全套電子課件：入侵檢測技術(shù)

1、第1章 入侵檢測概述目 錄1.1 入侵檢測簡介1.2 入侵檢測系統(tǒng)在信息安全中的地位1.3 入侵檢測系統(tǒng)的基本原理與工作模式1.4 入侵檢測的分類1.5 常用入侵檢測方法1.1 入侵檢測簡介 因特網(wǎng)是全球信息共享的基礎(chǔ)設(shè)施，是一種開放和面向所有用戶的技術(shù)。一方面要保證信息方便、快捷的共享，另一方面要防止垃圾、惡意信息的傳播。 根據(jù)CNNIC在2007年1月的第19次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告統(tǒng)計(jì)，中國網(wǎng)民總?cè)藬?shù)為13700萬人。這期中僅有8.4%的網(wǎng)民對于網(wǎng)絡(luò)內(nèi)容的建康性非常滿意。也就是說有91.6%的中國網(wǎng)民(12550萬人)都或多或少的對于網(wǎng)絡(luò)的建康性不滿意。網(wǎng)上的入侵事件時(shí)有發(fā)生。1.

2、1 入侵檢測簡介 圖中所示為CERT/CC統(tǒng)計(jì)到的近年來信息安全事件分析，1998年到2003年安全事件增加了23倍(1998年為3734次， 2003年為127 529次)。1.1 入侵檢測簡介 Anderson在1980年給出了入侵的定義:入侵是指在非授權(quán)的情況下，試圖存取信息、處理信息或破壞系統(tǒng)以使系統(tǒng)不可靠、不可用的故意行為。 本書中的入侵是個(gè)廣義的概念，不僅包括被發(fā)起攻擊的人（如惡意的黑客）取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕訪問（Denial of Service）等對計(jì)算機(jī)系統(tǒng)造成危害的行為。什么是入侵檢測 入侵檢測（Intrusion Detection）

3、，顧名思義，就是對入侵行為的發(fā)覺。它通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測的發(fā)展歷史1. 概念的誕生1980年4月，James P. Anderson為美國空軍做了一份題為計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視（Computer Security Threat Monitoring and Surveillance）的技術(shù)報(bào)告，第一次詳細(xì)闡述了入侵檢測的概念。他提出了一種對計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類方法，并將威脅分為外部滲透、內(nèi)部滲透和不法行為3種，還提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想。這份報(bào)告被公認(rèn)為是入

4、侵檢測的開山之作。入侵檢測的發(fā)展歷史2. 模型的發(fā)展19841986年，喬治敦大學(xué)的Dorothy Denning和SRI/CSL（SRI公司計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室）的Peter Neumann研究出了一個(gè)實(shí)時(shí)入侵檢測系統(tǒng)模型，取名為入侵檢測專家系統(tǒng)（IDES）。該模型由6個(gè)部分組成：主體、對象、審計(jì)記錄、輪廓特征、異常記錄、活動(dòng)規(guī)則。它獨(dú)立于特定的系統(tǒng)平臺(tái)、應(yīng)用環(huán)境、系統(tǒng)弱點(diǎn)以及入侵類型，為構(gòu)建入侵檢測系統(tǒng)提供了一個(gè)通用的框架。入侵檢測的發(fā)展歷史1988年，SRI/CSL的Teresa Lunt等人改進(jìn)了Denning的入侵檢測模型，并開發(fā)出了一個(gè)IDES。入侵檢測的發(fā)展歷史3. 百花齊放的春天1

5、990年是入侵檢測系統(tǒng)發(fā)展史上的一個(gè)分水嶺。這一年，加州大學(xué)戴維斯分校的L. T. Heberlein等人開發(fā)出了NSM（Network Security Monitor）。該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)。從此之后，入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS兩大陣營正式形成。入侵檢測的發(fā)展歷史3. 百花齊放的春天入侵檢測系統(tǒng)的作用 (1) 通過檢測和記錄網(wǎng)絡(luò)中的安全違規(guī)行為，懲罰網(wǎng)絡(luò)犯罪，防止網(wǎng)絡(luò)入侵事件的發(fā)生；(2) 檢測其它安全措施未能阻止的攻擊或安全違規(guī)行為；(3) 檢測黑客在攻擊前的探測行為，

