信息与网络安全教学课件作者程光第十一章

入侵检测的基本原理和结构入侵检测的分类入侵检测的技术指标入侵检测的标准化和发展方向入侵检测系统的实例第11章入侵检测技术入侵检测技术入侵检测技术是主动保护自己免受攻击的一种网络安全技术。入侵检测系统（Intrusion-detectionsystem，IDS）就是采用入侵检测技术的系统。目前主要的网络安全技术有IDS、防火墙、扫描器、VPN和防病毒技术。四种网络安全技术的对比优点局限性IDS实时监控网络安全状况误报警，缓慢攻击，新的攻击模式防火墙可简化网络管理，产品成熟无法处理网络内部的攻击Scanner简单可操作，帮助系统管理员和安全服务人员解决实际问题并不能真正扫描漏洞VPN保护公网上的内部通信可视为防火墙上的一个漏洞防病毒针对文件与邮件，产品成熟功能单一入侵检测系统概述入侵检测系统的定义是入侵检测系统是一种对网络传输进行实时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。1980年4月，JamesP.Anderson:《ComputerSecurityThreatMonitoringandSurveillance》（计算机安全威胁监控与监视）的技术报告，第一次详细阐述了入侵检测的概念。从1984年到1986年，乔治敦大学的DorothyDenning和SRI/CSL的PeterNeumann研究出了一个实时入侵检测系统模型（IntrusionDetectionExpertSystem，IDES）。1990，加州大学戴维斯分校的L.T.Heberlein等人开发出了网络安全监测器（NetworkSecurityMonitor，NSM）。入侵检测系统概述审计数据源策略规则模式匹配器轮廓特征引擎异常检测器警告/报告产生器IDES结构框架入侵检测系统术语ALERT（警报）当一个入侵正在发生或者试图发生时，IDS系统将发布一个alert信息通知系统管理员。Anomaly（异常）一个基于anomaly（异常）的IDS会构造一个当时活动的主机或网络的大致轮廓，当有一个在这个轮廓以外的事件发生时，IDS就会告警。自动响应

