1、计算机信息安全技术第七章第七章 入侵检测技术入侵检测技术 第七章第七章 入侵检测技术入侵检测技术目录o 7.1 入侵检测的基本概念 o 7.2 PPDR模型及入侵检测系统 o 7.3 入侵检测的技术模型 o 7.4 常用入侵检测系统介绍 o 7.5 入侵检测技术的存在的问题与发展趋势 第七章第七章 入侵检测技术入侵检测技术7.1 入侵检测的基本概念入侵检测的基本概念o 网络入侵网络入侵 入侵是所有企图破坏网络信息的完整性、保密性和可用性的网络攻击行为;入侵行为企图破坏系统的安全措施以达到非法访问信息、改变系统行为和破坏系统可用性的目的。 第七章第七章 入侵检测技术入侵检测技术7.1 入侵检测的
2、基本概念入侵检测的基本概念o 网络入侵行为网络入侵行为n 1、外部渗透外部渗透: 未被授权使用计算机,又未被授权使用数据或程序资源的渗透;n 2、内部渗透内部渗透: 被授权使用计算机,但未被收授权使用数据或程序资源的渗透;n 3、不法使用不法使用: 利用授权使用计算机、数据和程序资源的合法用户身份的渗透。 第七章第七章 入侵检测技术入侵检测技术7.1 入侵检测的基本概念入侵检测的基本概念o 常见的网络入侵的手段常见的网络入侵的手段 n 欺骗攻击n 嗅探器Sniffern 端口扫描与漏洞扫描n 口令破解 n 特洛伊木马n 缓冲区溢出攻击n 拒绝服务攻击(DoS攻击) n 利用系统或软件的漏洞进行
3、攻击 第七章第七章 入侵检测技术入侵检测技术7.1 入侵检测的基本概念入侵检测的基本概念o 入侵检测的发展入侵检测的发展 n业界将James P. Anderson在1980年发布的那篇Computer Security Threat Monitoring and Surveillance作为入侵检测概念的最早起源 1. 将威胁分成外部渗透、内部渗透、不法行为 2. 提出将审计技术应用到对威胁的检测上 第七章第七章 入侵检测技术入侵检测技术7.1 入侵检测的基本概念入侵检测的基本概念n1986年Dorothy Denning等人才在其论文An Intrusion Detection Model
4、中给出了一个入侵检测的抽象模型IDES(入侵检测专家系统),并在1988年开发出一个IDES系统 。图7.1 IDES系统模型二维检测思想:基于专家系统的特征检测;(误用检测方向)基于统计异常模型的异常检测。(异常检测方向) 第七章第七章 入侵检测技术入侵检测技术7.1 入侵检测的基本概念入侵检测的基本概念n1990年Herberlein等人开发出了第一个真正意义上的入侵检测系统NSM(Network Security Monitor)。n上世纪90年代中期,商业入侵检测产品初现端倪,1994年出现了第一台入侵检测产品:ASIM。 n1997年,Cisco将网络入侵检测集成到其路由器设备,入侵
5、检测系统正式进入主流网络安全产品阶段。 n20012003年之间,防火墙是无法控制和发现蠕虫传播的,反倒是入侵检测产品可以对这些蠕虫病毒所利用的攻击代码进行检测,一时间入侵检测名声大振。n2003年GARTNER的一篇入侵检测已死的文章,带来了一个新的概念:入侵防御(IPS)。 第七章第七章 入侵检测技术入侵检测技术7.2 PPDR模型及入侵检测系统模型及入侵检测系统o 网络安全模型网络安全模型n 针对网络安全问题,人们提出了各种网络安全模型,其中具有代表性的是PDR模型。PDR模型有很多变种。人们普遍接受的一个模型是PPDR模型模型图7.2 PPDR模型 第七章第七章 入侵检测技术入侵检测技
