网络安全10-入侵检测

网络安全入侵检测网络安全的构成物理安全性设备的物理安全：防火、防盗、防破坏等通信网络安全性防止入侵和信息泄露系统安全性计算机系统不被入侵和破坏用户访问安全性通过身份鉴别和访问控制，阻止资源被非法用户访问数据安全性数据的完整、可用数据保密性信息的加密存储和传输安全的分层结构和主要技术物理安全层网络安全层系统安全层用户安全层应用安全层数据安全层加密访问控制授权用户/组管理单机登录身份认证反病毒风险评估入侵检测审计分析安全的通信协议VPN防火墙存储备份主要的传统安全技术加密消息摘要、数字签名身份鉴别：口令、鉴别交换协议、生物特征访问控制安全协议：IPSec、SSL网络安全产品与技术：防火墙、VPN内容控制:防病毒、内容过滤等“预防（prevention）”和“防护（protection）”的思想传统安全技术的局限性传统的安全技术采用严格的访问控制和数据加密策略来防护在复杂系统中，这些策略是不充分的这些措施都是以减慢交易为代价的大部分损失是由内部引起的82%的损失是内部威胁造成的传统安全技术难于防内传统的安全技术基本上是一种被动的防护，而如今的攻击和入侵要求我们主动地去检测、发现和排除安全隐患传统安全措施不能满足这一点入侵检测系统概述入侵检测系统的定义入侵（Intrusion）企图进入或滥用计算机或网络系统的行为可能来自于网络内部的合法用户入侵检测（IntrusionDetection）对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性入侵检测系统（IntrusionDetectionSystem，IDS）定义：进行入侵检测的软件与硬件的组合便是入侵检测系统功能：监控计算机系统或网络系统中发生的事件，根据规则进行安全审计为什么需要入侵检测系统入侵很容易入侵教程随处可见各种工具唾手可得防火墙不能保证绝对的安全网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部防火墙是锁，入侵检测系统是监视器入侵检测系统IDS通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象入侵检测的任务检测来自内部的攻击事件和越权访问85％以上的攻击事件来自于内部的攻击防火墙只能防外，难于防内入侵检测系统作为传统安全工具的一个有效的补充入侵检测系统可以有效的防范防火墙开放的服务入侵通过事先发现风险来阻止入侵事件的发生，提前发现试图攻击或滥用网络系统的人员检测其它安全工具没有发现的网络工具事件提供有效的审计信息，详细记录黑客的入侵过程，从而帮助管理员发现网络的脆弱性入侵检测相关术语IDS(IntrusionDetectionSystems)入侵检测系统Promiscuous混杂模式，即IDS网络接口可以看到网段中所有的网络通信量，不管其来源或目的地Signatures特征，即攻击的特征Alerts警告Anomaly异常Console控制台Sensor传感器，即检测引擎入侵检测系统分类-1按照数据来源：基于主机系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机基于网络系统获取的数据是网络传输的数据包，保护的是网络的运行入侵检测系统分类-2按系统各模块的运行方式集中式系统的各个模块包括数据的收集分析集中在一台主机上运行分布式系统的各个模块分布在不同的计算机和设备上根据时效性脱机分析行为发生后，对产生的数据进行分析联机分析在数据产生的同时或者发生改变时进行分析基于主机的入侵检测系统基于主机的入侵检测系统:Host-BasedIDS(HIDS)系统安装在主机上面，对本主机进行安全检测优点审计内容全面，保护更加周密视野集中适用于加密及交换环境易于用户自定义对网络流量不敏感缺点额外产生的安全问题HIDS依赖性强如果主机数目多，代价过大不能监控网络上的情况基于网络的入侵检测系统基于网络的入侵检测系统：Network-BasedIDS(NIDS)系统安装在比较重要的网段内在共享网段上对通信数据进行侦听采集数据优点检测范围广，提供对网络通用的保护无需改变主机配置和性能，安装方便独立性，操作系统无关性侦测速度快隐蔽性好较少的监测器，占资源少缺点不能检测不同网段的网络包很难检测复杂的需要大量计算的攻击协同工作能力弱难以处理加密的会话IDS基本结构入侵检测系统包括三个功能部件信息收集信息分析结果处理信息收集入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息尽可能扩大检测范围从一个源来的信息有可能看不出疑点入侵检测很大程度上依赖于收集信息的可靠性和正确性要保证用来检测网络系统的软件的完整性特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息信息收集的来源系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为信息分析分析得到的数据，并产生分析结果模式匹配将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为统计分析首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生完整性分析事后分析主要关注某个文件或对象是否被更改在发现被更改的、被安装木马的应用程序方面特别有效结果处理结果处理，即对分析结果作出反应。