指可以通过重新配置路由器和防火墙，拒绝那些来自同一地址的信息流；并通过在网络上发送reset包切断连接。

Signature（特征）

IDS的核心是攻击特征，它使IDS在事件发生时触发。

Promiscuous（混杂模式）如果网络接口是混杂模式，就可以看到网段中所有的网络通信量，不管其来源或目的地。

入侵检测系统体系结构交换机交换机防火墙防火墙路由器Internet基于网络的IDS基于主机的IDS内网基于网络的IDSWWW服务器FTP服务器邮件服务器入侵检测系统原理示意图外部网络DMZ区域内部网络入侵检测系统体系结构入侵检测系统包括三个功能部件：（1）信息收集入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。信息收集的来源：网络流量日志，系统或网络的日志文件，网络流量、系统目录和文件的异常变化，程序执行中的异常行为等。（2）信息分析信息分析往往用于事后分析，包括：模式匹配、统计分析、完整性分析等。（3）结果处理结果处理的作用在于报警和响应，报警就是通知管理员，产生一个正式的警报，而响应就是对警报的安全事件的处理。入侵检测的基本原理和结构入侵检测的分类入侵检测的技术指标入侵检测的标准化和发展方向入侵检测系统的实例目录入侵检测系统分类从技术上，入侵检测分为两类基于标志（signature-based）又叫做基于规则（rule-based）基于规则的检测技术的核心是维护一个知识库，对于已知的攻击，它可以详细、准确的报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。基于异常情况（anomaly-based）基于异常的检测技术则无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广泛、甚至未发觉的攻击。在两种检测技术的基础上形成了两种不同形式的检测模型：入侵检测可以分为异常检测模型（AnomalyDetection)和误用检测模型（MisuseDetection)。入侵检测系统分类从技术上，入侵检测分为两类异常检测模型检测与可接受行为之间的偏差。其效率取决于用户轮廓的完备性和监控的频率。异常入侵检测方法：统计异常检测、基于特征选择异常检测、基于贝叶斯推理异常检测、基于贝叶斯网络异常检测、基于模式预测异常检测、基于神经网络异常检测、基于贝叶斯聚类异常检测、基于机器学习异常检测、基于数据挖掘异常检测、基于误用的入侵检测。监控量化比较判定修正异常检测过程入侵检测系统分类从技术上，入侵检测分为两类误用检测模型前提是所有的入侵行为都有可被检测到的特征。主要思想是通过某种方式预先定义入侵行为，然后监视系统，从中找出符合预先定义规则的入侵行为。误用入侵检测方法主要有：基于条件概率误用检测、基于专家系统误用检测、基于状态迁移误用检测、基于键盘监控误用检测、基于模型误用检测、基于误用的入侵检测。特点是错报的概率比较低，但是漏报的概率比较高。误用检测过程监控特征提取匹配判定入侵检测系统分类按照数据来源分类基于主机的入侵检测系统基于主机的入侵检测监视与分析主机的审计记录，由于内部人员的威胁正变得更重要，基于主机入侵检测主要发现特权滥用、关键数据的访问及修改、安全配置的变化等威胁。该系统有两种工作方式：集中式和分布式，集中式功能主要有：警报、监视、毁坏情况评估、遵从性分析等。存在问题:能否及时采集到审计记录？如何保护作为攻击目标主机审计子系统？入侵检测系统分类按照数据来源分类基于网络的入侵检测系统基于网络的入侵检测系统在共享网段上对通信数据进行侦听采集数据，主机资源消耗少，提供对网络通用的保护。基于网络的入侵检测系统由遍及网络的传感器（Sensor)组成，传感器向中央控制台报告数据。存在问题：如何适应高速网络环境？非共享网络上如何采集数据？配置/管理网络安全数据库入侵分析引擎器传感器传感器分析结果入侵检测的基本原理和结构入侵检测的分类入侵检测的技术指标入侵检测的标准化和发展方向入侵检测系统的实例目录入侵检测系统的技术指标误报所谓入侵检测系统误报是指系统中的检测算法将正常的网络数据当成了攻击。产生误报的若干原因在基于规则的入侵检测系统中，管理员对规则的定义不够严禁可能导致产生误报入侵检测系统中采用异常检测模型，则产生误报的可能性将大大增加。在误用检测模型中，外部攻击者只需要构建基于入侵规则的数据报文，就可以形成对入侵检测系统的攻击，产生大量的误报信息。降低误报的技术手段将传统的基于特征的技术和协议分析技术相结合将基于异常的技术和传统的基于特征的技术相结合强化IDS的安全管理功能入侵检测系统的技术指标漏报与入侵检测误报相比，漏报导致的损失更加严重。漏报产生的原因基于误用检测模型的入侵检测系统，由于规则不全或者规则库的更新不及时基于异常检测模型的入侵检测系统由于不能正确界定异常和正常的现象减少漏报的措施及时更新规则库，保证规则库保持为最新状态根据内部网络的特点和相关管理维护经验，定制适合内部网络的相关规则正确定义异常检测模型中的正常和异常情况，采用人工干预等方法和手段，提高异常检测模型的识别能力入侵检测系统的技术指标管理能力需要控制台和日志分析程序来管理和分析多个网络引擎及它们产生的警报；网络设备产品提供商，为用户提供远程管理功能；存在问题：用户只能被动地得到信息，而不能主动控制远程的网络引擎

