1、1本章学习目的本章学习目的o掌握掌握入侵检测系统的原理入侵检测系统的原理o掌握掌握入侵检测系统的核心技术入侵检测系统的核心技术o了解入侵检测系统的作用了解入侵检测系统的作用o了解入侵检测技术的发展趋势了解入侵检测技术的发展趋势o掌握掌握入侵检测系统在网络安全中的地位入侵检测系统在网络安全中的地位o掌握掌握评价入侵检测系统的性能指标评价入侵检测系统的性能指标2入侵检测系统概述入侵检测系统概述 防火墙是所有保护网络的方法中最能普遍接受的方法,防火墙是所有保护网络的方法中最能普遍接受的方法,能阻挡外部入侵者,但对内部攻击无能为力;同时,防火墙能阻挡外部入侵者,但对内部攻击无能为力;同时,防火墙绝对不
2、是坚不可摧的,即使是某些防火墙本身也会引起一些绝对不是坚不可摧的,即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门,不提供对内部安全问题。防火墙不能防止通向站点的后门,不提供对内部的保护,无法防范数据驱动型的攻击,不能防止用户由的保护,无法防范数据驱动型的攻击,不能防止用户由InternetInternet上下载被病毒感染的计算机程序或将该类程序附在上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。电子邮件上传输。入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力扩展了系统管理员
3、的安全管理能力(安全审计、监视、进攻识安全审计、监视、进攻识别和响应别和响应),提高了信息安全基础结构的完整性。,提高了信息安全基础结构的完整性。3误报o没有一个入侵检测能无敌于误报,因为没有一个应用系统不会发生错误,原因主要有四个方面。n1、缺乏共享数据的机制 n2、缺乏集中协调的机制n3、缺乏揣摩数据在一段时间内变化的能力n4、缺乏有效的跟踪分析4入侵检测系统面临的挑战o一个有效的入侵检测系统应限制误报出现的次数,但同时又能有效截击。o误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。o误报是入侵检测系统最头疼的问题,攻击者可以而且往往是利用包的结构伪造无威胁的“正常
4、”假警报,而诱导没有警觉性的管理员人把入侵检测系统关掉。5入侵检测系统的概念o入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”(参见国标GB/T18336)。o入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。6入侵检测系统的概念o入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。o进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,简
5、称IDS)。o入侵检测系统IDS(Intrusion Detection System)指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。7相关术语相关术语攻击攻击攻击者利用工具,出于某种动机,对目标系统采取的行动,攻击者利用工具,出于某种动机,对目标系统采取的行动,其后果是获取其后果是获取/破坏破坏/篡改目标系统的数据或访问权限篡改目标系统的数据或访问权限事件事件在攻击过程中发生的可以识别的行动或行动造成的后果;在在攻击过程中发生的可以识别的行动或行动造成的后果;在入侵检测系统中,事件常常具有一系列属性和详细的描述信入侵检测系统中,事件常常具有一系列属性
6、和详细的描述信息可供用户查看。息可供用户查看。CIDF 将入侵检测系统需要分析的数据统称为事件(将入侵检测系统需要分析的数据统称为事件(event)8入侵入侵对信息系统的非授权访问及(或)未经许可在信息系统中进对信息系统的非授权访问及(或)未经许可在信息系统中进行操作行操作入侵检测入侵检测对企图入侵、正在进行的入侵或已经发生的入侵进行识别的对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程过程入侵检测系统(入侵检测系统(IDS)用于辅助进行入侵检测或者独立进行入侵检测的自动化工具用于辅助进行入侵检测或者独立进行入侵检测的自动化工具相关术语相关术语9 入侵检测(入侵检测(Intrusion
