網(wǎng)絡(luò)安全11-入侵檢測(cè)

1、1網(wǎng)絡(luò)安全羅羅 敏敏 武漢大學(xué)計(jì)算機(jī)學(xué)院武漢大學(xué)計(jì)算機(jī)學(xué)院2第第10章章 防火墻技術(shù)防火墻技術(shù) 重點(diǎn)回顧重點(diǎn)回顧l防火墻技術(shù)概述 l防火墻的結(jié)構(gòu) l構(gòu)建防火墻 l防火墻產(chǎn)品3第第11章章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)l本章介紹動(dòng)態(tài)安全技術(shù)的典型代表入侵檢測(cè)技術(shù)，詳細(xì)分析入侵檢測(cè)的定義、原理與系統(tǒng)構(gòu)成、基本功能、分類。同時(shí)對(duì)目前市場(chǎng)上的商業(yè)入侵檢測(cè)產(chǎn)品進(jìn)行了分類與優(yōu)劣分析。 4第第11章章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)l11.1 入侵檢測(cè)技術(shù)概述l11.2 入侵檢測(cè)分類與評(píng)估l11.3 入侵檢測(cè)產(chǎn)品概況l11.4 入侵檢測(cè)產(chǎn)品511.1 入侵檢測(cè)技術(shù)概述入侵檢測(cè)技術(shù)概述l入侵檢測(cè)技術(shù)的起因l傳統(tǒng)網(wǎng)絡(luò)安全

2、技術(shù)存在著與生俱來的缺陷l程序的錯(cuò)誤l配置的錯(cuò)誤l需求的變化決定網(wǎng)絡(luò)不斷發(fā)展 l產(chǎn)品在設(shè)計(jì)階段可能是基于一項(xiàng)較為安全的技術(shù)l但當(dāng)產(chǎn)品成型后，網(wǎng)絡(luò)的發(fā)展已經(jīng)使得該技術(shù)不再安全l傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)是屬于靜態(tài)安全技術(shù)，無法解決動(dòng)態(tài)發(fā)展網(wǎng)絡(luò)中的安全問題 第第1111章章 第第1 1節(jié)節(jié)611.1 入侵檢測(cè)技術(shù)概述入侵檢測(cè)技術(shù)概述l入侵檢測(cè)的定義l入侵檢測(cè)是用來發(fā)現(xiàn)外部攻擊與內(nèi)部合法用戶濫用特權(quán)的一種方法l它還是一種增強(qiáng)內(nèi)部用戶的責(zé)任感及提供對(duì)攻擊者的法律訴訟依據(jù)的機(jī)制 第第1111章章 第第1 1節(jié)節(jié)711.1 入侵檢測(cè)技術(shù)概述入侵檢測(cè)技術(shù)概述l入侵檢測(cè)的特點(diǎn)l入侵檢測(cè)是一種動(dòng)態(tài)的網(wǎng)絡(luò)安全技術(shù)l它利用

3、各種不同類型的引擎，實(shí)時(shí)地或定期地對(duì)網(wǎng)絡(luò)中相關(guān)的數(shù)據(jù)源進(jìn)行分析，依照引擎對(duì)特殊的數(shù)據(jù)或事件的認(rèn)識(shí)，將其中具有威脅性的部分提取出來，并觸發(fā)響應(yīng)機(jī)制 l入侵檢測(cè)的動(dòng)態(tài)性l入侵檢測(cè)的實(shí)時(shí)性l對(duì)網(wǎng)絡(luò)環(huán)境的變化具有一定程度上的自適應(yīng)性 第第1111章章 第第1 1節(jié)節(jié)811.1 入侵檢測(cè)技術(shù)概述入侵檢測(cè)技術(shù)概述l入侵檢測(cè)的內(nèi)容 l外部攻擊檢測(cè)l內(nèi)部特權(quán)濫用檢測(cè)第第1111章章 第第1 1節(jié)節(jié)911.1 入侵檢測(cè)技術(shù)概述入侵檢測(cè)技術(shù)概述l入侵檢測(cè)的內(nèi)容 l外部攻擊檢測(cè)l外部攻擊與入侵是指來自外部網(wǎng)絡(luò)非法用戶的威脅性訪問或破壞l外部攻擊檢測(cè)的重點(diǎn)在于檢測(cè)來自于外部的攻擊或入侵 第第1111章章 第第1 1節(jié)

