网络安全入侵检测技术

网络安全入侵检测技术第五章入侵检测技术5.15.25.35.4概述 入侵检测技术 入侵检测体系 入侵检测发展55.11234

概述

入侵检测系统及起源IDS基本结构入侵检测的分类基本术语IDS存在与发展的必然性网络安全本身的复杂性，被动式的防御方式显得力不从心。有关防火墙：网络边界的设备；自身可以被攻破；对某些攻击保护很弱；并非所有威胁均来自防火墙外部。入侵很容易：入侵教程随处可见；各种工具唾手可得入侵检测系统（IDS）入侵检测（IntrusionDetection）的定义：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测系统（IDS）：进行入侵检测的软件与硬件的组合。入侵检测的起源（1）审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程。1980年，JamesP.Anderson的《计算机安全威胁监控与监视》（《ComputerSecurityThreatMonitoringandSurveillance》）－第一次详细阐述了入侵检测的概念－计算机系统威胁分类:外部渗透、内部渗透和不法行为－提出了利用审计跟踪数据监视入侵活动的思想－这份报告被公认为是入侵检测的开山之作入侵检测的起源（2）1984年到1986年，乔治敦大学的DorothyDenning和SRI/CSL的PeterNeumann研究出了一个实时入侵检测系统模型——IDES（入侵检测专家系统）1990年，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM（NetworkSecurityMonitor）－该系统第一次直接将网络流作为审计数据来源，因而可以

在不将审计数据转换成统一格式的情况下监控异种主机－入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS入侵检测的起源（3）1988年之后，美国开展对分布式入侵检测系统（DIDS）的研究，将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。IDS基本结构IDS通常包括以下功能部件：P182事件产生器事件分析器事件数据库响应单元事件产生器（1）负责原始数据采集，并将收集到的原始数据转换为事件，向系统的其他部分提供此事件。收集内容：系统、网络数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息－系统或网络的日志文件－网络流量－系统目录和文件的异常变化－程序执行中的异常行为事件产生器（（2）注意：入侵检测很大大程度上依赖赖于收集信息息的可靠性和和正确性－要保证用用来检测网络络系统的软件件的完整性－特别是入入侵检测系统统软件本身应应具有相当强强的坚固性，，防止被篡改而而收集到错误误的信息事件分析器接收事件信息息，对其进行行分析，判断断是否为入侵侵行为或异常常现象，最后将将判断的结果果转变为告警警信息。分析方法：－模式匹配：将将收集到的信信息与已知的的网络入侵和和系统误用模模式数据库进进行比较，从而而发现违背安安全策略的行行为－统计分析析：首先给系系统对象（如如用户、文件件、目录和设设备等）创建建一个统计描述，统计计正常使用时时的一些测量量属性（如访访问次数、操操作失败次数数和延时等）；测测量属性的平平均值和偏差差将被用来与与网络、系统统的行为进行行比较，任何观察察值在正常值值范围之外时时，就认为有有入侵发生－完整性分分析（往往用用于事后分析析）：主要关关注某个文件件或对象是否否被更改事件数据库存放各种中间间和最终数据据的地方。从事件产生器器或事件分析析器接收数据据，一般会将将数据进行较长时间的的保存。响应单元根据告警信息息做出反应，，是IDS中中的主动武器器。可做出：－强烈反应应：切断连接接、改变文件件属性等－简单的报报警入侵检测的分分类按照分析方法法/检测原理理按照数据来源源按照体系结构构按照工作方式式入侵检测性能能关键参数误报(falsepositive)：实际无害害的事件却被被IDS检测测为攻击事件。漏报(falsenegative)：一个攻击击事件未被IDS检测到到或被分析人员认认为是无害的的。