1、入侵检测原理与技术入侵检测原理与技术pIDS在网络中的部署pIDS的组成p入侵检测系统实例pIDS 现状与发展方向p蜜罐技术整理版Internet防火墙WWW服务器销售部门生产部门人劳部门123邮件服务器IDS在网络中的位置在网络中的位置DMZIntranet整理版 位置位置1:位于防火墙外侧的非系统信任域,位于防火墙外侧的非系统信任域,它将负责检测来自外部的所有它将负责检测来自外部的所有入侵企图(这可能产生大量的报告),通过分析这些攻击来帮助我们完善系入侵企图(这可能产生大量的报告),通过分析这些攻击来帮助我们完善系统并决定要不要在系统内部部署统并决定要不要在系统内部部署IDS。位置位置2:
2、很多站点都把对外提供服务的服务器单独放在一个隔离的区域,很多站点都把对外提供服务的服务器单独放在一个隔离的区域,通常称为通常称为DMZ非军事化区。在此放置一个检测引擎是非常必要的,因为这里非军事化区。在此放置一个检测引擎是非常必要的,因为这里提供的很多服务都是黑客乐于攻击的目标。提供的很多服务都是黑客乐于攻击的目标。位置位置3:这里应该是最重要、最应该放置检测引擎的地方。这里应该是最重要、最应该放置检测引擎的地方。对于那些已经对于那些已经透过系统边缘防护,进入内部网络准备进行恶意攻击的黑客,透过系统边缘防护,进入内部网络准备进行恶意攻击的黑客,这里正是利用这里正是利用IDS系统及时发现并作出反
3、应的最佳时机和地点。系统及时发现并作出反应的最佳时机和地点。IDS在网络中的位置在网络中的位置整理版IDS的组成p检测引擎p控制中心HUB检测引擎Monitored Servers控制中心整理版整理版IDS基本结构基本结构入侵检测系统包括三个功能部件入侵检测系统包括三个功能部件(1 1)信息收集信息收集(2 2)信息分析信息分析(3 3)结果处理(响应)结果处理(响应)整理版信息搜集信息搜集整理版信息收集信息收集p入侵检测的第一步是信息收集,收集内容包括系统、网络、入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为数据及用户活动的状态和行为p需要在计算机网络系统中的
4、若干不同关键点(不同网段和不需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息同主机)收集信息n尽可能扩大检测范围尽可能扩大检测范围n从一个源来的信息有可能看不出疑点从一个源来的信息有可能看不出疑点整理版信息收集信息收集p入侵检测很大程度上依赖于收集信息的可靠性和正确性入侵检测很大程度上依赖于收集信息的可靠性和正确性p要保证用来检测网络系统的软件的完整性要保证用来检测网络系统的软件的完整性p特别是入侵检测系统软件本身应具有相当强的坚固性,防特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息止被篡改而收集到错误的信息 整理版信息收集的来源信息收集的来源
5、p系统或网络的日志文件系统或网络的日志文件p网络流量网络流量p系统目录和文件的异常变化系统目录和文件的异常变化p程序执行中的异常行为程序执行中的异常行为整理版信息分析信息分析整理版信息分析信息分析 模式匹配模式匹配 统计分析统计分析 完整性分析,往往用于事后分析完整性分析,往往用于事后分析整理版模式匹配模式匹配p模式匹配就是将收集到的信息与已知的网络入侵和系统误用模模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为式数据库进行比较,从而发现违背安全策略的行为p一般来讲,一种攻击模式可以用一个过程(如执行一条指令)一般来讲,一种攻击模式可以用一个过
6、程(如执行一条指令)或一个输出(如获得权限)来表示。该过程可以很简单(如通或一个输出(如获得权限)来表示。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)(如利用正规的数学表达式来表示安全状态的变化)整理版统计分析统计分析p统计分析方法首先给系统对象(如用户、文件、目录和设备等)统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)
7、次数、操作失败次数和延时等)p测量属性的平均值和偏差将被用来与网络、系统的行为进行比测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生较,任何观察值在正常值范围之外时,就认为有入侵发生整理版完整性分析完整性分析p完整性分析主要关注某个文件或对象是否被更改完整性分析主要关注某个文件或对象是否被更改p这经常包括文件和目录的内容及属性这经常包括文件和目录的内容及属性p在发现被更改的、被安装木马的应用程序方面特别有效在发现被更改的、被安装木马的应用程序方面特别有效整理版结果处理结果处理整理版结果处理结果处理p主动响应主动响应 阻止攻击,切断网络连接
