入侵检测技术

入侵检测技术教师：梁旭玲一般防范网络攻击最常用的方法是防火墙。然而防火墙系统的局限性导致它无法防范内部网络之间的通信。如果把防火墙比作守卫网络大门的门卫，那入侵检测系统（IDS）就是主动监视内部网络安全的巡警。概述入侵的定义网络管理不到位越权和滥用物理攻击软硬件故障恶意代码和病毒物理环境威胁蠕虫无作为或操作失误黑客攻击技术泄密、篡改、抵赖入侵：是指任何企图危及资源的完整性、机密性和可用性的活动入侵检测系统（IntrusionDetectionSystem）是从计算机网络系统中的关键点收集信息，分析这些信息，利用模式匹配或异常检测技术来检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS是信息与网络系统安全的主要设备之一；是防火墙系统的一个重要补充；入侵检测概念入侵检测系统的作用和目的Internet内部网交换机……•智能发现攻击•记录并发出报警信息•启动响应动作•审计跟踪用于实时的入侵检测IDS的通用模型图入侵检测系统模型事件数据库管理控制台事件分析器事件产生器响应单元事件数据库•作用是从整个计算环境中收集信息；•信息收集包括收集：系统、网络、数据及用户活动的状态和行为；•并在不同关键点（不同网段和不同主机）收集；•分析得到的数据；•分析手段：模式匹配、统计分析和完整性分析；•对分析结果作出反应的功能单元；•反应有：切断连接、改变文件属性、发动对攻击者的反击、报警（邮件或手机短信报警）•是存放各种中间和最终数据的地方的统称；•可以是数据库也可以是文本文件；•会根据事件数据库的内容智能地形成分析报告；用于事后分析入侵检测系统的功能入侵检测系统被认为是防火墙系统之后的第二道安全闸门，是一种动态的安全检测技术。一个合格的入侵检测系统应具备以下功能：1.监视用户和系统的运行状况，查找非法和合法用户的越权操作；2.检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞；3.对用户的非正常活动进行统计分析，发现入侵行为的规律；4.确保系统程序和数据的一致性与正确性；5.识别攻击的活动模式，并向网管人员报警；6.对异常活动的统计分析；7.操作系统审计跟踪管理，识别违反政策的用户活动；入侵检测系统的分类基于主机的入侵检测系统（HIDS）基于网络的入侵检测系统（NIDS）入侵检测技术IDS是一种主动保护自己免受攻击的网络安全技术；它从计算机网络系统中的若干关键点收集信息，并分析这些信息；根据信息来源不同，IDS可分为：基于主机的入侵检测系统入侵检测系统安装在被检测的主机上HIDS检测目标是主机系统和系统本地用户智能分析主机提供的审计信息，发现不安全的行为后采取相应的措施基于主机的入侵检测系统的优点–检测准确率高（精确地判断攻击行为是否成功）–适用于加密及交换环境–近于实时的检测和响应–不要求额外的硬件设备–能够检查到基于网络的系统检查不出的攻击–监视特定的系统活动（主机上特定用户）基于主机的入侵检测系统的缺点–HIDS依赖性强（系统必须是特定的，没有遭到破坏的操作系统中才能正常工作）–如果主机数目多，代价过大–不能监控网络上的情况–不如基于网络的入侵检查系统快捷–额外产生的安全问题（会降低应用系统的效率）基于网络的入侵检测系统入侵检测系统安装在比较重要的网段内；该结构重点放在对网络本身的入侵行为上，如DNS欺骗、TCP劫持、端口扫描等，以类似嗅探器的特定工具来实时截获网络数据包，并在其中寻找入侵的痕迹。网络安全数据库基于网络的入侵检测系统的原理检测器分析引擎安全策略网络数据分析结果基于网络的入侵检测系统的优点–检测范围广–无需改变主机配置和性能–独立性和操作系统无关性（不会增加网络中主机的负担）–安装方便–既可以用于实时检测系统，也是记录审计系统，可以做到实时保护，事后分析取证基于网络的入侵检测系统的缺点–不能检测不同网段的网络包–很难检测复杂的需要大量计算的攻击–协同工作能力弱–难以处理加密的会话–不适合交换环境和高速环境两种系统的比较HIDSNIDS在宿主系统审计日志文件或其他操作中寻找攻击特征使用监听的方式，在网络通信中寻找符合网络入侵模板的数据包HIDS安装在被保护的机器之上独立于被保护的机器之外HIDS往往不能识别基于IP的拒绝服务攻击和碎片攻击如果攻击不经过网络基于网络的IDS无法检测到混合型入侵检测系统混合型入侵检测系统（HybridIDS）在新一代的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来，提供集成化的攻击签名检测报告和事件关联功能。可以深入地研究入侵事件、入侵手段本身及被入侵目标的漏洞等。入侵检测技术是动态安全技术的核心技术之一；（传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术）入侵检测系统的核心功能是对各种事件进行分析，从中发现违反安全策略的行为；从分析方式上来讲，入侵检测系统一般采用如下3项技术：模式发现技术异常发现技术完整性分析技术入侵检测系统采用的技术模式发现技术模式发现是基于知识的检测技术；它假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，那么所有已知的入侵方法都可以用匹配的方式发现。实现方式：将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。如：•通过字符串匹配以寻找一个简单的条目或指令；•或利用正规的数学表达式来表示安全状态的变化；模式发现的关键是如何表达入侵的模式，把真正的入侵行为与正常行为区分开来。