網(wǎng)絡(luò)安全技術(shù)及應(yīng)用(第八章)課件

1、第八章 入侵檢測系統(tǒng)7/25/20221內(nèi)容提要 入侵檢測技術(shù)用來發(fā)現(xiàn)攻擊行為，進(jìn)而采取正確的響應(yīng)措施，是安全防御的重要環(huán)節(jié)。通過本章學(xué)習(xí)使學(xué)生能夠掌握入侵檢測系統(tǒng)的基本原理，在了解Snort工作原理的基礎(chǔ)上，掌握其安裝和使用方法，了解入侵防御技術(shù)的特點(diǎn)及其和入侵檢測的區(qū)別。7/25/20222第八章 入侵檢測系統(tǒng) 8.1 入侵檢測系統(tǒng)概述8.2 入侵檢測系統(tǒng)的組成8.3 入侵檢測的相關(guān)技術(shù)8.4 入侵檢測系統(tǒng)Snort8.5 入侵防御系統(tǒng)8.6 實(shí)驗(yàn)：基于snort的入侵檢測系統(tǒng)安裝和使用8.7 小結(jié) 習(xí)題7/25/202238.1 入侵檢測系統(tǒng)概述 入侵檢測系統(tǒng)全稱為Intrusion D

2、etection System（IDS），國際計算機(jī)安全協(xié)會（International Computer Security Association，ICSA）入侵檢測系統(tǒng)論壇將其定義為：通過從計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象。 相對于防火墻來說，入侵檢測通常被認(rèn)為是一種動態(tài)的防護(hù)手段。與其他安全產(chǎn)品不同的是，入侵檢測系統(tǒng)需要較復(fù)雜的技術(shù)，它將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個合格的入侵檢測系統(tǒng)能大大地簡化管理員的工作，使管理員能夠更容易地監(jiān)視、審計網(wǎng)絡(luò)和計算機(jī)系統(tǒng)，擴(kuò)展了管理員的安全管理能力，保證網(wǎng)絡(luò)和

3、計算機(jī)系統(tǒng)的安全運(yùn)行。7/25/202248.1 入侵檢測系統(tǒng)概述（續(xù)） 防火墻是所有保護(hù)網(wǎng)絡(luò)的方法中最能普遍接受的方法，能阻擋外部入侵者，但對內(nèi)部攻擊無能為力；同時，防火墻絕對不是堅不可摧的，即使是某些防火墻本身也會引起一些安全問題。防火墻不能防止通向站點(diǎn)的后門，不提供對內(nèi)部的保護(hù)，無法防范數(shù)據(jù)驅(qū)動型的攻擊，不能防止用戶由Internet上下載被病毒感染的計算機(jī)程序或?qū)⒃擃惓绦蚋皆陔娮余]件上傳輸。 入侵檢測是防火墻的合理補(bǔ)充，它幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 7/25/202258.1 入侵檢測系統(tǒng)

4、概述（續(xù)）相關(guān)術(shù)語攻擊攻擊者利用工具，出于某種動機(jī)，對目標(biāo)系統(tǒng)采取的行動，其后果是獲取/破壞/篡改目標(biāo)系統(tǒng)的數(shù)據(jù)或訪問權(quán)限事件在攻擊過程中發(fā)生的可以識別的行動或行動造成的后果。在入侵檢測系統(tǒng)中，事件常常具有一系列屬性和詳細(xì)的描述信息可供用戶查看。也可以將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件（event）7/25/20226入侵對信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作入侵檢測對企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識別的過程入侵檢測系統(tǒng)（IDS）用于輔助進(jìn)行入侵檢測或者獨(dú)立進(jìn)行入侵檢測的自動化工具8.1 入侵檢測系統(tǒng)概述（續(xù)）7/25/20227 入侵檢測（Intrusi

5、on Detection）技術(shù)是一種動態(tài)的網(wǎng)絡(luò)檢測技術(shù)，主要用于識別對計算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，包括來自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動。一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象，則應(yīng)當(dāng)做出適當(dāng)?shù)姆磻?yīng)：對于正在進(jìn)行的網(wǎng)絡(luò)攻擊，則采取適當(dāng)?shù)姆椒▉碜钄喙簦ㄅc防火墻聯(lián)動），以減少系統(tǒng)損失；對于已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊，則應(yīng)通過分析日志記錄找到發(fā)生攻擊的原因和入侵者的蹤跡，作為增強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全性和追究入侵者法律責(zé)任的依據(jù)。它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。 8.1 入侵檢測系統(tǒng)概述（續(xù)）7/25/202288.1 入侵檢測系統(tǒng)概述（續(xù)

