入侵檢測(cè)技術(shù)課件

2022/12/23基本內(nèi)容防火墻是網(wǎng)絡(luò)系統(tǒng)的第一道安全閘門，但一般網(wǎng)絡(luò)系統(tǒng)必須對(duì)外開放一些應(yīng)用端口，如20、21、80、110等，這時(shí)防火墻的不足就會(huì)充分體現(xiàn)出來。為此我們必須借助更深入的防護(hù)技術(shù)來實(shí)施保護(hù)，本節(jié)介紹其中的一種方法——入侵檢測(cè)技術(shù)。第1頁(yè)/共48頁(yè)2022/12/19基本內(nèi)容防火墻是網(wǎng)絡(luò)系統(tǒng)的第一道安全閘門12022/12/23基本術(shù)語攻擊?攻擊者利用工具，出于某種動(dòng)機(jī)，對(duì)目標(biāo)系統(tǒng)采取的行動(dòng)，其后果是獲取/破壞/篡改目標(biāo)系統(tǒng)的數(shù)據(jù)或訪問權(quán)限事件?在攻擊過程中發(fā)生的可以識(shí)別的行動(dòng)或行動(dòng)造成的后果；在入侵檢測(cè)系統(tǒng)中，事件常常具有一系列屬性和詳細(xì)的描述信息可供用戶查看。?CIDF將入侵檢測(cè)系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件（event）第2頁(yè)/共48頁(yè)2022/12/19基本術(shù)語攻擊第2頁(yè)/共48頁(yè)22022/12/23基本術(shù)語入侵?對(duì)信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作入侵檢測(cè)?對(duì)企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過程入侵檢測(cè)系統(tǒng)（IDS）?用于輔助進(jìn)行入侵檢測(cè)或者獨(dú)立進(jìn)行入侵檢測(cè)的自動(dòng)化工具第3頁(yè)/共48頁(yè)2022/12/19基本術(shù)語入侵第3頁(yè)/共48頁(yè)32022/12/23入侵檢測(cè)系統(tǒng)概述為什么需要入侵檢測(cè)系統(tǒng)？入侵檢測(cè)系統(tǒng)是防火墻之后的第二道防線；關(guān)于防火墻網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破對(duì)某些攻擊保護(hù)很弱、粗粒度檢測(cè)：無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊，不能防止用戶由Internet上下載被病毒感染的計(jì)算機(jī)程序或?qū)⒃擃惓绦蚋皆陔娮余]件上傳輸不是所有的威脅來自防火墻外部：防火墻不能防止通向站點(diǎn)的后門，不提供對(duì)網(wǎng)絡(luò)內(nèi)部的保護(hù)第4頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)系統(tǒng)概述為什么需要入侵檢測(cè)系統(tǒng)？42022/12/23入侵檢測(cè)系統(tǒng)概述入侵很容易入侵教程隨處可見各種工具唾手可得入侵檢測(cè)是防火墻的合理補(bǔ)充，它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。第5頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)系統(tǒng)概述入侵很容易第5頁(yè)/共4852022/12/23入侵檢測(cè)入侵檢測(cè)（IntrusionDetection）是一種動(dòng)態(tài)的網(wǎng)絡(luò)檢測(cè)技術(shù)，是對(duì)入侵行為的檢測(cè)。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到攻擊的跡象。主要用于識(shí)別對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，包括來自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動(dòng)。一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象，則應(yīng)當(dāng)做出適當(dāng)?shù)姆磻?yīng)。對(duì)于正在進(jìn)行的網(wǎng)絡(luò)攻擊，則采取適當(dāng)?shù)姆椒▉碜钄喙簦ㄅc防火墻聯(lián)動(dòng)），以減少系統(tǒng)損失。對(duì)于已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊，則應(yīng)通過分析日志記錄找到發(fā)生攻擊的原因和入侵者的蹤跡，作為增強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全性和追究入侵者法律責(zé)任的依據(jù)。第6頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)入侵檢測(cè)（IntrusionD62022/12/23入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)（IDS）由執(zhí)行入侵檢測(cè)的軟件與硬件組合而成，被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過它執(zhí)行以下任務(wù)來實(shí)現(xiàn)：

1）監(jiān)視、分析用戶及系統(tǒng)活動(dòng)。

2）系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)。

3）識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警。

4）異常行為模式的統(tǒng)計(jì)分析。

5）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。

6）操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。第7頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)（IDS）由執(zhí)行72022/12/23入侵檢測(cè)系統(tǒng)的作用監(jiān)控網(wǎng)絡(luò)和系統(tǒng)發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象實(shí)時(shí)報(bào)警主動(dòng)響應(yīng)審計(jì)跟蹤形象地說，它就是網(wǎng)絡(luò)攝像機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時(shí)它也是智能攝像機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝像機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝像機(jī)，還包括保安員的攝像機(jī).第8頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)系統(tǒng)的作用監(jiān)控網(wǎng)絡(luò)和系統(tǒng)82022/12/23入侵檢測(cè)的發(fā)展歷程1980年，概念的誕生1984～1986年，模型的發(fā)展1990年，形成網(wǎng)絡(luò)IDS和主機(jī)IDS兩大陣營(yíng)九十年代后至今，百家爭(zhēng)鳴、繁榮昌盛第9頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)的發(fā)展歷程1980年，概念的誕生92022/12/23入侵檢測(cè)的原理與技術(shù)入侵檢測(cè)的實(shí)現(xiàn)方式與技術(shù)分類：1、入侵檢測(cè)系統(tǒng)根據(jù)數(shù)據(jù)包來源的不同，針對(duì)不同的檢測(cè)對(duì)象，一般地可分為網(wǎng)絡(luò)型、主機(jī)型，也可是這兩種類型的混合應(yīng)用。?基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）?基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）?混合型入侵檢測(cè)系統(tǒng)（HybridIDS）2、入侵檢測(cè)系統(tǒng)也可按照檢測(cè)方式的不同來區(qū)分：?異常檢測(cè)（Anomalydetection）?誤用檢測(cè)（Misusedetection）第10頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)的原理與技術(shù)入侵檢測(cè)的實(shí)現(xiàn)方式與102022/12/23網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)安裝在被保護(hù)的網(wǎng)段中混雜模式監(jiān)聽分析網(wǎng)段中所有的數(shù)據(jù)包實(shí)時(shí)檢測(cè)和響應(yīng)操作系統(tǒng)無關(guān)性不會(huì)增加網(wǎng)絡(luò)中主機(jī)的負(fù)載，但需要性能優(yōu)越的網(wǎng)絡(luò)處理平臺(tái)第11頁(yè)/共48頁(yè)2022/12/19網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)安裝在被保護(hù)112022/12/23圖_網(wǎng)絡(luò)IDS工作模型網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)第12頁(yè)/共48頁(yè)2022/12/19圖_網(wǎng)絡(luò)IDS工作模型網(wǎng)絡(luò)入侵檢測(cè)122022/12/23主機(jī)入侵檢測(cè)系統(tǒng)（HIDS）安裝于被保護(hù)的主機(jī)中主要分析主機(jī)內(nèi)部活動(dòng)：系統(tǒng)日志審計(jì)系統(tǒng)調(diào)用系統(tǒng)關(guān)鍵文件完整性保護(hù)本機(jī)網(wǎng)絡(luò)數(shù)據(jù)的檢測(cè)占用一定的系統(tǒng)資源第13頁(yè)/共48頁(yè)2022/12/19主機(jī)入侵檢測(cè)系統(tǒng)（HIDS）安裝于被保護(hù)132022/12/23入侵檢測(cè)的原理與技術(shù)IDS的基本結(jié)構(gòu)

