1、计算机网络与信息安全技术教学课件 V08.081入侵检测与防御技术入侵检测与防御技术第第 9 章章2基本内容u防火墙是网络系统的第一道安全闸门,但一般网络系统必须对外开放一些应用端口,如80、110等,这时防火墙的不足就会充分体现出来。为此我们必须借助更深入的防护技术来实施保护,本章介绍其中的一种方法,即入侵检测技术。 39.1 9.1 入侵检测系统概述入侵检测系统概述 防火墙是所有保护网络的方法中最能普遍接受的方法,能阻挡防火墙是所有保护网络的方法中最能普遍接受的方法,能阻挡外部入侵者,但对内部攻击无能为力;同时,防火墙绝对不是坚不外部入侵者,但对内部攻击无能为力;同时,防火墙绝对不是坚不可
2、摧的,即使是某些防火墙本身也会引起一些安全问题。防火墙不可摧的,即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门,不提供对内部的保护,无法防范数据驱动能防止通向站点的后门,不提供对内部的保护,无法防范数据驱动型的攻击,不能防止用户由型的攻击,不能防止用户由InternetInternet上下载被病毒感染的计算机程上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。序或将该类程序附在电子邮件上传输。 入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力展了系统管理员的安全管理能力(
3、(包括安全审计、监视、进攻识别包括安全审计、监视、进攻识别和响应和响应) ),提高了信息安全基础结构的完整性。,提高了信息安全基础结构的完整性。 49.1 9.1 入侵检测系统概述入侵检测系统概述9.1.1 9.1.1 相关术语相关术语攻击攻击攻击者利用工具,出于某种动机,对目标系统采取的行动,攻击者利用工具,出于某种动机,对目标系统采取的行动,其后果是获取其后果是获取/破坏破坏/篡改目标系统的数据或访问权限篡改目标系统的数据或访问权限事件事件在攻击过程中发生的可以识别的行动或行动造成的后果;在在攻击过程中发生的可以识别的行动或行动造成的后果;在入侵检测系统中,事件常常具有一系列属性和详细的描
4、述信入侵检测系统中,事件常常具有一系列属性和详细的描述信息可供用户查看。息可供用户查看。 CIDF 将入侵检测系统需要分析的数据统称为事件(将入侵检测系统需要分析的数据统称为事件(event)5入侵入侵对信息系统的非授权访问及(或)未经许可在信息系统中进对信息系统的非授权访问及(或)未经许可在信息系统中进行操作行操作入侵检测入侵检测对企图入侵、正在进行的入侵或已经发生的入侵进行识别的对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程过程入侵检测系统(入侵检测系统(IDS)用于辅助进行入侵检测或者独立进行入侵检测的自动化工具用于辅助进行入侵检测或者独立进行入侵检测的自动化工具9.1 9.1
5、 入侵检测系统概述入侵检测系统概述9.1.1 9.1.1 相关术语相关术语6 入侵检测(入侵检测(Intrusion DetectionIntrusion Detection)技术是一种动态的网)技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。为,包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象,则应当做出适当的反应。对于正在进一旦发现网络入侵现象,则应当做出适当的反应。对于正在进行的网络攻击,则采取适当的方法来阻断攻击(与防火墙联行的网
6、络攻击,则采取适当的方法来阻断攻击(与防火墙联动),以减少系统损失。对于已经发生的网络攻击,则应通过动),以减少系统损失。对于已经发生的网络攻击,则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹,作为增强分析日志记录找到发生攻击的原因和入侵者的踪迹,作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。中是否有违反安全策略的行为和遭到袭击的迹象。 9.1 9.1 入侵检测系统概述
