《入侵检测》课件第1章

第1章概述1.1网络安全的主要威胁1.2攻击行为分析1.3主动安全防御技术概述

1.1网络安全的主要威胁

随着信息和网络技术广泛而深入地渗透到商业、金融、科研、教育、军事以及人们日常生活的各个领域(如图1.1所示)，网络和信息安全对人们生活和国家安全的影响越来越重要。图1.1

Internet应用发展示意图图1.2目前网络安全的主要威胁金山毒霸全球反病毒监测中心等发布的近几年中国电脑病毒疫情及互联网安全报告等表明，病毒的“工业化”入侵以及“流程化”攻击越来越明显。团伙犯罪分子为获取金钱而制作了越来越多的恶意软件；黑客的攻击行为组织性更强，其目的已经从单纯的追求“荣耀感”向获取多方面实际利益的方向转移；网上木马、间谍程序、恶意网站、网站仿冒、僵尸网络等日趋泛滥，以熊猫烧香、灰鸽子、AV终结者为代表的恶性病毒频繁出现，危害程度逐步加深。

2008年，中国新增计算机病毒、木马数量呈爆炸式增长，总数量已突破千万。病毒制造的模块化、专业化以及病毒“运营”模式的互联网化成为2008年中国计算机病毒发展的三大显著特征。同时，病毒制造者的“逐利性”依旧没有改变，网页挂马、漏洞攻击成为黑客获利的主要渠道。据金山毒霸“云安全”中心监测数据显示，2008年，金山毒霸共截获新增病毒、木马13899717个，与2007年相比增长48倍。图1.3所示为近几年新增病毒数量对比示意图。据2009年5月中国最新安全报告显示，电脑病毒一个月新增2389476个，较上月增加38%，感染电脑的数量也增至2000万台。图1.3近年新增病毒数量1.1.1互联网已经进入木马/病毒经济时代

目前,网络游戏、QQ聊天、网上银行和网上炒股、网上购物等互联网应用日益流行，用户在这些应用中的账户变得越来越有经济价值，其账号直接关系到用户在现实世界中的财产。网络游戏中的道具、装备，QQ中的Q币、QQ秀等虚拟物品，由于可以在C2C平台以及众多专业网站上进行交易，因此具有非常高的经济价值网络购物有两种模式,一种是B2C（BusinessToCustomer，在英文中的2的发音同to，所以这里的to简写为2）模式，即商品和信息从企业直接到消费者;另一种是C2C（CustomerToCustomer），即商品和信息从消费者直接到消费者，俗称“网上开店”。根据中国互联网络信息中心(CNNIC)于2007年7月发布的《第20次中国互联网络发展状况统计报告》，仅中国的1.62亿网民中,就有69.8%的用户（超过1亿用户）在使用即时通信软件（以腾讯QQ和MSN为主）；47%的用户（超过7600万用户）玩过网络游戏；20%的用户（超过3200万用户）使用网上银行和进行网上炒股。这几类互联网应用成为黑客、木马制作者等不法分子攻击的主要目标。越来越多的网络犯罪分子编写及传播木马类程序，目的就是为了窃取网民的账号信息，从而获取经济利益。1.1.2“0Day”等漏洞和系统缺陷令人防不胜防

网络威胁主要是利用系统（包括操作系统、支撑软件及应用系统）固有的漏洞、缺陷或系统配置及管理等过程中的安全漏洞，穿透或绕过安全设施的防护，达到非法访问直至控制系统的目的，并以此为跳板，继续攻击其它系统。攻击手段包括隐通道攻击、特洛伊木马、口令猜测、缓冲区溢出等。漏洞，是指与安全相关的缺陷，能够被利用来做“原本以为”不能做的事。入侵能够成功的主要原因就在于漏洞的存在。漏洞是客观存在的，它是随软件和系统产生的，在一定程度上具有不可避免性。无论是Windows还是Unix几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器、应用软件、桌面软件等都被发现存在安全隐患或后门，如尼母达、中国黑客等病毒都利用微软系统的漏洞给用户造成巨大损失。当前网络安全的主要漏洞分类情况见附录2。当前第三方软件漏洞成为病毒攻击的热点。第三方软件是指除系统本身自带的软件（操作系统本身及其自带的应用程序之外的应用类软件，例如QQ、AdobeReader等。第三方软件漏洞，是指一些第三方软件由于自身软件设计的原因，在它们提供给IE的组件上存在一些漏洞，而这些漏洞会被黑客以及恶意网站利用，在用户浏览网页过程中，通过漏洞下载木马病毒以入侵用户系统，进行远程控制、盗窃用户的账号和密码等，从而使用户遭受损失。随着微软操作系统安全性的日益加强以及用户对系统漏洞警惕性的提升，病毒已经很难再利用系统漏洞大施拳脚，而第三方流行软件的漏洞越来越多地被病毒利用。以AdobeFlashPlayer漏洞为例，AdobeFlashPlayer9.0.115在播放恶意构造的swf文件时，会自动下载一个可执行文件并执行，而swf文件可能会自动下载一个病毒下载器并运行，然后再由这个病毒下载器下载其它预先指定的木马程序，危险指数非常高。在手机等新平台上传播的病毒/木马也在上升。另外，网络系统天生的缺陷使其存在巨大隐患。Internet的共享性和开放性使网上信息安全存在先天不足。开放性的网络导致网络的技术是全开放的。任何一个人或团体都可能从中获得所需的东西，因而网络所面临的破坏和攻击可能是多方面的。国际性的网络还意味着网络的攻击不仅仅来自本地网络的用户，还可以来自Internet上的任何一个机器，也就是说，网络安全所面临的是国际化的挑战。自由意味着网络最初对用户的使用并没有提供任何的技术约束，用户可以自由地访问网络，自由地使用和发布各种类型的信息，用户只对自己的行为负责，而没有任何的法律限制。因此，“Internet的美妙之处在于你和每个人都能互相连接，Internet的可怕之处在于每个人都能和你互相连接”。

