1、第八章 入侵检测系统2023-1-82内容提要内容提要 入侵检测技术用来发现攻击行为,进而采取正确的响应措施,是安全防御的重要环节。通过本章学习使学生能够掌握入侵检测系统的基本原理,在了解Snort工作原理的基础上,掌握其安装和使用方法,了解入侵防御技术的特点及其和入侵检测的区别。2023-1-83第八章第八章 入侵检测系统入侵检测系统 8.1 入侵检测系统概述8.2 入侵检测系统的组成8.3 入侵检测的相关技术8.4 入侵检测系统Snort8.5 入侵防御系统8.6 实验:基于snort的入侵检测系统安装和使用8.7 小结 习题2023-1-848.1 8.1 入侵检测系统概述入侵检测系统概
2、述 入侵检测系统全称为入侵检测系统全称为Intrusion Detection SystemIntrusion Detection System(IDSIDS),国际计算机安全协会(),国际计算机安全协会(International International Computer Security AssociationComputer Security Association,ICSAICSA)入侵检测系统)入侵检测系统论坛将其论坛将其定义为:通过从计算机网络或计算机系统中的若定义为:通过从计算机网络或计算机系统中的若干关键点收集信息进行分析,从中发现网络或系统中是否干关键点收集信息进行分析,
3、从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。有违反安全策略的行为和遭到攻击的迹象。相对于防火墙来说,入侵检测通常被认为是一种相对于防火墙来说,入侵检测通常被认为是一种动态动态的防护手段的防护手段。与其他安全产品不同的是,入侵检测系统需。与其他安全产品不同的是,入侵检测系统需要较复杂的技术,它将得到的数据进行分析,并得出有用要较复杂的技术,它将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大地的结果。一个合格的入侵检测系统能大大地简化简化管理员的管理员的工作,使管理员能够更容易地工作,使管理员能够更容易地监视监视、审计审计网络和计算机系网络和计算机系统,统,扩
4、展扩展了管理员的安全管理能力,了管理员的安全管理能力,保证保证网络和计算机系网络和计算机系统的安全运行。统的安全运行。2023-1-858.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)防火墙防火墙是所有保护网络的方法中最能普遍接受的是所有保护网络的方法中最能普遍接受的方法,能阻挡外部入侵者,但方法,能阻挡外部入侵者,但对内部攻击无能为力对内部攻击无能为力;同时,防火墙绝对不是坚不可摧的,即使是某些防火同时,防火墙绝对不是坚不可摧的,即使是某些防火墙本身也会引起一些安全问题。防火墙不能墙本身也会引起一些安全问题。防火墙不能防止通向防止通向站点的后门,不提供对内部的保护,无法防范数据驱
5、站点的后门,不提供对内部的保护,无法防范数据驱动型的攻击,不能防止用户由动型的攻击,不能防止用户由InternetInternet上下载被病毒上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输感染的计算机程序或将该类程序附在电子邮件上传输。入侵检测是防火墙的入侵检测是防火墙的合理补充合理补充,它帮助系统对付网,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力络攻击,扩展了系统管理员的安全管理能力(包括安全包括安全审计、监视、进攻识别和响应审计、监视、进攻识别和响应),提高了信息安全基础,提高了信息安全基础结构的完整性。结构的完整性。2023-1-868.1 入侵检测系统概述(续)
6、入侵检测系统概述(续)相关术语相关术语攻击攻击攻击者利用工具,出于某种动机,对目标系统采取的行动,攻击者利用工具,出于某种动机,对目标系统采取的行动,其后果是获取其后果是获取/破坏破坏/篡改目标系统的数据或访问权限篡改目标系统的数据或访问权限事件事件在攻击过程中发生的可以识别的行动或行动造成的后果在攻击过程中发生的可以识别的行动或行动造成的后果。在在入侵检测系统中,事件常常具有一系列属性和详细的描述信入侵检测系统中,事件常常具有一系列属性和详细的描述信息可供用户查看。息可供用户查看。也可以也可以将入侵检测系统需要分析的数据统将入侵检测系统需要分析的数据统称为事件(称为事件(eventevent
