第 01 讲 计算机入侵检测系统

计算机入侵检测系统

（IDS）

内容提要入侵检测的概念及功能入侵检测的分类和体系结构入侵检测的分析技术入侵检测的响应、恢复、模型与部署小结指出必须改变现有的系统审计机制，以便为专职系统安全人员提供安全信息——预警提出了对计算机系统风险和威胁的分类方法，将威胁分为外部渗透、内部渗透和不法行为三种，提出利用审计跟踪数据监视入侵活动的思想。概念的诞生入侵检测的开山之作1980年4月，JamesP.Anderson为美国空军做了一份题为《ComputerSecurityThreatMonitoringandSurveillance》（计算机安全威胁监控与监视）入侵检测研究发展

Denning于1986年发表的论文“入侵检测模型”被公认为是IDS领域的又一篇开山之作。1990年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的L.T.Heberlein等人开发出了一套网络入侵检测系统（NetworkSecurityMonitor）。

从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展概念的诞生：入侵检测的概念内网Internet入侵检测即是对入侵行为的发觉

入侵检测系统是入侵检测的软件与硬件的有机组合入侵检测系统是处于防火墙之后对网络活动的实时监控入侵检测系统是不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动入侵检测的定义实时监控非法入侵的过程示意图报警日志记录攻击检测记录入侵过程重新配置防火墙路由器内部入侵入侵检测记录终止入侵IDS监控非法入侵的案例2001年4月，广东某ISP和某数据分局的网络系统受到入侵攻击。IDS的相关术语

入侵是指试图破坏一个资源的完整性、机密性和可获得性的活动集合入侵检测是对正在发生或已经发生的入侵行为的一种识别的过程。入侵监测系统虚警检测系统在检测时把系统的正常行为判为入侵行为的错误漏警检测系统未能检测出真正的入侵行为

入侵检测系统包括三个功能部件（1）信息收集部件（2）信息分析部件（3）结果处理部件入侵检测的职责IDS系统主要有两大职责：实时检测和安全审计，具体包含4个方面的内容识别黑客常用入侵与攻击监控网络异常通信鉴别对系统漏洞和后门的利用完善网络安全管理从不知到有知入侵检测发挥的作用技术层面：对具体的安全技术人员，可以利用IDS做为工具来发现安全问题、解决问题。入侵检测发挥的作用管理层面：对安全管理人员来说，是可以把IDS做为其日常管理上的有效手段。从被动到主动入侵检测发挥的作用领导层面：对安全主管领导来说，是可以把IDS做为把握全局一种有效的方法，目的是提高安全效能。从事后到事前入侵检测发挥的作用意识层面：对政府或者大的行业来说，是可以通过IDS来建立一套完善的网络预警与响应体系，减小安全风险。从预警到保障监控用户和系统的活动查找非法用户和合法用户的越权操作

检测系统配置的正确性和安全漏洞评估关键系统和数据的完整性识别攻击的活动模式并向网管人员报警对用户的非正常活动进行统计分析，发现入侵行为的规律操作系统审计跟踪管理，识别违反政策的用户活动检查系统程序和数据的一致性与正确性入侵检测系统的功能入侵检测系统模型(Denning)入侵检测系统模型(CIDF)入侵检测系统模型(CIDF)事件产生器：从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器：分析得到的数据，并产生分析结果。响应单元：对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击，也可以只是简单的报警。事件数据库：存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

二、入侵检测的分类–基于网络入侵检测系统–基于主机入侵检测系统q检测时效分类–在线入侵检测–离线入侵检测q检测所应用的技术–基于异常的IDS

–基于误用的IDS

系统结构–集中式IDS–分布式IDS二、入侵检测的分类(按照体系结构)二、入侵检测的分类(按照工作方式)基于网络入侵检测系统内网Internet是网络上的一个监听设备通过网络适配器捕获数据包并分析数据包根据判断方法分为基于知识的数据模式判断和基于行为的行为判断方法二、入侵检测的分类(基于网络的IDS)基于网络入侵检测系统内网Internet能够检测超过授权的非法访问IDS发生故障不会影响正常业务的运行

