入侵檢測技術(shù)

入侵檢測技術(shù)

入侵監(jiān)測系統(tǒng)的基本原理

IDS模型

snort的安裝與配置

IDS的體系結(jié)構(gòu)

,、現(xiàn)場范例

?如何對網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問進(jìn)行報警。

、處理思路

?在Linux平臺下snort的安裝與配置，為snort

配置一個ACC的web入侵事件數(shù)據(jù)庫分析

控制臺

3、預(yù)備知識

入侵檢測基本概念

入侵檢測系統(tǒng)的發(fā)展歷史

系統(tǒng)模型

IDS的分類

IDS的體系結(jié)構(gòu)

IDS部署實(shí)例

入侵監(jiān)測系統(tǒng)的基本原理

snort的安裝與配置

入侵檢測基本概念

?入侵檢測(IntrusionDetection)，是對入侵行為的發(fā)覺。

它通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中得若干關(guān)鍵點(diǎn)收集信

息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安

全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測的軟件與硬

件的組合便是入侵檢測系統(tǒng)(IntrusionDetectionSystem,

簡稱IDS)。入侵檢測系統(tǒng)需要更多的智能，它必誠可以

將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個合格的

入侵檢測系統(tǒng)能大大的簡化管理員的工作，保證網(wǎng)絡(luò)安全

的運(yùn)行。

?具體說來，入侵檢測系統(tǒng)的主要功能有：

?1.監(jiān)測并分析用戶和系統(tǒng)的活動；

?2.核查系統(tǒng)配置和漏洞；

?3.評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；

?4.識別已知的攻擊行為；

?5.統(tǒng)計(jì)分析異常行為；

?6.操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動。

入侵檢測系統(tǒng)的發(fā)展歷史

?1980年的4月，JamesP.Anderson為美國空軍做了一份

題為“計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視“(ComputerSecuiity

ThreatMonitoringandSur-veillance)的技術(shù)報告，這份

報告被公認(rèn)為是入侵檢測的開山之作。

?1986年，為檢測用戶對數(shù)據(jù)庫異常訪問，W.T.Tener在

舊M主機(jī)上用COBOL開發(fā)的Discovery系統(tǒng)，成為最早的

基于主機(jī)的IDS雛形之一。

1987年，喬治敦大學(xué)的DorothyE.Denning提出了一

個實(shí)時的入侵檢測系統(tǒng)抽象模型——IDES(Intrusion

DetectionExpertSystem,入侵檢測專家系統(tǒng))

?1990年是入侵檢測系統(tǒng)發(fā)展史上的一個分水嶺。

?1994年，MarkCrosbie和GeneSpafford建議使用自治代

理(autonomousagents)以便提高IDS的前伸縮性、前

維護(hù)性、效率和容密性，該理念非常符合正在進(jìn)行的計(jì)算

機(jī)未斗學(xué)其彳也領(lǐng)域(如軟彳牛彳弋理，softwareagent)的講究。

1995年開發(fā)了IDES完善后的版本——NIDES(Next-

GenerationIntrusionDetectionSystem)可以檢測多個主

機(jī)上的入侵。

另一條致力于解決當(dāng)代絕大多數(shù)入侵檢測系統(tǒng)伸縮性

不足的途徑手1996年提出，這就是GrIDS(Graph-based

IntrusionDetectionSystem)的設(shè)計(jì)和實(shí)現(xiàn)，該系統(tǒng)使得

對大規(guī)模自動或協(xié)同攻擊的檢測更為便利，這些攻擊有時

甚至可能跨過多個管理領(lǐng)域。

近些星乘，入侵檢洞的主要創(chuàng)新包括：Forrest等將免

疫原理運(yùn)用到分布式入侵檢測領(lǐng)域。1998年Ross

Anderson下口AbidaKhattak將信息檢索技術(shù)引進(jìn)到入侵檢

測。

系統(tǒng)模型

事件產(chǎn)生器事件分析器

~LEJ

小件敦?fù)?jù)牌響應(yīng)單元

IDS的分類

?1.按照檢測類型劃分

■從技術(shù)上劃分，入侵檢測有兩種檢測模型：

?(1)異常檢測模型(AnomalyDetection)

?(2)誤用檢測模型(MisuseDetection)

