入侵檢測系統(tǒng)

1、入侵檢測系統(tǒng)入侵檢測系統(tǒng)2本章概要本章概要本章針對入侵檢測系統(tǒng)展開詳盡的描述：本章針對入侵檢測系統(tǒng)展開詳盡的描述：p 入侵檢測系統(tǒng)的概念；入侵檢測系統(tǒng)的概念；p 入侵檢測系統(tǒng)的主要技術(shù)；入侵檢測系統(tǒng)的主要技術(shù)；p 入侵檢測系統(tǒng)的類型；入侵檢測系統(tǒng)的類型；p 入侵檢測系統(tǒng)的優(yōu)缺點；入侵檢測系統(tǒng)的優(yōu)缺點；p 入侵檢測系統(tǒng)的部署方式。入侵檢測系統(tǒng)的部署方式。3課程目標(biāo)課程目標(biāo)通過本章的學(xué)習(xí)，讀者應(yīng)能夠：通過本章的學(xué)習(xí)，讀者應(yīng)能夠：p 了解入侵檢測系統(tǒng)工作基本原理；了解入侵檢測系統(tǒng)工作基本原理；p 了解入侵檢測系統(tǒng)在整個安全防護(hù)體系中的作用；了解入侵檢測系統(tǒng)在整個安全防護(hù)體系中的作用；p 掌握入侵檢測

2、系統(tǒng)的部署方式。掌握入侵檢測系統(tǒng)的部署方式。4入侵檢測系統(tǒng)的概念入侵檢測系統(tǒng)的概念 當(dāng)前，平均每當(dāng)前，平均每20秒就發(fā)生一次入侵計算機(jī)網(wǎng)絡(luò)的事件，秒就發(fā)生一次入侵計算機(jī)網(wǎng)絡(luò)的事件，超過超過1/3的互聯(lián)網(wǎng)防火墻被攻破！面對接二連三的安全問題，的互聯(lián)網(wǎng)防火墻被攻破！面對接二連三的安全問題，人們不禁要問：到底是安全問題本身太復(fù)雜，以至于不可能人們不禁要問：到底是安全問題本身太復(fù)雜，以至于不可能被徹底解決，還是仍然可以有更大的改善，只不過我們所采被徹底解決，還是仍然可以有更大的改善，只不過我們所采取安全措施中缺少了某些重要的環(huán)節(jié)。有關(guān)數(shù)據(jù)表明，后一取安全措施中缺少了某些重要的環(huán)節(jié)。有關(guān)數(shù)據(jù)表明，后一種

3、解釋更說明問題。有權(quán)威機(jī)構(gòu)做過入侵行為統(tǒng)計，發(fā)現(xiàn)有種解釋更說明問題。有權(quán)威機(jī)構(gòu)做過入侵行為統(tǒng)計，發(fā)現(xiàn)有80來自于網(wǎng)絡(luò)內(nèi)部，也就是說，來自于網(wǎng)絡(luò)內(nèi)部，也就是說，“堡壘堡壘”是從內(nèi)部被攻破是從內(nèi)部被攻破的。另外，在相當(dāng)一部分黑客攻擊中，黑客都能輕易地繞過的。另外，在相當(dāng)一部分黑客攻擊中，黑客都能輕易地繞過防火墻而攻擊網(wǎng)站服務(wù)器。這就使人們認(rèn)識到：僅靠防火墻防火墻而攻擊網(wǎng)站服務(wù)器。這就使人們認(rèn)識到：僅靠防火墻仍然遠(yuǎn)遠(yuǎn)不能將仍然遠(yuǎn)遠(yuǎn)不能將“不速之客不速之客”拒之門外，還必須借助于一個拒之門外，還必須借助于一個“補(bǔ)救補(bǔ)救”環(huán)節(jié)環(huán)節(jié)入侵檢測系統(tǒng)。入侵檢測系統(tǒng)。5什么是入侵檢測系統(tǒng)？什么是入侵檢測系統(tǒng)？ 入