7、)2023-1-87入侵入侵 对信息系统的非授权访问及(或)未经许可在信息系统对信息系统的非授权访问及(或)未经许可在信息系统中进行操作中进行操作入侵检测入侵检测对企图入侵、正在进行的入侵或已经发生的入侵进行识对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程别的过程入侵检测系统(入侵检测系统(IDSIDS)用于辅助进行入侵检测或者独立进行入侵检测的用于辅助进行入侵检测或者独立进行入侵检测的自动化自动化工具工具8.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)2023-1-88 入侵检测(入侵检测(Intrusion DetectionIntrusion Detection)技
8、术是一种动态)技术是一种动态的网络检测技术,的网络检测技术,主要用于识别对计算机和网络资源的主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象,则应当做户的未经授权活动。一旦发现网络入侵现象,则应当做出适当的反应出适当的反应:对于正在进行的网络攻击,则采取适当:对于正在进行的网络攻击,则采取适当的方法来阻断攻击(与防火墙联动),以减少系统损失;的方法来阻断攻击(与防火墙联动),以减少系统损失;对于已经发生的网络攻击,则应通过分析日志记录找到对于已经发生的网络攻击,则应通过分析日志
9、记录找到发生攻击的原因和入侵者的踪迹,作为增强网络系统安发生攻击的原因和入侵者的踪迹,作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。络中是否有违反安全策略的行为和遭到袭击的迹象。8.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)2023-1-898.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)入侵检测系统(入侵检测系统(IDSIDS)由)由入侵检测的软件与硬件组合入
10、侵检测的软件与硬件组合而而成,被认为是防火墙之后的第二道安全闸门,在成,被认为是防火墙之后的第二道安全闸门,在不影响网络不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护击和误操作的实时保护。这些都通过它执行以下任务来实现:。这些都通过它执行以下任务来实现:1 1)监视、分析用户及系统活动。)监视、分析用户及系统活动。2 2)系统构造和弱点的审计。)系统构造和弱点的审计。3 3)识别反映已知进攻的活动模式并向相关人士报警。)识别反映已知进攻的活动模式并向相关人士报警。4 4)异常行为模式的统计分析。)异常行为模
11、式的统计分析。5 5)评估重要系统和数据文件的完整性。)评估重要系统和数据文件的完整性。6 6)操作系统的审计跟踪管理,并识别用户违反安全策)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。略的行为。2023-1-810入侵检测系统的作用入侵检测系统的作用监控网络和系统监控网络和系统发现入侵企图或异常现象发现入侵企图或异常现象实时报警实时报警主动响应主动响应审计跟踪审计跟踪 形象地说,它就是网络摄形象地说,它就是网络摄像像机,能够捕获并记录网络上机,能够捕获并记录网络上的所有数据,同时它也是智能摄的所有数据,同时它也是智能摄像像机,能够分析网络数据并机,能够分析网络数据并提炼出可疑的、异
12、常的网络数据,它还是提炼出可疑的、异常的网络数据,它还是X X光摄光摄像像机,能够机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄像像机,还包括保安员的摄机,还包括保安员的摄像像机机。2023-1-8118.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)2023-1-8128.1 8.1 入侵检测系统概述(续入侵检测系统概述(续)入侵检测的发展历程入侵检测的发展历程 19801980年年,概念的诞生,概念的诞生1984198419861986年,模型的发展年,模型的发展 19901990年,形成网络年,形成网络IDSID
