第6章入侵檢測系統(tǒng)

1、信息安全技術(shù)_第6章 入侵檢測系統(tǒng)第第6章章 入侵檢測系統(tǒng)入侵檢測系統(tǒng)信息安全技術(shù)_第6章 入侵檢測系統(tǒng)6.1 入侵檢測原理與分類入侵檢測原理與分類 入侵檢測技術(shù)可以歸結(jié)為安全審計(jì)數(shù)據(jù)的分析與處理；入侵檢測技術(shù)可以歸結(jié)為安全審計(jì)數(shù)據(jù)的分析與處理； 核心問題是獲取描述行為特征的數(shù)據(jù)；核心問題是獲取描述行為特征的數(shù)據(jù)； 利用特征數(shù)據(jù)精確地判斷行為的性質(zhì)；利用特征數(shù)據(jù)精確地判斷行為的性質(zhì)； 按照預(yù)定策略實(shí)施響應(yīng)；按照預(yù)定策略實(shí)施響應(yīng)； IDS至少包括數(shù)據(jù)采集、入侵檢測分析引擎和響應(yīng)處理至少包括數(shù)據(jù)采集、入侵檢測分析引擎和響應(yīng)處理三部分功能模塊。三部分功能模塊。信息安全技術(shù)_第6章 入侵檢測系統(tǒng)當(dāng)前系

2、統(tǒng)或當(dāng)前系統(tǒng)或網(wǎng)絡(luò)行為網(wǎng)絡(luò)行為入侵檢測入侵檢測分析引擎分析引擎入侵入侵？數(shù)據(jù)采集數(shù)據(jù)采集否否是是證據(jù)記錄證據(jù)記錄響應(yīng)處理響應(yīng)處理模式知識庫模式知識庫安全策略安全策略入侵行為模式入侵行為模式正常行為模式正常行為模式IDS工作原理工作原理信息安全技術(shù)_第6章 入侵檢測系統(tǒng)IDS分類分類 根據(jù)數(shù)據(jù)采集位置、分析引擎采用的分析方法、分析數(shù)根據(jù)數(shù)據(jù)采集位置、分析引擎采用的分析方法、分析數(shù)據(jù)的時間和響應(yīng)處理的方式進(jìn)行分類據(jù)的時間和響應(yīng)處理的方式進(jìn)行分類; 根據(jù)數(shù)據(jù)采集的位置，分為基于主機(jī)（根據(jù)數(shù)據(jù)采集的位置，分為基于主機(jī)（host-based）、）、基于網(wǎng)絡(luò)（基于網(wǎng)絡(luò)（network-based）、基于應(yīng)

3、用（）、基于應(yīng)用（application-based）和基于目標(biāo)（）和基于目標(biāo)（target-based）等）等; 依據(jù)分析引擎采用的分析方法，分為異常檢測依據(jù)分析引擎采用的分析方法，分為異常檢測（anomaly detection）和誤用檢測（）和誤用檢測（misuse detection）; 按照分析數(shù)據(jù)的時間不同，分為實(shí)時檢測和離線檢測按照分析數(shù)據(jù)的時間不同，分為實(shí)時檢測和離線檢測;信息安全技術(shù)_第6章 入侵檢測系統(tǒng)主機(jī)入侵檢測系統(tǒng)主機(jī)入侵檢測系統(tǒng) 當(dāng)入侵檢測監(jiān)視的對象為主機(jī)審計(jì)數(shù)據(jù)源時，稱為主當(dāng)入侵檢測監(jiān)視的對象為主機(jī)審計(jì)數(shù)據(jù)源時，稱為主機(jī)入侵檢測系統(tǒng)機(jī)入侵檢測系統(tǒng)HIDS; HIDS

4、利用數(shù)據(jù)分析算法對操作系統(tǒng)審計(jì)記錄、系統(tǒng)日利用數(shù)據(jù)分析算法對操作系統(tǒng)審計(jì)記錄、系統(tǒng)日志、應(yīng)用程序日志或系統(tǒng)調(diào)用序列等主機(jī)數(shù)據(jù)源進(jìn)行志、應(yīng)用程序日志或系統(tǒng)調(diào)用序列等主機(jī)數(shù)據(jù)源進(jìn)行分析分析; 歸納出主機(jī)系統(tǒng)活動的特征或模式，作為對正常和異歸納出主機(jī)系統(tǒng)活動的特征或模式，作為對正常和異常行為進(jìn)行判斷的基準(zhǔn)，主要用于保護(hù)提供關(guān)鍵應(yīng)用常行為進(jìn)行判斷的基準(zhǔn)，主要用于保護(hù)提供關(guān)鍵應(yīng)用服務(wù)的服務(wù)器。服務(wù)的服務(wù)器。 信息安全技術(shù)_第6章 入侵檢測系統(tǒng)HIDS 優(yōu)點(diǎn)優(yōu)點(diǎn) 檢測精度高檢測精度高 監(jiān)控的對象明確與集中監(jiān)控的對象明確與集中; ; 不受加密和交換設(shè)備影響不受加密和交換設(shè)備影響 只關(guān)注主機(jī)發(fā)生的事件，不關(guān)心

5、網(wǎng)絡(luò)事件，檢測性能只關(guān)注主機(jī)發(fā)生的事件，不關(guān)心網(wǎng)絡(luò)事件，檢測性能不受數(shù)據(jù)加密、隧道和交換設(shè)備影響。不受數(shù)據(jù)加密、隧道和交換設(shè)備影響。 不受網(wǎng)絡(luò)流量影響不受網(wǎng)絡(luò)流量影響 不采集網(wǎng)絡(luò)分組，不會因?yàn)榫W(wǎng)絡(luò)流量增加而丟失對系不采集網(wǎng)絡(luò)分組，不會因?yàn)榫W(wǎng)絡(luò)流量增加而丟失對系統(tǒng)行為的監(jiān)視。統(tǒng)行為的監(jiān)視。 信息安全技術(shù)_第6章 入侵檢測系統(tǒng)HIDS 缺點(diǎn)缺點(diǎn) 安裝在需要保護(hù)的主機(jī)上，占用主機(jī)系統(tǒng)資源安裝在需要保護(hù)的主機(jī)上，占用主機(jī)系統(tǒng)資源; 完全依賴操作系統(tǒng)固有的審計(jì)機(jī)制，必須與操作系統(tǒng)完全依賴操作系統(tǒng)固有的審計(jì)機(jī)制，必須與操作系統(tǒng)緊密集成，導(dǎo)致平臺的可移植性差緊密集成，導(dǎo)致平臺的可移植性差; 本身的健壯性受到

