網(wǎng)絡安全與管理第6章-入侵檢測課件

1、第6章 入侵檢測主講：6.1 入侵檢測方法6.1.1 異常入侵檢測技術(shù)6.1.2 誤用入侵檢測技術(shù)6.1 入侵檢測方法 入侵（Intrusion）不僅包括發(fā)起攻擊的人取得超出范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕訪問等對計算機造成危害的行為。 入侵檢測（Intrusion Detection）便是對入侵行為的發(fā)覺。它通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。 入侵檢測系統(tǒng)（Intrusion Detection System，IDS）指的是任何有能力檢測系統(tǒng)或網(wǎng)絡狀態(tài)改變的系統(tǒng)或系統(tǒng)的集合，它能發(fā)送警報

2、或采取預先設置好的行動來幫助保護網(wǎng)絡。6.1.1 異常入侵檢測技術(shù) 異常檢測技術(shù)是運行在系統(tǒng)層或應用層的監(jiān)控程序通過將當前主體的活動情況和用戶輪廓進行比較來監(jiān)控用戶的行為。當當前主體的活動與正常行為有重大偏離時即被認為是入侵行為。 如果系統(tǒng)錯誤地將異?；顒佣x為入侵稱為錯報，如果系統(tǒng)未能檢測出真正的入侵行為則稱為漏報。如下圖所示是異常檢測技術(shù)的模型。6.1.2 異常入侵檢測技術(shù) 誤用檢測的前提是首先提取已知入侵行為的特征，建立入侵特征庫，然后將當前用戶或系統(tǒng)行為與入侵特征庫中的記錄進行匹配，如果相匹配就認為當前用戶或系統(tǒng)行為是入侵，否則入侵檢測系統(tǒng)認為是正常行為。很顯然，如果正常行為與入侵特征

3、相匹配，則入侵檢測系統(tǒng)發(fā)生錯報，而如果沒有入侵特征與某種新的攻擊行為相匹配，則IDS系統(tǒng)發(fā)生漏報。如下圖所示是誤用檢測模型。6.2 入侵檢測系統(tǒng)的設計原理6.1.1 基于主機系統(tǒng)的結(jié)構(gòu)6.1.2 基于網(wǎng)絡系統(tǒng)的結(jié)構(gòu)6.2.3 基于分布式系統(tǒng)的結(jié)構(gòu)6.2.4 入侵檢測系統(tǒng)需求特性6.2.5 入侵檢測框架簡介6.2.1 基于主機系統(tǒng)的結(jié)構(gòu) 基于主機的入侵檢測系統(tǒng)(HIDS)通常從主機的審計記錄和日志文件中獲得所需要的主要數(shù)據(jù)，并輔助以主機上的其他信息，例如文件系統(tǒng)屬性、進程狀態(tài)等，在此基礎上完成檢測攻擊行為的任務。從技術(shù)發(fā)展的歷程來看，入侵檢測是從主機審計的技術(shù)上發(fā)展起來的，因而早期的入侵檢測系統(tǒng)

4、都是基于主機的入侵檢測技術(shù)。 基于主機的IDS的結(jié)構(gòu)如下頁圖所示。6.2.1 基于主機系統(tǒng)的結(jié)構(gòu) HIDS的優(yōu)點如下： （1）能夠監(jiān)視特定的系統(tǒng)行為。基于主機的IDS能夠監(jiān)視所有的用戶登錄和退出，甚至用戶所做的所有操作，日志里記錄的審計系統(tǒng)策略的改變，關鍵系統(tǒng)文件和可執(zhí)行文件的改變等。 （2）HIDS能夠確定攻擊是否成功。由于使用含有已經(jīng)發(fā)生事件的信息，它們可以比網(wǎng)絡入侵檢測系統(tǒng)更加準確地判斷攻擊是否成功。 （3）有些攻擊在網(wǎng)絡數(shù)據(jù)中很難發(fā)現(xiàn)，或者根本沒有通過網(wǎng)絡而在本地進行。這時網(wǎng)絡入侵檢測系統(tǒng)將無能為力，只能借助HIDS。6.2.2 基于網(wǎng)絡系統(tǒng)的結(jié)構(gòu) 基于網(wǎng)絡的入侵檢測系統(tǒng)NIDS如下圖

