《《入侵检测》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《入侵检测》PPT课件.ppt(60页珍藏版)》请在金锄头文库上搜索。
1、第第11章章 入侵检测入侵检测11.1 入侵检测概述入侵检测概述11.2 入侵检测系统分类入侵检测系统分类11.3 入侵检测系统的分析方式入侵检测系统的分析方式11.4 入侵检测系统的设置入侵检测系统的设置11.5 入侵检测系统的部署入侵检测系统的部署11.6 入侵检测系统的优点与局限性入侵检测系统的优点与局限性习题习题入侵检测是从计算机网络或计算机系统中的若干关入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或系键点搜集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。的
2、一种机制。入侵检测系统的英文缩写是入侵检测系统的英文缩写是IDS(Intrusion Detection System),它使用入侵检测技术对网络),它使用入侵检测技术对网络与系统进行监视,并根据监视结果进行不同的安全与系统进行监视,并根据监视结果进行不同的安全动作,最大限度地降低可能的入侵危害。动作,最大限度地降低可能的入侵危害。11.1 入侵检测系统概述入侵检测系统概述 11.1.1 入侵检测的概念入侵检测的概念入侵检测系统工作过程:若有一个与网络连接着计入侵检测系统工作过程:若有一个与网络连接着计算机系统,根据制订的一些安全策略,允许网络上算机系统,根据制订的一些安全策略,允许网络上的授
3、权用户访问该计算机。的授权用户访问该计算机。一般情况下,可以采用一个防火墙或者一些类型的一般情况下,可以采用一个防火墙或者一些类型的认证系统阻止未授权访问。然而,有时简单的防火认证系统阻止未授权访问。然而,有时简单的防火墙措施或者认证系统可能被攻破。入侵检测是一系墙措施或者认证系统可能被攻破。入侵检测是一系列在适当的位置上对计算机未授权访问进行警告的列在适当的位置上对计算机未授权访问进行警告的机制。对于假冒身份的入侵者,入侵检测系统也能机制。对于假冒身份的入侵者,入侵检测系统也能采取一些措施来拒绝其访问。采取一些措施来拒绝其访问。入侵检测系统基本上不具有访问控制的能力,它通入侵检测系统基本上不
4、具有访问控制的能力,它通过对数据包流的分析,可以从数据流中过滤出可疑过对数据包流的分析,可以从数据流中过滤出可疑数据包,通过与已知的入侵方式进行比较,确定入数据包,通过与已知的入侵方式进行比较,确定入侵是否发生以及入侵的类型并进行报警。网络管理侵是否发生以及入侵的类型并进行报警。网络管理员可以根据这些报警确切地知道所受到的攻击并采员可以根据这些报警确切地知道所受到的攻击并采取相应的措施。可以说,入侵检测系统是网络管理取相应的措施。可以说,入侵检测系统是网络管理员经验积累的一种体现,它极大地减轻了网络管理员经验积累的一种体现,它极大地减轻了网络管理员的负担,降低了对网络管理员的技术要求,提高员的
5、负担,降低了对网络管理员的技术要求,提高了网络安全管理的效率和准确性。了网络安全管理的效率和准确性。目前,大部分网络攻击在初期就可以表现出较为明目前,大部分网络攻击在初期就可以表现出较为明显的特征。对于这类攻击,入侵检测系统可以在攻显的特征。对于这类攻击,入侵检测系统可以在攻击的前期准备时期或是在攻击刚刚开始的时候进行击的前期准备时期或是在攻击刚刚开始的时候进行确认并发出警报。同时入侵检测系统可以对报警的确认并发出警报。同时入侵检测系统可以对报警的信息进行记录,为以后的一系列实际行动提供证据信息进行记录,为以后的一系列实际行动提供证据支持。这就是入侵检测系统的预警功能。支持。这就是入侵检测系统
6、的预警功能。入侵检测一般采用旁路侦听的机制,不会产生对网入侵检测一般采用旁路侦听的机制,不会产生对网络带宽的大量占用,系统的使用对网内外的用户来络带宽的大量占用,系统的使用对网内外的用户来说是透明的,不会有任何的影响。入侵检测系统的说是透明的,不会有任何的影响。入侵检测系统的单独使用不能起到保护网络的作用,也不能独立地单独使用不能起到保护网络的作用,也不能独立地防止任何一种攻击。但它是整个网络安全系统的一防止任何一种攻击。但它是整个网络安全系统的一个重要的组成部分,它所扮演的是网络安全系统中个重要的组成部分,它所扮演的是网络安全系统中侦察与预警的角色,协助网络管理员发现并处理任侦察与预警的角色
7、,协助网络管理员发现并处理任何已知的入侵。它弥补了防火墙在高层上的不足。何已知的入侵。它弥补了防火墙在高层上的不足。通过对入侵检测系统所发出警报的处理,网络管理通过对入侵检测系统所发出警报的处理,网络管理员可以有效地配置其他的安全产品,以使整个网络员可以有效地配置其他的安全产品,以使整个网络安全系统达到最佳的工作状态,尽可能降低因攻击安全系统达到最佳的工作状态,尽可能降低因攻击而带来的损失。而带来的损失。CIDF(Common Intrusion Detection Framework,网址网址http:/www.gidos.org/)阐述了一个入侵检测)阐述了一个入侵检测系统的通用模型。系统
