1、入侵检测与防御技术,第 9 章,基本内容,防火墙是网络系统的第一道安全闸门,但一般网络系统必须对外开放一些应用端口,如80、110等,这时防火墙的不足就会充分体现出来。为此我们必须借助更深入的防护技术来实施保护,本章介绍其中的一种方法,即入侵检测技术。,9.1 入侵检测系统概述,防火墙是所有保护网络的方法中最能普遍接受的方法,能阻挡外部入侵者,但对内部攻击无能为力;同时,防火墙绝对不是坚不可摧的,即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门,不提供对内部的保护,无法防范数据驱动型的攻击,不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件
2、上传输。,入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。,9.1 入侵检测系统概述,9.1.1 相关术语,攻击 攻击者利用工具,出于某种动机,对目标系统采取的行动,其后果是获取/破坏/篡改目标系统的数据或访问权限事件 在攻击过程中发生的可以识别的行动或行动造成的后果;在入侵检测系统中,事件常常具有一系列属性和详细的描述信息可供用户查看。 CIDF 将入侵检测系统需要分析的数据统称为事件(event),入侵 对信息系统的非授权访问及(或)未经许可在信息系统中进行操作 入侵检测 对企图入侵、
3、正在进行的入侵或已经发生的入侵进行识别的过程 入侵检测系统(IDS) 用于辅助进行入侵检测或者独立进行入侵检测的自动化工具,9.1 入侵检测系统概述,9.1.1 相关术语,入侵检测(Intrusion Detection)技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象,则应当做出适当的反应。对于正在进行的网络攻击,则采取适当的方法来阻断攻击(与防火墙联动),以减少系统损失。对于已经发生的网络攻击,则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹,作为增强网络系统安全性和追究入侵者法律责任的
4、依据。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。,9.1 入侵检测系统概述,9.1.2 入侵检测,9.1 入侵检测系统概述,入侵检测系统,入侵检测系统(IDS)由入侵检测的软件与硬件组合而成,被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:1)监视、分析用户及系统活动。2)系统构造和弱点的审计。3)识别反映已知进攻的活动模式并向相关人士报警。4)异常行为模式的统计分析。5)评估重要系统和数据文件的完整性。6)操作系统的审计
5、跟踪管理,并识别用户违反安全策略的行为。,9.1 入侵检测系统概述,9.1.3 入侵检测系统的作用,监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应 审计跟踪,形象地说,它就是网络摄像机,能够捕获并记录网络上的所有数据,同时它也是智能摄像机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄像机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄像机,还包括保安员的摄像机.,9.1 入侵检测系统概述,9.1.4 入侵检测的发展历程,1980年,概念的诞生 19841986年,模型的发展 1990年,形成网络IDS和主机IDS两大阵营 九十年代后至今,百家争鸣、繁荣昌盛
6、,9.2 入侵检测的原理与技术,9.2.1 入侵检测的实现方式,入侵检测系统根据数据包来源的不同,采用不用的实现方式,一般地可分为网络型、主机型,也可是这两种类型的混合应用。,基于网络的入侵检测系统(NIDS) 基于主机的入侵检测系统(HIDS) 混合型入侵检测系统(Hybrid IDS),9.2 入侵检测的原理与技术,图9-1 网络IDS工作模型,9.2 入侵检测的原理与技术,9.2.2 IDS的基本结构,无论IDS系统是网络型的还是主机型的,从功能上看,都可分为两大部分:探测引擎和控制中心。前者用于读取原始数据和产生事件;后者用于显示和分析事件以及策略定制等工作。,9.2 入侵检测的原理与
7、技术,9.2.2 IDS的基本结构,引擎的工作流程,引擎的主要功能为:原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能,9.2 入侵检测的原理与技术,9.2.2 IDS的基本结构,控制中心的工作流程,控制中心的主要功能为:通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。,9.2 入侵检测的原理与技术,9.2.3 IDS采用的技术,入侵检测主要通过专家系统、模式匹配、协议分析或状态转换等方法来确定入侵行为。入侵检测技术有: 静态配置分析技术 异常检测技术 误用检测技术,1静态配置分析技术静态配置分析是通过检查系统的当前系统配置,诸如系统文件的内容或系统表,来检查系统是否
8、已经或者可能会遭到破坏。静态是指检查系统的静态特征(系统配置信息),而不是系统中的活动。,9.2 入侵检测的原理与技术,9.2.3 IDS采用的技术,2、异常检测技术 通过对系统审计数据的分析建立起系统主体(单个用户、一组用户、主机,甚至是系统中的某个关键的程序和文件等)的正常行为特征轮廓;检测时,如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。这一检测方法称“异常检测技术”。一般采用统计或基于规则描述的方法建立系统主体的行为特征轮廓,即统计性特征轮廓和基于规则描述的特征轮廓。,9.2 入侵检测的原理与技术,9.2.3 IDS采用的技术,3误用检测技术 误用检测
