第四節(jié)第五節(jié)攻擊檢測技術(shù)概述入侵檢測技術(shù)

1、目錄4、入侵檢測技術(shù)4.1引言4.2入侵檢測的定義及評測標(biāo)準(zhǔn)4.3入侵檢測防范的典型黑客攻擊類型4. 4異常檢測技術(shù)4.5濫用檢測技術(shù)5.4. 1. 1網(wǎng)絡(luò)入侵的特點(diǎn)網(wǎng)絡(luò)入侵的特點(diǎn)：1 沒有地域和時(shí)間的限制；2. 通過網(wǎng)絡(luò)的攻擊往往混朵在大量正常的網(wǎng)絡(luò)活動(dòng)z間，隱蔽 性強(qiáng)；3. 入侵手段更加隱蔽和復(fù)雜。5. 4. 1.2防火墻的缺點(diǎn)防火墻的缺點(diǎn)：1. 傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全防御技術(shù)，對網(wǎng)絡(luò)環(huán)境下 u新刀異的攻擊手段缺乏主動(dòng)的反應(yīng)；2. 難于防止內(nèi)部人員的攻擊，而網(wǎng)絡(luò)上來口內(nèi)部攻擊事件占70%左右；3. 難于管理和配置，易造成安全漏洞；4. 因?yàn)榉阑饓σD(zhuǎn)發(fā)報(bào)文，往

2、往成為網(wǎng)絡(luò)性能的瓶頸。這個(gè)問題隨著高帶寬網(wǎng)絡(luò)的流行 尤為嚴(yán)重；5. 單層防御體系，一旦被突破則黑客nj以為所欲為。5. 4.1.3為什么要采用入侵檢測系統(tǒng)(1) 入侵檢測技術(shù)是動(dòng)態(tài)安全技術(shù)(p2dr)的最核心的技術(shù)z檢測是靜態(tài)防護(hù)轉(zhuǎn)化為動(dòng)態(tài)的關(guān)鍵；檢測是動(dòng)態(tài)響應(yīng)的依據(jù)；檢測是落實(shí)/強(qiáng)制執(zhí)行安全策略的有力工具。防護(hù)安全策略(2) 入侵檢測系統(tǒng)(ids)是對防火墻的必要補(bǔ)充；入侵檢測是為那些已經(jīng)采取了結(jié)合強(qiáng)防火墻和驗(yàn)證技術(shù)措施的客戶準(zhǔn)備的，入侵檢測在其 上乂增加了一層安全性。(3) 對系統(tǒng)或網(wǎng)絡(luò)資源進(jìn)行實(shí)時(shí)檢測，及時(shí)發(fā)現(xiàn)闖入系統(tǒng)或網(wǎng)絡(luò)的入侵者；(4) 預(yù)防合法用戶對資源的課操作以及發(fā)現(xiàn)內(nèi)部人員作案

3、；(5) 采用被動(dòng)式的監(jiān)聽報(bào)文的方式捕獲入侵，不會(huì)成為網(wǎng)絡(luò)性能的瓶頸。5.4.2入侵檢測的定義及評測標(biāo)準(zhǔn)入侵檢測的定義入侵檢測：是指對于而向計(jì)算資源和網(wǎng)絡(luò)資源的惡意行為的識別和響應(yīng)。入侵：是指任何試圖破壞資源完整性、機(jī)密性和可用性的行為。這里，應(yīng)該包括用戶對 于系統(tǒng)資源的謀用。從入侵策略的角度可將入侵檢測的內(nèi)容分為：試圖闖入或成功闖入、冒充具它用戶、違 反安全策略、合法用戶的泄漏、獨(dú)占資源以及惡意使用等6個(gè)方面。入侵檢測的評價(jià)標(biāo)準(zhǔn)準(zhǔn)確性：指ids對系統(tǒng)環(huán)境中的異常行為(或入侵)與合法行為進(jìn)行區(qū)分的能力；性能：指tds處理審計(jì)事件的效率；完整性：指ids可以檢測到所有的攻擊；容錯(cuò)性：指ids本身

4、對于攻擊的抵御能力和從系統(tǒng)崩潰中恢復(fù)的能力；吋限性(timeliness):指ids執(zhí)行并完成分析，以及進(jìn)行響應(yīng)的吋間快慢。此外，還應(yīng)考慮以下幾點(diǎn):1. ids運(yùn)行吋，盡量減少對系統(tǒng)的開銷，以便不影響其它正常操作；2. 能夠針對系統(tǒng)的安全策略對tds進(jìn)行配置；3. 對系統(tǒng)和用戶行為隨時(shí)間的變化具有適應(yīng)性。慕于網(wǎng)絡(luò)的ids還應(yīng)具冇以下性質(zhì)：可伸縮性、部件相關(guān)性小、允許動(dòng)態(tài)重構(gòu)。5. 4.3入侵檢測防范的典型黑客攻擊類型1. 探測攻擊尋找攻擊目標(biāo)并收集相關(guān)信息及漏洞，如ping sweeps, tcp/udp scan, satan, port scan ；2. 拒絕服務(wù)攻擊一一搶占冃標(biāo)系統(tǒng)資源阻

