信息安全原理與技術(shù)第3版第10章入侵檢測(cè)主要知識(shí)點(diǎn)：

--入侵檢測(cè)概述

--入侵檢測(cè)系統(tǒng)分類

--入侵檢測(cè)系統(tǒng)分析技術(shù)

--入侵防御系統(tǒng)

2024/4/5Ch10-入侵檢測(cè)210.1入侵檢測(cè)概述安全研究的歷史給了我們一個(gè)有價(jià)值的教訓(xùn)——沒(méi)有100%的安全方案，無(wú)論多么安全的方案都可能存在這樣或那樣的漏洞，不管在網(wǎng)絡(luò)中加入多少入侵預(yù)防措施（如加密、防火墻和認(rèn)證），通常還是會(huì)有一些被人利用而入侵的薄弱環(huán)節(jié)。2024/4/5Ch10-入侵檢測(cè)3IDS的用途攻擊工具攻擊命令攻擊機(jī)制目標(biāo)網(wǎng)絡(luò)網(wǎng)絡(luò)漏洞目標(biāo)系統(tǒng)系統(tǒng)漏洞攻擊者漏洞掃描評(píng)估加固攻擊過(guò)程實(shí)時(shí)入侵檢測(cè)2024/4/5Ch10-入侵檢測(cè)4入侵一些試圖損害一個(gè)資源的完整性、有效性的行為集合。入侵檢測(cè)（IntrusionDetection）

是指通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖。10.1.1入侵檢測(cè)基本概念2024/4/5Ch10-入侵檢測(cè)5入侵檢測(cè)系統(tǒng)（IDS）的主要任務(wù)監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。

2024/4/5Ch10-入侵檢測(cè)6入侵檢測(cè)系統(tǒng)的三個(gè)組成部分提供事件記錄流的信息資源發(fā)現(xiàn)入侵事件的分析引擎對(duì)分析引擎的輸出做出反應(yīng)的響應(yīng)組件

2024/4/5Ch10-入侵檢測(cè)710.1.2入侵檢測(cè)系統(tǒng)基本模型IDES模型IDM模型公共入侵檢測(cè)框架CIDF

2024/4/5Ch10-入侵檢測(cè)8IDES模型主體安全監(jiān)控器對(duì)象審計(jì)數(shù)據(jù)系統(tǒng)輪廓攻擊狀態(tài)添加新規(guī)則實(shí)時(shí)信息規(guī)則匹配2024/4/5Ch10-入侵檢測(cè)9改進(jìn)的IDES模型審計(jì)數(shù)據(jù)源模式匹配器輪廓特征引擎異常檢測(cè)器策略規(guī)則警告/報(bào)告產(chǎn)生器2024/4/5Ch10-入侵檢測(cè)10層次化入侵檢測(cè)模型（IDM）層次名稱解釋說(shuō)明6安全狀態(tài)（securitystate）網(wǎng)絡(luò)整體安全情況5威脅（thread）動(dòng)作產(chǎn)生的結(jié)果種類4上下文（context）事件發(fā)生所處的環(huán)境3主體（subject）事件的發(fā)起者2事件（event）日志記錄特征性質(zhì)和表示動(dòng)作描述1數(shù)據(jù)（data）操作系統(tǒng)或網(wǎng)絡(luò)訪問(wèn)日志記錄2024/4/5Ch10-入侵檢測(cè)11公共入侵檢測(cè)框架CIDF原始事件原始事件原始事件存儲(chǔ)事件高級(jí)事件響應(yīng)事件響應(yīng)單元事件分析器事件數(shù)據(jù)庫(kù)事件產(chǎn)生器2024/4/5Ch10-入侵檢測(cè)1210.2入侵檢測(cè)系統(tǒng)分類根據(jù)數(shù)據(jù)源分類基于主機(jī)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)分布式入侵檢測(cè)系統(tǒng)

根據(jù)分析引擎分類

異常入侵檢測(cè)誤用入侵檢測(cè)

2024/4/5Ch10-入侵檢測(cè)13從響應(yīng)的角度分類報(bào)警響應(yīng)手工響應(yīng)主動(dòng)響應(yīng)

