07入侵檢測技術與應用概述

07入侵檢測技術與應用概述第一頁，共16頁。本章內(nèi)容入侵檢測的概念7.1入侵檢測技術的分類7.2入侵檢測系統(tǒng)的性能指標7.3入侵檢測系統(tǒng)的應用

7.4防火墻產(chǎn)品介紹7.5引導案例:眾所周知，伴隨改革進程的推進，中國電力行業(yè)形成了廠、網(wǎng)分離和電網(wǎng)按區(qū)域劃分的全新格局。同時計算機網(wǎng)絡技術的發(fā)展為電力的管理和調(diào)度提供了先進的服務和支持手段，為電力新業(yè)務（如電力市場應用、電力營銷業(yè)務等）的開展提供了條件。隨著電力調(diào)度業(yè)務、電力營銷業(yè)務、電力市場業(yè)務等越來越廣泛地開展，電力企業(yè)網(wǎng)和因特網(wǎng)的聯(lián)系也越來越緊密。與此同時，因特網(wǎng)的自由性和先天的不安全性會給電力企業(yè)網(wǎng)造成越來越嚴重的隱患。黑客的入侵、內(nèi)部人員的操作失誤、懷有各種目的的人對信息的侵害等問題也相伴而來，有可能對電力業(yè)務造成極大的破壞。為了規(guī)避潛在的計算機網(wǎng)絡業(yè)務風險，使網(wǎng)絡系統(tǒng)能夠安全及高效運行，就必須保證網(wǎng)絡安全隔離，隨時檢測各種隱患，同時還要兼顧網(wǎng)絡的高效，能夠隨時通暢。入侵檢測系統(tǒng)（IntrusionDetectiveSystem，IDS)作為新型的網(wǎng)絡安全技術，有效地彌補了防火墻的某些性能上的缺陷，兩者從不同角度以不同方式確保網(wǎng)絡系統(tǒng)的安全。本章將系統(tǒng)地介紹入侵檢測系統(tǒng)的原理和應用技術，為現(xiàn)實中遇到的安全問題提供另一層防護第二頁，共16頁。7.1.1入侵檢測技術的發(fā)展歷史

1980年，技術報告《計算機安全威脅監(jiān)控與監(jiān)視》指出，審計記錄可以用于識別計算機誤用，第一次詳細介紹了入侵檢測的概念。1984－1986一個實時入侵檢測系統(tǒng)模型——IDES（IntrusionDetectionExpertSystems)運用統(tǒng)計和基于規(guī)則兩者技術的系統(tǒng)，是入侵檢測研究中最有影響的系統(tǒng)。1989年論文《ANetworkSecurityMonitor）第一次直接將網(wǎng)絡流作為審計數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機，網(wǎng)絡入侵檢測從此誕生。入侵檢測的概念7.1第三頁，共16頁。7.1.1什么是入侵檢測系統(tǒng)隨著網(wǎng)絡技術日新月異的發(fā)展，計算機病毒也伴隨這網(wǎng)絡的發(fā)展而發(fā)展，這就涉及了新一代的網(wǎng)絡安全技術。談到網(wǎng)絡安全，人們首先想到的是防火墻。但是隨著技術的發(fā)展，網(wǎng)絡日趨復雜，傳統(tǒng)防火墻所暴露出來的不足和弱點引出了人們對入侵檢測系統(tǒng)技術的研究和開發(fā)。首先，其次，最后（詳見P172)入侵檢測是指“通過對行為、安全日志、審計數(shù)據(jù)或其它網(wǎng)絡上可以獲得的信息進行審計檢查，檢測到針對系統(tǒng)的闖入或闖入的企圖”。入侵檢測是檢測和響應計算機誤用的學科，其作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術，是用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)。入侵檢測的概念7.1第四頁，共16頁。通用的入侵檢測系統(tǒng)模型，見P172圖7－1所示。主要由數(shù)據(jù)收集器、檢測器、知識庫、控制器等部分組成。另外，大多數(shù)流行的入侵檢測系統(tǒng)都包括用戶接口組件，用戶可通過接口組件對系統(tǒng)進行配置和控制。目前大多數(shù)流行的入侵檢測系統(tǒng)都又探測器和控制臺兩大部分組成。探測器主要用于入侵信息，在一些較低級的入侵檢測產(chǎn)品（如Snort）中，探測器可以由網(wǎng)卡充當，單網(wǎng)卡充當探測器時必須要工作于混雜模式下，在商用的入侵檢測系統(tǒng)中，探測器往往是一臺單獨的嵌入式設備?？刂破靼ǚ治銎?、知識庫、控制臺和用戶接口等部分，由安裝IDS控制軟件的計算機充當，如圖7－2。入侵檢測的概念7.1第五頁，共16頁。7.1.3入侵檢測系統(tǒng)的功能一個合格的入侵檢測系統(tǒng)能大大簡化管理員的工作，保證網(wǎng)絡安全地運行，具體說來，入侵檢測系統(tǒng)應該具有如下功能（詳見P173)：7.1.4入侵檢測系統(tǒng)的工作過程（詳見P173－174)1、信息收集2、信號分析（1）模式匹配（2）統(tǒng)計分析（3）完整性分析3、實時記錄、報警或有限度反擊。第六頁，共16頁。7.2.1按照檢測方法分類（詳見P174)

