保障与安全14入侵检测.ppt

《保障与安全14入侵检测.ppt》由会员分享，可在线阅读，更多相关《保障与安全14入侵检测.ppt（38页珍藏版）》请在三一文库上搜索。

1、2019/6/2,1,14 防御,2019/6/2,2,1 入侵检测系统概述,入侵检测（Intrusion Detection System, IDS）就是一种主动安全保护技术。入侵检测像雷达警戒一样，在不影响网络性能的前提下，对网络进行警戒、监控，从计算机网络的若干关键点收集信息，通过分析这些信息，看看网络中是否有违反安全策略的行为和遭到攻击的迹象，从而扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。,2019/6/2,3,简单地说，入侵检测系统是这样工作的：若有一个计算机系统，它与网络连接着，或许也同Internet连接，由于一些原因，允许网络上的授权用户访问该计算机。例如

2、，有一个连接着Internet的Web服务器，允许一定的客户、员工和一些潜在的客户访问存放在该Web服务器上的Web页面。然而，不希望其他员工、顾客或未知的第三方的未授权访问。一般情况下，可以采用一个防火墙或者一些类型的认证系统阻止未授权访问。然而，有时简单的防火墙措施或者认证系统可能被攻破。入侵检测是一系列在适当的位置上对计算机未授权访问进行警告的机制。对于假冒身份的入侵者，入侵检测系统也能采取一些措施来拒绝其访问。,2019/6/2,4,入侵检测系统基本上不具有访问控制的能力，它就像是一个有着多年经验、熟悉各种入侵方式的网络侦察员，通过对数据包流的分析，可以从数据流中过滤出可疑数据包，通过

3、与已知的入侵方式进行比较，确定入侵是否发生以及入侵的类型并进行报警。网络管理员可以根据这些报警确切地知道所受到的攻击并采取相应的措施。可以说，入侵检测系统是网络管理员经验积累的一种体现，它极大地减轻了网络管理员的负担，降低了对网络管理员的技术要求，提高了网络安全管理的效率和准确性。,2019/6/2,5,目前，大部分网络攻击在攻击前有资料搜集的过程，例如，基于特定系统的漏洞攻击，在攻击之前需要进行端口扫描，以确认系统的类型以及漏洞相关的端口是否开启。某些攻击在初期就可以表现出较为明显的特征，例如，假冒有效用户登录，在攻击初期的登录尝试具有明显的特征。对于这两类攻击，入侵检测系统可以在攻击的前期

4、准备时期或是在攻击刚刚开始的时候进行确认并发出警报。同时入侵检测系统可以对报警的信息进行记录，为以后的一系列实际行动提供证据支持。这就是入侵检测系统的预警功能。,2019/6/2,6,入侵检测一般采用旁路侦听的机制，因此不会产生对网络带宽的大量占用，系统的使用对网内外的用户来说是透明的，不会有任何的影响。入侵检测系统的单独使用不能起到保护网络的作用，也不能独立地防止任何一种攻击。但它是整个网络安全系统的一个重要的组成部分，它所扮演的是网络安全系统中侦察与预警的角色，协助网络管理员发现并处理任何已知的入侵。可以说，它是对其他安全系统有力的补充，弥补了防火墙在高层上的不足。通过对入侵检测系统所发出

5、警报的处理，网络管理员可以有效地配置其他的安全产品，以使整个网络安全系统达到最佳的工作状态，尽可能降低因攻击而带来的损失。,2019/6/2,7,1.1 入侵检测与入侵检测系统,IDS是对计算机和网络系统资源上的恶意使用行为进行识别和响应的处理，它最早于1980年4月由James P. Anderson在为美国空军起草的技术报告Computer Security Threat Monitoring and Surveillance（计算机安全威胁监控与监视）中提出。他提出了一种对计算机系统风险和威胁的分类方法，将威胁分为外部渗透、内部渗透和不法行为；提出了利用审计跟踪数据，监视入侵活动的思想。

