1、第八章 入侵檢測系統2022-3-72內容提要內容提要 入侵檢測技術用來發現攻擊行為，進而采取正確的響應措施，是安全防御的重要環節。通過本章學習使學生能夠掌握入侵檢測系統的基本原理，在了解Snort工作原理的基礎上，掌握其安裝和使用方法，了解入侵防御技術的特點及其和入侵檢測的區別。2022-3-73第八章第八章 入侵檢測系統入侵檢測系統 8.1 入侵檢測系統概述8.2 入侵檢測系統的組成8.3 入侵檢測的相關技術8.4 入侵檢測系統Snort8.5 入侵防御系統8.6 實驗：基于snort的入侵檢測系統安裝和使用8.7 小結 習題2022-3-748.1 8.1 入侵檢測系統概述入侵檢測系統概

2、述 入侵檢測系統全稱為入侵檢測系統全稱為Intrusion Detection SystemIntrusion Detection System（IDSIDS），國際計算機安全協會（），國際計算機安全協會（International International Computer Security AssociationComputer Security Association，ICSAICSA）入侵檢測系統）入侵檢測系統論壇將其論壇將其定義為：通過從計算機網絡或計算機系統中的若定義為：通過從計算機網絡或計算機系統中的若干關鍵點收集信息進行分析，從中發現網絡或系統中是否干關鍵點收集信息進行分析，

3、從中發現網絡或系統中是否有違反安全策略的行為和遭到攻擊的跡象。有違反安全策略的行為和遭到攻擊的跡象。 相對于防火墻來說，入侵檢測通常被認為是一種相對于防火墻來說，入侵檢測通常被認為是一種動態動態的防護手段的防護手段。與其他安全產品不同的是，入侵檢測系統需。與其他安全產品不同的是，入侵檢測系統需要較復雜的技術，它將得到的數據進行分析，并得出有用要較復雜的技術，它將得到的數據進行分析，并得出有用的結果。一個合格的入侵檢測系統能大大地的結果。一個合格的入侵檢測系統能大大地簡化簡化管理員的管理員的工作，使管理員能夠更容易地工作，使管理員能夠更容易地監視監視、審計審計網絡和計算機系網絡和計算機系統，統，

4、擴展擴展了管理員的安全管理能力，了管理員的安全管理能力，保證保證網絡和計算機系網絡和計算機系統的安全運行。統的安全運行。2022-3-758.1 8.1 入侵檢測系統概述（續）入侵檢測系統概述（續） 防火墻防火墻是所有保護網絡的方法中最能普遍接受的是所有保護網絡的方法中最能普遍接受的方法，能阻擋外部入侵者，但方法，能阻擋外部入侵者，但對內部攻擊無能為力對內部攻擊無能為力；同時，防火墻絕對不是堅不可摧的，即使是某些防火同時，防火墻絕對不是堅不可摧的，即使是某些防火墻本身也會引起一些安全問題。防火墻不能墻本身也會引起一些安全問題。防火墻不能防止通向防止通向站點的后門，不提供對內部的保護，無法防范數

5、據驅站點的后門，不提供對內部的保護，無法防范數據驅動型的攻擊，不能防止用戶由動型的攻擊，不能防止用戶由InternetInternet上下載被病毒上下載被病毒感染的計算機程序或將該類程序附在電子郵件上傳輸感染的計算機程序或將該類程序附在電子郵件上傳輸。 入侵檢測是防火墻的入侵檢測是防火墻的合理補充合理補充，它幫助系統對付網，它幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力絡攻擊，擴展了系統管理員的安全管理能力( (包括安全包括安全審計、監視、進攻識別和響應審計、監視、進攻識別和響應) )，提高了信息安全基礎，提高了信息安全基礎結構的完整性。結構的完整性。 2022-3-768.1 入侵檢

6、測系統概述（續）入侵檢測系統概述（續）相關術語相關術語攻擊攻擊攻擊者利用工具，出于某種動機，對目標系統采取的行動，攻擊者利用工具，出于某種動機，對目標系統采取的行動，其后果是獲取其后果是獲取/ /破壞破壞/ /篡改目標系統的數據或訪問權限篡改目標系統的數據或訪問權限事件事件在攻擊過程中發生的可以識別的行動或行動造成的后果在攻擊過程中發生的可以識別的行動或行動造成的后果。在在入侵檢測系統中，事件常常具有一系列屬性和詳細的描述信入侵檢測系統中，事件常常具有一系列屬性和詳細的描述信息可供用戶查看。息可供用戶查看。也可以也可以將入侵檢測系統需要分析的數據統將入侵檢測系統需要分析的數據統稱為事件（稱為事

7、件（eventevent）2022-3-77入侵入侵 對信息系統的非授權訪問及（或）未經許可在信息系統對信息系統的非授權訪問及（或）未經許可在信息系統中進行操作中進行操作入侵檢測入侵檢測對企圖入侵、正在進行的入侵或已經發生的入侵進行識對企圖入侵、正在進行的入侵或已經發生的入侵進行識別的過程別的過程入侵檢測系統（入侵檢測系統（IDSIDS）用于輔助進行入侵檢測或者獨立進行入侵檢測的用于輔助進行入侵檢測或者獨立進行入侵檢測的自動化自動化工具工具8.1 8.1 入侵檢測系統概述（續）入侵檢測系統概述（續）2022-3-78 入侵檢測（入侵檢測（Intrusion DetectionIntrusion

