入侵檢測(cè)技術(shù)原理及應(yīng)用課件

1、入侵檢測(cè)技術(shù)原理及應(yīng)用入侵檢測(cè)技術(shù)原理及應(yīng)用入侵檢測(cè)技術(shù)原理及應(yīng)用主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型入侵檢測(cè)系統(tǒng)的發(fā)展歷史入侵檢測(cè)系統(tǒng)的原理2主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型入侵檢測(cè)系統(tǒng)的發(fā)展歷史入侵檢測(cè)系統(tǒng)的原理2主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型入侵檢測(cè)系統(tǒng)的發(fā)展歷史入侵檢測(cè)系統(tǒng)的原理3入侵及入侵檢測(cè)系統(tǒng)的定義入侵 繞過(guò)系統(tǒng)安全機(jī)制的非授權(quán)行為。 危害計(jì)算機(jī)、網(wǎng)絡(luò)的機(jī)密性、完整性和可用性或者繞過(guò)計(jì)算機(jī)、網(wǎng)絡(luò)的安全機(jī)制的嘗試。入侵通常是由從互聯(lián)網(wǎng)訪問(wèn)系統(tǒng)的攻擊者、或者試圖獲得額外或者更高的非法權(quán)限的授權(quán)用戶等引起的。入侵檢測(cè) 是一種對(duì)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)事件進(jìn)行監(jiān)測(cè)并分析這些入侵事件特征的過(guò)程。入侵檢測(cè)系

2、統(tǒng) 自動(dòng)進(jìn)行這種監(jiān)測(cè)和分析過(guò)程的軟件或硬件產(chǎn)品。4入侵檢測(cè)（Intrusion Detection），顧名思義，便是對(duì)入侵行為的發(fā)覺(jué)它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中得若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象入侵檢測(cè)系統(tǒng)（Intrusion Detection System,簡(jiǎn)稱IDS）是進(jìn)行入侵檢測(cè)的軟件與硬件的組合與其他安全產(chǎn)品不同的是，入侵檢測(cè)系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大的簡(jiǎn)化管理員的工作，保證網(wǎng)絡(luò)安全的運(yùn)行入侵檢測(cè)技術(shù)簡(jiǎn)介5監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)核查系統(tǒng)配置和漏洞

3、評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性識(shí)別已知的攻擊行為統(tǒng)計(jì)分析異常行為操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活動(dòng)實(shí)時(shí)通知入侵檢測(cè)系統(tǒng)的主要功能6IDS產(chǎn)品常見(jiàn)結(jié)構(gòu)控制臺(tái)CONSOLE傳感器SENSOR傳感器SENSOR傳感器SENSOR傳感器SENSOR傳感器SENSOR7IDWGIntrusion Detection Working GroupIDWG:入侵檢測(cè)工作組 /html.charters/idwg-charter.html目的：定義數(shù)據(jù)格式定義交換流程 輸出需求文件 公共入侵檢測(cè)語(yǔ)言規(guī)范 框架文件目前成果尚未形成正式標(biāo)準(zhǔn)，形成 4個(gè)草案8IDWG通用IDS模型 入侵檢測(cè)系統(tǒng)（ID

4、S） 一個(gè)或多個(gè)下列組建的組合：傳感器、分析器和管理器。 安全策略 預(yù)定義的、正式的成文的說(shuō)明，它定義了組織機(jī)構(gòu)內(nèi)網(wǎng)絡(luò)或特定主機(jī)上允許發(fā)生的目的為支持組織機(jī)構(gòu)要求的活動(dòng)。它包括但不限于下列活動(dòng)：哪一臺(tái)主機(jī)拒絕外部網(wǎng)絡(luò)訪問(wèn)等。IETF IDWG（Intrusion Detection Working Group）Draft：Intrusion Detection Message Exchange Requirements 9CIDFCommon Intrusion Detection Framework歷史 DARPA（Defense Advanced Research Projects Age

