1、入侵检测概述1第1章 入侵检测概述曹元大主编,人民邮电出版社,2007年入侵检测概述2第1章 入侵检测概述概述:q网络安全基本概念q入侵检测的产生与发展q入侵检测的基本概念入侵检测概述3黑客入侵事件q(1)WANK蠕虫蠕虫 1989年年10月月:WANK(Worms Against Nuclear Killers)蠕虫入侵NASA(美国宇航局)可能就是历史上有记载的第一次系统入侵。某个家伙为了抗议钚驱动的伽利略探测器的发射而入侵了NASA系 统,造成了50万美金的损失。q(2)国防部卫星入侵国防部卫星入侵 1999年年2月月:一小撮犯罪分子有组织、有预谋地黑掉了美国国防部“天网”军用卫星导致军
2、事通讯中断,他们直接端掉了该卫星的控制系统,把主控程序搞乱了。入侵检测概述4q(3)信用卡信息失窃信用卡信息失窃 2000年年1月月:昵称Maxim的黑客侵入CDU购物网站并窃取了30万份信用卡资料。q(4)军用源代码泄露军用源代码泄露 2000年年12月月:入侵了开发军方软件的隶属于美国海军的Exigent系统,拿到了导弹和卫星导航软件2/3的源代码。q(5)微软数字版权保护被破解微软数字版权保护被破解 2001年年10月月:Beale Screamer搞了个FreeMe程序来破解受Windows Media DRM保护的电影和音乐付费内容。入侵检测概述5q(6)总统竞选也疯狂总统竞选也疯狂
3、 2003年年10月月:2003年秋,一个黑客为了帮助美国参议员丹尼斯库契尼奇竞选总统,黑了CBSN主页,打上了标语来做竞选广告,点击后转到一个30分钟的录像。q(7)MBA录取系统破解录取系统破解 2006年年3月月:有 个黑客破了这套系统并在BusinessWeek的论坛上公布了侵入方法,无数申请人利用这个方法入侵大学系统查看自己的申请状态,包括哈佛和斯坦福大学 在内的很多名校也未能幸免。入侵检测概述6q(8)2万网站被黑万网站被黑 2007年冬年冬:又有一黑客控制了26000个网站,他们让访问者在不知情的情况下被转到含有恶意代码的网站,由微软和NBC合资的便是其中最大的一个“肉鸡”。q(
4、9)Comcast被黑被黑 2008年年5月月:Comcast相当于美国的网通,为数千万美国 客户提供互联网接入服务。一个叫Kryogeniks的黑客组织黑掉了的域名注册商Network Solutions(NTSL是美国一个大型域名服务商,包括微软和IBM在内很多大公司域名均由其管理)并篡改了域名DNS记录,那些打开的访问者被转到该黑客组织的网站。入侵检测概述7中行网银频出惊魂300秒 客户百万瞬间被洗劫 q近一个月内众多中行网银客户先后经历“惊魂300秒”,账户内资金瞬间被钓鱼网站洗劫一空。中国互联网信息举报中心监测数据显示,近期网银盗窃侵财型案件举报甚多,特别是假冒中国银行网站大幅增加,
5、数量已多达近70个。针对中行网银的高智能诈骗案呈高发态势,并以惊人速度向全国蔓延。q南京的一位先生突然收到一条手机短信:“尊敬的网银用户,你的中行E令将于次日过期,请尽快进行升级,给您带来不便请谅解,详询95566(中国银行)。”他随即利用电脑,根据短信提示的内容登录短信内的“中国银行”的网址,并未发现异常,便根据网页提示,输入自己的用户名、密码以及随机产生的中行E令(动态口令)等信息,在页面显示升级成功。他在退出页面后猛然发觉不对,再次登录时,发现自己账户内的100万元已经被全部转走。入侵检测概述8q据不完全统计,仅1月10日-20日之间,江苏省此类案件就发生上百起,浙江省也有近50起,涉案
6、总金额巨大。据金山网络云安全中心统计数据显示,近期已有超过5万名用户访问过中国银行的仿冒网站。q据了解,上述案件中犯罪分子的作案手法如出一辙。受害人均收到陌生手机号码发送的短信,提示其银行网银动态口令将于次日过期,让其尽快登入中国银行网站进行升级。一旦事主登录短信内留下的网站,所输入的网银用户名、密码、动态口令等就会被“钓鱼”程序窃取,其网银账户内款项在几分钟内被迅速转走。入侵检测概述9网络安全的实质q保障系统中的人、设备、设施、软件、数据以及各种供给品等要素避免各种偶然的或人为的破坏或攻击,使它们发挥正常,保障系统能安全可靠地工作。q为了提高网络安全性,需要从多个层次和环节入手,分别分析应用
