第5章(2)-入侵检测复习课程.ppt

1、请您按击鼠标，编辑标题文的格式。,请您按击鼠标，编辑大纲正文格式。,第二个大纲级,第三个大纲级,第四个大纲级,第五个大纲级,第六个大纲级,第七个大纲级,第八个大纲级,第九个大纲级,04/04/07 10:18,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,第5章(2)-入侵检测,04/04/07 10:18,一、概述,什么是入侵检测系统,为什么需要入侵检测,入侵检测系统的作用,入侵检测的相关术语,传统的安全防御技术防火墙,一种高级访问控制设备，置于不同,网络安全域,之间的一系列部件的组合，它是不同网络安全域间通信流的,唯一通道,，能根据企业

2、有关的安全政策,控制,（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,UDP,Block,Host C,Host B,TCP,Pass,Host C,Host A,Destination,Protocol,Permit,Source,根据访问控制规则,决定进出网络的行为,安全域,2,Host C,Host D,安全域,1,Host A,Host B,防火墙的局限性,关于防火墙,防火墙不能安全过滤应用层的非法攻击，如,unicode,攻击,防火墙,对不通过它的连接无能为力，如内网攻击等,防火墙采用静态安全策略技术，因此自身无法动态防御新的非法攻击,04/04/07

3、 10:18,对信息系统的非授权访问及（或）未经许可在信息系统中进行操作,入侵,Intrusion,入侵检测,Intrusion Detection,对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程,入侵检测系统（,IDS,）,用于辅助进行入侵检测或者独立进行入侵检测的自动化工具,什么是入侵检测系统,IDS,Intrusion Detection：通过从计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到入侵的迹象的一种安全技术；,Intrusion Detection System：作为防火墙的合理补充，入侵检测技术能够帮助系统对付

4、网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。,04/04/07 10:18,边界防御的局限,攻击工具唾手可得,入侵教程随处可见,内部网的攻击占总的攻击事件的,70%,以上,没有监测的内部网是内部人员的“自由王国”,入侵行为日益严重,内部的非法访问,防火墙不能防止通向站点的后门。,防火墙一般不提供对内部的保护。,防火墙无法防范数据驱动型的攻击。,防火墙不能防止,Internet,上下载被病毒感染的程序,为什么需要入侵检测系统,04/04/07 10:18,为什么需要入侵检测系统,如：穿透防火墙的攻击,client,10:18,监

5、控室,=,控制中心,Card Key,入侵检测系统的作用,监控前门和保安,监控屋内人员,监控后门,监控楼外,入侵检测的必要性,因为访问控制和保护模型本身存着在以下问题。,（,1,）弱口令问题。,（,2,）静态安全措施不足以保护安全对象属性。,（,3,）软件的,Bug-Free,近期无法解决。,（,4,）软件生命周期缩短和软件测试不充分。,（,5,）系统软件缺陷的修补工作复杂，而且源代码大多数不公开，也缺乏修补,Bug,的专门技术，导致修补进度太慢，因而计算机系统的不安全系统将持续一段时间。,入侵检测的主要目的有：识别入侵者；识别入侵行为；检测和监视已成功的安全突破；为对抗措施即时提供重要信息。

6、因而，入侵检测是非常必要的，可以弥补传统安全保护措施的不足。,入侵检测系统的主要功能是检测，当然还有其他的功能选项，因而增加了计算机系统和网络的安全性。,使用入侵检测系统有如下优点：,检测防护部分阻止不了的入侵；,检测入侵的前兆；,对入侵事件进行归档；,对网络遭受的威胁程度进行评估；,对入侵事件进行恢复。,入侵检测系统利用优化匹配模式和统计学技术把传统的电子数据处理和安全审查结合起来，已经发展成为构筑完整的现代网络安全技术的一个必不可少的部分。,04/04/07 10:18,攻击,事件,攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取,/,破坏,/,篡改目标系统的数据或访问权限