無論IDS系統(tǒng)是網(wǎng)絡(luò)型的還是主機(jī)型的，從功能上看，都可分為兩大部分：探測(cè)引擎和控制中心。前者用于讀取原始數(shù)據(jù)和產(chǎn)生事件；后者用于顯示和分析事件以及策略定制等工作。第14頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)的原理與技術(shù)IDS的基本結(jié)構(gòu)第142022/12/23入侵檢測(cè)的原理與技術(shù)IDS的基本結(jié)構(gòu)

引擎的主要功能為：原始數(shù)據(jù)讀取、數(shù)據(jù)分析、產(chǎn)生事件、策略匹配、事件處理、通信等功能

第15頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)的原理與技術(shù)IDS的基本結(jié)構(gòu)152022/12/23入侵檢測(cè)的原理與技術(shù)IDS的基本結(jié)構(gòu)

控制中心的主要功能為：通信、事件讀取、事件顯示、策略定制、日志分析、系統(tǒng)幫助等?？刂浦行牡墓ぷ髁鞒?/p>

第16頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)的原理與技術(shù)IDS的基本結(jié)構(gòu)控162022/12/23入侵檢測(cè)的原理與技術(shù)IDS采用的技術(shù)

入侵檢測(cè)主要通過專家系統(tǒng)、模式匹配、協(xié)議分析或狀態(tài)轉(zhuǎn)換等方法來確定入侵行為。入侵檢測(cè)技術(shù)有：靜態(tài)配置分析技術(shù)異常檢測(cè)技術(shù)誤用檢測(cè)技術(shù)第17頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)的原理與技術(shù)IDS采用的技術(shù)第1172022/12/23入侵檢測(cè)的原理與技術(shù)1．靜態(tài)配置分析技術(shù)

靜態(tài)配置分析是通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征(系統(tǒng)配置信息)，而不是系統(tǒng)中的活動(dòng)。

第18頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)的原理與技術(shù)1．靜態(tài)配置分析技術(shù)182022/12/23入侵檢測(cè)的原理與技術(shù)2、異常檢測(cè)技術(shù)

通過對(duì)系統(tǒng)審計(jì)數(shù)據(jù)的分析建立起系統(tǒng)主體(單個(gè)用戶、一組用戶、主機(jī)，甚至是系統(tǒng)中的某個(gè)關(guān)鍵的程序和文件等)的正常行為特征輪廓；檢測(cè)時(shí)，如果系統(tǒng)中的審計(jì)數(shù)據(jù)與已建立的主體的正常行為特征有較大出入就認(rèn)為是一個(gè)入侵行為。這一檢測(cè)方法稱“異常檢測(cè)技術(shù)”。一般采用統(tǒng)計(jì)或基于規(guī)則描述的方法建立系統(tǒng)主體的行為特征輪廓，即統(tǒng)計(jì)性特征輪廓和基于規(guī)則描述的特征輪廓。異常檢測(cè)技術(shù)統(tǒng)計(jì)性特征輪廓基于規(guī)則描述的特征輪廓神經(jīng)網(wǎng)絡(luò)方法第19頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)的原理與技術(shù)2、異常檢測(cè)技術(shù)第192022/12/23入侵檢測(cè)的原理與技術(shù)3．誤用檢測(cè)技術(shù)

誤用檢測(cè)技術(shù)(MisuseDetection)：收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，通過檢測(cè)用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵，是一種基于已有的知識(shí)的檢測(cè)。核心是模式匹配，目前最成熟、廣泛采用的技術(shù)之一，常用于NIDS，也是影響其效率的關(guān)鍵因素。實(shí)現(xiàn)算法：BM算法（boyermoore）字符串匹配算法這種入侵檢測(cè)技術(shù)的主要局限在于它只是根據(jù)已知的入侵序列和系統(tǒng)缺陷的模式來檢測(cè)系統(tǒng)中的可疑行為，而不能處理對(duì)新的入侵攻擊行為以及未知的、潛在的系統(tǒng)缺陷的檢測(cè)。第20頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)的原理與技術(shù)3．誤用檢測(cè)技術(shù)第202022/12/23誤用檢測(cè)-基于入侵特征庫(kù)模式匹配的缺陷：計(jì)算的負(fù)載：該算法所需計(jì)算量極其巨大。存儲(chǔ)量巨大：模式匹配/特征搜索技術(shù)使用固定特征模式來探測(cè)攻擊，每一個(gè)變化都要求攻擊特征數(shù)據(jù)庫(kù)增加一個(gè)特征記錄。探測(cè)準(zhǔn)確性：不能智能地判斷不同字符串/命令串的真實(shí)含義和最終效果。改進(jìn)：多模式匹配算法模式中出現(xiàn)重復(fù)子串時(shí)，可以有效提高匹配效率這些出現(xiàn)重復(fù)子串的模式構(gòu)成模式樹在模式樹匹配過程中，沿用BM算法中的“壞字符”和“重復(fù)子串”兩種算法。第21頁(yè)/共48頁(yè)2022/12/19誤用檢測(cè)-基于入侵特征庫(kù)模式匹配的缺陷：212022/12/23其他誤用檢測(cè)技術(shù)專家系統(tǒng)(入侵行為編碼成專家系統(tǒng)的規(guī)則，IF-THEN方式，規(guī)則更新困難）狀態(tài)遷移分析技術(shù)（一個(gè)入侵行為就是由攻擊者執(zhí)行的一系列的操作，這些操作可以使系統(tǒng)從某些初始狀態(tài)遷移到一個(gè)可以威脅系統(tǒng)安全的狀態(tài)。）第22頁(yè)/共48頁(yè)2022/12/19其他誤用檢測(cè)技術(shù)專家系統(tǒng)(入侵行為編碼成222022/12/23入侵檢測(cè)系統(tǒng)的性能指標(biāo)1．系統(tǒng)結(jié)構(gòu)

