入侵檢測技術(shù)火龍果

1、1第第6章章 入侵檢測技術(shù)入侵檢測技術(shù)2入侵檢測的定義入侵檢測的定義l美國NSTAC（國家安全通信委員會）的（國家安全通信委員會）的IDSG（Intrusion Detection Sub-Group) ： 入侵（入侵（ Intrusion ）：）：對信息系統(tǒng)的非授權(quán)訪問及（或）對信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進行操作。未經(jīng)許可在信息系統(tǒng)中進行操作。 入侵檢測（入侵檢測（Intrusion Detection ）：）：對（網(wǎng)絡(luò)）系統(tǒng)的運對（網(wǎng)絡(luò)）系統(tǒng)的運行狀態(tài)進行監(jiān)視，對企圖入侵、正在進行的入侵或已經(jīng)發(fā)生行狀態(tài)進行監(jiān)視，對企圖入侵、正在進行的入侵或已經(jīng)發(fā)生的入侵進行識別的過程

2、。的入侵進行識別的過程。概述概述3lICSA.net國家計算機安全協(xié)會國家計算機安全協(xié)會(ICSA) : 入侵檢測系統(tǒng)入侵檢測系統(tǒng): 該系統(tǒng)從多種計算機系統(tǒng)及網(wǎng)絡(luò)該系統(tǒng)從多種計算機系統(tǒng)及網(wǎng)絡(luò)中搜集信息，再從這些信息中分析入侵及誤用特中搜集信息，再從這些信息中分析入侵及誤用特征征。 入侵：入侵：由系統(tǒng)外部發(fā)起的攻擊由系統(tǒng)外部發(fā)起的攻擊 誤用：誤用：由系統(tǒng)內(nèi)部發(fā)起的攻擊由系統(tǒng)內(nèi)部發(fā)起的攻擊概述概述4入侵檢測系統(tǒng)的特點入侵檢測系統(tǒng)的特點 進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（IDS， Intrusion Detection System ） 一

3、個完善的入侵檢測系統(tǒng)的特點：一個完善的入侵檢測系統(tǒng)的特點： 經(jīng)濟性、經(jīng)濟性、 時效性時效性 安全性安全性 可擴展性可擴展性概述概述5典型典型IDS技術(shù)技術(shù)實時入侵檢測漏洞掃描評估加固概述概述6IDS基本結(jié)構(gòu)基本結(jié)構(gòu) 入侵檢測入侵檢測是監(jiān)測計算機網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反是監(jiān)測計算機網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反安全策略事件的過程。簡單地說，入侵檢測系安全策略事件的過程。簡單地說，入侵檢測系統(tǒng)包括三個功能部件：統(tǒng)包括三個功能部件：（1 1）信息收集）信息收集（2 2）信息分析）信息分析（3 3）結(jié)果處理）結(jié)果處理7n信息收集信息收集 入侵檢測的第一步是入侵檢測的第一步是信息收集信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)，收

4、集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。 需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息，盡可能擴大檢測范圍和不同主機）收集信息，盡可能擴大檢測范圍入侵檢測很大程度上依賴于收集信息的可靠性和正確性。入侵檢測很大程度上依賴于收集信息的可靠性和正確性。IDS基本結(jié)構(gòu)基本結(jié)構(gòu)8l信息收集的來源信息收集的來源 進行入侵檢測的系統(tǒng)叫做主機，被檢測的系統(tǒng)或網(wǎng)絡(luò)叫做目標機。進行入侵檢測的系統(tǒng)叫做主機，被檢測的系統(tǒng)或網(wǎng)絡(luò)叫做目標機。數(shù)據(jù)來源可分為四類：數(shù)據(jù)來源可分為四類：來自主機的來自主機的 基于主