4、侵檢測系統(tǒng)入侵檢測系統(tǒng)(Intrusiondetetionsystem，簡稱，簡稱IDS)是指是指監(jiān)視監(jiān)視(或者在可能的情況下阻止或者在可能的情況下阻止)入侵或者試圖控制你的系統(tǒng)入侵或者試圖控制你的系統(tǒng)或者網(wǎng)絡(luò)資源的行為的系統(tǒng)。作為分層安全中日益被越普遍或者網(wǎng)絡(luò)資源的行為的系統(tǒng)。作為分層安全中日益被越普遍采用的成分，入侵檢測系統(tǒng)能有效地提升黑客進(jìn)入網(wǎng)絡(luò)系統(tǒng)采用的成分，入侵檢測系統(tǒng)能有效地提升黑客進(jìn)入網(wǎng)絡(luò)系統(tǒng)的門檻。入侵檢測系統(tǒng)能夠通過向管理員發(fā)出入侵或者入侵的門檻。入侵檢測系統(tǒng)能夠通過向管理員發(fā)出入侵或者入侵企圖來加強(qiáng)當(dāng)前的存取控制系統(tǒng)，例如防火墻企圖來加強(qiáng)當(dāng)前的存取控制系統(tǒng)，例如防火墻;識別

5、防火墻通識別防火墻通常不能識別的攻擊，如來自企業(yè)內(nèi)部的攻擊；在發(fā)現(xiàn)入侵企常不能識別的攻擊，如來自企業(yè)內(nèi)部的攻擊；在發(fā)現(xiàn)入侵企圖之后提供必要的信息。圖之后提供必要的信息。6入侵檢測是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展入侵檢測是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進(jìn)攻識包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機(jī)，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干個關(guān)鍵點收集信息，并分析這些信息，檢網(wǎng)絡(luò)系統(tǒng)中的若干個關(guān)鍵點收集信息，并分析這些信息，檢測網(wǎng)絡(luò)

6、中是否有違反安全策略的行為和遭到襲擊的跡象。它測網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。它的作用是監(jiān)控網(wǎng)絡(luò)和計算機(jī)系統(tǒng)是否出現(xiàn)被入侵或濫用的征的作用是監(jiān)控網(wǎng)絡(luò)和計算機(jī)系統(tǒng)是否出現(xiàn)被入侵或濫用的征兆。兆。作為監(jiān)控和識別攻擊的標(biāo)準(zhǔn)解決方案，作為監(jiān)控和識別攻擊的標(biāo)準(zhǔn)解決方案，IDS系統(tǒng)已經(jīng)成為安防系統(tǒng)已經(jīng)成為安防體系的重要組成部分。體系的重要組成部分。IDS系統(tǒng)以后臺進(jìn)程的形式運行。發(fā)現(xiàn)可疑情況，立即通知有系統(tǒng)以后臺進(jìn)程的形式運行。發(fā)現(xiàn)可疑情況，立即通知有關(guān)人員。關(guān)人員。7防火墻為網(wǎng)絡(luò)提供了第一道防線，入侵檢測被認(rèn)為是防火墻之防火墻為網(wǎng)絡(luò)提供了第一道防線，入侵檢測被認(rèn)為是防火墻之后的第二道安

7、全閘門，在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行檢測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保行檢測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。由于入侵檢測系統(tǒng)是防火墻后的又一道防線，從而可以護(hù)。由于入侵檢測系統(tǒng)是防火墻后的又一道防線，從而可以極大地減少網(wǎng)絡(luò)免受各種攻擊的損害。極大地減少網(wǎng)絡(luò)免受各種攻擊的損害。假如說防火墻是一幢大樓的門鎖，那入侵檢測系統(tǒng)就是這幢大假如說防火墻是一幢大樓的門鎖，那入侵檢測系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。門鎖可以防止小偷進(jìn)入大樓，但不能保證樓里的監(jiān)視系統(tǒng)。門鎖可以防止小偷進(jìn)入大樓，但不能保證小偷小偷100地被拒

8、之門外，更不能防止大樓內(nèi)部個別人員的地被拒之門外，更不能防止大樓內(nèi)部個別人員的不良企圖。而一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行不良企圖。而一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，門鎖就沒有任何作用了，這時，只有實時監(jiān)視系統(tǒng)才能為，門鎖就沒有任何作用了，這時，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。入侵檢測系統(tǒng)不僅僅針對外來的入侵發(fā)現(xiàn)情況并發(fā)出警告。入侵檢測系統(tǒng)不僅僅針對外來的入侵者，同時也針對內(nèi)部的入侵行為。者，同時也針對內(nèi)部的入侵行為。8入侵檢測系統(tǒng)的特點入侵檢測系統(tǒng)的特點 對一個成功的入侵檢測系統(tǒng)來講，它不但可使系統(tǒng)管理對一個成功的入侵檢測系統(tǒng)來講，它不但可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)