好的IDS應(yīng)能采用分級(jí)、遠(yuǎn)距離分式部署和管理。第23頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)系統(tǒng)的性能指標(biāo)第23頁(yè)/共48頁(yè)232022/12/23入侵檢測(cè)系統(tǒng)的性能指標(biāo)2．事件數(shù)量考察IDS系統(tǒng)的一個(gè)關(guān)鍵性指標(biāo)是報(bào)警事件的多少。一般而言，事件越多，表明IDS系統(tǒng)能夠處理的能力越強(qiáng)。3．處理帶寬IDS的處理帶寬，即IDS能夠處理的網(wǎng)絡(luò)流量，是IDS的一個(gè)重要性能。目前的網(wǎng)絡(luò)IDS系統(tǒng)一般能夠處理20～30M網(wǎng)絡(luò)流量，經(jīng)過專門定制的系統(tǒng)可以勉強(qiáng)處理40～60M的流量。第24頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)系統(tǒng)的性能指標(biāo)2．事件數(shù)量第24242022/12/23入侵檢測(cè)系統(tǒng)的性能指標(biāo)4．探測(cè)引擎與控制中心的通信作為分布式結(jié)構(gòu)的IDS系統(tǒng)，通信是其自身安全的關(guān)鍵因素。通信安全通過身份認(rèn)證和數(shù)據(jù)加密兩種方法來實(shí)現(xiàn)。身份認(rèn)證是要保證一個(gè)引擎，或者子控制中心只能由固定的上級(jí)進(jìn)行控制，任何非法的控制行為將予以阻止。身份認(rèn)證采用非對(duì)稱加密算法，通過擁有對(duì)方的公鑰，進(jìn)行加密、解密完成身份認(rèn)證。第25頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)系統(tǒng)的性能指標(biāo)4．探測(cè)引擎與控制252022/12/23入侵檢測(cè)系統(tǒng)的性能指標(biāo)5．事件定義事件的可定義性或可定義事件是IDS的一個(gè)主要特性。6．二次事件對(duì)事件進(jìn)行實(shí)時(shí)統(tǒng)計(jì)分析，并產(chǎn)生新的高級(jí)事件能力。7．事件響應(yīng)通過事件上報(bào)、事件日志、Email通知、手機(jī)短信息、語音報(bào)警等方式進(jìn)行響應(yīng)。還可通過TCP阻斷、防火墻聯(lián)動(dòng)等方式主動(dòng)響應(yīng)。8．自身安全自身安全指的是探測(cè)引擎的安全性。要有良好的隱蔽性，一般使用定制的操作系統(tǒng)。9．終端安全主要指控制中心的安全性。有多個(gè)用戶、多個(gè)級(jí)別的控制中心，不同的用戶應(yīng)該有不同的權(quán)限，保證控制中心的安全性。第26頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)系統(tǒng)的性能指標(biāo)5．事件定義第26262022/12/23IDS發(fā)展方向研究方向解決誤報(bào)和漏報(bào)學(xué)術(shù)界反攻擊（retaliation）神經(jīng)網(wǎng)絡(luò)數(shù)據(jù)挖掘（DataMining）工業(yè)界檢測(cè)算法關(guān)聯(lián)性（correlation）千兆網(wǎng)絡(luò)IDS第27頁(yè)/共48頁(yè)2022/12/19IDS發(fā)展方向研究方向第27頁(yè)/共48頁(yè)272022/12/23IDS發(fā)展方向（續(xù)）新概念-IPS（入侵防御系統(tǒng)）特點(diǎn)：網(wǎng)關(guān)級(jí)產(chǎn)品，檢測(cè)并阻止入侵流量進(jìn)入網(wǎng)絡(luò)入侵分析算法采用協(xié)議分析技術(shù)，提高報(bào)警的準(zhǔn)確率和性能將IDS與抵抗DOS結(jié)合優(yōu)點(diǎn)：能夠真正檢測(cè)并阻擋攻擊融合防火墻、IDS、防病毒，有效保護(hù)第28頁(yè)/共48頁(yè)2022/12/19IDS發(fā)展方向（續(xù)）新概念-IPS（入侵282022/12/23IDS存在的問題1）布局和布點(diǎn)問題IDS布局位置決定安全檢測(cè)程度布點(diǎn)分布模型、完整性和丟失率IDS是并接在網(wǎng)絡(luò)信道中（防火墻串接）IDS不是瓶頸，而是滯后IDS+Fw模式，F(xiàn)w是瓶頸IDS+Fw模式，聯(lián)動(dòng)滯后需要多點(diǎn)布局，綜合判別第29頁(yè)/共48頁(yè)2022/12/19IDS存在的問題1）布局和布點(diǎn)問題第29292022/12/23IDS的布局問題FirewallRouterSwitch-1Switch-2ServersNetworkIDSServerInternet1234①檢測(cè)所有通信，可由Fw阻斷②檢測(cè)所有通信，但已無法阻斷③檢測(cè)交換機(jī)1的通信④檢測(cè)網(wǎng)段2所有通信第30頁(yè)/共48頁(yè)2022/12/19IDS的布局問題FirewallRout302022/12/23IDS存在的問題2）檢測(cè)問題信息獲取的局限（網(wǎng)絡(luò)、網(wǎng)段和主機(jī)）檢測(cè)算法、模型、加速算法、規(guī)則（特征）庫(kù)智能檢測(cè)和確認(rèn)問題多協(xié)議和多類型檢測(cè)檢測(cè)引擎和檢測(cè)工具問題檢測(cè)系統(tǒng)與操作系統(tǒng)的接口問題缺乏統(tǒng)一的入侵檢測(cè)術(shù)語和概念框架第31頁(yè)/共48頁(yè)2022/12/19IDS存在的問題2）檢測(cè)問題第31頁(yè)/共312022/12/23IDS存在的問題3）分析問題由于網(wǎng)段信號(hào)分流，帶寬增加，功能會(huì)下降極增的網(wǎng)絡(luò)流量導(dǎo)致檢測(cè)分析難度加大由于網(wǎng)絡(luò)隨時(shí)擴(kuò)展，無法觀測(cè)到所有通信檢測(cè)算法和模式限制，數(shù)據(jù)之特征各異智能化不夠，無法理解壓縮、加密數(shù)據(jù)包容易出現(xiàn)漏報(bào)、誤報(bào)和錯(cuò)報(bào)高速網(wǎng)絡(luò)使數(shù)據(jù)的實(shí)時(shí)分析更加困難第32頁(yè)/共48頁(yè)2022/12/19IDS存在的問題3）分析問題第32頁(yè)/共322022/12/23NIDS發(fā)展方向提高NIDS質(zhì)量和功能有效集成各種入侵檢測(cè)數(shù)據(jù)源充分利用不同系統(tǒng)和傳感器采集的數(shù)據(jù)降低漏、誤、錯(cuò)報(bào)率，提高報(bào)警準(zhǔn)確率充實(shí)完善模式庫(kù)和規(guī)則庫(kù)提高智能檢測(cè)，結(jié)合人工分析診斷增強(qiáng)針對(duì)IDS的攻擊，注意繞過IDS攻擊增強(qiáng)異種系統(tǒng)的互操作性和數(shù)據(jù)一致性第33頁(yè)/共48頁(yè)2022/12/19NIDS發(fā)展方向提高NIDS質(zhì)量和功能第332022/12/23NIDS發(fā)展方向（續(xù)）研制可靠的測(cè)試和評(píng)估標(biāo)準(zhǔn)提供科學(xué)的漏洞分類方法注重攻擊客體而不是攻擊主體的觀點(diǎn)提供對(duì)更高級(jí)的攻擊行為的檢測(cè)手段提高對(duì)其他攻擊的檢測(cè)能力，如email攻擊，Java，ActiveX等。積累分析漏報(bào)、錯(cuò)報(bào)、誤報(bào)原因，研究處理和恢復(fù)方案。第34頁(yè)/共48頁(yè)2022/12/19NIDS發(fā)展方向（續(xù)）研制可靠的測(cè)試和評(píng)342022/12/23NIDS發(fā)展方向（續(xù)）軟件硬化（網(wǎng)絡(luò)處理器)智能檢測(cè)方法（協(xié)議分析，神經(jīng)系統(tǒng)等）集成網(wǎng)絡(luò)分析和數(shù)據(jù)處理防火墻聯(lián)動(dòng)高速網(wǎng)絡(luò)數(shù)據(jù)流的檢測(cè)嚴(yán)格的自身安全第35頁(yè)/共48頁(yè)2022/12/19NIDS發(fā)展方向（續(xù)）軟件硬化（網(wǎng)絡(luò)處理352022/12/23入侵防御系統(tǒng)