?2、按照檢測對象劃分

?主機(jī)型入侵檢測系統(tǒng)往往以系統(tǒng)日志、應(yīng)用程序日志等作

為數(shù)據(jù)源，當(dāng)然也可以通過其他手段(如監(jiān)督系統(tǒng)調(diào)用)

從所在的主機(jī)收集信息進(jìn)行分析。主機(jī)型入侵檢測系統(tǒng)保

護(hù)的一般是所在的系統(tǒng)。

?網(wǎng)絡(luò)型入侵檢測系統(tǒng)的數(shù)據(jù)源則是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往

落一臺機(jī)子的網(wǎng)韋設(shè)于混雜模式(promisemode)，監(jiān)聽

所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進(jìn)行判斷。一般網(wǎng)絡(luò)型入侵檢測

系統(tǒng)擔(dān)負(fù)著保護(hù)整個網(wǎng)段的任務(wù)。

IDS的體系結(jié)構(gòu)

?一、數(shù)據(jù)收集機(jī)制

?1.分布式與集中式數(shù)據(jù)收集機(jī)制

?2.直接監(jiān)控和間接監(jiān)控

?3.基于主機(jī)的數(shù)據(jù)收集和基于網(wǎng)絡(luò)的數(shù)據(jù)

收集

?4.外部探測器和內(nèi)部探測器

、數(shù)據(jù)分析機(jī)制

、縮短數(shù)據(jù)收集與數(shù)據(jù)分析的距離

IDS部署實(shí)例

NehvorkSer

NetworkSensorRc礎(chǔ)沁:UK［控制

父換機(jī)

三層交換機(jī)域名服務(wù)器

三層交換機(jī)

郵件朋務(wù)耦

Web服務(wù)㈱

入侵監(jiān)測系統(tǒng)的基本原理

?1.基于用戶行為概率統(tǒng)計(jì)模型的入侵檢測方法

■這種基于概率模型的統(tǒng)計(jì)方法的弱點(diǎn)是：

?(1)由于用戶的行為可以是非常復(fù)雜的，所以對于非常復(fù)雜

M用戶行為很難建立一個準(zhǔn)確匹配的統(tǒng)計(jì)模型。

?R)統(tǒng)計(jì)模型沒有普遍性，因此一個用戶的監(jiān)測措施并不適

m于其他用戶，這將使得算法龐大而且復(fù)雜。

?(3)由于采用統(tǒng)計(jì)的方法，系統(tǒng)將不得不保留大量的用戶行

%信息，導(dǎo)致系統(tǒng)的難以剪裁。

?2.基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法

?這種方法是利用神經(jīng)網(wǎng)絡(luò)技術(shù)來進(jìn)行入侵檢測的，因此，

這種方法對于用戶行為具有學(xué)習(xí)和自適應(yīng)性，能夠根據(jù)實(shí)

際檢測到的信息有效地加以處理用做出判斷，但尚不十分

成氮，目前還沒有出現(xiàn)較為完善的產(chǎn)品。

?3.基于專家系統(tǒng)的入侵檢測方法

■根據(jù)安全專家對可疑行為的分析經(jīng)驗(yàn)形成的一套推理規(guī)

貝小在此基礎(chǔ)上建立相應(yīng)的專家系統(tǒng)。因此專家系統(tǒng)自動

對所涉及的入侵行為進(jìn)行分析，該系統(tǒng)應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)

的積累，利用其自學(xué)能力進(jìn)行規(guī)則的擴(kuò)充和修正。

?4.基于模型推理的入侵檢測方法

?根據(jù)入侵者在進(jìn)行入侵時所執(zhí)行程序的某些行為特征，

建立一種入侵行為模型，根據(jù)這種行為模型所代表的入侵

意圖的行為特征來判斷用戶的操作是否屬于入侵行為。當(dāng)

