入侵檢測技術(shù)原理及應(yīng)用課件

1、入侵檢測技術(shù)原理及應(yīng)用入侵檢測技術(shù)原理及應(yīng)用入侵檢測技術(shù)原理及應(yīng)用主要內(nèi)容入侵檢測系統(tǒng)定義和模型入侵檢測系統(tǒng)的發(fā)展歷史入侵檢測系統(tǒng)的原理2主要內(nèi)容入侵檢測系統(tǒng)定義和模型入侵檢測系統(tǒng)的發(fā)展歷史入侵檢測系統(tǒng)的原理2主要內(nèi)容入侵檢測系統(tǒng)定義和模型入侵檢測系統(tǒng)的發(fā)展歷史入侵檢測系統(tǒng)的原理3入侵及入侵檢測系統(tǒng)的定義入侵 繞過系統(tǒng)安全機制的非授權(quán)行為。 危害計算機、網(wǎng)絡(luò)的機密性、完整性和可用性或者繞過計算機、網(wǎng)絡(luò)的安全機制的嘗試。入侵通常是由從互聯(lián)網(wǎng)訪問系統(tǒng)的攻擊者、或者試圖獲得額外或者更高的非法權(quán)限的授權(quán)用戶等引起的。入侵檢測 是一種對計算機系統(tǒng)或網(wǎng)絡(luò)事件進(jìn)行監(jiān)測并分析這些入侵事件特征的過程。入侵檢測系

2、統(tǒng) 自動進(jìn)行這種監(jiān)測和分析過程的軟件或硬件產(chǎn)品。4入侵檢測（Intrusion Detection），顧名思義，便是對入侵行為的發(fā)覺它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中得若干關(guān)鍵點收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象入侵檢測系統(tǒng)（Intrusion Detection System,簡稱IDS）是進(jìn)行入侵檢測的軟件與硬件的組合與其他安全產(chǎn)品不同的是，入侵檢測系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個合格的入侵檢測系統(tǒng)能大大的簡化管理員的工作，保證網(wǎng)絡(luò)安全的運行入侵檢測技術(shù)簡介5監(jiān)測并分析用戶和系統(tǒng)的活動核查系統(tǒng)配置和漏洞

3、評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性識別已知的攻擊行為統(tǒng)計分析異常行為操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動實時通知入侵檢測系統(tǒng)的主要功能6IDS產(chǎn)品常見結(jié)構(gòu)控制臺CONSOLE傳感器SENSOR傳感器SENSOR傳感器SENSOR傳感器SENSOR傳感器SENSOR7IDWGIntrusion Detection Working GroupIDWG:入侵檢測工作組 /html.charters/idwg-charter.html目的：定義數(shù)據(jù)格式定義交換流程 輸出需求文件 公共入侵檢測語言規(guī)范 框架文件目前成果尚未形成正式標(biāo)準(zhǔn)，形成 4個草案8IDWG通用IDS模型 入侵檢測系統(tǒng)（ID

4、S） 一個或多個下列組建的組合：傳感器、分析器和管理器。 安全策略 預(yù)定義的、正式的成文的說明，它定義了組織機構(gòu)內(nèi)網(wǎng)絡(luò)或特定主機上允許發(fā)生的目的為支持組織機構(gòu)要求的活動。它包括但不限于下列活動：哪一臺主機拒絕外部網(wǎng)絡(luò)訪問等。IETF IDWG（Intrusion Detection Working Group）Draft：Intrusion Detection Message Exchange Requirements 9CIDFCommon Intrusion Detection Framework歷史 DARPA（Defense Advanced Research Projects Age

5、ncy）的Teresa Lunt女士提出 Stuart Staniford-Chen對CIDF概念進(jìn)行拓寬通用入侵檢測框架Common Intrusion Detection Framework體系結(jié)構(gòu)的IDS模塊 用于審計數(shù)據(jù)和數(shù)據(jù)傳送的規(guī)范 CIDF信息/cidf/spec/cidf.txt/gost/cidf/10 標(biāo)準(zhǔn)APIE 事件生成器 A 事件分析器 D 事件數(shù)據(jù)庫 C 系統(tǒng)特定的控制器CIDF通用入侵檢測框架 標(biāo)準(zhǔn)接口 - 數(shù)據(jù)搜集、分析和響應(yīng)組件的互連框架 - 可擴展的體系 - 核心技術(shù)的重用 - 方便技術(shù)轉(zhuǎn)讓 - 減少成本 IDS框架、分層通信、CISL語言、API11CVE

