網(wǎng)絡(luò)安全與管理第6章-入侵檢測課件

1、第6章 入侵檢測主講：6.1 入侵檢測方法6.1.1 異常入侵檢測技術(shù)6.1.2 誤用入侵檢測技術(shù)6.1 入侵檢測方法 入侵（Intrusion）不僅包括發(fā)起攻擊的人取得超出范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕訪問等對計(jì)算機(jī)造成危害的行為。 入侵檢測（Intrusion Detection）便是對入侵行為的發(fā)覺。它通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。 入侵檢測系統(tǒng)（Intrusion Detection System，IDS）指的是任何有能力檢測系統(tǒng)或網(wǎng)絡(luò)狀態(tài)改變的系統(tǒng)或系統(tǒng)的集合，它能發(fā)送警報(bào)

2、或采取預(yù)先設(shè)置好的行動(dòng)來幫助保護(hù)網(wǎng)絡(luò)。6.1.1 異常入侵檢測技術(shù) 異常檢測技術(shù)是運(yùn)行在系統(tǒng)層或應(yīng)用層的監(jiān)控程序通過將當(dāng)前主體的活動(dòng)情況和用戶輪廓進(jìn)行比較來監(jiān)控用戶的行為。當(dāng)當(dāng)前主體的活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵行為。 如果系統(tǒng)錯(cuò)誤地將異常活動(dòng)定義為入侵稱為錯(cuò)報(bào)，如果系統(tǒng)未能檢測出真正的入侵行為則稱為漏報(bào)。如下圖所示是異常檢測技術(shù)的模型。6.1.2 異常入侵檢測技術(shù) 誤用檢測的前提是首先提取已知入侵行為的特征，建立入侵特征庫，然后將當(dāng)前用戶或系統(tǒng)行為與入侵特征庫中的記錄進(jìn)行匹配，如果相匹配就認(rèn)為當(dāng)前用戶或系統(tǒng)行為是入侵，否則入侵檢測系統(tǒng)認(rèn)為是正常行為。很顯然，如果正常行為與入侵特征

3、相匹配，則入侵檢測系統(tǒng)發(fā)生錯(cuò)報(bào)，而如果沒有入侵特征與某種新的攻擊行為相匹配，則IDS系統(tǒng)發(fā)生漏報(bào)。如下圖所示是誤用檢測模型。6.2 入侵檢測系統(tǒng)的設(shè)計(jì)原理6.1.1 基于主機(jī)系統(tǒng)的結(jié)構(gòu)6.1.2 基于網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)6.2.3 基于分布式系統(tǒng)的結(jié)構(gòu)6.2.4 入侵檢測系統(tǒng)需求特性6.2.5 入侵檢測框架簡介6.2.1 基于主機(jī)系統(tǒng)的結(jié)構(gòu) 基于主機(jī)的入侵檢測系統(tǒng)(HIDS)通常從主機(jī)的審計(jì)記錄和日志文件中獲得所需要的主要數(shù)據(jù)，并輔助以主機(jī)上的其他信息，例如文件系統(tǒng)屬性、進(jìn)程狀態(tài)等，在此基礎(chǔ)上完成檢測攻擊行為的任務(wù)。從技術(shù)發(fā)展的歷程來看，入侵檢測是從主機(jī)審計(jì)的技術(shù)上發(fā)展起來的，因而早期的入侵檢測系統(tǒng)

4、都是基于主機(jī)的入侵檢測技術(shù)。 基于主機(jī)的IDS的結(jié)構(gòu)如下頁圖所示。6.2.1 基于主機(jī)系統(tǒng)的結(jié)構(gòu) HIDS的優(yōu)點(diǎn)如下： （1）能夠監(jiān)視特定的系統(tǒng)行為?；谥鳈C(jī)的IDS能夠監(jiān)視所有的用戶登錄和退出，甚至用戶所做的所有操作，日志里記錄的審計(jì)系統(tǒng)策略的改變，關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的改變等。 （2）HIDS能夠確定攻擊是否成功。由于使用含有已經(jīng)發(fā)生事件的信息，它們可以比網(wǎng)絡(luò)入侵檢測系統(tǒng)更加準(zhǔn)確地判斷攻擊是否成功。 （3）有些攻擊在網(wǎng)絡(luò)數(shù)據(jù)中很難發(fā)現(xiàn)，或者根本沒有通過網(wǎng)絡(luò)而在本地進(jìn)行。這時(shí)網(wǎng)絡(luò)入侵檢測系統(tǒng)將無能為力，只能借助HIDS。6.2.2 基于網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu) 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)NIDS如下圖

