第13章 入侵檢測系統(tǒng)(新)

網(wǎng)絡(luò)安全—技術(shù)與實踐（第2版）

清華大學(xué)出版社普通高等教育“十一五”國家級規(guī)劃教材教育部2011年精品教材入侵檢測概述一入侵檢測原理及主要方法二IDS的結(jié)構(gòu)與分類三NIDS

四HIDS

五DIDS

六IDS設(shè)計上的考慮與部署七IDS的發(fā)展方向八第13章入侵檢測系統(tǒng)入侵檢測概述一入侵檢測原理及主要方法二IDS的結(jié)構(gòu)與分類三NIDS

四HIDS

五DIDS

六IDS設(shè)計上的考慮與部署七IDS的發(fā)展方向八第13章入侵檢測系統(tǒng)13.1.1入侵檢測系統(tǒng)發(fā)展歷史JamesP.Anderson第一次詳細(xì)闡述了入侵檢測的概念。1980年4月喬治敦大學(xué)的DorothyDenning和SRI/CSL的PeterNeumann研究設(shè)計了入侵檢測專家系統(tǒng)。1984~1986SRI/CSL的TeresaLunt等人改進(jìn)了Denning的入侵檢測模型，并開發(fā)出了一個新型的IDES。1988年加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了網(wǎng)絡(luò)安全監(jiān)視器，成為分水嶺。1990年檢測和記錄網(wǎng)絡(luò)中的攻擊事件，阻斷攻擊行為，防止入侵事件的發(fā)生。1檢測其他未授權(quán)操作或安全違規(guī)行為。2統(tǒng)計分析黑客在攻擊前的探測行為，預(yù)先給管理員發(fā)出警報。3報告計算機系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅。4提供有關(guān)攻擊的詳細(xì)信息，幫助管理員診斷和修補網(wǎng)絡(luò)中存在的安全弱點。5在大型復(fù)雜的計算機網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)，提高網(wǎng)絡(luò)安全管理的質(zhì)量。613.1.2入侵檢測的主要作用入侵檢測是對企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵行為進(jìn)行識別的過程。1檢測對計算機系統(tǒng)的非授權(quán)訪問。2監(jiān)視系統(tǒng)運行狀態(tài)，發(fā)現(xiàn)各種攻擊企圖、攻擊行為，保證資源的保密性、完整性和可用性。3識別針對計算機系統(tǒng)和網(wǎng)路系統(tǒng)的非法攻擊413.1.3入侵檢測的定義13.1.4入侵檢測系統(tǒng)模型分析和檢測入侵的任務(wù)并向控制器發(fā)出警報信號主要負(fù)責(zé)收集數(shù)據(jù)為檢測器和控制器提供必需的數(shù)據(jù)信息支持根據(jù)警報信號人工或自動地對入侵行為做出響應(yīng)控制器

知識庫數(shù)據(jù)收集器檢測器系統(tǒng)和網(wǎng)絡(luò)的日志文件目錄和文件中的異常改變程序執(zhí)行中的異常行為物理形式的入侵信息模式匹配統(tǒng)計分析完整性分析信息收集信息分析主動響應(yīng)被動響應(yīng)安全響應(yīng)13.1.5

IDS的功能模塊①操作模型②方差③多元模型④馬爾可夫過程模型⑤時間序列分析所收集的信息內(nèi)容：用戶在網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫及應(yīng)用系統(tǒng)中活動的狀態(tài)和行為流行的響應(yīng)方式：記錄日志、實時顯示、E-mail報警、聲音報警、SNMP報警、實時TCP阻斷、防火墻聯(lián)動、WinPop顯示、手機短信報警監(jiān)視、分析用戶及系統(tǒng)的活動1檢測其他未授權(quán)操作或安全違規(guī)行為。2系統(tǒng)構(gòu)造和弱點的審計3報告計算機系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅。4異常行為模式的統(tǒng)計分析5識別用戶違反安全策略的行為。613.1.6

入侵檢測執(zhí)行的任務(wù)13.1.7

IDS的主要功能一網(wǎng)絡(luò)流量的跟蹤與分析功能二已知攻擊特征的識別功能三異常行為的分析、統(tǒng)計與響應(yīng)功能四特征庫的在線和離線升級功能五數(shù)據(jù)文件的完整性檢查功能六自定義的響應(yīng)功能七系統(tǒng)漏洞的預(yù)報警功能八IDS探測器集中管理功能13.1.8

