6.4入侵系統(tǒng)檢測

1、5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)入侵檢測的概念與原理入侵檢測的概念與原理v入侵檢測是指入侵檢測是指“通過對行為、安全日志或?qū)復ㄟ^對行為、安全日志或?qū)徲嫈?shù)據(jù)或其他網(wǎng)絡上可以獲得的信息進行操計數(shù)據(jù)或其他網(wǎng)絡上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖作，檢測到對系統(tǒng)的闖入或闖入的企圖”（參見國際（參見國際GB/T18336GB/T18336）。）。5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng) 入侵檢測入侵檢測模型與具體系統(tǒng)和具體輸入無關(guān)，模型與具體系統(tǒng)和具體輸入無關(guān)，是一種通用的模型體系結(jié)構(gòu)，如是一種通用的模型體系結(jié)構(gòu)，如下下圖所示。圖所示。5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)

2、v將入侵檢測的軟件與硬件的組合稱為入侵檢將入侵檢測的軟件與硬件的組合稱為入侵檢測系統(tǒng)（測系統(tǒng)（Intrusion Detection SystemIntrusion Detection System，IDSIDS），它是一套監(jiān)控計算機系統(tǒng)或網(wǎng)絡系統(tǒng)），它是一套監(jiān)控計算機系統(tǒng)或網(wǎng)絡系統(tǒng)中發(fā)生的事件，根據(jù)規(guī)則進行安全審計的軟中發(fā)生的事件，根據(jù)規(guī)則進行安全審計的軟件或硬件系統(tǒng)，是防火墻的合理補充，幫助件或硬件系統(tǒng)，是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），

3、提高了信息安全基礎結(jié)構(gòu)的完別和響應），提高了信息安全基礎結(jié)構(gòu)的完整性整性5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)入侵檢測系統(tǒng)的構(gòu)成與功能入侵檢測系統(tǒng)的構(gòu)成與功能 通常，入侵檢測系統(tǒng)有以下通常，入侵檢測系統(tǒng)有以下4 4個部件組成。個部件組成。v事件發(fā)生器事件發(fā)生器提供事件記錄流的信息源，提供事件記錄流的信息源，從網(wǎng)絡中獲取所有的數(shù)據(jù)包從網(wǎng)絡中獲取所有的數(shù)據(jù)包, ,然后將所有的數(shù)然后將所有的數(shù)據(jù)包傳送給分析引擎進行數(shù)據(jù)分析和處理。據(jù)包傳送給分析引擎進行數(shù)據(jù)分析和處理。v事件分析器事件分析器接收信息源的數(shù)據(jù)，進行數(shù)接收信息源的數(shù)據(jù)，進行數(shù)據(jù)分析和協(xié)議分析，通過這些分析發(fā)現(xiàn)入侵據(jù)分析和協(xié)議分析，通過這

4、些分析發(fā)現(xiàn)入侵現(xiàn)象，從而進行下一步的操作?，F(xiàn)象，從而進行下一步的操作。5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)v響應單元響應單元對基于分析引擎的數(shù)據(jù)結(jié)果產(chǎn)對基于分析引擎的數(shù)據(jù)結(jié)果產(chǎn)生反應，包括切斷連接、發(fā)出報警信息或發(fā)生反應，包括切斷連接、發(fā)出報警信息或發(fā)動對攻擊者的反擊等。動對攻擊者的反擊等。v事件數(shù)據(jù)庫事件數(shù)據(jù)庫存放各種中間和最終數(shù)據(jù)的存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復雜的數(shù)據(jù)庫，也可地方的統(tǒng)稱，它可以是復雜的數(shù)據(jù)庫，也可以是簡單的文本文件。以是簡單的文本文件。5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng) 5.2.2 5.2.2 入侵檢測系統(tǒng)的構(gòu)成與功能入侵檢測系統(tǒng)的構(gòu)成與功能 入

