入侵檢測系統(tǒng)課件

第八章入侵檢測系統(tǒng)

11/22/20221第八章入侵檢測系統(tǒng) 11/21/20221內容提要

入侵檢測技術用來發(fā)現(xiàn)攻擊行為，進而采取正確的響應措施，是安全防御的重要環(huán)節(jié)。通過本章學習使學生能夠掌握入侵檢測系統(tǒng)的基本原理，在了解Snort工作原理的基礎上，掌握其安裝和使用方法，了解入侵防御技術的特點及其和入侵檢測的區(qū)別。11/22/20222內容提要11/21/20222第八章入侵檢測系統(tǒng)

8.1入侵檢測系統(tǒng)概述

8.2入侵檢測系統(tǒng)的組成

8.3入侵檢測的相關技術

8.4入侵檢測系統(tǒng)Snort 8.5入侵防御系統(tǒng)

8.6實驗：基于snort的入侵檢測系統(tǒng)安裝和使用 8.7小結

習題

11/22/20223第八章入侵檢測系統(tǒng)8.1入侵檢測系統(tǒng)概述 11/21/8.1入侵檢測系統(tǒng)概述

入侵檢測系統(tǒng)全稱為IntrusionDetectionSystem（IDS），國際計算機安全協(xié)會（InternationalComputerSecurityAssociation，ICSA）入侵檢測系統(tǒng)論壇將其定義為：通過從計算機網絡或計算機系統(tǒng)中的若干關鍵點收集信息進行分析，從中發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象。

相對于防火墻來說，入侵檢測通常被認為是一種動態(tài)的防護手段。與其他安全產品不同的是，入侵檢測系統(tǒng)需要較復雜的技術，它將得到的數據進行分析，并得出有用的結果。一個合格的入侵檢測系統(tǒng)能大大地簡化管理員的工作，使管理員能夠更容易地監(jiān)視、審計網絡和計算機系統(tǒng)，擴展了管理員的安全管理能力，保證網絡和計算機系統(tǒng)的安全運行。11/22/202248.1入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)全稱為In8.1入侵檢測系統(tǒng)概述（續(xù)）

防火墻是所有保護網絡的方法中最能普遍接受的方法，能阻擋外部入侵者，但對內部攻擊無能為力；同時，防火墻絕對不是堅不可摧的，即使是某些防火墻本身也會引起一些安全問題。防火墻不能防止通向站點的后門，不提供對內部的保護，無法防范數據驅動型的攻擊，不能防止用戶由Internet上下載被病毒感染的計算機程序或將該類程序附在電子郵件上傳輸。

入侵檢測是防火墻的合理補充，它幫助系統(tǒng)對付網絡攻擊，擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應)，提高了信息安全基礎結構的完整性。11/22/202258.1入侵檢測系統(tǒng)概述（續(xù)）防火墻是所有保護網絡8.1入侵檢測系統(tǒng)概述（續(xù)）相關術語攻擊?攻擊者利用工具，出于某種動機，對目標系統(tǒng)采取的行動，其后果是獲取/破壞/篡改目標系統(tǒng)的數據或訪問權限事件?在攻擊過程中發(fā)生的可以識別的行動或行動造成的后果。在入侵檢測系統(tǒng)中，事件常常具有一系列屬性和詳細的描述信息可供用戶查看。也可以將入侵檢測系統(tǒng)需要分析的數據統(tǒng)稱為事件（event）11/22/202268.1入侵檢測系統(tǒng)概述（續(xù)）相關術語攻擊11/21/20入侵?對信息系統(tǒng)的非授權訪問及（或）未經許可在信息系統(tǒng)中進行操作入侵檢測?對企圖入侵、正在進行的入侵或已經發(fā)生的入侵進行識別的過程入侵檢測系統(tǒng)（IDS）?用于輔助進行入侵檢測或者獨立進行入侵檢測的自動化工具8.1入侵檢測系統(tǒng)概述（續(xù)）11/22/20227入侵8.1入侵檢測系統(tǒng)概述（續(xù)）11/21/20227

入侵檢測（IntrusionDetection）技術是一種動態(tài)的網絡檢測技術，主要用于識別對計算機和網絡資源的惡意使用行為，包括來自外部用戶的入侵行為和內部用戶的未經授權活動。一旦發(fā)現(xiàn)網絡入侵現(xiàn)象，則應當做出適當的反應：對于正在進行的網絡攻擊，則采取適當的方法來阻斷攻擊（與防火墻聯(lián)動），以減少系統(tǒng)損失；對于已經發(fā)生的網絡攻擊，則應通過分析日志記錄找到發(fā)生攻擊的原因和入侵者的蹤跡，作為增強網絡系統(tǒng)安全性和追究入侵者法律責任的依據。它從計算機網絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。

8.1入侵檢測系統(tǒng)概述（續(xù)）11/22/20228入侵檢測（IntrusionDetection）技8.1入侵檢測系統(tǒng)概述（續(xù)）

入侵檢測系統(tǒng)（IDS）由入侵檢測的軟件與硬件組合而成，被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監(jiān)測，提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執(zhí)行以下任務來實現(xiàn)：1）監(jiān)視、分析用戶及系統(tǒng)活動。2）系統(tǒng)構造和弱點的審計。3）識別反映已知進攻的活動模式并向相關人士報警。4）異常行為模式的統(tǒng)計分析。5）評估重要系統(tǒng)和數據文件的完整性。6）操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。11/22/202298.1入侵檢測系統(tǒng)概述（續(xù)）入侵檢測系統(tǒng)（IDS）由入侵檢測系統(tǒng)的作用?監(jiān)控網絡和系統(tǒng)?發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象?實時報警?主動響應?審計跟蹤

形象地說，它就是網絡攝像機，能夠捕獲并記錄網絡上的所有數據，同時它也是智能攝像機，能夠分析網絡數據并提煉出可疑的、異常的網絡數據，它還是X光攝像機，能夠穿透一些巧妙的偽裝，抓住實際的內容。它還不僅僅只是攝像機，還包括保安員的攝像機。11/22/202210入侵檢測系統(tǒng)的作用?監(jiān)控網絡和系統(tǒng)形象地說，它就是網8.1入侵檢測系統(tǒng)概述（續(xù)）11/22/2022118.1入侵檢測系統(tǒng)概述（續(xù)）11/21/2022118.1入侵檢測系統(tǒng)概述（續(xù)）入侵檢測的發(fā)展歷程

1980年，概念的誕生1984～1986年，模型的發(fā)展1990年，形成網絡IDS和主機IDS兩大陣營九十年代后至今，百家爭鳴、繁榮昌盛11/22/2022128.1入侵檢測系統(tǒng)概述（續(xù)）入侵檢測的發(fā)展歷程1980入侵檢測的實現(xiàn)方式

入侵檢測系統(tǒng)根據數據包來源的不同，采用不用的實現(xiàn)方式，一般地可分為網絡型、主機型，也可是這兩種類型的混合應用。?基于網絡的入侵檢測系統(tǒng)（NIDS）?基于主機的入侵檢測系統(tǒng)（HIDS）?混合型入侵檢測系統(tǒng)（HybridIDS）11/22/202213入侵檢測的實現(xiàn)方式入侵檢測系統(tǒng)根據數據包來源的不同入侵檢測的實現(xiàn)方式1、網絡IDS：網絡IDS是網絡上的一個監(jiān)聽設備(或一個專用主機)，通過監(jiān)聽網絡上的所有報文，根據協(xié)議進行分析，并報告網絡中的非法使用者信息。–安裝在被保護的網段（共享網絡、交換環(huán)境中交換機要支持端口映射）中–混雜模式監(jiān)聽–分析網段中所有的數據包–實時檢測和響應11/22/202214入侵檢測的實現(xiàn)方式1、網絡IDS：–安裝在被保護的網段（共8.1入侵檢測系統(tǒng)概述（續(xù)）圖8-1網絡IDS工作模型NY11/22/2022158.1入侵檢測系統(tǒng)概述（續(xù)）圖8-1網絡IDS工作模型8.1入侵檢測系統(tǒng)概述（續(xù)）網絡IDS優(yōu)勢(1)實時分析網絡數據，檢測網絡系統(tǒng)的非法行為；(2)網絡IDS系統(tǒng)單獨架設，不占用其它計算機系統(tǒng)的任何資源；(3)網絡IDS系統(tǒng)是一個獨立的網絡設備，可以做到對黑客透明，因此其本身的安全性高；(4)它既可以用于實時監(jiān)測系統(tǒng)，也是記錄審計系統(tǒng)，可以做到實時保護，事后取證分析；(5)通過與防火墻的聯(lián)動，不但可以對攻擊預警，還可以更有效地阻止非法入侵和破壞。(6)不會增加網絡中主機的負擔。11/22/2022168.1入侵檢測系統(tǒng)概述（續(xù)）網絡IDS優(yōu)勢(1)實時分8.1入侵檢測系統(tǒng)概述（續(xù)）網絡IDS的劣勢(1)交換環(huán)境和高速環(huán)境需附加條件(2)不能處理加密數據(3)資源及處理能力局限(4)系統(tǒng)相關的脆弱性11/22/2022178.1入侵檢測系統(tǒng)概述（續(xù)）網絡IDS的劣勢(1)交換入侵檢測的實現(xiàn)方式2、主機IDS運行于被檢測的主機之上，通過查詢、監(jiān)聽當前系統(tǒng)的各種資源的使用運行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件，進行上報和處理。–安裝于被保護的主機中–主要分析主機內部活動–占用一定的系統(tǒng)資源11/22/202218入侵檢測的實現(xiàn)方式2、主機IDS–安裝于被保護的主機主機IDS優(yōu)勢(1)精確地判斷攻擊行為是否成功。(2)監(jiān)控主機上特定用戶活動、系統(tǒng)運行情況(3)HIDS能夠檢測到NIDS無法檢測的攻擊(4)HIDS適用加密的和交換的環(huán)境(5)不需要額外的硬件設備11/22/202219主機IDS優(yōu)勢(1)精確地判斷攻擊行為是否成功。11/21主機IDS的劣勢(1)HIDS對被保護主機的影響(2)HIDS的安全性受到宿主操作系統(tǒng)的限制(3)HIDS的數據源受到審計系統(tǒng)限制(4)被木馬化的系統(tǒng)內核能夠騙過HIDS(5)維護/升級不方便11/22/202220主機IDS的劣勢(1)HIDS對被保護主機的影響11/213、兩種實現(xiàn)方式的比較：