IDS的評價標(biāo)準(zhǔn)先進(jìn)的檢測能力和響應(yīng)能力不影響被保護(hù)網(wǎng)絡(luò)正常運行無人監(jiān)管能正常運行具有堅固的自身安全性具有很好的可管理性消耗系統(tǒng)資源較少可擴展性好，能適應(yīng)變化。支持IP碎片重組支持TCP流重組支持TCP狀態(tài)檢測支持應(yīng)用層協(xié)議解碼靈活的用戶報告功能安裝、配置、調(diào)整簡單易行能與常用的其他安全產(chǎn)品集成支持常用網(wǎng)絡(luò)協(xié)議和拓?fù)浣Y(jié)構(gòu)入侵檢測概述一入侵檢測原理及主要方法二IDS的結(jié)構(gòu)與分類三NIDS

四HIDS

五DIDS

六IDS設(shè)計上的考慮與部署七IDS的發(fā)展方向八第13章入侵檢測系統(tǒng)13.2.1入侵檢測原理及主要方法被動、離線地發(fā)現(xiàn)計算機網(wǎng)絡(luò)系統(tǒng)中的攻擊者。實時、在線地發(fā)現(xiàn)計算機網(wǎng)絡(luò)系統(tǒng)中的攻擊者。收集操作活動的歷史數(shù)據(jù)，建立代表主機、用戶或網(wǎng)絡(luò)連接的正常行為描述，判斷是否發(fā)生入侵。異常檢測對已知的入侵行為和手段進(jìn)行分析，提取檢測特征，構(gòu)建攻擊模式或攻擊簽名，判斷入侵行為。入侵檢測類似于治安巡邏隊，專門注重發(fā)現(xiàn)形跡可疑者。IDS通常使用的兩種基本分析方法之一，又稱為基于行動的入侵檢測技術(shù)。IDS通常使用的兩種基本分析方法之一，又稱基于知識的檢測技術(shù)。攻擊檢測誤用檢測統(tǒng)計異常檢測方法（較成熟）2.特征選擇異常檢測方法（較成熟）3.基于貝葉斯網(wǎng)絡(luò)異常檢測方法（理論研究階段）4.基于貝葉斯推理異常檢測方法（理論研究階段）13.2.2基于異常檢測原理的入侵檢測方法5.基于模式預(yù)測異常檢測方法（理論研究階段）1.基于條件的概率誤用檢測方法2.基于專家系統(tǒng)誤用檢測方法3.基于狀態(tài)遷移分析誤用檢測方法4.基于鍵盤監(jiān)控誤用檢測方法13.2.3基于誤用檢測原理的入侵檢測方法5.基于模型誤用檢測方法缺點不能檢測出未知的入侵行為優(yōu)點準(zhǔn)確地檢測已知的入侵行為基于概率統(tǒng)計的檢測基于神經(jīng)網(wǎng)絡(luò)的檢測基于專家系統(tǒng)的檢測基于模型推理的檢測異常檢測中最常用的技術(shù)，對用戶歷史行為建立模型?；舅枷耄河靡幌盗行畔卧?xùn)練神經(jīng)單元，在給定一個輸入后，就可能預(yù)測出輸出。根據(jù)安全專家對可疑行為的分析經(jīng)驗來形成一套推理規(guī)則，再在此基礎(chǔ)上建立專家系統(tǒng)。攻擊者采用一定的行為程序構(gòu)成的模型，根據(jù)其代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖。13.2.4各種入侵檢測技術(shù)基于免疫的檢測入侵檢測的新技術(shù)其他相關(guān)問題將自然免疫系統(tǒng)的某些特征運用到網(wǎng)絡(luò)系統(tǒng)中，使整個系統(tǒng)具有適應(yīng)性、自我調(diào)節(jié)性、可擴展性。數(shù)據(jù)挖掘技術(shù)&移動代理技術(shù)防止過多的不相干信息的干擾，還要配備適合系統(tǒng)安全策略的信息采集器或過濾器，在某些系統(tǒng)內(nèi)可以在不同層次進(jìn)行審計跟蹤。另一個重要問題是決定攻擊檢測系統(tǒng)的運行場所。任何一種攻擊檢測措施都不能一勞永逸，必須配備有效管理組織措施。13.2.4各種入侵檢測技術(shù)（續(xù)）入侵檢測概述一入侵檢測原理及主要方法二IDS的結(jié)構(gòu)與分類三NIDS

