入侵检测技术在网络安全中的应用docWord文档格式.docx
《入侵检测技术在网络安全中的应用docWord文档格式.docx》由会员分享,可在线阅读,更多相关《入侵检测技术在网络安全中的应用docWord文档格式.docx(11页珍藏版)》请在冰豆网上搜索。
②内部渗透指虽被授权使用计算机,但是未被授权使用数据或程序资源的渗透;
③不法使用指利用授权使用计算机、数据和程序资源的合法用户身份的渗透。
这几种入侵行为是可以相互转变,互为因果的。
例如,入侵者通过外部渗透获取了某用户的账号和密码,然后利用该用户的账号进行内部渗透;
最后,内部渗透也可以转变为不法使用。
入侵检测是指通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。
2.1.2入侵检测系统的分类不同的入侵检测系统有着技术、系统结构、实现方式、检测方法和检测对象等方面的差别。
从这些角度,可以将入侵检测系统大致分为以下几类2.1.2.1根据所检测的对象分类1基于网络的IDSNIDS通过将网卡置于混杂模式,IDS可以被动地监听网络中的所有原始流量,并对获取的数据进行处理,再与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。
此类IDS通常放置于网络中的关键位置,如内部网与外部网相连的边界上。
使用多个传感器的分布式NIDS,它能够实时地监测网络中的所有数据,且不需要在每台服务器上安装和配置,部署成本较低,使用相当广泛。
另外,除非入侵者攻陷IDS,否则即使能成功清除被攻击主机的日志也无济于事。
目前,大多数企业将交换机和路由器作为主要的网络设备,HUB已渐渐退出历史舞台。
交换网络的普及给HIDS的监听带来了一定的困难。
虽然某些型号的交换机支持将所有数据包发送到镜像端口,但这会牺牲一些性能。
此外,这类IDS对加密后的数据流通常无能为力。
2基于主机的IDSHIDS这类IDS试图从操作系统的审计跟踪日志判断入侵事件的线索。
一方面它对抵达主机的数据进行分析并试图确认哪些是潜在的威胁,另一方面对入侵者留下的痕迹进行分析,找到入侵的证据。
此类IDS可以对系统日志进行分析,从中发现入侵企图并向管理员报告。
如登录失败、非授权访问等情况。
它还能查找系统文件和系统配置的改变,为入侵行为提供证据。
它能分析进程的行为,如果进程出现试图访问内核资源、访问其它进程资源、蓄意制造溢出等情况时,则可能出现了入侵行为或感染了病毒。
HIDS具有较高的准确性,记录的内容可能非常详细,但它会明显影响主机的性能,在服务器遭受毁灭性攻击时,HIDS也可能同时被破坏。
3混合式IDS,综合基于网络和基于主机两种结构特点的IDS,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。
4文件完整性检查工具,保护关键文件的完整性,检查文件是否被修改,从而检测出可能的入侵。
它通常已经包含在HIDS中。
2.1.2.2根据检测的技术分类1基于误用Misuse的IDS基于误用的IDS又被称为基于滥用的IDS。
误用检测技术主要通过某种方式预先定义入侵规则,然后监视系统的运行,从中找到符合预先定义的入侵行为。
目前这类入侵检测系统主要有专家系统、模型推理系统、误用预测系统和模式匹配系统。
其中,模式匹配是应用最为广泛的检测手段,本文对IDS的探讨也主要集中在snort一种免费开源的基于模式匹配IDS系统上。
2基于异常Anomaly的IDS基于异常的IDS假设任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为产生的日志信息总结出这些规律。
IDS检测与可接受行为之间的偏差。
如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。