6、預(yù)先給管理員發(fā)出警報(bào)；(4) 報(bào)告計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅；(5) 提供有關(guān)攻擊的信息，幫助管理員診斷網(wǎng)絡(luò)中存在的安全弱點(diǎn)，利于其進(jìn)行修補(bǔ)；(6) 在大型、復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)中布置入侵檢測系統(tǒng)，可以顯著提高網(wǎng)絡(luò)安全管理的質(zhì)量。1.2 入侵檢測系統(tǒng)在信息安全中的地位P2DR2安全模型與入侵檢測系統(tǒng)關(guān)系 目前普遍采用動(dòng)態(tài)網(wǎng)絡(luò)安全理論來確保網(wǎng)絡(luò)系統(tǒng)的安全,這種理論就是基于P2DR2 安全模型的動(dòng)態(tài)信息安全理論。P2DR2 模型是在整體的安全策略( Policy) 的控制和指導(dǎo)下,在綜合運(yùn)用防護(hù)工具(Protection ,如防火墻、操作系統(tǒng)身份認(rèn)證、加密等手段) 的同時(shí),利用檢測工具(Dete

7、ction ,如漏洞評估、入侵檢測等系統(tǒng)) 了解和評估系統(tǒng)的安全狀態(tài),通過適當(dāng)?shù)捻憫?yīng)(Response) 將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)。防護(hù)、檢測和響應(yīng)組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)。傳統(tǒng)安全技術(shù)的局限性(1) 防火墻無法阻止內(nèi)部人員所做的攻擊防火墻保護(hù)的是網(wǎng)絡(luò)邊界安全，對在網(wǎng)絡(luò)內(nèi)部所發(fā)生的攻擊行為無能為力，而據(jù)調(diào)查，網(wǎng)絡(luò)攻擊事件有80%以上是由內(nèi)部人員所為。(2) 防火墻對信息流的控制缺乏靈活性防火墻是依據(jù)管理員定義的過濾規(guī)則對進(jìn)出網(wǎng)絡(luò)的信息流進(jìn)行過濾和控制的。如果規(guī)則定義過于嚴(yán)格，則限制了網(wǎng)絡(luò)的互連互通；如果規(guī)則定義過于寬松，則又帶來了安全隱患。防火墻自身無法根據(jù)情況的變化

8、進(jìn)行自我調(diào)整。傳統(tǒng)安全技術(shù)的局限性 (3) 在攻擊發(fā)生后，利用防火墻保存的信息難以調(diào)查和取證在攻擊發(fā)生后，能夠進(jìn)行調(diào)查和取證，將罪犯繩之以法，是威懾網(wǎng)絡(luò)罪犯、確保網(wǎng)絡(luò)秩序的重要手段。防火墻由于自身的功能所限，難以識(shí)別復(fù)雜的網(wǎng)絡(luò)攻擊并保存相關(guān)的信息。1.3 入侵檢測系統(tǒng)的基本原理與工作模式1.3.1 入侵檢測系統(tǒng)的基本原理入侵檢測系統(tǒng)基本的工作原理如圖1.5所示。主要分為四個(gè)階段：數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)分析和響應(yīng)處理。1.3 入侵檢測系統(tǒng)的基本原理與工作模式(1) 數(shù)據(jù)收集：數(shù)據(jù)收集是入侵檢測的基礎(chǔ)，通過不同途徑收集的數(shù)據(jù)，很可能需要采用不同的方法進(jìn)行分析。目前的數(shù)據(jù)主要有主機(jī)日志、網(wǎng)絡(luò)數(shù)據(jù)包