7、 DetectionIntrusion Detection)技术是一种动态的网)技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自行为,包括来自外部用户外部用户的入侵行为和的入侵行为和内部用户内部用户的未经授权的未经授权活动。一旦发现网络入侵现象,则应当做出适当的反应。活动。一旦发现网络入侵现象,则应当做出适当的反应。p对于正在进行的网络攻击,则采取适当的方法来阻断攻击(与防火对于正在进行的网络攻击,则采取适当的方法来阻断攻击(与防火墙联动)。墙联动)。p对于已经发生的网络攻击,则应通过分析日志记录找到发生攻
8、击的对于已经发生的网络攻击,则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹,作为增强网络系统安全性和追究入侵者法律原因和入侵者的踪迹,作为增强网络系统安全性和追究入侵者法律责任的依据。责任的依据。p它从计算机网络系统中的若干关键点收集信息,并分析这些信息,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测技术入侵检测技术10入侵检测系统入侵检测系统 入入侵侵检检测测系系统统(IDSIDS)由由入入侵侵检检测测的的软软件件与与硬硬件件组组合合而而成成,被被认认为为是是防防
9、火火墙墙之之后后的的第第二二道道安安全全闸闸门门,在在不不影影响响网网络络性性能能的的情情况况下下能能对对网网络络进进行行监监测测,提提供供对对内内部部攻攻击击、外外部部攻攻击和误操作的实时保护。击和误操作的实时保护。IDSIDS执行以下任务来实现:执行以下任务来实现:1 1)监视、分析用户及系统活动。)监视、分析用户及系统活动。2 2)系统构造和弱点的审计。)系统构造和弱点的审计。3 3)识别反映已知进攻的活动模式并向相关人士报警。)识别反映已知进攻的活动模式并向相关人士报警。4 4)异常行为模式的统计分析。)异常行为模式的统计分析。5 5)评估重要系统和数据文件的完整性。)评估重要系统和数
10、据文件的完整性。6 6)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。11入侵的方法和手段n端口扫描与漏洞攻击n密码攻击n网络监听n拒绝服务攻击n缓冲区溢出攻击n欺骗攻击12入侵检测的发展历程入侵检测的发展历程 n19801980年,年,概念的诞生概念的诞生n1984198419861986年,主机年,主机IDSIDS n19901990年,形成网络年,形成网络IDSIDSn九十年代后至今,九十年代后至今,集成主机集成主机IDSIDS和网络和网络IDS,IDS,分布式入侵分布式入侵检测系统检测系统DIDSDIDS13入侵检测的实现
11、方式入侵检测的实现方式 入侵检测系统根据数据包来源的不同,采用不用的实入侵检测系统根据数据包来源的不同,采用不用的实现方式,一般地可分为网络型、主机型,也可是这两种类现方式,一般地可分为网络型、主机型,也可是这两种类型的混合应用。型的混合应用。基于主机的入侵检测系统(基于主机的入侵检测系统(HIDSHIDS)基于网络的入侵检测系统(基于网络的入侵检测系统(NIDSNIDS)混合型入侵检测系统(混合型入侵检测系统(Hybrid IDSHybrid IDS)14入侵检测的实现方式入侵检测的实现方式 1 1、主机、主机IDSIDS:运行于被检测的主机之上,通过查询、监听当前系统运行于被检测的主机之上
12、,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理。修改的事件,进行上报和处理。安装于被保护的主机中安装于被保护的主机中 主要分析主机内部活动主要分析主机内部活动 占用一定的系统资源占用一定的系统资源15基于主机的入侵检测系统n基于主机的入侵检测系统:主要用于保护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件:来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相
13、应的应急响应程序。16主机主机IDS优势优势(1)精确地判断攻击行为是否成功。精确地判断攻击行为是否成功。(2)监控主机上特定用户活动、系统运行情况监控主机上特定用户活动、系统运行情况(3)能够检测到能够检测到NIDS无法检测的攻击无法检测的攻击(4)适用加密的和交换的环境。适用加密的和交换的环境。(5)不需要额外的硬件设备。不需要额外的硬件设备。17主机主机IDS的劣势的劣势(1)对被保护主机的影响。对被保护主机的影响。(2)安全性受到宿主操作系统的限制。安全性受到宿主操作系统的限制。(3)数据源受到审计系统限制。数据源受到审计系统限制。(4)被木马化的系统内核能够骗过被木马化的系统内核能够