8、 Detection）技術是一種動態）技術是一種動態的網絡檢測技術，的網絡檢測技術，主要用于識別對計算機和網絡資源的主要用于識別對計算機和網絡資源的惡意使用行為，包括來自外部用戶的入侵行為和內部用惡意使用行為，包括來自外部用戶的入侵行為和內部用戶的未經授權活動。一旦發現網絡入侵現象，則應當做戶的未經授權活動。一旦發現網絡入侵現象，則應當做出適當的反應出適當的反應：對于正在進行的網絡攻擊，則采取適當：對于正在進行的網絡攻擊，則采取適當的方法來阻斷攻擊（與防火墻聯動），以減少系統損失；的方法來阻斷攻擊（與防火墻聯動），以減少系統損失；對于已經發生的網絡攻擊，則應通過分析日志記錄找到對于已經發生的網

9、絡攻擊，則應通過分析日志記錄找到發生攻擊的原因和入侵者的蹤跡，作為增強網絡系統安發生攻擊的原因和入侵者的蹤跡，作為增強網絡系統安全性和追究入侵者法律責任的依據。它從計算機網絡系全性和追究入侵者法律責任的依據。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看看網統中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。絡中是否有違反安全策略的行為和遭到襲擊的跡象。 8.1 8.1 入侵檢測系統概述（續）入侵檢測系統概述（續）2022-3-798.1 8.1 入侵檢測系統概述（續）入侵檢測系統概述（續） 入侵檢測系統（入侵檢測系統（IDSIDS）由）

10、由入侵檢測的軟件與硬件組合入侵檢測的軟件與硬件組合而而成，被認為是防火墻之后的第二道安全閘門，在成，被認為是防火墻之后的第二道安全閘門，在不影響網絡不影響網絡性能的情況下能對網絡進行監測，提供對內部攻擊、外部攻性能的情況下能對網絡進行監測，提供對內部攻擊、外部攻擊和誤操作的實時保護擊和誤操作的實時保護。這些都通過它執行以下任務來實現：。這些都通過它執行以下任務來實現： 1 1）監視、分析用戶及系統活動。）監視、分析用戶及系統活動。 2 2）系統構造和弱點的審計。）系統構造和弱點的審計。 3 3）識別反映已知進攻的活動模式并向相關人士報警。）識別反映已知進攻的活動模式并向相關人士報警。 4 4）

11、異常行為模式的統計分析。）異常行為模式的統計分析。 5 5）評估重要系統和數據文件的完整性。）評估重要系統和數據文件的完整性。 6 6）操作系統的審計跟蹤管理，并識別用戶違反安全策）操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。略的行為。 2022-3-710入侵檢測系統的作用入侵檢測系統的作用監控網絡和系統監控網絡和系統發現入侵企圖或異常現象發現入侵企圖或異常現象實時報警實時報警主動響應主動響應審計跟蹤審計跟蹤 形象地說，它就是網絡攝形象地說，它就是網絡攝像像機，能夠捕獲并記錄網絡上機，能夠捕獲并記錄網絡上的所有數據，同時它也是智能攝的所有數據，同時它也是智能攝像像機，能夠分析網絡數

12、據并機，能夠分析網絡數據并提煉出可疑的、異常的網絡數據，它還是提煉出可疑的、異常的網絡數據，它還是X X光攝光攝像像機，能夠機，能夠穿透一些巧妙的偽裝，抓住實際的內容。它還不僅僅只是攝穿透一些巧妙的偽裝，抓住實際的內容。它還不僅僅只是攝像像機，還包括保安員的攝機，還包括保安員的攝像像機機。2022-3-7118.1 8.1 入侵檢測系統概述（續）入侵檢測系統概述（續）2022-3-7128.1 8.1 入侵檢測系統概述（續入侵檢測系統概述（續）入侵檢測的發展歷程入侵檢測的發展歷程 19801980年年，概念的誕生，概念的誕生1984198419861986年，模型的發展年，模型的發展 1990

13、1990年，形成網絡年，形成網絡IDSIDS和主機和主機IDSIDS兩大陣營兩大陣營九十年代后至今，百家爭鳴、繁榮昌盛九十年代后至今，百家爭鳴、繁榮昌盛2022-3-713入侵檢測的實現方式入侵檢測的實現方式 入侵檢測系統根據數據包來源的不同，采用不用的實入侵檢測系統根據數據包來源的不同，采用不用的實現方式，一般地可分為網絡型、主機型，也可是這兩種類現方式，一般地可分為網絡型、主機型，也可是這兩種類型的混合應用。型的混合應用。基于網絡的入侵檢測系統（基于網絡的入侵檢測系統（NIDSNIDS）基于主機的入侵檢測系統（基于主機的入侵檢測系統（HIDSHIDS）混合型入侵檢測系統（混合型入侵檢測系統

14、（Hybrid IDSHybrid IDS）2022-3-714入侵檢測的實現方式入侵檢測的實現方式 1 1、網絡、網絡IDSIDS： 網絡網絡IDSIDS是網絡上的一個監聽設備是網絡上的一個監聽設備( (或一個專用主機或一個專用主機) )，通過監聽網絡上的所有報文，根據協議進行分析，并報告通過監聽網絡上的所有報文，根據協議進行分析，并報告網絡中的非法使用者信息。網絡中的非法使用者信息。 安裝在被保護的網段（共享網絡、交換環境中交換機要安裝在被保護的網段（共享網絡、交換環境中交換機要 支持端口映射）中支持端口映射）中混雜模式監聽混雜模式監聽分析網段中所有的數據包分析網段中所有的數據包實時檢測和

15、響應實時檢測和響應2022-3-7158.1 8.1 入侵檢測系統概述（續）入侵檢測系統概述（續）圖圖8-1 8-1 網絡網絡IDSIDS工作模型工作模型 NY2022-3-7168.1 8.1 入侵檢測系統概述（續）入侵檢測系統概述（續）網絡網絡IDS優勢優勢(1) (1) 實時分析網絡數據實時分析網絡數據，檢測網絡系統的非法行為；，檢測網絡系統的非法行為；(2) (2) 網絡網絡IDSIDS系統系統單獨架設單獨架設，不占用其它計算機系統的任何資，不占用其它計算機系統的任何資源；源；(3) (3) 網絡網絡IDSIDS系統是一個系統是一個獨立的網絡設備獨立的網絡設備，可以做到對黑客透，可以做

