第 01 講 計(jì)算機(jī)入侵檢測(cè)系統(tǒng)

計(jì)算機(jī)入侵檢測(cè)系統(tǒng)

（IDS）

內(nèi)容提要入侵檢測(cè)的概念及功能入侵檢測(cè)的分類和體系結(jié)構(gòu)入侵檢測(cè)的分析技術(shù)入侵檢測(cè)的響應(yīng)、恢復(fù)、模型與部署小結(jié)指出必須改變現(xiàn)有的系統(tǒng)審計(jì)機(jī)制，以便為專職系統(tǒng)安全人員提供安全信息——預(yù)警提出了對(duì)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類方法，將威脅分為外部滲透、內(nèi)部滲透和不法行為三種，提出利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想。概念的誕生入侵檢測(cè)的開山之作1980年4月，JamesP.Anderson為美國(guó)空軍做了一份題為《ComputerSecurityThreatMonitoringandSurveillance》（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）入侵檢測(cè)研究發(fā)展

Denning于1986年發(fā)表的論文“入侵檢測(cè)模型”被公認(rèn)為是IDS領(lǐng)域的又一篇開山之作。1990年是入侵檢測(cè)系統(tǒng)發(fā)展史上的一個(gè)分水嶺。這一年，加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了一套網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NetworkSecurityMonitor）。從20世紀(jì)90年代到現(xiàn)在，入侵檢測(cè)系統(tǒng)的研發(fā)呈現(xiàn)出百家爭(zhēng)鳴的繁榮局面，并在智能化和分布式兩個(gè)方向取得了長(zhǎng)足的進(jìn)展概念的誕生：入侵檢測(cè)的概念內(nèi)網(wǎng)Internet入侵檢測(cè)即是對(duì)入侵行為的發(fā)覺(jué)

入侵檢測(cè)系統(tǒng)是入侵檢測(cè)的軟件與硬件的有機(jī)組合入侵檢測(cè)系統(tǒng)是處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)的實(shí)時(shí)監(jiān)控入侵檢測(cè)系統(tǒng)是不僅能檢測(cè)來(lái)自外部的入侵行為，同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)入侵檢測(cè)的定義實(shí)時(shí)監(jiān)控非法入侵的過(guò)程示意圖報(bào)警日志記錄攻擊檢測(cè)記錄入侵過(guò)程重新配置防火墻路由器內(nèi)部入侵入侵檢測(cè)記錄終止入侵IDS監(jiān)控非法入侵的案例2001年4月，廣東某ISP和某數(shù)據(jù)分局的網(wǎng)絡(luò)系統(tǒng)受到入侵攻擊。IDS的相關(guān)術(shù)語(yǔ)

入侵是指試圖破壞一個(gè)資源的完整性、機(jī)密性和可獲得性的活動(dòng)集合入侵檢測(cè)是對(duì)正在發(fā)生或已經(jīng)發(fā)生的入侵行為的一種識(shí)別的過(guò)程。入侵監(jiān)測(cè)系統(tǒng)虛警檢測(cè)系統(tǒng)在檢測(cè)時(shí)把系統(tǒng)的正常行為判為入侵行為的錯(cuò)誤漏警檢測(cè)系統(tǒng)未能檢測(cè)出真正的入侵行為