6、术7.2 PPDR模型及入侵检测系统模型及入侵检测系统o 入侵检测系统的功能要求入侵检测系统的功能要求:n 实时性要求 n 可扩展性要求 n 适应性要求 n 安全性与可用性要求 n 有效性要求 第七章第七章 入侵检测技术入侵检测技术7.2 PPDR模型及入侵检测系统模型及入侵检测系统o 入侵检测系统的基本结构入侵检测系统的基本结构 n图7.3给出了一个通用的入侵检测系统结构。很多入侵检测系统还包括界面处理,配置管理等模块。图7.3 通用入侵检测系统的基本结构图 第七章第七章 入侵检测技术入侵检测技术7.2 PPDR模型及入侵检测系统模型及入侵检测系统o 入侵检测系统的分类入侵检测系统的分类 n
7、 基于主机的入侵检测系统(基于主机的入侵检测系统(HIDS) o 运行于被检测的主机之上,通过查询、监听当前运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被系统的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理。非法使用和修改的事件,进行上报和处理。 安装于被保护的主机中安装于被保护的主机中 主要分析主机内部活动主要分析主机内部活动占用一定的系统资源占用一定的系统资源 第七章第七章 入侵检测技术入侵检测技术2022-5-2013入侵检测的实现方式入侵检测的实现方式 n 基于网络的入侵检测系统(基于网络的入侵检测系统(NIDS) 网
8、络网络IDSIDS是网络上的一个监听设备是网络上的一个监听设备( (或一个专用主机或一个专用主机) ),通过监听网络上的,通过监听网络上的所有报文,根据协议进行分析,并报告网络中的非法使用者信息。所有报文,根据协议进行分析,并报告网络中的非法使用者信息。 安装在被保护的网段(共享网络、交换环境中交换机要安装在被保护的网段(共享网络、交换环境中交换机要 支持端口映射)支持端口映射)中,中, 只需要在网络的关键点进行部署即可只需要在网络的关键点进行部署即可混杂模式监听混杂模式监听分析网段中所有的数据包,对那些基于协议入侵的行为有很好的防范作用分析网段中所有的数据包,对那些基于协议入侵的行为有很好的
9、防范作用实时检测和响应实时检测和响应与主机操作系统无关与主机操作系统无关 第七章第七章 入侵检测技术入侵检测技术2022-5-2014网络网络IDSIDS工作模型工作模型 NY 第七章第七章 入侵检测技术入侵检测技术7.2 PPDR模型及入侵检测系统模型及入侵检测系统n 分布式入侵检测系统(分布式入侵检测系统(DIDS)o 典型的DIDS是管理端/传感器结构。NIDS作为传感器放置在网络的各个地方,并向中央管理平台汇报情况。 o 对DIDS来说,传感器可以使用NIDS、HIDS,或者同时使用,而且传感器有的工作在混杂模式,有的工作在非混杂模式。 第七章第七章 入侵检测技术入侵检测技术7.3 入
10、侵检测的技术模型入侵检测的技术模型o 入侵检测的技术模型入侵检测的技术模型n最早的入侵检测模型由最早的入侵检测模型由Dorothy Denning在在1986年提出。这年提出。这个模型与具体系统和具体输入无关,对此后的大部分实用系统都个模型与具体系统和具体输入无关,对此后的大部分实用系统都很有借鉴价值。很有借鉴价值。 事件产生器事件产生器行为特征模块行为特征模块规则模块规则模块审计记录审计记录/网络数据包等网络数据包等特征表更新特征表更新规则更新规则更新包含用于计算用户行为特征的所有变量,执行基于行为的检测由系统安全策略、入侵模式等组成,执行基于知识的检测 第七章第七章 入侵检测技术入侵检测技
11、术7.3 入侵检测的技术模型入侵检测的技术模型o基于异常检测的入侵检测基于异常检测的入侵检测 n任何一种入侵和滥用行为通常与正常的行为存在严重的差异,通过检查出这些差异就可以检查出入侵通过检查出这些差异就可以检查出入侵。 n这种方法主要是建立计算机系统中正常行为的模式库建立计算机系统中正常行为的模式库,然后根据收集到的信息数据,通过某种方法,看是否存在重大偏差,如果偏差在规定范围之外,则认为发生了入侵行为。 n异常检测的一个很大的优点是不需要保存各种攻击特征的数据异常检测的一个很大的优点是不需要保存各种攻击特征的数据库库,随着统计数据的增加,检测的准确性会越来越高,可能还可能还会检测到一些未知
