效果。改进：多模式匹配算法模式中出现重复子串时，可以有效提高匹配效率这些出现重复子串的模式构成模式树在模式树匹配过程中，沿用BM算法中的“坏字符”和“重复子串”两种算法。第21页/共48页2022/12/19误用检测-基于入侵特征库模式匹配的缺陷：212022/12/23其他误用检测技术专家系统(入侵行为编码成专家系统的规则，IF-THEN方式，规则更新困难）状态迁移分析技术（一个入侵行为就是由攻击者执行的一系列的操作，这些操作可以使系统从某些初始状态迁移到一个可以威胁系统安全的状态。）第22页/共48页2022/12/19其他误用检测技术专家系统(入侵行为编码成222022/12/23入侵检测系统的性能指标1．系统结构

好的IDS应能采用分级、远距离分式部署和管理。第23页/共48页2022/12/19入侵检测系统的性能指标第23页/共48页232022/12/23入侵检测系统的性能指标2．事件数量考察IDS系统的一个关键性指标是报警事件的多少。一般而言，事件越多，表明IDS系统能够处理的能力越强。3．处理带宽IDS的处理带宽，即IDS能够处理的网络流量，是IDS的一个重要性能。目前的网络IDS系统一般能够处理20～30M网络流量，经过专门定制的系统可以勉强处理40～60M的流量。第24页/共48页2022/12/19入侵检测系统的性能指标2．事件数量第24242022/12/23入侵检测系统的性能指标4．探测引擎与控制中心的通信作为分布式结构的IDS系统，通信是其自身安全的关键因素。通信安全通过身份认证和数据加密两种方法来实现。身份认证是要保证一个引擎，或者子控制中心只能由固定的上级进行控制，任何非法的控制行为将予以阻止。身份认证采用非对称加密算法，通过拥有对方的公钥，进行加密、解密完成身份认证。第25页/共48页2022/12/19入侵检测系统的性能指标4．探测引擎与控制252022/12/23入侵检测系统的性能指标5．事件定义事件的可定义性或可定义事件是IDS的一个主要特性。6．二次事件对事件进行实时统计分析，并产生新的高级事件能力。7．事件响应通过事件上报、事件日志、Email通知、手机短信息、语音报警等方式进行响应。还可通过TCP阻断、防火墙联动等方式主动响应。8．自身安全自身安全指的是探测引擎的安全性。要有良好的隐蔽性，一般使用定制的操作系统。9．终端安全主要指控制中心的安全性。有多个用户、多个级别的控制中心，不同的用户应该有不同的权限，保证控制中心的安全性。第26页/共48页2022/12/19入侵检测系统的性能指标5．事件定义第26262022/12/23IDS发展方向研究方向解决误报和漏报学术界反攻击（retaliation）神经网络数据挖掘（DataMining）工业界检测算法关联性（correlation）千兆网络IDS第27页/共48页2022/12/19IDS发展方向研究方向第27页/共48页272022/12/23IDS发展方向（续）新概念-IPS（入侵防御系统）特点：网关级产品，检测并阻止入侵流量进入网络入侵分析算法采用协议分析技术，提高报警的准确率和性能将IDS与抵抗DOS结合优点：能够真正检测并阻挡攻击融合防火墙、IDS、防病毒，有效保护第28页/共48页2022/12/19IDS发展方向（续）新概念-IPS（入侵282022/12/23IDS存在的问题1）布局和布点问题IDS布局位置决定安全检测程度布点分布模型、完整性和丢失率IDS是并接在网络信道中（防火墙串接）IDS不是瓶颈，而是滞后IDS+Fw模式，Fw是瓶颈IDS+Fw模式，联动滞后需要多点布局，综合判别第29页/共48页2022/12/19IDS存在的问题1）布局和布点问题第29292022/12/23IDS的布局问题FirewallRouterSwitch-1Switch-2ServersNetworkIDSServerInternet1234①检测所有通信，可由Fw阻断②检测所有通信，但已无法阻断③检测交换机1的通信④检测网段2所有通信第30页/共48页2022/12/19IDS的布局问题FirewallRout302022/12/23IDS存在的问题2）检测问题信息获取的局限（网络、网段和主机）检测算法、模型、加速算法、规则（特征）库智能检测和确认问题多协议和多类型检测检测引擎和检测工具问题检测系统与操作系统的接口问题缺乏统一的入侵检测术语和概念框架第31页/共48页2022/12/19IDS存在的问题2）检测问题第31页/共312022/12/23IDS存在的问题3）分析问题由于网段信号分流，带宽增加，功能会下降极增的网络流量导致检测分析难度加大由于网络随时扩展，无法观测到所有通信检测算法和模式限制，数据之特征各异智能化不够，无法理解压缩、加密数据包容易出现漏报、误报和错报高速网络使数据的实时分析更加困难第32页/共48页2022/12/19IDS存在的问题3）分析问题第32页/共322022/12/23NIDS发展方向提高NIDS质量和功能有效集成各种入侵检测数据源充分利用不同系统和传感器采集的数据降低漏、误、错报率，提高报警准确率充实完善模式库和规则库提高智能检测，结合人工分析诊断增强针对IDS的攻击，注意绕过IDS攻击增强异种系统的互操作性和数据一致性第33页/共48页2022/12/19NIDS发展方向提高NIDS质量和功能第332022/12/23NIDS发展方向（续）研制可靠的测试和评估标准提供科学的漏洞分类方法注重攻击客体而不是攻击主体的观点提供对更高级的攻击行为的检测手段提高对其他攻击的检测能力，如email攻击，Java，ActiveX等。积累分析漏报、错报、误报原因，研究处理和恢复方案。第34页/共48页2022/12/19NIDS发展方向（续）研制可靠的测试和评342022/12/23NIDS发展方向（续）软件硬化（网络处理器)智能检测方法（协议分析，神经系统等）集成网络分析和数据处理防火墙联动高速网络数据流的检测严格的自身安全第35页/共48页2022/12/19NIDS发展方向（续）软件硬化（网络处理352022/12/23入侵防御系统

IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。因此，人们迫切地需要找到一种主动入侵防护解决方案，以确保企业网络在威胁四起的环境下正常运行。入侵防御系统（IntrusionPreventionSystem或IntrusionDetectionPrevention，即IPS或IDP）就应运而生了。IPS是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。

IPS在网络中一般有四种连接方式：Span（接在交换机旁边，作为端口映像）、Tap（接在交换机与路由器中间，旁路安装，拷贝一份数据到IPS中）、Inline（接在交换机与路由器中间，在线安装，在线阻断攻击）和Port-cluster（被动抓包，在线安装）。它在报警的同时，能阻断攻击。第36页/共48页2022/12/19入侵防御系统IDS只能被动地检测362022/12/23蜜网Honeynet

Honeynet是一个网络系统，并非某台单一主机，这一网络系统隐藏在防火墙的后面，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据用来研究分析入侵者们使用的工具、方法及动机。在一个Honeynet中，可以使用各种不同的操作系统及设备，如Solaris、Linux、WindowsNT、CiscoSwitch等。这样，建立的网络环境看上去会更加真实可信，同时还有不同的系统平台上面运行着不同的服务，比如Linux的DNSServer、WindowsNT的WebServer或者一个Solaris的FTPServer，可以使用不同的工具以及不同的策略或许某些入侵者仅仅把目标定于几个特定的系统漏洞上，而这种多样化的系统，就可能更多地揭示出入侵者的一些特性。第37页/共48页2022/12/19蜜网HoneynetHoneynet是372022/12/23蜜网Honeynet利用Snort软件安装Win2000Server下的蜜网陷阱

Snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力，能够进行协议分析，对内容进行搜索/匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。构建完整的Snort系统需要以下软件，详细安装方法请参照网上相关资料。acid-0.9.6b23.tar.gz

