計算機(jī)系統(tǒng)安全第十一章入侵檢測系統(tǒng)

計算機(jī)系統(tǒng)安全

第十一章

入侵檢測系統(tǒng)

、什么是入侵檢測

—1、入侵檢測的概念

入侵檢測的內(nèi)容：試圖闖入、成功闖入、冒充

其他用戶、違反安全策略、合法用戶的泄漏、

獨(dú)占資源以及惡意使用。

入侵檢測(IntrusionDetection)：通過從計算

機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行

分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全

策略的行為和被攻擊的跡象。

入侵檢測系統(tǒng)(IDS)：入侵檢測的軟件與硬

件的組合，是防火墻的合理補(bǔ)充，是防火墻之

后的第二道安全閘門。

、什么是入侵檢測

1、入侵檢測的概念：模型

Demiying的通用入侵檢測模型。模型缺點(diǎn)是它沒有包含已知

系統(tǒng)漏洞或攻擊方法的知識

、什么是入侵檢測

1、入侵檢測的概念：任務(wù)

監(jiān)視、分析用戶及系統(tǒng)活動，查找非法用戶和合法

用戶的越權(quán)操作；

?系統(tǒng)構(gòu)造和弱點(diǎn)的審計，并提示管理員修補(bǔ)漏洞；

?識別反映已知進(jìn)攻的活動模式并報警，能夠?qū)崟r對

檢測到的入侵行為進(jìn)行反應(yīng)；

?異常行為模式的統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律；

?評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；

?操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策

略的行為。

、什么是入侵檢測

—1、入侵檢測的概念

傳統(tǒng)安全防范技術(shù)的不足

傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)

等都是靜態(tài)安全防御技術(shù)，對網(wǎng)絡(luò)環(huán)境下日

新月異的攻擊手段缺乏主動的反應(yīng)。

入侵檢測技術(shù)通過對入侵行為的過程與特征

的研究使安全系統(tǒng)對入侵事件和入侵過程能

做出實時響應(yīng)。

、什么是入侵檢測

2、入侵檢測的分類

根據(jù)所采用的技術(shù)可以分為：

1）異常檢測：異常檢測的假設(shè)是入侵者活動

異常于正常主體的活動，建立正?；顒拥?/p>

“活動簡檔”，當(dāng)前主體的活動違反其統(tǒng)計

規(guī)律時，認(rèn)為可能是“入侵”行為。

2）特征檢測：特征檢測假設(shè)入侵者活動可以

用一種模式來表示，系統(tǒng)的目標(biāo)是檢測主體

活動是否符合這些模式。

、什么是入侵檢測

2、入侵檢測的分類

根據(jù)所監(jiān)測的對象來分：

1）基于主機(jī)的入侵檢測系統(tǒng)（HIDS）：通過監(jiān)視

與分析主機(jī)的審計記錄檢測入侵。能否及時采集到

審計是這些系統(tǒng)的弱點(diǎn)之一，入侵者會將主機(jī)審計

子系統(tǒng)作為攻擊目標(biāo)以避開入侵檢測系統(tǒng)。

2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）：通過在共

享網(wǎng)段上對通信數(shù)據(jù)的偵聽采集數(shù)據(jù)，分析可疑現(xiàn)

象。這類系統(tǒng)不需要主機(jī)提供嚴(yán)格的審計，對主機(jī)

資源消耗少，并可以提供對網(wǎng)絡(luò)通用的保護(hù)而無需

顧及異構(gòu)主機(jī)的不同架構(gòu)。

、什么是入侵檢測

2、入侵檢測的分類

根據(jù)系統(tǒng)的工作方式分為：

1）離線檢測系統(tǒng)：離線檢測系統(tǒng)是非實時工作的

系統(tǒng)，它在事后分析審計事件，從中檢查入侵活動。

2）在線檢測系統(tǒng)：在線檢測系統(tǒng)是實時聯(lián)機(jī)的檢

測系統(tǒng)，它包含對實時網(wǎng)絡(luò)數(shù)據(jù)包分析，實時主機(jī)

審計分析。其工作過程是實時入侵檢測在網(wǎng)絡(luò)連接

過程中進(jìn)行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲

在計算機(jī)中的專家知識以及神經(jīng)網(wǎng)絡(luò)模型對用戶當(dāng)

前的操作進(jìn)行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開入

侵者與主機(jī)的連接，并收集證據(jù)和實施數(shù)據(jù)恢復(fù)?