12、的攻击会检测到一些未知的攻击。n但由于用户的行为有很大的不确定性,很难对其行为确定正常范围,因此门限值的确定也比较困难,出错的概率比较大。出错的概率比较大。同时,它只能说明系统发生了异常的情况,并不能指出系统遭受了什么样的攻击,这给系统管理员采取应对措施带来了一定困难。n异常检测中常用的方法有:量化分析、统计分析和神经网络。 第七章第七章 入侵检测技术入侵检测技术7.3 入侵检测的技术模型入侵检测的技术模型o基于误用的入侵检测基于误用的入侵检测 n收集非正常操作的行为特征,建立相关的特征库,也就是所谓收集非正常操作的行为特征,建立相关的特征库,也就是所谓的专家知识库的专家知识库。通过监测用户的
13、或系统行为,将收集到的数据与预先确定的特征知识库里的各种攻击模式进行比较,如果能够匹配,则判断有攻击,系统就认为这种行为是入侵。n误用检测能迅速发现已知的攻击,并指出攻击的类型并指出攻击的类型,便于采取应对措施;用户可以根据自身情况选择所要监控的事件类型和数量;并且误用检测没有浮点运算,效率较高。n缺点也是显而易见的:由于依赖误用模式库,它只能检测数据只能检测数据库中己有的攻击库中己有的攻击,对未知的攻击无能为力。n误用检测中常用的方法有:简单的模式匹配、专家系统和状态简单的模式匹配、专家系统和状态转移法。转移法。 第七章第七章 入侵检测技术入侵检测技术7.4 常用入侵检测系统介绍常用入侵检测
14、系统介绍o SnortnSnort系统是一个以开放源代码(Open Source)形式发行的网络入侵检测系统,由Martin Roesch编写,并由遍布世界各地的众多程序员共同维护和升级。 nSnort是一个功能强大、跨平台、轻量级的网络入侵检测系统;n从入侵检测分类上来看,属于基于网络和误用的入侵检测软件;n可以运行在Linux、OpenBSD、FreeBSD、Solaris、以及其它Unix系统、Windows等操作系统之上; 第七章第七章 入侵检测技术入侵检测技术7.4 常用入侵检测系统介绍常用入侵检测系统介绍nSnort的工作模式的工作模式o 网络嗅探分析仪(Sniffer) o IP
15、包日志记录器 o 网络入侵检测系统 n是用是用C语言编写的开放源代码软件,在入侵检测系统方面语言编写的开放源代码软件,在入侵检测系统方面占有重要地位。占有重要地位。nSnort的网站是的网站是http:/www.snort.org。用户可以登。用户可以登陆网站得到源代码,在陆网站得到源代码,在Linux和和Windows环境下的安装环境下的安装可执行文件,并可以下载描述入侵特征的规则文件可执行文件,并可以下载描述入侵特征的规则文件 第七章第七章 入侵检测技术入侵检测技术2022-5-2021系统组成和处理流程 Snort程序流程图Snort通过两种机制来实现,其一是将网卡设置为混杂模式,另一方
16、式则是利用Libpcap/Winpcap函数库从网卡捕获网络数据包。数据包解码器主要是对各种协议栈上的数据包进行解析、预处理,以便提交给检测引擎进行规则匹配。7.4 常用入侵检测系统介绍常用入侵检测系统介绍 第七章第七章 入侵检测技术入侵检测技术2022-5-20228.4 入侵检测系统Snort系统组成和处理流程 Snort程序流程图预处理模块的作用是对当前截获的数据包进行预先处理,以便后续处理模块对数据包的处理操作。 第七章第七章 入侵检测技术入侵检测技术2022-5-20238.4 入侵检测系统Snort系统组成和处理流程 Snort程序流程图Snort的检测就是二维规则链表和网络数据匹