7、在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。,CIDF,将入侵检测系统需要分析的数据统称为事件（,event,）,入侵检测相关术语,检测系统在检测时把系统的正常行为判为入侵行为的错误被称为虚警。,检测系统在检测过程中出现虚警的概率称为系统的虚警率。,false positives,（虚警）,false negatives,（漏警）,检测系统在检测时把某些入侵行为判为正常行为的错误现象称为漏警。,检测系统在检测过程中出现漏警的概率称为系统的漏警率。,04/04/07 10:18,模拟脆弱性主机诱惑攻击者在其上浪费时间,

8、延缓对真正目标的攻击,Honeypot,（蜜罐）,Promiscuous,（混杂模式）,网卡的一种接收模式,在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是 传给它的,1997,年，,DARPA(Defense Advanced Research Projects Agency),资助成立了,CIDF(Common Intrusion Detection Framework),工作组；,其工作目标是制定一套入侵检测系统的公共框架，使得不同的,IDR(Intrusion Detection and Response Projections),组件能够互相交换和共享信息，并允许不同的

9、IDR,子系统能够得到复用；,CIDF,将标准化的重点放在入侵检测系统的不同组件之间的合作上；,CIDF,定义了四个方面的标准：,Architecture,；,Communication,；,Language,；,API,。,CIDF,IETF,（,Internet Engineering Task Force,）下属的,IDWG,（,ID Working Group,）。,入侵检测信息交换格式（,ID Message Exchange Format,IDMEF,）对组件之间的通信进行了标准化。,IDMEF,使用面向对象的模型来表示其数据格式，可以提供强大的兼容性与可扩展性。,IDMEF,的

10、通信规范就是入侵警告协议（,Intrusion Alert Protocol,IAP,）。,CIWG,04/04/07 10:18,二、入侵检测系统的分类,按数据检测方法分类,按系统结构分类,按时效性分类,按照数据来源分类,异常检测模型（,Anomaly Detection):,首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵,误用检测模型（,Misuse Detection),：,收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵,按照分析方法（检测方法）,04/04/07 10:18,集

11、中式：系统的各个模块包括数据的收集分析集中在一台主机上运行,分布式：系统的各个模块分布在不同的计算机和设备上,按系统结构分类,04/04/07 10:18,离线入侵检测系统（,off-line IDS,）,在线入侵检测系统（,On-line IDS,）,根据时效性分类,04/04/07 10:18,基于主机的入侵检测系统（,HIDS,）,基于网络的入侵检测系统（,NIDS,）,混合型入侵检测系统（,Hybrid IDS,）,网络节点入侵检测系统（,NNIDS,）,按数据来源分类,04/04/07 10:18,HIDS,定义,运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态

12、发现系统资源被非法使用和修改的事件，进行上报和处理,特点,安装于被保护的主机中,系统日志,系统调用,文件完整性检查,主要分析主机内部活动,占用一定的系统资源,04/04/07 10:18,收集,过程,ID:2092,用户名,:Administrator,登录,ID:(0 x0,0 x141FA),分析处理,文 进 日 注册,.,件 程 志 表,.,结果,主机入侵检测系统运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。其监测的资源主要包括：网络、文件、进程、系统日志等,04/04/07 10:18,HIDS,优势,(1

13、),精确地判断攻击行为是否成功。,(2),监控主机上特定用户活动、系统运行情况,(3)HIDS,能够检测到,NIDS,无法检测的攻击,(4)HIDS,适用加密的和交换的环境。,(5),不需要额外的硬件设备。,04/04/07 10:18,HIDS,的劣势,(1)HIDS,对被保护主机的影响。,(2)HIDS,的安全性受到宿主操作系统的限制。,(3)HIDS,的数据源受到审计系统限制。,(4),被木马化的系统内核能够骗过,HIDS,。,(5),维护,/,升级不方便。,04/04/07 10:18,NIDS,定义,通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的

14、审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。,特点,安装在被保护的网段（通常是共享网络）中,混杂模式监听,分析网段中所有的数据包,实时检测和响应,NIDS,在网络的位置,探测引擎,交换机,数据镜像,控制台,Internet,路由器,内部局域网,IDS,防火墙,04/04/07 10:18,NIDS,实现,01 01 01 01,01 01 01 01,收集,01 01 01 01 01 01,01 01 01 01 01 01 0101010101010,分析处理,结果,网络,IDS,通过抓取网络上的所有报文，分析处理后，报告异常。,04/04/07 10:

15、18,NIDS,优势,(1),实时分析网络数据，检测网络系统的非法行为；,(2),网络,IDS,系统单独架设，不占用其它计算机系统的任何资源；,(3),网络,IDS,系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高；,(4),它既可以用于实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证；,(5),通过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止非法入侵和破坏。,(6),不会增加网络中主机的负担,04/04/07 10:18,NIDS,的劣势,(1),不适合交换环境和高速环境,(2),不能处理加密数据,(3),资源及处理能力局限,(4),系统相关的脆弱性

16、HIDS和NIDS的比较,安装于被保护的主机中,主要分析主机内部活动,系统日志,系统调用,文件完整性检查,占用一定的系统资源,安装在被保护的网段中,混杂模式监听,分析网段中所有的数据包,实时检测和响应,操作系统无关性,不会增加网络中主机的负担,入侵检测系统,网络型入侵检测系统,主机型入侵检测系统,04/04/07 10:18,CIDF,组件,事件产生器（,Event generators,）,事件分析器（,Event analyzers,）,响应单元（,Response units,）,事件数据库（,Event databases,）,Common Intrusion Detection F

17、rame,组件,04/04/07 10:18,CIDF,组件,04/04/07 10:18,常见产品形态组件,策略下发,上报事件,控制中心,探测引擎,表现方式：软件,功能：,接收事件,策略下发,日志记录与分析,事件库升级,表现方式：硬件,/,软件,功能：,抓包,分析数据,上报事件,04/04/07 10:18,三、入侵检测系统关键技术,数据采集技术,数据检测技术,数据分析技术,数据采集技术,04/04/07 10:18,数据采集技术,高速网络线速采集,Dedicated NIC Driver,DMA-based zero copy,包俘获,包俘获库,Libcap,windowsNT,下,Gob

18、ber,、,Ethdump,和,Ethload,UNIX,下,CSPF,、,BPF,基于流的包俘获,主机信息采集,应用程序日志,审计日志,网络端口的连接状况,系统文件,04/04/07 10:18,基于误用的检测方法,基于异常的检测方法,数据检测技术,04/04/07 10:18,运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。,通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。,也被称为违规检测,(Misuse Detection),。,检测准确度很高。,基于误用的检测方法,数据检测技术,04/04/07 10:18,专家系统,模型匹配检

19、测系统,状态转换分析,具体实现,数据检测技术,基于误用的检测方法,04/04/07 10:18,攻击信息使用的输入使用,if,then,的语法。,指示入侵的具体条件放在规则的左边（,if,侧），当满足这些规则时，规则执行右边（,then,侧）的动作。,专家系统,基于误用的检测方法,04/04/07 10:18,模式匹配检测,基于误用的检测方法,根据知识建立攻击脚本库，每一脚本都由一系列攻击行为组成。,有关攻击者行为的知识被描述为：攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特殊使用等。,04/04/07 10:18,0 0050 dac6 f2d6 00b0 d04d cbaa 0

20、800 4500 .P.M.E.,10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P,20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:.P.,30 16d0 f6e5 0000,4745 5420 2f70 726f 6475,.,GET/produ,40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima,50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage,60

21、 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1.,70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept:*/*.Ref,80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer:www,90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless,b0 2f73 746f 7265 2f0d 0a41 6363

22、6570 742d /store/.Accept-,c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language:en-us.,d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding,e0 3a20 677a 6970 2c20 6465 666c 6174 650d :gzip,deflate.,f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent:Moz,100 696c 6c61 2f34 2e30 2028 636f 6d70

23、 6174 illa/4.0(compat,110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible;MSIE 5.01;,120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0),130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host:www.amer,140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne,150 6374 696f 6e3a 204b 6565 702d 416c 6976 ctio

