1、教师:梁旭玲教师:梁旭玲 一般防范网络攻击最常用的方法是防火墙。一般防范网络攻击最常用的方法是防火墙。然而防火墙系统的局限性导致它无法防范内部网络然而防火墙系统的局限性导致它无法防范内部网络之间的通信。之间的通信。如果把防火墙比作守卫网络大门的门卫,那入侵检如果把防火墙比作守卫网络大门的门卫,那入侵检测系统(测系统(IDSIDS)就是主动监视内部网络安全的巡警。)就是主动监视内部网络安全的巡警。概 述入侵的定义 网络网络管理不到位管理不到位越权和滥用越权和滥用物理攻击物理攻击软硬件故障软硬件故障恶意代码和病恶意代码和病毒毒物理环境威胁物理环境威胁蠕虫蠕虫无作为或无作为或操作失误操作失误 黑客攻
2、击技术黑客攻击技术泄密、篡泄密、篡改、抵赖改、抵赖入侵入侵:是指任何企图危及资源的完整性、机密性和可用性的活动:是指任何企图危及资源的完整性、机密性和可用性的活动 入侵检测系统入侵检测系统(I Intrusion ntrusion D Detection etection S Systemystem)是从计)是从计算机网络系统中的算机网络系统中的关键点收集信息关键点收集信息,分析这些信息,利,分析这些信息,利用用模式匹配模式匹配或或异常检测技术异常检测技术来来检查网络中是否有违反安检查网络中是否有违反安全策略的行为和遭到袭击的迹象全策略的行为和遭到袭击的迹象。IDSIDS是信息与网络系统安全的
3、主要设备之一;是信息与网络系统安全的主要设备之一;是防火墙系统的一个重要补充;是防火墙系统的一个重要补充;入侵检测概念入侵检测系统的作用和目的入侵检测系统的作用和目的Internet内部网内部网交换机交换机智能发现攻击智能发现攻击记录并发出报警信息记录并发出报警信息启动响应动作启动响应动作审计跟踪审计跟踪入侵检测系统模型事件数据库事件数据库管理控制台管理控制台事件分析器事件分析器事件产生器事件产生器响应单元响应单元事件数据库事件数据库作用是从整个计算环境中收集信息;作用是从整个计算环境中收集信息;信息收集包括收集:系统、网络、信息收集包括收集:系统、网络、数据及用户活动的状态和行为;数据及用户
4、活动的状态和行为;并在不同关键点(不同网段和不同并在不同关键点(不同网段和不同主机)收集;主机)收集;分析得到的数据;分析得到的数据;分析手段:分析手段:和和;对分析结果作出对分析结果作出反应的功能单元;反应的功能单元;反应有:切断连反应有:切断连接、改变文件属接、改变文件属性、发动对攻击性、发动对攻击者的反击、报警者的反击、报警(邮件或手机短(邮件或手机短信报警)信报警)是存放各种中间和是存放各种中间和最终数据的地方的最终数据的地方的统称;统称;可以是数据库也可可以是数据库也可以是文本文件;以是文本文件;会根据事件数据库的内容智能地形会根据事件数据库的内容智能地形成分析报告;成分析报告;入侵
5、检测系统的功能入侵检测系统被认为是防火墙系统之后的第二道安全闸门,是一种动入侵检测系统被认为是防火墙系统之后的第二道安全闸门,是一种动态的安全检测技术。态的安全检测技术。一个合格的入侵检测系统应具备以下功能:一个合格的入侵检测系统应具备以下功能:1.1.监视用户和系统的运行状况,查找非法和合法用户的越权操作;监视用户和系统的运行状况,查找非法和合法用户的越权操作;2.2.检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;3.3.对用户的非正常活动进行统计分析,发现入侵行为的规律;对用户的非正常活动进行统计分析,发现入侵行为的规律;4.4
