網絡空間信息安全第9章入侵防御系統本章主要內容9.1入侵防御系統概述；9.2網絡入侵防御系統；9.3主機入侵防御系統。入侵防御系統的作用是檢測網絡中可能存在的攻擊行為，并對攻擊行為進行反制。由于攻擊手段的多樣性和不斷翻新，采用單一技術和手段是無法檢測出所有攻擊行為的，因此，入侵防御系統也是多個系統的有機集合，每一個系統各司其職。2第9章入侵防御系統9.1入侵防御系統概述9.1.1入侵手段9.1.2防火墻與殺毒軟件的局限性9.1.3入侵防御系統分類；9.1.4入侵防御系統工作過程；9.1.5入侵防御系統不足；9.1.6入侵防御系統發展趨勢。入侵防御系統和防火墻是抵御黑客攻擊的兩面盾牌，防火墻通過控制信息在各個網絡間的傳輸，防止攻擊信息到達攻擊目標。入侵防御系統通過檢測流經各個網段的信息流，監測對主機資源的訪問過程，發現并反制可能存在的攻擊行為。3第9章入侵防御系統入侵手段1惡意代碼一是可以破壞主機系統，如刪除文件；二是可以為黑客非法訪問主機信息資源提供通道，如設置后門、提高黑客訪問權限等；三是可以泄漏主機系統的重要信息資源。4第9章入侵防御系統入侵手段2非法訪問一是利用操作系統或應用程序的漏洞實現信息資源的訪問；二是通過窮舉法破解管理員口令，從而實施對主機系統的訪問；三是利用惡意代碼設置的后門或為黑客建立的具有管理員權限的帳號實施對主機系統的訪問。5第9章入侵防御系統入侵手段3拒絕服務攻擊一是利用操作系統或應用程序的漏洞使主機系統崩潰，如發送長度超過64KB的IP分組；二是利用協議的固有缺陷耗盡主機系統資源，從而使主機系統無法提供正常服務，如SYN泛洪攻擊；三是通過因為植入惡意代碼而被黑客控制的主機系統,向某個主機系統發送大量信息流,導致該主機系統連接網絡的鏈路阻塞，從而無法與其他主機正常通信。6第9章入侵防御系統防火墻與殺毒軟件的局限性1防火墻的局限性防火墻是一種設置在網絡邊界，有效控制內網和外網之間信息交換的設備。例如，通過配置訪問控制策略，防火墻可以將外網對非軍事區中的資源的訪問權限設置為只允許讀取Web服務器中的Web頁面和下載FTP服務器中的文件。但是外網對內網中終端實施的攻擊往往是通過防火墻訪問控制策略允許的信息交換過程完成的，如通過內網終端訪問外網Web服務器時，或通過內網終端接收的郵件植入惡意代碼，因此，防火墻已經無法防止來自外網的全部攻擊。7第9章入侵防御系統防火墻與殺毒軟件的局限性2殺毒軟件的局限性殺毒軟件可以檢測出感染病毒的文件，刪除或隔離病毒，防止病毒發作危害主機系統，但是殺毒軟件無法對黑客利用操作系統或應用程序的漏洞實施的攻擊予以防范，并且大多數殺毒軟件只能檢測出已知病毒，即病毒特征包含在病毒庫中的病毒，無法檢測出未知病毒。8第9章入侵防御系統入侵防御系統分類入侵防御系統分為主機入侵防御系統和網絡入侵防御系統；主機入侵防御系統檢測進入主機的信息流、監測對主機資源的訪問過程，以此發現攻擊行為、管制流出主機的信息流，保護主機資源；網絡入侵防御系統通過檢測流經關鍵網段的信息流，發現攻擊行為，實施反制過程，以此保護重要網絡資源；主機入侵防御系統和網絡入侵防御系統相輔相成，構成有機的防御體系。9第9章入侵防御系統入侵防御系統工作過程網絡入侵防御系統工作過程捕獲信息；檢測異常信息；反制異常信息；報警；登記。10得到流經關鍵網段的信息流。異常指包含非法代碼，包含非法字段值，與已知攻擊特征匹配等。反制是丟棄與異常信息具有相同源IP地址，或者相同目的IP地址的IP分組，釋放傳輸異常信息的TCP連接等。向網絡安全管理員報告檢測到異常信息流的情況，異常信息流的特征、源和目的IP地址，可能實施的攻擊等。記錄下有關異常信息流的一切信息，以便對其進行分析。第9章入侵防御系統入侵防御系統工作過程主機入侵防御系統工作過程攔截主機資源訪問操作請求和網絡信息流；采集相應數據；確定操作請求和網絡信息流的合法性；反制動作；登記和分析。主機攻擊行為的最終目標是非法訪問網絡資源，或者感染病毒，這些操作的實施一般都需要調用操作系統提供的服務，因此，首要任務是對調用操作系統服務的請求進行檢測，根據調用發起進程，調用進程所屬用戶，需要訪問的主機資源等信息確定調用的合法性。