入侵检测的分分类（1）按照分析方法法/检测原理理－异常检测测（AnomalyDetection):首先总结结正常操作应应该具有的特征（（用户轮廓）），试图用定定量的方式加加以描述，当用户活动与与正常行为有有重大偏离时时即被认为是是入侵－误用检测测（MisuseDetection)：收收集非正常操操作的行为特特征，建立相关关的特征库，，当监测的用用户或系统行行为与库中的记录相匹配配时，系统就就认为这种行行为是入侵异常检测前提：入侵是是异常活动的的子集用户轮廓(Profile):通通常定义为各各种行为参数数及其阀值的集合，用于于描述正常行行为范围过程：监控量化比较判定修正指标:漏报率率低,误报率率高异常检测特点点异常检测系统统的效率取决决于用户轮廓廓的完备性和和监控的频率不需要对每种种入侵行为进进行定义，因因此能有效检检测未知的入侵系统能针对用用户行为的改改变进行自我我调整和优化化，但随着检测模型的逐逐步精确，异异常检测会消消耗更多的系系统资源指标:误报低低、漏报高误用检测前提：所有的的入侵行为都都有可被检测测到的特征攻击特征库:当监测的的用户或系统统行为与库中中的记录相匹配时，系系统就认为这这种行为是入入侵过程：监控特征提取匹配判定误用检测如果入侵特征征与正常的用用户行为能匹匹配，则系统统会发生误报；如果没有特特征能与某种种新的攻击行行为匹配，则则系统会发生漏报特点：采用模模式匹配，误误用模式能明明显降低误报报率，但漏报率随之增加加。攻击特征征的细微变化化，会使得误误用检测无能为力。入侵检测的分分类（2）按照数据来源源－基于主机机：系统获取取数据的依据据是系统运行行所在的主机机，保护的目标也也是系统运行行所在的主机机－基于网络络：系统获取取的数据是网网络传输的数数据包，保护护的是网络的正常常运行－混合型InternetCustomersDesktopsNetworkBranchOfficeTelecommutersPartners基于主机的入入侵检测系统统（HIDS）HackerWebServersHIDSServersHIDSHIDS的工作原理X检测内容：系统调用、端端口调用、审审计记录、系统日志、应用日志志客户端Internet网络服务器1HIDS网络服务器2HIDS注意：监视与分析主主机的审计记记录和日志文文件主要用于保护护运行关键应应用的服务器器最适合于检测测那些可以信信赖的内部人人员的误用以以及已经避开了传统统的检测方法法而渗透到网网络中的活动动能否及时采集集到审计记录录如何保护作为为攻击目标的的HIDSHIDSInternetWebServersCustomersServersNetworkBranchOfficeTelecommutersPartners基于网络的入入侵检测系统统（NIDS）NIDSDesktopsNIDSNIDSNIDS基于网络入侵侵检测系统工工作原理数据包=包头信息+有效数据部部分网络服务器1网络服务器2检测内容：包头信息+有有效数据部分分X客户端Internet注意：在共享网段上上对通信数据据进行侦听采采集数据主机资源消耗耗少提供对网络通通用的保护如何适应高速速网络环境非共享网络上上如何采集数数据典型产品代表表：SnortNIDS两类IDS监测软件网络IDS-侦测速度度快-隐蔽性好好-视野更宽宽-较少的监监测器-占资源少少主机IDS-视野集中中-易于用户户自定义-保护更加加周密-对网络流流量不敏感入侵检测的分分类（3）按照体系结构构－集中式：：有多个分布布于不同主机机上的审计程程序，但只有有一个中央入侵检检测服务器。。审计程序把把当地收集到到的数据踪迹发送给中央央服务器进行行分析处理。。（可伸缩性性、可配置性差）－分布式：：将中央检测测服务器的任任务分配给多多个HIDS，它们不分等级，负负责监控当地地主机的可疑疑活动。（可可伸缩性、安全性高；但但维护成本高高，监控主机机的工作负荷荷重）入侵检测的的分类（4）按照工作方方式－离线检检测：非实实时工作，，在行为发发生后，对对产生的数数据进行分析。（（成本低，，可分析大大量事件、、分析长期期情况；但但无法提供及及时保护））－在线检检测：实时时工作，在在数据产生生的同时或或者发生改改变时进行分析（（反应迅速速、及时保保护系统；；但系统规规模较大时，实时性性难以得到到实际保证证）Alert（警报））Signatures（特征征）Promiscuous（混混杂模式））基本术语当一个入侵侵正在发生生或者试图图发生时，，IDS将将发布一个个alert信息通知知系统管理理员如果控制台台与IDS同在一台台机器，alert信息将显显示在监视器上，也也可能伴随随有声音提提示如果是远程程控制台，，那么alert将将通过IDS的内置置方法（通常是加加密的）、、SNMP（简单网网络管理协协议，通常常不加密）、email、SMS（短信息息）或者以以上几种方方法的混合方式传递递给管理员员Alert（警报）攻击特征是是IDS的的核心，它它使IDS在事件发发生时触发发特征信息过过短会经常常触发IDS，导致致误报或错错报；过长长则会影响IDS的工工作速度有人将IDS所支持持的特征数数视为IDS好坏的的标准，但但是有的厂商用一一个特征涵涵盖许多攻攻击，而有有些厂商则则会将这些特征单独独列出，这这就会给人人一种印象象：好像它它包含了更多的特征征，是更好好的IDSSignatures（特征）Promiscuous（混杂模式式）默认状态下下，IDS网络接口口只能“看到”进出主机的的信息，也就是所谓谓的non-promiscuous（非混杂杂模式）如果网络接接口是混杂杂模式，就就可以“看到”网段中所有有的网络通信量量，不管其其来源或目目的地这对于网络络IDS是是必要的5.2入侵检测技技术异常检测技技术误/滥用检测技技术高级检测技技术入侵诱骗技技术入侵响应技技术12345概率统计异异常检测特征选择异异常检测贝叶斯推理理异常检测测贝叶斯网络络异常检测测模式预测异异常检测神经网络异异常检测机器学习异异常检测数据挖掘异异常检测异常检测技技术概率统计异异常检测方方法是异常检测测技术中应应用最早也也是最多的的一种方法法根据异常检检测器观察察主体的活活动，然后后产生刻划划这些活动动的行为轮廓廓（用户特特征表）每一个轮廓廓保存记录录主体当前前行为，并并定时将当当前轮廓与与历史轮廓合合并形成统统计轮廓（（更新），，通过比较较当前轮廓廓与统计轮廓廓来判定异异常行为用于描述特特征的变量量类型及具具体操作：：P189概率统计异异常检测方方法优点：可应应用成熟的的概率统计计理论缺点：－由于用用户行为的的复杂性，，要想准确确地匹配一一个用户的的历史行为非常困难难，容易造造成系统误误报和漏报报－定义入入侵阈值比比较困难，，阈值高则则误报率提提高，阈值值低则漏报率增高基于于神神经经网网络络异异常常检检测测方方法法基本本思思想想：：用用一一系系列列信信息息单单元元（（命命令令））训训练练神神经经元元神经经网网络络的的输输入入层层是是用用户户当当前前输输入入的的命命令令和和已已执执行行过过的的W个命命令令；；用用户户执执行行过过的的命命令令被被神神经经网网络络使使用用来来预预测测用用户户输输入的的下下一一个个命命令令若神神经经网网络络被被训训练练成成预预测测用用户户输输入入命命令令序序列列集集合合，，则则神神经经网络络就就构构成成用用户户的的轮轮廓廓框框架架，，于于是是网网络络对对下下一一事事件件的的预预测测错误误率率在在一一定定程程度度上上反反映映了了用用户户行行为为的的异异常常程程度度用于于入入侵侵检检测测的的神神经经网网络络示示意意图图：：P190基于于神神经经网网络络异异常常检检测测方方法法优点点：：－更更好好地地表表达达了了变变量量间间的的非非线线性性关关系系，，能能更更好好地地处处理理原原始始数数据的的随随机机特特征征，，即即不不需需要要对对这这些些数数据据做做任任何何统统计计假假设设，，并并且能自动学习习和更新－有较好的的抗干扰能力力缺点：网络拓拓扑结构以及及各元素的权权重很难确定定主要假设：具具有能够被精精确地按某种种方式编码的的攻击，并可以通过捕捕获攻击及重重新整理，确确认入侵活动动是基于同一弱点进行行攻击的入侵侵方法的变种种误用入侵检测测：指通过按按预先定义好好的入侵模式式以及观察到入侵发生生情况进行模模式匹配来检检测入侵模式说明明了那些导致致安全突破或或其它误用的的事件中的特征、条件件、排列和关关系。一个不不完整的模式式可能表明存在多种构构造方式的入入侵企图误/滥用检测技术条件概率滥用用检测专家系统滥用用检测状态转换分析析滥用检测键盘监控滥用用检测模型推理滥用用检测滥用入侵检测测方法专家系统滥用用入侵检测方方法是滥用检测技技术中运用最最多的一种方方法通过将安全专专家的知识表表示成If－－Then结结构的规则（（if部分：构成入侵侵所要求的条条件；then部分：发发现入侵后采采取的相应措施））形成专家知知识库，然后后运用推理算算法检测入侵注意：需要解决的主主要问题是处处理序列数据据和知识库的的维护（只能检测已知弱弱点）；专家系统滥用用入侵检测方方法具体实现中所所面临的问题题：－全面性问题题：难以科学学地从各种入入侵手段中抽抽象出全面地地规则化知识；－效率问题：：需要处理的的数据量过大大商业产品一般般不采用专家家系统状态转换分析析滥用入侵检检测方法主要思想：将将入侵过程看看作一个行为为序列，该行行为序列导致系统从初始始状态转入被被入侵状态。。分析时，需需要针对每一种入侵方法法确定系统的的初始状态和和被入侵状态态，以及导致状态转换的的转换条件（（导致系统进进入被入侵状状态必须执行的操作/特特征事件）；；然后用状态态转换图来表表示每一个状状态和特征事件件。