網(wǎng)絡(luò)信息安全技術(shù)課件 第9章 入侵檢測與響應(yīng)

第9章入侵檢測與響應(yīng)入侵檢測概述入侵檢測系統(tǒng)的基本概念入侵檢測系統(tǒng)入侵監(jiān)測系統(tǒng)原理入侵監(jiān)測系統(tǒng)性能關(guān)鍵參數(shù)入侵檢測系統(tǒng)分類入侵檢測中的響應(yīng)機制入侵檢測系統(tǒng)的部署入侵檢測的標(biāo)準(zhǔn)化入侵檢測系統(tǒng)的發(fā)展9.1入侵檢測概述計算機網(wǎng)絡(luò)中存在著可以被攻擊者所利用的安全弱點、漏洞及不安全的配置，主要表現(xiàn)在操作系統(tǒng)漏洞、TCP/IP協(xié)議設(shè)計缺陷、應(yīng)用程序(如數(shù)據(jù)庫、瀏覽器等)漏洞、網(wǎng)絡(luò)設(shè)備自身安全等幾個方面。另外，由于大部分網(wǎng)絡(luò)缺少預(yù)警防護機制，即使攻擊者已經(jīng)侵入到內(nèi)部網(wǎng)絡(luò)，侵入到關(guān)鍵的主機，并從事非法的操作，網(wǎng)絡(luò)管理人員也很難察覺到。這樣，攻擊者就有足夠的時間來破壞計算機網(wǎng)絡(luò)系統(tǒng)。9.1入侵檢測概述如何防止和避免網(wǎng)絡(luò)系統(tǒng)遭受攻擊和入侵呢?首先要找出網(wǎng)絡(luò)中存在的安全弱點、漏洞和不安全的配置;然后采用相應(yīng)措施堵塞這些弱點、漏洞，對不安全的配置進行修正，最大限度地避免遭受攻擊和入侵;同時，對網(wǎng)絡(luò)活動進行實時監(jiān)測，一旦監(jiān)測到攻擊行為或違規(guī)操作，能夠及時做出反應(yīng)，包括記錄日志、報警甚至阻擋非法連接。入侵檢測系統(tǒng)(IDS：IntrusionDetectionSystem)的出現(xiàn)，解決了以上的問題。在計算機網(wǎng)絡(luò)中，通過硬件防火墻可以阻擋網(wǎng)絡(luò)中一般性的攻擊行為。而采用入侵檢測系統(tǒng)，則可以對越過防火墻的攻擊行為以及來自網(wǎng)絡(luò)內(nèi)部的操作進行監(jiān)測和響應(yīng)。9.2入侵檢測系統(tǒng)的基本概念1.入侵行為“入侵”(Intrusion)是個廣義的概念，不僅包括被發(fā)起攻擊的人(如惡意的黑客)取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息、拒絕服務(wù)(DenialofService)等對計算機系統(tǒng)造成危害的行為。入侵行為主要指對系統(tǒng)資源的非授權(quán)使用，它可以造成系統(tǒng)數(shù)據(jù)的丟失和破壞，甚至?xí)斐上到y(tǒng)拒絕對合法用戶服務(wù)等后果。2.入侵檢測入侵檢測(IntrusionDetection)，顧名思義，便是對入侵行為的發(fā)覺。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測技術(shù)是一種網(wǎng)絡(luò)信息安全新技術(shù)，它可以彌補防火墻的不足，對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時的檢測以及采取相應(yīng)的防護手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。入侵檢測技術(shù)是一種主動保護系統(tǒng)免受黑客攻擊的網(wǎng)絡(luò)安全技術(shù)。9.2入侵檢測系統(tǒng)的基本概念9.3入侵檢測系統(tǒng)入侵檢測系統(tǒng)是從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。將入侵檢測的軟件與硬件進行組合便是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)需要更多的智能，它必須可以對得到的數(shù)據(jù)進行分析，并得出有用的結(jié)果。