第5讲 入侵检测技术与Snort

第5讲入侵检测技术与Snort5.1入侵检测原理5.2入侵检测系统的功能结构5.3入侵检测系统的实现5.4Snort5.1入侵检测原理5.1.1入侵、入侵检测与入侵检测系统5.1.2入侵检测原理5.1.1入侵、入侵检测与入侵检测系统入侵检测(IntrusionDetection,ID)就是对入侵行为的发觉，就是检测对一个网络或系统未经授权的使用或攻击。作为一种积极的安全防护技术，入侵检测提供了对内部攻击、外部攻击和误操作的实时保护，被认为是防火墙后面的第二道安全防线。入侵是一个广义的概念，不仅包括发起攻击的人取得超出合法权限的行为，也包括收集漏洞信息，造成拒绝访问等对系统造成危害的行为。入侵检测系统(IntrusionDetectionSystem,IDS)是进行入侵检测的软件和硬件的组合。具体而言，入侵检测系统的主要功能：监视并分析用户和系统的行为；审计系统配置和漏洞；评估敏感系统和数据的完整性；识别攻击行为、对异常行为进行统计；自动收集与系统相关的补丁；审计、识别、跟踪违反安全法规的行为；使用诱骗服务器记录黑客行为；……5.1.2入侵检测原理1.实时入侵检测和事后入侵检测当前操作入侵检测攻击识别模块攻击处理模块是攻击否？监测NY历史记录入侵监测攻击处理模块攻击识别模块是攻击否？返回NY事后入侵检测的过程实时入侵检测过程

入侵检测系统的优点：提高了信息系统安全体系其他部分的完整性；提高了系统的监察能力；可以跟踪用户从进入到退出的所有活动或影响；能够识别并报告数据文件的改动；可以发现系统配置的错误，并能在必要时予以改正；可以识别特定类型的攻击，并进行报警，作出防御响应；可以使管理人员最新的版本升级添加到程序中；允许非专业人员从事系统安全工作；可以为信息系统安全提供指导。……

入侵检测系统的局限：在无人干预的情形下，无法执行对攻击的检测；无法感知组织（公司）安全策略的内容；不能弥补网络协议的漏洞；不能弥补系统提供信息的质量或完整性问题；不能分析网络繁忙时的所有事物；不能总是对数据包级的攻击进行处理；……5.2入侵检测系统的功能结构5.2.1入侵检测系统的通用模型5.2.2信息收集模块5.2.3数据分析模块5.2.4入侵检测系统的特征库5.2.5入侵响应模块5.2.1入侵检测系统的通用模型入侵检测是防火墙的合理补充，帮助系统对付来自外部或内部的攻击，扩展了系统管理员的安全管理能力(如安全审计、监视、攻击识别及其响应)，提高了信息安全基础结构的完整性。入侵检测系统的主要工作就是从信息系统的若干关键点上收集信息，然后分析这些信息，用来得到网络中有无违反安全策略的行为和遭到袭击的迹象，其通用模型如下图所示：数据收集数据分析结果处理数据数据事件结果5.2.2信息收集模块1.收集的数据内容①主机和网络日志文件主机和网络日志文件记录了各种行为类型，包含了发生在主机和网络上的不寻常和不期望活动的证据，留下黑客的踪迹，通过查看日志文件，能发现成功的入侵或入侵企图，并很快启动响应的应急响应程序②目录和文件中不期望的改变目录和文件中不期望的改变，特别是那些正常情况下限制访问的对象，往往就是入侵产生的信号③程序执行中的不期望行为④物理形式的入侵信息2.入侵检测系统的数据收集机制准确性、可靠性和效率是入侵检测系统数据收集机制的基本指标。①基于主机的数据收集和基于网络的数据收集基于主机的IDS在每台要保护的主机后台运行一个代理程序，检测主机运行日志中记录的未经授权的可疑行径，检测正在运行的进程是否合法并及时作出响应。基于网络的IDS在连接过程中监视特定网段的数据流，查找每一数据包内隐藏的恶意入侵，对发现的入侵作出及时响应。如下图所示，基于网络的IDS使用网络引擎执行监控任务。网络引擎所处的位置决定了所监控的网段：网络引擎放在防火墙内，可以监测渗透过防火墙的攻击；配置在防火墙外的非军事区，可以监测对防火墙的攻击；配置在内部网络的各临界网段，可以监测内部的攻击。子网1子网2子网3控制台防火墙Web

