1、入侵檢測(cè)與病毒防范入侵檢測(cè)系統(tǒng)入侵檢測(cè)與病毒防范提綱 入侵檢測(cè)概述 入侵檢測(cè)系統(tǒng)結(jié)構(gòu) 入侵檢測(cè)方法 入侵檢測(cè)系統(tǒng)舉例 入侵檢測(cè)技術(shù)發(fā)展趨勢(shì)入侵檢測(cè)與病毒防范入侵檢測(cè)概述 計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的防御措施不是絕對(duì)安全的，IDS作為安全防護(hù)的第二道防線 入侵檢測(cè)系統(tǒng)（IDS）用來(lái)檢測(cè)對(duì)計(jì)算機(jī)、網(wǎng)絡(luò)或者更廣泛的信息系統(tǒng)的攻擊，包括外部非法入侵者的惡意攻擊或試探、內(nèi)部合法用戶的未授權(quán)訪問(wèn)。 對(duì)入侵檢測(cè)系統(tǒng)的需求： 實(shí)時(shí)地檢測(cè)如入侵行為 有效地阻止入侵或者與其它的控制機(jī)制聯(lián)動(dòng)入侵檢測(cè)與病毒防范入侵檢測(cè)概述 數(shù)據(jù)的來(lái)源 主機(jī)的審計(jì)日志， 基于主機(jī)的（Host- Based） IDS 網(wǎng)絡(luò)流量數(shù)據(jù)， 基于網(wǎng)絡(luò)的（

2、Network-Based ）IDS 分析方法 特征匹配， Rule-based, Misuse 異常檢測(cè), Abnomal入侵檢測(cè)與病毒防范提綱 入侵檢測(cè)概述 入侵檢測(cè)系統(tǒng)結(jié)構(gòu) 入侵檢測(cè)方法 入侵檢測(cè)系統(tǒng)舉例 入侵檢測(cè)技術(shù)發(fā)展趨勢(shì)入侵檢測(cè)與病毒防范入侵檢測(cè)系統(tǒng)結(jié)構(gòu) 入侵檢測(cè)系統(tǒng)的一般結(jié)構(gòu)數(shù)據(jù)采集數(shù)據(jù)采集（Sensor）分析器分析器知識(shí)庫(kù)知識(shí)庫(kù)響應(yīng)響應(yīng)/控制控制響應(yīng)政策響應(yīng)政策配置信息配置信息告警告警控制控制入侵檢測(cè)與病毒防范基于主機(jī)的入侵檢測(cè) 信息來(lái)源 系統(tǒng)狀態(tài)信息（CPU, Memory, Network） 記賬（Accounting）信息 審計(jì)信息（Audit），登錄認(rèn)證、操作審計(jì)，如s

3、yslog等 應(yīng)用系統(tǒng)提供的審計(jì)記錄入侵檢測(cè)與病毒防范基于主機(jī)的入侵檢測(cè) 基于主機(jī)的入侵檢測(cè)的缺點(diǎn) 需要在主機(jī)上運(yùn)行，占用系統(tǒng)資源 多數(shù)是事后的分析，實(shí)時(shí)性差 異構(gòu)的平臺(tái)支持困難入侵檢測(cè)與病毒防范基于主機(jī)的分布式入侵檢測(cè)分布式入侵檢測(cè)系統(tǒng)分布式入侵檢測(cè)系統(tǒng)Agent入侵檢測(cè)與病毒防范基于網(wǎng)絡(luò)的入侵檢測(cè) 信息來(lái)源于網(wǎng)絡(luò)上的數(shù)據(jù)包 被動(dòng)監(jiān)聽方式工作，不影響網(wǎng)絡(luò)性能 分析網(wǎng)絡(luò)協(xié)議數(shù)據(jù)，與系統(tǒng)平臺(tái)無(wú)關(guān)。HUBIDS SensorMonitored Servers入侵檢測(cè)與病毒防范基于網(wǎng)絡(luò)的入侵檢測(cè)FrameHeaderIP DatagramHeaderICMP/UDP/TCPHeaderFrame D