入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件（1）信息收集部件（2）信息分析部件（3）結(jié)果處理部件入侵檢測(cè)的職責(zé)IDS系統(tǒng)主要有兩大職責(zé)：實(shí)時(shí)檢測(cè)和安全審計(jì)，具體包含4個(gè)方面的內(nèi)容識(shí)別黑客常用入侵與攻擊監(jiān)控網(wǎng)絡(luò)異常通信鑒別對(duì)系統(tǒng)漏洞和后門的利用完善網(wǎng)絡(luò)安全管理從不知到有知入侵檢測(cè)發(fā)揮的作用技術(shù)層面：對(duì)具體的安全技術(shù)人員，可以利用IDS做為工具來(lái)發(fā)現(xiàn)安全問(wèn)題、解決問(wèn)題。入侵檢測(cè)發(fā)揮的作用管理層面：對(duì)安全管理人員來(lái)說(shuō)，是可以把IDS做為其日常管理上的有效手段。從被動(dòng)到主動(dòng)入侵檢測(cè)發(fā)揮的作用領(lǐng)導(dǎo)層面：對(duì)安全主管領(lǐng)導(dǎo)來(lái)說(shuō)，是可以把IDS做為把握全局一種有效的方法，目的是提高安全效能。從事后到事前入侵檢測(cè)發(fā)揮的作用意識(shí)層面：對(duì)政府或者大的行業(yè)來(lái)說(shuō)，是可以通過(guò)IDS來(lái)建立一套完善的網(wǎng)絡(luò)預(yù)警與響應(yīng)體系，減小安全風(fēng)險(xiǎn)。從預(yù)警到保障監(jiān)控用戶和系統(tǒng)的活動(dòng)查找非法用戶和合法用戶的越權(quán)操作

檢測(cè)系統(tǒng)配置的正確性和安全漏洞評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)的完整性識(shí)別攻擊的活動(dòng)模式并向網(wǎng)管人員報(bào)警對(duì)用戶的非正?；顒?dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律操作系統(tǒng)審計(jì)跟蹤管理，識(shí)別違反政策的用戶活動(dòng)檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性入侵檢測(cè)系統(tǒng)的功能入侵檢測(cè)系統(tǒng)模型(Denning)入侵檢測(cè)系統(tǒng)模型(CIDF)入侵檢測(cè)系統(tǒng)模型(CIDF)事件產(chǎn)生器：從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器：分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元：對(duì)分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng),甚至發(fā)動(dòng)對(duì)攻擊者的反擊，也可以只是簡(jiǎn)單的報(bào)警。事件數(shù)據(jù)庫(kù)：存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。

二、入侵檢測(cè)的分類–基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)–基于主機(jī)入侵檢測(cè)系統(tǒng)q檢測(cè)時(shí)效分類–在線入侵檢測(cè)–離線入侵檢測(cè)q檢測(cè)所應(yīng)用的技術(shù)–基于異常的IDS

–基于誤用的IDS

系統(tǒng)結(jié)構(gòu)–集中式IDS–分布式IDS二、入侵檢測(cè)的分類(按照體系結(jié)構(gòu))二、入侵檢測(cè)的分類(按照工作方式)基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)內(nèi)網(wǎng)Internet是網(wǎng)絡(luò)上的一個(gè)監(jiān)聽設(shè)備通過(guò)網(wǎng)絡(luò)適配器捕獲數(shù)據(jù)包并分析數(shù)據(jù)包根據(jù)判斷方法分為基于知識(shí)的數(shù)據(jù)模式判斷和基于行為的行為判斷方法二、入侵檢測(cè)的分類(基于網(wǎng)絡(luò)的IDS)基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)內(nèi)網(wǎng)Internet能夠檢測(cè)超過(guò)授權(quán)的非法訪問(wèn)IDS發(fā)生故障不會(huì)影響正常業(yè)務(wù)的運(yùn)行

配置簡(jiǎn)單二、入侵檢測(cè)的分類(基于網(wǎng)絡(luò)的IDS)基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的優(yōu)勢(shì)內(nèi)網(wǎng)Internet實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)，監(jiān)測(cè)網(wǎng)絡(luò)系統(tǒng)的非法行為不占用其他計(jì)算機(jī)系統(tǒng)的資源自身的安全性比較高可用于實(shí)時(shí)檢測(cè)系統(tǒng)，也可以用于記錄審計(jì)系統(tǒng)二、入侵檢測(cè)的分類(基于網(wǎng)絡(luò)的IDS)基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的局限性內(nèi)網(wǎng)Internet具有網(wǎng)絡(luò)局限，只能檢查單一網(wǎng)段的通信通常采用特征檢測(cè)的方法無(wú)法檢測(cè)加密的數(shù)據(jù)包資源和處理能力的局限無(wú)法檢測(cè)系統(tǒng)級(jí)的入侵二、入侵檢測(cè)的分類(基于網(wǎng)絡(luò)的IDS)一款基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)SessionWall二、入侵檢測(cè)的分類(基于網(wǎng)絡(luò)的IDS)開放源碼軟件內(nèi)網(wǎng)InternetSnort、NFR、Shadow入侵檢測(cè)軟件等，其中Snort的社區(qū)()非?；钴S，其入侵特征更新速度與研發(fā)的進(jìn)展已超過(guò)了大部分商品化產(chǎn)品