根據(jù)檢測(cè)速度分類

實(shí)時(shí)檢測(cè)離線檢測(cè)

2024/4/5Ch10-入侵檢測(cè)1410.2.1基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）數(shù)據(jù)來(lái)源操作系統(tǒng)審計(jì)記錄（由專門的操作系統(tǒng)機(jī)制產(chǎn)生的系統(tǒng)事件記錄）系統(tǒng)日志（由系統(tǒng)程序產(chǎn)生的用于記錄系統(tǒng)或應(yīng)用程序事件的文件，通常以文本文件的方式存放）基于應(yīng)用的日志信息基于目標(biāo)的對(duì)象信息

2024/4/5Ch10-入侵檢測(cè)15基于主機(jī)的IDS的優(yōu)點(diǎn)能更準(zhǔn)確地確定出攻擊是否成功。能監(jiān)視特定的系統(tǒng)活動(dòng)?；谥鳈C(jī)的IDS可以檢測(cè)到那些基于網(wǎng)絡(luò)的系統(tǒng)察覺(jué)不到的攻擊。由于基于主機(jī)的IDS系統(tǒng)安裝在企業(yè)的各種主機(jī)上，它們更加適合于交換的環(huán)境和加密的環(huán)境。檢測(cè)和響應(yīng)速度接近實(shí)時(shí)。花費(fèi)更加低廉。2024/4/5Ch10-入侵檢測(cè)1610.2.2基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）數(shù)據(jù)來(lái)源

利用網(wǎng)卡的雜收模式，獲得經(jīng)過(guò)本網(wǎng)段的所有數(shù)據(jù)信息，從而實(shí)現(xiàn)獲取網(wǎng)絡(luò)數(shù)據(jù)的功能。2024/4/5Ch10-入侵檢測(cè)17基于網(wǎng)絡(luò)的IDS的優(yōu)點(diǎn)能檢測(cè)基于主機(jī)的系統(tǒng)漏掉的攻擊。攻擊者不易轉(zhuǎn)移證據(jù)。實(shí)時(shí)檢測(cè)和響應(yīng)?？蓹z測(cè)未成功的攻擊和不良意圖。2024/4/5Ch10-入侵檢測(cè)1810.2.3分布式入侵檢測(cè)系統(tǒng)（DIDS）傳統(tǒng)的IDS普遍存在的問(wèn)題系統(tǒng)的弱點(diǎn)或漏洞分散在網(wǎng)絡(luò)中各個(gè)主機(jī)上，這些弱點(diǎn)有可能被入侵者一起用來(lái)攻擊網(wǎng)絡(luò)，而僅依靠HIDS或NIDS不能發(fā)現(xiàn)更多的入侵行為?，F(xiàn)在的入侵行為表現(xiàn)出相互協(xié)作入侵的特點(diǎn)，例如分布式拒絕服務(wù)攻擊（DDoS）。入侵檢測(cè)所需要的數(shù)據(jù)來(lái)源分散化，收集原始的檢測(cè)數(shù)據(jù)變得困難，如交換型網(wǎng)絡(luò)使得監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)包受到限制。由于網(wǎng)絡(luò)傳輸速度加快，網(wǎng)絡(luò)流量不斷增大，所以集中處理原始數(shù)據(jù)的方式往往造成檢測(cè)的實(shí)時(shí)性和有效性大打折扣。

2024/4/5Ch10-入侵檢測(cè)19DIDS的分布性數(shù)據(jù)包過(guò)濾的工作由分布在各網(wǎng)絡(luò)設(shè)備（包括聯(lián)網(wǎng)主機(jī)）上的探測(cè)代理完成；探測(cè)代理認(rèn)為可疑的數(shù)據(jù)包將根據(jù)其類型交給專用的分析層設(shè)備處理。