16、到對黑客透明，因此其本身的安全性高；明，因此其本身的安全性高；(4) (4) 它既可以用于實時監測系統，也是記錄審計系統，可以它既可以用于實時監測系統，也是記錄審計系統，可以做到做到實時保護實時保護，事后取證分析事后取證分析；(5) (5) 通過通過與防火墻的聯動與防火墻的聯動，不但可以對攻擊預警，還可以更，不但可以對攻擊預警，還可以更有效地阻止非法入侵和破壞。有效地阻止非法入侵和破壞。(6)(6)不會增加網絡中主機的負擔不會增加網絡中主機的負擔。2022-3-7178.1 8.1 入侵檢測系統概述（續）入侵檢測系統概述（續）網絡網絡IDS的劣勢的劣勢(1) (1) 交換環境和高速環境需附加條

17、件交換環境和高速環境需附加條件(2) (2) 不能處理加密數據不能處理加密數據(3) (3) 資源及處理能力局限資源及處理能力局限(4) (4) 系統相關的脆弱性系統相關的脆弱性2022-3-718 入侵檢測的實現方式入侵檢測的實現方式 2 2、主機、主機IDSIDS 運行于被檢測的主機之上，通過查詢、監聽當前系統運行于被檢測的主機之上，通過查詢、監聽當前系統的各種資源的使用運行狀態，發現系統資源被非法使用和的各種資源的使用運行狀態，發現系統資源被非法使用和修改的事件，進行上報和處理。修改的事件，進行上報和處理。 安裝于被保護的主機中安裝于被保護的主機中 主要主要分析主機內部活動分析主機內部活

18、動 占用一定的系統資源占用一定的系統資源2022-3-719主機主機IDS優勢優勢(1) (1) 精確地判斷攻擊行為是否成功。精確地判斷攻擊行為是否成功。(2) (2) 監控主機上特定用戶活動、系統運行情況監控主機上特定用戶活動、系統運行情況(3) HIDS(3) HIDS能夠檢測到能夠檢測到NIDSNIDS無法檢測的攻擊無法檢測的攻擊(4) (4) HIDSHIDS適用加密的和交換的環境適用加密的和交換的環境(5) (5) 不需要額外的硬件設備不需要額外的硬件設備2022-3-720主機主機IDS的劣勢的劣勢(1) HIDS(1) HIDS對被保護主機的影響對被保護主機的影響(2) HIDS

19、(2) HIDS的安全性受到宿主操作系統的限制的安全性受到宿主操作系統的限制(3) HIDS(3) HIDS的數據源受到審計系統限制的數據源受到審計系統限制(4) (4) 被木馬化的系統內核能夠騙過被木馬化的系統內核能夠騙過HIDSHIDS(5) (5) 維護維護/ /升級不方便升級不方便2022-3-7213 3、兩種實現方式的比較、兩種實現方式的比較： 1)1)如果攻擊不經過網絡如果攻擊不經過網絡, ,基于網絡的基于網絡的IDSIDS無法檢測到只無法檢測到只能通過使用基于主機的能通過使用基于主機的IDSIDS來檢測；來檢測； 2 2) )基于網絡的基于網絡的IDSIDS通過檢查所有的包頭來

20、進行檢測通過檢查所有的包頭來進行檢測，而，而基于主機的基于主機的IDSIDS并不查看包頭。并不查看包頭。主機主機IDSIDS往往不能識別基于往往不能識別基于IPIP的拒絕服務攻擊和碎片攻擊的拒絕服務攻擊和碎片攻擊； 3)3)基于網絡的基于網絡的IDSIDS可以研究數據包的內容，查找特定攻可以研究數據包的內容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實時檢查包序列擊中使用的命令或語法，這類攻擊可以被實時檢查包序列的的IDSIDS迅速識別；而基于主機的系統無法看到負載，因此也迅速識別；而基于主機的系統無法看到負載，因此也無法識別嵌入式的數據包攻擊。無法識別嵌入式的數據包攻擊。2022-3-7

21、224 4、混合型入侵檢測系統（、混合型入侵檢測系統（Hybrid IDSHybrid IDS） 在新一代的入侵檢測系統中將把現在的基于網絡和基在新一代的入侵檢測系統中將把現在的基于網絡和基于主機這兩種檢測技術很好地集成起來，提供集成化的攻于主機這兩種檢測技術很好地集成起來，提供集成化的攻擊簽名檢測報告和事件關聯功能。擊簽名檢測報告和事件關聯功能。 可以深入地研究入侵事件入侵手段本身及被入侵目標可以深入地研究入侵事件入侵手段本身及被入侵目標的漏洞等的漏洞等。2022-3-723入侵檢測系統的功能（小結）入侵檢測系統的功能（小結）n1、監視并分析用戶和系統的活動，查找非法用戶和合法用戶的越權操作

22、；n2、檢測系統配置的正確性和安全漏洞，并提示管理員修補漏洞；n3、對用戶的非正常活動進行統計分析，發現入侵行為的規律；n4、檢查系統程序和數據一致性與正確性，如計算和比較文件系統的校驗；n5、能夠實時對檢測到的入侵行為作出反應；n6、操作系統的審計跟蹤管理。2022-3-7248.2 入侵檢測系統的組成 根據不同的網絡環境和系統的應用，入侵檢測系統在根據不同的網絡環境和系統的應用，入侵檢測系統在具體實現上也有所不同。從系統構成上看，具體實現上也有所不同。從系統構成上看，入侵檢測系統入侵檢測系統至少包括數據提取、人侵分析、響應處理三個部分至少包括數據提取、人侵分析、響應處理三個部分，另外，另外