6、,2019/6/2,8,相关概念,“入侵”（Intrusion）是一个广义的概念，不仅包括发起攻击的人（包括黑客）取得超出合法权限的行为，也包括收集漏洞信息，造成拒绝访问（Denial of Service）等对系统造成危害的行为。 入侵检测（Intrusion Detection）就是对入侵行为的发觉。它通过对计算机网络等信息系统中若干关键点的有关信息的收集和分析，从中发现系统中是否存在有违反安全规则的行为和被攻击的迹象。,2019/6/2,9,入侵检测系统的概念,入侵检测系统IDS（Intrusion Detection System）指的是一种硬件或者软件系统，该系统对系统资源的非授权使

7、用能够做出及时的判断、记录和报警。 入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，被认为是防火墙后面的第二道安全防线。,2019/6/2,10,入侵检测系统的主要功能,具体说来，入侵检测系统的主要功能有： 监视并分析用户和系统的行为； 审计系统配置和漏洞； 评估敏感系统和数据的完整性； 识别攻击行为、对异常行为进行统计； 自动收集与系统相关的补丁； 审计、识别、跟踪违反安全法规的行为； 使用诱骗服务器记录黑客行为； ,2019/6/2,11,入侵检测系统的优点及其局限,1. 优点,采用入侵检测系统和漏洞评估工具带来的好处有如下一些： 提高了信息系统安全体

8、系其他部分的完整性； 提高了系统的监察能力； 可以跟踪用户从进入到退出的所有活动或影响； 能够识别并报告数据文件的改动； 可以发现系统配置的错误，并能在必要时予以改正； 可以识别特定类型的攻击，并进行报警，作出防御响应； 可以使管理人员最新的版本升级添加到程序中； 允许非专业人员从事系统安全工作； 可以为信息系统安全提供指导。,2019/6/2,12,2. 局限,但是，与其他任何工具一样，入侵检测也不是万能的，它们的使用存在如下局限： 在无人干预的情形下，无法执行对攻击的检测； 无法感知组织（公司）安全策略的内容； 不能弥补网络协议的漏洞； 不能弥补系统提供信息的质量或完整性问题； 不能分析网

9、络繁忙时的所有事物； 不能总是对数据包级的攻击进行处理； ,2019/6/2,13,入侵检测系统面临的挑战,一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报，而诱导没有警觉性的管理员人把入侵检测系统关掉。,2019/6/2,14,误报,没有一个入侵检测能无敌于误报，因为没有一个应用系统不会发生错误，原因主要有四个方面。 1、缺乏共享数据的机制 2、缺乏集中协调的机制 3、缺乏揣摩数据在一段时间内变化的能力 4、缺乏有效

10、的跟踪分析,2019/6/2,15,2 入侵检测系统的类型和性能比较,根据入侵检测的信息来源不同，可以将入侵检测系统分为两类： 基于主机的入侵检测系统和基于网络的入侵检测系统。 1、基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。,2019/6/2,16,2 入侵检测系统的类型和性能比较,2、基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，它监听

11、网络上的所有分组来采集数据，分析可疑现象。,2019/6/2,17,3 入侵检测的方法,目前入侵检测方法有三种分类依据： 1、根据物理位置进行分类。 2、根据建模方法进行分类。 3、根据时间分析进行分类。 常用的方法有三种：静态配置分析、异常性检测方法和基于行为的检测方法。,2019/6/2,18,静态配置分析,静态配置分析通过检查系统的配置，诸如系统文件的内容，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（比如，系统配置信息）。 采用静态分析方法的原因：入侵者对系统攻击时可能会留下痕迹，可通过检查系统的状态检测出来。,2019/6/2,19,异常性检测方法,异常性检测技术

