23入侵检测技术

《23入侵检测技术》由会员分享，可在线阅读，更多相关《23入侵检测技术（5页珍藏版）》请在金锄头文库上搜索。

1、课题名称：入侵检测技术课的类型：授新课教学目标：掌握入侵检测的有关概念，了解常用的入侵检测技术以及IDS的工作原理和组成。 教学重点：常用的入侵检测技术以及IDS的工作原理和组成教学难点：常用的入侵检测技术以及IDS的工作原理和组成课时安排：2课时教学方法：多媒体分析、讲解教学过程：一、入侵检测系统简介入侵(Intrusion)是个广义的概念，不仅包括被攻击者取得超出合法范围的系统控制权, 也包括收集漏洞信息，造成拒绝访问(DoS)等对计算机系统造成危害的行为。入侵检测(In trusion De tec tion)是对入侵行为的检测，即通过收集网络和系统中若干 关键点的信息并加以分析，从而发

2、现违反安全策略的行为和被攻击的迹象。入侵检测系统(Intrusion Detection Systems IDS)就是依照一定的安全策略，对 网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保 证网络系统资源的机密性、完整性和可用性的软件与硬件的组合。具体说来，一个合格的入 侵检测系统的主要功能包括：监测并分析用户和系统的活动；核查系统配置和漏洞；评估系统关键资源和数据文件的完整性；识别已知的攻击行为；统计分析异常行为；操作系统日志管理，识别违反安全策略的用户活动。IDS是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此, 对IDS的部署，唯

3、一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。因此, IDS在交换式网络中的位置一般选择在：服务器区域的交换机上；In ternet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。二、IDS名词解释1. Alerts （警报）：当一个入侵正在发生或者试图发生时，IDS将发布一个alert信息通知系 统管理员。2. Anomaly （异常）：一个基于anomaly的IDS会构造一个活动主机或网络的状态轮廓，当有 一个在这个轮廓以外的事件发生时，IDS就会告警。3. Appliance （IDS硬件）：包括要安装到现有系统上去的IDS软件和IDS硬件，只需将它们 接入

4、网络中就可以应用。4. Attacks （攻击）：试图渗透系统或绕过系统的安全策略，获取/修改信息以及破坏目标网 络或系统功能的行为。IDS能够检测出的攻击类型包括： DoS （Denial of Service attack，拒绝服务攻击）：DOS攻击不是通过黑客手段破坏 一个系统的安全，它只是通过洪流（flooding）耗尽系统资源，使系统拒绝向其用户提供服 务。 DDoS （Distributed Denial of Service，分布式拒绝服务攻击）：从多个分散的主机向 一个目标发动攻击，耗尽目标系统的资源，或者使其连接失效。 Smurf:攻击者使用一个伪装的目标主机源地址向smur

5、f放大器广播执行ping操作，然 后所有活动主机都会向该目标应答，从而中断目标主机的网络连接。 Trojans （特洛伊木马）：原本是指那些以合法程序的形式出现，其实包藏了恶意功能的 那些软件，多数以这种形式安装的恶意程序都是远程控制工具。5. Automated Response （自动响应）：除了对攻击发出警报，有些IDS还能自动抵御这些攻 击。6. CERT （Computer Emergency Response Team，计算机应急响应小组）： 由于 emergency 这 个词有些不够明确，因此许多组织都用Incident这个词来取代它，产生了新词Computer Incident

6、 Response Team （CIRT），即计算机事件反应团队。7. CIDF （ Common Int rusion Detect ion Framework -通用入侵检测框架）：CIDF 力图在某种 程度上将入侵检测标准化，开发一些协议和应用程序接口，以使入侵检测的研究项目之间能 够共享信息和资源，使入侵检测组件也能够在其它系统中复用。8. CVE （Common Vulnerabilities and Exposures，通用漏洞披露）：MITRE 创建了 CVE，将 漏洞名称进行标准化，参与的厂商也就顺理成章按照这个标准开发IDS产品。CVE的URL地址 是：http:/cve.m

7、itre.org/。9. Evasion （躲避）：成功地发动一次不被IDS检测到的攻击。10. Zero Day Exploit （零时间漏洞利用）：未被了解且仍在肆意横行的漏洞利用，也就是说 这种类型的漏洞利用当前还没有被网络安全界发现。11. False Negatives （漏报）：一个攻击事件未被IDS检测到或被分析人员认为是无害的12. False Positives （误报）：实际无害却被IDS检测为攻击的事件。13. Fragmen tat ion （分片）：如果一个信息包太大而无法装载，它就不得不被分成片断。分 片的依据是网络的MTU （Maximum Transmissio

8、n Units，最大传输单元）。14. Heuristics （启发）：在入侵检测中使用AI （artificial intelligence，人工智能）思 想，但真正应用AI技术对数据进行分析的IDS还很少。15. Honeypot （蜜罐）：一个包含漏洞的系统，没有重要任务需要完成，主要用来引诱攻击者 在蜜罐上浪费攻击时间，从而保护有价值的目标不受侵犯。16. Islanding （孤岛）：就是把网络从Internet上完全切断。17. Signatures （特征）：IDS的核心是攻击特征，它使IDS在事件发生时触发。三、IDS原理IDS是一个典型的“窥探设备”，它不跨接物理网段，无须转