首先总结正常操作应该具有的特征用户轮廓,当用户活动与正常行为有重大偏离时即被认为是入侵。
这种入侵行为可能是已知的,也有可能是未知的。
基于统计学方法的异常检测系统使用统计学的方法来学习和检测用户的行为。
一般地,在人们使用计算机的过程中是有一定规律的,当IDS认为用户的行为与长期积累的规律发生重大偏离时,则认为可能发生了攻击行为,从而产生警告。
类似地,基于神经网络的IDS也可以学习用户的行为,并能紧密地模仿用户的行为,根据最新的变化进行调整。
然而,基于误用的IDS大多需要一段时间来学习其监测的网络,然后才能进行检测。
如果网络中的使用模式毫无规律,那么这类IDS就无法正常工作了。
而且,“正常”与“异常”的阈值难以确定,即使检测出异常,也往往不能精确地报告攻击的类型和方式。
这些缺点使这类IDS仅仅是前一类IDS的补充。
2.1.3NIDS的基本结构基于网络的入侵检测系统NIDS是入侵检测系统中最为重要的部分。
它获取网络中的所有数据并加以分析,发现潜在的威胁。
NIDS通常由如下几个模块组成数据包获取模块、解码模块、数据包分析模块、事件分析模块、报警模块和通讯模块。
数据包获取模块通过将网卡设置成混杂模式而得到网络中的所有数据。
该模块通常由驱动程序完成。
NIDS面对的是网络中的海量数据,使用专门为NIDS设计的数据包捕获程序或直接由硬件完成,都可以提高系统性能。
解码模块将原始数据包处理成IDS比较容易处理的形式,如分离数据包的各部分内容,重组分片等在分析前必须完成的工作。
这一部分还可以直接发现一小部分攻击。
数据包分析模块是NIDS最重要的模块。
它负责在数据包中搜索特定的字符串,以判断数据包是否有恶意内容。
通常,它是NIDS中对性能要求最高的模块。
忽略协议类别而直接进行模式匹配的IDS,其性能通常是低下的,因为数据包的类型决定了其对应可能出现的攻击的数量的多少。
为提高性能,很多NIDS采用协议细分的方式缩小搜索范围,即在数据包到达后,仅仅进行与该数据包相关的那些字符串。
事件分析模块分析和处理数据包分析模块的结果,通常它们过滤并综合各个数据包分析模块产生的信息;
报警模块将事件分析模块产生的结果,产生报警信息,并将这些信息告之用户或写入日志中;
通讯模块负责各个传感器之间的通讯,为防止NIDS之间的通讯被黑客窃听、篡改,常常需要将NIDS各模块之间的通讯加密。
2.2入侵的常见手段和防范为了使入侵检测系统能更准确、更快速地报告入侵行为,设计者需要对已知的所有入侵手段进行分析,更精确地描述入侵数据包与正常通信数据包的本质区别,才能减少误报和漏报现象。
入侵手段通常是与系统或协议漏洞相关的,当某些系统或协议被淘汰、漏洞被修补之后,这些入侵方式也就自然无法得逞了。
入侵手段也是不断变化着的,当一种新的入侵手段被发现,或者源代码被披露之后,可能会造成某种入侵的爆发,直到引起人们的足够重视为止。
攻击被大致分为几类,包含了目前几乎所有的攻击方式。
然而攻击的手段随时间的推移显示出不同的特点,新的攻击思路和手段也日新月异,试图对攻击进行完美的分类很难做到。
2.2.1网络探测和嗅探攻击者在此类攻击中期望得到与网络相关的信息。
在得到目标IP地址空间后,对其进行扫描或嗅探。
扫描技术可以侦察到允许连接的服务和开放的端口,来发现目标主机端口的分配情况、提供的各项服务以及服务器的操作系统和某些服务程序版本,从而为以后的入侵攻击建立基础。
攻击者在攻击前首先要做的就是搜集目标网络的信息。
网络探测是攻击的前提,大多数黑客都会在攻击之前对目标进行扫描。
目前一些扫描工具已经拥有比较强大的功能,如NMAP、XScan、nessus、Retina,有的还兼备自动攻击功能。
为避免被对方的防火墙或IDS察觉,攻击者可能还会采用慢扫描或改变扫描手段分布式扫描。
尽管如此,扫描作为一种主动行为,很可能被受害者察觉。
而嗅探则相对“安静”得多。
