入侵检测与防御技术.ppt

第 4 章 入侵检测技术,本章学习目标：了解入侵检测系统的原理掌握入侵检测系统的核心技术了解入侵检测系统的作用了解入侵检测技术的发展趋势掌握入侵检测系统在网络安全中的地位掌握评价入侵检测系统的性能指标,4.1 入侵检测系统概述,防火墙是所有保护网络的方法中最能普遍接受的方法，能阻挡外部入侵者，但对内部攻击无能为力；同时，防火墙绝对不是坚不可摧的，即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门，不提供对内部的保护，无法防范数据驱动型的攻击，不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。,入侵检测是防火墙的合理补充，它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。,4.1 入侵检测系统概述,4.1.1 相关术语,攻击攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取/破坏/篡改目标系统的数据或访问权限事件在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。CIDF 将入侵检测系统需要分析的数据统称为事件（event）,入侵对信息系统的非授权访问及（或）未经许可在信息系统中进行操作入侵检测对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程入侵检测系统（IDS）用于辅助进行入侵检测或者独立进行入侵检测的自动化工具,4.1 入侵检测系统概述,4.1.1 相关术语,入侵检测系统(Intrusion Detection System，IDS)，是对入侵自动进行检测、监控和分析过程的软件与硬件的组合系统,是一种自动监测信息系统内、外入侵的安全设备。IDS通过从计算机网络或计算机系统中的若干关键点收集信息，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。,4.1 入侵检测系统概述,4.1.2 入侵检测,4.1 入侵检测系统概述,入侵检测系统,入侵检测系统（IDS）由入侵检测的软件与硬件组合而成，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。6大主要功能：,5）评估重要系统和数据文件的完整性。,4）异常行为模式的统计分析。,3）识别反映已知进攻的活动模式并向相关人士报警。,2）系统构造和弱点的审计。,1）监视、分析用户及系统活动。,6）操作系统的审计跟踪管理，并识别违反安全策略的行为。,4.1 入侵检测系统概述,4.1.3 入侵检测系统的作用,监控网络和系统发现入侵企图或异常现象实时报警主动响应审计跟踪,形象地说，它就是网络摄像机，能够捕获并记录网络上的所有数据，同时它也是智能摄像机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄像机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄像机，还包括保安员的摄像机.,4.1 入侵检测系统概述,7.1 入侵检测系统概述,4.1.4 入侵检测的发展历程,1980年，概念的诞生19841986年，模型的发展 1990年，形成网络IDS和主机IDS两大阵营九十年代后至今，百家争鸣、繁荣昌盛,4.2 入侵检测系统的功能及分类,IDS分类 1）按照体系结构分为：集中式和分布式。2）按照工作方式分为：离线检测和在线检测。3）按照所用技术分为：特征检测和异常检测 4）按照检测对象（数据来源）分为：基于主机、基于网 络和分布式（混合型）。,4.2 入侵检测系统的功能及分类,2）按照工作方式分为：离线检测和在线检测。离线检测系统是非实时工作的系统，它在事 后分析审计事件，从中检查入侵活动。在线检测系统是实时联机的检测系统，实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。,4.3 入侵检测的原理与技术,4.3.1 入侵检测的实现方式,入侵检测系统根据数据包来源的不同，采用不用的实现方式，一般地可分为网络型、主机型，也可是这两种类型的混合应用。,基于网络的入侵检测系统（NIDS）基于主机的入侵检测系统（HIDS）混合型入侵检测系统（Hybrid IDS）,4.3 入侵检测的原理与技术,4.3.1 入侵检测的实现方式,1、网络IDS：网络IDS是网络上的一个监听设备(或一个专用主机)，通过监听网络上的所有报文，根据协议进行分析，并报告网络中的非法使用者信息。,安装在被保护的网段（通常是共享网络，交换环境中交换机需支持端口映射）中混杂模式监听分析网段中所有的数据包实时检测和响应,4.3 入侵检测的原理与技术,图7-1 网络IDS工作模型,4.3 入侵检测的原理与技术,网络IDS优势,(1)实时分析网络数据，检测网络系统的非法行为；(2)网络IDS系统单独架设，不占用其它计算机系统的任何资源；(3)网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高；(4)它既可以用于实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证；(5)通过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止非法入侵和破坏。