网络安全导论 课件 第十三章 入侵检测

1

第十三章

入侵检测2二、入侵检测讨论议题

1.入侵检测概述

2.入侵检测系统

3.入侵检测流程

4.基于主机的入侵检测技术

5.基于网络的入侵检测技术

6.入侵检测的发展趋势3

1.入侵检测概述4入侵检测的基本概念入侵检测是一种动态的监控、预防或抵御系统入侵行为的安全机制。主要通过监控网络、系统的状态、行为以及系统的使用情况，来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。入侵检测系统：进行入侵检测的软件与硬件的组合便是入侵检测系统（简称IDS）。5入侵检测的作用监控、分析用户和系统的活动审计系统的配置和弱点评估关键系统和数据文件的完整性识别攻击的活动模式对异常活动进行统计分析对操作系统进行审计跟踪管理，识别违反政策的用户活动

访问控制受保护系统内部有职权的人员

防火墙

入侵检测系统漏洞扫描系统

外部访问内部访问

监视内部人员

监视外部人员

实时监测系统定时扫描系统6入侵检测的缺点不能弥补差的认证机制如果没有人的干预，不能管理攻击调查不能知道安全策略的内容不能弥补网络协议上的弱点不能弥补系统提供质量或完整性的问题不能分析一个堵塞的网络7研究入侵检测的必要性-1在实践当中，建立完全安全系统根本是不可能的。Miller给出一份有关现今流行的操作系统和应用程序研究报告，指出软件中不可能没有缺陷。另外，设计和实现一个整体安全系统相当困难。要将所有已安装的带安全缺陷的系统转换成安全系统需要相当长的时间。如果口令是弱口令并且已经被破解，那么访问控制措施不能够阻止受到危害的授权用户的信息丢失或者破坏。静态安全措施不足以保护安全对象属性。通常，在一个系统中，担保安全特性的静态方法可能过于简单不充分，或者系统过度地限制用户。例如，静态技术未必能阻止违背安全策略造成浏览数据文件；而强制访问控制仅允许用户访问具有合适的通道的数据，这样就造成系统使用麻烦。因此，一种动态的方法如行为跟踪对检测和尽可能阻止安全突破是必要的。8研究入侵检测的必要性-2加密技术方法本身存在着一定的问题。安全系统易受内部用户滥用特权的攻击。安全访问控制等级和用户的使用效率成反比，访问控制和保护模型本身存在一定的问题。在软件工程中存在软件测试不充足、软件生命周期缩短、大型软件复杂性等难解问题，工程领域的困难复杂性，使得软件不可能没有错误，而系统软件容错恰恰被表明是安全的弱点。修补系统软件缺陷不能令人满意。由于修补系统软件缺陷，计算机系统不安全状态将持续相当长一段时间。9研究入侵检测的必要性-3基于上述几类问题的解决难度，一个实用的方法是建立比较容易实现的安全系统，同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统，现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言，系统存在被攻击的可能性。如果系统遭到攻击，只要尽可能地检测到，甚至是实时地检测到，然后采取适当的处理措施。入侵检测系统一般不是采取预防的措施以防止入侵事件的发生。入侵检测非常必要，它将有效弥补传统安全保护措施的不足。10分布式入侵检测——主机和网络IDS的集成分布式入侵检测系统（DIDS）最早试图把基于主机的方法和网络监视方法集成在一起。DIDS的最初概念是采用集中式控制技术，向DIDS中心控制器发报告。DIDS主管安全管理员用户界面专家系统通信管理器主机代理LAN代理主机事件发生器LAN事件发生器主机监视器LAN监视器112.入侵检测系统12入侵检测系统的基本模型通用入侵检测模型（Denning模型）层次化入侵检测模型（IDM）管理式入侵检测模型（SNMP-IDSM）