13、S和主机和主机IDSIDS两大阵营两大阵营九十年代后至今,百家争鸣、繁荣昌盛九十年代后至今,百家争鸣、繁荣昌盛2023-1-813入侵检测的实现方式入侵检测的实现方式 入侵检测系统根据数据包来源的不同,采用不用的实入侵检测系统根据数据包来源的不同,采用不用的实现方式,一般地可分为网络型、主机型,也可是这两种类现方式,一般地可分为网络型、主机型,也可是这两种类型的混合应用。型的混合应用。基于网络的入侵检测系统(基于网络的入侵检测系统(NIDSNIDS)基于主机的入侵检测系统(基于主机的入侵检测系统(HIDSHIDS)混合型入侵检测系统(混合型入侵检测系统(Hybrid IDSHybrid IDS
14、)2023-1-814入侵检测的实现方式入侵检测的实现方式 1 1、网络、网络IDSIDS:网络网络IDSIDS是网络上的一个监听设备是网络上的一个监听设备(或一个专用主机或一个专用主机),通过监听网络上的所有报文,根据协议进行分析,并报告通过监听网络上的所有报文,根据协议进行分析,并报告网络中的非法使用者信息。网络中的非法使用者信息。安装在被保护的网段(共享网络、交换环境中交换机要安装在被保护的网段(共享网络、交换环境中交换机要 支持端口映射)中支持端口映射)中混杂模式监听混杂模式监听分析网段中所有的数据包分析网段中所有的数据包实时检测和响应实时检测和响应2023-1-8158.1 8.1
15、入侵检测系统概述(续)入侵检测系统概述(续)图图8-1 8-1 网络网络IDSIDS工作模型工作模型 NY2023-1-8168.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)网络网络IDS优势优势(1)(1)实时分析网络数据实时分析网络数据,检测网络系统的非法行为;,检测网络系统的非法行为;(2)(2)网络网络IDSIDS系统系统单独架设单独架设,不占用其它计算机系统的任何资,不占用其它计算机系统的任何资源;源;(3)(3)网络网络IDSIDS系统是一个系统是一个独立的网络设备独立的网络设备,可以做到对黑客透,可以做到对黑客透明,因此其本身的安全性高;明,因此其本身的安全性高;(4
16、)(4)它既可以用于实时监测系统,也是记录审计系统,可以它既可以用于实时监测系统,也是记录审计系统,可以做到做到实时保护实时保护,事后取证分析事后取证分析;(5)(5)通过通过与防火墙的联动与防火墙的联动,不但可以对攻击预警,还可以更,不但可以对攻击预警,还可以更有效地阻止非法入侵和破坏。有效地阻止非法入侵和破坏。(6)(6)不会增加网络中主机的负担不会增加网络中主机的负担。2023-1-8178.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)网络网络IDS的劣势的劣势(1)(1)交换环境和高速环境需附加条件交换环境和高速环境需附加条件(2)(2)不能处理加密数据不能处理加密数据(3
17、)(3)资源及处理能力局限资源及处理能力局限(4)(4)系统相关的脆弱性系统相关的脆弱性2023-1-818 入侵检测的实现方式入侵检测的实现方式 2 2、主机、主机IDSIDS 运行于被检测的主机之上,通过查询、监听当前系统运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理。修改的事件,进行上报和处理。安装于被保护的主机中安装于被保护的主机中 主要主要分析主机内部活动分析主机内部活动 占用一定的系统资源占用一定的系统资源2023-1-819主机主机IDS优势优势(1)(1
18、)精确地判断攻击行为是否成功。精确地判断攻击行为是否成功。(2)(2)监控主机上特定用户活动、系统运行情况监控主机上特定用户活动、系统运行情况(3)HIDS(3)HIDS能够检测到能够检测到NIDSNIDS无法检测的攻击无法检测的攻击(4)(4)HIDSHIDS适用加密的和交换的环境适用加密的和交换的环境(5)(5)不需要额外的硬件设备不需要额外的硬件设备2023-1-820主机主机IDS的劣势的劣势(1)HIDS(1)HIDS对被保护主机的影响对被保护主机的影响(2)HIDS(2)HIDS的安全性受到宿主操作系统的限制的安全性受到宿主操作系统的限制(3)HIDS(3)HIDS的数据源受到审计
19、系统限制的数据源受到审计系统限制(4)(4)被木马化的系统内核能够骗过被木马化的系统内核能够骗过HIDSHIDS(5)(5)维护维护/升级不方便升级不方便2023-1-8213 3、两种实现方式的比较、两种实现方式的比较:1)1)如果攻击不经过网络如果攻击不经过网络,基于网络的基于网络的IDSIDS无法检测到只无法检测到只能通过使用基于主机的能通过使用基于主机的IDSIDS来检测;来检测;2 2)基于网络的基于网络的IDSIDS通过检查所有的包头来进行检测通过检查所有的包头来进行检测,而,而基于主机的基于主机的IDSIDS并不查看包头。并不查看包头。主机主机IDSIDS往往不能识别基于往往不能