1)如果攻擊不經過網絡,基于網絡的IDS無法檢測到只能通過使用基于主機的IDS來檢測；2)基于網絡的IDS通過檢查所有的包頭來進行檢測，而基于主機的IDS并不查看包頭。主機IDS往往不能識別基于IP的拒絕服務攻擊和碎片攻擊；3)基于網絡的IDS可以研究數據包的內容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實時檢查包序列的IDS迅速識別；而基于主機的系統(tǒng)無法看到負載，因此也無法識別嵌入式的數據包攻擊。11/22/2022213、兩種實現(xiàn)方式的比較：11/21/2022214、混合型入侵檢測系統(tǒng)（HybridIDS）

在新一代的入侵檢測系統(tǒng)中將把現(xiàn)在的基于網絡和基于主機這兩種檢測技術很好地集成起來，提供集成化的攻擊簽名檢測報告和事件關聯(lián)功能。

可以深入地研究入侵事件入侵手段本身及被入侵目標的漏洞等。11/22/2022224、混合型入侵檢測系統(tǒng)（HybridIDS）11/21/2入侵檢測系統(tǒng)的功能（小結）1、監(jiān)視并分析用戶和系統(tǒng)的活動，查找非法用戶和合法用戶的越權操作；2、檢測系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補漏洞；3、對用戶的非正?；顒舆M行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律；4、檢查系統(tǒng)程序和數據一致性與正確性，如計算和比較文件系統(tǒng)的校驗；5、能夠實時對檢測到的入侵行為作出反應；6、操作系統(tǒng)的審計跟蹤管理。11/22/202223入侵檢測系統(tǒng)的功能（小結）11/21/2022238.2入侵檢測系統(tǒng)的組成

根據不同的網絡環(huán)境和系統(tǒng)的應用，入侵檢測系統(tǒng)在具體實現(xiàn)上也有所不同。從系統(tǒng)構成上看，入侵檢測系統(tǒng)至少包括數據提取、人侵分析、響應處理三個部分，另外還可能結合安全知識庫、數據存儲等功能模塊，提供更為完善的安全檢測及數據分析功能。如1987年Denning提出的通用入侵檢測模型主要由六部分構成，IDES與它的后繼版本NIDES都完全基于Denning的模型；另外，在總結現(xiàn)有的入侵檢測系統(tǒng)的基礎上提出了一個入侵檢測系統(tǒng)的通用模型如圖8-2所示。11/22/2022248.2入侵檢測系統(tǒng)的組成根據不同的網絡環(huán)境和系8.2入侵檢測系統(tǒng)的組成

通用入侵檢測框架(CommonIntrusionDetectionFramework，CIDF)把一個入侵檢測系統(tǒng)分為以下組件:圖8-2CIDF的入侵檢測通用模型11/22/2022258.2入侵檢測系統(tǒng)的組成通用入侵檢測框架8.2入侵檢測系統(tǒng)的組成

CIDF把一個入侵檢測系統(tǒng)分為以下組件:事件產生器：負責原始數據采集，并將收集到的原始數據轉換為事件，向系統(tǒng)的其他部分提供此事件，又稱傳感器(sensor)。事件分析器：接收事件信息，對其進行分析，判斷是否為入侵行為或異?，F(xiàn)象，最后將判斷結果變?yōu)榫嫘畔?。事件數據庫：存放各種中間和最終入侵信息的地方，并從事件產生器和事件分析器接收需要保存的事件，一般會將數據長時間保存。事件響應器：是根據入侵檢測的結果，對入侵的行為作出適當的反映，可選的響應措施包括主動響應和被動響應。11/22/2022268.2入侵檢測系統(tǒng)的組成CIDF把一個入侵檢測8.2入侵檢測系統(tǒng)的組成IDS的基本結構

無論IDS系統(tǒng)是網絡型的還是主機型的，從功能上看，都可分為兩大部分：探測引擎和控制中心。前者用于讀取原始數據和產生事件；后者用于顯示和分析事件以及策略定制等工作。11/22/2022278.2入侵檢測系統(tǒng)的組成IDS的基本結構無論ID8.2入侵檢測系統(tǒng)的組成（續(xù)）IDS的基本結構

圖8-3引擎的工作流程

引擎的主要功能為：原始數據讀取、數據分析、產生事件、策略匹配、事件處理、通信等功能11/22/2022288.2入侵檢測系統(tǒng)的組成（續(xù)）IDS的基本結構圖8-38.2入侵檢測系統(tǒng)的組成（續(xù)）IDS的基本結構

圖8-4控制中心的工作流程

控制中心的主要功能為：通信、事件讀取、事件顯示、策略定制、日志分析、系統(tǒng)幫助等。通信事件讀取事件顯示策略定制日志分析系統(tǒng)幫助事件/策略數據庫11/22/2022298.2入侵檢測系統(tǒng)的組成（續(xù)）IDS的基本結構圖8-48.3入侵檢測的相關技術IDS采用的技術

入侵檢測主要通過專家系統(tǒng)、模式匹配、協(xié)議分析或狀態(tài)轉換等方法來確定入侵行為。入侵檢測技術有：靜態(tài)配置分析技術異常檢測技術誤用檢測技術

1．靜態(tài)配置分析技術靜態(tài)配置分析是通過檢查系統(tǒng)的當前系統(tǒng)配置，諸如系統(tǒng)文件的內容或系統(tǒng)表，來檢查系統(tǒng)是否已經或者可能會遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征(系統(tǒng)配置信息)，而不是系統(tǒng)中的活動。11/22/2022308.3入侵檢測的相關技術IDS采用的技術入侵檢測主8.3入侵檢測的相關技術（續(xù)）IDS采用的技術

2、異常檢測技術通過對系統(tǒng)審計數據的分析建立起系統(tǒng)主體(單個用戶、一組用戶、主機，甚至是系統(tǒng)中的某個關鍵的程序和文件等)的正常行為特征輪廓；檢測時，如果系統(tǒng)中的審計數據與已建立的主體的正常行為特征有較大出入就認為是一個入侵行為。這一檢測方法稱“異常檢測技術”。

一般采用統(tǒng)計或基于規(guī)則描述的方法建立系統(tǒng)主體的行為特征輪廓，即統(tǒng)計性特征輪廓和基于規(guī)則描述的特征輪廓。11/22/2022318.3入侵檢測的相關技術（續(xù)）IDS采用的技術2、8.3入侵檢測的相關技術（續(xù)）IDS采用的技術

3．誤用檢測技術誤用檢測技術(MisuseDetection)通過檢測用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來檢測系統(tǒng)中的入侵活動，是一種基于已有知識的檢測。這種入侵檢測技術的主要局限在于它只是根據已知的入侵序列和系統(tǒng)缺陷的模式來檢測系統(tǒng)中的可疑行為，而不能處理對新的入侵攻擊行為以及未知的、潛在的系統(tǒng)缺陷的檢測。11/22/2022328.3入侵檢測的相關技術（續(xù)）IDS采用的技術3．誤8.3入侵檢測的相關技術（續(xù)）入侵檢測分析技術的比較