23、還可能還可能結合安全知識庫、數據存儲等功能模塊結合安全知識庫、數據存儲等功能模塊，提供更為，提供更為完善的安全檢測及數據分析功能。如完善的安全檢測及數據分析功能。如19871987年年DenningDenning提出提出的通用入侵檢測模型主要由六部分構成，的通用入侵檢測模型主要由六部分構成，IDESIDES與它的后繼與它的后繼版本版本NIDESNIDES都完全基于都完全基于DenningDenning的模型；另外，在總結現有的模型；另外，在總結現有的入侵檢測系統的基礎上提出了一個入侵檢測系統的通用的入侵檢測系統的基礎上提出了一個入侵檢測系統的通用模型如圖模型如圖8-28-2所示。所示。 202

24、2-3-7258.2 入侵檢測系統的組成 通用入侵檢測框架通用入侵檢測框架 (Common Intrusion Detection (Common Intrusion Detection FrameworkFramework，CIDF)CIDF)把一個入侵檢測系統分為以下組件把一個入侵檢測系統分為以下組件: :圖圖8-2 CIDF8-2 CIDF的入侵檢測通用模型的入侵檢測通用模型2022-3-7268.2 入侵檢測系統的組成 CIDFCIDF把一個入侵檢測系統分為以下組件把一個入侵檢測系統分為以下組件: :事件產生器：事件產生器：負責原始數據采集，并將收集到的原始數據轉負責原始數據采集，并將

25、收集到的原始數據轉換為事件，向系統的其他部分提供此事件，又稱傳感器換為事件，向系統的其他部分提供此事件，又稱傳感器(sensor)(sensor)。事件分析器：事件分析器：接收事件信息，對其進行分析，判斷是否為入接收事件信息，對其進行分析，判斷是否為入侵行為或異常現象，最后將判斷結果變為警告信息。侵行為或異常現象，最后將判斷結果變為警告信息。事件數據庫：事件數據庫：存放各種中間和最終入侵信息的地方，并從事存放各種中間和最終入侵信息的地方，并從事件產生器和事件分析器接收需要保存的事件，一般會將數件產生器和事件分析器接收需要保存的事件，一般會將數據長時間保存。據長時間保存。事件響應器：事件響應器：

26、是根據入侵檢測的結果，對入侵的行為作出適是根據入侵檢測的結果，對入侵的行為作出適當的反映，可選的響應措施包括主動響應和被動響應。當的反映，可選的響應措施包括主動響應和被動響應。2022-3-7278.2 入侵檢測系統的組成IDSIDS的基本結構的基本結構 無論無論IDSIDS系統是網絡型的還是主機型的，從功能上看，都可系統是網絡型的還是主機型的，從功能上看，都可分為兩大部分：探測引擎和控制中心。前者用于讀取原始數據和分為兩大部分：探測引擎和控制中心。前者用于讀取原始數據和產生事件；后者用于顯示和分析事件以及策略定制等工作。產生事件；后者用于顯示和分析事件以及策略定制等工作。 2022-3-72

27、88.2 入侵檢測系統的組成（續）IDSIDS的基本結構的基本結構 圖圖8-3 8-3 引擎的工作流程引擎的工作流程 引擎的主要功能引擎的主要功能為：原始數據讀取、為：原始數據讀取、數據分析、產生事件、數據分析、產生事件、策略匹配、事件處理、策略匹配、事件處理、通信等功能通信等功能 2022-3-7298.2 入侵檢測系統的組成（續）IDSIDS的基本結構的基本結構 圖圖8-4 8-4 控制中心的工作流程控制中心的工作流程 控制中心的主要功能為：通信、事件讀取、事件顯示、策控制中心的主要功能為：通信、事件讀取、事件顯示、策略定制、日志分析、系統幫助等。略定制、日志分析、系統幫助等。通信事件讀取

28、事件顯示策略定制日志分析系統幫助事件/策略數據庫2022-3-7308.38.3入侵檢測的相關技術入侵檢測的相關技術IDSIDS采用的技術采用的技術 入侵檢測主要通過專家系統、模式匹配、協議分析入侵檢測主要通過專家系統、模式匹配、協議分析或狀態轉換等方法來確定入侵行為。入侵檢測技術有：或狀態轉換等方法來確定入侵行為。入侵檢測技術有：靜態配置分析技術靜態配置分析技術異常檢測技術異常檢測技術誤用檢測技術誤用檢測技術 1 1靜態配置分析技術靜態配置分析技術 靜態配置分析是通過檢查系統的當前系統配置，諸靜態配置分析是通過檢查系統的當前系統配置，諸如系統文件的內容或系統表，來檢查系統是否已經或者如系統文

29、件的內容或系統表，來檢查系統是否已經或者可能會遭到破壞。可能會遭到破壞。靜態是指檢查系統的靜態特征靜態是指檢查系統的靜態特征( (系統配系統配置信息置信息) )，而不是系統中的活動，而不是系統中的活動。 2022-3-7318.38.3入侵檢測的相關技術（續）入侵檢測的相關技術（續）IDSIDS采用的技術采用的技術 2 2、異常檢測技術、異常檢測技術 通過對系統審計數據的分析通過對系統審計數據的分析建立起系統主體建立起系統主體( (單個用戶、單個用戶、一組用戶、主機，甚至是系統中的某個關鍵的程序和文件等一組用戶、主機，甚至是系統中的某個關鍵的程序和文件等) )的的正常行為特征輪廓正常行為特征輪