6、主機(jī)操作系統(tǒng)安全性的限制本身的健壯性受到主機(jī)操作系統(tǒng)安全性的限制; 只能檢測針對本機(jī)的攻擊，不能檢測基于網(wǎng)絡(luò)協(xié)議的只能檢測針對本機(jī)的攻擊，不能檢測基于網(wǎng)絡(luò)協(xié)議的攻擊。攻擊。信息安全技術(shù)_第6章 入侵檢測系統(tǒng) 當(dāng)入侵檢測監(jiān)視的對象為網(wǎng)絡(luò)分組時，稱為網(wǎng)絡(luò)入侵當(dāng)入侵檢測監(jiān)視的對象為網(wǎng)絡(luò)分組時，稱為網(wǎng)絡(luò)入侵檢測系統(tǒng)檢測系統(tǒng)NIDS； 局域網(wǎng)通常采用基于廣播機(jī)制的以太網(wǎng)協(xié)議局域網(wǎng)通常采用基于廣播機(jī)制的以太網(wǎng)協(xié)議,以太網(wǎng)協(xié)以太網(wǎng)協(xié)議能夠使主機(jī)接收同一網(wǎng)段內(nèi)的所有廣播數(shù)據(jù)包。議能夠使主機(jī)接收同一網(wǎng)段內(nèi)的所有廣播數(shù)據(jù)包。 以太網(wǎng)絡(luò)適配器有正常和混雜兩種工作模式，正常模以太網(wǎng)絡(luò)適配器有正常和混雜兩種工作模式，正

7、常模式只接收本機(jī)地址和廣播地址的分組，混雜模式則接式只接收本機(jī)地址和廣播地址的分組，混雜模式則接收本網(wǎng)段內(nèi)的所有分組數(shù)據(jù)。收本網(wǎng)段內(nèi)的所有分組數(shù)據(jù)。 NIDS利用了網(wǎng)絡(luò)適配器的混雜工作模式來實(shí)時采集通利用了網(wǎng)絡(luò)適配器的混雜工作模式來實(shí)時采集通過網(wǎng)絡(luò)的所有分組，通過網(wǎng)絡(luò)協(xié)議解析與模式匹配實(shí)過網(wǎng)絡(luò)的所有分組，通過網(wǎng)絡(luò)協(xié)議解析與模式匹配實(shí)現(xiàn)入侵行為檢測。現(xiàn)入侵行為檢測。 網(wǎng)絡(luò)入侵檢測系統(tǒng)網(wǎng)絡(luò)入侵檢測系統(tǒng)信息安全技術(shù)_第6章 入侵檢測系統(tǒng)NIDS的優(yōu)點(diǎn)的優(yōu)點(diǎn) 檢測與響應(yīng)速度快檢測與響應(yīng)速度快 在成功入侵之前發(fā)現(xiàn)攻擊和可疑意圖，目標(biāo)遭受破壞之前即在成功入侵之前發(fā)現(xiàn)攻擊和可疑意圖，目標(biāo)遭受破壞之前即可執(zhí)行

8、快速響應(yīng)中止攻擊過程；可執(zhí)行快速響應(yīng)中止攻擊過程； 入侵監(jiān)視范圍大入侵監(jiān)視范圍大 只在網(wǎng)絡(luò)關(guān)鍵路徑上安裝網(wǎng)絡(luò)傳感器，可以監(jiān)視整個網(wǎng)絡(luò)通只在網(wǎng)絡(luò)關(guān)鍵路徑上安裝網(wǎng)絡(luò)傳感器，可以監(jiān)視整個網(wǎng)絡(luò)通信；信； 入侵取證可靠入侵取證可靠 通過捕獲分組收集入侵證據(jù)，攻擊者無法轉(zhuǎn)移證據(jù)；通過捕獲分組收集入侵證據(jù)，攻擊者無法轉(zhuǎn)移證據(jù)； 能夠檢測協(xié)議漏洞攻擊能夠檢測協(xié)議漏洞攻擊 諸如同步洪流（諸如同步洪流（SYN flood）、）、Smurf攻擊和淚滴攻擊攻擊和淚滴攻擊（teardrop）等只有通過查看分組首部或有效負(fù)載才能識別。）等只有通過查看分組首部或有效負(fù)載才能識別。信息安全技術(shù)_第6章 入侵檢測系統(tǒng)NIDS的

9、缺點(diǎn)的缺點(diǎn) 在交換以太網(wǎng)環(huán)境中監(jiān)測范圍受到限制；在交換以太網(wǎng)環(huán)境中監(jiān)測范圍受到限制； 在高速網(wǎng)絡(luò)流量環(huán)境下檢測精度下降；在高速網(wǎng)絡(luò)流量環(huán)境下檢測精度下降； 不能檢測加密數(shù)據(jù)、隧道數(shù)據(jù)和加密數(shù)據(jù)攻擊；不能檢測加密數(shù)據(jù)、隧道數(shù)據(jù)和加密數(shù)據(jù)攻擊； 網(wǎng)絡(luò)傳感器向控制臺回傳數(shù)據(jù)量大。網(wǎng)絡(luò)傳感器向控制臺回傳數(shù)據(jù)量大。 信息安全技術(shù)_第6章 入侵檢測系統(tǒng)異常檢測異常檢測 異常檢測根據(jù)用戶行為或資源使用的正常模式判定當(dāng)異常檢測根據(jù)用戶行為或資源使用的正常模式判定當(dāng)前活動是否偏離了正?；蚱谕幕顒右?guī)律前活動是否偏離了正常或期望的活動規(guī)律; 如果發(fā)現(xiàn)用戶或系統(tǒng)狀態(tài)偏離了正常行為模式，表示如果發(fā)現(xiàn)用戶或系統(tǒng)狀態(tài)偏離

