1、2024/9/26 周四11 入侵检测系统概述 入侵检测(入侵检测(Intrusion Detection System,Intrusion Detection System,IDSIDS)就是一种主动安全保护技术。入侵检测像雷达就是一种主动安全保护技术。入侵检测像雷达警戒一样,在不影响网络性能的前提下,对网络进行警戒一样,在不影响网络性能的前提下,对网络进行警戒、监控,从计算机网络的若干关键点收集信息,警戒、监控,从计算机网络的若干关键点收集信息,通过分析这些信息,看看网络中是否有违反安全策略通过分析这些信息,看看网络中是否有违反安全策略的行为和遭到攻击的迹象,从而扩展了系统管理员的的行为和
2、遭到攻击的迹象,从而扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。安全管理能力,提高了信息安全基础结构的完整性。2024/9/26 周四2 简单地说,入侵检测系统是这样工作的:若有一个简单地说,入侵检测系统是这样工作的:若有一个计算机系统,它与网络连接着,或许也同计算机系统,它与网络连接着,或许也同InternetInternet连接,连接,由于一些原因,允许网络上的授权用户访问该计算机。由于一些原因,允许网络上的授权用户访问该计算机。例如,有一个连接着例如,有一个连接着InternetInternet的的WebWeb服务器,允许一定的服务器,允许一定的客户、员工和一些潜在的
3、客户访问存放在该客户、员工和一些潜在的客户访问存放在该WebWeb服务器上服务器上的的WebWeb页面。然而,不希望其他员工、顾客或未知的第三页面。然而,不希望其他员工、顾客或未知的第三方的未授权访问。一般情况下,可以采用一个防火墙或方的未授权访问。一般情况下,可以采用一个防火墙或者一些类型的认证系统阻止未授权访问。然而,有时简者一些类型的认证系统阻止未授权访问。然而,有时简单的防火墙措施或者认证系统可能被攻破。入侵检测是单的防火墙措施或者认证系统可能被攻破。入侵检测是一系列在适当的位置上对计算机未授权访问进行警告的一系列在适当的位置上对计算机未授权访问进行警告的机制。对于假冒身份的入侵者,入
4、侵检测系统也能采取机制。对于假冒身份的入侵者,入侵检测系统也能采取一些措施来拒绝其访问。一些措施来拒绝其访问。2024/9/26 周四3 入侵检测系统基本上不具有访问控制的能力,它入侵检测系统基本上不具有访问控制的能力,它就像是一个有着多年经验、熟悉各种入侵方式的网络就像是一个有着多年经验、熟悉各种入侵方式的网络侦察员,通过对数据包流的分析,可以从数据流中过侦察员,通过对数据包流的分析,可以从数据流中过滤出可疑数据包,通过与已知的入侵方式进行比较,滤出可疑数据包,通过与已知的入侵方式进行比较,确定入侵是否发生以及入侵的类型并进行报警。网络确定入侵是否发生以及入侵的类型并进行报警。网络管理员可以
5、根据这些报警确切地知道所受到的攻击并管理员可以根据这些报警确切地知道所受到的攻击并采取相应的措施。可以说,入侵检测系统是网络管理采取相应的措施。可以说,入侵检测系统是网络管理员经验积累的一种体现,它极大地减轻了网络管理员员经验积累的一种体现,它极大地减轻了网络管理员的负担,降低了对网络管理员的技术要求,提高了网的负担,降低了对网络管理员的技术要求,提高了网络安全管理的效率和准确性。络安全管理的效率和准确性。2024/9/26 周四4 目前,大部分网络攻击在攻击前有资料搜集的过目前,大部分网络攻击在攻击前有资料搜集的过程,例如,基于特定系统的漏洞攻击,在攻击之前需程,例如,基于特定系统的漏洞攻击
6、,在攻击之前需要进行端口扫描,以确认系统的类型以及漏洞相关的要进行端口扫描,以确认系统的类型以及漏洞相关的端口是否开启。某些攻击在初期就可以表现出较为明端口是否开启。某些攻击在初期就可以表现出较为明显的特征,例如,假冒有效用户登录,在攻击初期的显的特征,例如,假冒有效用户登录,在攻击初期的登录尝试具有明显的特征。对于这两类攻击,入侵检登录尝试具有明显的特征。对于这两类攻击,入侵检测系统可以在攻击的前期准备时期或是在攻击刚刚开测系统可以在攻击的前期准备时期或是在攻击刚刚开始的时候进行确认并发出警报。同时入侵检测系统可始的时候进行确认并发出警报。同时入侵检测系统可以对报警的信息进行记录,为以后的一