12、是一种在不需要操作系统及其安全性缺陷的专门知识的情况下，就可以检测入侵者的方法，同时它也是检测冒充合法用户的入侵者的有效方法。但是。在许多环境中，为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。因为并不是所有入侵者的行为都能够产生明显的异常性，所以在入侵检测系统中，仅使用异常性检测技术不可能检测出所有的入侵行为。而且，有经验的入侵者还可以通过缓慢地改变他的行为，来改变入侵检测系统中的用户正常行为模式，使其入侵行为逐步变为合法，这样就可以避开使用异常性检测技术的入侵检测系统的检测。,2019/6/2,20,基于行为的检测方法,基于行为的检测方法通过检

13、测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则的行为，来检测系统中的入侵活动。 基于入侵行为的入侵检测技术的优势：如果检测器的入侵特征模式库中包含一个已知入侵行为的特征模式，就可以保证系统在受到这种入侵行为攻击时能够把它检测出来。但是，目前主要是从已知的入侵行为以及已知的系统缺陷来提取入侵行为的特征模式，加入到检测器入侵行为特征模式库中，来避免系统以后再遭受同样的入侵攻击。,2019/6/2,21,案例9-4 检测与端口关联的应用程序,网络入侵者都会连接到主机的某个非法端口，通过检查出与端口关联应用程序，可以进行入侵检测，这种方法属于静态配

14、置分析。 利用工具软件fport.exe可以检查与每一端口关联的应用程序，执行程序如图所示。,2019/6/2,22,案例 程序分析：检测与端口关联的应用程序,利用VC+6.0建立基于控制台的Win32应用程序，该程序需要一个外置的DLL文件“DBP2P.dll”，需要将该文件拷贝到工程目录下的Debug目录下。 该案例包含两个程序：proj5_5.cpp和dbp2p.h。其中proj5_5.cpp文件是主程序，dbp2p.h是动态连接库文件“DBP2P.dll”文件的头文件。,2019/6/2,23,4 入侵检测的步骤,入侵检测系统的作用是实时地监控计算机系统的活动，发现可疑的攻击行为，以避

15、免攻击的发生，或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤： 信息收集、数据分析和响应。,2019/6/2,24,信息收集,入侵检测的第一步就是信息收集，收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。 入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保采集、报告这些信息的软件工具的可靠性，这些软件本身应具有相当强的坚固性，能够防止被篡改而收集到错误的信息。否则，黑客对系统的修改可能使入侵检测系统功能失常但看起来却跟正常的系统一样。,2019/6/2,25,数据分析,数据分析（Analysis Schemes）是入侵检测系统的核心，它的效

16、率高低直接决定了整个入侵检测系统的性能。根据数据分析的不同方式可将入侵检测系统分为异常入侵检测与误用入侵检测两类：,2019/6/2,26,入侵检测系统的特征库,IDS要有效地捕捉入侵行为，必须拥有一贯强大的入侵特征（signature）数据库，这就如同公安部门必须拥有健全的罪犯信息库一样。 IDS中的特征就是指用于判别通讯信息种类的样板数据，通常分为多种，以下是一些典型情况及其识别方法：,2019/6/2,27,IDS中特征的典型情况及其识别方法：, 来自保留IP地址的连接企图：可通过检查IP报头（IP header）的来源地址识别。 带有非法TCP 标志联合物的数据包：可通过TCP 报头中

17、的标志集与已知正确和错误标记联合物的不同点来识别。 含有特殊病毒信息的Email：可通过对比每封Email的主题信息和病态Email的主题信息来识别，或者通过搜索特定名字的外延来识别。 查询负载中的DNS 缓冲区溢出企图：可通过解析DNS域及检查每个域的长度来识别。另外一个方法是在负载中搜索“壳代码利用”（exploit shellcode）的序列代码组合。,2019/6/2,28, 对POP3服务器大量发出同一命令而导致DoS攻击：通过跟踪记录某个命令连续发出的次数，看看是否超过了预设上限，而发出报警信息。 未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击：通过创建具备状态跟踪的特