10、了正常行為模式，表示有攻擊或企圖攻擊行為發(fā)生；有攻擊或企圖攻擊行為發(fā)生； 任何不符合歷史活動規(guī)律的行為都被認(rèn)為是入侵行為，任何不符合歷史活動規(guī)律的行為都被認(rèn)為是入侵行為，能夠發(fā)現(xiàn)未知的攻擊模式；能夠發(fā)現(xiàn)未知的攻擊模式； 缺點(diǎn)是誤報(bào)率較高。缺點(diǎn)是誤報(bào)率較高。信息安全技術(shù)_第6章 入侵檢測系統(tǒng) 誤用檢測依據(jù)特征庫進(jìn)行判斷；誤用檢測依據(jù)特征庫進(jìn)行判斷； 具有很高的檢出率和很低的誤報(bào)率；具有很高的檢出率和很低的誤報(bào)率； 檢測全部入侵行為的能力取決于特征庫的更新；檢測全部入侵行為的能力取決于特征庫的更新； 主要缺陷是只能檢測已知攻擊；主要缺陷是只能檢測已知攻擊； 新攻擊的特征模式添加到誤用模式庫中；新攻

11、擊的特征模式添加到誤用模式庫中； 才能使系統(tǒng)具備檢測新攻擊手段的能力。才能使系統(tǒng)具備檢測新攻擊手段的能力。誤用檢測誤用檢測信息安全技術(shù)_第6章 入侵檢測系統(tǒng)實(shí)時檢測實(shí)時檢測 實(shí)時檢測是指實(shí)時檢測是指IDS能夠?qū)崟r分析審計(jì)數(shù)據(jù)；能夠?qū)崟r分析審計(jì)數(shù)據(jù)； 在入侵行為造成危害之前及時發(fā)現(xiàn)和攔截入侵事件；在入侵行為造成危害之前及時發(fā)現(xiàn)和攔截入侵事件； 入侵檢測速度的快慢取決于數(shù)據(jù)采集、數(shù)據(jù)分析算法、入侵檢測速度的快慢取決于數(shù)據(jù)采集、數(shù)據(jù)分析算法、攻擊特征提取和模式比較等多個因素，攻擊特征提取和模式比較等多個因素， 實(shí)時檢測主要依賴于攻擊特征提取的難易程度。實(shí)時檢測主要依賴于攻擊特征提取的難易程度。 信息

12、安全技術(shù)_第6章 入侵檢測系統(tǒng) 先將采集的審計(jì)數(shù)據(jù)暫時保存起來，采用批處理分析先將采集的審計(jì)數(shù)據(jù)暫時保存起來，采用批處理分析方式定時發(fā)給入侵檢測分析引擎；方式定時發(fā)給入侵檢測分析引擎； 離線檢測不能及時防范和響應(yīng)攻擊事件；離線檢測不能及時防范和響應(yīng)攻擊事件； 采用離線檢測可以降低系統(tǒng)負(fù)擔(dān)；采用離線檢測可以降低系統(tǒng)負(fù)擔(dān)； 在在捕獲攻擊特征需要較長時間或高速網(wǎng)絡(luò)環(huán)境下，可捕獲攻擊特征需要較長時間或高速網(wǎng)絡(luò)環(huán)境下，可以獲得高的以獲得高的檢測精度。檢測精度。離線檢測離線檢測信息安全技術(shù)_第6章 入侵檢測系統(tǒng)檢測率和誤報(bào)率檢測率和誤報(bào)率檢測率和誤報(bào)率之間的關(guān)系誤報(bào)率誤報(bào)率100%100%檢測率檢測率10

13、0%100%檢測閾值檢測閾值信息安全技術(shù)_第6章 入侵檢測系統(tǒng)0.10.2 0.5 125102040125102040ROC1ROC2ROC3DET1DET2DET3三個不同系統(tǒng)的ROC曲線三個不同系統(tǒng)的DET曲線ROC曲線和曲線和DET曲線曲線信息安全技術(shù)_第6章 入侵檢測系統(tǒng) 系統(tǒng)資源占用率系統(tǒng)資源占用率 HIDS的開銷主要消耗在審計(jì)記錄格式化和入侵分析上，的開銷主要消耗在審計(jì)記錄格式化和入侵分析上，精簡審計(jì)記錄和提高入侵分析算法是降低精簡審計(jì)記錄和提高入侵分析算

14、法是降低HIDS資源占資源占用率的關(guān)鍵；用率的關(guān)鍵； NIDS的開銷主要消耗在網(wǎng)絡(luò)分組協(xié)議解析與特征匹配的開銷主要消耗在網(wǎng)絡(luò)分組協(xié)議解析與特征匹配上，特別在高速網(wǎng)絡(luò)環(huán)境下，系統(tǒng)資源占用率將顯著增上，特別在高速網(wǎng)絡(luò)環(huán)境下，系統(tǒng)資源占用率將顯著增大；大； 系統(tǒng)資源占用率與系統(tǒng)資源占用率與IDS的檢測率和誤報(bào)率常常是相互矛的檢測率和誤報(bào)率常常是相互矛盾的；盾的； 降低系統(tǒng)資源占用率需要用檢測率和誤報(bào)率作為代價(jià)。降低系統(tǒng)資源占用率需要用檢測率和誤報(bào)率作為代價(jià)。信息安全技術(shù)_第6章 入侵檢測系統(tǒng) 系統(tǒng)擴(kuò)展性系統(tǒng)擴(kuò)展性 時間上的可擴(kuò)展性時間上的可擴(kuò)展性 將多個獨(dú)立事件在時間上關(guān)聯(lián)起來，才能識別出攻擊行將多