6、.确保系统程序和数据的一致性与正确性;确保系统程序和数据的一致性与正确性;5.5.识别攻击的活动模式,并向网管人员报警;识别攻击的活动模式,并向网管人员报警;6.6.对异常活动的统计分析;对异常活动的统计分析;7.7.操作系统审计跟踪管理,识别违反政策的用户活动;操作系统审计跟踪管理,识别违反政策的用户活动;入侵检测系统的分类入侵检测技术入侵检测技术IDSIDS是一种主动保护自己免受攻击的网络安全技术;是一种主动保护自己免受攻击的网络安全技术;它从计算机网络系统中的若干关键点收集信息,并分析这些信息;它从计算机网络系统中的若干关键点收集信息,并分析这些信息;根据信息来源不同,根据信息来源不同,
7、IDSIDS可分为:可分为:基于主机的入侵检测系统入侵检测系统入侵检测系统安装安装在被检测的在被检测的主机主机上上HIDS检测目标检测目标是是主机系统主机系统和和系统本地用户系统本地用户智能分析智能分析主机提供的审计信息主机提供的审计信息,发现不安全的行为后采取相,发现不安全的行为后采取相 应的措施应的措施HIDS出现在出现在20世纪世纪80年代,当时网络没有今天这样复杂,入侵年代,当时网络没有今天这样复杂,入侵也比较少见,也比较少见,通过对攻击的通过对攻击的事后分析事后分析就可以防止今后攻击的再就可以防止今后攻击的再次发生。次发生。基于主机的入侵检测系统应用基于主机的入侵检测系统应用目标是大
8、型计算机,其周围连接目标是大型计算机,其周围连接着若干用户终端。着若干用户终端。检测系统主要用于防止单机节点的入侵,其检测系统主要用于防止单机节点的入侵,其驻留在单机节点内部,并以单机节点上操作系统驻留在单机节点内部,并以单机节点上操作系统(Operation System)的审计信息为依据来检测入侵行为,其检测主要目标是的审计信息为依据来检测入侵行为,其检测主要目标是主机系统和用户,任务比较简单,基本没有外来影响。入侵检主机系统和用户,任务比较简单,基本没有外来影响。入侵检测工具分析主机提供的审计信息,然后给出关于怀疑为不安全测工具分析主机提供的审计信息,然后给出关于怀疑为不安全行为的报告。
9、行为的报告。该系统适用于攻击者入侵主机后并在主机内执行该系统适用于攻击者入侵主机后并在主机内执行操作的情况操作的情况基于主机入侵检测系统完全依赖于审计数据或系统日志数据的基于主机入侵检测系统完全依赖于审计数据或系统日志数据的准确性和完整性,以及对安全事件的定义,准确性和完整性,以及对安全事件的定义,如果攻击者设法逃如果攻击者设法逃避审计,则该系统可能无法实施有效防御。避审计,则该系统可能无法实施有效防御。基于主机的入侵检基于主机的入侵检测系统有着无法检测网络攻击、影响主机性能等缺点。测系统有着无法检测网络攻击、影响主机性能等缺点。检测准确率高检测准确率高(精确地判断攻击行为是否(精确地判断攻击
10、行为是否成功)成功)适用于加密及交换环境适用于加密及交换环境近于实时的检测和响应近于实时的检测和响应不要求额外的硬件设备不要求额外的硬件设备能够检查到基于网络的系统检查不出的攻击能够检查到基于网络的系统检查不出的攻击监视特定的系统活动监视特定的系统活动(主机上特定(主机上特定用户)用户)HIDS依赖性强依赖性强(系统必须是特定的,没有遭到破坏(系统必须是特定的,没有遭到破坏的操作系统中才能正常工作)的操作系统中才能正常工作)如果主机数目多,代价过大如果主机数目多,代价过大不能监控网络上的情况不能监控网络上的情况不如基于网络的入侵检查系统快捷不如基于网络的入侵检查系统快捷额外产生的安全问题额外产
11、生的安全问题(会降低应用系统的(会降低应用系统的效率)效率)基于网络的入侵检测系统入侵检测系统入侵检测系统安装安装在在比较比较重要的网段重要的网段内内;该结构重点放在对该结构重点放在对网络本身的入侵行为网络本身的入侵行为上,如上,如DNS欺骗欺骗、TCP劫持劫持、端口扫描端口扫描等,以类似等,以类似嗅探器的特定工具来实时截获网嗅探器的特定工具来实时截获网络数据包,并在其中寻找入侵的痕迹。络数据包,并在其中寻找入侵的痕迹。网络安全数据库网络安全数据库基于网络的入侵检测系统的原理基于网络的入侵检测系统的原理 检测器检测器分析引擎分析引擎安全策略安全策略网络数据网络数据分析结果分析结果基于网络的入侵