24、n:Keep-Aliv,160 650d 0a0d 0a e.,基于误用的检测方法,模式匹配检测示例,04/04/07 10:18,优点,可检测出所有对系统来说是已知的入侵行为,系统安全管理员能够很容易地知道系统遭受到的是那种入侵攻击并采取相应的行动,局限：,它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。,系统运行的环境与知识库中关于攻击的知识有关。,对于系统内部攻击者的越权行为，由于他们没有利用系统的缺陷，因而很难检测出来。,基于误用的检测方法,04/04/07 10:18,基本原理,前提：入侵是异常活动的子集,

25、用户轮廓,(Profile):,通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围,过程,监控,量化,比较,判定,修正,指标,:,漏报率低,误报率高,基于异常的检测方法,04/04/07 10:18,具体实现,基于统计学方法的异常检测,基于神经网络的异常检测,基于数据挖掘的异常检测,04/04/07 10:18,记录的具体操作包括：CPU 的使用，I/O 的使用，使用地点及时间，邮件使用，编辑器使用，编译器使用，所创建、删除、访问或改变的目录及文件，网络上活动等。,基于统计学方法,操作密度,审计记录分布,范畴尺度,数值尺度,04/04/07 10:18,基于神经网络,04/04/07

26、10:18,数据挖掘是指从大量实体数据抽象出模型的处理；,目的是要从海量数据中提取对用户有用的数据；,这些模型经常在数据中发现对其它检测方式不是很明显的异常。,主要方法：聚类分析、连接分析和顺序分析。,基于数据挖掘技术的异常检测,04/04/07 10:18,优点,不需要操作系统及其安全性缺陷专门知识,能有效检测出冒充合法用户的入侵,缺点,为用户建立正常行为模式的特征轮廓和对用户活动的异常性报警的门限值的确定都比较困难,不是所有入侵者的行为都能够产生明显的异常性,有经验的入侵者还可以通过缓慢地改变他的行为，来改变入侵检测系统中的用户正常行为模式，使其入侵行为逐步变为合法。,误用检测和异常检测的

27、对比,入侵检测模型,异常检测,(Anomaly Detection,）指根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测。,误用检测（,Misuse Detection,）指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。,模式匹配为,误用检测的典型应用,异常检测模型,误用检测,模型,04/04/07 10:18,数据分析技术,协议解析,有限状态自动机,ACBM字符串匹配,正则表达式,事件规则树,完整性分析,04/04/07 10:18,协议分析与解码,ETHER,ARP,IP,RARP,ICMP,IGMP,TCP,UDP,POP3,

28、FTP,HTTP,。,DNS,04/04/07 10:18,匹配规则子集,ETHER,ARP,IP,RARP,ICMP,IGMP,TCP,UDP,POP3,FTP,HTTP,。,DNS,ETHER,规则子集,IP,规则子集,TCP,规则子集,HTTP,规则子集,匹配的规则子集,HTTP,报文的解析路径,04/04/07 10:18,协议分析的优点,提高了性能,提高了准确性,基于状态的分析,反规避能力,系统资源开销小,检测实例,老版本的,Sendmail,有一个漏洞，,telnet,到,25,端口，输入,wiz,，然后接着输入超过,1024Kb,的,shellcode,，就能获得一个,roots

29、hell,，还有通过,debug,命令的方式，也能获得,root,权限，进而控制系统。,$telnet 25,WIZ,Shell,ecx 0 x943a3145-1808125627,edx 0 x408d17fc 1082988540,。,或者,DEBUG,#*,直接获得,rootshell,！,04/04/07 10:18,检查每个,packet,是否包含：,“,WIZ,”,|,“,DEBUG,”,简单的匹配,检测实例,04/04/07 10:18,检测实例,缩小匹配范围,Port 25:,“,WIZ,”,|,“,DEBUG,”,检查端口号,04/04/07 10:18,检测实例,只判断客

30、户端发送部分,Port 25:,Client-sends:“WIZ”|,Client-sends:“DEBUG”,深入决策树,04/04/07 10:18,检测实例,状态检测,+,引向异常的分支,Port 25:,stateful client-sends:“WIZ”|,stateful client-sends:“DEBUG”,after stateful“DATA”client-sends line 1024 bytes means possible buffer overflow,更加深入,04/04/07 10:18,四、入侵检测系统的外围支撑技术,联动机制,响应机制,日志分析,事件过

