1、nIntrusion:Attempting to break into or misuse your system.nIntruders may be from outside the network or legitimate users of the network.nIntrusion can be a physical,system or remote intrusion.n入侵行为主要是指对系统资源的非授权使用,入侵行为主要是指对系统资源的非授权使用,它可以造成系统数据的丢失和破坏、可以造它可以造成系统数据的丢失和破坏、可以造成系统拒绝对合法用户服务等危害。成系统拒绝对合法用户服务等
2、危害。n传统的信息安全方法采用严格的访问控制和数传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策据加密策略来防护,但在复杂系统中,这些策略是不充分的。它们是系统安全不可缺的部分略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全但不能完全保证系统的安全n入侵检测(入侵检测(Intrusion Detection)是对入侵行)是对入侵行为的发觉。它通过从计算机网络或计算机系统为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击或系统中是否有违反安
3、全策略的行为和被攻击的迹象的迹象nIDS(Intrusion Detection System)就是入侵检测系统,它通过抓取网络上的就是入侵检测系统,它通过抓取网络上的所有报文,分析处理后,报告异常和重要所有报文,分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管理的数据模式和行为模式,使网络安全管理员清楚地了解网络上发生的事件,并能够员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏。采取行动阻止可能的破坏。监控室监控室=控制中控制中心心后门后门保安保安=防火墙防火墙摄像机摄像机=探测引探测引擎擎形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它形象地说,它
4、就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是还是X X光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断连接、关闭道路(与防火墙联动)。连接、关闭道路(与防火墙联动)。Firewall FirewallServersDMZDMZIDS AgentI
5、ntranetIntranet监控中心监控中心router攻击者攻击者发现攻击发现攻击发现攻击发现攻击发现发现攻击攻击报警报警报警报警IDS Agent 访问访问控制控制 认证认证 NAT 加密加密 防病毒、内容防病毒、内容过滤过滤 流量管理流量管理两个安全域两个安全域之间通信流之间通信流的唯一通道的唯一通道安全域安全域1Host A Host B 安全域安全域2Host C Host D 根据访问控制根据访问控制规则决定进出规则决定进出网络的行为网络的行为%c1%1c%c1%1cDir c:时间n在安全体系中,在安全体系中,IDSIDS是唯一一个通过数据是唯一一个通过数据和行为模式判断其是否
6、有效的系统,防火和行为模式判断其是否有效的系统,防火墙就象一道门,它可以阻止一类人群的进墙就象一道门,它可以阻止一类人群的进入,但无法阻止同一类人群中的破坏分子,入,但无法阻止同一类人群中的破坏分子,也不能阻止内部的破坏分子;访问控制系也不能阻止内部的破坏分子;访问控制系统可以不让低级权限的人做越权工作,但统可以不让低级权限的人做越权工作,但无法保证高级权限的做破坏工作,也无法无法保证高级权限的做破坏工作,也无法保证低级权限的人通过非法行为获得高级保证低级权限的人通过非法行为获得高级权限权限 n19801980年年 AndersonAnderson提出:入侵检测概念,提出:入侵检测概念,分类方
7、法分类方法n19871987年年 DenningDenning提出了一种通用的入侵提出了一种通用的入侵检测模型检测模型n独立性独立性 :系统、环境、脆弱性、入侵种:系统、环境、脆弱性、入侵种类类 n系统框架:异常检测器,专家系统系统框架:异常检测器,专家系统 n9090年初:年初:CMDSCMDS、NetProwlerNetProwler、NetRangerNetRanger、ISS RealSecureISS RealSecureIDS引擎引擎IDS控制中心控制中心事件上报事件上报控制和策略下发控制和策略下发n提供报警显示提供报警显示n提供对预警信息的记录和检索、统计功能提供对预警信息的记录