5、所示，通過在共享式網(wǎng)絡上對通信數(shù)據(jù)進行偵聽采集數(shù)據(jù)，分析可疑現(xiàn)象。6.2.3 基于分布式系統(tǒng)的結(jié)構(gòu) 無論 NIDS還是HIDS，無論采用誤用檢測技術(shù)還是異常檢測技術(shù)，在整個數(shù)據(jù)處理過程中，包括數(shù)據(jù)的收集、預處理、分析、檢測以及檢測到入侵行為后采取的相應措施，都由單個監(jiān)控設備或者監(jiān)控程序完成。在面臨大規(guī)模、分布式的應用環(huán)境時，傳統(tǒng)的單機方式遇到了極大的挑戰(zhàn)。在這種情況下，要求各個IDS之間能夠?qū)崿F(xiàn)高效的信息共享和協(xié)作檢測。在大范圍網(wǎng)絡中部署有效的IDS推動了分布式入侵檢測系統(tǒng)的誕生和不斷發(fā)展。6.2.4 入侵檢測系統(tǒng)需求特性 入侵檢測的部署與實現(xiàn)是和用戶的需求密切相關的，有的是用來檢測內(nèi)部用戶發(fā)

6、起的攻擊行為，有的是用來檢測外部發(fā)起的攻擊行為，但根據(jù)前面的知識，無論采用什么樣的入侵檢測系統(tǒng)，也不管入侵檢測系統(tǒng)是基于什么機制，入侵檢測系統(tǒng)應該具有以下特點： （1）可靠性。檢測系統(tǒng)必須可以在無人監(jiān)控的情況下持續(xù)運行。系統(tǒng)必須是可靠的，這樣才可以允許它運行在被檢測的系統(tǒng)環(huán)境中。而且，檢測系統(tǒng)不是一個“黑匣子”，其內(nèi)部情況應該可以從外部觀察到，并且具有可控制性和可操作性。 （2）容錯性。入侵檢測系統(tǒng)必須是可容錯的，即使系統(tǒng)崩潰，檢測系統(tǒng)本身必須保留下來。 （3）可用性。入侵檢測系統(tǒng)所占用的系統(tǒng)資源要最小，這樣不會嚴重降低系統(tǒng)性能。 （4）可檢驗性。能觀察到非正常行為的行為。 （5）對觀察的系統(tǒng)

7、來說必須是易于開發(fā)的，每一個系統(tǒng)都有不同的使用模式。 （6）可適應性。檢測系統(tǒng)應能實時追蹤系統(tǒng)環(huán)境的改變，如操作系統(tǒng)和應用系統(tǒng)的升級。 （7）準確性。檢測系統(tǒng)不能隨意發(fā)送誤警報和漏報。 （8）安全性。檢測系統(tǒng)應不易于被欺騙和保護自身系統(tǒng)的安全。6.2.5 入侵檢測框架簡介 1.通用入侵檢測框架CIDF CIDF定義了IDS表達檢測信息的標準語言以及IDS組件之間的通信協(xié)議。符合CIDF規(guī)范的IDS可以共享檢測信息、相互通信、協(xié)同工作，還可以與其他系統(tǒng)配合，協(xié)調(diào)實施統(tǒng)一的配置響應和恢復策略。CIDF的主要工作在于集成各種IDS使之協(xié)同工作，實現(xiàn)各IDS之間的組件重用，所以CIDF也是構(gòu)建分布式I

8、DS的基礎。 CIDF的體系結(jié)構(gòu)如下頁圖所示。6.2.5 入侵檢測框架簡介 2.入侵檢測交換格式IDEF 入侵檢測工作組IDWG采用面向?qū)ο蟮姆绞?，定義和設計了入侵檢測的數(shù)據(jù)模型，用于描述在不同組件之間所交換的各種警報信息、控制命令和配置信息等通信數(shù)據(jù)，然后采用基于XML的IDMEF消息格式對該數(shù)據(jù)模型進行了形式化的描述和實現(xiàn)。 數(shù)據(jù)模型用統(tǒng)一建模語言(UML)描述，UML用一個簡單的框架表示實體以及它們之間的關系，并將實體定義為類。6.3 入侵檢測系統(tǒng)的部署6.3.1 定義IDS的目標6.3.2 選擇監(jiān)視內(nèi)容 6.3.3 部署IDS6.3.1 定義IDS的目標 不同的組網(wǎng)應用可能使用不同的規(guī)

9、則配置，所以用戶在配置入侵檢測系統(tǒng)前應先明確自己的目標，建議從如下幾個方面進行考慮。 （1）明確網(wǎng)絡拓撲需求分析網(wǎng)絡拓撲結(jié)構(gòu)，需要監(jiān)控什么樣的網(wǎng)絡，是交換式的網(wǎng)絡還是共享式網(wǎng)絡。是否需要同時監(jiān)控多個網(wǎng)絡，多個子網(wǎng)是交換機連接還是通過路由器/網(wǎng)關連接。選擇網(wǎng)絡入口點，需要監(jiān)控網(wǎng)絡中的哪些數(shù)據(jù)流，IP流還是TCP/UDP流，還是應用層的各種數(shù)據(jù)包。分析關鍵網(wǎng)絡組件、網(wǎng)絡大小和復雜度。（2）安全策略需求是否限制Telnet，SSH，HTTP，HTTPS 等服務管理訪問。Telnet 登錄是否需要登錄密碼。安全的Shell（SSH）的認證機制是否需要加強。是否允許從非管理口（如以太網(wǎng)口，而不是Cons

