1、網(wǎng)絡(luò)與信息安全入侵檢測第第1616章章 入侵檢測入侵檢測對付網(wǎng)絡(luò)入侵，只有防火墻是不夠的。防火墻只是試圖抵擋網(wǎng)絡(luò)入侵者，很難去發(fā)現(xiàn)入侵的企圖和成功的入侵。這就需要一種新的技術(shù)入侵檢測技術(shù)。入侵檢測技術(shù)能發(fā)現(xiàn)網(wǎng)絡(luò)入侵者的入侵行為和入侵企圖，及時向用戶發(fā)出警報，將入侵消滅在成功之前。 第第16章章 入侵檢測入侵檢測Network and Information Security網(wǎng)絡(luò)與信息安全入侵檢測16.1 16.1 入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)概述 入侵檢測系統(tǒng)的任務(wù)和作用是：(1)監(jiān)視、分析用戶及系統(tǒng)活動；(2)對系統(tǒng)弱點的審計；(3)識別和反應(yīng)已知進攻的活動模式并向相關(guān)人士報警；(4)異常行

2、為模式的統(tǒng)計分析；(5)評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；(6)操作系統(tǒng)的審計跟蹤管理，識別用戶違反安全策略的行為。Network and Information Security第第16章章 入侵檢測入侵檢測網(wǎng)絡(luò)與信息安全入侵檢測入侵檢測系統(tǒng)有兩個指標(biāo)。一是漏報率，指攻擊事件沒有被IDS檢測到，與其相對的是檢出率；二是誤報率，指把正常事件識別為攻擊并報警。誤報率與檢出率成正比例關(guān)系。 Network and Information Security第第16章章 入侵檢測入侵檢測0 檢出率 100%100%誤報率網(wǎng)絡(luò)與信息安全入侵檢測16.2.1 16.2.1 入侵檢測系統(tǒng)的入侵檢測系統(tǒng)的CID

3、FCIDF模型模型 Network and Information Security第第16章章 入侵檢測入侵檢測16.2 16.2 入侵檢測系統(tǒng)結(jié)構(gòu)入侵檢測系統(tǒng)結(jié)構(gòu)響應(yīng)單元原始數(shù)據(jù)源事件分析器事件產(chǎn)生器事件數(shù)據(jù)庫網(wǎng)絡(luò)與信息安全入侵檢測IETF的入侵檢測系統(tǒng)模型 Network and Information Security第第16章章 入侵檢測入侵檢測安全 策略通知告警事件活動探測器響應(yīng)探測器數(shù)據(jù)源分析器管理員管理器操作員網(wǎng)絡(luò)與信息安全入侵檢測Denning的通用入侵檢測系統(tǒng)模型 Network and Information Security第第16章章 入侵檢測入侵檢測歷史行為特征審計

4、記錄新建行為特征規(guī)則提取創(chuàng)建規(guī)則設(shè)計與更新更新學(xué)習(xí)規(guī)則集處理引擎正常行為特征輪廓時鐘主體活動異常記錄網(wǎng)絡(luò)與信息安全入侵檢測16.3.1 16.3.1 按數(shù)據(jù)來源的分類按數(shù)據(jù)來源的分類由于入侵檢測是個典型的數(shù)據(jù)處理過程，因而數(shù)據(jù)采集是其首當(dāng)其沖的第一步。同時，針對不同的數(shù)據(jù)類型，所采用的分析機理也是不一樣的。根據(jù)入侵檢測系統(tǒng)輸入數(shù)據(jù)的來源來看，它可分為：基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和分布式入侵檢測系統(tǒng)。 Network and Information Security第第16章章 入侵檢測入侵檢測16.3 16.3 入侵檢測系統(tǒng)類型入侵檢測系統(tǒng)類型 網(wǎng)絡(luò)與信息安全入侵檢測1.基

5、于主機的(Host-Based)入侵檢測系統(tǒng)基于主機的入侵檢測系統(tǒng)(HIDS)通常以系統(tǒng)日志、應(yīng)用程序日志等審計記錄文件作為數(shù)據(jù)源。它是通過比較這些審計記錄文件的記錄與攻擊簽名(Attack Signature，指用一種特定的方式來表示已知的攻擊模式)以發(fā)現(xiàn)它們是否匹配。如果匹配，檢測系統(tǒng)就向系統(tǒng)管理員發(fā)出入侵報警并采取相應(yīng)的行動。基于主機的IDS可以精確地判斷入侵事件，并可對入侵事件作出立即反應(yīng)。它具有著明顯的優(yōu)點：(1) 能夠確定攻擊是否成功(2) 非常適合于加密和交換環(huán)境(3) 近實時的檢測和響應(yīng)(4) 不需要額外的硬件(5) 可監(jiān)視特定的系統(tǒng)行為Network and Informat

