《Ch08入侵检测技术教材课程》由会员分享,可在线阅读,更多相关《Ch08入侵检测技术教材课程(55页珍藏版)》请在金锄头文库上搜索。
1、网络与信息安全,Ch08 入侵检测技术,2,本章学习目的,掌握入侵检测系统的原理 掌握入侵检测系统的核心技术 了解入侵检测系统的作用 了解入侵检测技术的发展趋势 掌握入侵检测系统在网络安全中的地位 掌握评价入侵检测系统的性能指标,3,入侵检测系统概述,防火墙是所有保护网络的方法中最能普遍接受的方法,能阻挡外部入侵者,但对内部攻击无能为力;同时,防火墙绝对不是坚不可摧的,即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门,不提供对内部的保护,无法防范数据驱动型的攻击,不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。,入侵检测是防火墙的
2、合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。,5,入侵检测系统面临的挑战,一个有效的入侵检测系统应限制误报出现的次数,但同时又能有效截击。 误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。 误报是入侵检测系统最头疼的问题,攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报,而诱导没有警觉性的管理员人把入侵检测系统关掉。,6,入侵检测系统的概念,入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”(参见国标GB/T18
3、336)。 入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。,7,入侵检测系统的概念,入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。 进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,简称IDS)。 入侵检测系统IDS(Intrusion Detection System)指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。,8,相关术语,攻击 攻击者利用
4、工具,出于某种动机,对目标系统采取的行动,其后果是获取/破坏/篡改目标系统的数据或访问权限 事件 在攻击过程中发生的可以识别的行动或行动造成的后果;在入侵检测系统中,事件常常具有一系列属性和详细的描述信息可供用户查看。 CIDF 将入侵检测系统需要分析的数据统称为事件(event),9,入侵 对信息系统的非授权访问及(或)未经许可在信息系统中进行操作 入侵检测 对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程 入侵检测系统(IDS) 用于辅助进行入侵检测或者独立进行入侵检测的自动化工具,相关术语,10,入侵检测(Intrusion Detection)技术是一种动态的网络检测技术,主要
5、用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象,则应当做出适当的反应。 对于正在进行的网络攻击,则采取适当的方法来阻断攻击(与防火墙联动)。 对于已经发生的网络攻击,则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹,作为增强网络系统安全性和追究入侵者法律责任的依据。 它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。,入侵检测技术,11,入侵检测系统,入侵检测系统(IDS)由入侵检测的软件与硬件组合而成,被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下
6、能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护。 IDS执行以下任务来实现: 1)监视、分析用户及系统活动。 2)系统构造和弱点的审计。 3)识别反映已知进攻的活动模式并向相关人士报警。 4)异常行为模式的统计分析。 5)评估重要系统和数据文件的完整性。 6)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。,12,入侵的方法和手段,端口扫描与漏洞攻击 密码攻击 网络监听 拒绝服务攻击 缓冲区溢出攻击 欺骗攻击,13,入侵检测的发展历程,1980年,概念的诞生 19841986年,主机IDS 1990年,形成网络IDS 九十年代后至今,集成主机IDS和网络IDS,分布式入侵检
7、测系统DIDS,14,入侵检测的实现方式,入侵检测系统根据数据包来源的不同,采用不用的实现方式,一般地可分为网络型、主机型,也可是这两种类型的混合应用。,基于主机的入侵检测系统(HIDS) 基于网络的入侵检测系统(NIDS) 混合型入侵检测系统(Hybrid IDS),15,入侵检测的实现方式,1、主机IDS: 运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理。, 安装于被保护的主机中 主要分析主机内部活动 占用一定的系统资源,16,基于主机的入侵检测系统,基于主机的入侵检测系统:主要用于保护运行关键应用的服务器。它通过
8、监视与分析土机的审计记录和日志文件:来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。,17,主机IDS优势,(1) 精确地判断攻击行为是否成功。 (2) 监控主机上特定用户活动、系统运行情况 (3) 能够检测到NIDS无法检测的攻击 (4) 适用加密的和交换的环境。 (5) 不需要额外的硬件设备。,18,主机IDS的劣势,(1) 对被保护主机的影响。 (2) 安全性受到宿主操作系统的限制。 (3) 数据源受到审计系统限制。 (4) 被木马化的系统内核能够