30、廓；檢測時，如果系統中的審計數據與已建；檢測時，如果系統中的審計數據與已建立的主體的正常行為特征有立的主體的正常行為特征有較大出入較大出入就認為是一個入侵行為。就認為是一個入侵行為。這一檢測方法稱這一檢測方法稱“異常檢測技術異常檢測技術”。 一般采用統計或基于規則描述的方法一般采用統計或基于規則描述的方法建立系統主體的行為建立系統主體的行為特征輪廓，即統計性特征輪廓和基于規則描述的特征輪廓特征輪廓，即統計性特征輪廓和基于規則描述的特征輪廓。2022-3-7328.38.3入侵檢測的相關技術（續）入侵檢測的相關技術（續）IDSIDS采用的技術采用的技術 3 3誤用檢測技術誤用檢測技術 誤用檢測技

31、術誤用檢測技術(Misuse Detection)(Misuse Detection)通過檢測用戶行為中通過檢測用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統的那些與某些已知的入侵行為模式類似的行為或那些利用系統中缺陷或是間接地違背系統安全規則的行為，來檢測系統中的中缺陷或是間接地違背系統安全規則的行為，來檢測系統中的入侵活動，是一種入侵活動，是一種基于已有知識的檢測基于已有知識的檢測。 這種入侵檢測技術的主要局限在于它只是根據已知的入侵這種入侵檢測技術的主要局限在于它只是根據已知的入侵序列和系統缺陷的模式來檢測系統中的可疑行為，序列和系統缺陷的模式來檢測系統中的可疑行為，而

32、不能處理而不能處理對新的入侵攻擊行為以及未知的、潛在的系統缺陷的檢測對新的入侵攻擊行為以及未知的、潛在的系統缺陷的檢測。2022-3-7338.38.3入侵檢測的相關技術（續）入侵檢測的相關技術（續）入侵檢測入侵檢測分析分析技術的比較技術的比較 1 1模式匹配的缺陷模式匹配的缺陷 1 1）計算負荷大）計算負荷大 2 2）檢測準確率低）檢測準確率低 2 2協議分析新技術的優勢協議分析新技術的優勢 1 1）提高了性能）提高了性能 2 2）提高了準確性）提高了準確性 3 3）反規避能力）反規避能力 4 4）系統資源開銷小）系統資源開銷小 2022-3-7348.38.3入侵檢測的相關技術（續）入侵檢

33、測的相關技術（續）入侵檢測系統的性能指標1 1、入侵檢測系統的主要相關術語：、入侵檢測系統的主要相關術語： 警告警告(Alert/Alarm)(Alert/Alarm)：用來表示一個系統被攻擊者攻擊，用來表示一個系統被攻擊者攻擊，一般包含從攻擊內容中得到的攻擊信息，或者異常事件和統一般包含從攻擊內容中得到的攻擊信息，或者異常事件和統計信息。計信息。 誤警誤警(False Positive)(False Positive)：也成誤報，指入侵檢測系統對也成誤報，指入侵檢測系統對那些良性事件的報警，這表明那些良性事件的報警，這表明IDSIDS的錯誤報警，太多的誤警的錯誤報警，太多的誤警可能導致正常的

34、報警事件被淹沒。可能導致正常的報警事件被淹沒。 漏警漏警(False Negative)(False Negative)：也稱漏報，當一個攻擊事件已也稱漏報，當一個攻擊事件已經發生，而入侵檢測系統卻沒有有效地檢測出來，如果漏警經發生，而入侵檢測系統卻沒有有效地檢測出來，如果漏警太多，或者關鍵入侵事件的漏報就使入侵檢測系統失去了其太多，或者關鍵入侵事件的漏報就使入侵檢測系統失去了其存在意義；存在意義；2022-3-7358.38.3入侵檢測的相關技術（續）入侵檢測的相關技術（續）噪聲噪聲(Noise)(Noise)：指入侵檢測系統生成但又沒有真正威脅的報指入侵檢測系統生成但又沒有真正威脅的報警，

35、這些報警是正確的，并且也是可疑的，如配置于防火警，這些報警是正確的，并且也是可疑的，如配置于防火墻之外的入侵檢測系統檢測到的掃描事件，可能被防火墻墻之外的入侵檢測系統檢測到的掃描事件，可能被防火墻過濾而沒有產生掃描攻擊，但是入侵檢測系統卻檢測到并過濾而沒有產生掃描攻擊，但是入侵檢測系統卻檢測到并產生報警。產生報警。重復報警重復報警(Repetitive Alarm)(Repetitive Alarm)： 指入侵檢測系統對某一入指入侵檢測系統對某一入侵事件的反復報警，重復報警并不表示入侵檢測系統的錯侵事件的反復報警，重復報警并不表示入侵檢測系統的錯誤行為，太多的重復報警也可能使網絡管理員產生視覺

36、疲誤行為，太多的重復報警也可能使網絡管理員產生視覺疲勞，影響對其他攻擊產生適當響應，另外與其他安全技術勞，影響對其他攻擊產生適當響應，另外與其他安全技術協同工作也可能產生嚴重問題，過多的重復報警可能會產協同工作也可能產生嚴重問題，過多的重復報警可能會產生拒絕服務。生拒絕服務。入侵檢測系統的性能指標2022-3-736入侵檢測系統的性能指標入侵檢測系統的性能指標2 2、準確性指標準確性指標在很大程度上取決于測試時采用的樣本集和測試環境。包括：在很大程度上取決于測試時采用的樣本集和測試環境。包括：檢測率檢測率(%)(%)：指被監控系統在受到入侵攻擊時，檢測系統能：指被監控系統在受到入侵攻擊時，檢測