4、節(jié)1011.1 入侵檢測(cè)技術(shù)概述入侵檢測(cè)技術(shù)概述l入侵檢測(cè)的內(nèi)容 l內(nèi)部特權(quán)濫用檢測(cè)l內(nèi)部特權(quán)濫用是指網(wǎng)絡(luò)的合法用戶在不正常的行為下獲得了特殊的網(wǎng)絡(luò)權(quán)限并實(shí)施威脅性訪問或破壞l內(nèi)部特權(quán)濫用檢測(cè)的重點(diǎn)集中于觀察授權(quán)用戶的活動(dòng) 第第1111章章 第第1 1節(jié)節(jié)1111.1 入侵檢測(cè)技術(shù)概述入侵檢測(cè)技術(shù)概述l入侵檢測(cè)的功能l檢測(cè)和分析用戶和系統(tǒng)的活動(dòng)l識(shí)別反映已知攻擊的活動(dòng)模式l非正?；顒?dòng)模式的統(tǒng)計(jì)分析l通過對(duì)操作系統(tǒng)的審計(jì)，分析用戶的活動(dòng)、識(shí)別違規(guī)操作l審計(jì)系統(tǒng)配置和脆弱性、評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的一致性第第1111章章 第第1 1節(jié)節(jié)1211.1 入侵檢測(cè)技術(shù)概述入侵檢測(cè)技術(shù)概述l入侵檢測(cè)技術(shù)原

5、理與系統(tǒng)構(gòu)成l原理圖 第第1111章章 第第1 1節(jié)節(jié)1311.1 入侵檢測(cè)技術(shù)概述入侵檢測(cè)技術(shù)概述lIDS原理l入侵檢測(cè)的技術(shù)的核心在于入侵檢測(cè)過程 l對(duì)行為與狀態(tài)的綜合分析是基于l知識(shí)的智能推理l神經(jīng)網(wǎng)絡(luò)理論l模式匹配l異常統(tǒng)計(jì) 第第1111章章 第第1 1節(jié)節(jié)1411.1 入侵檢測(cè)技術(shù)概述入侵檢測(cè)技術(shù)概述lIDS原理l技術(shù)分析的依據(jù)l歷史知識(shí)l現(xiàn)有的行為狀態(tài)l實(shí)時(shí)的監(jiān)測(cè)是保證入侵檢測(cè)具有實(shí)時(shí)性的主要手段 l根據(jù)實(shí)時(shí)監(jiān)測(cè)的記錄不斷修改歷史知識(shí)保證了入侵檢測(cè)具有自適應(yīng)性 第第1111章章 第第1 1節(jié)節(jié)1511.1 入侵檢測(cè)技術(shù)概述入侵檢測(cè)技術(shù)概述l系統(tǒng)構(gòu)成第第1111章章 第第1 1節(jié)節(jié)1

6、611.1 入侵檢測(cè)技術(shù)概述入侵檢測(cè)技術(shù)概述lIDS的構(gòu)成l信息采集部件l對(duì)各類復(fù)雜、凌亂的信息進(jìn)行格式化并交付于入侵分析部件 l入侵分析部件l按著部件內(nèi)部的分析引擎進(jìn)行入侵分析，當(dāng)信息滿足了引擎的入侵標(biāo)準(zhǔn)時(shí)就觸發(fā)了入侵響應(yīng)機(jī)制 l入侵響應(yīng)部件l當(dāng)入侵分析部件發(fā)現(xiàn)入侵后，由入侵響應(yīng)部件根據(jù)具體的情況做出響應(yīng)l響應(yīng)部件同信息采集部件一樣都是分布于網(wǎng)絡(luò)中，甚至與信息采集部件集成在一起 第第1111章章 第第1 1節(jié)節(jié)1711.2 入侵檢測(cè)分類與評(píng)估入侵檢測(cè)分類與評(píng)估lIDS引擎分類l誤用檢測(cè) l異常檢測(cè)第第1111章章 第第2 2節(jié)節(jié)1811.2 入侵檢測(cè)分類與評(píng)估入侵檢測(cè)分類與評(píng)估lIDS引擎分

7、類l誤用檢測(cè) l首先根據(jù)已知的入侵，定義由獨(dú)立的事件、事件的序列、事件臨界值等通用規(guī)則組成的入侵模式l然后觀察能與入侵模式相匹配的事件，達(dá)到發(fā)現(xiàn)入侵的目的l入侵模式需要定期更新第第1111章章 第第2 2節(jié)節(jié)1911.2 入侵檢測(cè)分類與評(píng)估入侵檢測(cè)分類與評(píng)估lIDS引擎分類l異常檢測(cè)l原理通過檢查統(tǒng)計(jì)量的偏差，從而檢測(cè)出不正常的行為l其實(shí)現(xiàn)的方法將各個(gè)主體、對(duì)象的行為量化以歷史數(shù)據(jù)設(shè)定期望值將與期望值有偏差的行為定義為入侵第第1111章章 第第2 2節(jié)節(jié)20IDS引擎對(duì)比引擎對(duì)比誤用檢測(cè)誤用檢測(cè) l優(yōu)點(diǎn)l誤用檢測(cè)具有很強(qiáng)的可分割性、獨(dú)立性，可縮小模式數(shù)據(jù)庫規(guī)模l具有很強(qiáng)的針對(duì)性，對(duì)已知的入侵方