5、機的監(jiān)測收集通常在操作系統(tǒng)層的來自計算機內(nèi)部的數(shù)據(jù)，基于主機的監(jiān)測收集通常在操作系統(tǒng)層的來自計算機內(nèi)部的數(shù)據(jù)，包括操作系統(tǒng)審計跟蹤信息和系統(tǒng)日志包括操作系統(tǒng)審計跟蹤信息和系統(tǒng)日志 來自網(wǎng)絡(luò)的來自網(wǎng)絡(luò)的 檢測收集網(wǎng)絡(luò)的數(shù)據(jù)檢測收集網(wǎng)絡(luò)的數(shù)據(jù) 來自應(yīng)用程序的來自應(yīng)用程序的 監(jiān)測收集來自運行著的應(yīng)用程序的數(shù)據(jù)，包括應(yīng)用程序事件日志監(jiān)測收集來自運行著的應(yīng)用程序的數(shù)據(jù)，包括應(yīng)用程序事件日志和其它存儲在應(yīng)用程序內(nèi)部的數(shù)據(jù)和其它存儲在應(yīng)用程序內(nèi)部的數(shù)據(jù) 來自目標機的來自目標機的 使用散列函數(shù)來檢測對系統(tǒng)對象的修改。使用散列函數(shù)來檢測對系統(tǒng)對象的修改。IDS基本結(jié)構(gòu)基本結(jié)構(gòu)9n信息分析信息分析 模式匹配（誤用

6、檢測）模式匹配（誤用檢測） 統(tǒng)計分析（異常檢測）統(tǒng)計分析（異常檢測） 完整性分析，往往用于事后分析完整性分析，往往用于事后分析IDS基本結(jié)構(gòu)基本結(jié)構(gòu)10模式匹配模式匹配 模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。為。 一般來講，一種進攻模式可以用一個過程（如執(zhí)行一條一般來講，一種進攻模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。該過程可以指令）或一個輸出（如獲得權(quán)限）來表示。該過程可以很簡單（如通過字符串匹配以尋找一個簡

7、單的條目或指很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達式來表示令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達式來表示安全狀態(tài)的變化）。安全狀態(tài)的變化）。IDS基本結(jié)構(gòu)基本結(jié)構(gòu)11統(tǒng)計分析統(tǒng)計分析 統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。 測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比測量屬性的平均值將被用來與網(wǎng)絡(luò)、系

8、統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生完整性分析完整性分析 完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓模@經(jīng)常完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被安包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效。裝木馬的應(yīng)用程序方面特別有效。IDS基本結(jié)構(gòu)基本結(jié)構(gòu)12入侵檢測的分類（入侵檢測的分類（1） 按照數(shù)據(jù)來源：按照數(shù)據(jù)來源： 基于主機：基于主機：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機，保護的目標也是

9、系統(tǒng)運行所在的主機。機，保護的目標也是系統(tǒng)運行所在的主機。 基于網(wǎng)絡(luò)：基于網(wǎng)絡(luò)：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護的是網(wǎng)絡(luò)的運行。護的是網(wǎng)絡(luò)的運行。 混合型：混合型：IDS基本結(jié)構(gòu)基本結(jié)構(gòu)13 按照分析方法（檢測方法）按照分析方法（檢測方法） 異常檢測模型（異常檢測模型（Anomaly Detection ):Anomaly Detection ): 首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當用首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當用戶活動與正常行為有重大偏離時即被認為是入侵。戶活動與正常行為有重大偏離時即被認為是入侵。 誤用檢測模型（誤用檢

10、測模型（Misuse Detection)Misuse Detection)： 收集非正常操作的行為特征，建立相關(guān)的特征庫，當監(jiān)收集非正常操作的行為特征，建立相關(guān)的特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵。這種行為是入侵。IDS基本結(jié)構(gòu)基本結(jié)構(gòu)14異常檢測模型異常檢測模型 如果系統(tǒng)錯誤地將異?；顒佣x為入侵，稱為誤報如果系統(tǒng)錯誤地將異常活動定義為入侵，稱為誤報(false positive) ；如果系統(tǒng)未能檢測出真正的入侵行為則稱為漏；如果系統(tǒng)未能檢測出真正的入侵行為則稱為漏報報(false negative