8、的通用模型。CIDF将入侵检测系统需要分析将入侵检测系统需要分析的数据统称为事件(的数据统称为事件(event),事件可以是网络中),事件可以是网络中的数据包,也可以是从系统日志等其他途径得到的的数据包,也可以是从系统日志等其他途径得到的信息。它将入侵检测系统分为以下组件。信息。它将入侵检测系统分为以下组件。11.1.2 入侵检测系统的基本结构入侵检测系统的基本结构(1) 事件产生器事件产生器事件产生器采集和监视被保护系统的数据,这些数据事件产生器采集和监视被保护系统的数据,这些数据可以是网络的数据包,也可以是从系统日志等其他途可以是网络的数据包,也可以是从系统日志等其他途径搜集到的信息。并且
9、将数据进行保存到数据库。径搜集到的信息。并且将数据进行保存到数据库。(2) 事件分析器事件分析器事件分析器的功能主要分为两个方面:一是用于分析事件分析器的功能主要分为两个方面:一是用于分析事件产生器搜集到的数据,区分数据的正确性,发现事件产生器搜集到的数据,区分数据的正确性,发现非法的或者具有潜在危险的、异常的数据现象,通知非法的或者具有潜在危险的、异常的数据现象,通知响应单元做出入侵防范;二是对数据库保存的数据做响应单元做出入侵防范;二是对数据库保存的数据做定期的统计分析,发现某段时期内的异常表现,进而定期的统计分析,发现某段时期内的异常表现,进而对该时期内的异常数据进行详细分析。对该时期内
10、的异常数据进行详细分析。(3) 响应单元响应单元响应单元是协同事件分析器工作的重要组成部分,响应单元是协同事件分析器工作的重要组成部分,一旦事件分析器发现具有入侵企图的异常数据,响一旦事件分析器发现具有入侵企图的异常数据,响应单元就要发挥作用,对具有入侵企图的攻击施以应单元就要发挥作用,对具有入侵企图的攻击施以拦截、阻断、反追踪等手段,保护被保护系统免受拦截、阻断、反追踪等手段,保护被保护系统免受攻击和破坏。攻击和破坏。(4) 事件数据库事件数据库事件数据库记录事件分析单元提供的分析结果,同事件数据库记录事件分析单元提供的分析结果,同时记录下所有来自于事件产生器的事件,用来进行时记录下所有来自
11、于事件产生器的事件,用来进行以后的分析与检查。以后的分析与检查。根据入侵检测系统的检测对象和工作方式的不同,根据入侵检测系统的检测对象和工作方式的不同,入侵检测系统主要分为两大类:基于主机的入侵检入侵检测系统主要分为两大类:基于主机的入侵检测系统和基于网络的入侵检测系统。测系统和基于网络的入侵检测系统。11.2 入侵检测系统概分类入侵检测系统概分类基于主机的入侵检测系统用于保护单台主机不受网基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害,安装在被保护的主机上。这一络攻击行为的侵害,安装在被保护的主机上。这一类入侵检测系统直接与操作系统相关,它控制文件类入侵检测系统直接与操作系统相
12、关,它控制文件系统以及重要的系统文件,确保操作系统不会被随系统以及重要的系统文件,确保操作系统不会被随意地删改。该类入侵检测系统保存一定的校验信息意地删改。该类入侵检测系统保存一定的校验信息和所有系统文件的变更记录,所以在一定程度上还和所有系统文件的变更记录,所以在一定程度上还可以实现安全恢复机制。可以实现安全恢复机制。按照检测对象的不同,基于主机的入侵检测系统可按照检测对象的不同,基于主机的入侵检测系统可以分为两类:网络连接检测和主机文件检测。以分为两类:网络连接检测和主机文件检测。11.2.1 基于主机的入侵检测系统基于主机的入侵检测系统1.网络连接检测网络连接检测网络连接检测是对试图进入
13、该主机的数据流进行检网络连接检测是对试图进入该主机的数据流进行检测,分析确定是否有入侵行为,避免或减少这些数测,分析确定是否有入侵行为,避免或减少这些数据流进入主机系统后造成损害。据流进入主机系统后造成损害。网络连接检测可以有效地检测出是否存在攻击探测网络连接检测可以有效地检测出是否存在攻击探测行为。系统管理员可以设置好访问控制表,其中包行为。系统管理员可以设置好访问控制表,其中包括容易受到攻击探测的网络服务,并且为它们设置括容易受到攻击探测的网络服务,并且为它们设置好访问权限。如果入侵检测系统发现有对未开放的好访问权限。如果入侵检测系统发现有对未开放的服务端口进行网络连接,说明有人在寻找系统
14、漏洞,服务端口进行网络连接,说明有人在寻找系统漏洞,这些探测行为就会被入侵检测系统记录下来,同时这些探测行为就会被入侵检测系统记录下来,同时这种未经授权的连接也被拒绝。这种未经授权的连接也被拒绝。2.主机文件检测主机文件检测通常入侵行为会在主机的各种相关文件中留下痕迹,通常入侵行为会在主机的各种相关文件中留下痕迹,主机文件检测能够帮助系统管理员发现入侵行为或主机文件检测能够帮助系统管理员发现入侵行为或入侵企图,及时采取补救措施。入侵企图,及时采取补救措施。主机文件检测的检测对象主要包括以下几种:主机文件检测的检测对象主要包括以下几种:(1) 系统日志系统日志系统日志文件中记录了各种类型的信息,
15、包括各用系统日志文件中记录了各种类型的信息,包括各用户的行为记录。如果日志文件中存在着异常的记录,户的行为记录。如果日志文件中存在着异常的记录,就可以认为已经或正在发生网络入侵行为。这些异就可以认为已经或正在发生网络入侵行为。这些异常包括不正常的反复登录失败记录、未授权用户越常包括不正常的反复登录失败记录、未授权用户越权访问重要文件、非正常登录行为等。权访问重要文件、非正常登录行为等。(2) 文件系统文件系统恶意的网络攻击者会修改网络主机上包含重要信息恶意的网络攻击者会修改网络主机上包含重要信息的各种数据文件,他们可能会删除或者替换某些文的各种数据文件,他们可能会删除或者替换某些文件,或者尽量