5、侵檢測系統(tǒng)的組成如入侵檢測系統(tǒng)的組成如下下圖所示。圖所示。5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)入侵檢測系統(tǒng)的構(gòu)成與功能入侵檢測系統(tǒng)的構(gòu)成與功能 入侵檢測系統(tǒng)的基本入侵檢測系統(tǒng)的基本功能：功能：v檢測和分析用戶與系統(tǒng)的活動。檢測和分析用戶與系統(tǒng)的活動。v審計系統(tǒng)配置和漏洞。審計系統(tǒng)配置和漏洞。v評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。v識別已知攻擊。識別已知攻擊。v統(tǒng)計分析異常行為。統(tǒng)計分析異常行為。v操作系統(tǒng)的審計、跟蹤、管理，并識別違反安全操作系統(tǒng)的審計、跟蹤、管理，并識別違反安全策略的用戶活動。策略的用戶活動。5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)入侵

6、檢測系統(tǒng)的分類入侵檢測系統(tǒng)的分類 1 1按照檢測類型劃分按照檢測類型劃分v（1 1）異常檢測模）異常檢測模(Anomalydetection)(Anomalydetection)：它的：它的前提條件是入侵者活動異常于正常主體的活前提條件是入侵者活動異常于正常主體的活動。動。v（2 2）特征檢測模型）特征檢測模型(Signature-based (Signature-based detection)detection)：又稱誤用檢測模型（：又稱誤用檢測模型（Misuse Misuse detectiondetection），這一檢測假設入侵者活動可以），這一檢測假設入侵者活動可以用一種模式來表示

7、，系統(tǒng)的目標是檢測主體用一種模式來表示，系統(tǒng)的目標是檢測主體活動是否符合這些模式?；顒邮欠穹线@些模式。5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)的分類2 2按照檢測對象劃分按照檢測對象劃分v（1 1）基于主機的入侵檢測產(chǎn)品（）基于主機的入侵檢測產(chǎn)品（HIDSHIDS）通常）通常是安裝在被重點檢測的主機之上，主要是對是安裝在被重點檢測的主機之上，主要是對該主機的網(wǎng)絡進行實時連接以及系統(tǒng)審計日該主機的網(wǎng)絡進行實時連接以及系統(tǒng)審計日志進行智能分析和判斷。志進行智能分析和判斷。5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng) HIDSHIDS系統(tǒng)還存在以下優(yōu)點。系統(tǒng)還存在以下優(yōu)點

8、。v性能價格比高，在主機數(shù)量較少的情況下，性能價格比高，在主機數(shù)量較少的情況下，這種方法的性能價格比可能更高。盡管基于這種方法的性能價格比可能更高。盡管基于網(wǎng)絡的入侵檢測系統(tǒng)能很容易地提供廣泛覆網(wǎng)絡的入侵檢測系統(tǒng)能很容易地提供廣泛覆蓋，但其價格通常是昂貴的。蓋，但其價格通常是昂貴的。v更加精確，可以很容易地檢測一些活動，如更加精確，可以很容易地檢測一些活動，如對敏感文件、目錄、程序或端口的存取，而對敏感文件、目錄、程序或端口的存取，而這些活動很難在基于網(wǎng)絡的系統(tǒng)中被發(fā)現(xiàn)。這些活動很難在基于網(wǎng)絡的系統(tǒng)中被發(fā)現(xiàn)。v視野集中，一旦入侵者得到了一個主機的用視野集中，一旦入侵者得到了一個主機的用戶名和口

9、令，基于主機的代理是最有可能區(qū)戶名和口令，基于主機的代理是最有可能區(qū)分正常的活動和非法的活動的。分正常的活動和非法的活動的。5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)的分類 （2 2）基于網(wǎng)絡的入侵檢測產(chǎn)品（）基于網(wǎng)絡的入侵檢測產(chǎn)品（NIDSNIDS）放置）放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。此外，各種數(shù)據(jù)包。此外，NIDSNIDS系統(tǒng)還存在以下優(yōu)系統(tǒng)還存在以下優(yōu)點。點。v隱蔽性好，一個網(wǎng)絡上的檢測器不像一個主隱蔽性好，一個網(wǎng)絡上的檢測器不像一個主機那樣顯眼和易被存取，因而也不那么容易機那樣顯眼和易被存取，因而