配置简单二、入侵检测的分类(基于网络的IDS)基于网络入侵检测系统的优势内网Internet实时分析网络数据，监测网络系统的非法行为不占用其他计算机系统的资源自身的安全性比较高可用于实时检测系统，也可以用于记录审计系统二、入侵检测的分类(基于网络的IDS)基于网络入侵检测系统的局限性内网Internet具有网络局限，只能检查单一网段的通信通常采用特征检测的方法无法检测加密的数据包资源和处理能力的局限无法检测系统级的入侵二、入侵检测的分类(基于网络的IDS)一款基于网络入侵检测系统SessionWall二、入侵检测的分类(基于网络的IDS)开放源码软件内网InternetSnort、NFR、Shadow入侵检测软件等，其中Snort的社区()非常活跃，其入侵特征更新速度与研发的进展已超过了大部分商品化产品

二、入侵检测的分类(基于网络的IDS)Snort二、入侵检测的分类(基于网络的IDS)主界面里显示的信息包括：触发安全规则的网络流量中各种协议所占的比例警报的数量入侵主机目标主机的IP地址端口号等

Snort二、入侵检测的分类(基于网络的IDS)一天之内的报警频率一周报警频率Snort二、入侵检测的分类(基于网络的IDS)一天之内的报警频率

一周报警频率

基于主机的入侵检测内网InternetHIDS是配置在被保护的主机上的，用来检测针对主机的入侵和攻击主要分析的数据包括主机的网络连接状态、审计日志、系统日志。二、入侵检测的分类(基于主机的IDS)基于主机的入侵检测的实现原理内网Internet配置审计信息系统对审计数据进行分析(日志文件)二、入侵检测的分类(基于主机的IDS)基于主机的入侵检测系统的功能内网二、入侵检测的分类(基于主机的IDS)Internet能分辨出入侵者干了什么事：他们运行了什么程序、打开了哪些文件、执行了哪些系统调用。基于主机的IDS与基于网络的IDS相比通常能够提供更详尽的相关信息。基于主机的IDS通常情况下比基于网络的IDS误报率要低，因为检测在主机上运行的命令序列比检测网络流更简单，系统的复杂性也少得多。基于主机的入侵检测的优势内网二、入侵检测的分类(基于主机的IDS)Internet能精确的判断供给行为是否成功能监控主机上特定用户活动和系统运行情况

HIDS能检测到NIDS无法检测到的攻击

HIDS能适用加密和交换的环境

不需要额外的硬件设备基于主机的入侵检测的局限内网二、入侵检测的分类(基于主机的IDS)Internet

HIDS对被保护主机的性能和安全性会带来一定的影响

HIDS的安全性会受到宿主机操作系统的限制

HIDS的数据源会受到审计系统限制被木马化的系统内核能骗过HIDS

维护/升级不方便NIDS和HIDS的主要差别二、NIDS和HIDS比较混合IDS二、入侵检测的分类(混合IDS)基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。

分布式入侵检测系统（DIDS）二、入侵检测的分类(分布式IDS)分布式入侵检测系统（DIDS）二、入侵检测的分类(分布式IDS)入侵检测系统体系结构事件产生器(Eventgenerators)事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。入侵检测系统体系结构事件分析器(Eventanalyzers)事件分析器分析得到的数据，并产生分析结果。事件数据库(Eventdatabases)事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。入侵检测系统体系结构响应单元(Responseunits)响应单元则是对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击，也可以只是简单的报警。入侵检测工作流程网络接口混杂模式根据设置过滤一些数据包过滤程序的算法的重要性入侵检测工作流程监听部分协议分析协议IPXICMPOSPFTCPUDPFTPTelnetPOP3SMTPHTTPDNSTFTPIGMPEGPGGPNFSIPPPPIPV6ATMNetBEUI入侵检测工作流程数据分析根据相应的协议调用相应的数据分析函数一个协议数据有多个数据分析函数处理数据分析的方法是入侵检测系统的核心快速的模式匹配算法入侵检测工作流程引擎管理协调和配置给模块间工作数据分析后处理方式AlertLogCallFirewall入侵检测工作流程三、入侵检测的主要技术Internet特征检测统计专家系统三、入侵检测的主要技术特征检测特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。基于统计检测主要是通过统计模型对审计事件的数量、间隔时间、资源消耗情况等统计量进行统计,如果出现异常,即报警。三、入侵检测的主要技术统计检测模型为：统计检测