IDS只能被動(dòng)地檢測(cè)攻擊，而不能主動(dòng)地把變化莫測(cè)的威脅阻止在網(wǎng)絡(luò)之外。因此，人們迫切地需要找到一種主動(dòng)入侵防護(hù)解決方案，以確保企業(yè)網(wǎng)絡(luò)在威脅四起的環(huán)境下正常運(yùn)行。入侵防御系統(tǒng)（IntrusionPreventionSystem或IntrusionDetectionPrevention，即IPS或IDP）就應(yīng)運(yùn)而生了。IPS是一種智能化的入侵檢測(cè)和防御產(chǎn)品，它不但能檢測(cè)入侵的發(fā)生，而且能通過一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為的發(fā)生和發(fā)展，實(shí)時(shí)地保護(hù)信息系統(tǒng)不受實(shí)質(zhì)性的攻擊。IPS使得IDS和防火墻走向統(tǒng)一。

IPS在網(wǎng)絡(luò)中一般有四種連接方式：Span（接在交換機(jī)旁邊，作為端口映像）、Tap（接在交換機(jī)與路由器中間，旁路安裝，拷貝一份數(shù)據(jù)到IPS中）、Inline（接在交換機(jī)與路由器中間，在線安裝，在線阻斷攻擊）和Port-cluster（被動(dòng)抓包，在線安裝）。它在報(bào)警的同時(shí)，能阻斷攻擊。第36頁(yè)/共48頁(yè)2022/12/19入侵防御系統(tǒng)IDS只能被動(dòng)地檢測(cè)362022/12/23蜜網(wǎng)Honeynet

Honeynet是一個(gè)網(wǎng)絡(luò)系統(tǒng)，并非某臺(tái)單一主機(jī)，這一網(wǎng)絡(luò)系統(tǒng)隱藏在防火墻的后面，所有進(jìn)出的數(shù)據(jù)都受到關(guān)注、捕獲及控制。這些被捕獲的數(shù)據(jù)用來研究分析入侵者們使用的工具、方法及動(dòng)機(jī)。在一個(gè)Honeynet中，可以使用各種不同的操作系統(tǒng)及設(shè)備，如Solaris、Linux、WindowsNT、CiscoSwitch等。這樣，建立的網(wǎng)絡(luò)環(huán)境看上去會(huì)更加真實(shí)可信，同時(shí)還有不同的系統(tǒng)平臺(tái)上面運(yùn)行著不同的服務(wù)，比如Linux的DNSServer、WindowsNT的WebServer或者一個(gè)Solaris的FTPServer，可以使用不同的工具以及不同的策略或許某些入侵者僅僅把目標(biāo)定于幾個(gè)特定的系統(tǒng)漏洞上，而這種多樣化的系統(tǒng)，就可能更多地揭示出入侵者的一些特性。第37頁(yè)/共48頁(yè)2022/12/19蜜網(wǎng)HoneynetHoneynet是372022/12/23蜜網(wǎng)Honeynet利用Snort軟件安裝Win2000Server下的蜜網(wǎng)陷阱

Snort是一個(gè)強(qiáng)大的輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。它具有實(shí)時(shí)數(shù)據(jù)流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對(duì)內(nèi)容進(jìn)行搜索/匹配。它能夠檢測(cè)各種不同的攻擊方式，對(duì)攻擊進(jìn)行實(shí)時(shí)報(bào)警。構(gòu)建完整的Snort系統(tǒng)需要以下軟件，詳細(xì)安裝方法請(qǐng)參照網(wǎng)上相關(guān)資料。acid-0.9.6b23.tar.gz

基于php的入侵檢測(cè)數(shù)據(jù)庫(kù)分析控制臺(tái)adodb360.zipADOdb（ActiveDataObjectsDataBase）庫(kù)forPHPapache_2.0.46-win32-x86-no_src.msiWindows版本的ApacheWeb服務(wù)器jpgraph-1.12.2.tar.gzOO圖形庫(kù)forPHPmysql-4.0.13-win.zipWindows版本的Mysql數(shù)據(jù)庫(kù)服務(wù)器php-4.3.2-Win32.zipWindows版本的php腳本環(huán)境支持snort-2_0_0.exeWindows版本的Snort安裝包WinPcap_3_0.exe

網(wǎng)絡(luò)數(shù)據(jù)包截取驅(qū)動(dòng)程序phpmyadmin-2.5.1-php.zip

基于php的Mysql數(shù)據(jù)庫(kù)管理程序第38頁(yè)/共48頁(yè)2022/12/19蜜網(wǎng)Honeynet利用Snort軟件安382022/12/23

天闐黑客入侵檢測(cè)與預(yù)警系統(tǒng)是一種動(dòng)態(tài)的入侵檢測(cè)與響應(yīng)系統(tǒng)。它利用全面流量監(jiān)控發(fā)現(xiàn)異常，結(jié)合地理信息顯示入侵事件的定位狀況，應(yīng)用入侵和漏洞之間具有的對(duì)應(yīng)關(guān)聯(lián)關(guān)系，給出入侵威脅和資產(chǎn)脆弱性之間的風(fēng)險(xiǎn)分析結(jié)果，從而有效地管理安全事件并進(jìn)行及時(shí)處理和響應(yīng)。它能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)傳輸，自動(dòng)檢測(cè)可疑行為，及時(shí)發(fā)現(xiàn)來自網(wǎng)絡(luò)外部或內(nèi)部的攻擊。天闐系統(tǒng)可以與防火墻緊密結(jié)合，彌補(bǔ)了防火墻的訪問控制不嚴(yán)密的問題。包含如下五個(gè)獨(dú)立的部分：1）天闐網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，產(chǎn)品型號(hào)：NS200/NS500/NS2200/NS2800。2）天闐入侵事件定位系統(tǒng)，產(chǎn)品型號(hào)：IMS-EP。3）天闐網(wǎng)絡(luò)異常流量監(jiān)測(cè)系統(tǒng)，產(chǎn)品型號(hào)：FS1900。4）天闐入侵風(fēng)險(xiǎn)評(píng)估系統(tǒng)，產(chǎn)品型號(hào)：IMS-RA。5）天闐主機(jī)入侵檢測(cè)系統(tǒng)，產(chǎn)品型號(hào)：HS120/HS220/HS320/HS420/HS520天闐黑客入侵檢測(cè)與預(yù)警系統(tǒng)第39頁(yè)/共48頁(yè)2022/12/19天闐黑客入侵檢測(cè)與預(yù)警系統(tǒng)是一種392022/12/23天闐網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)典型部署結(jié)構(gòu)圖

天闐黑客入侵檢測(cè)與預(yù)警系統(tǒng)第40頁(yè)/共48頁(yè)2022/12/19天闐網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)典型部署結(jié)構(gòu)圖天闐402022/12/23