8、和检索、统计功能n制定入侵监测的策略;制定入侵监测的策略;n控制探测器系统的运行状态控制探测器系统的运行状态n收集来自多台引擎的上报事件,综合进行事件分析,收集来自多台引擎的上报事件,综合进行事件分析,以多种方式对入侵事件作出快速响应。以多种方式对入侵事件作出快速响应。n这种分布式结构有助于系统管理员的集中管理,全面这种分布式结构有助于系统管理员的集中管理,全面搜集多台探测引擎的信息,进行入侵行为的分析。搜集多台探测引擎的信息,进行入侵行为的分析。n单机结构单机结构 :引擎和控制中心在一个系统之上,不能远距:引擎和控制中心在一个系统之上,不能远距离操作,只能在现场进行操作。离操作,只能在现场进
9、行操作。n优点是结构简单,不会因为通讯而影响网络带宽和泄密。优点是结构简单,不会因为通讯而影响网络带宽和泄密。n分布式结构就是引擎和控制中心在分布式结构就是引擎和控制中心在2 2个系统之上,通过网个系统之上,通过网络通讯,可以远距离查看和操作。目前的大多数络通讯,可以远距离查看和操作。目前的大多数IDSIDS系统系统都是分布式的。都是分布式的。n优点不是必需在现场操作,可以用一个控制中心控制多优点不是必需在现场操作,可以用一个控制中心控制多个引擎,可以统一进行策略编辑和下发,可以统一查看个引擎,可以统一进行策略编辑和下发,可以统一查看申报的事件,可以通过分开事件显示和查看的功能提高申报的事件,
10、可以通过分开事件显示和查看的功能提高处理速度等等。处理速度等等。l系统结构系统结构l事件数量事件数量 l处理带宽处理带宽 l定义事件定义事件 l事件响应事件响应 l自身安全自身安全 l多级管理多级管理l事件库更新事件库更新 l友好界面友好界面 l日志分析日志分析 l资源占用率资源占用率 l抗打击能力抗打击能力 n所谓日志分析,就是按照事件的各种属性、源、所谓日志分析,就是按照事件的各种属性、源、目的地址分布等信息进行统计分析、数据检索目的地址分布等信息进行统计分析、数据检索等操作,提供各种分析的图形、表格信息,使等操作,提供各种分析的图形、表格信息,使用户十分清楚地了解所发生地总体态势,并方用
11、户十分清楚地了解所发生地总体态势,并方便地查找出所需要地事件。便地查找出所需要地事件。nIDSIDS的事件按照类型一般分为的事件按照类型一般分为3 3大类:记录事件、大类:记录事件、可疑事件、非法事件。可疑事件、非法事件。n当当IDSIDS系统产生了一个事件后,不仅仅是报告显系统产生了一个事件后,不仅仅是报告显示该事件,还可以进行一系列操作对该事件进示该事件,还可以进行一系列操作对该事件进行实时处理。按照处理方法的不同,一般分为行实时处理。按照处理方法的不同,一般分为基本(被动)响应和积极(主动)响应基本(被动)响应和积极(主动)响应2 2种。种。基本响应是基本响应是IDS所产生的响应只是为了
12、更好地通知安全所产生的响应只是为了更好地通知安全人员,并不对该网络行为进行进行自动的阻断行为。人员,并不对该网络行为进行进行自动的阻断行为。基本响应主要由下面几种:基本响应主要由下面几种:n事件上报:事件上报:n事件日志:事件日志:nEmail通知:通知:n手机短信息:手机短信息:n呼机信息:呼机信息:nWindows消息:消息:通过通过IDS的事件积极响应,的事件积极响应,IDS系统可以直接阻止系统可以直接阻止网络非法行为,保障被保护系统的安全。网络非法行为,保障被保护系统的安全。n阻断:通过发送扰乱报文,阻断:通过发送扰乱报文,IDS系统破坏正常的系统破坏正常的网络连接,使非法行为无法继续
13、进行。网络连接,使非法行为无法继续进行。n源阻断:通过记忆网络非法行为的源源阻断:通过记忆网络非法行为的源IP地址,在地址,在一段时间内阻断所有该地址的网络连接,使网络一段时间内阻断所有该地址的网络连接,使网络非法行为在其行动的初期就被有效地组织。非法行为在其行动的初期就被有效地组织。n联动:通过防火墙的联动,联动:通过防火墙的联动,IDS系统可以彻底阻系统可以彻底阻止网络非法行为止网络非法行为 n考察考察IDS系统的一个关键性指标是报警系统的一个关键性指标是报警事件的多少。一般而言,事件越多,表事件的多少。一般而言,事件越多,表明明IDS系统能够处理的能力越强。一般系统能够处理的能力越强。一
14、般而言,这个数量在而言,这个数量在5001000之间,应之间,应该与流行系统的漏洞数目相关。该与流行系统的漏洞数目相关。n作为分布式结构的作为分布式结构的IDS系统,通讯是其系统,通讯是其自身安全的关键因素。这包含自身安全的关键因素。这包含2个部分:个部分:一是身份认证,一是数据加密。一是身份认证,一是数据加密。n身份认证是要保证一个引擎,或者子控身份认证是要保证一个引擎,或者子控制中心只能由固定的上级进行控制,任制中心只能由固定的上级进行控制,任何非法的控制行为将予以阻止,如下图何非法的控制行为将予以阻止,如下图所示:所示:探测引擎探测引擎控制中心控制中心探测引擎探测引擎控制中心控制中心非法
