第5章-物联网系统安全第3次课

5.3、入侵检测本节课程目标1.了解入侵检测概念2.熟悉蜜罐与蜜网3.熟悉恶意软件监测方法1.入侵检测技术2.入侵检测系统3.蜜罐与蜜网4.恶意软件监测

入侵检测作为一种主动防御技术，弥补了传统安全技术（防火墙）的不足。入侵检测系统通过捕获网络上的数据包，经过分析处理后，报告异常或重要的数据模式和行为模式，使网络管理员能够清楚地了解网络上发生的事件，并采取措施阻止可能的破坏行为。入侵检测系统可以对主机系统和网络进行实时监控，阻止来自外部网络黑客的入侵和来自内部网络的攻击。1985年，Denming等人提出了第一个实时入侵检测专家系统模型和实时的基于统计量分析和用户行为轮廓的入侵检测技术，该模型成为入侵检测技术研究领域的一个里程碑。入侵检测包含两层意思：一是对外部入侵（非授权使用）行为的检测；二是对内部用户（合法用户）滥用自身权限的检测。具体检测内容包括：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。入侵检测被认为是防火墙之后的第二道安全闸门，提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：（1）监视、分析用户及系统活动，查找非法用户和合法用户的越权操作；（2）系统构造和弱点的审计，并提示管理员修补漏洞；（3）识别反映已知进攻的活动模式并向相关人士报警，能够实时对检测到的入侵行为进行反应；（4）异常行为模式的统计分析，发现入侵行为的规律；（5）评估重要系统和数据文件的完整性，如：计算和比较文件系统的校验和；（6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。一、入侵检测技术1、基本概念入侵检测（IntrusionDetection），顾名思义，是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。“入侵”(Intrusion)是个广义的概念，不仅包括被发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问等对计算机系统造成危害的行为。进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,简称IDS)。2、误用检测技术

入侵检测是网络安全的重要组成部分，目前采用的入侵检测技术主要有异常检测和误用检测两种。误用检测又称为基于规则的入侵检测。误用检测通过预先收集一些认为是异常的特征。建立匹配规则库，然后根据检测到的事件或者网络行为的特征，与匹配规则库中预先设定的规则进行匹配，如果匹配成功，则认为该网络行为异常，产生报警。这种检测方法建立在对过去的知识积累基础上，只有当匹配规则库中已经存在的特征，入侵检测系统才能进行检测。如果发现了一种新的网络入侵行为，则需要根据新的网络入侵行为特征，往匹配规则库添加相应的匹配规则，这样入侵检测系统才能够及时检测到新的网络入侵。误用检测技术具有很高的准确性，但是这种检测技术只能根据已经出现过的异常行为特征模式进行匹配检测，对于未出现过的异常行为或者是已经出现过的网络蠕虫的变种却无能为力。而且，它必须时刻根据出现的新情况更新规则库，匹配规则库更新的频率会大大影响整个系统的检测能力。优点：缺点：误用检测则是标识一些已知的入侵行为，通过对一些具体行为进行判断和推理，从而检测出异常行为。相对正常而言，异常检测技术是记录正常的网络特征或行为。异常检测的主要缺陷在于误报率比较高，优点：可检测出最新的入侵异常检测技术又可以分为四种：（1）基于统计的异常检测（2）基于数据挖掘的异常检测（3）基于神经网络的异常检测（4）基于免疫系统的异常检测2、异常检测技术4、异常检测与误用检测的比较异常检测是通过对正常网络行为的描述来分析和发现可能出现的异常情况，任何偏离了正常范围的网络行为都被认为异常行为。异常检测技术中对正常网络行为的描述是通过对过去大量历史数据的分析得到的。

无论误用检测还是异常检测都是入侵检测技术的具体实施，其各自的特点决定了它们具有相当的互补性。为了符合用户越来越高的安全要求，可以将两种方式结合起来，使得入侵检测系统的检测手法具有多样性的特点。在不同的条件下采用不同的检测方法，提高系统的检测效率。二、入侵检测系统