4、ata AreaIP DataProtocolDataInterface LayerInternet LayerTransport Layer協(xié)議分析協(xié)議分析入侵檢測(cè)與病毒防范基于網(wǎng)絡(luò)的入侵檢測(cè)EthernetIPTCP模式匹配EthernetIPTCP協(xié)議分析HTTPUnicodeXML入侵檢測(cè)與病毒防范直接的模式匹配 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.M.E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1

5、 5018 .P.b2.A:.P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 64754745 5420 2f70 726f 6475 .GET /produ GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 50 6765 732f

6、 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1. 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1. 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: * */ /* *.Ref .Ref 80 6572 6572

7、3a20 6874 7470 3a2f 2f77 7777 erer: 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 7

8、46f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding d0 0a41 636

9、3 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz 100 696c 6c

10、61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible; MSIE 5.01; 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible; MSIE 5.01; 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 120 205

11、7 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976

12、 ction: Keep-Aliv 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: Keep-Aliv 160 650d 0a0d 0a e. 160 650d 0a0d 0a e.入侵檢測(cè)與病毒防范經(jīng)過(guò)協(xié)議解碼之后的協(xié)議分析 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.M.E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:.P. 30

13、16d0 f6e5 0000 4745 5420 2f70 726f 6475 .GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765686f 6d65 5f63 6f6c 6c61 6765 ges/home_collagehome_collage 60 322e 6a70 6720322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg2.jpg HTTP/1.1. 70 4163 6

14、365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*.Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- c0 4c61 6e67 7561 6765 3a20 656e 2d75 7

15、30d Language: en-us. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 110 6962 6c65 3b20 4d53 4945 2035 2e30

16、 313b ible; MSIE 5.01; 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: Keep-Aliv 160 650d 0a0d 0a e.入侵檢測(cè)與病毒防范混合型的分布式入侵檢測(cè)系統(tǒng)主機(jī)主機(jī)主機(jī)主機(jī)流量流量分

17、析器分析器流量流量分析器分析器主機(jī)代理主機(jī)代理管理器管理器AgentAgent主機(jī)代理主機(jī)代理網(wǎng)絡(luò)代理網(wǎng)絡(luò)代理管理器管理器入侵檢測(cè)與病毒防范混合型的分布式入侵檢測(cè)系統(tǒng) 分布式入侵檢測(cè)系統(tǒng)需要考慮的主要問(wèn)題 不同的入侵檢測(cè)Agent之間的協(xié)調(diào)； 不同審計(jì)記錄格式：主機(jī)，網(wǎng)絡(luò)； 網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)量可能會(huì)影響網(wǎng)絡(luò)性能； 數(shù)據(jù)傳輸?shù)谋Ｃ苄耘c完整性，比如SNMP Trap v2 ； 層次結(jié)構(gòu)入侵檢測(cè)與病毒防范提綱 入侵檢測(cè)概述 入侵檢測(cè)系統(tǒng)結(jié)構(gòu) 入侵檢測(cè)方法 入侵檢測(cè)系統(tǒng)舉例 入侵檢測(cè)技術(shù)發(fā)展趨勢(shì)入侵檢測(cè)與病毒防范入侵檢測(cè)方法 特征匹配，誤用/濫用（Misuse） 根據(jù)已知的攻擊方法或系統(tǒng)安全缺陷方面的

