ch11入侵检测技术

第7章入侵检测技术7.1入侵检测系统概述(重点)7.2入侵检测一般步骤(重点)7.3入侵检测系统分类(重点)7.4入侵检测系统关键技术7.5入侵检测系统模型介绍7.6入侵检测系统标准化7.7入侵检测系统Snort7.8入侵检测产品选购

第十五讲作业p202(1)在网络安全中,什么是入侵检测?入侵检测的一般步骤是什么?2.p202(2)根据系统检测的对象分类,入侵检测有哪些类型?3.p202(4)目前,入侵检测系统有哪些关键技术?本章教学要求：（1）掌握入侵检测系统概念；（2）掌握入侵检测系统分类；（3）了解入侵检测系统关键技术；（4）知道入侵检测系统模型；（5）知道入侵检测系统标准化；（6）了解入侵检测软件Snort特点和功能；（7）知道入侵检测产品选购。

7.1入侵检测系统概述1．什么是入侵检测

入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中若干关键点收集信息，并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和系统被攻击的征兆。(作业1.1)入侵检测的目标是识别系统内部人员和外部入侵者的非法使用、滥用计算机系统的行为。2.入侵检测系统功能

入侵检测系统能主动发现网络中正在进行的针对被保护目标的恶意滥用或非法入侵，并能采取相应的措施及时中止这些危害，如提示报警、阻断连接、通知网管等。其主要功能是监测并分析用户和系统的活动、核查系统配置中的安全漏洞、评估系统关键资源与数据文件的完整性、识别现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统日志的管理维护。

7.2入侵检测一般步骤(作业1.2)1．入侵数据提取主要是为系统提供数据，提取的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测数据提取可来自以下四个方面。（1）系统和网络日志；（2）目录和文件中的的改变；（3）程序执行中的不期望行为；（4）物理形式的入侵信息。

7.3入侵检测系统分类7.3.1根据系统所检测的对象分类(作业2)1.基于主机的入侵检测系统（HIDS）基于主机的IDS安装在被保护的主机上，通常用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵行为。基于主机的IDS系统的优点是能够校验出攻击是成功还是失败；可使特定的系统行为受到严密监控等。缺点是它会占用主机的资源，要依赖操作系统等。

2.基于网络的入侵检测系统（NIDS）基于网络的IDS一般安装在需要保护的网段中，利用网络侦听技术实时监视网段中传输的各种数据包，并对这些数据包的内容、源地址、目的地址等进行分析和检测。如果发现入侵行为或可疑事件，入侵检测系统就会发出警报甚至切断网络连接。基于网络的IDS的优点是购买成本低，对识别出来的攻击能进行实时检测和响应，等。其主要缺点在于防欺骗能力较差、交互环境下难以配置等。3．基于应用的入侵检测系统（AIDS）

AIDS实际上是HIDS的一个子集,它主要使用传感器在应用层收集信息.它监控在某个软件应用程序中发生的活动，信息来源主要是应用程序的日志，其监视的内容更为具体。7.3.2根据数据分析方法分类1．异常检测异常检测是假定所有的入侵行为都与正常行为不同。先定义一组系统在正常条件下的资源与设备利用情况的数值，建立正常活动的模型，然后再将系统在运行时的此类数值与事先定义的原有正常指标相比较，从而得出是否有攻击现象发生。2．误用检测

误用检测是假定所有入侵行为、手段及其变种都能够表达为一种模式或特征。系统的目标就是检测主体活动是否符合这些模式，因此又称为特征检测。7.3.3根据体系结构分类根据IDS的系统结构，可分为集中式、等级式和分布式三种。1．集中式入侵检测系统集中式IDS可能有多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器。审计程序将当地收集到的数据发送给中央服务器进行分析处理。2．等级式入侵检测系统等级式IDS中，定义了若干个分等级的监控区域，每个IDS负责一个区域，每一级IDS只负责所监控区的分析，然后将当地的分析结果传送给上一级IDS。3．分布式入侵检测系统分布式IDS将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各负其职，负责监控当地主机的某些活动。

