5.2 入侵檢測系統(tǒng)

通信網(wǎng)絡(luò)安全與防護(hù)第五章網(wǎng)絡(luò)防護(hù)技術(shù)《通信網(wǎng)絡(luò)安全與防護(hù)》防火墻：定義、功能與不足；主要技術(shù)；功能與性能。安全隔離技術(shù)：基本概念；網(wǎng)閘的結(jié)構(gòu)與工作原理；應(yīng)用場景。知識回顧知識回顧防火墻不具備（）功能。A.包過濾B.查毒C.記錄訪問過程D.代理防火墻的工作層次是決定防火墻效率及安全的主要因素，下面敘述中正確的是（）A.防火墻工作層次越高，工作效率越高，安全性越低B.防火墻工作層次越低，工作效率越低，安全性越低C.防火墻工作層次越高，工作效率越低，安全性越高D.防火墻工作層次越低，工作效率越高，安全性越高5.4蜜罐與蜜網(wǎng)蜜罐定義蜜罐分類蜜網(wǎng)的概念5.2入侵檢測系統(tǒng)定義、發(fā)展、分類體系結(jié)構(gòu)檢測分析技術(shù)主要內(nèi)容教學(xué)目標(biāo)(1)掌握入侵檢測系統(tǒng)的基本概念，熟悉入侵檢測系統(tǒng)的體系結(jié)構(gòu);(2)掌握入侵檢測系統(tǒng)的檢測方法;(3)掌握蜜罐與蜜網(wǎng)基本概念，熟悉蜜罐的分類，了解蜜罐的搭建方法。為什么需要入侵檢測？隨著計算機(jī)網(wǎng)絡(luò)知識的普及，攻擊者越來越多，知識日趨成熟，攻擊工具和方法日趨復(fù)雜多樣，單純的防火墻策略已經(jīng)無法滿足對安全高度敏感的部門的需要。網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣的手段。5.2入侵檢測系統(tǒng)大門警衛(wèi)------------防火墻（Firewall）監(jiān)控系統(tǒng)-----------入侵檢測系統(tǒng)（IDS）入侵（Intrusion）：是指對任何企圖危及系統(tǒng)及資源的完整性、機(jī)密性和可用性的活動。入侵檢測（IntrusionDetection）：即對入侵行為的發(fā)覺。是指“通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測到對系統(tǒng)的闖入或闖入的企圖”(GB/T18336）。1.概念5.2.1入侵檢測概述5.2.1入侵檢測概述威懾檢測響應(yīng)損失情況評估攻擊預(yù)測起訴支持入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）：進(jìn)行入侵檢測的軟件或硬件的組合。1.概念一個安全的入侵檢測系統(tǒng)必須具備以下特點(diǎn)：（1）可行性：入侵檢測系統(tǒng)不能影響到系統(tǒng)的正常運(yùn)行。（2）安全性：引入的入侵檢測系統(tǒng)本身需要是安全的、可用的。（3）實(shí)時性：入侵檢測系統(tǒng)是檢測系統(tǒng)所受到的攻擊行為的，必須及時地檢測到這種威脅。（4）擴(kuò)展性：入侵檢測系統(tǒng)必須是可擴(kuò)展的，入侵檢測系統(tǒng)在不改變機(jī)制的前提下能夠檢測到新的攻擊，5.2.1入侵檢測概述1.概念1980年，JamesAnderson在技術(shù)報告ComputerSecurityThreatMonitoringandSurveillance中引入了入侵檢測這個概念。

1986年Denning博士論文AnIntrusionDetectionModel是IDS的經(jīng)典之作1983-1986美國斯坦福研究院進(jìn)行了一項編號為6169的計劃，即“審計跟蹤系統(tǒng)的統(tǒng)計技術(shù)發(fā)展”。該計劃通過行為特征來區(qū)分不同用戶。這些統(tǒng)計過程將審計跟蹤信息量減少了100倍，檢測入侵企圖的準(zhǔn)確性很高。2.發(fā)展歷史和現(xiàn)狀5.2.1入侵檢測概述第一代IDS（1994~1997）IDS雛形，技術(shù)探討階段Snort－公開源代碼第二代IDS（1997~2000）

