56信息安全技术09章

第9章入侵检测技术9．1入侵检测概述9．1．1基本概念1．入侵行为入侵行为主要指对系统资源的非授权使用，它可以造成系统数据的丢失和破坏，甚至会造成系统拒绝对合法用户服务等后果。入侵者可以分为两类：外部入侵者（一般指系统中的非法用户，如常说的黑客）和内部入侵者（有越权使用系统资源行为的合法用户）。2．入侵检测入侵检测的目标就是通过检查操作系统的审计数据或网络数据包信息来检测系统中违背安全策略或危及系统安全的行为或活动，从而保护信息系统的资源不受拒绝服务攻击，防止系统数据的泄漏、篡改和破坏。美国国际计算机安全协会（ICSA）对入侵检测技术的定义是：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击迹象的一种安全技术。入侵检测技术是一种网络信息安全新技术，它可以弥补防火墙的不足，对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时的检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。因此，入侵检测系统被认为是防火墙之后的第二道安全闸门。入侵检测技术是一种主动保护系统免受黑客攻击的网络安全技术。它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了网络安全基础结构的完整性。对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。另外，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。一个完善的入侵检测系统在发现异常时应具有以下的反应：．自动终止攻击。．终止用户连接。．禁止用户账户。．重新配置防火墙更改其过滤规则。．向管理控制台发出警告指出事件的发生。．记录事件至日志。．实时跟踪事件。．向安全管理人员发出提示性的警报。．执行一个用户自定义程序。3．入侵检测系统入侵检测系统是一种能够通过分析系统安全相关数据来检测入侵活动的系统。一般来说，入侵检测系统在功能结构上基本一致，均由数据采集、数据分析以及用户界面等几个功能模块组成，只是具体的入侵检测系统在分析数据的方法、采集数据以及采集数据的类型等方面有所不同。面对入侵攻击的技术、手段持续变化的状况，入侵检测系统（IDS）必须能够维护一些与检测系统的分析技术相关的信息，以使检测系统能够确保检测出对系统具有威胁的恶意事件。这类信息一般包括：．系统、用户以及进程行为的正常或异常的特征轮廓。．标识可疑事件的字符串，包括关于已知攻击和入侵的特征签名。．激活针对各种系统异常情况以及攻击行为采取响应所需的信息。这些信息以安全的方法提供给用户的IDS系统，有些信息还要定期升级。与其他网络信息安全系统不同的是，入侵检测系统需要更多的智能，它必须将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作，保证网络安全的运行。具体说来，入侵检测系统的主要功能有以下几点：．监测并分析用户和系统的活动。．核查系统配置和漏洞。．评估系统关键资源和数据文件的完整性。．识别已知的攻击行为。．统计分析异常行为。．对操作系统进行日志管理，并识别违反安全策略的用户活动。9．1．2入侵检测系统的结构CIDF（CommonIntrusionDetectionFramework）阐述了一个入侵检测系统的通用模型，如图9-1所示。CIDF将入侵检测系统需要分析的数据统称为事件（event），事件可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。它将入侵检测系统分为以下组件：（1）事件产生器。事件产生器采集和监视被保护系统的数据，这些数据可以是网络的数据包，也可以是从系统日志等其他途径搜集到的信息。事件产生器将这个数据进行保存，一般是保存到数据库中。图9－1CIDF模型（2）事件分析器。