四HIDS

五DIDS

六IDS設(shè)計上的考慮與部署七IDS的發(fā)展方向八第13章入侵檢測系統(tǒng)13.3.1

IDS入侵檢測步驟內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)用戶活動的狀態(tài)和行為。來自系統(tǒng)日志、目錄及文件中的異常改變、程序執(zhí)行中的異常行為及物理形式的入侵信息入侵檢測的核心。首先構(gòu)建分析器，把收集到的信息經(jīng)過預(yù)處理建立模型，然后向模型中植入時間數(shù)據(jù)，在知識庫中保存。數(shù)據(jù)分析主動響應(yīng)由用戶驅(qū)動或系統(tǒng)本身自動執(zhí)行，可對入侵者采取行動、修正系統(tǒng)環(huán)境或收集有用信息。被動響應(yīng)包括告警和通知、簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）陷阱和插件等。信息收集響應(yīng)13.3.2

IDS的功能構(gòu)成事件提取入侵分析入侵響應(yīng)遠(yuǎn)程管理負(fù)責(zé)提取相關(guān)運行數(shù)據(jù)或記錄，

并對數(shù)據(jù)進(jìn)行簡單過濾。找出入侵痕跡，區(qū)分正常和不正常的訪問，分析入侵行為并定位入侵者分析出入侵行為后被觸發(fā)，根據(jù)入侵行為產(chǎn)生響應(yīng)。在一臺管理站上實現(xiàn)統(tǒng)一的管理監(jiān)控13.3.3

IDS的分類基于網(wǎng)絡(luò)的IDS基于主機的IDS分布式IDS濫用檢測異常檢測完整性分析按照數(shù)據(jù)來源分類按照入侵檢測策略分類濫用檢測：將收集到的信息與數(shù)據(jù)庫進(jìn)行比較異常檢測：測量屬性的平均值將被用來與系統(tǒng)行為比較完整性分析：關(guān)注是否被更改NIDS：截獲數(shù)據(jù)包，提取特征并與知識庫中已知的攻擊簽名相比較HIDS：通過對日志和審計記錄的監(jiān)控和分析來發(fā)現(xiàn)攻擊后的誤操作DIDS：同時分析來自主機系統(tǒng)審計日志和網(wǎng)絡(luò)數(shù)據(jù)流入侵檢測概述一入侵檢測原理及主要方法二IDS的結(jié)構(gòu)與分類三NIDS

四HIDS

五DIDS

六IDS設(shè)計上的考慮與部署七IDS的發(fā)展方向八第13章

入侵檢測系統(tǒng)根據(jù)網(wǎng)絡(luò)流量、網(wǎng)絡(luò)數(shù)據(jù)包和協(xié)議來分析入侵檢測。使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)包。通常利用一個運行在隨機模式下的網(wǎng)絡(luò)適配器來實現(xiàn)監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。13.4.1

NIDS概述NIDS模式、表達(dá)式或字節(jié)匹配。頻率或穿越閾值。低級事件的相關(guān)性。統(tǒng)計學(xué)意義上的非常規(guī)現(xiàn)象檢測。擁有成本低。攻擊者轉(zhuǎn)移證據(jù)困難。實時檢測和響應(yīng)。能夠檢測未成功的攻擊企圖。操作系統(tǒng)獨立。4種常用技術(shù)主要優(yōu)點InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartners13.4.1

NIDS:Network-basedIDSNetwork-basedIDSNetwork-basedIDSNetwork-basedIDSInternetNIDS基于網(wǎng)絡(luò)入侵檢測系統(tǒng)工作原理網(wǎng)絡(luò)服務(wù)器1數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分客戶端網(wǎng)絡(luò)服務(wù)器2X檢測內(nèi)容：