7、系列实际行动以对报警的信息进行记录,为以后的一系列实际行动提供证据支持。这就是入侵检测系统的预警功能。提供证据支持。这就是入侵检测系统的预警功能。2024/9/26 周四5 入侵检测一般采用旁路侦听的机制,因此不会产生入侵检测一般采用旁路侦听的机制,因此不会产生对网络带宽的大量占用,系统的使用对网内外的用户来对网络带宽的大量占用,系统的使用对网内外的用户来说是透明的,不会有任何的影响。入侵检测系统的单独说是透明的,不会有任何的影响。入侵检测系统的单独使用不能起到保护网络的作用,也不能独立地防止任何使用不能起到保护网络的作用,也不能独立地防止任何一种攻击。但它是整个网络安全系统的一个重要的组成一
8、种攻击。但它是整个网络安全系统的一个重要的组成部分,它所扮演的是网络安全系统中侦察与预警的角色,部分,它所扮演的是网络安全系统中侦察与预警的角色,协助网络管理员发现并处理任何已知的入侵。可以说,协助网络管理员发现并处理任何已知的入侵。可以说,它是对其他安全系统有力的补充,弥补了防火墙在高层它是对其他安全系统有力的补充,弥补了防火墙在高层上的不足。通过对入侵检测系统所发出警报的处理,网上的不足。通过对入侵检测系统所发出警报的处理,网络管理员可以有效地配置其他的安全产品,以使整个网络管理员可以有效地配置其他的安全产品,以使整个网络安全系统达到最佳的工作状态,尽可能降低因攻击而络安全系统达到最佳的工
9、作状态,尽可能降低因攻击而带来的损失。带来的损失。2024/9/26 周四61.1 入侵检测与入侵检测系统 IDS是对计算机和网络系统资源上的恶意使用行为进行识别和响应的处理,它最早于1980年4月由James P.Anderson在为美国空军起草的技术报告Computer Security Threat Monitoring and Surveillance(计算机安全威胁监控与监视)中提出。他提出了一种对计算机系统风险和威胁的分类方法,将威胁分为外部渗透外部渗透、内部渗透内部渗透和不法行不法行为为;提出了利用审计跟踪数据,监视入侵活动的思想。2024/9/26 周四7相关概念 “入侵”(I
10、ntrusion)是一个广义的概念,不仅包括发起攻击的人(包括黑客)取得超出合法权限的行为,也包括收集漏洞信息,造成拒绝访问(Denial of Service)等对系统造成危害的行为。入侵检测(Intrusion Detection)就是对入侵行为的发觉。它通过对计算机网络等信息系统中若干关键点的有关信息的收集和分析,从中发现系统中是否存在有违反安全规则的行为和被攻击的迹象。2024/9/26 周四8入侵检测系统的概念入侵检测系统的概念 n n 入侵检测系统入侵检测系统入侵检测系统入侵检测系统IDSIDS(Intrusion Detection Intrusion Detection Sys
11、temSystem)指的是一种硬件或者软件系统,该系统)指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、对系统资源的非授权使用能够做出及时的判断、记录和报警。记录和报警。n 入侵检测作为一种积极主动的安全防护技术,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保提供了对内部攻击、外部攻击和误操作的实时保护,被认为是防火墙后面的第二道安全防线。护,被认为是防火墙后面的第二道安全防线。2024/9/26 周四9入侵检测系统的主要功能 具体说来,入侵检测系统的主要功能有:具体说来,入侵检测系统的主要功能有:监视并分析用户和系统的行为;监视
12、并分析用户和系统的行为;审计系统配置和漏洞;审计系统配置和漏洞;评估敏感系统和数据的完整性;评估敏感系统和数据的完整性;识别攻击行为、对异常行为进行统计;识别攻击行为、对异常行为进行统计;自动收集与系统相关的补丁;自动收集与系统相关的补丁;审计、识别、跟踪违反安全法规的行为;审计、识别、跟踪违反安全法规的行为;使用诱骗服务器记录黑客行为;使用诱骗服务器记录黑客行为;2024/9/26 周四10入侵检测系统的优点及其局限入侵检测系统的优点及其局限1.1.优点优点优点优点采用入侵检测系统和漏洞评估工具带来的好处有如下一些:采用入侵检测系统和漏洞评估工具带来的好处有如下一些:提高了信息系统安全体系其