Internet赖以生存的TCP/IP协议也存在着缺陷(TCP/IP协议簇见附录1)。在建立之初,TCP/IP体系结构对于网络的安全性考虑得并不多，Internet规模及用户群迅速扩大之后,在安全防范、服务质量、带宽和方便性等方面存在滞后和不适应性，而且人们对TCP/IP协议很熟悉，就可以利用它的安全缺陷来实施网络攻击。如应用层协议Telnet(远程登录服务)、FTP(文件传输协议)、SMTP(简单邮件传输协议)等缺乏认证和保密措施，这就为否认、拒绝等欺瞒行为开了方便之门。IP层协议也有许多安全缺陷,例如，IP地址可以由软件设置，这就造成了地址假冒和地址欺骗两类安全隐患；IP协议支持源路由方式，即源点可以指定信息包传送到目的节点的中间路由，这就提供了源路由攻击的条件。在运行TCP/IP协议的网络系统，存在着五种类型的威胁和攻击，即欺骗攻击、否认服务、拒绝服务、数据截取、数据篡改。1.1.3社会工程学的攻击手段成为病毒入侵的重要途径

病毒通过社会工程学的攻击手段入侵系统的途径包括：

（1）利用热点事件。

当用户上网搜索一些当下比较流行的信息或电影时，如“艳照门”、“色戒”等，搜索到的网页中很多都是带有病毒的，这是不法分子利用人的心理而设的圈套。

（2）利用用户对好友的信任,通过即时聊天工具传播病毒。

这类攻击已经不是主流，但还存在，有些病毒会通过QQ、MSN等聊天工具自动向好友发送带有病毒的信息或文件。（3）钓鱼网站。

钓鱼网站也是一种常用的攻击手段，如是一个外挂的官方网站，而是钓鱼网站，钓鱼网站做得跟官方网站一模一样，使得不少用户浏览了钓鱼网站或者下载了钓鱼网站的文件，导致中毒。另外一种方式不需要带毒，如银行的钓鱼网页，用户在登录的过程中，它会先记录账号和密码，然后再登录到正确的网站，而此时用户并不知道自己的账号和密码等信息已经失窃。