15、個獨(dú)立事件在時間上關(guān)聯(lián)起來，才能識別出攻擊行為；為； 空間上的可擴(kuò)展性空間上的可擴(kuò)展性 如果監(jiān)測的規(guī)模擴(kuò)大后，如果監(jiān)測的規(guī)模擴(kuò)大后，IDS仍然能夠準(zhǔn)確地檢測各種仍然能夠準(zhǔn)確地檢測各種攻擊行為；攻擊行為； 則表明具有良好的空間可擴(kuò)展性。則表明具有良好的空間可擴(kuò)展性。信息安全技術(shù)_第6章 入侵檢測系統(tǒng)最大數(shù)據(jù)處理能力最大數(shù)據(jù)處理能力 NIDS最大數(shù)據(jù)處理能力包括最大網(wǎng)絡(luò)流量、最大采集最大數(shù)據(jù)處理能力包括最大網(wǎng)絡(luò)流量、最大采集分組數(shù)、最大網(wǎng)絡(luò)連接數(shù)和最大事件數(shù)等；分組數(shù)、最大網(wǎng)絡(luò)連接數(shù)和最大事件數(shù)等； 最大網(wǎng)絡(luò)流量是指最大網(wǎng)絡(luò)流量是指NIDS的網(wǎng)絡(luò)傳感器單位時間內(nèi)能夠的網(wǎng)絡(luò)傳感器單位時間內(nèi)能夠處理的

16、最大數(shù)據(jù)流量，一般用每秒兆位（處理的最大數(shù)據(jù)流量，一般用每秒兆位（Mbps）表示）表示最大網(wǎng)絡(luò)流量；最大網(wǎng)絡(luò)流量； 最大采集分組數(shù)是指最大采集分組數(shù)是指NIDS的網(wǎng)絡(luò)傳感器單位時間內(nèi)能的網(wǎng)絡(luò)傳感器單位時間內(nèi)能夠采集的最大網(wǎng)絡(luò)分組數(shù)，一般用每秒分組數(shù)（夠采集的最大網(wǎng)絡(luò)分組數(shù)，一般用每秒分組數(shù)（pps）表示最大采集分組數(shù)。表示最大采集分組數(shù)。信息安全技術(shù)_第6章 入侵檢測系統(tǒng) 最大網(wǎng)絡(luò)連接數(shù)是指最大網(wǎng)絡(luò)連接數(shù)是指NIDS單位時間內(nèi)能夠監(jiān)控的最大單位時間內(nèi)能夠監(jiān)控的最大網(wǎng)絡(luò)連接數(shù)，反映了網(wǎng)絡(luò)連接數(shù)，反映了IDS在應(yīng)用層檢測入侵的能力；在應(yīng)用層檢測入侵的能力； 最大事件數(shù)是指最大事件數(shù)是指NIDS單位

17、時間內(nèi)能夠處理的最大報(bào)警單位時間內(nèi)能夠處理的最大報(bào)警事件數(shù)，反映了處理攻擊事件和事件日志記錄的能力；事件數(shù)，反映了處理攻擊事件和事件日志記錄的能力；最大數(shù)據(jù)處理能力最大數(shù)據(jù)處理能力( (續(xù)續(xù)) )信息安全技術(shù)_第6章 入侵檢測系統(tǒng)小規(guī)模小規(guī)模HIDS典型部署典型部署 引擎C 引擎B 引擎A 引擎D中心控制臺信息安全技術(shù)_第6章 入侵檢測系統(tǒng)大規(guī)模大規(guī)模HIDS部署部署 引擎C引擎B引擎A引擎D引擎F引擎E引擎G引擎H子控制臺中心控制臺信息安全技術(shù)_第6章 入侵檢測系統(tǒng)集線器共享網(wǎng)絡(luò)部署集線器共享網(wǎng)絡(luò)部署網(wǎng)絡(luò)傳感器服務(wù)器工作站集線器中心控制臺信息安全技術(shù)_第6章 入侵檢測系統(tǒng)交換網(wǎng)絡(luò)轉(zhuǎn)換部署交換

18、網(wǎng)絡(luò)轉(zhuǎn)換部署 工作站交換機(jī)服務(wù)器網(wǎng)絡(luò)傳感器中心控制臺集線器信息安全技術(shù)_第6章 入侵檢測系統(tǒng)交換網(wǎng)絡(luò)鏡像端口部署交換網(wǎng)絡(luò)鏡像端口部署 工作站交換機(jī)服務(wù)器網(wǎng)絡(luò)傳感器中心控制臺鏡像端口信息安全技術(shù)_第6章 入侵檢測系統(tǒng)交換網(wǎng)絡(luò)交換網(wǎng)絡(luò)TAP部署部署 交換機(jī)網(wǎng)絡(luò)傳感器中心控制臺網(wǎng)絡(luò)傳感器網(wǎng)絡(luò)TAP服務(wù)器信息安全技術(shù)_第6章 入侵檢測系統(tǒng)網(wǎng)絡(luò)傳感器中心控制臺服務(wù)器工作站DNS服務(wù)WWW服務(wù)E-mail服務(wù)二級交換機(jī)主干交換機(jī)DMZ交換機(jī)防火墻路由器網(wǎng)絡(luò)傳感器防火墻和非軍事區(qū)部署防火墻和非軍事區(qū)部署信息安全技術(shù)_第6章 入侵檢測系統(tǒng)6.2 入侵檢測審計(jì)數(shù)據(jù)源入侵檢測審計(jì)數(shù)據(jù)源 IDS是典型的審計(jì)數(shù)據(jù)驅(qū)動

