《入侵检测与防御技术》由会员分享,可在线阅读,更多相关《入侵检测与防御技术(28页珍藏版)》请在金锄头文库上搜索。
1、计算机网络与信息安全技术教学课件 V08.081入侵检测与防御技术入侵检测与防御技术第第 9 章章2基本内容u防火墙是网络系统的第一道安全闸门,但一般网络系统必须对外开放一些应用端口,如80、110等,这时防火墙的不足就会充分体现出来。为此我们必须借助更深入的防护技术来实施保护,本章介绍其中的一种方法,即入侵检测技术。 39.1 9.1 入侵入侵检测系系统概述概述 防火墙是所有保护网络的方法中最能普遍接受的方法,能阻挡防火墙是所有保护网络的方法中最能普遍接受的方法,能阻挡外部入侵者,但对内部攻击无能为力;同时,防火墙绝对不是坚不外部入侵者,但对内部攻击无能为力;同时,防火墙绝对不是坚不可摧的,
2、即使是某些防火墙本身也会引起一些安全问题。防火墙不可摧的,即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门,不提供对内部的保护,无法防范数据驱动能防止通向站点的后门,不提供对内部的保护,无法防范数据驱动型的攻击,不能防止用户由型的攻击,不能防止用户由InternetInternet上下载被病毒感染的计算机程上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。序或将该类程序附在电子邮件上传输。 入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力展了系统管理员的安全管理能力( (包括
3、安全审计、监视、进攻识别包括安全审计、监视、进攻识别和响应和响应) ),提高了信息安全基础结构的完整性。,提高了信息安全基础结构的完整性。 49.1 9.1 入侵入侵检测系系统概述概述9.1.1 9.1.1 相关术语相关术语攻击攻击攻击者利用工具,出于某种动机,对目标系统采取的行动,攻击者利用工具,出于某种动机,对目标系统采取的行动,其后果是获取其后果是获取/破坏破坏/篡改目标系统的数据或访问权限篡改目标系统的数据或访问权限事件事件在攻击过程中发生的可以识别的行动或行动造成的后果;在在攻击过程中发生的可以识别的行动或行动造成的后果;在入侵检测系统中,事件常常具有一系列属性和详细的描述信入侵检测
4、系统中,事件常常具有一系列属性和详细的描述信息可供用户查看。息可供用户查看。 CIDF 将入侵检测系统需要分析的数据统称为事件(将入侵检测系统需要分析的数据统称为事件(event)5入侵入侵对信息系统的非授权访问及(或)未经许可在信息系统中进对信息系统的非授权访问及(或)未经许可在信息系统中进行操作行操作入侵检测入侵检测对企图入侵、正在进行的入侵或已经发生的入侵进行识别的对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程过程入侵检测系统(入侵检测系统(IDS)用于辅助进行入侵检测或者独立进行入侵检测的自动化工具用于辅助进行入侵检测或者独立进行入侵检测的自动化工具9.1 9.1 入侵入侵检
5、测系系统概述概述9.1.1 9.1.1 相关术语相关术语6 入侵检测(入侵检测(Intrusion DetectionIntrusion Detection)技术是一种动态的网)技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。为,包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象,则应当做出适当的反应。对于正在进一旦发现网络入侵现象,则应当做出适当的反应。对于正在进行的网络攻击,则采取适当的方法来阻断攻击(与防火墙联动)行的网络攻击,则采取
6、适当的方法来阻断攻击(与防火墙联动),以减少系统损失。对于已经发生的网络攻击,则应通过分析,以减少系统损失。对于已经发生的网络攻击,则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹,作为增强网络日志记录找到发生攻击的原因和入侵者的踪迹,作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。否有违反安全策略的行为和遭到袭击的迹象。 9.1 9.1 入侵入侵检测系系统概述概述9.1.