缺点：不善于于分析过分复复杂的事件，，也不能检测测与系统状态无关的入侵侵高级检测技术术文件完整性检检查计算机免疫检检测遗传算法模糊证据理论论数据挖掘数据融合文件完整性检检查主要思想：检检查计算机中中自上次检查查后文件的变变化情况。首首先保存保护文文件的信息摘摘要数据库，，每次检查时时，重新计算算文件的数字摘摘要并与之进进行比较，并并判断文件是是否被更改。。典型产品代表表：Tripwire优点：几乎不不可能攻破（（数学上分析析）；有效的的检测文件是是否被更改的工工具；灵活性性好缺点：依赖于于本地的文摘摘数据库，可可能被入侵者者修改；做完完整的文件完整整性检查非常常耗时计算机免疫检检测受生物免疫机机制的启发：：生物系统中中的脆弱性因因素都是由免疫系统来妥妥善处理的，，而这种免疫疫机制在处理理外来异常时呈现了分布布的、多样性性的、自治的的和自修复的的特征，免疫系统通过识识别异常或以以前未出现的的特征来确定定入侵。主要思想：通通过正常行为为（以系统处处理为中心））的学习来识别不符合常常态的行为序序列。缺点：难以获获得程序运行行的所有情况况的执行轨迹迹；检测不出利用程序合合法活动进行行非授权存取取的攻击。数据挖掘数据挖掘（DataMining）：从大大型数据库或或数据仓库中中提取人们感兴趣趣的知识，这这些知识是隐隐含的、事先先未知的潜在在有用信息，提提取的知识一一般可表示为为概念、规则则、规律、模模式等形式。数据挖掘技术术是一种决策策支持过程，，它是一门交交叉性学科，，主要基于AI，机器学习习、模式识别别、统计学、、数据库等技技术，能高度自自动化地分析析原有数据，，做出归纳性性推理，从而而提取出有用信信息。数据挖掘过程程：数据准备备、数据清理理和集成、数数据挖掘、知知识表示、模式式评估数据挖掘运用关联分析析，能够提取取入侵行为在在时间和空间间上的关联，，可以进行的关关联包括源IP关联、目目标IP关联联、数据包特特征关联、时间周期期关联、网络络流量关联等等可以解决的问问题：－弥补模式匹匹配技术对未未知攻击无能能为力的弱点点－使检测模型型的构建自动动化，发展异异常检测方法法数据挖掘技术术在入侵检测测中的主要应应用方向：－发现入侵的的规则、模式式，与模式匹匹配检测方法法相结合－找出用户正正常行为，创创建用户的正正常行为库谢谢！网络安全入侵检测技术术第五章入侵侵检测技术5.15.25.35.4概述入侵检测技术术入侵检测体系系入侵检测发展展55.11234概述入侵检测系统统及起源IDS基本结构入侵检测的分类基本术语IDS存在与发展的的必然性网络安全本身身的复杂性，，被动式的防防御方式显得得力不从心。。有关防火墙：：网络边界的的设备；自身身可以被攻破破；对某些攻攻击保护很弱；；并非所有威威胁均来自防防火墙外部。。入侵很容易：：入侵教程随随处可见；各各种工具唾手手可得入侵检测系统统（IDS）入侵检测（IntrusionDetection）的的定义：通过过从计算机网络或计算机机系统中的若若干关键点收收集信息并对对其进行分析，从从中发发现网网络或或系统统中是是否有有违反反安全全策略略的行行为和和遭到袭击击的迹迹象的的一种种安全全技术术。入侵检检测系系统（（IDS））：进进行入入侵检检测的的软件件与硬硬件的的组合。入侵检检测的的起源源（1）审计技技术：：产生生、记记录并并检查查按时时间顺顺序排排列的的系统统事件记录录的过过程。。1980年年，JamesP.Anderson的《《计算算机安安全威威胁监监控与与监视》》（《《ComputerSecurityThreatMonitoringandSurveillance》》）－第第一次次详细细阐述述了入入侵检检测的的概念念－计计算机机系统统威胁胁分类类:外外部部渗透透、内内部渗渗透和和不法法行为为－提提出了了利用用审计计跟踪踪数据据监视视入侵侵活动动的思思想－这这份报报告被被公认认为是是入侵侵检测测的开开山之之作入侵检检测的的起源源（2）1984年年到1986年年，乔乔治敦敦大学学的DorothyDenning和SRI/CSL的PeterNeumann研究究出了了一个个实时时入侵侵检测测系统统模型——IDES（（入侵侵检测测专家家系统统）1990年年，加加州大大学戴戴维斯斯分校校的L.T.Heberlein等人人开发发出了NSM（NetworkSecurityMonitor））－该系系统第一一次直接接将网络络流作为为审计数数据来源源，因而而可以在不将审审计数据据转换成成统一格格式的情情况下监监控异种种主机－入侵侵检测系系统发展展史翻开开了新的的一页，，两大阵阵营正式式形成：基于于网络的的IDS和基于于主机的的IDS入侵检测测的起源源（3）1988年之后后，美国国开展对对分布式式入侵检检测系统统（DIDS））的研究，将将基于主主机和基基于网络络的检测测方法集集成到一一起。