1、第八章第八章 入侵检测技术入侵检测技术2022-12-31.本章主要内容本章主要内容8.1 入侵检测概述8.2 入侵检测系统分类8.3 入侵检测在企业网中的应用8.4 入侵检测系统目前存在的问题8.5 入侵检测的发展趋势.8.1 入侵检测概述u为什么要用入侵检测系统?为什么要用入侵检测系统?u什么是入侵行为?u什么是入侵检测?u什么是入侵检测系统:u入侵检测系统工作原理u入侵检测系统的两个性能指标.u“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你
2、“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。为什么要用入侵检测系统?为什么要用入侵检测系统?.为什么要用入侵检测系统?为什么要用入侵检测系统?n因此为确保网络的安全,就要对网络内部进行实时的检测,这就要用到IDS无时不在的防护!n防火墙的局限性防火墙的局限性(1)防火墙防外不防内。(2)防火墙一般不提供对内部的保护。(3)防火墙不能防范不通过它的连接。(4)防火墙不能防备全部的威胁。.8.1 入侵检测概述入侵检测概述u为什么要用入侵检测系统?u什么
3、是入侵行为?什么是入侵行为?u什么是入侵检测?u什么是入侵检测系统:u入侵检测系统工作原理u入侵检测系统的两个性能指标.入侵行为主要是指对系统资源的非授权使用,不仅包括发起攻击的人取得超出范围的系统控制权,也包括收集漏洞信息,造成拒绝访问等对计算机造成危害的行为。什么是入侵(什么是入侵(Intrusion)行为?)行为?.什么是入侵检测?什么是入侵检测?入侵检测是指通过从计算机网络系统中的若干关键点收集信息,并分析这些信息,从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测系统入侵检测系统 全称为Detection System,缩写为IDS,可以是软件,也可
4、以是一种进行入侵检测的软件与硬件的组合。.u与防火墙不同的是,IDS是一个旁路监听设备,无须网络流量流经它便可以工作。IDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。u通常对IDS的部署的唯一要求是:IDS应当挂接在所有所关注的流量所关注的流量都必须流经的链路上。在这里,“所关注的流量所关注的流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。.入侵检测系统工作原理入侵检测系统工作原理信息收集信息收集信息分析信息分析是否是是否是攻击攻击Y记录记录/报警报警N忽略忽略收集流量的
5、内容、用户连接的状态和行为收集流量的内容、用户连接的状态和行为 通过模式匹配,统计分析和完通过模式匹配,统计分析和完整性分析三种手段进行分析整性分析三种手段进行分析n记入日志记入日志n实时报警实时报警.一是漏报率,指攻击事件没有被IDS检测到,与其相对的是检出率;二是误报率,指把正常事件识别为攻击并报警。误报率与检出率成正比例关系。误报率检出率 100%100%入侵检测系统的两个性能指标入侵检测系统的两个性能指标.性能指标计算公式:性能指标计算公式:u网络中发生的真实的攻击事件数量为M,IDS漏报的事件数量为N,则漏报率=N/M*100%u误报率的计算方法很多,各种算法之间最大的不同都在分母的
6、取值上,目前比较常见的IDS误报率的计算方法是:误报率=存在误报的事件数(X)/事件库总量(N)*100%(其中某IDS的事件总是为N,存在 误报的事件数为X).例例 子:子:u已知10个网络事件,其中6个正常事件,4个攻击事件;现有一入侵检测系统检测到5个攻击事件的发生,但其中有2个事件为正常事件被误判作为攻击事件,则:漏报率=4-(5-2)/4*100%=25%;检出率=(5-2)/4*100%=75%;误报率=2/10*100%=20%。u已知20个网络事件,其中15个正常事件,5个攻击事件;现有一入侵检测系统检测到6个攻击事件的发生,但其中有3个事件为正常事件被误判作为攻击事件,则:漏
7、报率=5-(6-3)/5*100%=40%;检出率=(6-3)/5*100%=60%;误报率=3/20*100%=15%。.基于主机(Host-Based)的入侵检测系统 基于网络(Network-Based)的入侵检测系统 分布式入侵检测系统 8.2 入侵检测系统分类入侵检测系统分类 .8.2.1 基于主机的基于主机的IDS每台主机上安每台主机上安装一个入侵检装一个入侵检测代理测代理主机型入侵检主机型入侵检测系统保护的测系统保护的是主机系统是主机系统这种防护用以这种防护用以监测系统上正监测系统上正在运行的进程在运行的进程是否合法是否合法 .u基于主机的入侵检测系统通常以系统日志、应用系统日志
