5.2 入侵檢測系統(tǒng)

通信網(wǎng)絡安全與防護第五章網(wǎng)絡防護技術《通信網(wǎng)絡安全與防護》防火墻：定義、功能與不足；主要技術；功能與性能。安全隔離技術：基本概念；網(wǎng)閘的結構與工作原理；應用場景。知識回顧知識回顧防火墻不具備（）功能。A.包過濾B.查毒C.記錄訪問過程D.代理防火墻的工作層次是決定防火墻效率及安全的主要因素，下面敘述中正確的是（）A.防火墻工作層次越高，工作效率越高，安全性越低B.防火墻工作層次越低，工作效率越低，安全性越低C.防火墻工作層次越高，工作效率越低，安全性越高D.防火墻工作層次越低，工作效率越高，安全性越高5.4蜜罐與蜜網(wǎng)蜜罐定義蜜罐分類蜜網(wǎng)的概念5.2入侵檢測系統(tǒng)定義、發(fā)展、分類體系結構檢測分析技術主要內(nèi)容教學目標(1)掌握入侵檢測系統(tǒng)的基本概念，熟悉入侵檢測系統(tǒng)的體系結構;(2)掌握入侵檢測系統(tǒng)的檢測方法;(3)掌握蜜罐與蜜網(wǎng)基本概念，熟悉蜜罐的分類，了解蜜罐的搭建方法。為什么需要入侵檢測？隨著計算機網(wǎng)絡知識的普及，攻擊者越來越多，知識日趨成熟，攻擊工具和方法日趨復雜多樣，單純的防火墻策略已經(jīng)無法滿足對安全高度敏感的部門的需要。網(wǎng)絡的防衛(wèi)必須采用一種縱深的、多樣的手段。5.2入侵檢測系統(tǒng)大門警衛(wèi)------------防火墻（Firewall）監(jiān)控系統(tǒng)-----------入侵檢測系統(tǒng)（IDS）入侵（Intrusion）：是指對任何企圖危及系統(tǒng)及資源的完整性、機密性和可用性的活動。入侵檢測（IntrusionDetection）：即對入侵行為的發(fā)覺。是指“通過對行為、安全日志或審計數(shù)據(jù)或其它網(wǎng)絡上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖”(GB/T18336）。1.概念5.2.1入侵檢測概述5.2.1入侵檢測概述威懾檢測響應損失情況評估攻擊預測起訴支持入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）：進行入侵檢測的軟件或硬件的組合。1.概念一個安全的入侵檢測系統(tǒng)必須具備以下特點：（1）可行性：入侵檢測系統(tǒng)不能影響到系統(tǒng)的正常運行。（2）安全性：引入的入侵檢測系統(tǒng)本身需要是安全的、可用的。（3）實時性：入侵檢測系統(tǒng)是檢測系統(tǒng)所受到的攻擊行為的，必須及時地檢測到這種威脅。（4）擴展性：入侵檢測系統(tǒng)必須是可擴展的，入侵檢測系統(tǒng)在不改變機制的前提下能夠檢測到新的攻擊，5.2.1入侵檢測概述1.概念1980年，JamesAnderson在技術報告ComputerSecurityThreatMonitoringandSurveillance中引入了入侵檢測這個概念。

1986年Denning博士論文AnIntrusionDetectionModel是IDS的經(jīng)典之作1983-1986美國斯坦福研究院進行了一項編號為6169的計劃，即“審計跟蹤系統(tǒng)的統(tǒng)計技術發(fā)展”。該計劃通過行為特征來區(qū)分不同用戶。這些統(tǒng)計過程將審計跟蹤信息量減少了100倍，檢測入侵企圖的準確性很高。2.發(fā)展歷史和現(xiàn)狀5.2.1入侵檢測概述第一代IDS（1994~1997）IDS雛形，技術探討階段Snort－公開源代碼第二代IDS（1997~2000）

