信息安全原理与技术 课件 ch10-入侵检测

信息安全原理与技术第3版第10章入侵检测主要知识点：

--入侵检测概述

--入侵检测系统分类

--入侵检测系统分析技术

--入侵防御系统

2024/4/5Ch10-入侵检测210.1入侵检测概述安全研究的历史给了我们一个有价值的教训——没有100%的安全方案，无论多么安全的方案都可能存在这样或那样的漏洞，不管在网络中加入多少入侵预防措施（如加密、防火墙和认证），通常还是会有一些被人利用而入侵的薄弱环节。2024/4/5Ch10-入侵检测3IDS的用途攻击工具攻击命令攻击机制目标网络网络漏洞目标系统系统漏洞攻击者漏洞扫描评估加固攻击过程实时入侵检测2024/4/5Ch10-入侵检测4入侵一些试图损害一个资源的完整性、有效性的行为集合。入侵检测（IntrusionDetection）

是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。10.1.1入侵检测基本概念2024/4/5Ch10-入侵检测5入侵检测系统（IDS）的主要任务监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

2024/4/5Ch10-入侵检测6入侵检测系统的三个组成部分提供事件记录流的信息资源发现入侵事件的分析引擎对分析引擎的输出做出反应的响应组件

2024/4/5Ch10-入侵检测710.1.2入侵检测系统基本模型IDES模型IDM模型公共入侵检测框架CIDF

2024/4/5Ch10-入侵检测8IDES模型主体安全监控器对象审计数据系统轮廓攻击状态添加新规则实时信息规则匹配2024/4/5Ch10-入侵检测9改进的IDES模型审计数据源模式匹配器轮廓特征引擎异常检测器策略规则警告/报告产生器2024/4/5Ch10-入侵检测10层次化入侵检测模型（IDM）层次名称解释说明6安全状态（securitystate）网络整体安全情况5威胁（thread）动作产生的结果种类4上下文（context）事件发生所处的环境3主体（subject）事件的发起者2事件（event）日志记录特征性质和表示动作描述1数据（data）操作系统或网络访问日志记录2024/4/5Ch10-入侵检测11公共入侵检测框架CIDF原始事件原始事件原始事件存储事件高级事件响应事件响应单元事件分析器事件数据库事件产生器2024/4/5Ch10-入侵检测1210.2入侵检测系统分类根据数据源分类基于主机的入侵检测系统基于网络的入侵检测系统分布式入侵检测系统

根据分析引擎分类

异常入侵检测误用入侵检测

2024/4/5Ch10-入侵检测13从响应的角度分类报警响应手工响应主动响应

根据检测速度分类

实时检测离线检测

2024/4/5Ch10-入侵检测1410.2.1基于主机的入侵检测系统（HIDS）数据来源操作系统审计记录（由专门的操作系统机制产生的系统事件记录）系统日志（由系统程序产生的用于记录系统或应用程序事件的文件，通常以文本文件的方式存放）基于应用的日志信息基于目标的对象信息

2024/4/5Ch10-入侵检测15基于主机的IDS的优点能更准确地确定出攻击是否成功。能监视特定的系统活动。基于主机的IDS可以检测到那些基于网络的系统察觉不到的攻击。由于基于主机的IDS系统安装在企业的各种主机上，它们更加适合于交换的环境和加密的环境。检测和响应速度接近实时。花费更加低廉。2024/4/5Ch10-入侵检测1610.2.2基于网络的入侵检测系统（NIDS）数据来源

利用网卡的杂收模式，获得经过本网段的所有数据信息，从而实现获取网络数据的功能。2024/4/5Ch10-入侵检测17基于网络的IDS的优点能检测基于主机的系统漏掉的攻击。攻击者不易转移证据。实时检测和响应。可检测未成功的攻击和不良意图。2024/4/5Ch10-入侵检测1810.2.3分布式入侵检测系统（DIDS）传统的IDS普遍存在的问题系统的弱点或漏洞分散在网络中各个主机上，这些弱点有可能被入侵者一起用来攻击网络，而仅依靠HIDS或NIDS不能发现更多的入侵行为。现在的入侵行为表现出相互协作入侵的特点，例如分布式拒绝服务攻击（DDoS）。入侵检测所需要的数据来源分散化，收集原始的检测数据变得困难，如交换型网络使得监听网络数据包受到限制。由于网络传输速度加快，网络流量不断增大，所以集中处理原始数据的方式往往造成检测的实时性和有效性大打折扣。