、什么是入侵檢測

3、信息收集

第一步是信息收集，包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活

動的狀態(tài)利行為。需要在系統(tǒng)中的不同關(guān)鍵點(diǎn)（網(wǎng)段

和主機(jī)）收集信息，這樣做的理由就是從一個來源的

信息有可能看不出疑點(diǎn)，但從幾個源來的信息的不一

致性卻是可疑行為或入侵的最好標(biāo)識。

L系統(tǒng)和網(wǎng)絡(luò)日志文件

2.目錄和文件中的不期望的改變

3.程序執(zhí)行中的不期望行為

4.物理形式的入侵信息

、什么是入侵檢測

4、信號分析

對收集到的上述四類信息，通過三種技術(shù)手

段進(jìn)行分析：

模式匹配：用于實時的入侵檢測

統(tǒng)計分析：用于實時的入侵檢測

完整性分析：用于事后分析。

一、什么是入侵檢測

4、信號分析

L模式匹配

模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵

和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安

全策略的行為。

優(yōu)點(diǎn)：只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)

擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方

法一樣，檢測準(zhǔn)確率和效率都相當(dāng)高。

缺點(diǎn)：需要不斷的升級以對付不斷出現(xiàn)的黑客攻擊

手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。

、什么是入侵檢測

4、信號分析

2.統(tǒng)計分析

對系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一

個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪

問次數(shù)、操作失敗次數(shù)和延時等）。測量屬性的平均

值與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常

值范圍之外時，就認(rèn)為有入侵發(fā)生。例如，某帳戶突

然在凌晨兩點(diǎn)試圖登錄。

優(yōu)點(diǎn)：可檢測到未知的入侵和更為復(fù)雜的入侵

缺點(diǎn)：誤報、漏報率高，不適應(yīng)用戶正常行為的突然

改變。統(tǒng)計分析方法如基于專家系統(tǒng)的、基于模型推

理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法。

、什么是入侵檢測

3.完整性分析：利用消息摘要Hash函數(shù)計算

完整性分析關(guān)注某個文件或?qū)ο笫欠癖桓?

包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被木

馬、病毒更改的應(yīng)用程序方面特別有效。檢查

系統(tǒng)保存有每個文件的數(shù)字摘要數(shù)據(jù)庫，通過

重新計算文件的數(shù)字文摘并與數(shù)據(jù)庫中的值相

比較來判斷文件是否被修改。

優(yōu)點(diǎn)：攻克文件完整性檢查系統(tǒng)，無論是時間

上還是空間上都是不可能的。

配置靈活，可以有選擇地監(jiān)測重要文件。

二、入侵檢測產(chǎn)品分析

文件完整性檢查的弱點(diǎn):

一般以批處理方式實現(xiàn)，不用于實時響應(yīng)。

該方法作為網(wǎng)絡(luò)安全的必要補(bǔ)充，定期運(yùn)行。

文件完整性檢查系統(tǒng)依賴于本地的文摘數(shù)據(jù)

庫。這些數(shù)據(jù)可能被入侵者修改。防范對策:

將摘要數(shù)據(jù)庫放在只讀介質(zhì)上。

文件完整性檢查非常耗時。

系統(tǒng)正常的升級會帶來大量的文件更新。例

如，WindowsNT系統(tǒng)中升級MS-Outlook將會

帶來1800多個文件變化。

二、入侵檢測產(chǎn)品分析

―1、基于網(wǎng)絡(luò)的入侵檢測

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源。

通常采用四種技術(shù)來識別攻擊標(biāo)志：

模式、表達(dá)式或字節(jié)匹配

頻率或穿越閾值

低級事件的相關(guān)性

統(tǒng)計學(xué)意義上的非常規(guī)現(xiàn)象檢測

一旦檢測到了攻擊行為，IDS的響應(yīng)模塊提供多種選項

以通知、報警并對攻擊采取相應(yīng)的反應(yīng)。通常都包括

通知管理員、中斷連接，收集證據(jù)。

二、入侵檢測產(chǎn)品分析

1、基于網(wǎng)絡(luò)的入侵檢測

優(yōu)點(diǎn)：

1）成本低：可在幾個關(guān)鍵訪問點(diǎn)上進(jìn)行配置，不要

求在各主機(jī)上裝載并管理軟件。

2）通過檢測數(shù)據(jù)包的頭部可發(fā)現(xiàn)基于主機(jī)的IDS所漏

掉的攻擊（如：DOS、碎片包Teardrop攻擊）。基

于主機(jī)的IDS無法查看包的頭部。

3.攻擊者不易銷毀證據(jù)：可實時記錄攻擊者的有關(guān)信

息（不僅包括攻擊的方法，還包括可識別黑客身份

和對其進(jìn)行起訴的信息）。黑客一旦入侵到主機(jī)內(nèi)