7、系统、宿主机、操作系统、数据库管理系统、网络管理系统、子网、分布式计算机系统和全网中的弱点,采取措施加以防范。入侵检测概述10已知的网络安全系统已知的网络安全系统(防火墙、安全评估系统、加密、身防火墙、安全评估系统、加密、身份认证份认证)众多,为什么还要入侵检测系统?众多,为什么还要入侵检测系统?关于防火墙m网络边界的设备m自身可以被攻破m对某些攻击保护很弱m不是所有的威胁来自防火墙外部 入侵很容易m入侵教程随处可见m各种工具唾手可得入侵检测概述11不安全的防火墙设计不安全的防火墙设计InternetRouterFirewallInternetModem防火墙路由器内部网络ISPModemCo
8、mputerComputerComputerMinicomputer入侵检测概述12防火墙的局限性防火墙的局限性 防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范建立不安全的网络连接所遭受的攻击。防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。入侵检测概述13入侵检测的定义入侵检测的定义q对系统的运行状态进行监视,发现各种攻击企对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性的机密性、完整性和可用性q进行入侵检测的软件与硬件
9、的组合便是入侵检进行入侵检测的软件与硬件的组合便是入侵检测系统测系统qIDS:Intrusion Detection System 入侵检测概述14网络安全工具的特点网络安全工具的特点优点优点局限性局限性防火墙防火墙可简化网络管理,产品成熟可简化网络管理,产品成熟无法处理网络内部的攻击无法处理网络内部的攻击IDS实时监控网络安全状态实时监控网络安全状态误报警,缓慢攻击,新的攻误报警,缓慢攻击,新的攻击模式击模式Scanner简单可操作,帮助系统管理员简单可操作,帮助系统管理员和安全服务人员解决实际问题和安全服务人员解决实际问题并不能真正扫描漏洞并不能真正扫描漏洞VPN保护公网上的内部通信保护公
10、网上的内部通信可视为防火墙上的一个漏洞可视为防火墙上的一个漏洞防病毒防病毒针对文件与邮件,产品成熟针对文件与邮件,产品成熟功能单一功能单一入侵检测概述15网络系统的安全对策与入侵检测q近年来,尽管对计算机安全的研究取得了很大进展,但安全计算机系统的实现和维护仍然非常困难,因为我们无法确保系统的安全性达到某一确定的安全级别。q入侵检测是最近10余年发展起来的一种动态的监控、预防或抵御系统入侵行为的安全机制。主要通过监控网络、系统的状态、行为以及系统的使用情况,来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。入侵检测概述16入侵检测的早期研究q1980年,Jam
11、es Anderson在技术报告中指出,审计记录可以用于识别计算机误用。他提出了入侵尝试入侵尝试(intrusion attemptintrusion attempt)或威胁(或威胁(threatthreat)的概念,并的概念,并将其定义为:潜在、有预谋的未经授权访问信息、操作将其定义为:潜在、有预谋的未经授权访问信息、操作信息,致使系统不可靠或无法使用的企图。信息,致使系统不可靠或无法使用的企图。q1983年,SRI用统计方法分析IBM大型机的SMF记录。q总的来说,由于80年代初期网络还没有今天这样普遍和复杂,网络之间也没有完全连通,因此关于入侵检测的研究主要是基于主机的事件日志分析。而且
