項(xiàng)目入侵檢測技術(shù)

工程8入侵檢測技術(shù)工程1雙機(jī)互連對等網(wǎng)絡(luò)的組建第一頁，共58頁。8.1工程提出張先生創(chuàng)辦的公司開展勢頭良好，網(wǎng)站的點(diǎn)擊也逐日增加。與此同時(shí)，張先生也更加愿意投入資金，添置了防火墻、殺毒軟件等來保護(hù)自己的網(wǎng)站。盡管如此，他的網(wǎng)站還是會不時(shí)遭到莫名的攻擊。新來的網(wǎng)絡(luò)管理員小李理解了該網(wǎng)站的大概情況后，他向張先生建議，只裝備防火墻和殺毒軟件還不夠，還需要一個(gè)強(qiáng)大的技術(shù)來保證網(wǎng)絡(luò)的平安，那就是入侵檢測技術(shù)。在采納了小李的建議后，網(wǎng)站的平安狀況有了明顯的好轉(zhuǎn)。第二頁，共58頁。8.2工程分析防火墻盡管具有強(qiáng)大的抵御外部攻擊的功能，能保護(hù)系統(tǒng)不受未經(jīng)受權(quán)訪問的侵?jǐn)_，但卻無法阻止來自內(nèi)部人員的攻擊。在網(wǎng)絡(luò)平安管理中，除了消極被動地阻止攻擊行為，還應(yīng)該主動出擊去檢測那些正在施行的攻擊行為，進(jìn)一步預(yù)防平安隱患的發(fā)生。傳統(tǒng)的防火墻在工作時(shí)，就像深宅大院雖有高大的院墻，卻不能擋住小老鼠甚至是家賊的偷襲一樣，因?yàn)槿肭终呖梢哉业椒阑饓Ρ澈罂赡艹ㄩ_的后門。第三頁，共58頁。另外，防火墻完全不能阻止來自網(wǎng)絡(luò)內(nèi)部的攻擊，通過調(diào)查發(fā)現(xiàn)，65%左右的攻擊來自于網(wǎng)絡(luò)內(nèi)部，對于企業(yè)內(nèi)部心懷不滿的員工來說，防火墻形同虛設(shè)。還有，由于性能的限制，防火墻不能提供實(shí)時(shí)的入侵檢測才能，而這一點(diǎn)，對于如今層出不窮的攻擊技術(shù)來說是至關(guān)重要的。最后，防火墻對于病毒也束手無策。因此，以為在Internet入口處部署防火墻系統(tǒng)就足夠平安的想法是不實(shí)在際的。根據(jù)這一問題，人們設(shè)計(jì)出了入侵檢測系統(tǒng)(IDS)，IDS可以彌補(bǔ)防火墻的缺乏，為網(wǎng)絡(luò)平安提供實(shí)時(shí)的入侵檢測及采取相應(yīng)的防護(hù)手段，如，記錄證據(jù)用于跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等。第四頁，共58頁。假如說防火墻是一幢大樓的門衛(wèi)，那么入侵檢測和防御就是這幢大樓里的監(jiān)視系統(tǒng)。一旦有入侵大樓的行為，或內(nèi)部人員有越界行為，實(shí)時(shí)監(jiān)視系統(tǒng)就會發(fā)現(xiàn)情況并發(fā)出警報(bào)。第五頁，共58頁。8.3相關(guān)知識點(diǎn)8.3.1入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)是一類專門面向網(wǎng)絡(luò)入侵的平安監(jiān)測系統(tǒng)，它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的假設(shè)干關(guān)鍵點(diǎn)搜集信息，并分析這些信息，查看網(wǎng)絡(luò)中是否有違背平安策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道平安防線，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)展監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。第六頁，共58頁。入侵檢測系統(tǒng)的根本功能有以下幾個(gè)方面。(1)檢測和分析用戶及系統(tǒng)的活動。(2)審計(jì)系統(tǒng)配置和破綻。(3)識別攻擊。(4)統(tǒng)計(jì)分析異常行為。(5)評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完好性。