1．模式匹配的缺陷1）計算負荷大2）檢測準確率低

2．協(xié)議分析新技術的優(yōu)勢1）提高了性能2）提高了準確性3）反規(guī)避能力4）系統(tǒng)資源開銷小11/22/2022338.3入侵檢測的相關技術（續(xù)）入侵檢測分析技術的比較18.3入侵檢測的相關技術（續(xù)）入侵檢測系統(tǒng)的性能指標1、入侵檢測系統(tǒng)的主要相關術語：警告(Alert/Alarm)：用來表示一個系統(tǒng)被攻擊者攻擊，一般包含從攻擊內容中得到的攻擊信息，或者異常事件和統(tǒng)計信息。誤警(FalsePositive)：也成誤報，指入侵檢測系統(tǒng)對那些良性事件的報警，這表明IDS的錯誤報警，太多的誤警可能導致正常的報警事件被淹沒。漏警(FalseNegative)：也稱漏報，當一個攻擊事件已經發(fā)生，而入侵檢測系統(tǒng)卻沒有有效地檢測出來，如果漏警太多，或者關鍵入侵事件的漏報就使入侵檢測系統(tǒng)失去了其存在意義；11/22/2022348.3入侵檢測的相關技術（續(xù)）入侵檢測系統(tǒng)的性能指標1、入侵8.3入侵檢測的相關技術（續(xù)）噪聲(Noise)：指入侵檢測系統(tǒng)生成但又沒有真正威脅的報警，這些報警是正確的，并且也是可疑的，如配置于防火墻之外的入侵檢測系統(tǒng)檢測到的掃描事件，可能被防火墻過濾而沒有產生掃描攻擊，但是入侵檢測系統(tǒng)卻檢測到并產生報警。重復報警(RepetitiveAlarm)：指入侵檢測系統(tǒng)對某一入侵事件的反復報警，重復報警并不表示入侵檢測系統(tǒng)的錯誤行為，太多的重復報警也可能使網絡管理員產生視覺疲勞，影響對其他攻擊產生適當響應，另外與其他安全技術協(xié)同工作也可能產生嚴重問題，過多的重復報警可能會產生拒絕服務。入侵檢測系統(tǒng)的性能指標11/22/2022358.3入侵檢測的相關技術（續(xù)）噪聲(Noise)：指入侵檢測入侵檢測系統(tǒng)的性能指標2、準確性指標在很大程度上取決于測試時采用的樣本集和測試環(huán)境。包括：檢測率(%)：指被監(jiān)控系統(tǒng)在受到入侵攻擊時，檢測系統(tǒng)能夠正確報警的概率。通常利用已知入侵攻擊的實驗數據集合來測試系統(tǒng)的檢測率。其值為：檢測到的攻擊數/攻擊事件總數；誤警率(%)：是指把那些正確事件誤報為攻擊以及把一種攻擊行為誤報為另一種攻擊的概率，其值為：1－(正確的告警數/總的告警數)；漏警率(%)：已經攻擊而沒有檢測出來的攻擊占所有攻擊的概率，通常利用已知入侵攻擊的實驗數據集合來測試系統(tǒng)的漏報率。其值為(攻擊事件－檢測到的攻擊數)/攻擊事件總數；重復報警率(%)：重復報警占所有報警的比率，其值為重復報警數/總的報警數。8.3入侵檢測的相關技術（續(xù)）11/22/202236入侵檢測系統(tǒng)的性能指標2、準確性指標8.3入侵檢測的相關技術入侵檢測系統(tǒng)的性能指標3、效率指標根據用戶系統(tǒng)的實際需求，以保證入侵檢測準確性的前提下，提高入侵檢測系統(tǒng)的最大處理能力。效率指標也取決于不同的設備級別，如百兆網絡環(huán)境下和千兆網絡環(huán)境下入侵檢測系統(tǒng)的效率指標一定有很大差別。效率指標主要包括：最大處理能力、每秒能監(jiān)控的網絡連接數、每秒能夠處理的事件數等。8.3入侵檢測的相關技術（續(xù)）11/22/202237入侵檢測系統(tǒng)的性能指標3、效率指標8.3入侵檢測的相關技術（入侵檢測系統(tǒng)的性能指標最大處理能力：指網絡入侵檢測系統(tǒng)在維持其正常檢測率的情況下，系統(tǒng)低于其漏警指標的最大網絡流量。目的是驗證系統(tǒng)在維持正常檢測的情況下能夠正常報警的最大流量。以每秒數據流量（Mbps或Gbps）來表示。取決于三個因素，其一是入侵檢測系統(tǒng)抓包能力，其二是分析引擎的分析能力，最后還與數據包的大小有直接關系，相同流量下，網絡數據包越小，數據包越多，處理能力越差。8.3入侵檢測的相關技術（續(xù)）11/22/202238入侵檢測系統(tǒng)的性能指標最大處理能力：8.3入侵檢測的相關技術入侵檢測系統(tǒng)的性能指標每秒能監(jiān)控的網絡連接數：網絡入侵檢測系統(tǒng)不僅要對單個的數據包作檢測，還要將相同網絡連接的數據包組合起來作分析。網絡連接的跟蹤能力和數據包重組能力是網絡入侵檢測系統(tǒng)進行協(xié)議分析、應用層入侵分析的基礎。例如：檢測利用HTTP協(xié)議的攻擊、敏感內容檢測、郵件檢測、Telnet會話的記錄與回放、硬盤共享的監(jiān)控等。每秒能夠處理的事件數：網絡入侵檢測系統(tǒng)檢測到網絡攻擊和可疑事件后，會生成安全事件或稱報警事件，并將事件記錄在事件日志中。每秒能夠處理的事件數，反映了檢測分析引擎的處理能力和事件日志記錄的后端處理能力。8.3入侵檢測的相關技術（續(xù)）11/22/202239入侵檢測系統(tǒng)的性能指標每秒能監(jiān)控的網絡連接數：網絡入侵檢測系入侵檢測系統(tǒng)的性能指標系統(tǒng)指標系統(tǒng)指標主要表示系統(tǒng)本身運行的穩(wěn)定性和使用的方便性。系統(tǒng)指標主要包括：最大規(guī)則數、平均無故障間隔等。

最大規(guī)則數：系統(tǒng)允許配置的入侵檢測規(guī)則條目的最大數目。

平均無故障間隔：系統(tǒng)無故障連續(xù)工作的時間。8.3入侵檢測的相關技術（續(xù)）11/22/202240入侵檢測系統(tǒng)的性能指標系統(tǒng)指標8.3入侵檢測的相關技術（續(xù)）入侵檢測系統(tǒng)的性能指標其它指標系統(tǒng)結構：完備的IDS應能采用分級、遠距離分式式部署和管理。8.3入侵檢測的相關技術（續(xù)）11/22/202241入侵檢測系統(tǒng)的性能指標其它指標8.3入侵檢測的相關技術（續(xù)）8.3入侵檢測的相關技術（續(xù)）事件數量：考察IDS系統(tǒng)的一個關鍵性指標是報警事件的多少。一般而言，事件越多，表明IDS系統(tǒng)能夠處理的能力越強。

處理帶寬

：IDS的處理帶寬，即IDS能夠處理的網絡流量，是IDS的一個重要性能。目前的網絡IDS系統(tǒng)一般能夠處理20～30M網絡流量，經過專門定制的系統(tǒng)可以勉強處理40～60M的流量。

入侵檢測系統(tǒng)的性能指標11/22/2022428.3入侵檢測的相關技術（續(xù)）事件數量：考察IDS系統(tǒng)的一個8.3入侵檢測的相關技術（續(xù)）

入侵檢測系統(tǒng)的性能指標探測引擎與控制中心的通信：作為分布式結構的IDS系統(tǒng)，通信是其自身安全的關鍵因素。通信安全通過身份認證和數據加密兩種方法來實現(xiàn)。身份認證是要保證一個引擎，或者子控制中心只能由固定的上級進行控制，任何非法的控制行為將予以阻止。身份認證采用非對稱加密算法，通過擁有對方的公鑰，進行加密、解密完成身份認證。11/22/2022438.3入侵檢測的相關技術（續(xù)）入侵檢測系統(tǒng)的性能指標探測引8.3入侵檢測的相關技術（續(xù)）

入侵檢測系統(tǒng)的性能指標事件定義：事件的可定義性或可定義事件是IDS的一個主要特性。二次事件：對事件進行實時統(tǒng)計分析，并產生新的高級事件能力。事件響應：通過事件上報、事件日志、Email通知、手機短信息、語音報警等方式進行響應，也可通過TCP阻斷、防火墻聯(lián)動等方式主動響應。11/22/2022448.3入侵檢測的相關技術（續(xù)）入侵檢測系統(tǒng)的性能指標事件定8.3入侵檢測的相關技術（續(xù)）