8、、应用程序日志程序日志等审计记录文件审计记录文件作为数据源。它是通过比 较 这 些 审 计 记 录 文 件 的 记 录 与 攻 击 签 名(Attack Signature,指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配,检测系统就向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件,并可对入侵事件作出立即反应。基于主机的基于主机的IDS.(1)能够监视特定的系统行为。HIDS能够监视所有能够监视所有的用户登录和退出的用户登录和退出,甚至用户所做的所有操作,甚至用户所做的所有操作,日志里记录的审计系统策略的改变,关键系统文日志里记录的审计系统策
9、略的改变,关键系统文件和可执行文件的改变等件和可执行文件的改变等。(2)HIDS能够确定攻击是否成功。由于使用含有已经发生事件的信息,它们可以比网络入侵检测系统更加准确地判断攻击是否成功。(3)有些攻击在网络数据中很难发现,或者根本没有通过网络而在本地进行。这时网络入侵检测系统将无能为力,只能借助HIDS。基于主机的基于主机的IDS(HIDS)优点)优点.部署于网络上,而不是部署于网络上,而不是主机上主机上监听网络上的数据包监听网络上的数据包 用以保护整个网段用以保护整个网段 8.2.2 基于网络的基于网络的IDS.基于网络的基于网络的IDS.u 基于网络的入侵检测系统以原始的网络数据包原始的
10、网络数据包作为数据源作为数据源。它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的。一旦检测到攻击,IDS的响应模块通过通知、报警以及中断连接等方式来对攻击行为作出反应。基于网络的基于网络的IDS.u较之于基于主机的IDS,它有着自身明显的优势:(1)攻击者转移证据更困难 (2)实时检测和应答 (3)能够检测到未成功的攻击企图 (4)操作系统无关性 (5)较低的成本u当然,对于基于网络的IDS来讲,同样有着一定的不足:它只能监视通过本网段的活动,并且精确度较差;在交换网络环境中难于配置;防欺骗的能力比较差,对于加密环境它就更是无能为力了。基于网络的基于网络的IDS优点优点.u
11、从以上对基于主机的IDS和基于网络的IDS的分析可以看出:这两者各自都有着自身独到的优势,而且在某些方面是很好的互补。如果采用这两者结合的入侵检测系统,那将是汲取了各自的长处,又弥补了各自的不足的一种优化设计方案。通常,这样的系统一般为分布式结构,由多个部件组成,它能同时分析来自主机系统的审计数据及来自网络的数据通信流量信息。u分布式的IDS将是今后人们研究的重点,它是一种相对完善的体系结构,为日趋复杂的网络环境下的安全策略的实现提供了最佳的解决方案。8.2.3 分布式的分布式的IDS.u 异常检测(Anomaly Detection)u 特征检测(Signature-based detect
12、ion)8.3 IDS分析技术分析技术.异常检测u原理:首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵行为。与系统相对无关,通用性强能检测出新的攻击方法误检率较高u异常检测是根据使用者的行为或资源使用状况来判断是否入侵,所以异常检测又称基于行为的入侵检测。动态产生新的行为特征更新审计数据偏离正常行为特征系统正常的行为特征轮廓统计分析入侵行为.u从异常检测的实现机理来看,异常检测所面临的关键问题有:(1)特征量的选择 (2)阈值的选定 (3)比较频率的选取u从异常检测的原理我们可以看出,该方法的技术难点在于:“正常”行为特征
13、轮廓的确定;特征量的选取;特征轮廓的更新。u由于这几个因素的制约,异常检测的误报率会很高,但对于未知的入侵行为的检测非常有效,同时它也是检测冒充合法用户的入侵行为的有效方法。异常检测.u特征检测又称滥用检测Misuse detection,这一检测假设所有入侵行为和手段都能够表达为一种模式或特征,因而所有已知的入侵方法都可以用匹配的匹配的方法方法发现,但对新的入侵方法无能为力。u基本前提是:假定所有可能的入侵行为都能被识别和表示。u其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。特征检测.u主要局限性表现在:(1)不能检测未知的入侵行为。(2)与系统的相关性很强,即检测
14、系统知识库中的入侵攻击知识与系统的运行环境有关。对于不同的操作系统,由于其实现机制不同,对其攻击的方法也不尽相同,因而很难定义出统一的模式库。(3)对于系统内部攻击者的越权行为,由于他们没有利用系统的缺陷,因而很难检测出来。特征检测特征检测.u入侵检测的两种最常用技术在实现机理、处理机制上存在明显的不同,而且各自都有着自身无法逾越的障碍,使得各自都有着某种不足。但是采用这两种技术混合的方案,将是一种理想的选择,这样可以做到优势互补。采用两种技术混合的入侵检测.uIDS在交换式网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源。这些位置通常是:服务器区域的交换机上;Internet接