部都會修改審記記錄，抹掉作案痕跡。

二、入侵檢測產(chǎn)品分析

1、基于網(wǎng)絡(luò)的入侵檢測

4.實時檢測和響應(yīng)：

可以在攻擊發(fā)生的同時將其檢測出來，并做出更快的響

應(yīng)。例如，對拒絕服務(wù)攻擊發(fā)出TCP復(fù)位信號，在該攻

擊對目標(biāo)主機(jī)造成破壞前將其中斷。而基于主機(jī)的系統(tǒng)

只有在可疑的登錄信息被記錄下來以后才能識別攻擊并

做出反應(yīng)。而這時關(guān)鍵系統(tǒng)可能早就遭到了破壞。

5.能檢測未成功的攻擊和不良意圖?；谥鳈C(jī)的系統(tǒng)無

法查到未遂的攻擊，而這些丟失的信息對于評估和優(yōu)化

安全策略至關(guān)重要。

6.操作系統(tǒng)無關(guān)性

二、入侵檢測產(chǎn)品分析

1、基于網(wǎng)絡(luò)的入侵檢測

網(wǎng)絡(luò)入侵檢測系統(tǒng)的弱點(diǎn)：

A只檢查它直接連接網(wǎng)段的通信；

?為了不影響性能，通常采用簡單的特征檢

測算法，難以實現(xiàn)復(fù)雜計算與分析；

?會將大量的數(shù)據(jù)傳給檢測分析系統(tǒng)；

A難以處理加密會話。目前通過加密通道的

攻擊尚不多，但這個問題會越來越突出。

二、入侵檢測產(chǎn)品分析

2、基于主機(jī)的入侵檢測

通常是安裝在被重點(diǎn)檢測的主機(jī)之上，主要是對該主

機(jī)的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志進(jìn)行智能分析和

判斷。如果其中主體活動十分可疑（特征或違反統(tǒng)計

規(guī)律），入侵檢測系統(tǒng)就會采取相應(yīng)措施。

優(yōu)點(diǎn)：

1.比基于網(wǎng)絡(luò)的IDS更加準(zhǔn)確地判斷攻擊是否成功。

2.監(jiān)視特定的系統(tǒng)活動：監(jiān)視用戶和訪問文件的活

動，包括文件訪問、改變文件權(quán)限；記錄帳戶或文件

的變更，發(fā)現(xiàn)并中止改寫重要系統(tǒng)文件或者安裝特洛

伊木馬的企圖。

二、入侵檢測產(chǎn)品分析

2、基于主機(jī)的入侵檢測

3.檢測被基于網(wǎng)絡(luò)IDS漏掉的、不經(jīng)過網(wǎng)絡(luò)的攻擊。

4.可用于加密的和交換的環(huán)境。

交換設(shè)備可將大型網(wǎng)絡(luò)分成許多的小型網(wǎng)絡(luò)部件加以

管理，所以很難確定配置基于網(wǎng)絡(luò)的IDS的最佳位置。

基于主機(jī)的入侵檢測系統(tǒng)可安裝在所需的重要主機(jī)上,

在交換的環(huán)境中具有更高的能見度。

由于加密方式位于協(xié)議堆棧內(nèi)，所以基于網(wǎng)絡(luò)的IDS

可能對某些攻擊沒有反應(yīng)，基于主機(jī)的IDS沒有這方

面的限制，因為這時數(shù)據(jù)流已經(jīng)被解密了。

二、入侵檢測產(chǎn)品分析

2、基于主機(jī)的入侵檢測

5.接近實時的檢測和響應(yīng)

目前，基于主機(jī)的顯著減少了從攻擊驗證到作出響應(yīng)

的時間延遲，大多數(shù)情況下，系統(tǒng)能在遭到破壞之前

發(fā)現(xiàn)并阻止入侵者攻擊。

6.不要求維護(hù)及管理額外硬件設(shè)備。

7.記錄花費(fèi)更加低廉：盡管很容易就能使基于網(wǎng)絡(luò)