9、骗过HIDS。 (5) 维护/升级不方便。,19,入侵检测的实现方式,2、网络IDS: 网络IDS是网络上的一个监听设备(或一个专用主机),通过监听网络上的所有报文,根据协议进行分析,并报告网络中的非法使用者信息。,安装在被保护的网段中 分析网段中所有的数据包 实时检测和响应,20,基于网络的入侵检测系统,基于网络的入侵检测系统:主要用于实时监控网络关键路径的信息,它监听网络上的所有分组来采集数据,分析可疑现象。,21,网络IDS工作模型,22,网络IDS优势,(1) 实时分析网络数据,检测网络系统的非法行为; (2) 网络IDS系统单独架设,不占用其它计算机系统的任何资源; (3) 网络ID
10、S系统是一个独立的网络设备,可以做到对黑客透明,因此其本身的安全性高; (4) 既可以用于实时监测系统,也是记录审计系统,可以做到实时保护,事后分析取证; (5) 通过与防火墙的联动,不但可以对攻击预警,还可以更有效地阻止非法入侵和破坏。 (6)不会增加网络中主机的负担。,23,网络IDS的劣势,(1)不适合交换环境和高速环境 (2)不能处理加密数据 (3) 资源及处理能力局限 (4) 系统相关的脆弱性,24,3、两种实现方式的比较: 1)如果攻击不经过网络则NIDS无法检测到,只能通过HIDS来检测; 2)基于NIDS通过检查所有的包头来进行检测,而HIDS并不查看包头。HIDS往往不能识别
11、基于IP的拒绝服务攻击和碎片攻击; 3)NIDS可以研究数据包的内容,查找特定攻击中使用的命令或语法,这类攻击可以被实时检查包序列的IDS迅速识别;而HIDS无法看到负载,因此也无法识别嵌入式的数据包攻击。,25,4、混合型入侵检测系统(Hybrid IDS) 在新一代的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来,提供集成化的攻击签名检测报告和事件关联功能。 可以深入地研究入侵事件入侵手段本身及被入侵目标的漏洞等。,26,入侵检测的方法,目前入侵检测方法有三种分类依据: 1、根据物理位置进行分类。 2、根据建模方法进行分类。 3、根据时间分析进行分类。 常用的方法有
12、三种:静态配置分析、异常性检测方法和基于行为的检测方法。,27,静态配置分析,静态配置分析通过检查系统的配置,诸如系统文件的内容,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(比如,系统配置信息)。 采用静态分析方法主要有以下几方面的原因:入侵者对系统攻击时可能会留下痕迹,可通过检查系统的状态检测出来。,28,利用fport检测与端口关联的应用程序,网络入侵者都会连接到主机的某个非法端口,通过检查出与端口关联应用程序,可以进行入侵检测,这种方法属于静态配置分析。 利用工具软件fport.exe检查与每一端口关联的应用程序,如图所示。,29,异常性检测方法,异常性检测技术是一
13、种在不需要操作系统及其安全性缺陷的专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法。但是。在许多环境中,为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。因为并不是所有入侵者的行为都能够产生明显的异常性,所以在入侵检测系统中,仅使用异常性检测技术不可能检测出所有的入侵行为。而且,有经验的入侵者还可以通过缓慢地改变他的行为,来改变入侵检测系统中的用户正常行为模式,使其入侵行为逐步变为合法,这样就可以避开使用异常性检测技术的入侵检测系统的检测。,30,基于行为的检测方法,基于行为的检测方法通过检测用户行为中的那些与某
14、些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则的行为,来检测系统中的入侵活动。 基于入侵行为的入侵检测技术的优势:如果检测器的入侵特征模式库中包含一个已知入侵行为的特征模式,就可以保证系统在受到这种入侵行为攻击时能够把它检测出来。但是,目前主要是从已知的入侵行为以及已知的系统缺陷来提取入侵行为的特征模式,加入到检测器入侵行为特征模式库中,来避免系统以后再遭受同样的入侵攻击。,31,入侵检测的步骤,入侵检测系统的作用是实时地监控计算机系统的活动,发现可疑的攻击行为,以避免攻击的发生,或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤: 信息收集 数据分析 响
15、应,32,信息收集,入侵检测的第一步就是信息收集,收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。 入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此,要确保采集、报告这些信息的软件工具的可靠性,这些软件本身应具有相当强的坚固性,能够防止被篡改而收集到错误的信息。否则,黑客对系统的修改可能使入侵检测系统功能失常但看起来却跟正常的系统一样。,33,数据分析,数据分析(Analysis Schemes)是入侵检测系统的核心,它的效率高低直接决定了整个入侵检测系统的性能。根据数据分析的不同方式可将入侵检测系统分为异常入侵检测与误用入侵检测两类:,34,响应,数据分
16、析发现入侵迹象后,入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应。 将分析结果记录在日志文件中,并产生相应的报告。 触发警报:如在系统管理员的桌面上产生一个告警标志位,向系统管理员发送传呼或电子邮件等等。 修改入侵检测系统或目标系统,如终止进程、切断攻击者的网络连接,或更改防火墙配置等。,35,入侵检测的一般过程,36,通用入侵检测系统,37,入侵检测系统的基本工作模式,从系统的不同环节收集信息 分析该信息,试图寻找入侵活动的特征 自动对检测到的行为作出响应 记录并报告检测过程的结果,38,入侵检测方法,特征检测 统计检测 操作模型 方差模型 多元模型 马尔可夫过程模型 时间序列分析模型 专家系统,39,入侵检测的分类,按系统分析的数据源分类 基于主机、基于网络、混合式 按体系结构分类 集中式、层次式、分布式 按分析方法分类 异常、误用(漏报率?,误报率? ) 按响应方式分类 主动的、被动的,40,CIDF模型(Common Intrusion Detection Framework,公共入侵检测框架 ) 事件产生器
