第07章入侵检测与防御技术 - PowerPoint 演示文稿

第7章入侵检测技术本章学习目标：了解入侵检测系统的原理掌握入侵检测系统的核心技术了解入侵检测系统的作用了解入侵检测技术的发展趋势掌握入侵检测系统在网络安全中的地位掌握评价入侵检测系统的性能指标27.1入侵检测系统概述防火墙是所有保护网络的方法中最能普遍接受的方法，能阻挡外部入侵者，但对内部攻击无能为力；同时，防火墙绝对不是坚不可摧的，即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门，不提供对内部的保护，无法防范数据驱动型的攻击，不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。入侵检测是防火墙的合理补充，它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。37.1入侵检测系统概述7.1.1相关术语攻击•攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取/破坏/篡改目标系统的数据或访问权限事件•在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。•CIDF将入侵检测系统需要分析的数据统称为事件（event）4入侵•对信息系统的非授权访问及（或）未经许可在信息系统中进行操作入侵检测•对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程入侵检测系统（IDS）•用于辅助进行入侵检测或者独立进行入侵检测的自动化工具7.1入侵检测系统概述7.1.1相关术语5入侵检测（IntrusionDetection）技术是一种动态的网络检测技术，主要用于识别对计算机和网络资源的恶意使用行为，包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象，则应当做出适当的反应。对于正在进行的网络攻击，则采取适当的方法来阻断攻击（与防火墙联动），以减少系统损失。对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。7.1入侵检测系统概述7.1.2入侵检测67.1入侵检测系统概述入侵检测系统入侵检测系统（IDS）由入侵检测的软件与硬件组合而成，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：1）监视、分析用户及系统活动。2）系统构造和弱点的审计。3）识别反映已知进攻的活动模式并向相关人士报警。4）异常行为模式的统计分析。5）评估重要系统和数据文件的完整性。6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。77.1入侵检测系统概述7.1.3入侵检测系统的作用•监控网络和系统•发现入侵企图或异常现象•实时报警•主动响应•审计跟踪形象地说，它就是网络摄像机，能够捕获并记录网络上的所有数据，同时它也是智能摄像机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄像机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄像机，还包括保安员的摄像机.87.1入侵检测系统概述97.1入侵检测系统概述7.1.4入侵检测的发展历程1980年，概念的诞生1984～1986年，模型的发展1990年，形成网络IDS和主机IDS两大阵营九十年代后至今，百家争鸣、繁荣昌盛107.2入侵检测的原理与技术7.2.1入侵检测的实现方式入侵检测系统根据数据包来源的不同，采用不用的实现方式，一般地可分为网络型、主机型，也可是这两种类型的混合应用。•基于网络的入侵检测系统（NIDS）•基于主机的入侵检测系统（HIDS）•混合型入侵检测系统（HybridIDS）117.2入侵检测的原理与技术7.2.1入侵检测的实现方式1、网络IDS：网络IDS是网络上的一个监听设备(或一个专用主机)，通过监听网络上的所有报文，根据协议进行分析，并报告网络中的非法使用者信息。–安装在被保护的网段（通常是共享网络，交换环境中交换机需支持端口映射）中–混杂模式监听–分析网段中所有的数据包–实时检测和响应127.2入侵检测的原理与技术网络报文数据协议分析上报事件事件数据库比较数据读取网络数据网络数据图7-1网络IDS工作模型137.2入侵检测的原理与技术网络IDS优势(1)实时分析网络数据，检测网络系统的非法行为；(2)网络IDS系统单独架设，不占用其它计算机系统的任何资源；(3)网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高；(4)它既可以用于实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证；(5)通过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止非法入侵和破坏。(6)不会增加网络中主机的负担。147.2入侵检测的原理与技术网络IDS的劣势(1)不适合交换环境和高速环境(2)不能处理加密数据(3)资源及处理能力局限(4)系统相关的脆弱性157.2入侵检测的原理与技术7.2.1入侵检测的实现方式2、主机IDS：运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。–安装于被保护的主机中–主要分析主机内部活动–占用一定的系统资源167.2入侵检测的原理与技术主机IDS优势(1)精确地判断攻击行为是否成功。(2)监控主机上特定用户活动、系统运行情况(3)HIDS能够检测到NIDS无法检测的攻击(4)HIDS适用加密的和交换的环境。(5)不需要额外的硬件设备。177.2入侵检测的原理与技术主机IDS的劣势(1)HIDS对被保护主机的影响。(2)HIDS的安全性受到宿主操作系统的限制。(3)HIDS的数据源受到审计系统限制。(4)被木马化的系统内核能够骗过HIDS。(5)维护/升级不方便。