12、由于入侵行为在当时是相当少见的,因此入侵检测在早期并没有受到人们的重视。入侵检测概述17网络安全的P2DR模型与入侵检测qPolicy(安全策略):描述了哪些资源要得到保护,以及如何实现对它们的保护等,是模型的核心。qProtection(防护):通过修复系统漏洞正确设计开发和安装系统来预防安全事件的发生,通过定期检查来发现可能存在的系统脆弱性;通过教育等手段使用户和操作员正确使用系统,防止以外威胁。通过访问控制、监视等手段来防止恶意威胁。Detection(检测):通过不断的检测和监控网络和系统来发现新的威胁和弱点,通过循环反馈来及时作出有效的响应。Response(响应):解决紧急响应和异
13、常处理问题。入侵检测概述18几个时间值q攻击时间(Pt):表示从入侵开始到侵入系统的时间。它衡量了入侵能力和系统脆弱性。q检测时间(Dt):包括发现系统的安全隐患和潜在攻击检测的时间。q响应时间(Rt):包括检测到系统漏洞或监测到非法攻击到系统启动处理措施的时间。q系统暴露时间(Et):指系统处于不安全状况的时间,可以定义为Et=Dt+Rt-Pt.qP2DR模型可以得出一个结论:安全的目标实际上就是尽可能地增大保护时间,尽量减少检测时间和响应 时间。入侵检测概述19入侵检测的实现方式入侵检测的实现方式 入侵检测系统根据数据包来源的不同,采用不用的实入侵检测系统根据数据包来源的不同,采用不用的实
14、现方式,一般地可分为网络型、主机型,也可是这两种类现方式,一般地可分为网络型、主机型,也可是这两种类型的混合应用。型的混合应用。基于网络的入侵检测系统(基于网络的入侵检测系统(NIDSNIDS)基于主机的入侵检测系统(基于主机的入侵检测系统(HIDSHIDS)混合型入侵检测系统(混合型入侵检测系统(Hybrid IDSHybrid IDS)入侵检测概述20主机主机IDS 运行于被检测的主机之上,通过查询、监听当前系统运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理。修改的
15、事件,进行上报和处理。安装于被保护的主机中安装于被保护的主机中 主要分析主机内部活动主要分析主机内部活动 占用一定的系统资源占用一定的系统资源入侵检测概述21主机主机IDS优势优势(1)精确地判断攻击行为是否成功。精确地判断攻击行为是否成功。(2)监控主机上特定用户活动、系统运行情况监控主机上特定用户活动、系统运行情况(3)HIDS能够检测到能够检测到NIDS无法检测的攻击无法检测的攻击(4)HIDS适用加密的和交换的环境。适用加密的和交换的环境。(5)不需要额外的硬件设备。不需要额外的硬件设备。入侵检测概述22主机主机IDS的劣势的劣势(1)HIDS对被保护主机的影响。对被保护主机的影响。(
16、2)HIDS的安全性受到宿主操作系统的限制。的安全性受到宿主操作系统的限制。(3)HIDS的数据源受到审计系统限制。的数据源受到审计系统限制。(4)被木马化的系统内核能够骗过被木马化的系统内核能够骗过HIDS。(5)维护维护/升级不方便。升级不方便。入侵检测概述23主机IDS研究q1986年,SRI的Dorothy E.Denning首次将入侵检测的概念作为一种计算机系统安全防御措施提出,并且建立了一个独立于系统、程序应用环境和系统脆弱性的通用入侵检测系统模型。q1988年,SRI开始开发IDES(Intrusion Detection Expert System)原型系统,它是一个实时入侵检
17、测系统。q从1992年到1995年,SRI加强优化IDES,在以太网的环境下实现了产品化的NIDES。q1988年,Los Alamos国家实验室的Tracor Applied Sciences和Haystack Laboratories采用异常检测和基于Signature的检测,开发了Haystack系统。q1989年,Los Alamos国家实验室的Hank Vaccaro为NCSC和DOE开发了W&S系统。q1989年,PRC公司开发了ISOA。入侵检测概述24网络网络IDS 网络网络IDSIDS是网络上的一个监听设备是网络上的一个监听设备(或一个专用主机或一个专用主机),通过监听网络上