13、他部分的完整性;提高了信息系统安全体系其他部分的完整性;提高了系统的监察能力;提高了系统的监察能力;可以跟踪用户从进入到退出的所有活动或影响;可以跟踪用户从进入到退出的所有活动或影响;能够识别并报告数据文件的改动;能够识别并报告数据文件的改动;可以发现系统配置的错误,并能在必要时予以改正;可以发现系统配置的错误,并能在必要时予以改正;可以识别特定类型的攻击,并进行报警,作出防御响应;可以识别特定类型的攻击,并进行报警,作出防御响应;可以使管理人员最新的版本升级添加到程序中;可以使管理人员最新的版本升级添加到程序中;允许非专业人员从事系统安全工作;允许非专业人员从事系统安全工作;可以为信息系统安
14、全提供指导。可以为信息系统安全提供指导。2024/9/26 周四112.2.局限局限局限局限但是,与其他任何工具一样,入侵检测也不是万能的,它们的使用存但是,与其他任何工具一样,入侵检测也不是万能的,它们的使用存在如下局限:在如下局限:在无人干预的情形下,无法执行对攻击的检测;在无人干预的情形下,无法执行对攻击的检测;无法感知组织(公司)安全策略的内容;无法感知组织(公司)安全策略的内容;不能弥补网络协议的漏洞;不能弥补网络协议的漏洞;不能弥补系统提供信息的质量或完整性问题;不能弥补系统提供信息的质量或完整性问题;不能分析网络繁忙时的所有事物;不能分析网络繁忙时的所有事物;不能总是对数据包级的
15、攻击进行处理;不能总是对数据包级的攻击进行处理;2024/9/26 周四12入侵检测系统面临的挑战入侵检测系统面临的挑战n n 一个有效的入侵检测系统应限制误报出现的一个有效的入侵检测系统应限制误报出现的次数,但同时又能有效截击。误报是指被入侵检次数,但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和测系统测报警的是正常及合法使用受保护网络和计算机的访问。误报是入侵检测系统最头疼的问计算机的访问。误报是入侵检测系统最头疼的问题,攻击者可以而且往往是利用包的结构伪造无题,攻击者可以而且往往是利用包的结构伪造无威胁的威胁的“正常正常”假警报,而诱导没有警觉性的管假警报,
16、而诱导没有警觉性的管理员人把入侵检测系统关掉。理员人把入侵检测系统关掉。2024/9/26 周四13误报误报n n 没有一个入侵检测能无敌于误报,因为没有一没有一个入侵检测能无敌于误报,因为没有一个应用系统不会发生错误,原因主要有四个方面。个应用系统不会发生错误,原因主要有四个方面。n n1 1、缺乏共享数据的机制、缺乏共享数据的机制 n n2 2、缺乏集中协调的机制、缺乏集中协调的机制n n3 3、缺乏揣摩数据在一段时间内变化的能力、缺乏揣摩数据在一段时间内变化的能力n n4 4、缺乏有效的跟踪分析、缺乏有效的跟踪分析2024/9/26 周四142 入侵检测系统的类型和性能比较入侵检测系统的
17、类型和性能比较 n n 根据入侵检测的信息来源不同,可以将入侵检测系统根据入侵检测的信息来源不同,可以将入侵检测系统分为两类:分为两类:n n 基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统和基于网络的入侵检测系统。n n1 1、基于主机的入侵检测系统:、基于主机的入侵检测系统:、基于主机的入侵检测系统:、基于主机的入侵检测系统:主要用于保护运行关键应主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵。日志中包含发生在系统上的不寻常和文件来检测入侵。日志中包含发生在系统上的不寻常和不期望活
