第9章网络入侵及入侵检测课件

第9章网络入侵与入侵检测/第9章入侵检测系统本章要点基本的入侵检测知识入侵检测的基本原理和重要技术几种流行的入侵检测产品/2入侵检测系统是什么入侵检测系统（Intrusion-detectionsystem，下称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于，IDS是一种积极主动的安全防护技术。入侵检测作为动态安全技术的核心技术之一，是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性，是安全防御体系的一个重要组成部分。/3理解入侵检测系统(IDS)监控室=控制中心后门保安=防火墙摄像机=探测引擎CardKey/49.1入侵检测概述首先，入侵者可以找到防火墙的漏洞，绕过防火墙进行攻击。其次，防火墙对来自内部的攻击无能为力。它所提供的服务方式是要么都拒绝，要么都通过，不能检查出经过它的合法流量中是否包含着恶意的入侵代码，这是远远不能满足用户复杂的应用要求的。入侵检测技术正是根据网络攻击行为而进行设计的，它不仅能够发现已知入侵行为，而且有能力发现未知的入侵行为，并可以通过学习和分析入侵手段，及时地调整系统策略以加强系统的安全性。/59.1.1入侵检测概念1.入侵检测与P2DR模型P2DR是Policy(安全策略)、Protection(防护)、Detection(检测)、Response(响应)的缩写。其体系框架如图6-1所示。其中各部分的含义如下。1) 安全策略(Policy)2) 防护(Protection)3) 检测(Detection)4) 响应(Response)/69.1.1入侵检测概念2.入侵检测的作用入侵检测技术是通过对计算机网络和主机系统中的关键信息进行实时采集和分析，从而判断出非法用户入侵和合法用户滥用资源的行为，并做出适当反应的网络安全技术。它在传统的网络安全技术的基础上，实现了检测与反应，起主动防御的作用。这使得对网络安全事故的处理，由原来的事后发现发展到了事前报警、自动响应，并可以为追究入侵者的法律责任提供有效证据。/79.1.1入侵检测概念3.入侵检测的概念入侵检测是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”(参见国标GB/T18336)。入侵检测系统的作用如图6-2所示。/89.1.1入侵检测概念4.入侵检测系统的发展历史1980年4月，JamesAnderson为美国空军作了一份题为ComputerSecurityThreatMonitoringandSurveillance(计算机安全威胁监控与监视)的技术报告，这份报告被公认为入侵检测技术的开山鼻祖。1987年，乔治敦大学的DorothyDenning提出了第一个实时入侵检测系统模型，取名为IDES。1988年的Morris蠕虫事件发生之后，网络安全才真正引起了军方、学术界和企业的高度重视。1990年是入侵检测系统发展史上的一个分水岭，在这之前，所有的入侵检测系统都是基于主机的，他们对于活动的检查局限于操作系统审计踪迹数据及其他以主机为中心的数据源。从20世纪90年代至今，对入侵检测系统的研发工作已呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。/99.1.2入侵检测功能入侵检测的主要功能包括以下几个方面。对网络流量的跟踪与分析功能。对已知攻击特征的识别功能。对异常行为的分析、统计与响应功能。特征库的在线和离线升级功能。数据文件的完整性检查功能。自定义的响应功能。系统漏洞的预报警功能。IDS探测器集中管理功能。/109.1.2入侵检测功能其工作原理如下:(1) 信息收集信息的来源一般来自以下四个方面。系统和网络日志文件。目录和文件中的不期望的改变。程序执行中的不期望行为。物理形式的入侵信息。(2) 信息分析(3) 响应/119.1.3入侵检测系统分类1.根据数据来源和系统结构分类1) 基于主机的入侵检测系统HIDS2) 基于网络的入侵检测系统NIDS3) 分布式入侵检测系统DIDS/12基于主机的入侵检测系统（HIDS）主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来监测入侵。除了对审计记录和日志文件的监测外，还有对特定端口、检验系统文件和数据文件的校验和。/13优点：能确定攻击是否成功。监控粒度更细。配置灵活。用于加密的以及交换的环境。对网络流量不敏感。不需要额外的硬件。缺点：它会占用主机的资源，在服务器上产生额外的负载。缺乏平台支持，可移植性差，因而应用范围受到严重限制。基于主机的入侵检测系统（HIDS）/14基于网络的入侵检测系统（NIDS）主要用于实时监控网络关键路径的信息，它侦听网络上的所有分组来采集数据，分析可疑现象。基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在混杂模式下的网卡来实时监控并分析通过网络的所有通信业务。/15基于网络的入侵检测系统（NIDS）优点:监测速度快。隐蔽性好。视野更宽。较少的监测器。攻击者不易转移证据。