9、系統(tǒng)員時刻了解網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和硬件設(shè)備等包括程序、文件和硬件設(shè)備等)的任何的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點是，它應(yīng)該具有管理方便、配置簡單的特性，從而使非專點是，它應(yīng)該具有管理方便、配置簡單的特性，從而使非專業(yè)人員非常容易地管理網(wǎng)絡(luò)安全。而且，入侵檢測的規(guī)模還業(yè)人員非常容易地管理網(wǎng)絡(luò)安全。而且，入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時做出響應(yīng)，包括切斷網(wǎng)絡(luò)連檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時做出響應(yīng)，包括

10、切斷網(wǎng)絡(luò)連接、記錄事件和報警等。因此，一個好的入侵檢測系統(tǒng)應(yīng)具接、記錄事件和報警等。因此，一個好的入侵檢測系統(tǒng)應(yīng)具有如下特點：有如下特點：9 a.不需要人工干預(yù)即可不間斷地運行。不需要人工干預(yù)即可不間斷地運行。 b.有容錯功能。即使系統(tǒng)發(fā)生了崩潰，也不會丟失數(shù)據(jù)，有容錯功能。即使系統(tǒng)發(fā)生了崩潰，也不會丟失數(shù)據(jù)，或者在系統(tǒng)重新啟動時重建自己的知識庫?；蛘咴谙到y(tǒng)重新啟動時重建自己的知識庫。 c.不需要占用大量的系統(tǒng)資源。不需要占用大量的系統(tǒng)資源。 d.能夠發(fā)現(xiàn)異于正常行為的操作。如果某個能夠發(fā)現(xiàn)異于正常行為的操作。如果某個IDS系統(tǒng)使系系統(tǒng)使系統(tǒng)由統(tǒng)由“跑跑”變成了變成了“爬爬”，就不要考慮使用。

11、，就不要考慮使用。10 e.能夠適應(yīng)系統(tǒng)行為的長期變化。例如系統(tǒng)中增加了一能夠適應(yīng)系統(tǒng)行為的長期變化。例如系統(tǒng)中增加了一個新的應(yīng)用軟件，系統(tǒng)寫照就會發(fā)生變化，個新的應(yīng)用軟件，系統(tǒng)寫照就會發(fā)生變化，IDS必須能適應(yīng)必須能適應(yīng)這種變化。這種變化。 f.判斷準(zhǔn)確。相當(dāng)強(qiáng)的堅固性，防止被篡改而收集到錯判斷準(zhǔn)確。相當(dāng)強(qiáng)的堅固性，防止被篡改而收集到錯誤的信息。誤的信息。 g.靈活定制。解決方案必須能夠滿足用戶要求。靈活定制。解決方案必須能夠滿足用戶要求。 h.保持領(lǐng)先。能及時升級。保持領(lǐng)先。能及時升級。11入侵行為的誤判入侵行為的誤判 入侵行為判斷的準(zhǔn)確性是衡量入侵行為判斷的準(zhǔn)確性是衡量IDS是否高效的重

12、要技術(shù)是否高效的重要技術(shù)指標(biāo)，因為，指標(biāo)，因為，IDS系統(tǒng)很容易出現(xiàn)判斷失誤，這些判斷失誤系統(tǒng)很容易出現(xiàn)判斷失誤，這些判斷失誤分為：正誤判、負(fù)誤判和失控誤判三類。分為：正誤判、負(fù)誤判和失控誤判三類。 1.1.正誤判正誤判(falsepositive(falsepositive) ) 概念：概念：把一個合法操作判斷為異常行為。把一個合法操作判斷為異常行為。 特點：特點：導(dǎo)致用戶不理會導(dǎo)致用戶不理會IDS的報警，類似于的報警，類似于“狼來了狼來了”的的后果，使得用戶逐漸對后果，使得用戶逐漸對IDS的報警淡漠起來，這種的報警淡漠起來，這種“淡漠淡漠”非常危險，將使非常危險，將使IDS形同虛設(shè)。形同虛

13、設(shè)。12 2.負(fù)誤判負(fù)誤判(fasenegative) 概念：概念：把一個攻擊動作判斷為非攻擊行為，并允許其通把一個攻擊動作判斷為非攻擊行為，并允許其通過檢測。過檢測。 特點：特點：背離了安全防護(hù)的宗旨，背離了安全防護(hù)的宗旨，IDS系統(tǒng)成為例行公事，系統(tǒng)成為例行公事，后果十分嚴(yán)重。后果十分嚴(yán)重。 3.失控誤判失控誤判(subversion) 概念：概念：攻擊者修改了攻擊者修改了IDS系統(tǒng)的操作，使它總是出現(xiàn)負(fù)誤系統(tǒng)的操作，使它總是出現(xiàn)負(fù)誤判的情況。判的情況。 特點：特點：不易覺察，長此以往，對這些不易覺察，長此以往，對這些“合法合法”操作操作IDS將將不會報警。不會報警。13入侵檢測的主要技術(shù)