5、所示，通過在共享式網(wǎng)絡(luò)上對通信數(shù)據(jù)進(jìn)行偵聽采集數(shù)據(jù)，分析可疑現(xiàn)象。6.2.3 基于分布式系統(tǒng)的結(jié)構(gòu) 無論 NIDS還是HIDS，無論采用誤用檢測技術(shù)還是異常檢測技術(shù)，在整個(gè)數(shù)據(jù)處理過程中，包括數(shù)據(jù)的收集、預(yù)處理、分析、檢測以及檢測到入侵行為后采取的相應(yīng)措施，都由單個(gè)監(jiān)控設(shè)備或者監(jiān)控程序完成。在面臨大規(guī)模、分布式的應(yīng)用環(huán)境時(shí)，傳統(tǒng)的單機(jī)方式遇到了極大的挑戰(zhàn)。在這種情況下，要求各個(gè)IDS之間能夠?qū)崿F(xiàn)高效的信息共享和協(xié)作檢測。在大范圍網(wǎng)絡(luò)中部署有效的IDS推動(dòng)了分布式入侵檢測系統(tǒng)的誕生和不斷發(fā)展。6.2.4 入侵檢測系統(tǒng)需求特性 入侵檢測的部署與實(shí)現(xiàn)是和用戶的需求密切相關(guān)的，有的是用來檢測內(nèi)部用戶發(fā)

6、起的攻擊行為，有的是用來檢測外部發(fā)起的攻擊行為，但根據(jù)前面的知識(shí)，無論采用什么樣的入侵檢測系統(tǒng)，也不管入侵檢測系統(tǒng)是基于什么機(jī)制，入侵檢測系統(tǒng)應(yīng)該具有以下特點(diǎn)： （1）可靠性。檢測系統(tǒng)必須可以在無人監(jiān)控的情況下持續(xù)運(yùn)行。系統(tǒng)必須是可靠的，這樣才可以允許它運(yùn)行在被檢測的系統(tǒng)環(huán)境中。而且，檢測系統(tǒng)不是一個(gè)“黑匣子”，其內(nèi)部情況應(yīng)該可以從外部觀察到，并且具有可控制性和可操作性。 （2）容錯(cuò)性。入侵檢測系統(tǒng)必須是可容錯(cuò)的，即使系統(tǒng)崩潰，檢測系統(tǒng)本身必須保留下來。 （3）可用性。入侵檢測系統(tǒng)所占用的系統(tǒng)資源要最小，這樣不會(huì)嚴(yán)重降低系統(tǒng)性能。 （4）可檢驗(yàn)性。能觀察到非正常行為的行為。 （5）對觀察的系統(tǒng)

7、來說必須是易于開發(fā)的，每一個(gè)系統(tǒng)都有不同的使用模式。 （6）可適應(yīng)性。檢測系統(tǒng)應(yīng)能實(shí)時(shí)追蹤系統(tǒng)環(huán)境的改變，如操作系統(tǒng)和應(yīng)用系統(tǒng)的升級(jí)。 （7）準(zhǔn)確性。檢測系統(tǒng)不能隨意發(fā)送誤警報(bào)和漏報(bào)。 （8）安全性。檢測系統(tǒng)應(yīng)不易于被欺騙和保護(hù)自身系統(tǒng)的安全。6.2.5 入侵檢測框架簡介 1.通用入侵檢測框架CIDF CIDF定義了IDS表達(dá)檢測信息的標(biāo)準(zhǔn)語言以及IDS組件之間的通信協(xié)議。符合CIDF規(guī)范的IDS可以共享檢測信息、相互通信、協(xié)同工作，還可以與其他系統(tǒng)配合，協(xié)調(diào)實(shí)施統(tǒng)一的配置響應(yīng)和恢復(fù)策略。CIDF的主要工作在于集成各種IDS使之協(xié)同工作，實(shí)現(xiàn)各IDS之間的組件重用，所以CIDF也是構(gòu)建分布式I