本節(jié)首先分析了網(wǎng)絡(luò)攻擊或入侵的概念，介紹了六個(gè)攻擊的層次和相應(yīng)的防范策略。在此基礎(chǔ)上引出入侵檢測(cè)系統(tǒng)。介紹了基于主機(jī)和基于網(wǎng)絡(luò)的兩種入侵檢測(cè)系統(tǒng)的概念、基本組成結(jié)構(gòu)和相應(yīng)的工作原理。介紹了入侵檢測(cè)系統(tǒng)中常用的四種技術(shù)：靜態(tài)配置分析、異常檢測(cè)方法、誤用檢測(cè)和基于系統(tǒng)關(guān)鍵程序的安全規(guī)格描述方法。給出了入侵系統(tǒng)的性能評(píng)價(jià)指標(biāo)。介紹了流行的蜜網(wǎng)陷阱系統(tǒng)Honeynet，用以獲取網(wǎng)絡(luò)攻擊的行為和方法。對(duì)入侵防御系統(tǒng)IPS作了簡(jiǎn)單介紹。

小結(jié)第41頁(yè)/共48頁(yè)2022/12/19本節(jié)首先分析了網(wǎng)絡(luò)攻擊或入侵的概412022/12/23課后思考：請(qǐng)參考34~37頁(yè)P(yáng)PT，分析IDS存在的問題，并嘗試性提出對(duì)策。第42頁(yè)/共48頁(yè)2022/12/19課后思考：請(qǐng)參考34~37頁(yè)P(yáng)PT，分析422022/12/23補(bǔ)充第43頁(yè)/共48頁(yè)2022/12/19補(bǔ)充第43頁(yè)/共48頁(yè)432022/12/23Boyer-Moore算法P:模式字串T:被匹配的字串LP:模式串的長(zhǎng)度LT:母串的長(zhǎng)度P1:模式串第一個(gè)字符PLP:模式串的最后一個(gè)字符T1:母串第一個(gè)字符TLT:母串的最后一個(gè)字符第44頁(yè)/共48頁(yè)2022/12/19Boyer-Moore算法P:模式字442022/12/23Boyer-Moore算法（續(xù)）第45頁(yè)/共48頁(yè)2022/12/19Boyer-Moore算法（續(xù)）第45452022/12/23AC-BM算法相同點(diǎn)：a:Boyer-Moore->Badcharactershift.b:Aho-Corasick->Keywordtree不同點(diǎn)：a:BM：usinggoodprefixshiftInsteadoforiginalgoodsuffixshift.b:BM：packet(text,T)searchedfromrighttoleft,thetree(pattern,P)searchedfromlefttoright.c:AC：Insteadofbuildingatreebasedonsuffixesthistreewillbebuiltonprefixes.第46頁(yè)/共48頁(yè)2022/12/19AC-BM算法相同點(diǎn)：第46頁(yè)/共48頁(yè)462022/12/23ExB算法SupposethatwewanttocheckwhetherasmallinputIcontainsastringS.Then,ifthereisatleastonecharacterinSthatisnotinI,thenSisnotinI.第47頁(yè)/共48頁(yè)2022/12/19ExB算法Supposethatwe472022/12/23謝謝您的觀看！第48頁(yè)/共48頁(yè)2022/12/19謝謝您的觀看！第48頁(yè)/共48頁(yè)482022/12/23基本內(nèi)容防火墻是網(wǎng)絡(luò)系統(tǒng)的第一道安全閘門，但一般網(wǎng)絡(luò)系統(tǒng)必須對(duì)外開放一些應(yīng)用端口，如20、21、80、110等，這時(shí)防火墻的不足就會(huì)充分體現(xiàn)出來。為此我們必須借助更深入的防護(hù)技術(shù)來實(shí)施保護(hù)，本節(jié)介紹其中的一種方法——入侵檢測(cè)技術(shù)。第1頁(yè)/共48頁(yè)2022/12/19基本內(nèi)容防火墻是網(wǎng)絡(luò)系統(tǒng)的第一道安全閘門492022/12/23基本術(shù)語攻擊?攻擊者利用工具，出于某種動(dòng)機(jī)，對(duì)目標(biāo)系統(tǒng)采取的行動(dòng)，其后果是獲取/破壞/篡改目標(biāo)系統(tǒng)的數(shù)據(jù)或訪問權(quán)限事件?在攻擊過程中發(fā)生的可以識(shí)別的行動(dòng)或行動(dòng)造成的后果；在入侵檢測(cè)系統(tǒng)中，事件常常具有一系列屬性和詳細(xì)的描述信息可供用戶查看。?CIDF將入侵檢測(cè)系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件（event）第2頁(yè)/共48頁(yè)2022/12/19基本術(shù)語攻擊第2頁(yè)/共48頁(yè)502022/12/23基本術(shù)語入侵?對(duì)信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作入侵檢測(cè)?對(duì)企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過程入侵檢測(cè)系統(tǒng)（IDS）?用于輔助進(jìn)行入侵檢測(cè)或者獨(dú)立進(jìn)行入侵檢測(cè)的自動(dòng)化工具第3頁(yè)/共48頁(yè)2022/12/19基本術(shù)語入侵第3頁(yè)/共48頁(yè)512022/12/23入侵檢測(cè)系統(tǒng)概述為什么需要入侵檢測(cè)系統(tǒng)？入侵檢測(cè)系統(tǒng)是防火墻之后的第二道防線；關(guān)于防火墻網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破對(duì)某些攻擊保護(hù)很弱、粗粒度檢測(cè)：無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊，不能防止用戶由Internet上下載被病毒感染的計(jì)算機(jī)程序或?qū)⒃擃惓绦蚋皆陔娮余]件上傳輸不是所有的威脅來自防火墻外部：防火墻不能防止通向站點(diǎn)的后門，不提供對(duì)網(wǎng)絡(luò)內(nèi)部的保護(hù)第4頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)系統(tǒng)概述為什么需要入侵檢測(cè)系統(tǒng)？522022/12/23入侵檢測(cè)系統(tǒng)概述入侵很容易入侵教程隨處可見各種工具唾手可得入侵檢測(cè)是防火墻的合理補(bǔ)充，它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。第5頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)系統(tǒng)概述入侵很容易第5頁(yè)/共48532022/12/23入侵檢測(cè)入侵檢測(cè)（IntrusionDetection）是一種動(dòng)態(tài)的網(wǎng)絡(luò)檢測(cè)技術(shù)，是對(duì)入侵行為的檢測(cè)。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到攻擊的跡象。主要用于識(shí)別對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，包括來自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動(dòng)。一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象，則應(yīng)當(dāng)做出適當(dāng)?shù)姆磻?yīng)。對(duì)于正在進(jìn)行的網(wǎng)絡(luò)攻擊，則采取適當(dāng)?shù)姆椒▉碜钄喙簦ㄅc防火墻聯(lián)動(dòng)），以減少系統(tǒng)損失。對(duì)于已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊，則應(yīng)通過分析日志記錄找到發(fā)生攻擊的原因和入侵者的蹤跡，作為增強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全性和追究入侵者法律責(zé)任的依據(jù)。第6頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)入侵檢測(cè)（IntrusionD542022/12/23入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)（IDS）由執(zhí)行入侵檢測(cè)的軟件與硬件組合而成，被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過它執(zhí)行以下任務(wù)來實(shí)現(xiàn)：