14、一入侵分析技術(shù)入侵檢測的主要技術(shù)一入侵分析技術(shù)入侵分析技術(shù)主要有三大類：入侵分析技術(shù)主要有三大類：簽名、統(tǒng)計及數(shù)據(jù)完整性。簽名、統(tǒng)計及數(shù)據(jù)完整性。14簽名分析法簽名分析法 簽名分析法主要用來檢測有無對系統(tǒng)的己知弱點進(jìn)行的簽名分析法主要用來檢測有無對系統(tǒng)的己知弱點進(jìn)行的攻擊行為。這類攻擊可以通過監(jiān)視有無針對特定對象的某種攻擊行為。這類攻擊可以通過監(jiān)視有無針對特定對象的某種行為而被檢測到。行為而被檢測到。 主要方法：從攻擊模式中歸納出其簽名，編寫到主要方法：從攻擊模式中歸納出其簽名，編寫到IDS系系統(tǒng)的代碼里，再由統(tǒng)的代碼里，再由IDS系統(tǒng)對檢測過程中收集到的信息進(jìn)行系統(tǒng)對檢測過程中收集到的信息進(jìn)

15、行簽名分析。簽名分析。 簽名分析實際上是一個模板匹配操作，匹配的一方是系簽名分析實際上是一個模板匹配操作，匹配的一方是系統(tǒng)設(shè)置情況和用戶操作動作，一方是已知攻擊模式的簽名數(shù)統(tǒng)設(shè)置情況和用戶操作動作，一方是已知攻擊模式的簽名數(shù)據(jù)庫。據(jù)庫。15統(tǒng)計分析法統(tǒng)計分析法 統(tǒng)計分析法是以系統(tǒng)正常使用情況下觀察到的動作為基統(tǒng)計分析法是以系統(tǒng)正常使用情況下觀察到的動作為基礎(chǔ)，如果某個操作偏離了正常的軌道，此操作就值得懷疑。礎(chǔ)，如果某個操作偏離了正常的軌道，此操作就值得懷疑。 主要方法：首先根據(jù)被檢測系統(tǒng)的正常行為定義出一個主要方法：首先根據(jù)被檢測系統(tǒng)的正常行為定義出一個規(guī)律性的東西，在此稱為規(guī)律性的東西，在此

16、稱為“寫照寫照”，然后檢測有沒有明顯偏，然后檢測有沒有明顯偏離離“寫照寫照”的行為。的行為。 統(tǒng)計分析法的理論基礎(chǔ)是統(tǒng)計學(xué)，此方法中，統(tǒng)計分析法的理論基礎(chǔ)是統(tǒng)計學(xué)，此方法中，“寫照寫照”的確定至關(guān)重要。的確定至關(guān)重要。16數(shù)據(jù)完整性分析法數(shù)據(jù)完整性分析法 數(shù)據(jù)完整性分析法主要用來查證文件或?qū)ο笫欠癖恍薷臄?shù)據(jù)完整性分析法主要用來查證文件或?qū)ο笫欠癖恍薷倪^，它的理論基礎(chǔ)是密碼學(xué)。過，它的理論基礎(chǔ)是密碼學(xué)。 上述分析技術(shù)在上述分析技術(shù)在IDS中會以各種形式出現(xiàn)，把這些方法中會以各種形式出現(xiàn)，把這些方法組合起來使用，互相彌補(bǔ)不足是最好的解決方案，從而在組合起來使用，互相彌補(bǔ)不足是最好的解決方案，從而在

17、IDS系統(tǒng)內(nèi)部實現(xiàn)多層次、多手段的入侵檢測功能。如簽名系統(tǒng)內(nèi)部實現(xiàn)多層次、多手段的入侵檢測功能。如簽名分析方法沒有發(fā)現(xiàn)的攻擊可能正好被統(tǒng)計分析方法捕捉到。分析方法沒有發(fā)現(xiàn)的攻擊可能正好被統(tǒng)計分析方法捕捉到。入侵檢測系統(tǒng)的主要類型入侵檢測系統(tǒng)的主要類型18應(yīng)用軟件入侵檢測應(yīng)用軟件入侵檢測(Application Intrusion Detection) 1. 1.概念概念 在應(yīng)用軟件級收集信息。在應(yīng)用軟件級收集信息。 2.優(yōu)點優(yōu)點 控制性好控制性好具有很高的可控性。具有很高的可控性。 3.缺點缺點 a.需要支持的應(yīng)用軟件數(shù)量多；需要支持的應(yīng)用軟件數(shù)量多；19 b.只能保護(hù)一個組件只能保護(hù)一個組件

