5.2 入侵检测系统

通信网络安全与防护第五章网络防护技术《通信网络安全与防护》防火墙：定义、功能与不足；主要技术；功能与性能。安全隔离技术：基本概念；网闸的结构与工作原理；应用场景。知识回顾知识回顾防火墙不具备（）功能。A.包过滤B.查毒C.记录访问过程D.代理防火墙的工作层次是决定防火墙效率及安全的主要因素，下面叙述中正确的是（）A.防火墙工作层次越高，工作效率越高，安全性越低B.防火墙工作层次越低，工作效率越低，安全性越低C.防火墙工作层次越高，工作效率越低，安全性越高D.防火墙工作层次越低，工作效率越高，安全性越高5.4蜜罐与蜜网蜜罐定义蜜罐分类蜜网的概念5.2入侵检测系统定义、发展、分类体系结构检测分析技术主要内容教学目标(1)掌握入侵检测系统的基本概念，熟悉入侵检测系统的体系结构;(2)掌握入侵检测系统的检测方法;(3)掌握蜜罐与蜜网基本概念，熟悉蜜罐的分类，了解蜜罐的搭建方法。为什么需要入侵检测？随着计算机网络知识的普及，攻击者越来越多，知识日趋成熟，攻击工具和方法日趋复杂多样，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要。网络的防卫必须采用一种纵深的、多样的手段。5.2入侵检测系统大门警卫------------防火墙（Firewall）监控系统-----------入侵检测系统（IDS）入侵（Intrusion）：是指对任何企图危及系统及资源的完整性、机密性和可用性的活动。入侵检测（IntrusionDetection）：即对入侵行为的发觉。是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”(GB/T18336）。1.概念5.2.1入侵检测概述5.2.1入侵检测概述威慑检测响应损失情况评估攻击预测起诉支持入侵检测系统（IntrusionDetectionSystem，IDS）：进行入侵检测的软件或硬件的组合。1.概念一个安全的入侵检测系统必须具备以下特点：（1）可行性：入侵检测系统不能影响到系统的正常运行。（2）安全性：引入的入侵检测系统本身需要是安全的、可用的。（3）实时性：入侵检测系统是检测系统所受到的攻击行为的，必须及时地检测到这种威胁。（4）扩展性：入侵检测系统必须是可扩展的，入侵检测系统在不改变机制的前提下能够检测到新的攻击，5.2.1入侵检测概述1.概念1980年，JamesAnderson在技术报告ComputerSecurityThreatMonitoringandSurveillance中引入了入侵检测这个概念。

1986年Denning博士论文AnIntrusionDetectionModel是IDS的经典之作1983-1986美国斯坦福研究院进行了一项编号为6169的计划，即“审计跟踪系统的统计技术发展”。该计划通过行为特征来区分不同用户。这些统计过程将审计跟踪信息量减少了100倍，检测入侵企图的准确性很高。2.发展历史和现状5.2.1入侵检测概述第一代IDS（1994~1997）IDS雏形，技术探讨阶段Snort－公开源代码第二代IDS（1997~2000）

商品化IDS

百兆环境下的成熟应用第三代IDS（2000~2002）

千兆网络环境的成功应用第四代IDS（2003开始）

入侵管理型的IDS5.2.1入侵检测概述2.发展历史和现状1)误报和漏报2)阻断攻击能力弱3)基于网络包捕获的IDS对加密数据无能为力4）对针对NIDS自身的DoS攻击防御能力弱5)维护比较难入侵检测系统存在的问题：5.2.1入侵检测概述2.发展历史和现状1）体系结构的发展2）分析技术的智能化：如神经网络技术、数据挖掘等；3）响应策略的研究：如联动和报复等；4）与其它安全技术相结合：如IPS即将IDS与Firewall功能合二为一；长远看，IDS作为独立的产品形态可能会消失，其功能会融合到其它设备之中（如防火墙、路由器和交换机等）。发展趋势：5.2.1入侵检测概述2.发展历史和现状从数据来源和系统结构分类，入侵检测系统分为三类：基于主机的入侵检测系统-HIDS基于网络的入侵检测系统-NIDS分布式入侵检测系统（混合型）-DIDS3.入侵检测系统分类5.2.1入侵检测概述HIDS的输入数据来源于系统的审计日志，它只能检测发生在这个主机上的入侵行为。所以，这种检测系统一般应用在系统服务器、用户机器和工作站上。其缺点是对整个网络的保护有限。审计数据基于主机的入侵检测系统审计数据过滤审计分析分析员基于主机的入侵检测系统过程5.2.1入侵检测概述3.入侵检测系统分类能够更加准确地判断攻击是否成功：使用含有已发生事件信息的HIDS，它们可以比NIDS（基于网络的入侵检测系统）做出更加准确地判断；可监视特定的系统活动：如用户访问文件的活动、非正常行为、用户账号的变化等；HIDS可以检测到那些基于网络的系统察觉不到的攻击：例如，来自网络内部的攻击；由于基于主机的系统安装在企业的各种主机上，它们更适用于交换和加密的环境;检测和响应及时，价格更低。HIDS具有如下优点：5.2.1入侵检测概述3.入侵检测系统分类内部网络黑客内部人员$告警传输网络5.2.1入侵检测概述网络入侵检测系统（Network-basedIDS，NIDS）通过在网段上对通信数据进行侦听，采集数据，分析可疑现象，根据网络流量、协议分析、简单网络管理协议信息等检测入侵。3.入侵检测系统分类分布式入侵检测系统（DistributedIDS，DIDS）综合了基于主机和基于网络的IDS的功能。它通过收集、合并来自多个主机的审计数据和检查网络通信，能够检测出多个主机发起的协同攻击。控制器(DIDSDirector)局域网代理(LANAgent)主机代理(HostAgent)5.2.1入侵检测概述DIDS3.入侵检测系统分类单主机二组件：收集组件和分析组件分布式结构：分级组织模型网络组织模型混合组织模型5.2.2IDS的体系结构1.