1）監(jiān)視、分析用戶及系統(tǒng)活動(dòng)。

2）系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)。

3）識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警。

4）異常行為模式的統(tǒng)計(jì)分析。

5）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。

6）操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。第7頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)（IDS）由執(zhí)行552022/12/23入侵檢測(cè)系統(tǒng)的作用監(jiān)控網(wǎng)絡(luò)和系統(tǒng)發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象實(shí)時(shí)報(bào)警主動(dòng)響應(yīng)審計(jì)跟蹤形象地說，它就是網(wǎng)絡(luò)攝像機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時(shí)它也是智能攝像機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝像機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝像機(jī)，還包括保安員的攝像機(jī).第8頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)系統(tǒng)的作用監(jiān)控網(wǎng)絡(luò)和系統(tǒng)562022/12/23入侵檢測(cè)的發(fā)展歷程1980年，概念的誕生1984～1986年，模型的發(fā)展1990年，形成網(wǎng)絡(luò)IDS和主機(jī)IDS兩大陣營(yíng)九十年代后至今，百家爭(zhēng)鳴、繁榮昌盛第9頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)的發(fā)展歷程1980年，概念的誕生572022/12/23入侵檢測(cè)的原理與技術(shù)入侵檢測(cè)的實(shí)現(xiàn)方式與技術(shù)分類：1、入侵檢測(cè)系統(tǒng)根據(jù)數(shù)據(jù)包來源的不同，針對(duì)不同的檢測(cè)對(duì)象，一般地可分為網(wǎng)絡(luò)型、主機(jī)型，也可是這兩種類型的混合應(yīng)用。?基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）?基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）?混合型入侵檢測(cè)系統(tǒng)（HybridIDS）2、入侵檢測(cè)系統(tǒng)也可按照檢測(cè)方式的不同來區(qū)分：?異常檢測(cè)（Anomalydetection）?誤用檢測(cè)（Misusedetection）第10頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)的原理與技術(shù)入侵檢測(cè)的實(shí)現(xiàn)方式與582022/12/23網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)安裝在被保護(hù)的網(wǎng)段中混雜模式監(jiān)聽分析網(wǎng)段中所有的數(shù)據(jù)包實(shí)時(shí)檢測(cè)和響應(yīng)操作系統(tǒng)無關(guān)性不會(huì)增加網(wǎng)絡(luò)中主機(jī)的負(fù)載，但需要性能優(yōu)越的網(wǎng)絡(luò)處理平臺(tái)第11頁(yè)/共48頁(yè)2022/12/19網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)安裝在被保護(hù)592022/12/23圖_網(wǎng)絡(luò)IDS工作模型網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)第12頁(yè)/共48頁(yè)2022/12/19圖_網(wǎng)絡(luò)IDS工作模型網(wǎng)絡(luò)入侵檢測(cè)602022/12/23主機(jī)入侵檢測(cè)系統(tǒng)（HIDS）安裝于被保護(hù)的主機(jī)中主要分析主機(jī)內(nèi)部活動(dòng)：系統(tǒng)日志審計(jì)系統(tǒng)調(diào)用系統(tǒng)關(guān)鍵文件完整性保護(hù)本機(jī)網(wǎng)絡(luò)數(shù)據(jù)的檢測(cè)占用一定的系統(tǒng)資源第13頁(yè)/共48頁(yè)2022/12/19主機(jī)入侵檢測(cè)系統(tǒng)（HIDS）安裝于被保護(hù)612022/12/23入侵檢測(cè)的原理與技術(shù)IDS的基本結(jié)構(gòu)

無論IDS系統(tǒng)是網(wǎng)絡(luò)型的還是主機(jī)型的，從功能上看，都可分為兩大部分：探測(cè)引擎和控制中心。前者用于讀取原始數(shù)據(jù)和產(chǎn)生事件；后者用于顯示和分析事件以及策略定制等工作。第14頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)的原理與技術(shù)IDS的基本結(jié)構(gòu)第622022/12/23入侵檢測(cè)的原理與技術(shù)IDS的基本結(jié)構(gòu)

引擎的主要功能為：原始數(shù)據(jù)讀取、數(shù)據(jù)分析、產(chǎn)生事件、策略匹配、事件處理、通信等功能

第15頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)的原理與技術(shù)IDS的基本結(jié)構(gòu)632022/12/23入侵檢測(cè)的原理與技術(shù)IDS的基本結(jié)構(gòu)

控制中心的主要功能為：通信、事件讀取、事件顯示、策略定制、日志分析、系統(tǒng)幫助等?？刂浦行牡墓ぷ髁鞒?/p>

第16頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)的原理與技術(shù)IDS的基本結(jié)構(gòu)控642022/12/23入侵檢測(cè)的原理與技術(shù)IDS采用的技術(shù)

入侵檢測(cè)主要通過專家系統(tǒng)、模式匹配、協(xié)議分析或狀態(tài)轉(zhuǎn)換等方法來確定入侵行為。入侵檢測(cè)技術(shù)有：靜態(tài)配置分析技術(shù)異常檢測(cè)技術(shù)誤用檢測(cè)技術(shù)第17頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)的原理與技術(shù)IDS采用的技術(shù)第1652022/12/23入侵檢測(cè)的原理與技術(shù)1．靜態(tài)配置分析技術(shù)

靜態(tài)配置分析是通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征(系統(tǒng)配置信息)，而不是系統(tǒng)中的活動(dòng)。

第18頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)的原理與技術(shù)1．靜態(tài)配置分析技術(shù)662022/12/23入侵檢測(cè)的原理與技術(shù)2、異常檢測(cè)技術(shù)

通過對(duì)系統(tǒng)審計(jì)數(shù)據(jù)的分析建立起系統(tǒng)主體(單個(gè)用戶、一組用戶、主機(jī)，甚至是系統(tǒng)中的某個(gè)關(guān)鍵的程序和文件等)的正常行為特征輪廓；檢測(cè)時(shí)，如果系統(tǒng)中的審計(jì)數(shù)據(jù)與已建立的主體的正常行為特征有較大出入就認(rèn)為是一個(gè)入侵行為。這一檢測(cè)方法稱“異常檢測(cè)技術(shù)”。一般采用統(tǒng)計(jì)或基于規(guī)則描述的方法建立系統(tǒng)主體的行為特征輪廓，即統(tǒng)計(jì)性特征輪廓和基于規(guī)則描述的特征輪廓。異常檢測(cè)技術(shù)統(tǒng)計(jì)性特征輪廓基于規(guī)則描述的特征輪廓神經(jīng)網(wǎng)絡(luò)方法第19頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)的原理與技術(shù)2、異常檢測(cè)技術(shù)第672022/12/23入侵檢測(cè)的原理與技術(shù)3．誤用檢測(cè)技術(shù)