18、动的证据,这些证据可以指出有人正在入侵或不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。的入侵或入侵企图,并很快地启动相应的应急响应程序。2024/9/26 周四152 入侵检测系统的类型和性能比较入侵检测系统的类型和性能比较 n n2 2、基于网络的入侵检测系统:主要用于实时监控网、基于网络的入侵检测系统:主要用于实时监控网络关键路径的信息,它监听网络上的所有分组来采络关键路径的信息,它监听网络上的所有分组来采集数据,分析可疑现象。集数据,分析可疑
19、现象。2024/9/26 周四163 入侵检测的方法入侵检测的方法 n n目前入侵检测方法有三种分类依据:目前入侵检测方法有三种分类依据:n n1 1、根据物理位置进行分类。、根据物理位置进行分类。n n2 2、根据建模方法进行分类。、根据建模方法进行分类。n n3 3、根据时间分析进行分类。、根据时间分析进行分类。n n常用的方法有三种:静态配置分析、异常性检测常用的方法有三种:静态配置分析、异常性检测方法和基于行为的检测方法。方法和基于行为的检测方法。2024/9/26 周四17静态配置分析静态配置分析 n n 静态配置分析通过检查系统的配置,诸如系静态配置分析通过检查系统的配置,诸如系统
20、文件的内容,来检查系统是否已经或者可能会统文件的内容,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(比如,遭到破坏。静态是指检查系统的静态特征(比如,系统配置信息)。系统配置信息)。n n 采用静态分析方法的原因:入侵者对系统攻采用静态分析方法的原因:入侵者对系统攻击时可能会留下痕迹,可通过检查系统的状态检击时可能会留下痕迹,可通过检查系统的状态检测出来。测出来。2024/9/26 周四18异常性检测方法异常性检测方法 n n 异常性检测技术是一种在不需要操作系统及其安全性异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下,就可以检测入侵者的方法,缺陷的专
21、门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法。但同时它也是检测冒充合法用户的入侵者的有效方法。但是。在许多环境中,为用户建立正常行为模式的特征轮是。在许多环境中,为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。因为并不是所有入侵者的行为都能够是比较困难的事。因为并不是所有入侵者的行为都能够产生明显的异常性,所以在入侵检测系统中,仅使用异产生明显的异常性,所以在入侵检测系统中,仅使用异常性检测技术不可能检测出所有的入侵行为。而且,有常性检测技术不可能检测出所有的入
22、侵行为。而且,有经验的入侵者还可以通过缓慢地改变他的行为,来改变经验的入侵者还可以通过缓慢地改变他的行为,来改变入侵检测系统中的用户正常行为模式,使其入侵行为逐入侵检测系统中的用户正常行为模式,使其入侵行为逐步变为合法,这样就可以避开使用异常性检测技术的入步变为合法,这样就可以避开使用异常性检测技术的入侵检测系统的检测。侵检测系统的检测。2024/9/26 周四19基于行为的检测方法基于行为的检测方法 n n 基于行为的检测方法通过检测用户行为中的那些与某基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷些已知的入侵行为模式类似的行为或那些利用系统
23、中缺陷或者是间接地违背系统安全规则的行为,来检测系统中的或者是间接地违背系统安全规则的行为,来检测系统中的入侵活动。入侵活动。n n 基于入侵行为的入侵检测技术的优势:如果检测器的基于入侵行为的入侵检测技术的优势:如果检测器的入侵特征模式库中包含一个已知入侵行为的特征模式,就入侵特征模式库中包含一个已知入侵行为的特征模式,就可以保证系统在受到这种入侵行为攻击时能够把它检测出可以保证系统在受到这种入侵行为攻击时能够把它检测出来。但是,目前主要是从已知的入侵行为以及已知的系统来。但是,目前主要是从已知的入侵行为以及已知的系统缺陷来提取入侵行为的特征模式,加入到检测器入侵行为缺陷来提取入侵行为的特征