18、針對軟件的針對軟件的IDS系統(tǒng)只能對特系統(tǒng)只能對特定的軟件進(jìn)行分析，系統(tǒng)中其他的組件不能得到保護(hù)。定的軟件進(jìn)行分析，系統(tǒng)中其他的組件不能得到保護(hù)。 網(wǎng)絡(luò)入侵檢測系統(tǒng)網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS)可以分為基于網(wǎng)絡(luò)數(shù)據(jù)包分析的可以分為基于網(wǎng)絡(luò)數(shù)據(jù)包分析的和基于主機(jī)的兩種基本方式。簡單說，前者在網(wǎng)絡(luò)通信中尋和基于主機(jī)的兩種基本方式。簡單說，前者在網(wǎng)絡(luò)通信中尋找符合網(wǎng)絡(luò)入侵模版的數(shù)據(jù)包，并立即做出相應(yīng)反應(yīng)；后者找符合網(wǎng)絡(luò)入侵模版的數(shù)據(jù)包，并立即做出相應(yīng)反應(yīng)；后者在宿主系統(tǒng)審計日志文件中尋找攻擊特征，然后給出統(tǒng)計分在宿主系統(tǒng)審計日志文件中尋找攻擊特征，然后給出統(tǒng)計分析報告。它們各有優(yōu)缺點，互相作為補(bǔ)充。析報

19、告。它們各有優(yōu)缺點，互相作為補(bǔ)充。20基于主機(jī)的入侵檢測基于主機(jī)的入侵檢測(Host Intrusion Detection) 1. 1.概念概念 基于主機(jī)的入侵檢測始于基于主機(jī)的入侵檢測始于20世紀(jì)世紀(jì)80年代早期，通常采用年代早期，通常采用查看針對可疑行為的審計記錄來執(zhí)行。它對新的記錄條目與查看針對可疑行為的審計記錄來執(zhí)行。它對新的記錄條目與攻擊特征進(jìn)行比較，并檢查不應(yīng)該被改變的系統(tǒng)文件的校驗攻擊特征進(jìn)行比較，并檢查不應(yīng)該被改變的系統(tǒng)文件的校驗和來分析系統(tǒng)是否被侵入或者被攻擊。如果發(fā)現(xiàn)與攻擊模式和來分析系統(tǒng)是否被侵入或者被攻擊。如果發(fā)現(xiàn)與攻擊模式匹配，匹配，IDS系統(tǒng)通過向管理員報警和其他

20、呼叫行為來響應(yīng)。系統(tǒng)通過向管理員報警和其他呼叫行為來響應(yīng)。它的主要目的是在事件發(fā)生后提供足夠的分析來阻止進(jìn)一步它的主要目的是在事件發(fā)生后提供足夠的分析來阻止進(jìn)一步的攻擊。反應(yīng)的時間依賴于定期檢測的時間間隔。實時性沒的攻擊。反應(yīng)的時間依賴于定期檢測的時間間隔。實時性沒有基于網(wǎng)絡(luò)的有基于網(wǎng)絡(luò)的IDS系統(tǒng)好。系統(tǒng)好。21 2.優(yōu)點優(yōu)點 基于主機(jī)的入侵檢測具有以下優(yōu)勢：基于主機(jī)的入侵檢測具有以下優(yōu)勢： a.監(jiān)視所有系統(tǒng)行為。基于主機(jī)的監(jiān)視所有系統(tǒng)行為。基于主機(jī)的IDS能夠監(jiān)視所有的能夠監(jiān)視所有的用戶登錄和退出，甚至用戶所做的所有操作，審計系統(tǒng)在日用戶登錄和退出，甚至用戶所做的所有操作，審計系統(tǒng)在日志里

