入侵檢測(cè)技術(shù)

1、僅供個(gè)人參考For personal use only in study and research; not for commercial use1. 教學(xué)：入侵檢測(cè)技術(shù)1.1 入侵檢測(cè)簡(jiǎn)介1.概念入侵檢測(cè)（ Intrusion Detection）是對(duì)入侵行為的。它通過(guò)收集和分析網(wǎng)絡(luò)行為、審計(jì)數(shù)據(jù)、 其它上可以獲得的以及中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反的行為和被攻擊的跡象。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前和響應(yīng)入侵。因此被認(rèn)為是之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。2.功能及優(yōu)點(diǎn)

2、監(jiān)督并分析用戶(hù)和系統(tǒng)的活動(dòng)；檢查和漏洞；檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性；識(shí)別代表已知攻擊的活動(dòng)模式；對(duì)反常行為模式的統(tǒng)計(jì)分析；入侵檢測(cè)系統(tǒng)和漏洞評(píng)估工具的優(yōu)點(diǎn)在于：提高了體系其它部分的完整性；提高了系統(tǒng)的監(jiān)察能力；跟蹤用戶(hù)從進(jìn)入到退出的所有活動(dòng)或影響；識(shí)別并報(bào)告數(shù)據(jù)文件的改動(dòng)；發(fā)現(xiàn)系統(tǒng)配置的錯(cuò)誤，必要時(shí)予以更正；識(shí)別特定類(lèi)型的攻擊，并向相應(yīng)人員報(bào)警，以做出防御反應(yīng)；可使人員最新的添加到程序中；允許非專(zhuān)家人員從事工作；為信息安全策略的創(chuàng)建提供指導(dǎo)；1.2 IDS 簡(jiǎn)介1.概念I(lǐng)DS 是英文“Intrusion Detection Systems中”文的意縮思寫(xiě)是，“入侵檢測(cè)系統(tǒng)”。專(zhuān)業(yè)上講就是依

3、照一定的安全策略，通過(guò)軟、硬件，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和不得用于商業(yè)用途僅供個(gè)人參考可用性。例如：假如防火墻是一幢大樓的門(mén)鎖，那么IDS 就是這幢大樓里的監(jiān)視系統(tǒng)。一旦外部人員爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。2.原理入侵檢測(cè)可分為實(shí)時(shí)入侵檢測(cè)和事后入侵檢測(cè)兩種：實(shí)時(shí)入侵檢測(cè)在網(wǎng)絡(luò)連接過(guò)程中進(jìn)行，系統(tǒng)根據(jù)用戶(hù)的歷史行為模型、存儲(chǔ)在計(jì)算機(jī)中的專(zhuān)家知識(shí)以及對(duì)用戶(hù)當(dāng)前的操作進(jìn)行判斷， 一旦發(fā)現(xiàn)入侵跡象立即斷開(kāi)入侵者與主機(jī)的連接，并收集證據(jù)和實(shí)施。這個(gè)檢測(cè)過(guò)程是不斷循環(huán)進(jìn)

4、行的。 而事后入侵檢測(cè)則是由具有網(wǎng)絡(luò)安全專(zhuān)業(yè)知識(shí)的網(wǎng)絡(luò)管理人員來(lái)進(jìn)行的，是定期或不定期進(jìn)行的，不具有實(shí)時(shí)性，因此防御入侵的能力不如實(shí)時(shí)入侵檢測(cè)系統(tǒng)。入侵檢測(cè)流程：(1) 入侵檢測(cè)的第一步：信息收集收集的內(nèi)容包括系統(tǒng)、 網(wǎng)絡(luò)、數(shù)據(jù)及用戶(hù)活動(dòng)的狀態(tài)和行為。 收集信息需要在中不同的關(guān)鍵點(diǎn)來(lái)進(jìn)行， 這樣一方面可以盡可能擴(kuò)大檢測(cè)范圍， 另一方面從幾個(gè)信源來(lái)的信息的不一致性是可疑行為或入侵的最好標(biāo)識(shí)，因?yàn)橛袝r(shí)候從一個(gè)信源來(lái)的信息有可能看不出疑點(diǎn)。入侵檢測(cè)利用的信息一般來(lái)自以下四個(gè)方面：1）系統(tǒng)日志經(jīng)常在系統(tǒng)日志中留下他們的蹤跡，因此，充分利用系統(tǒng)日志是檢測(cè)入侵的必要條件。日志文件中記錄了各種行為類(lèi)型，每種