24、模式,加入到检测器入侵行为特征模式库中,来避免系统以后再遭受同样的入侵攻击。特征模式库中,来避免系统以后再遭受同样的入侵攻击。2024/9/26 周四20案例案例9-4 检测与端口关联的应用程序检测与端口关联的应用程序n n 网络入侵者都会连接到主机的某个非法端口,通网络入侵者都会连接到主机的某个非法端口,通过检查出与端口关联应用程序,可以进行入侵检测,过检查出与端口关联应用程序,可以进行入侵检测,这种方法属于静态配置分析。这种方法属于静态配置分析。n n利用工具软件利用工具软件fport.exefport.exe可以检查与每一端口关联的应可以检查与每一端口关联的应用程序,执行程序如图所示。用
25、程序,执行程序如图所示。2024/9/26 周四21案例案例 程序分析:检测与端口关联的应用程序程序分析:检测与端口关联的应用程序n n 利用利用VC+6.0VC+6.0建立基于控制台的建立基于控制台的Win32Win32应用程应用程序,该程序需要一个外置的序,该程序需要一个外置的DLLDLL文件文件“DBP2P.dllDBP2P.dll”,需要将该文件拷贝到工程目录下,需要将该文件拷贝到工程目录下的的DebugDebug目录下。目录下。n n该案例包含两个程序:该案例包含两个程序:proj5_5.cppproj5_5.cpp和和dbp2p.hdbp2p.h。其。其中中proj5_5.cppp
26、roj5_5.cpp文件是主程序,文件是主程序,dbp2p.hdbp2p.h是动态连接是动态连接库文件库文件“DBP2P.dllDBP2P.dll”文件的头文件。文件的头文件。2024/9/26 周四224 入侵检测的步骤入侵检测的步骤 n n 入侵检测系统的作用是实时地监控计算机系入侵检测系统的作用是实时地监控计算机系统的活动,发现可疑的攻击行为,以避免攻击的统的活动,发现可疑的攻击行为,以避免攻击的发生,或减少攻击造成的危害。由此也划分了入发生,或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤:侵检测的三个基本步骤:n n信息收集、数据分析和响应。信息收集、数据分析和响应。2024
27、/9/26 周四23信息收集信息收集 n n 入侵检测的第一步就是信息收集,收集的内容入侵检测的第一步就是信息收集,收集的内容包括整个计算机网络中系统、网络、数据及用户活包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。动的状态和行为。n n 入侵检测在很大程度上依赖于收集信息的可靠入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此,要确保采集、报告这性、正确性和完备性。因此,要确保采集、报告这些信息的软件工具的可靠性,这些软件本身应具有些信息的软件工具的可靠性,这些软件本身应具有相当强的坚固性,能够防止被篡改而收集到错误的相当强的坚固性,能够防止被篡改而收集到错误的信
28、息。否则,黑客对系统的修改可能使入侵检测系信息。否则,黑客对系统的修改可能使入侵检测系统功能失常但看起来却跟正常的系统一样。统功能失常但看起来却跟正常的系统一样。2024/9/26 周四24数据分析数据分析n n 数据分析(数据分析(Analysis SchemesAnalysis Schemes)是入侵检测系)是入侵检测系统的核心,它的效率高低直接决定了整个入侵检统的核心,它的效率高低直接决定了整个入侵检测系统的性能。根据数据分析的不同方式可将入测系统的性能。根据数据分析的不同方式可将入侵检测系统分为异常入侵检测与误用入侵检测两侵检测系统分为异常入侵检测与误用入侵检测两类:类:2024/9/
29、26 周四25入侵检测系统的特征库入侵检测系统的特征库n n IDS IDS要有效地捕捉入侵行为,必须拥有一贯强要有效地捕捉入侵行为,必须拥有一贯强大的入侵特征(大的入侵特征(signaturesignature)数据库,这就如同公安数据库,这就如同公安部门必须拥有健全的罪犯信息库一样。部门必须拥有健全的罪犯信息库一样。n n IDS IDS中的特征就是指用于判别通讯信息种类的中的特征就是指用于判别通讯信息种类的样板数据,通常分为多种,以下是一些典型情况及样板数据,通常分为多种,以下是一些典型情况及其识别方法:其识别方法:2024/9/26 周四26IDSIDSIDSIDS中特征的典型情况及其
