第6章入侵檢測(cè)系統(tǒng)

1、信息安全技術(shù)與應(yīng)用第第6章章 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)信息安全技術(shù)與應(yīng)用6.1 入侵檢測(cè)原理與分類入侵檢測(cè)原理與分類 入侵檢測(cè)技術(shù)可以歸結(jié)為安全審計(jì)數(shù)據(jù)的分析與處理；入侵檢測(cè)技術(shù)可以歸結(jié)為安全審計(jì)數(shù)據(jù)的分析與處理； 核心問(wèn)題是獲取描述行為特征的數(shù)據(jù)；核心問(wèn)題是獲取描述行為特征的數(shù)據(jù)； 利用特征數(shù)據(jù)精確地判斷行為的性質(zhì)；利用特征數(shù)據(jù)精確地判斷行為的性質(zhì)； 按照預(yù)定策略實(shí)施響應(yīng)；按照預(yù)定策略實(shí)施響應(yīng)； IDS至少包括數(shù)據(jù)采集、入侵檢測(cè)分析引擎和響應(yīng)處理至少包括數(shù)據(jù)采集、入侵檢測(cè)分析引擎和響應(yīng)處理三部分功能模塊。三部分功能模塊。信息安全技術(shù)與應(yīng)用當(dāng)前系統(tǒng)或當(dāng)前系統(tǒng)或網(wǎng)絡(luò)行為網(wǎng)絡(luò)行為入侵檢測(cè)入侵檢測(cè)分

2、析引擎分析引擎入侵入侵？數(shù)據(jù)采集數(shù)據(jù)采集否否是是證據(jù)記錄證據(jù)記錄響應(yīng)處理響應(yīng)處理模式知識(shí)庫(kù)模式知識(shí)庫(kù)安全策略安全策略入侵行為模式入侵行為模式正常行為模式正常行為模式IDS工作原理工作原理信息安全技術(shù)與應(yīng)用IDS分類分類根據(jù)數(shù)據(jù)采集位置、分析引擎采用的分析方法、分析數(shù)據(jù)的根據(jù)數(shù)據(jù)采集位置、分析引擎采用的分析方法、分析數(shù)據(jù)的時(shí)間和響應(yīng)處理的方式進(jìn)行分類時(shí)間和響應(yīng)處理的方式進(jìn)行分類;根據(jù)數(shù)據(jù)采集的位置，分為基于主機(jī)（根據(jù)數(shù)據(jù)采集的位置，分為基于主機(jī)（host-based）、基于）、基于網(wǎng)絡(luò)（網(wǎng)絡(luò)（network-based）、基于應(yīng)用（）、基于應(yīng)用（application-based）和）和基于目標(biāo)

3、（基于目標(biāo)（target-based）等）等;依據(jù)分析引擎采用的分析方法，分為異常檢測(cè)（依據(jù)分析引擎采用的分析方法，分為異常檢測(cè)（anomaly detection）和誤用檢測(cè)（）和誤用檢測(cè)（misuse detection）;按照分析數(shù)據(jù)的時(shí)間不同，分為實(shí)時(shí)檢測(cè)和離線檢測(cè)按照分析數(shù)據(jù)的時(shí)間不同，分為實(shí)時(shí)檢測(cè)和離線檢測(cè);信息安全技術(shù)與應(yīng)用主機(jī)入侵檢測(cè)系統(tǒng)主機(jī)入侵檢測(cè)系統(tǒng) 當(dāng)入侵檢測(cè)監(jiān)視的對(duì)象為主機(jī)審計(jì)數(shù)據(jù)源時(shí)，稱為主當(dāng)入侵檢測(cè)監(jiān)視的對(duì)象為主機(jī)審計(jì)數(shù)據(jù)源時(shí)，稱為主機(jī)入侵檢測(cè)系統(tǒng)機(jī)入侵檢測(cè)系統(tǒng)HIDS; HIDS利用數(shù)據(jù)分析算法對(duì)操作系統(tǒng)審計(jì)記錄、系統(tǒng)日利用數(shù)據(jù)分析算法對(duì)操作系統(tǒng)審計(jì)記錄、系統(tǒng)日志

4、、應(yīng)用程序日志或系統(tǒng)調(diào)用序列等主機(jī)數(shù)據(jù)源進(jìn)行志、應(yīng)用程序日志或系統(tǒng)調(diào)用序列等主機(jī)數(shù)據(jù)源進(jìn)行分析分析; 歸納出主機(jī)系統(tǒng)活動(dòng)的特征或模式，作為對(duì)正常和異歸納出主機(jī)系統(tǒng)活動(dòng)的特征或模式，作為對(duì)正常和異常行為進(jìn)行判斷的基準(zhǔn)，主要用于保護(hù)提供關(guān)鍵應(yīng)用常行為進(jìn)行判斷的基準(zhǔn)，主要用于保護(hù)提供關(guān)鍵應(yīng)用服務(wù)的服務(wù)器。服務(wù)的服務(wù)器。 信息安全技術(shù)與應(yīng)用HIDS 優(yōu)點(diǎn)優(yōu)點(diǎn) 檢測(cè)精度高檢測(cè)精度高 監(jiān)控的對(duì)象明確與集中監(jiān)控的對(duì)象明確與集中; ; 不受加密和交換設(shè)備影響不受加密和交換設(shè)備影響 只關(guān)注主機(jī)發(fā)生的事件，不關(guān)心網(wǎng)絡(luò)事件，檢測(cè)性能只關(guān)注主機(jī)發(fā)生的事件，不關(guān)心網(wǎng)絡(luò)事件，檢測(cè)性能不受數(shù)據(jù)加密、隧道和交換設(shè)備影響。不受