事件分析器的功能主要分为两个方面：一是用于分析事件产生器搜集到的数据，区分数据的正确性，发现非法的或者具有潜在危险的、异常的数据现象，通知响应单元做出入侵防范；二是对数据库保存的数据做定期的统计分析，发现某段时期内的异常表现，进而对该时期内的异常数据进行详细分析。（3）响应单元。响应单元是协同事件分析器工作的重要组成部分，一旦事件分析器发现具有入侵企图的异常数据，响应单元就要发挥作用，对具有入侵企图的攻击施以拦截、阻断、反追踪等手段，保护被保护系统免受攻击和破坏。（4）事件数据库。事件数据库记录事件分析单元提供的分析结果，同时记录下所有来自于事件产生器的事件，用来进行以后的分析与检查。9．2入侵检测系统分类根据入侵检测系统的检测对象和工作方式的不同，入侵检测系统主要分为两大类：基于主机的入侵检测系统和基于网络的人侵检测系统。除此之外，还有基于内核的高性能入侵检测系统和两大类相结合的入侵检测系统，这些类别是两个主要类别的引申和综合。9．2．1基于主机的入侵检测系统基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害，需要安装在被保护的主机上。这一类入侵检测系统直接与操作系统相关，它控制文件系统以及重要的系统文件，确保操作系统不会被随意地删改。该类入侵检测系统能够及时发现操作系统所受到的侵害，并且由于它保存一定的校验信息和所有系统文件的变更记录，所以在一定程度上还可以实现安全恢复机制。按照检测对象的不同，基于主机的入侵检测系统可以分为两类：网络连接检测和主机文件检测。1．网络连接检测网络连接检测是对试图进入该主机的数据流进行检测，分析确定是否有入侵行为，避免或减少这些数据流进入主机系统后造成损害。网络连接检测可以有效地检测出是否存在攻击探测行为，攻击探测几乎是所有攻击行为的前奏。系统管理员可以设置好访问控制表，其中包括容易受到攻击探测的网络服务，并且为它们设置好访问权限。如果入侵检测系统发现有对未开放的服务端口进行网络连接，说明有人在寻找系统漏洞，这些探测行为就会被人侵检测系统记录下来，同时这种未经授权的连接也被拒绝。2．主机文件检测通常入侵行为会在主机的各种相关文件中留下痕迹，主机文件检测能够帮助系统管理员发现入侵行为或入侵企图，及时采取补救措施。主机文件检测的检测对象主要包括以下几种：（1）系统日志。系统日志文件中记录了各种类型的信息，包括各用户的行为记录。如果日志文件中存在异常的记录，就可以认为己经或正在发生网络入侵行为。这些异常包括不正常的反复登录失败记录、未授权用户越权访问重要文件、非正常登录行为等。（2）文件系统。恶意的网络攻击者会修改网络主机上包含重要信息的各种数据文件，他们可能会删除或者替换某些文件，或者尽量修改各种日志记录来销毁他们的攻击行为可能留下的痕迹。如果入侵检测系统发现文件系统发生了异常的改变，例如一些受限访问的目录或文件被非正常地创建、修改或删除，就可以怀疑发生了网络入侵行为。（3）进程记录。主机系统中运行着各种不同的应用程序，包括各种服务程序。每个执行中的程序都包含了一个或多个进程。每个进程都存在于特定的系统环境中，能够访问有限的系统资源、数据文件等，或者与特定的进程进行通信。黑客可能将程序的进程分解，致使程序中止，或者令程序执行违背系统用户意图的操作。如果入侵检测系统发现某个进程存在着异常的行为，就可以怀疑有网络入侵。Tripwire就是一种基于主机文件的入侵检测系统，它为主机系统的一些关键文件建立一个高效的校验和，并且根据文件的正常变化进行维护。通过将这些校验和与实际文件进行比较，来检测是否存在对文件及其属性的异常修改，从而发现网络入侵行为，并且能够在一定程度上恢复修改前的系统文件。基于主机的入侵检测系统具有以下优点：．检测准确度较高。．可以检测到没有明显行为特征的入侵。．能够对不同的操作系统进行有针对性的检测。．成本较低。．不会因网络流量影响性能。．适于加密和交换环境。基于主机的入侵检测系统具有以下不足：．实时性较差。．无法检测数据包的全部。．检测效果取决于日志系统。．占用主机资源。．隐蔽性较差。．