DIDS是分布布式入侵侵检测系系统历史史上的一一个里程程碑式的的产品。从20世世纪90年代到到现在，，入侵检检测系统统的研发发呈现出出百家争鸣的繁繁荣局面面，并在在智能化化和分布布式两个个方向取取得了长长足的进展展。IDS基本结构构IDS通通常包括括以下功功能部件件：P182事件产生生器事件分析析器事件数据据库响应单元元事件产生生器（1）负责原始始数据采采集，并并将收集集到的原原始数据据转换为为事件，向系系统的其其他部分分提供此此事件。。收集内容容：系统统、网络络数据及及用户活活动的状状态和行行为需要在计计算机网网络系统统中的若若干不同同关键点点（不同同网段和不同主主机）收收集信息息－系统统或网络络的日志志文件－网络络流量－系统统目录和和文件的的异常变变化－程序序执行中中的异常常行为事件产生生器（2）注意：入侵检测测很大程程度上依依赖于收收集信息息的可靠靠性和正正确性－要保保证用来来检测网网络系统统的软件件的完整整性－特别别是入侵侵检测系系统软件件本身应应具有相相当强的的坚固性性，防止被篡篡改而收收集到错错误的信信息事件分析析器接收事件件信息，，对其进进行分析析，判断断是否为为入侵行行为或异异常现象，最最后将判判断的结结果转变变为告警警信息。。分析方法法：－模式匹配配：将收收集到的的信息与与已知的的网络入入侵和系系统误用用模式数数据库进进行比较，，从而发发现违背背安全策策略的行行为－统计计分析：：首先给给系统对对象（如如用户、、文件、、目录和和设备等等）创建建一个统统计描述，，统计正正常使用用时的一一些测量量属性（（如访问问次数、、操作失失败次数数和延时等））；测量量属性的的平均值值和偏差差将被用用来与网网络、系系统的行行为进行行比较，任何何观察值值在正常常值范围围之外时时，就认认为有入入侵发生生－完整整性分析析（往往往用于事事后分析析）：主主要关注注某个文文件或对对象是否否被更改改事件数据据库存放各种种中间和和最终数数据的地地方。从事件产产生器或或事件分分析器接接收数据据，一般般会将数数据进行较长时时间的保保存。响应单元元根据告警警信息做做出反应应，是IDS中中的主动动武器。。可做出：：－强烈烈反应：：切断连连接、改改变文件件属性等等－简单单的报警警入侵检测测的分类类按照分析析方法/检测原原理按照数据据来源按照体系系结构按照工作作方式入侵检测测性能关关键参数数误报(falsepositive)：实际际无害的的事件却却被IDS检测测为攻击事件件。漏报(falsenegative)：一个个攻击事事件未被被IDS检测到到或被分析人人员认为为是无害害的。入侵检测测的分类类（1）按照分析析方法/检测原原理－异常常检测（（AnomalyDetection):首首先总结结正常操操作应该该具有的特特征（用用户轮廓廓），试试图用定定量的方方式加以以描述，，当用户活活动与正正常行为为有重大大偏离时时即被认认为是入入侵－误用用检测（（MisuseDetection)：：收集非非正常操操作的行行为特征，建立立相关的的特征库库，当监监测的用用户或系系统行为为与库中中的记录相相匹配时时，系统统就认为为这种行行为是入入侵异常检测测前提：入入侵是异异常活动动的子集集用户轮廓廓(Profile):通通常定义义为各种种行为参参数及其其阀值的集合，，用于描描述正常常行为范范围过程：监控量化比较判定修正指标:漏报报率低,误误报率高异常检测原原理模型807060activity50measures403020100异常检测举举例90CPUProcessSizeprobableintrusionnormalprofileabnormal异常检测特特点异常检测系系统的效率率取决于用用户轮廓的的完备性和和监控的频频率不需要对每每种入侵行行为进行定定义，因此此能有效检检测未知的的入侵系统能针对对用户行为为的改变进进行自我调调整和优化化，但随着着检测模型的的逐步精确确，异常检检测会消耗耗更多的系系统资源指标:误报报低、漏报报高误用检测前提：所有有的入侵行行为都有可可被检测到到的特征攻击特征库库:当监监测的用户户或系统行行为与库中中的记录相匹配时，，系统就认认为这种行行为是入侵侵过程：监控特征提取匹配判定误用检测模模型Intrusion误用检测举举例patternmatchingintrusionPatternsactivities例:if(src_ip==dst_ip)then“landattack””误用检测如果入侵特特征与正常常的用户行行为能匹配配，则系统统会发生误报；如果没有有特征能与与某种新的的攻击行为为匹配，则则系统会发生漏报特点：采用用模式匹配配，误用模模式能明显显降低误报报率，但漏漏报率随之增增加。