1、第七章 入侵檢測(cè)技術(shù) 網(wǎng)絡(luò)“黑客”越來(lái)越猖獗，攻擊手段越來(lái)越先進(jìn)，“殺傷力”越來(lái)越大。為了對(duì)付“黑客”們層出不窮的攻擊，人們采取了各種各樣的反攻擊手段，在這些手段中，入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。8/17/20221一、入侵檢測(cè)的概念 入侵檢測(cè)是主動(dòng)保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)，它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，從而發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，作為防火墻的合理補(bǔ)充，入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了

2、信息安全基礎(chǔ)結(jié)構(gòu)的完整性。8/17/20222二、入侵檢測(cè)可以實(shí)現(xiàn)的功能如下1、監(jiān)控和分析用戶(hù)以及系統(tǒng)的活動(dòng)2、核查系統(tǒng)配置和漏洞3、統(tǒng)計(jì)分析異常活動(dòng)4、評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性5、識(shí)別攻擊的活動(dòng)模式冰箱網(wǎng)管人員報(bào)警8/17/20223三、入侵檢測(cè)原理 入侵者進(jìn)行攻擊的時(shí)候總會(huì)留下痕跡，這些痕跡和系統(tǒng)正常運(yùn)行的時(shí)候產(chǎn)生的數(shù)據(jù)混在一起。入侵檢測(cè)系統(tǒng)就是從這些混合數(shù)據(jù)中找出是否有入侵的痕跡，如果有就報(bào)警提示有入侵事件發(fā)生。 入侵檢測(cè)系統(tǒng)有兩個(gè)重要部分：數(shù)據(jù)的取得和數(shù)據(jù)的檢測(cè)。入侵檢測(cè)系統(tǒng)取得的數(shù)據(jù)一般是系統(tǒng)和網(wǎng)絡(luò)運(yùn)行的時(shí)候產(chǎn)生的數(shù)據(jù)，入侵檢測(cè)系統(tǒng)研究者的主要工作是研究哪些數(shù)據(jù)最有可能反應(yīng)入侵

3、事件的發(fā)生和哪些檢測(cè)技術(shù)最適應(yīng)于這些數(shù)據(jù)。 從一組數(shù)據(jù)中檢測(cè)出入侵事件的數(shù)據(jù)，實(shí)際上就是對(duì)一組數(shù)據(jù)進(jìn)行分類(lèi)。如果只是簡(jiǎn)單地檢測(cè)出系統(tǒng)是否發(fā)生入侵，那么這個(gè)過(guò)程就是把數(shù)據(jù)分為兩類(lèi)：有入侵的數(shù)據(jù)和無(wú)入侵的數(shù)據(jù)。如果復(fù)雜一些就是，不僅要檢測(cè)出入侵，還得說(shuō)明是什么入侵。8/17/20224四、入侵檢測(cè)系統(tǒng)的結(jié)構(gòu) 入侵檢測(cè)系統(tǒng)至少應(yīng)該包含三個(gè)功能模塊：提供事件記錄流的信息源、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的相應(yīng)部件。以下介紹參照美國(guó)國(guó)防部高級(jí)計(jì)劃局提出的公共入侵檢測(cè)框架CIDF的一個(gè)入侵檢測(cè)系統(tǒng)的通用模型。它們?cè)谌肭謾z測(cè)系統(tǒng)中的位置和關(guān)系如下圖所示：響應(yīng)單元事件數(shù)據(jù)庫(kù)事件分析器事件收集器各種級(jí)別的