15、控制中非法控制中心心n基本(被动)响应基本(被动)响应n积极(主动)响应积极(主动)响应连接申请方连接申请方 被连接方被连接方 连接申请报文连接申请报文 连接确认报文连接确认报文 数据通讯报文数据通讯报文 通讯结束申请报文通讯结束申请报文 确认报文确认报文 发送确认和连接报文发送确认和连接报文 数据通讯报文数据通讯报文 确认报文确认报文 通讯结束申请报文通讯结束申请报文TCPTCP连接是经过连接是经过3 3次握手建立连接、次握手建立连接、4 4次握手中断连接而完成的次握手中断连接而完成的 IDSIDS设备设备开始报文开始报文 后续报文后续报文 防火墙防火墙监测网络报文监测网络报文设置命令设置命
16、令n隐蔽性:在作为一个安全的网络设备,隐蔽性:在作为一个安全的网络设备,IDS是不希望被网络上的其他系统发现,尤其不是不希望被网络上的其他系统发现,尤其不能让其他网络系统所访问。能让其他网络系统所访问。n关闭所有可能的端口关闭所有可能的端口、修改系统的设置,阻、修改系统的设置,阻止一切没有必要的网络行为止一切没有必要的网络行为、关闭所有网络、关闭所有网络行为,进行无行为,进行无IP地址抓地址抓 包。包。n定制操作系统定制操作系统 n分级管理的主要指标是管理层数目,至少具分级管理的主要指标是管理层数目,至少具有主控、子控有主控、子控2级控制中心级控制中心 n分级管理的另一个指标是各级系统的处理能
17、分级管理的另一个指标是各级系统的处理能力是否分档次力是否分档次 nIDS的一个主要特点,就是更新快,否则就的一个主要特点,就是更新快,否则就会失去作用。目前由于会失去作用。目前由于internet网络的发展,网络的发展,一个蠕虫病毒可能一天就流行与全世界因此一个蠕虫病毒可能一天就流行与全世界因此IDS事件的增加速度,必须能够跟上需要的事件的增加速度,必须能够跟上需要的发展发展 n好的好的IDS系统必须有能力抵抗黑客的恶意信息的系统必须有能力抵抗黑客的恶意信息的破坏破坏nIDS杀手:在短时间内发送大量的具有黑客特征杀手:在短时间内发送大量的具有黑客特征的报文信息,使一个报文至少产生的报文信息,使
18、一个报文至少产生1个以上的个以上的IDS事件,造成事件,造成IDS系统在系统在1秒内生成成百上千的事件,秒内生成成百上千的事件,最终最终“累死累死”IDS系统,同时掩护真正地黑客行系统,同时掩护真正地黑客行为。为。nIDS欺骗:目前地欺骗:目前地IDS系统主要使基于数据的模系统主要使基于数据的模式匹配,因此,不少黑客程序通过把黑客特征信式匹配,因此,不少黑客程序通过把黑客特征信息分开,改变形式等措施,使息分开,改变形式等措施,使IDS系统的数据匹系统的数据匹配失效,从而躲过配失效,从而躲过IDS的监控。如碎包的监控。如碎包 异常检测异常检测Below Threshold levelsExcee
19、d Threshold LevelsSystem AuditMetricsProfilerIntrusionNormal Activity异常检测模型异常检测模型(基于行为的检测)基于行为的检测)前提:入侵是异常活动的子集前提:入侵是异常活动的子集 用户轮廓用户轮廓(Profile):(Profile):通常定义为各种行为参数及其通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围阀值的集合,用于描述正常行为范围过程过程 监控监控 量化量化 比较比较 判定判定 修正修正指标指标:漏报漏报(false positivefalse positive),错报错报(false negativef
20、alse negative)异常检测异常检测activity measuresprobable intrusionRelatively high false positive rate-anomalies can just be new normal activities.0102030405060708090CPUProcess Sizenormal profileabnormalSystem AuditMetricsPattern MatcherIntrusionNormal ActivityNo Signature MatchSignature Match误用检测模型(基于知识的检测)误
21、用检测模型(基于知识的检测)误用检测误用检测前提:所有的入侵行为都有可被检测到的特征前提:所有的入侵行为都有可被检测到的特征 攻击特征库攻击特征库:当监测的用户或系统行为与库中的记录当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵相匹配时,系统就认为这种行为是入侵 过程过程 监控监控 特征提取特征提取 匹配匹配 判定判定 指标指标 错报低错报低 漏报高漏报高 误用检测误用检测Intrusion Patternsactivitiespattern matchingintrusionCant detect new attacksExample:if(src_ip=dst_ip)
