入侵检测技术

入侵检测技术引言防火墙是所有保护网络的方法中最能普遍接受的方法，能阻挡外部入侵者，但对内部攻击无能为力；同时，防火墙绝对不是坚不可摧的，即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门，不提供对内部的保护，无法防范数据驱动型的攻击，不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。入侵检测是防火墙的合理补充，它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。相关术语攻击•攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取/破坏/篡改目标系统的数据或访问权限事件•在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。•CIDF将入侵检测系统需要分析的数据统称为事件（event）入侵•对信息系统的非授权访问及（或）未经许可在信息系统中进行操作入侵检测•对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程入侵检测系统（IDS）•用于辅助进行入侵检测或者独立进行入侵检测的自动化工具4.5入侵检测系统IDS•IDS是英文“IntrusionDetectionSystems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。监控室=控制中心后门保安=防火墙摄像机=探测引擎CardKey形象地说，IDS就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。4.5入侵检测系统IDS入侵检测系统FirewallServersDMZIDSAgentIntranet监控中心router攻击者发现攻击发现攻击发现攻击报警报警IDSAgent入侵检测系统的作用•实时检测–实时地监视、分析网络中所有的数据报文–发现并实时处理所捕获的数据报文•安全审计–对系统记录的网络事件进行统计分析–发现异常现象–得出系统的安全状态，找出所需要的证据•主动响应–主动切断连接或与防火墙联动，调用其他程序处理入侵检测系统的类型•IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类。根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和误用入侵检测IDS有两种类型。基于主机的入侵检测系统•基于主机的入侵检测系统•系统安装在主机上面，对本主机进行安全检测–优点：•能够检查到基于网络的系统检查不出的攻击。•误报率要低•不要求额外的硬件设备•可监视特定的系统活动–不足•基于主机的IDS需要安装在需要保护的设备上，降低系统效率，同时也会带来一些额外的安全问题。•事后检测，而非实时•全面部署主机入侵检测系统的代价较大。基于网络的入侵检测系统系统安装在比较重要的网段内–特点•检测基于主机的系统检测不到的攻击。•实时检测和响应•保留攻击证据•操作系统无关性–不足•需要检测的信息量太大•无法在交换式环境以及加密环境中检测•容易受到拒绝服务攻击•逃避网络检测的技术层出不穷。混合型•混合型•安装在网络节点的主机中，结合基于主机的和基于网络的技术，适合于高速交换环境和加密数据。–基于主机的和基于网络的两个系统在很大程度上是互补的–许多安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统，即组建混合型入侵检测系统。异常检测（AnomalyDetection）•异常检测（AnomalyDetection）•基于统计分析原理。首先总结正常操作应该具有的特征（用户轮廓），试图用定量的方式加以描述，当用户活动与正常行为有重大偏离时即被认为是入侵。•前提：入侵是异常活动的子集。•指标：漏报率低，误报率高。•用户轮廓(Profile)：通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围。•特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率；不需要对每种入侵行为进行定义，因此能有效检测未知的入侵；系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。误用检测（MisuseDetection）•误用检测（MisuseDetection）•基于模式匹配原理。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。•前提：所有的入侵行为都有可被检测到的特征。•指标：误报低、漏报高。•攻击特征库：当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。•特点：采用模式匹配，误用模式能明显降低误报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力。入侵检测系统的工作流程及部署•一、入侵检测系统的工作流程–信息收集–数据分析–实时记录、报警或有限度反击•响应单元事件分析器事件数据库事件产生器输出：高级中断事件输出：原始或低级事件输入：原始事件源输出：事件的存储信息输出：反应或事件一、入侵检测系统的工作流程1.信息收集•入侵检测的第一步是信息收集，内容包括网络流量的内容、用户连接活动的状态和行为。