5、止合法川戶使用系統(tǒng)或使系統(tǒng)崩潰，如ping of death, syn flood, teardrop, udpbomb, land/latierra, winnuke, trinoo, tfn2k, stacheldraht 等；3. 緩沖區(qū)溢出攻擊一一利用系統(tǒng)應(yīng)用程序屮存在的錯(cuò)誤，執(zhí)行特定的代碼以獲取系統(tǒng)的 超級權(quán)限，如 dns overflow, statd overflow 等；4. web攻擊：利用cgi、web服務(wù)器和瀏覽器屮存在的安全漏洞，損害系統(tǒng)安全或?qū)е孪到y(tǒng)崩潰，如url, http, html, javascript, frames, java, and activex 等

6、；5. 郵件攻擊：郵件炸彈、郵件滾雪球、郵件欺騙等；6. 卄授權(quán)訪問：越權(quán)訪問文件、執(zhí)行無權(quán)操作，如admind, evilftp backdoor, finger_perl, ftp_root, backorifice 等；7. 網(wǎng)絡(luò)服務(wù)缺陷攻擊：利用nfs, nis, ftp等服務(wù)存在的漏洞，進(jìn)行攻擊和非法訪問，如nfsgucss, nfsmknod等；&網(wǎng)絡(luò)監(jiān)聽：獲取有用信息，奪取網(wǎng)絡(luò)控制權(quán)，如snoop, tepdump, netwatch, sniffer等。5. 4. 4. 1基于統(tǒng)計(jì)方法的攻擊檢測技術(shù)(1)基于統(tǒng)計(jì)方法的攻擊檢測技術(shù)審計(jì)系統(tǒng)實(shí)時(shí)地檢測用戶對系統(tǒng)的使用情況，

7、根據(jù)系統(tǒng)內(nèi)部保持的用戶行為的概率統(tǒng)計(jì) 模型進(jìn)行監(jiān)測，當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時(shí)，保持跟蹤并監(jiān)測、記錄該用戶的行為。sri (stanford research institute)研制開發(fā)的 ides (intrusion detection expert system)是一個(gè)典型的實(shí)時(shí)檢測系統(tǒng)°ides系統(tǒng)能根據(jù)用戶以前的歷史行為決定用戶當(dāng)前的 行為是否合法。系統(tǒng)根據(jù)用八的歷史行為,生成每個(gè)用戶的歷史行為記錄庫。ides能夠h適應(yīng)地學(xué)習(xí)被檢測系統(tǒng)中每個(gè)用戶的行為習(xí)慣，當(dāng)某個(gè)用戶改變他的行為習(xí) 慣時(shí)，這種異常就會(huì)被檢測出來。目前ides實(shí)現(xiàn)的監(jiān)測主要基于以下兩個(gè)方面：-般項(xiàng)目：例如

8、cpu的使用時(shí)間：i/o的使用通道和頻率，常用目錄的建立與刪除, 文件的讀寫、修改、刪除，以及來口局域網(wǎng)的行為；特定項(xiàng)目：包括習(xí)慣使用的編輯器和編譯器、最常用的系統(tǒng)調(diào)用、用戶id的存取、文 件和目錄的使用。基于統(tǒng)計(jì)的攻擊檢測系統(tǒng)的缺點(diǎn)因?yàn)橛脩舻男袨榭梢允欠浅?fù)雜的，所以想要準(zhǔn)確匹配一個(gè)用戶的丿力史行為和當(dāng)前的 行為相當(dāng)困難。錯(cuò)發(fā)的警報(bào)往往來口對審計(jì)數(shù)據(jù)的統(tǒng)計(jì)算法所基丁的不準(zhǔn)確或不貼切的假設(shè)?；谏窠?jīng)網(wǎng)絡(luò)的攻擊檢測技術(shù)采用神經(jīng)網(wǎng)絡(luò)技術(shù)，根據(jù)實(shí)時(shí)檢測到的信息有效地加以處理作出攻擊可能性的判斷。神 經(jīng)網(wǎng)絡(luò)技術(shù)可以用于解決傳統(tǒng)的統(tǒng)計(jì)分析技術(shù)所面臨的以卜問題：1. 難于建立確切的統(tǒng)計(jì)分布：統(tǒng)計(jì)方法基木上