37、系統能夠正確報警的概率。通常利用已知入侵攻擊的實驗數據夠正確報警的概率。通常利用已知入侵攻擊的實驗數據集合來測試系統的檢測率。其值為：檢測到的攻擊數集合來測試系統的檢測率。其值為：檢測到的攻擊數/ /攻擊事件總數；攻擊事件總數；誤警率誤警率(%)(%)：是指把那些正確事件誤報為攻擊以及把一種攻：是指把那些正確事件誤報為攻擊以及把一種攻擊行為誤報為另一種攻擊的概率，其值為：擊行為誤報為另一種攻擊的概率，其值為：1 1( (正確的正確的告警數告警數/ /總的告警數總的告警數) )；漏警率漏警率(%)(%)：已經攻擊而沒有檢測出來的攻擊占所有攻擊的：已經攻擊而沒有檢測出來的攻擊占所有攻擊的概率，通常

38、利用已知入侵攻擊的實驗數據集合來測試系概率，通常利用已知入侵攻擊的實驗數據集合來測試系統的漏報率。其值為統的漏報率。其值為( (攻擊事件檢測到的攻擊數攻擊事件檢測到的攻擊數)/)/攻攻擊事件總數；擊事件總數；重復報警率重復報警率(%)(%)：重復報警占所有報警的比率，其值為重復：重復報警占所有報警的比率，其值為重復報警數報警數/ /總的報警數。總的報警數。8.38.3入侵檢測的相關技術（續）入侵檢測的相關技術（續）2022-3-737入侵檢測系統的性能指標入侵檢測系統的性能指標3 3、效率指標效率指標 根據用戶系統的實際需求，根據用戶系統的實際需求，以保證入侵檢測準確以保證入侵檢測準確性的前提

39、下，提高入侵檢測系統的最大處理能力性的前提下，提高入侵檢測系統的最大處理能力。效。效率指標也取決于不同的設備級別，如百兆網絡環境下率指標也取決于不同的設備級別，如百兆網絡環境下和千兆網絡環境下入侵檢測系統的效率指標一定有很和千兆網絡環境下入侵檢測系統的效率指標一定有很大差別。效率指標主要包括：大差別。效率指標主要包括：最大處理能力、每秒能最大處理能力、每秒能監控的網絡連接數、每秒能夠處理的事件數等監控的網絡連接數、每秒能夠處理的事件數等。8.38.3入侵檢測的相關技術（續）入侵檢測的相關技術（續）2022-3-738入侵檢測系統的性能指標入侵檢測系統的性能指標n最大處理能力最大處理能力： 指網

40、絡入侵檢測系統在維持其正常檢測率的情況指網絡入侵檢測系統在維持其正常檢測率的情況下，系統低于其漏警指標的最大網絡流量。下，系統低于其漏警指標的最大網絡流量。目的是驗目的是驗證系統在維持正常檢測的情況下能夠正常報警的最大證系統在維持正常檢測的情況下能夠正常報警的最大流量。流量。以每秒數據流量（以每秒數據流量（MbpsMbps或或GbpsGbps）來表示。取決）來表示。取決于三個因素，其一是入侵檢測系統抓包能力，其二是于三個因素，其一是入侵檢測系統抓包能力，其二是分析引擎的分析能力，最后還與數據包的大小有直接分析引擎的分析能力，最后還與數據包的大小有直接關系，相同流量下，網絡數據包越小，數據包越多

41、，關系，相同流量下，網絡數據包越小，數據包越多，處理能力越差。處理能力越差。8.38.3入侵檢測的相關技術（續）入侵檢測的相關技術（續）2022-3-739入侵檢測系統的性能指標入侵檢測系統的性能指標n每秒能監控的網絡連接數每秒能監控的網絡連接數：網絡入侵檢測系統不僅要：網絡入侵檢測系統不僅要對單個的數據包作檢測，對單個的數據包作檢測，還要將相同網絡連接的數據還要將相同網絡連接的數據包組合起來作分析包組合起來作分析。網絡連接的跟蹤能力和數據包重網絡連接的跟蹤能力和數據包重組能力是網絡入侵檢測系統進行協議分析、應用層入組能力是網絡入侵檢測系統進行協議分析、應用層入侵分析的基礎侵分析的基礎。例如：

42、檢測利用。例如：檢測利用HTTPHTTP協議的攻擊、敏協議的攻擊、敏感內容檢測、郵件檢測、感內容檢測、郵件檢測、TelnetTelnet會話的記錄與回放、會話的記錄與回放、硬盤共享的監控等。硬盤共享的監控等。n每秒能夠處理的事件數每秒能夠處理的事件數：網絡入侵檢測系統檢測到網：網絡入侵檢測系統檢測到網絡攻擊和可疑事件后，會生成安全事件或稱報警事件，絡攻擊和可疑事件后，會生成安全事件或稱報警事件，并將事件記錄在事件日志中。每秒能夠處理的事件數，并將事件記錄在事件日志中。每秒能夠處理的事件數，反映了檢測分析引擎的處理能力和事件日志記錄的后反映了檢測分析引擎的處理能力和事件日志記錄的后端處理能力。端

43、處理能力。8.38.3入侵檢測的相關技術（續）入侵檢測的相關技術（續）2022-3-740入侵檢測系統的性能指標入侵檢測系統的性能指標n系統指標系統指標 系統指標主要表示系統本身運行的穩定性和使用系統指標主要表示系統本身運行的穩定性和使用的方便性。系統指標主要包括：最大規則數、平均的方便性。系統指標主要包括：最大規則數、平均無故障間隔等。無故障間隔等。 最大規則數最大規則數：系統允許配置的入侵檢測規則條目：系統允許配置的入侵檢測規則條目的最大數目。的最大數目。 平均無故障間隔平均無故障間隔：系統無故障連續工作的時間。：系統無故障連續工作的時間。8.38.3入侵檢測的相關技術（續）入侵檢測的相關