17、配的过程,一旦匹配成功则把检测结果输出到输出插件。输出方式采用输出插件方式,输出插件使得Snort在向用户提供格式化输出时更加灵活。 第七章第七章 入侵检测技术入侵检测技术2022-5-2024nSNORT的安装的安装 (1)如何获得snort 从snort的站点http:/www.snort.org获得其源代码或者RPM包。使用源代码安装snort需要libpcap库,可以从ftp:/ftp.ee.lbl.gov下载。 (2)安装snort bash#rpm -ihv -nodeps snort-1.7-1.i386.rpm 第七章第七章 入侵检测技术入侵检测技术7.4 常用入侵检测系统介绍
18、常用入侵检测系统介绍o OSSEC HIDS:一个基于主机的开源入侵检测系统 o Fragroute/Fragrouter:一个能够逃避网络入侵检测的工具箱 o BASE:又称基本的分析和安全引擎,BAS是一个基于PHP的分析引擎o Sguil:一款被称为网络安全专家监视网络活动的控制台工具 第七章第七章 入侵检测技术入侵检测技术2022-5-2026n入侵检测系统的主要相关术语:入侵检测系统的主要相关术语: 警告警告(Alert/Alarm)(Alert/Alarm):用来表示一个系统被攻击者攻击,一般包含从攻击内用来表示一个系统被攻击者攻击,一般包含从攻击内容中得到的攻击信息,或者异常事件
19、和统计信息。容中得到的攻击信息,或者异常事件和统计信息。 误警误警(False Positive)(False Positive):也成误报,指入侵检测系统对那些良性事件的报警,也成误报,指入侵检测系统对那些良性事件的报警,这表明这表明IDSIDS的错误报警,太多的误警可能导致正常的报警事件被淹没。的错误报警,太多的误警可能导致正常的报警事件被淹没。 漏警漏警(False Negative)(False Negative):也称漏报,当一个攻击事件已经发生,而入侵检测也称漏报,当一个攻击事件已经发生,而入侵检测系统却没有有效地检测出来,如果漏警太多,或者关键入侵事件的漏报就使入侵系统却没有有效
20、地检测出来,如果漏警太多,或者关键入侵事件的漏报就使入侵检测系统失去了其存在意义检测系统失去了其存在意义. .7.5 入侵检测系统的性能指标入侵检测系统的性能指标 第七章第七章 入侵检测技术入侵检测技术2022-5-2027噪声噪声(Noise)(Noise):指入侵检测系统生成但又没有真正威胁的报警,指入侵检测系统生成但又没有真正威胁的报警,这些报警是正确的,并且也是可疑的,如配置于防火墙之外的入这些报警是正确的,并且也是可疑的,如配置于防火墙之外的入侵检测系统检测到的扫描事件,可能被防火墙过滤而没有产生扫侵检测系统检测到的扫描事件,可能被防火墙过滤而没有产生扫描攻击,但是入侵检测系统却检测
21、到并产生报警。描攻击,但是入侵检测系统却检测到并产生报警。重复报警重复报警(Repetitive Alarm)(Repetitive Alarm): 指入侵检测系统对某一入侵事指入侵检测系统对某一入侵事件的反复报警,重复报警并不表示入侵检测系统的错误行为,太件的反复报警,重复报警并不表示入侵检测系统的错误行为,太多的重复报警也可能使网络管理员产生视觉疲劳,影响对其他攻多的重复报警也可能使网络管理员产生视觉疲劳,影响对其他攻击产生适当响应,另外与其他安全技术协同工作也可能产生严重击产生适当响应,另外与其他安全技术协同工作也可能产生严重问题,过多的重复报警可能会产生拒绝服务。问题,过多的重复报警可
22、能会产生拒绝服务。7.5 入侵检测系统的性能指标入侵检测系统的性能指标 第七章第七章 入侵检测技术入侵检测技术2022-5-2028n准确性指标准确性指标检测率检测率(%)(%):指被监控系统在受到入侵攻击时,检测系统能够正确报:指被监控系统在受到入侵攻击时,检测系统能够正确报 警的概率。通常利用已知入侵攻击的实验数据集合来测警的概率。通常利用已知入侵攻击的实验数据集合来测 试系统的检测率。试系统的检测率。检测到的攻击数检测到的攻击数/ /攻击事件总数攻击事件总数;误警率误警率(%)(%):是指把那些正确事件误报为攻击以及把一种攻击行为误报为是指把那些正确事件误报为攻击以及把一种攻击行为误报为