21、記錄的策略改變，監(jiān)視關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的改志里記錄的策略改變，監(jiān)視關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的改變等。可以提供比基于網(wǎng)絡(luò)的變等?？梢蕴峁┍然诰W(wǎng)絡(luò)的IDS更為詳細(xì)的主機(jī)內(nèi)部活動更為詳細(xì)的主機(jī)內(nèi)部活動信息。信息。 b.有些攻擊在網(wǎng)絡(luò)的數(shù)據(jù)流中很難發(fā)現(xiàn)，或者根本沒有有些攻擊在網(wǎng)絡(luò)的數(shù)據(jù)流中很難發(fā)現(xiàn)，或者根本沒有通過網(wǎng)絡(luò)在本地進(jìn)行。這時基于網(wǎng)絡(luò)的通過網(wǎng)絡(luò)在本地進(jìn)行。這時基于網(wǎng)絡(luò)的IDS系統(tǒng)將無能為力。系統(tǒng)將無能為力。22 c.適應(yīng)交換和加密?；谥鳈C(jī)的適應(yīng)交換和加密?；谥鳈C(jī)的IDS系統(tǒng)可以較為靈活地系統(tǒng)可以較為靈活地配置在多個關(guān)鍵主機(jī)上，不必考慮交換和網(wǎng)絡(luò)拓?fù)鋯栴}。這配置在多個關(guān)鍵主機(jī)上，不必

22、考慮交換和網(wǎng)絡(luò)拓?fù)鋯栴}。這對關(guān)鍵主機(jī)零散地分布在多個網(wǎng)段上的環(huán)境特別有利。某些對關(guān)鍵主機(jī)零散地分布在多個網(wǎng)段上的環(huán)境特別有利。某些類型的加密也是對基于網(wǎng)絡(luò)的入侵檢測的挑戰(zhàn)。依靠加密方類型的加密也是對基于網(wǎng)絡(luò)的入侵檢測的挑戰(zhàn)。依靠加密方法在協(xié)議堆棧中的位置，它可能使基于網(wǎng)絡(luò)的系統(tǒng)不能判斷法在協(xié)議堆棧中的位置，它可能使基于網(wǎng)絡(luò)的系統(tǒng)不能判斷確切的攻擊?；谥鳈C(jī)的確切的攻擊。基于主機(jī)的IDS沒有這種限制。沒有這種限制。 d.不要求額外的硬件?；谥鳈C(jī)的不要求額外的硬件?；谥鳈C(jī)的IDS配置在被保護(hù)的配置在被保護(hù)的網(wǎng)絡(luò)設(shè)備中，不要求在網(wǎng)絡(luò)上增加額外的硬件。網(wǎng)絡(luò)設(shè)備中，不要求在網(wǎng)絡(luò)上增加額外的硬件。23

23、 3.缺點缺點 a.看不到網(wǎng)絡(luò)活動的狀況。看不到網(wǎng)絡(luò)活動的狀況。 b.運行審計功能要占用額外系統(tǒng)資源。運行審計功能要占用額外系統(tǒng)資源。 C.主機(jī)監(jiān)視感應(yīng)器對不同的平臺不能通用。主機(jī)監(jiān)視感應(yīng)器對不同的平臺不能通用。 d.管理和實施比較復(fù)雜。管理和實施比較復(fù)雜。24基于網(wǎng)絡(luò)的入侵檢測基于網(wǎng)絡(luò)的入侵檢測(NetworkIntrusionDetection) 1. 1.概念概念 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始的裸網(wǎng)絡(luò)包作為源。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始的裸網(wǎng)絡(luò)包作為源。利用工作在混雜模式下的網(wǎng)卡實時監(jiān)視和分析所有的通過共利用工作在混雜模式下的網(wǎng)卡實時監(jiān)視和分析所有的通過共享式網(wǎng)絡(luò)的傳輸。當(dāng)前，部分

24、產(chǎn)品也可以利用交換式網(wǎng)絡(luò)中享式網(wǎng)絡(luò)的傳輸。當(dāng)前，部分產(chǎn)品也可以利用交換式網(wǎng)絡(luò)中的端口映射功能來監(jiān)視特定端口的網(wǎng)絡(luò)入侵行為。一旦攻擊的端口映射功能來監(jiān)視特定端口的網(wǎng)絡(luò)入侵行為。一旦攻擊被檢測到，響應(yīng)模塊將按照配置對攻擊做出反應(yīng)。這些反應(yīng)被檢測到，響應(yīng)模塊將按照配置對攻擊做出反應(yīng)。這些反應(yīng)通常包括發(fā)送電子郵件、尋呼、記錄日志、切斷網(wǎng)絡(luò)連接等。通常包括發(fā)送電子郵件、尋呼、記錄日志、切斷網(wǎng)絡(luò)連接等。 2.優(yōu)點優(yōu)點 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)具有以下幾方面的優(yōu)勢：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)具有以下幾方面的優(yōu)勢：25 a.基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的ID技術(shù)不要求在大量的主機(jī)上安裝和管理技術(shù)不要求在大量的主機(jī)上安裝和管理

