单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,曾湘黔主编:网络安全技术,清华大学出版社出版,Internet,自身的开放性的特点,使得网络安全防护的方式发生了很大变化,传统的网络强调统一而集中的安全管理和控制,可采取加密、认证、访问控制、审计以及日志等多种技术手段,它们的实施,.,是由通信双方共同完成:因为,Internet,网络结构错综复杂,因此安全防护方式截然不同。,Internet,的安全技术涉及传统的网络安全技术和分布式网络安全技术,主要是解决如何利用,Internet,进行安全通信,同时保护内部网络免受外部攻击。于是在此情况下,出现了防火墙和入侵检测技术。,第,8,章 入侵检测技术,曾湘黔主编:网络安全技术,8.1,入侵检测概述,8.1.1,入侵检测原理,8.1.2,入侵检测系统结构,8.1.3,入侵检测系统分类,8.2,入侵检测技术,8.2.1,入侵检测分析模型,8.2.2,误用检测,8.2.3,异常检测,8.2.4,其他检测技术,8.3,入侵检测系统的标准,8.3.1 IETF/IDWG,8.3.2 CIDF,8.4,入侵检测系统部署,8.4.1,入侵检测系统部署的原则,8.4.2,入侵检测系统部署实例,8.4.3,入侵检测特征库的建立与应用,第,8,章 入侵检测技术,8.1 入侵检测概述第8章 入侵检测技术,曾湘黔主编:网络安全技术,清华大学出版社出版,8.5,典型入侵检测产品简介,8.5.1,入侵检测工具,Snort,8.5.2 Cisco,公司的,NetRanger,8.5.3 Network Associates,公司的,CyberCop,8.5.4 Internet Security System,公司的,RealSecure,8.5.5,中科网威的“天眼”入侵检测系统,8.6,案例,8.6.1 Snort,的安装与使用,第,8,章 入侵检测技术,曾湘黔主编:网络安全技术,曾湘黔主编:网络安全技术,清华大学出版社出版,入侵是所有试图破坏网络信息的完整性、保密性、可用性、可信任性的行为。入侵是一个广义的概念,不仅包括发起攻击的人取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝服务等危害计算机和网络的行为。,入侵检测作为安全技术其作用在于:,识别入侵者,识别入侵行为,检测和监视己成功的安全突破,为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。,8.1,入侵检测概述,曾湘黔主编:网络安全技术,曾湘黔主编:网络安全技术,清华大学出版社出版,通过监视受保护系统的状态和活动,采用误用检测或异常检测的方式,发现非授权或恶意的系统及网络行为,为防范入侵行为提供有效的手段。,8.1.1,入侵检测原理,曾湘黔主编:网络安全技术,曾湘黔主编:网络安全技术,清华大学出版社出版,为解决入侵检测系统之间的互操作性,国际上的一些研究组织开展了标准化工作,目前对,IDS,进行标准化工作的有两个组织:,IETF,的,Intrusion Detection Working Group,(,IDWG,)和,Common Intrusion Detection Framework,(,CIDF,)。,CIDF,模型模型结构如图,8-1,所示。,图,8-1 CIDF,模型结构图,8.1.2,入侵检测系统结构,曾湘黔主编:网络安全技术,曾湘黔主编:网络安全技术,清华大学出版社出版,从系统构成上看,入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管理四大部分,另外还可能结合安全知识库、数据存储等功能模块,提供更为完善的安全检测及数据分析功能。如图,8-2,所示。,图,8-2,系统构成,8.1.2,入侵检测系统结构,曾湘黔主编:网络安全技术,曾湘黔主编:网络安全技术,清华大学出版社出版,1.IDS,在结构上可划分为数据收集和数据分析两部分。,(,1,)数据收集机制,分布式与集中式数据收集机制。,直接监控和间接监控。,基于主机的数据收集和基于网络的数据收集。,外部探测器和内部探测器,(,2,)数据分析机制,根据,IDS,如何处理数据,可以将,IDS,分为分布式,IDS,和集中式,IDS,。,分布式,IDS,:在一些与受监视组件相应的位置对数据进行分析的,IDS,。,集中式,IDS,:在一些固定且不受监视组件数量限制的位置对数据进行分析的,IDS,。,(,3,)缩短数据收集与数据分析的距离,在实际操作过程中,数据收集和数据分析通常被划分成两个步骤,在不同的时间甚至是不同的地点进行。但这一分离存在着缺点,在实际使用过程中,数据收集与数据分析功能之间应尽量缩短距离。,8.1.2,入侵检测系统结构,曾湘黔主编:网络安全技术,曾湘黔主编:网络安全技术,清华大学出版社出版,根据入侵检测采用的技术,可以分为异常检测和误用检测。根据入侵检测监测的对象和所处的位置,分为基于网络和基于主机两种。,1.,基于网络的入侵检测系统,基于网络的入侵检测系统以网络数据包作为分析数据源,在被监视网络的网络数据流中寻找攻击特征和异常特征。它通常利用一个土作在混杂模式卜的网卡来实时监视并分析通过网络的数据流,使用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为,其响应模块就做出适当的响应,如报警、切断网络连接等。,NIDS,优点是能检测许多基于主机的系统检测小到的攻击,而更可靠:具有更好的实时特性,对受保护的主机和网络系统的性能影响很小或几乎没有影响并且无需对原来的系统和结构进行改动;网络监听引擎是透明的,可以降低检测系统本身遭受攻击的可能性。其局限性是:无法检测物理的侵入被监视主机系统的活动、内部人员在授权范围内从事的非法活动和在网络数据包中无异常而只能通过主机状态的异常变化才能反映出来的攻击;在协议解析和模式匹配等方而的计算成本很高,不能检查加密的数据包,严重依赖于高层协议,(,如应用层,),的解析能力,不知道接收节点对数据包的处理过程以及由此引起的状态变化。