9、、應(yīng)用程序數(shù)據(jù)、防火墻日志等。(2) 數(shù)據(jù)處理：數(shù)據(jù)收集過程中得到的原始數(shù)據(jù)量一般非常大，而且還存在噪聲。為了全球下一步的分析，需要從原始數(shù)據(jù)中去除冗余、噪聲，并且進(jìn)行格式化及標(biāo)準(zhǔn)化處理。(3) 數(shù)據(jù)分析：采用統(tǒng)計(jì)、智能算法行裝方法分析經(jīng)過初步處理的數(shù)據(jù)，檢查數(shù)據(jù)是否正常，或顯示存在入侵。(4) 響應(yīng)處理：當(dāng)發(fā)現(xiàn)入侵時(shí)，采取措施進(jìn)行防護(hù)、保留入侵證據(jù)及通知管理人員。常用的措施包括切斷網(wǎng)絡(luò)連接、記錄日志、通過電子郵件或電話通知等。入侵檢測系統(tǒng)的基本工作模式入侵檢測系統(tǒng)的基本工作模式為：(1)從系統(tǒng)的不同環(huán)節(jié)收集信息；(2)分析該信息，試圖尋找入侵活動(dòng)的特征；(3)自動(dòng)對檢測到的行為做出響應(yīng)；(4

10、)紀(jì)錄并報(bào)告檢測過程結(jié)果。如圖1.6所示。 入侵檢測的分類 入侵根據(jù)入侵檢測技術(shù)分類 根據(jù)入侵檢測系統(tǒng)所采用的技術(shù)可分為特征誤用檢測、異常檢測和協(xié)議分析三種。(1) 誤用檢測誤用檢測(Misuse detection) 又稱為特征檢測(Signature-based detection)，這一檢測假設(shè)入侵者活動(dòng)可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測主體活動(dòng)是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來。根據(jù)入侵檢測技術(shù)分類 (2) 異常檢測異常檢測(Anomaly detection)的假設(shè)是入

11、侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一理念建立主體正?；顒?dòng)的“活動(dòng)簡檔”，將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡檔”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為。異常檢測的難題在于如何建立“活動(dòng)簡檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。根據(jù)入侵檢測技術(shù)分類 (3) 協(xié)議分析 協(xié)議分析是在傳統(tǒng)模式匹配技術(shù)基礎(chǔ)之上發(fā)展起來的一種新的入侵檢測技術(shù)。它充分利用了網(wǎng)絡(luò)協(xié)議的高度有序性，并結(jié)合了高速數(shù)據(jù)包捕捉、協(xié)議分析和命令解析，來快速檢測某個(gè)攻擊特征是否存在，這種技術(shù)正逐漸進(jìn)入成熟應(yīng)用階段。協(xié)議分析大大減少了計(jì)算量，即使在高負(fù)載的高速網(wǎng)絡(luò)上，也能逐個(gè)分析所有

12、的數(shù)據(jù)包。根據(jù)入侵檢測數(shù)據(jù)來源分類 (1) 基于主機(jī)的入侵檢測系統(tǒng)(HIDS，Host-based Intrusion Detection System) 基于主機(jī)的入侵檢測系統(tǒng)通常是安裝在被保護(hù)的主機(jī)上，主要是對該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行分析和檢查，當(dāng)發(fā)現(xiàn)可疑行為和安全違規(guī)事件時(shí)，系統(tǒng)就會(huì)向管理員報(bào)警，以便采取措施。根據(jù)入侵檢測數(shù)據(jù)來源分類 (3) 混合入侵檢測基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品和基于主機(jī)的入侵檢測產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會(huì)造成主動(dòng)防御體系不全面。但是，它們的缺憾是互補(bǔ)的。如果這兩類產(chǎn)品能夠無縫結(jié)合起來部署在網(wǎng)絡(luò)內(nèi)，則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系，綜合了基于

13、網(wǎng)絡(luò)和基于主機(jī)兩種結(jié)構(gòu)特點(diǎn)的入侵檢測系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。根據(jù)入侵檢測數(shù)據(jù)來源分類 (4) 文件完整性檢查文件完整性檢查系統(tǒng)檢查計(jì)算機(jī)中自上次檢查后文件變化情況。文件完整性檢查系統(tǒng)保存有每個(gè)文件的數(shù)字文摘數(shù)據(jù)庫，每次檢查時(shí)，它重新計(jì)算文件的數(shù)字文摘并將它與數(shù)據(jù)庫中的值相比較，如不同，則文件已被修改，若相同，文件則未發(fā)生變化。根據(jù)入侵檢測體系結(jié)構(gòu)分類 (1) 集中式入侵檢測系統(tǒng)集中式IDS有多個(gè)分布在不同主機(jī)上的審計(jì)程序，僅有一個(gè)中央入侵檢測服務(wù)器。審計(jì)程序?qū)?dāng)?shù)厥占降臄?shù)據(jù)蹤跡發(fā)送給中央服務(wù)器進(jìn)行分析處理。隨著服務(wù)器所承載的主機(jī)數(shù)量的增多，中央服務(wù)器進(jìn)行