5、數(shù)據(jù)加密、隧道和交換設(shè)備影響。 不受網(wǎng)絡(luò)流量影響不受網(wǎng)絡(luò)流量影響 不采集網(wǎng)絡(luò)分組，不會(huì)因?yàn)榫W(wǎng)絡(luò)流量增加而丟失對(duì)系不采集網(wǎng)絡(luò)分組，不會(huì)因?yàn)榫W(wǎng)絡(luò)流量增加而丟失對(duì)系統(tǒng)行為的監(jiān)視。統(tǒng)行為的監(jiān)視。 信息安全技術(shù)與應(yīng)用HIDS 缺點(diǎn)缺點(diǎn) 安裝在需要保護(hù)的主機(jī)上，占用主機(jī)系統(tǒng)資源安裝在需要保護(hù)的主機(jī)上，占用主機(jī)系統(tǒng)資源; 完全依賴操作系統(tǒng)固有的審計(jì)機(jī)制，必須與操作系統(tǒng)完全依賴操作系統(tǒng)固有的審計(jì)機(jī)制，必須與操作系統(tǒng)緊密集成，導(dǎo)致平臺(tái)的可移植性差緊密集成，導(dǎo)致平臺(tái)的可移植性差; 本身的健壯性受到主機(jī)操作系統(tǒng)安全性的限制本身的健壯性受到主機(jī)操作系統(tǒng)安全性的限制; 只能檢測(cè)針對(duì)本機(jī)的攻擊，不能檢測(cè)基于網(wǎng)絡(luò)協(xié)議的只能

6、檢測(cè)針對(duì)本機(jī)的攻擊，不能檢測(cè)基于網(wǎng)絡(luò)協(xié)議的攻擊。攻擊。信息安全技術(shù)與應(yīng)用當(dāng)入侵檢測(cè)監(jiān)視的對(duì)象為網(wǎng)絡(luò)分組時(shí)，稱為網(wǎng)絡(luò)入侵檢測(cè)系當(dāng)入侵檢測(cè)監(jiān)視的對(duì)象為網(wǎng)絡(luò)分組時(shí)，稱為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)統(tǒng)NIDS；局域網(wǎng)通常采用基于廣播機(jī)制的以太網(wǎng)協(xié)議局域網(wǎng)通常采用基于廣播機(jī)制的以太網(wǎng)協(xié)議,以太網(wǎng)協(xié)議能以太網(wǎng)協(xié)議能夠使主機(jī)接收同一網(wǎng)段內(nèi)的所有廣播數(shù)據(jù)包。夠使主機(jī)接收同一網(wǎng)段內(nèi)的所有廣播數(shù)據(jù)包。以太網(wǎng)絡(luò)適配器有正常和混雜兩種工作模式，正常模式只接以太網(wǎng)絡(luò)適配器有正常和混雜兩種工作模式，正常模式只接收本機(jī)地址和廣播地址的分組，混雜模式則接收本網(wǎng)段內(nèi)的收本機(jī)地址和廣播地址的分組，混雜模式則接收本網(wǎng)段內(nèi)的所有分組數(shù)據(jù)。所有分

7、組數(shù)據(jù)。NIDS利用了網(wǎng)絡(luò)適配器的混雜工作模式來(lái)實(shí)時(shí)采集通過(guò)網(wǎng)利用了網(wǎng)絡(luò)適配器的混雜工作模式來(lái)實(shí)時(shí)采集通過(guò)網(wǎng)絡(luò)的所有分組，通過(guò)網(wǎng)絡(luò)協(xié)議解析與模式匹配實(shí)現(xiàn)入侵行為絡(luò)的所有分組，通過(guò)網(wǎng)絡(luò)協(xié)議解析與模式匹配實(shí)現(xiàn)入侵行為檢測(cè)。檢測(cè)。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)信息安全技術(shù)與應(yīng)用NIDS的優(yōu)點(diǎn)的優(yōu)點(diǎn) 檢測(cè)與響應(yīng)速度快檢測(cè)與響應(yīng)速度快 在成功入侵之前發(fā)現(xiàn)攻擊和可疑意圖，目標(biāo)遭受破壞之前即可執(zhí)行在成功入侵之前發(fā)現(xiàn)攻擊和可疑意圖，目標(biāo)遭受破壞之前即可執(zhí)行快速響應(yīng)中止攻擊過(guò)程；快速響應(yīng)中止攻擊過(guò)程；入侵監(jiān)視范圍大入侵監(jiān)視范圍大 只在網(wǎng)絡(luò)關(guān)鍵路徑上安裝網(wǎng)絡(luò)傳感器，可以監(jiān)視整個(gè)網(wǎng)絡(luò)通信；只在網(wǎng)絡(luò)關(guān)鍵路徑上安裝

8、網(wǎng)絡(luò)傳感器，可以監(jiān)視整個(gè)網(wǎng)絡(luò)通信；入侵取證可靠入侵取證可靠 通過(guò)捕獲分組收集入侵證據(jù)，攻擊者無(wú)法轉(zhuǎn)移證據(jù)；通過(guò)捕獲分組收集入侵證據(jù)，攻擊者無(wú)法轉(zhuǎn)移證據(jù)；能夠檢測(cè)協(xié)議漏洞攻擊能夠檢測(cè)協(xié)議漏洞攻擊 諸如同步洪流（諸如同步洪流（SYN flood）、）、Smurf攻擊和淚滴攻擊（攻擊和淚滴攻擊（teardrop）等只有通過(guò)查看分組首部或有效負(fù)載才能識(shí)別。等只有通過(guò)查看分組首部或有效負(fù)載才能識(shí)別。信息安全技術(shù)與應(yīng)用NIDS的缺點(diǎn)的缺點(diǎn) 在交換以太網(wǎng)環(huán)境中監(jiān)測(cè)范圍受到限制；在交換以太網(wǎng)環(huán)境中監(jiān)測(cè)范圍受到限制； 在高速網(wǎng)絡(luò)流量環(huán)境下檢測(cè)精度下降；在高速網(wǎng)絡(luò)流量環(huán)境下檢測(cè)精度下降； 不能檢測(cè)加密數(shù)據(jù)、隧道數(shù)