基于php的入侵检测数据库分析控制台adodb360.zipADOdb（ActiveDataObjectsDataBase）库forPHPapache_2.0.46-win32-x86-no_src.msiWindows版本的ApacheWeb服务器jpgraph-1.12.2.tar.gzOO图形库forPHPmysql-4.0.13-win.zipWindows版本的Mysql数据库服务器php-4.3.2-Win32.zipWindows版本的php脚本环境支持snort-2_0_0.exeWindows版本的Snort安装包WinPcap_3_0.exe

网络数据包截取驱动程序phpmyadmin-2.5.1-php.zip

基于php的Mysql数据库管理程序第38页/共48页2022/12/19蜜网Honeynet利用Snort软件安382022/12/23

天阗黑客入侵检测与预警系统是一种动态的入侵检测与响应系统。它利用全面流量监控发现异常，结合地理信息显示入侵事件的定位状况，应用入侵和漏洞之间具有的对应关联关系，给出入侵威胁和资产脆弱性之间的风险分析结果，从而有效地管理安全事件并进行及时处理和响应。它能够实时监控网络传输，自动检测可疑行为，及时发现来自网络外部或内部的攻击。天阗系统可以与防火墙紧密结合，弥补了防火墙的访问控制不严密的问题。包含如下五个独立的部分：1）天阗网络入侵检测系统，产品型号：NS200/NS500/NS2200/NS2800。2）天阗入侵事件定位系统，产品型号：IMS-EP。3）天阗网络异常流量监测系统，产品型号：FS1900。4）天阗入侵风险评估系统，产品型号：IMS-RA。5）天阗主机入侵检测系统，产品型号：HS120/HS220/HS320/HS420/HS520天阗黑客入侵检测与预警系统第39页/共48页2022/12/19天阗黑客入侵检测与预警系统是一种392022/12/23天阗网络入侵检测系统典型部署结构图

天阗黑客入侵检测与预警系统第40页/共48页2022/12/19天阗网络入侵检测系统典型部署结构图天阗402022/12/23

本节首先分析了网络攻击或入侵的概念，介绍了六个攻击的层次和相应的防范策略。在此基础上引出入侵检测系统。介绍了基于主机和基于网络的两种入侵检测系统的概念、基本组成结构和相应的工作原理。介绍了入侵检测系统中常用的四种技术：静态配置分析、异常检测方法、误用检测和基于系统关键程序的安全规格描述方法。给出了入侵系统的性能评价指标。介绍了流行的蜜网陷阱系统Honeynet，用以获取网络攻击的行为和方法。对入侵防御系统IPS作了简单介绍。