20、识别基于IPIP的拒绝服务攻击和碎片攻击的拒绝服务攻击和碎片攻击;3)3)基于网络的基于网络的IDSIDS可以研究数据包的内容,查找特定攻可以研究数据包的内容,查找特定攻击中使用的命令或语法,这类攻击可以被实时检查包序列击中使用的命令或语法,这类攻击可以被实时检查包序列的的IDSIDS迅速识别;而基于主机的系统无法看到负载,因此也迅速识别;而基于主机的系统无法看到负载,因此也无法识别嵌入式的数据包攻击。无法识别嵌入式的数据包攻击。2023-1-8224 4、混合型入侵检测系统(、混合型入侵检测系统(Hybrid IDSHybrid IDS)在新一代的入侵检测系统中将把现在的基于网络和基在新一代
21、的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来,提供集成化的攻于主机这两种检测技术很好地集成起来,提供集成化的攻击签名检测报告和事件关联功能。击签名检测报告和事件关联功能。可以深入地研究入侵事件入侵手段本身及被入侵目标可以深入地研究入侵事件入侵手段本身及被入侵目标的漏洞等的漏洞等。2023-1-823入侵检测系统的功能(小结)入侵检测系统的功能(小结)n1、监视并分析用户和系统的活动,查找非法用户和合法用户的越权操作;n2、检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;n3、对用户的非正常活动进行统计分析,发现入侵行为的规律;n4、检查系统程序和数据一致性与正
22、确性,如计算和比较文件系统的校验;n5、能够实时对检测到的入侵行为作出反应;n6、操作系统的审计跟踪管理。2023-1-8248.2 入侵检测系统的组成 根据不同的网络环境和系统的应用,入侵检测系统在根据不同的网络环境和系统的应用,入侵检测系统在具体实现上也有所不同。从系统构成上看,具体实现上也有所不同。从系统构成上看,入侵检测系统入侵检测系统至少包括数据提取、人侵分析、响应处理三个部分至少包括数据提取、人侵分析、响应处理三个部分,另外,另外还可能还可能结合安全知识库、数据存储等功能模块结合安全知识库、数据存储等功能模块,提供更为,提供更为完善的安全检测及数据分析功能。如完善的安全检测及数据分
23、析功能。如19871987年年DenningDenning提出提出的通用入侵检测模型主要由六部分构成,的通用入侵检测模型主要由六部分构成,IDESIDES与它的后继与它的后继版本版本NIDESNIDES都完全基于都完全基于DenningDenning的模型;另外,在总结现有的模型;另外,在总结现有的入侵检测系统的基础上提出了一个入侵检测系统的通用的入侵检测系统的基础上提出了一个入侵检测系统的通用模型如图模型如图8-28-2所示。所示。2023-1-8258.2 入侵检测系统的组成 通用入侵检测框架通用入侵检测框架 (Common Intrusion Detection(Common Intru
24、sion Detection FrameworkFramework,CIDF)CIDF)把一个入侵检测系统分为以下组件把一个入侵检测系统分为以下组件:图图8-2 CIDF8-2 CIDF的入侵检测通用模型的入侵检测通用模型2023-1-8268.2 入侵检测系统的组成 CIDFCIDF把一个入侵检测系统分为以下组件把一个入侵检测系统分为以下组件:事件产生器:事件产生器:负责原始数据采集,并将收集到的原始数据转负责原始数据采集,并将收集到的原始数据转换为事件,向系统的其他部分提供此事件,又称传感器换为事件,向系统的其他部分提供此事件,又称传感器(sensor)(sensor)。事件分析器:事件分
25、析器:接收事件信息,对其进行分析,判断是否为入接收事件信息,对其进行分析,判断是否为入侵行为或异常现象,最后将判断结果变为警告信息。侵行为或异常现象,最后将判断结果变为警告信息。事件数据库:事件数据库:存放各种中间和最终入侵信息的地方,并从事存放各种中间和最终入侵信息的地方,并从事件产生器和事件分析器接收需要保存的事件,一般会将数件产生器和事件分析器接收需要保存的事件,一般会将数据长时间保存。据长时间保存。事件响应器:事件响应器:是根据入侵检测的结果,对入侵的行为作出适是根据入侵检测的结果,对入侵的行为作出适当的反映,可选的响应措施包括主动响应和被动响应。当的反映,可选的响应措施包括主动响应和