商品化IDS

百兆環(huán)境下的成熟應(yīng)用第三代IDS（2000~2002）

千兆網(wǎng)絡(luò)環(huán)境的成功應(yīng)用第四代IDS（2003開始）

入侵管理型的IDS5.2.1入侵檢測概述2.發(fā)展歷史和現(xiàn)狀1)誤報和漏報2)阻斷攻擊能力弱3)基于網(wǎng)絡(luò)包捕獲的IDS對加密數(shù)據(jù)無能為力4）對針對NIDS自身的DoS攻擊防御能力弱5)維護(hù)比較難入侵檢測系統(tǒng)存在的問題：5.2.1入侵檢測概述2.發(fā)展歷史和現(xiàn)狀1）體系結(jié)構(gòu)的發(fā)展2）分析技術(shù)的智能化：如神經(jīng)網(wǎng)絡(luò)技術(shù)、數(shù)據(jù)挖掘等；3）響應(yīng)策略的研究：如聯(lián)動和報復(fù)等；4）與其它安全技術(shù)相結(jié)合：如IPS即將IDS與Firewall功能合二為一；長遠(yuǎn)看，IDS作為獨(dú)立的產(chǎn)品形態(tài)可能會消失，其功能會融合到其它設(shè)備之中（如防火墻、路由器和交換機(jī)等）。發(fā)展趨勢：5.2.1入侵檢測概述2.發(fā)展歷史和現(xiàn)狀從數(shù)據(jù)來源和系統(tǒng)結(jié)構(gòu)分類，入侵檢測系統(tǒng)分為三類：基于主機(jī)的入侵檢測系統(tǒng)-HIDS基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)-NIDS分布式入侵檢測系統(tǒng)（混合型）-DIDS3.入侵檢測系統(tǒng)分類5.2.1入侵檢測概述HIDS的輸入數(shù)據(jù)來源于系統(tǒng)的審計日志，它只能檢測發(fā)生在這個主機(jī)上的入侵行為。所以，這種檢測系統(tǒng)一般應(yīng)用在系統(tǒng)服務(wù)器、用戶機(jī)器和工作站上。其缺點(diǎn)是對整個網(wǎng)絡(luò)的保護(hù)有限。審計數(shù)據(jù)基于主機(jī)的入侵檢測系統(tǒng)審計數(shù)據(jù)過濾審計分析分析員基于主機(jī)的入侵檢測系統(tǒng)過程5.2.1入侵檢測概述3.入侵檢測系統(tǒng)分類能夠更加準(zhǔn)確地判斷攻擊是否成功：使用含有已發(fā)生事件信息的HIDS，它們可以比NIDS（基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)）做出更加準(zhǔn)確地判斷；可監(jiān)視特定的系統(tǒng)活動：如用戶訪問文件的活動、非正常行為、用戶賬號的變化等；HIDS可以檢測到那些基于網(wǎng)絡(luò)的系統(tǒng)察覺不到的攻擊：例如，來自網(wǎng)絡(luò)內(nèi)部的攻擊；由于基于主機(jī)的系統(tǒng)安裝在企業(yè)的各種主機(jī)上，它們更適用于交換和加密的環(huán)境;檢測和響應(yīng)及時，價格更低。HIDS具有如下優(yōu)點(diǎn)：5.2.1入侵檢測概述3.入侵檢測系統(tǒng)分類內(nèi)部網(wǎng)絡(luò)黑客內(nèi)部人員$告警傳輸網(wǎng)絡(luò)5.2.1入侵檢測概述網(wǎng)絡(luò)入侵檢測系統(tǒng)（Network-basedIDS，NIDS）通過在網(wǎng)段上對通信數(shù)據(jù)進(jìn)行偵聽，采集數(shù)據(jù)，分析可疑現(xiàn)象，根據(jù)網(wǎng)絡(luò)流量、協(xié)議分析、簡單網(wǎng)絡(luò)管理協(xié)議信息等檢測入侵。3.入侵檢測系統(tǒng)分類分布式入侵檢測系統(tǒng)（DistributedIDS，DIDS）綜合了基于主機(jī)和基于網(wǎng)絡(luò)的IDS的功能。它通過收集、合并來自多個主機(jī)的審計數(shù)據(jù)和檢查網(wǎng)絡(luò)通信，能夠檢測出多個主機(jī)發(fā)起的協(xié)同攻擊?？刂破?DIDSDirector)局域網(wǎng)代理(LANAgent)主機(jī)代理(HostAgent)5.2.1入侵檢測概述DIDS3.入侵檢測系統(tǒng)分類單主機(jī)二組件：收集組件和分析組件分布式結(jié)構(gòu)：分級組織模型網(wǎng)絡(luò)組織模型混合組織模型5.2.2IDS的體系結(jié)構(gòu)1.

