1、第8章 入侵检测技术,8.1 概述 8.2 IDS功能与模型 8.3 IDS技术原理 8.4 IDS的局限性 8.5 Snort 8.6 蜜罐技术 习题,8.1 概 述,IDS是入侵检测系统(Intrusion Detection System)的缩写,它通过对计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作,保证网络安全的运行。,Anderson在1980年首次引入了入侵检测的
2、概念。他定义入侵检测就是发现入侵企图或潜在的可能会导致非认证存取和操纵信息或导致系统不可靠和不可用的技术。从这以后,检测入侵的技术得到了广泛的研究。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS)。IDS是一个识别认证用户滥用和非认证用户使用网络或计算机资源行为的系统。入侵检测技术是基于这样一个假设:入侵行为与正常的行为相比有显著的不同,因而是可以被侦测到的。,在实际应用环境中,入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,包括安全审计监视、入侵识别和响应,提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的另一道安全闸门。在不影响网络性能的
3、情况下,IDS能对网络进行监测,从而提供对内部攻击、外部攻击和误操作进行实时监控。入侵检测也是保障系统动态安全的核心技术之一。,8.2 IDS功能与模型,1入侵检测系统的功能入侵检测系统作为一种积极的安全防护工具,提供了对内部攻击、外部攻击和误操作的实时防护,在计算机网络和系统受到危害之前进行报警、拦截和响应。它具有以下主要作用:(1) 通过检测和记录网络中的安全违规行为,追踪网络犯罪,防止网络入侵事件的发生。(2) 检测其他安全措施未能阻止的攻击或安全违规行为。(3) 检测黑客在攻击前的探测行为,预先给管理员发出警报。,(4) 报告计算机系统或网络中存在的安全威胁。(5) 提供有关攻击的信息
4、,帮助管理员诊断网络中存在的安全弱点,利于其进行修补。(6) 在大型、复杂的计算机网络中布置入侵检测系统,可以显著提高网络安全管理的质量。,2IDS系统一般模型与框架Dennying于1987年提出经典的入侵检测一般模型,如图8-1所示。该模型由以下6个主要部分构成:(1) 主体(Subjects)是指目标系统上活动的实体,如用户。(2) 客体(Objects)是指系统资源,如文件、设备和命令等。,(3) 审计记录(Audit records)由Subject、Action、Object、Exception-Condition、Resource-Usage和Time-Stamp构成的六元组。动
5、作(Action)是主体对客体的操作,对操作系统而言,这些操作包括读、写、登录、退出等;异常条件(Exception-Condition)是指系统对主体活动产生异常报告的条件,如违反系统读写权限;资源使用状况(Resource-Usage)是指系统的资源消耗情况,如CPU和内存使用率等;时间戳(Time-Stamp)是动作发生的时间。,(4) 行为轮廓(Activity Profile)是用以保存主体正常活动的有关信息,具体实现依赖于检测方法。在统计方法中从事件数量、频度和资源消耗等方面度量,可以使用方差、马尔可夫链模型等方法来实现。 (5) 异常记录(Anomaly Record)由Even
6、t、Time-stamp和Profile组成。用以表示异常事件的发生情况。(6) 活动规则是指规则集是检查入侵是否发生的处理引擎,结合行为轮廓可用专家系统或统计方法等来分析接收到的审计记录,从而调整内部规则或统计信息,在判断有入侵发生时采取相应的措施。,图8-1 入侵检测的通用模型,CIDF阐述了一个入侵检测系统通用框架。它将一个入侵检测系统分为以下组件:(1) 事件产生器E(Event generators)。(2) 事件分析器A(Event analyzers)。(3) 响应单元R(Response unite)。(4) 事件数据库D(Event database)。,8.3 IDS技术原