18、征样板以监视成功登录的FTP对话，发现未经验证却发命令的入侵企图。,IDS中特征的典型情况及其识别方法：,2019/6/2,29,显然，特征的涵盖范围很广，有简单的报头域数值、有高度复杂的连接状态跟踪、有扩展的协议分析。 此外，不同的IDS产品具有的特征功能也有所差异。例如：有些网络IDS系统只允许很少地定制存在的特征数据或者编写需要的特征数据，另外一些则允许在很宽的范围内定制或编写特征数据，甚至可以是任意一个特征；一些IDS系统，只能检查确定的报头或负载数值，另外一些则可以获取任何信息包的任何位置的数据。,2019/6/2,30,响应,数据分析发现入侵迹象后，入侵检测系统的下一步工作就是响应

19、。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应。 1、将分析结果记录在日志文件中，并产生相应的报告。 2、触发警报：如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件等等。 3、修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等。,2019/6/2,31,5 入侵检测系统的实现,入侵检测系统的设置,网络安全需要各个安全设备的协同工作和正确设置。由于入侵检测系统位于网络体系中的高层，高层应用的多样性导致了入侵检测系统分析的复杂性和对计算资源的高需求。在这种情形下，对入侵检测设备进行合理的优化设置，可以使入侵检测系统更有效的

20、运行。 下图是入侵检测系统设置的基本过程。,可以看出，入侵检测系统的设置需要经过多次回溯，反复调整。,2019/6/2,32,2019/6/2,33,入侵检测系统的部署,入侵检测器是入侵检测系统的核心。入侵检测器部署的位置，直接影响入侵检测系统的工作性能。在规划一个入侵检测系统时，首先要考虑入侵检测器的部署位置。显然，在基于网络的入侵检测系统中和在基于主机的入侵检测系统中，部署的策略不同。,2019/6/2,34,在基于网络的入侵检测系统中部署入侵检测器,基于网络的入侵检测系统主要检测网络数据报文，因此一般将检测器部署在靠近防火墙的地方。具体做法有如下图所示的几个位置。,2019/6/2,35

21、,（1）DMZ区,在这里，可以检测到的攻击行为是：所有针对向外提供服务的服务器的攻击。由于DMZ中的服务器是外部可见的，因此在这里检测最为需要。同时，由于DMZ中的服务器有限，所以针对这些服务器的检测，可以使入侵检测器发挥最大优势。但是，在DNZ中，检测器会暴露在外部，而失去保护，遭受攻击，导致无法工作。,（2）内网主干（防火墙内侧）,将检测器放到防火墙的内侧，有如下几点好处： 检测器比放在DMZ中安全。 所检测到的都是已经渗透过防火墙的攻击行为。从中可以有效地发现防火墙配置的失误。 可以检测到内部可信用户的越权行为。 由于受干扰的机会少，报警几率也少。,2019/6/2,36,（3）外网入口

22、（防火墙外侧）,优势是： 可以对针对目标网络的攻击进行计数，并记录最为原始的数据包。 可以记录针对目标网络的攻击类型。 但是，不能定位攻击的源和目的地址，系统管理员在处理攻击行为上也有难度。,（4）在防火墙的内外都放置,这种位置可以检测到内部攻击，又可以检测到外部攻击，并且无需猜测攻击是否穿越防火墙。但是，开销较大。在经费充足的情况下是最理想的选择。,（5）关键子网,这个位置可以检测到对系统关键部位的攻击，将有限的资源用在最值得保护的地方，获得最大效益/投资比。,2019/6/2,37,2.在基于主机的入侵检测系统中部署入侵检测器,基于主机的入侵检测系统通常是一个程序。在基于网络的入侵检测器的部署和配置完成后，基于主机的入侵检测将部署在最重要、最需要保护的主机上。,2019/6/2,38,典型的分布式入侵检测系统部署图,