網絡安全原理與應用第七章入侵檢測技術學習目標入侵檢測的概念入侵檢測技術入侵檢測系統的組成及原理了解入侵檢測技術的發展趨勢入侵檢測工具的使用7.1

入侵檢測概述7.1.1概念7.1.2IDS的任務和作用7.1.3入侵檢測過程7.1.1

入侵檢測概念防火墻的有效過濾和及時阻隔，可以預防相當一部分

黑客攻擊和入侵行為，盡管如此，仍然還是有許多突破防火墻的網絡入侵行為；比如將病毒文件以壓縮、加密、加殼等方式以正常的數據報文形式通過防火墻等；如何及時的將正常網絡通信與這些入侵行為分辨出來，消除危及網絡安全的隱患，這就提出了網絡入侵檢測技術；

入侵檢測：顧名思義，即是對入侵行為的發覺；入侵檢測系統進行入侵檢測的軟件與硬件的組合稱為入侵檢測系統（IntrusionDetectionSystem，簡稱IDS）入侵檢測系統被認為是防火墻之后的第二道安全閘門7.1.1

入侵檢測概念入侵檢測技術與防火墻的不同防火墻是根據事先設定的規則進行被動過濾入侵檢測技術是一種主動保護自己免受攻擊的網絡防御技術。入侵檢測技術就是通過從計算機網絡或計算機系統的關鍵點收集信息，然后對這些信息進行分析，從中發現網絡或系統中的違反安全策略的行為和被攻擊的跡象；違反安全策略的行為有：入侵──非法用戶的違規行為，濫用──用戶的違規行為。典型的入侵檢測部署方案如圖所示

入侵檢測系統（IDS）部署方案圖7.1

一種典型的入侵檢測系統（IDS）部署方案7.1.2.IDS的任務和作用入侵檢測系統（IDS）是在不影響網絡性能的情況下

對網絡進行監測，提供對內部攻擊、外部攻擊和誤操作的實時保護。這些是通過它執行以下任務來實現：監視、分析用戶及系統活動；對系統構造和弱點的審計；識別和反應已知進攻的活動模式并向相關人士報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，識別用戶違反安全策略的行為。7.1.2.IDS的任務和作用入侵檢測系統的作用

監控網絡和系統

發現入侵企圖或異常現象

實時報警

主動響應

審計跟蹤

形象地說：⑴它是一臺網絡攝像機，能夠捕獲并記錄網絡上的所有數據；⑵它是一臺智能攝像機，能夠分析網絡數據并提煉出可疑的、

異常的網絡數據；⑶它還是一臺X光攝像機，能夠穿透一些巧妙的偽裝，抓住實際

的內容。7.1.2.IDS的任務和作用

我們做一個形象的比喻：假如防火墻是一幢大樓的門衛，那么IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監視系統才能發現情況并發出警告。1．精確地判斷入侵事件安裝在服務器上的IDS有一個完整的黑客攻擊信息庫，其中

存放著各種黑客攻擊行為的特征數據。每當用戶對服務器上的數據進行操作時，IDS就將用戶的操

作與信息庫中的數據進行匹配，一旦發現吻合，就認為此項

操作為黑客攻擊行為。由于信息庫的內容會不斷升級，因此可以保證新的黑客攻擊

方法也能被及時發現。

IDS的攻擊識別率可以達到非常高。IDS的作用及其特性2．判斷應用層的入侵事件與防火墻不同，IDS是通過分析數據包的內容來識別黑客入侵行為的。因此，IDS可以判斷出應用層的入侵事件。這樣就極大的提高了判別黑客攻擊行為的準確程度。3．對入侵立即進行反應

IDS以進程的方式運行在服務器上，為系統提供實時的黑客

攻擊檢測保護。一旦發現黑客攻擊行為，IDS可以立即做出響應。響應的方

法有多種形式：報警、必要時關閉服務直至切斷鏈路，同時，IDS會對攻擊的過程進行詳細記錄，為以后的調查工

作提供線索。4．全方位地監控與保護防火墻只能隔離來自本網段以外的攻擊行為，而IDS可監控所有針對服務器的操作，因此它可以識別來自本網段內、其他網段以及外部網絡的全部攻擊行為。5．不同系統中進行針對性的檢驗網絡上運行著各種應用程序，服務器的操作系統平臺也是多種多樣。IDS根據系統平臺的不同進行有針對性的檢驗，從而提高了工作效率，同時也提高了檢測的準確性。7.1.3