12、检测系统的工作原理是检测器按一定的规则基于网络的入侵检测系统的工作原理是检测器按一定的规则从网络从网络上获取上获取与安全事件相关的与安全事件相关的数据包数据包,然后将所捕获的数据包,然后将所捕获的数据包传递给分传递给分析引擎析引擎;分析引擎从检测器接受到数据包后立即;分析引擎从检测器接受到数据包后立即结合网络安全数据结合网络安全数据库库进行安全进行安全分析分析和和判断判断,并将,并将分析结果发送给安全策略分析结果发送给安全策略;安全策略;安全策略根据分析引擎传来的结果构造出满足需要的配置规则,并将配置规根据分析引擎传来的结果构造出满足需要的配置规则,并将配置规则反馈给检测器。则反馈给检测器。一
13、旦发现有被攻击的迹象,立刻根据用户所定义的动作做出反应,一旦发现有被攻击的迹象,立刻根据用户所定义的动作做出反应,如如切断网络连接切断网络连接,或,或通知防火墙系统对访问控制策略进行调整通知防火墙系统对访问控制策略进行调整,将,将入侵的数据包过滤掉入侵的数据包过滤掉下页:下页:基于网络的入侵检测系统最大的特点在于不需要改变服务器基于网络的入侵检测系统最大的特点在于不需要改变服务器等主机的配置。由于它不需在业务系统的主机中安装额外的软件,等主机的配置。由于它不需在业务系统的主机中安装额外的软件,不会影响这些机器的不会影响这些机器的 CPU、I/O与磁盘等资源的使用,也不会影响业与磁盘等资源的使用
14、,也不会影响业务系统的性能。务系统的性能。检测范围广检测范围广无需改变主机配置和性能无需改变主机配置和性能独立性和操作系统无关独立性和操作系统无关性性(不会增加网络中主机的(不会增加网络中主机的负担)负担)安装安装方便方便既既可以用于实时检测系统,也是记录审计系统,可可以用于实时检测系统,也是记录审计系统,可以做到实时保护,事后分析取证以做到实时保护,事后分析取证不能不能检测不同网段的网络包检测不同网段的网络包很难很难检测复杂的需要大量计算的攻击检测复杂的需要大量计算的攻击协同协同工作能力弱工作能力弱难以难以处理加密的处理加密的会话会话不不适合交换环境和高速环境适合交换环境和高速环境两种系统的
15、比较在宿主系统审计日志文件或其在宿主系统审计日志文件或其他操作中寻找攻击特征他操作中寻找攻击特征使用监听的方式,在网络通信使用监听的方式,在网络通信中寻找符合网络入侵模板的数中寻找符合网络入侵模板的数据包据包HIDS安装在被保护的机器之上安装在被保护的机器之上 独立于被保护的机器之外独立于被保护的机器之外HIDS往往不能识别基于往往不能识别基于IP的拒的拒绝服务攻击和碎片攻击绝服务攻击和碎片攻击如果攻击不经过网络基于网络如果攻击不经过网络基于网络的的IDS无法检测到无法检测到混合型入侵检测系统混合型入侵检测系统混合型入侵检测系统(混合型入侵检测系统(Hybrid IDSHybrid IDS)在
16、新一代的入侵检测系统中将把现在的在新一代的入侵检测系统中将把现在的基于网络基于网络和和基于基于主机主机这两种检测技术很好地这两种检测技术很好地集成起来集成起来,提供集成化的攻击签提供集成化的攻击签名检测报告和事件关联功能名检测报告和事件关联功能。可以深入地研究可以深入地研究入侵事件入侵事件、入侵手段本身及、入侵手段本身及被入侵目标被入侵目标的漏洞的漏洞等。等。入侵检测技术是动态安全技术的核心技术之一;入侵检测技术是动态安全技术的核心技术之一;(传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术)入侵检测系统的核心功能是对各种事件进行分析,从中发现入侵检测系统的核心功能是对各种事件进行
