第十一章網絡與信息安全入侵檢測系統(tǒng)

第十一章網絡與信息安全入侵檢測系統(tǒng)第1頁，課件共28頁，創(chuàng)作于2023年2月第11章入侵檢測技術11.1入侵檢測技術概述1.入侵檢測的概念通過從計算機網絡和系統(tǒng)的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略的行為或遭到入侵的跡象，并依據既定的策略采取一定的措施。三部分內容：信息收集；信息分析；響應。是主動保護自己免受攻擊的一種網絡安全技術。作為防火墻的合理補充，入侵檢測技術能夠幫助系統(tǒng)對付網絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應），提高了信息安全基礎結構的完整性。第2頁，課件共28頁，創(chuàng)作于2023年2月2.入侵檢測系統(tǒng)的基本結構IETF（Internet工程任務組）將一個入侵檢測系統(tǒng)分為四個組件：事件產生器（Eventgenerators）事件分析器（Eventanalyzers）響應單元（Responseunits）事件數據庫（Eventdatabases）第3頁，課件共28頁，創(chuàng)作于2023年2月事件產生器:從整個計算環(huán)境中捕獲事件信息，并向系統(tǒng)的其他組成部分提供該事件數據。事件分析器:分析得到的事件數據，并產生分析結果。響應單元:對分析結果做出反應的功能單元，它可以做出切斷連接、改變文件屬性等有效反應，當然也可以只是報警。事件數據庫:存放各種中間和最終數據的地方的統(tǒng)稱，用于指導事件的分析及反應，它可以是復雜的數據庫，也可以是簡單的文本文件。第4頁，課件共28頁，創(chuàng)作于2023年2月3.系統(tǒng)模型模型由6個主要部分組成：第5頁，課件共28頁，創(chuàng)作于2023年2月主體：啟動在目標系統(tǒng)上活動的實體，如用戶，也可能是攻擊者；對象：系統(tǒng)資源，如系統(tǒng)中存儲的文件、敏感數據、重要設備等；審計記錄：由〈對象、動作、異常條件、資源使用狀況、時間戳〉構成的6元組?；顒雍啓n：用于保存主體正?；顒拥男畔ⅲ唧w實現(xiàn)依賴于檢測方法，在統(tǒng)計方法中可以從事件數量、頻度、資源消耗等方面度量，通過使用方差、馬爾可夫模型等統(tǒng)計方法實現(xiàn)。異常記錄：由〈事件、時間戳、活動簡檔〉組成，用于表示異常事件的發(fā)生情況規(guī)則集處理引擎：主要檢查入侵是否發(fā)生，并結合活動簡檔，用專家系統(tǒng)或統(tǒng)計方法等分析接收到的審計記錄，調整內部規(guī)則或統(tǒng)計信息，在判斷有入侵發(fā)生時采用相應的措施。第6頁，課件共28頁，創(chuàng)作于2023年2月11.2入侵檢測系統(tǒng)的分析方式1.技術分類

入侵檢測系統(tǒng)按采用的技術可分為特征檢測與異常檢測兩種。(1)特征檢測

特征檢測(Signature-baseddetection)又稱Misusedetection，這一檢測假設入侵者活動可以用一種模式來表示，系統(tǒng)的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在于如何設計模式既能夠表達“入侵”現(xiàn)象又不會將正常的活動包含進來。第7頁，課件共28頁，創(chuàng)作于2023年2月(2)異常檢測

異常檢測(Anomalydetection)的假設是入侵者活動異常于正常主體的活動。根據這一理念建立主體正常活動的“活動簡檔”，將當前主體的活動狀況與“活動簡檔”相比較，當違反其統(tǒng)計規(guī)律時，認為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設計統(tǒng)計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。第8頁，課件共28頁，創(chuàng)作于2023年2月2.常用檢測方法

入侵檢測系統(tǒng)常用的檢測方法有特征檢測、統(tǒng)計檢測與專家系統(tǒng)。(1)特征檢測

特征檢測對已知的攻擊或入侵的方式做出確定性的描述，形成相應的事件模式。當被審計的事件與已知的入侵事件模式相匹配時，即報警。原理上與專家系統(tǒng)相仿。其檢測方法上與計算機病毒的檢測方式類似。目前基于對包特征描述的模式匹配應用較為廣泛。該方法預報檢測的準確率較高，但對于無經驗知識的入侵與攻擊行為無能為力。(2)統(tǒng)計檢測