16、修改各种日志记录来销毁他们的攻击件,或者尽量修改各种日志记录来销毁他们的攻击行为可能留下的痕迹。如果入侵检测系统发现文件行为可能留下的痕迹。如果入侵检测系统发现文件系统发生了异常的改变,例如一些受限访问的目录系统发生了异常的改变,例如一些受限访问的目录或文件被非正常地创建、修改或删除,就可以怀疑或文件被非正常地创建、修改或删除,就可以怀疑发生了网络入侵行为。发生了网络入侵行为。(3) 进程记录进程记录主机系统中运行着各种不同的应用程序,包括各种主机系统中运行着各种不同的应用程序,包括各种服务程序。每个执行中的程序都包含了一个或多个服务程序。每个执行中的程序都包含了一个或多个进程。每个进程都存在
17、于特定的系统环境中,能够进程。每个进程都存在于特定的系统环境中,能够访问有限的系统资源、数据文件等,或者与特定的访问有限的系统资源、数据文件等,或者与特定的进程进行通信。黑客可能将程序的进程分解,致使进程进行通信。黑客可能将程序的进程分解,致使程序中止,或者令程序执行违背系统用户意图的操程序中止,或者令程序执行违背系统用户意图的操作。如果入侵检测系统发现某个进程存在着异常的作。如果入侵检测系统发现某个进程存在着异常的行为,就可以怀疑有网络入侵。行为,就可以怀疑有网络入侵。基于主机的入侵检测系统具有以下优点:基于主机的入侵检测系统具有以下优点:检测准确度较高;检测准确度较高;可以检测到没有明显行
18、为特征的入侵;可以检测到没有明显行为特征的入侵;能够对不同的操作系统进行有针对性的检测;能够对不同的操作系统进行有针对性的检测;成本较低;成本较低;不会因网络流量影响性能;不会因网络流量影响性能;适于加密和交换环境。适于加密和交换环境。基于主机的入侵检测系统具有以下不足:基于主机的入侵检测系统具有以下不足:实时性较差;实时性较差;无法检测数据包的全部;无法检测数据包的全部;检测效果取决于日志系统;检测效果取决于日志系统;占用主机资源;占用主机资源;隐蔽性较差;隐蔽性较差;如果入侵者能够修改校验和,这种入侵检测系统将无法起到预期的如果入侵者能够修改校验和,这种入侵检测系统将无法起到预期的作用。作
19、用。基于网络的入侵检测系统通常是作为一个独立的个基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上,它使用原始的网络分组体放置于被保护的网络上,它使用原始的网络分组数据包作为进行攻击分析的数据源,一般利用一个数据包作为进行攻击分析的数据源,一般利用一个网络适配器来实时监视和分析所有通过网络进行传网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击,入侵检测系统应答模输的通信。一旦检测到攻击,入侵检测系统应答模块通过通知、报警以及中断连接等方式来对攻击做块通过通知、报警以及中断连接等方式来对攻击做出反应。出反应。基于网络的入侵检测可以侦听某一个基于网络的入侵检测可
20、以侦听某一个IP,保护特定,保护特定服务器的安全,也可以侦听整个网段。为了能够对服务器的安全,也可以侦听整个网段。为了能够对整个网段进行侦听,系统会将本身的网卡设置为混整个网段进行侦听,系统会将本身的网卡设置为混杂模式以接收网段内的所有数据包。杂模式以接收网段内的所有数据包。11.2.2 基于网络的入侵检测系统基于网络的入侵检测系统获取包的主要目的是要对它进行处理以获得需要的获取包的主要目的是要对它进行处理以获得需要的信息。最常用的处理是数据包的流量统计以及数据信息。最常用的处理是数据包的流量统计以及数据包的归类分析。通过对数据包的分析,了解到系统包的归类分析。通过对数据包的分析,了解到系统是
21、否存在被攻击的情况或是否存在非法的访问。是否存在被攻击的情况或是否存在非法的访问。大多数的入侵都有一定的特征大多数的入侵都有一定的特征,只要在数据包记录中只要在数据包记录中发现这种有特征的行为,就可以在一定程度上断定发现这种有特征的行为,就可以在一定程度上断定发生了或即将发生入侵。发生了或即将发生入侵。入侵检测系统就是通过将实际的数据流量记录与入入侵检测系统就是通过将实际的数据流量记录与入侵模式库中的入侵模式进行匹配,寻找可能的攻击侵模式库中的入侵模式进行匹配,寻找可能的攻击特征。如果是正常数据包,则允许通过或留待进一特征。如果是正常数据包,则允许通过或留待进一步分析;如果是不安全的数据包,则
22、可以进行阻断步分析;如果是不安全的数据包,则可以进行阻断网络连接等操作。网络连接等操作。1.包嗅探器和网络监视器包嗅探器和网络监视器包嗅探器和网络监视器抓获所有网络上能够看到的包嗅探器和网络监视器抓获所有网络上能够看到的包。一旦抓获了这些数据包,就可以进行以下工作:包。一旦抓获了这些数据包,就可以进行以下工作: (1) 对包进行统计。统计通过的数据包,知道网对包进行统计。统计通过的数据包,知道网络的负载状况。络的负载状况。(2) 详细地检查包来诊断服务器的问题。详细地检查包来诊断服务器的问题。2.包嗅探器和混杂模式包嗅探器和混杂模式所有的包嗅探器都要求网络接口运行在混杂模式下。所有的包嗅探器都