14、骗过HIDS。(5)维护维护/升级不方便。升级不方便。18入侵检测的实现方式入侵检测的实现方式 2 2、网络、网络IDSIDS:网络网络IDSIDS是网络上的一个监听设备是网络上的一个监听设备(或一个专用主机或一个专用主机),通过监听网络上的所有报文,根据协议进行分析,并报告通过监听网络上的所有报文,根据协议进行分析,并报告网络中的非法使用者信息。网络中的非法使用者信息。安装在被保护的网段中安装在被保护的网段中分析网段中所有的数据包分析网段中所有的数据包实时检测和响应实时检测和响应19基于网络的入侵检测系统o基于网络的入侵检测系统:主要用于实时监控网络关键路径的信息,它监听网络上的所有分组来采
15、集数据,分析可疑现象。20网络网络IDSIDS工作模型工作模型 21网络网络IDS优势优势(1)实时分析网络数据,检测网络系统的非法行为;实时分析网络数据,检测网络系统的非法行为;(2)网络网络IDS系统单独架设,不占用其它计算机系统的任何资系统单独架设,不占用其它计算机系统的任何资源;源;(3)网络网络IDS系统是一个独立的网络设备,可以做到对黑客透系统是一个独立的网络设备,可以做到对黑客透明,因此其本身的安全性高;明,因此其本身的安全性高;(4)既可以用于实时监测系统,也是记录审计系统,可以做到既可以用于实时监测系统,也是记录审计系统,可以做到实时保护,事后分析取证;实时保护,事后分析取证
16、;(5)通过与防火墙的联动,不但可以对攻击预警,还可以更有通过与防火墙的联动,不但可以对攻击预警,还可以更有效地阻止非法入侵和破坏。效地阻止非法入侵和破坏。(6)不会增加网络中主机的负担。不会增加网络中主机的负担。22网络网络IDS的劣势的劣势(1)不适合交换环境和高速环境不适合交换环境和高速环境(2)不能处理加密数据不能处理加密数据(3)资源及处理能力局限资源及处理能力局限(4)系统相关的脆弱性系统相关的脆弱性233 3、两种实现方式的比较:、两种实现方式的比较:1)1)如果攻击不经过网络则如果攻击不经过网络则NIDSNIDS无法检测到,只能通过无法检测到,只能通过HIDSHIDS来检测;来
17、检测;2)2)基于基于NIDSNIDS通过检查所有的包头来进行检测,而通过检查所有的包头来进行检测,而HIDSHIDS并不查看包头。并不查看包头。HIDSHIDS往往不能识别基于往往不能识别基于IPIP的拒绝服务攻击的拒绝服务攻击和碎片攻击;和碎片攻击;3)NIDS3)NIDS可以研究数据包的内容,查找特定攻击中使用可以研究数据包的内容,查找特定攻击中使用的命令或语法,这类攻击可以被实时检查包序列的的命令或语法,这类攻击可以被实时检查包序列的IDSIDS迅速迅速识别;而识别;而HIDSHIDS无法看到负载,因此也无法识别嵌入式的数无法看到负载,因此也无法识别嵌入式的数据包攻击。据包攻击。244
18、 4、混合型入侵检测系统(混合型入侵检测系统(Hybrid IDSHybrid IDS)在新一在新一代代的入侵检测系统中的入侵检测系统中将把将把现在的基于网络和基现在的基于网络和基于主机于主机这这两种检测技术两种检测技术很好地很好地集集成起成起来,提供集来,提供集成化成化的攻的攻击签名检测报击签名检测报告告和事件关和事件关联功联功能。能。可可以以深深入入地地研究入侵事件入侵手段研究入侵事件入侵手段本身本身及被入侵及被入侵目标目标的的漏洞漏洞等。等。25入侵检测的方法 o目前入侵检测方法有三种分类依据:n1、根据物理位置进行分类。n2、根据建模方法进行分类。n3、根据时间分析进行分类。o常用的方
19、法有三种:静态配置分析、异常性检测方法和基于行为的检测方法。26静态配置分析 o静态配置分析通过检查系统的配置,诸如系统文件的内容,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(比如,系统配置信息)。o采用静态分析方法主要有以下几方面的原因:入侵者对系统攻击时可能会留下痕迹,可通过检查系统的状态检测出来。27利用fport检测与端口关联的应用程序o网络入侵者都会连接到主机的某个非法端口,通过检查出与端口关联应用程序,可以进行入侵检测,这种方法属于静态配置分析。o利用工具软件fport.exe检查与每一端口关联的应用程序,如图所示。28异常性检测方法 o异常性检测技术是一种在
