Ch08入侵检测技术.ppt

网络与信息安全,Ch08 入侵检测技术,2,本章学习目的,掌握入侵检测系统的原理掌握入侵检测系统的核心技术了解入侵检测系统的作用了解入侵检测技术的发展趋势掌握入侵检测系统在网络安全中的地位掌握评价入侵检测系统的性能指标,3,入侵检测系统概述,防火墙是所有保护网络的方法中最能普遍接受的方法，能阻挡外部入侵者，但对内部攻击无能为力；同时，防火墙绝对不是坚不可摧的，即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门，不提供对内部的保护，无法防范数据驱动型的攻击，不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。,入侵检测是防火墙的合理补充，它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。,4,误报,没有一个入侵检测能无敌于误报，因为没有一个应用系统不会发生错误，原因主要有四个方面。1、缺乏共享数据的机制 2、缺乏集中协调的机制3、缺乏揣摩数据在一段时间内变化的能力4、缺乏有效的跟踪分析,5,入侵检测系统面临的挑战,一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报，而诱导没有警觉性的管理员人把入侵检测系统关掉。,6,入侵检测系统的概念,入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”（参见国标GB/T18336）。入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。,7,入侵检测系统的概念,入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem，简称IDS）。入侵检测系统IDS（Intrusion Detection System）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。,8,相关术语,攻击攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取/破坏/篡改目标系统的数据或访问权限事件在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。CIDF 将入侵检测系统需要分析的数据统称为事件（event）,9,入侵对信息系统的非授权访问及（或）未经许可在信息系统中进行操作入侵检测对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程入侵检测系统（IDS）用于辅助进行入侵检测或者独立进行入侵检测的自动化工具,相关术语,10,入侵检测（Intrusion Detection）技术是一种动态的网络检测技术，主要用于识别对计算机和网络资源的恶意使用行为，包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象，则应当做出适当的反应。对于正在进行的网络攻击，则采取适当的方法来阻断攻击（与防火墙联动）。对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。,入侵检测技术,11,入侵检测系统,入侵检测系统（IDS）由入侵检测的软件与硬件组合而成，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。IDS执行以下任务来实现：1）监视、分析用户及系统活动。2）系统构造和弱点的审计。3）识别反映已知进攻的活动模式并向相关人士报警。4）异常行为模式的统计分析。5）评估重要系统和数据文件的完整性。6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。,12,入侵的方法和手段,端口扫描与漏洞攻击密码攻击网络监听拒绝服务攻击缓冲区溢出攻击欺骗攻击,13,入侵检测的发展历程,1980年，概念的诞生19841986年，主机IDS 1990年，形成网络IDS九十年代后至今，集成主机IDS和网络IDS,分布式入侵检测系统DIDS,14,入侵检测的实现方式,入侵检测系统根据数据包来源的不同，采用不用的实现方式，一般地可分为网络型、主机型，也可是这两种类型的混合应用。,基于主机的入侵检测系统（HIDS）基于网络的入侵检测系统（NIDS）混合型入侵检测系统（Hybrid IDS）,15,入侵检测的实现方式,1、主机IDS：运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。,安装于被保护的主机中 主要分析主机内部活动 占用一定的系统资源,16,基于主机的入侵检测系统,基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件：来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。,17,主机IDS优势,(1)精确地判断攻击行为是否成功。(2)监控主机上特定用户活动、系统运行情况(3)能够检测到NIDS无法检测的攻击(4)适用加密的和交换的环境。(5)不需要额外的硬件设备。,18,主机IDS的劣势,(1)对被保护主机的影响。(2)安全性受到宿主操作系统的限制。(3)数据源受到审计系统限制。(4)被木马化的系统内核能够骗过HIDS。(5)维护/升级不方便。,19,入侵检测的实现方式,2、网络IDS：网络IDS是网络上的一个监听设备(或一个专用主机)，通过监听网络上的所有报文，根据协议进行分析，并报告网络中的非法使用者信息。