网络与信息安全第16章入侵检测

《网络与信息安全第16章入侵检测》由会员分享，可在线阅读，更多相关《网络与信息安全第16章入侵检测（24页珍藏版）》请在金锄头文库上搜索。

1、第16章 入侵检测,对付网络入侵，只有防火墙是不够的。防火墙只是试图抵挡网络入侵者，很难去发现入侵的企图和成功的入侵。这就需要一种新的技术入侵检测技术。入侵检测技术能发现网络入侵者的入侵行为和入侵企图，及时向用户发出警报，将入侵消灭在成功之前。,第16章 入侵检测,Network and Information Security,16.1 入侵检测系统概述,入侵检测系统的任务和作用是： (1)监视、分析用户及系统活动； (2)对系统弱点的审计； (3)识别和反应已知进攻的活动模式并向相关人士报警； (4)异常行为模式的统计分析； (5)评估重要系统和数据文件的完整性； (6)操作系统的审计跟踪

2、管理，识别用户违反安全策略的行为。,Network and Information Security,第16章 入侵检测,入侵检测系统有两个指标。一是漏报率，指攻击事件没有被IDS检测到，与其相对的是检出率；二是误报率，指把正常事件识别为攻击并报警。误报率与检出率成正比例关系。,Network and Information Security,第16章 入侵检测,16.2.1 入侵检测系统的CIDF模型,Network and Information Security,第16章 入侵检测,16.2 入侵检测系统结构,IETF的入侵检测系统模型,Network and Information S

3、ecurity,第16章 入侵检测,Denning的通用入侵检测系统模型,Network and Information Security,第16章 入侵检测,16.3.1 按数据来源的分类 由于入侵检测是个典型的数据处理过程，因而数据采集是其首当其冲的第一步。同时，针对不同的数据类型，所采用的分析机理也是不一样的。根据入侵检测系统输入数据的来源来看，它可分为：基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统。,Network and Information Security,第16章 入侵检测,16.3 入侵检测系统类型,1.基于主机的(Host-Based)入侵检测系统

4、基于主机的入侵检测系统(HIDS)通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名(Attack Signature，指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配，检测系统就向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件，并可对入侵事件作出立即反应。 它具有着明显的优点： (1) 能够确定攻击是否成功 (2) 非常适合于加密和交换环境 (3) 近实时的检测和响应 (4) 不需要额外的硬件 (5) 可监视特定的系统行为,Network and Information Security,第1

5、6章 入侵检测,2.基于网络的(Network-Based)入侵检测系统 以原始的网络数据包作为数据源。它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的。其攻击识别模块在进行攻击签名识别时常用的技术有： 模式、表达式或字节码的匹配； 频率或阈值的比较； 事件相关性处理； 异常统计检测。 一旦检测到攻击，IDS的响应模块通过通知、报警以及中断连接等方式来对攻击行为作出反应。,Network and Information Security,第16章 入侵检测,较之于基于主机的IDS，它有着自身明显的优势： (1) 攻击者转移证据更困难 (2) 实时检测和应答 (3) 能够检测

6、到未成功的攻击企图 (4) 操作系统无关性 (5) 较低的成本 当然，对于基于网络的IDS来讲，同样有着一定的不足：它只能监视通过本网段的活动，并且精确度较差；在交换网络环境中难于配置；防欺骗的能力比较差，对于加密环境它就更是无能为力了。,Network and Information Security,第16章 入侵检测,3.分布式的入侵检测系统 从以上对基于主机的IDS和基于网络的IDS的分析可以看出：这两者各自都有着自身独到的优势，而且在某些方面是很好的互补。如果采用这两者结合的入侵检测系统，那将是汲取了各自的长处，又弥补了各自的不足的一种优化设计方案。通常，这样的系统一般为分布式结构，

7、由多个部件组成，它能同时分析来自主机系统的审计数据及来自网络的数据通信流量信息。 分布式的IDS将是今后人们研究的重点，它是一种相对完善的体系结构，为日趋复杂的网络环境下的安全策略的实现提供了最佳的解决方案。,Network and Information Security,第16章 入侵检测,16.3.2 按分析技术的分类 从入侵检测的典型实现过程可以看出，数据分析是入侵检测系统的核心，它是关系到能否检测出入侵行为的关键。检出率是人们关注的焦点，不同的分析技术所体现的分析机制也是不一样的，从而对数据分析得到的结果当然也就大不相同，而且不同的分析技术对不同的数据环境的适用性也不一样。根据入侵检

8、测系统所采用的分析技术来看，它可以分为采用异常检测的入侵检测系统和采用误用检测的入侵检测系统。,Network and Information Security,第16章 入侵检测,1.异常检测(Anomaly Detection) 假定所有的入侵行为都是异常的，即入侵行为是异常行为的子集。原理是：首先建立系统或用户的“正常”行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵行为。,Network and Information Security,第16章 入侵检测,从异常检测的实现机理来看，异常检测所面临的关键问题有： (1) 特征量的选择 (2) 阈