6、） 入侵檢測系統(tǒng)（IDS）由入侵檢測的軟件與硬件組合而成，被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)。這些都通過它執(zhí)行以下任務(wù)來實(shí)現(xiàn)： 1）監(jiān)視、分析用戶及系統(tǒng)活動。 2）系統(tǒng)構(gòu)造和弱點(diǎn)的審計。 3）識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報警。 4）異常行為模式的統(tǒng)計分析。 5）評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。 6）操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。 7/25/20229入侵檢測系統(tǒng)的作用監(jiān)控網(wǎng)絡(luò)和系統(tǒng)發(fā)現(xiàn)入侵企圖或異常現(xiàn)象實(shí)時報警主動響應(yīng)審計跟蹤 形象地說，它就是網(wǎng)絡(luò)攝像機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上

7、的所有數(shù)據(jù)，同時它也是智能攝像機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝像機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝像機(jī)，還包括保安員的攝像機(jī)。7/25/2022108.1 入侵檢測系統(tǒng)概述（續(xù)）7/25/2022118.1 入侵檢測系統(tǒng)概述（續(xù)）入侵檢測的發(fā)展歷程 1980年，概念的誕生19841986年，模型的發(fā)展 1990年，形成網(wǎng)絡(luò)IDS和主機(jī)IDS兩大陣營九十年代后至今，百家爭鳴、繁榮昌盛7/25/202212入侵檢測的實(shí)現(xiàn)方式 入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)包來源的不同，采用不用的實(shí)現(xiàn)方式，一般地可分為網(wǎng)絡(luò)型、主機(jī)型，也可是這兩種類型的混合應(yīng)用。基于網(wǎng)

8、絡(luò)的入侵檢測系統(tǒng)（NIDS）基于主機(jī)的入侵檢測系統(tǒng)（HIDS）混合型入侵檢測系統(tǒng)（Hybrid IDS）7/25/202213入侵檢測的實(shí)現(xiàn)方式 1、網(wǎng)絡(luò)IDS： 網(wǎng)絡(luò)IDS是網(wǎng)絡(luò)上的一個監(jiān)聽設(shè)備(或一個專用主機(jī))，通過監(jiān)聽網(wǎng)絡(luò)上的所有報文，根據(jù)協(xié)議進(jìn)行分析，并報告網(wǎng)絡(luò)中的非法使用者信息。 安裝在被保護(hù)的網(wǎng)段（共享網(wǎng)絡(luò)、交換環(huán)境中交換機(jī)要 支持端口映射）中混雜模式監(jiān)聽分析網(wǎng)段中所有的數(shù)據(jù)包實(shí)時檢測和響應(yīng)7/25/2022148.1 入侵檢測系統(tǒng)概述（續(xù)）圖8-1 網(wǎng)絡(luò)IDS工作模型 NY7/25/2022158.1 入侵檢測系統(tǒng)概述（續(xù)）網(wǎng)絡(luò)IDS優(yōu)勢(1) 實(shí)時分析網(wǎng)絡(luò)數(shù)據(jù)，檢測網(wǎng)絡(luò)系統(tǒng)的非

9、法行為；(2) 網(wǎng)絡(luò)IDS系統(tǒng)單獨(dú)架設(shè)，不占用其它計算機(jī)系統(tǒng)的任何資源；(3) 網(wǎng)絡(luò)IDS系統(tǒng)是一個獨(dú)立的網(wǎng)絡(luò)設(shè)備，可以做到對黑客透明，因此其本身的安全性高；(4) 它既可以用于實(shí)時監(jiān)測系統(tǒng)，也是記錄審計系統(tǒng)，可以做到實(shí)時保護(hù)，事后取證分析；(5) 通過與防火墻的聯(lián)動，不但可以對攻擊預(yù)警，還可以更有效地阻止非法入侵和破壞。(6)不會增加網(wǎng)絡(luò)中主機(jī)的負(fù)擔(dān)。7/25/2022168.1 入侵檢測系統(tǒng)概述（續(xù)）網(wǎng)絡(luò)IDS的劣勢(1) 交換環(huán)境和高速環(huán)境需附加條件(2) 不能處理加密數(shù)據(jù)(3) 資源及處理能力局限(4) 系統(tǒng)相關(guān)的脆弱性7/25/202217 入侵檢測的實(shí)現(xiàn)方式 2、主機(jī)IDS 運(yùn)行于