如果入侵者能够修改校验和，这种入侵检测系统将无法起到预期的作用。9．2．2基于网络的入侵检测系统基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上，它使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，入侵检测系统应答模块通过通知、报警以及中断连接等方式来对攻击做出反应。基于网络的入侵检测可以侦听某一个IP，保护特定服务器的安全，也可以侦听整个网段。为了能够对整个网段进行侦听，系统会将本身的网卡设置为混杂模式以接收网段内的所有数据包。通常系统会使用位于网络层和传输层的网络侦听底层实现对网络的侦听，它们的主要任务就是获取其所见到的所有包并传给上一层。获取包的主要目的是对它进行处理以获得需要的信息。最常用的处理是数据包的流量统计以及数据包的归类分析。以前，系统管理员可以通过对数据包的分析，了解到系统是否存在被攻击的情况或是否存在非法的访问。这项工作如果单纯由网络管理员来做，就会耗费大量的时间，同时也对网络管理员提出了更高的要求。使用人侵检测系统可以较好地解决这个问题。通过多年的总结，人们发现大多数的入侵都有一定的特征。只要在数据包记录中发现这种有特征的行为，就可以在一定程度上断定发生了或即将发生入侵。入侵检测系统就是通过将实际的数据流量记录与入侵模式库中的人侵模式进行匹配，寻找可能的攻击特征。如果是正常数据包，则允许通过或留待进一步分析；如果是不安全的数据包，则可以进行阻断网络连接等操作，在这种情况下，还可以重新配置防火墙以阻断相应的网络连接，共同保护主机的安全。1．包嗅探器和网络监视器最初设计包嗅探器和网络监视器的目的是帮助监视以大网络的通信。最早有两种产品：NovellLANalyser和NetworkMonitor。这些产品抓获所有网络上能够看到的包。一旦抓获了这些数据包，就可以进行以下工作：（1）对包进行统计。统计通过的数据包，并统计该时期内通过的数据包的总的大小（包括总的开销，例如包的报头），就可以很好地知道网络的负载状况。LANalyser和NetworkMonitor都提供了网络相关负载的图形化或图表表现形式。（2）详细检查包。例如，可以抓获一系列到达Web服务器的数据包来诊断服务器的问题。近年来，包嗅探产品已经成了独立的产品。程序（例如Ethereal和NetworkMonitor的最新版本）可以对内部各种类型的包进行拆分，从而可以知道包内部发生了什么类型的通信。这些工具同时也能用来进行破坏活动。例如，通过嗅探连接到一台机器的Telnet包，包嗅探器能够用来发现一些人的UINIX密码。一个攻击者一旦危害网络，他们要做的第一件事就是安装一些包嗅探器。2．包嗅探器和混杂模式所有的包嗅探器都要求网络接口运行在混杂模式（所谓的混杂模式就是收取所有地址的包，然后复制重发）下。只有运行在混杂模式下，包嗅探器才能接收通过网络接口卡的每个包。在安装包嗅探器的机器上运行包嗅探器通常需要管理员的权限，这样网卡的硬件才能被设置为混杂模式。另外需要考虑的一点是包嗅探器在交换机上的使用，在一个网络中，它比集线器使用得更多。注意，在交换机的一个接口上收到的数据包不总是被送向交换机的其他接口。由于这种原因，包嗅探器在交换网络环境下通常不能正常工作。3．基于网络的入侵检测从安全的观点来看，包嗅探器所带来的好处很少。抓获网络上的每个数据包，并拆分，然后根据包的内容手工采取相应的反应，这太浪费时间了，尤其是对于那些天天在外进行网络培训的人员而言，从大量积累数据中获取有价值的信息非常困难。ISSRealsecureEngine和NetworkFlightRecorder是基于网络入侵检测的两种类型软件包。RealsecureEngine能够执行的入侵检测是检查通过网络的数据包，对于合法的数据包，允许它们通过（为了今后的分析，也可以对它们进行记录）。当一个数据包危及到目标系统的安全或完整性时，同时向目标系统和发送该数据包的系统发送TCP“ConnectionClosed