6、Common Vulnerabilities and ExposuresCVE：Common Vulnerabilities and Exposures是脆弱性和其他信息安全暴露的標(biāo)準(zhǔn)化名稱的列表CVE的目標(biāo)是標(biāo)準(zhǔn)化命名所有公共已知的脆弱性和安全暴露 網(wǎng)址：/ CVE是：A Dictionary, NOT a DatabaseA Community-Wide Effort Freely Available for Review or Download 以上內(nèi)容：/about/12入侵檢測系統(tǒng)概述功能入侵檢測是網(wǎng)絡(luò)防火墻的邏輯補充，擴展了系統(tǒng)管理員的安全管理能力，提供了安全審計、監(jiān)控、攻擊識別和

7、響應(yīng) 入侵檢測系統(tǒng)主要執(zhí)行功能：監(jiān)控和分析用戶和系統(tǒng)活動 審計系統(tǒng)配置和脆弱性 評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性 識別活動模式以反應(yīng)已知攻擊 統(tǒng)計分析異?；顒幽Ｊ?操作系統(tǒng)審計跟蹤管理，識別違反策略的用戶活動 13主要內(nèi)容入侵檢測系統(tǒng)定義和模型入侵檢測系統(tǒng)的發(fā)展歷史入侵檢測系統(tǒng)的原理14入侵檢測系統(tǒng)的歷史1980年James P. Anderson 可以使用審計記錄以標(biāo)識誤用 威脅分類的分類學(xué) 建議在審計子系統(tǒng)的基礎(chǔ)上進(jìn)行改進(jìn)以檢測誤用15入侵檢測系統(tǒng)的歷史1985 年SRI由美國海軍（SPAWAR）資助以建立Intrusion Detection Expert System(IDES)入侵檢測

8、專家系統(tǒng)（IDES） 的初步原型。 第一個系統(tǒng)中同時使用了statistical and rule-based基于統(tǒng)計和基于規(guī)則的方法。 16入侵檢測系統(tǒng)的歷史1986 年Dorothy Denning發(fā)表了“An Intrusion-Detection Model-一個入侵檢測的模型” ，入侵檢測領(lǐng)域開創(chuàng)性的工作。 基本的行為分析機制。 一些可能的實現(xiàn)系統(tǒng)的方法。17入侵檢測系統(tǒng)的歷史1989 年Todd Heberlien，California, Davis大學(xué)的一個學(xué)生寫了Network Security Monitor(NSM)網(wǎng)絡(luò)安全監(jiān)視器（NSM），系統(tǒng)設(shè)計用于捕獲TCP/IP包并

9、檢測異構(gòu)網(wǎng)絡(luò)中的異常行動。 網(wǎng)絡(luò)入侵檢測誕生18入侵檢測系統(tǒng)的歷史1992 年計算機誤用檢測系統(tǒng)（CMDS）Computer Misuse Detection System(CMDS) Screen Application International Corporation(SAIC) 基于在海軍報告調(diào)查中完成的工作 Stalker （ Haystack Labs. ）基于為空軍完成的原Haystack工作，第一個商業(yè)化的主機IDS，用于UNIX19入侵檢測系統(tǒng)的歷史1994 年A group of researchers at the 空軍加密支持中心（Air Force Cryptolog

10、ical Support Center）的一組研究人員創(chuàng)建了魯棒的網(wǎng)絡(luò)入侵檢測系統(tǒng)，ASIM，廣泛用于空軍。 來自于一家商業(yè)化公司 Wheelgroup的開發(fā)人員開始商業(yè)化網(wǎng)絡(luò)入侵檢測技術(shù)。20入侵檢測系統(tǒng)的歷史1997 年 Cisco收購了 Wheelgroup并開始將網(wǎng)絡(luò)入侵檢測加入路由器中。 Internet Security Systems發(fā)布了 Realsecure，Windows NT的網(wǎng)絡(luò)入侵檢測系統(tǒng)。 開始了網(wǎng)絡(luò)入侵檢測的革命。21入侵檢測系統(tǒng)的歷史1998 年 Centrax公司發(fā)布了 eNTrax，用于Windows NT的分布主機入侵檢測系統(tǒng) Centrax是由CMDS的

11、開發(fā)人員組成，后來加入了建立Stalker的技術(shù)隊伍。 22主要內(nèi)容入侵檢測系統(tǒng)定義和模型入侵檢測系統(tǒng)的發(fā)展歷史入侵檢測系統(tǒng)的原理23入侵檢測產(chǎn)品分類按技術(shù)特征檢測異常檢測按監(jiān)測對象網(wǎng)絡(luò)入侵檢測 ( NIDS )主機入侵檢測 ( HIDS )24特征檢測Signature-based detection原理：假設(shè)入侵者活動可以用一種模式來表示系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。特征檢測可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。難點：如何設(shè)計模式既能夠表達(dá)“入侵”現(xiàn)象又不會將正常的活動包含進(jìn)來。常用方法： 模式匹配。25異常檢測 Anomaly detection原理假設(shè)入侵