從技術上講，入侵檢測有兩種檢測模型：1、異常檢測模型2、誤用檢測模型7.2.2按照檢測對象分類（詳見P174－175)1、基于主機的入侵檢測系統(tǒng)（HIDS)2、基于網(wǎng)絡的入侵檢測系統(tǒng)（NIDS)7.2.3基于主機的入侵檢測系統(tǒng)（詳見P174－175)

1、HIDS的優(yōu)點2、HIDS的缺點7.2.4基于網(wǎng)絡的入侵檢測系統(tǒng)（詳見P175－176)

1、HIDS的優(yōu)點2、HIDS的缺點入侵檢測技術的分類7.2第七頁，共16頁。不同的安全產(chǎn)品，各種性能指標對客戶的意義是不同的。如防火墻，客戶會更關注每秒吞吐量、每秒并發(fā)連接數(shù)、傳輸延遲等，而網(wǎng)絡入侵檢測系統(tǒng)，客戶會更關注每秒能處理的網(wǎng)絡數(shù)據(jù)流量、每秒能監(jiān)控的網(wǎng)絡連接數(shù)等。就網(wǎng)絡入侵檢測系統(tǒng)而言，除了上述指標外，其實一些不為客戶了解的指標也很重要，如每秒抓包數(shù)、每秒能夠處理的事件數(shù)等。7.3.1每秒數(shù)據(jù)流量每秒數(shù)據(jù)流量（Mb/s或Gb/s）是指網(wǎng)路上每秒通過某節(jié)點的數(shù)據(jù)量。這個指標是反映網(wǎng)絡入侵檢測系統(tǒng)性能的重要指標，一般用b/s來衡量，例如120b/s，10Mb/s等。P177入侵檢測技術的性能指標7.3第八頁，共16頁。7.3.2每秒抓包數(shù)每秒抓包數(shù)（pps）是反映網(wǎng)絡入侵檢測性能的最重要的指標。因為系統(tǒng)不停地從網(wǎng)絡上抓包，對數(shù)據(jù)包做分析和除了里，查找其中的入侵和誤用模式，所以，每秒所能處理的數(shù)據(jù)包的多少，反映了系統(tǒng)的性能。業(yè)界不熟悉入侵檢測系統(tǒng)的人往往把每秒網(wǎng)絡流量作為判斷網(wǎng)絡入侵檢測系統(tǒng)的決定性指標，這種想法是錯誤的。每秒網(wǎng)絡流量等于每秒抓包數(shù)乘以網(wǎng)絡數(shù)據(jù)包的平均大小。在網(wǎng)絡數(shù)據(jù)包的平均大小差異很大時，在相同抓包率的情況下，每秒網(wǎng)絡流量的差異也會很大。例如網(wǎng)絡數(shù)據(jù)包的平均大小為1024字節(jié)左右，系統(tǒng)的性能能夠支持10000pps的每秒抓包數(shù)，那么系統(tǒng)每秒能夠處理的數(shù)據(jù)流量可達到78Mb/s，當數(shù)據(jù)流量超過這個數(shù)時，會因為系統(tǒng)處理不過來而出現(xiàn)丟包現(xiàn)象；如果網(wǎng)絡數(shù)據(jù)包的平均大小為512字節(jié)左右，在10000pps的每秒抓包數(shù)的性能情況下，系統(tǒng)每秒能夠處理的數(shù)據(jù)流量可達到40Mb/s，當數(shù)據(jù)流量超過這個數(shù)時，就會因為系統(tǒng)處理不過來而出現(xiàn)丟包。在相同的流量下，數(shù)據(jù)包越小，處理的難度越大。小包處理能力，也是反映NIDS性能的主要指標。第九頁，共16頁。7.3.3每秒能監(jiān)控的網(wǎng)絡連接數(shù)網(wǎng)絡入侵檢測系統(tǒng)不僅要對單個的數(shù)據(jù)包作檢測，還要將相同網(wǎng)絡連接的數(shù)據(jù)包組合起來作分析。網(wǎng)絡連接的跟蹤能力和數(shù)據(jù)包的重組能力是網(wǎng)絡入侵檢測系統(tǒng)進行協(xié)議分析，應用層入侵分析的基礎，這種分析延伸出很多網(wǎng)絡入侵檢測系統(tǒng)的功能，例如，利用HTTP協(xié)議攻擊的檢測、敏感內(nèi)容的檢測、郵件檢測、TELNET會話的記錄與回放、硬盤共享的監(jiān)控。7.3.4每秒能夠處理的事件數(shù)網(wǎng)絡入侵檢測系統(tǒng)檢測到網(wǎng)絡攻擊和可疑事件后，會生成安全事件或稱報警事件，并將事件記錄在事件日志中。每秒能夠處理的事件數(shù)，反映了檢測分析引擎的處理能力和事件日志記錄的后端處理能力。