(6)對操作系統(tǒng)的審計(jì)、追蹤、管理，并識別用戶違背平安策略的行為。第七頁，共58頁。一個(gè)成功的入侵檢測系統(tǒng)，不但可使系統(tǒng)管理員時(shí)刻理解網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和硬件設(shè)備等)的任何變更，還能給網(wǎng)絡(luò)平安策略的制定提供指南。同時(shí)，它應(yīng)該是管理和配置簡單，使非專業(yè)人員也能容易地獲得網(wǎng)絡(luò)平安。當(dāng)然，入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和平安需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，應(yīng)及時(shí)做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。第八頁，共58頁。目前，入侵檢測系統(tǒng)主要以形式匹配技術(shù)為主，并結(jié)合異常匹配技術(shù)。從實(shí)現(xiàn)方式上一般分為兩種：基于主機(jī)和基于網(wǎng)絡(luò)，而一個(gè)完備的入侵檢測系統(tǒng)那么一定是基于主機(jī)和基于網(wǎng)絡(luò)這兩種方式兼?zhèn)涞姆植际较到y(tǒng)。另外，可以識別的入侵手段數(shù)量的多少、最新入侵手段的更新是否及時(shí)也是評價(jià)入侵檢測系統(tǒng)的關(guān)鍵指標(biāo)。第九頁，共58頁。8.3.2入侵檢測系統(tǒng)的根本構(gòu)造美國國防部高級研究方案署(DARPA)提出的建議是公共入侵檢測框架(CIDF)。CIDF闡述了一個(gè)入侵檢測系統(tǒng)的通用模型，它將一個(gè)入侵檢測系統(tǒng)分為以下四個(gè)根本組件：事件發(fā)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫。第十頁，共58頁。(1)事件發(fā)生器。①負(fù)責(zé)原始數(shù)據(jù)采集，并將搜集到的原始數(shù)據(jù)轉(zhuǎn)換為事件，向系統(tǒng)的其他部分提供此事件。②搜集內(nèi)容，包括系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)及用戶活動的狀態(tài)和行為。③需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的假設(shè)干不同的關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))搜集信息。包括系統(tǒng)和網(wǎng)絡(luò)的日志文件；網(wǎng)絡(luò)流量；系統(tǒng)目錄和文件的異常變化；程序執(zhí)行的異常行為等。入侵檢測系統(tǒng)很大程度上依賴于搜集信息的可靠性和正確性，要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完好性，特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有鞏固性，防止被篡改而搜集到錯(cuò)誤的信息。第十一頁，共58頁。(2)事件分析器。接收事件信息，并對其進(jìn)展分析，判斷是否為入侵行為或異常現(xiàn)象，最后將判斷的結(jié)果轉(zhuǎn)變?yōu)楦婢畔?。分析方法主要有以下幾種。①形式匹配。將搜集到的信息與的網(wǎng)絡(luò)入侵和系統(tǒng)誤用形式數(shù)據(jù)庫進(jìn)展比較，從而發(fā)現(xiàn)違犯平安策略的行為。②統(tǒng)計(jì)分析。首先給系統(tǒng)對象(如用戶、文件、目錄、設(shè)備等)創(chuàng)立一個(gè)統(tǒng)計(jì)描繪，統(tǒng)計(jì)正常使用時(shí)的一些測量屬性(如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等)；測量屬性的平均值和偏向?qū)⒈挥脕砼c網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)展比較，任何測量屬性值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。