26、被动响应。2023-1-8278.2 入侵检测系统的组成IDSIDS的基本结构的基本结构 无论无论IDSIDS系统是网络型的还是主机型的,从功能上看,都可系统是网络型的还是主机型的,从功能上看,都可分为两大部分:探测引擎和控制中心。前者用于读取原始数据和分为两大部分:探测引擎和控制中心。前者用于读取原始数据和产生事件;后者用于显示和分析事件以及策略定制等工作。产生事件;后者用于显示和分析事件以及策略定制等工作。2023-1-8288.2 入侵检测系统的组成(续)IDSIDS的基本结构的基本结构 图图8-3 8-3 引擎的工作流程引擎的工作流程 引擎的主要功能引擎的主要功能为:原始数据读取、为:
27、原始数据读取、数据分析、产生事件、数据分析、产生事件、策略匹配、事件处理、策略匹配、事件处理、通信等功能通信等功能 2023-1-8298.2 入侵检测系统的组成(续)IDSIDS的基本结构的基本结构 图图8-4 8-4 控制中心的工作流程控制中心的工作流程 控制中心的主要功能为:通信、事件读取、事件显示、策控制中心的主要功能为:通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。略定制、日志分析、系统帮助等。通信事件读取事件显示策略定制日志分析系统帮助事件/策略数据库2023-1-8308.38.3入侵检测的相关技术入侵检测的相关技术IDSIDS采用的技术采用的技术 入侵检测主要通过专
28、家系统、模式匹配、协议分析入侵检测主要通过专家系统、模式匹配、协议分析或状态转换等方法来确定入侵行为。入侵检测技术有:或状态转换等方法来确定入侵行为。入侵检测技术有:静态配置分析技术静态配置分析技术异常检测技术异常检测技术误用检测技术误用检测技术 1 1静态配置分析技术静态配置分析技术 静态配置分析是通过检查系统的当前系统配置,诸静态配置分析是通过检查系统的当前系统配置,诸如系统文件的内容或系统表,来检查系统是否已经或者如系统文件的内容或系统表,来检查系统是否已经或者可能会遭到破坏。可能会遭到破坏。静态是指检查系统的静态特征静态是指检查系统的静态特征(系统配系统配置信息置信息),而不是系统中的
29、活动,而不是系统中的活动。2023-1-8318.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)IDSIDS采用的技术采用的技术 2 2、异常检测技术、异常检测技术 通过对系统审计数据的分析通过对系统审计数据的分析建立起系统主体建立起系统主体(单个用户、单个用户、一组用户、主机,甚至是系统中的某个关键的程序和文件等一组用户、主机,甚至是系统中的某个关键的程序和文件等)的的正常行为特征轮廓正常行为特征轮廓;检测时,如果系统中的审计数据与已建;检测时,如果系统中的审计数据与已建立的主体的正常行为特征有立的主体的正常行为特征有较大出入较大出入就认为是一个入侵行为。就认为是一个入侵行为。这一
30、检测方法称这一检测方法称“异常检测技术异常检测技术”。一般采用统计或基于规则描述的方法一般采用统计或基于规则描述的方法建立系统主体的行为建立系统主体的行为特征轮廓,即统计性特征轮廓和基于规则描述的特征轮廓特征轮廓,即统计性特征轮廓和基于规则描述的特征轮廓。2023-1-8328.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)IDSIDS采用的技术采用的技术 3 3误用检测技术误用检测技术 误用检测技术误用检测技术(Misuse Detection)(Misuse Detection)通过检测用户行为中通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统的那些与某些
31、已知的入侵行为模式类似的行为或那些利用系统中缺陷或是间接地违背系统安全规则的行为,来检测系统中的中缺陷或是间接地违背系统安全规则的行为,来检测系统中的入侵活动,是一种入侵活动,是一种基于已有知识的检测基于已有知识的检测。这种入侵检测技术的主要局限在于它只是根据已知的入侵这种入侵检测技术的主要局限在于它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为,序列和系统缺陷的模式来检测系统中的可疑行为,而不能处理而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。2023-1-8338.38.3入侵检测的相关技术(续)入侵检测的相关