20、不需要操作系统及其安全性缺陷的专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法。但是。在许多环境中,为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。因为并不是所有入侵者的行为都能够产生明显的异常性,所以在入侵检测系统中,仅使用异常性检测技术不可能检测出所有的入侵行为。而且,有经验的入侵者还可以通过缓慢地改变他的行为,来改变入侵检测系统中的用户正常行为模式,使其入侵行为逐步变为合法,这样就可以避开使用异常性检测技术的入侵检测系统的检测。29基于行为的检测方法 o基于行为的检测方法通过检测用户行为中的那些与某些已知
21、的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则的行为,来检测系统中的入侵活动。o基于入侵行为的入侵检测技术的优势:如果检测器的入侵特征模式库中包含一个已知入侵行为的特征模式,就可以保证系统在受到这种入侵行为攻击时能够把它检测出来。但是,目前主要是从已知的入侵行为以及已知的系统缺陷来提取入侵行为的特征模式,加入到检测器入侵行为特征模式库中,来避免系统以后再遭受同样的入侵攻击。30入侵检测的步骤 o入侵检测系统的作用是实时地监控计算机系统的活动,发现可疑的攻击行为,以避免攻击的发生,或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤:n信息收集n数据分析n响应31信
22、息收集 o入侵检测的第一步就是信息收集,收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。o入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此,要确保采集、报告这些信息的软件工具的可靠性,这些软件本身应具有相当强的坚固性,能够防止被篡改而收集到错误的信息。否则,黑客对系统的修改可能使入侵检测系统功能失常但看起来却跟正常的系统一样。32数据分析o数据分析(Analysis Schemes)是入侵检测系统的核心,它的效率高低直接决定了整个入侵检测系统的性能。根据数据分析的不同方式可将入侵检测系统分为异常入侵检测与误用入侵检测两类:33响应 o数据分析发现入侵迹象后
23、,入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应。n将分析结果记录在日志文件中,并产生相应的报告。n触发警报:如在系统管理员的桌面上产生一个告警标志位,向系统管理员发送传呼或电子邮件等等。n修改入侵检测系统或目标系统,如终止进程、切断攻击者的网络连接,或更改防火墙配置等。34入侵检测的一般过程信息源信息采集数据预处理检测模型安全策略响应处理35通用入侵检测系统36入侵检测系统的基本工作模式o从系统的不同环节收集信息o分析该信息,试图寻找入侵活动的特征o自动对检测到的行为作出响应o记录并报告检测过程的结果37入侵检测方法o特征检测o统计检测n
24、操作模型n方差模型n多元模型n马尔可夫过程模型n时间序列分析模型o专家系统38入侵检测的分类o按系统分析的数据源分类n基于主机、基于网络、混合式o按体系结构分类n集中式、层次式、分布式o按分析方法分类n异常、误用(漏报率?,误报率?)o按响应方式分类n主动的、被动的39oCIDF模型模型(Common Intrusion Detection Framework,公共入侵检测框架,公共入侵检测框架)n事件产生器:这是入侵检测系统中负责原始数据采集的部分,它对数据流、日志文件等进行追踪,然后将搜集到的原始数据转换为事件,并向系统的其他部分提供此事件;n事件分析器:事件分析器接收事件信息,然后对它们
25、进行分析,判断是否是入侵行为或异常现象,最后将判断的结果转变为警告信息;n事件数据库:事件数据库是存放各种中间和最终数据的地方。它从事件产生器或事件分析器接收数据,一般会将数据进行较长时间的保存。它可以是复杂的数据库,也可以是简单的文本文件;n响应单元:响应单元根据警告信息作出反应,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警,它是入侵检测系统中的主动武器40CIDF模型oCIDF阐述了一个入侵检测系统(IDS)的通用模型。它将一个入侵检测系统分为以下组件:n事件产生器(Eventgenerators),用E盒表示;n事件分析器(Eventanalyzers),用A盒表示;