9、據(jù)和加密數(shù)據(jù)攻擊；不能檢測(cè)加密數(shù)據(jù)、隧道數(shù)據(jù)和加密數(shù)據(jù)攻擊； 網(wǎng)絡(luò)傳感器向控制臺(tái)回傳數(shù)據(jù)量大。網(wǎng)絡(luò)傳感器向控制臺(tái)回傳數(shù)據(jù)量大。 信息安全技術(shù)與應(yīng)用異常檢測(cè)異常檢測(cè) 異常檢測(cè)根據(jù)用戶行為或資源使用的正常模式判定當(dāng)異常檢測(cè)根據(jù)用戶行為或資源使用的正常模式判定當(dāng)前活動(dòng)是否偏離了正?；蚱谕幕顒?dòng)規(guī)律前活動(dòng)是否偏離了正?；蚱谕幕顒?dòng)規(guī)律; 如果發(fā)現(xiàn)用戶或系統(tǒng)狀態(tài)偏離了正常行為模式，表示如果發(fā)現(xiàn)用戶或系統(tǒng)狀態(tài)偏離了正常行為模式，表示有攻擊或企圖攻擊行為發(fā)生；有攻擊或企圖攻擊行為發(fā)生； 任何不符合歷史活動(dòng)規(guī)律的行為都被認(rèn)為是入侵行為，任何不符合歷史活動(dòng)規(guī)律的行為都被認(rèn)為是入侵行為，能夠發(fā)現(xiàn)未知的攻擊模式；能

10、夠發(fā)現(xiàn)未知的攻擊模式； 缺點(diǎn)是誤報(bào)率較高。缺點(diǎn)是誤報(bào)率較高。信息安全技術(shù)與應(yīng)用 誤用檢測(cè)依據(jù)特征庫(kù)進(jìn)行判斷；誤用檢測(cè)依據(jù)特征庫(kù)進(jìn)行判斷； 具有很高的檢出率和很低的誤報(bào)率；具有很高的檢出率和很低的誤報(bào)率； 檢測(cè)全部入侵行為的能力取決于特征庫(kù)的更新；檢測(cè)全部入侵行為的能力取決于特征庫(kù)的更新； 主要缺陷是只能檢測(cè)已知攻擊；主要缺陷是只能檢測(cè)已知攻擊； 新攻擊的特征模式添加到誤用模式庫(kù)中；新攻擊的特征模式添加到誤用模式庫(kù)中； 才能使系統(tǒng)具備檢測(cè)新攻擊手段的能力。才能使系統(tǒng)具備檢測(cè)新攻擊手段的能力。誤用檢測(cè)誤用檢測(cè)信息安全技術(shù)與應(yīng)用實(shí)時(shí)檢測(cè)實(shí)時(shí)檢測(cè) 實(shí)時(shí)檢測(cè)是指實(shí)時(shí)檢測(cè)是指IDS能夠?qū)崟r(shí)分析審計(jì)數(shù)據(jù)；能

11、夠?qū)崟r(shí)分析審計(jì)數(shù)據(jù)； 在入侵行為造成危害之前及時(shí)發(fā)現(xiàn)和攔截入侵事件；在入侵行為造成危害之前及時(shí)發(fā)現(xiàn)和攔截入侵事件； 入侵檢測(cè)速度的快慢取決于數(shù)據(jù)采集、數(shù)據(jù)分析算法、入侵檢測(cè)速度的快慢取決于數(shù)據(jù)采集、數(shù)據(jù)分析算法、攻擊特征提取和模式比較等多個(gè)因素，攻擊特征提取和模式比較等多個(gè)因素， 實(shí)時(shí)檢測(cè)主要依賴于攻擊特征提取的難易程度。實(shí)時(shí)檢測(cè)主要依賴于攻擊特征提取的難易程度。 信息安全技術(shù)與應(yīng)用 先將采集的審計(jì)數(shù)據(jù)暫時(shí)保存起來(lái)，采用批處理分析先將采集的審計(jì)數(shù)據(jù)暫時(shí)保存起來(lái)，采用批處理分析方式定時(shí)發(fā)給入侵檢測(cè)分析引擎；方式定時(shí)發(fā)給入侵檢測(cè)分析引擎； 離線檢測(cè)不能及時(shí)防范和響應(yīng)攻擊事件；離線檢測(cè)不能及時(shí)防范和

12、響應(yīng)攻擊事件； 采用離線檢測(cè)可以降低系統(tǒng)負(fù)擔(dān)；采用離線檢測(cè)可以降低系統(tǒng)負(fù)擔(dān)； 在在捕獲攻擊特征需要較長(zhǎng)時(shí)間或高速網(wǎng)絡(luò)環(huán)境下，可捕獲攻擊特征需要較長(zhǎng)時(shí)間或高速網(wǎng)絡(luò)環(huán)境下，可以獲得高的以獲得高的檢測(cè)精度。檢測(cè)精度。離線檢測(cè)離線檢測(cè)信息安全技術(shù)與應(yīng)用檢測(cè)率和誤報(bào)率檢測(cè)率和誤報(bào)率檢測(cè)率和誤報(bào)率之間的關(guān)系誤報(bào)率誤報(bào)率100%100%檢測(cè)率檢測(cè)率100%100%檢測(cè)閾值檢測(cè)閾值信息安全技術(shù)與應(yīng)用0.10.2 0.5 125102040125102040ROC1ROC2ROC3DET

13、1DET2DET3三個(gè)不同系統(tǒng)的ROC曲線三個(gè)不同系統(tǒng)的DET曲線ROC曲線和曲線和DET曲線曲線信息安全技術(shù)與應(yīng)用 系統(tǒng)資源占用率系統(tǒng)資源占用率HIDS的開(kāi)銷主要消耗在審計(jì)記錄格式化和入侵分析上，精的開(kāi)銷主要消耗在審計(jì)記錄格式化和入侵分析上，精簡(jiǎn)審計(jì)記錄和提高入侵分析算法是降低簡(jiǎn)審計(jì)記錄和提高入侵分析算法是降低HIDS資源占用率的資源占用率的關(guān)鍵；關(guān)鍵；NIDS的開(kāi)銷主要消耗在網(wǎng)絡(luò)分組協(xié)議解析與特征匹配上，特的開(kāi)銷主要消耗在網(wǎng)絡(luò)分組協(xié)議解析與特征匹配上，特別在高速網(wǎng)絡(luò)環(huán)境下，系統(tǒng)資源占用率將顯著增大；別在高速網(wǎng)絡(luò)環(huán)境下，系統(tǒng)資源占用率將顯著增大； 系統(tǒng)資源占用率與系統(tǒng)資源占用率與IDS的檢測(cè)