2024/4/5Ch10-入侵检测19DIDS的分布性数据包过滤的工作由分布在各网络设备（包括联网主机）上的探测代理完成；探测代理认为可疑的数据包将根据其类型交给专用的分析层设备处理。

2024/4/5Ch10-入侵检测20DIDS结构框图

DIDSDIDS控制器主机代理主机事件发生器主机监视器LAN代理LAN事件发生器LAN监视器2024/4/5Ch10-入侵检测2110.3入侵检测系统分析技术异常检测技术误用检测技术2024/4/5Ch10-入侵检测2210.3.1异常检测技术也称为基于行为的检测首先建立起用户的正常使用模式，即知识库标识出不符合正常模式的行为活动2024/4/5Ch10-入侵检测23常用的异常检测方法统计异常检测基于神经网络的异常检测基于数据挖掘的异常检测2024/4/5Ch10-入侵检测2410.3.2误用检测技术也称为基于特征的检测建立起已知攻击的知识库判别当前行为活动是否符合已知的攻击模式2024/4/5Ch10-入侵检测25常用的误用检测方法基于串匹配的误用检测技术基于专家系统的误用检测技术基于状态转换分析的误用检测技术基于着色Petri网的误用检测技术其他技术，如生物免疫、基于代理等2024/4/5Ch10-入侵检测2610.4入侵防御系统入侵防御系统基本概念入侵防御系统的分类

入侵防御系统的原理

入侵防御系统的技术特征入侵防御系统的发展

2024/4/5Ch10-入侵检测2710.4.1入侵防御系统基本概念入侵防御系统（IntrusionPreventionSystem，IPS）是一种能够检测已知和未知攻击并且成功阻止攻击的软硬件系统，是网络安全领域为弥补防火墙及入侵检测系统(IDS)的不足而新发展起来的一种计算机信息安全技术。IPS与IDS最主要的不同就是IPS能够提供主动性的防御，在遇到攻击时能够检测并尝试阻止入侵，而IDS仅仅是检测到攻击。2024/4/5Ch10-入侵检测28防火墙的缺陷防火墙能阻止不符合安全策略的数据流通过，但对于入侵行为却不能阻止。传统防火墙能检测网络层和传输层的数据，不能检测应用层的内容，且多采用数据包过滤检测技术，不会针对每一个字节进行细致检查，因此漏掉一些攻击行为。一般防火墙被串行部署在网络进出口处，检查进出的所有数据流，但对于网络流量较大的网络而言，巨大的处理需求往往使得防火墙成为网络的堵塞点。2024/4/5Ch10-入侵检测29IDS的缺陷IDS的作用是通过监视网络和系统中的数据流，检测是否存在有违反安全策略的行为或企图，若有则发出警报通知管理员采取措施。IDS最大的缺陷在于误报与漏报现象严重，用户往往淹没在海量的报警信息中，而漏掉真正的报警。作为旁路并联在网络上的IDS设备，无法对通过防火墙的深层攻击进行实时阻断。2024/4/5Ch10-入侵检测30IPS的起源将IDS的深层分析能力和防火墙的在线部署功能结合起来，形成一个新的安全产品的想法被提出来，这就是IPS的起源。2000年，NetWorkICE公司首次提出了IPS这个概念，此后推出了BlackICEGuard。它与传统IDS最大的区别是串行部署并能够直接分析网络数据并实时对恶意数据进行丢弃处理。从2006年起，大量的国外安全厂商纷纷推出相应的IPS产品，IPS开始逐渐被人们关注。2024/4/5Ch10-入侵检测31