一個合格的入侵檢測系統(tǒng)能大大地簡化管理員的工作，保證網(wǎng)絡(luò)安全的運行。不同于防火墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備其實，不能對其監(jiān)聽到的非法攻擊進行阻斷，但它可以查看網(wǎng)絡(luò)內(nèi)部人員所做的攻擊行為，在攻擊發(fā)生后，利用IDS保存的信息可以進行調(diào)查和取證。它不跨接多個物理網(wǎng)段(通常只有一個監(jiān)聽端口)，無須轉(zhuǎn)發(fā)任何流量，而只需要在網(wǎng)絡(luò)上被動地、無聲息地收集它所關(guān)心的報文即可。因此，入侵檢測系統(tǒng)被認為是防火墻之后的第二道安全閘門。9.4入侵監(jiān)測系統(tǒng)原理9.4入侵監(jiān)測系統(tǒng)原理1．?dāng)?shù)據(jù)源入侵檢測系統(tǒng)用來檢測非授權(quán)或不希望的活動的原始信息。通常的數(shù)據(jù)源包括原始的網(wǎng)絡(luò)包，操作系統(tǒng)審計日志，應(yīng)用程序日志和系統(tǒng)生成的校驗和數(shù)據(jù)等。感應(yīng)器或分析器通過識別數(shù)據(jù)源感興趣的數(shù)據(jù)源的實例。例如網(wǎng)絡(luò)會話、用戶活動或者應(yīng)用程序事件?；顒訌挠脩粽；顒拥椒浅Ｃ黠@的惡意攻擊等。2．感應(yīng)器/分析器在很多現(xiàn)存的入侵檢測系統(tǒng)中，感應(yīng)器和分析器作為同一構(gòu)件的不同部分。感應(yīng)器負責(zé)從數(shù)據(jù)源搜集數(shù)據(jù)。數(shù)據(jù)搜集的顏率由具體操供的IDS決定。分析器負責(zé)分析感應(yīng)器搜集的數(shù)據(jù)，這些數(shù)據(jù)則反映了非授權(quán)的或不希望有的話動，以及安全管理員可能關(guān)心的事件。9.4入侵監(jiān)測系統(tǒng)原理3．管理器分析器通過警報把一個被檢測到的事件發(fā)給管理器。管理器是入侵檢測的構(gòu)件或處理過程，通過它操作員可以管理入侵檢測系統(tǒng)的各種構(gòu)件。管理功能通常包括感應(yīng)器配置，分析器配置，事件通告管理，數(shù)據(jù)合并及報告。4．管理員全面負責(zé)一個組織的安全策略設(shè)置的人，進行入侵檢測系統(tǒng)的安裝和配置。管理員可以是IDS的操作員，也可以不是。在一些組織，管理員與網(wǎng)絡(luò)或系統(tǒng)管理組織相聯(lián)系。而在另一些組織中，管理員是一個獨立的職位。管理員通過事先定義的文檔，下發(fā)可以被監(jiān)控的網(wǎng)段所提供的服務(wù)，以及哪些主機不允許被外部網(wǎng)絡(luò)訪問等策略。5．操作員IDS管理器的主要使用者。操作員經(jīng)常監(jiān)控入侵檢測系統(tǒng)的輸出，發(fā)起或建議進一步的行動。9.4入侵監(jiān)測系統(tǒng)原理一個入侵檢測系統(tǒng)主要包括信息收集模塊、信息分析模塊、報警與響應(yīng)模塊、管理配置模塊和相關(guān)的輔助模塊。信息收集模塊的功能是為入侵信息分析模塊提供分析用的數(shù)據(jù)，一般的有操作系統(tǒng)的審計日志、應(yīng)用程序運行日志和網(wǎng)絡(luò)數(shù)據(jù)包等。入侵信息分析模塊的功能是依據(jù)輔助模塊提供的信息如攻擊模式，并按照一定算法對收集到的數(shù)據(jù)進行分析，從中判斷是否有入侵行為出現(xiàn)和產(chǎn)生入侵報警。該模塊是入侵檢測系統(tǒng)的核心模塊。9.4入侵監(jiān)測系統(tǒng)原理管理配置模塊的功能是為其它的模塊提供配置服務(wù)，是IDS系統(tǒng)中的模塊與用戶之間的接口。應(yīng)急措施模塊的功能在發(fā)生入侵后．