第四节第五节攻击检测技术概述入侵检测技术

目录4、入侵检测技术4.1引言4.2入侵检测的定义及评测标准4.3入侵检测防范的典型黑客攻击类型4.4异常检测技术4.5滥用检测技术5.4.1.1网络入侵的特点网络入侵的特点：1.没有地域和时间的限制；2.通过网络的攻击往往混杂在大量正常的网络活动之间，隐蔽性强；3.入侵手段更加隐蔽和复杂。5.4.1.2防火墙的缺点防火墙的缺点:l.传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应；2.难于防止内部人员的攻击，而网络上来自内部攻击事件占70%左右；3.难于管理和配置，易造成安全漏洞；4.因为防火墙要转发报文，往往成为网络性能的瓶颈。这个问题随着高带宽网络的流行尤为严重；5.单层防御体系，一旦被突破则黑客可以为所欲为。5.4.1.3为什么要采用入侵检测系统(1)入侵检测技术是动态安全技术(P2DR)的最核心的技术之一检测是静态防护转化为动态的关键；检测是动态响应的依据；检测是落实/强制执行安全策略的有力工具。(2)入侵检测系统（IDS）是对防火墙的必要补充；入侵检测是为那些已经采取了结合强防火墙和验证技术措施的客户准备的，入侵检测在其上又增加了一层安全性。(3)对系统或网络资源进行实时检测，及时发现闯入系统或网络的入侵者；(4)预防合法用户对资源的误操作以及发现内部人员作案；(5)采用被动式的监听报文的方式捕获入侵，不会成为网络性能的瓶颈。5.4.2入侵检测的定义及评测标准入侵检测的定义入侵检测:是指对于面向计算资源和网络资源的恶意行为的识别和响应。入侵:是指任何试图破坏资源完整性、机密性和可用性的行为。这里，应该包括用户对于系统资源的误用。从入侵策略的角度可将入侵检测的内容分为：试图闯入或成功闯入、冒充其它用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用等6个方面。入侵检测的评价标准准确性:指IDS对系统环境中的异常行为（或入侵）与合法行为进行区分的能力；性能:指IDS处理审计事件的效率；完整性:指IDS可以检测到所有的攻击；容错性:指IDS本身对于攻击的抵御能力和从系统崩溃中恢复的能力；时限性（timeliness）:指IDS执行并完成分析，以及进行响应的时间快慢。此外，还应考虑以下几点：1.IDS运行时，尽量减少对系统的开销，以便不影响其它正常操作；2.能够针对系统的安全策略对IDS进行配置；3.对系统和用户行为随时间的变化具有适应性。基于网络的IDS还应具有以下性质：可伸缩性、部件相关性小、允许动态重构。5.4.3入侵检测防范的典型黑客攻击类型1.探测攻击――寻找攻击目标并收集相关信息及漏洞，如PingSweeps，TCP/UDPscan，SATAN，PortScan；2.拒绝服务攻击――抢占目标系统资源阻止合法用户使用系统或使系统崩溃，如PingofDeath,SYNFlood,TearDrop,UDPBomb,Land/Latierra,WinNuke,Trinoo,TFN2K,Stacheldraht等；3.缓冲区溢出攻击――利用系统应用程序中存在的错误，执行特定的代码以获取系统的超级权限，如DNSoverflow,Statdoverflow等；4.WEB攻击:利用CGI、WEB服务器和浏览器中存在的安全漏洞，损害系统安全或导致系统崩溃，如URL,HTTP,HTML,JavaScript,Frames,Java,andActiveX等；5.邮件攻击:邮件炸弹、邮件滚雪球、邮件欺骗等；6.非授权访问:越权访问文件、执行无权操作，如Admind,EvilFTPBackdoor,Finger_perl,FTP_Root,BackOrifice等；7.网络服务缺陷攻击:利用NFS，NIS，FTP等服务存在的漏洞，进行攻击和非法访问，如NfsGuess,NfsMknod等；8.网络监听:获取有用信息，夺取网络控制权，如snoop,tcpdump,Netwatch,sniffer等。