10、被檢測的主機(jī)之上，通過查詢、監(jiān)聽當(dāng)前系統(tǒng)的各種資源的使用運(yùn)行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件，進(jìn)行上報和處理。 安裝于被保護(hù)的主機(jī)中 主要分析主機(jī)內(nèi)部活動 占用一定的系統(tǒng)資源7/25/202218主機(jī)IDS優(yōu)勢(1) 精確地判斷攻擊行為是否成功。(2) 監(jiān)控主機(jī)上特定用戶活動、系統(tǒng)運(yùn)行情況(3) HIDS能夠檢測到NIDS無法檢測的攻擊(4) HIDS適用加密的和交換的環(huán)境(5) 不需要額外的硬件設(shè)備7/25/202219主機(jī)IDS的劣勢(1) HIDS對被保護(hù)主機(jī)的影響(2) HIDS的安全性受到宿主操作系統(tǒng)的限制(3) HIDS的數(shù)據(jù)源受到審計系統(tǒng)限制(4) 被木馬化的系統(tǒng)內(nèi)核能夠

11、騙過HIDS(5) 維護(hù)/升級不方便7/25/2022203、兩種實(shí)現(xiàn)方式的比較： 1)如果攻擊不經(jīng)過網(wǎng)絡(luò),基于網(wǎng)絡(luò)的IDS無法檢測到只能通過使用基于主機(jī)的IDS來檢測； 2)基于網(wǎng)絡(luò)的IDS通過檢查所有的包頭來進(jìn)行檢測，而基于主機(jī)的IDS并不查看包頭。主機(jī)IDS往往不能識別基于IP的拒絕服務(wù)攻擊和碎片攻擊； 3)基于網(wǎng)絡(luò)的IDS可以研究數(shù)據(jù)包的內(nèi)容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實(shí)時檢查包序列的IDS迅速識別；而基于主機(jī)的系統(tǒng)無法看到負(fù)載，因此也無法識別嵌入式的數(shù)據(jù)包攻擊。7/25/2022214、混合型入侵檢測系統(tǒng)（Hybrid IDS） 在新一代的入侵檢測系統(tǒng)中將把現(xiàn)在的

12、基于網(wǎng)絡(luò)和基于主機(jī)這兩種檢測技術(shù)很好地集成起來，提供集成化的攻擊簽名檢測報告和事件關(guān)聯(lián)功能。 可以深入地研究入侵事件入侵手段本身及被入侵目標(biāo)的漏洞等。7/25/202222入侵檢測系統(tǒng)的功能（小結(jié)）1、監(jiān)視并分析用戶和系統(tǒng)的活動，查找非法用戶和合法用戶的越權(quán)操作；2、檢測系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞；3、對用戶的非正?；顒舆M(jìn)行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律；4、檢查系統(tǒng)程序和數(shù)據(jù)一致性與正確性，如計算和比較文件系統(tǒng)的校驗(yàn)；5、能夠?qū)崟r對檢測到的入侵行為作出反應(yīng)；6、操作系統(tǒng)的審計跟蹤管理。7/25/2022238.2 入侵檢測系統(tǒng)的組成 根據(jù)不同的網(wǎng)絡(luò)環(huán)境和系統(tǒng)的應(yīng)用，入侵檢

13、測系統(tǒng)在具體實(shí)現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成上看，入侵檢測系統(tǒng)至少包括數(shù)據(jù)提取、人侵分析、響應(yīng)處理三個部分，另外還可能結(jié)合安全知識庫、數(shù)據(jù)存儲等功能模塊，提供更為完善的安全檢測及數(shù)據(jù)分析功能。如1987年Denning提出的通用入侵檢測模型主要由六部分構(gòu)成，IDES與它的后繼版本NIDES都完全基于Denning的模型；另外，在總結(jié)現(xiàn)有的入侵檢測系統(tǒng)的基礎(chǔ)上提出了一個入侵檢測系統(tǒng)的通用模型如圖8-2所示。 7/25/2022248.2 入侵檢測系統(tǒng)的組成 通用入侵檢測框架 (Common Intrusion Detection Framework，CIDF)把一個入侵檢測系統(tǒng)分為以下組件:圖8-2

14、 CIDF的入侵檢測通用模型7/25/2022258.2 入侵檢測系統(tǒng)的組成 CIDF把一個入侵檢測系統(tǒng)分為以下組件:事件產(chǎn)生器：負(fù)責(zé)原始數(shù)據(jù)采集，并將收集到的原始數(shù)據(jù)轉(zhuǎn)換為事件，向系統(tǒng)的其他部分提供此事件，又稱傳感器(sensor)。事件分析器：接收事件信息，對其進(jìn)行分析，判斷是否為入侵行為或異?，F(xiàn)象，最后將判斷結(jié)果變?yōu)榫嫘畔?。事件?shù)據(jù)庫：存放各種中間和最終入侵信息的地方，并從事件產(chǎn)生器和事件分析器接收需要保存的事件，一般會將數(shù)據(jù)長時間保存。事件響應(yīng)器：是根據(jù)入侵檢測的結(jié)果，對入侵的行為作出適當(dāng)?shù)姆从常蛇x的響應(yīng)措施包括主動響應(yīng)和被動響應(yīng)。7/25/2022268.2 入侵檢測系統(tǒng)的組成I