預(yù)先為系統(tǒng)提供緊急的措施，例關(guān)閉網(wǎng)絡(luò)服務(wù)、中斷網(wǎng)絡(luò)連接、啟動備份系統(tǒng)等。輔助模塊的功能是協(xié)助入侵分析引擎模塊工作，為它提供相應(yīng)的信息。例如攻擊模式、網(wǎng)絡(luò)安全事實和網(wǎng)絡(luò)安全策略等。9.4入侵監(jiān)測系統(tǒng)原理圖給出了一個簡單的入侵檢測系統(tǒng)。圖中的系統(tǒng)主要是指產(chǎn)生數(shù)據(jù)的業(yè)務(wù)系統(tǒng)即數(shù)據(jù)源，比如工作站、網(wǎng)段，業(yè)務(wù)服務(wù)器、防火墻、web應(yīng)用服務(wù)器等。9.5入侵監(jiān)測系統(tǒng)性能關(guān)鍵參數(shù)入侵行為判斷的準(zhǔn)確性是衡量IDS是否高效的關(guān)鍵參數(shù)，因此一般從誤報和漏報兩個方面對IDS系統(tǒng)的性能進行衡量。誤報（falsepositive）也就是IDS系統(tǒng)把一個合法的操作判斷為非法入侵行為，從而會導(dǎo)致用戶對IDS系統(tǒng)的報警不予處理，使得用戶逐漸疏于處理IDS系統(tǒng)的報警，當(dāng)真正的入侵行為發(fā)生時，用戶可能會也認為屬于IDS誤報，從而使得IDS系統(tǒng)形同虛設(shè)。漏報（falsenegative）就是IDS系統(tǒng)把一個攻擊行為判斷為非攻擊行為，并允許其通過系統(tǒng)監(jiān)測，如果系統(tǒng)未能檢測出真正的入侵行為，從而背離了安全防護的宗旨，IDS系統(tǒng)成為擺設(shè)，當(dāng)真正的攻擊行為成功之后造成的后果十分嚴(yán)重。因此，為了提高IDS的性能，就要減少IDS的誤報率和漏報率，提高準(zhǔn)確率。9.6入侵檢測系統(tǒng)分類根據(jù)入侵監(jiān)測系統(tǒng)對數(shù)據(jù)的采集方式進行分類可以分為基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）和基于主機的入侵檢測系統(tǒng)（HIDS）?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)使用監(jiān)聽的方式，在網(wǎng)絡(luò)通信中尋找符合網(wǎng)絡(luò)入侵規(guī)則的數(shù)據(jù)包，這種方式的情況下，入侵檢測設(shè)備往往以硬件的方式部署于網(wǎng)絡(luò)中，獨立于被保護的機器之外。通過入侵數(shù)據(jù)包的特征進行檢測，可以針對網(wǎng)絡(luò)層、傳輸層和應(yīng)用層的入侵行為的全面檢測。9.6入侵檢測系統(tǒng)分類基于主機的入侵檢測系統(tǒng)運行在主機上，在主機系統(tǒng)中通過審計日志文件和文件完整性等操作中尋找攻擊特征，通常以軟件的形式部署于被保護的計算機中，為了能使基于主機的IDS完整地覆蓋受控站點，需要在每臺計算機上都安裝IDS系統(tǒng)。主機型IDS軟件被安裝于需要監(jiān)控的系統(tǒng)上。IDS軟件上的數(shù)據(jù)源是日志文件或系統(tǒng)審計代理。主機型IDS不僅著眼于計算機中通信流量的出入，同時也校驗用戶系統(tǒng)文件的完整性，并檢測可疑程序。為了能使基于主機的IDS完整地覆蓋受控站點，需要在每臺計算機上都安裝IDS系統(tǒng)。9.6入侵檢測系統(tǒng)分類根據(jù)檢測原理分類可以分為誤用檢測型入侵檢測系統(tǒng)和異常檢測型入侵檢測系統(tǒng)。誤用檢測型入侵檢測系統(tǒng)用于收集攻擊行為和非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)檢測到用戶的行為與特征庫中的行為匹配的時候，系統(tǒng)就會認為這是入侵，這樣對于已知攻擊類型的檢測非常有效，但是不能檢測新型變種的攻擊方式，誤用入侵檢測的關(guān)鍵在于特征信息庫的升級和特征的匹配搜索，需要不斷的更新特征庫。