14、率和誤報(bào)率常常是相互矛盾的；的檢測(cè)率和誤報(bào)率常常是相互矛盾的；降低系統(tǒng)資源占用率需要用檢測(cè)率和誤報(bào)率作為代價(jià)。降低系統(tǒng)資源占用率需要用檢測(cè)率和誤報(bào)率作為代價(jià)。信息安全技術(shù)與應(yīng)用 系統(tǒng)擴(kuò)展性系統(tǒng)擴(kuò)展性 時(shí)間上的可擴(kuò)展性時(shí)間上的可擴(kuò)展性 將多個(gè)獨(dú)立事件在時(shí)間上關(guān)聯(lián)起來(lái)，才能識(shí)別出攻擊行將多個(gè)獨(dú)立事件在時(shí)間上關(guān)聯(lián)起來(lái)，才能識(shí)別出攻擊行為；為； 空間上的可擴(kuò)展性空間上的可擴(kuò)展性 如果監(jiān)測(cè)的規(guī)模擴(kuò)大后，如果監(jiān)測(cè)的規(guī)模擴(kuò)大后，IDS仍然能夠準(zhǔn)確地檢測(cè)各種仍然能夠準(zhǔn)確地檢測(cè)各種攻擊行為；攻擊行為； 則表明具有良好的空間可擴(kuò)展性。則表明具有良好的空間可擴(kuò)展性。信息安全技術(shù)與應(yīng)用最大數(shù)據(jù)處理能力最大數(shù)據(jù)處理能力

15、 NIDS最大數(shù)據(jù)處理能力包括最大網(wǎng)絡(luò)流量、最大采集最大數(shù)據(jù)處理能力包括最大網(wǎng)絡(luò)流量、最大采集分組數(shù)、最大網(wǎng)絡(luò)連接數(shù)和最大事件數(shù)等；分組數(shù)、最大網(wǎng)絡(luò)連接數(shù)和最大事件數(shù)等； 最大網(wǎng)絡(luò)流量是指最大網(wǎng)絡(luò)流量是指NIDS的網(wǎng)絡(luò)傳感器單位時(shí)間內(nèi)能夠的網(wǎng)絡(luò)傳感器單位時(shí)間內(nèi)能夠處理的最大數(shù)據(jù)流量，一般用每秒兆位（處理的最大數(shù)據(jù)流量，一般用每秒兆位（Mbps）表示）表示最大網(wǎng)絡(luò)流量；最大網(wǎng)絡(luò)流量； 最大采集分組數(shù)是指最大采集分組數(shù)是指NIDS的網(wǎng)絡(luò)傳感器單位時(shí)間內(nèi)能的網(wǎng)絡(luò)傳感器單位時(shí)間內(nèi)能夠采集的最大網(wǎng)絡(luò)分組數(shù)，一般用每秒分組數(shù)夠采集的最大網(wǎng)絡(luò)分組數(shù)，一般用每秒分組數(shù)（pps）表示最大采集分組數(shù)。表示最大采集

16、分組數(shù)。信息安全技術(shù)與應(yīng)用 最大網(wǎng)絡(luò)連接數(shù)是指最大網(wǎng)絡(luò)連接數(shù)是指NIDS單位時(shí)間內(nèi)能夠監(jiān)控的最大單位時(shí)間內(nèi)能夠監(jiān)控的最大網(wǎng)絡(luò)連接數(shù)，反映了網(wǎng)絡(luò)連接數(shù)，反映了IDS在應(yīng)用層檢測(cè)入侵的能力；在應(yīng)用層檢測(cè)入侵的能力； 最大事件數(shù)是指最大事件數(shù)是指NIDS單位時(shí)間內(nèi)能夠處理的最大報(bào)警單位時(shí)間內(nèi)能夠處理的最大報(bào)警事件數(shù)，反映了處理攻擊事件和事件日志記錄的能力；事件數(shù)，反映了處理攻擊事件和事件日志記錄的能力；最大數(shù)據(jù)處理能力最大數(shù)據(jù)處理能力( (續(xù)續(xù)) )信息安全技術(shù)與應(yīng)用小規(guī)模小規(guī)模HIDS典型部署典型部署 引擎C 引擎B 引擎A 引擎D中心控制臺(tái)信息安全技術(shù)與應(yīng)用大規(guī)模大規(guī)模HIDS部署部署 引擎C引

17、擎B引擎A引擎D引擎F引擎E引擎G引擎H子控制臺(tái)中心控制臺(tái)信息安全技術(shù)與應(yīng)用集線器共享網(wǎng)絡(luò)部署集線器共享網(wǎng)絡(luò)部署網(wǎng)絡(luò)傳感器服務(wù)器工作站集線器中心控制臺(tái)信息安全技術(shù)與應(yīng)用交換網(wǎng)絡(luò)轉(zhuǎn)換部署交換網(wǎng)絡(luò)轉(zhuǎn)換部署 工作站交換機(jī)服務(wù)器網(wǎng)絡(luò)傳感器中心控制臺(tái)集線器信息安全技術(shù)與應(yīng)用交換網(wǎng)絡(luò)鏡像端口部署交換網(wǎng)絡(luò)鏡像端口部署 工作站交換機(jī)服務(wù)器網(wǎng)絡(luò)傳感器中心控制臺(tái)鏡像端口信息安全技術(shù)與應(yīng)用交換網(wǎng)絡(luò)交換網(wǎng)絡(luò)TAP部署部署 交換機(jī)網(wǎng)絡(luò)傳感器中心控制臺(tái)網(wǎng)絡(luò)傳感器網(wǎng)絡(luò)TAP服務(wù)器信息安全技術(shù)與應(yīng)用網(wǎng)絡(luò)傳感器中心控制臺(tái)服務(wù)器工作站DNS服務(wù)WWW服務(wù)E-mail服務(wù)二級(jí)交換機(jī)主干交換機(jī)DMZ交換機(jī)防火墻路由器網(wǎng)絡(luò)傳感器防火墻