23、要求网络接口运行在混杂模式下。包嗅探器在交换网络环境下通常不能正常工作。包嗅探器在交换网络环境下通常不能正常工作。 3.基于网络的入侵检测基于网络的入侵检测基于网络入侵检测能够执行的入侵检测是检查通过基于网络入侵检测能够执行的入侵检测是检查通过网络的数据包。对于合法的数据包,允许它们通过。网络的数据包。对于合法的数据包,允许它们通过。当一个数据包危及到目标系统的安全或完整性时,当一个数据包危及到目标系统的安全或完整性时,阻止该包的传送。阻止该包的传送。 此外,基于网络的入侵检测系统可以执行以下任务:此外,基于网络的入侵检测系统可以执行以下任务:(1) 检测端口扫描。检测端口扫描。(2) 检测常
24、见的攻击行为。检测常见的攻击行为。(3) 识别各种各样可能的识别各种各样可能的IP欺骗攻击。欺骗攻击。(4) 当检测到一个不希望的活动时,基于网络的当检测到一个不希望的活动时,基于网络的入侵检测系统将采取行动,包括干涉从入侵者处发入侵检测系统将采取行动,包括干涉从入侵者处发来的通信,或重新配置附近的防火墙策略以封锁从来的通信,或重新配置附近的防火墙策略以封锁从入侵者的计算机或网络发来的所有通信。入侵者的计算机或网络发来的所有通信。基于网络的入侵检测系统有以下优点:基于网络的入侵检测系统有以下优点:可以提供实时的网络行为检测;可以提供实时的网络行为检测;可以同时保护多台网络主机;可以同时保护多台
25、网络主机;具有良好的隐蔽性;具有良好的隐蔽性;有效保护入侵证据;有效保护入侵证据;不影响被保护主机的性能。不影响被保护主机的性能。基于网络的入侵检测系统有以下不足:基于网络的入侵检测系统有以下不足:防入侵欺骗的能力通常较差;防入侵欺骗的能力通常较差;在交换式网络环境中难以配置;在交换式网络环境中难以配置;检测性能受硬件条件限制;检测性能受硬件条件限制;不能处理加密后的数据。不能处理加密后的数据。基于内核的入侵检测系统采取防止缓冲区溢出,增基于内核的入侵检测系统采取防止缓冲区溢出,增加文件系统的保护,封闭信号等措施,从而阻止入加文件系统的保护,封闭信号等措施,从而阻止入侵者的破坏。侵者的破坏。1
26、1.2.3 基于内核的入侵检测系统基于内核的入侵检测系统基于网络的入侵检测系统和基于主机的入侵检测系基于网络的入侵检测系统和基于主机的入侵检测系统都有各自的优势和不足,这两种方式各自都能发统都有各自的优势和不足,这两种方式各自都能发现对方无法检测到的一些网络入侵行为,如果同时现对方无法检测到的一些网络入侵行为,如果同时使用互相弥补不足,会起到良好的检测效果。使用互相弥补不足,会起到良好的检测效果。基于网络的入侵检测系统可以研究负载的内容,查基于网络的入侵检测系统可以研究负载的内容,查找特定攻击中使用的命令或语法,这类攻击可以被找特定攻击中使用的命令或语法,这类攻击可以被实时检查包序列的入侵检测
27、系统迅速识别;而基于实时检查包序列的入侵检测系统迅速识别;而基于主机的入侵检测系统无法看到负载,因此也无法识主机的入侵检测系统无法看到负载,因此也无法识别嵌入式的负载攻击。别嵌入式的负载攻击。将两者有效地结合,能有效检测和阻止入侵行为。将两者有效地结合,能有效检测和阻止入侵行为。11.2.4 两种入侵检测系统的结合运用两种入侵检测系统的结合运用目前的入侵检测系统一般采用集中式模式,在被保目前的入侵检测系统一般采用集中式模式,在被保护网络的各个网段中分别放置检测器进行数据包搜护网络的各个网段中分别放置检测器进行数据包搜集和分析,各个检测器将检测信息传送给中央控制集和分析,各个检测器将检测信息传送
28、给中央控制台进行统一处理。这种模式的缺点是难以及时对在台进行统一处理。这种模式的缺点是难以及时对在复杂网络上发起的分布式攻击进行数据分析以至于复杂网络上发起的分布式攻击进行数据分析以至于无法完成检测任务。此外入侵检测系统一般采用单无法完成检测任务。此外入侵检测系统一般采用单一的检测分析方法,随着网络攻击方法的日趋复杂一的检测分析方法,随着网络攻击方法的日趋复杂化,单一的基于异常检测或者误用检测的分析方法化,单一的基于异常检测或者误用检测的分析方法所获得的效果很难令人满意。所获得的效果很难令人满意。各个入侵检测系统之间通常不能互相协作,不仅不各个入侵检测系统之间通常不能互相协作,不仅不利于检测工
29、作,甚至还会产生新的安全漏洞。利于检测工作,甚至还会产生新的安全漏洞。11.2.5 分布式入侵检测系统分布式入侵检测系统采用分布式结构的入侵检测模式是解决方案之一,采用分布式结构的入侵检测模式是解决方案之一,也是目前入侵检测技术的一个研究方向。这种模式也是目前入侵检测技术的一个研究方向。这种模式的系统采用分布式智能代理的结构,由一个或者多的系统采用分布式智能代理的结构,由一个或者多个中央智能代理和大量分布在网络各处的本地代理个中央智能代理和大量分布在网络各处的本地代理组成。其中本地代理负责处理本地事件,中央代理组成。其中本地代理负责处理本地事件,中央代理负责统一调控各个本地代理的工作以及从整体
30、上完负责统一调控各个本地代理的工作以及从整体上完成对网络事件进行综合分析的工作。检测工作通过成对网络事件进行综合分析的工作。检测工作通过全部代理互相协作共同完成。全部代理互相协作共同完成。入侵检测系统的检测分析技术主要分为两大类:异入侵检测系统的检测分析技术主要分为两大类:异常检测和误用检测。常检测和误用检测。11.3 入侵检测系统的分析方式入侵检测系统的分析方式11.3.1 异常检测技术异常检测技术基于行为的检测基于行为的检测异常检测技术(异常检测技术(Anomaly Detection)也称为基于行为的检测技)也称为基于行为的检测技术,是指根据用户的行为和系统资源的使用状况判断是否存在术,
