搜索
-1-第4章入侵检测技术1.入侵检测系统概述2.入侵检测一般步骤3.入侵检测系统分类4.入侵检测系统关键技术5.入侵检测系统模型介绍6.入侵检测系统标准化7.入侵检测系统Snort8.入侵检测产品选购-2-1.入侵检测系统概述1.1什么是入侵检测入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中若干关键点收集信息,并对收集到的信息进行分析,从而判断网络或系统中是否有违反安全策略的行为和系统被攻击的征兆。入侵检测的目标是识别系统内部人员和外部入侵者的非法使用、滥用计算机系统的行为。-3-1.2入侵检测系统功能入侵检测系统能主动发现网络中正在进行的针对被保护目标的恶意滥用或非法入侵,并能采取相应的措施及时中止这些危害,如提示报警、阻断连接、通知网管等。其主要功能是监测并分析用户和系统的活动、核查系统配置中的安全漏洞、评估系统关键资源与数据文件的完整性、识别现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统日志的管理维护。-4-2.入侵检测一般步骤2.1入侵数据提取主要是为系统提供数据,提取的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测数据提取可来自以下四个方面。(1)系统和网络日志;(2)目录和文件中的的改变;(3)程序执行中的不期望行为;(4)物理形式的入侵信息。-5-2.2入侵数据分析主要作用在于对数据进行深入分析,发现攻击并根据分析的结果产生事件,传递给事件响应模块。常用技术手段有:模式匹配、统计分析和完整性分析等。入侵数据分析是整个入侵检测系统的核心模块。2.3入侵事件响应事件响应模块的作用在于报警与反应,响应方式分为主动响应和被动响应。-6-被动响应型系统只会发出报警通知,将发生的不正常情况报告给管理员,本身并不试图降低所造成的破坏,更不会主动地对攻击者采取反击行动。主动响应系统可以分为对被攻击系统实施保护和对攻击系统实施反击的系统。-7-3.入侵检测系统分类3.1根据系统所检测的对象分类1.基于主机的入侵检测系统(HIDS)基于主机的IDS安装在被保护的主机上,通常用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵行为。基于主机的IDS系统的优点是能够校验出攻击是成功还是失败;可使特定的系统行为受到严密监控等。缺点是它会占用主机的资源,要依赖操作系统等。-8-2.基于网络的入侵检测系统(NIDS)基于网络的IDS一般安装在需要保护的网段中,利用网络侦听技术实时监视网段中传输的各种数据包,并对这些数据包的内容、源地址、目的地址等进行分析和检测。如果发现入侵行为或可疑事件,入侵检测系统就会发出警报甚至切断网络连接。基于网络的IDS的优点是购买成本低,对识别出来的攻击能进行实时检测和响应,等。其主要缺点在于防欺骗能力较差、交互环境下难以配置等。-9-3.基于应用的入侵检测系统(AIDS)AIDS监控在某个软件应用程序中发生的活动,信息来源主要是应用程序的日志,其监视的内容更为具体。3.2根据数据分析方法分类1.异常检测异常检测是假定所有的入侵行为都与正常行为不同。先定义一组系统在正常条件下的资源与设备利用情况的数值,建立正常活动的模型,然后再将系统在运行时的此类数值与事先定义的原有正常指标相比较,从而得出是否有攻击现象发生。-10-2.误用检测误用检测是假定所有入侵行为、手段及其变种都能够表达为一种模式或特征。系统的目标就是检测主体活动是否符合这些模式,因此又称为特征检测。3.3根据体系结构分类根据IDS的系统结构,可分为集中式、等级式和分布式三种。1.集中式入侵检测系统集中式IDS可能有多个分布于不同主机上的审计程序,但只有一个中央入侵检测服务器。-11-审计程序将当地收集到的数据发送给中央服务器进行分析处理。2.等级式入侵检测系统等级式IDS中,定义了若干个分等级的监控区域,每个IDS负责一个区域,每一级IDS只负责所监控区的分析,然后将当地的分析结果传送给上一级IDS。3.分布式入侵检测系统分布式IDS将中央检测服务器的任务分配给多个基于主机的IDS,这些IDS不分等级,各负其职,负责监控当地主机的某些活动。-12-4.入侵检测系统关键技术入侵检测系统研发中涉及的关键技术包括入侵检测技术、入侵检测系统的描述语言、入侵检测的体系结构等。-13-4.入侵检测系统关键技术1.模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。模式匹配方法是入侵检测领域中应用最为广泛的检测手段和机制之一,通常用于误用检测。2.统计分析统计分析方法首先给用户、文件、目录和设备等系统对象创建一个统计描述。-14-统计正常使用时的一些测量属性,测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。常用的入侵检测统计分析模型有:(1)操作模型:(2)方差:(3)多元模型:(4)马尔可夫过程模型(5)时间序列分析-15-3.