7.4入侵检测系统关键技术(作业3)1．模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。模式匹配方法是入侵检测领域中应用最为广泛的检测手段和机制之一，通常用于误用检测。2．统计分析统计分析方法首先给用户、文件、目录和设备等系统对象创建一个统计描述。统计正常使用时的一些测量属性，测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。常用的入侵检测统计分析模型有：（1）操作模型：（2）方差：（3）多元模型：（4）马尔可夫过程模型（5）时间序列分析

3．专家系统专家系统是一种以知识为基础，根据人类专家的知识和经验进行推理，解决需要专家才能解决的复杂问题的计算机程序系统。用专家系统对入侵进行检测主要是针对误用检测，是针对有特征入侵的行为。4．神经网络神经网络具有自适应、自组织、自学习的能力，可以处理一些环境信息复杂、背景知识不清楚的问题。

5．数据挖掘数据挖掘是从大量的数据中抽取出潜在的、有价值的知识（即模型或规则）的过程。对于入侵检测系统来说，也需要从大量的数据中提取入侵特征。6．协议分析协议分析是利用网络协议的高度规则性快速探测攻击的存在。协议分析技术对协议进行解码，减少了入侵检测系统需要分析的数据量。7.移动代理移动Agent指一个在网络结点间自主迁移的软实体,特别适合于大规模信息处理和动态代理.在IDS的信息采集和处理中采用移动代理,既能充分发挥移动代理的特长,又能大大提高入侵检测系统的性能和整体功能.

7.7入侵检测系统SnortSnort是一个免费的、开放源代码的基于网络的入侵检测系统，具有很好的扩展性和可移植性。1．Snort主要功能Snort主要功能有三种：数据包嗅探器、数据包记录器、网络入侵检测。2．Snort特点（1）Snort是一个跨平台、轻量级的网络入侵检测软件。（2）Snort采用基于规则的网络信息搜索机制，对数据包进行内容的模式匹配，从中发现入侵和探测行为。（3）Snort具有实时数据流量分析和监测IP网络数据包的能力，能够进行协议分析，对内容进行搜索/匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。它还可以用来截获网络中的数据包并记录数据包日志。（4）Snort的报警机制丰富。（5）Snort的日志格式既可以是二进制格式，也可以解码成ASCII字符形式，便于用户检查。（6）Snort使用一种简单的规则描述语言，能够很快对新的网络攻击作出反应。（7）Snort支持插件。可以使用具有特定功能的报告、检测子系统插件对其功能进行扩展。3．Snort组成（1）数据包解码器。数据包解码器主要是对各种协议栈上的数据包进行解析、预处理，以便提交给检测引擎进行规则匹配。（2）检测引擎。Snort用一个二维链表存储它的检测规则，一维称为规则头，另一维称为规则选项。规则匹配查找采用递归的方法进行，检测机制只针对当前已经建立的链表选项进行检测。（3）日志子系统。Snort可供选择的日志形式有三种：文本形式、二进制形式、关闭日志服务。（4）报警子系统。报警形式有五种：报警信息可发往系统日志，用文本形式记录到报警文件中去，用二进制形式记录到报警文件中去，通过Samba发送WinPopup信息，第五种方法就是关闭报警，什么也不做。

7.8入侵检测产品选购1．根据单位需求。2．产品通过权威机构认证。3．厂商的技术支持和服务。4．产品系统结构要合理。5．自定义异常事件。6．检测规则库要完整。。7．检测能力强大。8．产品实时监控性能。9．数据报表要灵活直观。10．产品实时监控性能11．漏报与误报。12．安装、配置以及管理的方便性。13．及时性。14．响应能力。15．负荷能力。16．灵活的日志报告。17．产品的抗攻击性。