2024/4/5Ch10-入侵檢測(cè)20DIDS結(jié)構(gòu)框圖

DIDSDIDS控制器主機(jī)代理主機(jī)事件發(fā)生器主機(jī)監(jiān)視器LAN代理LAN事件發(fā)生器LAN監(jiān)視器2024/4/5Ch10-入侵檢測(cè)2110.3入侵檢測(cè)系統(tǒng)分析技術(shù)異常檢測(cè)技術(shù)誤用檢測(cè)技術(shù)2024/4/5Ch10-入侵檢測(cè)2210.3.1異常檢測(cè)技術(shù)也稱為基于行為的檢測(cè)首先建立起用戶的正常使用模式，即知識(shí)庫(kù)標(biāo)識(shí)出不符合正常模式的行為活動(dòng)2024/4/5Ch10-入侵檢測(cè)23常用的異常檢測(cè)方法統(tǒng)計(jì)異常檢測(cè)基于神經(jīng)網(wǎng)絡(luò)的異常檢測(cè)基于數(shù)據(jù)挖掘的異常檢測(cè)2024/4/5Ch10-入侵檢測(cè)2410.3.2誤用檢測(cè)技術(shù)也稱為基于特征的檢測(cè)建立起已知攻擊的知識(shí)庫(kù)判別當(dāng)前行為活動(dòng)是否符合已知的攻擊模式2024/4/5Ch10-入侵檢測(cè)25常用的誤用檢測(cè)方法基于串匹配的誤用檢測(cè)技術(shù)基于專家系統(tǒng)的誤用檢測(cè)技術(shù)基于狀態(tài)轉(zhuǎn)換分析的誤用檢測(cè)技術(shù)基于著色Petri網(wǎng)的誤用檢測(cè)技術(shù)其他技術(shù)，如生物免疫、基于代理等2024/4/5Ch10-入侵檢測(cè)2610.4入侵防御系統(tǒng)入侵防御系統(tǒng)基本概念入侵防御系統(tǒng)的分類

入侵防御系統(tǒng)的原理

入侵防御系統(tǒng)的技術(shù)特征入侵防御系統(tǒng)的發(fā)展

2024/4/5Ch10-入侵檢測(cè)2710.4.1入侵防御系統(tǒng)基本概念入侵防御系統(tǒng)（IntrusionPreventionSystem，IPS）是一種能夠檢測(cè)已知和未知攻擊并且成功阻止攻擊的軟硬件系統(tǒng)，是網(wǎng)絡(luò)安全領(lǐng)域?yàn)閺浹a(bǔ)防火墻及入侵檢測(cè)系統(tǒng)(IDS)的不足而新發(fā)展起來(lái)的一種計(jì)算機(jī)信息安全技術(shù)。IPS與IDS最主要的不同就是IPS能夠提供主動(dòng)性的防御，在遇到攻擊時(shí)能夠檢測(cè)并嘗試阻止入侵，而IDS僅僅是檢測(cè)到攻擊。2024/4/5Ch10-入侵檢測(cè)28防火墻的缺陷防火墻能阻止不符合安全策略的數(shù)據(jù)流通過(guò)，但對(duì)于入侵行為卻不能阻止。傳統(tǒng)防火墻能檢測(cè)網(wǎng)絡(luò)層和傳輸層的數(shù)據(jù)，不能檢測(cè)應(yīng)用層的內(nèi)容，且多采用數(shù)據(jù)包過(guò)濾檢測(cè)技術(shù)，不會(huì)針對(duì)每一個(gè)字節(jié)進(jìn)行細(xì)致檢查，因此漏掉一些攻擊行為。一般防火墻被串行部署在網(wǎng)絡(luò)進(jìn)出口處，檢查進(jìn)出的所有數(shù)據(jù)流，但對(duì)于網(wǎng)絡(luò)流量較大的網(wǎng)絡(luò)而言，巨大的處理需求往往使得防火墻成為網(wǎng)絡(luò)的堵塞點(diǎn)。2024/4/5Ch10-入侵檢測(cè)29IDS的缺陷IDS的作用是通過(guò)監(jiān)視網(wǎng)絡(luò)和系統(tǒng)中的數(shù)據(jù)流，檢測(cè)是否存在有違反安全策略的行為或企圖，若有則發(fā)出警報(bào)通知管理員采取措施。IDS最大的缺陷在于誤報(bào)與漏報(bào)現(xiàn)象嚴(yán)重，用戶往往淹沒(méi)在海量的報(bào)警信息中，而漏掉真正的報(bào)警。作為旁路并聯(lián)在網(wǎng)絡(luò)上的IDS設(shè)備，無(wú)法對(duì)通過(guò)防火墻的深層攻擊進(jìn)行實(shí)時(shí)阻斷。2024/4/5Ch10-入侵檢測(cè)30IPS的起源將IDS的深層分析能力和防火墻的在線部署功能結(jié)合起來(lái)，形成一個(gè)新的安全產(chǎn)品的想法被提出來(lái)，這就是IPS的起源。2000年，NetWorkICE公司首次提出了IPS這個(gè)概念，此后推出了BlackICEGuard。它與傳統(tǒng)IDS最大的區(qū)別是串行部署并能夠直接分析網(wǎng)絡(luò)數(shù)據(jù)并實(shí)時(shí)對(duì)惡意數(shù)據(jù)進(jìn)行丟棄處理。從2006年起，大量的國(guó)外安全廠商紛紛推出相應(yīng)的IPS產(chǎn)品，IPS開(kāi)始逐漸被人們關(guān)注。2024/4/5Ch10-入侵檢測(cè)31