7、入侵检测系统概述9.1.2 9.1.2 入侵检测入侵检测79.1 9.1 入侵检测系统概述入侵检测系统概述入侵检测系统入侵检测系统 入侵检测系统(入侵检测系统(IDSIDS)由入侵检测的软件与硬件组合而)由入侵检测的软件与硬件组合而成,被认为是防火墙之后的第二道安全闸门,在不影响网络成,被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:击和误操作的实时保护。这些都通过它执行以下任务来实现: 1 1)监视、分析用户及系统活动。)监视、分析用户
8、及系统活动。 2 2)系统构造和弱点的审计。)系统构造和弱点的审计。 3 3)识别反映已知进攻的活动模式并向相关人士报警。)识别反映已知进攻的活动模式并向相关人士报警。 4 4)异常行为模式的统计分析。)异常行为模式的统计分析。 5 5)评估重要系统和数据文件的完整性。)评估重要系统和数据文件的完整性。 6 6)操作系统的审计跟踪管理,并识别用户违反安全策)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。略的行为。 89.1 9.1 入侵检测系统概述入侵检测系统概述9.1.3 9.1.3 入侵检测系统的作用入侵检测系统的作用监控网络和系统监控网络和系统发现入侵企图或异常现象发现入侵企图或
9、异常现象实时报警实时报警主动响应主动响应审计跟踪审计跟踪 形象地说,它就是网络摄形象地说,它就是网络摄像像机,能够捕获并记录网络上的所有数据,机,能够捕获并记录网络上的所有数据,同时它也是智能摄同时它也是智能摄像像机,能够分析网络数据并提炼出可疑的、异常的网机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是络数据,它还是X光摄光摄像像机,能够穿透一些巧妙的伪装,抓住实际的内机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄容。它还不仅仅只是摄像像机,还包括保安员的摄机,还包括保安员的摄像像机机.99.1 9.1 入侵检测系统概述入侵检测系统概述9.1.4 9.1.4 入侵检测
10、的发展历程入侵检测的发展历程 19801980年年,概念的诞生概念的诞生1984198419861986年,模型的发展年,模型的发展 19901990年,形成网络年,形成网络IDSIDS和主机和主机IDSIDS两大阵营两大阵营九十年代后至今,九十年代后至今,百家争鸣百家争鸣、繁荣昌盛、繁荣昌盛109.2 9.2 入侵检测的原理与技术入侵检测的原理与技术 9.2.1 9.2.1 入侵检测的实现方式入侵检测的实现方式 入侵检测系统根据数据包来源的不同,采用不用的实入侵检测系统根据数据包来源的不同,采用不用的实现方式,一般地可分为网络型、主机型,也可是这两种类现方式,一般地可分为网络型、主机型,也可
11、是这两种类型的混合应用。型的混合应用。基于网络的入侵检测系统(基于网络的入侵检测系统(NIDSNIDS)基于主机的入侵检测系统(基于主机的入侵检测系统(HIDSHIDS)混合型入侵检测系统(混合型入侵检测系统(Hybrid IDSHybrid IDS)119.2 9.2 入侵检测的原理与技术入侵检测的原理与技术 图图9-1 9-1 网络网络IDSIDS工作模型工作模型 129.2 9.2 入侵检测的原理与技术入侵检测的原理与技术 9.2.2 IDS9.2.2 IDS的基本结构的基本结构 无论无论IDSIDS系统是网络型的还是主机型的,从功能上看,都可系统是网络型的还是主机型的,从功能上看,都可
12、分为两大部分:探测引擎和控制中心。前者用于读取原始数据和分为两大部分:探测引擎和控制中心。前者用于读取原始数据和产生事件;后者用于显示和分析事件以及策略定制等工作。产生事件;后者用于显示和分析事件以及策略定制等工作。 139.2 9.2 入侵检测的原理与技术入侵检测的原理与技术 9.2.2 IDS9.2.2 IDS的基本结构的基本结构 引擎的工作流程引擎的工作流程 引擎的主要功能引擎的主要功能为:原始数据读取、为:原始数据读取、数据分析、产生事件、数据分析、产生事件、策略匹配、事件处理、策略匹配、事件处理、通信等功能通信等功能 149.2 9.2 入侵检测的原理与技术入侵检测的原理与技术 9.