32、技术(续)入侵检测入侵检测分析分析技术的比较技术的比较 1 1模式匹配的缺陷模式匹配的缺陷 1 1)计算负荷大)计算负荷大 2 2)检测准确率低)检测准确率低 2 2协议分析新技术的优势协议分析新技术的优势 1 1)提高了性能)提高了性能 2 2)提高了准确性)提高了准确性 3 3)反规避能力)反规避能力 4 4)系统资源开销小)系统资源开销小 2023-1-8348.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)入侵检测系统的性能指标1 1、入侵检测系统的主要相关术语:、入侵检测系统的主要相关术语:警告警告(Alert/Alarm)(Alert/Alarm):用来表示一个系统被攻击
33、者攻击,用来表示一个系统被攻击者攻击,一般包含从攻击内容中得到的攻击信息,或者异常事件和统一般包含从攻击内容中得到的攻击信息,或者异常事件和统计信息。计信息。误警误警(False Positive)(False Positive):也成误报,指入侵检测系统对也成误报,指入侵检测系统对那些良性事件的报警,这表明那些良性事件的报警,这表明IDSIDS的错误报警,太多的误警的错误报警,太多的误警可能导致正常的报警事件被淹没。可能导致正常的报警事件被淹没。漏警漏警(False Negative)(False Negative):也称漏报,当一个攻击事件已也称漏报,当一个攻击事件已经发生,而入侵检测系统
34、却没有有效地检测出来,如果漏警经发生,而入侵检测系统却没有有效地检测出来,如果漏警太多,或者关键入侵事件的漏报就使入侵检测系统失去了其太多,或者关键入侵事件的漏报就使入侵检测系统失去了其存在意义;存在意义;2023-1-8358.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)噪声噪声(Noise)(Noise):指入侵检测系统生成但又没有真正威胁的报指入侵检测系统生成但又没有真正威胁的报警,这些报警是正确的,并且也是可疑的,如配置于防火警,这些报警是正确的,并且也是可疑的,如配置于防火墙之外的入侵检测系统检测到的扫描事件,可能被防火墙墙之外的入侵检测系统检测到的扫描事件,可能被防火墙
35、过滤而没有产生扫描攻击,但是入侵检测系统却检测到并过滤而没有产生扫描攻击,但是入侵检测系统却检测到并产生报警。产生报警。重复报警重复报警(Repetitive Alarm)(Repetitive Alarm):指入侵检测系统对某一入指入侵检测系统对某一入侵事件的反复报警,重复报警并不表示入侵检测系统的错侵事件的反复报警,重复报警并不表示入侵检测系统的错误行为,太多的重复报警也可能使网络管理员产生视觉疲误行为,太多的重复报警也可能使网络管理员产生视觉疲劳,影响对其他攻击产生适当响应,另外与其他安全技术劳,影响对其他攻击产生适当响应,另外与其他安全技术协同工作也可能产生严重问题,过多的重复报警可能
36、会产协同工作也可能产生严重问题,过多的重复报警可能会产生拒绝服务。生拒绝服务。入侵检测系统的性能指标2023-1-836入侵检测系统的性能指标入侵检测系统的性能指标2 2、准确性指标准确性指标在很大程度上取决于测试时采用的样本集和测试环境。包括:在很大程度上取决于测试时采用的样本集和测试环境。包括:检测率检测率(%)(%):指被监控系统在受到入侵攻击时,检测系统能:指被监控系统在受到入侵攻击时,检测系统能够正确报警的概率。通常利用已知入侵攻击的实验数据够正确报警的概率。通常利用已知入侵攻击的实验数据集合来测试系统的检测率。其值为:检测到的攻击数集合来测试系统的检测率。其值为:检测到的攻击数/攻
37、击事件总数;攻击事件总数;误警率误警率(%)(%):是指把那些正确事件误报为攻击以及把一种攻:是指把那些正确事件误报为攻击以及把一种攻击行为误报为另一种攻击的概率,其值为:击行为误报为另一种攻击的概率,其值为:1 1(正确的正确的告警数告警数/总的告警数总的告警数);漏警率漏警率(%)(%):已经攻击而没有检测出来的攻击占所有攻击的:已经攻击而没有检测出来的攻击占所有攻击的概率,通常利用已知入侵攻击的实验数据集合来测试系概率,通常利用已知入侵攻击的实验数据集合来测试系统的漏报率。其值为统的漏报率。其值为(攻击事件检测到的攻击数攻击事件检测到的攻击数)/)/攻攻击事件总数;击事件总数;重复报警率
38、重复报警率(%)(%):重复报警占所有报警的比率,其值为重复:重复报警占所有报警的比率,其值为重复报警数报警数/总的报警数。总的报警数。8.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)2023-1-837入侵检测系统的性能指标入侵检测系统的性能指标3 3、效率指标效率指标 根据用户系统的实际需求,根据用户系统的实际需求,以保证入侵检测准确以保证入侵检测准确性的前提下,提高入侵检测系统的最大处理能力性的前提下,提高入侵检测系统的最大处理能力。效。效率指标也取决于不同的设备级别,如百兆网络环境下率指标也取决于不同的设备级别,如百兆网络环境下和千兆网络环境下入侵检测系统的效率指标一定有很