7、理,1IDS分类1) 异常检测和滥用检测(1) 异常检测:异常检测的前提条件是将入侵活动作为异常活动的子集,理想状况是异常活动与入侵活动集等同。这意味着在理论上可以为系统建立一个正常的行为轮廓(normal activity profile),偏离正常行为轮廓的行为都将被认为是异常行为。异常检测技术是通过计算审计数据(audit trails)与一个期望的正常行为描述的模型之间的偏差来判断入侵与否。异常审计数据可以包括用户行为、特权程序的行为和网络数据等。正常行为模型可以用统计方法、启发式智能机器学习方法和神经网络等方法来生成。,图8-2 一般异常检测原理图,(2) 滥用检测(特征匹配检测):
8、假设攻击总可以用一种模式或属性来表示,以至于相同的攻击甚至变化的攻击可以被检测出。特征匹配检测技术是通过扫描审计数据,看是否与已知攻击特征匹配来判断入侵与否。滥用检测技术可以用专家系统和Petri网等方法来实现。滥用检测的一般原理图如图8-3所示。一般地,滥用检测的误报警率较低,但只能检测出已知的攻击。,图8-3 一般滥用检测原理图,2) 基于网络的检测和基于主机的检测(1) 基于网络的检测:基于网络的IDS是使用原始的网络分组数据包作为进行攻击分析的数据源。一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击,IDS应答模块通过通知报警以及中断连接等方式来对攻击做
9、出反应。基于网络的IDS的主要优点有: 低成本。 攻击者转移入侵证据很困难。, 实时检测和应答,一旦发生攻击基于网络的IDS检测可以随时发现它们,因此能够更快地作出反应从而将入侵活动对系统的破坏减到最低。 能够检测未成功的或试探性的攻击企图。 与操作系统独立,基于网络的IDS并不依赖主机的操作系统类型,而基于主机的系统需要特定的操作系统才能发挥作用。,(2) 基于主机的检测:基于主机的IDS是监视操作系统安全日志以及关键应用的日志文件的。基于主机的IDS的主要优势有: 非常适用于加密和交换网络环境。 接近实时的检测和应答。 不需要额外的硬件。 能实现应用级的入侵检测。,2检测引擎常用技术1)
10、统计方法基于统计的IDS是利用统计模型、概率模型和随机过程等来识别入侵行为,也称为SBIDS(statistical-based intrusion detection systems)。SBIDS利用分析审计数据,比较与典型轮廓或预测轮廓的偏离程度来发现违反安全规则的行为。SBIDS最大的优点可以在没有系统缺陷和攻击手段的先验知识的情况下检测出攻击行为来。SBIDS典型情况被应用于基于统计异常检测中。统计检测算法至少在1988年前就出现了。几个原型系统包括Haystack、IDES和MIDAS。SBIDS的不足之处是正常行为轮廓必须经常更新,而且统计模型的门限值的确定一般来讲比较困难。,2)
11、 专家系统专家系统用于入侵检测,首先要对已知入侵特征进行抽取与表达,并建立一个完备的专家库系统,然后利用专家库判断当前的行为是否属于正常行为。NIDES就是一个具有专家系统模块的IDS。基于专家系统的IDS的缺点是要建立一个完备的专家库是很困难的,而且只能由专家才能完成正确的入侵特征抽取与表达。另外基于专家系统的IDS一般只能对已知的入侵方法才有效。,3) 神经网络用于入侵检测的神经网络,首先搜集一定量的入侵信号数据集来训练固定结构的神经网络,然后对入侵信号序列进行预测。神经网络在经过一定数量的已知信号序列训练后,能够预报出下一时刻的信号。神经网络的结构是决定神经网络的非线性映射(包括动态与静
12、态)的关键,如果应用具有自动结构调整的神经网络进行入侵检测,将会大大提高入侵检测的效率及准确性。但神经网络的连接权系数难以确定,其输出准确性往往依赖于已知入侵信号集合的大小。,4) 状态转移分析状态转移分析方法是将入侵方法转化成一系列从初始化的安全状态到危险状态的模型。用状态转移图来代表入侵行为,而每一个状态则代表入侵过程中必须完成的关键事件。状态转移分析检测入侵的关键是要建立精确的状态转移模型和正确识别关键事件。,5) Petri网Petri网模型能直观和简洁地表达出具有存在、顺序和偏序特征的攻击,并能在此基础上推理识别出攻击等。使用Petri网来发现一个攻击意味着将攻击用Petri网来描述
13、,并要求对于给定的每个事件按照Petri网的变迁来确定它的输出,若在最终位置上得到一个Token,我们就说发现了一个攻击。但由于Petri网模型用于入侵检测时要对大量的历史数据进行记录和分析,因而不可避免地存在着空间复杂度高和推理时间长等问题。,6) 计算机免疫生物免疫系统的自我保护机制对设计入侵检测系统具有很好的借鉴意义。通过抽取生物免疫系统中所蕴涵的各种信息处理机制,将系统的行为分为正常和异常行为,分别对应为系统的自我与非我。系统中蕴涵的生物免疫机制主要有非我识别机制和免疫进化机制等。生物免疫的自我保护机制在入侵检测系统方面具有很好的应用前景。,7) Agent技术为了IDS能在分布式环境