8、法檢測(cè)效率很高 l有能力提供模糊入侵檢測(cè)引擎 l缺點(diǎn)l可測(cè)量性與性能都和模式數(shù)據(jù)庫的大小和體系結(jié)構(gòu)有關(guān) l可擴(kuò)展性差l通常不具備自學(xué)習(xí)能力，對(duì)新攻擊的檢測(cè)分析必須補(bǔ)充模式數(shù)據(jù)庫l攻擊行為難以模式化第第1111章章 第第2 2節(jié)節(jié)21IDS引擎對(duì)比引擎對(duì)比異常檢測(cè)異常檢測(cè)l優(yōu)點(diǎn)l符合數(shù)據(jù)的異常變化理論，適合事物的發(fā)展規(guī)律 l檢查算法比較普適化，對(duì)變量的跟蹤不需要大量的內(nèi)存 l有能力檢測(cè)與響應(yīng)某些新的攻擊l缺點(diǎn)l數(shù)據(jù)假設(shè)可能不合理，加權(quán)算法在統(tǒng)計(jì)意義上可能不準(zhǔn)確 l對(duì)突發(fā)性正常事件容易引起誤判斷 l對(duì)長(zhǎng)期、穩(wěn)定的攻擊方法靈敏度低 第第1111章章 第第2 2節(jié)節(jié)2211.2 入侵檢測(cè)分類與評(píng)估入侵

9、檢測(cè)分類與評(píng)估l實(shí)現(xiàn)方式分類l基于主機(jī)的IDS （HIDS）l安裝在被重點(diǎn)檢測(cè)的主機(jī)之上l對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷l(xiāng)基于網(wǎng)絡(luò)的IDS （NIDS）l放置在比較重要的網(wǎng)段內(nèi)l不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對(duì)每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析第第1111章章 第第2 2節(jié)節(jié)23IDS實(shí)現(xiàn)方式實(shí)現(xiàn)方式HIDSl優(yōu)點(diǎn)l能夠獲得更詳盡的信息l誤報(bào)率低。 l對(duì)分析“可能的攻擊行為”非常有用l適用于不需要廣泛的入侵檢測(cè)、或者傳感器與控制臺(tái)之間的通信帶寬不足的環(huán)境l風(fēng)險(xiǎn)較少 l缺點(diǎn)l依賴于服務(wù)器的日志與監(jiān)視功能，降低應(yīng)用系統(tǒng)的效率，可能需要中斷服務(wù)l全面布署HIDS代價(jià)較大

10、l對(duì)入侵行為的分析的工作量將隨著主機(jī)數(shù)目增加而增加 l可能帶來一些額外的安全問題 第第1111章章 第第2 2節(jié)節(jié)24IDS實(shí)現(xiàn)方式實(shí)現(xiàn)方式NIDSl優(yōu)點(diǎn)l能夠檢測(cè)來自網(wǎng)絡(luò)的攻擊l能夠檢測(cè)到超過授權(quán)的非法訪問 l易于安裝，不影響業(yè)務(wù)系統(tǒng)的性能 ，因此風(fēng)險(xiǎn)小 l缺點(diǎn)l監(jiān)測(cè)范圍受網(wǎng)段的限制，全網(wǎng)段部署傳感器會(huì)使成本大大增加l數(shù)據(jù)量大使得NIDS很難檢測(cè)一些需要大量計(jì)算和分析才能檢測(cè)的攻擊 l傳感器的分析能力的增強(qiáng)常伴隨著協(xié)同能力的減弱 l難以處理復(fù)雜協(xié)議，如：加密、高層協(xié)議 第第1111章章 第第2 2節(jié)節(jié)2511.2 入侵檢測(cè)分類與評(píng)估入侵檢測(cè)分類與評(píng)估l技術(shù)路線分類l基于統(tǒng)計(jì)分析的入侵檢測(cè)技術(shù)