31、是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。网络入侵。异常检测技术能够为用户和系统的所有正常行为建立行为模型。异常检测技术能够为用户和系统的所有正常行为建立行为模型。入侵检测系统可以将当前捕获到的网络行为与行为模型相对比,入侵检测系统可以将当前捕获到的网络行为与行为模型相对比,若入侵行为偏离了正常的行为轨迹,就可以视为入侵行为。若入侵行为偏离了正常的行为轨迹,就可以视为入侵行为。具体的统计分析方法,如基于专家系统的、基于模型推理的和具体的统计分析方法,如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之基于神经网络的分析方法,目前正处于研究热
32、点和迅速发展之中。中。2. 异常检测技术的评价异常检测技术的评价异常检测技术有以下优点:异常检测技术有以下优点:能够检测出新的网络入侵方法的攻击;能够检测出新的网络入侵方法的攻击;较少依赖于特定的主机操作系统;较少依赖于特定的主机操作系统;对于内部合法用户的越权违法行为的检测能力较对于内部合法用户的越权违法行为的检测能力较强。强。异常检测技术有以下不足:异常检测技术有以下不足:误报率高;误报率高;行为模型建立困难;行为模型建立困难;难以对入侵行为进行分类和命名。难以对入侵行为进行分类和命名。1. 误用检测技术入侵检测系统的基本原理误用检测技术入侵检测系统的基本原理误用检测技术(误用检测技术(M
33、isuse Detection)也称为基于知)也称为基于知识的检测技术或者模式匹配检测技术。它的前提是识的检测技术或者模式匹配检测技术。它的前提是假设所有的网络攻击行为和方法都具有一定的模式假设所有的网络攻击行为和方法都具有一定的模式或特征,如果把以往发现的所有网络攻击的特征总或特征,如果把以往发现的所有网络攻击的特征总结出来并建立一个入侵信息库,那么入侵检测系统结出来并建立一个入侵信息库,那么入侵检测系统可以将当前捕获到的网络行为特征与入侵信息库中可以将当前捕获到的网络行为特征与入侵信息库中的特征信息相比较,如果匹配,则当前行为就被认的特征信息相比较,如果匹配,则当前行为就被认定为入侵行为。
34、定为入侵行为。11.3.2 误用检测技术误用检测技术基于知识的检测基于知识的检测2. 误用检测技术的评价误用检测技术的评价误用检测技术有以下优点:误用检测技术有以下优点:检测准确度高;检测准确度高;技术相对成熟;技术相对成熟;便于进行系统防护。便于进行系统防护。误用检测技术有以下缺点:误用检测技术有以下缺点:不能检测出新的入侵行为;不能检测出新的入侵行为;完全依赖于入侵特征的有效性;完全依赖于入侵特征的有效性;维护特征库的工作量巨大;维护特征库的工作量巨大;难以检测来自内部用户的攻击。难以检测来自内部用户的攻击。3. 误用检测技术的分类误用检测技术的分类误用检测技术主要可分为以下几种。误用检测
35、技术主要可分为以下几种。(1) 专家系统误用检测专家系统误用检测专家系统误用检测方法首先将安全专家的关于网络专家系统误用检测方法首先将安全专家的关于网络入侵行为的知识表示成一些类似入侵行为的知识表示成一些类似IfThen的规则,的规则,并以这些规则为基础建立专家知识库。入侵检测系并以这些规则为基础建立专家知识库。入侵检测系统将网络行为的审计数据事件进行转换,成为包含统将网络行为的审计数据事件进行转换,成为包含入侵警告程度的判断事实,然后通过推理引擎进行入侵警告程度的判断事实,然后通过推理引擎进行入侵检测。入侵检测。(2) 特征分析误用检测特征分析误用检测特征分析误用检测将入侵行为表示成一个事件
36、序列特征分析误用检测将入侵行为表示成一个事件序列或者转换成某种可以直接在网络数据包审计记录中或者转换成某种可以直接在网络数据包审计记录中找到的数据样板,直接从审计数据中提取相应的数找到的数据样板,直接从审计数据中提取相应的数据与之匹配据与之匹配,提高了运行效率。提高了运行效率。(3) 模型推理误用检测模型推理误用检测模型推理误用检测方法根据网络入侵行为的特征建模型推理误用检测方法根据网络入侵行为的特征建立起误用证据模型,入侵检测系统根据模型中的入立起误用证据模型,入侵检测系统根据模型中的入侵行为特征进行推理,判断当前的用户行为是否是侵行为特征进行推理,判断当前的用户行为是否是误用行为。误用行为
37、。(4) 条件概率误用检测条件概率误用检测条件概率误用检测方法将网络入侵方式看作一个事条件概率误用检测方法将网络入侵方式看作一个事件序列,根据所观测到的各种网络事件的发生情况件序列,根据所观测到的各种网络事件的发生情况来推测入侵行为的发生。来推测入侵行为的发生。(5) 键盘监控误用检测键盘监控误用检测键盘监控误用检测方法假设每种网络入侵行为都具键盘监控误用检测方法假设每种网络入侵行为都具有特定的击键序列模式,入侵检测系统监视各个用有特定的击键序列模式,入侵检测系统监视各个用户的击键模式,并将该模式与已有的入侵击键模式户的击键模式,并将该模式与已有的入侵击键模式相匹配,如果匹配成功就认为是网络入
