網(wǎng)絡安全11-入侵檢測

1、1網(wǎng)絡安全羅羅 敏敏 武漢大學計算機學院武漢大學計算機學院2第第10章章 防火墻技術防火墻技術 重點回顧重點回顧l防火墻技術概述 l防火墻的結構 l構建防火墻 l防火墻產(chǎn)品3第第11章章 入侵檢測技術入侵檢測技術l本章介紹動態(tài)安全技術的典型代表入侵檢測技術，詳細分析入侵檢測的定義、原理與系統(tǒng)構成、基本功能、分類。同時對目前市場上的商業(yè)入侵檢測產(chǎn)品進行了分類與優(yōu)劣分析。 4第第11章章 入侵檢測技術入侵檢測技術l11.1 入侵檢測技術概述l11.2 入侵檢測分類與評估l11.3 入侵檢測產(chǎn)品概況l11.4 入侵檢測產(chǎn)品511.1 入侵檢測技術概述入侵檢測技術概述l入侵檢測技術的起因l傳統(tǒng)網(wǎng)絡安全

2、技術存在著與生俱來的缺陷l程序的錯誤l配置的錯誤l需求的變化決定網(wǎng)絡不斷發(fā)展 l產(chǎn)品在設計階段可能是基于一項較為安全的技術l但當產(chǎn)品成型后，網(wǎng)絡的發(fā)展已經(jīng)使得該技術不再安全l傳統(tǒng)的網(wǎng)絡安全技術是屬于靜態(tài)安全技術，無法解決動態(tài)發(fā)展網(wǎng)絡中的安全問題 第第1111章章 第第1 1節(jié)節(jié)611.1 入侵檢測技術概述入侵檢測技術概述l入侵檢測的定義l入侵檢測是用來發(fā)現(xiàn)外部攻擊與內部合法用戶濫用特權的一種方法l它還是一種增強內部用戶的責任感及提供對攻擊者的法律訴訟依據(jù)的機制 第第1111章章 第第1 1節(jié)節(jié)711.1 入侵檢測技術概述入侵檢測技術概述l入侵檢測的特點l入侵檢測是一種動態(tài)的網(wǎng)絡安全技術l它利用

3、各種不同類型的引擎，實時地或定期地對網(wǎng)絡中相關的數(shù)據(jù)源進行分析，依照引擎對特殊的數(shù)據(jù)或事件的認識，將其中具有威脅性的部分提取出來，并觸發(fā)響應機制 l入侵檢測的動態(tài)性l入侵檢測的實時性l對網(wǎng)絡環(huán)境的變化具有一定程度上的自適應性 第第1111章章 第第1 1節(jié)節(jié)811.1 入侵檢測技術概述入侵檢測技術概述l入侵檢測的內容 l外部攻擊檢測l內部特權濫用檢測第第1111章章 第第1 1節(jié)節(jié)911.1 入侵檢測技術概述入侵檢測技術概述l入侵檢測的內容 l外部攻擊檢測l外部攻擊與入侵是指來自外部網(wǎng)絡非法用戶的威脅性訪問或破壞l外部攻擊檢測的重點在于檢測來自于外部的攻擊或入侵 第第1111章章 第第1 1節(jié)

4、節(jié)1011.1 入侵檢測技術概述入侵檢測技術概述l入侵檢測的內容 l內部特權濫用檢測l內部特權濫用是指網(wǎng)絡的合法用戶在不正常的行為下獲得了特殊的網(wǎng)絡權限并實施威脅性訪問或破壞l內部特權濫用檢測的重點集中于觀察授權用戶的活動 第第1111章章 第第1 1節(jié)節(jié)1111.1 入侵檢測技術概述入侵檢測技術概述l入侵檢測的功能l檢測和分析用戶和系統(tǒng)的活動l識別反映已知攻擊的活動模式l非正常活動模式的統(tǒng)計分析l通過對操作系統(tǒng)的審計，分析用戶的活動、識別違規(guī)操作l審計系統(tǒng)配置和脆弱性、評估關鍵系統(tǒng)和數(shù)據(jù)文件的一致性第第1111章章 第第1 1節(jié)節(jié)1211.1 入侵檢測技術概述入侵檢測技術概述l入侵檢測技術原

5、理與系統(tǒng)構成l原理圖 第第1111章章 第第1 1節(jié)節(jié)1311.1 入侵檢測技術概述入侵檢測技術概述lIDS原理l入侵檢測的技術的核心在于入侵檢測過程 l對行為與狀態(tài)的綜合分析是基于l知識的智能推理l神經(jīng)網(wǎng)絡理論l模式匹配l異常統(tǒng)計 第第1111章章 第第1 1節(jié)節(jié)1411.1 入侵檢測技術概述入侵檢測技術概述lIDS原理l技術分析的依據(jù)l歷史知識l現(xiàn)有的行為狀態(tài)l實時的監(jiān)測是保證入侵檢測具有實時性的主要手段 l根據(jù)實時監(jiān)測的記錄不斷修改歷史知識保證了入侵檢測具有自適應性 第第1111章章 第第1 1節(jié)節(jié)1511.1 入侵檢測技術概述入侵檢測技術概述l系統(tǒng)構成第第1111章章 第第1 1節(jié)節(jié)1