有的廠商將反映這兩種處理能力的指標分開，稱為事件處理引擎的性能參數(shù)和報警事件記錄的性能參數(shù)。大多數(shù)網(wǎng)絡入侵檢測系統(tǒng)報警事件記錄的性能參數(shù)小于事件處理引擎的性能參數(shù)，主要是Client/Server結(jié)構(gòu)的網(wǎng)絡入侵檢測系統(tǒng)，因為引入了網(wǎng)絡通信的性能瓶頸。這種情況將導致事件的丟失，或者控制臺響應不過來。第十頁，共16頁。7.4.1Snort入侵檢測系統(tǒng)Snort是一個免費的、跨平臺的軟件包，用作監(jiān)視小型TCP/IP網(wǎng)的嗅探器、日志記錄和侵入探測器。它可運行在Linux/UNIX和WIN32系統(tǒng)上，用戶只需要幾Snort分鐘就可以安裝好并可開始使用它。Snort的一些功能如下（見P178)、Snort有三種主要模式：信息包嗅探器、信息包記錄器和侵入探測系統(tǒng)。遵循開發(fā)/自由軟件最重要的慣例，Snort支持各種形式的插件、擴充和定制，包括數(shù)據(jù)庫或XML記錄、小幀探測和統(tǒng)計的異常探測等。信息包有效載荷探測是Snort最有用的一個特點，這就意味著很多額外種類的敵對行為可以備探測到。入侵檢測系統(tǒng)的應用7.4第十一頁，共16頁。7.4.2金諾入侵檢測系統(tǒng)金諾入侵檢測系統(tǒng)是上海金諾公司研發(fā)的具有全方位的實時入侵檢測、報警、響應和防范功能的入侵檢測系統(tǒng)，它由探測器和控制臺構(gòu)成，安裝時將探測器的監(jiān)聽口和交換機的鏡像口相連，將管理口連接到安裝有金諾控制軟件的計算機，由于KIDS采用SAFEBLOCKUSB對網(wǎng)絡傳感器的配置信息和許可信息進行管理，所以在使用之前，必須先通過控制臺將有關信息導入到SAFEBLOCKUSB，然后對傳感器的通信參數(shù)進行配置，如圖7－5所示。通過此過程，可以將傳感器的基本信息復制到SAFEBLOCKUSB，同時，將廠商的授權(quán)許可信息導入SAFEBLOCKUSB，最后，要配置好控制臺和探測器的IP地址。將SAFEBLOCKUSB插入探測器USB接口啟動探測器，用ping程序測試探測器和控制臺的連通性，如果成功，則可使用了。如圖7－6所示，通過主界面，系統(tǒng)管理員可以自動地監(jiān)控網(wǎng)絡的數(shù)據(jù)流、主機的日志，對可疑信息事件給予檢測和響應。第十二頁，共16頁。1、現(xiàn)狀描述眾所周知，伴隨著改革進程的推進，中國電力行業(yè)形成了廠、網(wǎng)分離和電網(wǎng)區(qū)域劃分的全新格局。同時計算機網(wǎng)絡技術的發(fā)展為電力的管理和調(diào)度提供了先進的服務和支持手段，為電力新業(yè)務的開展提供了條件。隨著電力調(diào)度業(yè)務、電力營銷業(yè)務、電力市場業(yè)務等越來越廣泛地開展，電力企業(yè)網(wǎng)和因特網(wǎng)的聯(lián)系也越來越緊密。與此同時，因特網(wǎng)的自由性和先天的不安全性給電力企業(yè)網(wǎng)造成越來越嚴重的隱患。黑客的入侵、內(nèi)部人員的操作失誤、懷有各種目的的人對信息的侵害等問題也相伴而來，有可能對電力業(yè)務造成極大的破壞。為了規(guī)避潛在的計算機網(wǎng)絡業(yè)務風險，使網(wǎng)絡系統(tǒng)能夠安全及高效運行，就必須保證網(wǎng)絡安全隔離，隨時檢測各種隱患，同時還要兼顧網(wǎng)絡的高效，保證能夠隨時通暢，所以當前必須把安全問題作為網(wǎng)絡建設和網(wǎng)絡優(yōu)化的關鍵來抓，必須建立一套完整的網(wǎng)絡安全機制。案例實現(xiàn)第十三頁，共16頁。2、需求分析（1）網(wǎng)絡現(xiàn)狀分析某省電子信息網(wǎng)絡的主體為覆蓋全省地市級單位（包括核心省級節(jié)點、十三個骨干節(jié)點）的廣域網(wǎng)絡，連接了全省境內(nèi)電力系統(tǒng)包括各地市供電局、各發(fā)電廠的計算機網(wǎng)絡。公司本部機關局域網(wǎng)通過電信進行了Internet接入，防火墻