入侵检测技术.ppt

1、入侵检测技术入侵检测技术引言引言 防火墙是所有保护网络的方法中最能普遍接受的方法，防火墙是所有保护网络的方法中最能普遍接受的方法，能阻挡外部入侵者，但对内部攻击无能为力；同时，防火能阻挡外部入侵者，但对内部攻击无能为力；同时，防火墙绝对不是坚不可摧的，即使是某些防火墙本身也会引起墙绝对不是坚不可摧的，即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门，不提供一些安全问题。防火墙不能防止通向站点的后门，不提供对内部的保护，无法防范数据驱动型的攻击，不能防止用对内部的保护，无法防范数据驱动型的攻击，不能防止用户由户由InternetInternet上下载被病毒感染的计算机程序或

2、将该类程上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。序附在电子邮件上传输。入侵检测是防火墙的合理补充，它帮助系统对付网络入侵检测是防火墙的合理补充，它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力攻击，扩展了系统管理员的安全管理能力(包括安全审计、包括安全审计、监视、进攻识别和响应监视、进攻识别和响应)，提高了信息安全基础结构的完整，提高了信息安全基础结构的完整性。性。相关术语攻击攻击攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取/破坏破坏/篡改目标系统的数据或访问权限篡改目标系统的数据或访

3、问权限事件事件在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。件常常具有一系列属性和详细的描述信息可供用户查看。CIDF 将入侵检测系统将入侵检测系统需要分析的数据统称为事件（需要分析的数据统称为事件（event）入侵入侵对信息系统的非授权访问及（或）未经许可在信息系统中进行操作对信息系统的非授权访问及（或）未经许可在信息系统中进行操作入侵检测入侵检测对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程对企图入侵、正在进行的入侵或已经发生的入侵进行识

4、别的过程入侵检测系统（入侵检测系统（IDS）用于辅助进行入侵检测或者独立进行入侵检测的自动化工具用于辅助进行入侵检测或者独立进行入侵检测的自动化工具4.5入侵检测系统IDS IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机摄像机=探测引擎探测引擎Card KeyCard Key形象地说，形象地说，IDSIDS就是网络摄象

5、机，能够捕获并记录网络上的所有数据，同时就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是它还是X X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。阻断连接、关闭道路（与防火墙联动）。4.5入侵检测系统IDS入侵检测系统入

6、侵检测系统 Firewall FirewallServersDMZDMZIDS AgentIntranetIntranet监控中心监控中心router攻击者攻击者发现攻击发现攻击发现攻击发现攻击发现攻击发现攻击报警报警报警报警IDS Agent入侵检测系统的作用实时检测实时地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态，找出所需要的证据主动响应主动切断连接或与防火墙联动，调用其他程序处理入侵检测系统的类型 IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类。根据信息来源可分为基于主机IDS和基于网络的

7、IDS，根据检测方法又可分为异常入侵检测和误用入侵检测IDS有两种类型。基于主机的入侵检测系统基于主机的入侵检测系统系统安装在主机上面，对本主机进行安全检测优点：能够检查到基于网络的系统检查不出的攻击。误报率要低不要求额外的硬件设备可监视特定的系统活动不足基于主机的IDS需要安装在需要保护的设备上，降低系统效率，同时也会带来一些额外的安全问题。事后检测，而非实时全面部署主机入侵检测系统的代价较大。基于网络的入侵检测系统系统安装在比较重要的网段内特点检测基于主机的系统检测不到的攻击。实时检测和响应保留攻击证据操作系统无关性不足需要检测的信息量太大无法在交换式环境以及加密环境中检测容易受到拒绝服务

8、攻击逃避网络检测的技术层出不穷。混合型混合型安装在网络节点的主机中，结合基于主机的和基于网络的技术，适合于高速交换环境和加密数据。基于主机的和基于网络的两个系统在很大程度上是互补的许多安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统，即组建混合型入侵检测系统。异常检测（Anomaly Detection）异常检测（Anomaly Detection）基于统计分析原理。首先总结正常操作应该具有的特征（用户轮廓），试图用定量的方式加以描述，当用户活动与正常行为有重大偏离时即被认为是入侵。前提：入侵是异常活动的子集。指标：漏报率低，误报率高。用户轮廓(Profile)：通常定义为各种行为

9、参数及其阀值的集合，用于描述正常行为范围。特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率；不需要对每种入侵行为进行定义，因此能有效检测未知的入侵；系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。误用检测（Misuse Detection）误用检测（Misuse Detection）基于模式匹配原理。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。前提：所有的入侵行为都有可被检测到的特征。指标：误报低、漏报高。攻击特征库：当监测的用户或系统行为与库中的记录相匹配时，系

