第 7 章 入侵檢測技術(shù),本章學習目標： 了解入侵檢測系統(tǒng)的原理 掌握入侵檢測系統(tǒng)的核心技術(shù) 了解入侵檢測系統(tǒng)的作用 了解入侵檢測技術(shù)的發(fā)展趨勢 掌握入侵檢測系統(tǒng)在網(wǎng)絡安全中的地位 掌握評價入侵檢測系統(tǒng)的性能指標,7.1 入侵檢測系統(tǒng)概述,防火墻是所有保護網(wǎng)絡的方法中最能普遍接受的方法，能阻擋外部入侵者，但對內(nèi)部攻擊無能為力；同時，防火墻絕對不是堅不可摧的，即使是某些防火墻本身也會引起一些安全問題。防火墻不能防止通向站點的后門，不提供對內(nèi)部的保護，無法防范數(shù)據(jù)驅(qū)動型的攻擊，不能防止用戶由Internet上下載被病毒感染的計算機程序或?qū)⒃擃惓绦蚋皆陔娮余]件上傳輸。,入侵檢測是防火墻的合理補充，它幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應)，提高了信息安全基礎結(jié)構(gòu)的完整性。,7.1 入侵檢測系統(tǒng)概述,7.1.1 相關(guān)術(shù)語,攻擊 攻擊者利用工具，出于某種動機，對目標系統(tǒng)采取的行動，其后果是獲取/破壞/篡改目標系統(tǒng)的數(shù)據(jù)或訪問權(quán)限 事件 在攻擊過程中發(fā)生的可以識別的行動或行動造成的后果；在入侵檢測系統(tǒng)中，事件常常具有一系列屬性和詳細的描述信息可供用戶查看。 CIDF 將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件（event）,入侵 對信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進行操作 入侵檢測 對企圖入侵、正在進行的入侵或已經(jīng)發(fā)生的入侵進行識別的過程 入侵檢測系統(tǒng)（IDS） 用于輔助進行入侵檢測或者獨立進行入侵檢測的自動化工具,7.1 入侵檢測系統(tǒng)概述,7.1.1 相關(guān)術(shù)語,入侵檢測（Intrusion Detection）技術(shù)是一種動態(tài)的網(wǎng)絡檢測技術(shù)，主要用于識別對計算機和網(wǎng)絡資源的惡意使用行為，包括來自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動。一旦發(fā)現(xiàn)網(wǎng)絡入侵現(xiàn)象，則應當做出適當?shù)姆磻τ谡谶M行的網(wǎng)絡攻擊，則采取適當?shù)姆椒▉碜钄喙簦ㄅc防火墻聯(lián)動），以減少系統(tǒng)損失。對于已經(jīng)發(fā)生的網(wǎng)絡攻擊，則應通過分析日志記錄找到發(fā)生攻擊的原因和入侵者的蹤跡，作為增強網(wǎng)絡系統(tǒng)安全性和追究入侵者法律責任的依據(jù)。它從計算機網(wǎng)絡系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。,7.1 入侵檢測系統(tǒng)概述,7.1.2 入侵檢測,7.1 入侵檢測系統(tǒng)概述,入侵檢測系統(tǒng),入侵檢測系統(tǒng)（IDS）由入侵檢測的軟件與硬件組合而成，被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執(zhí)行以下任務來實現(xiàn)： 1）監(jiān)視、分析用戶及系統(tǒng)活動。 2）系統(tǒng)構(gòu)造和弱點的審計。 3）識別反映已知進攻的活動模式并向相關(guān)人士報警。 4）異常行為模式的統(tǒng)計分析。 5）評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。 6）操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。,7.1 入侵檢測系統(tǒng)概述,7.1.3 入侵檢測系統(tǒng)的作用,監(jiān)控網(wǎng)絡和系統(tǒng) 發(fā)現(xiàn)入侵企圖或異常現(xiàn)象 實時報警 主動響應 審計跟蹤,形象地說，它就是網(wǎng)絡攝像機，能夠捕獲并記錄網(wǎng)絡上的所有數(shù)據(jù)，同時它也是智能攝像機，能夠分析網(wǎng)絡數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡數(shù)據(jù)，它還是X光攝像機，能夠穿透一些巧妙的偽裝，抓住實際的內(nèi)容。