8、;阻止攻击,切断网络连接;p被动响应被动响应 记录事件和报警。记录事件和报警。整理版入侵检测性能关键参数入侵检测性能关键参数p误报误报(false positive):如果系统错误地将异常活如果系统错误地将异常活动定义为入侵动定义为入侵p漏报漏报(false negative):如果系统未能检测出真如果系统未能检测出真正的入侵行为正的入侵行为0 检出率(detection rate)100%100%误报率整理版网络入侵检测工具snort整理版整理版Snortp是一个基于简单模式匹配的是一个基于简单模式匹配的IDSp源码开放,跨平台源码开放,跨平台(C语言编写,可移植性好语言编写,可移植性好)p
9、利用利用libpcap作为捕获数据包的工具作为捕获数据包的工具p特点特点n设计原则:性能、简单、灵活设计原则:性能、简单、灵活n包含三个子系统:网络包的解析器、检测引擎、日志和报警包含三个子系统:网络包的解析器、检测引擎、日志和报警子系统子系统n内置了一套插件子系统,作为系统扩展的手段内置了一套插件子系统,作为系统扩展的手段n模式特征链模式特征链规则链规则链n命令行方式运行,也可以用作一个命令行方式运行,也可以用作一个sniffer工具工具整理版网络数据包解析p结合网络协议栈的结构来设计结合网络协议栈的结构来设计pSnort支持链路层和支持链路层和TCP/IP的协议定义的协议定义n每一层上的数
10、据包都对应一个函数每一层上的数据包都对应一个函数n按照协议层次的顺序依次调用就可以得到各个层上按照协议层次的顺序依次调用就可以得到各个层上的数据包头的数据包头p从链路层,到传输层,直到应用层从链路层,到传输层,直到应用层n在解析的过程中,性能非常关键,在每一层传递过在解析的过程中,性能非常关键,在每一层传递过程中,只传递指针,不传实际的数据程中,只传递指针,不传实际的数据n支持链路层:以太网、令牌网、支持链路层:以太网、令牌网、FDDI整理版整理版Snort工作模式工作模式pSniffer模式(模式(-v):监听网络数据流):监听网络数据流pPacket Logger模式(模式(-l):记录数
11、据包内):记录数据包内容容pIntrusion Detection模式(模式(-c):网络入):网络入侵检测侵检测整理版Snort输出选项输出选项p-A fast:只记录只记录Alert的时间、的时间、IP、端口和攻击、端口和攻击消息消息p-A full:完整的完整的Alert记录记录p-A none:关闭关闭Alertp-A unsock:将将Alert发送到其他进程监听的发送到其他进程监听的socket整理版Snort基本流程基本流程初始化解析命令行解析规则库生成二维链表打开libpcap接口获取数据包解析数据包与二维链表某节点匹配?响应(Alert,Log)YesNo注:注:libpca
12、p是是linux下的包下的包捕获库,捕获库,windows下的是下的是winpcap。整理版Snort:日志和报警子系统p当匹配到特定的规则之后,检测引擎会触发相应的动作当匹配到特定的规则之后,检测引擎会触发相应的动作p日志记录动作,三种格式:日志记录动作,三种格式:n解码之后的二进制数据包解码之后的二进制数据包n文本形式的文本形式的IP结构结构nTcpdump格式格式p如果考虑性能的话,应选择如果考虑性能的话,应选择tcpdump格式,或者关闭格式,或者关闭logging功能功能p报警动作,包括报警动作,包括nSyslogn记录到记录到alert文本文件中文本文件中n发送发送WinPopup
13、消息消息整理版关于snort的规则pSnort的规则比较简单的规则比较简单n规则结构:规则结构:p规则头:规则头:alert tcp!10.1.1.0/24 any-10.1.1.0/24 anyp规则选项:规则选项:(flags:SF;msg:“SYN-FIN Scan”;)n针对已经发现的攻击类型,都可以编写出适当的规则来针对已经发现的攻击类型,都可以编写出适当的规则来p规则头包括:规则行为、协议、源规则头包括:规则行为、协议、源/目的目的IP地址、子网掩地址、子网掩码以及源码以及源/目的端口。目的端口。p规则选项包含规则选项包含:报警信息和异常包的信息报警信息和异常包的信息(特征码特征码
14、),使用这,使用这些特征码来决定是否采取规则规定的行动。些特征码来决定是否采取规则规定的行动。p现有大量的规则可供利用现有大量的规则可供利用整理版Snort规则示例p规则示例整理版关于snortp开放性开放性n源码开放,最新规则库的开放源码开放,最新规则库的开放p作为商业作为商业IDS的有机补充的有机补充n特别是对于最新攻击模式的知识共享特别是对于最新攻击模式的知识共享pSnort的部署的部署n作为分布式作为分布式IDS的节点的节点n为高级的为高级的IDS提供基本的事件报告提供基本的事件报告p发展发展n数据库的支持数据库的支持n互操作性,规则库的标准化互操作性,规则库的标准化n二进制插件的支持
