chap4-02-入侵檢測技術(shù)

內(nèi)容?????入侵檢測技術(shù)的概念入侵檢測系統(tǒng)的功能入侵檢測技術(shù)的分類入侵檢測技術(shù)的原理、結(jié)構(gòu)和流程入侵檢測技術(shù)的未來發(fā)展chap4-02-入侵檢測技術(shù)基本概念????入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。違反安全策略的行為有：入侵——非法用戶的違規(guī)行為；濫用——用戶的違規(guī)行為。入侵檢測(IntrusionDetection)就是對計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)的關(guān)鍵結(jié)點(diǎn)的信息進(jìn)行收集分析，檢測其中是否有違反安全策略的事件發(fā)生或攻擊跡象，并通知系統(tǒng)安全管理員。一般把用于入侵檢測的軟件，硬件合稱為入侵檢測系統(tǒng)。chap4-02-入侵檢測技術(shù)

為什么會出現(xiàn)IDS?客觀因素：–––––入侵者總可以找到防火墻的弱點(diǎn)和漏洞防火墻一般不能阻止來自內(nèi)部的襲擊由于性能的限制，防火墻通常不能提供實(shí)時的監(jiān)控防火墻對于病毒的網(wǎng)絡(luò)內(nèi)部傳播也是無能為力的漏洞是普遍存在的?主觀因素—入侵和攻擊不斷增多

–網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大

–網(wǎng)絡(luò)用戶不斷增加

–黑客水平不斷提高chap4-02-入侵檢測技術(shù)IDS的發(fā)展史?1980年4月，JamesAnderson為美國空軍做了一份題為《ComputerSecurityThreatMonitoringandSurveillance》（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）的技術(shù)報告，第一次提出了入侵檢測。?1986年，為檢測用戶對數(shù)據(jù)庫異常訪問，在IBM主機(jī) 上用Cobol開發(fā)的Discovery系統(tǒng)成為最早的基于主機(jī) 的IDS雛形之一。chap4-02-入侵檢測技術(shù)IDS的發(fā)展史?1987年，DorothyE.Dennying提出了異常入侵檢測系 統(tǒng)的抽象模型，首次將入侵檢測的概念作為一種計(jì)算 機(jī)系統(tǒng)安全防御問題的措施提出。?1988年，MorrisInternet蠕蟲事件使得Internet約5天 無法正常使用，該事件導(dǎo)致了許多IDS系統(tǒng)的開發(fā)研制。

TeresaLunt等人進(jìn)一步改進(jìn)了Dennying提出的入侵檢 測模型，并創(chuàng)建了IDES(IntrusionDetectionExpert System)，它提出了與系統(tǒng)平臺無關(guān)的實(shí)時檢測思想。chap4-02-入侵檢測技術(shù)IDS的發(fā)展史?1990年，Heberlein等人提出基于網(wǎng)絡(luò)的入侵檢測—— NSM(NetworkSecurityMonitor)，NSM可以通過在局 域網(wǎng)上主動地監(jiān)視網(wǎng)絡(luò)信息流量來追蹤可疑的行為。?1991年，分布式入侵檢測系統(tǒng)（DIDS）的研究，將基 于主機(jī)和基于網(wǎng)絡(luò)的檢測方法集成到一起。DIDS是分 布式入侵檢測系統(tǒng)歷史上的一個里程碑式的產(chǎn)品，它 的檢測模型采用了分層結(jié)構(gòu)，包括數(shù)據(jù)、事件、主體、 上下文、威脅、安全狀態(tài)等6層。chap4-02-入侵檢測技術(shù)IDS的發(fā)展史?1994年，MarkCrosbie和GeneSpafford建議使用自治 代理(AutonomousAgents)以便提高IDS的可伸縮性、 可維護(hù)性、效率和容錯性。?1995年，IDES后續(xù)版本──NIDES(Next-Generation IntrusionDetectionSystem)實(shí)現(xiàn)了可以檢測多個主機(jī)