誤用檢測(cè)技術(shù)(MisuseDetection)：收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，通過檢測(cè)用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵，是一種基于已有的知識(shí)的檢測(cè)。核心是模式匹配，目前最成熟、廣泛采用的技術(shù)之一，常用于NIDS，也是影響其效率的關(guān)鍵因素。實(shí)現(xiàn)算法：BM算法（boyermoore）字符串匹配算法這種入侵檢測(cè)技術(shù)的主要局限在于它只是根據(jù)已知的入侵序列和系統(tǒng)缺陷的模式來檢測(cè)系統(tǒng)中的可疑行為，而不能處理對(duì)新的入侵攻擊行為以及未知的、潛在的系統(tǒng)缺陷的檢測(cè)。第20頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)的原理與技術(shù)3．誤用檢測(cè)技術(shù)第682022/12/23誤用檢測(cè)-基于入侵特征庫(kù)模式匹配的缺陷：計(jì)算的負(fù)載：該算法所需計(jì)算量極其巨大。存儲(chǔ)量巨大：模式匹配/特征搜索技術(shù)使用固定特征模式來探測(cè)攻擊，每一個(gè)變化都要求攻擊特征數(shù)據(jù)庫(kù)增加一個(gè)特征記錄。探測(cè)準(zhǔn)確性：不能智能地判斷不同字符串/命令串的真實(shí)含義和最終效果。改進(jìn)：多模式匹配算法模式中出現(xiàn)重復(fù)子串時(shí)，可以有效提高匹配效率這些出現(xiàn)重復(fù)子串的模式構(gòu)成模式樹在模式樹匹配過程中，沿用BM算法中的“壞字符”和“重復(fù)子串”兩種算法。第21頁(yè)/共48頁(yè)2022/12/19誤用檢測(cè)-基于入侵特征庫(kù)模式匹配的缺陷：692022/12/23其他誤用檢測(cè)技術(shù)專家系統(tǒng)(入侵行為編碼成專家系統(tǒng)的規(guī)則，IF-THEN方式，規(guī)則更新困難）狀態(tài)遷移分析技術(shù)（一個(gè)入侵行為就是由攻擊者執(zhí)行的一系列的操作，這些操作可以使系統(tǒng)從某些初始狀態(tài)遷移到一個(gè)可以威脅系統(tǒng)安全的狀態(tài)。）第22頁(yè)/共48頁(yè)2022/12/19其他誤用檢測(cè)技術(shù)專家系統(tǒng)(入侵行為編碼成702022/12/23入侵檢測(cè)系統(tǒng)的性能指標(biāo)1．系統(tǒng)結(jié)構(gòu)

好的IDS應(yīng)能采用分級(jí)、遠(yuǎn)距離分式部署和管理。第23頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)系統(tǒng)的性能指標(biāo)第23頁(yè)/共48頁(yè)712022/12/23入侵檢測(cè)系統(tǒng)的性能指標(biāo)2．事件數(shù)量考察IDS系統(tǒng)的一個(gè)關(guān)鍵性指標(biāo)是報(bào)警事件的多少。一般而言，事件越多，表明IDS系統(tǒng)能夠處理的能力越強(qiáng)。3．處理帶寬IDS的處理帶寬，即IDS能夠處理的網(wǎng)絡(luò)流量，是IDS的一個(gè)重要性能。目前的網(wǎng)絡(luò)IDS系統(tǒng)一般能夠處理20～30M網(wǎng)絡(luò)流量，經(jīng)過專門定制的系統(tǒng)可以勉強(qiáng)處理40～60M的流量。第24頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)系統(tǒng)的性能指標(biāo)2．事件數(shù)量第24722022/12/23入侵檢測(cè)系統(tǒng)的性能指標(biāo)4．探測(cè)引擎與控制中心的通信作為分布式結(jié)構(gòu)的IDS系統(tǒng)，通信是其自身安全的關(guān)鍵因素。通信安全通過身份認(rèn)證和數(shù)據(jù)加密兩種方法來實(shí)現(xiàn)。身份認(rèn)證是要保證一個(gè)引擎，或者子控制中心只能由固定的上級(jí)進(jìn)行控制，任何非法的控制行為將予以阻止。身份認(rèn)證采用非對(duì)稱加密算法，通過擁有對(duì)方的公鑰，進(jìn)行加密、解密完成身份認(rèn)證。第25頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)系統(tǒng)的性能指標(biāo)4．探測(cè)引擎與控制732022/12/23入侵檢測(cè)系統(tǒng)的性能指標(biāo)5．事件定義事件的可定義性或可定義事件是IDS的一個(gè)主要特性。6．二次事件對(duì)事件進(jìn)行實(shí)時(shí)統(tǒng)計(jì)分析，并產(chǎn)生新的高級(jí)事件能力。7．事件響應(yīng)通過事件上報(bào)、事件日志、Email通知、手機(jī)短信息、語音報(bào)警等方式進(jìn)行響應(yīng)。還可通過TCP阻斷、防火墻聯(lián)動(dòng)等方式主動(dòng)響應(yīng)。8．自身安全自身安全指的是探測(cè)引擎的安全性。要有良好的隱蔽性，一般使用定制的操作系統(tǒng)。9．終端安全主要指控制中心的安全性。有多個(gè)用戶、多個(gè)級(jí)別的控制中心，不同的用戶應(yīng)該有不同的權(quán)限，保證控制中心的安全性。第26頁(yè)/共48頁(yè)2022/12/19入侵檢測(cè)系統(tǒng)的性能指標(biāo)5．事件定義第26742022/12/23IDS發(fā)展方向研究方向解決誤報(bào)和漏報(bào)學(xué)術(shù)界反攻擊（retaliation）神經(jīng)網(wǎng)絡(luò)數(shù)據(jù)挖掘（DataMining）工業(yè)界檢測(cè)算法關(guān)聯(lián)性（correlation）千兆網(wǎng)絡(luò)IDS第27頁(yè)/共48頁(yè)2022/12/19IDS發(fā)展方向研究方向第27頁(yè)/共48頁(yè)752022/12/23IDS發(fā)展方向（續(xù)）新概念-IPS（入侵防御系統(tǒng)）特點(diǎn)：網(wǎng)關(guān)級(jí)產(chǎn)品，檢測(cè)并阻止入侵流量進(jìn)入網(wǎng)絡(luò)入侵分析算法采用協(xié)議分析技術(shù)，提高報(bào)警的準(zhǔn)確率和性能將IDS與抵抗DOS結(jié)合優(yōu)點(diǎn)：能夠真正檢測(cè)并阻擋攻擊融合防火墻、IDS、防病毒，有效保護(hù)第28頁(yè)/共48頁(yè)2022/12/19IDS發(fā)展方向（續(xù)）新概念-IPS（入侵762022/12/23IDS存在的問題1）布局和布點(diǎn)問題IDS布局位置決定安全檢測(cè)程度布點(diǎn)分布模型、完整性和丟失率IDS是并接在網(wǎng)絡(luò)信道中（防火墻串接）IDS不是瓶頸，而是滯后IDS+Fw模式，F(xiàn)w是瓶頸IDS+Fw模式，聯(lián)動(dòng)滯后需要多點(diǎn)布局，綜合判別第29頁(yè)/共48頁(yè)2022/12/19IDS存在的問題1）布局和布點(diǎn)問題第29772022/12/23IDS的布局問題FirewallRouterSwitch-1Switch-2ServersNetworkIDSServerInternet1234①檢測(cè)所有通信，可由Fw阻斷②檢測(cè)所有通信，但已無法阻斷③檢測(cè)交換機(jī)1的通信④檢測(cè)網(wǎng)段2所有通信第30頁(yè)/共48頁(yè)2022/12/19IDS的布局問題FirewallRout782022/12/23IDS存在的問題2）檢測(cè)問題信息獲取的局限（網(wǎng)絡(luò)、網(wǎng)段和主機(jī)）檢測(cè)算法、模型、加速算法、規(guī)則（特征）庫(kù)智能檢測(cè)和確認(rèn)問題多協(xié)議和多類型檢測(cè)檢測(cè)引擎和檢測(cè)工具問題檢測(cè)系統(tǒng)與操作系統(tǒng)的接口問題缺乏統(tǒng)一的入侵檢測(cè)術(shù)語和概念框架第31頁(yè)/共48頁(yè)2022/12/19IDS存在的問題2）檢測(cè)問題第31頁(yè)/共792022/12/23IDS存在的問題3）分析問題由于網(wǎng)段信號(hào)分流，帶寬增加，功能會(huì)下降極增的網(wǎng)絡(luò)流量導(dǎo)致檢測(cè)分析難度加大由于網(wǎng)絡(luò)隨時(shí)擴(kuò)展，無法觀測(cè)到所有通信檢測(cè)算法和模式限制，數(shù)據(jù)之特征各異智能化不夠，無法理解壓縮、加密數(shù)據(jù)包容易出現(xiàn)漏報(bào)、誤報(bào)和錯(cuò)報(bào)高速網(wǎng)絡(luò)使數(shù)據(jù)的實(shí)時(shí)分析更加困難第32頁(yè)/共48頁(yè)2022/12/19IDS存在的問題3）分析問題第32頁(yè)/共802022/12/23NIDS發(fā)展方向提高NIDS質(zhì)量和功能有效集成各種入侵檢測(cè)數(shù)據(jù)源充分利用不同系統(tǒng)和傳感器采集的數(shù)據(jù)降低漏、誤、錯(cuò)報(bào)率，提高報(bào)警準(zhǔn)確率充實(shí)完善模式庫(kù)和規(guī)則庫(kù)提高智能檢測(cè)，結(jié)合人工分析診斷增強(qiáng)針對(duì)IDS的攻擊，注意繞過IDS攻擊增強(qiáng)異種系統(tǒng)的互操作性和數(shù)據(jù)一致性第33頁(yè)/共48頁(yè)2022/12/19NIDS發(fā)展方向提高NIDS質(zhì)量和功能第812022/12/23NIDS發(fā)展方向（續(xù)）研制可靠的測(cè)試和評(píng)估標(biāo)準(zhǔn)提供科學(xué)的漏洞分類方法注重攻擊客體而不是攻擊主體的觀點(diǎn)提供對(duì)更高級(jí)的攻擊行為的檢測(cè)手段提高對(duì)其他攻擊的檢測(cè)能力，如email攻擊，Java，ActiveX等。積累分析漏報(bào)、錯(cuò)報(bào)、誤報(bào)原因，研究處理和恢復(fù)方案。第34頁(yè)/共48頁(yè)2022/12/19NIDS發(fā)展方向（續(xù)）研制可靠的測(cè)試和評(píng)822022/12/23NIDS發(fā)展方向（續(xù)）軟件硬化（網(wǎng)絡(luò)處理器)智能檢測(cè)方法（協(xié)議分析，神經(jīng)系統(tǒng)等）集成網(wǎng)絡(luò)分析和數(shù)據(jù)處理防火墻聯(lián)動(dòng)高速網(wǎng)絡(luò)數(shù)據(jù)流的檢測(cè)嚴(yán)格的自身安全第35頁(yè)/共48頁(yè)2022/12/19NIDS發(fā)展方向（續(xù)）軟件硬化（網(wǎng)絡(luò)處理832022/12/23入侵防御系統(tǒng)