6、ion Security第第16章章 入侵檢測入侵檢測網(wǎng)絡(luò)與信息安全入侵檢測2.基于網(wǎng)絡(luò)的(Network-Based)入侵檢測系統(tǒng)以原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源。它是利用網(wǎng)絡(luò)適配器來實時地監(jiān)視并分析通過網(wǎng)絡(luò)進行傳輸?shù)乃型ㄐ艠I(yè)務(wù)的。其攻擊識別模塊在進行攻擊簽名識別時常用的技術(shù)有： 模式、表達式或字節(jié)碼的匹配； 頻率或閾值的比較； 事件相關(guān)性處理； 異常統(tǒng)計檢測。 一旦檢測到攻擊，IDS的響應(yīng)模塊通過通知、報警以及中斷連接等方式來對攻擊行為作出反應(yīng)。Network and Information Security第第16章章 入侵檢測入侵檢測網(wǎng)絡(luò)與信息安全入侵檢測較之于基于主機的IDS，它有著自

7、身明顯的優(yōu)勢：(1) 攻擊者轉(zhuǎn)移證據(jù)更困難(2) 實時檢測和應(yīng)答(3) 能夠檢測到未成功的攻擊企圖(4) 操作系統(tǒng)無關(guān)性(5) 較低的成本當(dāng)然，對于基于網(wǎng)絡(luò)的IDS來講，同樣有著一定的不足：它只能監(jiān)視通過本網(wǎng)段的活動，并且精確度較差；在交換網(wǎng)絡(luò)環(huán)境中難于配置；防欺騙的能力比較差，對于加密環(huán)境它就更是無能為力了。Network and Information Security第第16章章 入侵檢測入侵檢測網(wǎng)絡(luò)與信息安全入侵檢測3.分布式的入侵檢測系統(tǒng) 從以上對基于主機的IDS和基于網(wǎng)絡(luò)的IDS的分析可以看出：這兩者各自都有著自身獨到的優(yōu)勢，而且在某些方面是很好的互補。如果采用這兩者結(jié)合的入侵檢測

8、系統(tǒng)，那將是汲取了各自的長處，又彌補了各自的不足的一種優(yōu)化設(shè)計方案。通常，這樣的系統(tǒng)一般為分布式結(jié)構(gòu)，由多個部件組成，它能同時分析來自主機系統(tǒng)的審計數(shù)據(jù)及來自網(wǎng)絡(luò)的數(shù)據(jù)通信流量信息。 分布式的IDS將是今后人們研究的重點，它是一種相對完善的體系結(jié)構(gòu)，為日趨復(fù)雜的網(wǎng)絡(luò)環(huán)境下的安全策略的實現(xiàn)提供了最佳的解決方案。 Network and Information Security第第16章章 入侵檢測入侵檢測網(wǎng)絡(luò)與信息安全入侵檢測16.3.2 16.3.2 按分析技術(shù)的分類按分析技術(shù)的分類 從入侵檢測的典型實現(xiàn)過程可以看出，數(shù)據(jù)分析是入侵檢測系統(tǒng)的核心，它是關(guān)系到能否檢測出入侵行為的關(guān)鍵。檢出率是人

9、們關(guān)注的焦點，不同的分析技術(shù)所體現(xiàn)的分析機制也是不一樣的，從而對數(shù)據(jù)分析得到的結(jié)果當(dāng)然也就大不相同，而且不同的分析技術(shù)對不同的數(shù)據(jù)環(huán)境的適用性也不一樣。根據(jù)入侵檢測系統(tǒng)所采用的分析技術(shù)來看，它可以分為采用異常檢測的入侵檢測系統(tǒng)和采用誤用檢測的入侵檢測系統(tǒng)。 Network and Information Security第第16章章 入侵檢測入侵檢測網(wǎng)絡(luò)與信息安全入侵檢測1.異常檢測(Anomaly Detection) 假定所有的入侵行為都是異常的，即入侵行為是異常行為的子集。原理是：首先建立系統(tǒng)或用戶的“正常”行為特征輪廓，通過比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否