然這種方法也是建立在對已知入侵行為的基礎(chǔ)上，對未知

入侵行為模型的識別需要進(jìn)一步學(xué)習(xí)和擴(kuò)展。

存在的問題

?以下便是對入侵檢測產(chǎn)品提出挑戰(zhàn)的主要因素：

?1.攻擊者不斷增加的知識，日趨成熟多樣自動化工具，以

及越來越復(fù)雜細(xì)致的攻擊手法。

?2.惡意信息采用加密的方法傳輸。

?3.必須協(xié)調(diào)、適應(yīng)多樣性的環(huán)境中的不同的安全策略。

?4.不斷增大的網(wǎng)絡(luò)流量。

?5.廣泛接受的術(shù)語和概念框架的缺乏。

?6.不斷變化的入侵檢測市場給購買、維護(hù)IDS造成的困難。

?7.采用不恰當(dāng)?shù)淖詣臃磻?yīng)所造成的風(fēng)險。

?8.對IDS自身的攻擊。

?9.大量的誤報和漏報使得發(fā)現(xiàn)問題的真正所在非常困難。

?10.客觀的評估與測試信息的缺乏。

?11.交換式局域網(wǎng)造成網(wǎng)絡(luò)數(shù)據(jù)流的可見性下降，同時更

快的網(wǎng)絡(luò)使數(shù)據(jù)的實(shí)時分析越發(fā)困難。

snort的安裝與配置

?Snort是目前應(yīng)用最為廣泛的一個IDS產(chǎn)品，它被定位為一

個輕量級的入侵檢測系統(tǒng)，它具有以下幾個特點(diǎn)：

（1）它是一個輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)，所謂輕量級

是指該軟件在運(yùn)行時只占用極少的網(wǎng)絡(luò)資源，對原有網(wǎng)絡(luò)

性能影響很小。

（2）從數(shù)據(jù)來源上看，它是一個基于網(wǎng)絡(luò)入侵的檢測軟

褊臚笈徵靜需發(fā)往同一網(wǎng)絡(luò)的其他主機(jī)的流量進(jìn)

；3「大倉的'：!作春誤用檢測模型，即首先建立入侵行為

特征哭，然后在檢測過程中，將收集到的數(shù)據(jù)包和特征代

碼r進(jìn)行比較，以得出是否入侵的結(jié)論。

（4）它是用c語言編寫的開放源代碼網(wǎng)絡(luò)入侵檢測系統(tǒng)。

其源代碼可以被自由的讀取、傳播和修改，任何一個程序

員都可以自由地為其添加功能，修改錯誤，任意傳播。這

使它能迅速發(fā)展完善并推廣應(yīng)用。

15)它是一個跨平臺的軟件，所支持的操作晝統(tǒng)非常廣

泛，比如windows,linux,sunos等者R支持。在windows

下安裝比較簡單：首先下載'wfndows下網(wǎng)絡(luò)數(shù)據(jù)包捕獲工

具winpg^p()，然后下載snort安裝包，

直接雙擊安裝即可。

(6)Snort有三種主要模式：信息包嗅探器、信

息包記錄器或成熟的入侵探測系統(tǒng)。

Snort的一些功能：

實(shí)時通信分析和信息包記錄。X

包裝有效載荷檢查。1

協(xié)議分析和內(nèi)容查詢匹配。X

探測緩沖溢出、秘密端口掃描、CGI攻擊、SMB

探測、操作系統(tǒng)入侵嘗試。X

?對系統(tǒng)日志、指定文件、入Unixsocket或通過

Samba的winpopus迸行實(shí)時才艮警。

?Snort可以工作在3種工作模式，分別如下：

1）嗅探器sniffer:

命令：snort-v[-d][-X]

?Snort使用Libpcap包捕獲庫，即TCPDUMIP使用

的庫。在這種模式下，Snort使用網(wǎng)絡(luò)接口的混雜

模式讀取并解析共享信道中的網(wǎng)絡(luò)分組。BPF表

達(dá)式可用來過濾流量。

-V

verbose

-d轉(zhuǎn)儲應(yīng)用層數(shù)據(jù)

-X轉(zhuǎn)儲從鏈路層開始的原始包

2）分組日志模式

命令：snort-Idir[-hhn][-b]

這種模式下以ASCII格把記泉解析出的分組。

-Idirectorysnort將把日志放在這個B錄下

-hX.X.X.X設(shè)置本地子網(wǎng)號

-b日志使用TCPDUMP二進(jìn)制格式

3）入侵檢測模式

命令：snort-csnort.conf[-1dir]

必須載入規(guī)則庫才能進(jìn)入入侵粒測模式。即

#./snort-csnort.conf

snort將報警信息放入/va"log/snort目錄下，可以用-I選項(xiàng)