二、入侵檢測(cè)的分類(基于網(wǎng)絡(luò)的IDS)Snort二、入侵檢測(cè)的分類(基于網(wǎng)絡(luò)的IDS)主界面里顯示的信息包括：觸發(fā)安全規(guī)則的網(wǎng)絡(luò)流量中各種協(xié)議所占的比例警報(bào)的數(shù)量入侵主機(jī)目標(biāo)主機(jī)的IP地址端口號(hào)等

Snort二、入侵檢測(cè)的分類(基于網(wǎng)絡(luò)的IDS)一天之內(nèi)的報(bào)警頻率一周報(bào)警頻率Snort二、入侵檢測(cè)的分類(基于網(wǎng)絡(luò)的IDS)一天之內(nèi)的報(bào)警頻率

一周報(bào)警頻率

基于主機(jī)的入侵檢測(cè)內(nèi)網(wǎng)InternetHIDS是配置在被保護(hù)的主機(jī)上的，用來(lái)檢測(cè)針對(duì)主機(jī)的入侵和攻擊主要分析的數(shù)據(jù)包括主機(jī)的網(wǎng)絡(luò)連接狀態(tài)、審計(jì)日志、系統(tǒng)日志。二、入侵檢測(cè)的分類(基于主機(jī)的IDS)基于主機(jī)的入侵檢測(cè)的實(shí)現(xiàn)原理內(nèi)網(wǎng)Internet配置審計(jì)信息系統(tǒng)對(duì)審計(jì)數(shù)據(jù)進(jìn)行分析(日志文件)二、入侵檢測(cè)的分類(基于主機(jī)的IDS)基于主機(jī)的入侵檢測(cè)系統(tǒng)的功能內(nèi)網(wǎng)二、入侵檢測(cè)的分類(基于主機(jī)的IDS)Internet能分辨出入侵者干了什么事：他們運(yùn)行了什么程序、打開了哪些文件、執(zhí)行了哪些系統(tǒng)調(diào)用。基于主機(jī)的IDS與基于網(wǎng)絡(luò)的IDS相比通常能夠提供更詳盡的相關(guān)信息?；谥鳈C(jī)的IDS通常情況下比基于網(wǎng)絡(luò)的IDS誤報(bào)率要低，因?yàn)闄z測(cè)在主機(jī)上運(yùn)行的命令序列比檢測(cè)網(wǎng)絡(luò)流更簡(jiǎn)單，系統(tǒng)的復(fù)雜性也少得多。基于主機(jī)的入侵檢測(cè)的優(yōu)勢(shì)內(nèi)網(wǎng)二、入侵檢測(cè)的分類(基于主機(jī)的IDS)Internet能精確的判斷供給行為是否成功能監(jiān)控主機(jī)上特定用戶活動(dòng)和系統(tǒng)運(yùn)行情況

HIDS能檢測(cè)到NIDS無(wú)法檢測(cè)到的攻擊

HIDS能適用加密和交換的環(huán)境

不需要額外的硬件設(shè)備基于主機(jī)的入侵檢測(cè)的局限內(nèi)網(wǎng)二、入侵檢測(cè)的分類(基于主機(jī)的IDS)Internet