8、DS的基礎(chǔ)。 CIDF的體系結(jié)構(gòu)如下頁圖所示。6.2.5 入侵檢測框架簡介 2.入侵檢測交換格式IDEF 入侵檢測工作組IDWG采用面向?qū)ο蟮姆绞剑x和設(shè)計(jì)了入侵檢測的數(shù)據(jù)模型，用于描述在不同組件之間所交換的各種警報(bào)信息、控制命令和配置信息等通信數(shù)據(jù)，然后采用基于XML的IDMEF消息格式對該數(shù)據(jù)模型進(jìn)行了形式化的描述和實(shí)現(xiàn)。 數(shù)據(jù)模型用統(tǒng)一建模語言(UML)描述，UML用一個(gè)簡單的框架表示實(shí)體以及它們之間的關(guān)系，并將實(shí)體定義為類。6.3 入侵檢測系統(tǒng)的部署6.3.1 定義IDS的目標(biāo)6.3.2 選擇監(jiān)視內(nèi)容 6.3.3 部署IDS6.3.1 定義IDS的目標(biāo) 不同的組網(wǎng)應(yīng)用可能使用不同的規(guī)

9、則配置，所以用戶在配置入侵檢測系統(tǒng)前應(yīng)先明確自己的目標(biāo)，建議從如下幾個(gè)方面進(jìn)行考慮。 （1）明確網(wǎng)絡(luò)拓?fù)湫枨蠓治鼍W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，需要監(jiān)控什么樣的網(wǎng)絡(luò)，是交換式的網(wǎng)絡(luò)還是共享式網(wǎng)絡(luò)。是否需要同時(shí)監(jiān)控多個(gè)網(wǎng)絡(luò)，多個(gè)子網(wǎng)是交換機(jī)連接還是通過路由器/網(wǎng)關(guān)連接。選擇網(wǎng)絡(luò)入口點(diǎn)，需要監(jiān)控網(wǎng)絡(luò)中的哪些數(shù)據(jù)流，IP流還是TCP/UDP流，還是應(yīng)用層的各種數(shù)據(jù)包。分析關(guān)鍵網(wǎng)絡(luò)組件、網(wǎng)絡(luò)大小和復(fù)雜度。（2）安全策略需求是否限制Telnet，SSH，HTTP，HTTPS 等服務(wù)管理訪問。Telnet 登錄是否需要登錄密碼。安全的Shell（SSH）的認(rèn)證機(jī)制是否需要加強(qiáng)。是否允許從非管理口（如以太網(wǎng)口，而不是Cons

10、ole端口）進(jìn)行設(shè)備管理。（3） IDS 的管理需求有哪些接口需要配置管理服務(wù)。是否啟用Telnet 進(jìn)行設(shè)備管理。是否啟用SSH 進(jìn)行設(shè)備管理。是否啟用HTTP進(jìn)行設(shè)備管理。是否啟用HTTPS進(jìn)行設(shè)備管理。是否需要和其他設(shè)備例如防火墻進(jìn)行聯(lián)動(dòng)。6.3.2 選擇監(jiān)視內(nèi)容選擇監(jiān)視的網(wǎng)絡(luò)區(qū)域選擇監(jiān)視的數(shù)據(jù)包的類型根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容進(jìn)行檢測6.3.3 部署IDS 1.只檢測內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)邊界流量的IDS系統(tǒng)的部署6.3.3 部署IDS 2.集中監(jiān)控多個(gè)子網(wǎng)流量6.4 管理IDS6.4.1 IDS提供的信息6.4.2 調(diào)查可疑事件6.4.1 IDS提供的信息 一般的，IDS可以提供多種形式的輸出

11、信息，既可以是將網(wǎng)絡(luò)數(shù)據(jù)包解碼后的ASCII字符形式，也可以是全文本的警報(bào)信息形式。 在安裝某一個(gè)入侵檢測系統(tǒng)之后，如下頁圖所示是一種企圖下載UNIX/Linux系統(tǒng)用戶的加密口令文件/etc/shadow的入侵。6.4.1 IDS提供的信息 6.4.2 調(diào)查可疑事件 對計(jì)算機(jī)攻擊的分析可以在攻擊正在發(fā)生的時(shí)候進(jìn)行，也可以進(jìn)行事后調(diào)查分析。對可疑事件的調(diào)查分析既可以借助于日志文件，也可以利用IDS提供的附屬工具進(jìn)行查看和分析。IDS提供的這些工具的目的和功能都不盡相同，但是它們大多都會(huì)根據(jù)入侵檢測系統(tǒng)創(chuàng)建的警報(bào)數(shù)據(jù)庫，分析和顯示相關(guān)安全事件、協(xié)議分析、統(tǒng)計(jì)信息，并且考慮到良好的用戶界面，還可以