13通用入侵检测模型（Denning模型）基本假设:计算机安全的入侵行为可以通过检查一个系统的审计记录、从中辩识异常使用系统的入侵行为。这是一个基于规则的模式匹配系统，采用的是统计学的方法。缺点：没有包含已知系统漏洞或系统攻击方法的知识，而这些知识是非常有用的。14IDM模型这是在研究分布式IDS时提出的。将分散的原始数据转换为高层次的有关入侵和被监测环境的全部安全假设过程。将收集到的分散数据进行加工抽象和数据关联操作。IDM将分布式系统看成一台虚拟机，简化了对跨越单机的入侵行为的识别。15SNMP-IDSM模型从管理者角度考虑IDS，目的是使IDS之间能够顺利交换信息，从而实现分布式协同检测。需要一个公共语言和统一的数据表达格式（选用了SNMP为公共语言)定义了用来描述入侵事件的管理信息库MIB,并将入侵事件分为原始事件和抽象事件两层结构。采用5元组来描述攻击事件，where,when,who,what,how.16入侵检测系统的工作模式入侵检测系统的工作模式体现为以下四步骤：从系统不同环节收集数据分析信息，试图找到入侵活动的特征。自动对检测的行为作出响应。记录并报告检测过程和结果。17入侵检测系统的组成部分18入侵检测系统的分类根据目标系统的类型：基于主机（Host-Based）的入侵检测系统。通常，基于主机的入侵检测系统可监测系统、事件和操作系统下的安全记录以及系统记录。当有文件发生变化时，入侵检测系统将新的记录条目与攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警，以采取措施。基于网络（Network-Based）的入侵检测系统。基于网络的入侵检测系统使用原始网络数据包作为数据源。基于网络的入侵检测系统通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。19入侵检测系统的分类根据入侵检测系统分析的数据来源：主机系统日志原始的网络数据包应用程序的日志防火墙报警日志其它入侵检测系统的报警信息20入侵检测系统的分类根据入侵检测分析方法：基于正常行为特征的入侵检测系统：利用被监控系统正常行为的信息作为检测系统中入侵行为和异常活动的依据。基于签名的入侵检测：根据已知入侵攻击的信息（知识、模式等，称为签名）来检测系统中的入侵和攻击。21入侵检测系统的分类根据系统各个模块运行的分布方式：集中式入侵检测系统。系统的各个模块包括数据的收集与分析以及响应都集中在一台主机上运行，这种方式适用于网络环境比较简单的情况。分布式入侵检测系统。系统的各个模块分布在网络中不同的计算机、设备上，一般来说分布性主要体现在数据收集模块上，如果网络环境比较复杂、数据量比较大，那么数据分析模块也会分布，一般是按照层次性的原则进行组织的。

3.入侵检测流程入侵检测流程:入侵检测的过程入侵检测系统的数据源入侵分析的概念入侵分析的方法模型告警与响应入侵检测的过程信息收集信息分析告警与响应入侵检测系统的数据源基于主机的数据源：

系统运行状态信息系统记帐信息系统日志（Syslog）C2级安全性审计信息入侵检测系统的数据源基于网络的数据源：

SNMP信息网络通信包入侵检测系统的数据源应用程序日志文件其他入侵检测系统的报警信息其他网络设备和安全产品的信息入侵分析的概念入侵检测系统是一个复杂的数据处理系统，所涉及到的问题域中的各种关系也比较复杂。从入侵检测的角度来说，分析是指针对用户和系统活动数据进行有效的组织、整理并提取特征，以鉴别出感兴趣的行为。这种行为的鉴别可以实时进行，也可以事后分析，在很多情况下，事后的进一步分析是为了寻找行为的责任人。入侵分析的目的重要的威慑力：目标系统使用IDS进行入侵分析，对于入侵者来说具有很大的威慑力，因为这意味着攻击行为可能会被发现或被追踪。安全规划和管理：分析过程中可能会发现在系统安全规划和管理中存在的漏洞，安全管理员可以根据分析结果对系统进行重新配置，避免被攻击者用来窃取信息或破坏系统。获取入侵证据：入侵分析可以提供有关入侵行为详细的、可信的证据，这些证据可以用于事后追究入侵者的责任。基于异常行为的入侵检测方法模型模式库攻击者匹配报警基于异常行为的检测方法模式匹配方法：基于模式匹配的误用入侵检测方法是最基本的误用入侵检测方法，该方法将已知的入侵特征转换成模式，存放于模式数据库中，在检测过程中，模式匹配模型将到来的事件与入侵模式数据库中的入侵模式进行匹配，如果匹配成功，则认为有入侵行为发生。专家系统方法：基于专家系统的误用入侵检测方法是最传统、最通用的误用入侵检测方法。在诸如MIDAS、IDES、下一代IDES（NIDES）、DIDS和CMDS中都使用了这种方法。在MIDAS、IDES和NIDES中，应用的产品系统是P-BEST，该产品由AlanWhithurst设计。而DIDS和CMDS，使用的是CLIPS系统，是由美国国家航空和宇航局开发的系统。基于正常行为的入侵检测模型异常行为正常行为命令系统调用活动度量CPU使用网络连接……神经网络方法神经网络使用可适应学习技术来描述异常行为。这种非参分析技术运作在历史训练数据集上。历史训练数据集假定是不包含任何指示入侵或其它不希望的用户行为。神经网络由许多称为单元的简单处理元素组成。这些单元通过使用加权的连接相互作用。一个神经网络知识根据单元和它们权值间连接编码成网络机构。实际的学习过程是通过改变权值和加入或移去连接进行的。使用神经网络进行入侵检测的主要不足是神经网络不能为它们找到的任何异常提供任何解释。基于正常行为的检测技术总结●概率统计异常检测原理：每一个轮廓保存记录主体当前行为，并定时将当前轮廓与历史轮廓合并形成统计轮廓（更新），通过比较当前轮廓与统计轮廓来判定异常行为。优点：可应用成熟的概率统计理论缺点：①由于用户行为的复杂性，要想准确地匹配一个用户的历史行为非常困难，容易造成系统误报和漏报；