19、分析系統(tǒng)是典型的審計(jì)數(shù)據(jù)驅(qū)動分析系統(tǒng); 入侵檢測的基礎(chǔ)是利用審計(jì)數(shù)據(jù)區(qū)分合法與非入侵檢測的基礎(chǔ)是利用審計(jì)數(shù)據(jù)區(qū)分合法與非法行為法行為; 從大量審計(jì)數(shù)據(jù)中獲取行為模式特征從大量審計(jì)數(shù)據(jù)中獲取行為模式特征; 利用模式特征發(fā)現(xiàn)入侵證據(jù)。利用模式特征發(fā)現(xiàn)入侵證據(jù)。信息安全技術(shù)_第6章 入侵檢測系統(tǒng)操作系統(tǒng)審計(jì)記錄特點(diǎn)操作系統(tǒng)審計(jì)記錄特點(diǎn)數(shù)據(jù)源可靠性高數(shù)據(jù)源可靠性高; ;審計(jì)事件劃分粒度小審計(jì)事件劃分粒度小; ;審計(jì)記錄具有連續(xù)性與完備性審計(jì)記錄具有連續(xù)性與完備性; ;不同操作系統(tǒng)審計(jì)記錄數(shù)據(jù)格式不兼容不同操作系統(tǒng)審計(jì)記錄數(shù)據(jù)格式不兼容; ;數(shù)據(jù)格式不適應(yīng)機(jī)器學(xué)習(xí)數(shù)據(jù)格式不適應(yīng)機(jī)器學(xué)習(xí); ; 審計(jì)記錄數(shù)

20、量龐大。審計(jì)記錄數(shù)量龐大。 信息安全技術(shù)_第6章 入侵檢測系統(tǒng)Sun Solaris操作系統(tǒng)審計(jì)記錄簡介操作系統(tǒng)審計(jì)記錄簡介 Sun Solaris操作系統(tǒng)審計(jì)機(jī)制由基礎(chǔ)安全模操作系統(tǒng)審計(jì)機(jī)制由基礎(chǔ)安全模塊塊BSM（basic security module）審計(jì)子系統(tǒng)提）審計(jì)子系統(tǒng)提供，可對內(nèi)核系統(tǒng)調(diào)用事件、供，可對內(nèi)核系統(tǒng)調(diào)用事件、Solaris應(yīng)用程序事件應(yīng)用程序事件和第三方用戶程序事件進(jìn)行安全審計(jì)和第三方用戶程序事件進(jìn)行安全審計(jì)BSM采用分層采用分層結(jié)構(gòu)化方式組織審計(jì)記錄文件，審計(jì)記錄文件也稱結(jié)構(gòu)化方式組織審計(jì)記錄文件，審計(jì)記錄文件也稱為審計(jì)跟蹤（為審計(jì)跟蹤（audit trail）。

21、）。信息安全技術(shù)_第6章 入侵檢測系統(tǒng)Solaris BSM審計(jì)記錄結(jié)構(gòu)審計(jì)記錄結(jié)構(gòu)審計(jì)記錄文件審計(jì)記錄文件審計(jì)文件審計(jì)文件 審計(jì)文件審計(jì)文件審計(jì)文件審計(jì)文件審計(jì)記錄審計(jì)記錄前審計(jì)文件前審計(jì)文件審計(jì)記錄審計(jì)記錄后審計(jì)文件后審計(jì)文件審計(jì)標(biāo)記審計(jì)標(biāo)記審計(jì)標(biāo)記審計(jì)標(biāo)記審計(jì)標(biāo)記審計(jì)標(biāo)記事件屬性事件屬性審計(jì)文件審計(jì)文件審計(jì)記錄審計(jì)記錄信息安全技術(shù)_第6章 入侵檢測系統(tǒng)Windows 操作系統(tǒng)審計(jì)結(jié)構(gòu)操作系統(tǒng)審計(jì)結(jié)構(gòu)事件日志事件日志用戶模式用戶模式核心模式核心模式審計(jì)策略審計(jì)策略審計(jì)記錄審計(jì)記錄安全賬戶庫安全賬戶庫事件記錄器事件記錄器ELEL 安全參考安全參考 監(jiān)視器監(jiān)視器 SRMSRM對象訪問對象訪問進(jìn)

22、程跟蹤進(jìn)程跟蹤特權(quán)使用特權(quán)使用文件系統(tǒng)文件系統(tǒng)審計(jì)日志審計(jì)日志審計(jì)策略庫審計(jì)策略庫 策略更改策略更改登錄事件登錄事件賬戶登錄賬戶登錄審計(jì)線程審計(jì)線程本地安全認(rèn)證本地安全認(rèn)證LSALSA安全賬戶安全賬戶管理管理SAMSAM信息安全技術(shù)_第6章 入侵檢測系統(tǒng)Windows 操作系統(tǒng)操作系統(tǒng)事件日志事件日志W(wǎng)indows事件日志事件日志 安全事件日志安全事件日志 操作系統(tǒng)事件日志操作系統(tǒng)事件日志 應(yīng)用事件日志應(yīng)用事件日志記錄用戶登錄、系統(tǒng)資源使用等與系記錄用戶登錄、系統(tǒng)資源使用等與系統(tǒng)安全相關(guān)的事件，對用戶不開放統(tǒng)安全相關(guān)的事件，對用戶不開放記錄操作系統(tǒng)組件的事件，對所有用記錄操作系統(tǒng)組件的事件，對