15、DS的基本結(jié)構(gòu) 無論IDS系統(tǒng)是網(wǎng)絡(luò)型的還是主機(jī)型的，從功能上看，都可分為兩大部分：探測引擎和控制中心。前者用于讀取原始數(shù)據(jù)和產(chǎn)生事件；后者用于顯示和分析事件以及策略定制等工作。 7/25/2022278.2 入侵檢測系統(tǒng)的組成（續(xù)）IDS的基本結(jié)構(gòu) 圖8-3 引擎的工作流程 引擎的主要功能為：原始數(shù)據(jù)讀取、數(shù)據(jù)分析、產(chǎn)生事件、策略匹配、事件處理、通信等功能 7/25/2022288.2 入侵檢測系統(tǒng)的組成（續(xù)）IDS的基本結(jié)構(gòu) 圖8-4 控制中心的工作流程 控制中心的主要功能為：通信、事件讀取、事件顯示、策略定制、日志分析、系統(tǒng)幫助等。通信事件讀取事件顯示策略定制日志分析系統(tǒng)幫助事件/策略數(shù)

16、據(jù)庫7/25/2022298.3入侵檢測的相關(guān)技術(shù)IDS采用的技術(shù) 入侵檢測主要通過專家系統(tǒng)、模式匹配、協(xié)議分析或狀態(tài)轉(zhuǎn)換等方法來確定入侵行為。入侵檢測技術(shù)有：靜態(tài)配置分析技術(shù)異常檢測技術(shù)誤用檢測技術(shù) 1靜態(tài)配置分析技術(shù) 靜態(tài)配置分析是通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征(系統(tǒng)配置信息)，而不是系統(tǒng)中的活動。 7/25/2022308.3入侵檢測的相關(guān)技術(shù)（續(xù)）IDS采用的技術(shù) 2、異常檢測技術(shù) 通過對系統(tǒng)審計數(shù)據(jù)的分析建立起系統(tǒng)主體(單個用戶、一組用戶、主機(jī)，甚至是系統(tǒng)中的某個關(guān)鍵的程序和文件等)的正常行為特

17、征輪廓；檢測時，如果系統(tǒng)中的審計數(shù)據(jù)與已建立的主體的正常行為特征有較大出入就認(rèn)為是一個入侵行為。這一檢測方法稱“異常檢測技術(shù)”。 一般采用統(tǒng)計或基于規(guī)則描述的方法建立系統(tǒng)主體的行為特征輪廓，即統(tǒng)計性特征輪廓和基于規(guī)則描述的特征輪廓。7/25/2022318.3入侵檢測的相關(guān)技術(shù)（續(xù)）IDS采用的技術(shù) 3誤用檢測技術(shù) 誤用檢測技術(shù)(Misuse Detection)通過檢測用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來檢測系統(tǒng)中的入侵活動，是一種基于已有知識的檢測。 這種入侵檢測技術(shù)的主要局限在于它只是根據(jù)已知的入侵序列和系統(tǒng)缺陷的模式

18、來檢測系統(tǒng)中的可疑行為，而不能處理對新的入侵攻擊行為以及未知的、潛在的系統(tǒng)缺陷的檢測。7/25/2022328.3入侵檢測的相關(guān)技術(shù)（續(xù)）入侵檢測分析技術(shù)的比較 1模式匹配的缺陷 1）計算負(fù)荷大 2）檢測準(zhǔn)確率低 2協(xié)議分析新技術(shù)的優(yōu)勢 1）提高了性能 2）提高了準(zhǔn)確性 3）反規(guī)避能力 4）系統(tǒng)資源開銷小 7/25/2022338.3入侵檢測的相關(guān)技術(shù)（續(xù)）入侵檢測系統(tǒng)的性能指標(biāo)1、入侵檢測系統(tǒng)的主要相關(guān)術(shù)語： 警告(Alert/Alarm)：用來表示一個系統(tǒng)被攻擊者攻擊，一般包含從攻擊內(nèi)容中得到的攻擊信息，或者異常事件和統(tǒng)計信息。 誤警(False Positive)：也成誤報，指入侵檢測系