入侵检测系统（IntrusionDetectionSystem，IDS）是指通过收集网络流量数据、系统日志、用户行为信息以及主机所能提供的若干信息进行相应的分析，检测网络是否存在异常行为或者被攻击的迹象，从而产生警告的过程。

一个IDS通常包括入侵检测软件与硬件两部分，它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象并且对其做出反应。有些反应是自动的，它包括通知网络安全管理员（通过控制台、电子邮件），中止入侵进程、关闭系统、断开与互联网的连接，使该用户无效，或者执行一个准备好的命令等。如右图所示是入侵检测系统的整体框架示意图，主要包括知识库、数据收集、数据预处理、入侵检测分析以及响应处理等。1.入侵检测系统的结构

(1)数据收集入侵检测系统的数据主要来自不同网段和主机，有关网络流量以及用户活动状态信息都是主要的数据来源。通常情况下，数据的内容主要包括系统日志、网络数据包等。寻找可用、有价值的信息是实现入侵检测系统的关键，数据的可靠性可以保证入侵检测系统产生最大效果，并对攻击行为做出迅速且有效的反应。(2)数据预处理通常情况下，主机系统的系统日志和网络数据包中的数据信息类型多样的且杂乱无章，很难进行分析。因此，为了保证数据能够被检测算法所识别，必须进行预处理。在预处理过程中，需要将数据通过加工转换成统一的数据格式，从而获取有价值的信息。(3)入侵检测分析入侵检测分析是入侵检测系统的核心部分，通过识别和统计特征并进行合理的分析，从而对数据的行为进行识别，检测是否存在异常。(4)响应处理在系统受到攻击并且被入侵检测分析算法识别后，针对攻击的行为与类型应采取相应的抵御措施，确保网络系统的安全。通常采用的网络安全防御方法有防火墙、安全事件记录以及对攻击主机进行识别与限制等。(5)知识库知识库主要用于收集系统的历史行为、日志信息以及记录相应的入侵数据，可以为入侵检测系统提供相应的数据支持与判别依据。

根据的来源可将入侵检测分为：基于网络的入侵检测系统（NIDS）、基于主机的入侵检测系统（HIDS）和混合型入侵检测系统三种类型。（1）基于网络的入侵检测系统网络型入侵检测系统是通过网络连接检测网络数据中存在的入侵行为，并保护所有网络节点。

基于网络的入侵检测系统NIDS的信息来源为网络中的数据包。NIDS通常是在网络层监听并分析网络包来检测入侵，可以检测到非授权访问、盗用数据资源、盗取口令文件等入侵行为。2、入侵检测系统的分类基于网络的入侵检测系统不需要改变服务器等主机的配置,不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用。

随着VPN,SSH和SSL的应用，数据加密越来越普遍，传统的NIDS工作在网络层，无法分析上层的加密数据，从而也无法检测到加密后入侵网络包。缺点不能检测不同网段的网络包很难检测复杂的需要大量计算的攻击协同工作能力弱难以处理加密的会话优点检测范围广无需改变主机配置和性能独立性和操作系统无关性安装方便（2）基于主机的入侵检测系统主机型入侵检测系统是设置在特定主机上运行，主要是监视主机上的事件并检测本地可疑活动，即受监控机器的用户执行的攻击或针对其运行的主机发生的攻击。由于主机型的IDS仅设计为与主机一起运行，因此能够执行特定任务，是NIDS无法实现的，例如检测缓冲区溢出、监视系统调用、特权滥用以及系统日志分析等.