(6)不会增加网络中主机的负担。,4.3 入侵检测的原理与技术,网络IDS的劣势,(1)不适合交换环境和高速环境(2)不能处理加密数据(3)资源及处理能力局限(4)系统相关的脆弱性,4.3 入侵检测的原理与技术,4.3.1 入侵检测的实现方式,2、主机IDS：运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。,安装于被保护的主机中 主要分析主机内部活动 占用一定的系统资源,4.3 入侵检测的原理与技术,主机IDS优势,(1)精确地判断攻击行为是否成功。(2)监控主机上特定用户活动、系统运行情况(3)HIDS能够检测到NIDS无法检测的攻击(4)HIDS适用加密的和交换的环境。(5)不需要额外的硬件设备。,4.3 入侵检测的原理与技术,主机IDS的劣势,(1)HIDS对被保护主机的影响。(2)HIDS的安全性受到宿主操作系统的限制。(3)HIDS的数据源受到审计系统限制。(4)被木马化的系统内核能够骗过HIDS。(5)维护/升级不方便。,4.3 入侵检测的原理与技术,3、两种实现方式的比较：1)如果攻击不经过网络基于网络的IDS无法检测到只能通过使用基于主机的IDS来检测；2)基于网络的IDS通过检查所有的包头来进行检测，而基于主机的IDS并不查看包头。主机IDS往往不能识别基于IP的拒绝服务攻击和碎片攻击；3)基于网络的IDS可以研究数据包的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的IDS迅速识别；而基于主机的系统无法看到负载，因此也无法识别嵌入式的数据包攻击。,4.3 入侵检测的原理与技术,4、混合型入侵检测系统（Hybrid IDS）在新一代的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来，提供集成化的攻击签名检测报告和事件关联功能。可以深入地研究入侵事件入侵手段本身及被入侵目标的漏洞等。,4.3 入侵检测的原理与技术,4.3.2 IDS的基本结构,无论IDS系统是网络型的还是主机型的，从功能上看，都可分为两大部分：探测引擎和控制中心。前者用于读取原始数据和产生事件；后者用于显示和分析事件以及策略定制等工作。,4.3 入侵检测的原理与技术,4.3.2 IDS的基本结构,图7-3 引擎的工作流程,引擎的主要功能为：原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能,4.3 入侵检测的原理与技术,4.3.2 IDS的基本结构,图7-4 控制中心的工作流程,控制中心的主要功能为：通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。,4.3 入侵检测的原理与技术,4.3.3 IDS采用的技术,入侵检测主要通过专家系统、模式匹配、协议分析或状态转换等方法来确定入侵行为。入侵检测技术有：静态配置分析技术异常检测技术误用检测技术,1静态配置分析技术 静态配置分析是通过检查系统的当前系统配置，诸如系统文件的内容或系统表，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(系统配置信息)，而不是系统中的活动。,4.3 入侵检测的原理与技术,4.3.3 IDS采用的技术,2、异常检测技术 通过对系统审计数据的分析建立起系统主体(单个用户、一组用户、主机，甚至是系统中的某个关键的程序和文件等)的正常行为特征轮廓；检测时，如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。这一检测方法称“异常检测技术”。一般采用统计或基于规则描述的方法建立系统主体的行为特征轮廓，即统计性特征轮廓和基于规则描述的特征轮廓。,4.3 入侵检测的原理与技术,4.3.3 IDS采用的技术,3误用检测技术 误用检测技术(Misuse Detection)通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或是间接地违背系统安全规则的行为，来检测系统中的入侵活动，是一种基于已有的知识的检测。这种入侵检测技术的主要局限在于它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。,4.3 入侵检测的原理与技术,4.3.4 入侵检测分析技术的比较,1模式匹配的缺陷 1）计算负荷大 2）检测准确率低,2协议分析新技术的优势 1）提高了性能 2）提高了准确性 3）反规避能力 4）系统资源开销小,4.4 入侵检测系统的性能指标,1系统结构,好的IDS应能采用分级、远距离分式部署和管理。,4.4 入侵检测系统的性能指标,2事件数量,考察IDS系统的一个关键性指标是报警事件的多少。一般而言，事件越多，表明IDS系统能够处理的能力越强。,3处理带宽,IDS的处理带宽，即IDS能够处理的网络流量，是IDS的一个重要性能。目前的网络IDS系统一般能够处理2030M网络流量，经过专门定制的系统可以勉强处理4060M的流量。,4.4 入侵检测系统的性能指标,4探测引擎与控制中心的通信,作为分布式结构的IDS系统，通信是其自身安全的关键因素。