11、)。 特點：異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)特點：異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率?？氐念l率。因為不需要對每種入侵行為進行定義，因此能有因為不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵。效檢測未知的入侵。同時系統(tǒng)能針對用戶行為的改變進行自同時系統(tǒng)能針對用戶行為的改變進行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源。耗更多的系統(tǒng)資源。IDS基本結(jié)構(gòu)基本結(jié)構(gòu)15誤用檢測模型誤用檢測模型 如果入侵特征與正常的用戶行為能匹配，則系統(tǒng)會發(fā)生如果入侵特征與正常的用戶行為能匹配，則系統(tǒng)會發(fā)

12、生誤報；如果沒有特征能與某種新的攻擊行為匹配，則系統(tǒng)誤報；如果沒有特征能與某種新的攻擊行為匹配，則系統(tǒng)會發(fā)生漏報。會發(fā)生漏報。 特點：采用特征匹配，誤用檢測能明顯降低錯報率，但特點：采用特征匹配，誤用檢測能明顯降低錯報率，但漏報率隨之增加。攻擊特征的細微變化，會使得誤用檢測漏報率隨之增加。攻擊特征的細微變化，會使得誤用檢測無能為力。無能為力。IDS基本結(jié)構(gòu)基本結(jié)構(gòu)16 根據(jù)時效性：根據(jù)時效性： 脫機分析：脫機分析：行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進行分析。早期行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進行分析。早期比較流行比較流行 聯(lián)機分析：聯(lián)機分析：在數(shù)據(jù)產(chǎn)生的同時或者發(fā)生改變時進行分析在數(shù)據(jù)產(chǎn)生的同時或者發(fā)生改變時

13、進行分析。 按系統(tǒng)各模塊的運行方式按系統(tǒng)各模塊的運行方式 集中式：集中式：系統(tǒng)的各個模塊包括數(shù)據(jù)的收集分析集中在一系統(tǒng)的各個模塊包括數(shù)據(jù)的收集分析集中在一臺主機上運行。臺主機上運行。 必須得有在系統(tǒng)組件之間保護消息的方法；必須得有一必須得有在系統(tǒng)組件之間保護消息的方法；必須得有一種在給定的時間內(nèi)判斷系統(tǒng)中的一個要素是否被篡改或是種在給定的時間內(nèi)判斷系統(tǒng)中的一個要素是否被篡改或是否已經(jīng)失效的方法。否已經(jīng)失效的方法。 分布式：分布式：系統(tǒng)的各個模塊分布在不同的計算機和設(shè)備上。系統(tǒng)的各個模塊分布在不同的計算機和設(shè)備上。IDS基本結(jié)構(gòu)基本結(jié)構(gòu)17u入侵檢測系統(tǒng)的通用模型入侵檢測系統(tǒng)的通用模型IDS基本

14、結(jié)構(gòu)基本結(jié)構(gòu)18基于主機的入侵檢測系統(tǒng)（基于主機的入侵檢測系統(tǒng)（HIDS) 系統(tǒng)監(jiān)控和分析主機產(chǎn)生的數(shù)據(jù)（系統(tǒng)日志和審計記系統(tǒng)監(jiān)控和分析主機產(chǎn)生的數(shù)據(jù)（系統(tǒng)日志和審計記 錄）來發(fā)現(xiàn)攻擊后的誤操作。錄）來發(fā)現(xiàn)攻擊后的誤操作。 優(yōu)點是能針對不同操作系統(tǒng)捕獲應(yīng)用層入侵，誤報優(yōu)點是能針對不同操作系統(tǒng)捕獲應(yīng)用層入侵，誤報 少；缺點是依賴于主機及其審計系統(tǒng)，實時性差。少；缺點是依賴于主機及其審計系統(tǒng)，實時性差。基于主機的入侵檢測系統(tǒng)基于主機的入侵檢測系統(tǒng)19基于主機入侵檢測系統(tǒng)工作原理基于主機入侵檢測系統(tǒng)工作原理20基于主機的入侵檢測系統(tǒng)結(jié)構(gòu)基于主機的入侵檢測系統(tǒng)結(jié)構(gòu)21基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入