17、分析,从中发现违反安全策略的行为;违反安全策略的行为;从分析方式上来讲,入侵检测系统一般采用如下从分析方式上来讲,入侵检测系统一般采用如下3项技术:项技术:p 模式发现技术模式发现技术p 异常发现技术异常发现技术p 完整性分析技术完整性分析技术入侵检测系统采用的技术模式发现技术模式发现技术模式发现是基于模式发现是基于知识知识的检测技术;的检测技术;它假定所有它假定所有入侵行为入侵行为和和手段手段(及其变种)(及其变种)都能够表达为一种模式或都能够表达为一种模式或特征特征,那么所有已知的入侵方法都可以用,那么所有已知的入侵方法都可以用匹配匹配的方式发现。的方式发现。实现方式:实现方式:将将收集到
18、的信息收集到的信息与与已知的网络入侵和系统误用模式数据已知的网络入侵和系统误用模式数据库库进行比较,从而进行比较,从而发现违背安全策略的行为发现违背安全策略的行为。如:如:通过通过字符串匹配字符串匹配以寻找一个简单的条目或指令;以寻找一个简单的条目或指令;或利用或利用正规的数学表达式正规的数学表达式来表示安全状态的变化;来表示安全状态的变化;模式发现的关键模式发现的关键是如何表达入侵的模式,把真正的入侵行为与正常是如何表达入侵的模式,把真正的入侵行为与正常行为区分开来。行为区分开来。模式发现技术的优缺点优优 点点只需收集相关的数据集合;只需收集相关的数据集合;显著减少系统负担;显著减少系统负担
19、;且技术已相当成熟;且技术已相当成熟;检测准确率和效率都相当高;检测准确率和效率都相当高;缺缺 点点需要不断升级以对付不断出现需要不断升级以对付不断出现的黑客攻击手法;的黑客攻击手法;不能检测到从未出现过的黑客不能检测到从未出现过的黑客攻击手段;攻击手段;异常发现技术异常发现技术异常发现技术是基于异常发现技术是基于行为行为的检测技术;的检测技术;它假定所有它假定所有入侵行为入侵行为都是与正常行为不同的。如果建立系统正常行都是与正常行为不同的。如果建立系统正常行为的轨迹,那么理论上可以吧所有与正常轨迹不同的系统状态视为为的轨迹,那么理论上可以吧所有与正常轨迹不同的系统状态视为可疑企图。可疑企图。
20、实现方式:实现方式:首先首先收集收集一段时期一段时期正常操作活动正常操作活动的的历史数据历史数据,再,再建立建立代代表用户、主机或网络连接的表用户、主机或网络连接的正常行为轮廓正常行为轮廓,然后,然后收集事件数据收集事件数据并使并使用各种方法来决定用各种方法来决定所检测到的事件活动是否偏离了正常行为模式所检测到的事件活动是否偏离了正常行为模式。异常发现技术的优缺点优优 点点能发现未知攻击;能发现未知攻击;有效检测冒充合法用户的入侵有效检测冒充合法用户的入侵者;者;缺缺 点点并非所有的入侵都表现为异常;并非所有的入侵都表现为异常;系统的轨迹难于计算和更新;系统的轨迹难于计算和更新;误报率和漏报率
21、较高;误报率和漏报率较高;完整性分析技术完整性分析技术完整性分析主要关注完整性分析主要关注某个文件某个文件或或对象对象是否被更改,通常包括是否被更改,通常包括文件文件和和目录的内容及属性目录的内容及属性,它在发现被更改的、被特洛伊化的应用程序方,它在发现被更改的、被特洛伊化的应用程序方面特别有效。面特别有效。优优 点点不管模式匹配方法和统计分析不管模式匹配方法和统计分析方法能否发现入侵,只要是成方法能否发现入侵,只要是成功的攻击导致了文件或其他对功的攻击导致了文件或其他对象的任何改变,它都能够发现。象的任何改变,它都能够发现。缺缺 点点一般以批处理方式实现,一般以批处理方式实现,不用于实时响应