14、中更好地工作,要解决好传统IDS在分布环境中的配置性、扩展性、协调性和效率性等问题。用Agent来解决分布式IDS的问题,主要思想是利用相对独立自治的实体Agent来完成审计数据收集或数据分析工作,从而完成IDS在分布环境中的协同工作,消除不同系统的差别因素。,8) 其他检测技术近年来,还有在IDS中应用人工智能及其他技术的研究,如遗传算法、数据挖掘和粗糙集理论等。,8.4 IDS的局限性,根据国外权威机构近来发布的入侵检测产品评测报告,目前主流的入侵检测系统大都存在三个问题:一是存在过多的报警信息,即使在没有恶意攻击时,入侵检测系统也会发出大量报警。二是入侵检测系统自身的抗攻击能力差。我们知
15、道,入侵检测系统的智能分析能力越强,处理越复杂,抗攻击的能力就越差。目前入侵检测系统的设计趋势是,越来越多地追踪和分析网络数据流状态,使系统的智能分析能力得到提高,但由此引起的弊端是系统的健壮性被削弱,并且,对高带宽网络的适应能力有所下降。三是缺乏检测高水平攻击者的有效手段。现有的入侵检测系统一般都设置了阈值,但攻击者如果将网络探测、攻击速度和频率控制在阈值之下,入侵检测系统就不会报警。,8.5 Snort,1概述它的特点有:(1) Snort虽然功能强大,但是其代码极为简洁、短小。Snort可移植性非常好。Snort的跨平台性能极佳,目前已经支持Linux系列、Solaris、BSD系列、I
16、RIX、HP-UX、Windows系列、ScoOpenserver和Unixware等。,(2) Snort具有实时流量分析和日志IP网数据包的能力。能够快速检测网络攻击,及时地发出警报。Snort的警报机制很丰富。例如,Syslog、用户指定文件、UnixSocket,还有使用SAMBA协议向Windows客户程序发出WinPopup消息等。利用XML插件,Snort可以使用简单网络标记语言(SNML,Simple Network Markup Language),把日志存放在一个文件或者适时警报。,(3) Snort能够进行协议分析、内容的搜索/匹配。现在Snort能够分析的协议有TCP、
17、UDP和ICMP。将来的版本将提供对ARP、ICRP、GRE、OSPF、RIP、ERIP、IPX、APPLEX等协议的支持。它能够检测多种方式的攻击和探测,例如缓冲区溢出、CGI攻击、SMB检测、探测操作系统指纹特征的企图等等。(4) Snort的日志格式既可以是Tcpdump的二进制格式,也可以编码成ASCII字符形式。使用数据库输出插件,Snort可以把日志记入数据库。当前支持的数据库包括Postagresql、MySQL、UnixODBC、MicrosoftMsSQL,还有Oracle等数据库。,(5) 使用TCP流插件(TCPSTREAM),Snort可以对TCP包进行重组。Snort
18、能够对IP包的内容进行匹配,但是对于TCP攻击,如果攻击者使用一个程序,每次发送只有一个字节的数据包,则完全可以避开Snort的模式匹配。而被攻击的主机的TCP堆栈会重组这些数据,将其发送给目标端口上监听的进程,从而使攻击包逃过Snort的监视。使用TCP流插件,可以对TCP包进行缓冲,然后进行匹配,使Snort具备对付上面攻击的能力。(6) 使用SPADE(Statistical Packet Anomaly Detection Engine)插件,Snort能够报告非正常的可疑包统计特性,从而实现对端口扫描的检测。,(7) Snort还有很强的系统防护能力。如可以用IPTables和IPF
19、ilter插件使入侵检测主机与防火墙联动,通过FlexResp功能,Snort能够命令防火墙主动断开恶意连接。(8) 扩展性能较好,对于新的攻击威胁反应迅速。作为一个轻量级的网络入侵检测系统,Snort有足够的扩展能力。它使用一种简单的规则描述语言(很多商用入侵检测系统都兼容Snort的规则语言)。最简单的规则语言包含四个域(处理动作、协议、方向和端口)。例如Log Tcp Any Any - 10.1.1.0/24 80。,(9) Snort支持插件。Snort支持的插件包括数据库日志输出插件、破碎数据包检测插件、端口扫描检测插件、HTTP URI插件和XML网页生成插件等。总之,对于世界上