5、類(lèi)型又包含不同的信息，很顯然地，對(duì)用戶(hù)活動(dòng)來(lái)講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問(wèn)重要文件等等。2）目錄以及文件中的異常改變網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。3）程序執(zhí)行中的異常行為網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、 用戶(hù)啟動(dòng)的程序和特定目的的應(yīng)用，例如。 每個(gè)在系統(tǒng)上執(zhí)行的程序由一到多個(gè)進(jìn)程來(lái)實(shí)現(xiàn)。每個(gè)進(jìn)程執(zhí)行在具有不同權(quán)限的環(huán)境中， 這種環(huán)境控制著進(jìn)程可訪問(wèn)的、程序和數(shù)據(jù)文件等。一個(gè)進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。黑客可能會(huì)將程序或服務(wù)的運(yùn)行分解，

6、從而導(dǎo)致運(yùn)行失敗，或者是以非用戶(hù)或非管理員意圖的方式操作。4）物理形式的入侵信息這包括兩個(gè)方面的內(nèi)容:一是未授權(quán)的對(duì)網(wǎng)絡(luò)硬件連接；二是對(duì)物理資源的未授權(quán)訪問(wèn)。不得用于商業(yè)用途僅供個(gè)人參考(2) 入侵檢測(cè)的第二步：數(shù)據(jù)分析一般通過(guò)三種技術(shù)手段進(jìn)行分析：模式匹配， 統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。1）模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與采用的方法一樣，檢測(cè)準(zhǔn)確率和效率都相當(dāng)高。但是，該方法存在的

7、弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的手法，不能檢測(cè)以前從未出現(xiàn)過(guò)的黑客攻擊手段。2）統(tǒng)計(jì)分析統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶(hù)、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值如果超過(guò)了正常值范圍，就認(rèn)為有入侵發(fā)生。 其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、 漏報(bào)率高， 且不適應(yīng)用戶(hù)正常行為的突然改變。具體的統(tǒng)計(jì)分析方法如基于專(zhuān)家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，這在前面入侵檢測(cè)的分類(lèi)中已經(jīng)提到。下面只對(duì)統(tǒng)計(jì)分析的模型做以介紹。入侵檢測(cè) 5 種統(tǒng)計(jì)

8、模型為：操作模型： 該模型假設(shè)異常可通過(guò)測(cè)量結(jié)果與一些固定指標(biāo)相比較得到，固定指標(biāo)可以根據(jù)經(jīng)驗(yàn)值或一段時(shí)間內(nèi)的統(tǒng)計(jì)平均得到，舉例來(lái)說(shuō)， 在短時(shí)間內(nèi)多次失敗的登錄很有可能是嘗試口令攻擊；方差：計(jì)算參數(shù)的方差并設(shè)定其置信區(qū)間，當(dāng)測(cè)量值超過(guò)置信區(qū)間的范圍時(shí)表明有可能是異常；多元模型：即操作模型的擴(kuò)展，它通過(guò)同時(shí)分析多個(gè)參數(shù)實(shí)現(xiàn)檢測(cè)；馬爾柯夫過(guò)程模型：即將每種類(lèi)型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉(zhuǎn)移來(lái)表示狀態(tài)的變化，當(dāng)一個(gè)事件發(fā)生時(shí)，如果在狀態(tài)矩陣中該轉(zhuǎn)移的概率較小則該可能是異常事件；：即將事件計(jì)數(shù)與資源耗用根據(jù)時(shí)間排成序列，如果一個(gè)新事件在該時(shí)間發(fā)生的概率較低，則該事件可能是入侵。統(tǒng)計(jì)方法的最大優(yōu)點(diǎn)是它