23、 另一种攻击的概率。另一种攻击的概率。1 1( (正确的告警数正确的告警数/ /总的告数总的告数) );7.5 入侵检测系统的性能指标入侵检测系统的性能指标 第七章第七章 入侵检测技术入侵检测技术2022-5-2029n准确性指标准确性指标漏警率漏警率(%)(%):已经攻击而没有检测出来的攻击占所有攻击的概率,通常利用已经攻击而没有检测出来的攻击占所有攻击的概率,通常利用 已知入侵攻击的实验数据集合来测试系统的漏报率。已知入侵攻击的实验数据集合来测试系统的漏报率。 ( (攻击事件检测到的攻击数攻击事件检测到的攻击数)/)/攻击事件总数;攻击事件总数;重复报警率重复报警率(%)(%):重复报警占
24、所有报警的比率。:重复报警占所有报警的比率。重复报警数重复报警数/ /总的报警数总的报警数。7.5 入侵检测系统的性能指标入侵检测系统的性能指标 第七章第七章 入侵检测技术入侵检测技术2022-5-2030n 效率指标效率指标o最大处理能力:最大处理能力: 指网络入侵检测系统在维持其正常检测率的情况下,系统低于其漏警指标的最大网络流量。目的是验证系统在维持正常检测的情况下能够正常报警的最大流量。 以每秒数据流量(Mbps或Gbps)来表示。取决于三个因素,其一是入侵检测系统抓包能力,其二是分析引擎的分析能力,最后还与数据包的大小有直接关系,相同流量下,网络数据包越小,数据包越多,处理能力越差。
25、7.5 入侵检测系统的性能指标入侵检测系统的性能指标 第七章第七章 入侵检测技术入侵检测技术2022-5-2031o每秒能监控的网络连接数:每秒能监控的网络连接数: 网络入侵检测系统不仅要对单个的数据包作检测,还要将相同网络连接的数据包组合起来作分析。网络连接的跟踪能力和数据包重组能力是网络入侵检测系统进行协议分析、应用层入侵分析的基础。o每秒能够处理的事件数:每秒能够处理的事件数: 网络入侵检测系统检测到网络攻击和可疑事件后,会生成安全事件或称报警事件,并将事件记录在事件日志中。每秒能够处理的事件数,反映了检测分析引擎的处理能力和事件日志记录的后端处理能力。7.5 入侵检测系统的性能指标入侵
26、检测系统的性能指标 第七章第七章 入侵检测技术入侵检测技术2022-5-2032n 系统指标系统指标 系统指标主要表示系统本身运行的稳定性和使用的方便性。系统指标主要包括:最大规则数、平均无故障间隔等。 最大规则数:系统允许配置的入侵检测规则条目的最大数目。 平均无故障间隔:系统无故障连续工作的时间。7.5 入侵检测系统的性能指标入侵检测系统的性能指标 第七章第七章 入侵检测技术入侵检测技术7.5 入侵检测技术的存在的问题与发展趋势入侵检测技术的存在的问题与发展趋势o 入侵检测系统目前存在的问题入侵检测系统目前存在的问题 n 误报和漏报的矛盾误报和漏报的矛盾 n 隐私和安全的矛盾隐私和安全的矛
27、盾 n 被动分析与主动发现的矛盾被动分析与主动发现的矛盾 n 海量信息与分析代价的矛盾海量信息与分析代价的矛盾 n 功能性和可管理性的矛盾功能性和可管理性的矛盾 n 单一的产品与复杂的网络应用的矛盾单一的产品与复杂的网络应用的矛盾 第七章第七章 入侵检测技术入侵检测技术7.5 入侵检测技术的存在的问题与发展趋势入侵检测技术的存在的问题与发展趋势(自学自学)o 入侵检测系统的发展趋势入侵检测系统的发展趋势 n 分析技术的改进分析技术的改进n 内容恢复和网络审计功能的引入内容恢复和网络审计功能的引入n 集成网络分析和管理功能集成网络分析和管理功能n 安全性和易用性的提高安全性和易用性的提高 n 改进对大数据量网络的处理方法改进对大数据量网络的处理方法n 防火墙联动功能防火墙联动功能