20、各安全组织来讲,Snort入侵检测都是一个优秀入侵检测系统的标准。通过研究它,我们可以学到入侵检测系统的内部框架及工作流程(也包括同类型的商业入侵检测系统的框架及工作流程)。,2安装使用Snort是由Martin Roesch编写的,可以从http:/www.snort.org/下载。该网站除了提供源码下载外还提供适用于常用平台的二进制版本。但在下载和安装Snort之前,请先在UNIX平台安装捕获数据包libpcap,而在Win平台需要先安装winpcap。安装Snort很简单,如同安装其他典型的UNIX工具一样,安装步骤包括./configure,接下来是make,最后用make insta
21、ll安装所有的Snort文件。此时,你还没有完全做好准备运行Snort,在运行Snort之前,先创建它的规则配置文件。Win平台可直接运行Snort的二进制安装包。,8.6 蜜 罐 技 术,1蜜罐技术简介蜜罐(Honeypot)是诱捕攻击者的一个陷阱。专门为吸引并诱骗那些试图非法闯入他人计算机系统的人(如电脑黑客)而设计的。蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。由于蜜罐并没有向外界提供真正有价值的服务,因此所有对蜜罐的尝试都被视为可疑的。蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。,2蜜罐的特点与分类1
22、) 蜜罐的特点(1) 收集数据的保真度,由于蜜罐不提供任何实际的作用,因此其收集到的数据很少,同时收集到的数据很大可能就是由于黑客攻击造成的。蜜罐不依赖于任何复杂的检测技术,因此减少了漏报率和误报率。(2) 使用蜜罐技术能够收集到新的攻击工具和攻击方法,而不像目前的大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。,(3) 蜜罐技术不需要强大的资源支持,可以使用一些低成本的设备构建蜜罐,不需要大量的资金投入。(4) 相对入侵检测等其他技术,蜜罐技术比较简单,使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。(5) 一般它不是一个单一的系统,而是一个网络,是一种高度相互作用提供各种虚
23、拟服务功能的多个系统和应用软件的组合。(6) 目前放置在Honeynet内的系统都倾向实际的产品系统,即真实的系统和应用软件,而不是仿效的。,蜜罐技术也存在着一些缺陷,主要有:(1) 需要较多的时间和精力投入。(2) 蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析,其视图较为有限,(3) 不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。(4) 蜜罐技术不能直接防护有漏洞的信息系统。(5) 部署蜜罐会带来一定的安全风险。,2) 蜜罐的分类蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类。产品型蜜罐的目的在于为一个组织的网络提供安全保护,包括检测攻击、防止攻击造成破坏及帮助管理员对攻
24、击做出及时且正确的响应等功能。一般产品型蜜罐较容易部署,而且不需要管理员投入大量的工作。具有代表性的产品型蜜罐包括DTK、honeyd等开源工具和KFSensor、ManTraq等一系列的商业产品。研究型蜜罐则是专门用于对黑客攻击的捕获和分析,通过部署研究型蜜罐,对黑客攻击进行追踪和分析,能够捕获黑客的键击记录,了解到黑客所使用的攻击工具及攻击方法,甚至能够监听到黑客之间的交谈,从而掌握他们的心理状态等信息。研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作,具有代表性的工具是“蜜网项目组”所推出的第二代蜜网技术。,蜜罐还可以按照其交互度的等级划分为低交互蜜罐和高交互蜜罐,交互度
25、反应了黑客在蜜罐上进行攻击活动的自由度。低交互蜜罐一般仅仅模拟操作系统和网络服务,较容易部署且风险较小,但黑客在低交互蜜罐中能够进行的攻击活动有限,因此通过低交互蜜罐能够收集的信息也有限。同时由于低交互蜜罐通常是模拟的虚拟蜜罐,或多或少存在着一些容易被黑客所识别的指纹信息。产品型蜜罐一般属于低交互蜜罐。高交互蜜罐则完全提供真实的操作系统和网络服务,没有任何的模拟,从黑客角度上看,高交互蜜罐完全是其垂涎已久的“活靶子”,因此在高交互蜜罐中,我们能够获得许多黑客攻击的信息。高交互蜜罐在提升黑客活动自由度的同时,自然地加大了部署和维护的复杂度及风险。研究型蜜罐一般都属于高交互蜜罐,如ManTrap属