15、侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS) NIDS的數(shù)據(jù)來源于網(wǎng)絡(luò)上的數(shù)據(jù)流的數(shù)據(jù)來源于網(wǎng)絡(luò)上的數(shù)據(jù)流 NIDS截獲網(wǎng)絡(luò)中的數(shù)據(jù)包，提取其特征并與知識庫截獲網(wǎng)絡(luò)中的數(shù)據(jù)包，提取其特征并與知識庫 中已知攻擊特征相比較，以進行攻擊辨識。中已知攻擊特征相比較，以進行攻擊辨識。 NIDS通常利用一個運行在隨機模式下的網(wǎng)絡(luò)適配器通常利用一個運行在隨機模式下的網(wǎng)絡(luò)適配器 來實時監(jiān)視并分析通過網(wǎng)絡(luò)的是數(shù)據(jù)流。來實時監(jiān)視并分析通過網(wǎng)絡(luò)的是數(shù)據(jù)流。22u基于網(wǎng)絡(luò)入侵檢測系統(tǒng)工作原理基于網(wǎng)絡(luò)入侵檢測系統(tǒng)工作原理23基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)結(jié)構(gòu)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)結(jié)構(gòu): 基于網(wǎng)絡(luò)的入侵檢

16、測系統(tǒng)由遍及網(wǎng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)由遍及網(wǎng)絡(luò)的絡(luò)的傳感器傳感器(Sensor)組成，傳感器會組成，傳感器會向向中央控制臺中央控制臺報告。報告。 傳感器通常是獨立的檢測引擎，能傳感器通常是獨立的檢測引擎，能獲得網(wǎng)絡(luò)分組、找尋誤用模式，然后獲得網(wǎng)絡(luò)分組、找尋誤用模式，然后告警。告警。2425一個網(wǎng)絡(luò)IDS: snort 常用的網(wǎng)絡(luò)入侵檢測分析工具 是一個基于簡單模式匹配的IDS 源碼開放，跨平臺(C語言編寫，可移植性好) 利用libpcap作為捕獲數(shù)據(jù)包的工具 擴展性好 標準的規(guī)則格式26snort有有三種工作模式三種工作模式：u 嗅探器嗅探器模式僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不模式僅僅是從

17、網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不 斷的流顯示在終端上。斷的流顯示在終端上。u 數(shù)據(jù)包記錄器數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。模式把數(shù)據(jù)包記錄到硬盤上。u 網(wǎng)絡(luò)入侵檢測網(wǎng)絡(luò)入侵檢測模式是最復(fù)雜的，而且是可設(shè)置的。我模式是最復(fù)雜的，而且是可設(shè)置的。我 們能讓們能讓snort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些 規(guī)則，并根據(jù)檢測結(jié)果采取一定的動作。規(guī)則，并根據(jù)檢測結(jié)果采取一定的動作。27IDS- snort28天闐黑客入侵檢測與預(yù)警系統(tǒng)天闐黑客入侵檢測與預(yù)警系統(tǒng)天闐網(wǎng)絡(luò)入侵檢測系統(tǒng)典型部署結(jié)構(gòu)圖天闐網(wǎng)絡(luò)入侵檢測系統(tǒng)典型部署結(jié)構(gòu)圖 29入侵防御系統(tǒng)入侵防御系統(tǒng) IDS只