入侵檢測過程入侵檢測的工作過程分為三部分：信息收集信息分析結果處理信息收集入侵檢測的第一步是信息收集：收集內容包括：

(1)系統和網絡日志文件

(2)目錄和文件中的不期望的改變

(3)程序執行中的不期望行為

(4)物理形式的入侵信息由放置在不同網段的傳感器中的探測引擎來收集信息。7.1.3

入侵檢測過程2.信息分析收集到的有關系統、網絡數據及用戶活動的狀態和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術手段進行分析：(1)

模式匹配(2)統計分析(3)完整性分析下面對每一種技術進行介紹：

7.1.3入侵檢測過程(1)模式匹配的方法：建立描述各種黑客攻擊行為特征的數據庫比如，把某種攻擊行為表示為一個字符串，用數學表達式來表示安全狀態。模式匹配就是將收集到的信息與已知的信息庫中的數據進行匹配，一旦發現吻合，就認為此項操作為違背安全策略的行為。優點與弱點：優點是：只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟，檢測準確率和效率都相當高。弱點是：需要不斷的升級模式庫以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。7.1.3入侵檢測過程(2)統計分析的方法：首先，當系統對象（如用戶、文件、目錄和設備等）在正常使用時，對其一些屬性（如對某種服務的訪問次數、某個用戶每天的網絡流量、訪問某個文件的速度等）進行測量、統計。測量屬性的平均值將被用來與網絡、系統的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發生。例如，統計分析時發現一個在晚八點至早六點從不登錄的賬戶卻在凌晨兩點突然試圖登錄，系統認為該行為是異常行為。優點與弱點優點是：可檢測到未知的入侵和更為復雜的入侵；弱點是：誤報、漏報率高，且不適應用戶正常行為的突然改變。7.1.3入侵檢測過程(3)完整性分析的方法：完整性分析利用加密機制（如：消息摘要函數），去識別某個文件或對象是否被更改（包括文件和目錄的內容及屬性的變化）。它夠識別即使是微小的變化。在發現被特洛伊化的應用程序方面特別有效。優點與弱點優點是：只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。弱點是：一般以批處理方式實現，不用于實時響應。可以在每一天的某個特定時間內開啟完整性分析模塊，對網絡系統進行全面地掃描檢查3．結果處理控制臺按照告警，產生預先定義的響應，采取相應措施。可以是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性，也可以只是簡單的告警。7.1.3入侵檢測過程7.2入侵檢測系統7.2.1入侵檢測系統的分類7.2.2基于主機的入侵檢測系統7.2.3基于網絡的入侵檢測系統7.2.4混合入侵檢測7.2.1入侵檢測系統的分類1.按照入侵檢測系統的數據來源劃分（1）基于主機的入侵檢測系統（2）基于網絡的入侵檢測系統（3）采用上述兩種數據來源的分布式的入侵檢測系統2．按照入侵檢測系統采用的檢測方法來分類（1）基于行為的入侵檢測系統：（2）基于模型推理的入侵檢測系統：（3）采用兩者混合檢測的入侵檢測系統：3．按照入侵檢測的時間的分類（1）實時入侵檢測系統：（2）事后入侵檢測系統：

3．按照入侵檢測的時間的分類

根據入侵檢測時間的不同，分為實時入侵檢測和事后入侵檢測。實時入侵檢測

實時入侵檢測是根據審計數據庫中提出的歷史行為模型，用模式匹配或異常檢測等方式，對當前的網絡行為進行匹配和判斷，如果發現有入侵行為就立即斷開與入侵者的網絡連接，并記錄入侵行為，及時通知系統管理員。事后入侵檢測