39、和千兆网络环境下入侵检测系统的效率指标一定有很大差别。效率指标主要包括:大差别。效率指标主要包括:最大处理能力、每秒能最大处理能力、每秒能监控的网络连接数、每秒能够处理的事件数等监控的网络连接数、每秒能够处理的事件数等。8.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)2023-1-838入侵检测系统的性能指标入侵检测系统的性能指标n最大处理能力最大处理能力:指网络入侵检测系统在维持其正常检测率的情况指网络入侵检测系统在维持其正常检测率的情况下,系统低于其漏警指标的最大网络流量。下,系统低于其漏警指标的最大网络流量。目的是验目的是验证系统在维持正常检测的情况下能够正常报警的最大证系统
40、在维持正常检测的情况下能够正常报警的最大流量。流量。以每秒数据流量(以每秒数据流量(MbpsMbps或或GbpsGbps)来表示。取决)来表示。取决于三个因素,其一是入侵检测系统抓包能力,其二是于三个因素,其一是入侵检测系统抓包能力,其二是分析引擎的分析能力,最后还与数据包的大小有直接分析引擎的分析能力,最后还与数据包的大小有直接关系,相同流量下,网络数据包越小,数据包越多,关系,相同流量下,网络数据包越小,数据包越多,处理能力越差。处理能力越差。8.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)2023-1-839入侵检测系统的性能指标入侵检测系统的性能指标n每秒能监控的网络连接数
41、每秒能监控的网络连接数:网络入侵检测系统不仅要:网络入侵检测系统不仅要对单个的数据包作检测,对单个的数据包作检测,还要将相同网络连接的数据还要将相同网络连接的数据包组合起来作分析包组合起来作分析。网络连接的跟踪能力和数据包重网络连接的跟踪能力和数据包重组能力是网络入侵检测系统进行协议分析、应用层入组能力是网络入侵检测系统进行协议分析、应用层入侵分析的基础侵分析的基础。例如:检测利用。例如:检测利用HTTPHTTP协议的攻击、敏协议的攻击、敏感内容检测、邮件检测、感内容检测、邮件检测、TelnetTelnet会话的记录与回放、会话的记录与回放、硬盘共享的监控等。硬盘共享的监控等。n每秒能够处理的
42、事件数每秒能够处理的事件数:网络入侵检测系统检测到网:网络入侵检测系统检测到网络攻击和可疑事件后,会生成安全事件或称报警事件,络攻击和可疑事件后,会生成安全事件或称报警事件,并将事件记录在事件日志中。每秒能够处理的事件数,并将事件记录在事件日志中。每秒能够处理的事件数,反映了检测分析引擎的处理能力和事件日志记录的后反映了检测分析引擎的处理能力和事件日志记录的后端处理能力。端处理能力。8.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)2023-1-840入侵检测系统的性能指标入侵检测系统的性能指标n系统指标系统指标 系统指标主要表示系统本身运行的稳定性和使用系统指标主要表示系统本身运行
43、的稳定性和使用的方便性。系统指标主要包括:最大规则数、平均的方便性。系统指标主要包括:最大规则数、平均无故障间隔等。无故障间隔等。最大规则数最大规则数:系统允许配置的入侵检测规则条目:系统允许配置的入侵检测规则条目的最大数目。的最大数目。平均无故障间隔平均无故障间隔:系统无故障连续工作的时间。:系统无故障连续工作的时间。8.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)2023-1-841入侵检测系统的性能指标入侵检测系统的性能指标n其它指标其它指标系统结构:系统结构:完备的完备的IDSIDS应能采用分级、远距离分式式部署和管理。应能采用分级、远距离分式式部署和管理。8.38.3入侵
44、检测的相关技术(续)入侵检测的相关技术(续)2023-1-8428.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)事件数量:事件数量:考察考察IDSIDS系统的一个关键性指标是报警事件的系统的一个关键性指标是报警事件的多少。一般而言,事件越多,表明多少。一般而言,事件越多,表明IDSIDS系统能够处理的能系统能够处理的能力越强。力越强。处理带宽处理带宽 :IDSIDS的处理带宽,即的处理带宽,即IDSIDS能够处理的网络流量,能够处理的网络流量,是是IDSIDS的一个重要性能。目前的网络的一个重要性能。目前的网络IDSIDS系统一般能够处系统一般能够处理理202030M30M网络流量