IPS与IDS的区别IPS在一定程度上像一个IDS和防火墙的混合体，或者可以与已有的防火墙一起发挥作用。IPS与IDS都基于检测技术，两者之间的区别主要在以下几点：（1）IDS的目的是提供监视、审计、取证和对网络活动的报告。IPS的目的是为资产、资源、数据和网络提供保护。IPS则能够提供主动性的防御，在遇到攻击时能够检测并尝试阻止入侵，而IDS仅仅是检测到攻击。（2）IPS串联在网络上，利用了OSI参考模型的所有七层信息，对攻击进行过滤，提供了一种主动的、积极的入侵防范。而IDS只是旁路并联安装，检测入侵行为。2024/4/5Ch10-入侵检测32（3）IDS使用非确定性的方法从当前和历史的通信流中查找威胁或者潜在的威胁，包括执行通信流、通信模式和异常活动的统计分析。

IPS必须是确定性的，它所执行的所有丢弃通信包的行为必须是正确的。IPS被认为是一直在网络上处于工作状态，执行访问控制的决定。此外，IPS与传统的IDS还有两点关键区别：自动阻截和在线运行，两者缺一不可。2024/4/5Ch10-入侵检测3310.4.2入侵防御系统的分类IPS系统根据部署方式可分为3类。基于主机的入侵防御系统基于网络的入侵防御系统应用入侵防御系统2024/4/5Ch10-入侵检测34（1）基于主机的入侵防御系统(Host-basedIntrusionPreventionSystem，HIPS)HIPS通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序。HIPS能够保护服务器的安全弱点不被不法分子所利用，因此它们在防范蠕虫病毒的攻击中起到了很好的防御作用。HIPS可以根据自定义的安全策略以及分析学习机制来阻断对服务器/主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为，整体提升主机的安全水平。2024/4/5Ch10-入侵检测35（2）基于网络的入侵防御系统(Network-basedIntrusionPreventionSystem，NIPS)

NIPS采用在线连接方式检测流经的网络流量，一旦辨识出入侵行为，就可以去除整个网络会话，而不仅仅是复位会话。由于实时在线，NIPS需要具备很高的性能，以免成为网络的瓶颈，因此NIPS通常被设计成类似于交换机的网络设备，提供线速吞吐速率以及多个网络端口。NIPS基于特定的硬件平台，通常可以分为三类：一类是网络处理器(网络芯片)，一类是专用的FPGA编程芯片，第三类是专用的ASIC芯片。

2024/4/5Ch10-入侵检测36（3）应用入侵防御系统(ApplicationIntrusionPreventionSystem，AIPS)

AIPS是NIPS的一个特例，它把基于主机的入侵防御扩展成为位于应用服务器之前的网络设备。AIPS被设计成一种高性能的设备，配置在应用数据的网络链路上，以确保用户遵守设定好的安全策略，保护服务器的安全。2024/4/5Ch10-入侵检测3710.4.3入侵防御系统原理IPS与IDS在检测方面的原理相同。IPS首先由信息采集模块实施信息收集，内容包括系统、网络、数据及用户活动的状态和行为；然后利用模式匹配、协议分析、统计分析和完整性分析等技术手段，由信号分析模块对收集到的有关系统、网络、数据及用户活动的状态和行为等信息进行分析；最后由反应模块对分析结果做出相应的反应。2024/4/5Ch10-入侵检测38IPS工作原理IPS直接嵌入到网络流量中，通过一个网络端口接收来自外部系统的流量，数据流经过IPS处理引擎进行大规模并行深层检测，检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。IPS的主要工作依靠IPS引擎完成，IPS数据包处理引擎是专业化定制的集成电路，里面包含许多种类的过滤器，每种过滤器采用并行处理检测和协议重组分析的工作方式，分析相对类型的数据包，深层检查数据包的内容。其工作原理如图10.6所示。2024/4/5Ch10-入侵检测39图10.6IPS工作原理2024/4/5Ch10-入侵检测40当数据流进入IPS引擎之后：（1）首先对每个数据包进行逐一字节地检查，异常的数据包被丢弃，通过检查的数据包依据报头信息，如源IP地址、目的IP地址、端口号和应用域等进行分类，并记录数据流的状态信息。（2）根据数据包的分类，相关的过滤器进行筛选，若任何数据包符合匹配条件，则标志为命中。