同時，需要對進出主機的信息進行檢測，發現非法代碼和敏感信息。11第9章入侵防御系統入侵防御系統的不足主機入侵防御系統是被動防御，主動防御是在攻擊信息到達主機前予以干預，并查出攻擊源，予以反制。另外，每一臺主機安裝主機入侵防御系統的成本和使安全策略一致的難度都是主機入侵防御系統的不足；網絡入侵防御系統能夠實現主動防御，但只保護部分網絡資源，另外對未知攻擊行為的檢測存在一定的難度。12第9章入侵防御系統入侵防御系統發展趨勢融合到操作系統中主機入侵防御系統的主要功能是監測對主機資源的訪問過程，對訪問資源的合法性進行判別，這是操作系統應該集成的功能。集成到網絡轉發設備中所有信息流都需經過轉發設備進行轉發，因此，轉發設備是檢測信息流的合適之處。13第9章入侵防御系統9.2網絡入侵防御系統系統結構；信息捕獲機制；入侵檢測機制；安全策略。

網絡入侵防御系統首先是捕獲流經網絡的信息流，然后對其進行檢測，并根據檢測結果確定反制動作，檢測機制、攻擊特征庫和反制動作由安全策略確定。14第9章入侵防御系統系統結構探測器1處于探測模式，探測模式被動地接收信息流，對其進行處理，發現異常時，向安全管理器報警，并視需要向異常信息流的源和目的終端發送復位TCP鏈接的控制報文，探測機制需要采用相應捕獲機制才能捕獲信息流。探測器2處于轉發模式，轉發模式從一個端口接收信息流，對其進行異常檢測，在確定為正常信息流的情況下，從另一個端口轉發出去。15第9章入侵防御系統信息捕獲機制利用集線器的廣播傳輸功能，從集線器任何端口進入的信息流，將廣播到所有其他端口。16利用集線器捕獲信息機制第9章入侵防御系統信息捕獲機制端口鏡像功能是將交換機某個端口（如圖中的端口2）作為另一個端口（如圖中的端口1）的鏡像，這樣，所有從該端口輸出的信息流，都被復制到鏡像端口，由于鏡像端口和其他交換機端口之間的鏡像關系是動態的，因此，連接在端口2的探測器，可以捕獲從交換機任意端口輸出的信息流。17利用端口鏡像捕獲信息機制第9章入侵防御系統信息捕獲機制跨交換機端口鏡像功能是將需要檢測的端口和連接探測模式的探測器端口之間交換路徑所經過交換機端口劃分為一個特定的VLAN；從檢測端口進入的信息除了正常轉發外，在該特定VLAN內廣播。18利用跨交換機端口鏡像捕獲信息機制第9章入侵防御系統信息捕獲機制通過分類器鑒別出具有指定源和目的IP地址、源和目的端口號等屬性參數的IP分組；為這些IP分組選擇特定的傳輸路徑；虛擬訪問控制列表允許這些IP分組既正常轉發，又從特定傳輸路徑轉發；通過特定傳輸路徑轉發的IP分組到達探測器。19虛擬訪問控制列表第9章入侵防御系統入侵檢測機制攻擊特征檢測從已知的攻擊信息流中提取出有別于正常信息流的特征信息；特征信息分為元攻擊特征和有狀態攻擊特征；元攻擊特征是單個獨立的攻擊特征，只要信息流中出現和元攻擊特征相同的位流或字節流模式，即可斷定發現攻擊；有狀態攻擊特征是將整個會話分成若干階段，攻擊特征分散出現在多個階段對應的信息流中，只有按照階段順序，在每一個檢測到指定的攻擊特征才可斷定發現攻擊；攻擊特征只能檢測出已知攻擊，即提取出攻擊特征的攻擊行為。20第9章入侵防御系統入侵檢測機制協議譯碼IP分組的正確性，如首部字段值是否合理，整個TCP首部是否包含單片數據中，各個分片的長度之和是否超過64KB等；TCP報文的正確性，如經過TCP連接傳輸的TCP報文的序號和確認序號之間是否沖突，連續發送的TCP報文序號范圍和另一方發送的窗口是否沖突，各段數據的序號范圍是否重疊等；應用層報文的正確性，請求、響應過程是否合乎協議規范；各個字段值是否合理，端口號是否和默認應用層協議匹配等。21第9章入侵防御系統入侵檢測機制異常檢測基于統計機制，在一段時間內，對流經特定網段的信息流進行統計，如單位時間特定源和目的終端之間的流量、不同應用層報文分布等，將這些統計值作為基準統計值。