操作系统无关性。可以配置在专用的机器上，不会占用被保护的设备上的任何资源。缺点：只能监视本网段的活动，精确度不高。在交换环境下难以配置。防入侵欺骗的能力较差。难以定位入侵者。/16分布式表现在两个方面：首先数据包过滤的工作由分布在各网络设备（包括联网主机）上的探测代理完成；其次探测代理认为可疑的数据包将根据其类型交给专用的分析层设备处理，这样对网络信息进行分流，既提高了检测速度，解决了检测效率问题，又增加了DIDS本身抗击拒绝服务攻击的能力。分布式入侵检测系统（DIDS）/179.1.3入侵检测系统分类2.根据检测方法分类1) 误用检测模型(MisuseDetection)2) 异常检测模型(AnomalyDetection)3.根据系统各个模块运行的分布方式分类1) 集中式入侵检测系统2) 分布式入侵检测系统/189.2入侵检测技术本节介绍误用检测、异常检测和高级检测技术。在介绍入侵检测技术的同时，也将对入侵响应技术进行介绍。/199.2.1误用检测技术误用检测对于系统事件提出的问题是：这个活动是恶意的吗？误用检测涉及对入侵指示器已知的具体行为的描述信息，然后为这些指示器过滤事件数据。其模型如图所示。/209.2.1误用检测技术基于规则的专家系统专家系统是误用检测技术中运用最多的一种方法.用专家系统对入侵进行检测,经常是针对有特征的入侵行为.所谓的规则,即是知识,不同的系统与设置具有不同的规则,将有关入侵的知识转化为if-then结构,if部分为入侵特征,then部分是系统防范措施.当其中某个或某部分条件满足时,系统就会判断为入侵行为发生.运用专家系统防范入侵行为的有效性完全取决于专家系统知识库的完备性,而建立一个完备性的知识库对于一个大型网络系统往往是很难的./219.2.1误用检测技术2.模式匹配系统模式匹配首先根据已知的入侵定义由独立的事件、事件的序列、事件临界值等通用规则组成入侵模式，然后观察能与入侵模式相匹配的事件数据，达到发现入侵的目的。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。该技术的缺点是需要不断升级以对付不断出现的黑客攻击手法,且不能监测到从未出现过的黑客攻击手段.著名的开源的snort就是采用了这种检测手段./229.2.1误用检测技术3.状态转换分析系统状态转换图是贯穿模型的图形化表示。如图所示/239.2.2异常检测技术基于异常的入侵检测方法主要来源于这样的思想：任何人的正常行为都有一定的规律，并且可以通过分析这些行为产生的日志信息总结出这些规律，而入侵行为通常和正常的行为存在严重的差异，通过检查出这些差异就可以检测出这些入侵。异常检测模型如图6-8所示。/249.2.2异常检测技术1.基于统计的异常入侵检测1) 操作模型2) 方差模型3) 多元模型马尔柯夫过程模型2.基于神经网络的入侵检测/259.2.3高级检测技术它们不一定是检测入侵的方法，有的是为解决入侵检测其他方面的问题提出的。1.免疫系统方法2.遗传算法3.数据挖掘方法4.数据融合/269.2.4入侵诱骗技术1.概念2.蜜罐技术及其基本原理1) 单机蜜罐系统2) 蜜网系统3.分布式入侵诱骗4.虚拟入侵诱骗/279.2.5入侵响应技术当IDS分析出入侵行为或可疑现象后，系统需要采取相应手段，及时做出反应，将入侵造成的损失降到最低程度。一般可以通过生成事件报警、电子邮件或短信息来通知管理员。1.入侵响应的重要性2.入侵响应系统的分类1) 通知和警报响应系统2) 人工手动响应系统3) 自动响应系统/289.2.5入侵响应技术自动响应系统结构如下图所示。/299.2.5入侵响应技术3.入侵响应方式1) 主动响应方式(1) 针对入侵行为采取必要措施(2) 重新修正配置系统(3) 设计网络陷阱以收集更为详尽的信息2) 被动响应方式(1) 警报和通知/309.3入侵检测分析入侵检测技术是一种当今非常重要的动态安全技术，如果与传统的静态安全技术共同使用，可以大大提高系统的安全防护水平。本节将介绍入侵检测的特点、缺点及其和防火墙的比较。/319.3.1入侵检测特点分析在人很少干预的情况下，能连续运行。当系统由于事故或恶意攻击而崩溃时，具有容错能力。当系统重新启动时，入侵检测系统能自动恢复自己的状态。必须能抗攻击。入侵检测系统必须能监测自己的运行，检测自身是否被修改。运行时，尽可能少地占用系统资源，以免干扰系统的正常运行。对被监控系统的安全策略，可以进行配置。必须能适应系统和用户行为的变化。如增加新的应用，或改变用户应用。当要实时监控大量主机时，系统应能进行扩展。入侵检测系统一些部件因为某些原因停止工作时，应尽量减少对其他部分的影响。系统应能允许动态配置。当系统管理员修改配置时，不需要重新启动系统。/329.3.2入侵检测与防火墙1.防火墙的局限 防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对Web服务的注入攻击等。防火墙无法发现内部网络中的攻击行为。2.入侵检测系统与防火墙的关系入侵检测系统(IntrusionDetectionSystem)是对防火墙有益的补充，入侵检测系统被认为是防火墙之后的第二道安全闸门，对网络进行检测，提供对内部攻击、外部攻击和误操作的实时监控，提供动态保护，大大提高了网络的安全性。