包頭信息+有效數(shù)據(jù)部分一IP碎片重組技術(shù)二TCP流重組技術(shù)三TCP狀態(tài)檢測技術(shù)四協(xié)議分析技術(shù)五零復(fù)制技術(shù)六蜜罐技術(shù)13.4.2

NIDS關(guān)鍵技術(shù)13.4.2

IP碎片重組技術(shù)、TCP流重組技術(shù)攻擊者將攻擊請求分成若干個IP碎片包。IP碎片包被發(fā)給目標(biāo)主機。碎片攻擊包括：碎片覆蓋、碎片重寫、碎片超時和針對網(wǎng)絡(luò)拓?fù)涞乃槠夹g(shù)等。IDS需要在內(nèi)存中緩存所有的碎片。模擬目標(biāo)主機對碎片包進(jìn)行重組還原出真正的請求內(nèi)容。進(jìn)行入侵檢測分析。IP碎片重組技術(shù)由于監(jiān)視TCP會話的入侵檢測系統(tǒng)是被動的監(jiān)視系統(tǒng)，因此無法使用TCP重傳機制。如果在傳輸過程中丟失了很多報文，就可能使入侵檢測系統(tǒng)無法進(jìn)行序列號跟蹤。如果沒有恢復(fù)機制，就可能使入侵檢測系統(tǒng)不能同步監(jiān)視TCP連接。即使入侵檢測系統(tǒng)能夠恢復(fù)序列號跟蹤，也能被攻擊。TCP流重組技術(shù)13.4.2協(xié)議分析技術(shù)的優(yōu)缺點根據(jù)現(xiàn)有協(xié)議模式到固定位置取值根據(jù)取得的值，分析這些協(xié)議的流量，尋找可疑的或不正常的行為。狀態(tài)協(xié)議分析在常規(guī)協(xié)議分析技術(shù)基礎(chǔ)上加入狀態(tài)特性分析，將一個會話的所有流量作為一個整體來考慮。當(dāng)流量不是期望值時，IDS就發(fā)出告警。協(xié)議分析技術(shù)缺點性能提高。準(zhǔn)確性提高?；跔顟B(tài)的分析。反規(guī)避能力大大增強。系統(tǒng)資源開銷小。協(xié)議分析技術(shù)優(yōu)點基本思想：在數(shù)據(jù)包傳遞過程中，減少數(shù)據(jù)復(fù)制次數(shù)，減少系統(tǒng)調(diào)用，實現(xiàn)CPU的零參與，徹底消除CPU在這方面的負(fù)載。傳統(tǒng)的方法：需通過系統(tǒng)調(diào)用將網(wǎng)卡中的數(shù)據(jù)包復(fù)制到上層應(yīng)用系統(tǒng)中，會占用系統(tǒng)資源，造成IDS性能下降。改進(jìn)后的方法：通過重寫網(wǎng)卡驅(qū)動，使網(wǎng)卡驅(qū)動與上層系統(tǒng)共享一塊內(nèi)存區(qū)域，網(wǎng)卡從網(wǎng)絡(luò)上捕獲到的數(shù)據(jù)包直接傳遞給入侵檢測系統(tǒng)。13.4.2零復(fù)制技術(shù)13.4.2蜜罐技術(shù)在外部Internet上的一臺計算機上運行沒有打上補丁的微軟Windows或RedHatLinux，記錄進(jìn)出計算機的所有流量。蜜網(wǎng)：另外采用了各種入侵檢測和安全審計技術(shù)的蜜罐。近年：蜜網(wǎng)采用SSH等密碼協(xié)議，修改目標(biāo)計算機的操作系統(tǒng)，隱蔽技術(shù)等。蜜罐的作用把潛在入侵者的注意力從關(guān)鍵系統(tǒng)移開。收集入侵者的動作信息。設(shè)法讓攻擊者停留一段時間，使管理員能檢測到它并采取相應(yīng)的措施。一大大減少了所要分析的數(shù)據(jù)。二蜜網(wǎng)計劃已經(jīng)收集了大量信息，很少有黑客采用新的攻擊手法。三蜜罐不僅是一種研究工具，同樣有著真正的商業(yè)應(yīng)用價值。四虛擬蜜網(wǎng)的出現(xiàn)大大降低了蜜罐的成本及管理的難度，節(jié)省了機器占用的空間。13.4.2蜜罐技術(shù)優(yōu)勢入侵檢測概述一入侵檢測原理及主要方法二IDS的結(jié)構(gòu)與分類三NIDS