5、ncy）的Teresa Lunt女士提出 Stuart Staniford-Chen對(duì)CIDF概念進(jìn)行拓寬通用入侵檢測(cè)框架Common Intrusion Detection Framework體系結(jié)構(gòu)的IDS模塊 用于審計(jì)數(shù)據(jù)和數(shù)據(jù)傳送的規(guī)范 CIDF信息/cidf/spec/cidf.txt/gost/cidf/10 標(biāo)準(zhǔn)APIE 事件生成器 A 事件分析器 D 事件數(shù)據(jù)庫(kù) C 系統(tǒng)特定的控制器CIDF通用入侵檢測(cè)框架 標(biāo)準(zhǔn)接口 - 數(shù)據(jù)搜集、分析和響應(yīng)組件的互連框架 - 可擴(kuò)展的體系 - 核心技術(shù)的重用 - 方便技術(shù)轉(zhuǎn)讓 - 減少成本 IDS框架、分層通信、CISL語(yǔ)言、API11CVE

6、Common Vulnerabilities and ExposuresCVE：Common Vulnerabilities and Exposures是脆弱性和其他信息安全暴露的標(biāo)準(zhǔn)化名稱的列表CVE的目標(biāo)是標(biāo)準(zhǔn)化命名所有公共已知的脆弱性和安全暴露 網(wǎng)址：/ CVE是：A Dictionary, NOT a DatabaseA Community-Wide Effort Freely Available for Review or Download 以上內(nèi)容：/about/12入侵檢測(cè)系統(tǒng)概述功能入侵檢測(cè)是網(wǎng)絡(luò)防火墻的邏輯補(bǔ)充，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提供了安全審計(jì)、監(jiān)控、攻擊識(shí)別和

7、響應(yīng) 入侵檢測(cè)系統(tǒng)主要執(zhí)行功能：監(jiān)控和分析用戶和系統(tǒng)活動(dòng) 審計(jì)系統(tǒng)配置和脆弱性 評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性 識(shí)別活動(dòng)模式以反應(yīng)已知攻擊 統(tǒng)計(jì)分析異?；顒?dòng)模式 操作系統(tǒng)審計(jì)跟蹤管理，識(shí)別違反策略的用戶活動(dòng) 13主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型入侵檢測(cè)系統(tǒng)的發(fā)展歷史入侵檢測(cè)系統(tǒng)的原理14入侵檢測(cè)系統(tǒng)的歷史1980年James P. Anderson 可以使用審計(jì)記錄以標(biāo)識(shí)誤用 威脅分類的分類學(xué) 建議在審計(jì)子系統(tǒng)的基礎(chǔ)上進(jìn)行改進(jìn)以檢測(cè)誤用15入侵檢測(cè)系統(tǒng)的歷史1985 年SRI由美國(guó)海軍（SPAWAR）資助以建立Intrusion Detection Expert System(IDES)入侵檢測(cè)

8、專家系統(tǒng)（IDES） 的初步原型。 第一個(gè)系統(tǒng)中同時(shí)使用了statistical and rule-based基于統(tǒng)計(jì)和基于規(guī)則的方法。 16入侵檢測(cè)系統(tǒng)的歷史1986 年Dorothy Denning發(fā)表了“An Intrusion-Detection Model-一個(gè)入侵檢測(cè)的模型” ，入侵檢測(cè)領(lǐng)域開創(chuàng)性的工作。 基本的行為分析機(jī)制。 一些可能的實(shí)現(xiàn)系統(tǒng)的方法。17入侵檢測(cè)系統(tǒng)的歷史1989 年Todd Heberlien，California, Davis大學(xué)的一個(gè)學(xué)生寫了Network Security Monitor(NSM)網(wǎng)絡(luò)安全監(jiān)視器（NSM），系統(tǒng)設(shè)計(jì)用于捕獲TCP/IP包并

9、檢測(cè)異構(gòu)網(wǎng)絡(luò)中的異常行動(dòng)。 網(wǎng)絡(luò)入侵檢測(cè)誕生18入侵檢測(cè)系統(tǒng)的歷史1992 年計(jì)算機(jī)誤用檢測(cè)系統(tǒng)（CMDS）Computer Misuse Detection System(CMDS) Screen Application International Corporation(SAIC) 基于在海軍報(bào)告調(diào)查中完成的工作 Stalker （ Haystack Labs. ）基于為空軍完成的原Haystack工作，第一個(gè)商業(yè)化的主機(jī)IDS，用于UNIX19入侵檢測(cè)系統(tǒng)的歷史1994 年A group of researchers at the 空軍加密支持中心（Air Force Cryptolog

