入侵检测技术课件.pptx

1、2023-5-7基本内容 防火墙是网络系统的第一道安全闸门，但一般网络系统必须对外开放一些应用端口，如20、21、80、110等，这时防火墙的不足就会充分体现出来。为此我们必须借助更深入的防护技术来实施保护，本节介绍其中的一种方法入侵检测技术。第1页/共48页2023-5-7基本术语攻击 攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取/破坏/篡改目标系统的数据或访问权限事件 在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。CIDF 将入侵检测系统需要分析的数据统称为事件（event）第2页/共48页202

2、3-5-7基本术语入侵 对信息系统的非授权访问及（或）未经许可在信息系统中进行操作入侵检测 对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程入侵检测系统（IDS）用于辅助进行入侵检测或者独立进行入侵检测的自动化工具第3页/共48页2023-5-7入侵检测系统概述为什么需要入侵检测系统？入侵检测系统是防火墙之后的第二道防线；关于防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱、粗粒度检测：无法防范数据驱动型的攻击，不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输 不是所有的威胁来自防火墙外部：防火墙不能防止通向站点的后门，不提供对网络内部

3、的保护第4页/共48页2023-5-7入侵检测系统概述 入侵很容易 入侵教程随处可见 各种工具唾手可得 入侵检测是防火墙的合理补充，它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。第5页/共48页2023-5-7入侵检测 入侵检测（Intrusion Detection）是一种动态的网络检测技术，是对入侵行为的检测。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到攻击的迹象。主要用于识别对计算机和网络资源的恶意使用行为，包括来自外部用户的入侵行为和内部用户的未经授权活

4、动。一旦发现网络入侵现象，则应当做出适当的反应。对于正在进行的网络攻击，则采取适当的方法来阻断攻击（与防火墙联动），以减少系统损失。对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律责任的依据。第6页/共48页2023-5-7入侵检测系统 入侵检测系统（IDS）由执行入侵检测的软件与硬件组合而成，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：1）监视、分析用户及系统活动。2）系统构造和弱点的审计。3）识别反映已知进攻的活动

5、模式并向相关人士报警。4）异常行为模式的统计分析。5）评估重要系统和数据文件的完整性。6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。第7页/共48页2023-5-7入侵检测系统的作用 监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应 审计跟踪 形象地说，它就是网络摄像机，能够捕获并记录网络上的所有数据，同时它也是智能摄像机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄像机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄像机，还包括保安员的摄像机.第8页/共48页2023-5-7入侵检测的发展历程 1980年，概念的诞生 19841986年，模型的

6、发展 1990年，形成网络IDS和主机IDS两大阵营 九十年代后至今，百家争鸣、繁荣昌盛第9页/共48页2023-5-7入侵检测的原理与技术 入侵检测的实现方式与技术分类：1、入侵检测系统根据数据包来源的不同，针对不同的检测对象，一般地可分为网络型、主机型，也可是这两种类型的混合应用。基于网络的入侵检测系统（NIDS）基于主机的入侵检测系统（HIDS）混合型入侵检测系统（Hybrid IDS）2、入侵检测系统也可按照检测方式的不同来区分：异常检测（Anomaly detection）误用检测（Misuse detection）第10页/共48页2023-5-7网络入侵检测系统(NIDS)安装在

7、被保护的网段中 混杂模式监听 分析网段中所有的数据包 实时检测和响应 操作系统无关性 不会增加网络中主机的负载，但需要性能优越的网络处理平台第11页/共48页2023-5-7图 _ _ 网络IDSIDS工作模型 网络入侵检测系统(NIDS)第12页/共48页2023-5-7主机入侵检测系统（HIDS）安装于被保护的主机中 主要分析主机内部活动：系统日志审计 系统调用 系统关键文件完整性保护 本机网络数据的检测 占用一定的系统资源第13页/共48页2023-5-7入侵检测的原理与技术IDS的基本结构 无论IDS系统是网络型的还是主机型的，从功能上看，都可分为两大部分：探测引擎和控制中心。前者用于

8、读取原始数据和产生事件；后者用于显示和分析事件以及策略定制等工作。第14页/共48页2023-5-7入侵检测的原理与技术IDS的基本结构 引擎的主要功能为：原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能 第15页/共48页2023-5-7入侵检测的原理与技术IDS的基本结构 控制中心的主要功能为：通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。控制中心的工作流程 第16页/共48页2023-5-7入侵检测的原理与技术IDS采用的技术 入侵检测主要通过专家系统、模式匹配、协议分析或状态转换等方法来确定入侵行为。入侵检测技术有：静态配置分析技术异常检测技术误用检测技术第