入侵檢測系統(tǒng)的性能指標自身安全：自身安全指的是探測引擎的安全性。要有良好的隱蔽性，一般使用定制的操作系統(tǒng)。終端安全：主要指控制中心的安全性。有多個用戶、多個級別的控制中心，不同的用戶應該有不同的權限，保證控制中心的安全性。11/22/2022458.3入侵檢測的相關技術（續(xù)）入侵檢測系統(tǒng)的性能指標自身安8.3入侵檢測的相關技術（續(xù)）

入侵檢測系統(tǒng)面臨的主要問題入侵檢測系統(tǒng)作為一種新型網絡安全防護手段，發(fā)揮很大作用，但是與諸如防火墻等技術高度成熟的產品相比，入侵檢測系統(tǒng)還存在相當多的問題：1、層出不窮的入侵手段2、越來越多的信息采用加密的方法傳輸3、不斷增大的網絡流量4、缺乏標準5、誤報率過高11/22/2022468.3入侵檢測的相關技術（續(xù)）入侵檢測系統(tǒng)面臨的主要問題8.4入侵檢測系統(tǒng)Snort8.4.1Snort概述

Snort是一個功能強大、跨平臺、輕量級的網絡入侵檢測系統(tǒng)，從入侵檢測分類上來看，Snort應該是個基于網絡和誤用的入侵檢測軟件。它可以運行在Linux、OpenBSD、FreeBSD、Solaris、以及其它Unix系統(tǒng)、Windows等操作系統(tǒng)之上。Snort是一個用C語言編寫的開放源代碼軟件，符合GPL(GNU通用公共許可證GNUGeneralPublicLicense)的要求，由于其是開源且免費的，許多研究和使用入侵檢測系統(tǒng)都是從Snort開始，因而Snort在入侵檢測系統(tǒng)方面占有重要地位。Snort的網站是。用戶可以登陸網站得到源代碼，在Linux和Windows環(huán)境下的安裝可執(zhí)行文件，并可以下載描述入侵特征的規(guī)則文件。11/22/2022478.4入侵檢測系統(tǒng)Snort8.4.1Snort概述8.4入侵檢測系統(tǒng)Snort8.4.2系統(tǒng)組成和處理流程

圖8－5Snort程序流程圖11/22/2022488.4入侵檢測系統(tǒng)Snort8.4.2系統(tǒng)組成和處理流程18.4入侵檢測系統(tǒng)Snort（續(xù)）雖然Snort是一個輕量級的入侵檢測系統(tǒng)，但是它的功能卻非常強大，其特點如下：1、跨平臺性2、功能完備3、使用插件的形式4、Snort規(guī)則描述簡單Snort基于規(guī)則的檢測機制十分簡單和靈活，使得可以迅速對新的入侵行為做出反應，發(fā)現(xiàn)網絡中潛在的安全漏洞。同時該網站提供幾乎與http://（應急響應中心，負責全球的網絡安全事件以及漏洞的發(fā)布）同步的規(guī)則庫更新，因此甚至許多商業(yè)的入侵檢測軟件直接就使用Snort的規(guī)則庫。11/22/2022498.4入侵檢測系統(tǒng)Snort（續(xù)）雖然Snort是一個輕量1、SNORT的優(yōu)點snort是一個輕量級的入侵檢測系統(tǒng)snort的可移植性很好snort的功能非常強大擴展性能較好，對于新的攻擊威脅反應迅速snort的擴展能力較強。遵循公共通用許可證GPL11/22/2022501、SNORT的優(yōu)點snort是一個輕量級的入侵檢測系統(tǒng)1

2、SNORT的安裝

（1）如何獲得snort可以從snort的站點http：//獲得其源代碼或者RPM包。使用源代碼安裝snort需要libpcap庫，可以從ftp：//下載。（2）安裝snort

bash#rpm-ihv--nodepssnort-1.7-1.i386.rpm11/22/2022512、SNORT的安裝11/21/202251

3、SNORT的應用

（1）作為嗅探器把TCP/IP包頭信息打印在屏幕上，輸入下面的命令：./snort-v要看到應用層的數據，可以使用下面的命令：./snort-vd要顯示數據鏈路層的信息，使用下面的命令：./snort-vde下面的命令就和上面最后的一條命令等價：./snort-d-v-e11/22/2022523、SNORT的應用11/21/202252

（2）記錄數據包指定一個日志目錄：./snort-dev-l./log目錄以數據包目的主機的IP地址命名，例如：./snort-dev-l./log-h/24把所有的包日志到一個單一的二進制文件中：./snort-l./log-b在嗅探器模式下把一個tcpdump格式的二進制文件中的包打印到屏幕上，可以輸入下面的命令：./snort-dv-rpacket.log從日志文件中提取ICMP包，只需要輸入下面的命令行：./snort-dvrpacket.logicmp11/22/202253（2）記錄數據包11/21/202253

（3）作為入侵檢測系統(tǒng)使用下面命令行可以啟動入侵檢測模式：./snort-dev-l./log-h/24-csnort.conf如果想長期使用snort作為自己的入侵檢測系統(tǒng)，最好不要使用-v選項。因為使用這個選項，使snort向屏幕上輸出一些信息，會大大降低snort的處理速度，從而在向顯示器輸出的過程中丟棄一些包。此外，在絕大多數情況下，也沒有必要記錄數據鏈路層的包頭，所以-e選項也可以不用：./snort-d-h/24-l./log-csnort.conf11/22/202254（3）作為入侵檢測系統(tǒng)11/21/202254

（4）配置實例使用默認的日志方式（以解碼的ASCII格式）并且把報警發(fā)給syslog：./snort-csnort.conf-l./log-s-h/24使用二進制日志格式和SMB報警機制：./snort-csnort.conf-b-MWORKSTATIONS（5）snort規(guī)則簡介snort有三種處理動作：pass、log、alert。（詳情參閱教材8.4.3Snort的操作與使用）11/22/202255（4）配置實例11/21/2022558.5入侵防御系統(tǒng)

8.5.1產生背景防火墻、入侵檢測都有各自的優(yōu)點和缺陷，隨著網絡的日益普及，攻擊也越來越多，許多新的攻擊方法不僅僅利用基本網絡協(xié)議，還會在上層應用協(xié)議中嵌入攻擊數據，從而逃避防火墻的攔截。另外，各種惡意程序(蠕蟲、病毒、木馬等)的廣泛傳播，導致來自網絡內部的攻擊數量大大增加，更加提高了網絡安全防御的難度。在這樣的情況下，僅僅依靠傳統(tǒng)的防火墻或入侵檢測技術，已經無法對網絡及網絡內部的各種資源進行很好的防護，網絡受到攻擊后作出響應的時間越來越滯后，不能很好地解決日趨嚴重的網絡安全問題。在此背景下，人們提出入侵防御系統(tǒng)(IntrusionPreventionSystem，IPS)的解決方案。11/22/2022568.5入侵防御系統(tǒng)8.5.1產生背景11/21/2028.5入侵防御系統(tǒng)8.5.2工作原理

IPS作為一種網絡主動防御技術是當前研究的熱點。與IDS相比，它在實時發(fā)現(xiàn)、阻斷攻擊、防止未知攻擊以及防御主動性等方面具有一定優(yōu)勢。IPS要求對分析攻擊的準確性要求非常高，幾乎是100%的準確率。在數據的處理和語法規(guī)則的定義等方面也作了很大的改進，繼承了IDS大部分的算法規(guī)則，并且進行了大量改進。主要表現(xiàn)在定義和添加語法規(guī)則更加容易，同時能夠檢測并分析出新的、未知類型攻擊。11/22/2022578.5入侵防御系統(tǒng)8.5.2工作原理11/21/2028.5入侵防御系統(tǒng)

8.5.2工作原理（續(xù)）IPS實現(xiàn)實時檢查和阻止入侵的原理在于IPS擁有數目眾多的過濾器，能夠防止各種攻擊。當新的攻擊手段被發(fā)現(xiàn)之后，IPS就會創(chuàng)建一個新的過濾器。IPS數據包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數據包的內容。如果有攻擊者利用從鏈路層到應用層的漏洞發(fā)起攻擊，IPS能夠從數據流中檢查出這些攻擊并加以阻止。11/22/2022588.5入侵防御系統(tǒng)8.5.2工作原理（續(xù)8.5入侵防御系統(tǒng)8.5.3IPS的分類

