第6章入侵檢測技術(shù)

第六章入侵檢測技術(shù)1本章目標掌握入侵檢測技術(shù)實現(xiàn)的過程掌握兩種入侵檢測技術(shù)及其各自的優(yōu)缺點了解入侵檢測的概念和作用說明入侵檢測的兩種基本的檢測技術(shù)明確在一個實際的網(wǎng)絡(luò)中入侵檢測的具體部署本章重點IDS的主要功能和類型、IDS存在的問題、IDS的應(yīng)用案例2網(wǎng)絡(luò)安全問題日漸嚴重網(wǎng)絡(luò)安全是一個國際化的問題安全損失越來越大3安全事件報告01000020000300004000050000600001988199019921994199619982000CCERTincidentReport4安全問題起因網(wǎng)絡(luò)管理是平面型80%以上的入侵來自于網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)資源濫用入侵越來越頻繁56.1IDS概念I(lǐng)DS是防火墻的合理補充IDS定義對系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機密性、完整性和可用性IDS66.1IDS概念(續(xù))

——IDS應(yīng)該具有的特點使網(wǎng)管了解網(wǎng)絡(luò)系統(tǒng)的變更提供網(wǎng)絡(luò)安全策略的制訂指南規(guī)模靈活可變及時響應(yīng)入侵96.1.1信息收集入侵檢測第一步收集狀態(tài)和行為系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)用戶活動檢測范圍要大106.1.1信息收集(續(xù))

——信息來源系統(tǒng)和網(wǎng)絡(luò)日志文件目錄和文件中的不期望的改變程序執(zhí)行中的不期望行為物理形式的入侵信息11系統(tǒng)和網(wǎng)絡(luò)日志文件黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動的證據(jù)這些證據(jù)，可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應(yīng)的應(yīng)急響應(yīng)。程序日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志就包含登錄用戶ID，改變用戶對文件的訪問授權(quán)和認證信息等內(nèi)容。顯然對用戶活動來講不正常的或不期望的行為，就是重復(fù)登錄失敗登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等。12目錄和文件中的不期望的改變網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標。目錄和文件中的不期望的改變包括修改創(chuàng)建和刪除，特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號。入侵者經(jīng)常替換修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。13程序執(zhí)行中的不期望行為網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶起動的程序和特定目的的應(yīng)用，例如數(shù)據(jù)庫服務(wù)器。每個在系統(tǒng)上執(zhí)行的程序由一到多個進程來實現(xiàn)。每個進程執(zhí)行在具有不同權(quán)限的環(huán)境中，這種環(huán)境控制著進程可訪問的系統(tǒng)資源程序和數(shù)據(jù)文件等。一個進程的執(zhí)行行為由它運行時執(zhí)行的操作來表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。操作包括計算、文件傳輸設(shè)備和其它進程以及與網(wǎng)絡(luò)間其它進程的通訊。一個進程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。黑客可能會將程序或服務(wù)的運行分解，從而導(dǎo)致它失敗或者是以非用戶或管理員意圖的方式操作。14物理形式的入侵信息物理入侵包括兩個方面的內(nèi)容：一是未授權(quán)的對網(wǎng)絡(luò)硬件連接，二是對物理資源的未授權(quán)訪問。黑客會想方設(shè)法去突破網(wǎng)絡(luò)的周邊防衛(wèi)，如果他們能夠在物理上訪問內(nèi)部網(wǎng)，就能安裝他們自己的設(shè)備和軟件，依此黑客就可以知道網(wǎng)上的由用戶加上去的不安全未授權(quán)設(shè)備，然后利用這些設(shè)備訪問網(wǎng)絡(luò)，例如用戶在家里可能安裝Modem以訪問遠程辦公室，與此同時黑客正在利用自動工具來識別在公共電話線上的Modem，如果一撥號訪問流量經(jīng)過了這些自動工具，那么這一撥號訪問就成為了威脅網(wǎng)絡(luò)安全的后門，黑客就會利用這個后門來訪問內(nèi)部網(wǎng)，從而越過了內(nèi)部網(wǎng)絡(luò)原有的防護措施，然后捕獲網(wǎng)絡(luò)流量進而攻擊其它系統(tǒng)并偷取敏感的私有信息等等156.1.2信號分析對信息的分析技術(shù)模式匹配統(tǒng)計分析完整性分析實時的入侵檢測分析事后分析166.1.2信號分析(續(xù))

——模式匹配比較收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫攻擊模式可以用一個過程或一個輸出來表示通過字符串匹配以尋找一個簡單的條目或指令利用正規(guī)的數(shù)學(xué)表達式來表示安全狀態(tài)的變化176.1.2信號分析(續(xù))