13、2.2 IDS9.2.2 IDS的基本结构的基本结构 控制中心的工作流程控制中心的工作流程 控制中心的主要功能为:通信、事件读取、事件显示、策控制中心的主要功能为:通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。略定制、日志分析、系统帮助等。159.2 9.2 入侵检测的原理与技术入侵检测的原理与技术 9.2.3 IDS9.2.3 IDS采用的技术采用的技术 入侵检测主要通过专家系统、模式匹配、协议分析入侵检测主要通过专家系统、模式匹配、协议分析或状态转换等方法来确定入侵行为。入侵检测技术有:或状态转换等方法来确定入侵行为。入侵检测技术有:静态配置分析技术静态配置分析技术异常检测技术
14、异常检测技术误用检测技术误用检测技术 1 1静态配置分析技术静态配置分析技术 静态配置分析是通过检查系统的当前系统配置,诸静态配置分析是通过检查系统的当前系统配置,诸如系统文件的内容或系统表,来检查系统是否已经或者如系统文件的内容或系统表,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征可能会遭到破坏。静态是指检查系统的静态特征( (系统配系统配置信息置信息) ),而不是系统中的活动。,而不是系统中的活动。 169.2 9.2 入侵检测的原理与技术入侵检测的原理与技术 9.2.3 IDS9.2.3 IDS采用的技术采用的技术 2 2、异常检测技术、异常检测技术 通过对系统审计数
15、据的分析建立起系统主体通过对系统审计数据的分析建立起系统主体( (单个用户、单个用户、一组用户、主机,甚至是系统中的某个关键的程序和文件等一组用户、主机,甚至是系统中的某个关键的程序和文件等) )的正常行为特征轮廓;检测时,如果系统中的审计数据与已建的正常行为特征轮廓;检测时,如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。立的主体的正常行为特征有较大出入就认为是一个入侵行为。这一检测方法称这一检测方法称“异常检测技术异常检测技术”。 一般一般采用统计或基于规则描述的方法建立系统主体的行为采用统计或基于规则描述的方法建立系统主体的行为特征轮廓特征轮廓,即,即统计
16、性特征轮廓统计性特征轮廓和和基于规则描述的特征轮廓。基于规则描述的特征轮廓。179.2 9.2 入侵检测的原理与技术入侵检测的原理与技术 9.2.3 IDS9.2.3 IDS采用的技术采用的技术 3 3误用检测技术误用检测技术 误用检测技术误用检测技术(Misuse Detection)(Misuse Detection)通过检测用户行为中通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或是间接地违背系统安全规则的行为,来检测系统中的中缺陷或是间接地违背系统安全规则的行为,来检测系统中的入侵活动,是一种基于已有
17、的知识的检测。入侵活动,是一种基于已有的知识的检测。 这种入侵检测技术的主要局限在于它只是根据已知的入侵这种入侵检测技术的主要局限在于它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为,而不能处理序列和系统缺陷的模式来检测系统中的可疑行为,而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。189.3 9.3 入侵检测系统的性入侵检测系统的性能指标能指标 1 1系统结构系统结构好的好的IDSIDS应能采用分级、远距离分式部署和管理。应能采用分级、远距离分式部署和管理。199.3 9.3 入侵检测系统的性入侵检测系统的性能