③完好性分析(往往用于事后分析)。主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?。第十二頁，?8頁。(3)事件數(shù)據(jù)庫。存放各種中間和最終數(shù)據(jù)的地方，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。從事件發(fā)生器或事件分析器接收數(shù)據(jù)，一般會將數(shù)據(jù)進(jìn)展較長時(shí)間的保存。(4)響應(yīng)單元。根據(jù)告警信息做出反響，是IDS中的主動武器，可做出強(qiáng)烈反響，如切斷連接、改變文件屬性等，也可以只做出簡單的報(bào)警。以上四個(gè)組件只是邏輯實(shí)體，一個(gè)組件可能是某臺計(jì)算機(jī)上的一個(gè)進(jìn)程甚至線程，也可能是多個(gè)計(jì)算機(jī)上的多個(gè)進(jìn)程，它們以GIDO(統(tǒng)一入侵檢測對象)格式進(jìn)展數(shù)據(jù)交換。第十三頁，共58頁。8.3.3入侵檢測系統(tǒng)的分類1.根據(jù)分析方法和檢測原理分類基于異常的入侵檢測。首先總結(jié)出正常操作應(yīng)該具有的特征(用戶輪廓)，當(dāng)用戶活動與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。基于誤用的入侵檢測。搜集非正常操作時(shí)的行為特征，建立相關(guān)的特征庫，當(dāng)被監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。第十四頁，共58頁。2.根據(jù)數(shù)據(jù)來源分類基于主機(jī)的入侵檢測系統(tǒng)(HIDS)。系統(tǒng)獲取數(shù)據(jù)的根據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目的也是系統(tǒng)運(yùn)行所在的主機(jī)。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)。系統(tǒng)獲取數(shù)據(jù)的根據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的正常運(yùn)行。分布式入侵檢測系統(tǒng)(混合型)。將基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)有機(jī)地結(jié)合在一起。第十五頁，共58頁。3.根據(jù)體系構(gòu)造分類集中式。集中式構(gòu)造的IDS可能有多個(gè)分布于不同主機(jī)上的審計(jì)程序，但只有一個(gè)中央入侵檢測效勞器。審計(jì)程序把當(dāng)?shù)厮鸭降臄?shù)據(jù)蹤跡發(fā)送給中央效勞器進(jìn)展分析處理。隨著網(wǎng)絡(luò)規(guī)模的增加，主機(jī)審計(jì)程序和效勞器之間傳送的數(shù)據(jù)就會劇增，導(dǎo)致網(wǎng)絡(luò)性能大大降低。并且一旦中央效勞器出現(xiàn)問題，整個(gè)系統(tǒng)就會陷入癱瘓。分布式。分布式構(gòu)造的IDS就是將中央檢測效勞器的任務(wù)分配給多個(gè)基于主機(jī)的IDS。這些IDS不分等級，各司其職，負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)的某些活動。所以，其可伸縮性、平安性都得到進(jìn)步，但維護(hù)本錢也高了很多，并且增加了所監(jiān)控主機(jī)的工作負(fù)荷。第十六頁，共58頁。4.根據(jù)工作方式分類離線檢測。