（4）捆绑软件。

一些病毒会感染或者修改正常共享软件的安装包，使得用户在网站下载安装这些软件时感染病毒。另外一些病毒则直接替换掉下载链接的文件。（5）高流量带病毒链接。

流量高的网站是可以用来卖钱挂病毒的，因此很多流量高的网页会被用来挂病毒。这类网站以黄色网站居多。

（6）江湖骗术。

一些网络社区、聊天群里出现的骗子，往往会以花言巧语诱使你接受并打开对方发送的文件，以照片（其实是病毒文件）为典型。1.1.4网络内部原因所引起的安全威胁

网络管理不仅包括内网的管理，也包括整个通信网络其它部分如广域网或设备等的管理。严格管理是使企业、组织及政府部门和用户免受网络安全问题威胁的重要措施，责权不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当前许多网络在建设的时候缺乏前瞻性，导致网络信息安全建设资金投入不够，各项基础性管理工作相对较弱。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警，而当事故发生后，无法提供黑客攻击行为的追踪线索及破案依据，缺乏对网络的可控性与可审查性等措施，同时也存在着如私设代理服务器、私自访问外部网络，使用网络管理员禁止使用的软件等行为。事实上，很多企业、机构及用户的网站或系统都疏于管理，没有制定严格的管理制度或执行不严。根据调查表明，当前网络安全的威胁70%以上来自网络内部。对于企事业等单位来说，网络内部原因和内部人员所造成的网络安全问题是所面临的最大的威胁之一。企业办公网络作为企业发展必备的组成部分，正在发挥越来越大的作用，但是随之而来的企业办公网络有效管理和信息安全问题也日益变得尖锐。企业内部员工在办公时间浏览与工作无关的网页、下载视频和其它大容量文件、频繁使用QQ等即时通信、在线游戏，不仅降低了工作效率，占用了大量的带宽资源，还对公司其它员工造成负面影响，企业的规章制度的威慑力也受到严峻挑战。而来自外部的黑客攻击及病毒干扰，严重威胁着企业的内部机密，如何协调好企业网络信息安全的内忧外患，这是目前大部分企业网甚至是整个网络亟待解决的课题。内网问题产生的原因是多方面的，如单位管理制度不严、资源滥用、内部有些人的恶意行为、内部用户的误操作、对内网安全管理环节的不够重视及制度执行不严、内部使用人员的安全意识不够等。很长一段时间以来，厂商和用户的主要关注点较为集中在外网威胁方面，目前控制内网的安全产品还较少。对于内网安全来说，技术手段仅是一方面，更重要的是通过企业内部健全的内网安全管理制度及措施来保障。在网络安全中，三分靠技术，七分靠管理，管理是根本，技术是手段。网络管理的欠缺及其它网络内部原因所引起的安全问题同样是当前网络和信息安全面临的较大威胁。 1.2攻击行为分析

入侵检测的主要目的是检测出各种各样的攻击及发现系统本身所存在的缺陷等。对网络攻击手段和行为的了解有助于对入侵检测技术的学习和理解，也有助于对入侵检测方法和系统的设计。

1.攻击的要素

攻击的基本要素包括：

（1）攻击的主体——攻击者；

（2）攻击的客体——系统和网络，系统和网络存在的漏洞为攻击者提供了攻击的客观条件；

（3）攻击的过程——达成攻击的步骤和过程，是攻击的关键环节，也是攻击发生效果的必要条件。

2.攻击过程

黑客对目标系统实施攻击的流程大致相同,其攻击过程可归纳为9个步骤：踩点（FootPrinting）、扫描（Scanning）、查点（Enumeration）、获取访问权（GainingAccess）、权限提升（EscalatingPrivilege）、窃取（Pilfering）、掩盖踪迹（CoveringTrack）、创建后门（CreatingBackDoors）。

黑客攻击流程如图1.4所示。图1.4黑客攻击流程

3.攻击行为分类

网络攻击分为结构化攻击和非结构化攻击两类。非结构化攻击是指一类在小范围内、攻击能力较弱、不能形成规模的攻击行为。非结构化攻击通常由单个具有攻击能力的攻击]者（如黑客或对公司不满的雇员等）发起，采用单点攻击，攻击工具通常不会太复杂，所造成破坏的范围、深度是有限的。结构化攻击则是在良好的计划组织条件下实施的攻击行为，其特点是攻击点及采用的技术多、隐蔽性好、危害较大。协同攻击属于结构化攻击的一种。协同攻击是指一类由多个攻击者采取分布方式，在统一攻击策略指导下对同一任务目标发起攻击和探测的行为，其攻击的技术手段和攻击步骤由统一的攻击策略在各攻击者之间协调从而达到协同。与普通结构性攻击相比，协同攻击威胁范围大，使用的攻击技术全面，不仅在攻击点上可实现分布与协同，甚至可在攻击软件上实现协同，并可实施一定的攻击战术。 1.3主动安全防御技术概述

1.3.1主动安全防御的基本思想

主动防御技术一词来源于英文“ProactiveDefense”，其确切含义为“前摄性防御”，是指由于某些机制的存在，使攻击者无法完成对目标的攻击，这些前摄性措施不仅仅是上述的被动防御模式，而是能够采取有效的措施避免攻击对系统的破坏，拖住攻击者，侦测或反击攻击行为。它的中心思想是控制和反击，其可以分为两个关键点：防御和主动性。防御突出了主体与客体、访问与被访问之间的关联，主动性强调了安全动态性的本质，静态、被动的防护体系无法有效完成动态安全的保障。1.3.2常见的主动防御技术

1.初级主动防御技术

初级主动防御技术可以采用的技术有隐患扫描或网络安全漏洞扫描技术，布防传统的入侵检测系统进行入侵检测等。

隐患扫描或网络安全漏洞扫描软件能够模拟黑客的行为，搜寻网络、系统所存在的隐患和安全漏洞，对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统进行扫描，使系统管理员能够及时了解系统中存在的危险和安全漏洞，并一一列表，采取相应防范措施，从而降低系统的安全风险。这种主动防御技术的优点是能够事先对系统的安全隐患进行排除，在攻击者攻击系统之前为系统打上漏洞补丁并加强对弱点区域的检测。