45、,经过专门定制的系统可以勉强处理网络流量,经过专门定制的系统可以勉强处理404060M60M的流量。的流量。入侵检测系统的性能指标2023-1-8438.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)入侵检测系统的性能指标探测引擎与控制中心的通信:探测引擎与控制中心的通信:作为分布式结构的作为分布式结构的IDSIDS系统,系统,通信是其自身安全的关键因素。通信是其自身安全的关键因素。通信安全通过身份认证通信安全通过身份认证和数据加密两种方法来实现和数据加密两种方法来实现。身份认证是要保证一个引擎,或者子控制中心只能身份认证是要保证一个引擎,或者子控制中心只能由固定的上级进行控制,任何
46、非法的控制行为将予以阻由固定的上级进行控制,任何非法的控制行为将予以阻止。止。身份认证采用非对称加密算法,通过拥有对方的公身份认证采用非对称加密算法,通过拥有对方的公钥,进行加密、解密完成身份认证钥,进行加密、解密完成身份认证。2023-1-8448.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)入侵检测系统的性能指标事件定义:事件定义:事件的可定义性或可定义事件是事件的可定义性或可定义事件是IDSIDS的一个主要的一个主要特性。特性。二次事件:二次事件:对事件进行实时统计分析,并产生新的高级事对事件进行实时统计分析,并产生新的高级事件能力。件能力。事件响应:事件响应:通过事件上报、
47、事件日志、通过事件上报、事件日志、EmailEmail通知、手机短通知、手机短信息、语音报警等方式进行响应,也可通过信息、语音报警等方式进行响应,也可通过TCPTCP阻断、防火阻断、防火墙联动等方式主动响应。墙联动等方式主动响应。2023-1-8458.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)入侵检测系统的性能指标自身安全:自身安全:自身安全指的是自身安全指的是探测引擎的安全性探测引擎的安全性。要有良。要有良好的隐蔽性,一般使用定制的操作系统。好的隐蔽性,一般使用定制的操作系统。终端安全终端安全 :主要指控制中心的安全性。有多个用户、多主要指控制中心的安全性。有多个用户、多个级
48、别的控制中心,不同的用户应该有不同的权限,保个级别的控制中心,不同的用户应该有不同的权限,保证控制中心的安全性。证控制中心的安全性。2023-1-8468.38.3入侵检测的相关技术(续)入侵检测的相关技术(续)入侵检测系统面临的主要问题 入侵检测系统作为一种新型网络安全防护手段,发挥入侵检测系统作为一种新型网络安全防护手段,发挥很大作用,但是与诸如防火墙等技术高度成熟的产品相比,很大作用,但是与诸如防火墙等技术高度成熟的产品相比,入侵检测系统还存在相当多的问题:入侵检测系统还存在相当多的问题:1 1、层出不穷的入侵手段、层出不穷的入侵手段2 2、越来越多的信息采用加密的方法传输、越来越多的信
49、息采用加密的方法传输3 3、不断增大的网络流量、不断增大的网络流量4 4、缺乏标准、缺乏标准5 5、误报率过高、误报率过高2023-1-8478.4 8.4 入侵检测系统入侵检测系统SnortSnort8.4.1 Snort概述概述 nSnortSnort是一个功能强大、跨平台、轻量级的网络入侵检是一个功能强大、跨平台、轻量级的网络入侵检测系统,从入侵检测分类上来看,测系统,从入侵检测分类上来看,SnortSnort应该是个基于应该是个基于网络和误用的入侵检测软件。它可以运行在网络和误用的入侵检测软件。它可以运行在LinuxLinux、OpenBSDOpenBSD、FreeBSDFreeBSD
50、、SolarisSolaris、以及其它、以及其它Unix Unix 系统、系统、WindowsWindows等操作系统之上。等操作系统之上。SnortSnort是一个用是一个用C C语言编写的语言编写的开放源代码软件,符合开放源代码软件,符合GPL(GNUGPL(GNU通用公共许可证通用公共许可证 GNU GNU General Public License)General Public License)的要求,由于其是开源且免的要求,由于其是开源且免费的,许多研究和使用入侵检测系统都是从费的,许多研究和使用入侵检测系统都是从SnortSnort开始,开始,因而因而SnortSnort在入侵