事后入侵檢測不對用戶當前的網絡行為進行實時的檢測，而是對一段時間內已經完成的網絡行為歷史記錄進行審計，發現有入侵行為后及時告警。因而其入侵防御能力沒有實時入侵檢測強。入侵檢測系統基本結構基本結構主要由3部分構成：探測部分分析部分響應部分。探測部分相當于一個傳感器，它的數據源是操作系統產生的審計文件或者是直接來自網絡的網絡流量。分析部分利用探測部分提供的信息，探測攻擊。探測攻擊時，使用的探測模型是異常探測和攻擊探測。響應部分采取相應的措施對攻擊源進行處理，這里通常使用的技術是防火墻技術。7.2.2基于主機的入侵檢測系統（1）基于主機的入侵檢測系統

運行于被檢測的主機之上，通過查詢、監聽當前系統的各種資源的使用運行狀態，發現系統資源被非法使用和修改的事件，進行上報和處理。

安裝于被保護的主機中

主要分析主機內部活動

占用一定的系統資源7.2.2基于主機的入侵檢測系統

基于主機的入侵檢測系統有如下優點

確定攻擊是否成功；

監控主機上特定用戶活動、系統運行情況；

能夠檢查到基于網絡的系統檢查不出的攻擊；適用被加密的和交換的環境；

不要求額外的硬件設備。7.2.2基于主機的入侵檢測系統

（2）主機入侵檢測系統的弱點HIDS安裝在需要保護的設備上，會降低應用系統的效率；HIDS依賴于服務器固有的日志與監視能力。如果服務器沒有配置日志功能，則必需重新配置；若入侵者設法逃避審計，則HIDS的就無能為力了。全面部署HIDS代價較大企業很難將所有主機用HIDS保護，只能選擇部分主機保護。HIDS除了監測自身的主機以外，根本不監測網絡上的情況。7.2.3基于網絡的入侵檢測系統

網絡IDS：網絡IDS是網絡上的一個監聽設備(或一個專用主機)，通過監聽網絡上的所有報文，根據協議進行分析，報告網絡中的非法使用者信息。NIDS放置在比較重要的網段內，以網絡包作為分析數據源。利用工作在混雜模式下的網卡來實時監視并分析通過網絡的數據流。網卡的三種模式：廣播模式、直接模式、混雜模式它的分析模塊通常使用模式匹配、統計分析等技術，分析網

段中所有的數據包，來識別攻擊行為。NIDS由遍及網絡的傳感器（sensor）組成，傳感器是一臺將

以太網卡置于混雜模式的計算機，用于嗅探網絡上的數據包。

7.2.3基于網絡的入侵檢測系統圖7-1網絡IDS工作模型基于網絡的入侵檢測模型示意圖圖9-12基于網絡的入侵檢測模型示意圖7.2.3基于網絡的入侵檢測系統網絡IDS優勢

實時分析網絡數據，檢測網絡系統的非法行為；網絡IDS系統單獨架設，不占用其它計算機系統的任何資源；網絡IDS系統是一個獨立的網絡設備，可以做到對黑客透明，

因此其本身的安全性高；通過與防火墻的聯動，不但可以對攻擊預警，還可以更有效

地阻止非法入侵和破壞。網絡入侵檢測系統只檢查它直接連接網段的通信，

不能檢測在不同網段的網絡包。會出現監測范圍的局限。安裝多臺網絡入侵檢測系統的傳感器（網卡）會使部

署整個系統的成本大大增加。網絡入侵檢測系統可以檢測出普通的一些攻擊，而很難實現

一些復雜的需要大量計算與分析時間的攻擊檢測。網絡入侵檢測系統處理加密的會話過程較困難，目前通過加密通道的攻擊尚不多，但隨著IPv6的普及，這個問題會越來越突出。網絡IDS弱點7.2.4分布式入侵檢測技術隨著網絡系統結構復雜化和大型化，系統的弱點或漏洞