10、發(fā)生了入侵行為。Network and Information Security第第16章章 入侵檢測入侵檢測動態(tài)產(chǎn)生新的行為特征更新審計數(shù)據(jù)偏離正常行為特征系統(tǒng)正常的行為特征輪廓統(tǒng)計分析入侵行為網(wǎng)絡(luò)與信息安全入侵檢測從異常檢測的實現(xiàn)機理來看，異常檢測所面臨的關(guān)鍵問題有：(1) 特征量的選擇(2) 閾值的選定 (3) 比較頻率的選取 從異常檢測的原理我們可以看出，該方法的技術(shù)難點在于：“正常”行為特征輪廓的確定；特征量的選取；特征輪廓的更新。由于這幾個因素的制約，異常檢測的誤報率會很高，但對于未知的入侵行為的檢測非常有效，同時它也是檢測冒充合法用戶的入侵行為的有效方法。Network and

11、Information Security第第16章章 入侵檢測入侵檢測網(wǎng)絡(luò)與信息安全入侵檢測2.誤用檢測(Misuse Detection)其基本前提是：假定所有可能的入侵行為都能被識別和表示。原理是：首先對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示，然后根據(jù)已經(jīng)定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。同樣，誤用檢測也存在著影響檢測性能的關(guān)鍵問題：攻擊簽名的恰當(dāng)表示。Network and Information Security第第16章章 入侵檢測入侵檢測網(wǎng)絡(luò)與信息安全入侵檢測誤用檢測的主要局限性表現(xiàn)在： (1) 它只

12、能根據(jù)已知的入侵序列和系統(tǒng)缺陷的模式來檢測系統(tǒng)中的可疑行為，而面對新的入侵攻擊行為以及那些利用系統(tǒng)中未知或潛在缺陷的越權(quán)行為則無能為力。也就是說，不能檢測未知的入侵行為。 (2) 與系統(tǒng)的相關(guān)性很強，即檢測系統(tǒng)知識庫中的入侵攻擊知識與系統(tǒng)的運行環(huán)境有關(guān)。對于不同的操作系統(tǒng)，由于其實現(xiàn)機制不同，對其攻擊的方法也不盡相同，因而很難定義出統(tǒng)一的模式庫。 (3) 對于系統(tǒng)內(nèi)部攻擊者的越權(quán)行為，由于他們沒有利用系統(tǒng)的缺陷，因而很難檢測出來。Network and Information Security第第16章章 入侵檢測入侵檢測網(wǎng)絡(luò)與信息安全入侵檢測3.采用兩種技術(shù)混合的入侵檢測入侵檢測的兩種最常用

13、技術(shù)在實現(xiàn)機理、處理機制上存在明顯的不同，而且各自都有著自身無法逾越的障礙，使得各自都有著某種不足。但是采用這兩種技術(shù)混合的方案，將是一種理想的選擇，這樣可以做到優(yōu)勢互補。 Network and Information Security第第16章章 入侵檢測入侵檢測網(wǎng)絡(luò)與信息安全入侵檢測16.3.3 16.3.3 其它的分類其它的分類除了上述對入侵檢測系統(tǒng)的基本分類外，還有其它不同形式的分類方法，如按照入侵檢測系統(tǒng)的響應(yīng)方式來劃分，可分為主動的入侵檢測系統(tǒng)和被動的入侵檢測系統(tǒng)。主動的入侵檢測系統(tǒng)對檢測到的入侵行為進行主動響應(yīng)、處理，而被動的入侵檢測系統(tǒng)則對檢測到的入侵行為僅進行報警。Netw

14、ork and Information Security第第16章章 入侵檢測入侵檢測網(wǎng)絡(luò)與信息安全入侵檢測經(jīng)典的入侵檢測技術(shù)都需要大量或者是完備的審計數(shù)據(jù)集才能達到比較理想的檢測性能，因此計算量大，并且學(xué)習(xí)時間較長。協(xié)議分析技術(shù)能有效避免這些方法中的缺點，協(xié)議分析技術(shù)結(jié)合高速數(shù)據(jù)包捕捉、命令解析等技術(shù)來進行入侵檢測，提高了入侵檢測的速度和性能。16.4.1 16.4.1 基于協(xié)議分析的檢測方法基于協(xié)議分析的檢測方法基于協(xié)議分析的檢測方法就是根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包封裝結(jié)構(gòu)的有序性，快速檢測出各層協(xié)議中可能的攻擊特征。 Network and Information Security16.4 16.4

