入侵檢測(cè)系統(tǒng)(IDS)

1、入侵檢測(cè)系統(tǒng)IDS黑客攻擊日益猖獗,防范問(wèn)題日趨嚴(yán)峻v政府、軍事、郵電和金融網(wǎng)絡(luò)是黑客攻擊的主要目標(biāo)。即便已經(jīng)擁有高性能防火墻等安全產(chǎn)品，依然抵擋不住這些黑客對(duì)網(wǎng)絡(luò)和系統(tǒng)的破壞。據(jù)統(tǒng)計(jì)，幾乎每20秒全球就有一起黑客事件發(fā)生，僅美國(guó)每年所造成的經(jīng)濟(jì)損失就超過(guò)100億美元。網(wǎng)絡(luò)入侵的特點(diǎn)v網(wǎng)絡(luò)入侵的特點(diǎn)沒有地域和時(shí)間的限制；通過(guò)網(wǎng)絡(luò)的攻擊往往混雜在大量正常的網(wǎng)絡(luò)活動(dòng)之間，隱蔽性強(qiáng)；入侵手段更加隱蔽和復(fù)雜。為什么需要IDS？v單一防護(hù)產(chǎn)品的弱點(diǎn)防御方法和防御策略的有限性動(dòng)態(tài)多變的網(wǎng)絡(luò)環(huán)境來(lái)自外部和內(nèi)部的威脅為什么需要IDS？v關(guān)于防火墻網(wǎng)絡(luò)邊界的設(shè)備，只能抵擋外部來(lái)的入侵行為自身存在弱點(diǎn)，也可能被攻

2、破對(duì)某些攻擊保護(hù)很弱即使透過(guò)防火墻的保護(hù)，合法的使用者仍會(huì)非法地使用系統(tǒng)，甚至提升自己的權(quán)限僅能拒絕非法的連接請(qǐng)求，但是對(duì)于入侵者的攻擊行為仍一無(wú)所知為什么需要IDS？v入侵很容易入侵教程隨處可見各種工具唾手可得入侵檢測(cè)的概念v入侵檢測(cè)（Intrusion Detection）：通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。v入侵檢測(cè)系統(tǒng)（IDS）：入侵檢測(cè)系統(tǒng)是軟件與硬件的組合，是防火墻的合理補(bǔ)充，是防火墻之后的第二道安全閘門。v入侵檢測(cè)的內(nèi)容：試圖闖入、成功闖入、冒充其他用戶、違反安全策略、合法用戶的泄漏、獨(dú)占資源以及惡

3、意使用。入侵檢測(cè)的職責(zé)vIDS系統(tǒng)主要有兩大職責(zé)：實(shí)時(shí)檢測(cè)和安全審計(jì)，具體包含4個(gè)方面的內(nèi)容 識(shí)別黑客常用入侵與攻擊 監(jiān)控網(wǎng)絡(luò)異常通信 鑒別對(duì)系統(tǒng)漏洞和后門的利用 完善網(wǎng)絡(luò)安全管理 入侵檢測(cè)系統(tǒng)的功能v監(jiān)控用戶和系統(tǒng)的活動(dòng)v查找非法用戶和合法用戶的越權(quán)操作v檢測(cè)系統(tǒng)配置的正確性和安全漏洞v評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)的完整性v識(shí)別攻擊的活動(dòng)模式并向網(wǎng)管人員報(bào)警v對(duì)用戶的非正常活動(dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律 v操作系統(tǒng)審計(jì)跟蹤管理，識(shí)別違反政策的用戶活動(dòng)v檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性入侵檢測(cè)系統(tǒng)模型(Denning)入侵檢測(cè)系統(tǒng)模型(CIDF)入侵檢測(cè)系統(tǒng)的組成特點(diǎn)v入侵檢測(cè)系統(tǒng)一般是由兩部分

4、組成：控制中心和探測(cè)引擎?？刂浦行臑橐慌_(tái)裝有控制軟件的主機(jī)，負(fù)責(zé)制定入侵監(jiān)測(cè)的策略，收集來(lái)自多個(gè)探測(cè)引擎的上報(bào)事件，綜合進(jìn)行事件分析，以多種方式對(duì)入侵事件作出快速響應(yīng)。探測(cè)引擎負(fù)責(zé)收集數(shù)據(jù)，作處理后，上報(bào)控制中心?？刂浦行暮吞綔y(cè)引擎是通過(guò)網(wǎng)絡(luò)進(jìn)行通訊的，這些通訊的數(shù)據(jù)一般經(jīng)過(guò)數(shù)據(jù)加密。入侵檢測(cè)的工作過(guò)程v信息收集檢測(cè)引擎從信息源收集系統(tǒng)、網(wǎng)絡(luò)、狀態(tài)和行為信息。v信息分析從信息中查找和分析表征入侵的異常和可疑信息。v告警與響應(yīng)根據(jù)入侵性質(zhì)和類型，做出相應(yīng)的告警和響應(yīng)。信息收集v入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為v需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（