现有的攻击手法变得更加智能化，攻击性和自我保护性都加强了，而且攻击者发现漏洞的速度也越来越快，可能在系统管理员对网络进行定期检测的间隙，攻击者就已经发现系统中的漏洞并成功攻破了系统。再加上系统管理员的偶尔疏忽，很容易使初级主动防御技术变得无效。对入侵检测系统进行的入侵检测作为一种主动的检测方法，也可以在一定程度上预防和检测来自系统内、外部的入侵。

2.中级主动防御技术

中级主动防御技术主要是采用联动方式，如防火墙与防病毒、入侵检测、日志处理等实现联动。国外已经有一些公司提出相应的方案或开发出相应的产品，典型的有美国网络

联盟的McAfeeIntruShield网络入侵防护解决方案，美国的TopLayer的AttackMitigator[JP]IPS5500系列产品等。

传统的包过滤防火墙技术是基于第三层的路由访问控制，是串联在网络中的，如图1.5所示，主要起过滤作用。入侵检测系统则通过网络监控和审核跟踪来评估系统所面临的危险，是并联在网络中的。防火墙与入侵检测技术融合在一起，构成主动、实时响应的入侵防御系统，如图1.6所示。图1.5防火墙的位置图1.6

IDS与IPS的在线安装位置例如，当检测出通过或绕过防火墙的攻击数据包时，入侵检测系统将攻击者的信息反馈给防火墙。防火墙将攻击者的地址添加到黑名单中，动态生成新的规则，以防止后续攻击，使防护和监控能够互联互动、互动互访。同时，对发现的攻击及时采取措施，如告警、切断连接等，并对系统进行快速恢复。利用这种技术可以对网络实施动静结合的保护，对网络行为进行细颗粒的检查，并对网络内外两个部分都进行可靠管理。

在这种方式中，防火墙用于防御，IDS用于检测突破防火墙的入侵。虽然这种方案在很大程度上提高了网络的安全性，具有主动防御功能，但是主要是被动防御，其缺点也很突出。（1）防火墙只实现了粗粒度的访问控制，且对于内部的非法网络行为无能为力。

（2）IDS只能检测已知的攻击，不能检测未知的“瞬时攻击”（ZeroDayAttack），而且不能阻止任何非法行为。

（3）为了阻止进一步的攻击行为，它只能通过响应机制报告防火墙，由防火墙来阻断攻击。

（4）IDS与防火墙之间的联动能力十分有限，这跟各产品分属不同厂家，标准不一有关。

（5）由于IDS的误报率很高，致使任何一种误报都将阻断网络，造成网络处于中断状态。总之，IDS只能作为一个监听设备，防御动作也是事后的和被动的，不能将危害切断在发生之前。它通过切断与攻击者之间的连接，虽然保护了系统但它被攻击的隐患并没有消除，攻击者会转而攻击网络中其它的系统，或者更换IP地址和攻击方式再次发起攻击。另外，由于现有入侵检测系统的高误报率和漏报率，很容易使防火墙形成拒绝服务攻击（DenyofService，DoS）。

3.高级主动防御技术

高级主动防技术御可以采用的技术有取证、入侵诱骗、自动恢复、主动响应等。

1)取证

计算机取证是指使用软件和工具，按照一些预先定义的程序全面检查计算机系统，以提取和保护有关计算机犯罪证据的过程。入侵取证为安全防护提供了取证和事后分析的依据。

取证技术包括静态取证技术和动态取证技术。静态取证技术是在已经遭受入侵的情况下，运用各种技术手段进行分析取证工作。现在普遍采用的正是这种静态取证方法，在入侵后对数据进行确认、提取、分析，抽取出有效证据。基于此思想的工具有数据克隆工具、数据分析工具和数据恢复工具。目前已经有专门用于静态取证的工具，如GuidanceSoftware的Encase，它运行时能建立一个独立的硬盘镜像，而它的FastBloc工具则能从物理层组织操作系统向硬盘写数据。

动态取证技术是计算机取证的发展趋势，它是在受保护的计算机上事先安装代理，当攻击者入侵时，对系统的操作及文件的修改、删除、复制、传送等行为，系统和代理会产生相应的日志文件加以记录。利用文件系统的特征，结合相关工具，尽可能真实地恢复这些文件信息，将这些日志文件传到取证机上加以备份保存作为入侵证据。

2)入侵诱骗

入侵诱骗研究的是如何设计一个严格控制