基于主机的入侵检测系统的信息来源为操作系统事件日志、管理工具审计记录和应用程序审计记录。

它通过监视系统运行情况（文件的打开和访问、文件权限的改变、用户的登录和特权服务的访问等）、审计系统日志文件和应用程序日志来检测入侵来检测入侵。优点性能价格比高细腻性，审计内容全面视野集中适用于加密及交换环境缺点额外产生的安全问题依赖性强如果主机数目多，代价过大不能监控网络上的情况（3）混合型入侵检测系统混合型入侵检测系统的开发考虑了主机事件和网络提供的数据，并结合了网络型和主机型的人侵检测系统的功能。该系统结合了其他两种方法的优点，也克服了许多缺点。但混合系统并不意味着是更好的系统。由于不同的IDS技术以各种不同的方式分析流量并寻找入侵活动，让这些不同的技术成功且高效地在单个系统中进行互操作和共存是一项具有挑战性的任务。目前越来越多的入侵行为都集中到主机提供的网络服务上，入侵者纷纷利用应用服务的漏洞展开对系统的攻击，因此，应用层协议分析技术成为了入侵检测技术研究的重点。3.IDS典型应用---小规模网络环境应用3.IDS典型应用---多子网分布式环境应用3.IDS典型应用---分级管理三、蜜罐与蜜网1.蜜罐HoneyPot定义：honeypot:“Asecurityresourcewho’svalueliesinbeingprobed,attackedorcompromised”——LanceSpitzner（HoneynetProject的创始人）蜜罐是一类安全资源，其价值就在于被探测、被攻击及被攻陷。蜜罐技术的提出和发展Honeypot:首次出现在CliffStoll的小说“TheCuckoo’sEgg”(1990)著名计算机安全专家FredCohen1998年后，出现DTK、Honeyd等大量开源蜜罐工具同期出现一些商业产品，但并未得到市场普及1999年由蜜网项目组(TheHoneynetProject)提出并实现目前已发展到第三代蜜网技术2003年由LanceSpitzner首次提出Honeypotfarms思想目前仍未有实际的工具、产品和应用

现行入侵检测系统（HIDS和NIDS）及其入侵检测技术，都存在一些缺陷。为了避免这一问题，科技人员引入了网络诱骗技术，即蜜罐（Honeypot）和蜜网（Honeynet）技术。Honeypot是一种全新的网络入侵检测系统（NIDS），它诱导攻击者访问预先设置的蜜罐而不是工作中网络，可以提高检测攻击和攻击者行为的能力，降低攻击带来的破坏。Honeypot的目的有两个：一是在不被攻击者察觉的情况下监视他们的活动、收集与攻击者有关的所有信息二是牵制他们，让他们将时间和资源都耗费在攻击Honeypot上，使他们远离实际的工作网络。

为了达到上述两个目的，Honeypot的设计方式必须与实际的系统一样，还应包括一系列能够以假乱真的文件、目录及其它信息。

这样一旦攻击者入侵Honeypot会以为自己控制了一个很重要的系统，刺激他充分施展他的“才能”。

而Honeypot就象监视器一样监视攻击者的所有行动：记录攻击者的访问企图，捕获击键，确定被访问、修改或删除的文件，指出被攻击者运行的程序等。Honeypot可以是这样的一个系统：模拟某些已知的漏洞或服务、模拟各种操作系统、在某个系统上做了设置使它变成“牢笼”环境.、或者是一个标准的操作系统，在这上面可以打开各种服务。蜜罐与NIDS相比，具有如下特点:数据量较小。蜜罐只收集那些对它进行访问的数据。在同样的条件下，NIDS可能会记录成千上万条报警信息，而蜜罐却只有几百条信息。这就使得蜜罐收集信息更容易，分析起来也更为方便。减少误报率。蜜罐能显著减少误报率。任何对蜜罐的访问都是未授权、非法的，因此蜜罐检测攻击非常有效，能够大大减少甚至避免错误的报警信息。捕获漏报。蜜罐可以很容易地鉴别、捕获针对它的攻击行为。由于针对蜜罐的任何操作都不是正常的，这样就使得任何以前没有出现过的攻击行为很容易暴露。资源最小化。蜜罐需要的资源很少，即使工作在一个大型网络环境中也是如此。Honeynet的概念是由Honeypot发展起来的。起初人们为了研究黑客的入侵行为，在网络上放置了一些专门的计算机，并在上面运行专用的模拟软件，使得在外界看来这些计算机就是网络上运行某些操作系统的主机。把这些计算机放在网络上，并为之设置较低的安全防护等级，使入侵者可以比较容易地进入系统。入侵者进入系统后一切行为都在系统软件的监控和记录之下，通过系统软件收集描述入侵者行为的数据，对入侵者的行为进行分析。2.蜜网HoneyNet