22、then“land attack”n监视与分析主机的审计记录监视与分析主机的审计记录n可以不运行在监控主机上可以不运行在监控主机上n能否及时采集到审计记录?能否及时采集到审计记录?n如何保护作为攻击目标主机审计子系统?如何保护作为攻击目标主机审计子系统?基于主机基于主机n在共享网段上对通信数据进行侦听采集数据在共享网段上对通信数据进行侦听采集数据 n主机资源消耗少主机资源消耗少 n提供对网络通用的保护提供对网络通用的保护n如何适应高速网络环境?如何适应高速网络环境?n非共享网络上如何采集数据?非共享网络上如何采集数据?基于网络基于网络n当一个入侵正在发生或者试图发生时,当一个入侵正在发生或者试
23、图发生时,IDSIDS系统系统将发布一个将发布一个alertalert信息通知系统管理员信息通知系统管理员n如果控制台与如果控制台与IDSIDS系统同在一台机器,系统同在一台机器,alertalert信息信息将显示在监视器上,也可能伴随着声音提示将显示在监视器上,也可能伴随着声音提示n如果是远程控制台,那么如果是远程控制台,那么alertalert将通过将通过IDSIDS系统内系统内置方法(通常是加密的)、置方法(通常是加密的)、SNMPSNMP(简单网络管理(简单网络管理协议,通常不加密)、协议,通常不加密)、emailemail、SMSSMS(短信息)或(短信息)或者以上几种方法的混合方式
24、传递给管理员者以上几种方法的混合方式传递给管理员n当有某个事件与一个已知攻击的信号相匹配时,当有某个事件与一个已知攻击的信号相匹配时,多数多数IDS都会告警都会告警n一个基于一个基于anomaly(异常)的(异常)的IDS会构造一个会构造一个当时活动的主机或网络的大致轮廓,当有一个当时活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时,在这个轮廓以外的事件发生时,IDS就会告警就会告警n有些有些IDS厂商将此方法看做启发式功能,但一厂商将此方法看做启发式功能,但一个启发式的个启发式的IDS应该在其推理判断方面具有更应该在其推理判断方面具有更多的智能多的智能 n首先,可以通过重新配置
25、路由器和防火墙,拒绝那些来首先,可以通过重新配置路由器和防火墙,拒绝那些来自同一地址的信息流自同一地址的信息流;其次,通过在网络上发送其次,通过在网络上发送reset包包切断连接切断连接n但是这两种方式都有问题,攻击者可以反过来利用重新但是这两种方式都有问题,攻击者可以反过来利用重新配置的设备,其方法是:通过伪装成一个友方的地址来配置的设备,其方法是:通过伪装成一个友方的地址来发动攻击,然后发动攻击,然后IDS就会配置路由器和防火墙来拒绝这就会配置路由器和防火墙来拒绝这些地址,这样实际上就是对些地址,这样实际上就是对“自己人自己人”拒绝服务了拒绝服务了n发送发送reset包的方法要求有一个活动
26、的网络接口,这样它包的方法要求有一个活动的网络接口,这样它将置于攻击之下,一个补救的办法是:使活动网络接口将置于攻击之下,一个补救的办法是:使活动网络接口位于防火墙内,或者使用专门的发包程序,从而避开标位于防火墙内,或者使用专门的发包程序,从而避开标准准IP栈需求栈需求 nIDS的核心是攻击特征,它使的核心是攻击特征,它使IDS在事件发生时触发在事件发生时触发n特征信息过短会经常触发特征信息过短会经常触发IDS,导致误报或错报,过长,导致误报或错报,过长则会减慢则会减慢IDS的工作速度的工作速度n有人将有人将IDS所支持的特征数视为所支持的特征数视为IDS好坏的标准,但是好坏的标准,但是有的产
27、商用一个特征涵盖许多攻击,而有些产商则会将有的产商用一个特征涵盖许多攻击,而有些产商则会将这些特征单独列出,这就会给人一种印象,好像它包含这些特征单独列出,这就会给人一种印象,好像它包含了更多的特征,是更好的了更多的特征,是更好的IDSn默认状态下,默认状态下,IDS网络接口只能看到进出主机的信息,网络接口只能看到进出主机的信息,也就是所谓的也就是所谓的non-promiscuous(非混杂模式)(非混杂模式)n如果网络接口是混杂模式,就可以看到网段中所有的如果网络接口是混杂模式,就可以看到网段中所有的网络通信量,不管其来源或目的地网络通信量,不管其来源或目的地n这对于网络这对于网络IDS是必
28、要的,但同时可能被信息包嗅探是必要的,但同时可能被信息包嗅探器所利用来监控网络通信量器所利用来监控网络通信量n交换型交换型HUB可以解决这个问题,在能看到全面通信量可以解决这个问题,在能看到全面通信量的地方,会都许多跨越(的地方,会都许多跨越(span)端口)端口n试验模型(试验模型(Operational Model)n平均值和标准差模型(平均值和标准差模型(Mean and Standard Deviation Model):n多变量模型(多变量模型(Multivariate Model):多个随机变量的相关多个随机变量的相关性计算,性计算,n马尔可夫过程模型(马尔可夫过程模型(Marko