26、n响应单元(Responseunits),用R盒表示;n事件数据库(Eventdatabases),用D盒表示。41CIDF的体系结构图42CIDF工作流程o1、E盒通过传感器收集事件数据,并将信息传送给A盒,A盒检测误用模式;o2、D盒存储来自A、E盒的数据,并为额外的分析提供信息;o3、R盒从A、E盒中提取数据,D盒启动适当的响应。A、E、D及R盒之间的通信都基于GIDO(generalizedIntrusiondetectionobjects,通用入侵检测对象)和CISL(commonintrusionspecificationlanguage,通用入侵规范语言)。o如果想在不同种类的A
27、、E、D及R盒之间实现互操作,需要对GIDO实现标准化并使用CISL。43入侵检测技术的发展趋势 o对分析技术加以改进:采用当前的分析技术和模型,会产生大量的误报和漏报,难以确定真正的入侵行为。采用协议分析和行为分析等新的分析技术后,可极大地提高检测效率和准确性,从而对真正的攻击做出反应。o增进对大流量网络的处理能力:随着网络流量的不断增长,对获得的数据进行实时分析的难度加大,这导致对所在入侵检测系统的要求越来越高。入侵检测产品能否高效处理网络中的数据是衡量入侵检测产品的重要依据。o向高度可集成性发展:集成网络监控和网络管理的相关功能。入侵检测可以检测网络中的数据包,当发现某台设备出现问题时,
28、可立即对该设备进行相应的管理。未来的入侵检测系统将会结合其它网络管理软件,形成入侵检测、网络管理、网络监控三位一体的工具。44蜜网陷阱蜜网陷阱Honeynet Honeynet Honeynet是一个网络系统,并非某台单一主机,这一网络系统隐藏在防火墙的后面,所有进出的数据都受到关注、捕获及控制。这些被捕获的数据用来研究分析入侵者们使用的工具、方法及动机。在一个Honeynet中,可以使用各种不同的操作系统及设备,如Solaris、Linux、Windows NT、Cisco Switch等。这样,建立的网络环境看上去会更加真实可信,同时还有不同的系统平台上面运行着不同的服务,比如Linux的
29、DNS Server、WindowsNT的WebServer或者一个Solaris的FTP Server,可以使用不同的工具以及不同的策略或许某些入侵者仅仅把目标定于几个特定的系统漏洞上,而这种多样化的系统,就可能更多地揭示出入侵者的一些特性。蜜网陷阱系统Honeynet45蜜网陷阱蜜网陷阱Honeynet Honeynet 4647天阗黑客入侵检测与预警系统天阗黑客入侵检测与预警系统天阗网络入侵检测系统典型部署结构图天阗网络入侵检测系统典型部署结构图 48案例一入侵检测工具:BlackICEoBlackICE是一个小型的入侵检测工具,在计算机上安全完毕后,会在操作系统的状态栏显示一个图标,当
30、有异常网络情况的时候,图标就会跳动。主界面如图所示。49o可以查看主机入侵的信息,选择属性页“Intruders”,如图所示。50案例二入侵检测工具:冰之眼 o“冰之眼”网络入侵检测系统(ICEYENIDS,Network Intrusion Detection System)是NSFOCUS系列安全软件中一款专门针对网络遭受黑客攻击行为而研制的网络安全产品,该产品可最大限度地、全天候地监控企业级的安全。由于用户自身网络系统的缺陷、网络软件的漏洞以及网络管理员的疏忽等等,都可能使网络入侵者有机可乘,而系统遭受了攻击,就可能造成重要的数据、资料丢失,关键的服务器丢失控制权等。o冰之眼网络入侵检测
31、系统包括从百兆到千兆处理性能的多种型号,可以满足从中小企业到大型企业和电信运营商的各种组网需求。51o使用“冰之眼”,系统管理人员可以自动地监控网络的数据流、主机的日志等,对可疑的事件给予检测和响应,在内联网和外联网的主机和网络遭受破坏之前阻止非法的入侵行为,主界面如图所示。52o管理员可以添加主机探测器来检测系统是否被入侵,选择菜单栏“网络”下的菜单项“添加探测器”,可以添加相关的探测器,如图所示。53本章小结本章小结 分析网络攻击或入侵的概念,介绍了六个攻击的层次和相应的防范策略。引出入侵检测系统。介绍了基于主机和基于网络的两种入侵检测系统的概念、基本组成结构和相应的工作原理。介绍了流行的蜜网陷阱系统Honeynet,用以获取网络攻击的行为和方法。54Any Question?