離線檢測又稱脫機(jī)分析檢測系統(tǒng)，就是在行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進(jìn)展分析，而不是在行為發(fā)生的同時(shí)進(jìn)展分析，從而檢測入侵活動，它是非實(shí)時(shí)工作的系統(tǒng)。如對日志的審查，對系統(tǒng)文件的完好性檢查等都屬于這種。一般而言，脫機(jī)分析也不會間隔很長時(shí)間，所謂的脫機(jī)只是與聯(lián)機(jī)相對而言的。在線檢測。又稱為聯(lián)機(jī)分析檢測系統(tǒng)，就是在數(shù)據(jù)產(chǎn)生或者發(fā)生改變的同時(shí)對其進(jìn)展檢查，以便發(fā)現(xiàn)攻擊行為，它是實(shí)時(shí)聯(lián)機(jī)檢測系統(tǒng)。這種方式一般用于網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)分析，有時(shí)也用于實(shí)時(shí)主機(jī)審計(jì)分析。它對系統(tǒng)資源的要求比較高。第十七頁，共58頁。8.3.4基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS1.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)〔NIDS〕放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每一個(gè)數(shù)據(jù)包進(jìn)展特征分析。假如數(shù)據(jù)包與系統(tǒng)內(nèi)置的某些規(guī)那么吻合，入侵檢測系統(tǒng)就會發(fā)出警報(bào)甚至直接切斷網(wǎng)絡(luò)連接。目前，大部分入侵檢測系統(tǒng)是基于網(wǎng)絡(luò)的。一個(gè)典型的NIDS如圖8-2所示，一個(gè)傳感器被安裝在防火墻外以探查來自Internet的攻擊。另一個(gè)傳感器安裝在網(wǎng)絡(luò)內(nèi)部以探查那些已穿透防火墻的入侵以及內(nèi)部網(wǎng)絡(luò)入侵和威脅。第十八頁，共58頁。第十九頁，共58頁。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源?；诰W(wǎng)絡(luò)的IDS通常利用一個(gè)運(yùn)行在混雜形式下的網(wǎng)絡(luò)適配器來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的所有數(shù)據(jù)包。一旦檢測到了攻擊行為，NIDS的響應(yīng)模塊就提供多種選項(xiàng)用于通知、報(bào)警，并對攻擊行為采取相應(yīng)的措施。采取的措施因系統(tǒng)而異，但通常都包括通知管理員、中斷連接并且/或?yàn)榉ㄍシ治龊妥C據(jù)搜集而做的會話記錄。基于網(wǎng)絡(luò)的IDS已經(jīng)廣泛成為平安策略的施行中的重要組件，它有許多僅靠基于主機(jī)的入侵檢測系統(tǒng)無法提供的優(yōu)點(diǎn)。第二十頁，共58頁?！?〕擁有本錢較低?；诰W(wǎng)絡(luò)的IDS可在幾個(gè)關(guān)鍵訪問點(diǎn)上進(jìn)展策略配置，以觀察發(fā)往多個(gè)系統(tǒng)的網(wǎng)絡(luò)通信。所以它不要求在許多主機(jī)上裝載并管理軟件。由于需監(jiān)測的點(diǎn)較少，因此對于一個(gè)公司的環(huán)境來說，擁有本錢很低。第二十一頁，共58頁?！?〕檢測基于主機(jī)的IDS漏掉的攻擊?；诰W(wǎng)絡(luò)的IDS檢查所有數(shù)據(jù)包的頭部從而發(fā)現(xiàn)惡意的和可疑的行為跡象?；谥鳈C(jī)的IDS無法查看數(shù)據(jù)包的頭部，所以它無法檢測到這一類型的攻擊。例如，許多來自于IP地址的回絕效勞型〔DoS〕和碎片包型〔Teardrop〕的攻擊只能在它們經(jīng)過網(wǎng)絡(luò)時(shí)，檢查包的頭部才能被發(fā)現(xiàn)。這種類型的攻擊都可以在基于網(wǎng)絡(luò)的IDS中通過實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)包流而被發(fā)現(xiàn)?