29、v Process Model):初始分布):初始分布和概率转移矩阵;预测新的事件的出现频率太低,则表明和概率转移矩阵;预测新的事件的出现频率太低,则表明出现异常情况。出现异常情况。n时序模型(时序模型(Time Series Model):该模型通过间隔计时器):该模型通过间隔计时器和资源计数器两种类型随机变量参数之间的相隔时间和它和资源计数器两种类型随机变量参数之间的相隔时间和它们的值来判断入侵们的值来判断入侵n统计异常检测统计异常检测n基于特征选择异常检测基于特征选择异常检测n基于贝叶斯推理异常检测基于贝叶斯推理异常检测n基于贝叶斯网络异常检测基于贝叶斯网络异常检测n基于模式预测异常检测
30、基于模式预测异常检测n基于神经网络异常检测基于神经网络异常检测n基于贝叶斯聚类异常检测基于贝叶斯聚类异常检测n基于机器学习异常检测基于机器学习异常检测n基于数据挖掘异常检测基于数据挖掘异常检测n操作密度操作密度n审计记录分布审计记录分布n范畴尺度范畴尺度n数值尺度数值尺度记录的具体操作包括:记录的具体操作包括:CPU CPU 的使用,的使用,I/O I/O 的使用,的使用,使用地点及时间,邮件使用,编辑器使用,编译器使用地点及时间,邮件使用,编辑器使用,编译器使用,所创建、删除、访问或改变的目录及文件,使用,所创建、删除、访问或改变的目录及文件,网络上活动等。网络上活动等。基本思想是用一系列信
31、息单元基本思想是用一系列信息单元(命令命令)训练神经单元,训练神经单元,这样在给定一组输入后,就可能预测出输出。当前这样在给定一组输入后,就可能预测出输出。当前命令和刚过去的命令和刚过去的w w个命令组成了网络的输入,其中个命令组成了网络的输入,其中w w是神经网络预测下一个命令时所包含的过去命令集是神经网络预测下一个命令时所包含的过去命令集的大小。根据用户的代表性命令序列训练网络后,的大小。根据用户的代表性命令序列训练网络后,该网络就形成了相应用户的特征表,于是网络对下该网络就形成了相应用户的特征表,于是网络对下一事件的预测错误率在一定程度上反映了用户行为一事件的预测错误率在一定程度上反映了
32、用户行为的异常程度。目前还不很成熟。的异常程度。目前还不很成熟。n基于条件概率误用检测基于条件概率误用检测n基于专家系统误用检测基于专家系统误用检测n基于状态迁移误用检测基于状态迁移误用检测n基于键盘监控误用检测基于键盘监控误用检测n基于模型误用检测基于模型误用检测模型推理是指结合攻击脚本推理出入侵行为模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描是否出现。其中有关攻击者行为的知识被描述为:攻击者目的,攻击者达到此目的的可述为:攻击者目的,攻击者达到此目的的可能行为步骤,以及对系统的特殊使用等。根能行为步骤,以及对系统的特殊使用等。根据这些知识建立攻击脚本库,每一
33、脚本都由据这些知识建立攻击脚本库,每一脚本都由一系列攻击行为组成。一系列攻击行为组成。状态状态迁移迁移法将入侵过程看作一个行为序列,这个行为序法将入侵过程看作一个行为序列,这个行为序列导致系统从初始状态转入被入侵状态。分析时首先针列导致系统从初始状态转入被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态,对每一种入侵方法确定系统的初始状态和被入侵状态,以及导致状态以及导致状态迁移迁移的转换条件,即导致系统进入被入侵的转换条件,即导致系统进入被入侵状态必须执行的操作状态必须执行的操作(特征事件特征事件)。然后用状态转换图来。然后用状态转换图来表示每一个状态和特征事件,这些事件
34、被集成于模型中,表示每一个状态和特征事件,这些事件被集成于模型中,所以检测时不需要一个个地查找审计记录。但是,状态所以检测时不需要一个个地查找审计记录。但是,状态转换是针对事件序列分析,所以不善于分析过分复杂的转换是针对事件序列分析,所以不善于分析过分复杂的事件,而且不能检测与系统状态无关的入侵。事件,而且不能检测与系统状态无关的入侵。n基于生物免疫检测基于生物免疫检测n基于伪装检测基于伪装检测活动活动数据源数据源感应器感应器分析器分析器管理器管理器操作员操作员管理员管理员事件事件警报警报通通告告应应急急安全策略安全策略安全策略安全策略攻击模式攻击模式库库入侵检测器入侵检测器应急措施应急措施配