10、ole端口）進行設備管理。（3） IDS 的管理需求有哪些接口需要配置管理服務。是否啟用Telnet 進行設備管理。是否啟用SSH 進行設備管理。是否啟用HTTP進行設備管理。是否啟用HTTPS進行設備管理。是否需要和其他設備例如防火墻進行聯(lián)動。6.3.2 選擇監(jiān)視內(nèi)容選擇監(jiān)視的網(wǎng)絡區(qū)域選擇監(jiān)視的數(shù)據(jù)包的類型根據(jù)網(wǎng)絡數(shù)據(jù)包的內(nèi)容進行檢測6.3.3 部署IDS 1.只檢測內(nèi)部網(wǎng)絡和外部網(wǎng)絡邊界流量的IDS系統(tǒng)的部署6.3.3 部署IDS 2.集中監(jiān)控多個子網(wǎng)流量6.4 管理IDS6.4.1 IDS提供的信息6.4.2 調(diào)查可疑事件6.4.1 IDS提供的信息 一般的，IDS可以提供多種形式的輸出

11、信息，既可以是將網(wǎng)絡數(shù)據(jù)包解碼后的ASCII字符形式，也可以是全文本的警報信息形式。 在安裝某一個入侵檢測系統(tǒng)之后，如下頁圖所示是一種企圖下載UNIX/Linux系統(tǒng)用戶的加密口令文件/etc/shadow的入侵。6.4.1 IDS提供的信息 6.4.2 調(diào)查可疑事件 對計算機攻擊的分析可以在攻擊正在發(fā)生的時候進行，也可以進行事后調(diào)查分析。對可疑事件的調(diào)查分析既可以借助于日志文件，也可以利用IDS提供的附屬工具進行查看和分析。IDS提供的這些工具的目的和功能都不盡相同，但是它們大多都會根據(jù)入侵檢測系統(tǒng)創(chuàng)建的警報數(shù)據(jù)庫，分析和顯示相關安全事件、協(xié)議分析、統(tǒng)計信息，并且考慮到良好的用戶界面，還可以

12、以文本、圖表的形式顯示。6.5 入侵預防措施6.5.1 預防入侵活動6.5.2 入侵預防問題 6.5.1 預防入侵活動 從功能上看，IDS是一種并聯(lián)在網(wǎng)絡上的設備，它只能被動地檢測網(wǎng)絡遭到了何種攻擊，它的阻斷攻擊能力非常有限，一般只能通過發(fā)送TCP Reset包或聯(lián)動防火墻來阻止攻擊。使用IDS進行預防入侵，一個有用的舉措是安全設備的集成，可以將IDS和防火墻之間進行聯(lián)系。如果這些服務捆綁在一起，就意味著它們可以協(xié)同工作，當IDS檢測到事件發(fā)生時，將自動通知防火墻實施相應策略，也就是說IDS可以檢測到預先設定的行為，并能阻止攻擊行為。但是做到這一點的前提是必須將IDS誤報率降至最低，否則將導致

13、整個系統(tǒng)的不正常工作。 6.5.2 入侵預防問題 1.入侵預防概述 隨著網(wǎng)絡安全技術(shù)的發(fā)展以及用戶的需求，產(chǎn)生了入侵防御系統(tǒng)（Intrusion Prevention System, IPS）。IPS是一種主動的、積極的入侵防范、阻止系統(tǒng)，它部署在網(wǎng)絡的進出口處，當它檢測到攻擊企圖后，會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。舉一個簡單的例子，IDS就如同火災預警裝置，火災發(fā)生時，它會自動報警，但無法阻止火災的蔓延，必須要有人來操作進行滅火。而IPS就像智能滅火裝置，當它發(fā)現(xiàn)有火災發(fā)生后，會主動采取措施滅火，中間不需要人的干預。 可以簡單地理解為IPS就是防火墻加上入侵檢測系統(tǒng)，但并不是說I

14、PS可以代替防火墻或入侵檢測系統(tǒng)。防火墻是粒度比較粗的訪問控制產(chǎn)品，它在基于TCP/IP協(xié)議的過濾方面表現(xiàn)出色，而且在大多數(shù)情況下，可以提供網(wǎng)絡地址轉(zhuǎn)換、服務代理、流量統(tǒng)計等功能，甚至有的防火墻還能提供VPN功能。6.5.2 入侵預防問題 2.IPS的工作原理 真正的入侵防御系統(tǒng)與傳統(tǒng)的入侵檢測系統(tǒng)的兩點關鍵區(qū)別是自動阻截和在線運行，兩者缺一不可。防御工具（軟/硬件方案）必須設置相關策略，以對攻擊自動做出響應，而不僅僅是在惡意通信進入時向網(wǎng)絡主管發(fā)出告警。要實現(xiàn)自動響應，系統(tǒng)就必須在線運行。 當黑客試圖與目標服務器建立會話時，所有數(shù)據(jù)都會經(jīng)過IPS傳感器，傳感器位于活動數(shù)據(jù)路徑中。傳感器檢測數(shù)

