《计算机网络安全第13章 入侵检测课件》由会员分享,可在线阅读,更多相关《计算机网络安全第13章 入侵检测课件(110页珍藏版)》请在金锄头文库上搜索。
1、第13章 入侵检测,13.1 入侵检测概述 13.2 入侵检测系统分类 13.3 入侵检测系统的分析方式 13.4 入侵检测系统的设置 13.5 入侵检测系统的部署,13.6 入侵检测系统的有点与局限性 13.7 本章小结 习题,入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。入侵检测系统的英文缩写是IDS(Intrusion Detection System),它使用入侵检测技术对网络与其上的系统进行监视,并根据监视结果进行不同的安全动作,最大限度地降低可能的入侵危害。,13.1 入侵检测系统概述
2、 13.1.1 入侵检测的概念,简单地说,入侵检测系统是这样工作的:若有一个计算机系统,它与网络连接着,或许也同Internet连接,由于一些原因,允许网络上的授权用户访问该计算机。例如,有一个连接着Internet的Web服务器,允许一定的客户、员工和一些潜在的客户访问存放在该Web服务器上的Web页面。然而,不希望其他员工、顾客或未知的第三方的未授权访问。一般情况下,可以采用一个防火墙或者一些类型的认证系统阻止未授权访问。然而,有时简单的防火墙措施或者认证系统可能被攻破。入侵检测是一系列在适当的位置上对计算机未授权访问进行警告的机制。对于假冒身份的入侵者,入侵检测系统也能采取一些措施来拒绝
3、其访问。,入侵检测系统基本上不具有访问控制的能力,它就像是一个有着多年经验、熟悉各种入侵方式的网络侦察员,通过对数据包流的分析,可以从数据流中过滤出可疑数据包,通过与已知的入侵方式进行比较,确定入侵是否发生以及入侵的类型并进行报警。网络管理员可以根据这些报警确切地知道所受到的攻击并采取相应的措施。可以说,入侵检测系统是网络管理员经验积累的一种体现,它极大地减轻了网络管理员的负担,降低了对网络管理员的技术要求,提高了网络安全管理的效率和准确性。,目前,大部分网络攻击在攻击前有资料搜集的过程,例如,基于特定系统的漏洞攻击,在攻击之前需要进行端口扫描,以确认系统的类型以及漏洞相关的端口是否开启。某些
4、攻击在初期就可以表现出较为明显的特征,例如,假冒有效用户登录,在攻击初期的登录尝试具有明显的特征。对于这两类攻击,入侵检测系统可以在攻击的前期准备时期或是在攻击刚刚开始的时候进行确认并发出警报。同时入侵检测系统可以对报警的信息进行记录,为以后的一系列实际行动提供证据支持。这就是入侵检测系统的预警功能。,入侵检测一般采用旁路侦听的机制,因此不会产生对网络带宽的大量占用,系统的使用对网内外的用户来说是透明的,不会有任何的影响。入侵检测系统的单独使用不能起到保护网络的作用,也不能独立地防止任何一种攻击。但它是整个网络安全系统的一个重要的组成部分,它所扮演的是网络安全系统中侦察与预警的角色,协助网络管
5、理员发现并处理任何已知的入侵。可以说,它是对其他安全系统有力的补充,弥补了防火墙在高层上的不足。通过对入侵检测系统所发出警报的处理,网络管理员可以有效地配置其他的安全产品,以使整个网络安全系统达到最佳的工作状态,尽可能降低因攻击而带来的损失。,CIDF(Common Intrusion Detection Framework,网址http:/www.gidos.org/)阐述了一个入侵检测系统的通用模型。如图13.1所示。CIDF将入侵检测系统需要分析的数据统称为事件(event),事件可以是网络中的数据包,也可以是从系统日志等其他途径得到的信息。它将入侵检测系统分为以下组件。,13.1.2