②定义入侵阈值比较困难，阈值高则误报率提高，阈值低则漏报率增高。

●神经网络异常检测原理：对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。优点：①更好地表达了变量间的非线性关系，能更好地处理原始数据的随机特征，即不需要对这些数据做任何统计假设，并且能自动学习和更新；②有较好的抗干扰能力缺点：网络拓扑结构以及各元素的权重很难确定其他检测方法免疫系统方法遗传算法基于代理的检测数据挖掘方法告警与响应在完成系统安全状况分析并确定系统所存在的问题之后，就要让人们知道这些问题的存在，在某些情况下，还要另外采取行动。在入侵检测处理过程模型中，这个阶段称之为响应期。理想的情况下，系统的这一部分应该具有丰富的响应功能特性，并且这些响应特性在针对安全管理小组中的每一位成员进行裁剪后，能够为他们都提供服务。被动响应是系统仅仅简单地记录和报告所检测出的问题。主动响应则是系统要为阻塞或影响进程而采取行动。响应的类型主动响应：入侵者采取反击行动修正系统环境收集额外信息响应的类型被动响应：告警和通知

SNMPTrap和插件394.基于主机的入侵检测技术40基于主机的入侵检测技术基于主机的入侵检测技术:审计数据的获取审计数据的预处理基于统计模型的入侵检测技术基于专家系统的入侵检测技术基于状态转移分析的入侵检测技术基于完整性检查的入侵检测技术基于智能体的入侵检测技术系统配置分析技术5.基于网络的入侵检测技术局域网和网络设备的工作原理HUB工作原理网卡工作原理局域网工作过程SnifferSniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。Sniffer要捕获的东西必须是物理信号能收到的报文信息。所以，只要通知网卡接收其收到的所有包（该模式叫作混杂promiscuous模式：指网络上的设备都对总线上传送的所有数据进行侦听，并不仅仅是针对它们自己的数据。），在共享HUB下就能接收到这个网段的所有数据包，但是在交换HUB下就只能接收自己的包和广播包。Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。Sniffer作用在网络基础结构的底层。通常情况下，用户并不直接和该层打交道，有些甚至不知道有这一层存在。共享和交换网络环境下的数据捕获要想捕获流经网卡的但不属于自己主机的所有数据流，就必须绕开系统正常工作的处理机制，直接访问网络底层。首先需要将网卡的工作模式设置为混杂模式，使之可以接收目标地址不是自己的MAC地址的数据包，然后直接访问数据链路层，获取数据并由应用程序进行过滤处理。在UNIX系统中可以用Libpcap包捕获函数库直接与内核驱动交互操作，实现对网络数据包的捕获。在Win32平台上可以使用Winpcap，通过VxD虚拟设备驱动程序实现网络数据捕获的功能。常用的包捕获机制包捕获机制系统平台备注BPFBSD系列BerkeleyPacketFilterDLPISolaris,HP-UNIX，SCOUNIXDataLinkProviderInterfaceNITSunOS3NetworkInterfaceTapSNOOPIRIX

SNITSunOS4StreamsNetworkInterfaceTapSOCK-PACKETLinux

LSF>=Linux2.1.75LinuxSocketFilterDrainIRIX

BPF的模型及其接口缓存缓存过滤器过滤器缓存协议栈链路层驱动器链路层驱动器程序1程序3程序2过滤器链路层驱动器程序4Libpcap介绍

Libpcap的英文意思是PacketCapturelibrary，即数据包捕获函数库。它是劳伦斯伯克利国家实验室网络研究组开发的UNIX平台上的一个包捕获函数库，其源代码可从/libpcap.tar.z获得。它是一个独立于系统的用户层包捕获的API接口，为底层网络监测提供了一个可移植的框架。Windows平台下的Winpcap库

Libpcap过去只支持Unix,现在已经可以支持Win32,这是通过在Wiin32系统中安装Winpcap来实现的,其官方网站是http://winpcap.polito.it/。Winpcap的主要功能在于独立于主机协议而发送和接收原始数据报，主要提供了四大功能：(1)捕获原始数据报，包括在共享网络上各主机发送/接收的以及相互之间交换的数据报；(2)在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉；(3)在网络上发送原始的数据报；(4)收集网络通信过程中的统计信息。Winpcap结构示意图

