第 7 章 入侵檢測技術,本章學習目標： 了解入侵檢測系統的原理 掌握入侵檢測系統的核心技術 了解入侵檢測系統的作用 了解入侵檢測技術的發展趨勢 掌握入侵檢測系統在網絡安全中的地位 掌握評價入侵檢測系統的性能指標,7.1 入侵檢測系統概述,防火墻是所有保護網絡的方法中最能普遍接受的方法，能阻擋外部入侵者，但對內部攻擊無能為力；同時，防火墻絕對不是堅不可摧的，即使是某些防火墻本身也會引起一些安全問題。防火墻不能防止通向站點的后門，不提供對內部的保護，無法防范數據驅動型的攻擊，不能防止用戶由Internet上下載被病毒感染的計算機程序或將該類程序附在電子郵件上傳輸。,入侵檢測是防火墻的合理補充，它幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高了信息安全基礎結構的完整性。,7.1 入侵檢測系統概述,7.1.1 相關術語,攻擊 攻擊者利用工具，出于某種動機，對目標系統采取的行動，其后果是獲取/破壞/篡改目標系統的數據或訪問權限 事件 在攻擊過程中發生的可以識別的行動或行動造成的后果；在入侵檢測系統中，事件常常具有一系列屬性和詳細的描述信息可供用戶查看。 CIDF 將入侵檢測系統需要分析的數據統稱為事件（event）,入侵 對信息系統的非授權訪問及（或）未經許可在信息系統中進行操作 入侵檢測 對企圖入侵、正在進行的入侵或已經發生的入侵進行識別的過程 入侵檢測系統（IDS） 用于輔助進行入侵檢測或者獨立進行入侵檢測的自動化工具,7.1 入侵檢測系統概述,7.1.1 相關術語,入侵檢測（Intrusion Detection）技術是一種動態的網絡檢測技術，主要用于識別對計算機和網絡資源的惡意使用行為，包括來自外部用戶的入侵行為和內部用戶的未經授權活動。一旦發現網絡入侵現象，則應當做出適當的反應。對于正在進行的網絡攻擊，則采取適當的方法來阻斷攻擊（與防火墻聯動），以減少系統損失。對于已經發生的網絡攻擊，則應通過分析日志記錄找到發生攻擊的原因和入侵者的蹤跡，作為增強網絡系統安全性和追究入侵者法律責任的依據。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。,7.1 入侵檢測系統概述,7.1.2 入侵檢測,7.1 入侵檢測系統概述,入侵檢測系統,入侵檢測系統（IDS）由入侵檢測的軟件與硬件組合而成，被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現： 1）監視、分析用戶及系統活動。 2）系統構造和弱點的審計。 3）識別反映已知進攻的活動模式并向相關人士報警。 4）異常行為模式的統計分析。 5）評估重要系統和數據文件的完整性。 6）操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。,7.1 入侵檢測系統概述,7.1.3 入侵檢測系統的作用,監控網絡和系統 發現入侵企圖或異常現象 實時報警 主動響應 審計跟蹤,形象地說，它就是網絡攝像機，能夠捕獲并記錄網絡上的所有數據，同時它也是智能攝像機，能夠分析網絡數據并提煉出可疑的、異常的網絡數據，它還是X光攝像機，能夠穿透一些巧妙的偽裝，抓住實際的內容。它還不僅僅只是攝像機，還包括保安員的攝像機.,7.1 入侵檢測系統概述,7.1 入侵檢測系統概述,7.1.4 入侵檢測的發展歷程,1980年，概念的誕生 19841986年，模型的發展 1990年，形成網絡IDS和主機IDS兩大陣營 九十年代后至今，百家爭鳴、繁榮昌盛,7.2 入侵檢測的原理與技術,7.2.1 入侵檢測的實現方式,入侵檢測系統根據數據包來源的不同，采用不用的實現方式，一般地可分為網絡型、主機型，也可是這兩種類型的混合應用。,基于網絡的入侵檢測系統（NIDS） 基于主機的入侵檢測系統（HIDS） 混合型入侵檢測系統（Hybrid IDS）,7.2 入侵檢測的原理與技術,7.2.1 入侵檢測的實現方式,1、網絡IDS： 網絡IDS是網絡上的一個監聽設備(或一個專用主機)，通過監聽網絡上的所有報文，根據協議進行分析，并報告網絡中的非法使用者信息。,安裝在被保護的網段（通常是共享網絡，交換環境中交換機需支持端口映射）中 混雜模式監聽 分析網段中所有的數據包 實時檢測和響應,7.2 入侵檢測的原理與技術,圖7-1 網絡IDS工作模型,7.2 入侵檢測的原理與技術,網絡IDS優勢,(1) 實時分析網絡數據，檢測網絡系統的非法行為； (2) 網絡IDS系統單獨架設，不占用其它計算機系統的任何資源； (3) 網絡IDS系統是一個獨立的網絡設備，可以做到對黑客透明，因此其本身的安全性高； (4) 它既可以用于實時監測系統，也是記錄審計系統，可以做到實時保護，事后分析取證； (5) 通過與防火墻的聯動，不但可以對攻擊預警，還可以更有效地阻止非法入侵和破壞。 (6)不會增加網絡中主機的負擔。,7.2 入侵檢測的原理與技術,網絡IDS的劣勢,(1)不適合交換環境和高速環境 (2)不能處理加密數據 (3) 資源及處理能力局限 (4) 系統相關的脆弱性,7.2 入侵檢測的原理與技術,7.2.1 入侵檢測的實現方式,2、主機IDS： 運行于被檢測的主機之上，通過查詢、監聽當前系統的各種資源的使用運行狀態，發現系統資源被非法使用和修改的事件，進行上報和處理。, 安裝于被保護的主機中 主要分析主機內部活動 占用一定的系統資源,7.2 入侵檢測的原理與技術,主機IDS優勢,(1) 精確地判斷攻擊行為是否成功。 (2) 監控主機上特定用戶活動、系統運行情況 (3) HIDS能夠檢測到NIDS無法檢測的攻擊 (4) HIDS適用加密的和交換的環境。 (5) 不需要額外的硬件設備。,7.2 入侵檢測的原理與技術,主機IDS的劣勢,(1) HIDS對被保護主機的影響。 (2) HIDS的安全性受到宿主操作系統的限制。 (3) HIDS的數據源受到審計系統限制。 (4) 被木馬化的系統內核能夠騙過HIDS。 (5) 維護/升級不方便。,7.2 入侵檢測的原理與技術,3、兩種實現方式的比較： 1)如果攻擊不經過網絡基于網絡的IDS無法檢測到只能通過使用基于主機的IDS來檢測； 2)基于網絡的IDS通過檢查所有的包頭來進行檢測，而基于主機的IDS并不查看包頭。主機IDS往往不能識別基于IP的拒絕服務攻擊和碎片攻擊； 3)基于網絡的IDS可以研究數據包的內容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實時檢查包序列的IDS迅速識別；而基于主機的系統無法看到負載，因此也無法識別嵌入式的數據包攻擊。,7.2 入侵檢測的原理與技術,4、混合型入侵檢測系統（Hybrid IDS） 在新一代的入侵檢測系統中將把現在的基于網絡和基于主機這兩種檢測技術很好地集成起來，提供集成化的攻擊簽名檢測報告和事件關聯功能。 可以深入地研究入侵事件入侵手段本身及被入侵目標的漏洞等。,7.2 入侵檢測的原理與技術,7.2.2 IDS的基本結構,無論IDS系統是網絡型的還是主機型的，從功能上看，都可分為兩大部分：探測引擎和控制中心。前者用于讀取原始數據和產生事件；后者用于顯示和分析事件以及策略定制等工作。,7.2 入侵檢測的原理與技術,7.2.2 IDS的基本結構,圖7-3 引擎的工作流程,引擎的主要功能為：原始數據讀取、數據分析、產生事件、策略匹配、事件處理、通信等功能,7.2 入侵檢測的原理與技術,7.2.2 IDS的基本結構,圖7-4 控制中心的工作流程,控制中心的主要功能為：通信、事件讀取、事件顯示、策略定制、日志分析、系統幫助等。,7.2 入侵檢測的原理與技術,7.2.3 IDS采用的技術,入侵檢測主要通過專家系統、模式匹配、協議分析或狀態轉換等方法來確定入侵行為。入侵檢測技術有： 靜態配置分析技術 異常檢測技術 誤用檢測技術,1靜態配置分析技術 靜態配置分析是通過檢查系統的當前系統配置，諸如系統文件的內容或系統表，來檢查系統是否已經或者可能會遭到破壞。靜態是指檢查系統的靜態特征(系統配置信息)，而不是系統中的活動。,7.2 入侵檢測的原理與技術,7.2.3 IDS采用的技術,2、異常檢測技術 通過對系統審計數據的分析建立起系統主體(單個用戶、一組用戶、主機，甚至是系統中的某個關鍵的程序和文件等)的正常行為特征輪廓；檢測時，如果系統中的審計數據與已建立的主體的正常行為特征有較大出入就認為是一個入侵行為。這一檢測方法稱“異常檢測技術”。 一般采用統計或基于規則描述的方法建立系統主體的行為特征輪廓，即統計性特征輪廓和基于規則描述的特征輪廓。,7.2 入侵檢測的原理與技術,7.2.3 IDS采用的技術,3誤用檢測技術 誤用檢測技術(Misuse Detection)通過檢測用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統中缺陷或是間接地違背系統安全規則的行為，來檢測系統中的入侵活動，是一種基于已有的知識的檢測。 這種入侵檢測技術的主要局限在于它只是根據已知的入侵序列和系統缺陷的模式來檢測系統中的可疑行為，而不能處理對新的入侵攻擊行為以及未知的、潛在的系統缺陷的檢測。,7.2 入侵檢測的原理與技術,7.2.4 入侵檢測分析技術的比較,1模式匹配的缺陷 1）計算負荷大 2）檢測準確率低,2協議分析新技術的優勢 1）提高了性能 2）提高了準確性 3）反規避能力 4）系統資源開銷小,7.3 入侵檢測系統的性能指標,1系統結構,好的IDS應能采用分級、遠距離分式部署和管理。