12、者活動異常于正常主體的活動念建立主體正?；顒拥摹盎顒雍啓n”將當(dāng)前主體的活動狀況與“活動簡檔”相比當(dāng)違反統(tǒng)計規(guī)律時，認(rèn)為該活動可能是“入侵”行為難點異常檢測的難題在于如何建立“活動簡檔”以及如何設(shè)計統(tǒng)計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。常用方法概率統(tǒng)計。26NIDS大多數(shù)入侵檢測廠商采用的產(chǎn)品形式。 通過捕獲和分析網(wǎng)絡(luò)包來探測攻擊。網(wǎng)絡(luò)入侵檢測可以在網(wǎng)段或者交換機上進(jìn)行監(jiān)聽，來檢測對連接在網(wǎng)段上的多個主機有影響的網(wǎng)絡(luò)通訊，從而保護(hù)那些主機。 27網(wǎng)絡(luò)入侵檢測優(yōu)點網(wǎng)絡(luò)通信檢測能力NIDS能夠檢測那些來自網(wǎng)絡(luò)的攻擊它能夠檢測到超過授權(quán)的非法訪問對正常業(yè)務(wù)影響少NIDS不需

13、要改變服務(wù)器等主機的配置由于它不會在業(yè)務(wù)系統(tǒng)中的主機中安裝額外的軟件從而不會影響這些機器的CPU、I/O與磁盤等資源的使用不會影響業(yè)務(wù)系統(tǒng)的性能28網(wǎng)絡(luò)入侵檢測優(yōu)點布署風(fēng)險小NIDS不像路由器、防火墻等關(guān)鍵設(shè)備方式工作它不會成為系統(tǒng)中的關(guān)鍵路徑NIDS發(fā)生故障不會影響正常業(yè)務(wù)的運行布署NIDS的風(fēng)險比HIDS的風(fēng)險來得少得多定制設(shè)備，安裝簡單NIDS近年內(nèi)有向?qū)ｉT的設(shè)備發(fā)展的趨勢安裝NIDS系統(tǒng)非常方便只需將定制的備接上電源，做很少一些配置，將其接上網(wǎng)絡(luò)即可29網(wǎng)絡(luò)入侵檢測弱點共享網(wǎng)段的局限NIDS只檢查它直接連接網(wǎng)段的通信NIDS不能監(jiān)測在不同網(wǎng)段的網(wǎng)絡(luò)包交換以太網(wǎng)環(huán)境中就會出現(xiàn)它的監(jiān)測范圍

14、的局限多傳感器系統(tǒng)會使布署成本增加性能局限NIDS為了性能目標(biāo)通常采用特征檢測的方法它可以高效地檢測出普通的一些攻擊實現(xiàn)一些復(fù)雜的需要大量計算與分析時間的攻擊檢測時，對硬件處理能力要求較高30網(wǎng)絡(luò)入侵檢測弱點中央分析與大數(shù)據(jù)流量的矛盾NIDS可能會將大量的數(shù)據(jù)傳回分析系統(tǒng)中，會產(chǎn)生大量的分析數(shù)據(jù)流量采用以下方法可減少回傳的數(shù)據(jù)量：對入侵判斷的決策由傳感器實現(xiàn)，而中央控制臺成為狀態(tài)顯示與通信中心，不再作為入侵行為分析器這樣的系統(tǒng)中的傳感器協(xié)同工作能力較弱31網(wǎng)絡(luò)入侵檢測弱點加密通信NIDS處理加密的會話過程時，會參與解密操作目前通過加密通道的攻擊尚不多隨著IPv6的普及，這個問題會越來越突出32

15、HIDS基于主機的入侵檢測產(chǎn)品（HIDS）通常是安裝在被重點檢測的主機之上。 主要是對該主機的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志進(jìn)行智能分析和判斷。如果其中主體活動十分可疑(特征或違反統(tǒng)計規(guī)律)，入侵檢測系統(tǒng)就會采取相應(yīng)措施。 33主機入侵檢測優(yōu)點入侵行為分析能力HIDS對分析“可能的攻擊行為”非常有用除了指出入侵者試圖執(zhí)行一些“危險的命令”之外還能分辨出入侵者干了什么事：運行了什么程序、打開了哪些文件、執(zhí)行了哪些系統(tǒng)調(diào)用HIDS比NIDS能夠提供更詳盡的相關(guān)信息誤報率低HIDS通常情況下比NIDS誤報率要低34主機入侵檢測優(yōu)點復(fù)雜性小因為監(jiān)測在主機上運行的命令序列比監(jiān)測網(wǎng)絡(luò)流來得簡單網(wǎng)絡(luò)通信要求低