——統(tǒng)計分析首先對系統(tǒng)對象創(chuàng)建一個統(tǒng)計描述統(tǒng)計正常使用時的一些測量屬性測量屬性的平均值和偏差被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較觀察值在正常值范圍之外時，就認為有入侵發(fā)生186.1.2信號分析(續(xù))

——完整性分析關(guān)注某個文件或?qū)ο笫欠癖桓陌ㄎ募湍夸浀膬?nèi)容及屬性對于發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效利用加密機制196.2IDS類型IDS組成部分傳感器（Sensor）控制臺（Console）傳感器（Sensor）控制臺（Console）206.2IDS類型(續(xù))IDS分類基于主機的IDS基于網(wǎng)絡(luò)的IDS混合IDS216.2.1基于主機的IDSHIDS安裝在被重點檢測的主機之上HIDS對主機的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志進行智能分析和判斷發(fā)現(xiàn)主機出現(xiàn)可疑行為，HIDS采取措施226.2.1基于主機的IDS(續(xù))——HIDS示意圖InternetDesktopsWebServers遠程連接顧客ServersNetwork分公司合作伙伴HackerHost-basedIDS236.2.1基于主機的IDS(續(xù))

——HIDS的優(yōu)點對分析“可能的攻擊行為”非常有用得到的信息詳盡誤報率低24必須安裝在要保護的設(shè)備上，出現(xiàn)安全風(fēng)險依賴服務(wù)器固有的日志與監(jiān)視能力部署代價大，易出現(xiàn)盲點不能檢測網(wǎng)絡(luò)行為6.2.1基于主機的IDS(續(xù))

——HIDS的弱點256.2.2基于網(wǎng)絡(luò)的IDSNIDS放置在網(wǎng)段內(nèi)，監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)包發(fā)現(xiàn)問題可以切斷網(wǎng)絡(luò)目前IDS大多數(shù)是NIDS266.2.1基于網(wǎng)絡(luò)的IDS(續(xù))——NIDS示意圖InternetDesktopsWebServers遠程連接顧客ServersNetwork分公司合作伙伴Network-basedIDSNetwork-basedIDSNetwork-basedIDS27不需要改變服務(wù)器的配置不影響業(yè)務(wù)系統(tǒng)的性能部署風(fēng)險小具有專門設(shè)備6.2.1基于網(wǎng)絡(luò)的IDS(續(xù))

——NIDS的優(yōu)點28檢測范圍有限很難檢測復(fù)雜攻擊傳感器協(xié)同工作能力較弱處理加密的會話過程較困難6.2.1基于網(wǎng)絡(luò)的IDS(續(xù))

——NIDS的弱點296.2.3混合入侵檢測HIDS和NIDS各有不足單一產(chǎn)品防范不全面結(jié)合HIDS和NIDS306.2.4文件完整性檢查定義：檢查計算機中自上次檢查后文件變化情況保存有每個文件的數(shù)字摘要檢查過程計算新的數(shù)字摘要與數(shù)據(jù)庫中的數(shù)字摘要進行比較Tripwire軟件（WWW.）316.2.4文件完整性檢查(續(xù))

——優(yōu)點文件完整性檢查系統(tǒng)安全時間上和空間上不可能攻破靈活性強32本地的數(shù)字摘要數(shù)據(jù)庫不安全耗時長6.2.4文件完整性檢查(續(xù))

——弱點336.3IDS檢測技術(shù)基于規(guī)則檢測基于異常情況檢測

346.3.1基于規(guī)則檢測Signature-BasedDetection（特征檢測)假設(shè)入侵者活動可以用一種模式表示目標是檢測主體活動是否符合這些模式對新的入侵方法無能為力難點在于如何設(shè)計模式既能夠表達入侵現(xiàn)象又不會將正常的活動包含進來準確率較高

356.3.1基于規(guī)則檢測(續(xù))

——示意圖入侵模式檢測到的事件比較、匹配入侵366.3.2基于異常情況檢測AnomalyDetection(異常檢測)假設(shè)入侵者活動異常于正常主體的活動制訂主體正常活動的“活動閥值”檢測到的活動與“活動閥值”相比較是否違反統(tǒng)計規(guī)律難題在于如何建立“活動閥值”以及如何設(shè)計統(tǒng)計算法376.3.2基于異常情況檢測(續(xù))

——示意圖事件度量入侵概率正常行為異常行為0102030405060708090評價指標38操作模型方差多元模型馬爾柯夫過程模型時間序列分析6.3.2基于異常情況檢測(續(xù))