14、分析處理的數(shù)量就會(huì)猛增，而且一旦服務(wù)器遭受攻擊，整個(gè)系統(tǒng)就會(huì)崩潰。 根據(jù)入侵檢測體系結(jié)構(gòu)分類 (2) 等級式（分層式）入侵檢測系統(tǒng) 等級式IDS(也叫分層式)中定義了若干個(gè)等級的監(jiān)控區(qū)域，每個(gè)IDS負(fù)責(zé)一個(gè)區(qū)域，每一級IDS只負(fù)責(zé)所監(jiān)控區(qū)的分析，然后將當(dāng)?shù)氐姆治鼋Y(jié)果傳送給上一級IDS。等級式IDS也存在一些問題：首先，當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)改變時(shí)，區(qū)域分析結(jié)果的匯總機(jī)制也需要做相應(yīng)的調(diào)整；其次，這種結(jié)構(gòu)的IDS最后還是要將各地收集的結(jié)果傳送到最高級的檢測服務(wù)器進(jìn)行全局分析，所以系統(tǒng)的安全性并沒有實(shí)質(zhì)性的改進(jìn)。根據(jù)入侵檢測體系結(jié)構(gòu)分類(3) 分布式（協(xié)作式）入侵檢測系統(tǒng) 分布式IDS是將中央檢測服務(wù)器的

15、任務(wù)分配給多個(gè)基于主機(jī)的IDS，這些IDS不分等級，各司其職，負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)的某些活動(dòng)。所以，其可伸縮性、安全性都等到了顯著的提高，并且與集中式IDS相比，分布式IDS對基于網(wǎng)絡(luò)的共享數(shù)據(jù)量的要求較低。但維護(hù)成本卻提高了很多，并且增加了所監(jiān)控主機(jī)的工作負(fù)荷，如通信機(jī)制、審計(jì)開銷、蹤跡分析等。根據(jù)入侵檢測系統(tǒng)時(shí)效性分類根據(jù)時(shí)效性，入侵檢測系統(tǒng)可以分為脫機(jī)分析入侵檢測系統(tǒng)、聯(lián)機(jī)分析入侵檢測系統(tǒng)。(1) 脫機(jī)分析：就是在行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進(jìn)行分析，而不是在行為發(fā)生時(shí)進(jìn)行分析。如對日志的審核、對系統(tǒng)文件的完整性檢查等。(2) 聯(lián)機(jī)分析：就是在數(shù)據(jù)產(chǎn)生或者發(fā)生改變的同時(shí)對其進(jìn)行檢查，以發(fā)現(xiàn)攻擊行為，這種方式一般用于對網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)分析，并且對系統(tǒng)資源要求比較高。常用入侵檢測方法 (1) 誤用檢測誤用檢測對已知的攻擊或入侵的方式做出確定性的描述，形成相應(yīng)的事件模式。當(dāng)被審計(jì)的事件與已知的入侵事件模式相匹配時(shí)，即報(bào)警。原理上與專家系統(tǒng)相仿。其檢測方法上與計(jì)算機(jī)病毒的檢測方式類似。目前基于對包特征描述的模式匹配應(yīng)用較為廣泛。該方法預(yù)報(bào)檢測的準(zhǔn)確率較高，但對于無經(jīng)驗(yàn)知識(shí)的入侵與攻擊行為無能為力。常用入侵檢測方法 (2) 統(tǒng)計(jì)檢測統(tǒng)計(jì)模型常用異常檢測，在統(tǒng)計(jì)模型中常用的測量參數(shù)包括：審計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等。常用入侵檢測方法 (3) 專家系統(tǒng)用專家系統(tǒng)對