9、17页/共48页2023-5-7入侵检测的原理与技术1静态配置分析技术 静态配置分析是通过检查系统的当前系统配置，诸如系统文件的内容或系统表，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(系统配置信息)，而不是系统中的活动。第18页/共48页2023-5-7入侵检测的原理与技术2、异常检测技术 通过对系统审计数据的分析建立起系统主体(单个用户、一组用户、主机，甚至是系统中的某个关键的程序和文件等)的正常行为特征轮廓；检测时，如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。这一检测方法称“异常检测技术”。一般采用统计或基于规则描述的方法建立系统

10、主体的行为特征轮廓，即统计性特征轮廓和基于规则描述的特征轮廓。异常检测技术 统计性特征轮廓 基于规则描述的特征轮廓 神经网络方法第19页/共48页2023-5-7入侵检测的原理与技术3误用检测技术 误用检测技术(Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或是间接地违背系统安全规则的行为，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵，是一种基于已有的知识的检测。核心是模式匹配，目前最成熟、广泛采用的技术之一，常用于NIDS，也是影响其效率的关键因素。实现算法

11、：BM算法（boyer moore）字符串匹配算法 这种入侵检测技术的主要局限在于它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。第20页/共48页2023-5-7误用检测-基于入侵特征库模式匹配的缺陷：计算的负载：该算法所需计算量极其巨大。存储量巨大：模式匹配/特征搜索技术使用固定特征模式来探测攻击，每一个变化都要求攻击特征数据库增加一个特征记录。探测准确性：不能智能地判断不同字符串/命令串的真实含义和最终效果。改进：多模式匹配算法 模式中出现重复子串时，可以有效提高匹配效率 这些出现重复子串的模式构成模式树 在模

12、式树匹配过程中，沿用BMBM算法中的“坏字符”和“重复子串”两种算法。第21页/共48页2023-5-7其他误用检测技术 专家系统(入侵行为编码成专家系统的规则，IF-THEN方式，规则更新困难）状态迁移分析技术（一个入侵行为就是由攻击者执行的一系列的操作，这些操作可以使系统从某些初始状态迁移到一个可以威胁系统安全的状态。）第22页/共48页2023-5-7入侵检测系统的性能指标1系统结构 好的IDS应能采用分级、远距离分式部署和管理。第23页/共48页2023-5-7入侵检测系统的性能指标2事件数量 考察IDS系统的一个关键性指标是报警事件的多少。一般而言，事件越多，表明IDS系统能够处理的

13、能力越强。3处理带宽 IDS的处理带宽，即IDS能够处理的网络流量，是IDS的一个重要性能。目前的网络IDS系统一般能够处理2030M网络流量，经过专门定制的系统可以勉强处理4060M的流量。第24页/共48页2023-5-7入侵检测系统的性能指标4探测引擎与控制中心的通信 作为分布式结构的IDS系统，通信是其自身安全的关键因素。通信安全通过身份认证和数据加密两种方法来实现。身份认证是要保证一个引擎，或者子控制中心只能由固定的上级进行控制，任何非法的控制行为将予以阻止。身份认证采用非对称加密算法，通过拥有对方的公钥，进行加密、解密完成身份认证。第25页/共48页2023-5-7入侵检测系统的性

14、能指标5 5事件定义 事件的可定义性或可定义事件是IDSIDS的一个主要特性。6 6二次事件 对事件进行实时统计分析，并产生新的高级事件能力。7 7事件响应 通过事件上报、事件日志、EmailEmail通知、手机短信息、语音报警等方式进行响应。还可通过TCPTCP阻断、防火墙联动等方式主动响应。8 8自身安全 自身安全指的是探测引擎的安全性。要有良好的隐蔽性，一般使用定制的操作系统。9 9终端安全 主要指控制中心的安全性。有多个用户、多个级别的控制中心，不同的用户应该有不同的权限，保证控制中心的安全性。第26页/共48页2023-5-7IDS发展方向 研究方向 解决误报和漏报 学术界 反攻击（