18、和非軍事區(qū)部署防火墻和非軍事區(qū)部署信息安全技術(shù)與應(yīng)用6.2 入侵檢測(cè)審計(jì)數(shù)據(jù)源入侵檢測(cè)審計(jì)數(shù)據(jù)源 IDS是典型的審計(jì)數(shù)據(jù)驅(qū)動(dòng)分析系統(tǒng)是典型的審計(jì)數(shù)據(jù)驅(qū)動(dòng)分析系統(tǒng); 入侵檢測(cè)的基礎(chǔ)是利用審計(jì)數(shù)據(jù)區(qū)分合法與非入侵檢測(cè)的基礎(chǔ)是利用審計(jì)數(shù)據(jù)區(qū)分合法與非法行為法行為; 從大量審計(jì)數(shù)據(jù)中獲取行為模式特征從大量審計(jì)數(shù)據(jù)中獲取行為模式特征; 利用模式特征發(fā)現(xiàn)入侵證據(jù)。利用模式特征發(fā)現(xiàn)入侵證據(jù)。信息安全技術(shù)與應(yīng)用操作系統(tǒng)審計(jì)記錄特點(diǎn)操作系統(tǒng)審計(jì)記錄特點(diǎn)數(shù)據(jù)源可靠性高數(shù)據(jù)源可靠性高; ;審計(jì)事件劃分粒度小審計(jì)事件劃分粒度小; ;審計(jì)記錄具有連續(xù)性與完備性審計(jì)記錄具有連續(xù)性與完備性; ;不同操作系統(tǒng)審計(jì)記錄數(shù)據(jù)格式

19、不兼容不同操作系統(tǒng)審計(jì)記錄數(shù)據(jù)格式不兼容; ;數(shù)據(jù)格式不適應(yīng)機(jī)器學(xué)習(xí)數(shù)據(jù)格式不適應(yīng)機(jī)器學(xué)習(xí); ; 審計(jì)記錄數(shù)量龐大。審計(jì)記錄數(shù)量龐大。 信息安全技術(shù)與應(yīng)用Sun Solaris操作系統(tǒng)審計(jì)記錄簡(jiǎn)介操作系統(tǒng)審計(jì)記錄簡(jiǎn)介 Sun Solaris操作系統(tǒng)審計(jì)機(jī)制由基礎(chǔ)安全模操作系統(tǒng)審計(jì)機(jī)制由基礎(chǔ)安全模塊塊BSM（basic security module）審計(jì)子系統(tǒng)提）審計(jì)子系統(tǒng)提供，可對(duì)內(nèi)核系統(tǒng)調(diào)用事件、供，可對(duì)內(nèi)核系統(tǒng)調(diào)用事件、Solaris應(yīng)用程序事件應(yīng)用程序事件和第三方用戶程序事件進(jìn)行安全審計(jì)和第三方用戶程序事件進(jìn)行安全審計(jì)BSM采用分層采用分層結(jié)構(gòu)化方式組織審計(jì)記錄文件，審計(jì)記錄文件也稱結(jié)

20、構(gòu)化方式組織審計(jì)記錄文件，審計(jì)記錄文件也稱為審計(jì)跟蹤（為審計(jì)跟蹤（audit trail）。）。信息安全技術(shù)與應(yīng)用Solaris BSM審計(jì)記錄結(jié)構(gòu)審計(jì)記錄結(jié)構(gòu)審計(jì)記錄文件審計(jì)記錄文件審計(jì)文件審計(jì)文件 審計(jì)文件審計(jì)文件審計(jì)文件審計(jì)文件審計(jì)記錄審計(jì)記錄前審計(jì)文件前審計(jì)文件審計(jì)記錄審計(jì)記錄后審計(jì)文件后審計(jì)文件審計(jì)標(biāo)記審計(jì)標(biāo)記審計(jì)標(biāo)記審計(jì)標(biāo)記審計(jì)標(biāo)記審計(jì)標(biāo)記事件屬性事件屬性審計(jì)文件審計(jì)文件審計(jì)記錄審計(jì)記錄信息安全技術(shù)與應(yīng)用Windows 操作系統(tǒng)審計(jì)結(jié)構(gòu)操作系統(tǒng)審計(jì)結(jié)構(gòu)事件日志事件日志用戶模式用戶模式核心模式核心模式審計(jì)策略審計(jì)策略審計(jì)記錄審計(jì)記錄安全賬戶庫(kù)安全賬戶庫(kù)事件記錄器事件記錄器ELEL 安

21、全參考安全參考 監(jiān)視器監(jiān)視器 SRMSRM對(duì)象訪問(wèn)對(duì)象訪問(wèn)進(jìn)程跟蹤進(jìn)程跟蹤特權(quán)使用特權(quán)使用文件系統(tǒng)文件系統(tǒng)審計(jì)日志審計(jì)日志審計(jì)策略庫(kù)審計(jì)策略庫(kù) 策略更改策略更改登錄事件登錄事件賬戶登錄賬戶登錄審計(jì)線程審計(jì)線程本地安全認(rèn)證本地安全認(rèn)證LSALSA安全賬戶安全賬戶管理管理SAMSAM信息安全技術(shù)與應(yīng)用Windows 操作系統(tǒng)操作系統(tǒng)事件日志事件日志W(wǎng)indows事件日志事件日志 安全事件日志安全事件日志 操作系統(tǒng)事件日志操作系統(tǒng)事件日志 應(yīng)用事件日志應(yīng)用事件日志記錄用戶登錄、系統(tǒng)資源使用等與系記錄用戶登錄、系統(tǒng)資源使用等與系統(tǒng)安全相關(guān)的事件，對(duì)用戶不開(kāi)放統(tǒng)安全相關(guān)的事件，對(duì)用戶不開(kāi)放記錄操作系統(tǒng)組