44、技術（續）2022-3-741入侵檢測系統的性能指標入侵檢測系統的性能指標n其它指標其它指標系統結構：系統結構：完備的完備的IDSIDS應能采用分級、遠距離分式式部署和管理。應能采用分級、遠距離分式式部署和管理。8.38.3入侵檢測的相關技術（續）入侵檢測的相關技術（續）2022-3-7428.38.3入侵檢測的相關技術（續）入侵檢測的相關技術（續）事件數量：事件數量：考察考察IDSIDS系統的一個關鍵性指標是報警事件的系統的一個關鍵性指標是報警事件的多少。一般而言，事件越多，表明多少。一般而言，事件越多，表明IDSIDS系統能夠處理的能系統能夠處理的能力越強。力越強。 處理帶寬處理帶寬 ：I

45、DSIDS的處理帶寬，即的處理帶寬，即IDSIDS能夠處理的網絡流量，能夠處理的網絡流量，是是IDSIDS的一個重要性能。目前的網絡的一個重要性能。目前的網絡IDSIDS系統一般能夠處系統一般能夠處理理202030M30M網絡流量，經過專門定制的系統可以勉強處理網絡流量，經過專門定制的系統可以勉強處理404060M60M的流量。的流量。 入侵檢測系統的性能指標2022-3-7438.38.3入侵檢測的相關技術（續）入侵檢測的相關技術（續） 入侵檢測系統的性能指標探測引擎與控制中心的通信：探測引擎與控制中心的通信：作為分布式結構的作為分布式結構的IDSIDS系統，系統，通信是其自身安全的關鍵因素

46、。通信是其自身安全的關鍵因素。通信安全通過身份認證通信安全通過身份認證和數據加密兩種方法來實現和數據加密兩種方法來實現。 身份認證是要保證一個引擎，或者子控制中心只能身份認證是要保證一個引擎，或者子控制中心只能由固定的上級進行控制，任何非法的控制行為將予以阻由固定的上級進行控制，任何非法的控制行為將予以阻止。止。身份認證采用非對稱加密算法，通過擁有對方的公身份認證采用非對稱加密算法，通過擁有對方的公鑰，進行加密、解密完成身份認證鑰，進行加密、解密完成身份認證。2022-3-7448.38.3入侵檢測的相關技術（續）入侵檢測的相關技術（續） 入侵檢測系統的性能指標事件定義：事件定義：事件的可定義

47、性或可定義事件是事件的可定義性或可定義事件是IDSIDS的一個主要的一個主要特性。特性。 二次事件：二次事件：對事件進行實時統計分析，并產生新的高級事對事件進行實時統計分析，并產生新的高級事件能力。件能力。事件響應：事件響應：通過事件上報、事件日志、通過事件上報、事件日志、EmailEmail通知、手機短通知、手機短信息、語音報警等方式進行響應，也可通過信息、語音報警等方式進行響應，也可通過TCPTCP阻斷、防火阻斷、防火墻聯動等方式主動響應。墻聯動等方式主動響應。2022-3-7458.38.3入侵檢測的相關技術（續）入侵檢測的相關技術（續） 入侵檢測系統的性能指標自身安全：自身安全：自身安

48、全指的是自身安全指的是探測引擎的安全性探測引擎的安全性。要有良。要有良好的隱蔽性，一般使用定制的操作系統。好的隱蔽性，一般使用定制的操作系統。終端安全終端安全 ：主要指控制中心的安全性。有多個用戶、多主要指控制中心的安全性。有多個用戶、多個級別的控制中心，不同的用戶應該有不同的權限，保個級別的控制中心，不同的用戶應該有不同的權限，保證控制中心的安全性。證控制中心的安全性。2022-3-7468.38.3入侵檢測的相關技術（續）入侵檢測的相關技術（續） 入侵檢測系統面臨的主要問題 入侵檢測系統作為一種新型網絡安全防護手段，發揮入侵檢測系統作為一種新型網絡安全防護手段，發揮很大作用，但是與諸如防火

49、墻等技術高度成熟的產品相比，很大作用，但是與諸如防火墻等技術高度成熟的產品相比，入侵檢測系統還存在相當多的問題：入侵檢測系統還存在相當多的問題：1 1、層出不窮的入侵手段、層出不窮的入侵手段2 2、越來越多的信息采用加密的方法傳輸、越來越多的信息采用加密的方法傳輸3 3、不斷增大的網絡流量、不斷增大的網絡流量4 4、缺乏標準、缺乏標準5 5、誤報率過高、誤報率過高2022-3-7478.4 8.4 入侵檢測系統入侵檢測系統SnortSnort8.4.1 Snort概述概述 nSnortSnort是一個功能強大、跨平臺、輕量級的網絡入侵檢是一個功能強大、跨平臺、輕量級的網絡入侵檢測系統，從入侵檢

50、測分類上來看，測系統，從入侵檢測分類上來看，SnortSnort應該是個基于應該是個基于網絡和誤用的入侵檢測軟件。它可以運行在網絡和誤用的入侵檢測軟件。它可以運行在LinuxLinux、OpenBSDOpenBSD、FreeBSDFreeBSD、SolarisSolaris、以及其它、以及其它Unix Unix 系統、系統、WindowsWindows等操作系統之上。等操作系統之上。SnortSnort是一個用是一個用C C語言編寫的語言編寫的開放源代碼軟件，符合開放源代碼軟件，符合GPL(GNUGPL(GNU通用公共許可證通用公共許可證 GNU GNU General Public Lice

51、nse)General Public License)的要求，由于其是開源且免的要求，由于其是開源且免費的，許多研究和使用入侵檢測系統都是從費的，許多研究和使用入侵檢測系統都是從SnortSnort開始，開始，因而因而SnortSnort在入侵檢測系統方面占有重要地位。在入侵檢測系統方面占有重要地位。SnortSnort的的網站是網站是。用戶可以登陸網站得到。用戶可以登陸網站得到源代碼，在源代碼，在LinuxLinux和和WindowsWindows環境下的安裝可執行文件，環境下的安裝可執行文件，并可以下載描述入侵特征