——統(tǒng)計模型396.4IDS存在問題NIDS具有網(wǎng)絡(luò)局限性NIDS的檢測方法都有一定的局限性NIDS不能處理加密后的數(shù)據(jù)NIDS存在著資源和處理能力的局限性NIDS受內(nèi)存和硬盤的限制406.5案例分析

三個數(shù)據(jù)區(qū)防火墻PIX525DMZ區(qū)核心數(shù)據(jù)區(qū)政府DMZ區(qū)三個區(qū)都部署NIDS416.5案例分析(續(xù))426.6當(dāng)前主流產(chǎn)品介紹

Cisco公司NetRangerIDSInternetSecuritySystem公司RealSecureIntrusionDetection公司KaneSecurityMonitorAxentTechnologies公司OmniGuard/IntruderAlert436.6當(dāng)前主流產(chǎn)品介紹(續(xù))ComputerAssociates公司SessionWall-3/eTrustIntrusionDetectionNFR公司IntrusionDetectionAppliance4.0中科網(wǎng)威“天眼”入侵檢測系統(tǒng)啟明星辰SkyBell（天闐）44本章總結(jié)入侵檢測系統(tǒng)被認為是防火墻的有效補充，在防火墻之后提供了一道防御線。本章詳細介紹了入侵檢測系統(tǒng)的概念及其實現(xiàn)的功能。按照實現(xiàn)的位置不同，入侵檢測系統(tǒng)可以分成基于主機的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)，兩種入侵檢測系統(tǒng)都有各自的優(yōu)缺點。在具體的實現(xiàn)中，可以根據(jù)用戶的需求來決定需要部署哪一種入侵檢測系統(tǒng)。入侵檢測系統(tǒng)在實現(xiàn)過程中通過規(guī)則和/或異常情況來檢測網(wǎng)絡(luò)上可能的或者正在進行的攻擊行為。用戶可以根據(jù)自己網(wǎng)絡(luò)的實際情況，通過對網(wǎng)絡(luò)信息的分析，定義自己的規(guī)則和相應(yīng)的統(tǒng)計信息，來建立自己的入侵檢測過程。45本章實驗1．X-SCAN軟件掃描局域網(wǎng)2．BlackICEserver入侵軟件安裝配置3．Sniffer偵聽敏感信息并分析網(wǎng)絡(luò)性能4．eTrustIntrusionDetection企業(yè)入侵檢測

46課堂練習(xí)1、在安全審計的風(fēng)險評估階段，通常是按什么順序來進行的：A、偵查階段、滲透階段、控制階段B、滲透階段、偵查階段、控制階段C、控制階段、偵查階段、滲透階段D、偵查階段、控制階段、滲透階段2、黑客利用IP地址進行攻擊的方法有：（） A. IP欺騙 B. 解密 C. 竊取口令 D. 發(fā)送病毒47課堂練習(xí)（續(xù)）3、以下哪一項不屬于入侵檢測系統(tǒng)的功能：A、監(jiān)視網(wǎng)絡(luò)上的通信數(shù)據(jù)流B、捕捉可疑的網(wǎng)絡(luò)活動C、提供安全審計報告D、過濾非法的數(shù)據(jù)包4、入侵檢測系統(tǒng)的第一步是：（）A、信號分析B、信息收集C、數(shù)據(jù)包過濾D、數(shù)據(jù)包檢查48課堂練習(xí)（續(xù)）5、以下哪一項不是入侵檢測系統(tǒng)利用的信息：（）A、系統(tǒng)和網(wǎng)絡(luò)日志文件B、目錄和文件中的不期望的改變C、數(shù)據(jù)包頭信息D、程序執(zhí)行中的不期望行為E、物理形式的入侵信息6、入侵檢測系統(tǒng)在進行信號分析時，一般通過三種常用的技術(shù)手段，以下哪一種不屬于通常的三種技術(shù)手段：（）A、模式匹配B、統(tǒng)計分析C、完整性分析D、密文分析49課堂練習(xí)（續(xù)）7、以下哪一種方式是入侵檢測系統(tǒng)所通常采用的：（）A、基于網(wǎng)絡(luò)的入侵檢測B、基于IP的入侵檢測C、基于服務(wù)的入侵檢測D、基于域名的入侵檢測8、以下哪一項屬于基于主機的入侵檢測方式的優(yōu)勢：（）A、監(jiān)視整個網(wǎng)段的通信B、不要求在大量的主機上安裝和管理軟件C、適應(yīng)交換和加密D、