15、據(jù)流中的惡意代碼，核對策略，在未轉(zhuǎn)發(fā)到服務器之前將信息包或數(shù)據(jù)流阻截。由于是在線操作，因而能保證處理方法適當而且可預知。與此類比，通常的IDS響應機制（如TCP重置）則大不相同。傳統(tǒng)的IDS能檢測到信息流中的惡意代碼，但由于是被動處理通信，本身不能對數(shù)據(jù)流做任何處理。 必須在數(shù)據(jù)流中嵌入TCP包，以重置目標服務器中的會話。然而，整個攻擊信息包有可能先于TCP重置信息包到達服務器，這時系統(tǒng)才做出響應已經(jīng)來不及了。重置防火墻規(guī)則也存在相同問題，處于被動工作狀態(tài)的IDS能檢測到惡意代碼，并向防火墻發(fā)出請求阻截會話，但請求有可能到達太遲而無法防止攻擊發(fā)生。6.5 入侵預防措施6.6.1 Snort入侵

16、檢測系統(tǒng)簡介 6.6.2 Snort入侵檢測系統(tǒng)的部署6.6.3 Snort 入侵檢測系統(tǒng)的安裝6.6.4 Snort 入侵檢測系統(tǒng)的配置6.6.5 Snort 入侵檢測系統(tǒng)的測試6.6.6 終止Snort 入侵檢測系統(tǒng)的運行6.6.1 Snort入侵檢測系統(tǒng)簡介 Snort IDS是一個基于軟件的入侵檢測系統(tǒng)，是一個開放源代碼的、功能強大的、輕量級的入侵檢測與防御系統(tǒng)。它能實現(xiàn)實時網(wǎng)絡流量分析、報警、阻斷數(shù)據(jù)包以及對數(shù)據(jù)包進行日志記錄等功能。它能將協(xié)議分析技術(shù)和模式匹配技術(shù)進行組合以進行異常、誤用和攻擊檢測。 Snort有三大主要功能模塊，能像TCPdump那樣作為包嗅探工具，也能作為包日志

17、器（這對網(wǎng)絡流量跟蹤非常有用），還能作為全方位的網(wǎng)絡入侵檢測及防御系統(tǒng)。本書只討論Snort作為網(wǎng)絡入侵檢測及防御系統(tǒng)的相關知識。6.6.2 Snort入侵檢測系統(tǒng)的部署 1.Snort IDS安裝的先決條件 在安裝Snort IDS前需要安裝以下軟件。 （1）Snort IDS軟件。 （2）The AppServ Open Project-2.4.5 for Windows。 （3）數(shù)據(jù)包adodb464.zip。 （4）數(shù)據(jù)包jpgraph.1.21b.rar。 （5）安裝程序WinPcap_4_0_1.exe。 （6）數(shù)據(jù)包acid.0.9.6b23.rar。6.6.2 Snort入侵檢

18、測系統(tǒng)的部署 2.Snort IDS的部署 Snort網(wǎng)絡入侵檢測系統(tǒng)有以下三個組成部分： （1）數(shù)據(jù)捕捉器（sensor，又稱傳感器）。 （2）AppServ套件。 （3）入侵檢測分析控制臺客戶端。 該種部署方案如下頁圖所示。6.6.3 Snort入侵檢測系統(tǒng)的安裝 1. 安裝Windows系統(tǒng)中的數(shù)據(jù)包截取驅(qū)動程序 2. 安裝Snort入侵檢測系統(tǒng) 3. 安裝The AppServ Open Project-2.4.5 for Windows 4. ACID軟件包的安裝 5. ADODB軟件包的安裝 6. 安裝PHP的圖形庫6.6.4 Snort 入侵檢測系統(tǒng)的配置 1. MySQL數(shù)據(jù)庫的配置 2. Snort軟件的配置與運行 3. ACID的配置與運行6.6.5 Snort入侵檢測系統(tǒng)的測試 1. 測試工具（包括黑客工具）、測試平臺的準備 2. 進行入侵行為測試 3. 查看警報信息 4. 通過ACID平臺查看、統(tǒng)計和分析攻擊測試 6.6.6 終止Snort 入侵檢測系統(tǒng)的運行 Snort軟件可運行在嗅探模式、包日志模式和網(wǎng)絡入侵檢測模式中。如果運行在網(wǎng)絡入侵