12、以文本、圖表的形式顯示。6.5 入侵預(yù)防措施6.5.1 預(yù)防入侵活動(dòng)6.5.2 入侵預(yù)防問題 6.5.1 預(yù)防入侵活動(dòng) 從功能上看，IDS是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，它只能被動(dòng)地檢測網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊能力非常有限，一般只能通過發(fā)送TCP Reset包或聯(lián)動(dòng)防火墻來阻止攻擊。使用IDS進(jìn)行預(yù)防入侵，一個(gè)有用的舉措是安全設(shè)備的集成，可以將IDS和防火墻之間進(jìn)行聯(lián)系。如果這些服務(wù)捆綁在一起，就意味著它們可以協(xié)同工作，當(dāng)IDS檢測到事件發(fā)生時(shí)，將自動(dòng)通知防火墻實(shí)施相應(yīng)策略，也就是說IDS可以檢測到預(yù)先設(shè)定的行為，并能阻止攻擊行為。但是做到這一點(diǎn)的前提是必須將IDS誤報(bào)率降至最低，否則將導(dǎo)致

13、整個(gè)系統(tǒng)的不正常工作。 6.5.2 入侵預(yù)防問題 1.入侵預(yù)防概述 隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展以及用戶的需求，產(chǎn)生了入侵防御系統(tǒng)（Intrusion Prevention System, IPS）。IPS是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)，它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測到攻擊企圖后，會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。舉一個(gè)簡單的例子，IDS就如同火災(zāi)預(yù)警裝置，火災(zāi)發(fā)生時(shí)，它會(huì)自動(dòng)報(bào)警，但無法阻止火災(zāi)的蔓延，必須要有人來操作進(jìn)行滅火。而IPS就像智能滅火裝置，當(dāng)它發(fā)現(xiàn)有火災(zāi)發(fā)生后，會(huì)主動(dòng)采取措施滅火，中間不需要人的干預(yù)。 可以簡單地理解為IPS就是防火墻加上入侵檢測系統(tǒng)，但并不是說I

14、PS可以代替防火墻或入侵檢測系統(tǒng)。防火墻是粒度比較粗的訪問控制產(chǎn)品，它在基于TCP/IP協(xié)議的過濾方面表現(xiàn)出色，而且在大多數(shù)情況下，可以提供網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計(jì)等功能，甚至有的防火墻還能提供VPN功能。6.5.2 入侵預(yù)防問題 2.IPS的工作原理 真正的入侵防御系統(tǒng)與傳統(tǒng)的入侵檢測系統(tǒng)的兩點(diǎn)關(guān)鍵區(qū)別是自動(dòng)阻截和在線運(yùn)行，兩者缺一不可。防御工具（軟/硬件方案）必須設(shè)置相關(guān)策略，以對攻擊自動(dòng)做出響應(yīng)，而不僅僅是在惡意通信進(jìn)入時(shí)向網(wǎng)絡(luò)主管發(fā)出告警。要實(shí)現(xiàn)自動(dòng)響應(yīng)，系統(tǒng)就必須在線運(yùn)行。 當(dāng)黑客試圖與目標(biāo)服務(wù)器建立會(huì)話時(shí)，所有數(shù)據(jù)都會(huì)經(jīng)過IPS傳感器，傳感器位于活動(dòng)數(shù)據(jù)路徑中。傳感器檢測數(shù)

15、據(jù)流中的惡意代碼，核對策略，在未轉(zhuǎn)發(fā)到服務(wù)器之前將信息包或數(shù)據(jù)流阻截。由于是在線操作，因而能保證處理方法適當(dāng)而且可預(yù)知。與此類比，通常的IDS響應(yīng)機(jī)制（如TCP重置）則大不相同。傳統(tǒng)的IDS能檢測到信息流中的惡意代碼，但由于是被動(dòng)處理通信，本身不能對數(shù)據(jù)流做任何處理。 必須在數(shù)據(jù)流中嵌入TCP包，以重置目標(biāo)服務(wù)器中的會(huì)話。然而，整個(gè)攻擊信息包有可能先于TCP重置信息包到達(dá)服務(wù)器，這時(shí)系統(tǒng)才做出響應(yīng)已經(jīng)來不及了。重置防火墻規(guī)則也存在相同問題，處于被動(dòng)工作狀態(tài)的IDS能檢測到惡意代碼，并向防火墻發(fā)出請求阻截會(huì)話，但請求有可能到達(dá)太遲而無法防止攻擊發(fā)生。6.5 入侵預(yù)防措施6.6.1 Snort入侵