。健壮性程序本身在各种网络环境下都能正常工作；程序各个模块之间的通信能够不被破坏，不可仿冒。入侵检测的基本原理和结构入侵检测的分类入侵检测的技术指标入侵检测的标准化和发展方向入侵检测系统的实例目录标准化和发展方向 目前，对IDS进行标准化的工作有两个组织：IETF的入侵检测工作组(IDWG，/html.charters/OLD/idwg-charter.html)和通用入侵检测框架(CIDF，/cidf/)。 从进展状况来看，目前IDWG基本形成了4个RFC文档，其中有3个文档实在2007年3月从草案正式被接受为RFC文档的，历时数年之久，相当不容易；但是CIDF的进展就不尽如人意了，目前该项目组的工作基本处于停滞状态，其思想和理念也没有得到很好的贯彻和执行。标准化和发展方向入侵检测工作组IDWG的主要工作是定义相关的数据格式和共享信息的交换过程，用于入侵检测与响应（IntrusionDetectionandResponse，IDR）系统之间或与需要交互的管理系统之间的信息共享。IDWG已经形成了四份RFC文档，主要包括三部分内容：隧道轮廓（TunnelProfile，RFC3620）、入侵检测消息交换格式（IDMEF，RFC4766，RFC4765）以及入侵检测交换协议（IDXP，RFC4767）。标准化和发展方向通用入侵检测框架

CIDF所做的工作主要包括四部分：IDS的体系结构、通信机制、描述语言和应用编程接口API。提出了一个通用模型CIDF将一个入侵检测系统分为四个组件：事件产生器（Eventgenerators）、事件分析器（Eventanalyzers）、响应单元（Responseunits）、事件数据库（Eventdatabases）。CIDF的总体目标是实现软件的复用和IDR（入侵检测与响应）组件之间的互操作性。事件产生器响应单元事件数据库事件分析器

CIDF的体系结构原始事件响应事件标准化和发展方向入侵检测系统的技术难点存在问题误报和漏报的矛盾隐私和安全的矛盾被动分析与主动发现的矛盾海量信息与分析代价的矛盾功能性和可管理性的矛盾单一的产品与复杂的网络应用的矛盾网络规模扩大，网络速度提高，其需满足高速大规模网络应用需求标准化和发展方向入侵检测系统发展趋势分析技术的改进入侵检测分析方法主要有：统计分析、模式匹配、数据重组、协议分析、行为分析等。目前最好综合使用多种检测技术，而不只是依靠传统的统计分析和模式匹配技术。另外，规则库是否及时更新也和检测的准确程度相关。内容回卷和网络审计功能的引入内容恢复即在协议分析的基础上，对网络中发生的行为加以完整的重组和记录，网络中发生的任何行为都逃不过它的监视。网络审计即对网络中所有的连接事件进行记录。集成网络分析和管理功能入侵检测产品集成网管功能、扫描器(Scanner)、嗅探器(Sniffer)等功能是以后发展的方向标准化和发展方向入侵检测系统发展趋势提高安全性和易用性对易用性的要求也日益增强；全中文的图形界面、自动的数据库维护、多样的报表输出，这些都是入侵产品以后继续发展细化的趋势。改进对高速网络的处理方法对大数据量处理的要求，入侵检测的性能要求也逐步提高，出现了千兆入侵检测等产品。网络数据分流也是一个很好的解决方案，性价比也较好，是国际上较通用的一种作法。入侵检测的基本原理和结构入侵检测的分类入侵检测的技术指标入侵检测的标准化和发展方向入侵检测系统的实例目录LIDSLIDS全称Linux入侵检测系统，是增强Linux核心的安全的补丁程序。它主要应用了一种安全参考模型和强制访问控制（MandatoryAccessControl）模型。LIDS能够保护重要的系统文件、重要的系统进程、并能阻止对系统配制信息的改变和对设备的读写操作。LIDSLIDS主要功能保护检测响应LIDS的安装安装LIDS安装lids管理工具LIDS的配置SNORTSnort是一个开放源码的网络入侵检测系统，可以免费获得（）。Snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式就是snort从网络上读出数据包然后显示在用户的控制台上。SNORT规则Snort的规则存储在文本文件中，并可以用文本编辑器修改。规则以类别分组，不同类别的规则存储在不同的文件中。规则实例