9、发任何流量，只在网络上被 动地、无声息地收集它所关心的报文。IDS工作过程分为数据采集、数据处理及过滤、入侵分 析及检测、报告及响应阶段等四个阶段。1. 数据采集：负责收集目标系统提供的主机通讯数据包和系统使用等数据。2. 数据处理及过滤：是把采集到的数据转换为可以识别是否发生入侵的阶段。3. 分析及检测入侵：通过分析上一阶段提供的数据来判断是否发生入侵，一般通过特征 库匹配、基于统计分析和完整性分析进行分析。其中前两种方法用于实时的入侵检测， 而完整性分析则用于事后分析。4. 报告及响应：对上一个阶段中进行的判断做出响应，如果被判断为发生入侵，系统将 对其采取相应的响应措施，或者通知管理人员

10、发生入侵，以便于采取措施。四、IDS组成IETF (In terne t Engineering Task Force - In terne t 工程任务组)将一个入侵检测系 统分为四个组件：事件产生器(Event genera tors)；事件分析器(Event analyzers)；响应 单元(Response units )；事件数据库(Event databases )。1. 事件产生器：从整个系统环境中获得事件，并向系统的其他部分提供此事件。2. 事件分析器：对得到的事件数据进行分析，并提供分析结果。3. 响应单元：对分析结果作出作出反应的功能单元，可以作出切断连接、改变文件属性 等

11、强烈反应，也可以是简单的报警。4. 事件数据库：用于存放各种中间数据和最终数据，可以是复杂的数据库，也可以是简 单的文本文件。五、入侵检测技术IDS的核心功能就是对各种事件进行收集和分析，并从中发现违反安全策略的行为。入侵 检测技术主要分为基于标志(signature-based)和基于异常情况(anomaly-based)的检测。1. 基于标志的检测技术：预先定义违背安全策略的事件的特征，然后比较判别这些特征 是否在所收集到的数据中出现。2. 基于异常的检测技术：预先定义一组系统“正常”情况的数值，然后将系统运行时的 数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心

12、在于如 何定义和维护一个知识库。六、入侵检测工作过程IDS的工作过程主要包括信息收集和信息分析两部分。1 信息收集利用已知的高新技术，在网络系统的若干不同关键点收集正确可靠的系统、网络、数据、 用户活动的状态和行为。入侵检测应收集的信息一般来自以下三个方面(这里不含物理形式 的入侵信息)： 系统和网络日志文件。系统和网络日志文件中记录了各种行为类型，每种类型又包含 不同的信息，充分利用这些信息，可以发现成功的入侵或入侵企图。 非正常的目录和文件改变。目录和文件中非正常改变，特别是那些正常情况下限制访 问的，很可能就是入侵信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件， 同时为了隐藏

13、活动痕迹，都会尽力去替换系统程序或修改系统日志文件。 非正常的程序执行。每个在系统上执行的程序由一到多个进程来实现，一个进程出现 了不期望的行为时，极有可能表明黑客正在入侵你的系统。2 信息分析一般包括模式匹配、统计分析和完整性分析三种技术，其中前两种方法用于实时的入侵2006年 5 月15日检测，而完整性分析用于入侵的事后分析。 模式匹配：就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较， 从而发现违背安全策略的行为。这种方法的优点是只需收集相关的数据集合，显著减少系统 负担，且技术已相当成熟。 统计分析：先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，然后 统计正

14、常使用时的一些测量属性，测量属性的平均值将被用来与网络、系统的行为进行比较， 任何观察值在正常值范围之外时，就认为有入侵发生。这样做的优点是可检测到未知的入侵 和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。 完整性分析：利用强有力的加密机制关注系统文件或对象是否被更改，通常包括文件 和目录的内容及属性，它在发现加壳、木马化的应用程序方面特别有效。七、IDS存在的问题1.误/漏报率高IDS采用的特征检测、异常检测、状态检测、协议分析等检测方式都存在一定的缺陷。比 如异常检测通常采用统计方法来进行检测，而统计方法中的阈值难以有效确定，太小的值会 产生大量的误报，太大的值又

15、会产生大量的漏报。而协议分析的检测方式中，一般的IDS只 简单地处理了常用的如HTTP、FTP、SMTP等，其余大量的协议报文完全可能造成IDS漏报， 如果考虑支持尽量多的协议类型分析，网络的成本又将无法承受。2没有主动防御能力IDS技术采用了一种预设置式、特征分析式的工作原理，所以检测规则的更新总是落后于 攻击手段的更新。3. 缺乏准确定位和处理机制IDS仅能识别IP地址，无法定位IP地址，不能识别数据来源。IDS系统在发现攻击事件 的时候，只能关闭网络出口和服务器等少数端口，但这样关闭同时会影响其他正常用户的使 用。4性能普遍不足目前市场上的IDS产品大多采用的是特征检测技术，这种IDS产品已不能适应交换技术 和高带宽环境的发展，在大流量冲击、多IP分片情况下都可能造成IDS的瘫痪或丢包，形成 DoS攻击。八、IDS讨论入侵检测是一门综合性技术，作为一种积极主动的安全防护技术，它提供了对内部攻击、 外部攻击和误操作的实时保护功能，在网络系统受到危害之前拦截和响应入侵，既包括实时 检测技术，也有事后分析技术。尽管用户希望通过部署IDS来增强网络安全，但不同的用户 有不同的需求，加上攻击的不可预知性和多变性，单一的IDS产品无法做到面面俱到。目前市场上的入侵检测系统除了在技术上存在各自的不足之外，一般均存在误报率高和 检测速度慢的缺点。从技术上来讲，可以说入侵检测产品仍具有较大