10/2/201911:34:27AM1/74入侵检测入侵检测概述IDS的基本结构IDS的常用分类IDS的检测技术IDS的设置IDS的部署IDS的应用10/2/201911:34:27AM2/74什么是入侵检测?目录10之1入侵检测(IntrusionDetection)是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS:IntrusionDetectionSystem)。10/2/201911:34:27AM3/74为什么需要IDS?目录10之2入侵很容易入侵教程随处可见各种工具唾手可得防火墙不能保证绝对的安全网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部防火墙是锁,IDS是监视器10/2/201911:34:27AM4/74如何使用IDS?目录10之3IDS可以作为防火墙的一个有效的补充,被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。10/2/201911:34:27AM5/74图示目录10之4报警日志攻击检测记录入侵过程重新配置防火墙路由器内部入侵入侵检测记录终止入侵10/2/201911:34:27AM6/74IDS发挥的作用技术层面对具体的安全技术人员,可以利用IDS做为工具来发现安全问题、解决问题。目录10之5检测发现告警处理从不知到有知10/2/201911:34:27AM7/74IDS发挥的作用管理层面对安全管理人员来说,是可以把IDS做为其日常管理上的有效手段。目录10之6管理评估威慑从被动到主动10/2/201911:34:27AM8/74IDS发挥的作用领导层面对安全主管领导来说,是可以把IDS做为把握全局一种有效的方法,目的是提高安全效能。目录10之7教训总结优化从事后到事前10/2/201911:34:27AM9/74IDS发挥的作用意识层面对政府或者大的行业来说,是可以通过IDS来建立一套完善的网络预警与响应体系,减小安全风险。目录10之8建立预警机制采取灾备措施提高保障意识从预警到保障10/2/201911:34:27AM10/74IDS发展过程—概念的诞生目录10之91980年4月,JamesP.Anderson为美国空军做了一份题为《ComputerSecurityThreatMonitoringandSurveillance》(计算机安全威胁监控与监视):指出必须改变现有的系统审计机制,以便为专职系统安全人员提供安全信息—预警;提出了对计算机系统风险和威胁的分类方法,分为外部渗透、内部渗透和不法行为三种;提出利用审计跟踪数据监视入侵活动的思想。10/2/201911:34:27AM11/74IDS发展过程—研究和发展目录10之10Denning于1986年发表的论文“入侵检测模型”被公认为是IDS领域的又一篇开山之作;1990年是入侵检测系统发展史上的一个分水岭。这一年,加州大学戴维斯分校的L.T.Heberlein等人开发出了一套网络入侵检测系统(NetworkSecurityMonitor);从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。10/2/201911:34:27AM12/74IDS的基本结构目录信息收集信息分析结果处理10/2/201911:34:27AM13/74信息收集目录IDS的基本结构入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为,这需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,应尽可能扩大检测范围,因为从一个源来的信息有可能看不出疑点。入侵检测很大程度上依赖于收集信息的可靠性和正确性。因此要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。4之110/2/201911:34:27AM14/74信息来源目录IDS的基本结构系统/网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为4之210/2/201911:34:27AM15/74日志文件目录IDS的基本结构攻击者常在系统和网络日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。显然,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。4之310/2/201911:34:27AM16/74系统目录和文件的异常变化目录IDS的基本结构网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。入侵者经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。4之410/2/201911:34:27AM17/74信息分析目录IDS的基本结构模式匹配统计分析完整性分析10/2/201911:34:27AM18/74模式匹配目录IDS的基本结构信息分析模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为一般来讲,一种攻击模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。