入侵检测利用的信息一般来自以下四个方面系统日志目录以及文件中的异常改变程序执行中的异常行为物理形式的入侵信息一、入侵检测系统的工作流程2.数据分析•对收集到的信息，一般分为四种手段进行分析：模式匹配，统计分析，专家系统和完整性分析。其中前三种方法用于实时的入侵检测，而完整性分析则用于事后分析。•1.模式匹配•模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安•全策略的行为。•2.统计分析•分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。•3.智能化入侵检测：•即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。•4.完整性分析•完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。二、入侵检测系统的部署•入侵检测系统一般部署结构•一个网络型的入侵检测系统由入侵检测控制台（console）以及探测器（sensor）组成。控制台、探测器可以是现成的硬件产品，也可以是软件产品，安装在服务器上（Unix，NT系统都可以）。•sensor负责侦听网络中的所有数据包，console负责搜集sensor汇报上来的侦听数据并与数据库中的特征库进行匹配，然后产品报警日志等提示信息。二、入侵检测系统的部署•IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，所关注流量指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。IDS在交换式网络中的位置一般选择在：–尽可能靠近攻击源–尽可能靠近受保护资源•这些位置通常是：–服务器区域的交换机上–Internet接入路由器之后的第一台交换机上–重点保护网段的局域网交换机上入侵防御系统简介IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。因此，人们迫切地需要找到一种主动入侵防护解决方案，以确保企业网络在威胁四起的环境下正常运行。入侵防御系统（IntrusionPreventionSystem或IntrusionDetectionPrevention，即IPS或IDP）就应运而生了。IPS是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。IPS在网络中一般有四种连接方式：Span（接在交换机旁边，作为端口映像）、Tap（接在交换机与路由器中间，旁路安装，拷贝一份数据到IPS中）、Inline（接在交换机与路由器中间，在线安装，在线阻断攻击）和Port-cluster（被动抓包，在线安装）。它在报警的同时，能阻断攻击。IPS的作用•除了杀毒工具，我们还有一种方法对抗恶意代码和僵尸网络攻击：入侵防御系统。多数基于网络的IPS有它们自己的特征库用于检测漏洞和攻击性数据流。其中一些更进一步。但是为应付日益增多的逐渐加强的攻击，必须保证IPS本身的特征数据库是最新的。IPS的原理•1.IPS的原理•将入侵防御技术应用到具体的网络环境中后，就形成了入侵防御系统——IPS。•入侵防御技术是在入侵检测技术的基础上增加了主动响应的功能，一旦发现有攻击行为，则立即响应，并且主动切断连接。•IPS能够实时检测入侵、防止入侵的原理在于IPS拥有大量的过滤器，针对不同的攻击行为，IPS需要不同的过滤器，每种过滤器都设有相应的过滤规则。当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。IPS的原理•IPS数据包处理引擎可以深层检查数据包的内容。如果有攻击者利用从数据链路层到应用层的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。所以流经IPS的数据包将数据包将依据数据包中的包头信息，如源IP地址和目的IP地址、端口号等进行分类。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。IPS的种类•1.基于主机的IPS（HIPS）•HIPS能够保护服务器的安全弱点不被不法分子所利用，能够利用特征和行为规则检测来阻断对服务器、主机发起的恶意入侵。IPS的种类•1.基于主机的IPS（HIPS）•HIPS利用由包过滤、状态包检测和实时入侵检测组成分层防护体系。改体系能再提供合理吞吐量的前提下，最大限度地保护服务器的敏感内容，既可以以软件形式嵌入到应用程序对操作系统的调用中，通过拦截对操作系统的可疑调用，提供对主机的安全防护；也可以以更改操作系统内核程序的方式，提供对操作系统更加严峻的安全控制机制。IPS的种类•2.基于网络的IPS（NIPS）•NIPS吸取了目前NIDS的成熟技术，包括特征匹配、协议分析和异常检测。NIPS通过检测流经的网络流量，提供对网络系统的安全保护。由于采用在线连接方式，所以一旦识别出入侵行为，NIPS就可以阻止改网络对话。另外，由于实时在线，NIPS必须具备很高的性能，以免成为网络的瓶颈。IPS技术特征•IPS可以被看做是增加了主动拦截功能的IDS。以在线方式接入网络时就是一台IPS,而以旁路方式接入网络时就是一台IDS。但是，IPS不仅仅是增加了主动拦截的功能，而是在性能和数据包的分析能力方面都比IDS有了质的提升。嵌入式运行深入分析和控制入侵特征库高效处理能力集中式入侵防御技术•（1）集中式IPS的网络拓扑结构•具体设计一个集中式IPS涉及的关键技术有：数据控制、数据捕获和报警机制。•（2）集中式IPS的缺陷单点故障性能瓶颈误报和漏报