35、置系统配置系统库库数据采集数据采集安全控制安全控制系统系统审计记录审计记录/协议数据等协议数据等系统操作系统操作目标系统目标系统审计记录收集方法审计记录收集方法审计记录预处理审计记录预处理异常检测异常检测误用检测误用检测安全管理员接口安全管理员接口审计记录数据审计记录数据归档归档/查询查询审计记录数据库审计记录数据库审计记录审计记录管理管理/配置配置入侵分析引擎器入侵分析引擎器网络安全数据库网络安全数据库嗅探器嗅探器嗅探器嗅探器分析结果分析结果数据采集构件数据采集构件应急处理构件应急处理构件通信传输构件通信传输构件检测分析构件检测分析构件管理构件管理构件安全知识库安全知识库基于网络的入侵检测系
36、统的主要优点有基于网络的入侵检测系统的主要优点有:(1 1)成本低。)成本低。(2 2)攻击者转移证据很困难。)攻击者转移证据很困难。(3 3)实时检测和应答。一旦发生恶意访问或攻击,基于网络的)实时检测和应答。一旦发生恶意访问或攻击,基于网络的IDSIDS检测可检测可以随时发现它们,因此能够更快地作出反应。从而将入侵活动对系统的破坏以随时发现它们,因此能够更快地作出反应。从而将入侵活动对系统的破坏减到最低。减到最低。(4 4)能够检测未成功的攻击企图。)能够检测未成功的攻击企图。(5 5)操作系统独立。基于网络的)操作系统独立。基于网络的IDSIDS并不依赖主机的操作系统作为检测资并不依赖主
37、机的操作系统作为检测资源。而基于主机的系统需要特定的操作系统才能发挥作用。源。而基于主机的系统需要特定的操作系统才能发挥作用。基于主机的基于主机的IDSIDS的主要优势有:的主要优势有:(1 1)非常适用于加密和交换环境。)非常适用于加密和交换环境。(2 2)实时的检测和应答。)实时的检测和应答。(3 3)不需要额外的硬件。)不需要额外的硬件。EthernetIPTCP模式匹配模式匹配EthernetIPTCP协议分析协议分析HTTPUnicodeXML 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.M.E.10 0157 3105 4000 800
38、6 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:.P.30 16d0 f6e5 0000 4745 5420 2f70 726f 64754745 5420 2f70 726f 6475 .GET/produ GET/produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765
39、732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1.60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1.70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept:70 4163 6365 7074 3a20
40、 2a2f 2a0d 0a52 6566 Accept:*/*.Ref.Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer:http:/www 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer:http:/www 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireles
41、s a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept-b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept-c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language:en-us.c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language:en-us.d0 0a4
42、1 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d :gzip,deflate.e0 3a20 677a 6970 2c20 6465 666c 6174 650d :gzip,deflate.f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent:Moz f0 0a55 7365
43、722d 4167 656e 743a 204d 6f7a .User-Agent:Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0(compat 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0(compat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible;MSIE 5.01;110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible;MSIE 5.01;120 2057 696e 64