23、所有用 戶開放戶開放 記錄應(yīng)用程序產(chǎn)生的事件，對所有用記錄應(yīng)用程序產(chǎn)生的事件，對所有用戶開放戶開放信息安全技術(shù)_第6章 入侵檢測系統(tǒng)網(wǎng)絡(luò)審計(jì)數(shù)據(jù)網(wǎng)絡(luò)審計(jì)數(shù)據(jù) 主機(jī)審計(jì)數(shù)據(jù)源：操作系統(tǒng)審計(jì)記錄、系統(tǒng)主機(jī)審計(jì)數(shù)據(jù)源：操作系統(tǒng)審計(jì)記錄、系統(tǒng)日志、應(yīng)用日志和系統(tǒng)調(diào)用跟蹤日志、應(yīng)用日志和系統(tǒng)調(diào)用跟蹤; ; 網(wǎng)絡(luò)審計(jì)數(shù)據(jù)源指通過網(wǎng)絡(luò)監(jiān)聽獲取的數(shù)據(jù)網(wǎng)絡(luò)審計(jì)數(shù)據(jù)源指通過網(wǎng)絡(luò)監(jiān)聽獲取的數(shù)據(jù); 網(wǎng)絡(luò)數(shù)據(jù)是網(wǎng)絡(luò)入侵檢測系統(tǒng)使用的主要審計(jì)網(wǎng)絡(luò)數(shù)據(jù)是網(wǎng)絡(luò)入侵檢測系統(tǒng)使用的主要審計(jì)數(shù)據(jù)源。數(shù)據(jù)源。信息安全技術(shù)_第6章 入侵檢測系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)協(xié)議解析過程網(wǎng)絡(luò)數(shù)據(jù)協(xié)議解析過程 網(wǎng)絡(luò)連接記錄網(wǎng)絡(luò)連接記錄網(wǎng)絡(luò)檢測模型網(wǎng)絡(luò)檢測模型工

24、工作作站站工作工作站站集線器集線器服務(wù)服務(wù)器器服務(wù)服務(wù)器器局域局域網(wǎng)網(wǎng)通用網(wǎng)通用網(wǎng)關(guān)關(guān)數(shù)據(jù)包輸出格式數(shù)據(jù)包輸出格式機(jī)器學(xué)習(xí)機(jī)器學(xué)習(xí)10:35:41.504694 1.0.256.256.7000 2.0.256.256.7001: udp 14810:35:41.517993 2.0.256.256.1362 5.0.256.256.25: . ack 1 win 409610:35:41.583895 2.0.256.256.25 13.0.256.256.2845: . ack 46 win 409610:35:41 1.0.256.256 2.0.256.256 udp 148 SF10

25、:35:41 2.0.256.256 5.0.256.256 smtp 88 SFInternet信息安全技術(shù)_第6章 入侵檢測系統(tǒng)網(wǎng)絡(luò)入侵檢測系統(tǒng)網(wǎng)絡(luò)入侵檢測系統(tǒng) Snort Snort是基于誤用檢測的網(wǎng)絡(luò)入侵檢測系統(tǒng)開放源碼軟件；是基于誤用檢測的網(wǎng)絡(luò)入侵檢測系統(tǒng)開放源碼軟件； 采用規(guī)則匹配檢測網(wǎng)絡(luò)分組是否違反了事先配置的安全采用規(guī)則匹配檢測網(wǎng)絡(luò)分組是否違反了事先配置的安全策略；策略； 安裝在一臺主機(jī)上可以監(jiān)測整個共享網(wǎng)段；安裝在一臺主機(jī)上可以監(jiān)測整個共享網(wǎng)段； 發(fā)現(xiàn)入侵和探測行為，具有將報(bào)警信息發(fā)送到系統(tǒng)日志、發(fā)現(xiàn)入侵和探測行為，具有將報(bào)警信息發(fā)送到系統(tǒng)日志、報(bào)警文件或控制臺屏幕等多種實(shí)時

26、報(bào)警方式；報(bào)警文件或控制臺屏幕等多種實(shí)時報(bào)警方式； Snort不僅能夠檢測各種網(wǎng)絡(luò)攻擊，還具有網(wǎng)絡(luò)分組采集、不僅能夠檢測各種網(wǎng)絡(luò)攻擊，還具有網(wǎng)絡(luò)分組采集、分析和日志記錄功能。分析和日志記錄功能。信息安全技術(shù)_第6章 入侵檢測系統(tǒng)Snort 系統(tǒng)組成系統(tǒng)組成 Snort主要由分組協(xié)議分析器、入侵檢測引擎、日志記錄主要由分組協(xié)議分析器、入侵檢測引擎、日志記錄和報(bào)警模塊組成；和報(bào)警模塊組成； 協(xié)議分析器的任務(wù)是對協(xié)議棧上的分組進(jìn)行協(xié)議解析協(xié)議分析器的任務(wù)是對協(xié)議棧上的分組進(jìn)行協(xié)議解析; 入侵檢測引擎根據(jù)規(guī)則文件匹配分組特征入侵檢測引擎根據(jù)規(guī)則文件匹配分組特征;日志記錄將解析后的分組以文本或日志記錄將

27、解析后的分組以文本或Tcpdump二進(jìn)制格式二進(jìn)制格式記錄到日志文件記錄到日志文件;文本格式便于分組分析文本格式便于分組分析;二進(jìn)制格式提高記錄速度。二進(jìn)制格式提高記錄速度。 信息安全技術(shù)_第6章 入侵檢測系統(tǒng)報(bào)警信息與報(bào)警文件報(bào)警信息與報(bào)警文件 報(bào)警信息可以發(fā)送到系統(tǒng)日志；報(bào)警信息可以發(fā)送到系統(tǒng)日志； 也可以采用文本或也可以采用文本或Tcpdump二進(jìn)制格式發(fā)送到報(bào)警文二進(jìn)制格式發(fā)送到報(bào)警文件；件； 也容許選擇關(guān)閉報(bào)警操作；也容許選擇關(guān)閉報(bào)警操作； 記錄到報(bào)警文件的報(bào)警信息有完全和快速兩種方式；記錄到報(bào)警文件的報(bào)警信息有完全和快速兩種方式； 完全報(bào)警記錄分組首部所有字段信息和報(bào)警信息；完全報(bào)

28、警記錄分組首部所有字段信息和報(bào)警信息； 而快速報(bào)警只記錄分組首部部分字段信息。而快速報(bào)警只記錄分組首部部分字段信息。信息安全技術(shù)_第6章 入侵檢測系統(tǒng)Win32 snort-2_0_0.exe安裝安裝 雙擊雙擊snort-2_0_0.exe在安裝目錄下將自動生成在安裝目錄下將自動生成snort文件夾；文件夾； 其中包含其中包含bin、etc、log、rules、doc、contrib文件夾和文件夾和snort-2_0_0.exe卸載程序卸載程序Uninstall.exe； bin文件夾保存文件夾保存snort.exe可執(zhí)行程序；可執(zhí)行程序； snort配置文件配置文件snort.conf位于位