4、事件8/17/20225五、入侵檢測(cè)分類(lèi)1、根據(jù)檢測(cè)方式：入侵檢測(cè)系統(tǒng)大體可以分為三類(lèi)：基于行為的入侵監(jiān)測(cè)系統(tǒng)（異常檢測(cè)）和基于入侵知識(shí)的入侵檢測(cè)系統(tǒng)（濫用檢測(cè)）和混合檢測(cè)異常檢測(cè)：假定所有的入侵活動(dòng)都是異常活動(dòng)濫用檢測(cè)：攻擊或入侵總能表示成模式或者特征的形式，因此可以通過(guò)匹配該模式或特征來(lái)檢測(cè)入侵及其變種。2、根據(jù)數(shù)據(jù)來(lái)源的不同：基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。前者適用于主機(jī)環(huán)境，后者適用于網(wǎng)絡(luò)環(huán)境。8/17/202263、根據(jù)入侵檢測(cè)系統(tǒng)的分析數(shù)據(jù)來(lái)源劃分：（1）網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)：可以通過(guò)對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包的分析和統(tǒng)計(jì)，檢測(cè)到可能發(fā)生的惡意攻擊（2）系統(tǒng)完整性校驗(yàn)系統(tǒng)：主

5、要是用來(lái)檢驗(yàn)系統(tǒng)文件，從而確定系統(tǒng)是否被黑客進(jìn)行了攻擊。（3）日志文件分析系統(tǒng)：通過(guò)分析網(wǎng)絡(luò)服務(wù)產(chǎn)生的日志文件來(lái)獲得潛在的惡意攻擊企圖。（4）欺騙系統(tǒng)：通過(guò)模擬一些著名的漏洞并提供虛假服務(wù)來(lái)欺騙入侵者8/17/202274、根據(jù)檢測(cè)系統(tǒng)對(duì)入侵攻擊的響應(yīng)方式：（1）主動(dòng)的入侵檢測(cè)系統(tǒng)（實(shí)時(shí)入侵檢測(cè)系統(tǒng)）在檢測(cè)出入侵后，可以自動(dòng)地對(duì)目標(biāo)系統(tǒng)中的漏洞采取修補(bǔ)，強(qiáng)制可疑用戶(hù)退出系統(tǒng)以及關(guān)閉相關(guān)服務(wù)等對(duì)策和響應(yīng)措施。（2）被動(dòng)的入侵檢測(cè)系統(tǒng)（事后入侵檢測(cè)系統(tǒng)）在檢測(cè)出系統(tǒng)攻擊后只是產(chǎn)生報(bào)警信息通知系統(tǒng)安全管理員，至于之后的處理工作由系統(tǒng)管理員完成。8/17/202285、其他一些入侵檢測(cè)技術(shù)： 神經(jīng)網(wǎng)絡(luò)

6、：由于用戶(hù)行為的復(fù)雜性，所以要想準(zhǔn)確匹配一個(gè)用戶(hù)的歷史行為和當(dāng)前行為是非常困難的，誤報(bào)的原因往往來(lái)自對(duì)審計(jì)數(shù)據(jù)的統(tǒng)計(jì)算法基于不確定的假設(shè)，所以目前采用神經(jīng)網(wǎng)絡(luò)技術(shù)進(jìn)行入侵檢測(cè)，該方法可能用于檢測(cè)下面的難題：難于建立確切的統(tǒng)計(jì)分布，統(tǒng)計(jì)方法依賴(lài)于有用戶(hù)行為的主觀建設(shè)難于實(shí)現(xiàn)方法的普遍適應(yīng)性：適用于一類(lèi)用戶(hù)的檢測(cè)措施無(wú)法適用于另一類(lèi)用戶(hù)系統(tǒng)臃腫難于裁減8/17/20229 專(zhuān)家系統(tǒng)：就是基于一套由專(zhuān)家經(jīng)驗(yàn)事先定義的規(guī)則的推理系統(tǒng)，它根據(jù)一定的推理規(guī)則對(duì)所涉及的攻擊進(jìn)行分析和推理，如對(duì)密碼的試探性攻擊。 需要解釋的是該專(zhuān)家系統(tǒng)也具有一定的局限性，因?yàn)檫@類(lèi)推理規(guī)則的基礎(chǔ)是根據(jù)已知的漏洞和攻擊進(jìn)行規(guī)則的