嗅探是指在广播式网络中,攻击者可以对网络上流通的所有数据包进行监听,从而获取有用的信息。
如Hub连接的网络上,只要将网卡设置为混杂模式就可以直接收到网络内的所有数据包。
随着交换网络的普及,监听的难度越来越大。
但针对网络中关键服务器或设备的监听一旦成功,仍然可以得到大量有价值的数据。
监听是易于实现的,很多监听网络的软件还具有强大的功能,如SnifferPro。
处于混杂模式的计算机是有可能被发现的,在某些情况下,向监听者发送特定格式的ARP包可以发现哪些网卡处于监听模式,Antisniff就是利用此原理工作的。
除了扫描和嗅探,攻击者还可以通过一些网络实用工具ping、nslookup、traceroute、whois、finger等了解受害者所处的网络结构,通过搜索引擎查询可能含有漏洞的w曲站点如GoogleHacking。
2.2.2解码类攻击通过各种方法获取密码文件,然后用口令猜测程序破译用户账号和口令。
据统计,网络中82%的口令不够安全,使用生日、电话、姓名缩写、城市缩写、英文单词或它们的组合作为密码的例子比比皆是,很多人在不同的地方只使用一个密码,或者长期不修改自己的密码。
这些密码很难经得起字典攻击。
由于破解密码的工具和字典生成器随处可见,破解口令不需要太多的技术知识。
类似LC5工具能在短时间内得到Windows系统的用户名并攻破系统的弱密码。
2.2.3未授权访问攻击利用系统管理策略的疏忽,用户可能获得比合法用户权限更高的操作权。
目前的操作系统越来越复杂,很多系统在发布时,其默认的配置往往隐藏着漏洞。
这将造成大量计算机成为黑客的傀儡主机。
例如,Windows2000可以接受空密码的用户从远程登录,造成大量用户的系统被黑客轻易控制。
互联网上很多路由设备也因SNMP协议的安全隐患而遭到攻击或泄露太多的敏感信息。
2.2.4缓冲区溢出缓冲区溢出是指当计算机程序向缓_冲区内填充的数据位数超过了缓冲区本身的容量,溢出的数据覆盖了合法数据。
攻击者用自己精心设计的指令覆盖合法程序后,只要这些指令被执行,攻击者就拥有了系统的控制权。
由于某些C语言库函数如strcpy、strcat、gets、sprintf等的设计疏漏,很多操作系统都不可避免地存在此类问题。
Windows、Linux和Unix的系统漏洞大多与缓冲区溢出相关,这使近年来全球用户屡遭安全问题的困扰。
随着安全编程受到广泛关注,此类攻击会将在未来呈下降趋势。
已经有一些漏洞发掘模型可以检查出系统中潜在的缓冲区漏洞,数据执行保护DEP技术的发展也减轻了缓冲区溢出的危害。
但由于C/C语言在操作系统中使用十分广泛,这类攻击不可能在短时间内消除。
2.2.5欺骗攻击欺骗攻击可以从OSI任何一层发起。
常见的第二层攻击有MAC攻击和ARP攻击。
攻击者通过修改自己的MAC地址伪装成合法用户,称为MAC攻击。
ARP攻击则是向网络中宣告虚假的ARP信息,以诱骗受害者与之通信。
最常见的第三层攻击是IP欺骗。
利用原始套接字RAWSocket可以发送伪造的IP包。
这类工具很容易找到,如libnet。
使用这些工具发送包十分简单,最大困难是需要侦听对方发回的包并做出正确的响应。
常见的第四层攻击有UDP和TCP欺骗。
由于UDP包相对简单,仅有端口号、长度等几部分,因此更加易于伪装。
而TCP协议面向连接,其包传输受到序列号和确认号的控制。
除非嗅探到完整的通信报文,否则不太可能对TCP协议进行成功的攻击。
此外,通过指定路由或伪装的假地址,以假冒身份与其它主机进行合法通信,或发送假报文,使受攻击主机出现错误动作。
攻击者可以向网络添加无赖设备,比如很难发现的无线设备2.2.6协议攻击利用TCP/IP协议本身的一些缺陷对TCP/IP网络进行攻击,主要方式有ARP欺骗、DNS欺骗、WEB欺骗以及电子邮件欺骗等。