25、軟件，允許在重要的訪問端口檢查面向多個網(wǎng)絡(luò)系統(tǒng)的流量。軟件，允許在重要的訪問端口檢查面向多個網(wǎng)絡(luò)系統(tǒng)的流量。在一個網(wǎng)段只需要安裝一套系統(tǒng)，則可以監(jiān)視整個網(wǎng)段的通在一個網(wǎng)段只需要安裝一套系統(tǒng)，則可以監(jiān)視整個網(wǎng)段的通信，因而花費較低。信，因而花費較低。 b.基于主機(jī)的基于主機(jī)的IDS不查看包頭，因而會遺漏一些關(guān)鍵信不查看包頭，因而會遺漏一些關(guān)鍵信息，而基于網(wǎng)絡(luò)的息，而基于網(wǎng)絡(luò)的IDS檢查所有的包頭來識別惡意和可疑行檢查所有的包頭來識別惡意和可疑行為。例如，許多拒絕服務(wù)攻擊為。例如，許多拒絕服務(wù)攻擊(DoS)只能在它們通過網(wǎng)絡(luò)傳輸只能在它們通過網(wǎng)絡(luò)傳輸時檢查包頭信息才能識別。時檢查包頭信息才能識別。

26、26 c.基于網(wǎng)絡(luò)基于網(wǎng)絡(luò)IDS的宿主機(jī)通常處于比較隱蔽的位置，基的宿主機(jī)通常處于比較隱蔽的位置，基本上不對外提供服務(wù)，因此也比較堅固。這樣對于攻擊者來本上不對外提供服務(wù)，因此也比較堅固。這樣對于攻擊者來說，消除攻擊證據(jù)非常困難。捕獲的數(shù)據(jù)不僅包括攻擊方法，說，消除攻擊證據(jù)非常困難。捕獲的數(shù)據(jù)不僅包括攻擊方法，還包括可以輔助證明和作為起訴證據(jù)的信息。而基于主機(jī)還包括可以輔助證明和作為起訴證據(jù)的信息。而基于主機(jī)IDS的數(shù)據(jù)源則可能已經(jīng)被精通審計日志的黑客篡改。的數(shù)據(jù)源則可能已經(jīng)被精通審計日志的黑客篡改。 d.基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDS具有更好的實時性。例如，它可以在具有更好的實時性。例如，它可以

27、在目標(biāo)主機(jī)崩潰之前切斷目標(biāo)主機(jī)崩潰之前切斷TCP連接，從而達(dá)到保護(hù)的目的。而連接，從而達(dá)到保護(hù)的目的。而基于主機(jī)的系統(tǒng)是在攻擊發(fā)生之后，用于防止攻擊者的進(jìn)一基于主機(jī)的系統(tǒng)是在攻擊發(fā)生之后，用于防止攻擊者的進(jìn)一步攻擊。步攻擊。27 e.檢測不成功的攻擊和惡意企圖?；诰W(wǎng)絡(luò)的檢測不成功的攻擊和惡意企圖?；诰W(wǎng)絡(luò)的IDS可以檢可以檢測到不成功的攻擊企圖，而基于主機(jī)的系統(tǒng)則可能會遺漏一測到不成功的攻擊企圖，而基于主機(jī)的系統(tǒng)則可能會遺漏一些重要信息。些重要信息。 f.基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDS不依賴于被保護(hù)主機(jī)的操作系統(tǒng)。不依賴于被保護(hù)主機(jī)的操作系統(tǒng)。 3.缺點缺點 a.對加密通信無能為力。對加密通信無

28、能為力。 b.對高速網(wǎng)絡(luò)無能為力。對高速網(wǎng)絡(luò)無能為力。 c.不能預(yù)測命令的執(zhí)行后果。不能預(yù)測命令的執(zhí)行后果。28集成入侵檢測集成入侵檢測(Integrated Intrusion Detection) 1. 1.概念概念 綜合了上面介紹的幾種技術(shù)的入侵檢測方法。綜合了上面介紹的幾種技術(shù)的入侵檢測方法。 2.優(yōu)點優(yōu)點 a.具有每一種檢測技術(shù)的優(yōu)點，并試圖彌補(bǔ)各自的不足。具有每一種檢測技術(shù)的優(yōu)點，并試圖彌補(bǔ)各自的不足。 b.趨勢分析趨勢分析能夠更容易看清長期攻擊和跨網(wǎng)絡(luò)攻擊的能夠更容易看清長期攻擊和跨網(wǎng)絡(luò)攻擊的模式。模式。 C.穩(wěn)定性好。穩(wěn)定性好。 d.節(jié)約成本節(jié)約成本-購買集成化解決方案相對于分