10、ical Support Center）的一組研究人員創(chuàng)建了魯棒的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，ASIM，廣泛用于空軍。 來(lái)自于一家商業(yè)化公司 Wheelgroup的開發(fā)人員開始商業(yè)化網(wǎng)絡(luò)入侵檢測(cè)技術(shù)。20入侵檢測(cè)系統(tǒng)的歷史1997 年 Cisco收購(gòu)了 Wheelgroup并開始將網(wǎng)絡(luò)入侵檢測(cè)加入路由器中。 Internet Security Systems發(fā)布了 Realsecure，Windows NT的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。 開始了網(wǎng)絡(luò)入侵檢測(cè)的革命。21入侵檢測(cè)系統(tǒng)的歷史1998 年 Centrax公司發(fā)布了 eNTrax，用于Windows NT的分布主機(jī)入侵檢測(cè)系統(tǒng) Centrax是由CMDS的

11、開發(fā)人員組成，后來(lái)加入了建立Stalker的技術(shù)隊(duì)伍。 22主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型入侵檢測(cè)系統(tǒng)的發(fā)展歷史入侵檢測(cè)系統(tǒng)的原理23入侵檢測(cè)產(chǎn)品分類按技術(shù)特征檢測(cè)異常檢測(cè)按監(jiān)測(cè)對(duì)象網(wǎng)絡(luò)入侵檢測(cè) ( NIDS )主機(jī)入侵檢測(cè) ( HIDS )24特征檢測(cè)Signature-based detection原理：假設(shè)入侵者活動(dòng)可以用一種模式來(lái)表示系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。特征檢測(cè)可以將已有的入侵方法檢查出來(lái)，但對(duì)新的入侵方法無(wú)能為力。難點(diǎn)：如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來(lái)。常用方法： 模式匹配。25異常檢測(cè) Anomaly detection原理假設(shè)入侵

12、者活動(dòng)異常于正常主體的活動(dòng)念建立主體正?；顒?dòng)的“活動(dòng)簡(jiǎn)檔”將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比當(dāng)違反統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為難點(diǎn)異常檢測(cè)的難題在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。常用方法概率統(tǒng)計(jì)。26NIDS大多數(shù)入侵檢測(cè)廠商采用的產(chǎn)品形式。 通過(guò)捕獲和分析網(wǎng)絡(luò)包來(lái)探測(cè)攻擊。網(wǎng)絡(luò)入侵檢測(cè)可以在網(wǎng)段或者交換機(jī)上進(jìn)行監(jiān)聽(tīng)，來(lái)檢測(cè)對(duì)連接在網(wǎng)段上的多個(gè)主機(jī)有影響的網(wǎng)絡(luò)通訊，從而保護(hù)那些主機(jī)。 27網(wǎng)絡(luò)入侵檢測(cè)優(yōu)點(diǎn)網(wǎng)絡(luò)通信檢測(cè)能力NIDS能夠檢測(cè)那些來(lái)自網(wǎng)絡(luò)的攻擊它能夠檢測(cè)到超過(guò)授權(quán)的非法訪問(wèn)對(duì)正常業(yè)務(wù)影響少NIDS不需

13、要改變服務(wù)器等主機(jī)的配置由于它不會(huì)在業(yè)務(wù)系統(tǒng)中的主機(jī)中安裝額外的軟件從而不會(huì)影響這些機(jī)器的CPU、I/O與磁盤等資源的使用不會(huì)影響業(yè)務(wù)系統(tǒng)的性能28網(wǎng)絡(luò)入侵檢測(cè)優(yōu)點(diǎn)布署風(fēng)險(xiǎn)小NIDS不像路由器、防火墻等關(guān)鍵設(shè)備方式工作它不會(huì)成為系統(tǒng)中的關(guān)鍵路徑NIDS發(fā)生故障不會(huì)影響正常業(yè)務(wù)的運(yùn)行布署NIDS的風(fēng)險(xiǎn)比HIDS的風(fēng)險(xiǎn)來(lái)得少得多定制設(shè)備，安裝簡(jiǎn)單NIDS近年內(nèi)有向?qū)ｉT的設(shè)備發(fā)展的趨勢(shì)安裝NIDS系統(tǒng)非常方便只需將定制的備接上電源，做很少一些配置，將其接上網(wǎng)絡(luò)即可29網(wǎng)絡(luò)入侵檢測(cè)弱點(diǎn)共享網(wǎng)段的局限NIDS只檢查它直接連接網(wǎng)段的通信NIDS不能監(jiān)測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包交換以太網(wǎng)環(huán)境中就會(huì)出現(xiàn)它的監(jiān)測(cè)范圍