11、l基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) l基于專家系統(tǒng)的入侵檢測(cè)技術(shù)l基于模型推理的入侵檢測(cè)技術(shù)第第1111章章 第第2 2節(jié)節(jié)2611.2 入侵檢測(cè)分類與評(píng)估入侵檢測(cè)分類與評(píng)估l技術(shù)路線分類l基于統(tǒng)計(jì)分析的入侵檢測(cè)技術(shù) l基于對(duì)用戶歷史行為進(jìn)行統(tǒng)計(jì)，同時(shí)實(shí)時(shí)地檢測(cè)用戶對(duì)系統(tǒng)的使用情況，根據(jù)用戶行為的概率模型與當(dāng)前用戶的行為進(jìn)行比較，一但發(fā)現(xiàn)可疑的情況與行為，就跟蹤、監(jiān)測(cè)并記錄，適當(dāng)時(shí)采用一定的響應(yīng)手段 l有一定的自適應(yīng)能力，穩(wěn)定，但誤警率高第第1111章章 第第2 2節(jié)節(jié)2711.2 入侵檢測(cè)分類與評(píng)估入侵檢測(cè)分類與評(píng)估l技術(shù)路線分類l基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) l將神經(jīng)網(wǎng)絡(luò)模型運(yùn)用于入侵檢測(cè)系統(tǒng)，可

12、以解決基于統(tǒng)計(jì)數(shù)據(jù)的主觀假設(shè)而導(dǎo)致的大量虛假警報(bào)問題，同時(shí)由于神經(jīng)網(wǎng)絡(luò)模型的自適應(yīng)性，使得系統(tǒng)精簡(jiǎn)，成本較低l但是不成熟第第1111章章 第第2 2節(jié)節(jié)2811.2 入侵檢測(cè)分類與評(píng)估入侵檢測(cè)分類與評(píng)估l技術(shù)路線分類l基于專家系統(tǒng)的入侵檢測(cè)技術(shù) l根據(jù)專家對(duì)合法行為的分析經(jīng)驗(yàn)來形成一套推理規(guī)則，然后在此基礎(chǔ)上構(gòu)成相應(yīng)的專家系統(tǒng)，由此專家系統(tǒng)自動(dòng)地進(jìn)行攻擊分析工作l推理系統(tǒng)的效率較低第第1111章章 第第2 2節(jié)節(jié)2911.2 入侵檢測(cè)分類與評(píng)估入侵檢測(cè)分類與評(píng)估l技術(shù)路線分類l基于模型推理的入侵檢測(cè)技術(shù) l對(duì)已知入侵行為建立特定的模型，監(jiān)視具有特定行為特征的活動(dòng)，一但發(fā)現(xiàn)與模型匹配的用戶行為，

13、就通過相關(guān)信息證實(shí)或否定攻擊的真實(shí)性l又稱為模式匹配，是應(yīng)用較多的入侵檢測(cè)方法 第第1111章章 第第2 2節(jié)節(jié)3011.2 入侵檢測(cè)分類與評(píng)估入侵檢測(cè)分類與評(píng)估l評(píng)價(jià)標(biāo)準(zhǔn)l準(zhǔn)確性l誤警：IDS將用戶正常的操作當(dāng)作入侵行為，予以報(bào)警（1%10%）l漏警：IDS將入侵行為當(dāng)作用戶正常的操作，不予報(bào)警（10%50%）l處理性能l完備性l容錯(cuò)性l及時(shí)性第第1111章章 第第2 2節(jié)節(jié)3111.3 入侵檢測(cè)產(chǎn)品概況入侵檢測(cè)產(chǎn)品概況l產(chǎn)品實(shí)施層次l應(yīng)用層l操作系統(tǒng)層l網(wǎng)絡(luò)層第第1111章章 第第3 3節(jié)節(jié)3211.3 入侵檢測(cè)產(chǎn)品概況入侵檢測(cè)產(chǎn)品概況l國(guó)外產(chǎn)品lCyber Cop IDS ：NAI lR

14、ealsecure ：ISS lSession_wall ：Abirnet lNetWare Flight Recorder：Anzen lInternet Emergency Response Service：IBM lCisco Secure IDS ：Cisco 第第1111章章 第第3 3節(jié)節(jié)3311.3 入侵檢測(cè)產(chǎn)品概況入侵檢測(cè)產(chǎn)品概況l國(guó)外產(chǎn)品lAdaptive Intrusion Detection System：布蘭登大學(xué) lAutonomous Agents For Intrusion Detection：Purdue University lIDES：SRI lWisdom and Sense：Los Alamos lNSM：加里福利亞大學(xué) 第第1111章章 第第3 3節(jié)節(jié)3411.3 入侵檢測(cè)產(chǎn)品概況入侵檢測(cè)產(chǎn)品概況l國(guó)內(nèi)產(chǎn)品lRIDS-100：瑞星 l曙光GodEye-HIDS：曙光信息產(chǎn)業(yè)（北京） l天闐：?jiǎn)⒚餍浅?l天眼NPI