入侵防護系統(tǒng)根據部署方式可分為三類：基于主機的入侵防御系統(tǒng)，基于網絡的入侵防御系統(tǒng)，基于應用的入侵防御系統(tǒng)。分別描述如下：1、基于主機的入侵防御系統(tǒng)（HIPS）2、基于網絡的入侵防御系統(tǒng)（NIPS）3、基于應用的入侵防御系統(tǒng)（AIPS）11/22/2022598.5入侵防御系統(tǒng)8.5.3IPS的分類11/21/208.5入侵防御系統(tǒng)8.5.3IPS的分類（續(xù)）1、基于主機的入侵防御系統(tǒng)（HIPS）基于主機的入侵防御系統(tǒng)通過在主機／服務器上安裝軟件代理程序，防止入侵操作系統(tǒng)以及應用程序?；谥鳈C的入侵防御能夠保護服務器的安全弱點不被攻擊者所利用，因此它們在防范蠕蟲病毒的攻擊中起到了很好的防御作用?；谥鳈C的入侵防御技術，可以根據自定義的安全策略以及分析學習機制來阻斷對服務器、主機發(fā)起的惡意入侵。在技術上，HIPS采用獨特的服務器保護途徑，利用由包過濾、狀態(tài)包檢測和實時入侵檢測組成分層防御體系。11/22/2022608.5入侵防御系統(tǒng)8.5.3IPS的分類（續(xù)）11/28.5入侵防御系統(tǒng)8.5.3IPS的分類（續(xù)）2、基于網絡的入侵防御系統(tǒng)（NIPS）通過檢測流經的網絡流量，提供對網絡系統(tǒng)的安全保護。NIPS融入了已有的NIDS技術，包括誤用檢測、協(xié)議分析和異常檢測。11/22/2022618.5入侵防御系統(tǒng)8.5.3IPS的分類（續(xù)）11/28.5入侵防御系統(tǒng)

8.5.3IPS的分類（續(xù)）

3、基于應用的入侵防御系統(tǒng)（AIPS）把基于主機的入侵防御擴展成為位于應用服務器之前的網絡設備。通常被設計成一種高性能的設備，配置在應用數據的網絡鏈路上，通過AIPS安全策略的控制來防止基于應用協(xié)議漏洞和設計缺陷的惡意攻擊。IPS在網絡中一般有四種連接方式：Span（接在交換機旁邊，作為端口映像）、Tap（接在交換機與路由器中間，旁路安裝，拷貝一份數據到IPS中）、Inline（接在交換機與路由器中間，在線安裝，在線阻斷攻擊）和Port-cluster（被動抓包，在線安裝）。它在報警的同時，能阻斷攻擊。11/22/2022628.5入侵防御系統(tǒng)8.5.3IPS的分類（續(xù)）11/8.5入侵防御系統(tǒng)8.5.5IPS與IDS比較IPS與IDS都基于檢測技術，最初人們認為IPS將代替IDS，但是多年的發(fā)展后并沒有代替IDS，而是而這共存發(fā)展，各有優(yōu)勢。這主要是因為，二者存在著不同作用：1、使用方式不同2、設計思路不同3、發(fā)展目標不同因此，防護與監(jiān)控本是安全建設中相輔相成的兩個方面，只有IDS并不能很好地實時防御入侵，但只有IPS就不能全面地了解入侵防御改善的狀況。

11/22/2022638.5入侵防御系統(tǒng)8.5.5IPS與IDS比較11/天闐網絡入侵檢測系統(tǒng)典型部署結構圖11/22/202264天闐網絡入侵檢測系統(tǒng)典型部署結構圖11/21/2022648.7小結

本章介紹了防御技術中的入侵檢測技術。重點講解了入侵檢測系統(tǒng)的基本概念，介紹了檢測的數據采集方法、分析技術以及入侵檢測的部署方法，入侵響應技術和入侵檢測技術的主要性能指標。以Snort入侵檢測系統(tǒng)為例，介紹了入侵檢測系統(tǒng)的安裝和使用，最后講述了入侵防御系統(tǒng)的工作原理和存在的問題。11/22/2022658.7小結本章介紹了防御技術中的入侵檢測

1、入侵檢測系統(tǒng)是由哪些部分組成？各自的作用是什么？2、根據數據的來源不同，入侵檢測系統(tǒng)可以分為哪些種類，各有什么優(yōu)缺點？3、根據分析方法的不同，入侵檢測系統(tǒng)可以分為哪些種類，各有什么優(yōu)缺點？4、簡述入侵檢測IPS與IDS的區(qū)別，在網絡安全綜合方案中各發(fā)揮什么樣的作用？11/22/2022661、入侵檢測系統(tǒng)是由哪些部分組成？各自的作用是什么？11第八章入侵檢測系統(tǒng)

11/22/202267第八章入侵檢測系統(tǒng) 11/21/20221內容提要

入侵檢測技術用來發(fā)現(xiàn)攻擊行為，進而采取正確的響應措施，是安全防御的重要環(huán)節(jié)。通過本章學習使學生能夠掌握入侵檢測系統(tǒng)的基本原理，在了解Snort工作原理的基礎上，掌握其安裝和使用方法，了解入侵防御技術的特點及其和入侵檢測的區(qū)別。11/22/202268內容提要11/21/20222第八章入侵檢測系統(tǒng)

8.1入侵檢測系統(tǒng)概述

8.2入侵檢測系統(tǒng)的組成

8.3入侵檢測的相關技術

8.4入侵檢測系統(tǒng)Snort 8.5入侵防御系統(tǒng)

8.6實驗：基于snort的入侵檢測系統(tǒng)安裝和使用 8.7小結

習題

11/22/202269第八章入侵檢測系統(tǒng)8.1入侵檢測系統(tǒng)概述 11/21/8.1入侵檢測系統(tǒng)概述

入侵檢測系統(tǒng)全稱為IntrusionDetectionSystem（IDS），國際計算機安全協(xié)會（InternationalComputerSecurityAssociation，ICSA）入侵檢測系統(tǒng)論壇將其定義為：通過從計算機網絡或計算機系統(tǒng)中的若干關鍵點收集信息進行分析，從中發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象。

相對于防火墻來說，入侵檢測通常被認為是一種動態(tài)的防護手段。與其他安全產品不同的是，入侵檢測系統(tǒng)需要較復雜的技術，它將得到的數據進行分析，并得出有用的結果。一個合格的入侵檢測系統(tǒng)能大大地簡化管理員的工作，使管理員能夠更容易地監(jiān)視、審計網絡和計算機系統(tǒng)，擴展了管理員的安全管理能力，保證網絡和計算機系統(tǒng)的安全運行。11/22/2022708.1入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)全稱為In8.1入侵檢測系統(tǒng)概述（續(xù)）

防火墻是所有保護網絡的方法中最能普遍接受的方法，能阻擋外部入侵者，但對內部攻擊無能為力；同時，防火墻絕對不是堅不可摧的，即使是某些防火墻本身也會引起一些安全問題。防火墻不能防止通向站點的后門，不提供對內部的保護，無法防范數據驅動型的攻擊，不能防止用戶由Internet上下載被病毒感染的計算機程序或將該類程序附在電子郵件上傳輸。

入侵檢測是防火墻的合理補充，它幫助系統(tǒng)對付網絡攻擊，擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應)，提高了信息安全基礎結構的完整性。11/22/2022718.1入侵檢測系統(tǒng)概述（續(xù)）防火墻是所有保護網絡8.1入侵檢測系統(tǒng)概述（續(xù)）相關術語攻擊?攻擊者利用工具，出于某種動機，對目標系統(tǒng)采取的行動，其后果是獲取/破壞/篡改目標系統(tǒng)的數據或訪問權限事件?在攻擊過程中發(fā)生的可以識別的行動或行動造成的后果。在入侵檢測系統(tǒng)中，事件常常具有一系列屬性和詳細的描述信息可供用戶查看。也可以將入侵檢測系統(tǒng)需要分析的數據統(tǒng)稱為事件（event）11/22/2022728.1入侵檢測系統(tǒng)概述（續(xù)）相關術語攻擊11/21/20入侵?對信息系統(tǒng)的非授權訪問及（或）未經許可在信息系統(tǒng)中進行操作入侵檢測?對企圖入侵、正在進行的入侵或已經發(fā)生的入侵進行識別的過程入侵檢測系統(tǒng)（IDS）?用于輔助進行入侵檢測或者獨立進行入侵檢測的自動化工具8.1入侵檢測系統(tǒng)概述（續(xù)）11/22/202273入侵8.1入侵檢測系統(tǒng)概述（續(xù)）11/21/20227

入侵檢測（IntrusionDetection）技術是一種動態(tài)的網絡檢測技術，主要用于識別對計算機和網絡資源的惡意使用行為，包括來自外部用戶的入侵行為和內部用戶的未經授權活動。一旦發(fā)現(xiàn)網絡入侵現(xiàn)象，則應當做出適當的反應：對于正在進行的網絡攻擊，則采取適當的方法來阻斷攻擊（與防火墻聯(lián)動），以減少系統(tǒng)損失；對于已經發(fā)生的網絡攻擊，則應通過分析日志記錄找到發(fā)生攻擊的原因和入侵者的蹤跡，作為增強網絡系統(tǒng)安全性和追究入侵者法律責任的依據。它從計算機網絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。