15、基于協(xié)議分析的入侵檢測技術(shù)基于協(xié)議分析的入侵檢測技術(shù) 第第16章章 入侵檢測入侵檢測網(wǎng)絡(luò)與信息安全入侵檢測TCP/IP協(xié)議是一組不同層次上多個協(xié)議的組合，每一層上的協(xié)議分別負(fù)責(zé)不同的通信功能。下層協(xié)議為上層協(xié)議的實現(xiàn)提供服務(wù)。只有下層協(xié)議的特征得到滿足才考慮上層協(xié)議的特征。因此，從分類上來說下層協(xié)議可以看成是上層協(xié)議數(shù)據(jù)包的大類。在TCP/IP協(xié)議實現(xiàn)時，上層協(xié)議的一些細(xì)節(jié)可以在下層協(xié)議的實現(xiàn)中得到體現(xiàn)。 Network and Information Security第第16章章 入侵檢測入侵檢測網(wǎng)絡(luò)與信息安全入侵檢測傳統(tǒng)的檢測方法是入侵檢測系統(tǒng)在網(wǎng)絡(luò)數(shù)據(jù)包里檢查某個攻擊特征存在性的一種技術(shù)

16、，它認(rèn)為數(shù)據(jù)包都是無序的，只是被動的執(zhí)行匹配，因此具有計算量大、準(zhǔn)確率低的缺陷。而實際上網(wǎng)絡(luò)數(shù)據(jù)包不是一個隨機變換的字節(jié)流，而是一組高度規(guī)則的數(shù)據(jù)，數(shù)據(jù)包中的字節(jié)符合一套廣泛而詳細(xì)的規(guī)則。協(xié)議分析的方法就是利用網(wǎng)絡(luò)協(xié)議的有序性，快速檢測出各個攻擊特征的存在。協(xié)議分析方法的功能是辨別數(shù)據(jù)包的協(xié)議類型，以便使用相應(yīng)的檢測函數(shù)來檢測數(shù)據(jù)包，并根據(jù)協(xié)議首部相應(yīng)的字段確定上層協(xié)議，直至完成應(yīng)用層協(xié)議的解析。Network and Information Security第第16章章 入侵檢測入侵檢測網(wǎng)絡(luò)與信息安全入侵檢測16.4.2 16.4.2 協(xié)議分析樹協(xié)議分析樹網(wǎng)絡(luò)數(shù)據(jù)包是一組高度規(guī)則的數(shù)據(jù)，數(shù)據(jù)

17、包中的字節(jié)符合一套廣泛而詳細(xì)的規(guī)則。基于此原理，可以把所有的協(xié)議構(gòu)成一棵協(xié)議樹，一個特定的協(xié)議是樹結(jié)構(gòu)中的一個節(jié)點。Network and Information Security第第16章章 入侵檢測入侵檢測FrameARPIPRARPTCPUDPICMPHTTPFTPSNMPTFTP網(wǎng)絡(luò)與信息安全入侵檢測構(gòu)建帶權(quán)重協(xié)議分析樹構(gòu)建帶權(quán)重協(xié)議分析樹樹的節(jié)點數(shù)據(jù)結(jié)構(gòu)中應(yīng)包含該協(xié)議的特征、協(xié)議名稱、協(xié)議代號、協(xié)議權(quán)重、下層協(xié)議代號、協(xié)議對應(yīng)的檢測函數(shù)鏈表。根據(jù)日志記錄中各種協(xié)議受到攻擊次數(shù)的統(tǒng)計，可以預(yù)測以后可能發(fā)生的入侵。因此可以給協(xié)議分析樹的節(jié)點賦權(quán)重，表示基于該節(jié)點協(xié)議入侵的可能性，取值范圍為V=0（最不可能）,0.1,0.2,.,1（最可能）。當(dāng)進行分析時，權(quán)大的協(xié)議要盡可能的啟動所有檢測函數(shù)，權(quán)小的協(xié)議可以只啟動必要的檢測函數(shù)。Network and Information Security第第16章章 入侵檢測入侵檢測網(wǎng)絡(luò)與信息安全入侵檢測16.5 16.5 幾種商用入侵檢測系統(tǒng)幾種商用入侵檢測系統(tǒng) 16.5.1 16.5.1 ISS BlackICEISS BlackICEBlackICE Server Protection 軟件（以下簡稱BlackICE）是由ISS安全公司出品的一款著名的基于主機的入侵檢測系統(tǒng)。16.5.2 16.5.2 ISS RealSec