22、件的事件，對(duì)所有用記錄操作系統(tǒng)組件的事件，對(duì)所有用 戶開(kāi)放戶開(kāi)放 記錄應(yīng)用程序產(chǎn)生的事件，對(duì)所有用記錄應(yīng)用程序產(chǎn)生的事件，對(duì)所有用戶開(kāi)放戶開(kāi)放信息安全技術(shù)與應(yīng)用網(wǎng)絡(luò)審計(jì)數(shù)據(jù)網(wǎng)絡(luò)審計(jì)數(shù)據(jù) 主機(jī)審計(jì)數(shù)據(jù)源：操作系統(tǒng)審計(jì)記錄、系統(tǒng)主機(jī)審計(jì)數(shù)據(jù)源：操作系統(tǒng)審計(jì)記錄、系統(tǒng)日志、應(yīng)用日志和系統(tǒng)調(diào)用跟蹤日志、應(yīng)用日志和系統(tǒng)調(diào)用跟蹤; ; 網(wǎng)絡(luò)審計(jì)數(shù)據(jù)源指通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)獲取的數(shù)據(jù)網(wǎng)絡(luò)審計(jì)數(shù)據(jù)源指通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)獲取的數(shù)據(jù); 網(wǎng)絡(luò)數(shù)據(jù)是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)使用的主要審計(jì)網(wǎng)絡(luò)數(shù)據(jù)是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)使用的主要審計(jì)數(shù)據(jù)源。數(shù)據(jù)源。信息安全技術(shù)與應(yīng)用網(wǎng)絡(luò)數(shù)據(jù)協(xié)議解析過(guò)程網(wǎng)絡(luò)數(shù)據(jù)協(xié)議解析過(guò)程 網(wǎng)絡(luò)連接記錄網(wǎng)絡(luò)連接記錄網(wǎng)絡(luò)檢測(cè)模型網(wǎng)

23、絡(luò)檢測(cè)模型工工作作站站工作工作站站集線器集線器服務(wù)服務(wù)器器服務(wù)服務(wù)器器局域局域網(wǎng)網(wǎng)通用網(wǎng)通用網(wǎng)關(guān)關(guān)數(shù)據(jù)包輸出格式數(shù)據(jù)包輸出格式機(jī)器學(xué)習(xí)機(jī)器學(xué)習(xí)10:35:41.504694 1.0.256.256.7000 2.0.256.256.7001: udp 14810:35:41.517993 2.0.256.256.1362 5.0.256.256.25: . ack 1 win 409610:35:41.583895 2.0.256.256.25 13.0.256.256.2845: . ack 46 win 409610:35:41 1.0.256.256 2.0.256.256 udp 14

24、8 SF10:35:41 2.0.256.256 5.0.256.256 smtp 88 SFInternet信息安全技術(shù)與應(yīng)用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) Snort Snort是基于誤用檢測(cè)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)開(kāi)放源碼軟件；是基于誤用檢測(cè)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)開(kāi)放源碼軟件； 采用規(guī)則匹配檢測(cè)網(wǎng)絡(luò)分組是否違反了事先配置的安全采用規(guī)則匹配檢測(cè)網(wǎng)絡(luò)分組是否違反了事先配置的安全策略；策略； 安裝在一臺(tái)主機(jī)上可以監(jiān)測(cè)整個(gè)共享網(wǎng)段；安裝在一臺(tái)主機(jī)上可以監(jiān)測(cè)整個(gè)共享網(wǎng)段； 發(fā)現(xiàn)入侵和探測(cè)行為，具有將報(bào)警信息發(fā)送到系統(tǒng)日志、發(fā)現(xiàn)入侵和探測(cè)行為，具有將報(bào)警信息發(fā)送到系統(tǒng)日志、報(bào)警文件或控制臺(tái)屏幕等多種實(shí)時(shí)報(bào)警

25、方式；報(bào)警文件或控制臺(tái)屏幕等多種實(shí)時(shí)報(bào)警方式； Snort不僅能夠檢測(cè)各種網(wǎng)絡(luò)攻擊，還具有網(wǎng)絡(luò)分組采集、不僅能夠檢測(cè)各種網(wǎng)絡(luò)攻擊，還具有網(wǎng)絡(luò)分組采集、分析和日志記錄功能。分析和日志記錄功能。信息安全技術(shù)與應(yīng)用Snort 系統(tǒng)組成系統(tǒng)組成 Snort主要由分組協(xié)議分析器、入侵檢測(cè)引擎、日志記錄主要由分組協(xié)議分析器、入侵檢測(cè)引擎、日志記錄和報(bào)警模塊組成；和報(bào)警模塊組成； 協(xié)議分析器的任務(wù)是對(duì)協(xié)議棧上的分組進(jìn)行協(xié)議解析協(xié)議分析器的任務(wù)是對(duì)協(xié)議棧上的分組進(jìn)行協(xié)議解析; 入侵檢測(cè)引擎根據(jù)規(guī)則文件匹配分組特征入侵檢測(cè)引擎根據(jù)規(guī)則文件匹配分組特征;日志記錄將解析后的分組以文本或日志記錄將解析后的分組以文本或

26、Tcpdump二進(jìn)制格式二進(jìn)制格式記錄到日志文件記錄到日志文件;文本格式便于分組分析文本格式便于分組分析;二進(jìn)制格式提高記錄速度。二進(jìn)制格式提高記錄速度。 信息安全技術(shù)與應(yīng)用報(bào)警信息與報(bào)警文件報(bào)警信息與報(bào)警文件 報(bào)警信息可以發(fā)送到系統(tǒng)日志；報(bào)警信息可以發(fā)送到系統(tǒng)日志； 也可以采用文本或也可以采用文本或Tcpdump二進(jìn)制格式發(fā)送到報(bào)警文二進(jìn)制格式發(fā)送到報(bào)警文件；件； 也容許選擇關(guān)閉報(bào)警操作；也容許選擇關(guān)閉報(bào)警操作； 記錄到報(bào)警文件的報(bào)警信息有完全和快速兩種方式；記錄到報(bào)警文件的報(bào)警信息有完全和快速兩種方式； 完全報(bào)警記錄分組首部所有字段信息和報(bào)警信息；完全報(bào)警記錄分組首部所有字段信息和報(bào)警信息

27、； 而快速報(bào)警只記錄分組首部部分字段信息。而快速報(bào)警只記錄分組首部部分字段信息。信息安全技術(shù)與應(yīng)用Win32 snort-2_0_0.exe安裝安裝 雙擊雙擊snort-2_0_0.exe在安裝目錄下將自動(dòng)生成在安裝目錄下將自動(dòng)生成snort文件夾；文件夾； 其中包含其中包含bin、etc、log、rules、doc、contrib文件夾和文件夾和snort-2_0_0.exe卸載程序卸載程序Uninstall.exe； bin文件夾保存文件夾保存snort.exe可執(zhí)行程序；可執(zhí)行程序； snort配置文件配置文件snort.conf位于位于etc； 日志文件和報(bào)警文件日志文件和報(bào)警文件位于