攻击击特征的细细微变化，，会使得误误用检测无无能为力。入侵检测的的分类（2）按照数据来来源－基于主主机：系统统获取数据据的依据是是系统运行行所在的主主机，保护的目标标也是系统统运行所在在的主机－基于网网络：系统统获取的数数据是网络络传输的数数据包，保保护的是网络的正正常运行－混合型型InternetCustomersDesktopsNetworkBranchOfficeTelecommutersPartners基于主机的的入侵检测测系统（HIDS）HackerWebServersHIDSServersHIDSHIDS的工作原理理X检测内容：：系统调用、、端口调用用、审计记记录、系统日志、应用日日志客户端Internet网络服务器器1HIDS网络服务器器2HIDS注意：监视与分析析主机的审审计记录和和日志文件件主要用于保保护运行关关键应用的的服务器最适合于检检测那些可可以信赖的的内部人员员的误用以以及已经避开了传传统的检测测方法而渗渗透到网络络中的活动动能否及时采采集到审计计记录如何保护作作为攻击目目标的HIDSHIDSInternetWebServersCustomersServersNetworkBranchOfficeTelecommutersPartners基于网络的的入侵检测测系统（NIDS）NIDSDesktopsNIDSNIDSNIDS基于网络入入侵检测系系统工作原原理数据包=包头信息息+有效数数据部分网络服务器器1网络服务器器2检测内容：：包头信息+有效数据据部分X客户户端端Internet注意意：：在共共享享网网段段上上对对通通信信数数据据进进行行侦侦听听采采集集数数据据主机机资资源源消消耗耗少少提供供对对网网络络通通用用的的保保护护如何何适适应应高高速速网网络络环环境境非共共享享网网络络上上如如何何采采集集数数据据典型型产产品品代代表表：：SnortNIDS两类类IDS监测测软件件网络络IDS-侦侦测测速速度度快快-隐隐蔽蔽性性好好-视视野野更更宽宽-较较少少的的监监测测器器-占占资资源源少少主机机IDS-视视野野集集中中-易易于于用用户户自自定定义义-保保护护更更加加周周密密-对对网网络络流流量量不不敏敏感感入侵侵检检测测的的分分类类（（3）按照照体体系系结结构构－集集中中式式：：有有多多个个分分布布于于不不同同主主机机上上的的审审计计程程序序，，但但只只有有一一个中中央央入入侵侵检检测测服服务务器器。。审审计计程程序序把把当当地地收收集集到到的的数数据据踪踪迹发发送送给给中中央央服服务务器器进进行行分分析析处处理理。。（（可可伸伸缩缩性性、、可可配配置置性差差））－分分布布式式：：将将中中央央检检测测服服务务器器的的任任务务分分配配给给多多个个HIDS，，它它们们不分分等等级级，，负负责责监监控控当当地地主主机机的的可可疑疑活活动动。。（（可可伸伸缩缩性性、、安全全性性高高；；但但维维护护成成本本高高，，监监控控主主机机的的工工作作负负荷荷重重））入侵检测的分分类（4）按照工作方式式－离线检测测：非实时工工作，在行为为发生后，对对产生的数据据进行分析。（成成本低，可分分析大量事件件、分析长期期情况；但无法提供及时时保护）－在线检测测：实时工作作，在数据产产生的同时或或者发生改变变时进行分析（反反应迅速、及及时保护系统统；但系统规规模较大时，实时性难难以得到实际际保证）Alert（（警报）Signatures（（特征）Promiscuous（混杂模式式）基本术语当一个入侵正正在发生或者者试图发生时时，IDS将将发布一个alert信信息通知系统统管理员如果控制台与与IDS同在在一台机器，，alert信息将显示示在监视器上，也可可能伴随有声声音提示如果是远程控控制台，那么么alert将通过IDS的内置方方法（通常是加密密的）、SNMP（简单单网络管理协协议，通常不不加密）、email、SMS（短信信息）或者以以上几种方法法的混合方式传递给给管理员Alert（警报）攻击特征是IDS的核心心，它使IDS在事件发发生时触发特征信息过短短会经常触发发IDS，导导致误报或错错报；过长则会影响IDS的工作速速度有人将IDS所支持的特特征数视为IDS好坏的的标准，但是是有的厂商用一个个特征涵盖许许多攻击，而而有些厂商则则会将这些特征单独列列出，这就会会给人一种印印象：好像它它包含了更多的特征，，是更好的