9、可以“學(xué)習(xí)”用戶(hù)的使用習(xí)慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力有時(shí)也會(huì)給入侵者以機(jī)會(huì)，因?yàn)槿肭终呖梢酝ㄟ^(guò)逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律，從而透過(guò)入侵檢測(cè)系統(tǒng)。不得用于商業(yè)用途僅供個(gè)人參考3）完整性分析完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被修改成類(lèi)似特洛伊木馬的方面特別有效。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是有入侵行為導(dǎo)致了文件或其他對(duì)象的任何改變，它都能夠發(fā)現(xiàn)。缺點(diǎn)是一般以方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。3.分類(lèi)按入侵檢測(cè)的手段，IDS 的入侵檢測(cè)模型可分為基于網(wǎng)絡(luò)和基于主機(jī)兩種；按入侵檢測(cè)的技術(shù)基

10、礎(chǔ)可分為基于標(biāo)志的入侵檢測(cè)和基于異常情況的入侵檢測(cè)（ anomaly-based）；按輸入入侵檢測(cè)系統(tǒng)的數(shù)據(jù)的來(lái)源分為基于主機(jī)的入侵檢測(cè)系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和采用上述兩種數(shù)據(jù)來(lái)源的分布式入侵檢測(cè)系統(tǒng)；按入侵檢測(cè)所采用的技術(shù)方法分為基于用戶(hù)行為概率統(tǒng)計(jì)模型的入侵檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法、基于專(zhuān)家系統(tǒng)的和基于模型推理的入侵檢測(cè)技術(shù)。4.性能指標(biāo)根據(jù) Porras 等的研究，給出了評(píng)價(jià)IDS 性能的三個(gè)因素:準(zhǔn)確性 (Accuracy): 指 IDS 從各種行為中正確地識(shí)別入侵的能力，當(dāng)一個(gè)IDS 的檢測(cè)不準(zhǔn)確時(shí)，就有可能把系統(tǒng)中的合法活動(dòng)當(dāng)作入侵行為并標(biāo)識(shí)為異常(虛警現(xiàn)象 )。

11、處理性能 (Performance):指一個(gè)IDS 處理數(shù)據(jù)源數(shù)據(jù)的速度。顯然，當(dāng)IDS 的處理性能較差時(shí)， 它就不可能實(shí)現(xiàn)實(shí)時(shí)的IDS ，并有可能成為整個(gè)系統(tǒng)的瓶頸，進(jìn)而嚴(yán)重影響整個(gè)系統(tǒng)的性能。完備性 (Completeness):指 IDS 能夠檢測(cè)出所有攻擊行為的能力。如果存在一個(gè)攻擊行為，無(wú)法被IDS 檢測(cè)出來(lái)，那么該IDS 就不具有檢測(cè)完備性。也就是說(shuō)，它把對(duì)系統(tǒng)的入侵活動(dòng)當(dāng)作正常行為(漏報(bào)現(xiàn)象 )。由于在一般情況下，攻擊類(lèi)型、攻擊手段的變化很快，我們很難得到關(guān)于攻擊行為的所有知識(shí)，所以關(guān)于IDS 的檢測(cè)完備性的評(píng)估相對(duì)比較困難。在此基礎(chǔ)上，Debar 等又增加了兩個(gè)性能評(píng)價(jià)測(cè)度:容