小结第41页/共48页2022/12/19本节首先分析了网络攻击或入侵的概412022/12/23课后思考：请参考34~37页PPT，分析IDS存在的问题，并尝试性提出对策。第42页/共48页2022/12/19课后思考：请参考34~37页PPT，分析422022/12/23补充第43页/共48页2022/12/19补充第43页/共48页432022/12/23Boyer-Moore算法P:模式字串T:被匹配的字串LP:模式串的长度LT:母串的长度P1:模式串第一个字符PLP:模式串的最后一个字符T1:母串第一个字符TLT:母串的最后一个字符第44页/共48页2022/12/19Boyer-Moore算法P:模式字442022/12/23Boyer-Moore算法（续）第45页/共48页2022/12/19Boyer-Moore算法（续）第45452022/12/23AC-BM算法相同点：a:Boyer-Moore->Badcharactershift.b:Aho-Corasick->Keywordtree不同点：a:BM：usinggoodprefixshiftInsteadoforiginalgoodsuffixshift.b:BM：packet(text,T)searchedfromrighttoleft,thetree(pattern,P)searchedfromlefttoright.c:AC：Insteadofbuildingatreebasedonsuffixesthistreewillbebuiltonprefixes.第46页/共48页2022/12/19AC-BM算法相同点：第46页/共48页462022/12/23ExB算法SupposethatwewanttocheckwhetherasmallinputIcontainsastringS.Then,ifthereisatleastonecharacterinSthatisnotinI,thenSisnotinI.第47页/共48页2022/12/19ExB算法Supposethatwe472022/12/23谢谢您的观看！第48页/共48页2022/12/19谢谢您的观看！第48页/共48页482022/12/23基本内容防火墙是网络系统的第一道安全闸门，但一般网络系统必须对外开放一些应用端口，如20、21、80、110等，这时防火墙的不足就会充分体现出来。为此我们必须借助更深入的防护技术来实施保护，本节介绍其中的一种方法——入侵检测技术。第1页/共48页2022/12/19基本内容防火墙是网络系统的第一道安全闸门492022/12/23基本术语攻击•攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取/破坏/篡改目标系统的数据或访问权限事件•在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。•CIDF将入侵检测系统需要分析的数据统称为事件（event）第2页/共48页2022/12/19基本术语攻击第2页/共48页502022/12/23基本术语入侵•对信息系统的非授权访问及（或）未经许可在信息系统中进行操作入侵检测•对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程入侵检测系统（IDS）•用于辅助进行入侵检测或者独立进行入侵检测的自动化工具第3页/共48页2022/12/19基本术语入侵第3页/共48页512022/12/23入侵检测系统概述为什么需要入侵检测系统？入侵检测系统是防火墙之后的第二道防线；关于防火墙网络边界的设备自身可以被攻破对某些攻击保护很弱、粗粒度检测：无法防范数据驱动型的攻击，不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输不是所有的威胁来自防火墙外部：防火墙不能防止通向站点的后门，不提供对网络内部的保护第4页/共48页2022/12/19入侵检测系统概述为什么需要入侵检测系统？522022/12/23入侵检测系统概述入侵很容易入侵教程随处可见各种工具唾手可得入侵检测是防火墙的合理补充，它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。第5页/共48页2022/12/19入侵检测系统概述入侵很容易第5页/共48532022/12/23入侵检测入侵检测（IntrusionDetection）是一种动态的网络检测技术，是对入侵行为的检测。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到攻击的迹象。主要用于识别对计算机和网络资源的恶意使用行为，包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象，则应当做出适当的反应。对于正在进行的网络攻击，则采取适当的方法来阻断攻击（与防火墙联动），以减少系统损失。对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律责任的依据。第6页/共48页2022/12/19入侵检测入侵检测（IntrusionD542022/12/23入侵检测系统入侵检测系统（IDS）由执行入侵检测的软件与硬件组合而成，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：

1）监视、分析用户及系统活动。

2）系统构造和弱点的审计。

3）识别反映已知进攻的活动模式并向相关人士报警。

4）异常行为模式的统计分析。

5）评估重要系统和数据文件的完整性。

6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。第7页/共48页2022/12/19入侵检测系统入侵检测系统（IDS）由执行552022/12/23入侵检测系统的作用监控网络和系统发现入侵企图或异常现象实时报警主动响应审计跟踪形象地说，它就是网络摄像机，能够捕获并记录网络上的所有数据，同时它也是智能摄像机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄像机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄像机，还包括保安员的摄像机.第8页/共48页2022/12/19入侵检测系统的作用监控网络和系统562022/12/23入侵检测的发展历程1980年，概念的诞生1984～1986年，模型的发展1990年，形成网络IDS和主机IDS两大阵营九十年代后至今，百家争鸣、繁荣昌盛第9页/共48页2022/12/19入侵检测的发展历程1980年，概念的诞生572022/12/23入侵检测的原理与技术入侵检测的实现方式与技术分类：1、入侵检测系统根据数据包来源的不同，针对不同的检测对象，一般地可分为网络型、主机型，也可是这两种类型的混合应用。•基于网络的入侵检测系统（NIDS）•基于主机的入侵检测系统（HIDS）•混合型入侵检测系统（HybridIDS）2、入侵检测系统也可按照检测方式的不同来区分：•异常检测（Anomalydetection）•误用检测（Misusedetection）第10页/共48页2022/12/19入侵检测的原理与技术入侵检测的实现方式与582022/12/23网络入侵检测系统(NIDS)安装在被保护的网段中混杂模式监听分析网段中所有的数据包实时检测和响应操作系统无关性不会增加网络中主机的负载，但需要性能优越的网络处理平台第11页/共48页2022/12/19网络入侵检测系统(NIDS)安装在被保护592022/12/23图_网络IDS工作模型网络入侵检测系统(NIDS)第12页/共48页2022/12/19图_网络IDS工作模型网络入侵检测602022/12/23主机入侵检测系统（HIDS）安装于被保护的主机中主要分析主机内部活动：系统日志审计系统调用系统关键文件完整性保护本机网络数据的检测占用一定的系统资源第13页/共48页2022/12/19主机入侵检测系统（HIDS）安装于被保护612022/12/23入侵检测的原理与技术IDS的基本结构