检测引擎的设计网络检测引擎必须获取和分析网络上传输的数据包，才能得到可能入侵的信息。检测引擎首先需要利用数据包截获机制，截获引擎所在网络中的数据包。经过过滤后，引擎需要采用一定的技术对数据包进行处理和分析，从而发现数据流中存在的入侵事件和行为。有效的处理和分析技术是检测引擎的重要组成部分。检测引擎主要的分析技术有模式匹配技术和协议分析技术等。模式匹配技术从网络数据包的包头开始和攻击特征比较；如果比较结果相同，则检测到一个可能的攻击；如果比较结果不同，从网络数据包中下一个位置重新开始比较；直到检测到攻击或网络数据包中的所有字节匹配完毕，一个攻击特征匹配结束。对于每一个攻击特征，重复1步到4步的操作。直到每一个攻击特征匹配完毕，对给定数据包的匹配完毕。协议分析技术网络通信协议是一个高度格式化的、具有明确含义和取值的数据流，如果将协议分析和模式匹配方法结合起来，可以获得更好的效率、更精确的结果。协议分析的功能是辨别数据包的协议类型，以便使用相应的数据分析程序来检测数据包。可以把所有的协议构成一棵协议树，一个特定的协议是该树结构中的一个结点，可以用一棵二叉树来表示。一个网络数据包的分析就是一条从根到某个叶子的路径。在程序中动态地维护和配置此树结构即可实现非常灵活的协议分析功能。协议分析有效利用了网络协议的层次性和相关协议的知识快速地判断攻击特征是否存在。他的高效使得匹配的计算量大幅度减小。特征（signature）的基本概念

IDS中的特征就是指用于判别通讯信息种类的样板数据，通常分为多种，以下是一些典型情况及识别方法：来自保留IP地址的连接企图：可通过检查IP报头的来源地址识别。带有非法TCP标志组合的数据包：可通过对比TCP报头中的标志集与已知正确和错误标记组合的不同点来识别。含有特殊病毒信息的Email：可通过对比每封Email的主题信息和病态Email的主题信息来识别，或者通过搜索特定名字的附近来识别。查询负载中的DNS缓冲区溢出企图：可通过解析DNS域及检查每个域的长度来识别利用DNS域的缓冲区溢出企图。还有另外一个识别方法是：在负载中搜索“壳代码利用”（exploitshellcode）的序列代码组合。通过对POP3服务器发出上千次同一命令而导致的DoS攻击：通过跟踪记录某个命令连续发出的次数，看看是否超过了预设上限，而发出报警信息。未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击：通过创建具备状态跟踪的特征样板以监视成功登录的FTP对话、发现未经验证却发命令的入侵企图。典型特征--报头值

一般情况下，异常报头值的来源有以下几种：来自保留IP地址的连接企图：可通过检查IP报头的来源地址识别。许多包含报头值漏洞利用的入侵数据都会故意违反RFC的标准定义。许多包含错误代码的不完善软件也会产生违反RFC定义的报头值数据。并非所有的操作系统和应用程序都能全面拥护RFC定义。随着时间推移，执行新功能的协议可能不被包含于现有RFC中。候选特征

只具有SYN和FIN标志集的数据包，这是公认的恶意行为迹象。没有设置ACK标志，但却具有不同确认号码数值的数据包，而正常情况应该是0。来源端口和目标端口都被设置为21的数据包，经常与FTP服务器关联。这“种端口相同的情况一般被称为“反身”（reflexive），除了个别时候如进行一些特别NetBIOS通讯外，正常情况下不应该出现这种现象。“反身”端口本身并不违反TCP标准，但大多数情况下它们并非预期数值。例如在一个正常的FTP对话中，目标端口一般是21，而来源端口通常都高于1023。TCP窗口尺寸为1028，IP标识号码在所有数据包中为39426。根据IPRFC的定义，这2类数值应在数据包间有所不同，因此，如果持续不变，就表明可疑。报头值关键元素

IP地址，特别保留地址、非路由地址、广播地址。不应被使用的端口号，特别是众所周知的协议端口号和木马端口号。异常信息包片断。特殊TCP标志组合值。不应该经常出现的ICMP字节或代码。检测实例-数据包捕获08/19-10:35:22.409202:137->55:137UDPTTL:128TOS:0x0ID:19775IpLen:20DgmLen:78Len:50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+08/19-10:35:23.152199:137->55:137UDPTTL:128TOS:0x0ID:19776IpLen:20DgmLen:78Len:50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+