上的入侵。?1996年，GRIDS(Graph-basedIntrusionDetection System)設(shè)計(jì)和實(shí)現(xiàn)解決了入侵檢測系統(tǒng)伸縮性不足的 問題，使得對大規(guī)模自動或協(xié)同攻擊的檢測更為便利。

Forrest等人將免疫原理用到分布式入侵檢測領(lǐng)域chap4-02-入侵檢測技術(shù)IDS的發(fā)展史???1997年，Markcrosbie和GeneSpafford將遺傳算法運(yùn)用到入侵檢測中。1998年，RossAnderson和AbidaKhattak將信息檢索技術(shù)引進(jìn)到了入侵檢測系統(tǒng)。中國的IDS也得到了長足的發(fā)展。據(jù)IDC的報告，2000年中國安全市場中，IDS與評估軟件占了19%的份額。IDC在2001年4月的調(diào)查顯示，用戶接下來對網(wǎng)絡(luò)安全產(chǎn)品的需求中，對IDS的需求占到了18.5%。從廠商方面來說，從1999年前后，國外一些軟件商開始將其IDS引入到國內(nèi)，如安氏、CA、NAI、賽門鐵克等。國內(nèi)如冠群金辰、金諾網(wǎng)安等也占據(jù)著該市場的較大份額。chap4-02-入侵檢測技術(shù)IDS的功能與作用?防火墻明顯的不足和弱點(diǎn)–防火墻不能防范如TCP、IP等本身存在的協(xié)議漏洞–無法解決安全后門問題；–不能阻止網(wǎng)絡(luò)內(nèi)部攻擊，而調(diào)查發(fā)現(xiàn)，80％以上的 攻擊都來自內(nèi)部，對于企業(yè)內(nèi)部心懷不滿的員工來 說，防火墻形同虛設(shè)；–不能提供實(shí)時入侵檢測能力，而這一點(diǎn)，對于現(xiàn)在層出不窮的攻擊技術(shù)來說是至關(guān)重要的；–對于病毒等束手無策。chap4-02-入侵檢測技術(shù)IDS的功能與作用?識別黑客常用入侵與攻擊手段。入侵檢測系統(tǒng)通過分析各種 攻擊特征，可以全面快速地識別探測攻擊、拒絕服務(wù)攻擊、 緩沖區(qū)溢出攻擊、電子郵件攻擊、瀏覽器攻擊等各種常用攻 擊手段，并做相應(yīng)的防范和向管理員發(fā)出警告?監(jiān)控網(wǎng)絡(luò)異常通信。IDS系統(tǒng)會對網(wǎng)絡(luò)中不正常的通信連接 做出反應(yīng)，保證網(wǎng)絡(luò)通信的合法性；任何不符合網(wǎng)絡(luò)安全策 略的網(wǎng)絡(luò)數(shù)據(jù)都會被IDS偵測到并警告。chap4-02-入侵檢測技術(shù)IDS的功能與作用?鑒別對系統(tǒng)漏洞及后門的利用。?完善網(wǎng)絡(luò)安全管理。IDS通過對攻擊或入侵的 檢測及反應(yīng)，可以有效地發(fā)現(xiàn)和防止大部分的 網(wǎng)絡(luò)入侵或攻擊行為，給網(wǎng)絡(luò)安全管理提供了 一個集中、方便、有效的工具。使用IDS系統(tǒng) 的監(jiān)測、統(tǒng)計(jì)分析、報表功能，可以進(jìn)一步完 善網(wǎng)管。chap4-02-入侵檢測技術(shù)IDS的功能與作用?IDS只能位于第二安全防線–IDS僅僅是一種實(shí)時監(jiān)控報警工具，雖能夠在檢測到非法訪

問時自動報警，但其本身無法防范攻擊行為的發(fā)生；–不能將IDS與如防病毒或防火墻產(chǎn)品混淆在一起。–IDS一般無法實(shí)現(xiàn)精確的攻擊檢測，可能會出現(xiàn)誤報現(xiàn)象。–目前IDS面臨的最主要的挑戰(zhàn)之一是檢測速度太慢。大多數(shù)