6、入侵检测系统的基本结构,图13.1 CIDF模型,(1) 事件产生器 事件产生器采集和监视被保护系统的数据,这些数据可以是网络的数据包,也可以是从系统日志等其他途径搜集到的信息。并且将这个数据进行保存,一般是保存到数据库中。 (2) 事件分析器 事件分析器的功能主要分为两个方面:一是用于分析事件产生器搜集到的数据,区分数据的正确性,发现非法的或者具有潜在危险的、异常的数据现象,通知响应单元做出入侵防范;一是对数据库保存的数据做定期的统计分析,发现某段时期内的异常表现,进而对该时期内的异常数据进行详细分析。,(3) 响应单元 响应单元是协同事件分析器工作的重要组成部分,一旦事件分析器发现具有入侵
7、企图的异常数据,响应单元就要发挥作用,对具有入侵企图的攻击施以拦截、阻断、反追踪等手段,保护被保护系统免受攻击和破坏。 (4) 事件数据库 事件数据库记录事件分析单元提供的分析结果,同时记录下所有来自于事件产生器的事件,用来进行以后的分析与检查。,根据入侵检测系统的检测对象和工作方式的不同,入侵检测系统主要分为两大类:基于主机的入侵检测系统和基于网络的入侵检测系统。除此之外,还有基于内核的高性能入侵检测系统和两大类相结合的入侵检测系统,这些类别是两个主要类别的引申和综合。,13.2 入侵检测系统概分类,基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害,需要安装在被保护的主机上。这一
8、类入侵检测系统直接与操作系统相关,它控制文件系统以及重要的系统文件,确保操作系统不会被随意地删改。该类入侵检测系统能够及时发现操作系统所受到的侵害,并且由于它保存一定的校验信息和所有系统文件的变更记录,所以在一定程度上还可以实现安全恢复机制。 按照检测对象的不同,基于主机的入侵检测系统可以分为两类:网络连接检测和主机文件检测。,13.2.1 基于主机的入侵检测系统,1.网络连接检测 网络连接检测是对试图进入该主机的数据流进行检测,分析确定是否有入侵行为,避免或减少这些数据流进入主机系统后造成损害。 网络连接检测可以有效地检测出是否存在攻击探测行为,攻击探测几乎是所有攻击行为的前奏。系统管理员可
9、以设置好访问控制表,其中包括容易受到攻击探测的网络服务,并且为它们设置好访问权限。如果入侵检测系统发现有对未开放的服务端口进行网络连接,说明有人在寻找系统漏洞,这些探测行为就会被入侵检测系统记录下来,同时这种未经授权的连接也被拒绝。,2.主机文件检测 通常入侵行为会在主机的各种相关文件中留下痕迹,主机文件检测能够帮助系统管理员发现入侵行为或入侵企图,及时采取补救措施。 主机文件检测的检测对象主要包括以下几种: (1) 系统日志 系统日志文件中记录了各种类型的信息,包括各用户的行为记录。如果日志文件中存在着异常的记录,就可以认为已经或正在发生网络入侵行为。这些异常包括不正常的反复登录失败记录、未
10、授权用户越权访问重要文件、非正常登录行为等。,(2) 文件系统 恶意的网络攻击者会修改网络主机上包含重要信息的各种数据文件,他们可能会删除或者替换某些文件,或者尽量修改各种日志记录来销毁他们的攻击行为可能留下的痕迹。如果入侵检测系统发现文件系统发生了异常的改变,例如一些受限访问的目录或文件被非正常地创建、修改或删除,就可以怀疑发生了网络入侵行为。,(3) 进程记录 主机系统中运行着各种不同的应用程序,包括各种服务程序。每个执行中的程序都包含了一个或多个进程。每个进程都存在于特定的系统环境中,能够访问有限的系统资源、数据文件等,或者与特定的进程进行通信。黑客可能将程序的进程分解,致使程序中止,或
11、者令程序执行违背系统用户意图的操作。如果入侵检测系统发现某个进程存在着异常的行为,就可以怀疑有网络入侵。,Tripwire就是一种基于主机文件的入侵检测系统,它为主机系统的一些关键文件建立一个高效的校验和,并且根据文件的正常变化进行维护。通过将这些校验和与实际文件进行比较,来检测是否存在对文件及其属性的异常修改,从而发现网络入侵行为,并且能够在一定程度上恢复修改前的系统文件。 基于主机的入侵检测系统具有以下优点:,检测准确度较高; 可以检测到没有明显行为特征的入侵; 能够对不同的操作系统进行有针对性的检测; 成本较低; 不会因网络流量影响性能; 适于加密和交换环境。,基于主机的入侵检测系统具有