HIDS對(duì)被保護(hù)主機(jī)的性能和安全性會(huì)帶來(lái)一定的影響

HIDS的安全性會(huì)受到宿主機(jī)操作系統(tǒng)的限制

HIDS的數(shù)據(jù)源會(huì)受到審計(jì)系統(tǒng)限制被木馬化的系統(tǒng)內(nèi)核能騙過(guò)HIDS

維護(hù)/升級(jí)不方便NIDS和HIDS的主要差別二、NIDS和HIDS比較混合IDS二、入侵檢測(cè)的分類(混合IDS)基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品和基于主機(jī)的入侵檢測(cè)產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會(huì)造成主動(dòng)防御體系不全面。但是，它們的缺憾是互補(bǔ)的。如果這兩類產(chǎn)品能夠無(wú)縫結(jié)合起來(lái)部署在網(wǎng)絡(luò)內(nèi)，則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系，綜合了基于網(wǎng)絡(luò)和基于主機(jī)兩種結(jié)構(gòu)特點(diǎn)的入侵檢測(cè)系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。

分布式入侵檢測(cè)系統(tǒng)（DIDS）二、入侵檢測(cè)的分類(分布式IDS)分布式入侵檢測(cè)系統(tǒng)（DIDS）二、入侵檢測(cè)的分類(分布式IDS)入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)事件產(chǎn)生器(Eventgenerators)事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)事件分析器(Eventanalyzers)事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。事件數(shù)據(jù)庫(kù)(Eventdatabases)事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)響應(yīng)單元(Responseunits)響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng),甚至發(fā)動(dòng)對(duì)攻擊者的反擊，也可以只是簡(jiǎn)單的報(bào)警。入侵檢測(cè)工作流程網(wǎng)絡(luò)接口混雜模式根據(jù)設(shè)置過(guò)濾一些數(shù)據(jù)包過(guò)濾程序的算法的重要性入侵檢測(cè)工作流程監(jiān)聽部分協(xié)議分析協(xié)議IPXICMPOSPFTCPUDPFTPTelnetPOP3SMTPHTTPDNSTFTPIGMPEGPGGPNFSIPPPPIPV6ATMNetBEUI入侵檢測(cè)工作流程數(shù)據(jù)分析根據(jù)相應(yīng)的協(xié)議調(diào)用相應(yīng)的數(shù)據(jù)分析函數(shù)一個(gè)協(xié)議數(shù)據(jù)有多個(gè)數(shù)據(jù)分析函數(shù)處理數(shù)據(jù)分析的方法是入侵檢測(cè)系統(tǒng)的核心快速的模式匹配算法入侵檢測(cè)工作流程引擎管理協(xié)調(diào)和配置給模塊間工作數(shù)據(jù)分析后處理方式AlertLogCallFirewall入侵檢測(cè)工作流程三、入侵檢測(cè)的主要技術(shù)Internet特征檢測(cè)統(tǒng)計(jì)專家系統(tǒng)三、入侵檢測(cè)的主要技術(shù)特征檢測(cè)特征檢測(cè)對(duì)已知的攻擊或入侵的方式作出確定性的描述，形成相應(yīng)的事件模式。當(dāng)被審計(jì)的事件與已知的入侵事件模式相匹配時(shí)，即報(bào)警。其檢測(cè)方法上與計(jì)算機(jī)病毒的檢測(cè)方式類似。目前基于對(duì)包特征描述的模式匹配應(yīng)用較為廣泛。該方法預(yù)報(bào)檢測(cè)的準(zhǔn)確率較高，但對(duì)于無(wú)經(jīng)驗(yàn)知識(shí)的入侵與攻擊行為無(wú)能為力?；诮y(tǒng)計(jì)檢測(cè)主要是通過(guò)統(tǒng)計(jì)模型對(duì)審計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等統(tǒng)計(jì)量進(jìn)行統(tǒng)計(jì),如果出現(xiàn)異常,即報(bào)警。三、入侵檢測(cè)的主要技術(shù)統(tǒng)計(jì)檢測(cè)模型為：統(tǒng)計(jì)檢測(cè)