IDS體系結(jié)構(gòu)演變過程命令和控制節(jié)點(diǎn)匯聚節(jié)點(diǎn)收集節(jié)點(diǎn)分級體系結(jié)構(gòu)5.2.2IDS的體系結(jié)構(gòu)1.

IDS體系結(jié)構(gòu)演變過程網(wǎng)狀體系結(jié)構(gòu)將收集、匯聚和命令控制功能集成到一個駐留在每個監(jiān)控系統(tǒng)上的組件中。5.2.2IDS的體系結(jié)構(gòu)1.

IDS體系結(jié)構(gòu)演變過程命令和控制節(jié)點(diǎn)匯聚節(jié)點(diǎn)收集節(jié)點(diǎn)混合體系結(jié)構(gòu)5.2.2IDS的體系結(jié)構(gòu)1.

IDS體系結(jié)構(gòu)演變過程IDS進(jìn)行標(biāo)準(zhǔn)化工作的兩個組織IETF（InternetEngineeringTaskForce）下屬的IDWG（IntrusionDetectionWorkGroup)CIDF（CommonIntrusionDetectionFramework)通用入侵檢測框架5.2.2IDS的體系結(jié)構(gòu)2.通用入侵檢測框架輸出：高級中斷事件輸出：事件的存儲信息輸出：反應(yīng)或事件輸出：原始或低級事件事件生成器響應(yīng)單元事件分析器事件數(shù)據(jù)庫目錄服務(wù)器輸入：原始事件源CIDF定義的體系結(jié)構(gòu)5.2.2IDS的體系結(jié)構(gòu)2.通用入侵檢測框架(1)

缺乏有效性(2)

有限的靈活性(3)

單點(diǎn)失效(4)

有限的響應(yīng)能力(5)

缺乏對入侵檢測關(guān)鍵組件的保護(hù)(6)

缺乏有效的協(xié)同5.2.2IDS的體系結(jié)構(gòu)3.現(xiàn)有IDS體系結(jié)構(gòu)的局限性DES按設(shè)計時的分析，需要2283年才能破譯；DES的密鑰量太小，密鑰量為256；1977年，Diffie.Hellman提出制造一個每秒測試106的VLSI芯片，則一天就可以搜索完整個密鑰空間，當(dāng)時造價2千萬美元。CRYPTO’93：R.Session，M.Wiener提出并行密鑰搜索芯片，每秒測試5x107個密鑰，5760片這種芯片，造價10萬美元，平均一天即可找到密鑰?；诋惓５娜肭謾z測（AnomalyDetection）首先給系統(tǒng)對象(單個用戶、一組用戶、主機(jī)或系統(tǒng)中某個關(guān)鍵程序或文件等)創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性。測量屬性的平均值將用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外，就認(rèn)為有入侵發(fā)生。5.2.3IDS的檢測分析方法1.基于異常的入侵檢測異常檢測：特點(diǎn)是通過對系統(tǒng)異常行為的檢測，可以歸結(jié)出未知攻擊模式。關(guān)鍵問題：正常使用模式的建立，以及如何對當(dāng)前的系統(tǒng)行為進(jìn)行比較，從而判斷出與正常模式的偏離程度。模式：由一系列的系統(tǒng)參量來定義;參量：是指系統(tǒng)行為在特定方面的衡量標(biāo)準(zhǔn)。每個參量都對應(yīng)一個門限值或?qū)?yīng)一個變化區(qū)間。5.2.3IDS的檢測分析方法1.基于異常的入侵檢測與其他技術(shù)相結(jié)合的異常檢測方法基于統(tǒng)計分析的異常檢測基于數(shù)據(jù)挖掘的異常檢測基于神經(jīng)網(wǎng)絡(luò)的異常檢測優(yōu)點(diǎn)不需要攻擊特征庫可檢測到未知的入侵和更為復(fù)雜的入侵缺點(diǎn)建立正常行為閾值難度大誤報、漏報率高5.2.3IDS的檢測分析方法1.基于異常的入侵檢測誤用（Misuse）：指“可以用某種規(guī)則、方式、模型表示的入侵攻擊或其他安全相關(guān)行為”?；谡`用的入侵檢測（MisuseDetection）技術(shù)：通過某種方式預(yù)先定義入侵行為，然后監(jiān)視系統(tǒng)的運(yùn)行，井根據(jù)所建立的這種入侵模式來檢測入侵，并從中找出符合預(yù)先定義規(guī)則的入侵行為。2.基于誤用的入侵檢測5.2.3IDS的檢測分析方法該模型通過使用某種模式或信號標(biāo)識來表示攻擊，進(jìn)而發(fā)現(xiàn)相同的攻擊。這種檢測技術(shù)可以檢測已知的許多甚至全部攻擊行為，但是對于未知的攻擊手段卻無能為力。審計數(shù)據(jù)誤用檢測技術(shù)攻擊狀態(tài)修正現(xiàn)有規(guī)則添加新的規(guī)則時間信息規(guī)則匹配？2.基于誤用的入侵檢測5.2.3IDS的檢測分析方法基于誤用的入侵檢測的主要方法基于模式匹配基于專家系統(tǒng)基于模型按鍵監(jiān)視2.基于誤用的入侵檢測5.2.3IDS的檢測分析方法