10/2/201911:34:27AM19/74统计分析目录IDS的基本结构信息分析统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。10/2/201911:34:27AM20/74完整性分析目录IDS的基本结构信息分析完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性。本方法在发现被更改的、被安装木马的应用程序方面特别有效。10/2/201911:34:27AM21/74结果处理目录IDS的基本结构弹出窗口报警E-mail通知切断TCP连接执行自定义程序与其他安全产品交互FirewallSNMPTrap10/2/201911:34:27AM22/74IDS的分类目录按照分析方法分按照数据来源分按系统各模块的运行方式分根据时效性分10/2/201911:34:27AM23/74按照分析方法分目录IDS的分类异常检测IDS(AnomalyDetection)首先总结正常操作应该具有的特征,当用户活动与正常行为有重大偏离时即被认为是入侵。误用检测IDS(MisuseDetection)收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。10/2/201911:34:27AM24/74异常检测模型目录IDS的分类按照分析方法分2之1网络数据日志数据异常检测入侵行为正常行为描述库规则不匹配动态产生新描述动态更新描述10/2/201911:34:27AM25/74特点目录IDS的分类按照分析方法分异常检测系统的效率取决于用户轮廓的完备性和监控的频率;因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源;漏报率低,误报率高。2之210/2/201911:34:27AM26/74误用检测模型目录IDS的分类按照分析方法分2之1网络数据日志数据误用检测入侵行为攻击模式描述库规则匹配动态产生新描述动态更新描述10/2/201911:34:27AM27/74特点目录IDS的分类按照分析方法分2之2误报率低,漏报率高。攻击特征的细微变化,会使得误用检测无能为力。10/2/201911:34:27AM28/74按照数据来源分目录IDS的分类基于主机的IDS(HIDS)系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机。基于网络的IDS(NIDS)系统获取的数据是网络传输的数据包,保护的是网络的运行。混合型IDS同时使用基于主机的IDS和基于网络的IDS,实现两者优势互补。10/2/201911:34:27AM29/74基于主机的IDS目录IDS的分类按照数据来源分安装于被保护的主机中主要分析主机内部活动系统日志应用程序日志文件完整性检查占用一定的系统资源4之110/2/201911:34:27AM30/74工作过程示意图目录IDS的分类按照数据来源分Internet网络服务器1客户端网络服务器2X检测内容:系统调用、端口调用、系统日志、安全审记、应用日志HIDSXHIDS4之210/2/201911:34:27AM31/74优点目录IDS的分类按照数据来源分检测准确度较高;可以检测到没有明显行为特征的入侵;能够对不同操作系统进行有针对性的检测;成本较低;不会因网络流量影响性能;适合加密和交换环境。4之310/2/201911:34:27AM32/74缺点目录IDS的分类按照数据来源分4之4实时性较差;无法检测数据包的全部;检测效果取决于日志系统;占用主机资源;隐蔽性较差;如果入侵者能够修改校验和,这种IDS将无法起到预期的作用。10/2/201911:34:27AM33/74基于网络的IDS目录IDS的分类按照数据来源分安装在被保护的网段中混杂模式监听分析网段中所有的数据包实时检测和响应操作系统无关性不会增加网络中主机的负载4之110/2/201911:34:27AM34/74工作过程示意图目录IDS的分类按照数据来源分InternetNIDS网络服务器1客户端网络服务器2X检测内容:包头信息+有效数据部分4之210/2/201911:34:27AM35/74优点目录IDS的分类按照数据来源分可以提供实时的网络行为检测;可以同时保护多台网络主机;具有良好的隐蔽性;有效保护入侵证据;不影响被保护主机的性能;操作系统无关性。4之310/2/201911:34:27AM36/74缺点目录IDS的分类按照数据来源分防入侵欺骗的能力通常较差;在交换式网络环境中难以配置;检测性能受硬件条件限制;不能处理加密后的数据。4之410/2/201911:34:27AM37/74混合型IDS目录IDS的分类按照数据来源分基于主机的IDS和基于网络的IDS都有着自身独到的优势,而且在某些方面是很好的互补。混合型IDS就是采用这两者结合的入侵检测系统,那将是汲取了各自的长处,又弥补了各自的不足的一种优化设计方案。通常这样的系统一般为分布式结构,由多个部件组成,它能同时分析来自主机系统的审计数据及来自网络的数据通信流量信息。10/2/201911:34:27AM38/74按系统各模块的运行方式分目录IDS的分类集中式IDS在被保护网络的各个网段中分别放置检测器进行数据包的搜集和分析,各个检测器将检测信息传送到中央控制台进行统一处理,中央控制台还会向各个检测