19、統(tǒng)對那些良性事件的報警，這表明IDS的錯誤報警，太多的誤警可能導(dǎo)致正常的報警事件被淹沒。 漏警(False Negative)：也稱漏報，當(dāng)一個攻擊事件已經(jīng)發(fā)生，而入侵檢測系統(tǒng)卻沒有有效地檢測出來，如果漏警太多，或者關(guān)鍵入侵事件的漏報就使入侵檢測系統(tǒng)失去了其存在意義；7/25/2022348.3入侵檢測的相關(guān)技術(shù)（續(xù)）噪聲(Noise)：指入侵檢測系統(tǒng)生成但又沒有真正威脅的報警，這些報警是正確的，并且也是可疑的，如配置于防火墻之外的入侵檢測系統(tǒng)檢測到的掃描事件，可能被防火墻過濾而沒有產(chǎn)生掃描攻擊，但是入侵檢測系統(tǒng)卻檢測到并產(chǎn)生報警。重復(fù)報警(Repetitive Alarm)： 指入侵檢測系統(tǒng)

20、對某一入侵事件的反復(fù)報警，重復(fù)報警并不表示入侵檢測系統(tǒng)的錯誤行為，太多的重復(fù)報警也可能使網(wǎng)絡(luò)管理員產(chǎn)生視覺疲勞，影響對其他攻擊產(chǎn)生適當(dāng)響應(yīng)，另外與其他安全技術(shù)協(xié)同工作也可能產(chǎn)生嚴(yán)重問題，過多的重復(fù)報警可能會產(chǎn)生拒絕服務(wù)。入侵檢測系統(tǒng)的性能指標(biāo)7/25/202235入侵檢測系統(tǒng)的性能指標(biāo)2、準(zhǔn)確性指標(biāo)在很大程度上取決于測試時采用的樣本集和測試環(huán)境。包括：檢測率(%)：指被監(jiān)控系統(tǒng)在受到入侵攻擊時，檢測系統(tǒng)能夠正確報警的概率。通常利用已知入侵攻擊的實(shí)驗(yàn)數(shù)據(jù)集合來測試系統(tǒng)的檢測率。其值為：檢測到的攻擊數(shù)/攻擊事件總數(shù)；誤警率(%)：是指把那些正確事件誤報為攻擊以及把一種攻擊行為誤報為另一種攻擊的概率

21、，其值為：1(正確的告警數(shù)/總的告警數(shù))；漏警率(%)：已經(jīng)攻擊而沒有檢測出來的攻擊占所有攻擊的概率，通常利用已知入侵攻擊的實(shí)驗(yàn)數(shù)據(jù)集合來測試系統(tǒng)的漏報率。其值為(攻擊事件檢測到的攻擊數(shù))/攻擊事件總數(shù)；重復(fù)報警率(%)：重復(fù)報警占所有報警的比率，其值為重復(fù)報警數(shù)/總的報警數(shù)。8.3入侵檢測的相關(guān)技術(shù)（續(xù)）7/25/202236入侵檢測系統(tǒng)的性能指標(biāo)3、效率指標(biāo) 根據(jù)用戶系統(tǒng)的實(shí)際需求，以保證入侵檢測準(zhǔn)確性的前提下，提高入侵檢測系統(tǒng)的最大處理能力。效率指標(biāo)也取決于不同的設(shè)備級別，如百兆網(wǎng)絡(luò)環(huán)境下和千兆網(wǎng)絡(luò)環(huán)境下入侵檢測系統(tǒng)的效率指標(biāo)一定有很大差別。效率指標(biāo)主要包括：最大處理能力、每秒能監(jiān)控的網(wǎng)

22、絡(luò)連接數(shù)、每秒能夠處理的事件數(shù)等。8.3入侵檢測的相關(guān)技術(shù)（續(xù)）7/25/202237入侵檢測系統(tǒng)的性能指標(biāo)最大處理能力： 指網(wǎng)絡(luò)入侵檢測系統(tǒng)在維持其正常檢測率的情況下，系統(tǒng)低于其漏警指標(biāo)的最大網(wǎng)絡(luò)流量。目的是驗(yàn)證系統(tǒng)在維持正常檢測的情況下能夠正常報警的最大流量。以每秒數(shù)據(jù)流量（Mbps或Gbps）來表示。取決于三個因素，其一是入侵檢測系統(tǒng)抓包能力，其二是分析引擎的分析能力，最后還與數(shù)據(jù)包的大小有直接關(guān)系，相同流量下，網(wǎng)絡(luò)數(shù)據(jù)包越小，數(shù)據(jù)包越多，處理能力越差。8.3入侵檢測的相關(guān)技術(shù)（續(xù)）7/25/202238入侵檢測系統(tǒng)的性能指標(biāo)每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)：網(wǎng)絡(luò)入侵檢測系統(tǒng)不僅要對單個的數(shù)據(jù)包作