18、指标能指标 2 2事件数量事件数量 考察考察IDSIDS系统的一个关键性指标是报警事件的多少。系统的一个关键性指标是报警事件的多少。一般而言,事件越多,表明一般而言,事件越多,表明IDSIDS系统能够处理的能力越系统能够处理的能力越强。强。 3 3处理带宽处理带宽 IDSIDS的处理带宽,即的处理带宽,即IDSIDS能够处理的网络流量,是能够处理的网络流量,是IDSIDS的一个重要性能。目前的网络的一个重要性能。目前的网络IDSIDS系统一般能够处理系统一般能够处理202030M30M网络流量,经过专门定制的系统可以勉强处理网络流量,经过专门定制的系统可以勉强处理404060M60M的流量。的
19、流量。 209.3 9.3 入侵检测系统的性入侵检测系统的性能指标能指标 4 4探测引擎与控制中心的探测引擎与控制中心的通信通信 作为分布式结构的作为分布式结构的IDSIDS系统,通信是其自身安全的系统,通信是其自身安全的关键因素。通信安全通过身份认证和数据加密两种方法关键因素。通信安全通过身份认证和数据加密两种方法来实现。来实现。 身份认证是要保证一个引擎,或者子控制中心只能身份认证是要保证一个引擎,或者子控制中心只能由固定的上级进行控制,任何非法的控制行为将予以阻由固定的上级进行控制,任何非法的控制行为将予以阻止止。身份认证采用非对称加密算法,通过拥有对方的公身份认证采用非对称加密算法,通
20、过拥有对方的公钥,进行加密、解密完成身份认证钥,进行加密、解密完成身份认证。219.3 9.3 入侵检测系统的性入侵检测系统的性能指标能指标 5 5事件定义事件定义 事件的可定义性或可定义事件是事件的可定义性或可定义事件是IDSIDS的一个主要特性。的一个主要特性。 6 6二次事件二次事件 对事件进行实时统计分析,并产生新的高级事件能力对事件进行实时统计分析,并产生新的高级事件能力。 7 7事件响应事件响应 通过事件上报、通过事件上报、事件日志事件日志、EmailEmail通知通知、手机短信息手机短信息、语音报警语音报警等方式进行响应。等方式进行响应。 还可通过还可通过TCPTCP阻断、防火墙
21、联动等方式主动响应。阻断、防火墙联动等方式主动响应。229.3 9.3 入侵检测系统的性入侵检测系统的性能指标能指标 8 8自身安全自身安全 自身安全指的是探测引擎的安全性。自身安全指的是探测引擎的安全性。要有良好的隐蔽要有良好的隐蔽性,一般使用定制的操作系统。性,一般使用定制的操作系统。 9 9终端安全终端安全 主要主要指指控制中心的安全性控制中心的安全性。有多个用户、多个级别的。有多个用户、多个级别的控制中心,不同的用户应该有不同的权限,保证控制中心控制中心,不同的用户应该有不同的权限,保证控制中心的安全性。的安全性。 239.9.4 4 入侵防御系统简介入侵防御系统简介 IDS IDS只
22、能被动地检测攻击,而不能主动地把变化莫测的威胁阻只能被动地检测攻击,而不能主动地把变化莫测的威胁阻止在网络之外。因此,人们迫切地需要找到一种主动入侵防护解决止在网络之外。因此,人们迫切地需要找到一种主动入侵防护解决方案,以确保企业网络在威胁四起的环境下正常运行。方案,以确保企业网络在威胁四起的环境下正常运行。 入侵防御系统(入侵防御系统(Intrusion Prevention SystemIntrusion Prevention System或或Intrusion Intrusion Detection PreventionDetection Prevention,即,即IPSIPS或或ID
23、PIDP)就应运而生了。)就应运而生了。IPSIPS是一种是一种智能化的入侵检测和防御产品,它不但能检测入侵的发生,而且能智能化的入侵检测和防御产品,它不但能检测入侵的发生,而且能通过一定的响应方式,实时地中止入侵行为的发生和发展,实时地通过一定的响应方式,实时地中止入侵行为的发生和发展,实时地保护信息系统不受实质性的攻击。保护信息系统不受实质性的攻击。IPSIPS使得使得IDSIDS和防火墙走向统一。和防火墙走向统一。 IPS IPS在网络中一般有四种连接方式:在网络中一般有四种连接方式:SpanSpan(接在交换机旁边,作为端接在交换机旁边,作为端口映像)、口映像)、TapTap(接在交换