18、知識(shí)，建立特征（ Signature ） 數(shù)據(jù)庫(kù)，然后在收集到的網(wǎng)絡(luò)活動(dòng)中尋找匹配的使用模式（Pattern） 專家系統(tǒng)是常用的方法，其知識(shí)庫(kù)表現(xiàn)為一系列推導(dǎo)規(guī)則（Rules）,因此誤用檢測(cè)也稱為基于規(guī)則的檢測(cè)技術(shù) 準(zhǔn)確率較高 只能檢測(cè)已知的攻擊入侵檢測(cè)與病毒防范入侵檢測(cè)方法 異常（Anomaly）檢測(cè) 非規(guī)則檢測(cè)建立在如下假設(shè)的基礎(chǔ)上：入侵行為與合法用戶或者系統(tǒng)的正常或者期望的行為有偏差。 正常的行為模式可以從大量歷史活動(dòng)資料的分析統(tǒng)計(jì)中得到。 任何不符合以往活動(dòng)規(guī)律的行為都被視為是入侵行為。 能夠檢測(cè)出未知的攻擊 誤報(bào)率很高入侵檢測(cè)與病毒防范提綱 入侵檢測(cè)概述 入侵檢測(cè)系統(tǒng)結(jié)構(gòu) 入侵檢測(cè)方

19、法 入侵檢測(cè)系統(tǒng)舉例 入侵檢測(cè)技術(shù)發(fā)展趨勢(shì)入侵檢測(cè)與病毒防范入侵檢測(cè)系統(tǒng)舉例 Snort IDES(Intrusion Detction Expert System) NFR(Network Flight Recorder Inc.) IDA入侵檢測(cè)與病毒防范Snort 入侵檢測(cè)系統(tǒng) Snort 系統(tǒng)概述 Martin Roesch , 開放源代碼 支持多種平臺(tái)：Linux , Solaris, Windows 不僅是一個(gè)功能強(qiáng)大的入侵檢測(cè)系統(tǒng)，還可以作為網(wǎng)絡(luò)信息包的分析器、記錄器 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，利用Libpcap 捕獲數(shù)據(jù)包 基于規(guī)則的檢測(cè)方法，可以檢測(cè)出緩存溢出、端口掃描、等多種

20、攻擊，目前有1800多條規(guī)則入侵檢測(cè)與病毒防范Snort 入侵檢測(cè)系統(tǒng) Snort 系統(tǒng)概述 支持多種告警方式：記錄到文件、Syslog、Snmptrap、 SMB 消息 直接記錄到數(shù)據(jù)庫(kù)：mySQL 入侵檢測(cè)與病毒防范Snort 系統(tǒng)結(jié)構(gòu)數(shù)據(jù)包數(shù)據(jù)包分析器分析器檢測(cè)引擎檢測(cè)引擎日志日志/告警告警LibpcapRules入侵檢測(cè)與病毒防范數(shù)據(jù)包解碼器（Packet Decoder）EthernetIP headerTCPtelnetnetwork入侵檢測(cè)與病毒防范檢測(cè)引擎 Snort 規(guī)則形式 規(guī)則頭規(guī)則選項(xiàng)alert tcp any any - /24 111 (con

21、tent: ”|000186a5|”; msg:”mounted access”)入侵檢測(cè)與病毒防范檢測(cè)引擎 規(guī)則頭 規(guī)則動(dòng)作 Alert /Log /Pass 協(xié)議 目前支持TCP/ UDP/ICMP 以后支持ARP , RIP , OSPF 等 IP 地址 Any 匹配任何地址 支持CIDR （classless Inter-Domain Record） 比如：/16 , /24 , /25 端口號(hào)Port入侵檢測(cè)與病毒防范檢測(cè)引擎 規(guī)則頭 方向 單向： 雙向 ： Log ! /24 any 192.1

22、68.1.0/24 23 # 記錄所有非本網(wǎng)的記錄所有非本網(wǎng)的telnet 包包Log udp any any - /24 1:1024 入侵檢測(cè)與病毒防范檢測(cè)引擎 規(guī)則選項(xiàng) 選項(xiàng)之間用 ; 分隔 msg 在告警信息中顯示的消息 ttl : IP 的 TTL 選項(xiàng) id ： IP 分片的 dsize： 數(shù)據(jù)包的大小 content ：數(shù)據(jù)包中的內(nèi)容 offset： 從何處開始檢索content depth ：在content 中檢索的深度入侵檢測(cè)與病毒防范檢測(cè)引擎 規(guī)則選項(xiàng) nocase flags seq ack itype icode ipoption resp入侵檢