23、檢測，還要將相同網(wǎng)絡(luò)連接的數(shù)據(jù)包組合起來作分析。網(wǎng)絡(luò)連接的跟蹤能力和數(shù)據(jù)包重組能力是網(wǎng)絡(luò)入侵檢測系統(tǒng)進(jìn)行協(xié)議分析、應(yīng)用層入侵分析的基礎(chǔ)。例如：檢測利用HTTP協(xié)議的攻擊、敏感內(nèi)容檢測、郵件檢測、Telnet會話的記錄與回放、硬盤共享的監(jiān)控等。每秒能夠處理的事件數(shù)：網(wǎng)絡(luò)入侵檢測系統(tǒng)檢測到網(wǎng)絡(luò)攻擊和可疑事件后，會生成安全事件或稱報警事件，并將事件記錄在事件日志中。每秒能夠處理的事件數(shù)，反映了檢測分析引擎的處理能力和事件日志記錄的后端處理能力。8.3入侵檢測的相關(guān)技術(shù)（續(xù)）7/25/202239入侵檢測系統(tǒng)的性能指標(biāo)系統(tǒng)指標(biāo) 系統(tǒng)指標(biāo)主要表示系統(tǒng)本身運(yùn)行的穩(wěn)定性和使用的方便性。系統(tǒng)指標(biāo)主要包括：最大

24、規(guī)則數(shù)、平均無故障間隔等。 最大規(guī)則數(shù)：系統(tǒng)允許配置的入侵檢測規(guī)則條目的最大數(shù)目。 平均無故障間隔：系統(tǒng)無故障連續(xù)工作的時間。8.3入侵檢測的相關(guān)技術(shù)（續(xù)）7/25/202240入侵檢測系統(tǒng)的性能指標(biāo)其它指標(biāo)系統(tǒng)結(jié)構(gòu)：完備的IDS應(yīng)能采用分級、遠(yuǎn)距離分式式部署和管理。8.3入侵檢測的相關(guān)技術(shù)（續(xù)）7/25/2022418.3入侵檢測的相關(guān)技術(shù)（續(xù)）事件數(shù)量：考察IDS系統(tǒng)的一個關(guān)鍵性指標(biāo)是報警事件的多少。一般而言，事件越多，表明IDS系統(tǒng)能夠處理的能力越強(qiáng)。 處理帶寬 ：IDS的處理帶寬，即IDS能夠處理的網(wǎng)絡(luò)流量，是IDS的一個重要性能。目前的網(wǎng)絡(luò)IDS系統(tǒng)一般能夠處理2030M網(wǎng)絡(luò)流量，經(jīng)

25、過專門定制的系統(tǒng)可以勉強(qiáng)處理4060M的流量。 入侵檢測系統(tǒng)的性能指標(biāo)7/25/2022428.3入侵檢測的相關(guān)技術(shù)（續(xù)） 入侵檢測系統(tǒng)的性能指標(biāo)探測引擎與控制中心的通信：作為分布式結(jié)構(gòu)的IDS系統(tǒng)，通信是其自身安全的關(guān)鍵因素。通信安全通過身份認(rèn)證和數(shù)據(jù)加密兩種方法來實(shí)現(xiàn)。 身份認(rèn)證是要保證一個引擎，或者子控制中心只能由固定的上級進(jìn)行控制，任何非法的控制行為將予以阻止。身份認(rèn)證采用非對稱加密算法，通過擁有對方的公鑰，進(jìn)行加密、解密完成身份認(rèn)證。7/25/2022438.3入侵檢測的相關(guān)技術(shù)（續(xù)） 入侵檢測系統(tǒng)的性能指標(biāo)事件定義：事件的可定義性或可定義事件是IDS的一個主要特性。 二次事件：對事

26、件進(jìn)行實(shí)時統(tǒng)計分析，并產(chǎn)生新的高級事件能力。事件響應(yīng)：通過事件上報、事件日志、Email通知、手機(jī)短信息、語音報警等方式進(jìn)行響應(yīng)，也可通過TCP阻斷、防火墻聯(lián)動等方式主動響應(yīng)。7/25/2022448.3入侵檢測的相關(guān)技術(shù)（續(xù)） 入侵檢測系統(tǒng)的性能指標(biāo)自身安全：自身安全指的是探測引擎的安全性。要有良好的隱蔽性，一般使用定制的操作系統(tǒng)。終端安全 ：主要指控制中心的安全性。有多個用戶、多個級別的控制中心，不同的用戶應(yīng)該有不同的權(quán)限，保證控制中心的安全性。7/25/2022458.3入侵檢測的相關(guān)技術(shù)（續(xù)） 入侵檢測系統(tǒng)面臨的主要問題 入侵檢測系統(tǒng)作為一種新型網(wǎng)絡(luò)安全防護(hù)手段，發(fā)揮很大作用，但是與諸