38、侵行为。相匹配,如果匹配成功就认为是网络入侵行为。入侵检测系统的研究方向之一是将各个领域的研究入侵检测系统的研究方向之一是将各个领域的研究成果应用于入侵检测中,以形成更高效、更为智能成果应用于入侵检测中,以形成更高效、更为智能化的检测算法,提高入侵检测的应用价值。目前研化的检测算法,提高入侵检测的应用价值。目前研究的重点有遗传算法和免疫技术等。究的重点有遗传算法和免疫技术等。11.3.3 其他入侵检测技术的研究其他入侵检测技术的研究网络安全需要各个安全设备的协同工作和正确的设网络安全需要各个安全设备的协同工作和正确的设置,因此,入侵检测系统在设置时需要对整个网络置,因此,入侵检测系统在设置时需
39、要对整个网络有一个全面的了解,保证自身环境的正确性和安全有一个全面的了解,保证自身环境的正确性和安全性。网络安全的实际需求对于入侵检测的工作方式性。网络安全的实际需求对于入侵检测的工作方式和检测位置都有十分重要的影响,只有在了解和掌和检测位置都有十分重要的影响,只有在了解和掌握这些实际需求的情况下,才能正确地设计入侵检握这些实际需求的情况下,才能正确地设计入侵检测系统的网络拓扑,并对入侵检测系统进行正确的测系统的网络拓扑,并对入侵检测系统进行正确的配置。配置。11.4 入侵检测系统的设置入侵检测系统的设置入侵检测系统的设置主要分为以下几个基本的步骤:入侵检测系统的设置主要分为以下几个基本的步骤
40、: 确定入侵检测需求。确定入侵检测需求。 设计入侵检测系统在网络中的拓扑位置。设计入侵检测系统在网络中的拓扑位置。 配置入侵检测系统。配置入侵检测系统。 入侵检测系统磨合。入侵检测系统磨合。 入侵检测系统的使用及自调节。入侵检测系统的使用及自调节。这些步骤的操作流程如图这些步骤的操作流程如图11.2所示。所示。图图11.2 入侵检测系统设置流程图入侵检测系统设置流程图入侵检测系统的设置需要经过多次的反复磨合,才入侵检测系统的设置需要经过多次的反复磨合,才能够达到与本保护网络有效结合的目的。在图能够达到与本保护网络有效结合的目的。在图11.2中可以看到,在设置的过程中要进行多次的回溯,中可以看到
41、,在设置的过程中要进行多次的回溯,而在这几次回溯中,第而在这几次回溯中,第3、第、第4步之间的回溯过程会步之间的回溯过程会重复多次,通过不断地调整入侵检测系统的检测配重复多次,通过不断地调整入侵检测系统的检测配置,将误报警率和漏报警率降到最低,使得入侵检置,将误报警率和漏报警率降到最低,使得入侵检测系统能够在最佳状态下进行检测分析。而在使用测系统能够在最佳状态下进行检测分析。而在使用中,随着网络整体结构的改变(包括增加新的应用中,随着网络整体结构的改变(包括增加新的应用或服务器、检测方式更新等),入侵检测系统的设或服务器、检测方式更新等),入侵检测系统的设置也要相应地进行修改,以保证能够适应新
42、的变化。置也要相应地进行修改,以保证能够适应新的变化。通过以上的设置步骤,入侵检测系统才能够很好地通过以上的设置步骤,入侵检测系统才能够很好地与被保护网络相结合,实现对网络的有效监控和分与被保护网络相结合,实现对网络的有效监控和分析。析。入侵检测系统有不同的部署方式和特点。根据所掌入侵检测系统有不同的部署方式和特点。根据所掌握的网络检测和安全需求,选取各种类型的入侵检握的网络检测和安全需求,选取各种类型的入侵检测系统。将多种入侵检测系统按照预定的计划进行测系统。将多种入侵检测系统按照预定的计划进行部署,确保每个入侵检测系统都能够在相应部署点部署,确保每个入侵检测系统都能够在相应部署点上发挥作用
43、,共同防护,保障网络的安全运行。上发挥作用,共同防护,保障网络的安全运行。部署工作包括对网络入侵检测和主机入侵检测等类部署工作包括对网络入侵检测和主机入侵检测等类型入侵检测系统的部署规划。同时,根据主动防御型入侵检测系统的部署规划。同时,根据主动防御网络的需求,还需要对入侵检测系统的报警方式进网络的需求,还需要对入侵检测系统的报警方式进行部署和规划。行部署和规划。11.5 入侵检测系统的部署入侵检测系统的部署基于网络的入侵检测系统可以在网络的多个位置进基于网络的入侵检测系统可以在网络的多个位置进行部署。这里的部署主要指对网络入侵检测器的部行部署。这里的部署主要指对网络入侵检测器的部署。根据检测
44、器部署位置的不同,入侵检测系统具署。根据检测器部署位置的不同,入侵检测系统具有不同的工作特点。用户需要根据自己的网络环境有不同的工作特点。用户需要根据自己的网络环境以及安全需求进行网络部署,以达到预定的网络安以及安全需求进行网络部署,以达到预定的网络安全需求。总体来说,入侵检测的部署点可以划分为全需求。总体来说,入侵检测的部署点可以划分为4个位置:个位置: DMZ区、区、外网入口、外网入口、内网主干、内网主干、关键子网关键子网,如图如图11.3所示。所示。11.5.1 基于网络入侵检测系统的部署基于网络入侵检测系统的部署图图11.3 入侵检测系统部署位置图入侵检测系统部署位置图在基于网络的入侵
45、检测系统部署并配置完成后,基在基于网络的入侵检测系统部署并配置完成后,基于主机的入侵检测系统的部署可以给系统提供高级于主机的入侵检测系统的部署可以给系统提供高级别的保护。基于主机的入侵检测系统安装需要根据别的保护。基于主机的入侵检测系统安装需要根据自身的情况进行特别的安装和设置,相关的日志和自身的情况进行特别的安装和设置,相关的日志和升级维护。升级维护。一般地,基于主机的入侵检测系统主要安装在关键一般地,基于主机的入侵检测系统主要安装在关键主机上主机上11.5.2 基于主机入侵检测系统的部署基于主机入侵检测系统的部署入侵检测系统在检测到入侵行为的时候,需要报警入侵检测系统在检测到入侵行为的时候