將趨于分布化。同時，入侵行為不再是單一的行為，而是表現出相互協作的入侵，比如DDoS，在這種背景下，產生了基于分布式的入侵檢測系統。分布式入侵檢測系統采用了單控制臺、多檢測器的方式對大規模網絡的主干網信道進行入侵檢測和安全監測，具有良好的可擴展性和靈活的可配置性。入侵檢測器廣泛分布在計算機網絡的各個不同的網段中，進行數據采集與入侵檢測，將經過預處理的數據匯總到控制中心，控制中心將把各個區域檢測器傳來的分散數據融合在一起，進行全面的威脅評測，判斷是否需要發出預警，對入侵行為進行響應。

圖6-4DDoS攻擊體系

7.2.4分布式入侵檢測技術分布式入侵檢測系統的拓撲圖

基于主體的分布式系統的IDS結構

7.2.4分布式入侵檢測技術7.2.4分布式入侵檢測技術

基于主體的分布式系統的IDS結構

原始網絡層：傳送與接收數據鏈路層的數據包。網絡原語層：從網絡接口層接收原始數據，并把它們封裝成主體可以處理的格式。主體：接收網絡原語層的處理過的數據，監控網絡的信息流。訓練模塊：在管理員的指導下，對主體進行訓練。網絡管理員給出不同的網絡信息流的形式，入侵狀態下的與正常狀態下，讓主體學習，主體經過一段學習訓練后，就可以在網絡信息流中檢測異常的活動。7.2.4分布式入侵檢測技術基于主體的分布式IDS結構基本原理：主體各有分工、協同工作。每個主體監控網絡信息流中的一個方面，多個主體協同工作。比如，一個主體監控UDP包，另一個主體監控這些的目的端口，第三個主體監控這些包的來源。一個包發現疑點，相互通報，引起其它主體關注。最后，若可疑級別達到設定閥值時，則報警。7.3

入侵防御系統（IPS）7.3.1IPS概述

2003年2月，專家Gartner在發布的一個研究報告中稱：

GartnerIDS不能給網絡帶來附加的安全，反而會增加管理

員的困擾。建議用戶使用入侵防御系統：

（IntrusionPreventionSystem，IPS）來代替IDS。

IDS能幫助人們確切了解問題所在，然而絕大多數IDS只能

在攻擊發生時被動發出警報。7.3入侵防御系統（IPS）入侵防護系統(IPS)則傾向于提供主動防護：其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發出警報。IPS是通過直接嵌入到網絡中實現這一功能的：即通過一個網絡端口接收來自外部系統的流量，經過檢查確認其中不包含異常活動或可疑內容后，再通過另外一個端口將它傳送到內部系統中。

IDS是一種并聯在網絡上的設備：它只能被動地檢測網絡遭到了何種攻擊，它的阻斷攻擊能力非常有限，一般只能通過發送TCP重置包或聯動防火墻來阻止攻擊。

IPS則是一種串聯在網絡上的設備：一種主動的、積極的入侵防范、阻止系統，它部署在網絡的進出口處，當它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。

IDS與IPS接入方式比較圖10-4IDS與IPS接入方式比較舉一個簡單的例子來說明，

IDS就如同火災預警裝置，火災發生時，它會自動報警，但無

法阻止火災的蔓延，必須要有人來操作進行滅火。而IPS就像智能滅火裝置，當它發現有火災發生后，會主動

采取措施滅火，中間不需要人的干預。使用IPS后，網絡管理員只需少數的幾次配置，也許就可以放

76心地隔岸觀火，由IPS系統來對付來自各處的攻擊了。

IPS實現實時檢查和阻止入侵的原理在于IPS擁有

數目眾多的過濾器，能夠防止各種攻擊。當新的攻擊手段被

發現之后，IPS就會創建一個新的過濾器。

IPS數據包處理引擎是專業化定制的集成電路，可以深層檢

查數據包的內容。如果攻擊者利用介質訪問控制對應用的

漏洞發起攻擊，IPS能夠從數據流中檢查出這些攻擊并加以

阻止。傳統的防火墻的包過濾技術不會針對每一字節進行檢查，因

而也就無法發現攻擊活動，而IPS可以做到逐一字節地檢查

數據包。通過檢查的數據包可以繼續前進，包含惡意內容的數據包就會被丟棄，被懷疑的數據包需要接受進一步的檢查。7.3.2IPS的工作原理與IDS的基于異常行為庫匹配檢測方法相反的是，