27、如防火墻等技術(shù)高度成熟的產(chǎn)品相比，入侵檢測系統(tǒng)還存在相當(dāng)多的問題：1、層出不窮的入侵手段2、越來越多的信息采用加密的方法傳輸3、不斷增大的網(wǎng)絡(luò)流量4、缺乏標(biāo)準(zhǔn)5、誤報率過高7/25/2022468.4 入侵檢測系統(tǒng)Snort8.4.1 Snort概述 Snort是一個功能強(qiáng)大、跨平臺、輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)，從入侵檢測分類上來看，Snort應(yīng)該是個基于網(wǎng)絡(luò)和誤用的入侵檢測軟件。它可以運(yùn)行在Linux、OpenBSD、FreeBSD、Solaris、以及其它Unix 系統(tǒng)、Windows等操作系統(tǒng)之上。Snort是一個用C語言編寫的開放源代碼軟件，符合GPL(GNU通用公共許可證 GNU Ge

28、neral Public License)的要求，由于其是開源且免費(fèi)的，許多研究和使用入侵檢測系統(tǒng)都是從Snort開始，因而Snort在入侵檢測系統(tǒng)方面占有重要地位。Snort的網(wǎng)站是http:/。用戶可以登陸網(wǎng)站得到源代碼，在Linux和Windows環(huán)境下的安裝可執(zhí)行文件，并可以下載描述入侵特征的規(guī)則文件。7/25/2022478.4 入侵檢測系統(tǒng)Snort8.4.2系統(tǒng)組成和處理流程 圖85 Snort程序流程圖7/25/2022488.4 入侵檢測系統(tǒng)Snort（續(xù)）雖然Snort是一個輕量級的入侵檢測系統(tǒng)，但是它的功能卻非常強(qiáng)大，其特點(diǎn)如下： 1、跨平臺性 2、功能完備 3、使用插件

29、的形式 4、Snort規(guī)則描述簡單Snort基于規(guī)則的檢測機(jī)制十分簡單和靈活，使得可以迅速對新的入侵行為做出反應(yīng)，發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的安全漏洞。同時該網(wǎng)站提供幾乎與http:/（應(yīng)急響應(yīng)中心，負(fù)責(zé)全球的網(wǎng)絡(luò)安全事件以及漏洞的發(fā)布）同步的規(guī)則庫更新，因此甚至許多商業(yè)的入侵檢測軟件直接就使用Snort的規(guī)則庫。7/25/2022491、SNORT的優(yōu)點(diǎn)snort是一個輕量級的入侵檢測系統(tǒng) snort的可移植性很好 snort的功能非常強(qiáng)大 擴(kuò)展性能較好，對于新的攻擊威脅反應(yīng)迅速 snort的擴(kuò)展能力較強(qiáng)。遵循公共通用許可證GPL7/25/202250 2、SNORT的安裝 （1）如何獲得snort 可

30、以從snort的站點(diǎn)http：/獲得其源代碼或者RPM包。使用源代碼安裝snort需要libpcap庫，可以從ftp：/下載。 （2）安裝snort bash#rpm -ihv -nodeps snort-1.7-1.i386.rpm 7/25/202251 3、SNORT的應(yīng)用 （1）作為嗅探器 把TCP/IP包頭信息打印在屏幕上，輸入下面的命令： ./snort -v 要看到應(yīng)用層的數(shù)據(jù)，可以使用下面的命令： ./snort -vd 要顯示數(shù)據(jù)鏈路層的信息，使用下面的命令： ./snort -vde 下面的命令就和上面最后的一條命令等價： ./snort -d -v -e7/25/2022

31、52 （2）記錄數(shù)據(jù)包 指定一個日志目錄： ./snort -dev -l ./log 目錄以數(shù)據(jù)包目的主機(jī)的IP地址命名，例如： ./snort -dev -l ./log -h /24 把所有的包日志到一個單一的二進(jìn)制文件中： ./snort -l ./log -b 在嗅探器模式下把一個tcpdump格式的二進(jìn)制文件中的包打印到屏幕上，可以輸入下面的命令： ./snort -dv -r packet.log 從日志文件中提取ICMP包，只需要輸入下面的命令行： ./snort -dvr packet.log icmp7/25/202253 （3）作為入侵檢測系統(tǒng) 使用下面命令行可以啟動入侵