IDS体系结构演变过程命令和控制节点汇聚节点收集节点分级体系结构5.2.2IDS的体系结构1.

IDS体系结构演变过程网状体系结构将收集、汇聚和命令控制功能集成到一个驻留在每个监控系统上的组件中。5.2.2IDS的体系结构1.

IDS体系结构演变过程命令和控制节点汇聚节点收集节点混合体系结构5.2.2IDS的体系结构1.

IDS体系结构演变过程IDS进行标准化工作的两个组织IETF（InternetEngineeringTaskForce）下属的IDWG（IntrusionDetectionWorkGroup)CIDF（CommonIntrusionDetectionFramework)通用入侵检测框架5.2.2IDS的体系结构2.通用入侵检测框架输出：高级中断事件输出：事件的存储信息输出：反应或事件输出：原始或低级事件事件生成器响应单元事件分析器事件数据库目录服务器输入：原始事件源CIDF定义的体系结构5.2.2IDS的体系结构2.通用入侵检测框架(1)

缺乏有效性(2)

有限的灵活性(3)

单点失效(4)

有限的响应能力(5)

缺乏对入侵检测关键组件的保护(6)

缺乏有效的协同5.2.2IDS的体系结构3.现有IDS体系结构的局限性DES按设计时的分析，需要2283年才能破译；DES的密钥量太小，密钥量为256；1977年，Diffie.Hellman提出制造一个每秒测试106的VLSI芯片，则一天就可以搜索完整个密钥空间，当时造价2千万美元。CRYPTO’93：R.Session，M.Wiener提出并行密钥搜索芯片，每秒测试5x107个密钥，5760片这种芯片，造价10万美元，平均一天即可找到密钥。基于异常的入侵检测（AnomalyDetection）首先给系统对象(单个用户、一组用户、主机或系统中某个关键程序或文件等)创建一个统计描述，统计正常使用时的一些测量属性。测量属性的平均值将用来与网络、系统的行为进行比较，任何观察值在正常值范围之外，就认为有入侵发生。5.2.3IDS的检测分析方法1.基于异常的入侵检测异常检测：特点是通过对系统异常行为的检测，可以归结出未知攻击模式。关键问题：正常使用模式的建立，以及如何对当前的系统行为进行比较，从而判断出与正常模式的偏离程度。模式：由一系列的系统参量来定义;参量：是指系统行为在特定方面的衡量标准。每个参量都对应一个门限值或对应一个变化区间。5.2.3IDS的检测分析方法1.基于异常的入侵检测与其他技术相结合的异常检测方法基于统计分析的异常检测基于数据挖掘的异常检测基于神经网络的异常检测优点不需要攻击特征库可检测到未知的入侵和更为复杂的入侵缺点建立正常行为阈值难度大误报、漏报率高5.2.3IDS的检测分析方法1.基于异常的入侵检测误用（Misuse）：指“可以用某种规则、方式、模型表示的入侵攻击或其他安全相关行为”。基于误用的入侵检测（MisuseDetection）技术：通过某种方式预先定义入侵行为，然后监视系统的运行，井根据所建立的这种入侵模式来检测入侵，并从中找出符合预先定义规则的入侵行为。2.基于误用的入侵检测5.2.3IDS的检测分析方法该模型通过使用某种模式或信号标识来表示攻击，进而发现相同的攻击。这种检测技术可以检测已知的许多甚至全部攻击行为，但是对于未知的攻击手段却无能为力。审计数据误用检测技术攻击状态修正现有规则添加新的规则时间信息规则匹配？2.基于误用的入侵检测5.2.3IDS的检测分析方法基于误用的入侵检测的主要方法基于模式匹配基于专家系统基于模型按键监视2.基于误用的入侵检测5.2.3IDS的检测分析方法

1）模式匹配间隔持续时间存在模式序列模式规则模式其他模式匹配模式的层次关系3.常用的误用检测技术5.2.3IDS的检测分析方法Internet110010101100010101000010101(attack)分片、乱序(tatkca)000010101100010101110010101110010101100010101000010101重组接收数据(attack)被攻击攻击攻击特征报警模式匹配