異常檢測型入侵檢測系統(tǒng)會總結(jié)正常的操作系統(tǒng)應(yīng)當(dāng)具有的特征，當(dāng)用戶的活動與正常的行為有較大的偏差的時候，系統(tǒng)就會認為這是入侵，通過利用統(tǒng)計的方法來檢測系統(tǒng)中的異常行為。9.6入侵檢測系統(tǒng)分類根據(jù)入侵檢測系統(tǒng)處理數(shù)據(jù)的方式，可以將入侵檢測系統(tǒng)分為分布式入侵檢測系統(tǒng)和集中式入侵檢測系統(tǒng)。分布式入侵檢測系統(tǒng)就是在一些與受監(jiān)視組件相應(yīng)的位置對數(shù)據(jù)進行分析的入侵檢測系統(tǒng)。集中式入侵檢測系統(tǒng)就是在一些固定且不受監(jiān)視組件數(shù)量限制的位置對數(shù)據(jù)進行分析的入侵檢測系統(tǒng)。9.7入侵檢測中的響應(yīng)機制9.7.1被動入侵響應(yīng)被動響應(yīng)只向用戶提供檢測結(jié)果，通知用戶是否發(fā)生了入侵行為，下一步采取的措施需要用戶來完成。被動響應(yīng)是入侵檢測系統(tǒng)中最基本的響應(yīng)方式，早期的入侵檢測系統(tǒng)中所有的響應(yīng)都是被動的。被動響應(yīng)有以下幾種方式：1)記錄安全事件。包括輸出到文件，可以是IDS(intruderdetectionsystem)自身的格式、tcpdump格式、xml和CSV格式等；輸出到數(shù)據(jù)庫，一般是各操作系統(tǒng)下主流數(shù)據(jù)庫；輸出到系統(tǒng)，例如采用syslog機制。2)產(chǎn)生報警信息。包括顯示屏報警，遠程報警(呼機或手機等)，使用SNMP陷阱通知網(wǎng)絡(luò)管理控制臺，使用smb報文進行局域網(wǎng)報警等。3)記錄附加日志。記錄系統(tǒng)當(dāng)時狀態(tài)，例如流量、資源使用情況等。9.7.2主動入侵響應(yīng)主動響應(yīng)可以分為兩類：①用戶驅(qū)動的；②由系統(tǒng)本身自動執(zhí)行的。其要達到的目的有3類：①對入侵者采取反擊；②修正系統(tǒng)環(huán)境；⑧收集額外信息。在具體方法上，入侵隔離、入侵屏蔽、入侵追蹤、蜜罐、可信恢復(fù)、災(zāi)難控制、自適應(yīng)響應(yīng)等技術(shù)都屬于主動響應(yīng)的范疇。9.7.2主動入侵響應(yīng)1.入侵隔離在檢測到入侵發(fā)生后，往往希望阻止入侵的進一步進行，入侵隔離一般有兩種方式：會話阻斷和拒絕連接請求。會話阻斷是指IDS通過發(fā)送TCPReset或ICMP包來阻斷當(dāng)前的會話。對于TCP會話，IDS將會向通信的兩端各發(fā)送TCPRESET包，此時通信雙方的堆棧將會把這個RESET包解釋為另一端的回應(yīng)，然后停止整個通信過程。對于UDP會話，IDS向源地址主機發(fā)送ICMP包，表示目的主機、端口或網(wǎng)絡(luò)不可到達。使用拒絕連接請求，入侵檢測系統(tǒng)將與防火墻聯(lián)動，通過修改防火墻的規(guī)則集來實現(xiàn)阻塞入侵地址。9.7.2主動入侵響應(yīng)2.入侵追蹤在諸如DOS這樣的攻擊方式中，攻擊者往往采用偽造源IP地址的方式來隱藏自己。入侵追蹤研究的重點在于發(fā)現(xiàn)攻擊者的真實地址和傳輸路徑，同時追蹤技術(shù)也有助于提高響應(yīng)的準(zhǔn)確性。常用的追蹤技術(shù)包括：鏈路測試、日志記錄、ICMP追蹤和報文標(biāo)記等。鏈路測試。日志記錄。ICMP追蹤。報文標(biāo)記。9.7.2主動入侵響應(yīng)3.蜜罐技術(shù)這種響應(yīng)方式能夠幫助用戶獲取更多關(guān)于入侵行為的信息，目前多采用的技術(shù)是建立“蜜罐”(honeypot)及“蜜網(wǎng)”(honeynet)。