alerttcpanyany->/24111(content:"|000186a5|";msg:"mountdaccess";)SNORTSnort安装使用SNORT需要安装的软件工具包括：SNORT、MySQL、APACHE、PHP、BASE、OlinkMaster；Snort在Debian操作系统下的安装。1.首先配置好source.list#deb/debianetchmaincontribnon-free#deb-src/debianetchmaincontribnon-free2.安装需要添加的基本模块#apt-getinstallapache-sslapache-commonlibapache-mod-php5mysql-servermysql-commonmysql-clientphp5-mysqllibnet1libnet1-devlibpcre3libpcre3-devautoconfautomake1.9libpcap0.8libpcap0.8-devlibmysqlclient15-devphp5-gdlibphp-adodbvimgccmakephp5-clilibtool

libssl-devgcc-4.1g++-4.1#apt-getinstallzlib1gzlib-binzlib1g-devflexbison(/usr/share/adodb不再安装在/usr/share/adodb下，而是安装在/usr/share/php/adodb)SNORTSnort安装Snort在Debian操作系统下的安装。

3.安装snort和配置mysql#apt-getinstallsnort#vi/usr/share/doc/snort-mysql/README-database.Debian#mysql--user=rootmysql>CREATEDATABASEsnort_db;>UPDATEuserSETPassword=PASSWORD('amionszmz')WHEREuser='snort';>GRANTallprivilegesonsnort_db.*tosnort@localhost;>GRANTallprivilegesonsnort_db.*tosnort;>flushprivileges;>exit#cd/usr/share/doc/snort-mysql#zcat

create_mysql.gz|mysql-usnortsnort_dbSNORTSnort安装Snort在Debian操作系统下的安装。#cd/etc/snort/;mvdb-pending-configdb-pending-config.bak#vi/etc/snort/snort.conf

添加

outputdatabase:log,mysql,user=snortdbname=snort_db#/etc/init.d/snortstart4.安装和配置BASE#tarxzvf/home/amions/base-1.3.6.tar.gz#mv/home/amions/base-1.3.6/var/www#chown

root.root/var/www/base-1.3.6-Rf#cd/var/www/base-1.3.6/sql#zcat

create_base_tbls_mysql.sql|mysql-usnortsnort_db#mv/var/www/base-1.3.6/var/www/base访问http://ip/base设置base#mv./base_conf.php/var/www/base一个基于异常检测实例异常检测测度假设正常流量行为特征是s（t），异常流量特征是n（t），故实际测量到的流量行为特征是y（t）=s（t）＋n（t）。

假设1.异常流量行为n（t）是一种偶然行为，n（t）和s（t）具有明显差异。根据假设1，n（t）可以通过统计数学工具分离并加以识别。假设1也可能会存在一些不适应的情况：

1）如果异常流量行为n（t）不是一种偶然行为，那么统计分析过程中，异常行为将会作为正常行为；

2）如果n（t）和s（t）没有明显差异，异常行为特征n（t）被正常行为s（t）所掩盖，不能被检测。一个基于异常检测实例异常检测测度图示了CERNET网络某日内受到的ICMP扫描攻击的观测结果，可以看出，ICMP请求报文和应答报文的比值基本稳定在10以下，但其中出现2次大规模ICMP扫描攻击使得两者之间比值剧增。一个基于异常检测实例实时抽样测量平均吞吐量表示为其中，Tn是前n个单位时间内平均抽样吞吐量的累加和（T0=0），tn＋1是第n+1个单位时间内平均抽样吞吐量，使用Tn＋1代替Tn是存储信息，因此新的平均抽样吞吐量为

对于n+1个数据值，样本标准差对总体标准差的无偏估计定义为：

一个基于异常检测实例实时抽样测量

对于每个测度，系统只要维护三个值：样本均值、样本累加和、样本平方累加和。

标准差能通过计算：设