10、也不那么容易遭受攻擊。遭受攻擊。v視野更寬，基于網(wǎng)絡的入侵檢測甚至可以在視野更寬，基于網(wǎng)絡的入侵檢測甚至可以在網(wǎng)絡的邊緣上，即攻擊者還沒能接入網(wǎng)絡時網(wǎng)絡的邊緣上，即攻擊者還沒能接入網(wǎng)絡時就被發(fā)現(xiàn)并制止。就被發(fā)現(xiàn)并制止。5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)的分類v較少的監(jiān)測器，由于使用一個檢測器就可以較少的監(jiān)測器，由于使用一個檢測器就可以保護一個共享的網(wǎng)段，所以不需要很多的檢保護一個共享的網(wǎng)段，所以不需要很多的檢測器。測器。v攻擊者不易轉(zhuǎn)移證據(jù)，基于網(wǎng)絡的攻擊者不易轉(zhuǎn)移證據(jù)，基于網(wǎng)絡的IDSIDS使用正使用正在發(fā)生的網(wǎng)絡通信進行實時攻擊的檢測，所在發(fā)生的網(wǎng)絡通信

11、進行實時攻擊的檢測，所以攻擊者無法轉(zhuǎn)移證據(jù)。被捕獲的數(shù)據(jù)不僅以攻擊者無法轉(zhuǎn)移證據(jù)。被捕獲的數(shù)據(jù)不僅包括攻擊的方法，而且還包括可識別黑客身包括攻擊的方法，而且還包括可識別黑客身份和對其進行起訴的信息。份和對其進行起訴的信息。5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)v操作系統(tǒng)無關(guān)性，基于網(wǎng)絡的操作系統(tǒng)無關(guān)性，基于網(wǎng)絡的IDSIDS作為安全監(jiān)作為安全監(jiān)測資源，與主機的操作系統(tǒng)無關(guān)。與之相比，測資源，與主機的操作系統(tǒng)無關(guān)。與之相比，基于主機的系統(tǒng)必須在特定的、沒有遭到破基于主機的系統(tǒng)必須在特定的、沒有遭到破壞的操作系統(tǒng)中才能正常工作，生成有用的壞的操作系統(tǒng)中才能正常工作，生成有用的結(jié)果。結(jié)果。v占資源

12、少，在被保護的設備上不用占用任何占資源少，在被保護的設備上不用占用任何資源。資源。 5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng) 5.2.4 5.2.4 入侵檢測系統(tǒng)的部署入侵檢測系統(tǒng)的部署v 一般入侵檢測產(chǎn)品通常由兩部分組成：傳感器一般入侵檢測產(chǎn)品通常由兩部分組成：傳感器（SensorSensor）與控制臺（）與控制臺（ConsoleConsole）。）。下圖為入侵檢下圖為入侵檢測系統(tǒng)一般部署圖：測系統(tǒng)一般部署圖：5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng) 基于網(wǎng)絡的入侵檢測系統(tǒng)需要有傳感器才能基于網(wǎng)絡的入侵檢測系統(tǒng)需要有傳感器才能工作。工作。要使要使入侵檢測系統(tǒng)工作在最佳狀態(tài)入侵檢測系統(tǒng)工作在最

13、佳狀態(tài)下下, ,一般可以采取以下選擇。一般可以采取以下選擇。v放在邊界防火墻之內(nèi)，傳感器可以發(fā)現(xiàn)所有放在邊界防火墻之內(nèi)，傳感器可以發(fā)現(xiàn)所有來自來自Internet Internet 的攻擊，然而如果攻擊類型是的攻擊，然而如果攻擊類型是TCPTCP攻擊，而防火墻或過濾路由器能封鎖這種攻擊，而防火墻或過濾路由器能封鎖這種攻擊，那么入侵檢測系統(tǒng)可能就檢測不到這攻擊，那么入侵檢測系統(tǒng)可能就檢測不到這種攻擊的發(fā)生。種攻擊的發(fā)生。5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)v放在邊界防火墻之外，可以檢測所有對保護放在邊界防火墻之外，可以檢測所有對保護網(wǎng)絡的攻擊事件網(wǎng)絡的攻擊事件。v放在主要的網(wǎng)絡中樞中，傳感器