；诰W(wǎng)絡(luò)的IDS可以檢查有效負(fù)載的內(nèi)容，查找用于特定攻擊的指令或語法。例如，通過檢查數(shù)據(jù)包有效負(fù)載可以查到黑客軟件，而使正在尋找系統(tǒng)破綻的攻擊者毫無覺察。由于基于主機(jī)的IDS不檢查有效負(fù)載，所以不能識別有效負(fù)載中所包含的攻擊信息。第二十二頁，共58頁?！?〕攻擊者不易轉(zhuǎn)移證據(jù)?；诰W(wǎng)絡(luò)的IDS使用正在發(fā)生的網(wǎng)絡(luò)通信進(jìn)展實(shí)時(shí)攻擊的檢測。所以攻擊者無法轉(zhuǎn)移證據(jù)。被捕獲的數(shù)據(jù)不僅包括攻擊的方法，而且還包括可識別的黑客身份及對其進(jìn)展起訴的信息。許多黑客都熟知審計(jì)記錄，他們知道如何操縱這些文件掩蓋他們的入侵痕跡，如何阻止需要這些信息的基于主機(jī)的IDS去檢測入侵。第二十三頁，共58頁?！?〕實(shí)時(shí)檢測和響應(yīng)?；诰W(wǎng)絡(luò)的IDS可以在惡意及可疑的攻擊發(fā)生的同時(shí)將其檢測出來，并做出更快的通知和響應(yīng)。例如，一個(gè)基于TCP的對網(wǎng)絡(luò)進(jìn)展的回絕效勞攻擊可以通過將基于網(wǎng)絡(luò)的IDS發(fā)出TCP復(fù)位信號，在該攻擊對目的主機(jī)造成破壞前，將其中斷。而基于主機(jī)的系統(tǒng)只有在可疑的登錄信息被記錄下來以后才能識別攻擊并做出反響。而這時(shí)關(guān)鍵系統(tǒng)可能早已遭到了破壞，或是運(yùn)行基于主機(jī)的IDS的系統(tǒng)已被摧毀。實(shí)時(shí)IDS可根據(jù)預(yù)定義的參數(shù)做出快速反響，這些反響包括將攻擊設(shè)為監(jiān)視形式以搜集信息，立即中止攻擊等。第二十四頁，共58頁?！?〕檢測未成功的攻擊和不良意圖?；诰W(wǎng)絡(luò)的IDS增加了許多有價(jià)值的數(shù)據(jù)，以判別不良意圖。即便防火墻可以正在回絕這些嘗試，位于防火墻之外的基于網(wǎng)絡(luò)的IDS可以查出躲在防火墻后的攻擊意圖。基于主機(jī)的IDS無法查到從未攻擊到防火墻內(nèi)主機(jī)的未遂攻擊，而這些喪失的信息對于評估和優(yōu)化平安策略是至關(guān)重要的。第二十五頁，共58頁。〔6〕操作系統(tǒng)無關(guān)性?；诰W(wǎng)絡(luò)的IDS作為平安監(jiān)測資源，與主機(jī)的操作系統(tǒng)無關(guān)。與之相比，基于主機(jī)的IDS必須在特定的、沒有遭到破壞的操作系統(tǒng)中才能正常工作，生成有用的結(jié)果。第二十六頁，共58頁。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)也有弱點(diǎn)：只檢查直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)包，在交換以太網(wǎng)環(huán)境中會出現(xiàn)監(jiān)測范圍的局限；很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測；處理加密的會話過程較困難。第二十七頁，共58頁。2.基于主機(jī)的入侵檢測系統(tǒng)基于主機(jī)的入侵檢測系統(tǒng)〔HIDS〕通常是安裝在被重點(diǎn)檢測的主機(jī)之上，主要是對該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)展智能分析和判斷。假如其中主體活動非?？梢伞蔡卣骰蜻`背統(tǒng)計(jì)規(guī)律〕，入侵檢測系統(tǒng)就會采取相應(yīng)措施?；谥鳈C(jī)的IDS使用驗(yàn)證記錄，自動化程度大大進(jìn)步，并開展了精細(xì)的可迅速做出響應(yīng)的檢測技術(shù)。