14、的局限多傳感器系統(tǒng)會(huì)使布署成本增加性能局限NIDS為了性能目標(biāo)通常采用特征檢測(cè)的方法它可以高效地檢測(cè)出普通的一些攻擊實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測(cè)時(shí)，對(duì)硬件處理能力要求較高30網(wǎng)絡(luò)入侵檢測(cè)弱點(diǎn)中央分析與大數(shù)據(jù)流量的矛盾NIDS可能會(huì)將大量的數(shù)據(jù)傳回分析系統(tǒng)中，會(huì)產(chǎn)生大量的分析數(shù)據(jù)流量采用以下方法可減少回傳的數(shù)據(jù)量：對(duì)入侵判斷的決策由傳感器實(shí)現(xiàn)，而中央控制臺(tái)成為狀態(tài)顯示與通信中心，不再作為入侵行為分析器這樣的系統(tǒng)中的傳感器協(xié)同工作能力較弱31網(wǎng)絡(luò)入侵檢測(cè)弱點(diǎn)加密通信NIDS處理加密的會(huì)話過(guò)程時(shí)，會(huì)參與解密操作目前通過(guò)加密通道的攻擊尚不多隨著IPv6的普及，這個(gè)問(wèn)題會(huì)越來(lái)越突出32

15、HIDS基于主機(jī)的入侵檢測(cè)產(chǎn)品（HIDS）通常是安裝在被重點(diǎn)檢測(cè)的主機(jī)之上。 主要是對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。如果其中主體活動(dòng)十分可疑(特征或違反統(tǒng)計(jì)規(guī)律)，入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施。 33主機(jī)入侵檢測(cè)優(yōu)點(diǎn)入侵行為分析能力HIDS對(duì)分析“可能的攻擊行為”非常有用除了指出入侵者試圖執(zhí)行一些“危險(xiǎn)的命令”之外還能分辨出入侵者干了什么事：運(yùn)行了什么程序、打開了哪些文件、執(zhí)行了哪些系統(tǒng)調(diào)用HIDS比NIDS能夠提供更詳盡的相關(guān)信息誤報(bào)率低HIDS通常情況下比NIDS誤報(bào)率要低34主機(jī)入侵檢測(cè)優(yōu)點(diǎn)復(fù)雜性小因?yàn)楸O(jiān)測(cè)在主機(jī)上運(yùn)行的命令序列比監(jiān)測(cè)網(wǎng)絡(luò)流來(lái)得簡(jiǎn)單網(wǎng)絡(luò)通信要求低

16、可布署在那些不需要廣泛的入侵檢測(cè)傳感器與控制臺(tái)之間的通信帶寬不足的情況下布署風(fēng)險(xiǎn)HIDS在不使用諸如“停止服務(wù)” 、“注銷用戶”等響應(yīng)方法時(shí)風(fēng)險(xiǎn)較少35主機(jī)入侵檢測(cè)弱點(diǎn)影響保護(hù)目標(biāo)HIDS安裝在需要保護(hù)的設(shè)備上可能會(huì)降低應(yīng)用系統(tǒng)的效率帶來(lái)一些額外的安全問(wèn)題如：安裝了HIDS后，將本不允許安全管理員有權(quán)力訪問(wèn)的服務(wù)器變成他可以訪問(wèn)的了服務(wù)器依賴性依賴于服務(wù)器固有的日志與監(jiān)視能力。如果服務(wù)器沒(méi)有配置日志功能，則必需重新配置，這將會(huì)給運(yùn)行中的業(yè)務(wù)系統(tǒng)帶來(lái)不可預(yù)見(jiàn)的性能影響36主機(jī)入侵檢測(cè)弱點(diǎn)全面布署代價(jià)與主機(jī)盲點(diǎn)全面布署主機(jī)入侵檢測(cè)系統(tǒng)代價(jià)較大若選擇部分主機(jī)保護(hù)那些未裝HIDS的機(jī)器將成為保護(hù)的盲點(diǎn)