8.1入侵檢測系統(tǒng)概述（續(xù)）11/22/202274入侵檢測（IntrusionDetection）技8.1入侵檢測系統(tǒng)概述（續(xù)）

入侵檢測系統(tǒng)（IDS）由入侵檢測的軟件與硬件組合而成，被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監(jiān)測，提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執(zhí)行以下任務來實現(xiàn)：1）監(jiān)視、分析用戶及系統(tǒng)活動。2）系統(tǒng)構造和弱點的審計。3）識別反映已知進攻的活動模式并向相關人士報警。4）異常行為模式的統(tǒng)計分析。5）評估重要系統(tǒng)和數據文件的完整性。6）操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。11/22/2022758.1入侵檢測系統(tǒng)概述（續(xù)）入侵檢測系統(tǒng)（IDS）由入侵檢測系統(tǒng)的作用?監(jiān)控網絡和系統(tǒng)?發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象?實時報警?主動響應?審計跟蹤

形象地說，它就是網絡攝像機，能夠捕獲并記錄網絡上的所有數據，同時它也是智能攝像機，能夠分析網絡數據并提煉出可疑的、異常的網絡數據，它還是X光攝像機，能夠穿透一些巧妙的偽裝，抓住實際的內容。它還不僅僅只是攝像機，還包括保安員的攝像機。11/22/202276入侵檢測系統(tǒng)的作用?監(jiān)控網絡和系統(tǒng)形象地說，它就是網8.1入侵檢測系統(tǒng)概述（續(xù)）11/22/2022778.1入侵檢測系統(tǒng)概述（續(xù)）11/21/2022118.1入侵檢測系統(tǒng)概述（續(xù)）入侵檢測的發(fā)展歷程

1980年，概念的誕生1984～1986年，模型的發(fā)展1990年，形成網絡IDS和主機IDS兩大陣營九十年代后至今，百家爭鳴、繁榮昌盛11/22/2022788.1入侵檢測系統(tǒng)概述（續(xù)）入侵檢測的發(fā)展歷程1980入侵檢測的實現(xiàn)方式

入侵檢測系統(tǒng)根據數據包來源的不同，采用不用的實現(xiàn)方式，一般地可分為網絡型、主機型，也可是這兩種類型的混合應用。?基于網絡的入侵檢測系統(tǒng)（NIDS）?基于主機的入侵檢測系統(tǒng)（HIDS）?混合型入侵檢測系統(tǒng)（HybridIDS）11/22/202279入侵檢測的實現(xiàn)方式入侵檢測系統(tǒng)根據數據包來源的不同入侵檢測的實現(xiàn)方式1、網絡IDS：網絡IDS是網絡上的一個監(jiān)聽設備(或一個專用主機)，通過監(jiān)聽網絡上的所有報文，根據協(xié)議進行分析，并報告網絡中的非法使用者信息。–安裝在被保護的網段（共享網絡、交換環(huán)境中交換機要支持端口映射）中–混雜模式監(jiān)聽–分析網段中所有的數據包–實時檢測和響應11/22/202280入侵檢測的實現(xiàn)方式1、網絡IDS：–安裝在被保護的網段（共8.1入侵檢測系統(tǒng)概述（續(xù)）圖8-1網絡IDS工作模型NY11/22/2022818.1入侵檢測系統(tǒng)概述（續(xù)）圖8-1網絡IDS工作模型8.1入侵檢測系統(tǒng)概述（續(xù)）網絡IDS優(yōu)勢(1)實時分析網絡數據，檢測網絡系統(tǒng)的非法行為；(2)網絡IDS系統(tǒng)單獨架設，不占用其它計算機系統(tǒng)的任何資源；(3)網絡IDS系統(tǒng)是一個獨立的網絡設備，可以做到對黑客透明，因此其本身的安全性高；(4)它既可以用于實時監(jiān)測系統(tǒng)，也是記錄審計系統(tǒng)，可以做到實時保護，事后取證分析；(5)通過與防火墻的聯(lián)動，不但可以對攻擊預警，還可以更有效地阻止非法入侵和破壞。(6)不會增加網絡中主機的負擔。11/22/2022828.1入侵檢測系統(tǒng)概述（續(xù)）網絡IDS優(yōu)勢(1)實時分8.1入侵檢測系統(tǒng)概述（續(xù)）網絡IDS的劣勢(1)交換環(huán)境和高速環(huán)境需附加條件(2)不能處理加密數據(3)資源及處理能力局限(4)系統(tǒng)相關的脆弱性11/22/2022838.1入侵檢測系統(tǒng)概述（續(xù)）網絡IDS的劣勢(1)交換入侵檢測的實現(xiàn)方式2、主機IDS運行于被檢測的主機之上，通過查詢、監(jiān)聽當前系統(tǒng)的各種資源的使用運行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件，進行上報和處理。–安裝于被保護的主機中–主要分析主機內部活動–占用一定的系統(tǒng)資源11/22/202284入侵檢測的實現(xiàn)方式2、主機IDS–安裝于被保護的主機主機IDS優(yōu)勢(1)精確地判斷攻擊行為是否成功。(2)監(jiān)控主機上特定用戶活動、系統(tǒng)運行情況(3)HIDS能夠檢測到NIDS無法檢測的攻擊(4)HIDS適用加密的和交換的環(huán)境(5)不需要額外的硬件設備11/22/202285主機IDS優(yōu)勢(1)精確地判斷攻擊行為是否成功。11/21主機IDS的劣勢(1)HIDS對被保護主機的影響(2)HIDS的安全性受到宿主操作系統(tǒng)的限制(3)HIDS的數據源受到審計系統(tǒng)限制(4)被木馬化的系統(tǒng)內核能夠騙過HIDS(5)維護/升級不方便11/22/202286主機IDS的劣勢(1)HIDS對被保護主機的影響11/213、兩種實現(xiàn)方式的比較：

1)如果攻擊不經過網絡,基于網絡的IDS無法檢測到只能通過使用基于主機的IDS來檢測；2)基于網絡的IDS通過檢查所有的包頭來進行檢測，而基于主機的IDS并不查看包頭。主機IDS往往不能識別基于IP的拒絕服務攻擊和碎片攻擊；3)基于網絡的IDS可以研究數據包的內容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實時檢查包序列的IDS迅速識別；而基于主機的系統(tǒng)無法看到負載，因此也無法識別嵌入式的數據包攻擊。11/22/2022873、兩種實現(xiàn)方式的比較：11/21/2022214、混合型入侵檢測系統(tǒng)（HybridIDS）

在新一代的入侵檢測系統(tǒng)中將把現(xiàn)在的基于網絡和基于主機這兩種檢測技術很好地集成起來，提供集成化的攻擊簽名檢測報告和事件關聯(lián)功能。

可以深入地研究入侵事件入侵手段本身及被入侵目標的漏洞等。11/22/2022884、混合型入侵檢測系統(tǒng)（HybridIDS）11/21/2入侵檢測系統(tǒng)的功能（小結）1、監(jiān)視并分析用戶和系統(tǒng)的活動，查找非法用戶和合法用戶的越權操作；2、檢測系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補漏洞；3、對用戶的非正?；顒舆M行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律；4、檢查系統(tǒng)程序和數據一致性與正確性，如計算和比較文件系統(tǒng)的校驗；5、能夠實時對檢測到的入侵行為作出反應；6、操作系統(tǒng)的審計跟蹤管理。11/22/202289入侵檢測系統(tǒng)的功能（小結）11/21/2022238.2入侵檢測系統(tǒng)的組成

根據不同的網絡環(huán)境和系統(tǒng)的應用，入侵檢測系統(tǒng)在具體實現(xiàn)上也有所不同。從系統(tǒng)構成上看，入侵檢測系統(tǒng)至少包括數據提取、人侵分析、響應處理三個部分，另外還可能結合安全知識庫、數據存儲等功能模塊，提供更為完善的安全檢測及數據分析功能。如1987年Denning提出的通用入侵檢測模型主要由六部分構成，IDES與它的后繼版本NIDES都完全基于Denning的模型；另外，在總結現(xiàn)有的入侵檢測系統(tǒng)的基礎上提出了一個入侵檢測系統(tǒng)的通用模型如圖8-2所示。11/22/2022908.2入侵檢測系統(tǒng)的組成根據不同的網絡環(huán)境和系8.2入侵檢測系統(tǒng)的組成