通常，基于主機(jī)的IDS可檢測系統(tǒng)、事件和Window下的平安記錄以及UNIX環(huán)境下的系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時(shí)，IDS將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。假如匹配，系統(tǒng)就會向管理員報(bào)警并向別的目的報(bào)告，以采取措施。第二十八頁，共58頁?；谥鳈C(jī)的IDS在開展過程中融入了其它技術(shù)。對關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的入侵檢測的一個(gè)常用方法，是通過定期檢查校驗(yàn)和來進(jìn)展的，以便發(fā)現(xiàn)意外的變化。反響的快慢與輪詢間隔的頻率有直接的關(guān)系。許多IDS產(chǎn)品都是監(jiān)聽端口的活動，并在特定端口被訪問時(shí)向管理員報(bào)警。這類檢測方法將基于網(wǎng)絡(luò)的入侵檢測的根本方法融入到基于主機(jī)的檢測環(huán)境中。盡管基于主機(jī)的入侵檢查系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)快捷，但它確實(shí)具有基于網(wǎng)絡(luò)的IDS無法比較的優(yōu)點(diǎn)。這些優(yōu)點(diǎn)包括：更好的辨識分析、對特殊主機(jī)事件的嚴(yán)密關(guān)注及低廉的本錢。第二十九頁，共58頁?；谥鳈C(jī)的入侵檢測系統(tǒng)有如下優(yōu)點(diǎn)?！?〕確定攻擊是否成功。由于基于主機(jī)的IDS使用含有已發(fā)惹事件信息，它們可以比基于網(wǎng)絡(luò)的IDS更加準(zhǔn)確地判斷攻擊是否成功。在這方面，基于主機(jī)的IDS是基于網(wǎng)絡(luò)的IDS的完美補(bǔ)充，網(wǎng)絡(luò)部分可以盡早提供警告，主機(jī)部分可以確定攻擊成功與否。第三十頁，共58頁。〔2〕監(jiān)視特定的系統(tǒng)活動?；谥鳈C(jī)的IDS監(jiān)視用戶和訪問文件的活動，包括文件訪問、改變文件權(quán)限，試圖建立新的可執(zhí)行文件，或者試圖訪問特殊的設(shè)備。例如，基于主機(jī)的IDS可以監(jiān)視所有用戶的登錄及下網(wǎng)情況，以及每位用戶在連接到網(wǎng)絡(luò)以后的行為。對于基于網(wǎng)絡(luò)的系統(tǒng)要做到這個(gè)程度是非常困難的。第三十一頁，共58頁?！?〕可以檢查到基于網(wǎng)絡(luò)的系統(tǒng)檢查不出的攻擊?；谥鳈C(jī)的系統(tǒng)可以檢測到那些基于網(wǎng)絡(luò)的系統(tǒng)覺察不到的攻擊。例如，來自主要效勞器鍵盤的攻擊不經(jīng)過網(wǎng)絡(luò)，所以可以躲開基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。第三十二頁，共58頁。〔4〕適用于被加密的和交換的環(huán)境。由于基于主機(jī)的入侵檢測系統(tǒng)安裝在遍布企業(yè)的各種主機(jī)上，它們比基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)更加適用于被加密的和交換的環(huán)境。第三十三頁，共58頁。〔5〕近于實(shí)時(shí)的檢測和響應(yīng)。盡管基于主機(jī)的入侵檢測系統(tǒng)不能提供真正實(shí)時(shí)的反響，但假如應(yīng)用正確，反響速度可以非常接近實(shí)時(shí)。從操作系統(tǒng)做出記錄到基于主機(jī)的系統(tǒng)得到辨識結(jié)果之間的這段時(shí)間是一段延遲，但大多數(shù)情況下，在破壞發(fā)生之前，系統(tǒng)就能發(fā)現(xiàn)入侵者，并中止他的攻擊。第三十四頁，共58頁?！?〕不要求額外的硬件設(shè)備。基于主機(jī)的入侵檢測系統(tǒng)存在于現(xiàn)行網(wǎng)絡(luò)構(gòu)造之中，包括文件效勞器、Web效勞器及其它共享資源，這些使得基于主機(jī)的系統(tǒng)效率很高，因?yàn)樗鼈儾恍枰诰W(wǎng)絡(luò)上另外安裝登記、維護(hù)及管理硬件設(shè)備。