1）模式匹配3.常用的误用检测技术5.2.3IDS的检测分析方法协议匹配

alerttcp$EXTERNAL_NETany一>$HOME_NETany（msg：“SCANNULL”；flags：0；seq：0；ack：0；reference：arachnids，4；classtype：attempted-recon；sid：623；rev:1；)

1）模式匹配3.常用的误用检测技术5.2.3IDS的检测分析方法字符串匹配

alerttcp$EXTERNAL_NETany一>$HTTP_SERVERS$HTTP_PORTS（msg：“WEB_ATTACKSpscommandattempt”；flow：to_Server，etablished；uricontent：“/bin/ps”；nocase；sid：1328；lasstype：web-application-attack；rev：4；)

1）模式匹配3.常用的误用检测技术5.2.3IDS的检测分析方法长度匹配

alerttcp$EXTERNAL_NETany一>$HTTP_SERVERS$HTTP_PORTS(msg:“WEB-IISISAPI.idaattempt”；uficontent：“.ida?”；nocase；dsize：>239；low：to_server,established；reference：arachnids，552；classtype：web-application-attack；reference：bugtraq，1065；reference:cve,CAN-2000-0071；sid：1243；rev：6；)

1）模式匹配3.常用的误用检测技术5.2.3IDS的检测分析方法累积匹配或增量匹配：通过对某些事件出现的量（次数或单位时间次数）来产生新的事件。逻辑匹配或集合匹配：一些有更强事件检测能力的IDS，通过对不同类型的事件组合来进行判断，从而获得新的事件。

1）模式匹配3.常用的误用检测技术5.2.3IDS的检测分析方法单纯模式匹配方法的根本问题是把网络数据包看作无序随意的字节流，造成检测效率低下。

协议分析在攻击检测中充分利用网络通信中标准的、层次化的、格式化的网络数据包结构，进行逐层分析，然后再使用模式匹配方法，提高检测效率。

2）协议分析3.常用的误用检测技术5.2.3IDS的检测分析方法0020DAD3C5805254AB27C00408004500003407BA40004006A0F6CA72A518CA725816040B005023E5241E50BB078080109310BD0A00000101080A0002259E01A3C881捕获的数据包示例匹配攻击特征字符串——“GET/cgi-bin/../phf”需要多次匹配，效率低下

2）协议分析3.常用的误用检测技术5.2.3IDS的检测分析方法通过协议分析，可以大大减少模式匹配计算量，且提高精度。0020DAD3C5805254AB27C00408004500003407BA40004026A0F6CA72A518CA725816040B005023E5241E50BB078080109310BD0A00000101080A0002259E01A3C881以太网类型字段IP协议字段TCP目的端口号字段捕获的数据包示例

2）协议分析3.常用的误用检测技术5.2.3IDS的检测分析方法蜜罐主机是一种资源，它被伪装成一个实际目标。蜜罐主机希望人们去攻击或入侵它。5.4蜜罐与蜜网蜜罐的价值在于被探测、攻击和损害。默默地收集尽可能多的同入侵有关的信息，例如攻击模式，使用的程序，攻击意图和黑客社团文化等等。帮助我们明白黑客社团以及他们的攻击行为，以便更好的防御安全威胁。什么是蜜罐？一、蜜罐基本概念5.4.1蜜罐基本概念应用于工作环境中的计算机经常:缺少警告功能以致于系统的操作者不能意识到遭受了攻击；处理大量的数据使得电脑黑客留下的任何证据很快就丢失了；由于操作上的原因不能离线分析。引入蜜罐的目的分散攻击者的注意力收集同攻击和攻击者有关的信息1、网络欺骗技术

为了使蜜罐对入侵者更具有吸引力，就要采用各种欺骗手段，例如在欺骗主机上模拟一些操作系统或各种漏洞、在一台计算机上模拟整个网络、在系统中产生仿真网络流量等。通过这些方法，使蜜罐更像一个真实的工作系统，诱骗入侵者上当。2、数据控制技术

数据控制就是对黑客的行为进行牵制，规定他们能做或不能做某些事情。当系统被侵入时，应该保证蜜罐不会对其他的系统造成危害。5.4.2蜜罐的关键技术3、数据收集技术

蜜罐监控者只要记录下进、出系统的每个数据包，就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源，但日志文件很容易被攻击者删除，所以通常的办法就是让蜜罐向在同一网络上但防御机制更为完善的远程系统日志服务器发送日志备份。4、报警技术

要避免入侵检测系统产生大量的警报，因为这些警报中有很多是试探行为，并没有实现真正的攻击，所以报警系统需要不断升级，需要增强与其他安全工具和网管系统的集成能力。5.4.2蜜罐的关键技术5、入侵行为重定向技术

所有的监控操作必须被控制，如果IDS或嗅探器检测到某个访问可能是攻击行为，不是禁止，而是将此数据复制一份，同时将入侵行为重定向到预先配置好的蜜罐机器上。这样就不会攻击到要保护的真正的资源，这就要求诱骗环境和真实环境之间切换不但要快而且要真实再现。5.4.2蜜罐的关键技术从应用层面分为两种类型的蜜罐：产品型蜜罐（production）：用于帮助降低组织的安全风险；

研究型蜜罐（research）：意味着收集