12、以下不足: 实时性较差; 无法检测数据包的全部; 检测效果取决于日志系统; 占用主机资源; 隐蔽性较差; 如果入侵者能够修改校验和,这种入侵检测系统将无法起到预期的作用。,基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上,它使用原始的网络分组数据包作为进行攻击分析的数据源,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击,入侵检测系统应答模块通过通知、报警以及中断连接等方式来对攻击做出反应。,13.2.2 基于网络的入侵检测系统,基于网络的入侵检测可以侦听某一个IP,保护特定服务器的安全,也可以侦听整个网段。为了能够对整个网段进行侦听,系统会将
13、本身的网卡设置为混杂模式以接收网段内的所有数据包。通常系统会使用位于网络层和传输层的网络侦听底层实现对网络的侦听。它们的主要任务就是获取其所见到的所有包并传给上一层。,获取包的主要目的是要对它进行处理以获得需要的信息。最常用的处理是数据包的流量统计以及数据包的归类分析。以前,系统管理员可以通过对数据包的分析,了解到系统是否存在被攻击的情况或是否存在非法的访问。这项工作如果单纯由网络管理员来做,就会耗费大量的时间,同时也对网络管理员提出了更高的要求。使用入侵检测系统可以较好地解决这个问题。通过多年的总结,人们发现大多数的入侵都有一定的特征。只要在数据包记录中发现这种有特征的行为,就可以在一定程度
14、上断定发生了或即将发生入侵。,入侵检测系统就是通过将实际的数据流量记录与入侵模式库中的入侵模式进行匹配,寻找可能的攻击特征。如果是正常数据包,则允许通过或留待进一步分析;如果是不安全的数据包,则可以进行阻断网络连接等操作,在这种情况下,还可以重新配置防火墙以阻断相应的网络连接,共同保护主机的安全。,1.包嗅探器和网络监视器 最初设计包嗅探器和网络监视器的目的是帮助监视以太网络的通信。最早有两种产品:Novell LANalyser和Network Monitor。这些产品抓获所有网络上能够看到的包。一旦抓获了这些数据包,就可以进行以下工作: (1) 对包进行统计。统计通过的数据包,并统计该时期
15、内通过的数据包的总的大小(包括总的开销,例如包的报头),就可以很好地知道网络的负载状况。LANalyser和Network Monitor都提供了网络相关负载的图形化或图表表现形式。,(2) 详细地检查包。例如,可以抓获一系列到达Web服务器的数据包来诊断服务器的问题。 近年来,包嗅探产品已经成了独立的产品。程序(例如Ethereal和Network Monitor的最新版本)可以对内部各种类型的包进行拆分,从而可以知道包内部发生了什么类型的通信。 这些工具同时也能用来进行破坏活动。例如,通过嗅探连接到一台机器的Telnet包,包嗅探器能够用来发现一些人的UNIX密码。一个攻击者一旦危害网络,
16、他们要做的第一件事就是安装一些包嗅探器。,2.包嗅探器和混杂模式 所有的包嗅探器都要求网络接口运行在混杂模式下。只有运行在混杂模式下,包嗅探器才能接收通过网络接口卡的每个包。在安装包嗅探器的机器上运行包嗅探器通常需要管理员的权限,这样,网卡的硬件才能被设置为混杂模式。 另外需要考虑的一点是包嗅探器在交换机上的使用,在一个网络中,它比集线器使用得更多。注意,在交换机的一个接口上收到的数据包不总是被送向交换机的其他接口。由于这种原因,包嗅探器在交换网络环境下通常不能正常工作。,3.基于网络的入侵检测 从安全的观点来看,包嗅探器所带来的好处很少。抓获网络上的每个数据包,拆分该包,根据包的内容手工采取相应的反应,太浪费时间了,尤其是对于那些天天在外进行网络培训的人员而言,从大量积累数据中获取有价值的信息非常困难。,ISS RealSecure Engine和Network Flight Recorder是基于网络入侵检测的两种类型软件包。RealSecure Engine能够执行的入侵检测是检查通过网络的数据包。对于合法的数据包,允许它们通过(为了今后的分析,也可以对它们进行记录)。当一个数