15、retaliation）神经网络 数据挖掘（Data Mining）工业界 检测算法 关联性（correlation）千兆网络IDS第27页/共48页2023-5-7IDS发展方向（续）新概念-IPS（入侵防御系统）特点：网关级产品，检测并阻止入侵流量进入网络 入侵分析算法采用协议分析技术，提高报警的准确率和性能 将IDS与抵抗DOS结合 优点：能够真正检测并阻挡攻击 融合防火墙、IDS、防病毒，有效保护第28页/共48页2023-5-7IDS存在的问题 1）布局和布点问题 IDS布局位置决定安全检测程度 布点分布模型、完整性和丢失率 IDS是并接在网络信道中（防火墙串接）IDS不是瓶颈，而是

16、滞后 IDS+Fw模式，Fw是瓶颈 IDS+Fw模式，联动滞后 需要多点布局，综合判别第29页/共48页2023-5-7IDS的布局问题Internet第30页/共48页2023-5-7IDS存在的问题 2）检测问题 信息获取的局限（网络、网段和主机）检测算法、模型、加速算法、规则（特征）库 智能检测和确认问题 多协议和多类型检测 检测引擎和检测工具问题 检测系统与操作系统的接口问题 缺乏统一的入侵检测术语和概念框架第31页/共48页2023-5-7IDS存在的问题 3）分析问题 由于网段信号分流，带宽增加，功能会下降 极增的网络流量导致检测分析难度加大 由于网络随时扩展，无法观测到所有通信

17、检测算法和模式限制，数据之特征各异 智能化不够，无法理解压缩、加密数据包 容易出现漏报、误报和错报 高速网络使数据的实时分析更加困难第32页/共48页2023-5-7NIDS发展方向提高提高NIDS质量和功能质量和功能有效有效集成各种入侵检测数据源各种入侵检测数据源充分利用不同系统和传感器采集的数据充分利用不同系统和传感器采集的数据降低漏、误、错报率，提高报警准确率降低漏、误、错报率，提高报警准确率充实完善模式库和规则库充实完善模式库和规则库提高智能检测，结合人工分析诊断提高智能检测，结合人工分析诊断增强针对增强针对IDS的攻击，注意绕过的攻击，注意绕过IDS攻击攻击增强异种系统的互操作性和数

18、据一增强异种系统的互操作性和数据一 致性致性第33页/共48页2023-5-7NIDS发展方向（续）研制可靠的测试和评估标准研制可靠的测试和评估标准提供科学的漏洞分类方法提供科学的漏洞分类方法注重攻击客体而不是攻击主体的观点注重攻击客体而不是攻击主体的观点提供对更高级的攻击行为的检测手段提供对更高级的攻击行为的检测手段提高对其他攻击的检测能力，如提高对其他攻击的检测能力，如email攻击，攻击，Java，ActiveX等。等。积累分析漏报、错报、误报原因，研究处理和恢积累分析漏报、错报、误报原因，研究处理和恢复方案。复方案。第34页/共48页2023-5-7NIDS发展方向（续）软件硬化（网络

19、处理器软件硬化（网络处理器)智能检测方法（协议分析，神经系统等）智能检测方法（协议分析，神经系统等）集成网络分析和数据处理集成网络分析和数据处理防火墙联动防火墙联动高速网络数据流的检测高速网络数据流的检测严格的自身安全严格的自身安全第35页/共48页2023-5-7入侵防御系统 IDSIDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。因此，人们迫切地需要找到一种主动入侵防护解决方案，以确保企业网络在威胁四起的环境下正常运行。入侵防御系统（Intrusion Prevention SystemIntrusion Prevention System或Intrusion Intr

20、usion Detection PreventionDetection Prevention，即IPSIPS或IDPIDP）就应运而生了。IPSIPS是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。IPSIPS使得IDSIDS和防火墙走向统一。IPSIPS在网络中一般有四种连接方式：SpanSpan（接在交换机旁边，作为端口映像）、TapTap（接在交换机与路由器中间，旁路安装，拷贝一份数据到IPSIPS中）、InlineInline（接在交换机与路由器中间，在线安装，在线阻断攻击）和Por

21、t-clusterPort-cluster（被动抓包，在线安装）。它在报警的同时，能阻断攻击。第36页/共48页2023-5-7蜜网Honeynet Honeynet是一个网络系统，并非某台单一主机，这一网络系统隐藏在防火墙的后面，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据用来研究分析入侵者们使用的工具、方法及动机。在一个Honeynet中，可以使用各种不同的操作系统及设备，如Solaris、Linux、Windows NT、Cisco Switch等。这样，建立的网络环境看上去会更加真实可信，同时还有不同的系统平台上面运行着不同的服务，比如Linux的DNS Server、Win