然后，實時采集流經該網段的信息流，并計算出單位時間內的統計值，然后和基準統計值比較，如果多個統計值和基準統計值存在較大偏差，斷定流經該網段的信息流出現異常；基于規則機制，通過分析大量異常信息流，總結出一些特定異常信息流的規則，一旦流經該網段的信息流符合某種異常信息流對應的規則，斷定該信息流為異常信息流。22第9章入侵防御系統入侵檢測機制異常檢測的困難之處在于正常信息流和異常信息流的測量值之間存在重疊部分，必須在誤報和漏報之間平衡；根據被保護資源的重要性確定基準值（靠近A點或B點)。23第9章入侵防御系統安全策略安全策略指定需要檢測的信息流類別、檢測機制和反制動作，對于攻擊特征檢測，需要給出攻擊特征庫；由于攻擊和應用層協議相關，因此對應不同的應用層協議存在不同的攻擊特征庫；對同一類別信息流，可以指定多種檢測機制，對不同檢測機制檢測到的攻擊行為采取不同的反制動作。24第9章入侵防御系統9.3主機入侵防御系統9.3.1工作流程；9.3.2截獲機制；9.3.3主機資源；9.3.4用戶和系統狀態；9.3.5訪問控制策略；9.3.6Honeypot。主機入侵防御系統主要用于防止對主機資源的非法訪問和病毒入侵，因此，必須通過訪問控制策略設定主機資源的訪問權限，截獲主機資源的操作請求，根據訪問控制策略、用戶和系統狀態及主機資源類型確定操作請求的合理性。25第9章入侵防御系統工作流程主機入侵防御系統主要用于防止非法訪問和病毒入侵；只允許對主機資源的合法操作正常進行。26必須截獲所有調用操作系統服務的請求，尤其是對主機資源的操作請求，如讀寫文件、修改注冊表等。判別某個操作請求的合法性，判別的依據是訪問控制策略、操作對象和類型、請求進程及進程所屬的用戶、主機系統和用戶狀態等。只允許操作系統完成合法的操作請求。第9章入侵防御系統截獲機制修改操作系統內核通過修改操作系統內核，可以根據特權用戶配置的資源訪問控制陣列和請求操作的用戶確定操作的合法性，為了安全，可以對請求操作的用戶進行身份認證。攔截系統調用用戶操作請求和操作系統內核之間增加檢測程序，對用戶發出的操作請求進行檢測，確定是合法操作請求，才提供給操作系統內核。網絡信息流監測對進出主機的信息流實施監測，防止病毒入侵，也防止敏感信息外泄。27第9章入侵防御系統截獲機制攔截系統調用和進出主機的信息流的過程28第9章入侵防御系統主機資源主機資源是需要主機入侵防御系統保護的一切有用的信息和信息承載體，包括如下：網絡；內存；進程；文件；系統配置信息。29第9章入侵防御系統用戶和系統狀態主機位置信息主機位置和主機的安全程度相關，也影響著主機入侵防御系統對主機的保護力度。確定主機位置的信息有：IP地址、域名前綴、VPN客戶信息等。用戶狀態信息不同用戶的訪問權限不同，用戶身份通過用戶名和口令標識，用戶狀態信息給出用戶登錄時的用戶名，口令等。系統狀態信息系統安全狀態，目前設置的安全等級、是否配置防火墻。是否安裝防病毒軟件，是否監測到黑客攻擊等。用戶和系統狀態確定主機入侵防御系統對主機資源的保護方式和力度。30第9章入侵防御系統訪問控制策略訪問控制策略用于確定操作請求是否進行；訪問控制策略將用戶位置、系統狀態和資源訪問規則結合在一起；用戶位置給出標識用戶終端所在位置的信息，如IP地址；系統狀態給出終端的安全狀態；資源訪問規則對應不同用戶、不同訪問請求發起者、不同資源定義了允許對資源進行的訪問操作和違反規則所采取動作。31第9章入侵防御系統HoneypotHoneypot是一個偽裝成有豐富資源的的應用服務器，用戶通過正常訪問過程是無法訪問到的，因此，對Honeypot進行訪問的往往是攻擊程序；Honeypot的作用是對資源訪問過程進行嚴密監控，提取訪問者的特征信息，如偵察行為特征、滲透行為特征及攻擊行為特征等；Honeypot詳細記錄下訪問過程中的每一個操作，以便今后分析；總之，Honeypot就像是一個四處安裝監控器，沒有任何盲區的房間，可以在犯罪分子沒有覺察的情況下，察看他們的盡情表演，以此了解他們犯罪過程中的每一個細節。32第9章入侵防御系統本章小結入侵防御系統采用的是一種較為主動的技術，可以有效地彌補防火墻的不足，能及時發現入侵行為和合法用戶