18、的所有报文,根据协议进行分析,并报告通过监听网络上的所有报文,根据协议进行分析,并报告网络中的非法使用者信息。网络中的非法使用者信息。安装在被保护的网段(通常是共享网络,交换环境中交安装在被保护的网段(通常是共享网络,交换环境中交换机需支持端口映射)中换机需支持端口映射)中混杂模式监听混杂模式监听分析网段中所有的数据包分析网段中所有的数据包实时检测和响应实时检测和响应入侵检测概述25网络网络IDSIDS工作模型工作模型 入侵检测概述26网络网络IDS优势优势(1)实时分析网络数据,检测网络系统的非法行为;实时分析网络数据,检测网络系统的非法行为;(2)网络网络IDS系统单独架设,不占用其它计算
19、机系统的任何资系统单独架设,不占用其它计算机系统的任何资源;源;(3)网络网络IDS系统是一个独立的网络设备,可以做到对黑客透系统是一个独立的网络设备,可以做到对黑客透明,因此其本身的安全性高;明,因此其本身的安全性高;(4)它既可以用于实时监测系统,也是记录审计系统,可以做它既可以用于实时监测系统,也是记录审计系统,可以做到实时保护,事后分析取证;到实时保护,事后分析取证;(5)通过与防火墙的联动,不但可以对攻击预警,还可以更有通过与防火墙的联动,不但可以对攻击预警,还可以更有效地阻止非法入侵和破坏。效地阻止非法入侵和破坏。(6)不会增加网络中主机的负担。不会增加网络中主机的负担。入侵检测概
20、述27网络网络IDS的劣势的劣势(1)不适合交换环境和高速环境不适合交换环境和高速环境(2)不能处理加密数据不能处理加密数据(3)资源及处理能力局限资源及处理能力局限(4)系统相关的脆弱性系统相关的脆弱性入侵检测概述28两种实现方式的比较两种实现方式的比较 1)1)如果攻击不经过网络基于网络的如果攻击不经过网络基于网络的IDSIDS无法检测到只能无法检测到只能通过使用基于主机的通过使用基于主机的IDSIDS来检测;来检测;2)2)基于网络的基于网络的IDSIDS通过检查所有的包头来进行检测,而通过检查所有的包头来进行检测,而基于主机的基于主机的IDSIDS并不查看包头。主机并不查看包头。主机I
21、DSIDS往往不能识别基于往往不能识别基于IPIP的拒绝服务攻击和碎片攻击;的拒绝服务攻击和碎片攻击;3)3)基于网络的基于网络的IDSIDS可以研究数据包的内容,查找特定攻可以研究数据包的内容,查找特定攻击中使用的命令或语法,这类攻击可以被实时检查包序列击中使用的命令或语法,这类攻击可以被实时检查包序列的的IDSIDS迅速识别;而基于主机的系统无法看到负载,因此也迅速识别;而基于主机的系统无法看到负载,因此也无法识别嵌入式的数据包攻击。无法识别嵌入式的数据包攻击。入侵检测概述29网络IDS研究q1990年出现的NSM(Network Security Monitor,网络安全监视器),是UC
22、D(Carlifornia大学的Davis分校)设计的面向局域网的IDS。q1994年,美国空军密码支持中心的一群研究人员创建了一个健壮的网络入侵检测系统ASIM。q1996年,UCD(Carlifornia大学的Davis分校)的Computer Security实验室,以开发广域网上的入侵检测系统为目的,开发了GrIDS。q1997年,Cisco公司兼并了Wheelgroup,并开始将网络入侵检测整合到Cisco路由器中。q从1996年到1999年,SRI开始EMERALD的研究,它是NIDES的后继者。入侵检测概述30主机和网络IDS的集成q分布式入侵检测系统(DIDS)最早试图把基于主
23、机的方法和网络监视方法集成在一起。qDIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。DIDS主管安全管理员用户界面专家系统通信管理器主机代理LAN代理主机事件发生器LAN事件发生器主机监视器LAN监视器入侵检测概述31入侵检测的概念q入侵:是指任何试图危及计算机资源的完整性、机密性或可用性的行为。q入侵检测:对入侵行为的发觉。它通过从计算机网络或系统中的若干关键点收集信息,并对这些信息进行分析,从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。q入侵检测系统:进行入侵检测的软件与硬件的组合便是入侵检测系统(简称IDS)。入侵检测概述32入侵检测的作用(1)q监控
