信息安全技术教程清华大学出版社-第八章

2020/4/7第八章入侵检测•8.1入侵检测的概念与基本术语•8.2入侵检测系统的检测机制•8.3入侵检测系统•8.4入侵检测系统实现•8.5入侵检测系统产品的选择•8.6入侵检测的发展趋势•8.7Snort简介•8.8习题8.1入侵检测的概念与基本术语•典型的入侵检测系统2020/4/7企业内部网Internet路由器防火墙交换机交换机服务器邮件服务器基于网络入侵检测基于网络入侵检测基于主机入侵检测基于主机入侵检测•基本术语–入侵、入侵过程、误报、漏报、入侵检测、入侵检测系统（IDS）、基于主机的入侵检测系统（HIDS）、基于网络的入侵检测系统（NIDS）、混杂模式•入侵检测系统组成2020/4/7事件产生器事件分析器事件数据库响应单元响应8.2入侵检测系统的检测机制•8.2.1异常检测•8.2.2误用检测2020/4/78.2.1异常检测•定义–异常检测通过将系统或用户行为与正常行为进行比较来判别是否为入侵行为白名单用户，用户组，应用程序，系统等的经验数据•存在问题误报问题、漏报问题、计算量过大问题2020/4/78.2.2误用检测•定义–误用检测在系统中建立异常行为的特征库，然后将系统或用户的行为与特征库进行比较•存在问题–不能预知新的攻击，只能检测出已发生过的攻击。2020/4/78.3入侵检测系统•8.3.1入侵检测系统的设计准则•8.3.2基于网络的入侵检测系统（NIDS）•8.3.3基于主机的入侵检测系统（HIDS）•8.3.4NIDS与HIDS比较•8.3.5其它类型的入侵检测系统2020/4/78.3.1入侵检测系统的设计准则•设计准则–其配置结束后可以自我运行。–工作时必须时刻保持积极的工作状态且自身不易被攻击。–能够识别系统不常见的行为，每一个入侵检测系统都会遗漏一些异常行为，不过一个好的系统能够尽可能多得发现入侵行为。–系统运行要尽可能减少对正常工作的影响。–系统必须可控，可调试2020/4/78.3.2基于网络的入侵检测系统（NIDS）•基于网络的入侵检测系统将整个网络作为扫描范围，通过检测整个网络来发现网络上异常的，不恰当的，或其它可能导致未授权，有害事件发生的事件。2020/4/7网络数据库管理器网络负载均衡器防火墙内的IDS传感器防火墙防火墙外的IDS传感器网络传感器/监控器响应子系统图8-3基于网络的入侵检测系统的部署8.3.3基于主机的入侵检测系统（HIDS）•基于主机的入侵检测系统（HIDS）将检测转向组织网络的内部，检测针对本地主机入侵行为的系统•特点–单一主机上进行恶意行为检测的技术–可以部署在单一主机上，同样也可以部署在远程主机上，或部署在网段上来检测整个网段–处理压力增大2020/4/78.3.4NIDS与HIDS比较•NIDS的优点–可以检测到HIDS不能检测到的攻击–实时监测–可以检测到未成功的入侵行为•NIDS的缺点–和HIDS比，NIDS拥有盲区，因为部署在组织网络的边缘地带，NIDS对整个内部网络是不了解的–NIDS不能解密数据包其他加密的部分2020/4/78.3.5其它类型的入侵检测系统•系统完整性验证者（SIVs）–一直监测系统中的核心文件（例如系统文件或注册表）来检测是否被入侵者更改•日志文件监督（LFM）–监测网络服务创建的日志记录，并将其与关键字进行匹配来判断入侵者是否正在攻击•蜜罐–包含漏洞，诱使入侵者对其进行攻击从而获取攻击者攻击工具和攻击方法的信息2020/4/78.4入侵检测系统实现•入侵检测系统对收集的数据进行分析并以此判断是否为入侵行为，具体的实现方法有以下几种：特征检测、统计检测和专家系统。特征检测特征检测对已知的攻击或入侵方式做确定性的描述，形成相应的事件模式，当被审计的事件与已知的入侵事件模式相匹配时即报警。原理上与专家系统相仿检测方法上与计算机病毒的检测方式类似应用广泛、检测率高对无经验知识的入侵与攻击行为无效2020/4/7统计检测统计检测的统计模型常用异常检测，参数包括：审计事件的数量、间隔时间、资源消耗情况等。