第五章 入侵检测

第五章入侵检测2本章内容入侵检测的结构入侵检测系统分类入侵检测系统分析方式入侵检测系统的设置与部署入侵检测系统的优缺点3入侵检测概述网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒后门、隐蔽通道蠕虫4入侵检测概述1.入侵检测的概念入侵行为入侵行为主要指对系统资源的非授权使用，它可以造成系统数据的丢失和破坏，甚至会造成系统拒绝对合法用户服务等后果。入侵检测入侵检测技术是从计算机网络或系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭受袭击的迹象的一种机制5入侵检测概述1.入侵检测的概念入侵检测弥补防火墙的不足，对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时的检测及采取相应的防护手段防火墙是进出网络的门，入侵检测系统是网络的监视器。入侵检测技术是一种主动保护系统免受黑客攻击的网络安全技术检测来自内部的攻击事件和越权访问85％以上的攻击事件来自于内部的攻击防火墙只能防外，难于防内入侵检测系统作为防火墙系统的一个有效的补充入侵检测系统可以有效的防范防火墙开放的服务入侵6入侵检测概述1.入侵检测的概念入侵检测系统的主要功能有以下几点：监测并分析用户和系统的活动。核查系统配置和漏洞。评估系统关键资源和数据文件的完整性。识别已知的攻击行为。统计分析异常行为。对操作系统进行日志管理，并识别违反安全策略的用户活动。7入侵检测概述2.入侵检测系统的基本结构CIDF阐述了一个入侵检测系统模型CIDF模型8入侵检测概述2.入侵检测系统的基本结构入侵检测系统模型1）事件产生器：采集和监视被保护系统的数据，并保存在数据库中，这些数据可以是网络的数据包，可以是从系统日志等其他途径搜集的信息2）事件分析器：两个功能，一是用于分析事件产生器搜集到数据，区分数据的正确性，发现非法的或者具有潜在危险的、异常的数据现象，通知响应单元作出入侵防范；二是对数据库保存的数据做定期的统计分析，发现某段时间内的异常，进而对该时期内的异常数据进行详细分析9入侵检测概述2.入侵检测系统的基本结构入侵检测系统模型3）响应单元：是系统事件分析器工作的重要组成部分，一旦事件分析器发现具有入侵企图的异常数据，响应单元就要发挥作用，对具有入侵企图的攻击实施拦截、阻断、反追踪等手段，保护系统免受攻击和破坏4）事件数据库：记录事件分析单元提供的分析结果，同时记录所有来自于事件产生器的事件，用来进行以后的分析与检查10入侵检测过程1.信息收集：从入侵检测系统的信息源中收集信息，内容包括系统、网络、数据以及用户活动的状态和行为等2.信息分析：是入侵检测过程的核心环节3.告警与响应：IDS根据攻击或事件的类型或性质，通知管理员或采取一定措施阻止入侵继续11入侵检测过程信息收集入侵检测利用的信息一般来自五个方面:1.系统和网络日志(重复登录失败,登录到不期望位置等),所有重要系统都应定期做日志2.目录和文件中的不期望的改变(修改,创建,删除等),特别是正常情况下限制访问的3.程序执行中的不期望行为(一个进程出现了不期望的行为可能表明攻击者正在入侵系统)一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同4.网络流量行为，端口扫描等5.物理形式的入侵信息，一是未授权的对网络硬件连接；二是对物理资源的未授权访问12入侵检测过程信息分析对于收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：1.模式匹配:模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为2.统计分析:首先给系统对象创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生3.完整性分析:主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效13入侵检测过程告警与响应分为主动响应和被动响应被动响应型系统只会发出告警通知，将发生的不正常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动主动响应系统可以分为对被攻击系统实施控制和对攻击系统实施控制的系统：对被攻击系统实施控制（防护）:它通过调整被攻击系统的状态，阻止或减轻攻击影响，例如断开网络连接、增加安全日志、杀死可疑进程等对攻击系统实施控制（反击）:这种系统多被军方所重视和采用14入侵检测系统分类根据检测对象分为两大类：基于主机的和基于网络的入侵检测系统1.基于主机的入侵检测系统基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害，需要安装在被保护的主机上。15入侵检测系统分类1.基于主机的入侵检测系统按照检测对象的不同，基于主机的入侵检测系统可以分为两类：网络连接检测和主机文件检测1）网络连接检测网络连接检测是对试图进入该主机的数据流进行检测，分析确定是否有入侵行为，避免或减少这些数据流进入主机系统后造成损害如检测到有主机尝试连接未开放的端口，预示着可能有主机在进行漏洞扫描16入侵检测系统分类1.基于主机的入侵检测系统按照检测对象的不同，基于主机的入侵检测系统可以分为两类：网络连接检测和主机文件检测2）主机文件检测通常入侵行为会在主机的各种相关文件中留下痕迹，主机文件检测能够帮助系统管理员发现入侵行为或入侵企图，及时采取补救措施。主机文件检测的检测对象主要包括以下几种：a.系统日志b.文件系统c.进程记录d.系统运行控制17入侵检测系统分类1.基于主机的入侵检测系统基于主机的入侵检测系统的优点检测准确度较高。可以检测到没有明显行为特征的入侵。能够对不同的操作系统进行有针对性的检测。成本较低。不会因网络流量影响性能。