这些欺骗的结果可能是把用户引向虚假的网站,诱骗它们在虚假的网站上提供真实的资料,如银行帐号和密码。
这类攻击往往需要其它攻击手段的配合才能奏效。
2.2.7恶意代码攻击恶意代码主要指脚本、病毒、蠕虫、木马。
黑客在服务器上运行恶意代码,可使服务器崩溃或泄露重要资料。
木马还可能伪装成应用程序或一个框骗取用户输入,一些跨站脚本漏洞则可能使服务器错误地执行恶意脚本。
在过去,病毒、木马和蠕虫有比较明显的区别,现在,它们在功能上出现了整合的态势,很多恶意软件兼有木马和蠕虫的特点。
入侵者还常常设计远程控制模块,主机感染恶意代码后将被入侵者完全操纵。
第三章入侵检测系统的测试入侵检测系统的测试和评估一直是业界普遍关注的内容。
目前,入侵检测系统的误报率仍然较高,还常常出现漏报的情况,吞吐量也有待提高。
在使用入侵检测系统之前,首先需要对其进行详细的测试和评估。
然后,作为一种网络安全设备,对入侵检测系统的测试通常是复杂的。
目前,对IDS的测试通常包含如下几个主要方面1尽可能模拟各种真实的网络流量以测试入侵检测的性能;
2必须在网络中引入攻击工具,检查入侵检测系统是否准确的报警或响应;
3测试其在高速网络中的适应性。
目前,大多数商用IDS基于误用的入侵检测系统使用规则描述入侵行为。
规则相当于入侵行为的指纹,规则编写者需要准确地提取这种“指纹”,使其必须是入侵行为特有的,在正常数据包中不能出现,否则就可能误报。
入侵检测系统还必须涵盖所有的入侵手段,甚至预知这些手段的简单变化,否则就可能漏报。
入侵检测系统还必须真实地反映“规则”,即能够真正检测出符合规则的攻击包,这是网络协议的复杂造成的,入侵检测系统有时虽然含有准确的入侵“指纹”,却无法准确地从指纹的描述中找出相应的攻击包。
目前,对于IDS仍然没有一个公开的测试或评估标准。
最常用的测试方法是,搭建一个小型网络,在小型网络中释放一些攻击数据。
但这种小型网络的拓扑结构和复杂度都没有统一的标准。
另~种测试的方式是在测试网络中重放真实网络中捕获的流量,这种测试方式的缺陷是无法将新的入侵手段及时有效地加入流量中。
一种比较合理的测试方法是,搜集所有已知的攻击工具,并将这些工具产生的攻击流与背景流混合。
对背景流的流量和攻击流的比例进行控制,可以得知IDS在何种情况下会出现丢包、漏报或误报等情况。
DARPA与IDS测试理论DARPAl23J于1998年启动了一项入侵检测系统评估项目。
它主要涉及背景流的生成和恶意攻击行为的研究。
通过使用在背景流中混杂恶意数据的方式,可以测试IDS的算法和系统设计是否合理。
虽然该项目于1999年终止,但它留下了大量可用的测试数据,成为评估入侵检测系统的重要数据来源,是迄今为止最权威的IDS评估。
DARPA是第一个系统地测试和评估IDS的项目,其工作是开创性的。
DARPA所关注的不是测试一个完整的IDS,而是评估IDS时所采用的技术手段。
由于从未有人研究过类似的问题,在项目的开始阶段,没有测试标准可依,也没有用于测试的标准攻击、背景流和已知的理论。
DARPA采用如下的方式对IDS进行评估。
它包含两种测试数据离线训练数据TrainingData和在线测试数据TestingData。
离线数据是时长7星期,其中标明了哪些数据包是正常的,哪些数据包是恶意的,它们可以用于训练入侵检测系统,使入侵检测系统完成对网络情况的学习。
在线数据时长2星期,用于模拟真实网络。
在使用这些数据时,使用tcpreplay将其重放。
有几种方式可以得到背景流数据。
最简单的方式是在真实网络中安装侦听器,收集网络中所有数据。
然而由于这些数据中常常包含用户名、密码等隐私信息,公布它们是不妥当的。
另一种方式是仔细分析这些数据,把隐私信息从中剔除。
这项工作是艰巨的,研究者不但要面对海量的数据,还需要有扎实的专业基础,因为在这些数据中可能混杂着攻击数据。
最后一种方式是将都提取并重新合成所有会话。