30、识别方法:中特征的典型情况及其识别方法:中特征的典型情况及其识别方法:中特征的典型情况及其识别方法:来自保留来自保留IP地址的连接企图:可通过检查地址的连接企图:可通过检查IP报头(报头(IP header)的来源地址识别。的来源地址识别。带有非法带有非法TCP 标志联合物的数据包:可通过标志联合物的数据包:可通过TCP 报头报头中的标志集与已知正确和错误标记联合物的不同点来识别。中的标志集与已知正确和错误标记联合物的不同点来识别。含有特殊病毒信息的含有特殊病毒信息的Email:可通过对比每封可通过对比每封Email的主的主题信息和病态题信息和病态Email的主题信息来识别,或者通过搜索特的主
31、题信息来识别,或者通过搜索特定名字的外延来识别。定名字的外延来识别。查询负载中的查询负载中的DNS 缓冲区溢出企图:可通过解析缓冲区溢出企图:可通过解析DNS域及检查每个域的长度来识别。另外一个方法是在负载中域及检查每个域的长度来识别。另外一个方法是在负载中搜索搜索“壳代码利用壳代码利用”(exploit shellcode)的序列代码组合。的序列代码组合。2024/9/26 周四27 对对POP3服务器大量发出同一命令而导致服务器大量发出同一命令而导致DoS攻击:攻击:通过跟踪记录某个命令连续发出的次数,看看是否超过了通过跟踪记录某个命令连续发出的次数,看看是否超过了预设上限,而发出报警信息
32、。预设上限,而发出报警信息。未登录情况下使用文件和目录命令对未登录情况下使用文件和目录命令对FTP服务器的服务器的文件访问攻击:通过创建具备状态跟踪的特征样板以监视文件访问攻击:通过创建具备状态跟踪的特征样板以监视成功登录的成功登录的FTP对话,发现未经验证却发命令的入侵企图。对话,发现未经验证却发命令的入侵企图。IDSIDSIDSIDS中特征的典型情况及其识别方法:中特征的典型情况及其识别方法:中特征的典型情况及其识别方法:中特征的典型情况及其识别方法:2024/9/26 周四28 显然,特征的涵盖范围很广,有简单的报头域数值、显然,特征的涵盖范围很广,有简单的报头域数值、有高度复杂的连接状
33、态跟踪、有扩展的协议分析。有高度复杂的连接状态跟踪、有扩展的协议分析。此外,不同的此外,不同的IDS产品具有的特征功能也有所差异。产品具有的特征功能也有所差异。例如:有些网络例如:有些网络IDS系统只允许很少地定制存在的特征数系统只允许很少地定制存在的特征数据或者编写需要的特征数据,另外一些则允许在很宽的据或者编写需要的特征数据,另外一些则允许在很宽的范围内定制或编写特征数据,甚至可以是任意一个特征;范围内定制或编写特征数据,甚至可以是任意一个特征;一些一些IDS系统,只能检查确定的报头或负载数值,另外一系统,只能检查确定的报头或负载数值,另外一些则可以获取任何信息包的任何位置的数据。些则可以
34、获取任何信息包的任何位置的数据。2024/9/26 周四29响应响应 n n 数据分析发现入侵迹象后,入侵检测系统的下一数据分析发现入侵迹象后,入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。步工作就是响应。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应。目前的入侵检测系统一般采取下列响应。n n1 1、将分析结果记录在日志文件中,并产生相应的报、将分析结果记录在日志文件中,并产生相应的报告。告。n n2 2、触发警报:如在系统管理员的桌面上产生一个告、触发警报:如在系统管理员的桌面上产生一个告警标志位,向系统管理员发送传呼或电子邮件等等。警标志位,向系统