它還不僅僅只是攝像機，還包括保安員的攝像機.,7.1 入侵檢測系統(tǒng)概述,7.1 入侵檢測系統(tǒng)概述,7.1.4 入侵檢測的發(fā)展歷程,1980年，概念的誕生 19841986年，模型的發(fā)展 1990年，形成網(wǎng)絡IDS和主機IDS兩大陣營 九十年代后至今，百家爭鳴、繁榮昌盛,7.2 入侵檢測的原理與技術(shù),7.2.1 入侵檢測的實現(xiàn)方式,入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)包來源的不同，采用不用的實現(xiàn)方式，一般地可分為網(wǎng)絡型、主機型，也可是這兩種類型的混合應用。,基于網(wǎng)絡的入侵檢測系統(tǒng)（NIDS） 基于主機的入侵檢測系統(tǒng)（HIDS） 混合型入侵檢測系統(tǒng)（Hybrid IDS）,7.2 入侵檢測的原理與技術(shù),7.2.1 入侵檢測的實現(xiàn)方式,1、網(wǎng)絡IDS： 網(wǎng)絡IDS是網(wǎng)絡上的一個監(jiān)聽設備(或一個專用主機)，通過監(jiān)聽網(wǎng)絡上的所有報文，根據(jù)協(xié)議進行分析，并報告網(wǎng)絡中的非法使用者信息。,安裝在被保護的網(wǎng)段（通常是共享網(wǎng)絡，交換環(huán)境中交換機需支持端口映射）中 混雜模式監(jiān)聽 分析網(wǎng)段中所有的數(shù)據(jù)包 實時檢測和響應,7.2 入侵檢測的原理與技術(shù),圖7-1 網(wǎng)絡IDS工作模型,7.2 入侵檢測的原理與技術(shù),網(wǎng)絡IDS優(yōu)勢,(1) 實時分析網(wǎng)絡數(shù)據(jù)，檢測網(wǎng)絡系統(tǒng)的非法行為； (2) 網(wǎng)絡IDS系統(tǒng)單獨架設，不占用其它計算機系統(tǒng)的任何資源； (3) 網(wǎng)絡IDS系統(tǒng)是一個獨立的網(wǎng)絡設備，可以做到對黑客透明，因此其本身的安全性高； (4) 它既可以用于實時監(jiān)測系統(tǒng)，也是記錄審計系統(tǒng)，可以做到實時保護，事后分析取證； (5) 通過與防火墻的聯(lián)動，不但可以對攻擊預警，還可以更有效地阻止非法入侵和破壞。 (6)不會增加網(wǎng)絡中主機的負擔。,7.2 入侵檢測的原理與技術(shù),網(wǎng)絡IDS的劣勢,(1)不適合交換環(huán)境和高速環(huán)境 (2)不能處理加密數(shù)據(jù) (3) 資源及處理能力局限 (4) 系統(tǒng)相關(guān)的脆弱性,7.2 入侵檢測的原理與技術(shù),7.2.1 入侵檢測的實現(xiàn)方式,2、主機IDS： 運行于被檢測的主機之上，通過查詢、監(jiān)聽當前系統(tǒng)的各種資源的使用運行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件，進行上報和處理。, 安裝于被保護的主機中 主要分析主機內(nèi)部活動 占用一定的系統(tǒng)資源,7.2 入侵檢測的原理與技術(shù),主機IDS優(yōu)勢,(1) 精確地判斷攻擊行為是否成功。 (2) 監(jiān)控主機上特定用戶活動、系統(tǒng)運行情況 (3) HIDS能夠檢測到NIDS無法檢測的攻擊 (4) HIDS適用加密的和交換的環(huán)境。 (5) 不需要額外的硬件設備。,7.2 入侵檢測的原理與技術(shù),主機IDS的劣勢,(1) HIDS對被保護主機的影響。 (2) HIDS的安全性受到宿主操作系統(tǒng)的限制。 (3) HIDS的數(shù)據(jù)源受到審計系統(tǒng)限制。 (4) 被木馬化的系統(tǒng)內(nèi)核能夠騙過HIDS。 (5) 維護/升級不方便。,7.2 入侵檢測的原理與技術(shù),3、兩種實現(xiàn)方式的比較： 1)如果攻擊不經(jīng)過網(wǎng)絡基于網(wǎng)絡的IDS無法檢測到只能通過使用基于主機的IDS來檢測； 2)基于網(wǎng)絡的IDS通過檢查所有的包頭來進行檢測，而基于主機的IDS并不查看包頭。主機IDS往往不能識別基于IP的拒絕服務攻擊和碎片攻擊； 3)基于網(wǎng)絡的IDS可以研究數(shù)據(jù)包的內(nèi)容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實時檢查包序列的IDS迅速識別；而基于主機的系統(tǒng)無法看到負載，因此也無法識別嵌入式的數(shù)據(jù)包攻擊。