商品化IDS

百兆環(huán)境下的成熟應用第三代IDS（2000~2002）

千兆網(wǎng)絡環(huán)境的成功應用第四代IDS（2003開始）

入侵管理型的IDS5.2.1入侵檢測概述2.發(fā)展歷史和現(xiàn)狀1)誤報和漏報2)阻斷攻擊能力弱3)基于網(wǎng)絡包捕獲的IDS對加密數(shù)據(jù)無能為力4）對針對NIDS自身的DoS攻擊防御能力弱5)維護比較難入侵檢測系統(tǒng)存在的問題：5.2.1入侵檢測概述2.發(fā)展歷史和現(xiàn)狀1）體系結構的發(fā)展2）分析技術的智能化：如神經(jīng)網(wǎng)絡技術、數(shù)據(jù)挖掘等；3）響應策略的研究：如聯(lián)動和報復等；4）與其它安全技術相結合：如IPS即將IDS與Firewall功能合二為一；長遠看，IDS作為獨立的產(chǎn)品形態(tài)可能會消失，其功能會融合到其它設備之中（如防火墻、路由器和交換機等）。發(fā)展趨勢：5.2.1入侵檢測概述2.發(fā)展歷史和現(xiàn)狀從數(shù)據(jù)來源和系統(tǒng)結構分類，入侵檢測系統(tǒng)分為三類：基于主機的入侵檢測系統(tǒng)-HIDS基于網(wǎng)絡的入侵檢測系統(tǒng)-NIDS分布式入侵檢測系統(tǒng)（混合型）-DIDS3.入侵檢測系統(tǒng)分類5.2.1入侵檢測概述HIDS的輸入數(shù)據(jù)來源于系統(tǒng)的審計日志，它只能檢測發(fā)生在這個主機上的入侵行為。所以，這種檢測系統(tǒng)一般應用在系統(tǒng)服務器、用戶機器和工作站上。其缺點是對整個網(wǎng)絡的保護有限。審計數(shù)據(jù)基于主機的入侵檢測系統(tǒng)審計數(shù)據(jù)過濾審計分析分析員基于主機的入侵檢測系統(tǒng)過程5.2.1入侵檢測概述3.入侵檢測系統(tǒng)分類能夠更加準確地判斷攻擊是否成功：使用含有已發(fā)生事件信息的HIDS，它們可以比NIDS（基于網(wǎng)絡的入侵檢測系統(tǒng)）做出更加準確地判斷；可監(jiān)視特定的系統(tǒng)活動：如用戶訪問文件的活動、非正常行為、用戶賬號的變化等；HIDS可以檢測到那些基于網(wǎng)絡的系統(tǒng)察覺不到的攻擊：例如，來自網(wǎng)絡內(nèi)部的攻擊；由于基于主機的系統(tǒng)安裝在企業(yè)的各種主機上，它們更適用于交換和加密的環(huán)境;檢測和響應及時，價格更低。HIDS具有如下優(yōu)點：5.2.1入侵檢測概述3.入侵檢測系統(tǒng)分類內(nèi)部網(wǎng)絡黑客內(nèi)部人員$告警傳輸網(wǎng)絡5.2.1入侵檢測概述網(wǎng)絡入侵檢測系統(tǒng)（Network-basedIDS，NIDS）通過在網(wǎng)段上對通信數(shù)據(jù)進行偵聽，采集數(shù)據(jù)，分析可疑現(xiàn)象，根據(jù)網(wǎng)絡流量、協(xié)議分析、簡單網(wǎng)絡管理協(xié)議信息等檢測入侵。3.入侵檢測系統(tǒng)分類分布式入侵檢測系統(tǒng)（DistributedIDS，DIDS）綜合了基于主機和基于網(wǎng)絡的IDS的功能。它通過收集、合并來自多個主機的審計數(shù)據(jù)和檢查網(wǎng)絡通信，能夠檢測出多個主機發(fā)起的協(xié)同攻擊?？刂破?DIDSDirector)局域網(wǎng)代理(LANAgent)主機代理(HostAgent)5.2.1入侵檢測概述DIDS3.入侵檢測系統(tǒng)分類單主機二組件：收集組件和分析組件分布式結構：分級組織模型網(wǎng)絡組織模型混合組織模型5.2.2IDS的體系結構1.