16、檢測系統(tǒng)簡介 6.6.2 Snort入侵檢測系統(tǒng)的部署6.6.3 Snort 入侵檢測系統(tǒng)的安裝6.6.4 Snort 入侵檢測系統(tǒng)的配置6.6.5 Snort 入侵檢測系統(tǒng)的測試6.6.6 終止Snort 入侵檢測系統(tǒng)的運(yùn)行6.6.1 Snort入侵檢測系統(tǒng)簡介 Snort IDS是一個(gè)基于軟件的入侵檢測系統(tǒng)，是一個(gè)開放源代碼的、功能強(qiáng)大的、輕量級(jí)的入侵檢測與防御系統(tǒng)。它能實(shí)現(xiàn)實(shí)時(shí)網(wǎng)絡(luò)流量分析、報(bào)警、阻斷數(shù)據(jù)包以及對數(shù)據(jù)包進(jìn)行日志記錄等功能。它能將協(xié)議分析技術(shù)和模式匹配技術(shù)進(jìn)行組合以進(jìn)行異常、誤用和攻擊檢測。 Snort有三大主要功能模塊，能像TCPdump那樣作為包嗅探工具，也能作為包日志

17、器（這對網(wǎng)絡(luò)流量跟蹤非常有用），還能作為全方位的網(wǎng)絡(luò)入侵檢測及防御系統(tǒng)。本書只討論Snort作為網(wǎng)絡(luò)入侵檢測及防御系統(tǒng)的相關(guān)知識(shí)。6.6.2 Snort入侵檢測系統(tǒng)的部署 1.Snort IDS安裝的先決條件 在安裝Snort IDS前需要安裝以下軟件。 （1）Snort IDS軟件。 （2）The AppServ Open Project-2.4.5 for Windows。 （3）數(shù)據(jù)包adodb464.zip。 （4）數(shù)據(jù)包jpgraph.1.21b.rar。 （5）安裝程序WinPcap_4_0_1.exe。 （6）數(shù)據(jù)包acid.0.9.6b23.rar。6.6.2 Snort入侵檢

18、測系統(tǒng)的部署 2.Snort IDS的部署 Snort網(wǎng)絡(luò)入侵檢測系統(tǒng)有以下三個(gè)組成部分： （1）數(shù)據(jù)捕捉器（sensor，又稱傳感器）。 （2）AppServ套件。 （3）入侵檢測分析控制臺(tái)客戶端。 該種部署方案如下頁圖所示。6.6.3 Snort入侵檢測系統(tǒng)的安裝 1. 安裝Windows系統(tǒng)中的數(shù)據(jù)包截取驅(qū)動(dòng)程序 2. 安裝Snort入侵檢測系統(tǒng) 3. 安裝The AppServ Open Project-2.4.5 for Windows 4. ACID軟件包的安裝 5. ADODB軟件包的安裝 6. 安裝PHP的圖形庫6.6.4 Snort 入侵檢測系統(tǒng)的配置 1. MySQL數(shù)據(jù)庫的配置 2. Snort軟件的配置與運(yùn)行 3. ACID的配置與運(yùn)行6.6.5 Snort入侵檢測系統(tǒng)的測試 1. 測試工具（包括黑客工具）、測試平臺(tái)的準(zhǔn)備 2. 進(jìn)行入侵行為測試 3. 查看警報(bào)信息 4. 通過ACID平臺(tái)查看、統(tǒng)計(jì)和分析攻擊測試 6.6.6 終止Snort 入侵檢測系統(tǒng)的運(yùn)行 Snort軟件可運(yùn)行在嗅探模式、包日志模式和網(wǎng)絡(luò)入侵檢測模式中。如果運(yùn)行在網(wǎng)絡(luò)入侵