52、的規則文件。并可以下載描述入侵特征的規則文件。2022-3-7488.4 8.4 入侵檢測系統入侵檢測系統SnortSnort.2系統組成和處理流程系統組成和處理流程 圖85 Snort程序流程圖2022-3-7498.4 8.4 入侵檢測系統入侵檢測系統SnortSnort（續）（續）n雖然雖然SnortSnort是一個輕量級的入侵檢測系統，但是它的功能是一個輕量級的入侵檢測系統，但是它的功能卻非常強大，其特點如下：卻非常強大，其特點如下： 1 1、跨平臺性、跨平臺性 2 2、功能完備、功能完備 3 3、使用插件的形式、使用插件的形式 4 4、SnortSnort規則描述簡單

53、規則描述簡單nSnortSnort基于規則的檢測機制十分簡單和靈活，使得可以迅基于規則的檢測機制十分簡單和靈活，使得可以迅速對新的入侵行為做出反應，發現網絡中潛在的安全漏速對新的入侵行為做出反應，發現網絡中潛在的安全漏洞。同時該網站提供幾乎與洞。同時該網站提供幾乎與http:/（應急（應急響應中心，負責全球的網絡安全事件以及漏洞的發布）響應中心，負責全球的網絡安全事件以及漏洞的發布）同步的規則庫更新，因此甚至許多商業的入侵檢測軟件同步的規則庫更新，因此甚至許多商業的入侵檢測軟件直接就使用直接就使用SnortSnort的規則庫。的規則庫

54、。2022-3-7501、SNORT的優點的優點snortsnort是一個輕量級的入侵檢測系統是一個輕量級的入侵檢測系統 snortsnort的可移植性很好的可移植性很好 snortsnort的功能非常強大的功能非常強大 擴展性能較好，對于新的攻擊威脅反應迅速擴展性能較好，對于新的攻擊威脅反應迅速 snortsnort的擴展能力較強。的擴展能力較強。遵循公共通用許可證遵循公共通用許可證GPLGPL2022-3-751 2、SNORT的安裝的安裝 （1 1）如何獲得）如何獲得snortsnort 可以從可以從snortsnort的站點的站點httphttp：//www.

55、獲得其源獲得其源代碼或者代碼或者RPMRPM包。使用源代碼安裝包。使用源代碼安裝snortsnort需要需要libpcaplibpcap庫，庫，可以從可以從ftpftp：//下載下載。 （2 2）安裝）安裝snortsnort bash#rpm -ihv -nodepsbash#rpm -ihv -nodeps snort-1.7-1.i386.rpm snort-1.7-1.i386.rpm 2022-3-752 3、SNORT的應用的應用 （1 1）作為嗅探器）作為嗅探器 把把TCP/IPTCP/IP包頭信息打印在屏

56、幕上，輸入下面的命令：包頭信息打印在屏幕上，輸入下面的命令： ./snort -v./snort -v 要看到應用層的數據，可以使用下面的命令：要看到應用層的數據，可以使用下面的命令： ./snort -vd./snort -vd 要顯示數據鏈路層的信息，使用下面的命令：要顯示數據鏈路層的信息，使用下面的命令： ./snort -vde./snort -vde 下面的命令就和上面最后的一條命令等價：下面的命令就和上面最后的一條命令等價： ./snort -d -v -e./snort -d -v -e2022-3-753 （2 2）記錄數據包）記錄數據包 指定一個日志目錄：指定一個日志目錄：

57、./snort -dev -l ./log./snort -dev -l ./log 目錄以數據包目的主機的目錄以數據包目的主機的IPIP地址命名，例如地址命名，例如： ./snort -dev -l ./log -h /24./snort -dev -l ./log -h /24 把所有的包日志到一個單一的二進制文件中：把所有的包日志到一個單一的二進制文件中： ./snort -l ./log -b./snort -l ./log -b 在嗅探器模式下把一個在嗅探器模式下把一個tcpdumptcpdu

58、mp格式的二進制文件中的格式的二進制文件中的包打印到屏幕上，可以輸入下面的命令：包打印到屏幕上，可以輸入下面的命令： ./snort -dv -r packet.log./snort -dv -r packet.log 從日志文件中提取從日志文件中提取ICMPICMP包，只需要輸入下面的命令行：包，只需要輸入下面的命令行： ./snort -dvr packet.log icmp./snort -dvr packet.log icmp2022-3-754 （3 3）作為入侵檢測系統）作為入侵檢測系統 使用下面命令行可以啟動入侵檢測模式：使用下面命令行可以啟動入侵檢測模式： ./snort -d

59、ev -l ./log -h /24 -c ./snort -dev -l ./log -h /24 -c snort.confsnort.conf 如果想長期使用如果想長期使用snortsnort作為自己的入侵檢測系統，最作為自己的入侵檢測系統，最好不要使用好不要使用-v-v選項。因為使用這個選項，使選項。因為使用這個選項，使snortsnort向屏幕向屏幕上輸出一些信息，會大大降低上輸出一些信息，會大大降低snortsnort的處理速度，從而在的處理速度，從而在向顯示器輸出的過程中丟棄一些包。向顯示器輸出的過程中丟棄一些包。 此外，在絕大多數情況

60、下，也沒有必要記錄數據鏈此外，在絕大多數情況下，也沒有必要記錄數據鏈路層的包頭，所以路層的包頭，所以-e-e選項也可以不用：選項也可以不用： ./snort -d -h /24 -l ./log -c ./snort -d -h /24 -l ./log -c snort.confsnort.conf2022-3-755 （4 4）配置實例配置實例 使用默認的日志方式（以解碼的使用默認的日志方式（以解碼的ASCIIASCII格式）并格式）并且把報警發給且把報警發給syslogsyslog： ./snort -c snort.conf./snort -