12、錯(cuò)性 (Fault Tolerance):由于 IDS 是檢測(cè)入侵的重要手段/ 所以它也就成為很多入侵者攻擊的首選目標(biāo)。IDS自身必須能夠抵御對(duì)它自身的攻擊，特別是拒絕服務(wù)(Denial-of-Service)攻擊。由于大多數(shù)的IDS 是運(yùn)行在極易遭受攻擊的操作系統(tǒng)和硬件平臺(tái)上，這就使得系統(tǒng)的容錯(cuò)性變得特別重要，在測(cè)試評(píng)估IDS 時(shí)必須考慮這一點(diǎn)。及時(shí)性 (Timeliness):及時(shí)性要求IDS 必須盡快地分析數(shù)據(jù)并把分析結(jié)果傳播出去，以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應(yīng)，阻止入侵者進(jìn)一步的破壞活動(dòng)，和上面的處理性能因素相比，及時(shí)性的要求更高。它不僅要求IDS 的處理

13、速度要盡不得用于商業(yè)用途僅供個(gè)人參考可能地快，而且要求傳播、反應(yīng)檢測(cè)結(jié)果信息的時(shí)間盡可能少。1.3 DCNIDS-18001. DCNIDS-1800簡(jiǎn)介DCNIDS-1800M/M2/M3/G/G2/G3是自動(dòng)的、實(shí)時(shí)的網(wǎng)絡(luò)入侵檢測(cè)和響應(yīng)系統(tǒng)，它采用了新一代的入侵檢測(cè)技術(shù)，包括基于狀態(tài)的應(yīng)用層協(xié)議分析技術(shù)、開(kāi)放靈活的行為描述代碼、安全的嵌入式操作系統(tǒng)、先進(jìn)的體系架構(gòu)、豐富完善的各種功能，配合高性能專(zhuān)用硬件設(shè)備， 是最先進(jìn)的網(wǎng)絡(luò)實(shí)時(shí)入侵檢測(cè)系統(tǒng)。它以不引人注目的方式最大限度地、全天候地監(jiān)控和分析企業(yè)網(wǎng)絡(luò)的安全問(wèn)題。捕獲安全事件， 給予適當(dāng)?shù)捻憫?yīng)， 阻止非法的入侵行為，保護(hù)企業(yè)的信息組件。2.

14、DCNIDS-1800程序組件DCNIDS-1800采用多層分布式體系結(jié)構(gòu)，由下列程序組件組成：Console （控制臺(tái)）：控制臺(tái)（ console ）是 DCNIDS-1800的控制和管理組件。它是一個(gè)基于 Windows的應(yīng)用程序， 控制臺(tái)提供圖形用戶(hù)界面來(lái)進(jìn)行數(shù)據(jù)查詢(xún)、查看警報(bào)并配置傳感器。 控制臺(tái)有很好的訪問(wèn)控制機(jī)制，不同的用戶(hù)被授予不同級(jí)別的訪問(wèn)權(quán)限，允許或禁止查詢(xún)、 警報(bào)及配置等訪問(wèn)。控制臺(tái)、 事件收集器和傳感器之間的所有通信都進(jìn)行了安全加密。EC： EventCollector（事件收一個(gè)大型分布式應(yīng)用中，用戶(hù)希望能夠通過(guò)單個(gè)集器）控制臺(tái)完全管理多個(gè)傳感器，允許從一個(gè)中央點(diǎn)分發(fā)安

15、全策略，或者把多個(gè)傳感器上的數(shù)據(jù)合并到一個(gè)報(bào)告中去。用戶(hù)可以通過(guò)安裝一個(gè)事件收集器來(lái)實(shí)現(xiàn)集中管理傳感器及其數(shù)據(jù)。事件收集器還可以控制傳感器的啟動(dòng)和停止，收集傳感器日志信息，并且把相應(yīng)的策略發(fā)送傳感器，以及管理用戶(hù)權(quán)限、提供對(duì)用戶(hù)操作的審計(jì)功能。IDS 服務(wù)管理的基本功能是負(fù)責(zé)“事件收集服務(wù)”和“安全事件響應(yīng)服務(wù)”的起?？刂疲?wù)狀態(tài)的顯示。LogServer：LogServer （數(shù)據(jù)服務(wù)器） 是 DCNIDS-1800的數(shù)據(jù)處理模塊。 LogServer需要集成DB （數(shù)據(jù)庫(kù)）一起協(xié)同工作。DB （數(shù)據(jù)庫(kù)）是一個(gè)第三方數(shù)據(jù)庫(kù)軟件。DCNIDS-1800支持微軟MSDE 、 SQL Serve