IDS體系結構演變過程命令和控制節(jié)點匯聚節(jié)點收集節(jié)點分級體系結構5.2.2IDS的體系結構1.

IDS體系結構演變過程網(wǎng)狀體系結構將收集、匯聚和命令控制功能集成到一個駐留在每個監(jiān)控系統(tǒng)上的組件中。5.2.2IDS的體系結構1.

IDS體系結構演變過程命令和控制節(jié)點匯聚節(jié)點收集節(jié)點混合體系結構5.2.2IDS的體系結構1.

IDS體系結構演變過程IDS進行標準化工作的兩個組織IETF（InternetEngineeringTaskForce）下屬的IDWG（IntrusionDetectionWorkGroup)CIDF（CommonIntrusionDetectionFramework)通用入侵檢測框架5.2.2IDS的體系結構2.通用入侵檢測框架輸出：高級中斷事件輸出：事件的存儲信息輸出：反應或事件輸出：原始或低級事件事件生成器響應單元事件分析器事件數(shù)據(jù)庫目錄服務器輸入：原始事件源CIDF定義的體系結構5.2.2IDS的體系結構2.通用入侵檢測框架(1)

缺乏有效性(2)

有限的靈活性(3)

單點失效(4)

有限的響應能力(5)

缺乏對入侵檢測關鍵組件的保護(6)

缺乏有效的協(xié)同5.2.2IDS的體系結構3.現(xiàn)有IDS體系結構的局限性DES按設計時的分析，需要2283年才能破譯；DES的密鑰量太小，密鑰量為256；1977年，Diffie.Hellman提出制造一個每秒測試106的VLSI芯片，則一天就可以搜索完整個密鑰空間，當時造價2千萬美元。CRYPTO’93：R.Session，M.Wiener提出并行密鑰搜索芯片，每秒測試5x107個密鑰，5760片這種芯片，造價10萬美元，平均一天即可找到密鑰。基于異常的入侵檢測（AnomalyDetection）首先給系統(tǒng)對象(單個用戶、一組用戶、主機或系統(tǒng)中某個關鍵程序或文件等)創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性。測量屬性的平均值將用來與網(wǎng)絡、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外，就認為有入侵發(fā)生。5.2.3IDS的檢測分析方法1.基于異常的入侵檢測異常檢測：特點是通過對系統(tǒng)異常行為的檢測，可以歸結出未知攻擊模式。關鍵問題：正常使用模式的建立，以及如何對當前的系統(tǒng)行為進行比較，從而判斷出與正常模式的偏離程度。模式：由一系列的系統(tǒng)參量來定義;參量：是指系統(tǒng)行為在特定方面的衡量標準。每個參量都對應一個門限值或對應一個變化區(qū)間。5.2.3IDS的檢測分析方法1.基于異常的入侵檢測與其他技術相結合的異常檢測方法基于統(tǒng)計分析的異常檢測基于數(shù)據(jù)挖掘的異常檢測基于神經(jīng)網(wǎng)絡的異常檢測優(yōu)點不需要攻擊特征庫可檢測到未知的入侵和更為復雜的入侵缺點建立正常行為閾值難度大誤報、漏報率高5.2.3IDS的檢測分析方法1.基于異常的入侵檢測誤用（Misuse）：指“可以用某種規(guī)則、方式、模型表示的入侵攻擊或其他安全相關行為”?；谡`用的入侵檢測（MisuseDetection）技術：通過某種方式預先定義入侵行為，然后監(jiān)視系統(tǒng)的運行，井根據(jù)所建立的這種入侵模式來檢測入侵，并從中找出符合預先定義規(guī)則的入侵行為。2.基于誤用的入侵檢測5.2.3IDS的檢測分析方法該模型通過使用某種模式或信號標識來表示攻擊，進而發(fā)現(xiàn)相同的攻擊。這種檢測技術可以檢測已知的許多甚至全部攻擊行為，但是對于未知的攻擊手段卻無能為力。審計數(shù)據(jù)誤用檢測技術攻擊狀態(tài)修正現(xiàn)有規(guī)則添加新的規(guī)則時間信息規(guī)則匹配？2.基于誤用的入侵檢測5.2.3IDS的檢測分析方法基于誤用的入侵檢測的主要方法基于模式匹配基于專家系統(tǒng)基于模型按鍵監(jiān)視2.基于誤用的入侵檢測5.2.3IDS的檢測分析方法