14、可以監(jiān)控大放在主要的網(wǎng)絡中樞中，傳感器可以監(jiān)控大量的網(wǎng)絡數(shù)據(jù)，可提高檢測黑客攻擊的可能量的網(wǎng)絡數(shù)據(jù)，可提高檢測黑客攻擊的可能性，可通過授權(quán)用戶的權(quán)利周界來發(fā)現(xiàn)未授性，可通過授權(quán)用戶的權(quán)利周界來發(fā)現(xiàn)未授權(quán)用戶的行為。權(quán)用戶的行為。v放在一些安全級別需求高的子網(wǎng)中，對非常放在一些安全級別需求高的子網(wǎng)中，對非常重要的系統(tǒng)和資源的入侵檢測重要的系統(tǒng)和資源的入侵檢測。5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)入侵檢測系統(tǒng)的選型入侵檢測系統(tǒng)的選型v對于入侵檢測系統(tǒng)的選擇，首先必須從技術(shù)對于入侵檢測系統(tǒng)的選擇，首先必須從技術(shù)上、物理結(jié)構(gòu)和策略上綜合考慮網(wǎng)絡環(huán)境，上、物理結(jié)構(gòu)和策略上綜合考慮網(wǎng)絡環(huán)境，以及網(wǎng)絡中

15、存在哪些應用和設備、自身網(wǎng)絡以及網(wǎng)絡中存在哪些應用和設備、自身網(wǎng)絡已經(jīng)部署了哪些安全設備，從而明確哪種入已經(jīng)部署了哪些安全設備，從而明確哪種入侵檢測系統(tǒng)適合自身的網(wǎng)絡環(huán)境。侵檢測系統(tǒng)適合自身的網(wǎng)絡環(huán)境。v其次確定入侵檢測的范圍，即是主要關(guān)注來其次確定入侵檢測的范圍，即是主要關(guān)注來自企業(yè)外部的入侵事件還是來自內(nèi)部人員的自企業(yè)外部的入侵事件還是來自內(nèi)部人員的入侵，是否使用入侵，是否使用IDSIDS用于管理控制其他應用用于管理控制其他應用。5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)入侵防護技術(shù)入侵防護技術(shù)IPSIPSv入侵防護（入侵防護（Intrusion Prevention SystemIntru

16、sion Prevention System，IPSIPS）技術(shù)是一種主動的、積極的入侵防范及）技術(shù)是一種主動的、積極的入侵防范及阻止系統(tǒng)。它部署在網(wǎng)絡的進出口處，當它阻止系統(tǒng)。它部署在網(wǎng)絡的進出口處，當它檢測到攻擊企圖后，會自動地將攻擊包丟掉檢測到攻擊企圖后，會自動地將攻擊包丟掉或采取措施將攻擊源阻斷?；虿扇〈胧⒐粼醋钄唷?.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)入侵防護技術(shù)入侵防護技術(shù)IPSIPS IPSIPS主要的技術(shù)優(yōu)勢如下所示。主要的技術(shù)優(yōu)勢如下所示。v在線安裝在線安裝IPSIPS保留保留IDSIDS實時檢測的技術(shù)與實時檢測的技術(shù)與功能，但是卻采用了防火墻式的在線安裝。功能，但是卻

17、采用了防火墻式的在線安裝。v實時阻斷實時阻斷IPSIPS具有強有力的實時阻斷功能，具有強有力的實時阻斷功能，能夠預先對入侵活動和攻擊性網(wǎng)絡流量進行能夠預先對入侵活動和攻擊性網(wǎng)絡流量進行攔截，避免其造成任何損失。攔截，避免其造成任何損失。5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)入侵防護技術(shù)入侵防護技術(shù)IPSIPSv先進的檢測技術(shù)先進的檢測技術(shù)主要是并行處理檢測和主要是并行處理檢測和協(xié)議重組分析。協(xié)議重組分析。v特殊規(guī)則植入功能特殊規(guī)則植入功能IPSIPS允許植入特殊規(guī)則允許植入特殊規(guī)則以阻止惡意代碼。以阻止惡意代碼。IPSIPS能夠輔助實施可接收應能夠輔助實施可接收應用策略用策略。v自學習與自適應能力自學習與自適應能力為了應對不斷更新和為了應對不斷更新和提高的攻擊手段，提高的攻擊手段，IPSIPS具有了人工智能的自學具有了人工智能的自學習與自適應能力。習與自適應能力。5.4 5.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)入侵防護技術(shù)入侵防護技術(shù)IPSIPS 從保護對象上可將從保護對象上可將IPSIPS分為分為3 3類類v基于主機的入侵防護（基于主機的入侵防護（HIPSHIPS），用于保護服