通用入侵檢測框架(CommonIntrusionDetectionFramework，CIDF)把一個入侵檢測系統(tǒng)分為以下組件:圖8-2CIDF的入侵檢測通用模型11/22/2022918.2入侵檢測系統(tǒng)的組成通用入侵檢測框架8.2入侵檢測系統(tǒng)的組成

CIDF把一個入侵檢測系統(tǒng)分為以下組件:事件產生器：負責原始數據采集，并將收集到的原始數據轉換為事件，向系統(tǒng)的其他部分提供此事件，又稱傳感器(sensor)。事件分析器：接收事件信息，對其進行分析，判斷是否為入侵行為或異?，F(xiàn)象，最后將判斷結果變?yōu)榫嫘畔?。事件數據庫：存放各種中間和最終入侵信息的地方，并從事件產生器和事件分析器接收需要保存的事件，一般會將數據長時間保存。事件響應器：是根據入侵檢測的結果，對入侵的行為作出適當的反映，可選的響應措施包括主動響應和被動響應。11/22/2022928.2入侵檢測系統(tǒng)的組成CIDF把一個入侵檢測8.2入侵檢測系統(tǒng)的組成IDS的基本結構

無論IDS系統(tǒng)是網絡型的還是主機型的，從功能上看，都可分為兩大部分：探測引擎和控制中心。前者用于讀取原始數據和產生事件；后者用于顯示和分析事件以及策略定制等工作。11/22/2022938.2入侵檢測系統(tǒng)的組成IDS的基本結構無論ID8.2入侵檢測系統(tǒng)的組成（續(xù)）IDS的基本結構

圖8-3引擎的工作流程

引擎的主要功能為：原始數據讀取、數據分析、產生事件、策略匹配、事件處理、通信等功能11/22/2022948.2入侵檢測系統(tǒng)的組成（續(xù)）IDS的基本結構圖8-38.2入侵檢測系統(tǒng)的組成（續(xù)）IDS的基本結構

圖8-4控制中心的工作流程

控制中心的主要功能為：通信、事件讀取、事件顯示、策略定制、日志分析、系統(tǒng)幫助等。通信事件讀取事件顯示策略定制日志分析系統(tǒng)幫助事件/策略數據庫11/22/2022958.2入侵檢測系統(tǒng)的組成（續(xù)）IDS的基本結構圖8-48.3入侵檢測的相關技術IDS采用的技術

入侵檢測主要通過專家系統(tǒng)、模式匹配、協(xié)議分析或狀態(tài)轉換等方法來確定入侵行為。入侵檢測技術有：靜態(tài)配置分析技術異常檢測技術誤用檢測技術

1．靜態(tài)配置分析技術靜態(tài)配置分析是通過檢查系統(tǒng)的當前系統(tǒng)配置，諸如系統(tǒng)文件的內容或系統(tǒng)表，來檢查系統(tǒng)是否已經或者可能會遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征(系統(tǒng)配置信息)，而不是系統(tǒng)中的活動。11/22/2022968.3入侵檢測的相關技術IDS采用的技術入侵檢測主8.3入侵檢測的相關技術（續(xù)）IDS采用的技術

2、異常檢測技術通過對系統(tǒng)審計數據的分析建立起系統(tǒng)主體(單個用戶、一組用戶、主機，甚至是系統(tǒng)中的某個關鍵的程序和文件等)的正常行為特征輪廓；檢測時，如果系統(tǒng)中的審計數據與已建立的主體的正常行為特征有較大出入就認為是一個入侵行為。這一檢測方法稱“異常檢測技術”。

一般采用統(tǒng)計或基于規(guī)則描述的方法建立系統(tǒng)主體的行為特征輪廓，即統(tǒng)計性特征輪廓和基于規(guī)則描述的特征輪廓。11/22/2022978.3入侵檢測的相關技術（續(xù)）IDS采用的技術2、8.3入侵檢測的相關技術（續(xù)）IDS采用的技術

3．誤用檢測技術誤用檢測技術(MisuseDetection)通過檢測用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來檢測系統(tǒng)中的入侵活動，是一種基于已有知識的檢測。這種入侵檢測技術的主要局限在于它只是根據已知的入侵序列和系統(tǒng)缺陷的模式來檢測系統(tǒng)中的可疑行為，而不能處理對新的入侵攻擊行為以及未知的、潛在的系統(tǒng)缺陷的檢測。11/22/2022988.3入侵檢測的相關技術（續(xù)）IDS采用的技術3．誤8.3入侵檢測的相關技術（續(xù)）入侵檢測分析技術的比較

1．模式匹配的缺陷1）計算負荷大2）檢測準確率低

2．協(xié)議分析新技術的優(yōu)勢1）提高了性能2）提高了準確性3）反規(guī)避能力4）系統(tǒng)資源開銷小11/22/2022998.3入侵檢測的相關技術（續(xù)）入侵檢測分析技術的比較18.3入侵檢測的相關技術（續(xù)）入侵檢測系統(tǒng)的性能指標1、入侵檢測系統(tǒng)的主要相關術語：警告(Alert/Alarm)：用來表示一個系統(tǒng)被攻擊者攻擊，一般包含從攻擊內容中得到的攻擊信息，或者異常事件和統(tǒng)計信息。誤警(FalsePositive)：也成誤報，指入侵檢測系統(tǒng)對那些良性事件的報警，這表明IDS的錯誤報警，太多的誤警可能導致正常的報警事件被淹沒。漏警(FalseNegative)：也稱漏報，當一個攻擊事件已經發(fā)生，而入侵檢測系統(tǒng)卻沒有有效地檢測出來，如果漏警太多，或者關鍵入侵事件的漏報就使入侵檢測系統(tǒng)失去了其存在意義；11/22/20221008.3入侵檢測的相關技術（續(xù)）入侵檢測系統(tǒng)的性能指標1、入侵8.3入侵檢測的相關技術（續(xù)）噪聲(Noise)：指入侵檢測系統(tǒng)生成但又沒有真正威脅的報警，這些報警是正確的，并且也是可疑的，如配置于防火墻之外的入侵檢測系統(tǒng)檢測到的掃描事件，可能被防火墻過濾而沒有產生掃描攻擊，但是入侵檢測系統(tǒng)卻檢測到并產生報警。重復報警(RepetitiveAlarm)：指入侵檢測系統(tǒng)對某一入侵事件的反復報警，重復報警并不表示入侵檢測系統(tǒng)的錯誤行為，太多的重復報警也可能使網絡管理員產生視覺疲勞，影響對其他攻擊產生適當響應，另外與其他安全技術協(xié)同工作也可能產生嚴重問題，過多的重復報警可能會產生拒絕服務。入侵檢測系統(tǒng)的性能指標11/22/20221018.3入侵檢測的相關技術（續(xù)）噪聲(Noise)：指入侵檢測入侵檢測系統(tǒng)的性能指標2、準確性指標在很大程度上取決于測試時采用的樣本集和測試環(huán)境。包括：檢測率(%)：指被監(jiān)控系統(tǒng)在受到入侵攻擊時，檢測系統(tǒng)能夠正確報警的概率。通常利用已知入侵攻擊的實驗數據集合來測試系統(tǒng)的檢測率。其值為：檢測到的攻擊數/攻擊事件總數；誤警率(%)：是指把那些正確事件誤報為攻擊以及把一種攻擊行為誤報為另一種攻擊的概率，其值為：1－(正確的告警數/總的告警數)；漏警率(%)：已經攻擊而沒有檢測出來的攻擊占所有攻擊的概率，通常利用已知入侵攻擊的實驗數據集合來測試系統(tǒng)的漏報率。其值為(攻擊事件－檢測到的攻擊數)/攻擊事件總數；重復報警率(%)：重復報警占所有報警的比率，其值為重復報警數/總的報警數。8.3入侵檢測的相關技術（續(xù)）11/22/2022102入侵檢測系統(tǒng)的性能指標2、準確性指標8.3入侵檢測的相關技術入侵檢測系統(tǒng)的性能指標3、效率指標根據用戶系統(tǒng)的實際需求，以保證入侵檢測準確性的前提下，提高入侵檢測系統(tǒng)的最大處理能力。效率指標也取決于不同的設備級別，如百兆網絡環(huán)境下和千兆網絡環(huán)境下入侵檢測系統(tǒng)的效率指標一定有很大差別。效率指標主要包括：最大處理能力、每秒能監(jiān)控的網絡連接數、每秒能夠處理的事件數等。8.3入侵檢測的相關技術（續(xù)）11/22/2022103入侵檢測系統(tǒng)的性能指標3、效率指標8.3入侵檢測的相關技術（入侵檢測系統(tǒng)的性能指標最大處理能力：指網絡入侵檢測系統(tǒng)在維持其正常檢測率的情況下，系統(tǒng)低于其漏警指標的最大網絡流量。目的是驗證系統(tǒng)在維持正常檢測的情況下能夠正常報警的最大流量。以每秒數據流量（Mbps或Gbps）來表示。取決于三個因素，其一是入侵檢測系統(tǒng)抓包能力，其二是分析引擎的分析能力，最后還與數據包的大小有直接關系，相同流量下，網絡數據包越小，數據包越多，處理能力越差。8.3入侵檢測的相關技術（續(xù)）11/22/2022104入侵檢測系統(tǒng)的性能指標最大處理能力：8.3入侵檢測的相關技術入侵檢測系統(tǒng)的性能指標每秒能監(jiān)控的網絡連接數：網絡入侵檢測系統(tǒng)不僅要對單個的數據包作檢測，還要將相同網絡連接的數據包組合起來作分析。網絡連接的跟蹤能力和數據包重組能力是網絡入侵檢測系統(tǒng)進行協(xié)議分析、應用層入侵分析的基礎。例如：檢測利用HTTP協(xié)議的攻擊、敏感內容檢測、郵件檢測、Telnet會話的記錄與回放、硬盤共享的監(jiān)控等。每秒能夠處理的事件數：網絡入侵檢測系統(tǒng)檢測到網絡攻擊和可疑事件后，會生成安全事件或稱報警事件，并將事件記錄在事件日志中。每秒能夠處理的事件數，反映了檢測分析引擎的處理能力和事件日志記錄的后端處理能力。8.3入侵檢測的相關技術（續(xù)）11/22/2022105入侵檢測系統(tǒng)的性能指標每秒能監(jiān)控的網絡連接數：網絡入侵檢測系入侵檢測系統(tǒng)的性能指標系統(tǒng)指標系統(tǒng)指標主要表示系統(tǒng)本身運行的穩(wěn)定性和使用的方便性。系統(tǒng)指標主要包括：最大規(guī)則數、平均無故障間隔等。