乘改變自泉。

當(dāng)我們采用入侵檢測模式時，必須載入規(guī)則庫才能進(jìn)行

檢測，載入規(guī)則庫后，snort網(wǎng)絡(luò)數(shù)據(jù)和規(guī)則集進(jìn)行模式匹

配，從而檢測可能的入侵企圖。

?本文講述Linux平臺（這里是redhat9.0）下snort的安裝

與配置，最后為snort匣置一個ACID的web入侵事柞卷皿

叁分析控制臺。在Linux環(huán)境下需要事先安裝多種軟件構(gòu)

建支持環(huán)境才能使用snort。表1列出了相關(guān)軟件及它們的

作用。

表1安裝snort所需軟件

?軟件名稱下載網(wǎng)站作用Apache

http:〃/Linux下Aapche月艮務(wù)器

PHBhttp:〃/PHP腳本支持

MySQLhttb：///數(shù)據(jù)庫支持

libpcaphtt。:〃w/網(wǎng)絡(luò)抓包工具

SnortKttp:〃Windows下的Snort安裝包

?ACIDhttp:〃/kb/acid基于PHP的入侵

檢測數(shù)據(jù)庫分析控制臺

ADOdb^jPHP^^

統(tǒng)二的數(shù)據(jù)庫連接函數(shù)

JpGraphhttp://www.aditus.nu/jpgraphPHP所用圖

?庫1.安裝裝b114

tar-xzvfzlib-xx.tar.gz

cdzlib-xx

/configure;

makeinstall

cd..

?2.安裝LibPcapO.7.2

tar-xzvflibpcap.tar.gz

cdlibpcap-xx

/configure

Make

makeinstall

cd..

?3.安裝MySQL4.0.12

tar-xzvfmysql-xx.tar.gz

cdmysql-xx

/configure-prefix=/usr/local/mysql

Make

makeinstall

cdscripts

?/mysql_install_db

chown~Rroot/usr/local/mysql

chown-Rmysql/usr/local/mysql/var

chgrp-Rmysql/usr/local/mysql

cd7support-files/f/etc/f

向/etc/ld.so.conf中加入兩行：/usr/local/mysql/lib/mysql

/usr/local/lib

載入庫，執(zhí)行

Idconfig-v

測試mysql是否工作：

?1.安裝zlib114

tar-xzvfzlib-xx.tar.gz

cdzlib-xx

/configure;

makeinstall

cd..

?2.安裝LibPcapO7.2

tar-xzvflibpcap.tar.gz

cdlibpcap-xx

/configure

Make

makeinstall

cd..

/configure;

makeinstall

cd..

2.安裝LibPcapO7.2

tar-xzvflibpcap.tar.gz

cdlibpcap-xx

/configure

Make

makeinstall

cd..

3.安裝MySQL4.0.12

tar-xzvfmysql-xx.tar.gz

cdmysql-xx

/configure-prefix=/usr/local/mysql

Make

makeinstall

cdscripts

/mysql_install_db

chown-Rroor/usr/local/mysql

chown-Rmysql/usr/local/mysql/var

chgrp-Rmysql/usr/local/mysql

cd./support-files/f/etc/f

向/etc/ld.so.conf中力口入兩行：/usr/local/mysql/lib/mysql

?/usr/local/lib

載入庫，執(zhí)行

Idconfig-v

測試mysql是否工作：

?圖3安裝MySQL4Q12

?4.安裝Apache2O45和PHP4.3.1

tar-zxvfhttpd-2.0.xx.tar.gz

cdhttpd_2.xx.xx

/configure-prefix=/www-enable-so

make

makeinstall

cd..

tar-zxvfphp-4.3.x.tar.gz

cdphp-4.3.x

/configure-prefix=/www/php-with-

apxs2=/www/bin/apxs-with-config-fiIepath=/www/php-

enable-sockets-with-mysql=/usr/local/mysql-

?with-zlibdir=/

usr/local-with-gd

cpphp.ini-dist/www/php/php.ini

^Whttpd.conf(/www/conf):

加入兩行

LoadModulephp4_modulemodules/libphp4.so

AddTypeapplication/x-httpd-php.php

httpd.conf市相關(guān)內(nèi)容如下：

#

#LoadModulefoo_modulemodules/mod_foo.so

LoadModulephp4二modulemodules/libphp4.so

#AddTypeallowsyoutotweakmime.typeswithout

actuallyeditingit,or?$

?#makecertainfilestobecertaintypes.