IPS是對基于正常行為的匹配檢測，即系統設立正常行為庫，

符合正常行為的訪問才允許進入，而不符合的則拒絕，從其

原理中可看出，IPS將能防御住未知的攻擊。同時，從其在網

絡中的部署來看，它不同于IDS的旁路連接，而是在線連接

的，因此，對設備的性能要求非常高。IPS分成基于主機的IPS（HIPS）和基于網絡的IPS（NIPS）：前者預防黑客對關鍵資產，如對關鍵服務器、數據庫的攻擊；后者預防對關鍵網段的攻擊。7.4黑客攻擊案例—網絡入侵的典型過程

黑客攻擊/入侵一般都是通過：用掃描等方法尋找有漏洞或端口可非法登陸的目標主機，確定目標并收集有關信息；然后是獲取目標系統的一般權限；再想法獲取特權權限；之后隱藏自己的行蹤；進行攻擊等破壞活動；最后在目標系統中開辟后門，方便以后非法入侵。7.4黑客攻擊案例—網絡入侵的典型過程（1）收集相關信息，確定攻擊目標發起攻擊之前，黑客一般先要確定攻擊目標并收集目標系統的相關信息。主要包括以下內容：

1)系統的一般信息:

如軟硬件平臺、系統用戶、網絡拓撲圖等。

2)系統及服務的管理、配置情況:

如，是否禁止Root遠程登錄、SMTP是否支持Decode別名等。

3)系統口令的安全性:

如，系統是否弱口令、用戶默認口令是否改動等。

4)系統提供的服務乃至系統整體的安全性能狀況7.4黑客攻擊案例—網絡入侵的典型過程

（2）獲取目標系統的一般權限主要包括獲取對目標系統的訪問權利、讀寫文件、運行程序等權限。如果在第一步過程中獲得的是系統管理員的口令，則黑客就獲得了目標系統的管理員訪問權限；如果黑客在第一步獲得的是一般用戶的口令，則還要通過已經掌握的信息，并結合其他攻擊手段獲取更高級別的訪問權限。外，黑客還可以通過目標系統的UUCP（UnixtoUnixCopyProtocol）以及一些遠程網絡服務如WWW服務、匿名FTP服務、TFTP服務等中的安全漏洞獲取系統的訪問權。7.4黑客攻擊案例—網絡入侵的典型過程（3）獲取目標系統的管理權限

攻擊者要達到攻擊目的，通常還要獲取更多的權限，如系統賬戶管理等權限。通常通過以下幾種途徑獲得：獲得系統管理員的口令。利用第二步獲取的訪問權限和系統上的安全漏洞，如錯誤的文件訪問權、錯誤的系統配置、某些SUID程序中存在的緩沖區溢出問題等。讓系統管理員運行一些特洛伊木馬程序，如經過篡改的Login程序等。

7.4黑客攻擊案例—網絡入侵的典型過程

（4）隱藏自己在目標系統中的行蹤在有效進入目標系統后，黑客還要做的事就是及時隱藏自己的行蹤。主要包括隱藏連接（如修改Logname的環境變量、Utmp日志文件或者假冒其他用戶等）、隱藏進程、篡改系統日志中的審計信息、更改系統時間使系統管理員無法準確查入侵記錄等。7.4黑客攻擊案例—網絡入侵的典型過程（5）對目標系統或其他系統發起攻擊由于黑客的目的不盡相同。因此，可能是只為了破壞目標系統的數據完整性，也可能是為了獲得整個系統的控制權等。因此，黑客可能發起如廣播風暴攻擊、拒絕服務攻擊等；也可能以當前目標系統為跳板，繼續向其他系統發起攻擊，如分布式拒絕服務攻擊（DDoS）等。7.4黑客攻擊案例—網絡入侵的典型過程（6）在目標系統中留下下次入侵的后門黑客為了方便以后的非法入侵和攻擊，一般都會給自己設計一些后門。常見的方法有：