的IDS提供廣泛覆蓋，但其價格通常是昂貴的。配置

一個簡單的入侵監(jiān)測系統(tǒng)要花費(fèi)$10,000以上，而基于

主機(jī)的入侵檢測系統(tǒng)對于單獨(dú)一代理標(biāo)價僅幾百美元,

并且客戶只需很少的費(fèi)用用于最初的安裝。

二、入侵檢測產(chǎn)品分析

基于主機(jī)的入侵檢測系統(tǒng)的弱點(diǎn)：

1、會降低應(yīng)用系統(tǒng)的效率。止匕外，安裝了主機(jī)

入侵檢測系統(tǒng)后，擴(kuò)大了安全管理員訪問權(quán)限。

2、依賴于服務(wù)器固有的日志與監(jiān)視能力。如果

服務(wù)器沒有配置日志功能，則必需重新配置。

3、全面布署，代價較大。若部分安裝，則存在

保護(hù)盲點(diǎn)。

4、無法監(jiān)測網(wǎng)絡(luò)上的情況。對入侵行為的分析

的工作量將隨著主機(jī)數(shù)目增加而增加。

二、入侵檢測產(chǎn)品分析

3、混合入侵檢測

基于網(wǎng)絡(luò)的和基于主機(jī)的IDS對攻擊的反應(yīng)方

式有：告警、存貯和主動響應(yīng)。

單純使用一類產(chǎn)品的防御體系是不完整的，

兩類產(chǎn)品結(jié)合起來部署，可以優(yōu)勢互補(bǔ)。既

可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志

中發(fā)現(xiàn)異常情況。

三、入侵檢測技術(shù)分析

~1、技術(shù)分類

入侵檢測技術(shù)分為兩種：特征檢測、異常檢測。

多數(shù)IDS以特征檢測為主，異常檢測為輔。

1）特征檢測（誤用檢測、模式發(fā)現(xiàn)）

假設(shè)入侵者活動可以用某種模式來表示，系統(tǒng)

的目標(biāo)是檢測主體活動是否與這些模式匹配。

關(guān)鍵：入侵模式描述，區(qū)分入侵與正常行為。

優(yōu)點(diǎn)：誤報少。

局限：不能發(fā)現(xiàn)未知的攻擊。

三、入侵檢測技術(shù)分析

—1、技術(shù)分類

2）異常檢測（異常發(fā)現(xiàn)）

按照統(tǒng)計規(guī)律，建立主體正常活動的“簡檔”，

若當(dāng)前主體活動偏離“簡檔”相比較，則認(rèn)為

該活動可能是“入侵”行為。例：流量統(tǒng)計分

析，將異常時間的異常網(wǎng)絡(luò)流量視為可疑。

難點(diǎn)：建立“簡檔”；統(tǒng)計算法；異常閾值選

擇。

避免對入侵的誤判或漏判。

局限性：“入侵”與“異常”并非一一對應(yīng)。

三、入侵檢測技術(shù)分析

2、常用檢測方法

IDS常用的檢測方法：

特征檢測、統(tǒng)計檢測與專家系統(tǒng)。

據(jù)公安部計算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督

檢驗中心的報告，國內(nèi)送檢的入侵檢測產(chǎn)品

中95%是屬于使用入侵模板進(jìn)行模式匹配的

特征檢測產(chǎn)品，其他5%是采用概率統(tǒng)計的統(tǒng)

計檢測產(chǎn)品與基于日志的專家知識庫系產(chǎn)品。

三、入侵檢測技術(shù)分析

2、常用檢測方法

1）特征檢測：對攻擊方式作出確定性的描

述分事件模式。當(dāng)被審計的事件與已知的入

侵事件模式相匹配時報警。目前常用的是數(shù)

據(jù)包特征模式匹配。準(zhǔn)確率高，對付已知攻

2）統(tǒng)計檢測：常用于異常檢測。測量參數(shù)

包括：審計事件的數(shù)量、間隔時間、資源消

耗情況等。常用的統(tǒng)計模型有：

三、入侵檢測技術(shù)分析

2、常用檢測方法

操作模型：測量結(jié)果與一些固定指標(biāo)（經(jīng)驗

值，統(tǒng)計值）相比較，例：在短時間內(nèi)的多

次登錄失敗，可能是口令嘗試攻擊；

概率模型：計算參數(shù)的方差，設(shè)定其置信區(qū)