(1)蜜网与蜜罐的异同一个蜜网是一个网络系统，而并非某台主机。这一网络系统是隐藏在防火墙后的，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据可以帮助我们分析入侵者所使用的工具、方法及动机。蜜网中的所有系统都是标准的机器，上面运行的都是真实完整的操作系统及应程序，不需要刻意地模拟某种环境或者故意使系统不安全。蜜罐是通过把系统的脆弱性暴露给入侵者或故意使用一些具有诱惑性的假信息来诱骗人侵者，这样虽然可以对入侵者进行跟踪，但也引来了更多的潜在入侵者。更进一步，可以在实际的系统中运行入侵检测系统，当检测到入侵行为时，才能更有针对性地进行诱骗，从而更好地保护自己。(2)蜜网的原型系统将防火墙、IDS、二层网关和Honeynet网有机地结合起来，设计了一个Honeynet网的原型系统。网关有A、B、C三个网络接口。A接口用于和外部防火墙相连，接收重定向进来的属于可疑或真正入侵的网络连接；B接口用于Honeynet内部管理以及远程日志等功能；C接口用于和Honeypot主机相连，进行基于网络的入侵检测，实时记录Honeynet系统中的入侵行为。网桥上可以根据需要运行网络流量仿真软件，通过仿真流量来麻痹入侵者。路由器、外部防火墙和二层网关为Honeynet