23、測(cè)與病毒防范檢測(cè)引擎 Snort 規(guī)則的二維鏈表規(guī)則鏈表頭源地址目標(biāo)地址源端口目標(biāo)端口規(guī)則鏈表頭源地址目標(biāo)地址源端口目標(biāo)端口規(guī)則鏈表選項(xiàng)Payload ContentTCP FlagICMP TypeLength規(guī)則鏈表選項(xiàng)Payload ContentTCP FlagICMP TypeLength入侵檢測(cè)與病毒防范檢測(cè)引擎 各種監(jiān)測(cè)功能通過(guò)各種插件（Plug-in）模塊來(lái)完成。 用戶可以編寫自己的模塊來(lái)擴(kuò)展新的功能入侵檢測(cè)與病毒防范日志/告警子系統(tǒng) 3種日志模式 關(guān)閉 文本方式 二進(jìn)制方式，與tcpdump 格式相同 4種告警方式 Syslog winPopup Snmp trap Mysq

24、l 數(shù)據(jù)庫(kù)入侵檢測(cè)與病毒防范IDES (Intrusion Detection Expert System) 目標(biāo)系統(tǒng)根據(jù)用戶的活動(dòng)產(chǎn)生審計(jì)數(shù)據(jù)，用IDES定義的一種專用的格式。 收到審計(jì)數(shù)據(jù)以后，IDES調(diào)用統(tǒng)計(jì)分析和規(guī)則分析兩個(gè)部件來(lái)檢測(cè)是否存在異常。 一旦檢測(cè)出異常就通過(guò)用戶界面向管理員告警。 特點(diǎn)： 同時(shí)使用了統(tǒng)計(jì)的方法和基于規(guī)則的方法 使用了統(tǒng)計(jì)的記錄格式，獨(dú)立于被監(jiān)控的系統(tǒng)平臺(tái)Target SystemStatistical Intrusion DetectionRule-BasedIntrusion DetectionAudit RecordsUser Interface入侵檢測(cè)

25、與病毒防范IDES 的統(tǒng)計(jì)入侵檢測(cè) 被監(jiān)控對(duì)象 主體（Subject）：用戶、主機(jī)、組(Group)、整個(gè)系統(tǒng) 描述主體行為的尺度（Metrics） Metric 是描述用戶行為的一個(gè)變量（參數(shù)），比如每次登錄時(shí)間、每天登錄次數(shù)、登錄的地點(diǎn)等 離散型尺度：登錄地點(diǎn)、訪問(wèn)的文件名稱，用每個(gè)值的發(fā)生概率來(lái)描述； 連續(xù)型尺度：每次會(huì)話的持續(xù)時(shí)間等，用概率分布來(lái)描述。 檔案（Profile ）: 不存放大量的歷史數(shù)據(jù)，而是存放各個(gè)尺度的平均值、頻率表、方差等。入侵檢測(cè)與病毒防范IDES 的統(tǒng)計(jì)入侵檢測(cè) 檢測(cè)方法 根據(jù)主體的歷史檔案（Profile）判斷用戶的行為是否偏離了過(guò)去的行為模式或習(xí)慣。 每次審計(jì)記錄接收以后，計(jì)算N維空間中當(dāng)前事件與檔案中的統(tǒng)計(jì)值之間的距離是否超過(guò)設(shè)定的閾值M1M2M1t事件事件e平均值平均值入侵檢測(cè)與病毒防范IDES 基于規(guī)則的入侵檢測(cè) 規(guī)則描述了可疑的行為類型，基于過(guò)去的入侵行為、系統(tǒng)漏洞等信息，不依賴于用戶的歷史行為 用戶用P-BEST 書寫規(guī)則，系統(tǒng)自動(dòng)翻譯成C語(yǔ)言代碼，生成可執(zhí)行的系統(tǒng)入侵檢測(cè)與病毒防范IDS系