9.3Windows安全配置基于NT技术的Windows操作系统自身带有强大的安全功能和选项，只要合理的配置它们，windows操作系统将会是一个比较安全的操作系统。据说，有90％的恶意攻击都是利用Windows操作系统安全配置不当造成的。1．使用NTFS分区格式NTFS文件系统具备高强度的访问控制机制，保证用户不能访问未经授权的文件和目录，能够有效地保护数据不被泄漏与篡改。同时NTFS文件系统还具有查找文件速度快，产生文件碎片少，节约磁盘空间等优点。2．使用不同的分区安装操作系统时，应用程序不要和操作系统放在同一个分区中，至少要在硬盘上留出两个分区，一个用来安装操作系统和重要的日志文件，另一个用来安装应用程序，以免攻击者利用应用程序的漏洞导致系统文件的泄漏与损坏。3．系统版本的选择Windows有各种语言的版本，可以选择英文版或简体中文版。4．安装顺序在本地系统用光盘等安装，接着是安装各种应用程序，最后再安装最新系统补丁。5．及时安装最新补丁程序要经常访问微软和一些安全站点，下载最新的SP（ServicePack）和漏洞补丁（HotFixes）程序，这是维护系统安全最简单也是最有效的方法。微软公司的产品补丁分为2类：SP和HotFixes。SP是集合一段时间内发布的HotFixes的所有补丁，也称大补丁，一般命名为SP1、SP2等，HotFixes是小补丁，是为解决微软网站上最新安全告示中的系统漏洞而发布的。6．组件的定制最好只安装你确实需要的服务。在不确定的情况下，选择是不安装，需要时再补装也不晚。根据安全原则，最少的服务＋最小的权限＝最大的安全。

7．启动设置一旦系统安装完毕，除了硬盘启动外，软盘、光盘、甚至是USB闪存的启动都可能带来安全的问题。可以在BIOS设置中禁止除硬盘以外的任何设备的启动。同时，要在BIOS中设置开机密码，开机密码是计算机安全的第一道防线。8．限制用户数量去掉所有测试用户、共享用户和普通部门账号等，要知道，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。

9．创建2个管理员用帐号创建一个一般权限帐号用来处理一些日常事物，另一个拥有Administrators权限的帐户只在需要的时候使用。要尽量减少Administrators登陆的次数和时间，因为，只要登陆系统后，密码就存储在WinLogon中，非法用户入侵计算机时就可以得到登陆用户密码。10．使用文件加密系统EFSWindows强大的加密系统能够给磁盘、文件夹（包括temp文件夹）和文件加上一层安全保护，这样可以防止别人把你的硬盘上的数据读出。

11．目录和文件权限仅给用户真正需要的权限，权限的最小化原则是安全的重要保障。12．关闭默认共享操作系统安装后，系统会创建一些默认的共享，如共享驱动器、共享文件和共享打印等，这意味着进入网络的用户都可以共享和获得这些资源。因此要根据应用需要，关闭不需要的共享服务。

13．禁用Guest账号Guest帐户，即所谓的来宾帐户，它可以访问计算机，虽然受到限制，但也为为黑客入侵打开了方便之门，如果不需要用到Guest帐户，最好禁用它。14．清除转储文件和交换文件转储文件（DumpFile）是在系统崩溃和蓝屏时，会把内存中的数据保存到转储文件，以帮助人们分析系统遇到的问题，但对一般用户来说是没有用的。另一方面，转储文件可能泄漏许多敏感数据。交换文件（即页面文件）也存在同样问题。

15．使用安全密码Windows允许设置口令的长度可达127位，要实现最大的保护工作，就要为“Administrator”帐号创建至少8位长度的口令。开启Windows账号安全和密码策略，可以使设置的密码更加安全。16．随时锁定计算机如果在使用计算机过程中，需要短暂离开计算机的话，可以通过使用CTRL+ALT+DEL组合键或屏幕保护程序来达到锁定屏幕的目的。

17.关闭不必要的端口我们知道，Windows中每一项服务都对应相应的端口，而黑客大多是通过端口进行入侵的，关闭一些端口可以防止黑客的入侵。18．关闭不必要的服务为了方便用户，Windows默