1）模式匹配間隔持續(xù)時間存在模式序列模式規(guī)則模式其他模式匹配模式的層次關(guān)系3.常用的誤用檢測技術(shù)5.2.3IDS的檢測分析方法Internet110010101100010101000010101(attack)分片、亂序(tatkca)000010101100010101110010101110010101100010101000010101重組接收數(shù)據(jù)(attack)被攻擊攻擊攻擊特征報警模式匹配

1）模式匹配3.常用的誤用檢測技術(shù)5.2.3IDS的檢測分析方法協(xié)議匹配

alerttcp$EXTERNAL_NETany一>$HOME_NETany（msg：“SCANNULL”；flags：0；seq：0；ack：0；reference：arachnids，4；classtype：attempted-recon；sid：623；rev:1；)

1）模式匹配3.常用的誤用檢測技術(shù)5.2.3IDS的檢測分析方法字符串匹配

alerttcp$EXTERNAL_NETany一>$HTTP_SERVERS$HTTP_PORTS（msg：“WEB_ATTACKSpscommandattempt”；flow：to_Server，etablished；uricontent：“/bin/ps”；nocase；sid：1328；lasstype：web-application-attack；rev：4；)

1）模式匹配3.常用的誤用檢測技術(shù)5.2.3IDS的檢測分析方法長度匹配

alerttcp$EXTERNAL_NETany一>$HTTP_SERVERS$HTTP_PORTS(msg:“WEB-IISISAPI.idaattempt”；uficontent：“.ida?”；nocase；dsize：>239；low：to_server,established；reference：arachnids，552；classtype：web-application-attack；reference：bugtraq，1065；reference:cve,CAN-2000-0071；sid：1243；rev：6；)

1）模式匹配3.常用的誤用檢測技術(shù)5.2.3IDS的檢測分析方法累積匹配或增量匹配：通過對某些事件出現(xiàn)的量（次數(shù)或單位時間次數(shù)）來產(chǎn)生新的事件。邏輯匹配或集合匹配：一些有更強(qiáng)事件檢測能力的IDS，通過對不同類型的事件組合來進(jìn)行判斷，從而獲得新的事件。

1）模式匹配3.常用的誤用檢測技術(shù)5.2.3IDS的檢測分析方法單純模式匹配方法的根本問題是把網(wǎng)絡(luò)數(shù)據(jù)包看作無序隨意的字節(jié)流，造成檢測效率低下。

協(xié)議分析在攻擊檢測中充分利用網(wǎng)絡(luò)通信中標(biāo)準(zhǔn)的、層次化的、格式化的網(wǎng)絡(luò)數(shù)據(jù)包結(jié)構(gòu)，進(jìn)行逐層分析，然后再使用模式匹配方法，提高檢測效率。

2）協(xié)議分析3.常用的誤用檢測技術(shù)5.2.3IDS的檢測分析方法0020DAD3C5805254AB27C00408004500003407BA40004006A0F6CA72A518CA725816040B005023E5241E50BB078080109310BD0A00000101080A0002259E01A3C881捕獲的數(shù)據(jù)包示例匹配攻擊特征字符串——“GET/cgi-bin/../phf”需要多次匹配，效率低下