9、是依賴于用戶行為的主觀假設(shè)，如偏差高 斯分布；錯(cuò)發(fā)警報(bào)常由這種假設(shè)所導(dǎo)致；2. 難于實(shí)現(xiàn)方法的普適性：適用于某類用戶行為的檢測措施一般無法適用于另一類用3. 算法實(shí)現(xiàn)比較昂貴：由于基于統(tǒng)計(jì)的算法對不同類型的用戶行為不具有口適應(yīng)性，因 此算法比較復(fù)雜而且龐大，導(dǎo)致算法實(shí)現(xiàn)上的昂貴；4. 系統(tǒng)臃腫難于剪裁：由于采用統(tǒng)計(jì)方法檢測具有大量用戶的計(jì)算機(jī)系統(tǒng)，將不得不保 留大量的用戶行為信息，導(dǎo)致系統(tǒng)的臃腫和難于剪裁。目前，雖然神經(jīng)網(wǎng)絡(luò)技術(shù)提岀了對基于傳統(tǒng)統(tǒng)計(jì)技術(shù)的攻擊檢測方法的改進(jìn)方向，但尚 不十分成熟，所以傳統(tǒng)的統(tǒng)計(jì)方法仍將繼續(xù)發(fā)揮作用。5. 4. 5. 1基于專家系統(tǒng)的攻擊檢測技術(shù)基于專家系統(tǒng)的攻擊

10、檢測技術(shù)根據(jù)安全專家對可疑行為的分析經(jīng)驗(yàn)來形成-套推理規(guī)則，然后再在此基礎(chǔ)之上構(gòu)成相 應(yīng)的專家系統(tǒng)，并應(yīng)用于入侵檢測。所謂專家系統(tǒng)是基于一套山專家經(jīng)驗(yàn)事先定義的規(guī)則的推理系統(tǒng)。例如，在數(shù)分鐘之內(nèi) 某個(gè)用戶連續(xù)進(jìn)行登錄，而且失敗超過三次就可以被認(rèn)為是一種攻擊行為。專家系統(tǒng)對歷史數(shù)據(jù)的依賴性總的來說比基于統(tǒng)計(jì)的檢測技術(shù)的審計(jì)系統(tǒng)較少，因此系 統(tǒng)的適應(yīng)性比較強(qiáng)，可以較靈活地適應(yīng)廣泛的安全策略和檢測需求。基于規(guī)則的專家系統(tǒng)或推進(jìn)系統(tǒng)的局限性：因?yàn)樽鳛檫@類系統(tǒng)的某礎(chǔ)的推理規(guī)則一般都是根據(jù)已知的安全漏洞進(jìn)行安排和策劃的, 而對系統(tǒng)的最危險(xiǎn)的威脅則主要是來白未知的安全漏洞；其功能應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)的積累而利用

11、其白學(xué)習(xí)能力進(jìn)行規(guī)則的擴(kuò)充和修正，實(shí)際操作 起來很閑難。5. 4. 5. 2基于模型推理的攻擊檢測技術(shù)基于模型推理的攻擊檢測技術(shù)攻擊者在攻擊一個(gè)系統(tǒng)時(shí)往往采用一定的行為程序，如猜測口令的程序，這種行為程序 構(gòu)成了某種貝有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí) 時(shí)地檢測111惡意的攻擊企圖。用基于模型的推理方法人們能夠?yàn)槟承┬袨榻⑻囟ǖ哪Ｐ停瑥亩軌虮O(jiān)視具有特定行 為特征的某些活動(dòng)。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測出非法的用戶行為。i般為了準(zhǔn)確判斷，要為不同的攻擊者和不同的系統(tǒng)建立特定的攻擊腳本。5. 4. 5. 3基于模式匹配的檢測技術(shù)基于模式匹配的檢測技術(shù)在大多數(shù)入侵檢測系統(tǒng)中，識別網(wǎng)絡(luò)攻擊采用的方法述是模式匹配，這主耍是因?yàn)閮星?其它技術(shù)或者實(shí)用性較差或者實(shí)時(shí)性不能滿足要求。模式匹配的基本思想是：提取各種攻擊的特征（如協(xié)議、1p地址、服務(wù)端口等），建 立一個(gè)用于檢測的特征庫，以特征庫為依據(jù)來執(zhí)行模式匹配從而識別大量的攻擊和試探。冃前常見的模式匹配算法，如snort,存在效率低