第三十五頁，共58頁?！?〕記錄花費(fèi)更加低廉?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)比基于主機(jī)的入侵檢測系統(tǒng)要昂貴的多。第三十六頁，共58頁?；谥鳈C(jī)的入侵檢測系統(tǒng)也有弱點(diǎn)：依賴于效勞器固有的日志與監(jiān)視才能，而主機(jī)審計(jì)信息易受攻擊，入侵者可設(shè)法逃避審計(jì)；全面部署HIDS代價(jià)較大；除了監(jiān)測自身的主機(jī)以外，不監(jiān)測網(wǎng)絡(luò)上的情況；HIDS的運(yùn)行或多或少會影響主機(jī)的性能；只對主機(jī)的特定用戶、應(yīng)用程序執(zhí)行動作和日志進(jìn)展檢測，所檢測到的攻擊類型有限。第三十七頁，共58頁。基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)都有其優(yōu)勢和優(yōu)勢，兩種方法互為補(bǔ)充。一種真正有效的入侵檢測系統(tǒng)應(yīng)將二者結(jié)合?；谥鳈C(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的比較見表8-1第三十八頁，共58頁。8.4工程施行任務(wù):SessionWall入侵檢測軟件的使用1.任務(wù)目的(1)掌握SessionWall-3的使用方法。(2)理解入侵檢測系統(tǒng)的作用。2.任務(wù)內(nèi)容(1)SessionWall-3的使用。(2)自定義QQ效勞。第三十九頁，共58頁。8.4工程施行3.完成任務(wù)所需的設(shè)備和軟件(1)WindowsServer2000虛擬機(jī)1臺(主機(jī)A)，WindowsXP計(jì)算機(jī)1臺(主機(jī)B)。(2)SessionWall-3軟件1套。(3)X-Scan掃描軟件1套。(4)UDPFlood攻擊軟件1套。第四十頁，共58頁。4.任務(wù)施行步驟(1)SessionWall-3的使用在WindowsServer2000虛擬機(jī)(主機(jī)A)中安裝SessionWall-3軟件，另一WindowsXP計(jì)算機(jī)(主機(jī)B)用來對主機(jī)A施行X-Scan和UDPFlood攻擊。步驟1：在WindowsServer2000虛擬機(jī)(主機(jī)A)上安裝并啟動SessionWall-3軟件，啟動后的主窗口如圖8-3所示。第四十一頁，共58頁。步驟2：在另一WindowsXP計(jì)算機(jī)(主機(jī)B)上啟動X-Scan掃描軟件，對主機(jī)A進(jìn)展各種平安掃描。步驟3：在主機(jī)A上可看到報(bào)警消息圖標(biāo)和平安沖突圖標(biāo)在不停地閃爍，并發(fā)出報(bào)警聲。選擇菜單“View〞→“AlertMessages〞命令，翻開如圖8-4所示的對話框，該對話框中列出了各種報(bào)警消息。第四十二頁，共58頁。步驟4：查看違背平安規(guī)那么的行為。SessionWall-3中內(nèi)置了許多預(yù)定義的違背平安規(guī)那么的行為，當(dāng)檢測到這些行為發(fā)生的時(shí)候，系統(tǒng)會在“Detectedsecurityviolations〞對話框中顯示這些行為。在工具欄上單擊“showsecurityviolations〞按鈕，翻開如圖8-5所示的對話框，該對話框中列出了檢測到的違背平安規(guī)那么的行為。第四十三頁，共58頁。步驟5：在主機(jī)B上對主機(jī)A的80端口發(fā)起UDPFlood攻擊，查看主機(jī)A的最近活動情況(Recentactivity)，如圖8-6所示，可見主機(jī)A在80端口收到了大量的UDP攻擊數(shù)據(jù)包。第四十四頁，共58頁。(2)自定義QQ效勞SessionWall-3已經(jīng)預(yù)定義了許多效勞，用戶根據(jù)需要也可以自定義效勞，如QQ效勞。步驟1：選擇菜單“settings〞→“Definitions〞命令，翻開“Definitions〞窗口，在“Services〞選項(xiàng)卡中顯示了系統(tǒng)預(yù)定義的效勞，如圖8-7所示。