24、机与路由器中间,旁路安装,拷贝一份数据到接在交换机与路由器中间,旁路安装,拷贝一份数据到IPSIPS中)、中)、InlineInline(接在交换机与路由器中间,在线安装,在线阻断攻击)和(接在交换机与路由器中间,在线安装,在线阻断攻击)和Port-clusterPort-cluster(被动抓包,在线安装)。(被动抓包,在线安装)。它在报警的同时,能阻断攻击。它在报警的同时,能阻断攻击。 249.5 9.5 蜜网蜜网HoneynetHoneynet HoneynetHoneynet是一个网络系统,并非某台单一主机,这一网络系统是一个网络系统,并非某台单一主机,这一网络系统隐藏在防火墙的后面,
25、所有进出的数据都受到关注、捕获及控制。隐藏在防火墙的后面,所有进出的数据都受到关注、捕获及控制。这些被捕获的数据用来研究分析入侵者们使用的工具、方法及动机。这些被捕获的数据用来研究分析入侵者们使用的工具、方法及动机。在一个在一个HoneynetHoneynet中,可以使用各种不同的操作系统及设备,如中,可以使用各种不同的操作系统及设备,如SolarisSolaris、LinuxLinux、Windows NTWindows NT、Cisco SwitchCisco Switch等。等。 这样,建立的网络环境看上去会更加真实可信,同时还有不同这样,建立的网络环境看上去会更加真实可信,同时还有不同
26、的系统平台上面运行着不同的服务,比如的系统平台上面运行着不同的服务,比如LinuxLinux的的DNS ServerDNS Server、WindowsNTWindowsNT的的WebServerWebServer或者一个或者一个SolarisSolaris的的FTP ServerFTP Server,可以使用,可以使用不同的工具以及不同的策略或许某些入侵者仅仅把目标定于几个特不同的工具以及不同的策略或许某些入侵者仅仅把目标定于几个特定的系统漏洞上,而这种多样化的系统,就可能更多地揭示出入侵定的系统漏洞上,而这种多样化的系统,就可能更多地揭示出入侵者的一些特性。者的一些特性。 259.5 9.
27、5 蜜网蜜网HoneynetHoneynet 利用利用SnortSnort软件软件安装安装Win200Win2000 0ServerServer下的下的蜜网陷阱蜜网陷阱 Snort Snort 是一个强大的轻量级的网络入侵检测系统。它具有是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志实时数据流量分析和日志IPIP网络数据包的能力,能够进行协议网络数据包的能力,能够进行协议分析,对内容进行搜索分析,对内容进行搜索/ /匹配。它能够检测各种不同的攻击方式,匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。对攻击进行实时报警。 构建完整的构建完整的SnortSnort系统需
28、要以下软件,详细安装方法请参照系统需要以下软件,详细安装方法请参照网上相关资料。网上相关资料。acid-0.9.6b23.tar.gzacid-0.9.6b23.tar.gz 基于基于phpphp 的入侵检测数据库分析控制台的入侵检测数据库分析控制台adodb360.zipadodb360.zip ADOdb ADOdb(Active Data Objects Data BaseActive Data Objects Data Base)库)库for PHPfor PHPapache_2.0.46-win32-x86-no_src.msiapache_2.0.46-win32-x86-no_s