7、2 9.1.2 入侵检测入侵检测79.1 9.1 入侵入侵检测系系统概述概述入侵检测系统入侵检测系统 入入侵侵检检测测系系统统(IDSIDS)由由入入侵侵检检测测的的软软件件与与硬硬件件组组合合而而成成,被被认认为为是是防防火火墙墙之之后后的的第第二二道道安安全全闸闸门门,在在不不影影响响网网络络性性能能的的情情况况下下能能对对网网络络进进行行监监测测,提提供供对对内内部部攻攻击击、外外部部攻攻击和误操作的实时保护。这些都通过它执行以下任务来实现:击和误操作的实时保护。这些都通过它执行以下任务来实现: 1 1)监视、分析用户及系统活动。)监视、分析用户及系统活动。 2 2)系统构造和弱点的审计
8、。)系统构造和弱点的审计。 3 3)识别反映已知进攻的活动模式并向相关人士报警。)识别反映已知进攻的活动模式并向相关人士报警。 4 4)异常行为模式的统计分析。)异常行为模式的统计分析。 5 5)评估重要系统和数据文件的完整性。)评估重要系统和数据文件的完整性。 6 6)操作系统的审计跟踪管理,并识别用户违反安全策)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。略的行为。 89.1 9.1 入侵入侵检测系系统概述概述9.1.3 9.1.3 入侵检测系统的作用入侵检测系统的作用监控网络和系统监控网络和系统发现入侵企图或异常现象发现入侵企图或异常现象实时报警实时报警主动响应主动响应审计跟踪
9、审计跟踪 形象地说,它就是网络摄像机,能够捕获并记录网络上的所有数据,形象地说,它就是网络摄像机,能够捕获并记录网络上的所有数据,同时它也是智能摄像机,能够分析网络数据并提炼出可疑的、异常的网同时它也是智能摄像机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是络数据,它还是X光摄像机,能够穿透一些巧妙的伪装,抓住实际的内光摄像机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄像机,还包括保安员的摄像机容。它还不仅仅只是摄像机,还包括保安员的摄像机.99.1 9.1 入侵入侵检测系系统概述概述9.1.4 9.1.4 入侵检测的发展历程入侵检测的发展历程 19801980年,年,
10、概念的诞生概念的诞生1984198419861986年,模型的发展年,模型的发展 19901990年,形成网络年,形成网络IDSIDS和主机和主机IDSIDS两大阵营两大阵营九十年代后至今,九十年代后至今,百家争鸣百家争鸣、繁荣昌盛、繁荣昌盛109.2 9.2 入侵入侵检测的原理与技的原理与技术 9.2.1 9.2.1 入侵检测的实现方式入侵检测的实现方式 入侵检测系统根据数据包来源的不同,采用不用的实入侵检测系统根据数据包来源的不同,采用不用的实现方式,一般地可分为网络型、主机型,也可是这两种类现方式,一般地可分为网络型、主机型,也可是这两种类型的混合应用。型的混合应用。基于网络的入侵检测系
11、统(基于网络的入侵检测系统(NIDSNIDS)基于主机的入侵检测系统(基于主机的入侵检测系统(HIDSHIDS)混合型入侵检测系统(混合型入侵检测系统(Hybrid IDSHybrid IDS)119.2 9.2 入侵入侵检测的原理与技的原理与技术 图图9-1 9-1 网络网络IDSIDS工作模型工作模型 129.2 9.2 入侵入侵检测的原理与技的原理与技术 9.2.2 IDS9.2.2 IDS的基本的基本结构构 无论无论IDSIDS系统是网络型的还是主机型的,从功能上看,都可系统是网络型的还是主机型的,从功能上看,都可分为两大部分:探测引擎和控制中心。前者用于读取原始数据和分为两大部分:探