28、位于log； 各類規(guī)則檢測(cè)文件位于各類規(guī)則檢測(cè)文件位于rules；snort使用手冊(cè)位于使用手冊(cè)位于doc； contrib為為snort支持者提供的各種輔助應(yīng)用文件。支持者提供的各種輔助應(yīng)用文件。 信息安全技術(shù)與應(yīng)用 Snort 配置配置 在使用在使用snort之前，需要根據(jù)保護(hù)網(wǎng)絡(luò)環(huán)境和安全策略之前，需要根據(jù)保護(hù)網(wǎng)絡(luò)環(huán)境和安全策略對(duì)對(duì)snort進(jìn)行配置；進(jìn)行配置； 主要包括網(wǎng)絡(luò)變量、預(yù)處理器、輸出插件及規(guī)則集配置，主要包括網(wǎng)絡(luò)變量、預(yù)處理器、輸出插件及規(guī)則集配置，位于位于etc的的snort配置文件配置文件snort.conf可用任意文本編輯器打可用任意文本編輯器打開(kāi)；開(kāi)； 用文本編輯器打

29、開(kāi)用文本編輯器打開(kāi)Snortetcsnort.conf文件；文件； 找到找到“var HOME_NET any”，將，將any更換成自己機(jī)器更換成自己機(jī)器所在子網(wǎng)的所在子網(wǎng)的CIDR地址地址.信息安全技術(shù)與應(yīng)用Snort 配置配置 例如，假設(shè)本機(jī)例如，假設(shè)本機(jī)IP地址為地址為23； 將將“var HOME_NET any” 更換成更換成“var HOME_NET /24”或特定的本機(jī)地址或特定的本機(jī)地址“var HOME_NET 23/32”。 找到規(guī)則找到規(guī)則路徑變量路徑變量“var RULE_PATH .rules”，將其修

30、改為，將其修改為var RULE_PATH C:snortrules； 找到找到“include classification.config”，將，將classification.config文文件的路徑修改為件的路徑修改為 include C:snortetcclassification.config； 找到找到“include reference.config”，將，將reference.config文件的路文件的路徑修改為徑修改為 include C:snortetcreference.config。 信息安全技術(shù)與應(yīng)用Snort 命令格式與幫助命令格式與幫助 Snort命令格式：命令格

31、式： C:snortbinsnort -Options Snort命令幫助：命令幫助： C: snortbinsnort -? 特別注意：特別注意： Snort在在Windows操作系統(tǒng)下要求給出命令執(zhí)行的操作系統(tǒng)下要求給出命令執(zhí)行的完整路徑。完整路徑。 信息安全技術(shù)與應(yīng)用Snort 主要命令參數(shù)主要命令參數(shù)選項(xiàng)選項(xiàng) （1）-A alert： 設(shè)置設(shè)置snort快速（快速（fast）、完全（）、完全（full）、控制臺(tái)）、控制臺(tái)（console）或無(wú)（）或無(wú)（none）報(bào)警模式；）報(bào)警模式； alert取值取值full、fast、console或或none其中之一；其中之一； -A fast：

32、快速報(bào)警模式僅記錄時(shí)間戳、報(bào)警信息：快速報(bào)警模式僅記錄時(shí)間戳、報(bào)警信息、源、源IP、目標(biāo)、目標(biāo)IP、源端口和目標(biāo)端口；、源端口和目標(biāo)端口； -A full：完全報(bào)警是：完全報(bào)警是snort默認(rèn)的報(bào)警模式，記錄分組默認(rèn)的報(bào)警模式，記錄分組或報(bào)文首部所有字段信息和報(bào)警信息；或報(bào)文首部所有字段信息和報(bào)警信息；信息安全技術(shù)與應(yīng)用Snort 主要命令參數(shù)主要命令參數(shù)選項(xiàng)選項(xiàng) -A console：控制臺(tái)報(bào)警模式將分組或報(bào)文首部和報(bào)：控制臺(tái)報(bào)警模式將分組或報(bào)文首部和報(bào)警信息發(fā)送到控制臺(tái)屏幕；警信息發(fā)送到控制臺(tái)屏幕； -A none：關(guān)閉報(bào)警。：關(guān)閉報(bào)警。 （2）-c snort.conf：使用：使用sno

33、rt配置文件配置文件snort.conf；（3）-b：采用采用Tcpdump二進(jìn)制格式將分組記錄到日志二進(jìn)制格式將分組記錄到日志文件文件；（4）-d：顯示應(yīng)用數(shù)據(jù)；：顯示應(yīng)用數(shù)據(jù)； （5）-e：顯示數(shù)據(jù)鏈路層的首部信息；顯示數(shù)據(jù)鏈路層的首部信息；信息安全技術(shù)與應(yīng)用Snort 主要命令參數(shù)主要命令參數(shù)選項(xiàng)選項(xiàng) （7）-l ：將日志記錄到指定的目錄：將日志記錄到指定的目錄directory，默認(rèn)，默認(rèn)日志目錄是日志目錄是Snortlog；（8）-i ：在指定的網(wǎng)絡(luò)接口在指定的網(wǎng)絡(luò)接口上監(jiān)聽(tīng)上監(jiān)聽(tīng)；（9）-r ：從從Tcpdump文件文件中讀取分組處理中讀取分組處理，而而不監(jiān)測(cè)網(wǎng)絡(luò)分組不監(jiān)測(cè)網(wǎng)絡(luò)分組