四HIDS

五DIDS

六IDS設(shè)計上的考慮與部署七IDS的發(fā)展方向八第13章入侵檢測系統(tǒng)監(jiān)視特定的系統(tǒng)活動。非常適用于加密和交換環(huán)境。近實時的檢測和應(yīng)答。13.5.1

HIDS的特點不需要額外的硬件。NIDS不能檢測針對主機的攻擊，而HIDS能檢測該攻擊。HIDS能監(jiān)測系統(tǒng)文件、進(jìn)程和日志文件，尋找可疑活動。HIDS可檢測緩沖區(qū)溢出攻擊，在某些時刻阻止入侵。一旦檢測到入侵，HIDS代理程序可以利用多種方式做出反應(yīng)。InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersHIDS:Host-based

IDSHackerHost-basedIDSHost-basedIDSInternet基于主機入侵檢測系統(tǒng)工作原理網(wǎng)絡(luò)服務(wù)器1客戶端網(wǎng)絡(luò)服務(wù)器2X檢測內(nèi)容：系統(tǒng)調(diào)用端口調(diào)用系統(tǒng)日志安全審記應(yīng)用日志HIDSXHIDS13.5.2

HIDS的關(guān)鍵技術(shù)HIDS關(guān)鍵技術(shù)文件和注冊表保護(hù)技術(shù)網(wǎng)絡(luò)安全防護(hù)技術(shù)IIS保護(hù)技術(shù)HTTP請求類型緩沖區(qū)溢出關(guān)鍵字物理目錄文件完整性分析技術(shù)入侵檢測概述一入侵檢測原理及主要方法二IDS的結(jié)構(gòu)與分類三NIDS

四HIDS

五DIDS

六IDS設(shè)計上的考慮與部署七IDS的發(fā)展方向八第13章入侵檢測系統(tǒng)一系統(tǒng)的弱點或漏洞分散在網(wǎng)絡(luò)的各個主機上，這些弱點有可能被入侵者一起用來攻擊網(wǎng)絡(luò)，而依靠唯一的主機或網(wǎng)絡(luò)，IDS不能發(fā)現(xiàn)入侵行為。二入侵行為不再是單一的行為，而表現(xiàn)出協(xié)作入侵的特點，如分布式拒絕服務(wù)攻擊（DDoS）。三入侵檢測所依靠的數(shù)據(jù)來源分散化，收集原始數(shù)據(jù)變得困難，如交換網(wǎng)絡(luò)使得監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包受到限制。四網(wǎng)絡(luò)傳輸速度加快，網(wǎng)絡(luò)的流量大，集中處理原始數(shù)據(jù)的方式往往造成檢測瓶頸，從而導(dǎo)致漏檢。13.6.1入侵檢測系統(tǒng)的實際應(yīng)用問題DIDS應(yīng)運而生。13.6.2分布式入侵檢測系統(tǒng)結(jié)構(gòu)13.6.3

DIDS結(jié)構(gòu)及功能收集檢測使用的數(shù)據(jù)?？神v留在網(wǎng)絡(luò)主機上，或者安裝在網(wǎng)絡(luò)檢測點上。傳遞加工、處理原始數(shù)據(jù)的控制命令。需和其他構(gòu)件協(xié)作完成通信功能。通信傳輸構(gòu)件采用檢測算法對數(shù)據(jù)進(jìn)行誤用和異常分析，產(chǎn)生檢測結(jié)果、報警和應(yīng)急信號。數(shù)據(jù)采集構(gòu)件入侵檢測分析構(gòu)件按入侵檢測的結(jié)果和主機、網(wǎng)絡(luò)的實際情況做出決策判斷，對入侵行為進(jìn)行響應(yīng)。管理其他構(gòu)件的配置，產(chǎn)生入侵總體報告，提供管理接口、圖形化工具或可視化的界面，供用戶查詢和檢測入侵系統(tǒng)的情況等。用戶管理構(gòu)件應(yīng)急處理構(gòu)件內(nèi)域網(wǎng)