通信安全通过身份认证和数据加密两种方法来实现。身份认证是要保证一个引擎，或者子控制中心只能由固定的上级进行控制，任何非法的控制行为将予以阻止。身份认证采用非对称加密算法，通过拥有对方的公钥，进行加密、解密完成身份认证。,4.4 入侵检测系统的性能指标,5事件定义,事件的可定义性或可定义事件是IDS的一个主要特性。,6二次事件,对事件进行实时统计分析，并产生新的高级事件能力。,7事件响应,通过事件上报、事件日志、Email通知、手机短信息、语音报警等方式进行响应。,还可通过TCP阻断、防火墙联动等方式主动响应。,4.4 入侵检测系统的性能指标,8自身安全,自身安全指的是探测引擎的安全性。要有良好的隐蔽性，一般使用定制的操作系统。,9终端安全,主要指控制中心的安全性。有多个用户、多个级别的控制中心，不同的用户应该有不同的权限，保证控制中心的安全性。,4.4 入侵防御系统简介,IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。因此，人们迫切地需要找到一种主动入侵防护解决方案，以确保企业网络在威胁四起的环境下正常运行。,入侵防御系统（Intrusion Prevention System或Intrusion Detection Prevention，即IPS或IDP）就应运而生了。IPS是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。,IPS在网络中一般有四种连接方式：Span（接在交换机旁边，作为端口映像）、Tap（接在交换机与路由器中间，旁路安装，拷贝一份数据到IPS中）、Inline（接在交换机与路由器中间，在线安装，在线阻断攻击）和Port-cluster（被动抓包，在线安装）。它在报警的同时，能阻断攻击。,4.5 蜜网陷阱Honeynet,Honeynet是一个网络系统，并非某台单一主机，这一网络系统隐藏在防火墙的后面，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据用来研究分析入侵者们使用的工具、方法及动机。在一个Honeynet中，可以使用各种不同的操作系统及设备，如Solaris、Linux、Windows NT、Cisco Switch等。这样，建立的网络环境看上去会更加真实可信，同时还有不同的系统平台上面运行着不同的服务，比如Linux的DNS Server、WindowsNT的WebServer或者一个Solaris的FTP Server，可以使用不同的工具以及不同的策略或许某些入侵者仅仅把目标定于几个特定的系统漏洞上，而这种多样化的系统，就可能更多地揭示出入侵者的一些特性。,4.5 蜜网陷阱Honeynet,利用Snort软件安装Win2000Server下的蜜网陷阱,Snort 是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力，能够进行协议分析，对内容进行搜索/匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。构建完整的Snort系统需要以下软件，详细安装方法请参照网上相关资料。基于php 的入侵检测数据库分析控制台adodb360.zip ADOdb（Active Data Objects Data Base）库for PHP Windows 版本的Apache Web 服务器 OO 图形库for PHP Windows 版本的Mysql 数据库服务器 Windows 版本的php 脚本环境支持snort-2_0_0.exe Windows 版本的Snort 安装包WinPcap_3_0.exe 网络数据包截取驱动程序 基于php 的Mysql 数据库管理程序,4.6 天阗黑客入侵检测与预警系统,天阗黑客入侵检测与预警系统是一种动态的入侵检测与响应系统。它利用全面流量监控发现异常，结合地理信息显示入侵事件的定位状况，应用入侵和漏洞之间具有的对应关联关系，给出入侵威胁和资产脆弱性之间的风险分析结果，从而有效地管理安全事件并进行及时处理和响应。它能够实时监控网络传输，自动检测可疑行为，及时发现来自网络外部或内部的攻击。天阗系统可以与防火墙紧密结合，弥补了防火墙的访问控制不严密的问题。,包含如下五个独立的部分：1）天阗网络入侵检测系统，产品型号：NS200/NS500/NS2200/NS2800。2）天阗入侵事件定位系统，产品型号：IMS-EP。3）天阗网络异常流量监测系统，产品型号：FS1900。4）天阗入侵风险评估系统，产品型号：IMS-RA。5）天阗主机入侵检测系统，产品型号：HS120/HS220/HS320/HS420/HS520,4.6 天阗黑客入侵检测与预警系统,天阗网络入侵检测系统典型部署结构图,本章小结,本章首先分析了网络攻击或入侵的概念，介绍了六个攻击的层次和相应的防范策略。在此基础上引出入侵检测系统。介绍了基于主机和基于网络的两种入侵检测系统的概念、基本组成结构和相应的工作原理。介绍了入侵检测系统中常用的四种技术：静态配置分析、异常检测方法、误用检测和基于系统关键程序的安全规格描述方法。给出了入侵系统的性能评价指标。介绍了流行的蜜网陷阱系统Honeynet，用以获取网络攻击的行为和方法。对入侵防御系统IPS作了简单介绍。,推荐实验：用Snort搭建一个入侵检测系统。,