7、定義的，而實(shí)際上最危險(xiǎn)的攻擊是來(lái)自未知的漏洞或者攻擊類(lèi)型。 專(zhuān)家系統(tǒng)的功能需要隨著經(jīng)驗(yàn)和知識(shí)的積累逐步擴(kuò)充和修正。完備的推理系統(tǒng)有能力對(duì)新的入侵和網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)，因此，和普通的統(tǒng)計(jì)方法相比，依賴(lài)歷史數(shù)據(jù)較少，可以用于廣普的安全策略和檢測(cè)需求8/17/202210六、入侵響應(yīng) 1. 準(zhǔn)備工作 提前制定一份應(yīng)急響應(yīng)計(jì)劃如果資金允許，可以申請(qǐng)獲得外部的技術(shù)支持組建一個(gè)事故響應(yīng)小組并分配給成員不同責(zé)任準(zhǔn)備大量的備份介質(zhì)預(yù)先對(duì)系統(tǒng)環(huán)境進(jìn)行文檔化工作具備一個(gè)有效的通訊計(jì)劃8/17/202211 2. 入侵檢測(cè) (1) 重要的日志文件 LASTLOG: 每個(gè)用戶(hù)最近一次登陸時(shí)間和源 UTMP:記錄以前登陸

8、到系統(tǒng)中的所有用戶(hù)。 WTMP:記錄用戶(hù)登陸和退出事件 SYSLOG:消息日志工具。 (2) 利用系統(tǒng)命令檢測(cè)入侵動(dòng)作 一些系統(tǒng)命令，如find和secure等稱(chēng)之為檢查程序 可以用來(lái)搜索文件系統(tǒng)8/17/202212 (3) 日志審核 ps 命令對(duì)于找出入侵者的進(jìn)程，連接時(shí)間以及跟蹤指定用戶(hù)的活動(dòng)非常有用。 (4) 以太網(wǎng)窺探器 利用網(wǎng)絡(luò)窺探工具如snoop等可以記錄網(wǎng)絡(luò)的特定網(wǎng)段上的活動(dòng) 3. 入侵響應(yīng) 遇到網(wǎng)絡(luò)遭到攻擊，首先要做到兩條：保持冷靜，其次是對(duì)做的每件事情要有記錄。建議以下七個(gè)步驟8/17/202213估計(jì)形式并決定需要作出哪些響應(yīng)如果有必要就要斷開(kāi)連接或關(guān)閉資源事故分析和響應(yīng)

9、根據(jù)響應(yīng)決策向其他人報(bào)警保存系統(tǒng)狀態(tài)恢復(fù)遭到攻擊的系統(tǒng)記錄所發(fā)生的一切。8/17/202214七、入侵追蹤 根據(jù)入侵的數(shù)據(jù)記錄來(lái)獲取入侵者信息的途徑即為入侵追蹤。 (1). 根據(jù)IPAddress 進(jìn)行追蹤。把機(jī)器當(dāng)前的連接記錄復(fù)制到文檔上(特定、遠(yuǎn)端） (2).根據(jù)地理位置進(jìn)行追蹤：如果入侵者是通過(guò)撥號(hào)上網(wǎng)，ISP無(wú)法得知是誰(shuí)在使用其網(wǎng)絡(luò)。可以使用來(lái)話者電話檢測(cè)功能將對(duì)方的電話顯示；如果電話無(wú)法顯示，那么通過(guò)IP地址進(jìn)行追蹤8/17/202215八、基本的入侵方式 網(wǎng)絡(luò)攻擊是一項(xiàng)系統(tǒng)性很強(qiáng)的工作，一般流程為： 1. 端口掃描技術(shù) 利用現(xiàn)有的分析軟件，如portscan,haktek等進(jìn)行目標(biāo)