間，當(dāng)測量值超過置信區(qū)間的范圍時表明有

可能是異常；或者當(dāng)概率很低的事件發(fā)生時，

可能發(fā)生入侵。

用戶歷史行為：當(dāng)用戶改變他們的行為習(xí)慣

時，這種異常就會被檢測出來。

三、入侵檢測技術(shù)分析

2、常用檢測方法

3）專豕系統(tǒng)：

根據(jù)專家對可疑行為的經(jīng)驗形成一套推理規(guī)

則。專家系統(tǒng)的建立依賴于知識庫的完備性,

知識庫的完備性又取決于審計記錄的完備性

與實時性。入侵的特征抽取與表達(dá)，是入侵

檢測專家系統(tǒng)的關(guān)鍵。在系統(tǒng)實現(xiàn)中，將有

關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié)構(gòu)（也可以是

復(fù)合結(jié)構(gòu)），條件部分為入侵特征，then部

分是系統(tǒng)防范措施。

三、入侵檢測技術(shù)分析

36侵的發(fā)展趨勢

多樣化與復(fù)雜化：采用多種手段，提高成功率。

隱蔽化：掩蓋攻擊者身份和目的。

欺騙性：間接攻擊；IP地址欺騙

攻擊規(guī)模擴(kuò)大：電子戰(zhàn)與信息戰(zhàn)。

攻擊的分布化：DDoS在很短時間內(nèi)造成被攻擊

主機(jī)的癱瘓，且在攻擊的初期不易被發(fā)覺。

攻擊對象轉(zhuǎn)移：網(wǎng)絡(luò)3網(wǎng)絡(luò)防護(hù)系統(tǒng)。

三、入侵檢測技術(shù)分析

=4、入侵檢測技術(shù)發(fā)展方向

■分布式入侵檢測：兩層含義

1）針對分布式網(wǎng)絡(luò)攻擊的檢測方法

2）使用分布式的方法來檢測分布式的攻擊，

關(guān)鍵技術(shù)為檢測信息的協(xié)同處理

解決異構(gòu)系統(tǒng)及大規(guī)模網(wǎng)絡(luò)的入侵檢測，發(fā)

展分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。

■智能化入侵檢測：

三、入侵檢測技術(shù)分析

神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等

方法，用于入侵特征的辨識。

利用專家系統(tǒng)，具有自學(xué)習(xí)能力，實現(xiàn)知識庫

的不斷更新與擴(kuò)展。

應(yīng)用智能體(Agent)技術(shù)進(jìn)行入侵檢測。應(yīng)該將

常規(guī)高效的IDS與智能檢測模塊結(jié)合使用。

應(yīng)用層入侵檢測：許多入侵的語義只有在應(yīng)用

層才能理解。使IDS不僅能檢測Web類的通用協(xié)

議，還能處理如LotusNotes＞數(shù)據(jù)庫系統(tǒng)等其

他的應(yīng)用系統(tǒng)。

四、入侵檢測產(chǎn)品

—IT入侵檢測的評估

1）能保證自身的安全。

2）系統(tǒng)運(yùn)行與維護(hù)的開銷小。

3）誤報率和漏報率要低。

4）支持多種網(wǎng)絡(luò)，對網(wǎng)絡(luò)性能影響小。

5）能檢測的入侵特征數(shù)量。

6）是否支持IP碎片重組、TCP流重組。TCP流重

組是網(wǎng)絡(luò)IDS分析應(yīng)用層協(xié)議的基礎(chǔ)。如檢查郵

件內(nèi)容、附件，F(xiàn)TP數(shù)據(jù)，非法HTTP請求等。

四、入侵檢測產(chǎn)品

2、入侵檢測的產(chǎn)品

ACisco公司的NetRanger

傳感器(sensor)：采集數(shù)據(jù)(網(wǎng)絡(luò)包、日志)，

分析數(shù)據(jù)，發(fā)出報警信息等。

控制臺(console)：圖形化界面，中央管理機(jī)

構(gòu)。接收報警，啟動對策。

ANetworkAssociates公司的CyberCop

>InternetSecuritySystem公司的RealSecure

四、入侵檢測產(chǎn)品

3、入侵檢測產(chǎn)品選擇要點(diǎn)

1.系統(tǒng)的價格

2.特征庫升級與維護(hù)的費(fèi)用

3.網(wǎng)絡(luò)IDS的最大可處理流量（包/秒PPS）

4.漏報率、誤報率

5.產(chǎn)品的可伸縮性：系統(tǒng)支持的傳感器數(shù)目、

入侵特征庫大小、傳感器與控制臺之間通信

帶寬，