26、于高交互蜜罐。,3蜜罐的主要技术(1) 网络欺骗技术:为了使蜜罐对入侵者更有吸引力,就要采用各种欺骗手段。例如在欺骗主机上模拟一些操作系统,一些网络攻击者最“喜欢”的端口和各种认为有入侵可能的漏洞。 (2) 端口重定向技术:端口重定向技术,可以在工作系统中模拟一个非工作服务。例如我们正常使用Web服务端口80,而用TELNET端口为23和FTP端口21重定向到蜜罐系统中,而实际上这两个服务是没有开启的,攻击者扫描时则发现这两个端口是开放的,而实际上两个端口是Honeypot虚拟出来的,对其服务器不产生危害性。,(3) 攻击(入侵)报警和数据控制:蜜罐系统本身就可以模拟成一个操作系统,我们可以把
27、其本身设定成为易被攻破的一台主机,也就是开放一些端口和弱口令之类的,并设定出相应的回应程序。如在Linux中的SHELL和FTP程序,当攻击者“入侵”进入系统(这里所指是Honeypot虚拟出来的系统)后,就相当于攻击者进入一个设定的“陷阱”,那么攻击者所做的一切都在其监视之中,如TELNET密码暴力破解、添加新用户、权限提升和删除(添加)文件,还可以给入侵者一个网络连接,让其进行网络传输,并作为跳板。,(4) 数据的捕获技术:在攻击者入侵的同时,蜜罐系统将记录攻击者输入输出信息、键盘记录信息、屏幕信息,以及攻击者曾使用过的工具,并分析攻击者所要进行的下一步。捕获的数据不能放在加有Honeyp
28、ot的主机上,因为有可能被攻击者发现,从而使其觉察到这是一个“陷阱”而提早退出。,4Tiny Honeypot介绍Tiny Honeypot是由George Bakos最初编写的,Tiny Honeypot最出色的一点就是系统容易受到攻击,不用担心电脑黑客和电脑高手们不能入侵。Tiny Honeypot具有入侵者入侵的信息和信息保存机制。,1) Tiny Honeypot在Linux平台的安装 首先要下载thp-0.4.6.tar.gz程序,然后执行下列命令: cd /usr/local #切换目录到/usr/local zcat thp-0.4.6.tar.gz | tar -xvf - #
29、解压gz文件 ln -s thp-0.4.6 thp #建立软链接 mkdir /var/log/hpot #新建目录 chown nobody:nobody /var/log/hpot #设定目录权限 chmod 700 /var/log/hpot #修改查看日志权限 cp ./thp/xinetd.d/* /etc/xinetd.d,edit xinetd files to change to :“disable = no“ #修改参数(后面详解) make any path & preferences adjustments in thp.conf & iptables.rules ./
30、thp/iptables.rules #修改规则 /etc/rc.d/init.d/portmap start #启动portmap pmap_set ./thp/fakerpc /etc/rc.d/init.d/xinetd start #启动xinetd,2) 配置过程(1) 建议在ROOT用户上进行安装,“chmod 700 /var/log/hpot”修改访问日志的权限,使只有ROOT才能对其进行访问。(2) edit xinetd files to change to :“disable = no“。(3) ./thp/iptables.rules 编辑iptables.rules访问规则,注意修改其ip_forward环境变量为0。(4) 对Honeypot进行网络配置及环境变量配置,如IP地址、允许正常使用的端口、Honeypot重定向的端口以及虚拟的网络服务。如正常使用80端口进行WWW服务,21、23端口进行虚拟。Honeypot可以虚拟出许多的服务,如FTP服务、WWW服务、远程SHELL和SMTP服务等。,习 题,8.1 入侵检测系统有哪些功能? 8.2 基于网络的和基于主机的IDS各有什么优缺点? 8.3 IDS常用的检测引擎技术有哪些? 8.4 IDS有哪些局限性? 8.5 什么是蜜罐系统? 8.6 构造一个蜜罐系统需要哪些主要技术?,