服务器域名

服务器

Internet网络引擎内部网如下图所示，控制台用来监控全网络的网络引擎。为了防止假扮控制台入侵或拦截数据，在控制台与网络引起之间应创建安全通道。基于网络的IDS主要用于实时监控网络关键路径，隐蔽性好，侦测速度快，占用资源少，且可用单独的计算机实现，不增加主机负担；但难于发现所有的数据包，对加密环境无能为力②分布式与集中式数据收集机制单纯使用基于主机的入侵检测或基于网络的入侵检测都会造成主动防御体系的不全面，因它们具有互补性，故将这种两种方式结合起来，无缝部署在网络中，就能构建综合两者优势的主动防御体系，既可以发现网段中的攻击信息，又可以从系统日志中发现异常情况。分布式IDS收集的数据来自一些固定位置，而与受监视的网元数量无关；集中式IDS收集的信息来自一些与受监视的网元数量具有一定比例关系的位置③直接监控和间接监控IDS从它所监控的对象处直接获得数据，称为直接监控；反之，如果IDS依赖一个单独的进程或工具获得数据，则称为间接监控。就检测入侵行为而言，直接监控要优于间接监控。④外部探测器和内部探测器5.2.3数据分析模块数据分析是IDS的核心，它的功能就是对从数据源提供的系统运行状态和活动记录进行同步、整理、组织、分类以及各种类型的细致分析，提取其中包含的系统活动特征或模式，用于对正常和异常行为的判断。1.异常发现技术用在基于异常检测的IDS中。在这类系统中，观测到的不是已知的入侵行为，而是所监视通信系统中的异常现象。如果建立了系统的正常行为轨迹，则在理论上就可以把所有与正常轨迹不同的系统状态视为可疑企图。由于正常情况具有一定的范围，因此正确选择异常阀值或特征，决定何种程度才是异常，是异常发现技术的关键。异常检测只能检测出那些与正常过程具有较大偏差的行为。由于对各种网络环境的适应性较弱，且缺乏精确的判定准则，异常检测可能出现虚报现象。类型方法系统名称自学习型非时序规则建模Wisdom&Sense描述统计IDES、NIDES、EMERRALD、JiNao、Haystack时序人工神经网络Hyperview可编程型描述统计简单统计MIDAS、NADIR、Haystack基于简单规则NSM门限Computer-watch默认否定状态序列建模DPEM、Janus、Bro如下图所示，异常发现技术种类很多。其中，自学习系统通过学习事例构建正常行为模型，可分为时序和非时序两种；可编程系统需要通过程序测定异常事件，让用户知道哪些是足以破坏系统安全的异常行为，可分为描述统计和默认否定两类。2.模式发现技术模式发现又称为特征检测或滥用检测，基于已知系统缺陷和入侵模式，事先定义一些非法行为，然后将观察现象与之比较作出判断。这种技术可以准确检测具有某些特征的攻击，但由于过度依赖事先定义好的安全策略，而无法检测系统未知的攻击行为，因而可能产生漏报。模式发现常用技术：①状态建模：将入侵行为表示成许多不同的状态。如果在观察某个可疑行为期间，所有的状态都存在，则判定为恶意入侵。状态模型本质上是时间序列模型，可细分为状态转换和Petri网，前者将入侵行为的所有状态形成一个简单的遍历链；后者所有的状态构成一个更广义的树形结构的Petri网②串匹配：通过对系统之间传输的或系统自身产生的文本进行子串匹配③专家系统：可在给定入侵行为描述规则的情况下，对系统的安全状态进行推理。一般，专家系统检测能力强大，灵活性高，但计算成本较高④基于简单规则：类似专家系统，相对简单，执行速度快3.混合检测既分析系统的正常行为，同时还观察可疑的入侵行为5.2.4入侵检测系统的特征库IDS中的特征就是指用于判别通信信息种类的样板数据，通常有以下多种典型情况：来自保留IP地址的连接企图：可通过检查IP报头（IPheader）的来源地址识别。带有非法TCP标志联合物的数据包：可通过TCP报头中的标志集与已知正确和错误标记联合物的不同点来识别。含有特殊病毒信息的Email：可通过对比每封Email的主题信息和病态Email的主题信息来识别，或者通过搜索特定名字的外延来识别。查询负载中的DNS缓冲区溢出企图：可通过解析DNS域及检查每个域的长度来识别。另外一个方法是在负载中搜索“壳代码利用”（exploitshellcode）的序列代码组合。对POP3服务器大量发出同一命令而导致DoS攻击：通过跟踪记录某个命令连续发出的次数，看看是否超过了预设上限，而发出报警信息。未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击：通过创建具备状态跟踪的特征样板以监视成功登录的FTP对话，发现未经验证却发命令的入侵企图。5.2.5入侵响应模块一个好的IDS应该让用户能够裁剪定制其响应机制，以符合特定的需求环境。1.主动响应系统自动或以用户设置的方式阻断攻击过程或以其他方式影响攻击过程，通常可以选择的措施有：针对入侵者采取的措施；修正系统；收集更详细的信息。2.被动响应在被动响应系统中，系统只报告和记录发生的事件。5.3入侵检测系统的实现5.3.1入侵检测系统的设置5.3.2入侵检测器的部署5.3.3报警策略5.3.1入侵检测系统的设置网络安全需要各个安全设备的协同工作和正确设置。由于入侵检测系统位于网络体系中的高层，高层应用的多样性导致了入侵检测系统分析的复杂性和对计算资源的高需求。这种情况下，对入侵检测设备进行合理的优化设置，可以使IDS更有效运行。如右图所示，IDS的设置需要经