提供了较高的安全保障。四、恶意软件检测1.计算机病毒检测计算机病毒是一种人为制造的、能够进行自我复制的、具有对计算机资源的破坏作用的一组程序或指令的集合。计算机病毒把自身附着在各种类型的文件上或寄生在存储媒介中，能对计算机系统和网络进行各种破坏，同时有独特的复制能力和传染性，能够自我复制和传染。计算机病毒种类繁多、特征各异。目前典型的病毒检测方法包括：(1)直接检查法感染病毒的计算机系统内部会发生某些变化，并在一定的条件下表现出来，因而可以通过直接观察法来判断系统是否感染病毒。(2)特征代码法特征代码法是检测已知病毒的最简单、开销最小的方法。特征代码法的实现步骤如下：采集已知病毒样本，依据如下原则抽取特征代码：抽取的代码比较特殊，不大可能与普通正常程序代码吻合。抽取的代码要有适当长度，一方面维持特征代码的唯一性，另一方面尽量使特征代码长度短些，以减少空间与时间开销。特征代码法的优点是：检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理；特征代码法的缺点是：不能检测未知病毒、搜集已知病毒的特征代码，费用开销大、在网络上效率低（在网络服务器上，因长时间检索会使整个网络性能变坏）。(3)校验和法将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染。病毒感染的确会引起文件内容变化，但是校验和法对文件内容的变化太敏感，又不能区分正常程序引起的变动，而频繁报警。这种方法遇到软件版本更新、口令变更、运行参数修改时，校验和法都会误报警；校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗，对一个有毒文件算出正常校验和。运用校验和法查病毒采用三种方式：在检测病毒工具中纳入校验和法、在应用程序中放入校验和法自我检查功能、将校验和检查程序常驻内存实时检查待运行的应用程序。校验和法的优点：方法简单且能发现未知病毒，即使被查文件有细微变化，也能被发现。校验和法的缺点：需发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能处理隐蔽型病毒等。(4) 行为监测法利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。行为监测法的优点：可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的缺点：可能误报警、不能识别病毒名称、实现时有一定难度。(5) 软件模拟法多态性病毒每次感染都变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较，也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，难于做消毒处理。为了检测多态性病毒，可应用新的检测方法――软件模拟法，即用软件方法来模拟和分析程序的运行。2.网络蠕虫检测目前，网络蠕虫已经成为计算机网络的最大威胁。网络蠕虫在传播过程中具有与黑客攻击相似的网络行为，网络蠕虫检测技术在采用入侵检测技术的同时，还需要结合网络蠕虫自身及其传播具有的特点，综合应用多种技术，包括网络蠕虫检测与预警、网络蠕虫传播抑制、网络蠕虫应对等。网络蠕虫检测系统(NWDS)通常部署在一个网络的出口处(如图所示)，可以实时捕获网络中的所有流经的网络数据包，并对这些数据进行检测。检测机上主要运行检测端程序，包括了网络数据捕获模块、网络蠕虫检测模块、通讯模块等;管理机运行监控管理终端程序，提供友好的用户界面:数据库系统主要用于保存各种信息，包括系统参数、检测策略、报警记录等。（1）检测机检测机上主要涉及网络数据捕获模块、网络蠕虫检测模块、通信模块。网络数据捕捉模块：用于从网络中实时捕获网络数据包，并对这些数据进行预处理，形成能够提交给网络数据检测模块的统计信息。通信模块:用于实现网络蠕虫检测模块与监控管理模块、数据库系统之间的通信，包括监控管理程序发送各种控制信息到检测机、网络蠕虫检测模块产生的报警信息传递给数据库系统等。网络蠕虫检测模块：实现对网络数据捕获模块提交的网络数据信息进行检测，并生成报警信息。(2)监控管理机监控管理机主要运行监控管理终端程序，提供一个友好的人机交互界面。网络管理员可以通过监控管理终端管理检测机和数据库，并根据实际网络使用情况实时调整网络蠕虫检测策略。其他终端用户可以根据各自的权限查看网络蠕虫报警情况，并生成相应的报告。监控管理机由5个功能模块组成:①连接检测端模块。通过套接字与检测端程序建立连接，与指定检测机建立通信;②策略配置模块。可以让用户根据实际网络环境和检测情况对检测策略进行修改，更新数据库中的策略配置表数据并通知检测端;③系统参数配置模块。可以让用户根据实际网络情况对检测机的系统参数进行修改;④实时报警模块。通过数据库连接模块定时从数据库中提取最新的报警记录信息，并通过用户界面进行显示;⑤报警查询模块。允许用户输入查询条件，从数据库中检索符合条件的报警记录，并以列表形式显示。网络管理员和其他用户通过监控管理机进行系统应用和维护。(3)数据库系统数据库系统主要用于存储各种信息，包括系统参数信息、检测策略、报警记录统性能情况等。关于入侵检测的说法正确的是（）不仅对外部入侵进行检测还可以检测内部权限滥用常用的有异常检测技术和误用检测技术是一种主动防御技术可以对网络和主机实时监测ABCD提交多选题10分属于异常检测的是（）基于统计的异常检测基于数据挖掘的异常检测基于神经网络的异常检测基于免疫系统的异常检测ABCD提交多选题10分目的在于建立正常使用模式以及利用这些模式对当前的系统或用户行为进行比较，从而判断出与异常模式的偏离程度的异常检测技术是（）基于统计的异常检测基于数据挖掘的异常检测基于神经网络的异常检测基于免疫系统的异常检测ABCD提交单选题10分入侵检测系统的核心是（）数据收集数据预处理入侵检测分析响应处理ABCD提交单选题10分关于蜜罐和蜜网说法正确的是()蜜罐是一种诱骗技术蜜罐的设计需要高度的伪装蜜网系统中都是标准的机器，