IPS與IDS的區(qū)別IPS在一定程度上像一個(gè)IDS和防火墻的混合體，或者可以與已有的防火墻一起發(fā)揮作用。IPS與IDS都基于檢測(cè)技術(shù)，兩者之間的區(qū)別主要在以下幾點(diǎn)：（1）IDS的目的是提供監(jiān)視、審計(jì)、取證和對(duì)網(wǎng)絡(luò)活動(dòng)的報(bào)告。IPS的目的是為資產(chǎn)、資源、數(shù)據(jù)和網(wǎng)絡(luò)提供保護(hù)。IPS則能夠提供主動(dòng)性的防御，在遇到攻擊時(shí)能夠檢測(cè)并嘗試阻止入侵，而IDS僅僅是檢測(cè)到攻擊。（2）IPS串聯(lián)在網(wǎng)絡(luò)上，利用了OSI參考模型的所有七層信息，對(duì)攻擊進(jìn)行過(guò)濾，提供了一種主動(dòng)的、積極的入侵防范。而IDS只是旁路并聯(lián)安裝，檢測(cè)入侵行為。2024/4/5Ch10-入侵檢測(cè)32（3）IDS使用非確定性的方法從當(dāng)前和歷史的通信流中查找威脅或者潛在的威脅，包括執(zhí)行通信流、通信模式和異?；顒?dòng)的統(tǒng)計(jì)分析。

IPS必須是確定性的，它所執(zhí)行的所有丟棄通信包的行為必須是正確的。IPS被認(rèn)為是一直在網(wǎng)絡(luò)上處于工作狀態(tài)，執(zhí)行訪問(wèn)控制的決定。此外，IPS與傳統(tǒng)的IDS還有兩點(diǎn)關(guān)鍵區(qū)別：自動(dòng)阻截和在線運(yùn)行，兩者缺一不可。2024/4/5Ch10-入侵檢測(cè)3310.4.2入侵防御系統(tǒng)的分類IPS系統(tǒng)根據(jù)部署方式可分為3類?；谥鳈C(jī)的入侵防御系統(tǒng)基于網(wǎng)絡(luò)的入侵防御系統(tǒng)應(yīng)用入侵防御系統(tǒng)2024/4/5Ch10-入侵檢測(cè)34（1）基于主機(jī)的入侵防御系統(tǒng)(Host-basedIntrusionPreventionSystem，HIPS)HIPS通過(guò)在主機(jī)/服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序。HIPS能夠保護(hù)服務(wù)器的安全弱點(diǎn)不被不法分子所利用，因此它們?cè)诜婪度湎x病毒的攻擊中起到了很好的防御作用。HIPS可以根據(jù)自定義的安全策略以及分析學(xué)習(xí)機(jī)制來(lái)阻斷對(duì)服務(wù)器/主機(jī)發(fā)起的惡意入侵。HIPS可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動(dòng)態(tài)鏈接庫(kù)以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為，整體提升主機(jī)的安全水平。2024/4/5Ch10-入侵檢測(cè)35（2）基于網(wǎng)絡(luò)的入侵防御系統(tǒng)(Network-basedIntrusionPreventionSystem，NIPS)