#

AddTypeapplication/x-tar.tgz

AddTypeimage/x-icon.ico

AddTypeapplication/x-httpd-php.php

測試——下Apache未口PHP:

?圖4安裝Apache2.0.45和PHP4.3.1

?5.安裝Snort2.0

5.1建立snort配置文件和日志目錄

mkdir/etc/snort

mkdir/var/log/snort

tar-zxvfsnort-2.x.x.tar.gz

cdsnort-2.x.x

/configure-with-mysql=/usr/local/mysql

Make

makeinstall

?5.2安裝規(guī)則和配置文件

cdrules(在snort安裝目錄下)

cp*/etc/snort

cd./etc

?cpsnort.conf/etc/snort

cp*.config/etc/snort

5.3修改snort.conf(/etc/snort/snortconf)

varHOME_NET/24

varRULE_PATH./rules修改為varRULE_PATH

/etc/snort/

改變記錄日志數(shù)據(jù)庫：

outputdatabase:log,mysql,user=root

password=your_password

dbname=snorthbst=localhost

5.4設(shè)亶snort為白啟動:

在snort安裝目錄卞

cd/contrib.

?vi/etc/init.d/snort

修改snort如下：

CONFIG=/etc/snort/snort.conf

#SNORT_GID=nogroup（注釋掉）

#8194;$SNORT_PATH/snort-c?$CONFIG-i?$IFACE?$OPTIONS

chmod755/etc/init.d/snort

cd/etc/rc3.d

In-s/etc/init.d/snortS99snort

In-s/etc/init.d/snortK99snort

cd/etc/rc5.d

In-s/etc/init.d/snortS99snort

In-s/etc/init.d/snortK99snort

6在mysql中建立snort數(shù)據(jù)庫，結(jié)果如下：

?圖5安裝Snort2.0

?7.安裝ADOdb

cpadodb330.tgz/www/htdocs/

cd/www/htdocs

tar-xzvfadodb330.tgz

rm-rfadodb330.tgz

8.安裝JgGraph

cpjpgraph-1.11.tar.gz/www/htdocs

cd/www/htdocs

tar-xzvfjpgraph-1.xx.tar.gz

rm-rfjpgrap-1.xx.tar.gz

cdjpgraph-1.11"

rm-rfREADME

rm-rfQPL.txt

9.安裝配置數(shù)據(jù)控制臺ACID

cpacid-0.0.6b23.tar.gz/www/htdocs

cd/www/htdocs

tar-xvzfacid-0.9.6b23.tar.gz

rm-rfacid-0.9.6b23.tar.gz"

cd/www/htodcs/acid/

編輯acid_conf.php,修改相關(guān)配置如下：

#8194;$DBIib_path="/www/htdocs/adodb";

#8194;$alertjdbname="snort";

#8194;$alerFhost="localhost";

#8194;$alerFport=

#8194;$alert_user="root";

#8194;$alert二password="Your_Password";

/*ArchiveDB-connectionparanrieters*/

#8194;$archive_dbname="snort";

#8194;$archive二host="localhost";

#8194;$archive二port=

#8194;$archive二user="root";

#8194;$archive二password="Your_Password

Andalittlefurtherdown一

#8194;$ChartLib_path=Vwww/htdocs/jpgraph-1.11/src";

/*Fileformatofcharts('png','jpeg','gif')7

#8194;$chart_file_format="png";

進(jìn)入web界面T

圖6安裝配置數(shù)據(jù)控制臺ACID

點(diǎn)"SetupPage"鏈接->CreateAcidAG

訪問http:〃yourhost/acid，示會看到ACID界面。

圖7ACID界面

Snort規(guī)則

Snort規(guī)則庫是不斷更新的，可以在上下載到最新的snort規(guī)則庫。snrot

使用一種簡單的輕量級的規(guī)則描述語言來描述它的規(guī)則配置信息，它靈活而強(qiáng)大。在

股本1.8之前snort規(guī)則必須寫在一個朝亍上，在現(xiàn)在的版本里可以用'\'來進(jìn)行折行。

Snort規(guī)則分成兩個邏輯部分：規(guī)則頭和規(guī)則選項(xiàng)。規(guī)則頭包含規(guī)則的動作，協(xié)議，

源和目標(biāo)ip地址與網(wǎng)絡(luò)掩碼，以及源和目標(biāo)端口信息；規(guī)則選項(xiàng)部分包含報警消息內(nèi)容

和