1、操作模型:该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击；

2、方差模型，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；三、入侵检测的主要技术统计检测模型

3、多元模型，操作模型的扩展，通过同时分析多个参数实现检测；

4、马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件；

5、时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。

三、入侵检测的主要技术专家系统规则，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性包俘获在一个共享式网络，可以听取所有的流量是一把双刃剑管理员可以用来监听网络的流量情况开发网络应用的程序员可以监视程序的网络情况黑客可以用来刺探网络情报目前有大量商业的、免费的监听工具，俗称嗅探器(sniffer)三、高级检测技术文件完整性检查三、高级检测技术计算机免疫检测三、高级检测技术入侵诱骗技术三、高级检测技术蜜罐技术概念三、高级检测技术蜜罐技术概念三、高级检测技术三、高级检测技术蜜罐技术应用举例三、高级检测技术蜜罐技术应用举例蜜罐的基本配置三、高级检测技术蜜罐的基本配置三、高级检测技术配置蜜罐的实例三、高级检测技术配置蜜罐的实例三、高级检测技术蜜罐的分类三、高级检测技术低交互蜜罐三、高级检测技术中交互蜜罐三、高级检测技术高交互蜜罐三、高级检测技术蜜罐的分类三、高级检测技术蜜罐的特点三、高级检测技术蜜罐的特点三、高级检测技术蜜网的概念三、高级检测技术蜜网的功能三、高级检测技术四、入侵检测的响应与恢复Internet入侵检测的归宿应是

有效反击四、入侵检测的响应与恢复实时响应当事件出现时显示攻击的特征信息重新配置防火墙阻塞特定的TCP连接邮件，传真，电话提示管理员启动其它程序来阻止攻击SNMP陷阱生成报告应急响应案例q2003年1月25日中午12点，全国各ISP遭到攻击q接到ISP的报告q分析确认是一种新型的蠕虫攻击q公司进入应急响应状态q积极防御实验室会同上海、深圳技术人员约30多人对此蠕虫进行研究q国内第一个抓到该蠕虫的特征，升级入侵检测事件库q马上通知CNCERT，在国际出入口进行封堵q通过信息产业部通知大家进行差杀，并在入侵检测产品上监测其事件变化。q最后，韩国、美国遭受很大损失，而我国各大ISP基本运行正常四、入侵检测的响应与恢复被动响应屏幕告警通知事件日志Email通知手机短信、呼机信息

Windows消息

SNMP发送语音报警四、入侵检测的响应与恢复是指那些只向用户提供信息而依靠用户采取下一步行动的响应。主动响应撤销连接隔离SYN/ACK响应四、入侵检测的响应与恢复人工响应IDS的性能指标漏警率

没有正确的识别某些入侵行为而未报警的概率虚警率

把系统的正常行为判为入侵行为的概率丢包率

IDS能处理的网络流量IDS的技术异常检测(anomalydetection)也称为基于行为的检测首先建立起用户的正常使用模式，即知识库标识出不符合正常模式的行为活动误用检测(misusedetection)也称为基于特征的检测建立起已知攻击的知识库判别当前行为活动是否符合已知的攻击模式异常检测比较符合安全的概念，但是实现难度较大正常模式的知识库难以建立难以明确划分正常模式和异常模式常用技术统计方法预测模式神经网络异常检测技术及其性能

系统审计

用户轮廓

正常活动

低于阀值

超过阀值

入侵行为

异常检测模型前提：入侵是异常活动的子集用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围过程监控

量化比较判定

修正指标:漏报率低,误报率高异常检测技术及其性能异常检测举例异常检测特点异常检测系统的效率取决于用户轮廓的完备性和监控的频率因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源误用检测目前研究工作比较多，并且已经进入实用建立起已有攻击的模式特征库难点在于：如何做到动态更新，自适应常用技术基于简单规则的模式匹配技术基于专家系统的检测技术基于状态转换分析的检测技术基于神经网络检测技术其他技术，如数据挖掘、模糊数学等误用检测模型误用检测技术及其性能前提：所有的入侵行为都有可被检测到的特征攻击特征库:当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵过程监控

特征提取匹配判定指标:误报低、漏报高

误用检测技术及其性能误用检测举例误用检测模型如果入侵特征与正常的用户行能匹配，则系统会发生误报；如果没有特征能与某