1放寬文件訪問權限。

2重新開放不安全的服務，如NFS、NIS、TFTP等服務。

3修改系統配置，如系統啟動文件、網絡服務配置文件等。

4替換系統本身的共享文件庫。

5安扎各種特洛伊木馬。

6修改系統的源代碼。在黑客攻擊過程中，攻擊者可能會用到上面的所有步驟，也可能將幾個步驟整合在一起進行，以更好的達到攻擊的目的。7.5Snort——一種輕量級入侵檢測工具7.5.1Snort簡介Snort是一個優秀的輕量級入侵檢測工具，由MartinRoesch開發。該工具能實時分析數據流量和日志IP網絡數據包，能夠進行協議分析。通過對內容的匹配搜索，檢測不同的攻擊行為，并實時報警。snort有三種工作模式：嗅探器、數據包記錄器、網絡入侵檢測模式。其中網絡入侵檢測模式是該軟件的最大亮點。用戶可以根據實際需求來自行配置安全選項。運行Snort需要Libpcap的支持，用戶可以在

/先下載安裝Libpcap，然下載Snort

安裝文件。7.5Snort——一種輕量級入侵檢測工具基于Snort規則的入侵檢測典型案例：木馬攻擊規則：alertUDP$INTERNAL33166->$EXTERNALany(msg:“IDS189/Trojan-active-back-orifice”;)表示當有人向主機UDP端口33166連線送入資料時，向管理員發出特洛伊木馬BackOrifice在活動的警報。DDoS攻擊規則：alerttcp$EXTERNAL_NETany->$HOMENET13768(msg:“DDOSmstreamclienttohandler”;content:“<”;flags:A+;referenc:cve,CAN-2000-0138;classtype:attempted-dos;sid:247;rev:1;)

表示在目的端口號為13768的TCP連接中，數據包含字符串“<”時，向管理員發出警報。Ping攻擊規則：alerticmp＄EXTERNALNETany->＄HOMENETany(msg:“ICMPwebtrendsscanner”;content:“|36363636989898989898989898989898|”;itype:8;icode:0;reference:arachnids,307;classtype:attempted-recon;sid:476;rev:1；)表示在ICMP的ping報文中的數據含有字符串“36363636989898989898989898989898”時，向管理員發出警報。7.6入侵檢測工具介紹7.6.1ISSBlackICE

BlackICEServerProtection軟件（簡稱BlackICE）是由ISS安全公司出品的一款著名的基于主機的入侵檢測系統。該軟件在九九年曾獲得了PCMagazine的技術卓越大獎。專家對它的評語是：“對于沒有防火墻的家庭用戶來說，BlackICE是一道不可缺少的防線；而對于企業網絡，它又增加了一層保護措施--它并不是要取代防火墻，而是阻止企圖穿過防火墻的入侵者。BlackICE集成有非常強大的檢測和分析引擎，可以識別多種入侵技術，給予用戶全面的網絡檢測以及系統的保護。而且該軟件還具有靈敏度及準確率高，穩定性出色，系統資源占用率極少的特點。RealSecure2.0forWindowsNT是一種領導市場的攻擊檢測方案，它提供了分布式的安全體系結構。多個檢測引擎可以監控不同的網絡并向中央管理控制臺報告。控制臺與引擎之間的通信可以通過128bitRSA進行認證和加密。RealSecure可以在NT、Solaris、SunOS和Linux上運行，并可以在混合的操作系統或匹配的操作系統環境下使用。對于一個小型的系統，可以將引擎和控制臺放在同一臺機器上運行。一個引擎可以向多個控制臺報告，一個控制臺也可以管理多個引擎。還可以對CheckPointSoftware的Firewall-1重新進行配置。ISS還計劃使其能對Cisco的路由器進行重新配置。RelSecure的優勢在于其簡潔性和低價格，引擎價格1萬美元，控制臺是免費的。7.3.2ISSRealSecure7.6.1I

SSBlackICEBlackICEServerProtection軟件（以下簡稱BlackICE）是由ISS安全公司出品的一款著名的基于主機的入侵檢測系統。該軟件在九九年曾獲得了PCMagazine的技術卓越大獎。BlackICE集成有非常強大的檢測和分析引擎，可以識別多種