适于加密和交换环境。基于主机的入侵检测系统具有以下不足：检测效果取决于日志系统。占用主机资源。不能监控网络上的情况18入侵检测系统分类2.基于网络的入侵检测系统基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上，它使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，入侵检测系统应答模块通过通知、报警以及中断连接等方式来对攻击做出反应通过将实际的数据流量记录与入侵模式库中的入侵模式进行匹配，寻找可能的攻击特征19入侵检测系统分类2.基于网络的入侵检测系统基于网络的入侵检测系统发展过程1）包嗅探器和网络监视器网卡工作在混杂模式下对包进行统计详细地检查包2）基于网络的入侵检测检查端口扫描检查常见的攻击行为识别各种各样的IP欺骗攻击检测到异常后，采取干涉入侵者发来的通信，或重新配置附近的防火墙策略以封锁入侵者的计算机或网络发来的所有通信20入侵检测系统分类2.基于网络的入侵检测系统基于网络的入侵检测系统的优点可以提供实时的网络行为检测。可以同时保护多台网络主机。检测范围广与操作系统无关，不需要修改服务器等主机的配置不影响被保护主机的性能。基于网络的入侵检测系统有以下不足：很难检测复杂的需要大量计算的攻击。在交换式网络环境中难以配置。检测性能受硬件条件限制。不能处理加密后的数据21入侵检测系统分类3.两种入侵检测系统的结合使用基于网络的入侵检测系统和基于主机的入侵检测系统都有各自的优势和不足，这两种方式各自都能发现对方无法检测到的一些网络入侵行为，如果同时使用互相弥补不足，会起到良好的检测效果。基于网络的入侵检测系统通过检查所有的数据包头来进行检测，而基于主机的入侵检测系统并不查看包头。基于网络的入侵检测系统可以研究负载的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的入侵检测系统迅速识别；而基于主机的入侵检测系统无法看到负载，因此也无法识别嵌入式的负载攻击22入侵检测系统分类4.分布式入侵检测系统采用分布式结构的入侵检测模式是目前入侵检测技术的一个研究方向。这种模式的系统采用分布式智能代理的结构，由一个或者多个中央智能代理和大量分布在网络各处的本地代理组成。其中本地代理负责处理本地事件，中央代理负责统一调控各个本地代理的工作以及从整体上完成对网络事件进行综合分析的工作。检测工作通过全部代理互相协作共同完成23入侵检测系统分类5.入侵防护系统是网络入侵检测系统的一种特殊形式，从安全防护地位上来看，入侵防护系统已经超出了入侵检测系统的范围。入侵防护系统主要采用入侵检测技术实现网络防护功能，位于网络主干位置，以透明网关形式存在，检测所有进出网络的数据入侵防护系统从链路层获取网络数据，使用入侵检测技术对数据包进行分析，对其中的高层应用协议数据进行重组与协议追踪，对有问题的数据包直接丢弃也可以采用修改重建或报警等响应方式，同时关闭连接24入侵检测系统分类5.入侵防护系统入侵防护系统优点：实时阻断网络攻击隐蔽数据检测，对通信双方完全透明主干检测，保证数据百分之百捕获，避免绕过攻击透明模式，不会对网络拓扑造成影响入侵防护系统的不足：分析效率较低，无法适应高速网络环境继承了入侵检测的误报缺陷，易造成对正常网络通信的影响为减低误报率，造成漏报情况较多，只对能够准确确认的攻击进行处理无法检测加密环境数据25入侵检测系统的分析方式入侵检测系统的检测分析技术主要分为两类：异常检测和误用检测1.异常检测技术——基于行为的检测1）异常检测技术的原理异常检测技术也称为基于行为的检测技术，是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。异常检测技术首先假设网络攻击行为是不常见的或是异常的，区别于所有的正常行为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型，那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比，若入侵行为偏离了正常的行为轨迹，就可以被检测出来26入侵检测系统的分析方式入侵检测系统的检测分析技术主要分为两类：异常检测和误用检测1.异常检测技术——基于行为的检测正常模式检测到的事件比较入侵27入侵检测系统的分析方式入侵检测系统的检测分析技术主要分为两类：异常检测和误用检测1.异常检测技术——基于行为的检测事件度量入侵概率正常行为异常行为0102030405060708090评价指标28入侵检测系统的分析方式1.异常检测技术——基于行为的检测2）异常检测技术的评价a.能够检测出新的网络入侵方法的攻击。b.较少依赖于特定的主机操作系统。c.对于内部合法用户的越权违法行为的检测能力较强。异常检测技术有以下不足：a.误报率高。b.行为模型建立困难。c.难以对入侵行为进行分类和命名。29入侵检测系统的分析方式1.异常检测技术——基于行为的检测3）异常检测技术分类a.统计分析异常检测。b.贝叶斯推理异常检测。c.神经网络异常检测。d.模式预测异常检测。e.数据挖掘异常检测。f.机器学习异常检测。30入侵检测系统的分析方式2.误用检测技术——基于知识的检测1）误用检测技术入侵检测系统的基本原理误用检测技术也称为基于知识的检测技术或者模式匹配检测技术。它的前提是假设所有的网络攻击行为和方法都具有一定的模式或特征，如果把以往发现的所有网络攻击的特征总结出来并建立一个入侵信息库，那么入侵检测系统可以将当前捕获到的网络行为特征与入侵信息库中的特征信息相比较，如果匹配，则当前行为就被认定为入侵行为31入侵检测系统的分析方式2.误用检测技术——基于知识的检测1）误用检测技术入侵检测系统的基本原理入侵模式库检测到的事件比较、匹配入侵32入侵检测系统的分析方式2.误用检测技术——基于知识的检测2）误用检测技术的评价误用检测技术有以下优点：检测准确