,7.2 入侵檢測的原理與技術(shù),4、混合型入侵檢測系統(tǒng)（Hybrid IDS） 在新一代的入侵檢測系統(tǒng)中將把現(xiàn)在的基于網(wǎng)絡和基于主機這兩種檢測技術(shù)很好地集成起來，提供集成化的攻擊簽名檢測報告和事件關(guān)聯(lián)功能。 可以深入地研究入侵事件入侵手段本身及被入侵目標的漏洞等。,7.2 入侵檢測的原理與技術(shù),7.2.2 IDS的基本結(jié)構(gòu),無論IDS系統(tǒng)是網(wǎng)絡型的還是主機型的，從功能上看，都可分為兩大部分：探測引擎和控制中心。前者用于讀取原始數(shù)據(jù)和產(chǎn)生事件；后者用于顯示和分析事件以及策略定制等工作。,7.2 入侵檢測的原理與技術(shù),7.2.2 IDS的基本結(jié)構(gòu),圖7-3 引擎的工作流程,引擎的主要功能為：原始數(shù)據(jù)讀取、數(shù)據(jù)分析、產(chǎn)生事件、策略匹配、事件處理、通信等功能,7.2 入侵檢測的原理與技術(shù),7.2.2 IDS的基本結(jié)構(gòu),圖7-4 控制中心的工作流程,控制中心的主要功能為：通信、事件讀取、事件顯示、策略定制、日志分析、系統(tǒng)幫助等。,7.2 入侵檢測的原理與技術(shù),7.2.3 IDS采用的技術(shù),入侵檢測主要通過專家系統(tǒng)、模式匹配、協(xié)議分析或狀態(tài)轉(zhuǎn)換等方法來確定入侵行為。入侵檢測技術(shù)有： 靜態(tài)配置分析技術(shù) 異常檢測技術(shù) 誤用檢測技術(shù),1靜態(tài)配置分析技術(shù) 靜態(tài)配置分析是通過檢查系統(tǒng)的當前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征(系統(tǒng)配置信息)，而不是系統(tǒng)中的活動。,7.2 入侵檢測的原理與技術(shù),7.2.3 IDS采用的技術(shù),2、異常檢測技術(shù) 通過對系統(tǒng)審計數(shù)據(jù)的分析建立起系統(tǒng)主體(單個用戶、一組用戶、主機，甚至是系統(tǒng)中的某個關(guān)鍵的程序和文件等)的正常行為特征輪廓；檢測時，如果系統(tǒng)中的審計數(shù)據(jù)與已建立的主體的正常行為特征有較大出入就認為是一個入侵行為。這一檢測方法稱“異常檢測技術(shù)”。 一般采用統(tǒng)計或基于規(guī)則描述的方法建立系統(tǒng)主體的行為特征輪廓，即統(tǒng)計性特征輪廓和基于規(guī)則描述的特征輪廓。,7.2 入侵檢測的原理與技術(shù),7.2.3 IDS采用的技術(shù),3誤用檢測技術(shù) 誤用檢測技術(shù)(Misuse Detection)通過檢測用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來檢測系統(tǒng)中的入侵活動，是一種基于已有的知識的檢測。 這種入侵檢測技術(shù)的主要局限在于它只是根據(jù)已知的入侵序列和系統(tǒng)缺陷的模式來檢測系統(tǒng)中的可疑行為，而不能處理對新的入侵攻擊行為以及未知的、潛在的系統(tǒng)缺陷的檢測。,7.2 入侵檢測的原理與技術(shù),7.2.4 入侵檢測分析技術(shù)的比較,1模式匹配的缺陷 1）計算負荷大 2）檢測準確率低,2協(xié)議分析新技術(shù)的優(yōu)勢 1）提高了性能 2）提高了準確性 3）反規(guī)避能力 4）系統(tǒng)資源開銷小,7.3 入侵檢測系統(tǒng)的性能指標,1系統(tǒng)結(jié)構(gòu),好的IDS應能采用分級、遠距離分式部署和管理。,7.3 入侵檢測系統(tǒng)的性能指標,2事件數(shù)量,考察IDS系統(tǒng)的一個關(guān)鍵性指標是報警事件的多少。一般而言，事件越多，表明IDS系統(tǒng)能夠處理的能力越強。,3處理帶寬,IDS的處理帶寬，即IDS能夠處理的網(wǎng)絡流量，是IDS的一個重要性能。目前的網(wǎng)絡IDS系統(tǒng)一般能夠處理2030M網(wǎng)絡流量，經(jīng)過專門定制的系統(tǒng)可以勉強處理4060M的流量。,7.3 入侵檢測系統(tǒng)的性能指標,4探測引擎與控制中心的通信,作為分布式結(jié)構(gòu)的IDS系統(tǒng)，通信是其自身安全的關(guān)鍵因素。通信安全通過身份認證和數(shù)據(jù)加密兩種方法來實現(xiàn)。 身份認證是要保證一個引擎，或者子控制中心只能由固定的上級進行控制，任何非法的控制行為將予以阻止。