最大規(guī)則數：系統(tǒng)允許配置的入侵檢測規(guī)則條目的最大數目。

平均無故障間隔：系統(tǒng)無故障連續(xù)工作的時間。8.3入侵檢測的相關技術（續(xù)）11/22/2022106入侵檢測系統(tǒng)的性能指標系統(tǒng)指標8.3入侵檢測的相關技術（續(xù)）入侵檢測系統(tǒng)的性能指標其它指標系統(tǒng)結構：完備的IDS應能采用分級、遠距離分式式部署和管理。8.3入侵檢測的相關技術（續(xù)）11/22/2022107入侵檢測系統(tǒng)的性能指標其它指標8.3入侵檢測的相關技術（續(xù)）8.3入侵檢測的相關技術（續(xù)）事件數量：考察IDS系統(tǒng)的一個關鍵性指標是報警事件的多少。一般而言，事件越多，表明IDS系統(tǒng)能夠處理的能力越強。

處理帶寬

：IDS的處理帶寬，即IDS能夠處理的網絡流量，是IDS的一個重要性能。目前的網絡IDS系統(tǒng)一般能夠處理20～30M網絡流量，經過專門定制的系統(tǒng)可以勉強處理40～60M的流量。

入侵檢測系統(tǒng)的性能指標11/22/20221088.3入侵檢測的相關技術（續(xù)）事件數量：考察IDS系統(tǒng)的一個8.3入侵檢測的相關技術（續(xù)）

入侵檢測系統(tǒng)的性能指標探測引擎與控制中心的通信：作為分布式結構的IDS系統(tǒng)，通信是其自身安全的關鍵因素。通信安全通過身份認證和數據加密兩種方法來實現(xiàn)。身份認證是要保證一個引擎，或者子控制中心只能由固定的上級進行控制，任何非法的控制行為將予以阻止。身份認證采用非對稱加密算法，通過擁有對方的公鑰，進行加密、解密完成身份認證。11/22/20221098.3入侵檢測的相關技術（續(xù)）入侵檢測系統(tǒng)的性能指標探測引8.3入侵檢測的相關技術（續(xù)）

入侵檢測系統(tǒng)的性能指標事件定義：事件的可定義性或可定義事件是IDS的一個主要特性。二次事件：對事件進行實時統(tǒng)計分析，并產生新的高級事件能力。事件響應：通過事件上報、事件日志、Email通知、手機短信息、語音報警等方式進行響應，也可通過TCP阻斷、防火墻聯(lián)動等方式主動響應。11/22/20221108.3入侵檢測的相關技術（續(xù)）入侵檢測系統(tǒng)的性能指標事件定8.3入侵檢測的相關技術（續(xù)）

入侵檢測系統(tǒng)的性能指標自身安全：自身安全指的是探測引擎的安全性。要有良好的隱蔽性，一般使用定制的操作系統(tǒng)。終端安全：主要指控制中心的安全性。有多個用戶、多個級別的控制中心，不同的用戶應該有不同的權限，保證控制中心的安全性。11/22/20221118.3入侵檢測的相關技術（續(xù)）入侵檢測系統(tǒng)的性能指標自身安8.3入侵檢測的相關技術（續(xù)）

入侵檢測系統(tǒng)面臨的主要問題入侵檢測系統(tǒng)作為一種新型網絡安全防護手段，發(fā)揮很大作用，但是與諸如防火墻等技術高度成熟的產品相比，入侵檢測系統(tǒng)還存在相當多的問題：1、層出不窮的入侵手段2、越來越多的信息采用加密的方法傳輸3、不斷增大的網絡流量4、缺乏標準5、誤報率過高11/22/20221128.3入侵檢測的相關技術（續(xù)）入侵檢測系統(tǒng)面臨的主要問題8.4入侵檢測系統(tǒng)Snort8.4.1Snort概述

Snort是一個功能強大、跨平臺、輕量級的網絡入侵檢測系統(tǒng)，從入侵檢測分類上來看，Snort應該是個基于網絡和誤用的入侵檢測軟件。它可以運行在Linux、OpenBSD、FreeBSD、Solaris、以及其它Unix系統(tǒng)、Windows等操作系統(tǒng)之上。Snort是一個用C語言編寫的開放源代碼軟件，符合GPL(GNU通用公共許可證GNUGeneralPublicLicense)的要求，由于其是開源且免費的，許多研究和使用入侵檢測系統(tǒng)都是從Snort開始，因而Snort在入侵檢測系統(tǒng)方面占有重要地位。Snort的網站是。用戶可以登陸網站得到源代碼，在Linux和Windows環(huán)境下的安裝可執(zhí)行文件，并可以下載描述入侵特征的規(guī)則文件。11/22/20221138.4入侵檢測系統(tǒng)Snort8.4.1Snort概述8.4入侵檢測系統(tǒng)Snort8.4.2系統(tǒng)組成和處理流程

圖8－5Snort程序流程圖11/22/20221148.4入侵檢測系統(tǒng)Snort8.4.2系統(tǒng)組成和處理流程18.4入侵檢測系統(tǒng)Snort（續(xù)）雖然Snort是一個輕量級的入侵檢測系統(tǒng)，但是它的功能卻非常強大，其特點如下：1、跨平臺性2、功能完備3、使用插件的形式4、Snort規(guī)則描述簡單Snort基于規(guī)則的檢測機制十分簡單和靈活，使得可以迅速對新的入侵行為做出反應，發(fā)現(xiàn)網絡中潛在的安全漏洞。同時該網站提供幾乎與http://（應急響應中心，負責全球的網絡安全事件以及漏洞的發(fā)布）同步的規(guī)則庫更新，因此甚至許多商業(yè)的入侵檢測軟件直接就使用Snort的規(guī)則庫。11/22/20221158.4入侵檢測系統(tǒng)Snort（續(xù)）雖然Snort是一個輕量1、SNORT的優(yōu)點snort是一個輕量級的入侵檢測系統(tǒng)snort的可移植性很好snort的功能非常強大擴展性能較好，對于新的攻擊威脅反應迅速snort的擴展能力較強。遵循公共通用許可證GPL11/22/20221161、SNORT的優(yōu)點snort是一個輕量級的入侵檢測系統(tǒng)1

2、SNORT的安裝

（1）如何獲得snort可以從snort的站點http：//獲得其源代碼或者RPM包。使用源代碼安裝snort需要libpcap庫，可以從ftp：//下載。（2）安裝snort

bash#rpm-ihv--nodepssnort-1.7-1.i386.rpm11/22/20221172、SNORT的安裝11/21/202251

3、SNORT的應用

（1）作為嗅探器把TCP/IP包頭信息打印在屏幕上，輸入下面的命令：./snort-v要看到應用層的數據，可以使用下面的命令：./snort-vd要顯示數據鏈路層的信息，使用下面的命令：./snort-vde下面的命令就和上面最后的一條命令等價：./snort-d-v-e11/22/20221183、SNORT的應用11/21/202252

（2）記錄數據包指定一個日志目錄：./snort-dev-l./log