統(tǒng)計模型常用異常檢測，在統(tǒng)計模型中常用的測量參數包括：審計事件的數量、間隔時間、資源消耗情況等。第9頁，課件共28頁，創(chuàng)作于2023年2月常用的入侵檢測5種統(tǒng)計模型：

●操作模型，該模型假設異?？赏ㄟ^測量結果與一些固定指標相比較得到，固定指標可以根據經驗值或一段時間內的統(tǒng)計平均得到；●方差，計算參數的方差，設定其置信區(qū)間，當測量值超過置信區(qū)間的范圍時表明有可能是異常；●多元模型，操作模型的擴展，通過同時分析多個參數實現(xiàn)檢測；●馬爾柯夫過程模型，將每種類型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉移矩陣來表示狀態(tài)的變化，當一個事件發(fā)生時，或狀態(tài)矩陣該轉移的概率較小則可能是異常事件；●時間序列分析，將事件計數與資源耗用根據時間排成序列，如果一個新事件在該時間發(fā)生的概率較低，則該事件可能是入侵。第10頁，課件共28頁，創(chuàng)作于2023年2月統(tǒng)計方法的最大優(yōu)點是它可以“學習”用戶的使用習慣，從而具有較高檢出率與可用性。但是它的“學習”能力也給入侵者以機會通過逐步“訓練”使入侵事件符合正常操作的統(tǒng)計規(guī)律，從而透過入侵檢測系統(tǒng)。第11頁，課件共28頁，創(chuàng)作于2023年2月(3)專家系統(tǒng)

用專家系統(tǒng)對入侵進行檢測，經常是針對有特征入侵行為。所謂的規(guī)則，即是知識，不同的系統(tǒng)與設置具有不同的規(guī)則，且規(guī)則之間往往無通用性。專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達，是入侵檢測專家系統(tǒng)的關鍵。在系統(tǒng)實現(xiàn)中，將有關入侵的知識轉化為if-then結構（也可以是復合結構），條件部分為入侵特征，then部分是系統(tǒng)防范措施。運用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性第12頁，課件共28頁，創(chuàng)作于2023年2月11.3入侵檢測系統(tǒng)分類基于主機的入侵檢測系統(tǒng)基于主機的入侵檢測系統(tǒng)（HIDS）通常是安裝在被重點檢測的主機之上，主要是對該主機的網絡實時連接以及系統(tǒng)審計日志進行智能分析和判斷。如果其中主體活動十分可疑(特征或違反統(tǒng)計規(guī)律)，入侵檢測系統(tǒng)就會采取相應措施。

第13頁，課件共28頁，創(chuàng)作于2023年2月(1)主機入侵檢測系統(tǒng)的優(yōu)點：主機入侵檢測系統(tǒng)對分析“可能的攻擊行為”非常有用，通常能夠提供詳盡的相關信息。主機入侵檢測系統(tǒng)比網絡入侵檢測系統(tǒng)誤報率要低，因為檢測在主機上運行的命令序列比檢測網絡流更簡單，系統(tǒng)的復雜性也少得多。主機入侵檢測系統(tǒng)可部署在那些不需要廣泛的入侵檢測、傳感器與控制臺之間的通信帶寬不足的情況下。主機入侵檢測系統(tǒng)在不使用諸如“停止服務”“注銷用戶”等響應方法時風險較少。第14頁，課件共28頁，創(chuàng)作于2023年2月(2)

主機入侵檢測系統(tǒng)的弱點：

主機入侵檢測系統(tǒng)安裝在我們需要保護的設備上。舉例來說，當一個數據庫服務器要保護時，就要在服務器上安裝入侵檢測系統(tǒng)。這會降低應用系統(tǒng)的效率。此外，它也會帶來一些額外的安全問題，安裝了主機入侵檢測系統(tǒng)后，將本不允許安全管理員有權力訪問的服務器變成他可以訪問的了。主機入侵檢測系統(tǒng)的另一個問題是它依賴于服務器固有的日志與監(jiān)視能力。如果服務器沒有配置日志功能，則必需重新配置，這將會給運行中的業(yè)務系統(tǒng)帶來不可預見的性能影響。全面部署主機入侵檢測系統(tǒng)代價較大，企業(yè)中很難將所有主機用主機入侵檢測系統(tǒng)保護，只能選擇部分主機保護。那些未安裝主機入侵檢測系統(tǒng)的機器將成為保護的盲點，入侵者可利用這些機器達到攻擊目標。主機入侵檢測系統(tǒng)除了監(jiān)測自身的主機以外，根本不監(jiān)測網絡上的情況。對入侵行為的分析的工作量將隨著主機數目增加而增加。第15頁，課件共28頁，創(chuàng)作于2023年2月2.基于網絡的入侵檢測系統(tǒng)基于網絡的入侵檢測產品（NIDS）放置在比較重要的網段內，不停地監(jiān)視網段中的各種數據包。對每一個數據包或可疑的數據包進行特征分析。如果數據包與產品內置的某些規(guī)則吻合，入侵檢測系統(tǒng)就會發(fā)出警報甚至直接切斷網絡連接。目前，大部分入侵檢測產品是基于網絡的。第16頁，課件共28頁，創(chuàng)作于2023年2月(1)網絡入侵檢測系統(tǒng)的優(yōu)點