29、于etc； 日志文件和報(bào)警文件位于日志文件和報(bào)警文件位于log； 各類規(guī)則檢測文件位于各類規(guī)則檢測文件位于rules；snort使用手冊位于使用手冊位于doc； contrib為為snort支持者提供的各種輔助應(yīng)用文件。支持者提供的各種輔助應(yīng)用文件。 信息安全技術(shù)_第6章 入侵檢測系統(tǒng) Snort 配置配置 在使用在使用snort之前，需要根據(jù)保護(hù)網(wǎng)絡(luò)環(huán)境和安全策略之前，需要根據(jù)保護(hù)網(wǎng)絡(luò)環(huán)境和安全策略對對snort進(jìn)行配置；進(jìn)行配置； 主要包括網(wǎng)絡(luò)變量、預(yù)處理器、輸出插件及規(guī)則集配置，主要包括網(wǎng)絡(luò)變量、預(yù)處理器、輸出插件及規(guī)則集配置，位于位于etc的的snort配置文件配置文件snort.co

30、nf可用任意文本編輯器打可用任意文本編輯器打開；開； 用文本編輯器打開用文本編輯器打開Snortetcsnort.conf文件；文件； 找到找到“var HOME_NET any”，將，將any更換成自己機(jī)器所更換成自己機(jī)器所在子網(wǎng)的在子網(wǎng)的CIDR地址地址.信息安全技術(shù)_第6章 入侵檢測系統(tǒng)Snort 配置配置 例如，假設(shè)本機(jī)例如，假設(shè)本機(jī)IP地址為地址為23； 將將“var HOME_NET any” 更換成更換成“var HOME_NET /24”或特定的本機(jī)地址或特定的本機(jī)地址“var HOME_NET 23/32”。

31、找到規(guī)則路徑變量找到規(guī)則路徑變量“var RULE_PATH .rules”，將其修改為，將其修改為var RULE_PATH C:snortrules； 找到找到“include classification.config”，將，將classification.config文文件的路徑修改為件的路徑修改為 include C:snortetcclassification.config； 找到找到“include reference.config”，將，將reference.config文件的路文件的路徑修改為徑修改為 include C:snortetcreference.config。 信

32、息安全技術(shù)_第6章 入侵檢測系統(tǒng)Snort 命令格式與幫助命令格式與幫助 Snort命令格式：命令格式： C:snortbinsnort -Options Snort命令幫助：命令幫助： C: snortbinsnort -? 特別注意：特別注意： Snort在在Windows操作系統(tǒng)下要求給出命令執(zhí)行的操作系統(tǒng)下要求給出命令執(zhí)行的完整路徑。完整路徑。 信息安全技術(shù)_第6章 入侵檢測系統(tǒng)Snort 主要命令參數(shù)選項(xiàng)主要命令參數(shù)選項(xiàng) （1）-A alert： 設(shè)置設(shè)置snort快速（快速（fast）、完全（）、完全（full）、控制臺）、控制臺（console）或無（）或無（none）報(bào)警模式；

33、）報(bào)警模式； alert取值取值full、fast、console或或none其中之一；其中之一； -A fast：快速報(bào)警模式僅記錄時間戳、報(bào)警信息、源：快速報(bào)警模式僅記錄時間戳、報(bào)警信息、源IP、目標(biāo)、目標(biāo)IP、源端口和目標(biāo)端口；、源端口和目標(biāo)端口； -A full：完全報(bào)警是：完全報(bào)警是snort默認(rèn)的報(bào)警模式，記錄分組默認(rèn)的報(bào)警模式，記錄分組或報(bào)文首部所有字段信息和報(bào)警信息；或報(bào)文首部所有字段信息和報(bào)警信息；信息安全技術(shù)_第6章 入侵檢測系統(tǒng)Snort 主要命令參數(shù)選項(xiàng)主要命令參數(shù)選項(xiàng) -A console：控制臺報(bào)警模式將分組或報(bào)文首部和報(bào)：控制臺報(bào)警模式將分組或報(bào)文首部和報(bào)警信息發(fā)

34、送到控制臺屏幕；警信息發(fā)送到控制臺屏幕； -A none：關(guān)閉報(bào)警。：關(guān)閉報(bào)警。 （2）-c snort.conf：使用：使用snort配置文件配置文件snort.conf；（3）-b：采用采用Tcpdump二進(jìn)制格式將分組記錄到日志二進(jìn)制格式將分組記錄到日志文件；文件；（4）-d：顯示應(yīng)用數(shù)據(jù)；：顯示應(yīng)用數(shù)據(jù)； （5）-e：顯示數(shù)據(jù)鏈路層的首部信息；顯示數(shù)據(jù)鏈路層的首部信息；信息安全技術(shù)_第6章 入侵檢測系統(tǒng)Snort 主要命令參數(shù)選項(xiàng)主要命令參數(shù)選項(xiàng) （7）-l ：將日志記錄到指定的目錄：將日志記錄到指定的目錄directory，默認(rèn)日志目錄是，默認(rèn)日志目錄是Snortlog；（8）-i

35、：在指定的網(wǎng)絡(luò)接口在指定的網(wǎng)絡(luò)接口上監(jiān)聽；上監(jiān)聽；（9）-r ：從從Tcpdump文件文件中讀取分組處理，而中讀取分組處理，而不監(jiān)測網(wǎng)絡(luò)分組；不監(jiān)測網(wǎng)絡(luò)分組；（10）-s：將報(bào)警信息發(fā)送到系統(tǒng)日志；將報(bào)警信息發(fā)送到系統(tǒng)日志；（11）-v：詳細(xì)輸出（詳細(xì)輸出（Be verbose）；）； （12）-V：顯示顯示Snort版本號；版本號；（13）-W：列出本機(jī)可用的網(wǎng)絡(luò)接口（僅在列出本機(jī)可用的網(wǎng)絡(luò)接口（僅在Windows下下有效）；有效）； 信息安全技術(shù)_第6章 入侵檢測系統(tǒng)Snort 檢測規(guī)則檢測規(guī)則 Snort檢測入侵的能力完全取決于規(guī)則文件是否包含了完檢測入侵的能力完全取決于規(guī)則文件是否包含