9、值的选定 (3) 比较频率的选取 从异常检测的原理我们可以看出，该方法的技术难点在于：“正常”行为特征轮廓的确定；特征量的选取；特征轮廓的更新。由于这几个因素的制约，异常检测的误报率会很高，但对于未知的入侵行为的检测非常有效，同时它也是检测冒充合法用户的入侵行为的有效方法。,Network and Information Security,第16章 入侵检测,2.误用检测(Misuse Detection) 其基本前提是：假定所有可能的入侵行为都能被识别和表示。原理是：首先对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示，然后根据已经定义好的攻击签名，通过判

10、断这些攻击签名是否出现来判断入侵行为的发生与否。同样，误用检测也存在着影响检测性能的关键问题：攻击签名的恰当表示。,Network and Information Security,第16章 入侵检测,误用检测的主要局限性表现在： (1) 它只能根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，而面对新的入侵攻击行为以及那些利用系统中未知或潜在缺陷的越权行为则无能为力。也就是说，不能检测未知的入侵行为。 (2) 与系统的相关性很强，即检测系统知识库中的入侵攻击知识与系统的运行环境有关。对于不同的操作系统，由于其实现机制不同，对其攻击的方法也不尽相同，因而很难定义出统一的模式库。 (3)

11、 对于系统内部攻击者的越权行为，由于他们没有利用系统的缺陷，因而很难检测出来。,Network and Information Security,第16章 入侵检测,3.采用两种技术混合的入侵检测 入侵检测的两种最常用技术在实现机理、处理机制上存在明显的不同，而且各自都有着自身无法逾越的障碍，使得各自都有着某种不足。但是采用这两种技术混合的方案，将是一种理想的选择，这样可以做到优势互补。,Network and Information Security,第16章 入侵检测,16.3.3 其它的分类 除了上述对入侵检测系统的基本分类外，还有其它不同形式的分类方法，如按照入侵检测系统的响应方式来划

12、分，可分为主动的入侵检测系统和被动的入侵检测系统。主动的入侵检测系统对检测到的入侵行为进行主动响应、处理，而被动的入侵检测系统则对检测到的入侵行为仅进行报警。,Network and Information Security,第16章 入侵检测,经典的入侵检测技术都需要大量或者是完备的审计数据集才能达到比较理想的检测性能，因此计算量大，并且学习时间较长。协议分析技术能有效避免这些方法中的缺点，协议分析技术结合高速数据包捕捉、命令解析等技术来进行入侵检测，提高了入侵检测的速度和性能。 16.4.1 基于协议分析的检测方法 基于协议分析的检测方法就是根据网络数据包封装结构的有序性，快速检测出各层协

13、议中可能的攻击特征。,Network and Information Security,16.4 基于协议分析的入侵检测技术,第16章 入侵检测,TCP/IP协议是一组不同层次上多个协议的组合，每一层上的协议分别负责不同的通信功能。下层协议为上层协议的实现提供服务。只有下层协议的特征得到满足才考虑上层协议的特征。因此，从分类上来说下层协议可以看成是上层协议数据包的大类。在TCP/IP协议实现时，上层协议的一些细节可以在下层协议的实现中得到体现。,Network and Information Security,第16章 入侵检测,传统的检测方法是入侵检测系统在网络数据包里检查某个攻击特征存在性

14、的一种技术，它认为数据包都是无序的，只是被动的执行匹配，因此具有计算量大、准确率低的缺陷。而实际上网络数据包不是一个随机变换的字节流，而是一组高度规则的数据，数据包中的字节符合一套广泛而详细的规则。协议分析的方法就是利用网络协议的有序性，快速检测出各个攻击特征的存在。协议分析方法的功能是辨别数据包的协议类型，以便使用相应的检测函数来检测数据包，并根据协议首部相应的字段确定上层协议，直至完成应用层协议的解析。,Network and Information Security,第16章 入侵检测,16.4.2 协议分析树 网络数据包是一组高度规则的数据，数据包中的字节符合一套广泛而详细的规则。基于

15、此原理，可以把所有的协议构成一棵协议树，一个特定的协议是树结构中的一个节点。,Network and Information Security,第16章 入侵检测,构建带权重协议分析树 树的节点数据结构中应包含该协议的特征、协议名称、协议代号、协议权重、下层协议代号、协议对应的检测函数链表。 根据日志记录中各种协议受到攻击次数的统计，可以预测以后可能发生的入侵。因此可以给协议分析树的节点赋权重，表示基于该节点协议入侵的可能性，取值范围为V=0（最不可能）,0.1,0.2,.,1（最可能）。当进行分析时，权大的协议要尽可能的启动所有检测函数，权小的协议可以只启动必要的检测函数。,Network

16、and Information Security,第16章 入侵检测,16.5 几种商用入侵检测系统,16.5.1 ISS BlackICE BlackICE Server Protection 软件（以下简称BlackICE）是由ISS安全公司出品的一款著名的基于主机的入侵检测系统。 16.5.2 ISS RealSecure RealSecure是一种领导市场的攻击检测方案，它提供了分布式的安全体系结构。多个检测引擎可以监控不同的网络并向中央管理控制台报告。 16.5.3 Dragon入侵检测系统 Dragon的特色：Dragon为探测整个IT基础设施中的滥用和各种攻击提供了一个集成的解决方案。通过把网络上探测到的事件同主机、防火墙和应用系统上探测到的事件结合起来，Dragon为大企业和小企业都提供了完整的入侵检测解决方案。,Network and Information Security,第16章 入侵检测,