,安装在被保护的网段中分析网段中所有的数据包实时检测和响应,20,基于网络的入侵检测系统,基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象。,21,网络IDS工作模型,22,网络IDS优势,(1)实时分析网络数据，检测网络系统的非法行为；(2)网络IDS系统单独架设，不占用其它计算机系统的任何资源；(3)网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高；(4)既可以用于实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证；(5)通过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止非法入侵和破坏。(6)不会增加网络中主机的负担。,23,网络IDS的劣势,(1)不适合交换环境和高速环境(2)不能处理加密数据(3)资源及处理能力局限(4)系统相关的脆弱性,24,3、两种实现方式的比较：1)如果攻击不经过网络则NIDS无法检测到，只能通过HIDS来检测；2)基于NIDS通过检查所有的包头来进行检测，而HIDS并不查看包头。HIDS往往不能识别基于IP的拒绝服务攻击和碎片攻击；3)NIDS可以研究数据包的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的IDS迅速识别；而HIDS无法看到负载，因此也无法识别嵌入式的数据包攻击。,25,4、混合型入侵检测系统（Hybrid IDS）在新一代的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来，提供集成化的攻击签名检测报告和事件关联功能。可以深入地研究入侵事件入侵手段本身及被入侵目标的漏洞等。,26,入侵检测的方法,目前入侵检测方法有三种分类依据：1、根据物理位置进行分类。2、根据建模方法进行分类。3、根据时间分析进行分类。常用的方法有三种：静态配置分析、异常性检测方法和基于行为的检测方法。,27,静态配置分析,静态配置分析通过检查系统的配置，诸如系统文件的内容，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（比如，系统配置信息）。采用静态分析方法主要有以下几方面的原因：入侵者对系统攻击时可能会留下痕迹，可通过检查系统的状态检测出来。,28,利用fport检测与端口关联的应用程序,网络入侵者都会连接到主机的某个非法端口，通过检查出与端口关联应用程序，可以进行入侵检测，这种方法属于静态配置分析。利用工具软件fport.exe检查与每一端口关联的应用程序，如图所示。,29,异常性检测方法,异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下，就可以检测入侵者的方法，同时它也是检测冒充合法用户的入侵者的有效方法。但是。在许多环境中，为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。因为并不是所有入侵者的行为都能够产生明显的异常性，所以在入侵检测系统中，仅使用异常性检测技术不可能检测出所有的入侵行为。而且，有经验的入侵者还可以通过缓慢地改变他的行为，来改变入侵检测系统中的用户正常行为模式，使其入侵行为逐步变为合法，这样就可以避开使用异常性检测技术的入侵检测系统的检测。,30,基于行为的检测方法,基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则的行为，来检测系统中的入侵活动。基于入侵行为的入侵检测技术的优势：如果检测器的入侵特征模式库中包含一个已知入侵行为的特征模式，就可以保证系统在受到这种入侵行为攻击时能够把它检测出来。但是，目前主要是从已知的入侵行为以及已知的系统缺陷来提取入侵行为的特征模式，加入到检测器入侵行为特征模式库中，来避免系统以后再遭受同样的入侵攻击。,31,入侵检测的步骤,入侵检测系统的作用是实时地监控计算机系统的活动，发现可疑的攻击行为，以避免攻击的发生，或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤：信息收集数据分析响应,32,信息收集,入侵检测的第一步就是信息收集，收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保采集、报告这些信息的软件工具的可靠性，这些软件本身应具有相当强的坚固性，能够防止被篡改而收集到错误的信息。否则，黑客对系统的修改可能使入侵检测系统功能失常但看起来却跟正常的系统一样。,33,数据分析,数据分析（Analysis Schemes）是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能。根据数据分析的不同方式可将入侵检测系统分为异常入侵检测与误用入侵检测两类：,34,响应,数据分析发现入侵迹象后，入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应。将分析结果记录在日志文件中，并产生相应的报告。触发警报：如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件等等。修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等。