IDSSignatures（特征）Promiscuous（混杂模式））默认状态下，，IDS网络络接口只能“看到”进出主机的信信息，也就是所谓的的non-promiscuous（非混杂模模式）如果网络接口口是混杂模式式，就可以“看到”网段中所有的的网络通信量，，不管其来源源或目的地这对于网络IDS是必要要的5.2入侵检测技术术异常检测技术术误/滥用检测技术术高级检测技术术入侵诱骗技术术入侵响应技术术12345概率统计异常常检测特征选择异常常检测贝叶斯推理异异常检测贝叶斯网络异异常检测模式预测异常常检测神经网络异常常检测机器学习异常常检测数据挖掘异常常检测异常检测技术术概率统计异常常检测方法是异常检测技技术中应用最最早也是最多多的一种方法法根据异常检测测器观察主体体的活动，然然后产生刻划划这些活动的行为轮廓（（用户特征表表）每一个轮廓保保存记录主体体当前行为，，并定时将当当前轮廓与历史轮廓合并并形成统计轮轮廓（更新）），通过比较较当前轮廓与统计轮廓来来判定异常行行为用于描述特征征的变量类型型及具体操作作：P189概率统计异常常检测方法优点：可应用用成熟的概率率统计理论缺点：－由于用户户行为的复杂杂性，要想准准确地匹配一一个用户的历历史行为非常困难，，容易造成系系统误报和漏漏报－定义入侵侵阈值比较困困难，阈值高高则误报率提提高，阈值低低则漏报率增高基于神经网络络异常检测方方法基本思想：用用一系列信息息单元（命令令）训练神经经元神经网络的输输入层是用户户当前输入的的命令和已执执行过的W个命令；用户户执行过的命命令被神经网网络使用来预预测用户输入的下一个命命令若神经网络被被训练成预测测用户输入命命令序列集合合，则神经网络就构成用用户的轮廓框框架，于是网网络对下一事事件的预测错误率在一定定程度上反映映了用户行为为的异常程度度用于入侵检测测的神经网络络示意图：P190基于神经网络络异常检测方方法优点：－更好地表达达了变量间的的非线性关系系，能更好地地处理原始数数据的随机特征征，即不需要要对这些数据据做任何统计计假设，并且能自动学习习和更新－有有较好好的抗抗干扰扰能力力缺点：：网络络拓扑扑结构构以及及各元元素的的权重重很难难确定定主要假假设：：具有有能够够被精精确地地按某某种方方式编编码的的攻击击，并可以以通过过捕获获攻击击及重重新整整理，，确认认入侵侵活动动是基基于同一弱弱点进进行攻攻击的的入侵侵方法法的变变种误用入入侵检检测：：指通通过按按预先先定义义好的的入侵侵模式式以及及观察到入入侵发发生情情况进进行模模式匹匹配来来检测测入侵模模式说说明了了那些些导致致安全全突破破或其其它误误用的的事件件中的特征征、条条件、、排列列和关关系。。一个个不完完整的的模式式可能能表明存在在多种种构造造方式式的入入侵企企图误/滥用检测测技术术条件概概率滥滥用检检测专家系系统滥滥用检检测状态转转换分分析滥滥用检检测键盘监监控滥滥用检检测模型推推理滥滥用检检测滥用入入侵检检测方方法专家系系统滥滥用入入侵检检测方方法是滥用用检测测技术术中运运用最最多的的一种种方法法通过将将安全全专家家的知知识表表示成成If－Then结结构的的规则则（if部分：构构成入入侵所所要求求的条条件；；then部分分：发发现入入侵后后采取取的相应应措施施）形形成专专家知知识库库，然然后运运用推推理算算法检检测入入侵注意：：需要解解决的的主要要问题题是处处理序序列数数据和和知识识库的的维护护（只只能检测测已知知弱点点）；；专家系系统滥滥用入入侵检检测方方法具体实实现中中所面面临的的问题题：－全面面性问问题：：难以以科学学地从从各种种入侵侵手段段中抽抽象出出全面面地规规则化知知识；；－效率率问题题：需需要处处理的的数据据量过过大商业产产品一一般不不采用用专家家系统统状态转转换分分析滥滥用入入侵检检测方方法主要思思想：：将入入侵过过程看看作一一个行行为序序列，，该行行为序序列导导致系统统从初初始状状态转转入被被入侵侵状态态。分分析时时，需需要针针对每每一种入入侵方方法确确定系系统的的初始始状态态和被被入侵侵状态态，以以及导导致状态态转换换的转转换条条件（（导致致系统统进入入被入入侵状状态必必须执执行的操操作/特征征事件件）；；然后后用状状态转转换图图来表表示每每一个个状态和特特征事事件。。缺点点：：不不善善于于分分析析过过分分复复杂杂的的事事件件，，也也不不能能检检测测与与系系统统状状态无无关关的的入入侵侵高级级检检测测技技术术文件件完完整整性性检检查查计算算机机免免疫疫检检测测遗传传算算法法模糊糊证证据据理理论论数据据挖挖掘掘数据据融融合合文件件完完整整性性检检查查主要要思思想想：：检检查查计计算算机机中中自自上上次次检检查查后后文文件件的的变变化化情情况况。。