24、、分析用户和系统的活动 q审计系统的配置和弱点 q评估关键系统和数据文件的完整性q识别攻击的活动模式 q对异常活动进行统计分析q对操作系统进行审计跟踪管理,识别违反政策的用户活动 访问控制受 保 护 系 统 内部有职权的人员 防火墙 入侵检测系统漏洞扫描系统 外部访问 内部访问 监视内部人员 监视外部人员 实时监测系统 定时扫描系统 入侵检测概述33入侵检测系统的作用入侵检测系统的作用(2)形象地说,它就是网络摄形象地说,它就是网络摄像像机,能够捕获机,能够捕获并记录网络上的所有数据,同时它也是智能并记录网络上的所有数据,同时它也是智能摄摄像像机,能够分析网络数据并提炼出可疑的、机,能够分析网
25、络数据并提炼出可疑的、异常的网络数据,它还是异常的网络数据,它还是X光摄光摄像像机,能够机,能够穿透一些巧妙的伪装,抓住实际的内容。它穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄还不仅仅只是摄像像机,还包括保安员的摄机,还包括保安员的摄像像机机.入侵检测概述34入侵检测概述35入侵检测的优点q提高信息安全构造的其他部分的完整性 q提高系统的监控q从入口点到出口点跟踪用户的活动 q识别和汇报数据文件的变化 q侦测系统配置错误并纠正他们 q识别特殊攻击类型,并向管理人员发出警报,进行防御 入侵检测概述36入侵检测的缺点q不能弥补差的认证机制 q如果没有人的干预,不能管理攻击调查 q不能知道
26、安全策略的内容 q不能弥补网络协议上的弱点 q不能弥补系统提供质量或完整性的问题 q不能分析一个堵塞的网络 q不能处理有关packet-level的攻击 入侵检测概述37研究入侵检测的必要性-1q在实践当中,建立完全安全系统根本是不可能的。Miller给出一份有关现今流行的操作系统和应用程序研究报告,指出软件中不可能没有缺陷。另外,设计和实现一个整体安全系统相当困难。q要将所有已安装的带安全缺陷的系统转换成安全系统需要相当长的时间。q如果口令是弱口令并且已经被破解,那么访问控制措施不能够阻止受到危害的授权用户的信息丢失或者破坏。q静态安全措施不足以保护安全对象属性。通常,在一个系统中,担保安全
27、特性的静态方法可能过于简单不充分,或者系统过度地限制用户。例如,静态技术未必能阻止违背安全策略造成浏览数据文件;而强制访问控制仅允许用户访问具有合适的通道的数据,这样就造成系统使用麻烦。因此,一种动态的方法如行为跟踪对检测和尽可能阻止安全突破是必要的。入侵检测概述38研究入侵检测的必要性-2q加密技术方法本身存在着一定的问题。q安全系统易受内部用户滥用特权的攻击。q安全访问控制等级和用户的使用效率成反比,访问控制和保护模型本身存在一定的问题。q在软件工程中存在软件测试不充足、软件生命周期缩短、大型软件复杂性等难解问题,工程领域的困难复杂性,使得软件不可能没有错误,而系统软件容错恰恰被表明是安全
28、的弱点。q修补系统软件缺陷不能令人满意。由于修补系统软件缺陷,计算机系统不安全状态将持续相当长一段时间。入侵检测概述39研究入侵检测的必要性-3q基于上述几类问题的解决难度,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。q入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。q就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理措施。q入侵检测系统一般不是采取预防的措施以防止入侵事件的发生。q入侵检测非常必要,它将有效弥补传统安全保护措施的不足。入侵检测概述40小结q网络安全的实质q网络安全的P2DR模型q入侵检测的研究q入侵检测的概念q入侵检测的作用q研究入侵检测的必要性