5、不同網(wǎng)段和不同主機(jī)）收集信息，這樣做的理由就是從一個(gè)來(lái)源的信息有可能看不出疑點(diǎn)，但從幾個(gè)來(lái)源的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識(shí)。信息收集v入侵檢測(cè)的效果很大程度上依賴于收集信息的可靠性和正確性v要保證用來(lái)檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性v特別是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息 信息收集v系統(tǒng)和網(wǎng)絡(luò)日志文件v目錄和文件中的不期望的改變v程序執(zhí)行中的不期望行為v物理形式的入侵信息信息分析v模式匹配-誤用檢測(cè)（Misuse Detection）維護(hù)一個(gè)入侵特征知識(shí)庫(kù)準(zhǔn)確性高v統(tǒng)計(jì)分析-異常檢測(cè)（Anomaly Detection） 統(tǒng)計(jì)模型誤報(bào)、漏報(bào)較多v完

6、整性分析 關(guān)注某個(gè)文件或?qū)ο笫欠癖桓氖潞蠓治?7模式匹配v模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為v一般來(lái)講，一種攻擊模式可以用一個(gè)過(guò)程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來(lái)表示。該過(guò)程可以很簡(jiǎn)單（如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化）統(tǒng)計(jì)分析v統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）v測(cè)量屬性的平均值和偏差被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外

7、時(shí)，就認(rèn)為有入侵發(fā)生完整性分析v完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓陌ㄎ募湍夸浀膬?nèi)容及屬性在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效響應(yīng)動(dòng)作v主動(dòng)響應(yīng)v被動(dòng)響應(yīng)入侵檢測(cè)性能關(guān)鍵參數(shù)v誤報(bào)(false positive)：如果系統(tǒng)錯(cuò)誤地將異?；顒?dòng)定義為入侵v漏報(bào)(false negative)：如果系統(tǒng)未能檢測(cè)出真正的入侵行為 入侵檢測(cè)系統(tǒng)分類（一）v按照分析方法（檢測(cè)方法）異常檢測(cè)模型（Anomaly Detection ):首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵 誤用檢測(cè)模型（Misuse Detection)：收集非正常操

8、作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵 23異常檢測(cè)模型v如果系統(tǒng)錯(cuò)誤地將異?；顒?dòng)定義為入侵，稱為誤報(bào)(false positive) ；如果系統(tǒng)未能檢測(cè)出真正的入侵行為則稱為漏報(bào)(false negative)。v特點(diǎn)：異常檢測(cè)系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率。因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義，因此能有效檢測(cè)未知的入侵。同時(shí)系統(tǒng)能針對(duì)用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測(cè)模型的逐步精確，異常檢測(cè)會(huì)消耗更多的系統(tǒng)資源。 誤用檢測(cè)模型v如果入侵特征與正常的用戶行為能匹配，則系統(tǒng)會(huì)發(fā)生誤報(bào)；如果沒有特征能與某種新的攻擊

9、行為匹配，則系統(tǒng)會(huì)發(fā)生漏報(bào)。v特點(diǎn)：采用特征匹配，誤用檢測(cè)能明顯降低錯(cuò)報(bào)率，但漏報(bào)率隨之增加。攻擊特征的細(xì)微變化，會(huì)使得誤用檢測(cè)無(wú)能為力。入侵檢測(cè)系統(tǒng)分類（二）v根據(jù)檢測(cè)對(duì)象分類基于主機(jī)的IDS（Host-Based IDS）vHIDS一般主要使用操作系統(tǒng)的審計(jì)日志作為主要數(shù)據(jù)源輸入，試圖從日志判斷濫用和入侵事件的線索。 基于網(wǎng)絡(luò)的IDS（Network-Based IDS）vNIDS在計(jì)算機(jī)網(wǎng)絡(luò)中的關(guān)鍵點(diǎn)被動(dòng)地監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)脑剂髁?，?duì)獲取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析處理，從中獲取有用的信息，以識(shí)別、判定攻擊事件。 混合型IDS基于網(wǎng)絡(luò)的IDS（NIDS）v是網(wǎng)絡(luò)上的一個(gè)監(jiān)聽設(shè)備v通過(guò)網(wǎng)絡(luò)適配器捕獲

10、數(shù)據(jù)包并分析數(shù)據(jù)包v根據(jù)判斷方法分為基于知識(shí)的數(shù)據(jù)模式判斷和基于行為的行為判斷方法v能夠檢測(cè)超過(guò)授權(quán)的非法訪問(wèn)vIDS發(fā)生故障不會(huì)影響正常業(yè)務(wù)的運(yùn)行 v配置簡(jiǎn)單基于主機(jī)的IDS（HIDS）vHIDS是配置在被保護(hù)的主機(jī)上的，用來(lái)檢測(cè)針對(duì)主機(jī)的入侵和攻擊v主要分析的數(shù)據(jù)包括主機(jī)的網(wǎng)絡(luò)連接狀態(tài)、審計(jì)日志、系統(tǒng)日志。v實(shí)現(xiàn)原理配置審計(jì)信息系統(tǒng)對(duì)審計(jì)數(shù)據(jù)進(jìn)行分析(日志文件)NIDS和HIDS比較入侵檢測(cè)的分類 (混合IDS)v基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品和基于主機(jī)的入侵檢測(cè)產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會(huì)造成主動(dòng)防御體系不全面。但是，它們的缺憾是互補(bǔ)的。如果這兩類產(chǎn)品能夠無(wú)縫結(jié)合起來(lái)部署在網(wǎng)絡(luò)內(nèi)，則會(huì)構(gòu)