網絡入侵檢測系統(tǒng)能夠檢測那些來自網絡的攻擊，它能夠檢測到超過授權的非法訪問。一個網絡入侵檢測系統(tǒng)不需要改變服務器等主機的配置。由于它不會在業(yè)務系統(tǒng)的主機中安裝額外的軟件，從而不會影響這些機器的CPU、I/O與磁盤等資源的使用，不會影響業(yè)務系統(tǒng)的性能。由于網絡入侵檢測系統(tǒng)不像路由器、防火墻等關鍵設備方式工作，它不會成為系統(tǒng)中的關鍵路徑。網絡入侵檢測系統(tǒng)發(fā)生故障不會影響正常業(yè)務的運行。部署一個網絡入侵檢測系統(tǒng)的風險比主機入侵檢測系統(tǒng)的風險少得多。網絡入侵檢測系統(tǒng)近年內有向專門的設備發(fā)展的趨勢，安裝這樣的一個網絡入侵檢測系統(tǒng)非常方便，只需將定制的設備接上電源，做很少一些配置，將其連到網絡上即可。第17頁，課件共28頁，創(chuàng)作于2023年2月(2)

網絡入侵檢測系統(tǒng)的弱點

網絡入侵檢測系統(tǒng)只檢查它直接連接網段的通信，不能檢測在不同網段的網絡包。在使用交換以太網的環(huán)境中就會出現(xiàn)監(jiān)測范圍的局限。而安裝多臺網絡入侵檢測系統(tǒng)的傳感器會使部署整個系統(tǒng)的成本大大增加。網絡入侵檢測系統(tǒng)為了性能目標通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現(xiàn)一些復雜的需要大量計算與分析時間的攻擊檢測。第18頁，課件共28頁，創(chuàng)作于2023年2月(2)