9、技术(Misuse Detection)通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或是间接地违背系统安全规则的行为,来检测系统中的入侵活动,是一种基于已有的知识的检测。这种入侵检测技术的主要局限在于它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为,而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。,9.3 入侵检测系统的性能指标,1系统结构,好的IDS应能采用分级、远距离分式部署和管理。,9.3 入侵检测系统的性能指标,2事件数量,考察IDS系统的一个关键性指标是报警事件的多少。一般而言,事件越多,表明IDS系统能够处理的能力越强。
10、,3处理带宽,IDS的处理带宽,即IDS能够处理的网络流量,是IDS的一个重要性能。目前的网络IDS系统一般能够处理2030M网络流量,经过专门定制的系统可以勉强处理4060M的流量。,9.3 入侵检测系统的性能指标,4探测引擎与控制中心的通信,作为分布式结构的IDS系统,通信是其自身安全的关键因素。通信安全通过身份认证和数据加密两种方法来实现。身份认证是要保证一个引擎,或者子控制中心只能由固定的上级进行控制,任何非法的控制行为将予以阻止。身份认证采用非对称加密算法,通过拥有对方的公钥,进行加密、解密完成身份认证。,9.3 入侵检测系统的性能指标,5事件定义,事件的可定义性或可定义事件是IDS
11、的一个主要特性。,6二次事件,对事件进行实时统计分析,并产生新的高级事件能力。,7事件响应,通过事件上报、事件日志、Email通知、手机短信息、语音报警等方式进行响应。,还可通过TCP阻断、防火墙联动等方式主动响应。,9.3 入侵检测系统的性能指标,8自身安全,自身安全指的是探测引擎的安全性。要有良好的隐蔽性,一般使用定制的操作系统。,9终端安全,主要指控制中心的安全性。有多个用户、多个级别的控制中心,不同的用户应该有不同的权限,保证控制中心的安全性。,9.4 入侵防御系统简介,IDS只能被动地检测攻击,而不能主动地把变化莫测的威胁阻止在网络之外。因此,人们迫切地需要找到一种主动入侵防护解决方
12、案,以确保企业网络在威胁四起的环境下正常运行。,入侵防御系统(Intrusion Prevention System或Intrusion Detection Prevention,即IPS或IDP)就应运而生了。IPS是一种智能化的入侵检测和防御产品,它不但能检测入侵的发生,而且能通过一定的响应方式,实时地中止入侵行为的发生和发展,实时地保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。,IPS在网络中一般有四种连接方式:Span(接在交换机旁边,作为端口映像)、Tap(接在交换机与路由器中间,旁路安装,拷贝一份数据到IPS中)、Inline(接在交换机与路由器中间,在线安装,在
13、线阻断攻击)和Port-cluster(被动抓包,在线安装)。它在报警的同时,能阻断攻击。,9.5 蜜网Honeynet,Honeynet是一个网络系统,并非某台单一主机,这一网络系统隐藏在防火墙的后面,所有进出的数据都受到关注、捕获及控制。这些被捕获的数据用来研究分析入侵者们使用的工具、方法及动机。在一个Honeynet中,可以使用各种不同的操作系统及设备,如Solaris、Linux、Windows NT、Cisco Switch等。这样,建立的网络环境看上去会更加真实可信,同时还有不同的系统平台上面运行着不同的服务,比如Linux的DNS Server、WindowsNT的WebServ
14、er或者一个Solaris的FTP Server,可以使用不同的工具以及不同的策略或许某些入侵者仅仅把目标定于几个特定的系统漏洞上,而这种多样化的系统,就可能更多地揭示出入侵者的一些特性。,9.5 蜜网Honeynet,利用Snort软件安装Win2000Server下的蜜网陷阱,Snort 是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。构建完整的Snort系统需要以下软件,详细安装方法请参照网上相关资料。 acid-0.9.6b23.tar.gz 基于php 的
15、入侵检测数据库分析控制台 adodb360.zip ADOdb(Active Data Objects Data Base)库for PHP apache_2.0.46-win32-x86-no_src.msi Windows 版本的Apache Web 服务器 jpgraph-1.12.2.tar.gz OO 图形库for PHP mysql-4.0.13-win.zip Windows 版本的Mysql 数据库服务器 php-4.3.2-Win32.zip Windows 版本的php 脚本环境支持 snort-2_0_0.exe Windows 版本的Snort 安装包 WinPcap_
16、3_0.exe 网络数据包截取驱动程序 phpmyadmin-2.5.1-php.zip 基于php 的Mysql 数据库管理程序,9.6 天阗黑客入侵检测与预警系统,天阗黑客入侵检测与预警系统是一种动态的入侵检测与响应系统。它利用全面流量监控发现异常,结合地理信息显示入侵事件的定位状况,应用入侵和漏洞之间具有的对应关联关系,给出入侵威胁和资产脆弱性之间的风险分析结果,从而有效地管理安全事件并进行及时处理和响应。它能够实时监控网络传输,自动检测可疑行为,及时发现来自网络外部或内部的攻击。天阗系统可以与防火墙紧密结合,弥补了防火墙的访问控制不严密的问题。,包含如下五个独立的部分: 1)天阗网络入
17、侵检测系统,产品型号:NS200/NS500/NS2200/NS2800。 2)天阗入侵事件定位系统,产品型号:IMS-EP。 3)天阗网络异常流量监测系统,产品型号:FS1900。 4)天阗入侵风险评估系统,产品型号:IMS-RA。 5)天阗主机入侵检测系统,产品型号:HS120/HS220/HS320/HS420/HS520,9.6 天阗黑客入侵检测与预警系统,天阗网络入侵检测系统典型部署结构图,本章小结,本章首先分析了网络攻击或入侵的概念,介绍了六个攻击的层次和相应的防范策略。在此基础上引出入侵检测系统。介绍了基于主机和基于网络的两种入侵检测系统的概念、基本组成结构和相应的工作原理。介绍了入侵检测系统中常用的四种技术:静态配置分析、异常检测方法、误用检测和基于系统关键程序的安全规格描述方法。给出了入侵系统的性能评价指标。 介绍了流行的蜜网陷阱系统Honeynet,用以获取网络攻击的行为和方法。对入侵防御系统IPS作了简单介绍。,