无论IDS系统是网络型的还是主机型的，从功能上看，都可分为两大部分：探测引擎和控制中心。前者用于读取原始数据和产生事件；后者用于显示和分析事件以及策略定制等工作。第14页/共48页2022/12/19入侵检测的原理与技术IDS的基本结构第622022/12/23入侵检测的原理与技术IDS的基本结构

引擎的主要功能为：原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能

第15页/共48页2022/12/19入侵检测的原理与技术IDS的基本结构632022/12/23入侵检测的原理与技术IDS的基本结构

控制中心的主要功能为：通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。控制中心的工作流程

第16页/共48页2022/12/19入侵检测的原理与技术IDS的基本结构控642022/12/23入侵检测的原理与技术IDS采用的技术

入侵检测主要通过专家系统、模式匹配、协议分析或状态转换等方法来确定入侵行为。入侵检测技术有：静态配置分析技术异常检测技术误用检测技术第17页/共48页2022/12/19入侵检测的原理与技术IDS采用的技术第1652022/12/23入侵检测的原理与技术1．静态配置分析技术

静态配置分析是通过检查系统的当前系统配置，诸如系统文件的内容或系统表，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(系统配置信息)，而不是系统中的活动。

第18页/共48页2022/12/19入侵检测的原理与技术1．静态配置分析技术662022/12/23入侵检测的原理与技术2、异常检测技术

通过对系统审计数据的分析建立起系统主体(单个用户、一组用户、主机，甚至是系统中的某个关键的程序和文件等)的正常行为特征轮廓；检测时，如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。这一检测方法称“异常检测技术”。一般采用统计或基于规则描述的方法建立系统主体的行为特征轮廓，即统计性特征轮廓和基于规则描述的特征轮廓。异常检测技术统计性特征轮廓基于规则描述的特征轮廓神经网络方法第19页/共48页2022/12/19入侵检测的原理与技术2、异常检测技术第672022/12/23入侵检测的原理与技术3．误用检测技术

误用检测技术(MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或是间接地违背系统安全规则的行为，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵，是一种基于已有的知识的检测。核心是模式匹配，目前最成熟、广泛采用的技术之一，常用于NIDS，也是影响其效率的关键因素。实现算法：BM算法（boyermoore）字符串匹配算法这种入侵检测技术的主要局限在于它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。第20页/共48页2022/12/19入侵检测的原理与技术3．误用检测技术第682022/12/23误用检测-基于入侵特征库模式匹配的缺陷：计算的负载：该算法所需计算量极其巨大。存储量巨大：模式匹配/特征搜索技术使用固定特征模式来探测攻击，每一个变化都要求攻击特征数据库增加一个特征记录。探测准确性：不能智能地判断不同字符串/命令串的真实含义和最终效果。改进：多模式匹配算法模式中出现重复子串时，可以有效提高匹配效率这些出现重复子串的模式构成模式树在模式树匹配过程中，沿用BM算法中的“坏字符”和“重复子串”两种算法。第21页/共48页2022/12/19误用检测-基于入侵特征库模式匹配的缺陷：692022/12/23其他误用检测技术专家系统(入侵行为编码成专家系统的规则，IF-THEN方式，规则更新困难）状态迁移分析技术（一个入侵行为就是由攻击者执行的一系列的操作，这些操作可以使系统从某些初始状态迁移到一个可以威胁系统安全的状态。）第22页/共48页2022/12/19其他误用检测技术专家系统(入侵行为编码成702022/12/23入侵检测系统的性能指标1．系统结构