这将避免隐私信息的泄露,还可以自动生成实验所需要的数据。
DARPA使用最后一种方式获取网络数据,其网络环境主要是Unix服务器群,主要的协议有HTTP、XWindows、SQL、SMTP、POP3、FTP、Telnet和DNS等。
大约120种攻击工具被分为38类加入这些数据中,后来,又在实验网络中加入了一些受害WindowsNT服务器。
虽然业界对DARPA存有很多批评,但它对IDS测试有着极其重要的贡献,也为今后的工作奠定了基础,其测试数据在今天仍然有一定价值。
近年来,网络数据的成分已发生重大变化。
过去,网络中大约70%左右的流量都是HTTP协议。
现在,P2P软件如BT、Emule、PPLive的盛行使网络中有大约一半流量流向不知名的端口,高峰时可能达到整个网络流量的20%.30%。
而且更多的攻击工具和攻击手段也层出不穷,使用1999年的数据测试现在的IDS,已是不合时宜的了。
但DARPA所指出的测试IDS的方法,仍然是适用的。
第四章测试IDS需要解决的问题使用DARPA的思想生成用于测试IDS的流量时,需要解决两个问题。
一是如何生成背景流,背景流是不含任何恶意的数据包的流量。
二是如何生成攻击。
两种流量经过混合后,进入入侵检测系统。
一个具有良好适应性的IDS应当能准确地从背景流中区分出攻击数据。
模拟真实网络环境的背景流是十分必要的,然而这很困难。
采用SmartBits流量发生器人工生成的请求通常是伪造源地址的虚假请求,它们是完全随机的,但真实的网络中并非如此。
而基于统计的用户行为分析模型常常针对某个特定网络或站点,其结果的一般性值得商榷。
脚本工具用于模拟用户行为。
它们可以模拟成一个网络浏览器,或者FTP、POP、SMTP和Telnet客户端。
由于这类工具少有分析用户行为,它们往往发送完全随机的请求。
由于请求数量太大,这使它像一个DoS工具,令服务器过载。
另外,从服务器返回的巨大流量也会影响脚本工具的正常运行。
攻击流量通常基于攻击特征数据库,其中保存了所有恶意流,测试者可在必要的时候发动攻击。
这个数据库需要维护和更新,因为每天都可能出现新的攻击。
目前,使用穷举所有攻击的方式来测试IDS是不可行的。
可行的方法是为每一种攻击类型选取有代表性的攻击案例。
这种方式称作等价划分。
结束语随着互联网的飞速发展,网络在人们的生产、生活中扮演着越来越重要的角色。
企业和国家对网络的依赖,也使网络安全事故的数量逐年上升。
国家、企业、学校、个人正在受到来自病毒、木马、后门和黑客入侵等多种威胁。
它们不仅可能会影响人们正常生活和工作,还可能直接造成财产损失。
2003年冲击波和2004年震荡波蠕虫泛滥,导致世界上数亿台主机不停地倒计时重启,给人们留下深刻的记忆。
而现在,恶意软件和网络攻击手段越来越隐蔽,普通用户几乎觉察不到它的存在。
同时,网络攻击的目的性越来越强,由于互联网具有难以追踪、隐蔽性强等特点,网络犯罪发案率呈明显上升趋势。
通过木马窃取用户密码、银行帐号、个人资料的案例屡见不鲜,一些软件出于商业目的,客户机上强制安装且无法彻底删除,一些组织以攻击或破坏网站为要挟,向企业敲诈勒索的情况也时有发生。
国际上成千上万个被黑客控制的僵尸网络也对网络安全留下了巨大的隐患。
人们对网络安全的关注,使网络安全产品数量和种类明显上升。
入侵检测系统和入侵防御系统是网络安全中的热点话题之一。
当发生网络安全事件时,人们希望入侵检测系统能及时、准确地报警,或者采取相应措施阻断攻击。
开发具有自主知识产权的入侵检测系统对国家安全有着重要的作用。
入侵检测系统可以是软件,也可以是硬件。
软件具有灵活性好等优势,但速度难以进一步提高。
修改和完善现有的优秀开源入侵检测系统,并将其移植到开源的嵌入式系统中,是目前在硬件实现高速入侵检测系统的一种可行方法。
虽然其性能与ASIC相比有一定差距,但它更灵活、更易于实现。
升级会员 