16、r ，并即將支持MySQL和 Oracle 數(shù)據(jù)庫(kù)，Sensor （傳感器）：部署在需要保護(hù)的網(wǎng)段上，對(duì)網(wǎng)段上流過(guò)的數(shù)據(jù)流進(jìn)行檢測(cè)，識(shí)別攻擊特征，報(bào)告可疑事件，阻止攻擊事件的進(jìn)一步發(fā)生或給予其它相應(yīng)的響應(yīng)。Report （報(bào)表）和查詢(xún)工具：Report （報(bào)表）和查詢(xún)工具作為IDS 系統(tǒng)的一個(gè)獨(dú)立的部分，主要完成從數(shù)據(jù)庫(kù)提取數(shù)據(jù)、統(tǒng)計(jì)數(shù)據(jù)和顯示數(shù)據(jù)的功能。Report能夠關(guān)聯(lián)多個(gè)數(shù)據(jù)庫(kù)，給出一份綜合的數(shù)據(jù)報(bào)表。查詢(xún)工具提供查詢(xún)安全事件的詳細(xì)信息。3. 安裝順序不得用于商業(yè)用途僅供個(gè)人參考完成網(wǎng)絡(luò)部署方案設(shè)計(jì)后，就可以開(kāi)始安裝了。安裝步驟如下：4. DCNIDS-1800 基本配置(1). 傳感

17、器的標(biāo)準(zhǔn)出廠設(shè)置為：傳感器的 IP：默認(rèn)網(wǎng)關(guān)：默認(rèn)傳感器管理員密鑰： adminEC 的 IP：license key 輸入或修改 license key （license key由神州數(shù)碼提供） 如下圖所示。注：輸入信息完畢使用回車(chē)即可將光標(biāo)移至下一單元。此處license Key 不要改動(dòng)！(2). set time and date進(jìn)入配置窗口，可以配置時(shí)區(qū)和時(shí)間。在中國(guó)地區(qū)應(yīng)設(shè)置為PRC。如下圖所示。注：此處選擇好后使用tab鍵進(jìn)行切換即可。確認(rèn)保存后，系統(tǒng)需要重新啟動(dòng)一次方可生效！(3). Configure networking進(jìn)入配置窗口，可以進(jìn)行如下配置：name of thi

18、s station設(shè)置sensor 的名字，如傳感器的名字為 “ DCNIDS-1800-M”；management interface選擇管理接口，管理接口并非監(jiān)測(cè)數(shù)據(jù)的接口，例如監(jiān)測(cè)接口選擇em0 ，即將 em0 和 em1 同時(shí)連接到網(wǎng)絡(luò)中，em1 負(fù)責(zé)與 EC 進(jìn)行通信， 而 em0則主要負(fù)責(zé)監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)流。如下圖所示；IP address 設(shè)置管理接口的IP 地址，管理接口的IP 地址即指EC 與傳感器通訊的地址。如設(shè)置管理接口的IP 地址為“；network mask設(shè)置網(wǎng)絡(luò)掩碼，如掩碼設(shè)置為：“；defaultroute 設(shè)置缺省網(wǎng)關(guān)，如果傳感器與管理控制臺(tái)將在同一個(gè)網(wǎng)段，則缺省網(wǎng)關(guān)選擇默認(rèn)不必配置，如下圖所示。(4).配置事件收集器（EC）地址和通信密鑰，如下圖所示IP of EC 輸入EC 的 IP 地址，如EC