第6章-入侵检测

第6章入侵检测主讲：×××6.1入侵检测方法6.1.1异常入侵检测技术6.1.2误用入侵检测技术6.1入侵检测方法入侵（Intrusion）不仅包括发起攻击的人取得超出范围的系统控制权，也包括收集漏洞信息，造成拒绝访问等对计算机造成危害的行为。入侵检测（IntrusionDetection）便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统（IntrusionDetectionSystem，IDS）指的是任何有能力检测系统或网络状态改变的系统或系统的集合，它能发送警报或采取预先设置好的行动来帮助保护网络。6.1.1异常入侵检测技术异常检测技术是运行在系统层或应用层的监控程序通过将当前主体的活动情况和用户轮廓进行比较来监控用户的行为。当当前主体的活动与正常行为有重大偏离时即被认为是入侵行为。如果系统错误地将异常活动定义为入侵称为错报，如果系统未能检测出真正的入侵行为则称为漏报。如下图所示是异常检测技术的模型。6.1.2异常入侵检测技术误用检测的前提是首先提取已知入侵行为的特征，建立入侵特征库，然后将当前用户或系统行为与入侵特征库中的记录进行匹配，如果相匹配就认为当前用户或系统行为是入侵，否则入侵检测系统认为是正常行为。很显然，如果正常行为与入侵特征相匹配，则入侵检测系统发生错报，而如果没有入侵特征与某种新的攻击行为相匹配，则IDS系统发生漏报。如下图所示是误用检测模型。6.2入侵检测系统的设计原理6.1.1基于主机系统的结构6.1.2基于网络系统的结构6.2.3基于分布式系统的结构6.2.4入侵检测系统需求特性6.2.5入侵检测框架简介6.2.1基于主机系统的结构基于主机的入侵检测系统(HIDS)通常从主机的审计记录和日志文件中获得所需要的主要数据，并辅助以主机上的其他信息，例如文件系统属性、进程状态等，在此基础上完成检测攻击行为的任务。从技术发展的历程来看，入侵检测是从主机审计的技术上发展起来的，因而早期的入侵检测系统都是基于主机的入侵检测技术。基于主机的IDS的结构如下页图所示。6.2.1基于主机系统的结构HIDS的优点如下：（1）能够监视特定的系统行为。基于主机的IDS能够监视所有的用户登录和退出，甚至用户所做的所有操作，日志里记录的审计系统策略的改变，关键系统文件和可执行文件的改变等。（2）HIDS能够确定攻击是否成功。由于使用含有已经发生事件的信息，它们可以比网络入侵检测系统更加准确地判断攻击是否成功。（3）有些攻击在网络数据中很难发现，或者根本没有通过网络而在本地进行。这时网络入侵检测系统将无能为力，只能借助HIDS。6.2.2基于网络系统的结构基于网络的入侵检测系统NIDS如下图所示，通过在共享式网络上对通信数据进行侦听采集数据，分析可疑现象。6.2.3基于分布式系统的结构无论NIDS还是HIDS，无论采用误用检测技术还是异常检测技术，在整个数据处理过程中，包括数据的收集、预处理、分析、检测以及检测到入侵行为后采取的相应措施，都由单个监控设备或者监控程序完成。在面临大规模、分布式的应用环境时，传统的单机方式遇到了极大的挑战。在这种情况下，要求各个IDS之间能够实现高效的信息共享和协作检测。在大范围网络中部署有效的IDS推动了分布式入侵检测系统的诞生和不断发展。6.2.4入侵检测系统需求特性入侵检测的部署与实现是和用户的需求密切相关的，有的是用来检测内部用户发起的攻击行为，有的是用来检测外部发起的攻击行为，但根据前面的知识，无论采用什么样的入侵检测系统，也不管入侵检测系统是基于什么机制，入侵检测系统应该具有以下特点：（1）可靠性。检测系统必须可以在无人监控的情况下持续运行。系统必须是可靠的，这样才可以允许它运行在被检测的系统环境中。而且，检测系统不是一个“黑匣子”，其内部情况应该可以从外部观察到，并且具有可控制性和可操作性。（2）容错性。入侵检测系统必须是可容错的，即使系统崩溃，检测系统本身必须保留下来。