10、主機(jī)的端口掃描，可以直接得到各個(gè)端口提供的服務(wù)與端口狀態(tài)。這主要是因?yàn)橐话愣丝谝呀?jīng)被賦予了收集情報(bào)遠(yuǎn)程攻擊遠(yuǎn)程登陸取得普通用戶(hù)權(quán)限取得超級(jí)用戶(hù)權(quán)限留下“后門(mén)”清除日志網(wǎng)絡(luò)攻擊的一般流程8/17/202216 了一定的意義，例如FTP服務(wù)端口為21，WWW的端口是80等等。 例：scanning host xx.xx.xx, port 0 to 1000 port 7 found port 21 found. 在得到了端口的一些信息后，入侵邊便可以了解和分析系統(tǒng)，進(jìn)而訪問(wèn)和入侵系統(tǒng)。 2. 密碼文件的獲取 利用Finger功能，進(jìn)行信息檢測(cè) 應(yīng)用Haktek工具在TARGET中輸入目標(biāo)主機(jī)的地址

11、，而8/17/202217 后選擇Finger即可出現(xiàn)登陸到該主機(jī)的用戶(hù)的一些信息： login Name TTY Idle When Where 這樣經(jīng)過(guò)一段時(shí)間的觀察，就會(huì)積累一定的帳號(hào)信息。利用電子郵件地址 一些公司的郵件地址是公開(kāi)的，可以進(jìn)行積累，有時(shí)郵件帳號(hào)和密碼之間有一些聯(lián)系，也可以作為破解密碼的線索。 3. 清除日志 日志清除是攻擊者隱藏自己，獲得再次訪問(wèn)該系統(tǒng)的機(jī)會(huì)的方法，針對(duì)不同的日志記錄，可以采取不同的清除方法。8/17/202218 附：傳統(tǒng)的掃描與監(jiān)聽(tīng)工具 ISS 是一個(gè)用來(lái)檢查使用TCP/IP連接的主機(jī)是否容易受到攻擊的軟件，目前成為了黑客的攻擊工具。SATAN 是一

12、個(gè)分析網(wǎng)絡(luò)安全和測(cè)試的工具TCP CONNECT掃描Sniffer 溴探器主要用于分析網(wǎng)絡(luò)流量，找出網(wǎng)絡(luò)中潛在的問(wèn)題，有些能夠進(jìn)行比較強(qiáng)的協(xié)議分析，因此能夠撲獲一些口令等信息TCPDUNPETHERFINDTEPDUMPNFSWATCH8/17/202219九、入侵檢測(cè)系統(tǒng) 1. 起源 1980年 Anderson提出：入侵檢測(cè)概念，分類(lèi)方法 1987年 Denning提出了一種通用的入侵檢測(cè)模型 獨(dú)立性 ：系統(tǒng)、環(huán)境、脆弱性、入侵種類(lèi) 系統(tǒng)框架：異常檢測(cè)器，專(zhuān)家系統(tǒng) 90年初 CMDS、NetProwler、NetRanger ISS RealSecure8/17/202220 1990，加

13、州大學(xué)戴維斯分校的L. T. Heberlein等人開(kāi)發(fā)出了NSM（Network Security Monitor）該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來(lái)源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī) 入侵檢測(cè)系統(tǒng)發(fā)展史翻開(kāi)了新的一頁(yè)，兩大陣營(yíng)正式形成：基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS 8/17/2022212. IDS基本結(jié)構(gòu)入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件（1）信息收集系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為（2）信息分析模式匹配 統(tǒng)計(jì)分析 完整性分析，往往用于事后分析8/17/202222（3）結(jié)果處理誤報(bào)(false positive)：如