1、操作模型:該模型假設(shè)異?？赏ㄟ^(guò)測(cè)量結(jié)果與一些固定指標(biāo)相比較得到，固定指標(biāo)可以根據(jù)經(jīng)驗(yàn)值或一段時(shí)間內(nèi)的統(tǒng)計(jì)平均得到，舉例來(lái)說(shuō)，在短時(shí)間內(nèi)的多次失敗的登錄很有可能是口令嘗試攻擊；

2、方差模型，計(jì)算參數(shù)的方差，設(shè)定其置信區(qū)間，當(dāng)測(cè)量值超過(guò)置信區(qū)間的范圍時(shí)表明有可能是異常；三、入侵檢測(cè)的主要技術(shù)統(tǒng)計(jì)檢測(cè)模型

3、多元模型，操作模型的擴(kuò)展，通過(guò)同時(shí)分析多個(gè)參數(shù)實(shí)現(xiàn)檢測(cè)；

4、馬爾柯夫過(guò)程模型，將每種類型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉(zhuǎn)移矩陣來(lái)表示狀態(tài)的變化，當(dāng)一個(gè)事件發(fā)生時(shí)，或狀態(tài)矩陣該轉(zhuǎn)移的概率較小則可能是異常事件；

5、時(shí)間序列分析，將事件計(jì)數(shù)與資源耗用根據(jù)時(shí)間排成序列，如果一個(gè)新事件在該時(shí)間發(fā)生的概率較低，則該事件可能是入侵。

三、入侵檢測(cè)的主要技術(shù)專家系統(tǒng)規(guī)則，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無(wú)通用性。專家系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。入侵的特征抽取與表達(dá)，是入侵檢測(cè)專家系統(tǒng)的關(guān)鍵。在系統(tǒng)實(shí)現(xiàn)中，將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)（也可以是復(fù)合結(jié)構(gòu)），條件部分為入侵特征，then部分是系統(tǒng)防范措施。運(yùn)用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識(shí)庫(kù)的完備性包俘獲在一個(gè)共享式網(wǎng)絡(luò)，可以聽取所有的流量是一把雙刃劍管理員可以用來(lái)監(jiān)聽網(wǎng)絡(luò)的流量情況開發(fā)網(wǎng)絡(luò)應(yīng)用的程序員可以監(jiān)視程序的網(wǎng)絡(luò)情況黑客可以用來(lái)刺探網(wǎng)絡(luò)情報(bào)目前有大量商業(yè)的、免費(fèi)的監(jiān)聽工具，俗稱嗅探器(sniffer)三、高級(jí)檢測(cè)技術(shù)文件完整性檢查三、高級(jí)檢測(cè)技術(shù)計(jì)算機(jī)免疫檢測(cè)三、高級(jí)檢測(cè)技術(shù)入侵誘騙技術(shù)三、高級(jí)檢測(cè)技術(shù)蜜罐技術(shù)概念三、高級(jí)檢測(cè)技術(shù)蜜罐技術(shù)概念三、高級(jí)檢測(cè)技術(shù)三、高級(jí)檢測(cè)技術(shù)蜜罐技術(shù)應(yīng)用舉例三、高級(jí)檢測(cè)技術(shù)蜜罐技術(shù)應(yīng)用舉例蜜罐的基本配置三、高級(jí)檢測(cè)技術(shù)蜜罐的基本配置三、高級(jí)檢測(cè)技術(shù)配置蜜罐的實(shí)例三、高級(jí)檢測(cè)技術(shù)配置蜜罐的實(shí)例三、高級(jí)檢測(cè)技術(shù)蜜罐的分類三、高級(jí)檢測(cè)技術(shù)低交互蜜罐三、高級(jí)檢測(cè)技術(shù)中交互蜜罐三、高級(jí)檢測(cè)技術(shù)高交互蜜罐三、高級(jí)檢測(cè)技術(shù)蜜罐的分類三、高級(jí)檢測(cè)技術(shù)蜜罐的特點(diǎn)三、高級(jí)檢測(cè)技術(shù)蜜罐的特點(diǎn)三、高級(jí)檢測(cè)技術(shù)蜜網(wǎng)的概念三、高級(jí)檢測(cè)