入侵检测工作的主要特点有以下几个方面。事前警告事中防护事后取证/339.3.3入侵检测系统的缺陷1.当前入侵检测系统存在的问题和面临的挑战1) 对未知攻击的识别能力差2) 误警率高2.入侵检测系统的发展趋势1) 分布式入侵检测2) 智能化入侵检测3) 网络安全技术相结合/349.4常用入侵检测产品介绍IDS的硬件主要产品/359.4常用入侵检测系统9.4.11．绿盟科技“冰之眼”IDS/362．联想网御IDS/373．瑞星入侵检测系统RIDS-100/384．McAfeeIntruShieldIDS/399.4常用入侵检测产品介绍IDS的软件主要产品/409.4常用入侵检测产品介绍CASessionWallComputerAssociates公司的SessionWall-3，现在常称为eTrustIntrusionDetection是业界领先的功能非常强大的基于网络的入侵检测系统。1.入侵检测功能2.会话记录、拦截功能3.防止网络滥用4.活动代码和病毒防护5.与其他安全产品集成与配合6.集中管理/419.4常用入侵检测系统Snort应用一个综合的Snort系统所需软件有Windows平台的Snort、windows版本的抓包驱动WinPcap、windows版本的数据库服务器mysql、基于PHP的入侵检测数据库分析控制台ACID、用于为php服务的活动数据对象数据库adodb（Active2DataObjectsDataBaseforPHP）、Windows版本的apacheWEB服务器apache2、Windows版本的PHP脚本环境、支持php的图形库jpgraph等/42winpcapsnortMysqlAdobeApachePHPacid网络jpgraph/43上述软件可根据下列次序依次安装配置1.安装apache指定安装目录c:\ids\apache,下载apache，下载网址/httpd/binaries/win32/，运行下载好的“apache_2.0.63-win32-x86-no_ssl.msi”/44/45/46/47/48/49/50/51/52/53/54/55安装完成后，需测试按默认配置运行的网站界面，看Apache是否安装成功。打开IE浏览器，在IE地址栏打确认，如看到图9-21所示页面，表示Apache服务器已安装成功。/56/57Apache服务器安装成功后，还需配置Apache服务器，如果不配置，安装目录下的Apache2\htdocs文件夹就是网站的默认根目录，在里面放入文件就可以了。这里还是看一下配置过程。如图9-22所示，单击“开始”→“所有程序”→“ApacheHTTPServer2.0”→“ConfigureApacheServer”→“EdittheApachehttpdconfConfigurationfile”，打开配置文件/58Apache配置文件网站根目录配置/592、安装php下载php，下载网址/downloads.php，将下载的php安装文件php-5.2.8-Win32.zip右键解压缩/60查看解压缩后的文件夹C:\ids\PHP，找到“php.ini-dist”文件，将其重命名为“php.ini”，打开编辑/61/62需要说明的是，要选择加载的模块，需去掉前面的“;”，功能就是使php能够直接调用其模块，比如访问mysql，去掉“;extension=php_mysql.dll”前的“;”，就表示要加载此模块，加载的越多，占用的资源也就越多。所有的模块文件都放在php解压缩目录的“ext”之下，前面的“;”没去掉的，是因为“ext”目录下默认没有此模块，加载会提示找不到文件而出错。比如在此还没有安装mysql，所以“;extension=php_mysql.dll”前的“;”还不能去掉，安装完mysql后再加来重新配置“php.ini”文件/63如果前面配置加载了其它模块，要指明模块的位置，否则重启Apache的时候会提示“找不到指定模块”的错误。简单的方法是，直接将php安装路径、以及php安装路径下ext路径指定到windows系统路径中。在“我的电脑”上单击右键，打开对话框“属性”，选择“高级”标签，单击【环境变量】，在“系统变量”下找到“Path”变量，选择，点击“编辑”，打开编辑系统变量对话框，将“c:\ids\PHP;c:\ids\PHP\ext”加到原有值的后面，如图9-29所示，全部确定。系统路径添加好后要重启电脑才能生效，可以现在重启，也可以在所有软件安装或配置好后重启。/643．将php以module方式与Apache相结合安装php后，将php以module方式与Apache相结合，使php融入Apache，依前面讲述的方法打开Apache的配置文件，查找“LoadModule”，在找到的“LoadModule”后面添加“LoadModulephp5_modulec:/ids/PHP/php5apache2.dll”,指以module方式加载php，添加“PHPIniDir"c:/ids/PHP"”是指明php的配置文件php.ini的位置/65/66