44、6f 7773 204e 5420 352e 3029 Windows NT 5.0)120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0)130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host:www.amer 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host:www.amer 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 140 6974 6563 682e 636f 6d0d
45、0a43 6f6e 6e65 .Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction:Keep-Aliv 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction:Keep-Aliv 160 650d 0a0d 0a e.160 650d 0a0d 0a e.0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.M.E.10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df
46、62 322e 413a 9cf1 5018 .P.b2.A:.P.30 16d0 f6e5 0000 4745 5420 2f70 726f 6475 .GET/produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765686f 6d65 5f63 6f6c 6c61 6765 ges/home_collagehome_collage 60 322e 6a70 6720322e 6a70 6720 4854 5450 2f31 2e31
47、 0d0a 2.jpg2.jpg HTTP/1.1.70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept:*/*.Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer:http:/www 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Acce
48、pt-c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language:en-us.d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d :gzip,deflate.f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent:Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0(compat 110
49、 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible;MSIE 5.01;120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0)130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host:www.amer 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction:Keep-Aliv 160 650d 0a0d 0
50、a e.n压制调速压制调速 n撤消连接撤消连接 n回避回避 n隔离隔离 nSYN/ACKnRESETsn一个高级的网络节点在使用一个高级的网络节点在使用“压制调速压制调速”技术的情况下,可以采用路由器把攻击技术的情况下,可以采用路由器把攻击者引导到一个经过特殊装备的系统上,者引导到一个经过特殊装备的系统上,这种系统被成为蜜罐这种系统被成为蜜罐n蜜罐是一种欺骗手段,它可以用于错误蜜罐是一种欺骗手段,它可以用于错误地诱导攻击者,也可以用于收集攻击信地诱导攻击者,也可以用于收集攻击信息,以改进防御能力息,以改进防御能力n蜜罐能采集的信息量由自身能提供的手蜜罐能采集的信息量由自身能提供的手段以及攻击行