這實際上是一種欺騙網(wǎng)技術(shù)，通過故意設(shè)置專門的服務(wù)器或局域網(wǎng)來誘使入侵者相信信息系統(tǒng)中存在有價值的、可利用的安全弱點，并具有一些重要的資源，并將入侵者引向這些錯誤的資源。當(dāng)入侵者認為成功進入系統(tǒng)并竊取資源的時候，用戶則可以監(jiān)視入侵者的行為，得到關(guān)于入侵者的第一手資料。蜜罐技術(shù)包括操作系統(tǒng)欺騙、目錄系統(tǒng)欺騙、數(shù)據(jù)及文件欺騙、應(yīng)用程序及服務(wù)欺騙等。由于分散了入侵者的注意力，在收集、分析入侵者行為的同時，蜜罐也充當(dāng)了主動防御的角色。Honeyd是一個輕量級的蜜罐系統(tǒng)，它通過模擬各操作系統(tǒng)網(wǎng)絡(luò)層的實現(xiàn)來達到欺騙入侵者的目的，且可同時模擬多臺主機及相關(guān)網(wǎng)絡(luò)服務(wù)程序，大大節(jié)省了建立及管理蜜罐系統(tǒng)的成本。9.8入侵檢測系統(tǒng)的部署9.9入侵檢測的標(biāo)準(zhǔn)化隨著網(wǎng)絡(luò)規(guī)模的擴大，網(wǎng)絡(luò)入侵的方式、類型、特征各不相同，入侵的活動變得復(fù)雜而又難以捉摸。某些入侵的活動靠單一IDS不能檢測出來，如分布式攻擊。網(wǎng)絡(luò)管理員常因缺少證據(jù)而無法追蹤入侵者，入侵者仍然可以進行非法的活動。不同的IDS之間設(shè)有協(xié)作，結(jié)果造成缺少某種入侵模式而導(dǎo)致IDS不能發(fā)現(xiàn)新的入侵活動。目前，網(wǎng)絡(luò)的安全也要求IDS能夠與訪問控制、應(yīng)急、入侵追蹤等系統(tǒng)交換情息，相互協(xié)作，形成一個整體有效的安全保障系統(tǒng)。然而，要達到達些要求，需要一個標(biāo)準(zhǔn)來加以指導(dǎo)，系統(tǒng)之間要有一個約定，如數(shù)據(jù)交換的格式、協(xié)作方式等?；谏鲜龅囊蛩乜紤]，國際上的一些研究組織開展這方面的研究工作。下面概述一下目前的入侵檢測的標(biāo)準(zhǔn)化制定工作進展?fàn)顩r。9.9.1通用入侵檢測框架（CIDF）通用入侵檢測框架(CIDF，CommonIntrusionDetectionFramework)，定義了檢測體系結(jié)構(gòu)、入侵描述語言規(guī)范和應(yīng)用程序接口規(guī)范。CIDF定義了IDS系統(tǒng)和應(yīng)急系統(tǒng)之間通過交換數(shù)據(jù)方式，協(xié)作而實現(xiàn)入侵檢測和應(yīng)急響應(yīng)。CIDF將軟件構(gòu)件理論應(yīng)用到入侵檢測系統(tǒng)中，定義構(gòu)件之間接口方法，從而使得不同的構(gòu)件能夠互相通信和協(xié)作。（CIDF）闡述了一個入侵檢測系統(tǒng)（IDS）的通用模型。它將一個入侵檢測系統(tǒng)分為事件產(chǎn)生器（Eventgenerators）、事件分析器（Eventanalyzers）、響應(yīng)單元（Responseunits）、事件數(shù)據(jù)庫（Eventdatabases）四個組件。CIDF將IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件（event），它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他途徑得到的信息。9.9.2入侵檢測工作組(IDWG)為了適應(yīng)網(wǎng)絡(luò)安全發(fā)展的需要，Intenet網(wǎng)絡(luò)工程部IETF的入侵檢測工作組(IntrusionDetectionWorkingGroup，簡稱IDWG)負責(zé)制定入侵檢測響應(yīng)系統(tǒng)之間的共享信息的數(shù)據(jù)格式和交換信息的方式，以及滿足系統(tǒng)管理的需要。IDWG主要的工作圍繞下面的三點。(1)制定入侵檢測消息交換需求