IDS只能被動(dòng)地檢測(cè)攻擊，而不能主動(dòng)地把變化莫測(cè)的威脅阻止在網(wǎng)絡(luò)之外。因此，人們迫切地需要找到一種主動(dòng)入侵防護(hù)解決方案，以確保企業(yè)網(wǎng)絡(luò)在威脅四起的環(huán)境下正常運(yùn)行。入侵防御系統(tǒng)（IntrusionPreventionSystem或IntrusionDetectionPrevention，即IPS或IDP）就應(yīng)運(yùn)而生了。IPS是一種智能化的入侵檢測(cè)和防御產(chǎn)品，它不但能檢測(cè)入侵的發(fā)生，而且能通過一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為的發(fā)生和發(fā)展，實(shí)時(shí)地保護(hù)信息系統(tǒng)不受實(shí)質(zhì)性的攻擊。IPS使得IDS和防火墻走向統(tǒng)一。

IPS在網(wǎng)絡(luò)中一般有四種連接方式：Span（接在交換機(jī)旁邊，作為端口映像）、Tap（接在交換機(jī)與路由器中間，旁路安裝，拷貝一份數(shù)據(jù)到IPS中）、Inline（接在交換機(jī)與路由器中間，在線安裝，在線阻斷攻擊）和Port-cluster（被動(dòng)抓包，在線安裝）。它在報(bào)警的同時(shí)，能阻斷攻擊。第36頁(yè)/共48頁(yè)2022/12/19入侵防御系統(tǒng)IDS只能被動(dòng)地檢測(cè)842022/12/23蜜網(wǎng)Honeynet

Honeynet是一個(gè)網(wǎng)絡(luò)系統(tǒng)，并非某臺(tái)單一主機(jī)，這一網(wǎng)絡(luò)系統(tǒng)隱藏在防火墻的后面，所有進(jìn)出的數(shù)據(jù)都受到關(guān)注、捕獲及控制。這些被捕獲的數(shù)據(jù)用來研究分析入侵者們使用的工具、方法及動(dòng)機(jī)。在一個(gè)Honeynet中，可以使用各種不同的操作系統(tǒng)及設(shè)備，如Solaris、Linux、WindowsNT、CiscoSwitch等。這樣，建立的網(wǎng)絡(luò)環(huán)境看上去會(huì)更加真實(shí)可信，同時(shí)還有不同的系統(tǒng)平臺(tái)上面運(yùn)行著不同的服務(wù)，比如Linux的DNSServer、WindowsNT的WebServer或者一個(gè)Solaris的FTPServer，可以使用不同的工具以及不同的策略或許某些入侵者僅僅把目標(biāo)定于幾個(gè)特定的系統(tǒng)漏洞上，而這種多樣化的系統(tǒng)，就可能更多地揭示出入侵者的一些特性。第37頁(yè)/共48頁(yè)2022/12/19蜜網(wǎng)HoneynetHoneynet是852022/12/23蜜網(wǎng)Honeynet利用Snort軟件安裝Win2000Server下的蜜網(wǎng)陷阱

Snort是一個(gè)強(qiáng)大的輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。它具有實(shí)時(shí)數(shù)據(jù)流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對(duì)內(nèi)容進(jìn)行搜索/匹配。它能夠檢測(cè)各種不同的攻擊方式，對(duì)攻擊進(jìn)行實(shí)時(shí)報(bào)警。構(gòu)建完整的Snort系統(tǒng)需要以下軟件，詳細(xì)安裝方法請(qǐng)參照網(wǎng)上相關(guān)資料。acid-0.9.6b23.tar.gz

基于php的入侵檢測(cè)數(shù)據(jù)庫(kù)分析控制臺(tái)adodb360.zipADOdb（ActiveDataObjectsDataBase）庫(kù)forPHPapache_2.0.46-win32-x86-no_src.msiWindows版本的ApacheWeb服務(wù)器jpgraph-1.12.2.tar.gzOO圖形庫(kù)forPHPmysql-4.0.13-win.zipWindows版本的Mysql數(shù)據(jù)庫(kù)服務(wù)器php-4.3.2-Win32.zipWindows版本的php腳本環(huán)境支持snort-2_0_0.exeWindows版本的Snort安裝包WinPca