身份認證采用非對稱加密算法，通過擁有對方的公鑰，進行加密、解密完成身份認證。,7.3 入侵檢測系統(tǒng)的性能指標,5事件定義,事件的可定義性或可定義事件是IDS的一個主要特性。,6二次事件,對事件進行實時統(tǒng)計分析，并產(chǎn)生新的高級事件能力。,7事件響應,通過事件上報、事件日志、Email通知、手機短信息、語音報警等方式進行響應。,還可通過TCP阻斷、防火墻聯(lián)動等方式主動響應。,7.3 入侵檢測系統(tǒng)的性能指標,8自身安全,自身安全指的是探測引擎的安全性。要有良好的隱蔽性，一般使用定制的操作系統(tǒng)。,9終端安全,主要指控制中心的安全性。有多個用戶、多個級別的控制中心，不同的用戶應該有不同的權(quán)限，保證控制中心的安全性。,7.4 入侵防御系統(tǒng)簡介,IDS只能被動地檢測攻擊，而不能主動地把變化莫測的威脅阻止在網(wǎng)絡之外。因此，人們迫切地需要找到一種主動入侵防護解決方案，以確保企業(yè)網(wǎng)絡在威脅四起的環(huán)境下正常運行。,入侵防御系統(tǒng)（Intrusion Prevention System或Intrusion Detection Prevention，即IPS或IDP）就應運而生了。IPS是一種智能化的入侵檢測和防御產(chǎn)品，它不但能檢測入侵的發(fā)生，而且能通過一定的響應方式，實時地中止入侵行為的發(fā)生和發(fā)展，實時地保護信息系統(tǒng)不受實質(zhì)性的攻擊。IPS使得IDS和防火墻走向統(tǒng)一。,IPS在網(wǎng)絡中一般有四種連接方式：Span（接在交換機旁邊，作為端口映像）、Tap（接在交換機與路由器中間，旁路安裝，拷貝一份數(shù)據(jù)到IPS中）、Inline（接在交換機與路由器中間，在線安裝，在線阻斷攻擊）和Port-cluster（被動抓包，在線安裝）。它在報警的同時，能阻斷攻擊。,7.5 蜜網(wǎng)陷阱Honeynet,Honeynet是一個網(wǎng)絡系統(tǒng)，并非某臺單一主機，這一網(wǎng)絡系統(tǒng)隱藏在防火墻的后面，所有進出的數(shù)據(jù)都受到關(guān)注、捕獲及控制。這些被捕獲的數(shù)據(jù)用來研究分析入侵者們使用的工具、方法及動機。在一個Honeynet中，可以使用各種不同的操作系統(tǒng)及設備，如Solaris、Linux、Windows NT、Cisco Switch等。 這樣，建立的網(wǎng)絡環(huán)境看上去會更加真實可信，同時還有不同的系統(tǒng)平臺上面運行著不同的服務，比如Linux的DNS Server、WindowsNT的WebServer或者一個Solaris的FTP Server，可以使用不同的工具以及不同的策略或許某些入侵者僅僅把目標定于幾個特定的系統(tǒng)漏洞上，而這種多樣化的系統(tǒng)，就可能更多地揭示出入侵者的一些特性。,7.5 蜜網(wǎng)陷阱Honeynet,利用Snort軟件安裝Win2000Server下的蜜網(wǎng)陷阱,Snort 是一個強大的輕量級的網(wǎng)絡入侵檢測系統(tǒng)。它具有實時數(shù)據(jù)流量分析和日志IP網(wǎng)絡數(shù)據(jù)包的能力，能夠進行協(xié)議分析，對內(nèi)容進行搜索/匹配。它能夠檢測各種不同的攻擊方式，對攻擊進行實時報警。 構(gòu)建完整的Snort系統(tǒng)需要以下軟件，詳細安裝方法請參照網(wǎng)上相關(guān)資料。 acid-0.9.6b23.tar.gz 基于php 的入侵檢測數(shù)據(jù)庫分析控制臺 adodb360.zip ADOdb（Active Data Objects Data Base）庫for PHP apache_2.0.46-win32-x86-no_src.msi Windows 版本的Apache Web 服務器 jpgraph-1.12.2.tar.gz OO 圖形庫for PHP mysql-4.0.13-win.zip Windows 版本的Mysql 數(shù)據(jù)庫服務器 php-4.3.2-Win32.zip Windows 版本的php 腳本環(huán)境支持 snort-2_0_0.exe Windows 版本的Snort 安裝包 WinPcap_3_0.exe 網(wǎng)絡數(shù)據(jù)包截取驅(qū)動程序 phpmyadmin-2.5.1-php.zip 基于php 的Mysql 數(shù)據(jù)庫管理程序,7.6 天闐黑客入侵檢測與預警系統(tǒng),天闐黑客入侵檢測與預警系統(tǒng)是一