可以“学习”用户的使用习惯，从而具有较高检出率与可用性。给入侵者训练入侵事件的机会专家系统专家系统是用专家系统对入侵进行检测针对的大多数是有特征的入侵行为。专家系统的建立依赖于知识库的完备性，最终依赖于审计记录的完备性与实时性关键在于入侵的特征抽取与表达2020/4/78.5入侵检测系统产品的选择•价格–系统价格以及特征库升级与维护的费用，性能价格比、以及要保护系统的价值•网络的部署环境•入侵检测系统对于异常行为的敏感度•产品的可扩展性–系统的选用应该具有良好的扩展性以满足网络日益扩大及日后升级的需要；•产品支持的入侵特征数，产品有哪些响应方法，系统支持的传感器数目、最大数据库大小等•误报率与漏报率2020/4/78.6入侵检测的发展趋势•大规模分布式入侵检测–两层含义：1）针对分布式网络攻击的检测方法；2）用分布式的方法来检测分布式的攻击•智能化入侵检测–将神经网络、遗传算法、模糊技术、免疫原理等方法用于入侵特征的辨识与泛化•入侵检测的数据融合技术•全面的安全防御方案–从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，并且结合防火墙，病毒防护以及电子商务技术，提供完整的网络安全保障。2020/4/78.7Snort简介•8.7.1Snort的工作原理•8.7.2Snort在Windows下的安装与部署•8.7.3启动Snort2020/4/78.7.1Snort的工作原理•Snort是一个可高度设置的包嗅探器。包嗅探器就是对流经的数据包进行窃听或嗅探的程序。同时，Snort也具有IDS的功能，可以分析系统日志来检测入侵行为，并且可以实时检查网络数据2020/4/78.7.2Snort在Windows下的安装与部署1.安装WinPcap2.安装Snort2020/4/78.7.3启动Snort1.嗅探器模式：$snort–dev2.日志记录模式：$snort–dev–llogdirectory2020/4/73.IDS模式–Snort会对其所记录的东西根据规则进行过滤。–默认的配置文件snort.conf2020/4/72020/4/78.8习题一、选择题1.对于一个入侵，下列最合适的描述是：A.与安全事故类似B.各种试图超越权限设置的恶意使用C.任何侵犯或试图侵犯你的安全策略的行为D.任何使用或试图使用系统资源用于犯罪目的的行为2.下列哪种安全策略可用于最小特权原则的理念：A.白名单B.严格禁止C.宽松的控制D.黑名单3.如果一个IDS上报了一个异常行为，但该行为是正常的，那么IDS犯了什么错误A.误报B.漏报C.混合式错误D.版本出错4.哪种入侵者是最危险的，为什么？A.外部入侵者，因为他们在攻击之前会大量的收集目标系统的信息。B.内部入侵者，因为他们掌握更多关于系统的信息。C.外部入侵者，因为大部分入侵者都在外部。D.内部入侵者，因为很多外部入侵者都是新手。5.对于有特征的入侵行为，哪种类型的入侵检测更适用：A.误用检测B.异常检测C.恶意检测D.外部检测6.IDS规则的目的是什么：A.告诉IDS检测那些端口B.限制系统行为，如果违反了，就触发警报C.告诉IDS那些包需要被监测，并在包中检测什么内容D.告诉防火墙哪些数据包可以穿过IDS2020/4/77.什么软件可以阅读其所在网络的数据：A.特征数据库B.包嗅探器C.数据包分析引擎D.网络扫描8.哪种IDS可以检测特定网段的所有流量：A.基于网络的IDSB.基于特征的IDSC.基于主机的IDSD.基于知识的IDS9.哪种类型的IDS可以用来标识外来攻击的？A.在DMZ区的HIDSB.在防火墙与内部网络之间的NIDSC.在外部网络与防火墙之间的NIDSD.在DMZ区的NIDS10.当选择IDS时，哪些因素是你要考虑的（多选）：A.价格B.配置与维护IDS所需要的知识与人力C.互联网类型D.你所在的组织的安全策略2020/4/72020/4/7二、问答题1.入侵检测系统都有哪些检测机制，其原理是什么？2.入侵检测系统是如何分类的，其设计准则是什么？