網絡入侵檢測系統(tǒng)的弱點

網絡入侵檢測系統(tǒng)可能會將大量的數據傳回分析系統(tǒng)中。在一些系統(tǒng)中監(jiān)聽特定的數據包會產生大量的分析數據流量。一些系統(tǒng)在實現(xiàn)時采用一定方法來減少回傳的數據量，對入侵判斷的決策由傳感器實現(xiàn)，而中央控制臺成為狀態(tài)顯示與通信中心，不再作為入侵行為分析器。這樣的系統(tǒng)中的傳感器協(xié)同工作能力較弱。網絡入侵檢測系統(tǒng)處理加密的會話過程較困難，目前通過加密通道的攻擊尚不多，但隨著IPv6的普及，這個問題會越來越突出。第19頁，課件共28頁，創(chuàng)作于2023年2月3.基于內核的入侵檢測系統(tǒng)基于內核的入侵檢測是一種相當巧妙的新型的Linux入侵檢測系統(tǒng)。現(xiàn)在有兩種基于LINUX的不同的基于內核的IDS，它們是OPENWALL和LIDS。它們在防止緩沖區(qū)溢出方面有了很大的發(fā)展，并增強了文件系統(tǒng)的保護，通過攔截信號使入侵系統(tǒng)變得更加困難?，F(xiàn)在最主要的基于內核的入侵檢測系統(tǒng)叫做LIDS。LIDS是一種基于Linux內核的入侵檢測和預防系統(tǒng)。LIDS的保護目的是防止超級用戶root的篡改系統(tǒng)重要部分的。LIDS主要的特點是提高系統(tǒng)的安全性，防止直接的端口連接或者是存儲器連接，防止原始磁碟的使用，同時還要保護系統(tǒng)日志文件。LIDS當然也會適當制止一些特定的系統(tǒng)操作，譬如：安裝sniffer、修改防火墻的配置文件。第20頁，課件共28頁，創(chuàng)作于2023年2月4.兩種入侵檢測系統(tǒng)的結合運用基于網絡的入侵檢測產品和基于主機的入侵檢測產品都有不足之處，單純使用一類產品會造成主動防御體系不全面。但是，它們的缺陷是互補的。如果這兩類產品能夠無縫結合起來部署在網絡內，則會構架成一套完整立體的主動防御體系，綜合了基于網絡和基于主機兩種結構特點的入侵檢測系統(tǒng)，既可發(fā)現(xiàn)網絡中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。第21頁，課件共28頁，創(chuàng)作于2023年2月5.分布式入侵檢測系統(tǒng)隨著對網絡基礎設施依賴性的日益增強，人們越來越迫切地需要保證這些設施的安全性和抗攻擊性。對于保護網絡基礎設施而言，需要某種機制實時地網絡操作中那些可能指示異常事或惡意行為的活動模式，并且通過自動反應措施來進行響應。另外，這種機制還應該支持對事件數據的收集和相關處理過程，以便追蹤那些應該為惡意行為負責的個體。分布式的入侵檢測架構就是適應此種需求而迅速發(fā)展起來的。第22頁，課件共28頁，創(chuàng)作于2023年2月分布式入侵檢測系統(tǒng)（DistributedIntrusionDetectionSystem）一般指的是部署于大規(guī)模網絡環(huán)境下的入侵檢測系統(tǒng)，任務是用來監(jiān)視整個網絡環(huán)境中的安全狀態(tài)，包括網絡設施本身和其中包含的主要系統(tǒng)。分布式入侵檢測系統(tǒng)與簡單的基于主機的入侵檢測系統(tǒng)不同的，它一般由多個部件組成，分布在網絡的各個部分，完成相應的功能，如進行數據采集、分析等。通過中心的控制部件進行數據匯總、分析、產生入侵報警等，有的系統(tǒng)的中心控制部件可以監(jiān)督和控制其他部件的活動，修改其配置等。近些年來，人工智能領域的智能代理技術越來越熱，也提出了不少基于智能代理技術的分布式入侵檢測系統(tǒng)等，如基于自治代理技術的AAFID，還有基于移動代理的分布式入侵檢測系統(tǒng)等。第23頁，課件共28頁，創(chuàng)作于2023年2月11.4入侵檢測技術發(fā)展方向1．當前技術發(fā)展無論從規(guī)模與方法上入侵技術近年來都發(fā)生了變化。入侵的手段與技術也有了“進步與發(fā)展”。入侵技術的發(fā)展與演化主要反映在下列幾個方面：(1)入侵或攻擊的綜合化與復雜化入侵的手段有多種，入侵者往往采取一種攻擊手段。由于網絡防范技術的多重化，攻擊的難度增加，使得入侵者在實施入侵或攻擊時往往同時采取多種入侵的手段，以保證入侵的成功幾率，并可在攻擊實施的初期掩蓋攻擊或入侵的真實目的。(2)入侵主體對象的間接化即實施入侵與攻擊的主體的隱蔽化。通過一定的技術，可掩蓋攻擊主體的源地址及主機位置。即使用了隱蔽技術后，對于被攻擊對象攻擊的主體是無法直接確定的。第24頁，課件共28頁，創(chuàng)作于2023年2月

(3)入侵或攻擊的規(guī)模擴大對于網絡的入侵與攻擊，在其初期往往是針對于某公司或一個網站，其攻擊的目的可能為某些網絡技術愛好者的獵奇行為，也不排除商業(yè)的盜竊與破壞行為。由于戰(zhàn)爭對電子技術與網絡技術的依賴性越來越大，隨之產生、發(fā)展、逐步升級到電子戰(zhàn)與信息戰(zhàn)。對于信息戰(zhàn)，無論其規(guī)模與技術都與一般意義上的計算機網絡的入侵與攻擊都不可相提并論。信息戰(zhàn)的成敗與國家主干通信網絡的安全是與任何主權國家領土安全一樣的國家安全。(4)入侵或攻擊技術的分布化以往常用的入侵與攻擊行為往往由單機執(zhí)行。由于防范技術的發(fā)展使得此類行為不能奏效。所謂的分布式拒絕服務（DDoS）在很短時間內可造成被攻擊主機的癱瘓。且此類分布式攻擊的單機信息模式與正常通信無差異，所以往往在攻擊發(fā)動的初期不易被確認。分布式攻擊是近期最常用的攻擊手段。第25頁，課件共28頁，創(chuàng)作于2023年2月