,7.3 入侵檢測系統的性能指標,2事件數量,考察IDS系統的一個關鍵性指標是報警事件的多少。一般而言，事件越多，表明IDS系統能夠處理的能力越強。,3處理帶寬,IDS的處理帶寬，即IDS能夠處理的網絡流量，是IDS的一個重要性能。目前的網絡IDS系統一般能夠處理2030M網絡流量，經過專門定制的系統可以勉強處理4060M的流量。,7.3 入侵檢測系統的性能指標,4探測引擎與控制中心的通信,作為分布式結構的IDS系統，通信是其自身安全的關鍵因素。通信安全通過身份認證和數據加密兩種方法來實現。 身份認證是要保證一個引擎，或者子控制中心只能由固定的上級進行控制，任何非法的控制行為將予以阻止。身份認證采用非對稱加密算法，通過擁有對方的公鑰，進行加密、解密完成身份認證。,7.3 入侵檢測系統的性能指標,5事件定義,事件的可定義性或可定義事件是IDS的一個主要特性。,6二次事件,對事件進行實時統計分析，并產生新的高級事件能力。,7事件響應,通過事件上報、事件日志、Email通知、手機短信息、語音報警等方式進行響應。,還可通過TCP阻斷、防火墻聯動等方式主動響應。,7.3 入侵檢測系統的性能指標,8自身安全,自身安全指的是探測引擎的安全性。要有良好的隱蔽性，一般使用定制的操作系統。,9終端安全,主要指控制中心的安全性。有多個用戶、多個級別的控制中心，不同的用戶應該有不同的權限，保證控制中心的安全性。,7.4 入侵防御系統簡介,IDS只能被動地檢測攻擊，而不能主動地把變化莫測的威脅阻止在網絡之外。因此，人們迫切地需要找到一種主動入侵防護解決方案，以確保企業網絡在威脅四起的環境下正常運行。,入侵防御系統（Intrusion Prevention System或Intrusion Detection Prevention，即IPS或IDP）就應運而生了。IPS是一種智能化的入侵檢測和防御產品，它不但能檢測入侵的發生，而且能通過一定的響應方式，實時地中止入侵行為的發生和發展，實時地保護信息系統不受實質性的攻擊。IPS使得IDS和防火墻走向統一。,IPS在網絡中一般有四種連接方式：Span（接在交換機旁邊，作為端口映像）、Tap（接在交換機與路由器中間，旁路安裝，拷貝一份數據到IPS中）、Inline（接在交換機與路由器中間，在線安裝，在線阻斷攻擊）和Port-cluster（被動抓包，在線安裝）。它在報警的同時，能阻斷攻擊。,7.5 蜜網陷阱Honeynet,Honeynet是一個網絡系統，并非某臺單一主機，這一網絡系統隱藏在防火墻的后面，所有進出的數據都受到關注、捕獲及控制。這些被捕獲的數據用來研究分析入侵者們使用的工具、方法及動機。在一個Honeynet中，可以使用各種不同的操作系統及設備，如Solaris、Linux、Windows NT、Cisco Switch等。 這樣，建立的網絡環境看上去會更加真實可信，同時還有不同的系統平臺上面運行著不同的服務，比如Linux的DNS Server、WindowsNT的WebServer或者一個Solaris的FTP Server，可以使用不同的工具以及不同的策略或許某些入侵者僅僅把目標定于幾個特定的系統漏洞上，而這種多樣化的系統，就可能更多地揭示出入侵者的一些特性。,7.5 蜜網陷阱Honeynet,利用Snort軟件安裝Win2000Server下的蜜網陷阱,Snort 是一個強大的輕量級的網絡入侵檢測系統。它具有實時數據流量分析和日志IP網絡數據包的能力，能夠進行協議分析，對內容進行搜索/匹配。它能夠檢測各種不同的攻擊方式，對攻擊進行實時報警。 構建完整的Snort系統需要以下軟件，詳細安裝方法請參照網上相關資料。 acid-0.9.6b23.tar.gz 基于php 的入侵檢測數據庫分析控制臺 adodb360.zip ADOdb（Active Data Objects Data Base）庫for PHP apache_2.0.46-win32-x86-no_src.msi Windows 版本的Apache Web 服務器 jpgraph-1.12.2.tar.gz OO 圖形庫for PHP mysql-4.0.13-win.zip Windows 版本的Mysql 數據庫服務器 php-4.3.2-Win32.zip Windows 版本的php 腳本環境支持 snort-2_0_0.exe Windows 版本的Snort 安裝包 WinPcap_3_0.exe 網絡數據包截取驅動程序 phpmyadmin-2.5.1-php.zip 基于php 的Mysql 數據庫管理程序,7.6 天闐黑客入侵檢測與預警系統,天闐黑客入侵檢測與預警系統是一