14、果系統(tǒng)錯(cuò)誤地將異常活動(dòng)定義為入侵漏報(bào)(false negative)：如果系統(tǒng)未能檢測(cè)出真正的入侵行為8/17/2022233、主機(jī)入侵檢測(cè)(HIDS)安裝于被保護(hù)的主機(jī)中，但可以不運(yùn)行在監(jiān)控主機(jī)上主要分析主機(jī)內(nèi)部活動(dòng)系統(tǒng)日志系統(tǒng)調(diào)用文件完整性檢查占用一定的系統(tǒng)資源8/17/202224Internet基于主機(jī)入侵檢測(cè)系統(tǒng)工作原理網(wǎng)絡(luò)服務(wù)器1客戶(hù)端網(wǎng)絡(luò)服務(wù)器2X檢測(cè)內(nèi)容： 系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志HIDSXHIDS8/17/2022254、基于網(wǎng)絡(luò)的入侵檢測(cè)安裝在被保護(hù)的網(wǎng)段中，對(duì)通信數(shù)據(jù)進(jìn)行偵聽(tīng)采集數(shù)據(jù) 主機(jī)資源消耗少 提供對(duì)網(wǎng)絡(luò)通用的保護(hù)如何適應(yīng)高速網(wǎng)絡(luò)環(huán)境非共享網(wǎng)

15、絡(luò)上如何采集數(shù)據(jù)混雜模式監(jiān)聽(tīng)分析網(wǎng)段中所有的數(shù)據(jù)包實(shí)時(shí)檢測(cè)和響應(yīng)操作系統(tǒng)無(wú)關(guān)性8/17/202226InternetNIDS網(wǎng)絡(luò)服務(wù)器1數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分客戶(hù)端網(wǎng)絡(luò)服務(wù)器2X檢測(cè)內(nèi)容： 包頭信息+有效數(shù)據(jù)部分8/17/2022275、兩種入侵檢測(cè)系統(tǒng)的優(yōu)缺點(diǎn)比較1)基于主機(jī)優(yōu)點(diǎn)具有更大的準(zhǔn)確性，及時(shí)進(jìn)行響應(yīng)判斷應(yīng)用層的入侵事件不需要額外的硬件缺點(diǎn)占用主機(jī)資源，服務(wù)器產(chǎn)生額外的負(fù)擔(dān)缺乏跨平臺(tái)支持，可移植性差8/17/2022282）基于網(wǎng)絡(luò)優(yōu)點(diǎn)可移植性強(qiáng)不依賴(lài)主機(jī)的操作系統(tǒng)作為檢測(cè)資源實(shí)時(shí)監(jiān)測(cè)應(yīng)答，更快的做出反應(yīng)，監(jiān)測(cè)力度更細(xì)致攻擊者轉(zhuǎn)移證據(jù)困難，能檢測(cè)未成功的攻擊企圖缺點(diǎn)只能監(jiān)視本網(wǎng)段的活動(dòng)精確度不高高層信息的獲取上困難，技術(shù)實(shí)現(xiàn)復(fù)雜8/17/2022296、基于主機(jī)和網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)互聯(lián)網(wǎng)防火墻IDS1IDS3IDS2ISD4內(nèi)部網(wǎng)1）IDS1：放在防火墻之外，檢測(cè)對(duì)內(nèi)網(wǎng)、防火墻的攻擊，看不到來(lái)自?xún)?nèi)網(wǎng)的攻擊2）IDS2:處理防火墻轉(zhuǎn)發(fā)的數(shù)據(jù)包，影響防火墻的轉(zhuǎn)發(fā)功能3）IDS3:檢測(cè)穿過(guò)防火墻的數(shù)據(jù)包，基于網(wǎng)絡(luò)監(jiān)測(cè)的位置4）IDS4：放在主機(jī)內(nèi)部，來(lái)自外網(wǎng)、內(nèi)網(wǎng)的攻擊都可檢測(cè)8/17/2022307、基于事件分析的入侵檢測(cè)系統(tǒng)1）基于異常檢測(cè)模型的入侵檢測(cè)系統(tǒng)自學(xué)習(xí)系統(tǒng)編程系統(tǒng)2）基于濫用檢測(cè)模型的入侵檢測(cè)系統(tǒng)狀態(tài)建模專(zhuān)家系統(tǒng)串匹配基于簡(jiǎn)單規(guī)則3）混合檢測(cè)8/1