,8.1.3,入侵检测系统分类,曾湘黔主编:网络安全技术,曾湘黔主编:网络安全技术,清华大学出版社出版,2,基于主机的入侵检测系统,基于主机的入侵检测是将检测系统安装在被重点检测的主机之上,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动可疑,(,特征或行为违反统计规律,),,入侵检测系统就会采取相应措施。其特点主要是对分析“可能的攻击行为”非常有用,不仅能够指出入侵者试图执行哪种“危险的命令”,还能分辨出入侵者运行了什么命令,进行了哪些操作、执行了哪些系统调用等。主机入侵检测系统与网络入侵检测系统相比,能够提供更为详尽的用户操作调用信息。,基于主机的入侵检测系统有集中式和分布式两种体系结构,这两种结构都是基于代理的检测结构。代理是在目标系统上可执行的小程序,它们与命令控制平台进行通信。如果正确地操作,这些代理不会明显地降低口标系统的性能,但它们会带来部署和支持方面的问题。,8.1.3,入侵检测系统分类,曾湘黔主编:网络安全技术,曾湘黔主编:网络安全技术,清华大学出版社出版,(,1,)集中式体系结构,该结构的特点是代理负责收集来自不同目标主机的日志,将日志进行预处理并转化为标准格式,山命令控制台对这些日志集中处理。,该系统有如下优点,:,能够将来自不同口标主机的审计信息进行集中处理,这种方式对目标机的性能影响很小或没有影响,这可以允许进行更复杂的检测。,可以创建日志,作为原始数据的数据档案,这些数据可用于起诉中。,可用于多主机标志检测。,可将存储在数据库中的告警信息和原始数据结合起来分析,这能帮助许多入侵检测,还可以进行数据辨析以查看长期趋势。,同时集中式系统也存在有以下的缺点:,除非口标机的数量较少或者检测引擎很快,否则会对实时检测或实时响 应带来影响。,将大量原始数据集中起来会影响网络通信量,8.1.3,入侵检测系统分类,曾湘黔主编:网络安全技术,曾湘黔主编:网络安全技术,清华大学出版社出版,(,2,)分布式体系结构,该结构的特点是将不同的代理安装在不同的目标机上,实时地分析数据,但记录本身在被目标机上的检测引擎分析提出有用信息之后就被丢弃了。该结构的优点是实时告警、实时响应。缺点是降低了口标机的性能,没有原始数据档案,降低了数据辨析能力。,8.1.3,入侵检测系统分类,曾湘黔主编:网络安全技术,曾湘黔主编:网络安全技术,清华大学出版社出版,人们多年来对入侵检测的研究,使得该研究领域已具有一定的规模和相应的理论体系。入侵检测的核心问题在于如何对安全审计数据进行分析,以检测其中是否包含入侵或异常行为的迹象。,分析是入侵检测的核心功能,它既能简单到像一个已熟悉日志情况的管理员去建立决策表,也能复杂得像一个集成了几百万个处理的非参数系统。入侵检测过程分析过程分为三部分:信息收集、信息分析和结果处理。,信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。,信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。,结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。,8.2,入侵检测技术,8.2.1,入侵检测分析模型,曾湘黔主编:网络安全技术,曾湘黔主编:网络安全技术,清华大学出版社出版,误用检测也被称为基于知识的检测,它指运用己知的攻击方法,根据己定义好的入侵模式,通过判断这些入侵模式是否出现来检测。,基于模式匹配的误用入侵检测模式匹配就是将捕获到的数据与己知网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。,基于专家系统的误用入侵检测,基于专家系统的误用入侵检测方法是通过将安全专家的知识表示成规则形成专家知识库,然后运用推理算法检测入侵。用专家系统对入侵进行检测,经常是针对有特征的入侵行为。所谓的规则,即是知识,专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。,在具体实现中,专家系统主要面临以下问题,:,难以科学地从各种入侵手段中抽象出全面地规则化知识;,所需处理地数据量过大,而且在大型系统上,如何实时连续地审计数据也是一个问题。,8.2.2,误用检测,曾湘黔主编:网络安全技术,曾湘黔主编:网络安全技术,清华大学出版社出版,异常检测也被称为基于行为的检测,基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵。基于行为的检测与系统相对无关,通用型较强。,异常检测方法主要有以下两种。,1.,统计分析,概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先,检测器根据用户对象的动作为每个用户都建立一个用户特征表,通过比较当前特征与己存储定型的以前特征,从而判断是否是异常行为。用户特征表需要根据审计记录情况不断地加以更新。,2,神经网络,神经网络方法是利用一个包含很多计算单兀的网络来完成复杂的映射函数,这些单元通过使用加权的连接相互作用。一个神经网络只是根据单元和它们间的权值连接编码成网络结构,实际的学习过程是通过改变权值和加入或移去连接进行的。神经网络处理分为两个阶段:首先,通过正常系统行为对该网络进行训练,调整其结构和权值:然后将所观测到的韦件流输入网络,由此判别这些事件流是正常,(,与训练数据匹配的,),还是异常。同时,系统也能利用这些观测到的数据进行训练,从而使网络可以学习系统行为的一些变化。,8.2.3,异常检测,曾湘黔主编:网络安全技术,曾湘黔主编:网络安全技术,清华大学出版社出版,1,基于规则的入侵检测,基于规则的入侵检测是通过观