22、。不用于实时响应。每一种入侵检测系统都有自己的部署方式和特点;每一种入侵检测系统都有自己的部署方式和特点;应根据网络安全整体解决方案,选取各种类型的入侵应根据网络安全整体解决方案,选取各种类型的入侵检测系统、周密部署,确保每个入侵系统都能够在相检测系统、周密部署,确保每个入侵系统都能够在相应的部署点上发挥作用、共同防护、保障网络的安全应的部署点上发挥作用、共同防护、保障网络的安全运行;运行;基于网络和基于主机的入侵检测系统部署方法不同;基于网络和基于主机的入侵检测系统部署方法不同;入侵检测系统的部署 在网络上多个位置进行在网络上多个位置进行网络探测器网络探测器的部署;的部署;根据网络探测器部署
23、位置的不同,入侵检测系统具有根据网络探测器部署位置的不同,入侵检测系统具有不同的特点;不同的特点;网络探测器的部署点可以划分为网络探测器的部署点可以划分为4 4个位置:个位置:基于网络的入侵检测系统的部署基于网络的入侵检测系统的部署基于网络的入侵检测系统的基于网络的入侵检测系统的部署图4外网接口外网接口DMZDMZ区区内网内网接口区接口区关键关键子网区子网区位置位置1:外网接口:外网接口 部署点位于位于部署点位于位于防火墙外侧防火墙外侧的非系统信任域;的非系统信任域;它将负责它将负责检测来自外部的所有入侵企图检测来自外部的所有入侵企图,通过分析这,通过分析这些攻击来帮助我们完善系统并决定要不要
24、在系统内部些攻击来帮助我们完善系统并决定要不要在系统内部部署部署IDS。该部署方式对该部署方式对整体入侵行为记录整体入侵行为记录有帮助;有帮助;但因网络探测器本身性能上的局限,要处理所有进出但因网络探测器本身性能上的局限,要处理所有进出防火墙的数据,导致防火墙的数据,导致误报率偏高误报率偏高。IDS在网络中的位置在网络中的位置IDS在网络中的位置在网络中的位置位置位置2:DMZ区区 部署点位于位于部署点位于位于DMZ区的接口区的接口;很多站点都把很多站点都把对外提供服务的服务器对外提供服务的服务器单独放在一个隔单独放在一个隔离的区域,通常称为离的区域,通常称为DMZ非军事化区。非军事化区。在此
25、放置一个检测引擎是非常必要的,因为这里提供在此放置一个检测引擎是非常必要的,因为这里提供的很多服务都是黑客乐于攻击的目标。的很多服务都是黑客乐于攻击的目标。在这里网络探测器可以在这里网络探测器可以检测到所有针对用户向外提供检测到所有针对用户向外提供服务的服务器进行攻击的分组服务的服务器进行攻击的分组;IDS在网络中的位置在网络中的位置位置位置3:内网接口区:内网接口区 部署点位于位于部署点位于位于防火墙之内防火墙之内;这里应该是最重要、最应该放置检测引擎的地方。这里应该是最重要、最应该放置检测引擎的地方。对于那些已经透过系统边缘防护,进入内部网络准备进对于那些已经透过系统边缘防护,进入内部网络
26、准备进行恶意攻击的黑客,行恶意攻击的黑客,这里正是利用这里正是利用IDS系统及时发现并系统及时发现并作出反应的最佳时机和地点。作出反应的最佳时机和地点。因防火墙过滤了大量非法数据,降低了通过网络探测器因防火墙过滤了大量非法数据,降低了通过网络探测器的数据流量,所以的数据流量,所以网络探测器能够更有效的工作网络探测器能够更有效的工作,但,但入入侵漏报率偏高侵漏报率偏高。IDS在网络中的位置在网络中的位置位置位置4:关键子网区:关键子网区 部署点位于位于部署点位于位于各子网接口各子网接口;一些一些存在关键性数据和服务的子网存在关键性数据和服务的子网必须要严格管理;必须要严格管理;如:数据中心、财务
27、子网、员工档案子网等;如:数据中心、财务子网、员工档案子网等;此处探测器有效此处探测器有效保护关键的网络不会被外部或没有权限保护关键的网络不会被外部或没有权限的内部用户侵入的内部用户侵入,造成关键数据泄露或丢失;,造成关键数据泄露或丢失;基于主机的入侵检测系统的部署基于主机的入侵检测系统的部署 在在关键主机上关键主机上安装入侵检测系统;安装入侵检测系统;这样可以减少花费并使这样可以减少花费并使管理的精力集中管理的精力集中在最重要最需在最重要最需要保护的主机上;要保护的主机上;对系统产生的日志进行集中分析管理,减少日常维护对系统产生的日志进行集中分析管理,减少日常维护的复杂性和难度;的复杂性和难