29、別購買獨立組購買集成化解決方案相對于分別購買獨立組件的解決方案，可節(jié)約開支。件的解決方案，可節(jié)約開支。 3.缺點缺點 a.在安防問題上不思進(jìn)取。在安防問題上不思進(jìn)取。 b.把不同供應(yīng)商的組件集成在一起較困難。把不同供應(yīng)商的組件集成在一起較困難。29入侵檢測系統(tǒng)的優(yōu)點和不足入侵檢測系統(tǒng)的優(yōu)點和不足30入侵測系統(tǒng)的優(yōu)點入侵測系統(tǒng)的優(yōu)點 入侵檢測系統(tǒng)能夠增強(qiáng)網(wǎng)絡(luò)的安全性，它的優(yōu)點：入侵檢測系統(tǒng)能夠增強(qiáng)網(wǎng)絡(luò)的安全性，它的優(yōu)點：p 能夠使現(xiàn)有的安防體系更完善；能夠使現(xiàn)有的安防體系更完善；p 能夠更好地掌握系統(tǒng)的情況；能夠更好地掌握系統(tǒng)的情況；p 能夠追蹤攻擊者的攻擊線路；能夠追蹤攻擊者的攻擊線路；p 界

30、面友好，便于建立安防體系；界面友好，便于建立安防體系；p 能夠抓住肇事者。能夠抓住肇事者。31入侵檢測系統(tǒng)的不足入侵檢測系統(tǒng)的不足入侵檢測系統(tǒng)不是萬能的，它同樣存在許多不足之處：入侵檢測系統(tǒng)不是萬能的，它同樣存在許多不足之處：p 不能夠在沒有用戶參與的情況下對攻擊行為展開調(diào)查；不能夠在沒有用戶參與的情況下對攻擊行為展開調(diào)查；p 不能夠在沒有用戶參與的情況下阻止攻擊行為的發(fā)生；不能夠在沒有用戶參與的情況下阻止攻擊行為的發(fā)生；p 不能克服網(wǎng)絡(luò)協(xié)議方面的缺陷；不能克服網(wǎng)絡(luò)協(xié)議方面的缺陷；p 不能克服設(shè)計原理方面的缺陷；不能克服設(shè)計原理方面的缺陷；p 響應(yīng)不夠及時，簽名數(shù)據(jù)庫更新得不夠快。經(jīng)常是事后才

31、響應(yīng)不夠及時，簽名數(shù)據(jù)庫更新得不夠快。經(jīng)常是事后才檢測到，適時性不好。檢測到，適時性不好。32帶入侵檢測功能的網(wǎng)絡(luò)體系結(jié)構(gòu)帶入侵檢測功能的網(wǎng)絡(luò)體系結(jié)構(gòu) 由前述可知，入侵檢測系統(tǒng)能做什么，不能做什么；至由前述可知，入侵檢測系統(tǒng)能做什么，不能做什么；至于它在網(wǎng)絡(luò)體系結(jié)構(gòu)的位置，很大程度上取決于使用于它在網(wǎng)絡(luò)體系結(jié)構(gòu)的位置，很大程度上取決于使用IDS的的目的。它既可以放在防火墻前面，部署一個網(wǎng)絡(luò)目的。它既可以放在防火墻前面，部署一個網(wǎng)絡(luò)IDS，監(jiān)視，監(jiān)視以整個內(nèi)部網(wǎng)為目標(biāo)的攻擊，又可以在每個子網(wǎng)上都放置網(wǎng)以整個內(nèi)部網(wǎng)為目標(biāo)的攻擊，又可以在每個子網(wǎng)上都放置網(wǎng)絡(luò)感應(yīng)器，監(jiān)視網(wǎng)絡(luò)上的一切活動。絡(luò)感應(yīng)器，監(jiān)視網(wǎng)絡(luò)上的一切活動。 網(wǎng)絡(luò)網(wǎng)絡(luò)IDS參見下頁圖所示：參見下頁圖所示：33IDS部署示意部署示意InternetIDS 1IDS 2IDS 3IDS 4子網(wǎng)