187.2入侵检测的原理与技术3、两种实现方式的比较：1)如果攻击不经过网络基于网络的IDS无法检测到只能通过使用基于主机的IDS来检测；2)基于网络的IDS通过检查所有的包头来进行检测，而基于主机的IDS并不查看包头。主机IDS往往不能识别基于IP的拒绝服务攻击和碎片攻击；3)基于网络的IDS可以研究数据包的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的IDS迅速识别；而基于主机的系统无法看到负载，因此也无法识别嵌入式的数据包攻击。197.2入侵检测的原理与技术4、混合型入侵检测系统（HybridIDS）在新一代的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来，提供集成化的攻击签名检测报告和事件关联功能。可以深入地研究入侵事件入侵手段本身及被入侵目标的漏洞等。207.2入侵检测的原理与技术7.2.2IDS的基本结构无论IDS系统是网络型的还是主机型的，从功能上看，都可分为两大部分：探测引擎和控制中心。前者用于读取原始数据和产生事件；后者用于显示和分析事件以及策略定制等工作。IDS控制中心IDS引擎控制和策略下发事件上报217.2入侵检测的原理与技术7.2.2IDS的基本结构图7-3引擎的工作流程引擎的主要功能为：原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能227.2入侵检测的原理与技术7.2.2IDS的基本结构图7-4控制中心的工作流程通信事件读取事件显示策略定制日专分析系统帮助事件数据库控制中心的主要功能为：通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。237.2入侵检测的原理与技术7.2.3IDS采用的技术入侵检测主要通过专家系统、模式匹配、协议分析或状态转换等方法来确定入侵行为。入侵检测技术有：静态配置分析技术异常检测技术误用检测技术1．静态配置分析技术静态配置分析是通过检查系统的当前系统配置，诸如系统文件的内容或系统表，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(系统配置信息)，而不是系统中的活动。247.2入侵检测的原理与技术7.2.3IDS采用的技术2、异常检测技术通过对系统审计数据的分析建立起系统主体(单个用户、一组用户、主机，甚至是系统中的某个关键的程序和文件等)的正常行为特征轮廓；检测时，如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。这一检测方法称“异常检测技术”。一般采用统计或基于规则描述的方法建立系统主体的行为特征轮廓，即统计性特征轮廓和基于规则描述的特征轮廓。257.2入侵检测的原理与技术7.2.3IDS采用的技术3．误用检测技术误用检测技术(MisuseDetection)通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或是间接地违背系统安全规则的行为，来检测系统中的入侵活动，是一种基于已有的知识的检测。这种入侵检测技术的主要局限在于它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。267.2入侵检测的原理与技术7.2.4入侵检测分析技术的比较1．模式匹配的缺陷1）计算负荷大2）检测准确率低2．协议分析新技术的优势1）提高了性能2）提高了准确性3）反规避能力4）系统资源开销小277.3入侵检测系统的性能指标1．系统结构好的IDS应能采用分级、远距离分式部署和管理。主控制中心子控制中心主控制中心探测引擎探测引擎子控制中心子控制中心探测引擎287.3入侵检测系统的性能指标2．事件数量考察IDS系统的一个关键性指标是报警事件的多少。一般而言，事件越多，表明IDS系统能够处理的能力越强。3．处理带宽IDS的处理带宽，即IDS能够处理的网络流量，是IDS的一个重要性能。目前的网络IDS系统一般能够处理20～30M网络流量，经过专门定制的系统可以勉强处理40～60M的流量。297.3入侵检测系统的性能指标4．探测引擎与控制中心的通信作为分布式结构的IDS系统，通信是其自身安全的关键因素。通信安全通过身份认证和数据加密两种方法来实现。身份认证是要保证一个引擎，或者子控制中心只能由固定的上级进行控制，任何非法的控制行为将予以阻止。身份认证采用非对称加密算法，通过拥有对方的公钥，进行加密、解密完成身份认证。控制中心控非法制中心控制中心探测引擎探测引擎307.3入侵检测系统的性能指标5．事件定义事件的可定义性或可定义事件是IDS的一个主要特性。6．二次事件对事件进行实时统计分析，并产生新的高级事件能力。7．事件响应通过事件上报、事件日志、Email通知、手机短信息、语音报警等方式进行响应。还可通过TCP阻断、防火墙联动等方式主动响应。317.3入侵检测系统的性能指标8．自身安全自身安全指的是探测引擎的安全性。要有良好的隐蔽性，一般使用定制的操作系统。9．终端安全主要指控制中心的安全性。有多个用户、多个级别的控制中心，不同的用户应该有不同的权限，保证控制中心的安全性。327.4入侵防御系统简介IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。因此，人们迫切地需要找到一种主动入侵防护解决方案，以确保企业网络在威胁四起的环境下正常运行。入侵防御系统（IntrusionPreventionSystem或IntrusionDetectionPrevention，即IPS或IDP）就应运而生了。IPS是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。IPS在网络中一般有四种连接方式：Span（接在交换机旁边，作为端口映像）、Tap（接在交换机与路由器中间，旁路安装，拷贝一份数据到IPS中）、Inline（接在交换机与路由器中间，在线安装，在线阻断攻击）和Port-cluster（被动抓包，在线安装）。它在报警的同时，能阻断攻击。337.5蜜网陷阱HoneynetHoney