16、可布署在那些不需要廣泛的入侵檢測傳感器與控制臺之間的通信帶寬不足的情況下布署風(fēng)險HIDS在不使用諸如“停止服務(wù)” 、“注銷用戶”等響應(yīng)方法時風(fēng)險較少35主機入侵檢測弱點影響保護(hù)目標(biāo)HIDS安裝在需要保護(hù)的設(shè)備上可能會降低應(yīng)用系統(tǒng)的效率帶來一些額外的安全問題如：安裝了HIDS后，將本不允許安全管理員有權(quán)力訪問的服務(wù)器變成他可以訪問的了服務(wù)器依賴性依賴于服務(wù)器固有的日志與監(jiān)視能力。如果服務(wù)器沒有配置日志功能，則必需重新配置，這將會給運行中的業(yè)務(wù)系統(tǒng)帶來不可預(yù)見的性能影響36主機入侵檢測弱點全面布署代價與主機盲點全面布署主機入侵檢測系統(tǒng)代價較大若選擇部分主機保護(hù)那些未裝HIDS的機器將成為保護(hù)的盲點

17、入侵者可利用這些機器達(dá)到攻擊目標(biāo)工作量隨主機數(shù)目線性增加HIDS主機入侵檢測系統(tǒng)除了監(jiān)測自身的主機以外根本不監(jiān)測網(wǎng)絡(luò)上的情況對入侵行為的分析的工作量將隨著主機數(shù)目增加而增加37實時分析的方法實時系統(tǒng)可以不間斷地提供信息收集、分析和匯報，實時系統(tǒng)提供了多種實時報警，并對攻擊自動做出反應(yīng)事后分析的方法 在事后分析的方法中，入侵檢測系統(tǒng)將事件信息的記錄到文件中，并且由入侵檢測系統(tǒng)在事后對這些文件進(jìn)行分析，找出入侵或誤用的特征 IDS信息的收集和分析的時間38改變被攻擊系統(tǒng)的環(huán)境斷開進(jìn)攻者使用的連接 重新配置網(wǎng)絡(luò)設(shè)施這種響應(yīng)機制可讓系統(tǒng)管理員在職權(quán)范圍內(nèi)采取主動措施，使被檢測到的攻擊造成的損失最小化實

18、時通知 即時發(fā)送的與事件有關(guān)的信息，通知重要人員電子郵件、尋呼機、手機短消息、傳真等對誤用或入侵的響應(yīng)39入侵檢測技術(shù)發(fā)展方向高速網(wǎng)絡(luò)的數(shù)據(jù)分析能力分布式入侵檢測與通用入侵檢測架構(gòu) 智能的入侵檢測 入侵檢測的評測方法與其它網(wǎng)絡(luò)安全技術(shù)相結(jié)合 40使用網(wǎng)絡(luò)協(xié)處理器提高處理能力41收到報警攻擊檢測主動響應(yīng)產(chǎn)生臨時阻擋策略內(nèi)部違規(guī)用戶攻擊報警、記錄阻斷入侵行為網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)工作流程NIDS控制臺42NIDS傳感器的部署位置Internet 路由器防火墻核心交換機Web 服務(wù)器電子郵件服務(wù)器FTP 服務(wù)器DMZ公共服務(wù)網(wǎng)管服務(wù)內(nèi)部服務(wù)辦公區(qū)辦公自動化數(shù)據(jù)庫辦公用戶辦公用戶辦公用戶IDS管

19、理中心部署位置 1 優(yōu)點：記錄源自于互聯(lián)網(wǎng)目標(biāo)為本地網(wǎng)絡(luò)的攻擊次數(shù)記錄源自于互聯(lián)網(wǎng)目標(biāo)為本地網(wǎng)絡(luò)的攻擊類型部署位置 2 優(yōu)點：查看源自于外部穿透網(wǎng)絡(luò)邊界防護(hù)的攻擊重點關(guān)注網(wǎng)絡(luò)防火墻策略和性能的問題查看目標(biāo)針對于DMZ區(qū)中Web/郵件等服務(wù)器的攻擊即使不能識別入攻擊，有時識別被攻擊后返回的流量部署位置 4 優(yōu)點：檢測對關(guān)鍵系統(tǒng)和資源的攻擊將有限資源集中在被認(rèn)為具有最大價值的網(wǎng)絡(luò)資產(chǎn)上部署位置 3 優(yōu)點：監(jiān)控大量的網(wǎng)絡(luò)流量，增加定位攻擊的可能性檢測組織機構(gòu)安全邊界內(nèi)部的授權(quán)人員的非授權(quán)活動43NIDS傳感器的部署方法NIDS傳感器的監(jiān)聽端口共享環(huán)境：Hub交換環(huán)境Span/Mirror Port分接器（Tap）44NIDS傳感器的部署方法-共享介質(zhì)IDS 傳感器控制臺Internet 路由器防火墻核心交換機Web 服務(wù)器電子郵件服務(wù)器FTP 服務(wù)器DMZ公共服務(wù)公司內(nèi)網(wǎng)Hub45NIDS傳感