（3）可用性。入侵检测系统所占用的系统资源要最小，这样不会严重降低系统性能。（4）可检验性。能观察到非正常行为的行为。（5）对观察的系统来说必须是易于开发的，每一个系统都有不同的使用模式。（6）可适应性。检测系统应能实时追踪系统环境的改变，如操作系统和应用系统的升级。（7）准确性。检测系统不能随意发送误警报和漏报。（8）安全性。检测系统应不易于被欺骗和保护自身系统的安全。6.2.5入侵检测框架简介1.通用入侵检测框架CIDFCIDF定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议。符合CIDF规范的IDS可以共享检测信息、相互通信、协同工作，还可以与其他系统配合，协调实施统一的配置响应和恢复策略。CIDF的主要工作在于集成各种IDS使之协同工作，实现各IDS之间的组件重用，所以CIDF也是构建分布式IDS的基础。CIDF的体系结构如下页图所示。6.2.5入侵检测框架简介2.入侵检测交换格式IDEF入侵检测工作组IDWG采用面向对象的方式，定义和设计了入侵检测的数据模型，用于描述在不同组件之间所交换的各种警报信息、控制命令和配置信息等通信数据，然后采用基于XML的IDMEF消息格式对该数据模型进行了形式化的描述和实现。数据模型用统一建模语言(UML)描述，UML用一个简单的框架表示实体以及它们之间的关系，并将实体定义为类。6.3入侵检测系统的部署6.3.1定义IDS的目标6.3.2选择监视内容6.3.3部署IDS6.3.1定义IDS的目标不同的组网应用可能使用不同的规则配置，所以用户在配置入侵检测系统前应先明确自己的目标，建议从如下几个方面进行考虑。（1）明确网络拓扑需求分析网络拓扑结构，需要监控什么样的网络，是交换式的网络还是共享式网络。是否需要同时监控多个网络，多个子网是交换机连接还是通过路由器/网关连接。选择网络入口点，需要监控网络中的哪些数据流，IP流还是TCP/UDP流，还是应用层的各种数据包。分析关键网络组件、网络大小和复杂度。（2）安全策略需求是否限制Telnet，SSH，HTTP，HTTPS等服务管理访问。Telnet登录是否需要登录密码。安全的Shell（SSH）的认证机制是否需要加强。是否允许从非管理口（如以太网口，而不是Console端口）进行设备管理。（3）IDS的管理需求有哪些接口需要配置管理服务。是否启用Telnet进行设备管理。是否启用SSH进行设备管理。是否启用HTTP进行设备管理。是否启用HTTPS进行设备管理。是否需要和其他设备例如防火墙进行联动。6.3.2选择监视内容1.选择监视的网络区域2.选择监视的数据包的类型3.根据网络数据包的内容进行检测6.3.3部署IDS1.只检测内部网络和外部网络边界流量的IDS系统的部署6.3.3部署IDS2.集中监控多个子网流量6.4管理IDS6.4.1IDS提供的信息6.4.2调查可疑事件6.4.1IDS提供的信息一般的，IDS可以提供多种形式的输出信息，既可以是将网络数据包解码后的ASCII字符形式，也可以是全文本的警报信息形式。在安装某一个入侵检测系统之后，如下页图所示是一种企图下载UNIX/Linux系统用户的加密口令文件/etc/shadow的入侵。6.4.1IDS提供的信息6.4.2调查可疑事件对计算机攻击的分析可以在攻击正在发生的时候进行，也可以进行事后调查分析。对可疑事件的调查分析既可以借助于日志文件，也可以利用IDS提供的附属工具进行查看和分析。IDS提供的这些工具的目的和功能都不尽相同，但是它们大多都会根据入侵检测系统创建的警报数据库，分析和显示相关安全事件、协议分析、统计信息，并且考虑到良好的用户界面，还可以以文本、图表的形式显示。6.5入侵预防措施6.5.1预防入侵活动6.5.2入侵预防问题6.5.1预防入侵活动从功能上看，IDS是一种并联在网络上的设备，它只能被动地检测网络遭到了何种攻击，它的阻断攻击能力非常有限，一般只能通过发送TCPReset包或联动防火墙来阻止攻击。