2）協(xié)議分析3.常用的誤用檢測技術(shù)5.2.3IDS的檢測分析方法通過協(xié)議分析，可以大大減少模式匹配計算量，且提高精度。0020DAD3C5805254AB27C00408004500003407BA40004026A0F6CA72A518CA725816040B005023E5241E50BB078080109310BD0A00000101080A0002259E01A3C881以太網(wǎng)類型字段IP協(xié)議字段TCP目的端口號字段捕獲的數(shù)據(jù)包示例

2）協(xié)議分析3.常用的誤用檢測技術(shù)5.2.3IDS的檢測分析方法蜜罐主機(jī)是一種資源，它被偽裝成一個實(shí)際目標(biāo)。蜜罐主機(jī)希望人們?nèi)ス艋蛉肭炙?.4蜜罐與蜜網(wǎng)蜜罐的價值在于被探測、攻擊和損害。默默地收集盡可能多的同入侵有關(guān)的信息，例如攻擊模式，使用的程序，攻擊意圖和黑客社團(tuán)文化等等。幫助我們明白黑客社團(tuán)以及他們的攻擊行為，以便更好的防御安全威脅。什么是蜜罐？一、蜜罐基本概念5.4.1蜜罐基本概念應(yīng)用于工作環(huán)境中的計算機(jī)經(jīng)常:缺少警告功能以致于系統(tǒng)的操作者不能意識到遭受了攻擊；處理大量的數(shù)據(jù)使得電腦黑客留下的任何證據(jù)很快就丟失了；由于操作上的原因不能離線分析。引入蜜罐的目的分散攻擊者的注意力收集同攻擊和攻擊者有關(guān)的信息1、網(wǎng)絡(luò)欺騙技術(shù)

為了使蜜罐對入侵者更具有吸引力，就要采用各種欺騙手段，例如在欺騙主機(jī)上模擬一些操作系統(tǒng)或各種漏洞、在一臺計算機(jī)上模擬整個網(wǎng)絡(luò)、在系統(tǒng)中產(chǎn)生仿真網(wǎng)絡(luò)流量等。通過這些方法，使蜜罐更像一個真實(shí)的工作系統(tǒng)，誘騙入侵者上當(dāng)。2、數(shù)據(jù)控制技術(shù)

數(shù)據(jù)控制就是對黑客的行為進(jìn)行牽制，規(guī)定他們能做或不能做某些事情。當(dāng)系統(tǒng)被侵入時，應(yīng)該保證蜜罐不會對其他的系統(tǒng)造成危害。5.4.2蜜罐的關(guān)鍵技術(shù)3、數(shù)據(jù)收集技術(shù)

蜜罐監(jiān)控者只要記錄下進(jìn)、出系統(tǒng)的每個數(shù)據(jù)包，就能夠?qū)诳偷乃魉鶠橐磺宥?。蜜罐本身上面的日志文件也是很好的?shù)據(jù)來源，但日志文件很容易被攻擊者刪除，所以通常的辦法就是讓蜜罐向在同一網(wǎng)絡(luò)上但防御機(jī)制更為完善的遠(yuǎn)程系統(tǒng)日志服務(wù)器發(fā)送日志備份。4、報警技術(shù)

要避免入侵檢測系統(tǒng)產(chǎn)生大量的警報，因?yàn)檫@些警報中有很多是試探行為，并沒有實(shí)現(xiàn)真正的攻擊，所以報警系統(tǒng)需要不斷升級，需要增強(qiáng)與其他安全工具和網(wǎng)管系統(tǒng)的集成能力。5.4.2蜜罐的關(guān)鍵技術(shù)5、入侵行為重定向技術(shù)

所有的監(jiān)控操作必須被控制，如果IDS或嗅探器檢測到某個訪問可能是攻擊行為，不是禁止，而是將此數(shù)據(jù)復(fù)制一份，同時將入侵行為重定向到預(yù)先配置好的蜜罐機(jī)器上。這樣就不會攻擊到要保護(hù)的真正的資源，這就要求誘騙環(huán)境和真實(shí)環(huán)境之間切換不但要快而且要真實(shí)再現(xiàn)。5.4.2蜜罐的關(guān)鍵技術(shù)從應(yīng)用層面分為兩種類型的蜜罐：產(chǎn)品型蜜罐（production）：用于幫助降低組織的安全風(fēng)險；

研究型蜜罐（research）：意味著收集