29、rc.msi Windows Windows 版本的版本的Apache Web Apache Web 服务器服务器jpgraph-1.12.2.tar.gzjpgraph-1.12.2.tar.gz OO OO 图形库图形库for PHPfor PHPmysql-4.0.13-win.zipmysql-4.0.13-win.zip Windows Windows 版本的版本的MysqlMysql 数据库服务器数据库服务器php-4.3.2-Win32.zipphp-4.3.2-Win32.zip Windows Windows 版本的版本的phpphp 脚本环境支持脚本环境支持snort-2_
30、0_0.exesnort-2_0_0.exe Windows Windows 版本的版本的Snort Snort 安装包安装包WinPcap_3_0.exeWinPcap_3_0.exe 网络数据包截取驱动程序网络数据包截取驱动程序phpmyadmin-2.5.1-php.zipphpmyadmin-2.5.1-php.zip 基于基于php php 的的MysqlMysql 数据库管理程序数据库管理程序269.6 天阗黑客入侵检测与预警系统天阗黑客入侵检测与预警系统 天阗黑客入侵检测与预警系统是一种动态的入侵检测与响应系天阗黑客入侵检测与预警系统是一种动态的入侵检测与响应系统。它利用全面流量
31、监控发现异常,结合地理信息显示入侵事件的统。它利用全面流量监控发现异常,结合地理信息显示入侵事件的定位状况,应用入侵和漏洞之间具有的对应关联关系,给出入侵威定位状况,应用入侵和漏洞之间具有的对应关联关系,给出入侵威胁和资产脆弱性之间的风险分析结果,从而有效地管理安全事件并胁和资产脆弱性之间的风险分析结果,从而有效地管理安全事件并进行及时处理和响应。它能够实时监控网络传输,自动检测可疑行进行及时处理和响应。它能够实时监控网络传输,自动检测可疑行为,及时发现来自网络外部或内部的攻击。天阗系统可以与防火墙为,及时发现来自网络外部或内部的攻击。天阗系统可以与防火墙紧密结合,弥补了防火墙的访问控制不严密
32、的问题。紧密结合,弥补了防火墙的访问控制不严密的问题。 包含如下五个独立的部分:包含如下五个独立的部分:1 1)天阗网络入侵检测系统,产品型号:)天阗网络入侵检测系统,产品型号:NS200/NS500/NS2200/NS2800NS200/NS500/NS2200/NS2800。2 2)天阗入侵事件定位系统,产品型号:)天阗入侵事件定位系统,产品型号:IMS-EPIMS-EP。3 3)天阗网络异常流量监测系统,产品型号:)天阗网络异常流量监测系统,产品型号:FS1900FS1900。4 4)天阗入侵风险评估系统,产品型号:)天阗入侵风险评估系统,产品型号:IMS-RAIMS-RA。5 5)天阗
33、主机入侵检测系统,产品型号:)天阗主机入侵检测系统,产品型号:HS120/HS220/HS320/HS420/HS520HS120/HS220/HS320/HS420/HS520279.6 天阗黑客入侵检测与预警系统天阗黑客入侵检测与预警系统天阗网络入侵检测系统典型部署结构图天阗网络入侵检测系统典型部署结构图 28本章小结本章小结 本章首先分析了网络攻击或入侵的概念,介绍了六个攻击的层本章首先分析了网络攻击或入侵的概念,介绍了六个攻击的层次和相应的防范策略。在此基础上引出入侵检测系统。次和相应的防范策略。在此基础上引出入侵检测系统。 介绍了基于主机和基于网络的两种入侵检测系统的概念、基本介绍了基于主机和基于网络的两种入侵检测系统的概念、基本组成结构和相应的工作原理。介绍了入侵检测系统中常用的四种技组成结构和相应的工作原理。介绍了入侵检测系统中常用的四种技术:静态配置分析、异常检测方法、误用检测和基于系统关键程序术:静态配置分析、异常检测方法、误用检测和基于系统关键程序的安全规格描述方法。给出了入侵系统的性能评价指标。的安全规格描述方法。给出了入侵系统的性能评价指标。介绍了流行的蜜网陷阱系统介绍了流行的蜜网陷阱系统HoneynetHoneynet,用以获取网络攻击的行为和,用以获取网络攻击的行为和方法。方法。 对入侵防御系统对入侵防御系统IPSIPS作了简单介绍。作了简单介绍。