11、架成一套完整立體的主動(dòng)防御體系，綜合了基于網(wǎng)絡(luò)和基于主機(jī)兩種結(jié)構(gòu)特點(diǎn)的入侵檢測(cè)系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。入侵檢測(cè)系統(tǒng)分類（三）v根據(jù)系統(tǒng)工作方式來(lái)分：在線入侵檢測(cè)(IPS)，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機(jī)的連接，并收集證據(jù)和實(shí)施數(shù)據(jù)恢復(fù)。這個(gè)檢測(cè)過(guò)程是不斷循環(huán)進(jìn)行的。離線入侵檢測(cè)，根據(jù)計(jì)算機(jī)系統(tǒng)對(duì)用戶操作所做的歷史審計(jì)記錄判斷用戶是否具有入侵行為，如果有就斷開連接，并記錄入侵證據(jù)和進(jìn)行數(shù)據(jù)恢復(fù)。入侵檢測(cè)的部署vIDS的部署模式：共享媒介HUB交換環(huán)境隱蔽模式Tap模式In-line模式入侵檢測(cè)的部署v檢測(cè)器部署位置放在邊界防火墻之內(nèi)放在邊界防火墻之外放

12、在主要的網(wǎng)絡(luò)中樞放在一些安全級(jí)別需求高的子網(wǎng)入侵檢測(cè)的部署部署一Internet部署二部署三部署三部署四部署四入侵檢測(cè)的部署v檢測(cè)器放置于防火墻的DMZ區(qū)域可以查看受保護(hù)區(qū)域主機(jī)被攻擊狀態(tài)可以看出防火墻系統(tǒng)的策略是否合理可以看出DMZ區(qū)域被黑客攻擊的重點(diǎn)入侵檢測(cè)的部署v檢測(cè)器放置于路由器和邊界防火墻之間可以審計(jì)所有來(lái)自Internet上面對(duì)保護(hù)網(wǎng)絡(luò)的攻擊數(shù)目可以審計(jì)所有來(lái)自Internet上面對(duì)保護(hù)網(wǎng)絡(luò)的攻擊類型入侵檢測(cè)的部署v檢測(cè)器放在主要的網(wǎng)絡(luò)中樞監(jiān)控大量的網(wǎng)絡(luò)數(shù)據(jù)，可提高檢測(cè)黑客攻擊的可能性可通過(guò)授權(quán)用戶的權(quán)利周界來(lái)發(fā)現(xiàn)未授權(quán)用戶的行為當(dāng)前主流產(chǎn)品介紹vComputer Associat

13、es公司SessionWall-3/eTrust Intrusion DetectionvCisco公司NetRangerIDSvIntrusion Detection公司Kane Security MonitorvAxent Technologies公司OmniGuard/Intruder Alert當(dāng)前主流產(chǎn)品介紹vInternet Security System公司RealSecurevNFR公司Intrusion Detection Applicance 4.0v中科網(wǎng)威“天眼”入侵檢測(cè)系統(tǒng)v啟明星辰SkyBell(天闐）v免費(fèi)開源軟件snort入侵測(cè)系統(tǒng)的優(yōu)點(diǎn)v入侵檢測(cè)系統(tǒng)能夠增強(qiáng)網(wǎng)

14、絡(luò)的安全性，它的優(yōu)點(diǎn)：能夠使現(xiàn)有的安防體系更完善；能夠更好地掌握系統(tǒng)的情況；能夠追蹤攻擊者的攻擊線路；界面友好，便于建立安防體系；能夠抓住肇事者。入侵檢測(cè)系統(tǒng)的不足v入侵檢測(cè)系統(tǒng)不是萬(wàn)能的，它同樣存在許多不足之處：不能夠在沒有用戶參與的情況下對(duì)攻擊行為展開調(diào)查；不能夠在沒有用戶參與的情況下阻止攻擊行為的發(fā)生；不能克服網(wǎng)絡(luò)協(xié)議方面的缺陷；不能克服設(shè)計(jì)原理方面的缺陷；響應(yīng)不夠及時(shí)，簽名數(shù)據(jù)庫(kù)更新得不夠快。經(jīng)常是事后才檢測(cè)到，適時(shí)性不好。入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì) v大規(guī)模分布式入侵檢測(cè)，傳統(tǒng)的入侵檢測(cè)技術(shù)一般只局限于單一的主機(jī)或網(wǎng)絡(luò)框架，顯然不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的監(jiān)測(cè)，不同的入侵檢測(cè)系統(tǒng)之間也不能協(xié)同工作。因此，必須發(fā)展大規(guī)模的分布式入侵檢測(cè)技術(shù)。v寬帶高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)，大量高