31、滤技术,漏洞机理研究,04/04/07 10:18,五、入侵检测系统应用指南,IDS,的部署,评价,IDS,的性能和功能指标,典型,IDS,产品介绍,04/04/07 10:18,IDS,的部署,共享模式,隐蔽模式,交换模式,In-line,模式,TAP,模式,04/04/07 10:18,共享环境,HUB,IDS,探测器,被监测机器,控制台,SPAM,模式通过镜像端口从,HUB,上的任意一个接口，或者在交换机上设置成监听模式的监听端口上收集信息。,04/04/07 10:18,交换机,IDS,探测器,被监测机器,控制台,通过端口镜像实现,交换环境,隐蔽模式,HUB,IDS,探测器,被监测机器

32、控制台,监测口无,IP,地址,隐蔽模式使得,IDS,在对外界不可见的情况下正常工作。这种,IDS,大多数用在,DMZ,外，在防火墙的保护之外。它有自动响应的缺点。例如采用双网卡的技术，一个网卡绑定,IP,，用来与,console,（控制台）通信，另外一个网卡无,IP,，用来收集网络数据包，其中连在网络中的是无,IP,的网卡，因为没有,IP,，所以可以免受直接攻击。,04/04/07 10:18,In-Line,模式,直接将,IDS,串接在通信线路中。,04/04/07 10:18,TAP,模式,以双向监听全双工以太网连接中的网络通信信息，这样能捕捉到网络中的所有流量，能更好地了解网络攻击的发

33、生源和攻击的性质，为阻止网络攻击提供丰富的信息，并能记录完整的状态信息，使得与防火墙联动或发送,Reset,包更加容易。,04/04/07 10:18,评价,IDS,的性能指标,Porras,等给出了评价入侵检测系统性能的三个因素：,准确性（,Accuracy,）,处理性能（,Performance,）,完备性（,Completeness,）,Debar,等增加了两个性能评价测度,容错性（,Fault Tolerance,）,及时性（,Timeliness,）,04/04/07 10:18,评价,IDS,的性能指标,HIDS,：漏报率、误报率、资源占用率；,NIDS,：漏报率、误报率、特征库强

34、度；,模拟背景流量,-,硬件：,SmartBits,，人为构造一定大小的数据报，从,64bytes,到,1518bytes,，衡量不同,pps(packets per second),下,IDS,对攻击的检测情况。,-,软件：,tcpdump&tcpreplay,，对流量的回放。,测试性能,04/04/07 10:18,评价,IDS,功能指标,系统结构,管理模式,通讯安全,策略灵活性,自定义事件,事件库更新,易用性,综合分析,事件数量,结构：,探测引擎,:,控制台：,检测能力,事件响应,自身安全,04/04/07 10:18,评价,IDS,的功能指标,控制中心,探测引擎,控制中心,请求,应答,

35、请求,？,传输数据是明文还是密文？,通讯安全,04/04/07 10:18,IDS,的功能指标,主动,-,入侵检测系统自身阻断,-,与防火墙联动,-,与,Scanner,联动,-,与防病毒产品联动,-,与交换机联动,响应方式,被动,屏幕告警,邮件告警,手机告警,声音告警,SNMP,告警,自定义告警,04/04/07 10:18,IDS,功能指标,自身安全,自身操作系统的安全,自身程序的安全,地址透明度,抗打击能力,04/04/07 10:18,IDS,的功能指标,日志分析,04/04/07 10:18,典型,IDS,产品介绍,国外,ISS RealSecure(WinNT),NFR Security NID-100/200,NAI CyberCop Intrusion Protection,Cisco NetRanger(Unix),snort,04/04/07 10:18,启明星辰天阗,金诺,KIDS,中联绿盟冰之眼,东软,Neteye,典型,IDS,产品介绍,国内,04/04/07 10:18,六、入侵检测系统发展趋势,学术界,智能化检测算法,数据挖掘,产业界,应用层入侵检测的研究,入侵检测系统的标准化工作,宽带高速网络的实时入侵检测系统,入侵追踪、起诉的支持,IDS,IPS,IMS,此课件下载可自行编辑修改，仅供参考！感谢您的支持，我们努力做得更好！谢谢,