1、第12章 入侵检测系统,主要内容,12.1 入侵检测定义 12.2 入侵检测系统分类 12.3 入侵检测方法 12.4 入侵检测发展 12.5 入侵检测系统的局限性 12.6 网络入侵检测系统Snort,12.1 入侵检测定义,入侵 指一系列试图破坏信息资源完整性、一致性和可用性的行为。 入侵检测 是通过从计算机网络系统中的若干关键节点收集信息,并分析这些信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为,是对指向计算和网络资源的恶意行为的识别和响应过程。 入侵检测系统(Intrusion Detection System,IDS) 入侵检测系统通过监视受保护系统的状态和活动,采用异
2、常检测或滥用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段,是一个完备的网络安全体系的重要组成部分。,入侵检测的通用流程,数据提取模块为系统提供数据,在获得原始数据以后需要对其进行简单的处理 数据分析模块对数据进行深入分析,发现攻击并根据分析的结果产生事件,传递给结果处理模块。 结果处理模块根据事件产生响应。响应可以是积极主动的,也可以是被动的,入侵检测系统的功能,识别黑客的常用入侵与攻击手段 监控网络异常通信 鉴别对系统漏洞及后门的利用 完善网络安全管理,12.2 入侵检测系统分类,基于主机的入侵检测系统 基于网络的入侵检测系统 分布式入侵检测系统,基于主机的入
3、侵检测系统 (Host-based IDS,HIDS),基于主机的入侵检测系统通常被安装在被保护的主机上,对该主机的网络实时连接以及系统审计日志进行分析和检查,当发现可疑行为和安全违规事件时,系统就会向管理员报警,以便采取措施。这些受保护的主机可以是Web服务器、邮件服务器、DNS服务器等关键主机设备。,主机的数据源,操作系统事件日志 应用程序日志 系统日志 关系数据库 Web服务器,Linux的日志文件:,/var/log/wtmp:用户登录历史/var/run/utmp:当前用户登录日志。/var/log/messages:内核消息日志/var/log/pacct:进程审计日志。还有其他一
4、些日志文件,位于var/log目录下,Sysevent.evtSecevent.evtAppevent.evt,Windows的日志文件:,Desktops,Web Servers,Telecommuters,Customers,Servers,Network,Branch Office,Partners,Host-based 入侵检测,Hacker,Host-based IDS,Host-based IDS,Internet,基于主机入侵检测系统工作原理,网络服务器1,客户端,网络服务器2,检测内容: 系统调用、端口调用、系统日志、安全审记、应用日志,HIDS,HIDS,HIDS在网络中的部
5、署,基于网络的入侵检测系统,安装在需要保护的网段中,实时监视网段中传输的各种数据包,并对这些数据包进行分析和检测。如果发现入侵行为或可疑事件,入侵检测系统就会发出警报甚至切断网络连接。它的工作层面是在路由器或主机级别扫描网络分组、审查分组信息,并在一个特殊文件中详细记录可疑分组。,Internet,NIDS,基于网络入侵检测系统工作原理,网络服务器1,数据包=包头信息+有效数据部分,客户端,网络服务器2,检测内容: 包头信息+有效数据部分,NIDS在网络中的部署,黑客入侵的过程和阶段,Network IDS,Host IDS,基于主机与基于网络IDS,分布式入侵检测系统,网络系统结构的复杂化和
6、大型化,使得: 系统的弱点或漏洞分散在网络中的各个主机上,这些弱点有可能被入侵者用来攻击网络,而仅依靠一个主机或网络的入侵检测系统很难发现入侵行为 入侵行为不再是单一的行为,而是表现出相互协作入侵的特点,例如分布式拒绝服务攻击 入侵检测所依靠的数据来源分散化,使得收集原始的检测数据变得比较困难,DIDS在网络中的部署,分布式入侵检测系统(DIDS)的目标是既能检测网络入侵行为,又能检测主机的入侵行为。,12.3 入侵检测方法,滥用检测(Misuse Detection) 异常检测(Anomaly Detection),滥用检测,滥用检测也被称为误用检测或者基于特征的检测。这种方法首先直接对入侵
7、行为进行特征化描述,建立某种或某类入侵特征行为的模式,如果发现当前行为与某个入侵模式一致,就表示发生了这种入侵。,滥用检测特点,前提:所有的入侵行为都有可被检测到的特征 攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵 过程监控 特征提取 匹配 判定 指标:误报低、漏报高,异常检测,基本思想: 任何人的正常行为都是有一定规律的,并且可以通过分析这些行为产生的日志信息(假定日志信息足够完全)总结出一些规律,而入侵和滥用行为则通常与正常行为会有比较大的差异,通过检查出这些差异就可以检测出入侵。 主要方法 为正常行为建立一个规则集,称为正常行为模式,也称为正常轮廓(
8、normal profile),也被称为“用户轮廓”,当用户活动和正常轮廓有较大偏离的时候认为异常或入侵行为。这样能够检测出非法的入侵行为甚至是通过未知攻击方法进行的入侵行为,此外不属于入侵的异常用户行为(滥用自己的权限)也能被检测到。,异常检测方法的基本流程,异常检测特点,前提:入侵是异常活动的子集 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围 过程监控 量化 比较 判定 修正 指标:漏报率低,误报率高,异常检测特点,异常检测系统的效率取决于用户轮廓的完备性和监控的频率 因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵 系统能针对用户行为
9、的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源,异常检测使用的一些方法,统计异常检测 基于特征选择异常检测 基于贝叶斯推理异常检测 基于贝叶斯网络异常检测 基于模式预测异常检测 基于神经网络异常检测 基于贝叶斯聚类异常检测 基于机器学习异常检测 基于数据挖掘异常检测 ,两种方式比较,误用检测(Misuse Detection) 建立起已知攻击的规则库 实时行为与规则匹配 优点:检测准确率高 缺点:无法检测未知入侵 异常检测(Anomaly Detection) 建立用户或系统的正常行为模式 不符合正常模式的行为活动为入侵 优点:能够检测出未知的入侵 缺点:难以
10、建立正常行为模式,12.4 入侵检测的发展,1980年Anderson提出:提出了精简审计的概念,风险和威胁分类方法 1987年Denning研究发展了实时入侵检测系统模型 IDES入侵检测专家系统:IDES提出了反常活动与计算机不正当使用之间的相关性。 80年代,基于主机的入侵检测 90年代,基于主机和基于网络入侵检测的集成,概念诞生 1980,产生模型 80年代中期,模型发展 80年代后期-90年代初,网络IDS 1990-现在,异常检测 90年代初-现在,智能IDS 目前,发展历史,前沿技术,人工神经网络技术 人工免疫技术 数据挖掘技术,12.5 入侵检测系统的局限性,误报和漏报的矛盾 隐私和安全的矛盾 被动分析与主动发现的矛盾 海量信息与分析代价的矛盾 功能性和可管理性的矛盾 单一产品与复杂网络应用的矛盾,12.6 网络入侵检测系统Snort,Snort是最流行的免费NIDS。 Snort是基于滥用检测的IDS,使用规则的定义来检查网络中的问题数据包。 Snort由以下几个部分组成:数据包嗅探器、预处理器、检测引擎、报警输出模块,Snort在网络中的应用,Snort的检测流程,Snort的检测报告,