6、611.1 入侵檢測技術概述入侵檢測技術概述lIDS的構成l信息采集部件l對各類復雜、凌亂的信息進行格式化并交付于入侵分析部件 l入侵分析部件l按著部件內部的分析引擎進行入侵分析，當信息滿足了引擎的入侵標準時就觸發(fā)了入侵響應機制 l入侵響應部件l當入侵分析部件發(fā)現(xiàn)入侵后，由入侵響應部件根據(jù)具體的情況做出響應l響應部件同信息采集部件一樣都是分布于網(wǎng)絡中，甚至與信息采集部件集成在一起 第第1111章章 第第1 1節(jié)節(jié)1711.2 入侵檢測分類與評估入侵檢測分類與評估lIDS引擎分類l誤用檢測 l異常檢測第第1111章章 第第2 2節(jié)節(jié)1811.2 入侵檢測分類與評估入侵檢測分類與評估lIDS引擎分

7、類l誤用檢測 l首先根據(jù)已知的入侵，定義由獨立的事件、事件的序列、事件臨界值等通用規(guī)則組成的入侵模式l然后觀察能與入侵模式相匹配的事件，達到發(fā)現(xiàn)入侵的目的l入侵模式需要定期更新第第1111章章 第第2 2節(jié)節(jié)1911.2 入侵檢測分類與評估入侵檢測分類與評估lIDS引擎分類l異常檢測l原理通過檢查統(tǒng)計量的偏差，從而檢測出不正常的行為l其實現(xiàn)的方法將各個主體、對象的行為量化以歷史數(shù)據(jù)設定期望值將與期望值有偏差的行為定義為入侵第第1111章章 第第2 2節(jié)節(jié)20IDS引擎對比引擎對比誤用檢測誤用檢測 l優(yōu)點l誤用檢測具有很強的可分割性、獨立性，可縮小模式數(shù)據(jù)庫規(guī)模l具有很強的針對性，對已知的入侵方

8、法檢測效率很高 l有能力提供模糊入侵檢測引擎 l缺點l可測量性與性能都和模式數(shù)據(jù)庫的大小和體系結構有關 l可擴展性差l通常不具備自學習能力，對新攻擊的檢測分析必須補充模式數(shù)據(jù)庫l攻擊行為難以模式化第第1111章章 第第2 2節(jié)節(jié)21IDS引擎對比引擎對比異常檢測異常檢測l優(yōu)點l符合數(shù)據(jù)的異常變化理論，適合事物的發(fā)展規(guī)律 l檢查算法比較普適化，對變量的跟蹤不需要大量的內存 l有能力檢測與響應某些新的攻擊l缺點l數(shù)據(jù)假設可能不合理，加權算法在統(tǒng)計意義上可能不準確 l對突發(fā)性正常事件容易引起誤判斷 l對長期、穩(wěn)定的攻擊方法靈敏度低 第第1111章章 第第2 2節(jié)節(jié)2211.2 入侵檢測分類與評估入侵

9、檢測分類與評估l實現(xiàn)方式分類l基于主機的IDS （HIDS）l安裝在被重點檢測的主機之上l對該主機的網(wǎng)絡實時連接以及系統(tǒng)審計日志進行智能分析和判斷l(xiāng)基于網(wǎng)絡的IDS （NIDS）l放置在比較重要的網(wǎng)段內l不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行特征分析第第1111章章 第第2 2節(jié)節(jié)23IDS實現(xiàn)方式實現(xiàn)方式HIDSl優(yōu)點l能夠獲得更詳盡的信息l誤報率低。 l對分析“可能的攻擊行為”非常有用l適用于不需要廣泛的入侵檢測、或者傳感器與控制臺之間的通信帶寬不足的環(huán)境l風險較少 l缺點l依賴于服務器的日志與監(jiān)視功能，降低應用系統(tǒng)的效率，可能需要中斷服務l全面布署HIDS代價較大