IDS系統(tǒng)在不犧牲檢測速度的前提下，會無法處理百兆位網(wǎng) 絡(luò)滿負(fù)荷時的數(shù)據(jù)量，而千兆位更是難以企及的目標(biāo)。chap4-02-入侵檢測技術(shù)技術(shù)分類?根據(jù)入侵檢測的時序–實(shí)時入侵檢測。實(shí)時入侵檢測在網(wǎng)絡(luò)連接過程中進(jìn)行，系統(tǒng) 根據(jù)用戶的歷史行為模型、存儲在計(jì)算機(jī)中的專家知識以及 神經(jīng)網(wǎng)絡(luò)模型對用戶當(dāng)前的操作進(jìn)行判斷，一旦發(fā)現(xiàn)入侵跡 象立即斷開入侵者與主機(jī)的連接，并收集證據(jù)和實(shí)施數(shù)據(jù)恢 復(fù)，這個檢測過程是不斷循環(huán)進(jìn)行的。–事后入侵檢測。事后入侵檢測需要由網(wǎng)絡(luò)管理人員進(jìn)行，他 們具有網(wǎng)絡(luò)安全的專業(yè)知識，根據(jù)計(jì)算機(jī)系統(tǒng)對用戶操作所 做的歷史審計(jì)記錄判斷用戶是否具有入侵行為，如果有就斷 開連接，并記錄入侵證據(jù)和進(jìn)行數(shù)據(jù)恢復(fù)。事后入侵檢測由 管理員定期或不定期進(jìn)行。chap4-02-入侵檢測技術(shù)技術(shù)分類?從入侵檢測系統(tǒng)所使用的技術(shù)的角度–基于特征的檢測。特征檢測假設(shè)入侵者活動可以用一種模式 來表示，系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。它 可以將已有的入侵方法檢查出來，但對新的入侵方法無能為 力。其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會 將正常的活動包含進(jìn)來。–基于異常的檢測。異常檢測假設(shè)入侵者活動異常于正常主體 的活動。根據(jù)這一理念建立主體正?；顒拥摹澳０濉保瑢?dāng)前 主體的活動狀況與“模板”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時，認(rèn) 為該活動可能是“入侵”行為。異常檢測的難題在于如何建立