12、测引擎和控制中心。前者用于读取原始数据和产生事件;后者用于显示和分析事件以及策略定制等工作。产生事件;后者用于显示和分析事件以及策略定制等工作。 139.2 9.2 入侵入侵检测的原理与技的原理与技术 9.2.2 IDS9.2.2 IDS的基本的基本结构构 引擎的工作流程引擎的工作流程 引擎的主要功能引擎的主要功能为:原始数据读取、为:原始数据读取、数据分析、产生事件、数据分析、产生事件、策略匹配、事件处理、策略匹配、事件处理、通信等功能通信等功能 149.2 9.2 入侵入侵检测的原理与技的原理与技术 9.2.2 IDS9.2.2 IDS的基本的基本结构构 控制中心的工作流程控制中心的工作流
13、程 控制中心的主要功能为:通信、事件读取、事件显示、策控制中心的主要功能为:通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。略定制、日志分析、系统帮助等。159.2 9.2 入侵入侵检测的原理与技的原理与技术 9.2.3 IDS9.2.3 IDS采用的技采用的技术 入侵检测主要通过专家系统、模式匹配、协议分析入侵检测主要通过专家系统、模式匹配、协议分析或状态转换等方法来确定入侵行为。入侵检测技术有:或状态转换等方法来确定入侵行为。入侵检测技术有:静态配置分析技术静态配置分析技术异常检测技术异常检测技术误用检测技术误用检测技术 1 1静态配置分析技术静态配置分析技术 静态配置分析是通过
14、检查系统的当前系统配置,诸静态配置分析是通过检查系统的当前系统配置,诸如系统文件的内容或系统表,来检查系统是否已经或者如系统文件的内容或系统表,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征可能会遭到破坏。静态是指检查系统的静态特征( (系统配系统配置信息置信息) ),而不是系统中的活动。,而不是系统中的活动。 169.2 9.2 入侵入侵检测的原理与技的原理与技术 9.2.3 IDS9.2.3 IDS采用的技采用的技术 2 2、异常、异常检测技技术 通通过对系系统审计数据的分析建立起系数据的分析建立起系统主体主体( (单个用个用户、一一组用用户、主机,甚至是系、主机,甚至是
15、系统中的某个关中的某个关键的程序和文件等的程序和文件等) )的正常行的正常行为特征特征轮廓;廓;检测时,如果系,如果系统中的中的审计数据与已建数据与已建立的主体的正常行立的主体的正常行为特征有特征有较大出入就大出入就认为是一个入侵行是一个入侵行为。这一检测方法称这一检测方法称“异常检测技术异常检测技术”。 一般一般采用采用统计或基于或基于规则描述的方法建立系描述的方法建立系统主体的行主体的行为特征特征轮廓廓,即,即统计性特征性特征轮廓廓和和基于基于规则描述的特征描述的特征轮廓。廓。179.2 9.2 入侵入侵检测的原理与技的原理与技术 9.2.3 IDS9.2.3 IDS采用的技采用的技术 3
16、 3误用用检测技技术 误用用检测技技术(Misuse Detection)(Misuse Detection)通通过检测用用户行行为中的中的那些与某些已知的入侵行那些与某些已知的入侵行为模式模式类似的行似的行为或那些利用系或那些利用系统中中缺陷或是缺陷或是间接地接地违背系背系统安全安全规则的行的行为,来,来检测系系统中的入中的入侵活侵活动,是一种基于已有的知,是一种基于已有的知识的的检测。 这种种入入侵侵检测技技术的的主主要要局局限限在在于于它它只只是是根根据据已已知知的的入入侵侵序序列列和和系系统缺缺陷陷的的模模式式来来检测系系统中中的的可可疑疑行行为,而而不不能能处理理对新的入侵攻新的入侵