36、了完整的入侵標(biāo)識整的入侵標(biāo)識; 規(guī)則文件為文本文件，可以使用任意文本編輯器對規(guī)則規(guī)則文件為文本文件，可以使用任意文本編輯器對規(guī)則文件進(jìn)行修改文件進(jìn)行修改; Snort檢測規(guī)則由規(guī)則頭和規(guī)則選項(xiàng)組成；檢測規(guī)則由規(guī)則頭和規(guī)則選項(xiàng)組成； 規(guī)則頭定義了規(guī)則頭定義了IP地址、端口、協(xié)議類型和滿足規(guī)則條件地址、端口、協(xié)議類型和滿足規(guī)則條件時執(zhí)行的操作；時執(zhí)行的操作； 規(guī)則選項(xiàng)定義了入侵標(biāo)志和發(fā)送報(bào)警的方式。規(guī)則選項(xiàng)定義了入侵標(biāo)志和發(fā)送報(bào)警的方式。信息安全技術(shù)_第6章 入侵檢測系統(tǒng)Snort檢測規(guī)則檢測規(guī)則的一般格式的一般格式alert tcp any any - /24 80 (co

37、ntent: /cgi-bin/phf; msg: PHF probe!)操作操作 協(xié)議協(xié)議源源IP地址地址源端口源端口數(shù)據(jù)數(shù)據(jù)流向流向目的目的 IP地址地址目的目的端口端口子網(wǎng)子網(wǎng)掩碼掩碼選項(xiàng)選項(xiàng)關(guān)鍵字關(guān)鍵字選項(xiàng)選項(xiàng)關(guān)鍵字關(guān)鍵字選項(xiàng)變量選項(xiàng)變量選項(xiàng)變量選項(xiàng)變量規(guī)則頭規(guī)則頭規(guī)則選項(xiàng)規(guī)則選項(xiàng)信息安全技術(shù)_第6章 入侵檢測系統(tǒng)入侵檢測系統(tǒng)實(shí)驗(yàn)內(nèi)容入侵檢測系統(tǒng)實(shí)驗(yàn)內(nèi)容 本實(shí)驗(yàn)除安裝本實(shí)驗(yàn)除安裝snort-2_0_0.exe之外，還要求安裝之外，還要求安裝nmap-4.01-setup.exe網(wǎng)絡(luò)探測和端口掃描軟件；網(wǎng)絡(luò)探測和端口掃描軟件；Nmap用于掃描實(shí)驗(yàn)合作伙伴的主機(jī)，用于掃描實(shí)驗(yàn)合作伙伴的主機(jī)

38、，Snort用于檢測實(shí)驗(yàn)合作用于檢測實(shí)驗(yàn)合作伙伴對本機(jī)的攻擊；伙伴對本機(jī)的攻擊； 用寫字板打開用寫字板打開Snortetcsnort.conf文件對文件對Snort進(jìn)行配置；進(jìn)行配置； 將規(guī)則路徑變量將規(guī)則路徑變量RULE_PATH定義為定義為C:snortrules； 將 分 類 配 置 文 件 路 徑 修 改 為將 分 類 配 置 文 件 路 徑 修 改 為 i n c l u d e C:snortetcclassification.config； 將 引 用 配 置 文 件 路 徑 修 改 為將 引 用 配 置 文 件 路 徑 修 改 為 i n c l u d e C:snortet

39、creference.config。其余。其余使用使用Snort配置文件中的默認(rèn)配置文件中的默認(rèn)設(shè)置。設(shè)置。 信息安全技術(shù)_第6章 入侵檢測系統(tǒng)Snort 報(bào)警與日志功能測試報(bào)警與日志功能測試 打開打開C:Snortruleslocal.rules規(guī)則文件，添加報(bào)警與日志規(guī)則文件，添加報(bào)警與日志功能測試規(guī)則：功能測試規(guī)則：alert tcp any any - any any (msg:TCP traffic;)；執(zhí)行命令：執(zhí)行命令：C:snortbinsnort -c snortetcsnort.conf -l snortlog i 2 如果在如果在C:Snortlog目錄中生成目錄中生成a

40、lert.ids報(bào)警文件和報(bào)警文件和IP地址命地址命名的日志文件，表明名的日志文件，表明Snort配置正確；配置正確；測試測試Snort報(bào)警與日志功能以后，在該規(guī)則前加報(bào)警與日志功能以后，在該規(guī)則前加#號變?yōu)樽⑨專√栕優(yōu)樽⑨?！否則，隨后的實(shí)驗(yàn)不能獲得正確結(jié)果。否則，隨后的實(shí)驗(yàn)不能獲得正確結(jié)果。 信息安全技術(shù)_第6章 入侵檢測系統(tǒng)分組協(xié)議分析分組協(xié)議分析 （1）TCP/UDP/ICMP/IP首部信息輸出到屏幕上：首部信息輸出到屏幕上： C: snortbinsnort v i 2；（2）TCP/UDP/ICMP/IP首部信息和應(yīng)用數(shù)據(jù)輸出到屏首部信息和應(yīng)用數(shù)據(jù)輸出到屏幕上：幕上：C: snortbinsnort -vd i 2或或C: snortbinsnort -v d i 2；（命令選項(xiàng)可以任意結(jié)合，也可以分開）；（命令選項(xiàng)可以任意結(jié)合，也可以分開）（3）將捕獲的首部信息記錄到指定的）將捕獲的首部信息記錄到指定的Snortlog目錄，目錄，在在log目錄下將自動生成以主機(jī)目錄下將自動生成以主機(jī)IP地址命名的目錄；地址命名的目錄； C: snortbinsnort -v -l snortl