专家系统专家系统是一种以知识为基础,根据人类专家的知识和经验进行推理,解决需要专家才能解决的复杂问题的计算机程序系统。用专家系统对入侵进行检测主要是针对误用检测,是针对有特征入侵的行为。4.神经网络神经网络具有自适应、自组织、自学习的能力,可以处理一些环境信息复杂、背景知识不清楚的问题。-16-5.数据挖掘数据挖掘是从大量的数据中抽取出潜在的、有价值的知识(即模型或规则)的过程。对于入侵检测系统来说,也需要从大量的数据中提取入侵特征。6.协议分析协议分析是利用网络协议的高度规则性快速探测攻击的存在。协议分析技术对协议进行解码,减少了入侵检测系统需要分析的数据量。-17-5.入侵检测系统模型介绍5.1分布式入侵检测系统-18-这个模型主要是入侵检测系统基本结构的具体化。这个模型的特点有:1.分布性;2.标准性;3.可扩充性;4.良好的系统降级性;5.载荷最小性。-19-5.2基于移动代理的入侵检测系统-20-5.3智能入侵检测系统-22-6.入侵检测系统标准化目前,对IDS进行标准化的工作有两个组织:IETF的入侵检测工作组IDWG和通用入侵检测框架CIDF。6.1入侵检测工作组IDWGIDWG的工作目标是定义入侵检测系统中的数据格式、信息交换过程和交换协议。IDWG的文档定义了入侵检测系统中信息交换需求IDMER、信息交换的格式IDMEF、入侵检测交换协议IDXP以及一种可以绕过防火墙的数据传输方法TUNNEL。-23-6.2通用入侵检测框架CIDFCIDF是一套规范,它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议。CIDF的文档由四个部分组成:体系结构、规范语言、内部通信和程序接口。1.体系结构CIDF的体系结构文档将一个IDS分为4个组件:事件产生器、事件分析器、事件数据库和响应单元。-24-(1)事件产生器:事件产生器是负责从整个计算环境中获取事件,然后将事件转化为GIDO标准格式提交给其它组件使用。(2)事件分析器:事件分析器从其他组件接收GIDO数据,并分析它们,然后以一个新的GIDO形式返回分析结果。(3)事件数据库:事件数据库负责GIDO的存储,是存放各种中间和最终数据的地方的统称。(4)响应单元:响应单元是对分析结果作出反应的功能单元,它可以是终止进程、切断连接、改变文件属性,也可以只是简单的报警和记录。-25-2.规范语言规范语言定义了一个用来描述各种检测信息的标准语言,定义了一种用于表示原始事件信息、分析结果和响应指令的语言,称为CISL。3.内部通信内部通信定义了IDS组件之间进行通信的标准协议。一种为匹配服务法,另一种为消息层法。匹配服务为CIDF各组件之间的相互识别、定位和信息共享提供了一个标准的统一机制。4.程序接口程序接口提供了一整套标准的应用程序接口。-26-7.入侵检测系统SnortSnort是一个免费的、开放源代码的基于网络的入侵检测系统,具有很好的扩展性和可移植性。1.Snort主要功能Snort主要功能有三种:数据包嗅探器、数据包记录器、网络入侵检测。2.Snort特点(1)Snort是一个跨平台、轻量级的网络入侵检测软件。-27-(2)Snort采用基于规则的网络信息搜索机制,对数据包进行内容的模式匹配,从中发现入侵和探测行为。(3)Snort具有实时数据流量分析和监测IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。它还可以用来截获网络中的数据包并记录数据包日志。(4)Snort的报警机制丰富。-28-(5)Snort的日志格式既可以是二进制格式,也可以解码成ASCII字符形式,便于用户检查。(6)Snort使用一种简单的规则描述语言,能够很快对新的网络攻击作出反应。(7)Snort支持插件。可以使用具有特定功能的报告、检测子系统插件对其功能进行扩展。3.Snort组成(1)数据包解码器。数据包解码器主要是对各种协议栈上的数据包进行解析、预处理,以便提交给检测引擎进行规则匹配。-29-(2)检测引擎。Snort用一个二维链表存储它的检测规则,一维称为规则头,另一维称为规则选项。规则匹配查找采用递归的方法进行,检测机制只针对当前已经建立的链表选项进行检测。(3)日志子系统。Snort可供选择的日志形式有三种:文本形式、二进制形式、关闭日志服务。(4)报警子系统。报警形式有五种:报警信息可发往系统日志,用文本形式记录到报警文件中去,用二进制形式记录到报警文件中去,通过Samba发送WinPopup信息,第五种方法就是关闭报警,什么也不做。-30-8.入侵检测产品选购1.根据单位需求。2.产品通过权威机构认证。3.厂商的技术支持和服务。4.产品系统结构要合理。5.自定义异常事件。6.检测规则库要完整。。7.检测能力强大。8.产品实时监控性能。-31-9.数据报表要灵活直观。10.产品实时监控性能11.漏报与误报。12.安装、配置以及管理的方便性。13.及时性。14.响应能力。15.负荷能力。16.灵活的日志报告。17.产品的抗攻击性。