17、攻击行行为以及未知的、潜在的系以及未知的、潜在的系统缺陷的缺陷的检测。189.3 9.3 入侵入侵检测系系统的性的性能指标能指标 1 1系系统结构构好的好的IDSIDS应能采用分级、远距离分式部署和管理。应能采用分级、远距离分式部署和管理。199.3 9.3 入侵入侵检测系系统的性的性能指标能指标 2 2事件数量事件数量 考察考察IDSIDS系系统的一个关的一个关键性指性指标是是报警事件的多少。警事件的多少。一般而言,事件越多,表明一般而言,事件越多,表明IDSIDS系系统能能够处理的能力越理的能力越强强。 3 3处理理带宽 IDSIDS的的处理理带宽,即,即IDSIDS能能够处理的网理的网络
18、流量,是流量,是IDSIDS的一个重要性能。目前的网的一个重要性能。目前的网络IDSIDS系系统一般能一般能够处理理202030M30M网网络流量,流量,经过专门定制的系定制的系统可以勉可以勉强强处理理404060M60M的流量。的流量。 209.3 9.3 入侵入侵检测系系统的性的性能指标能指标 4 4探测引擎与控制中心的探测引擎与控制中心的通信通信 作作为分布式分布式结构的构的IDSIDS系系统,通信是其自身安全的,通信是其自身安全的关关键因素。通信安全通因素。通信安全通过身份身份认证和数据加密两种方法和数据加密两种方法来来实现。 身份身份认证是要保是要保证一个引擎,或者子控制中心只能一个
19、引擎,或者子控制中心只能由固定的上由固定的上级进行控制,任何非法的控制行行控制,任何非法的控制行为将予以阻将予以阻止止。身份身份认证采用非采用非对称加密算法,通称加密算法,通过拥有有对方的公方的公钥,进行加密、解密完成身份行加密、解密完成身份认证。219.3 9.3 入侵入侵检测系系统的性的性能指标能指标 5 5事件定事件定义 事件的可定事件的可定义性或可定性或可定义事件是事件是IDSIDS的一个主要特性。的一个主要特性。 6 6二次事件二次事件 对事件事件进行行实时统计分析,并分析,并产生新的高生新的高级事件能力事件能力。 7 7事件响事件响应 通过事件上报、通过事件上报、事件日志事件日志、
20、EmailEmail通知通知、手机短信息手机短信息、语音音报警警等方式进行响应。等方式进行响应。 还可通过还可通过TCPTCP阻断、防火墙联动等方式主动响应。阻断、防火墙联动等方式主动响应。229.3 9.3 入侵入侵检测系系统的性的性能指标能指标 8 8自身安全自身安全 自身安全指的是探自身安全指的是探测引擎的安全性。引擎的安全性。要有良好的隐蔽要有良好的隐蔽性,一般使用定制的操作系统。性,一般使用定制的操作系统。 9 9终端安全端安全 主要主要指指控制中心的安全性控制中心的安全性。有多个用。有多个用户、多个、多个级别的的控制中心,不同的用控制中心,不同的用户应该有不同的有不同的权限,保限,
21、保证控制中心控制中心的安全性。的安全性。 239.9.4 4 入侵防御系入侵防御系统简介介 IDS IDS只能被动地检测攻击,而不能主动地把变化莫测的威胁阻只能被动地检测攻击,而不能主动地把变化莫测的威胁阻止在网络之外。因此,人们迫切地需要找到一种主动入侵防护解决止在网络之外。因此,人们迫切地需要找到一种主动入侵防护解决方案,以确保企业网络在威胁四起的环境下正常运行。方案,以确保企业网络在威胁四起的环境下正常运行。 入侵防御系统(入侵防御系统(Intrusion Prevention SystemIntrusion Prevention System或或Intrusion Intrusion
22、Detection PreventionDetection Prevention,即,即IPSIPS或或IDPIDP)就应运而生了。)就应运而生了。IPSIPS是一种是一种智能化的入侵检测和防御产品,它不但能检测入侵的发生,而且能智能化的入侵检测和防御产品,它不但能检测入侵的发生,而且能通过一定的响应方式,实时地中止入侵行为的发生和发展,实时地通过一定的响应方式,实时地中止入侵行为的发生和发展,实时地保护信息系统不受实质性的攻击。保护信息系统不受实质性的攻击。IPSIPS使得使得IDSIDS和防火墙走向统一。和防火墙走向统一。 IPS IPS在网络中一般有四种连接方式:在网络中一般有四种连接方