15、入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。8.4 IDS在企业网中的应用在企业网中的应用部署位置部署位置.IDS的部署位置可以部署于网络内部可以部署于网络内部与防火墙一起承担安全责任与防火墙一起承担安全责任.未部署IDS时的企业网络架构没有没有IDSIDS系统的企业系统的企业网络是极不安全的网络是极不安全的只能依靠路由器的基本只能依靠路由器的基本防护功能来保护内网防护功能来保护内网显然远远不能满足显然远远不能满足企业的安全需求企业的安全需求.部署了部署了IDSIDS时的企业网络架构时的企业网络架构DMZ对网络流量进行监对网络流量进行监控的控的IDSIDS部署于主机上的部署于主
16、机上的IDSIDS.8.5 入侵检测系统目前存在的问题入侵检测系统目前存在的问题1.现有的入侵检测系统检测速度远小于网络传输速度,导致误报率和漏报率;2.入侵检测产品和其它网络安全产品结合问题,即期间的信息交换,共同协作发现攻击并阻击攻击;3.基于网络的入侵检测系统对加密的数据流及交换网络下的数据流不能进行检测,并且其本身构建易受攻击。.8.6 入侵检测的发展趋势入侵检测的发展趋势IPSuIPSIPS是英文“Intrusion Prevention SystemIntrusion Prevention System”的缩写,中文意思是入侵防御系统。u随着网络攻击技术的不断提高和网络安全漏洞的不
17、断发现,传统防火墙技术加传统的入侵检测技术,已经无法应对一些安全威胁。在这种情况下,IPS技术应运而生,IPSIPS技术可以深度感知并检测技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源击,对滥用报文进行限流以保护网络带宽资源。.u对于部署在数据转发路径上的IPS,可以根据预先可以根据预先设定的安全策略,对流经的每个报文进行深度检设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),事件关联分析等),如果一旦
18、发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度):向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。IPS入侵防御系统.IPS入侵防御系统位置u由此可以得出结论,办公网中,至少需要在以下区域部署IPS,即:(1)办公网与外部网络的连接部位(入口/出口);(2)重要服务器集群前端;(3)办公网内部接入层。至于其它区域,可以根据实际情况与重要程度,酌情部署。.IPS与IDS的区别 uIPS对于初始者来说,是位于防火墙和网络的设备之间的设备。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存
19、在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。uIPS检测攻击的方法也与IDS不同。一般来说,IPS系统都依靠对数据包的检测依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。.u从产品价值角度讲:IDS注重的是网络安全状况的监管。IPS关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同,IDS可以实施深层防御安全策略,即可以在即可以在应用层检测出攻击并予以阻断,这是防火墙所做应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。不到的,当然也是入侵检测产品所
20、做不到的。.8.6 入侵检测的发展趋势入侵检测的发展趋势蜜罐技术蜜罐技术 u蜜罐技术 蜜罐(Honeypot)是一种在互联网上运行的计算机系统。它是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人(如电脑黑客)而设计的,蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。由于蜜罐并没有向外界提供真正有价值的服务,因此所有对蜜罐尝试都被视为可疑的。蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。简言之:蜜罐就是诱捕攻击者的一个陷阱。u蜜罐对于检测和分析攻击自有其优势和重要性,攻击者也会开发相应的技术来检测和避免蜜罐。随着这些技术变得越来越流行和普遍,蜜罐也需要作出响应来使得攻击者的检测更加困难。分布式蜜网和不以虚拟化为基础的蜜网实施将会引起人们的重视。攻击者和安全研究人员的斗争将一直继续下去。但在目前,从总体上讲,蜜罐技术仍可为我们提供关于攻击者及其攻击方法的珍贵数据。.