,35,入侵检测的一般过程,36,通用入侵检测系统,37,入侵检测系统的基本工作模式,从系统的不同环节收集信息分析该信息，试图寻找入侵活动的特征自动对检测到的行为作出响应记录并报告检测过程的结果,38,入侵检测方法,特征检测统计检测操作模型方差模型多元模型马尔可夫过程模型时间序列分析模型专家系统,39,入侵检测的分类,按系统分析的数据源分类基于主机、基于网络、混合式按体系结构分类集中式、层次式、分布式按分析方法分类异常、误用(漏报率?，误报率?)按响应方式分类主动的、被动的,40,CIDF模型(Common Intrusion Detection Framework，公共入侵检测框架)事件产生器：这是入侵检测系统中负责原始数据采集的部分，它对数据流、日志文件等进行追踪，然后将搜集到的原始数据转换为事件，并向系统的其他部分提供此事件；事件分析器：事件分析器接收事件信息，然后对它们进行分析，判断是否是入侵行为或异常现象，最后将判断的结果转变为警告信息；事件数据库：事件数据库是存放各种中间和最终数据的地方。它从事件产生器或事件分析器接收数据，一般会将数据进行较长时间的保存。它可以是复杂的数据库，也可以是简单的文本文件；响应单元：响应单元根据警告信息作出反应，它可以做出切断连接、改变文件属性等强烈反应，也可以只是简单的报警，它是入侵检测系统中的主动武器,41,CIDF模型,CIDF阐述了一个入侵检测系统（IDS）的通用模型。它将一个入侵检测系统分为以下组件：事件产生器（Eventgenerators），用E盒表示；事件分析器（Eventanalyzers），用A盒表示；响应单元（Responseunits），用R盒表示；事件数据库（Eventdatabases），用D盒表示。,42,CIDF的体系结构图,43,CIDF工作流程,1、E盒通过传感器收集事件数据，并将信息传送给A盒，A盒检测误用模式；2、D盒存储来自A、E盒的数据，并为额外的分析提供信息；3、R盒从A、E盒中提取数据，D盒启动适当的响应。A、E、D及R盒之间的通信都基于GIDO（generalizedIntrusiondetectionobjects，通用入侵检测对象）和CISL（commonintrusionspecificationlanguage，通用入侵规范语言）。如果想在不同种类的A、E、D及R盒之间实现互操作，需要对GIDO实现标准化并使用CISL。,44,入侵检测技术的发展趋势,对分析技术加以改进：采用当前的分析技术和模型，会产生大量的误报和漏报，难以确定真正的入侵行为。采用协议分析和行为分析等新的分析技术后，可极大地提高检测效率和准确性，从而对真正的攻击做出反应。增进对大流量网络的处理能力：随着网络流量的不断增长，对获得的数据进行实时分析的难度加大，这导致对所在入侵检测系统的要求越来越高。入侵检测产品能否高效处理网络中的数据是衡量入侵检测产品的重要依据。向高度可集成性发展：集成网络监控和网络管理的相关功能。入侵检测可以检测网络中的数据包，当发现某台设备出现问题时，可立即对该设备进行相应的管理。未来的入侵检测系统将会结合其它网络管理软件，形成入侵检测、网络管理、网络监控三位一体的工具。,45,蜜网陷阱Honeynet,Honeynet是一个网络系统，并非某台单一主机，这一网络系统隐藏在防火墙的后面，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据用来研究分析入侵者们使用的工具、方法及动机。在一个Honeynet中，可以使用各种不同的操作系统及设备，如Solaris、Linux、Windows NT、Cisco Switch等。这样，建立的网络环境看上去会更加真实可信，同时还有不同的系统平台上面运行着不同的服务，比如Linux的DNS Server、WindowsNT的WebServer或者一个Solaris的FTP Server，可以使用不同的工具以及不同的策略或许某些入侵者仅仅把目标定于几个特定的系统漏洞上，而这种多样化的系统，就可能更多地揭示出入侵者的一些特性。,蜜网陷阱系统Honeynet,46,蜜网陷阱Honeynet,47,48,天阗黑客入侵检测与预警系统,天阗网络入侵检测系统典型部署结构图,49,案例一入侵检测工具：BlackICE,BlackICE是一个小型的入侵检测工具，在计算机上安全完毕后，会在操作系统的状态栏显示一个图标，当有异常网络情况的时候，图标就会跳动。主界面如图所示。,50,可以查看主机入侵的信息，选择属性页“Intruders”，如图所示。,51,案例二入侵检测工具：冰之眼,“冰之眼”网络入侵检测系统(ICEYENIDS,Network Intrusion Detection System)是NSFOCUS系列安全软件中一款专门针对网络遭受黑客攻击行为而研制的网络安全产品，该产品可最大限度地、全天候地监控企业级的安全。由于用户自身网络系统的缺陷、网络软件的漏洞以及网络管理员的疏忽等等，都可能使网络入侵者有机可乘，而系统遭受了攻击，就可能造成重要的数据、资料丢失，关键的服务器丢失控制权等。冰之眼网络入侵检测系统包括从百兆到千兆处理性能的多种型号，可以满足从中小企业到大型企业和电信运营商的各种组网需求。,52,使用“冰之眼”，系统管理人员可以自动地监控网络的数据流、主机的日志等，对可疑的事件给予检测和响应,在内联网和外联网的主机和网络遭受破坏之前阻止非法的入侵行为，主界面如图所示。,53,管理员可以添加主机探测器来检测系统是否被入侵，选择菜单栏“网络”下的菜单项“添加探测器”，可以添加相关的探测器，如图所示。,54,本章小结,分析网络攻击或入侵的概念，介绍了六个攻击的层次和相应的防范策略。引出入侵检测系统。介绍了基于主机和基于网络的两种入侵检测系统的概念、基本组成结构和相应的工作原理。介绍了流行的蜜网陷阱系统Honeynet，用以获取网络攻击的行为和方法。,55,Any Question?,