NIPS采用在線連接方式檢測(cè)流經(jīng)的網(wǎng)絡(luò)流量，一旦辨識(shí)出入侵行為，就可以去除整個(gè)網(wǎng)絡(luò)會(huì)話，而不僅僅是復(fù)位會(huì)話。由于實(shí)時(shí)在線，NIPS需要具備很高的性能，以免成為網(wǎng)絡(luò)的瓶頸，因此NIPS通常被設(shè)計(jì)成類似于交換機(jī)的網(wǎng)絡(luò)設(shè)備，提供線速吞吐速率以及多個(gè)網(wǎng)絡(luò)端口。NIPS基于特定的硬件平臺(tái)，通?？梢苑譃槿悾阂活愂蔷W(wǎng)絡(luò)處理器(網(wǎng)絡(luò)芯片)，一類是專用的FPGA編程芯片，第三類是專用的ASIC芯片。

2024/4/5Ch10-入侵檢測(cè)36（3）應(yīng)用入侵防御系統(tǒng)(ApplicationIntrusionPreventionSystem，AIPS)

AIPS是NIPS的一個(gè)特例，它把基于主機(jī)的入侵防御擴(kuò)展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備。AIPS被設(shè)計(jì)成一種高性能的設(shè)備，配置在應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)鏈路上，以確保用戶遵守設(shè)定好的安全策略，保護(hù)服務(wù)器的安全。2024/4/5Ch10-入侵檢測(cè)3710.4.3入侵防御系統(tǒng)原理IPS與IDS在檢測(cè)方面的原理相同。IPS首先由信息采集模塊實(shí)施信息收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為；然后利用模式匹配、協(xié)議分析、統(tǒng)計(jì)分析和完整性分析等技術(shù)手段，由信號(hào)分析模塊對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息進(jìn)行分析；最后由反應(yīng)模塊對(duì)分析結(jié)果做出相應(yīng)的反應(yīng)。2024/4/5Ch10-入侵檢測(cè)38IPS工作原理IPS直接嵌入到網(wǎng)絡(luò)流量中，通過(guò)一個(gè)網(wǎng)絡(luò)端口接收來(lái)自外部系統(tǒng)的流量，數(shù)據(jù)流經(jīng)過(guò)IPS處理引擎進(jìn)行大規(guī)模并行深層檢測(cè)，檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后，再通過(guò)另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。IPS的主要工作依靠IPS引擎完成，IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，里面包含許多種類的過(guò)濾器，每種過(guò)濾器采用并行處理檢測(cè)和協(xié)議重組分析的工作方式，分析相對(duì)類型的數(shù)據(jù)包，深層檢查數(shù)據(jù)包的內(nèi)容。其工作原理如圖10.6所示。2024/4/5Ch10-入侵檢測(cè)39圖10.6IPS工作原理2024/4/5Ch10-入侵檢測(cè)40當(dāng)數(shù)據(jù)流進(jìn)入IPS引擎之后：（1）首先對(duì)每個(gè)數(shù)據(jù)包進(jìn)行逐一字節(jié)地檢查，異常的數(shù)據(jù)包被丟棄，通過(guò)檢查的數(shù)據(jù)包依據(jù)報(bào)頭信息，如源IP地址、目的IP地址、端口號(hào)和應(yīng)用域等進(jìn)行分類，并記錄數(shù)據(jù)流的狀態(tài)信息。（2）根據(jù)數(shù)據(jù)包的分類，相關(guān)的過(guò)濾器進(jìn)行篩選，若任何數(shù)據(jù)包符合匹配條件，則標(biāo)志為命中。