切断连接改变文件属性发动对攻击者的反击报警……IDS的组成检测引擎控制中心HUB检测引擎MonitoredServers控制中心检测引擎的部署位置放在边界防火墙之内放在边界防火墙之外放在主要的网络中枢放在一些安全级别需求高的子网检测引擎的部署位置示意图Internet部署二部署一网络入侵技术入侵(Intrusion)入侵是指未经授权蓄意尝试访问信息、篡改信息，使系统不可靠或不能使用的行为破坏计算机或网络资源的完整性、机密性、可用性、可控性入侵者可以是一个手工发出命令的人，也可是一个基于入侵脚本或程序的自动发布命令的计算机入侵者可以被分为两类:外部的:网络外面的侵入者内部的:合法使用网络的侵入者，包括滥用权力的人和模仿更改权力的人(比如使用别人的终端)。80%的安全问题同内部人有关侵入系统的主要途径物理侵入侵入者对主机有物理进入权限方法如移走磁盘并在另外的机器读/写系统侵入侵入者已经拥有在系统的较低权限侵入者可能利用一个知名漏洞获得系统管理员权限的机会远程侵入入侵者通过网络远程进入系统，侵入者从无特权开始入检测系统主要关心远程侵入网络入侵的一般步骤目标探测和信息收集自身隐藏利用漏洞侵入主机稳固和扩大战果清除日志目标探测和信息收集利用扫描器软件扫描端口扫描漏洞扫描常用扫描器软件：SATAN，流光，Mscan利用snmp了解网络结构搜集网络管理信息网络管理软件也成为黑客入侵的一直辅助手段自身隐藏典型的黑客使用如下技术来隐藏IP地址通过telnet在以前攻克的Unix主机上跳转通过终端管理器在windows主机上跳转配置代理服务器更高级的黑客，精通利用电话交换侵入主机利用漏洞侵入主机已经利用扫描器发现漏洞例如CGI/IIS漏洞充分掌握系统信息进一步入侵稳固和扩大战果安装后门BO，冰河添加系统账号添加管理员账号利用LKMLoadableKernelModules动态加载无需重新编译内核利用信任主机控制了主机以后，可以利用该主机对其它邻近和信任主机进行入侵控制了代理服务器，可以利用该服务器对内部网络进一步入侵清除日志清除入侵日志Windows清除系统日志清除IIS日志清除FTP日志清除数据库连接日志Unix登陆信息/var/log/home/user/.bash_historylastlog使管理员无法发现系统已被入侵网络入侵步骤总览选中攻击目标获取普通用户权限擦除入侵痕迹安装后门新建帐号获取超级用户权限攻击其它主机获取或修改信息从事其它非法活动扫描网络利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令，从而发现突破口。IDS工作原理入侵检测引擎工作流程-1入侵检测引擎工作流程-2监听部分网络接口混杂模式根据设置过滤一些数据包协议分析IP，IPX，PPP，......数据分析根据相应的协议调用相应的数据分析函数一个协议数据有多个数据分析函数处理数据分析的方法是入侵检测系统的核心引擎管理协调和配置给模块间工作数据分析后处理方式AlertLogCallFirewall入侵检测的分析方式异常检测（AnomalyDetection）误用检测（MisuseDetection）完整性分析异常检测基本原理正常行为的特征轮廓检查系统的运行情况统计模型优点可以检测到未知的入侵可以检测冒用他人帐号的行为具有自适应，自学习功能不需要系统先验知识缺点漏报、误报率高入侵者可以逐渐改变自己的行为模式来逃避检测合法用户正常行为的突然改变也会造成误警统计算法的计算量庞大，效率很低统计点的选取和参考库的建立比较困难误用检测基本原理提前建立已出现的入侵行为特征检测当前用户行为特征模式匹配优点算法简单系统开销小准确率高效率高缺点被动只能检测出已知攻击新类型的攻击会对系统造成很大的威胁模式库的建立和维护难模式库要不断更新知识依赖于硬件平台、操作系统和系统中运行的应用程序完整性分析基本原理通过检查系统的当前系统配置，诸如系统文件的内容或者系统表，来检查系统是否已经或者可能会遭到破坏优点不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现缺点一般以批处理方式实现，不用于实时响应入侵检测具体方法-1基于统计方法的入侵检测技术审计系统实时地检测用户对系统的使用情况，根据系统内部保持的用户行为的概率统计模型进行监测，当发现有可疑的用户行为发生时，保持跟踪并监测、记录该用户的行为基于神经网络的入侵检测技术采用神经网络技术，根据实时检测到的信息有效地加以处理作出攻击可能性的判断基于专家系统的入侵检测技术根据安全专家对可疑行为的分析经验来形成一套推理规则，然后再在此基础之上构成相应的专家系统，并应用于入侵检测基于模型推理的入侵检测技术为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为一般为了准确判断，要为不同的攻击者和不同的系统建立特定的攻击脚本入侵检测具体方法-2基于免疫原理的入侵检测技术基于遗传算法的入侵检测技术基于基于代理检测的入侵检测技术基于数据挖掘的入侵检测技术入侵检测响应机制弹出窗口报警E-mail通知切断TCP连接执行自定义程序与其他安全产品交互FirewallSNMPTrap入侵检测标准化IDS标准化要求随着网络规模的扩大，网络入侵的方式、类型、特征各不相同，入侵的活动变得复杂而又难以捉摸某些入侵的活动靠单一IDS不能检测出来，如分布式攻击网络管理员常因缺少证据而无法追踪入侵者，入侵者仍然可以进行非法的活动不同的IDS之间没有协作，结果造成缺少某种入侵模式而导致IDS不能发现新的入侵活动目前网络的安全也要求IDS能够与访问控制、应急、入侵追踪等系统交换信息，相互协作，形成一个整体有效的安全保障系统C