28、度;入侵检测系统在检测到入侵行为的时候,需要报警并进行相应入侵检测系统在检测到入侵行为的时候,需要报警并进行相应的反应;的反应;根据网络环境和安全需求决定如何报警和选取什么样的报警;根据网络环境和安全需求决定如何报警和选取什么样的报警;主动响应策略主动响应策略入侵追踪、入侵警告和预防、修正系统环境、切断网络等入侵追踪、入侵警告和预防、修正系统环境、切断网络等 联动响应策略联动响应策略在动态网络中将它与防火墙相互结合,实现互补。在动态网络中将它与防火墙相互结合,实现互补。被动响应策略被动响应策略记录事件和报警记录事件和报警响应策略的部署响应策略的部署 攻击特征库的更新不及时;攻击特征库的更新不及
29、时;检测分析方法单一;检测分析方法单一;不同的入侵检测系统之间不能互操作;不同的入侵检测系统之间不能互操作;不能和其他网络安全产品互操作;不能和其他网络安全产品互操作;结构存在问题;结构存在问题;入侵检测的局限性入侵检测相关产品 天融信天融信 启明星辰启明星辰 华为赛门铁克华为赛门铁克 傲盾傲盾 安氏安氏 等等入侵检测技术发展方向案例分析某些非法网络公司利用黑客入侵技术大量入侵各类网站(包括许多某些非法网络公司利用黑客入侵技术大量入侵各类网站(包括许多政府网站)进行挂马刷流量等非法操作。以此实现一些职业黑客公政府网站)进行挂马刷流量等非法操作。以此实现一些职业黑客公司的非法交易。司的非法交易。
30、19961996年初,据美国旧金山的计算机安全协会与联邦调查局的一次联年初,据美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计,有合调查统计,有5353的企业受到过计算机病毒的侵害,的企业受到过计算机病毒的侵害,4242的企业的企业的计算机系统在过去的的计算机系统在过去的1212个月被非法使用过。个月被非法使用过。国外:国外:19941994年末,俄罗斯黑客弗拉基米尔年末,俄罗斯黑客弗拉基米尔利文与其伙伴从圣彼得堡的一家利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上,向美国小软件公司的联网计算机上,向美国CITYBANKCITYBANK银行发动了一连串攻击,银行发动了一连串攻击,
31、通过电子转帐方式,从通过电子转帐方式,从CITYBANKCITYBANK银行在纽约的计算机主机里窃取银行在纽约的计算机主机里窃取11001100万美元。万美元。19961996年年8 8月月1717日,美国司法部的网络服务器遭到黑客入侵,并将日,美国司法部的网络服务器遭到黑客入侵,并将“美美国司法部国司法部”的主页改为的主页改为“美国不公正部美国不公正部”,将司法部部长的照片换,将司法部部长的照片换成了阿道夫成了阿道夫?希特勒,将司法部徽章换成了纳粹党徽,并加上一幅色情希特勒,将司法部徽章换成了纳粹党徽,并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字。司法政策的文字。国内:国内:19961996年年2 2月,刚开通不久的月,刚开通不久的ChinanetChinanet受到攻击,且攻击得逞。受到攻击,且攻击得逞。19971997年初,北京某年初,北京某ISPISP被黑客成功侵入,并在清华大学被黑客成功侵入,并在清华大学“水木清水木清华华”BBSBBS站的站的“黑客与解密黑客与解密”讨论区张贴有关如何免费通过该讨论区张贴有关如何免费通过该ISPISP进入进入InternetInternet的文章。的文章。