1）模式匹配間隔持續(xù)時間存在模式序列模式規(guī)則模式其他模式匹配模式的層次關系3.常用的誤用檢測技術5.2.3IDS的檢測分析方法Internet110010101100010101000010101(attack)分片、亂序(tatkca)000010101100010101110010101110010101100010101000010101重組接收數(shù)據(jù)(attack)被攻擊攻擊攻擊特征報警模式匹配

1）模式匹配3.常用的誤用檢測技術5.2.3IDS的檢測分析方法協(xié)議匹配

alerttcp$EXTERNAL_NETany一>$HOME_NETany（msg：“SCANNULL”；flags：0；seq：0；ack：0；reference：arachnids，4；classtype：attempted-recon；sid：623；rev:1；)

1）模式匹配3.常用的誤用檢測技術5.2.3IDS的檢測分析方法字符串匹配

alerttcp$EXTERNAL_NETany一>$HTTP_SERVERS$HTTP_PORTS（msg：“WEB_ATTACKSpscommandattempt”；flow：to_Server，etablished；uricontent：“/bin/ps”；nocase；sid：1328；lasstype：web-application-attack；rev：4；)

1）模式匹配3.常用的誤用檢測技術5.2.3IDS的檢測分析方法長度匹配

alerttcp$EXTERNAL_NETany一>$HTTP_SERVERS$HTTP_PORTS(msg:“WEB-IISISAPI.idaattempt”；uficontent：“.ida?”；nocase；dsize：>239；low：to_server,established；reference：arachnids，552；classtype：web-application-attack；reference：bugtraq，1065；reference:cve,CAN-2000-0071；sid：1243；rev：6；)

1）模式匹配3.常用的誤用檢測技術5.2.3IDS的檢測分析方法累積匹配或增量匹配：通過對某些事件出現(xiàn)的量（次數(shù)或單位時間次數(shù)）來產(chǎn)生新的事件。邏輯匹配或集合匹配：一些有更強事件檢測能力的IDS，通過對不同類型的事件組合來進行判斷，從而獲得新的事件。

1）模式匹配3.常用的誤用檢測技術5.2.3IDS的檢測分析方法單純模式匹配方法的根本問題是把網(wǎng)絡數(shù)據(jù)包看作無序隨意的字節(jié)流，造成檢測效率低下。

協(xié)議分析在攻擊檢測中充分利用網(wǎng)絡通信中標準的、層次化的、格式化的網(wǎng)絡數(shù)據(jù)包結構，進行逐層分析，然后再使用模式匹配方法，提高檢測效率。

2）協(xié)議分析3.常用的誤用檢測技術5.2.3IDS的檢測分析方法0020DAD3C5805254AB27C00408004500003407BA40004006A0F6CA72A518CA725816040B005023E5241E50BB078080109310BD0A00000101080A0002259E01A3C881捕獲的數(shù)據(jù)包示例匹配攻擊特征字符串——“GET/cgi-bin/../phf”需要多次匹配，效率低下