46、,需要报警并进行相应的反应。如何报警和选取什么样的报警,并进行相应的反应。如何报警和选取什么样的报警,需要根据整个网络的环境和安全的需求进行确定。需要根据整个网络的环境和安全的需求进行确定。11.5.3 报警策略报警策略入侵检测系统是企业安全防御系统中的重要部件,入侵检测系统是企业安全防御系统中的重要部件,但入侵检测系统并不是万能的。入侵检测对于部分但入侵检测系统并不是万能的。入侵检测对于部分事件可以处理得很好,但对于另一些情况则无能为事件可以处理得很好,但对于另一些情况则无能为力。只有充分了解入侵检测系统的优点和局限性,力。只有充分了解入侵检测系统的优点和局限性,才能对入侵检测系统有一个准确
47、的定位,以便将入才能对入侵检测系统有一个准确的定位,以便将入侵检测系统有效地应用在安全防御系统中,最大限侵检测系统有效地应用在安全防御系统中,最大限度地发挥它的安全防御功能。度地发挥它的安全防御功能。11.6 入侵检测系统的优点与局限性入侵检测系统的优点与局限性入侵检测系统作为一个迅速崛起并受到广泛承认的入侵检测系统作为一个迅速崛起并受到广泛承认的安全组件,有着很多方面的安全优势:安全组件,有着很多方面的安全优势:可以检测和分析系统事件以及用户的行为;可以检测和分析系统事件以及用户的行为;可以测试系统设置的安全状态;可以测试系统设置的安全状态;以系统的安全状态为基础,跟踪任何对系统安全的以系统
48、的安全状态为基础,跟踪任何对系统安全的修改操作;修改操作;通过模式识别等技术从通信行为中检测出已知的攻通过模式识别等技术从通信行为中检测出已知的攻击行为;击行为;11.6.1 入侵检测系统的优点入侵检测系统的优点可以对网络通信行为进行统计,并进行检测分析;可以对网络通信行为进行统计,并进行检测分析;管理操作系统认证和日志机制并对产生的数据进行管理操作系统认证和日志机制并对产生的数据进行分析处理;分析处理;在检测到攻击的时候,通过适当的方式进行适当的在检测到攻击的时候,通过适当的方式进行适当的报警处理;报警处理;通过对分析引擎的配置对网络的安全进行评估和监通过对分析引擎的配置对网络的安全进行评估
49、和监督;督;允许非安全领域的管理人员对重要的安全事件进行允许非安全领域的管理人员对重要的安全事件进行有效的处理。有效的处理。入侵检测系统只能对网络行为进行安全审计,从入入侵检测系统只能对网络行为进行安全审计,从入侵检测系统的定位可以看出,入侵检测系统存在以侵检测系统的定位可以看出,入侵检测系统存在以下缺陷下缺陷:(1) 入侵检测系统无法弥补安全防御系统中的安入侵检测系统无法弥补安全防御系统中的安全缺陷和漏洞。这些安全缺陷和漏洞包括其他安全全缺陷和漏洞。这些安全缺陷和漏洞包括其他安全设备的错误配置造成的安全漏洞,以及安全设备本设备的错误配置造成的安全漏洞,以及安全设备本身的实现造成的安全缺陷。入
50、侵检测系统可以通过身的实现造成的安全缺陷。入侵检测系统可以通过审计报警对这些可能的安全漏洞进行揭示和定位,审计报警对这些可能的安全漏洞进行揭示和定位,但却不能主动对这些漏洞进行弥补,而这些报警信但却不能主动对这些漏洞进行弥补,而这些报警信息只有通过人为的补救处理才具有意义。息只有通过人为的补救处理才具有意义。11.6.2 入侵检测系统的局限性入侵检测系统的局限性(2) 对于高负载的网络或主机,很难实现对网络对于高负载的网络或主机,很难实现对网络入侵的实时检测、报警和迅速地进行攻击响应。同入侵的实时检测、报警和迅速地进行攻击响应。同时,对于高负载的环境,如果没有采用代价较大的时,对于高负载的环境
51、,如果没有采用代价较大的负载均衡措施,入侵检测系统会存在较大的分析遗负载均衡措施,入侵检测系统会存在较大的分析遗漏,容易造成较大的漏报警率。漏,容易造成较大的漏报警率。(3) 基于知识的入侵检测系统很难检测到未知的基于知识的入侵检测系统很难检测到未知的攻击行为,也就是说,检测具有一定的后滞性,而攻击行为,也就是说,检测具有一定的后滞性,而对于已知的报警,一些没有明显特征的攻击行为也对于已知的报警,一些没有明显特征的攻击行为也很难检测到,或需要付出提高误报警率的代价才能很难检测到,或需要付出提高误报警率的代价才能够正确检测。而基于行为特征的入侵检测系统只能够正确检测。而基于行为特征的入侵检测系统
52、只能在一定程度上检测到新的攻击行为,但一般很难给在一定程度上检测到新的攻击行为,但一般很难给新的攻击定性,提供给系统管理员的处理信息较少,新的攻击定性,提供给系统管理员的处理信息较少,很难进行进一步的防护处理。很难进行进一步的防护处理。(4) 入侵检测系统的主动防御功能和联动防御功入侵检测系统的主动防御功能和联动防御功能会对网络的行为产生影响,同样也会成为攻击者能会对网络的行为产生影响,同样也会成为攻击者的目标,实现以入侵检测系统过敏自主防御为基础的目标,实现以入侵检测系统过敏自主防御为基础的攻击。通过发送伪造的数据,触发入侵检测系统的攻击。通过发送伪造的数据,触发入侵检测系统的主动防御响应,