“模板”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入 侵”或忽略真正的“入侵”行為。chap4-02-入侵檢測技術(shù)技術(shù)分類?從入侵檢測的范圍來講–基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。網(wǎng)絡(luò)入侵檢測系統(tǒng)能夠檢測那些 來自網(wǎng)絡(luò)的攻擊，它能夠檢測到超越授權(quán)的非法訪問，而不 需要改變其它設(shè)備的配置，也不需要在其它主機(jī)中安裝額外 的軟件，因此不會影響業(yè)務(wù)系統(tǒng)的性能。–弱點(diǎn)：（1）網(wǎng)絡(luò)入侵檢測系統(tǒng)只檢查它直接連接到網(wǎng)段的通 信，不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)包，存在監(jiān)測范圍的局限。 而安裝多臺設(shè)備顯然增加了成本。（2）采用特征檢測的方法 可以檢測出普通的一些攻擊，很難檢測復(fù)雜的需要大量時間 和分析的攻擊。（3）大數(shù)據(jù)流量網(wǎng)絡(luò)入侵檢測上存在一定的 困難。（4）加密通信檢測上存在困難，而加密通信將會越來 越多。chap4-02-入侵檢測技術(shù)技術(shù)分類–基于主機(jī)的入侵檢測系統(tǒng)。通常安裝在被重點(diǎn)檢測的主機(jī) 上，主要是對該主機(jī)的網(wǎng)絡(luò)實(shí)時連接以及系統(tǒng)審計(jì)日志進(jìn)行 智能分析和判斷，如果其中主體活動十分可疑，入侵檢測系 統(tǒng)就會采取相應(yīng)措施。–弱點(diǎn)：（1）安裝在保護(hù)的設(shè)備上會降低系統(tǒng)的效率，也會帶 來一些額外的安全問題。（2）系統(tǒng)依賴于服務(wù)器固有的日志 與監(jiān)視能力，如果服務(wù)器沒有配置日志功能，則必需重新配 置，這將會給運(yùn)行中的系統(tǒng)帶來不可預(yù)見的性能影響。（3） 全面布署基于主機(jī)的入侵檢測系統(tǒng)代價較大，則未安裝檢測 系統(tǒng)的設(shè)備將成為保護(hù)的盲點(diǎn)，入侵者可利用這些機(jī)器達(dá)到 攻擊目標(biāo)。（4）對網(wǎng)絡(luò)入侵行為無法檢測。chap4-02-入侵檢測技術(shù)技術(shù)分類?從使用的檢測方法–基于特征的檢測。特征檢測對已知的攻擊或入侵的 方式作出確定性的描述，形成相應(yīng)的事件模式。當(dāng) 被審計(jì)的事件與已知的入侵事件模式相匹配時，即 報警。原理上與專家系統(tǒng)相仿。其檢測方法上與計(jì) 算機(jī)病毒的檢測方式類似。目前基于對包特征描述 的模式匹配應(yīng)用較為廣泛，該方法預(yù)報檢測的準(zhǔn)確 率較高，但對于無經(jīng)驗(yàn)知識的入侵與攻擊行為無能 為力。chap4-02-入侵檢測技術(shù)技術(shù)分類?從使用的檢測方法–基于統(tǒng)計(jì)的檢測。統(tǒng)計(jì)模型常用異常檢測， 在統(tǒng)計(jì)模型中常用的測量參數(shù)包括：審計(jì)事 件的數(shù)量、間隔時間、資源消耗情況等。操 作模型、計(jì)算參數(shù)的方差、馬爾柯夫過程模 型、時間序列分析。chap4-02-入侵檢測技術(shù)技術(shù)分類?從使用的檢測方法–基于專家系統(tǒng)的檢測。專家系統(tǒng)的建立依賴于知識 庫的完備性，知識庫的完備性又取決于審計(jì)記錄的 完備性與實(shí)時性。入侵的特征抽取與表達(dá)，是基于 專家系統(tǒng)的入侵檢測的關(guān)鍵。在系統(tǒng)實(shí)現(xiàn)中，就是 將有關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié)構(gòu)（也可以是復(fù) 合結(jié)構(gòu)），條件部分為入侵特征，then部分是系統(tǒng) 防范措施。運(yùn)用專家系統(tǒng)防范有特征入侵行為的有 效性完全取決于專家系統(tǒng)知識庫的完備性。chap4-02-入侵檢測技術(shù)入侵檢測技術(shù)的原理

物理鏈路網(wǎng)絡(luò)流量網(wǎng)絡(luò)流量入侵檢測數(shù)據(jù)chap4-02-入侵檢測技術(shù)入侵檢測系統(tǒng)的結(jié)構(gòu)傳感器傳感器

…信息處理分析管理與控制傳感器 數(shù)據(jù)庫chap4-02-入侵檢測技術(shù)工作流程?信息收集，入侵檢測的第一步是信息收集，內(nèi) 容包括網(wǎng)絡(luò)流量的內(nèi)容、用戶連接活動的狀態(tài) 和行為。?數(shù)據(jù)分析，對上述收集到的信息，一般通過三 種技術(shù)手段進(jìn)行分析：模式匹配，統(tǒng)計(jì)分析和 完整性分析。其中前兩種方法用于實(shí)時的入侵 檢測，而完整性分析則用于事后分析。?結(jié)果處理，實(shí)時記錄、報警或有限度反擊。chap4-02-入侵檢測技術(shù)系統(tǒng)中IDS的位置chap4-02-入侵檢測技術(shù)系統(tǒng)中IDS的位置????部署1：

–放在防火墻和外部網(wǎng)絡(luò)之間

–優(yōu)點(diǎn)：可充分檢測到針對網(wǎng)絡(luò)和系統(tǒng)的攻擊

–缺點(diǎn)：無法檢測防火墻內(nèi)