15、二进制插件的支持n预处理器模块:预处理器模块:TCP流重组、统计分析,等流重组、统计分析,等n整理版 IDS 现状现状n误报漏报率太高误报漏报率太高:各种检测方法都存在缺各种检测方法都存在缺陷;陷;n没有主动防御能力没有主动防御能力:IDS:IDS技术是一种预设置技术是一种预设置式的工作方式,特征分析式工作原理。检式的工作方式,特征分析式工作原理。检测规则的更新总是落后于攻击手段的更新,测规则的更新总是落后于攻击手段的更新,所以这永远是亡羊补牢,被动防守;所以这永远是亡羊补牢,被动防守;整理版n基于主机和基于网络的入侵检测系统采集、分析的基于主机和基于网络的入侵检测系统采集、分析的数据不全面;
16、数据不全面;n入侵检测由各个检测引擎独立完成,中心管理控制入侵检测由各个检测引擎独立完成,中心管理控制平台并不具备检测入侵的功能,缺乏综合分析;平台并不具备检测入侵的功能,缺乏综合分析;n在响应上,除了日志和告警,检测引擎只能通过发在响应上,除了日志和告警,检测引擎只能通过发送送RSTRST包切断网络连接,或向攻击源发送目标不可包切断网络连接,或向攻击源发送目标不可达信息来实现安全控制。达信息来实现安全控制。IDS 现状现状整理版通过在防火墙中驻留的一个通过在防火墙中驻留的一个IDS Agent对象,以接收来自对象,以接收来自IDS的控制消息,然后再增加防火墙的过滤规则,最终实的控制消息,然后
17、再增加防火墙的过滤规则,最终实现联动。现联动。IDS与与Firewall联动联动整理版发展方向发展方向p分布式入侵检测分布式入侵检测 使用分布式的方法来监测分布式的攻击,其中的关键技术为监测使用分布式的方法来监测分布式的攻击,其中的关键技术为监测信息的协同处理与入侵攻击的全局信息的提取信息的协同处理与入侵攻击的全局信息的提取 p智能化入侵检测智能化入侵检测 使用智能化的方法与手段来进行入侵监测使用智能化的方法与手段来进行入侵监测 p全面的安全防御方案全面的安全防御方案 网络安全作为一个整体工程来处理。从管理、网络结构、加密通网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病
18、毒防护、入侵监测多方位全面对所关注的网络作道、防火墙、病毒防护、入侵监测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。全面的评估,然后提出可行的全面解决方案。整理版资源资源pIDS FAQnhttp:/ Mailinglistnhttp:/ 分散攻击者的注意力分散攻击者的注意力 收集同攻击和攻击者有关的信息。收集同攻击和攻击者有关的信息。整理版价值 p默默地收集尽可能多的同入侵有关的信息,例如默默地收集尽可能多的同入侵有关的信息,例如攻击模式,使用的程序,攻击意图和黑客社团文攻击模式,使用的程序,攻击意图和黑客社团文化等等。化等等。p帮助我们明白黑客社团以及他们的攻击行为,
19、以帮助我们明白黑客社团以及他们的攻击行为,以便更好的防御安全威胁。便更好的防御安全威胁。整理版两种类型的蜜罐主机p两种类型的蜜罐主机两种类型的蜜罐主机产品型蜜罐(产品型蜜罐(production)研究型蜜罐(研究型蜜罐(research)。)。p产品型蜜罐用于帮助降低组织的安全风险;产品型蜜罐用于帮助降低组织的安全风险;p研究型蜜罐意味着收集尽可能多的信息。研究型蜜罐意味着收集尽可能多的信息。整理版蜜罐主机的布置蜜罐主机的布置p蜜罐主机可以放置在:蜜罐主机可以放置在:n防火墙外面(防火墙外面(Internet)nDMZ(非军事区)(非军事区)n防火墙后面(防火墙后面(Intranet)p每种摆
20、放方式都有各自的优缺点。每种摆放方式都有各自的优缺点。整理版蜜罐主机的布置蜜罐主机的布置整理版欺骗网络(欺骗网络(honeynet)整理版关键问题p信息控制信息控制代表了一种规则,你必须能够确定你的信息包能代表了一种规则,你必须能够确定你的信息包能够发送到什么地方。其目的是,当你欺骗网络里的蜜罐主够发送到什么地方。其目的是,当你欺骗网络里的蜜罐主机被入侵后,它不会被用来攻击欺骗网络以外的机器。机被入侵后,它不会被用来攻击欺骗网络以外的机器。p信息捕获信息捕获则是要抓到入侵者群体的所有流量,从他们的击则是要抓到入侵者群体的所有流量,从他们的击键到他们发送的信息包。只有这样,我们才能进一步分析键到他们发送的信息包。只有这样,我们才能进一步分析他们使用的工具、策略及目的。他们使用的工具、策略及目的。整理版反欺骗网络技术及工具pfragrouter(http:/www.monkey.org/dugsong/fragroute/)能对抗入侵检测系统,它把包分片重组。能对抗入侵检测系统,它把包分片重组。pRain Forest Puppy则开发了一个扫描函数库则开发了一个扫描函数库whisker(http:/