5.4.4.1基于统计方法的攻击检测技术(1)基于统计方法的攻击检测技术审计系统实时地检测用户对系统的使用情况,根据系统内部保持的用户行为的概率统计模型进行监测,当发现有可疑的用户行为发生时，保持跟踪并监测、记录该用户的行为。SRI(StanfordResearchInstitute)研制开发的IDES(IntrusionDetectionExpertSystem)是一个典型的实时检测系统。IDES系统能根据用户以前的历史行为决定用户当前的行为是否合法。系统根据用户的历史行为,生成每个用户的历史行为记录库。IDES能够自适应地学习被检测系统中每个用户的行为习惯，当某个用户改变他的行为习惯时，这种异常就会被检测出来。目前IDES实现的监测主要基于以下两个方面：一般项目：例如CPU的使用时间：I／O的使用通道和频率，常用目录的建立与删除，文件的读写、修改、删除，以及来自局域网的行为；特定项目：包括习惯使用的编辑器和编译器、最常用的系统调用、用户ID的存取、文件和目录的使用。基于统计的攻击检测系统的缺点因为用户的行为可以是非常复杂的,所以想要准确匹配一个用户的历史行为和当前的行为相当困难。错发的警报往往来自对审计数据的统计算法所基于的不准确或不贴切的假设。(2)基于神经网络的攻击检测技术采用神经网络技术，根据实时检测到的信息有效地加以处理作出攻击可能性的判断。神经网络技术可以用于解决传统的统计分析技术所面临的以下问题：1.难于建立确切的统计分布：统计方法基本上是依赖于用户行为的主观假设，如偏差高斯分布；错发警报常由这种假设所导致;2.难于实现方法的普适性：适用于某类用户行为的检测措施一般无法适用于另一类用户；3.算法实现比较昂贵：由于基于统计的算法对不同类型的用户行为不具有自适应性，因此算法比较复杂而且庞大，导致算法实现上的昂贵；4.系统臃肿难于剪裁：由于采用统计方法检测具有大量用户的计算机系统，将不得不保留大量的用户行为信息，导致系统的臃肿和难于剪裁。目前，虽然神经网络技术提出了对基于传统统计技术的攻击检测方法的改进方向，但尚不十分成熟，所以传统的统计方法仍将继续发挥作用。5.4.5.1基于专家系统的攻击检测技术基于专家系统的攻击检测技术根据安全专家对可疑行为的分析经验来形成一套推理规则，然后再在此基础之上构成相应的专家系统，并应用于入侵检测。所谓专家系统是基于一套由专家经验事先定义的规则的推理系统。例如，在数分钟之内某个用户连续进行登录，而且失败超过三次就可以被认为是一种攻击行为。专家系统对历史数据的依赖性总的来说比基于统计的检测技术的审计系统较少，因此系统的适应性比较强，可以较灵活地适应广泛的安全策略和检测需求。基于规则的专家系统或推进系统的局限性:因为作为这类系统的基础的推理规则一般都是根据已知的安全漏洞进行安排和策划的，而对系统的最危险的威胁则主要是来自未知的安全漏洞；其功能应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正，实际操作起来很困难。5.4.5.2基于模型推理的攻击检测技术基于模型推理的攻击检测技术攻击者在攻击一个系统时往往采用一定的行为程序，如猜测口令的程序，这种行为程序构成了某种具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图。用基于模型的推理方法人们能够为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为。一般为了准确判断，要为不同的攻击者和不同的系统建立特定的攻击脚本。5.4.5.3基于模式匹配的检测技术基于模式匹配的检测技术在大多数入侵检测系统中，识别网络攻击采用的方法还是模式匹配，这主要是因为目前其它技术或者实用性较差或者实时性不能满足要求。模式匹配的基本思想是：提取各种攻击的特征（如协议、IP地址、服务端口等），建立一个用于检测的特征库，以特征库为依据来执行模式匹配从而识别大量的攻击和试探。目前常见的模式匹配算法，如Snort,存在效率低、不能适应高速网络的入侵检测等缺点。因此针对规则库采用的规则结构，改进规则的存储结构、数据结构以及匹配方法，可以有效提高规则的匹配效率。入侵检测规则库模式匹配