53、对可信连接进行阻断,造成拒绝的主动防御响应,对可信连接进行阻断,造成拒绝服务攻击。在目前的技术条件下,对于网络的主动服务攻击。在目前的技术条件下,对于网络的主动防御的设置要十分慎重,防止出现利用主动防御系防御的设置要十分慎重,防止出现利用主动防御系统进行网络攻击的情况。统进行网络攻击的情况。(5) 入侵检测系统无法单独防止攻击行为的渗透,入侵检测系统无法单独防止攻击行为的渗透,只能调整相关网络设备的参数或人为地进行处理。只能调整相关网络设备的参数或人为地进行处理。由于入侵检测技术不可避免地存在着大量的误报情由于入侵检测技术不可避免地存在着大量的误报情况,因此进行自动防御会造成对可信连接的影响。
54、况,因此进行自动防御会造成对可信连接的影响。目前的入侵检测系统在实质性安全防御方面,还是目前的入侵检测系统在实质性安全防御方面,还是要以人为修正为主,即使是对可确定入侵的自动阻要以人为修正为主,即使是对可确定入侵的自动阻断行为,建议也要经过人为干预,防止可能的过敏断行为,建议也要经过人为干预,防止可能的过敏防御。防御。(6) 网络入侵检测系统在纯交换环境下无法正常网络入侵检测系统在纯交换环境下无法正常工作,只有对交换环境进行一定的处理,利用镜像工作,只有对交换环境进行一定的处理,利用镜像等技术,网络入侵检测系统才能对镜像的数据进行等技术,网络入侵检测系统才能对镜像的数据进行分析处理。因此,在交
55、换环境中,进行各个方向的分析处理。因此,在交换环境中,进行各个方向的检测分析将是非常困难并且代价较大。检测分析将是非常困难并且代价较大。(7) 入侵检测系统主要是对网络行为进行分析检入侵检测系统主要是对网络行为进行分析检测,不能修正信息资源中存在的安全问题。测,不能修正信息资源中存在的安全问题。入侵检测是从计算机网络或计算机系统中的若干关入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或系键点搜集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。的一种机制。入侵检测系统使用
56、入侵检测技术对网络与其上的系入侵检测系统使用入侵检测技术对网络与其上的系统进行监视,并根据监视结果进行不同的安全动作,统进行监视,并根据监视结果进行不同的安全动作,最大限度地降低可能的入侵危害。最大限度地降低可能的入侵危害。入侵检测系统主要由入侵检测系统主要由4个部分组成:事件产生器、个部分组成:事件产生器、事件分析器、响应单元和事件数据库。事件分析器、响应单元和事件数据库。11.7 本章小结本章小结入侵检测系统根据信息来源与类型可以分为基于主入侵检测系统根据信息来源与类型可以分为基于主机和基于网络两大类。机和基于网络两大类。异常检测技术也称为基于行为的检测技术,是指根异常检测技术也称为基于行
57、为的检测技术,是指根据用户的行为和系统资源的使用状况判断是否存在据用户的行为和系统资源的使用状况判断是否存在网络入侵。网络入侵。误用检测技术也称为基于知识的检测技术或者模式误用检测技术也称为基于知识的检测技术或者模式匹配检测技术,它通过对实际行为和数据的特征匹匹配检测技术,它通过对实际行为和数据的特征匹配判断是否存在已知的网络入侵行为。配判断是否存在已知的网络入侵行为。入侵检测系统可以部署在入侵检测系统可以部署在4个位置上:个位置上:DMZ区、外区、外网入口、内网主干、关键子网。网入口、内网主干、关键子网。要根据目标网络的具体情况以及企业的安全需求对要根据目标网络的具体情况以及企业的安全需求对
58、入侵检测系统进行适当的配置,保证入侵检测系统入侵检测系统进行适当的配置,保证入侵检测系统正常有效地运行。正常有效地运行。在进行入侵检测系统运行管理时,需要保证及时处在进行入侵检测系统运行管理时,需要保证及时处理系统输出;及时更新系统检测行为,适应网络不理系统输出;及时更新系统检测行为,适应网络不断变化的需求;同时注意对保存的日志信息的进一断变化的需求;同时注意对保存的日志信息的进一步分析和处理。通过认真的日常管理,保证入侵检步分析和处理。通过认真的日常管理,保证入侵检测系统发挥最大的安全保障作用。测系统发挥最大的安全保障作用。13-1 什么叫做入侵检测系统?什么叫做入侵检测系统?13-2 简单
59、地介绍一下入侵检测系统的基本结构。简单地介绍一下入侵检测系统的基本结构。13-3 简述简述NIDS的基本原理。的基本原理。13-4 HIDS与与NIDS相比有哪些优势和不足?相比有哪些优势和不足?13-5 试分析基于主机网络连接检测的试分析基于主机网络连接检测的IDS与基于网与基于网络的络的IDS的基本区别。的基本区别。13-6 简述异常检测技术的基本原理。简述异常检测技术的基本原理。13-7 试比较异常检测技术和误用检测技术各有哪些试比较异常检测技术和误用检测技术各有哪些优势和不足。优势和不足。习题习题13-8 以一种检测算法为例,简单说明基于误用检测以一种检测算法为例,简单说明基于误用检测技术的技术的IDS的工作过程。的工作过程。13-9 简单描述入侵检测系统的配置流程。简单描述入侵检测系统的配置流程。13-10 参照你所了解的局域网,对网络信息进行搜参照你所了解的局域网,对网络信息进行搜集,制定一个入侵检测系统的配置计划,画出配置集,制定一个入侵检测系统的配置计划,画出配置拓扑图。拓扑图。13-11 结合所在的局域网,指定一个入侵检测系统结合所在的局域网,指定一个入侵检测系统的运行管理计划。的运行管理计划。13-12 简述入侵检测系统的优缺点。简述入侵检测系统的优缺点。