步驟2：單擊“Add〞按鈕，翻開“ServiceProperties〞對話框，設(shè)置效勞名稱為QQ，協(xié)議為UDP，端口號為8000，如圖8-8所示，單擊“OK〞按鈕，返回“Definitions〞窗口，再單擊“確定〞按鈕。第四十五頁，共58頁。第四十六頁，共58頁。步驟3：定義好QQ效勞后，當(dāng)網(wǎng)絡(luò)中存在QQ連接時(shí)，就會被系統(tǒng)監(jiān)測到，如圖8-9所示。第四十七頁，共58頁。8.5拓展進(jìn)步：入侵防護(hù)系統(tǒng)隨著網(wǎng)絡(luò)入侵事件的不斷增加和黑客攻擊程度的不斷進(jìn)步，一方面網(wǎng)絡(luò)遭受攻擊的速度日益加快，另一方面網(wǎng)絡(luò)受到攻擊做出響應(yīng)的時(shí)間卻越來越滯后。解決這一矛盾，傳統(tǒng)的防火墻或入侵檢測技術(shù)(IDS)顯得力不從心，這就需要引入一種全新的技術(shù)——入侵防護(hù)系統(tǒng)(IntrusionPreventionSystem，IPS)。第四十八頁，共58頁。1.IPS的原理防火墻是施行訪問控制策略的系統(tǒng)，對流經(jīng)的網(wǎng)絡(luò)流量進(jìn)展檢查，攔截不符合平安策略的數(shù)據(jù)包。入侵檢測技術(shù)(IDS)通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，尋找違背平安策略的行為或攻擊跡象，并發(fā)出報(bào)警。傳統(tǒng)的防火墻旨在回絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過，因此防火墻對于很多入侵攻擊仍然無計(jì)可施。絕大多數(shù)IDS系統(tǒng)都是被動的，而不是主動的。也就是說，在攻擊實(shí)際發(fā)生之前，它們往往無法預(yù)先發(fā)出警報(bào)。第四十九頁，共58頁。而入侵防護(hù)系統(tǒng)(IPS)那么傾向于提供主動防護(hù)，其設(shè)計(jì)宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)展攔截，防止其造成損失，而不是簡單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的，即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異常活動或可疑內(nèi)容后，再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS設(shè)備中被去除掉。第五十頁，共58頁。2.IPS的分類〔1〕基于主機(jī)的入侵防護(hù)系統(tǒng)(HIPS)。在技術(shù)上，HIPS采用獨(dú)特的效勞器保護(hù)途徑，由包過濾、狀態(tài)包檢測和實(shí)時(shí)入侵檢測組成分層防護(hù)體系。這種體系可以在提供合理吞吐率的前提下，最大限度地保護(hù)效勞器的敏感內(nèi)容，既可以以軟件形式嵌入到應(yīng)用程序?qū)Σ僮飨到y(tǒng)的調(diào)用當(dāng)中，攔截針對操作系統(tǒng)的可疑調(diào)用，提供對主機(jī)的平安防護(hù)，也可以以更改操作系統(tǒng)內(nèi)核程序的方式，提供比操作系統(tǒng)更加嚴(yán)謹(jǐn)?shù)钠桨部刂茩C(jī)制。第五十一頁，共58頁。由于HIPS工作在受保護(hù)的主機(jī)/效勞器上，它不但可以利用特征和行為規(guī)那么檢測，阻止諸如緩沖區(qū)溢出之類的攻擊，還可以防范未知攻擊，防止針對Web頁面、應(yīng)用和資源的未受權(quán)的任何非法訪問。HIPS與詳細(xì)的主機(jī)/效勞器操作系統(tǒng)平臺嚴(yán)密相關(guān)，不同的平臺需要不同的軟件代理程序。第五十二頁，共58頁。〔2〕基于網(wǎng)絡(luò)的入侵防護(hù)(NIPS)。NIPS通過檢測流經(jīng)的網(wǎng)絡(luò)流量