18、能被動地檢測攻擊，而不能主動地把變化莫測的威脅阻止在網(wǎng)絡(luò)之只能被動地檢測攻擊，而不能主動地把變化莫測的威脅阻止在網(wǎng)絡(luò)之外。因此，人們迫切地需要找到一種主動入侵防護解決方案，以確保企業(yè)外。因此，人們迫切地需要找到一種主動入侵防護解決方案，以確保企業(yè)網(wǎng)絡(luò)在威脅四起的環(huán)境下正常運行。網(wǎng)絡(luò)在威脅四起的環(huán)境下正常運行。 入侵防御系統(tǒng)（入侵防御系統(tǒng)（Intrusion Prevention System或或Intrusion Detection Prevention，即，即IPS或或IDP）就應(yīng)運而生了。）就應(yīng)運而生了。IPS是一種智能化的入侵檢測和是一種智能化的入侵檢測和防御產(chǎn)品防御產(chǎn)品，它不但能，它不

19、但能檢測入侵檢測入侵的發(fā)生，而且能通過一定的響應(yīng)方式，的發(fā)生，而且能通過一定的響應(yīng)方式，實時實時地中止入侵行為地中止入侵行為的發(fā)生和發(fā)展，實時地保護信息系統(tǒng)不受實質(zhì)性的攻擊。的發(fā)生和發(fā)展，實時地保護信息系統(tǒng)不受實質(zhì)性的攻擊。IPS使得使得IDS和防火墻走向統(tǒng)一。和防火墻走向統(tǒng)一。 IDS以以關(guān)聯(lián)方式關(guān)聯(lián)方式部署在不同的服務(wù)器和網(wǎng)段上，先將服務(wù)器或網(wǎng)段上的流部署在不同的服務(wù)器和網(wǎng)段上，先將服務(wù)器或網(wǎng)段上的流量鏡像到網(wǎng)絡(luò)傳感器上，再通過量鏡像到網(wǎng)絡(luò)傳感器上，再通過IDS管理控制臺進行分析，如果發(fā)現(xiàn)入侵管理控制臺進行分析，如果發(fā)現(xiàn)入侵或攻擊，則會產(chǎn)生報警，或攻擊，則會產(chǎn)生報警， IPS 以以串聯(lián)的方

20、式串聯(lián)的方式部署在網(wǎng)絡(luò)的進出口處，像防部署在網(wǎng)絡(luò)的進出口處，像防火墻一樣，它對進出網(wǎng)絡(luò)的所有流量進行分析，當檢測到有入侵或攻擊企火墻一樣，它對進出網(wǎng)絡(luò)的所有流量進行分析，當檢測到有入侵或攻擊企圖后，會自動將相應(yīng)的數(shù)據(jù)包丟棄，或采取相應(yīng)的措施將攻擊源阻斷圖后，會自動將相應(yīng)的數(shù)據(jù)包丟棄，或采取相應(yīng)的措施將攻擊源阻斷。 30 IDS在網(wǎng)絡(luò)中的部署方式在網(wǎng)絡(luò)中的部署方式 IPS在網(wǎng)絡(luò)中的部署方式在網(wǎng)絡(luò)中的部署方式31基于主機的入侵防御基于主機的入侵防御 基于主機的入侵防御（基于主機的入侵防御（HIPS）通過在服務(wù)器等主機上安裝代理程序來防止）通過在服務(wù)器等主機上安裝代理程序來防止對主機的入侵和攻擊，保護服務(wù)器免受外部入侵或攻擊。對主機的入侵和攻擊，保護服務(wù)器免受外部入侵或攻擊。HIPS可以根據(jù)自定可以根據(jù)自定義的安全策略以及分析學(xué)習(xí)機制來阻斷對服務(wù)器等主機發(fā)起的惡意入侵，義的安全策略以及分析學(xué)習(xí)機制來阻斷對服務(wù)器等主機發(fā)起的惡意入侵，HIPS可以阻斷緩沖區(qū)溢出、更改登錄口令、改寫動態(tài)鏈接庫以及其他試圖獲可以阻斷緩沖區(qū)溢出、更改登錄口令、改寫動態(tài)鏈接庫以及其他試圖獲得操作系統(tǒng)入侵權(quán)的行為，加強了系統(tǒng)整體的