10、统就认为这种行为是入侵。特点：采用模式匹配，误用模式能明显降低误报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力。入侵检测系统的工作流程及部署 一、入侵检测系统的工作流程信息收集 数据分析实时记录、报警或有限度反击一、入侵检测系统的工作流程1.信息收集 入侵检测的第一步是信息收集，内容包括网络流量的内容、用户连接活动的状态和行为。入侵检测利用的信息一般来自以下四个方面系统日志目录以及文件中的异常改变程序执行中的异常行为物理形式的入侵信息一、入侵检测系统的工作流程2.数据分析 对 收集到的信息，一般分为四种手段进行分析：模式匹配，统计分析，专家系统和完整性分析。其中前三种方法用

11、于实时的入侵检测，而完整性分析则用于事后分析。1.模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。2.统计分析分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。3.智能化入侵检测：即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。4.完整性分析 完整性分析主要关注某个文件或对象是

12、否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。二、入侵检测系统的部署入侵检测系统一般部署结构 一个网络型的入侵检测系统由入侵检测控制台（console）以及探测器（sensor）组成。控制台、探测器可以是现成的硬件产品，也可以是软件产品，安装在服务器上（Unix，NT系统都可以）。sensor负责侦听网络中的所有数据包，console负责搜集sensor汇报上来的侦听数据并与数据库中的特征库进行匹配，然后产品报警日志等提示信息。二、入侵检测系统的部署 IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，所关注流量指的是来自高危网络区域的访问流量

13、和需要进行统计、监视的网络报文。IDS在交换式网络中的位置一般选择在：尽可能靠近攻击源尽可能靠近受保护资源这些位置通常是：服务器区域的交换机上Internet接入路由器之后的第一台交换机上重点保护网段的局域网交换机上入侵防御系入侵防御系统简介介 IDS IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。因此，人们迫切地需要找到一种主动入侵防护解决止在网络之外。因此，人们迫切地需要找到一种主动入侵防护解决方案，以确保企业网络在威胁四起的环境下正常运行。方案，以确保企业网络在威胁四起的环境下正常运行。入侵防御系统（入侵防御系统（

14、Intrusion Prevention SystemIntrusion Prevention System或或Intrusion Intrusion Detection PreventionDetection Prevention，即，即IPSIPS或或IDPIDP）就应运而生了。）就应运而生了。IPSIPS是一种是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。保护信息系统不

15、受实质性的攻击。IPSIPS使得使得IDSIDS和防火墙走向统一。和防火墙走向统一。IPS IPS在网络中一般有四种连接方式：在网络中一般有四种连接方式：SpanSpan（接在交换机旁边，作为端接在交换机旁边，作为端口映像）、口映像）、TapTap（接在交换机与路由器中间，旁路安装，拷贝一份数据到接在交换机与路由器中间，旁路安装，拷贝一份数据到IPSIPS中）、中）、InlineInline（接在交换机与路由器中间，在线安装，在线阻断攻击）和（接在交换机与路由器中间，在线安装，在线阻断攻击）和Port-Port-clustercluster（被动抓包，在线安装）。（被动抓包，在线安装）。它在报

16、警的同时，能阻断攻击。它在报警的同时，能阻断攻击。IPS的作用除了杀毒工具，我们还有一种方法对抗恶意代码和僵尸网络攻击：入侵防御系统。多数基于网络的IPS有它们自己的特征库用于检测漏洞和攻击性数据流。其中一些更进一步。但是为应付日益增多的逐渐加强的攻击，必须保证IPS本身的特征数据库是最新的。IPS的原理1.IPS的原理 将入侵防御技术应用到具体的网络环境中后，就形成了入侵防御系统IPS。入侵防御技术是在入侵检测技术的基础上增加了主动响应的功能，一旦发现有攻击行为，则立即响应，并且主动切断连接。IPS能够实时检测入侵、防止入侵的原理在于IPS拥有大量的过滤器，针对不同的攻击行为，IPS需要不同的过滤器，每种过滤器都设有相应的过滤规则。当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。IPS的原理IPS数据包处理引擎可以深层检查数据包的内容。如果有攻击者利用从数据链路层到应用层的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。所以流经IPS的数据包将数据包将依据数据包中的包头信息，如源IP地址和目的IP地址、端口号等进行分类。每种过滤器负责分析相对应的数据包。通过检查的