模式发现技术的优缺点优点只需收集相关的数据集合；显著减少系统负担；且技术已相当成熟；检测准确率和效率都相当高；缺点需要不断升级以对付不断出现的黑客攻击手法；不能检测到从未出现过的黑客攻击手段；异常发现技术异常发现技术是基于行为的检测技术；它假定所有入侵行为都是与正常行为不同的。如果建立系统正常行为的轨迹，那么理论上可以吧所有与正常轨迹不同的系统状态视为可疑企图。实现方式：首先收集一段时期正常操作活动的历史数据，再建立代表用户、主机或网络连接的正常行为轮廓，然后收集事件数据并使用各种方法来决定所检测到的事件活动是否偏离了正常行为模式。异常发现技术的优缺点优点能发现未知攻击；有效检测冒充合法用户的入侵者；缺点并非所有的入侵都表现为异常；系统的轨迹难于计算和更新；误报率和漏报率较高；完整性分析技术完整性分析主要关注某个文件或对象是否被更改，通常包括文件和目录的内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效。优点不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其他对象的任何改变，它都能够发现。缺点一般以批处理方式实现，不用于实时响应。每一种入侵检测系统都有自己的部署方式和特点；应根据网络安全整体解决方案，选取各种类型的入侵检测系统、周密部署，确保每个入侵系统都能够在相应的部署点上发挥作用、共同防护、保障网络的安全运行；基于网络和基于主机的入侵检测系统部署方法不同；入侵检测系统的部署在网络上多个位置进行网络探测器的部署；根据网络探测器部署位置的不同，入侵检测系统具有不同的特点；网络探测器的部署点可以划分为4个位置：DMZ区、外网接口区、内网接口区、关键子网区基于网络的入侵检测系统的部署基于网络的入侵检测系统的部署图4外网接口DMZ区内网接口区关键子网区位置1：外网接口部署点位于位于防火墙外侧的非系统信任域；它将负责检测来自外部的所有入侵企图，通过分析这些攻击来帮助我们完善系统并决定要不要在系统内部部署IDS。该部署方式对整体入侵行为记录有帮助；但因网络探测器本身性能上的局限，要处理所有进出防火墙的数据，导致误报率偏高。IDS在网络中的位置IDS在网络中的位置位置2：DMZ区部署点位于位于DMZ区的接口；很多站点都把对外提供服务的服务器单独放在一个隔离的区域，通常称为DMZ非军事化区。在此放置一个检测引擎是非常必要的，因为这里提供的很多服务都是黑客乐于攻击的目标。在这里网络探测器可以检测到所有针对用户向外提供服务的服务器进行攻击的分组；IDS在网络中的位置位置3：内网接口区部署点位于位于防火墙之内；这里应该是最重要、最应该放置检测引擎的地方。对于那些已经透过系统边缘防护，进入内部网络准备进行恶意攻击的黑客，这里正是利用IDS系统及时发现并作出反应的最佳时机和地点。因防火墙过滤了大量非法数据，降低了通过网络探测器的数据流量，所以网络探测器能够更有效的工作，但入侵漏报率偏高。IDS在网络中的位置位置4：关键子网区部署点位于位于各子网接口；一些存在关键性数据和服务的子网必须要严格管理；如：数据中心、财务子网、员工档案子网等；此处探测器有效保护关键的网络不会被外部或没有权限的内部用户侵入，造成关键数据泄露或丢失；基于主机的入侵检测系统的部署在关键主机上安装入侵检测系统；这样可以减少花费并使管理的精力集中在最重要最需要保护的主机上；对系统产生的日志进行集中分析管理，减少日常维护的复杂性和难度；入侵检测系统在检测到入侵行为的时候，需要报警并进行相应的反应；根据网络环境和安全需求决定如何报警和选取什么样的报警；主动响应策略–入侵追踪、入侵警告和预防、修正系统环境、切断网络等联动响应策略–在动态网络中将它与防火墙相互结合，实现互补。被动响应策略–记录事件和报警响应策略的部署攻击特征库的更新不及时；检测分析方法单一；不同的入侵检测系统之间不能互操作；不能和其他网络安全产品互操作；结构存在问题；入侵检测的局限性入侵检测相关产品天融信启明星辰华为赛门铁克傲盾安氏等……入侵检测技术发展方向高性能的分布式入侵检测系统；智能化入侵检测系统；协同工作的入侵检测系统；案例分析案例网站服务器引发内部网络遭受入侵某些非法网络公司利用黑客入侵技术大量入侵各类网站（包括许多政府网站）进行挂马刷流量等非法操作。以此实现一些职业黑客公司的非法交易。1996年初，据美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计，有53％的企业受到过计算机病毒的侵害，42％的企业的计算机系统在过去的12个月被非法使用过。国外：1994年末，俄罗斯黑客弗拉基米尔·利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国CITYBANK银行发动了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约的计算机主机里窃取1100万美元。1996年8月17日，美国司法部的网络服务器遭到黑客入侵，并将“美国司法部”的主页改为“美国不公正部”，将司法部部长的照片换成了阿道夫?希特勒，将司法部徽章换成了纳粹党徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字。国内：1996年2月，刚开通不久的Chinanet受到攻击，且攻击得逞。1997年初，北京某ISP被黑客成功侵入，并在清华大学“水木清华”BBS站的“黑客与解密”讨论区张贴有关如何免费通过该ISP进入Internet的文章。