测试结合是否成功。在C:\ids\Apache\Apache2\htdocs文件夹下编写test.php文件，内容为<?php

phpinfo();

?>。打开浏览器输入http://lcoalhsot/test.php，如果浏览到了php的信息则说明一切正常/67/684．安装winpcap在浏览器中输入/install/bin/WinPcap_4_0_2.exe，下载WinPcap_4_0_2.exe文件。双击开始安装界面安装完后，采取默认值即可。/695．安装snort下载“Snort_2_8_3_1_Installer.exe”文件，下载网址为/dl/binaries/win32。双击“Snort_2_8_3_1_Installer.exe”，打开snort认证许可界面，指定安装路径为c:\ids\snort文件夹/70/71图9-42snort安装成功界面测试snort安装是否正确。运行“cmd“命令，打开cmd窗口，进入C:\ids\snort\snort\bin路径，执行“snort.exe

–W”命令，如果安装snort成功会出现一个可爱的小猪/72/736．安装mysql在网站/Downloads可下载mysql，在此下载的mysql指定路径为“mysql-5.0.22-win32.zip”，打开下载的mysql安装文件“mysql-5.0.22-win32.zip”，双击解压缩，运行“setup.exe”/74/75/76/77/78/79/80/81软件安装完成后，出现上界面，它提供了一个很好的功能，mysql配置向导，不用自己手动配置my.ini，这为很多非专业人士提供了方便。将“ConfiguretheMysqlServernow”勾选，点【Finish】结束软件的安装同时启动mysql配置向导/82/83/84/85/86/87/88/89/90/91/92/93/94设置完毕后，会有图9-62界面出现，按【Finish】结束mysql的安装与配置。如果不能“Startservice”，先检查以前安装的mysql服务器是否彻底卸掉；如果确信在本次数据库安装前，上一次安装的数据库已卸载，再检查之前的密码是否有修改，如果依然有问题，将mysql安装目录下的data文件夹备份，然后彻底删除数据库，重新安装，重新安装后将安装生成的data文件夹删除，备份的data文件夹移回来，再重启mysql服务。/957．与Apache及php相结合前面已讲过，Apache与php的结合，mysql与Apache及php相结合，基本是相似的。在php安装目录下，找到先前重命名并编辑过的php.ini，把“;extension=php_mysql.dll”前的“;”去掉，加载mysql模块。保存，关闭。/968．创建snort数据库的表复制c:\ids\snort\schames文件夹下的create_mysql文件到c:\ids\mysql\bin文件夹下。执行“开始”→“程序”→“MySQL”→“MySQLServer5.0”→“MySQLCommmandLineClient”，打开mysql的客户端图9-63打开mysql的客户端执行如下命令：Create

database

snort;Create

database

snort_archive;Use

snort;Source

create_mysql;Use

snort_archive;Source

create_mysql;Grant

all

on

*.*

to

“root”@”localhost”/979.安装adodb下载

adodb504.gz，在浏览器地址中输入/sourceforge/adodb/adodb504.tgz即可提示下载，把下载的adodb504.gz解压缩到C:\ids\PHP\adodb5文件夹下。/98

10．安装jgraph下载jpgraph，下载地址http://www.aditus.nu/jpgraph/jpdownload.php，解压缩jpgraph到c:\ids\PHP\jpgraph文件夹下。/9911．安装acid下载acid，下载地址/，解压缩acid到C:\ids\PHP\jpgraph-1.26文件夹下。在C:\ids\Apache\Apache2\htdocs\acid目录下，打开acid_conf.php文件，修改acid_conf.php文件为以下内容，如图9-65所示：