35、管理员发送传呼或电子邮件等等。n n3 3、修改入侵检测系统或目标系统,如终止进程、切、修改入侵检测系统或目标系统,如终止进程、切断攻击者的网络连接,或更改防火墙配置等。断攻击者的网络连接,或更改防火墙配置等。2024/9/26 周四305 入侵检测系统的实现入侵检测系统的实现入侵检测系统的设置入侵检测系统的设置入侵检测系统的设置入侵检测系统的设置网络安全需要各个安全设备的协同工作和正确设置。由于入网络安全需要各个安全设备的协同工作和正确设置。由于入侵检测系统位于网络体系中的高层,高层应用的多样性导致侵检测系统位于网络体系中的高层,高层应用的多样性导致了入侵检测系统分析的复杂性和对计算资源的高
36、需求。在这了入侵检测系统分析的复杂性和对计算资源的高需求。在这种情形下,对入侵检测设备进行合理的优化设置,可以使入种情形下,对入侵检测设备进行合理的优化设置,可以使入侵检测系统更有效的运行。侵检测系统更有效的运行。下下图图是入侵检测系统设置的基本过程。是入侵检测系统设置的基本过程。可以看出,入侵检测系统的设置需要经过多次回溯,反复调整。可以看出,入侵检测系统的设置需要经过多次回溯,反复调整。2024/9/26 周四31确定安全需求设计IDE的拓扑拓扑改变配置系统磨合调试磨合达标使 用拓扑变更或安全更新调整参数是是否是否否入侵检测系统设置的基本过程入侵检测系统设置的基本过程2024/9/26 周
37、四32入侵检测系统的部署入侵检测系统的部署n n入侵检测器是入侵检测系统的核心。入侵检测器入侵检测器是入侵检测系统的核心。入侵检测器部署的位置,直接影响入侵检测系统的工作性能。部署的位置,直接影响入侵检测系统的工作性能。在规划一个入侵检测系统时,首先要考虑入侵检在规划一个入侵检测系统时,首先要考虑入侵检测器的部署位置。显然,在基于网络的入侵检测测器的部署位置。显然,在基于网络的入侵检测系统中和在基于主机的入侵检测系统中,部署的系统中和在基于主机的入侵检测系统中,部署的策略不同。策略不同。2024/9/26 周四33在基于网络的入侵检测系统中部署入侵检测器在基于网络的入侵检测系统中部署入侵检测器
38、在基于网络的入侵检测系统中部署入侵检测器在基于网络的入侵检测系统中部署入侵检测器基于网络的入侵检测系统主要检测网络数据报文,因此一般将检测器部署在靠近防火墙的地方。具体做法有如下图图所示的几个位置。外部外部网网内部网内部网关键子网关键子网 检测器检测器检测器检测器 检测器检测器检测器检测器124345基于网络的入侵检测器的部署基于网络的入侵检测器的部署2024/9/26 周四34(1 1 1 1)DMZDMZDMZDMZ区区区区在这里,可以检测到的攻击行为是:所有针对向外提供服务的服务器的攻击。由于DMZ中的服务器是外部可见的,因此在这里检测最为需要。同时,由于DMZ中的服务器有限,所以针对这
39、些服务器的检测,可以使入侵检测器发挥最大优势。但是,在DNZ中,检测器会暴露在外部,而失去保护,遭受攻击,导致无法工作。(2 2)内网主干(防火墙内侧)内网主干(防火墙内侧)将检测器放到防火墙的内侧,有如下几点好处:检测器比放在DMZ中安全。所检测到的都是已经渗透过防火墙的攻击行为。从中可以有效地发现防火墙配置的失误。可以检测到内部可信用户的越权行为。由于受干扰的机会少,报警几率也少。2024/9/26 周四35(3 3)外网入口(防火墙外侧)外网入口(防火墙外侧)优势是:可以对针对目标网络的攻击进行计数,并记录最为原始的数据包。可以记录针对目标网络的攻击类型。但是,不能定位攻击的源和目的地址
40、,系统管理员在处理攻击行为上也有难度。(4 4)在防火墙的内外都放置)在防火墙的内外都放置 这种位置可以检测到内部攻击,又可以检测到外部攻击,并且无需猜测攻击是否穿越防火墙。但是,开销较大。在经费充足的情况下是最理想的选择。(5 5)关键子网)关键子网这个位置可以检测到对系统关键部位的攻击,将有限的资源用在最值得保护的地方,获得最大效益/投资比。2024/9/26 周四362.2.2.2.在基于主机的入侵检测系统中部署入侵检测器在基于主机的入侵检测系统中部署入侵检测器在基于主机的入侵检测系统中部署入侵检测器在基于主机的入侵检测系统中部署入侵检测器基于主机的入侵检测系统通常是一个程序。在基于网络的入侵检测器的部署和配置完成后,基于主机的入侵检测将部署在最重要、最需要保护的主机上。2024/9/26 周四37典型的分布式入侵检测系统部署图