首首先保保存存保保护护文文件件的的信信息息摘摘要要数数据据库库，，每每次次检检查查时时，，重重新新计计算算文件件的的数数字字摘摘要要并并与与之之进进行行比比较较，，并并判判断断文文件件是是否否被被更更改改。。典型型产产品品代代表表：：Tripwire优点点：：几几乎乎不不可可能能攻攻破破（（数数学学上上分分析析））；；有有效效的的检检测测文文件件是是否被被更更改改的的工工具具；；灵灵活活性性好好缺点点：：依依赖赖于于本本地地的的文文摘摘数数据据库库，，可可能能被被入入侵侵者者修修改改；；做做完完整的的文文件件完完整整性性检检查查非非常常耗耗时时计算算机机免免疫疫检检测测受生生物物免免疫疫机机制制的的启启发发：：生生物物系系统统中中的的脆脆弱弱性性因因素素都都是是由由免疫疫系系统统来来妥妥善善处处理理的的，，而而这这种种免免疫疫机机制制在在处处理理外外来来异异常常时呈呈现现了了分分布布的的、、多多样样性性的的、、自自治治的的和和自自修修复复的的特特征征，，免免疫系系统统通通过过识识别别异异常常或或以以前前未未出出现现的的特特征征来来确确定定入入侵侵。。主要思想想：通过过正常行行为（以以系统处处理为中中心）的的学习来来识别不符符合常态态的行为为序列。。缺点：难难以获得得程序运运行的所所有情况况的执行行轨迹；；检测不不出利用程程序合法法活动进进行非授授权存取取的攻击击。数据挖掘掘数据挖掘掘（DataMining））：从大大型数据据库或数数据仓库库中提取人们感感兴趣的的知识，，这些知知识是隐隐含的、、事先未未知的潜潜在有用信息息，提取取的知识识一般可可表示为为概念、、规则、、规律、、模式等形式式。数据挖掘掘技术是是一种决决策支持持过程，，它是一一门交叉叉性学科科，主要基于于AI，，机器学学习、模模式识别别、统计计学、数数据库等等技术，能高高度自动动化地分分析原有有数据，，做出归归纳性推推理，从从而提取出有有用信息息。数据挖掘掘过程：：数据准准备、数数据清理理和集成成、数据据挖掘、、知识表示、、模式评评估入侵诱骗骗技术定义：用特有有的特征征吸引攻攻击者，，同时对对攻击者者的各种种攻击行为进进行分析析，并进进而找到到有效的的对付方方法。它是试图图将攻击击者从关关键系统统引诱开开的诱骗骗系统。。它是其他他安全策策略所不不可替代代的一种种主动防御技术术。其设计目的是：从现现存的各各种威胁胁中提取取有用的的信息，，以发现现新型的攻攻击工具具、确定定攻击的的模式并并研究攻攻击者的的攻击动动机。入侵诱骗骗技术蜜罐技术术（Honeypot）蜜网技术术（Honeynet）蜜罐（Honeypot）技术定义：是是一种被被侦听、、被攻击击或已经经被入侵侵的资源源。注意：Honeypot并非一种种安全解解决方案案，它只是是一种工工具，而且且只有Honeypot受到到攻击，，它的作作用才能能发挥出出来。Honeypot系统统在整个个安全防防护体系系中的地地位：P193图6-5例：蜜罐与蠕蠕虫捕获蜜罐与反病毒毒领域的结合合趋势始于2002年，，成熟于2004年。。用于蠕虫捕获获的蜜罐完全全以获得蠕虫虫样本为目的的。用于蠕虫捕获获的蜜罐系统统主要针对获获取系统控制制权且主动传播的扫扫描溢出/口口令猜测型蠕蠕虫样本，使使这些蠕虫扫描到蜜罐罐节点的时候候，其样本文文件或其他载载体形态被获取。蜜罐的价值蜜罐主要的价价值是：第一一时间捕获流流行的扫描型型蠕虫，例如第一一时间截获冲冲击波、震荡荡波以及他们们的变种都在某种程程度上依赖于于蜜罐体制。。蜜罐具有统计计意义，能够够对流行情况况/节点压力力进行比较准确的判断断和分析。入侵响应技术术分类：主动响应：入入侵检测系统统在检测到入入侵后能够阻阻断攻击、影响进而改变变攻击的进程程；被动响应：入入侵检测系统统仅仅简单地地报告和记录录所检测出的问题。注意：二者并并不互斥，无无论采用哪种种响应机制，，入侵检测系系统均应以日志志的形式记录录下检测结果果。主动响应主动响应：检检测到入侵后后立即采取行行动。形式：由用户户驱动；系统统本身自动执执行基本手段：①对入侵者采取取反击行动－严厉方式：：警告攻击者者、跟踪攻击击者、断开危危险连接、对对攻击者进行攻击击等－温和方式：：记录安全事事件、产生告告警信息、记记录附加日志志、激活附加入侵侵检测工具等等－介于严厉和和温和之间的的方式：隔离离入侵者IP、禁止被攻攻击对象的特定端口口和服务、隔隔离被攻击对对象等主动响应②修正系统环境境－这种策略类类似于实时过过程控制系统统的反馈机制制，用目前系系统处理过程的的输出来调整整和优化下一一个处理过程程。③