使用IDS进行预防入侵，一个有用的举措是安全设备的集成，可以将IDS和防火墙之间进行联系。如果这些服务捆绑在一起，就意味着它们可以协同工作，当IDS检测到事件发生时，将自动通知防火墙实施相应策略，也就是说IDS可以检测到预先设定的行为，并能阻止攻击行为。但是做到这一点的前提是必须将IDS误报率降至最低，否则将导致整个系统的不正常工作。6.5.2入侵预防问题1.入侵预防概述随着网络安全技术的发展以及用户的需求，产生了入侵防御系统（IntrusionPreventionSystem,IPS）。IPS是一种主动的、积极的入侵防范、阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，会自动地将攻击包丢掉或采取措施将攻击源阻断。举一个简单的例子，IDS就如同火灾预警装置，火灾发生时，它会自动报警，但无法阻止火灾的蔓延，必须要有人来操作进行灭火。而IPS就像智能灭火装置，当它发现有火灾发生后，会主动采取措施灭火，中间不需要人的干预。可以简单地理解为IPS就是防火墙加上入侵检测系统，但并不是说IPS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品，它在基于TCP/IP协议的过滤方面表现出色，而且在大多数情况下，可以提供网络地址转换、服务代理、流量统计等功能，甚至有的防火墙还能提供VPN功能。6.5.2入侵预防问题2.IPS的工作原理真正的入侵防御系统与传统的入侵检测系统的两点关键区别是自动阻截和在线运行，两者缺一不可。防御工具（软/硬件方案）必须设置相关策略，以对攻击自动做出响应，而不仅仅是在恶意通信进入时向网络主管发出告警。要实现自动响应，系统就必须在线运行。当黑客试图与目标服务器建立会话时，所有数据都会经过IPS传感器，传感器位于活动数据路径中。传感器检测数据流中的恶意代码，核对策略，在未转发到服务器之前将信息包或数据流阻截。由于是在线操作，因而能保证处理方法适当而且可预知。与此类比，通常的IDS响应机制（如TCP重置）则大不相同。传统的IDS能检测到信息流中的恶意代码，但由于是被动处理通信，本身不能对数据流做任何处理。必须在数据流中嵌入TCP包，以重置目标服务器中的会话。然而，整个攻击信息包有可能先于TCP重置信息包到达服务器，这时系统才做出响应已经来不及了。重置防火墙规则也存在相同问题，处于被动工作状态的IDS能检测到恶意代码，并向防火墙发出请求阻截会话，但请求有可能到达太迟而无法防止攻击发生。6.5入侵预防措施6.6.1Snort入侵检测系统简介6.6.2Snort入侵检测系统的部署6.6.3Snort入侵检测系统的安装6.6.4Snort入侵检测系统的配置6.6.5Snort入侵检测系统的测试6.6.6终止Snort入侵检测系统的运行6.6.1Snort入侵检测系统简介SnortIDS是一个基于软件的入侵检测系统，是一个开放源代码的、功能强大的、轻量级的入侵检测与防御系统。它能实现实时网络流量分析、报警、阻断数据包以及对数据包进行日志记录等功能。它能将协议分析技术和模式匹配技术进行组合以进行异常、误用和攻击检测。Snort有三大主要功能模块，能像TCPdump那样作为包嗅探工具，也能作为包日志器（这对网络流量跟踪非常有用），还能作为全方位的网络入侵检测及防御系统。本书只讨论Snort作为网络入侵检测及防御系统的相关知识。6.6.2Snort入侵检测系统的部署1.SnortIDS安装的先决条件在安装SnortIDS前需要安装以下软件。（1）SnortIDS软件。（2）TheAppServOpenProject-2.4.5forWindows。（3）数据包adodb464.zip。（4）数据包jpgraph.1.21b.rar。（5）安装程序WinPcap_4_0_1.exe。（6）数据包ac