23、式:SpanSpan(接在交换机旁边,作为端接在交换机旁边,作为端口映像)、口映像)、TapTap(接在交换机与路由器中间,旁路安装,拷贝一份数据到接在交换机与路由器中间,旁路安装,拷贝一份数据到IPSIPS中)、中)、InlineInline(接在交换机与路由器中间,在线安装,在线阻断攻击)和(接在交换机与路由器中间,在线安装,在线阻断攻击)和Port-Port-clustercluster(被动抓包,在线安装)。(被动抓包,在线安装)。它在报警的同时,能阻断攻击。它在报警的同时,能阻断攻击。 249.5 9.5 蜜网蜜网Honeynet Honeynet Honeynet Honeynet
24、是一个网络系统,并非某台单一主机,这一网络系统是一个网络系统,并非某台单一主机,这一网络系统隐藏在防火墙的后面,所有进出的数据都受到关注、捕获及控制。隐藏在防火墙的后面,所有进出的数据都受到关注、捕获及控制。这些被捕获的数据用来研究分析入侵者们使用的工具、方法及动机。这些被捕获的数据用来研究分析入侵者们使用的工具、方法及动机。在一个在一个HoneynetHoneynet中,可以使用各种不同的操作系统及设备,如中,可以使用各种不同的操作系统及设备,如SolarisSolaris、LinuxLinux、Windows NTWindows NT、Cisco SwitchCisco Switch等。等
25、。 这样,建立的网,建立的网络环境看上去会更加真境看上去会更加真实可信,同可信,同时还有不同有不同的系的系统平台上面运行着不同的服平台上面运行着不同的服务,比如,比如LinuxLinux的的DNS ServerDNS Server、WindowsNTWindowsNT的的WebServerWebServer或者一个或者一个SolarisSolaris的,可以使用不同的工具的,可以使用不同的工具以及不同的策略或以及不同的策略或许某些入侵者某些入侵者仅仅把目把目标定于几个特定的系定于几个特定的系统漏漏洞上,而洞上,而这种多种多样化的系化的系统,就可能更多地揭示出入侵者的一些特,就可能更多地揭示出入
26、侵者的一些特性。性。 259.5 9.5 蜜网蜜网Honeynet Honeynet 利用利用SnortSnort软件软件安装安装Win200Win2000 0ServerServer下的下的蜜网陷阱蜜网陷阱 Snort Snort 是一个强大的轻量级的网络入侵检测系统。它具有是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志实时数据流量分析和日志IPIP网络数据包的能力,能够进行协议网络数据包的能力,能够进行协议分析,对内容进行搜索分析,对内容进行搜索/ /匹配。它能够检测各种不同的攻击方式,匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。对攻击进行实时报警。 构建完
27、整的构建完整的SnortSnort系统需要以下软件,详细安装方法请参照系统需要以下软件,详细安装方法请参照网上相关资料。网上相关资料。acid-0.9.6b23.tar.gzacid-0.9.6b23.tar.gz 基于基于php php 的入侵检测数据库分析控制台的入侵检测数据库分析控制台adodb360.zipadodb360.zip ADOdb ADOdb(Active Data Objects Data BaseActive Data Objects Data Base)库)库for PHPfor PHPapache_2.0.46-win32-x86-no_src.msiapache_