32、檢測模式： ./snort -dev -l ./log -h /24 -c snort.conf 如果想長期使用snort作為自己的入侵檢測系統(tǒng)，最好不要使用-v選項。因?yàn)槭褂眠@個選項，使snort向屏幕上輸出一些信息，會大大降低snort的處理速度，從而在向顯示器輸出的過程中丟棄一些包。 此外，在絕大多數(shù)情況下，也沒有必要記錄數(shù)據(jù)鏈路層的包頭，所以-e選項也可以不用： ./snort -d -h /24 -l ./log -c snort.conf7/25/202254 （4）配置實(shí)例 使用默認(rèn)的日志方式（以解碼的ASCII格式）并且把報警發(fā)給syslog： ./snort -c snort

33、.conf -l ./log -s -h /24 使用二進(jìn)制日志格式和SMB報警機(jī)制： ./snort -c snort.conf -b -M WORKSTATIONS （5）snort規(guī)則簡介 snort有三種處理動作：pass、log、alert。 （詳情參閱教材8.4.3 Snort的操作與使用）7/25/2022558.5入侵防御系統(tǒng) 8.5.1產(chǎn)生背景 防火墻、入侵檢測都有各自的優(yōu)點(diǎn)和缺陷，隨著網(wǎng)絡(luò)的日益普及，攻擊也越來越多，許多新的攻擊方法不僅僅利用基本網(wǎng)絡(luò)協(xié)議，還會在上層應(yīng)用協(xié)議中嵌入攻擊數(shù)據(jù)，從而逃避防火墻的攔截。另外，各種惡意程序(蠕蟲、病毒、木馬等)的廣泛傳播，導(dǎo)致來自網(wǎng)絡(luò)

34、內(nèi)部的攻擊數(shù)量大大增加，更加提高了網(wǎng)絡(luò)安全防御的難度。在這樣的情況下，僅僅依靠傳統(tǒng)的防火墻或入侵檢測技術(shù)，已經(jīng)無法對網(wǎng)絡(luò)及網(wǎng)絡(luò)內(nèi)部的各種資源進(jìn)行很好的防護(hù)，網(wǎng)絡(luò)受到攻擊后作出響應(yīng)的時間越來越滯后，不能很好地解決日趨嚴(yán)重的網(wǎng)絡(luò)安全問題。在此背景下，人們提出入侵防御系統(tǒng)(Intrusion Prevention System，IPS)的解決方案。7/25/2022568.5入侵防御系統(tǒng) 8.5.2 工作原理 IPS 作為一種網(wǎng)絡(luò)主動防御技術(shù)是當(dāng)前研究的熱點(diǎn)。與IDS相比，它在實(shí)時發(fā)現(xiàn)、阻斷攻擊、防止未知攻擊以及防御主動性等方面具有一定優(yōu)勢。 IPS要求對分析攻擊的準(zhǔn)確性要求非常高，幾乎是100%的

35、準(zhǔn)確率。在數(shù)據(jù)的處理和語法規(guī)則的定義等方面也作了很大的改進(jìn)，繼承了IDS 大部分的算法規(guī)則，并且進(jìn)行了大量改進(jìn)。主要表現(xiàn)在定義和添加語法規(guī)則更加容易，同時能夠檢測并分析出新的、未知類型攻擊。7/25/2022578.5入侵防御系統(tǒng) 8.5.2 工作原理（續(xù)） IPS實(shí)現(xiàn)實(shí)時檢查和阻止入侵的原理在于IPS擁有數(shù)目眾多的過濾器，能夠防止各種攻擊。當(dāng)新的攻擊手段被發(fā)現(xiàn)之后，IPS就會創(chuàng)建一個新的過濾器。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數(shù)據(jù)包的內(nèi)容。如果有攻擊者利用從鏈路層到應(yīng)用層的漏洞發(fā)起攻擊，IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。7/25/2022588.5入侵防御系統(tǒng) 8.5.3 IPS的分類 入侵防護(hù)系統(tǒng)根據(jù)部署方式可分為三類：基于主機(jī)的入侵防御系統(tǒng)，基于網(wǎng)絡(luò)的入侵防御系統(tǒng)，基于應(yīng)用的入侵防御系統(tǒng)。分別描述如下： 1、基于主機(jī)的入侵防御系統(tǒng)（HIPS） 2、基于網(wǎng)絡(luò)的入侵防御系統(tǒng)（NIPS） 3、基于應(yīng)用的入侵防御系統(tǒng)（AIPS）7/25/2022598.5入侵防御系統(tǒng) 8.5.3 IPS的分類（續(xù)）