34、；（10）-s：將報(bào)警信息發(fā)送到系統(tǒng)日志；將報(bào)警信息發(fā)送到系統(tǒng)日志；（11）-v：詳細(xì)輸出詳細(xì)輸出（Be verbose）；）； （12）-V：顯示顯示Snort版本號(hào)版本號(hào)；（13）-W：列出本機(jī)可用的網(wǎng)絡(luò)接口列出本機(jī)可用的網(wǎng)絡(luò)接口（僅在僅在Windows下下有效有效）；）； 信息安全技術(shù)與應(yīng)用Snort 檢測(cè)規(guī)則檢測(cè)規(guī)則 Snort檢測(cè)入侵的能力完全取決于規(guī)則文件是否包含了完檢測(cè)入侵的能力完全取決于規(guī)則文件是否包含了完整的入侵標(biāo)識(shí)整的入侵標(biāo)識(shí); 規(guī)則文件為文本文件，可以使用任意文本編輯器對(duì)規(guī)則規(guī)則文件為文本文件，可以使用任意文本編輯器對(duì)規(guī)則文件進(jìn)行修改文件進(jìn)行修改; Snort檢測(cè)規(guī)則由規(guī)

35、則頭和規(guī)則選項(xiàng)組成；檢測(cè)規(guī)則由規(guī)則頭和規(guī)則選項(xiàng)組成； 規(guī)則頭定義了規(guī)則頭定義了IP地址、端口、協(xié)議類型和滿足規(guī)則條件地址、端口、協(xié)議類型和滿足規(guī)則條件時(shí)執(zhí)行的操作；時(shí)執(zhí)行的操作； 規(guī)則選項(xiàng)定義了入侵標(biāo)志和發(fā)送報(bào)警的方式。規(guī)則選項(xiàng)定義了入侵標(biāo)志和發(fā)送報(bào)警的方式。信息安全技術(shù)與應(yīng)用Snort檢測(cè)規(guī)則檢測(cè)規(guī)則的一般格式的一般格式alert tcp any any - /24 80 (content: /cgi-bin/phf; msg: PHF probe!)操作操作 協(xié)議協(xié)議源源IP地址地址源端口源端口數(shù)據(jù)數(shù)據(jù)流向流向目的目的 IP地址地址目的目的端口端口子網(wǎng)子網(wǎng)掩碼掩碼選項(xiàng)

36、選項(xiàng)關(guān)鍵字關(guān)鍵字選項(xiàng)選項(xiàng)關(guān)鍵字關(guān)鍵字選項(xiàng)變量選項(xiàng)變量選項(xiàng)變量選項(xiàng)變量規(guī)則頭規(guī)則頭規(guī)則選項(xiàng)規(guī)則選項(xiàng)信息安全技術(shù)與應(yīng)用入侵檢測(cè)系統(tǒng)實(shí)驗(yàn)內(nèi)容入侵檢測(cè)系統(tǒng)實(shí)驗(yàn)內(nèi)容 本實(shí)驗(yàn)除安裝本實(shí)驗(yàn)除安裝snort-2_0_0.exe之外，還要求安裝之外，還要求安裝nmap-4.01-setup.exe網(wǎng)絡(luò)探測(cè)和端口掃描網(wǎng)絡(luò)探測(cè)和端口掃描軟件；軟件；Nmap用于掃描實(shí)驗(yàn)合作伙伴的主機(jī)，用于掃描實(shí)驗(yàn)合作伙伴的主機(jī)，Snort用于檢測(cè)實(shí)驗(yàn)合作用于檢測(cè)實(shí)驗(yàn)合作伙伴對(duì)本機(jī)的攻擊；伙伴對(duì)本機(jī)的攻擊； 用寫(xiě)字板用寫(xiě)字板打開(kāi)打開(kāi)Snortetcsnort.conf文件對(duì)文件對(duì)Snort進(jìn)行配置；進(jìn)行配置； 將規(guī)則將規(guī)則路徑變量路徑

37、變量RULE_PATH定義為定義為C:snortrules； 將 分 類 配 置 文 件 路 徑 修 改 為將 分 類 配 置 文 件 路 徑 修 改 為 i n c l u d e C:snortetcclassification.config； 將 引 用 配 置 文 件 路 徑 修 改 為將 引 用 配 置 文 件 路 徑 修 改 為 i n c l u d e C:snortetcreference.config。其余其余使用使用Snort配置文件中配置文件中的默認(rèn)的默認(rèn)設(shè)置設(shè)置。 信息安全技術(shù)與應(yīng)用Snort 報(bào)警與日志功能測(cè)試報(bào)警與日志功能測(cè)試 打開(kāi)打開(kāi)C:Snortruleslo

38、cal.rules規(guī)則文件，添加報(bào)警與日志規(guī)則文件，添加報(bào)警與日志功能測(cè)試規(guī)則：功能測(cè)試規(guī)則：alert tcp any any - any any (msg:TCP traffic;)；執(zhí)行命令：執(zhí)行命令：C:snortbinsnort -c snortetcsnort.conf -l snortlog i 2 如果在如果在C:Snortlog目錄中生成目錄中生成alert.ids報(bào)警文件和報(bào)警文件和IP地址命地址命名的日志文件，表明名的日志文件，表明Snort配置正確；配置正確；測(cè)試測(cè)試Snort報(bào)警與日志功能以后，在該規(guī)則前加報(bào)警與日志功能以后，在該規(guī)則前加#號(hào)變?yōu)樽⑨?！?hào)變?yōu)樽⑨?！否則

39、，隨后的實(shí)驗(yàn)不能獲得正確結(jié)果。否則，隨后的實(shí)驗(yàn)不能獲得正確結(jié)果。 信息安全技術(shù)與應(yīng)用分組協(xié)議分析分組協(xié)議分析 （1）TCP/UDP/ICMP/IP首部信息輸出到屏幕上：首部信息輸出到屏幕上： C: snortbinsnort v i 2；（2）TCP/UDP/ICMP/IP首部信息和應(yīng)用數(shù)據(jù)輸出到屏首部信息和應(yīng)用數(shù)據(jù)輸出到屏幕上：幕上：C: snortbinsnort -vd i 2或或C: snortbinsnort -v d i 2；（命令；（命令選項(xiàng)選項(xiàng)可以任意結(jié)合，也可以分開(kāi)）可以任意結(jié)合，也可以分開(kāi)）（3）將捕獲的首部信息記錄到指定的）將捕獲的首部信息記錄到指定的Snortlog目錄，目錄，在在log目錄下將自動(dòng)生成以主機(jī)目錄下將自動(dòng)生成以主機(jī)IP地址命名的目錄；地址命名的目錄； C: snortbinsnort -v -l snortlog i 2； 信息安