28、2.0.46-win32-x86-no_src.msi Windows Windows 版本的版本的Apache Web Apache Web 服务器服务器jpgraph-1.12.2.tar.gzjpgraph-1.12.2.tar.gz OO OO 图形库图形库for PHPfor PHPmysql-4.0.13-win.zipmysql-4.0.13-win.zip Windows Windows 版本的版本的Mysql Mysql 数据库服务器数据库服务器php-4.3.2-Win32.zipphp-4.3.2-Win32.zip Windows Windows 版本的版本的php p
29、hp 脚本环境支持脚本环境支持snort-2_0_0.exesnort-2_0_0.exe Windows Windows 版本的版本的Snort Snort 安装包安装包WinPcap_3_0.exeWinPcap_3_0.exe 网络数据包截取驱动程序网络数据包截取驱动程序phpmyadmin-2.5.1-php.zipphpmyadmin-2.5.1-php.zip 基于基于php php 的的Mysql Mysql 数据库管理程序数据库管理程序269.6 天阗黑客入侵检测与预警系统天阗黑客入侵检测与预警系统 天天阗黑客入侵黑客入侵检测与与预警系警系统是一种是一种动态的入侵的入侵检测与响
30、与响应系系统。它利用全面流量。它利用全面流量监控控发现异常,异常,结合地理信息合地理信息显示入侵事件的示入侵事件的定位状况,定位状况,应用入侵和漏洞之用入侵和漏洞之间具有的具有的对应关关联关系,关系,给出入侵威出入侵威胁和和资产脆弱性之脆弱性之间的的风险分析分析结果,从而有效地管理安全事件并果,从而有效地管理安全事件并进行及行及时处理和响理和响应。它能。它能够实时监控网控网络传输,自,自动检测可疑行可疑行为,及,及时发现来自网来自网络外部或内部的攻外部或内部的攻击。天。天阗系系统可以与防火可以与防火墙紧密密结合,弥合,弥补了防火了防火墙的的访问控制不控制不严密的密的问题。 包含如下五个独立的部
31、分:包含如下五个独立的部分:1 1)天阗网络入侵检测系统,产品型号:)天阗网络入侵检测系统,产品型号:NS200/NS500/NS2200/NS2800NS200/NS500/NS2200/NS2800。2 2)天阗入侵事件定位系统,产品型号:)天阗入侵事件定位系统,产品型号:IMS-EPIMS-EP。3 3)天阗网络异常流量监测系统,产品型号:)天阗网络异常流量监测系统,产品型号:FS1900FS1900。4 4)天阗入侵风险评估系统,产品型号:)天阗入侵风险评估系统,产品型号:IMS-RAIMS-RA。5 5)天阗主机入侵检测系统,产品型号:)天阗主机入侵检测系统,产品型号:HS120/H
32、S220/HS320/HS420/HS520HS120/HS220/HS320/HS420/HS520279.6 天阗黑客入侵检测与预警系统天阗黑客入侵检测与预警系统天阗网络入侵检测系统典型部署结构图天阗网络入侵检测系统典型部署结构图 28本章小结本章小结 本章首先分析了网本章首先分析了网络攻攻击或入侵的概念,介或入侵的概念,介绍了六个攻了六个攻击的的层次和相次和相应的防范策略。在此基的防范策略。在此基础上引出入侵上引出入侵检测系系统。 介介绍了基于主机和基于网了基于主机和基于网络的两种入侵的两种入侵检测系系统的概念、基本的概念、基本组成成结构和相构和相应的工作原理。介的工作原理。介绍了入侵了入侵检测系系统中常用的四种技中常用的四种技术:静:静态配置分析、异常配置分析、异常检测方法、方法、误用用检测和基于系和基于系统关关键程序程序的安全的安全规格描述方法。格描述方法。给出了入侵系出了入侵系统的性能的性能评价指价指标。介介绍了流行的蜜网陷阱系了流行的蜜网陷阱系统HoneynetHoneynet,用以,用以获取网取网络攻攻击的行的行为和和方法。方法。 对入侵防御系入侵防御系统IPSIPS作了作了简单介介绍。