好的IDS应能采用分级、远距离分式部署和管理。第23页/共48页2022/12/19入侵检测系统的性能指标第23页/共48页712022/12/23入侵检测系统的性能指标2．事件数量考察IDS系统的一个关键性指标是报警事件的多少。一般而言，事件越多，表明IDS系统能够处理的能力越强。3．处理带宽IDS的处理带宽，即IDS能够处理的网络流量，是IDS的一个重要性能。目前的网络IDS系统一般能够处理20～30M网络流量，经过专门定制的系统可以勉强处理40～60M的流量。第24页/共48页2022/12/19入侵检测系统的性能指标2．事件数量第24722022/12/23入侵检测系统的性能指标4．探测引擎与控制中心的通信作为分布式结构的IDS系统，通信是其自身安全的关键因素。通信安全通过身份认证和数据加密两种方法来实现。身份认证是要保证一个引擎，或者子控制中心只能由固定的上级进行控制，任何非法的控制行为将予以阻止。身份认证采用非对称加密算法，通过拥有对方的公钥，进行加密、解密完成身份认证。第25页/共48页2022/12/19入侵检测系统的性能指标4．探测引擎与控制732022/12/23入侵检测系统的性能指标5．事件定义事件的可定义性或可定义事件是IDS的一个主要特性。6．二次事件对事件进行实时统计分析，并产生新的高级事件能力。7．事件响应通过事件上报、事件日志、Email通知、手机短信息、语音报警等方式进行响应。还可通过TCP阻断、防火墙联动等方式主动响应。8．自身安全自身安全指的是探测引擎的安全性。要有良好的隐蔽性，一般使用定制的操作系统。9．终端安全主要指控制中心的安全性。有多个用户、多个级别的控制中心，不同的用户应该有不同的权限，保证控制中心的安全性。第26页/共48页2022/12/19入侵检测系统的性能指标5．事件定义第26742022/12/23IDS发展方向研究方向解决误报和漏报学术界反攻击（retaliation）神经网络数据挖掘（DataMining）工业界检测算法关联性（correlation）千兆网络IDS第27页/共48页2022/12/19IDS发展方向研究方向第27页/共48页752022/12/23IDS发展方向（续）新概念-IPS（入侵防御系统）特点：网关级产品，检测并阻止入侵流量进入网络入侵分析算法采用协议分析技术，提高报警的准确率和性能将IDS与抵抗DOS结合优点：能够真正检测并阻挡攻击融合防火墙、IDS、防病毒，有效保护第28页/共48页2022/12/19IDS发展方向（续）新概念-IPS（入侵762022/12/23IDS存在的问题1）布局和布点问题IDS布局位置决定安全检测程度布点分布模型、完整性和丢失率IDS是并接在网络信道中（防火墙串接）IDS不是瓶颈，而是滞后IDS+Fw模式，Fw是瓶颈IDS+Fw模式，联动滞后需要多点布局，综合判别第29页/共48页2022/12/19IDS存在的问题1）布局和布点问题第29772022/12/23IDS的布局问题FirewallRouterSwitch-1Switch-2ServersNetworkIDSServerInternet1234①检测所有通信，可由Fw阻断②检测所有通信，但已无法阻断③检测交换机1的通信④检测网段2所有通信第30页/共48页2022/12/19IDS的布局问题FirewallRout782022/12/23IDS存在的问题2）检测问题信息获取的局限（网络、网段和主机）检测算法、模型、加速算法、规则（特征）库智能检测和确认问题多协议和多类型检测检测引擎和检测工具问题检测系统与操作系统的接口问题缺乏统一的入侵检测术语和概念框架第31页/共48页2022/12/19IDS存在的问题2）检测问题第31页/共792022/12/23IDS存在的问题3）分析问题由于网段信号分流，带宽增加，功能会下降极增的网络流量导致检测分析难度加大由于网络随时扩展，无法观测到所有通信检测算法和模式限制，数据之特征各异智能化不够，无法理解压缩、加密数据包容易出现漏报、误报和错报高速网络使数据的实时分析更加困难第32页/共48页2022/12/19IDS存在的问题3）分析问题第32页/共802022/12/23NIDS发展方向提高NIDS质量和功能有效集成各种入侵检测数据源充分利用不同系统和传感器采集的数据降低漏、误、错报率，提高报警准确率充实完善模式库和规则库提高智能检测，结合人工分析诊断增强针对IDS的攻击，注意绕过IDS攻击增强异种系统的互操作性和数据一致性第33页/共48页2022/12/19NIDS发展方向提高NIDS质量和功能第812022/12/23NIDS发展方向（续）研制可靠的测试和评估标准提供科学的漏洞分类方法注重攻击客体而不是攻击主体的观点提供对更高级的攻击行为的检测手段提高对其他攻击的检测能力，如email攻击，Java，ActiveX等。积累分析漏报、错报、误报原因，研究处理和恢复方案。第34页/共48页2022/12/19NIDS发展方向（续）研制可靠的测试和评822022/12/23NIDS发展方向（续）软件硬化（网络处理器)智能检测方法（协议分析，神经系统等）集成网络分析和数据处理防火墙联动高速网络数据流的检测严格的自身安全第35页/共48页2022/12/19NIDS发展方向（续）软件硬化（网络处理832022/12/23入侵防御系统

IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。因此，人们迫切地需要找到一种主动入侵防护解决方案，以确保企业网络在威胁四起的环境下正常运行。入侵防御系统（IntrusionPreventionSystem或IntrusionDetectionPrevention，即IPS或IDP）就应运而生了。IPS是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。

IPS在网络中一般有四种连接方式：Span（接在交换机旁边，作为端口映像）、Tap（接在交换机与路由器中间，旁路安装，拷贝一份数据到IPS中）、Inline（接在交换机与路由器中间，在线安装，在线阻断攻击）和Port-cluster（被动抓包，在线安装）。它在报警的同时，能阻断攻击。第36页/共48页2022/12/19入侵防御系统IDS只能被动地检测842022/12/23蜜网Honeynet

Honeynet是一个网络系统，并非某台单一主机，这一网络系统隐藏在防火墙的后面，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据用来研究分析入侵者们使用的工具、方法及动机。在一个Honeynet中，可以使用各种不同的操作系统及设备，如Solaris、Linux、WindowsNT、CiscoSwitch等。这样，建立的网络环境看上去会更加真实可信，同时还有不同的系统平台上面运行着不同的服务，比如Linux的DNSServer、WindowsNT的WebServer或者一个Solaris的FTPServer，可以使用不同的工具以及不同的策略或许某些入侵者仅仅把目标定于几个特定的系统漏洞上，而这种多样化的系统，就可能更多地揭示出入侵者的一些特性。第37页/共48页2022/12/19蜜网HoneynetHoneynet是852022/12/23蜜网Honeynet利用Snort软件安装Win2000Server下的蜜网陷阱

Snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力，能够进行协议分析，对内容进行搜索/匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。构建完整的Snort系统需要以下软件，详细安装方法请参照网上相关资料。acid-0.9.6b23.tar.gz

基于php的入侵检测数据库分析控制台adodb360.zipADOdb（ActiveDataObjectsDataBase）库forPHPapache_2.0.46-win32-x86-no_src.msiWindows版本的ApacheWeb服务器jpgraph-1.12.2.tar.gzOO图形库forPHPmysql-4.0.13-win.zipWindows版本的Mysql数据库服务器php-4.3.2-Win32.zipWindows版本的php脚本环境支持snort-2_0_0.exeWindows版本的Snort安装包WinPca