2）協(xié)議分析3.常用的誤用檢測技術5.2.3IDS的檢測分析方法通過協(xié)議分析，可以大大減少模式匹配計算量，且提高精度。0020DAD3C5805254AB27C00408004500003407BA40004026A0F6CA72A518CA725816040B005023E5241E50BB078080109310BD0A00000101080A0002259E01A3C881以太網(wǎng)類型字段IP協(xié)議字段TCP目的端口號字段捕獲的數(shù)據(jù)包示例

2）協(xié)議分析3.常用的誤用檢測技術5.2.3IDS的檢測分析方法蜜罐主機是一種資源，它被偽裝成一個實際目標。蜜罐主機希望人們?nèi)ス艋蛉肭炙?.4蜜罐與蜜網(wǎng)蜜罐的價值在于被探測、攻擊和損害。默默地收集盡可能多的同入侵有關的信息，例如攻擊模式，使用的程序，攻擊意圖和黑客社團文化等等。幫助我們明白黑客社團以及他們的攻擊行為，以便更好的防御安全威脅。什么是蜜罐？一、蜜罐基本概念5.4.1蜜罐基本概念應用于工作環(huán)境中的計算機經(jīng)常:缺少警告功能以致于系統(tǒng)的操作者不能意識到遭受了攻擊；處理大量的數(shù)據(jù)使得電腦黑客留下的任何證據(jù)很快就丟失了；由于操作上的原因不能離線分析。引入蜜罐的目的分散攻擊者的注意力收集同攻擊和攻擊者有關的信息1、網(wǎng)絡欺騙技術

為了使蜜罐對入侵者更具有吸引力，就要采用各種欺騙手段，例如在欺騙主機上模擬一些操作系統(tǒng)或各種漏洞、在一臺計算機上模擬整個網(wǎng)絡、在系統(tǒng)中產(chǎn)生仿真網(wǎng)絡流量等。通過這些方法，使蜜罐更像一個真實的工作系統(tǒng)，誘騙入侵者上當。2、數(shù)據(jù)控制技術

數(shù)據(jù)控制就是對黑客的行為進行牽制，規(guī)定他們能做或不能做某些事情。當系統(tǒng)被侵入時，應該保證蜜罐不會對其他的系統(tǒng)造成危害。5.4.2蜜罐的關鍵技術3、數(shù)據(jù)收集技術

蜜罐監(jiān)控者只要記錄下進、出系統(tǒng)的每個數(shù)據(jù)包，就能夠對黑客的所作所為一清二楚。蜜罐本身上面的日志文件也是很好的數(shù)據(jù)來源，但日志文件很容易被攻擊者刪除，所以通常的辦法就是讓蜜罐向在同一網(wǎng)絡上但防御機制更為完善的遠程系統(tǒng)日志服務器發(fā)送日志備份。4、報警技術

要避免入侵檢測系統(tǒng)產(chǎn)生大量的警報，因為這些警報中有很多是試探行為，并沒有實現(xiàn)真正的攻擊，所以報警系統(tǒng)需要不斷升級，需要增強與其他安全工具和網(wǎng)管系統(tǒng)的集成能力。5.4.2蜜罐的關鍵技術5、入侵行為重定向技術

所有的監(jiān)控操作必須被控制，如果IDS或嗅探器檢測到某個訪問可能是攻擊行為，不是禁止，而是將此數(shù)據(jù)復制一份，同時將入侵行為重定向到預先配置好的蜜罐機器上。這樣就不會攻擊到要保護的真正的資源，這就要求誘騙環(huán)境和真實環(huán)境之間切換不但要快而且要真實再現(xiàn)。5.4.2蜜罐的關鍵技術從應用層面分為兩種類型的蜜罐：產(chǎn)品型蜜罐（production）：用于幫助降低組織的安全風險；

研究型蜜罐（research）：意味著收集