第11讲系统安全性-入侵检测

网络与信息安全技术

第十一讲

入侵检测华中科技大学软件工程硕士课程网络入侵基本步骤

第一步踩点利用经验和工具分析对方的网络结构和组织信息WHOIS查询DNS查询Hosttracerouter

第二步扫描使用端口扫描工具(猜测操作系统类型)NmapSuperScanX-Scan……..漏洞扫描端口CGI漏洞(避开IDS)RPC漏洞SQL-Server漏洞NT弱口令，FTP账户，NETBIOS信息………….

第三步攻击缓冲区溢出输入验证漏洞应用程序漏洞或者配置错误漏洞暴力猜解密码拒绝服务攻击信任关系欺骗攻击(客户机攻击模式)……

第四步清除日志清除系统日志SysLogd(/var/log)%WINNT%\system32\config\….清除应用程序日志${prefix}/logs/%WINNT%\system32\logfiles\…..湮没日志……

第六步隐藏自己隐藏的win32服务NTFS流文件LoadableKernelModulesDLL和动态嵌入技术…..

第七步后门LoginBackdoorBindshellCGIBackdoorPingBackdoorACKBackdoorDatabaseBackdoorAapacheBackdoor……

入侵检测系统IDS为什么需要IDS？Firewall是网络边界的设备，自身可能被攻破不是所有的威胁来自防火墙外部，85％以上的攻击事件来自于内部的攻击，防火墙只能防外，难于防内。IDS的功能检测攻击，包括外部攻击或试探、内部用户的未授权访问、误操作；实现原理：从系统的关键点收集信息，并分析这些信息是否有违反安全策略的行为和遭到攻击的迹象。

入侵检测系统结构数据采集（Sensor）分析器知识库响应/控制响应政策

配置信息告警控制远程管理

主要功能模块信息收集：包括用户在网络、系统、数据库以及应用系统中活动的状态和行为。信息分析：通过模式匹配、统计分析和完整性分析，得到实时检测所必须的信息。安全响应：在发现入侵行为后会及时作出响应，包括中止网络服务、记录事件、报警和阻断等。

入侵检测系统分类基于主机的入侵检测系统Host-BasedIDS(HIDS)通常安装在被保护的主机上，对该主机的网络实时连接以及系统审计日志进行检查和分析；缺点:占用系统资源;事后分析,实时性差;异构平台支持困难基于网络的入侵检测系统Network-BasedIDS(NIDS)安装在需要保护的网段中，实时监视网段中传输的各种数据包，并对这些数据包进行分析和检测。缺点：数据量庞大，存在丢包问题；监测范围有限，不能结合操作系统特征分析攻击行为；

基于网络的入侵检测RouterIDSSensorMonitoredServersWANLAN

基于网络的入侵检测HUBIDSSensorMonitoredServersWANLAN

混合分布式入侵检测系统主机主机流量

分析器主机Agent管理器网络Agent流量

分析器主机主机

检测模型1误用检测

根据已知的攻击方法或系统安全缺陷方面的知识，建立特征数据库，然后在收集到的网络活动中寻找匹配的使用模式—特征匹配/检测，准确率高但只能检测已知的攻击。

0050dac6f2d600b0d04dcbaa08004500015731054000800600000a0a0231d850数据包：dac6f2d6攻击特征：发现攻击，报警！特征模式匹配技术缺陷

计算的负载计算量大，消耗系统资源：攻击特征字节数×数据包字节数×每秒的数据包数×数据库的攻击特征数；探测准确性只能探测出明确的、唯一的攻击特征，即便是基于最轻微变换的攻击串都会被忽略。

误用检测技术2

利用网络协议的高度规则性快速探测攻击的存在。解析命令字符串：在不同的上层应用协议上，对每一个用户命令作出详细分析。探测碎片攻击和协议确认：如果出现IP碎片设置，数据包将首先被重装，然后详细分析来了解潜在的攻击行为。通过重装数据包，系统可以检测到利用IDS逃避技术的攻击手段。协议分析

IDS的评价标准性能测试：衡量IDS在高负荷条件下的运行情况，如数据包截获和过滤的速度，是否丢包，检测引擎的总体吞吐量功能测试：衡量IDS自身功能特征的强大程度，如系统架构是否支持可扩展性，是否支持规则定制，警报系统功能是否强大，是否提供强大友好的报表功能。用户可用性测试：衡量操作界面友好性，如界面设计是否合理、使用是否方便。入侵检测系统举例—Snort系统

免费NIDS基于GPL最新版本