17、入侵者可利用這些機(jī)器達(dá)到攻擊目標(biāo)工作量隨主機(jī)數(shù)目線性增加HIDS主機(jī)入侵檢測(cè)系統(tǒng)除了監(jiān)測(cè)自身的主機(jī)以外根本不監(jiān)測(cè)網(wǎng)絡(luò)上的情況對(duì)入侵行為的分析的工作量將隨著主機(jī)數(shù)目增加而增加37實(shí)時(shí)分析的方法實(shí)時(shí)系統(tǒng)可以不間斷地提供信息收集、分析和匯報(bào)，實(shí)時(shí)系統(tǒng)提供了多種實(shí)時(shí)報(bào)警，并對(duì)攻擊自動(dòng)做出反應(yīng)事后分析的方法 在事后分析的方法中，入侵檢測(cè)系統(tǒng)將事件信息的記錄到文件中，并且由入侵檢測(cè)系統(tǒng)在事后對(duì)這些文件進(jìn)行分析，找出入侵或誤用的特征 IDS信息的收集和分析的時(shí)間38改變被攻擊系統(tǒng)的環(huán)境斷開進(jìn)攻者使用的連接 重新配置網(wǎng)絡(luò)設(shè)施這種響應(yīng)機(jī)制可讓系統(tǒng)管理員在職權(quán)范圍內(nèi)采取主動(dòng)措施，使被檢測(cè)到的攻擊造成的損失最小化實(shí)

18、時(shí)通知 即時(shí)發(fā)送的與事件有關(guān)的信息，通知重要人員電子郵件、尋呼機(jī)、手機(jī)短消息、傳真等對(duì)誤用或入侵的響應(yīng)39入侵檢測(cè)技術(shù)發(fā)展方向高速網(wǎng)絡(luò)的數(shù)據(jù)分析能力分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu) 智能的入侵檢測(cè) 入侵檢測(cè)的評(píng)測(cè)方法與其它網(wǎng)絡(luò)安全技術(shù)相結(jié)合 40使用網(wǎng)絡(luò)協(xié)處理器提高處理能力41收到報(bào)警攻擊檢測(cè)主動(dòng)響應(yīng)產(chǎn)生臨時(shí)阻擋策略內(nèi)部違規(guī)用戶攻擊報(bào)警、記錄阻斷入侵行為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)工作流程N(yùn)IDS控制臺(tái)42NIDS傳感器的部署位置Internet 路由器防火墻核心交換機(jī)Web 服務(wù)器電子郵件服務(wù)器FTP 服務(wù)器DMZ公共服務(wù)網(wǎng)管服務(wù)內(nèi)部服務(wù)辦公區(qū)辦公自動(dòng)化數(shù)據(jù)庫(kù)辦公用戶辦公用戶辦公用戶IDS管

19、理中心部署位置 1 優(yōu)點(diǎn)：記錄源自于互聯(lián)網(wǎng)目標(biāo)為本地網(wǎng)絡(luò)的攻擊次數(shù)記錄源自于互聯(lián)網(wǎng)目標(biāo)為本地網(wǎng)絡(luò)的攻擊類型部署位置 2 優(yōu)點(diǎn)：查看源自于外部穿透網(wǎng)絡(luò)邊界防護(hù)的攻擊重點(diǎn)關(guān)注網(wǎng)絡(luò)防火墻策略和性能的問(wèn)題查看目標(biāo)針對(duì)于DMZ區(qū)中Web/郵件等服務(wù)器的攻擊即使不能識(shí)別入攻擊，有時(shí)識(shí)別被攻擊后返回的流量部署位置 4 優(yōu)點(diǎn)：檢測(cè)對(duì)關(guān)鍵系統(tǒng)和資源的攻擊將有限資源集中在被認(rèn)為具有最大價(jià)值的網(wǎng)絡(luò)資產(chǎn)上部署位置 3 優(yōu)點(diǎn)：監(jiān)控大量的網(wǎng)絡(luò)流量，增加定位攻擊的可能性檢測(cè)組織機(jī)構(gòu)安全邊界內(nèi)部的授權(quán)人員的非授權(quán)活動(dòng)43NIDS傳感器的部署方法NIDS傳感器的監(jiān)聽(tīng)端口共享環(huán)境：Hub交換環(huán)境Span/Mirror Port分接器（Tap）44NIDS傳感器的部署方法-共享介質(zhì)IDS 傳感器控制臺(tái)Internet 路由器防火墻核心交換機(jī)Web 服務(wù)器電子郵件服務(wù)器FTP 服務(wù)器DMZ公共服務(wù)公司內(nèi)網(wǎng)Hub45NIDS傳感