10、l對入侵行為的分析的工作量將隨著主機數(shù)目增加而增加 l可能帶來一些額外的安全問題 第第1111章章 第第2 2節(jié)節(jié)24IDS實現(xiàn)方式實現(xiàn)方式NIDSl優(yōu)點l能夠檢測來自網(wǎng)絡的攻擊l能夠檢測到超過授權的非法訪問 l易于安裝，不影響業(yè)務系統(tǒng)的性能 ，因此風險小 l缺點l監(jiān)測范圍受網(wǎng)段的限制，全網(wǎng)段部署傳感器會使成本大大增加l數(shù)據(jù)量大使得NIDS很難檢測一些需要大量計算和分析才能檢測的攻擊 l傳感器的分析能力的增強常伴隨著協(xié)同能力的減弱 l難以處理復雜協(xié)議，如：加密、高層協(xié)議 第第1111章章 第第2 2節(jié)節(jié)2511.2 入侵檢測分類與評估入侵檢測分類與評估l技術路線分類l基于統(tǒng)計分析的入侵檢測技術

11、l基于神經(jīng)網(wǎng)絡的入侵檢測技術 l基于專家系統(tǒng)的入侵檢測技術l基于模型推理的入侵檢測技術第第1111章章 第第2 2節(jié)節(jié)2611.2 入侵檢測分類與評估入侵檢測分類與評估l技術路線分類l基于統(tǒng)計分析的入侵檢測技術 l基于對用戶歷史行為進行統(tǒng)計，同時實時地檢測用戶對系統(tǒng)的使用情況，根據(jù)用戶行為的概率模型與當前用戶的行為進行比較，一但發(fā)現(xiàn)可疑的情況與行為，就跟蹤、監(jiān)測并記錄，適當時采用一定的響應手段 l有一定的自適應能力，穩(wěn)定，但誤警率高第第1111章章 第第2 2節(jié)節(jié)2711.2 入侵檢測分類與評估入侵檢測分類與評估l技術路線分類l基于神經(jīng)網(wǎng)絡的入侵檢測技術 l將神經(jīng)網(wǎng)絡模型運用于入侵檢測系統(tǒng)，可

12、以解決基于統(tǒng)計數(shù)據(jù)的主觀假設而導致的大量虛假警報問題，同時由于神經(jīng)網(wǎng)絡模型的自適應性，使得系統(tǒng)精簡，成本較低l但是不成熟第第1111章章 第第2 2節(jié)節(jié)2811.2 入侵檢測分類與評估入侵檢測分類與評估l技術路線分類l基于專家系統(tǒng)的入侵檢測技術 l根據(jù)專家對合法行為的分析經(jīng)驗來形成一套推理規(guī)則，然后在此基礎上構成相應的專家系統(tǒng)，由此專家系統(tǒng)自動地進行攻擊分析工作l推理系統(tǒng)的效率較低第第1111章章 第第2 2節(jié)節(jié)2911.2 入侵檢測分類與評估入侵檢測分類與評估l技術路線分類l基于模型推理的入侵檢測技術 l對已知入侵行為建立特定的模型，監(jiān)視具有特定行為特征的活動，一但發(fā)現(xiàn)與模型匹配的用戶行為，

13、就通過相關信息證實或否定攻擊的真實性l又稱為模式匹配，是應用較多的入侵檢測方法 第第1111章章 第第2 2節(jié)節(jié)3011.2 入侵檢測分類與評估入侵檢測分類與評估l評價標準l準確性l誤警：IDS將用戶正常的操作當作入侵行為，予以報警（1%10%）l漏警：IDS將入侵行為當作用戶正常的操作，不予報警（10%50%）l處理性能l完備性l容錯性l及時性第第1111章章 第第2 2節(jié)節(jié)3111.3 入侵檢測產(chǎn)品概況入侵檢測產(chǎn)品概況l產(chǎn)品實施層次l應用層l操作系統(tǒng)層l網(wǎng)絡層第第1111章章 第第3 3節(jié)節(jié)3211.3 入侵檢測產(chǎn)品概況入侵檢測產(chǎn)品概況l國外產(chǎn)品lCyber Cop IDS ：NAI lR

14、ealsecure ：ISS lSession_wall ：Abirnet lNetWare Flight Recorder：Anzen lInternet Emergency Response Service：IBM lCisco Secure IDS ：Cisco 第第1111章章 第第3 3節(jié)節(jié)3311.3 入侵檢測產(chǎn)品概況入侵檢測產(chǎn)品概況l國外產(chǎn)品lAdaptive Intrusion Detection System：布蘭登大學 lAutonomous Agents For Intrusion Detection：Purdue University lIDES：SRI lWisdom and Sense：Los Alamos lNSM：加里福利亞大學 第第1111章章 第第3 3節(jié)節(jié)3411.3 入侵檢測產(chǎn)品概況入侵檢測產(chǎn)品概況l國內產(chǎn)品lRIDS-100：瑞星 l曙光GodEye-HIDS：曙光信息產(chǎn)業(yè)（北京） l天闐：啟明星辰 l天眼NPI