22、dowsNT的WebServer或者一个Solaris的FTP Server，可以使用不同的工具以及不同的策略或许某些入侵者仅仅把目标定于几个特定的系统漏洞上，而这种多样化的系统，就可能更多地揭示出入侵者的一些特性。第37页/共48页2023-5-7蜜网Honeynet利用Snort软件安装Win2000Server下的蜜网陷阱 Snort 是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力，能够进行协议分析，对内容进行搜索/匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。构建完整的Snort系统需要以下软件，详细安装方法请参照网上相关资料。acid

23、-0.9.6b23.tar.gz 基于php 的入侵检测数据库分析控制台 adodb360.zip ADOdb（Active Data Objects Data Base）库for PHP apache_2.0.46-win32-x86-no_src.msi Windows 版本的Apache Web 服务器 jpgraph-1.12.2.tar.gz OO 图形库for PHP mysql-4.0.13-win.zip Windows 版本的Mysql 数据库服务器 php-4.3.2-Win32.zip Windows 版本的php 脚本环境支持 snort-2_0_0.exe Windo

24、ws 版本的Snort 安装包 WinPcap_3_0.exe 网络数据包截取驱动程序 phpmyadmin-2.5.1-php.zip 基于php 的Mysql 数据库管理程序第38页/共48页2023-5-7 天阗黑客入侵检测与预警系统是一种动态的入侵检测与响应系统。它利用全面流量监控发现异常，结合地理信息显示入侵事件的定位状况，应用入侵和漏洞之间具有的对应关联关系，给出入侵威胁和资产脆弱性之间的风险分析结果，从而有效地管理安全事件并进行及时处理和响应。它能够实时监控网络传输，自动检测可疑行为，及时发现来自网络外部或内部的攻击。天阗系统可以与防火墙紧密结合，弥补了防火墙的访问控制不严密的问

25、题。包含如下五个独立的部分：1 1）天阗网络入侵检测系统，产品型号：NS200/NS500/NS2200/NS2800NS200/NS500/NS2200/NS2800。2 2）天阗入侵事件定位系统，产品型号：IMS-EPIMS-EP。3 3）天阗网络异常流量监测系统，产品型号：FS1900FS1900。4 4）天阗入侵风险评估系统，产品型号：IMS-RAIMS-RA。5 5）天阗主机入侵检测系统，产品型号：HS120/HS220/HS320/HS420/HS520HS120/HS220/HS320/HS420/HS520天阗黑客入侵检测与预警系统第39页/共48页2023-5-7天阗网络入侵

26、检测系统典型部署结构图 天阗黑客入侵检测与预警系统第40页/共48页2023-5-7 本节首先分析了网络攻击或入侵的概念，介绍了六个攻击的层次和相应的防范策略。在此基础上引出入侵检测系统。介绍了基于主机和基于网络的两种入侵检测系统的概念、基本组成结构和相应的工作原理。介绍了入侵检测系统中常用的四种技术：静态配置分析、异常检测方法、误用检测和基于系统关键程序的安全规格描述方法。给出了入侵系统的性能评价指标。介绍了流行的蜜网陷阱系统HoneynetHoneynet，用以获取网络攻击的行为和方法。对入侵防御系统IPSIPS作了简单介绍。小结第41页/共48页2023-5-7课后思考：请参考3437页

27、PPT，分析IDS存在的问题，并尝试性提出对策。第42页/共48页2023-5-7补充第43页/共48页2023-5-7Boyer-Moore 算法P:模式字串模式字串 T:被匹配的字串被匹配的字串 LP:模式串的长度模式串的长度 LT:母串的长度母串的长度 P1:模式串第一个字符模式串第一个字符 PLP:模式串的最后一个字符模式串的最后一个字符T1:母串第一个字符母串第一个字符 TLT:母串的最后一个字符母串的最后一个字符第44页/共48页2023-5-7Boyer-Moore 算法（续）第45页/共48页2023-5-7AC-BM算法 相同点：a:Boyer-Moore-Bad chara

28、cter shift.b:Aho-Corasick-Keyword tree 不同点：a:BM：using good prefix shift Instead of original good suffix shift.b:BM：packet(text,T)searched from right to left,the tree(pattern,P)searched from left to right.c:AC：Instead of building a tree based on suffixes this tree will be built on prefixes.第46页/共48页2023-5-7ExB算法 Suppose that we want to check whether a small input I contains a string S.Then,if there is at least one character in S that is not in I,then S is not in I.第47页/共48页2023-5-7谢谢您的观看！第48页/共48页