网络与信息安全 教程第九讲 入侵检测分析主讲 段云所 副教授北京大学计算机系
doyes@pku.edu.cn
入侵检测技术IDS
1定义入侵检测是通过从计算机网络或系统中的若干关键点收集信息并对其进行分析 从中发现网络或系统中是否有违反安全策略的行为和遭到入侵的迹象的一种安全技术入侵检测是防火墙的合理补充 帮助系统对付网络攻击 扩展了系统管理员的安全管理能力 包括安全审计 监视 进攻识别和响应 提高了信息安全基础结构的完整性 入侵检测被认为是防火墙 的 安全
响网络性能的 能对网络进行监测从 提 对 攻击 攻击和 的
入侵检测 是 系统 安全的 技术 一
IDS通 行? ¢£
监视 分析?¥?系统§
系统构currency1和'点的审计
识别反“进攻的§?fi并fl
– 行为?fi的统计分析
· 系统和的完整性
系统的审计”?管理 并识别?¥
违反安全策略的行为
…统安全防‰技术的
…统的 系统? 技术和防火墙`′
技术是ˉ 安全防?技术 对网络
˙¨–的攻击ˇ— 的反应
入侵检测技术通过对入侵行为的过
的 安全系统对入侵?和入侵过 能 响应
2 IDS的分
IDS一 从 现 fi 分为 种 基 —
机的IDS和基 网络的IDS 一?完 的入侵检测系统IDS一定是基 —机和基
网络 种 fia 的分 fi系统
管? 一种 fi 的
fi?了? 种分析技术
o攻击 Attack Signature
攻击 是?一种 定的 fi?
的攻击 fi
2.1 基 网络的IDS
基 网络的IDS的网络分
包 为进行攻击分析的 一
一?网络 监视和分析 有通过网络进行… 的通信 一
检测到攻击 IDS应? 通过通? fl
中断连接? fi?对攻击 反应基 网络的入侵检测系统的— 优点有
1 成本低
2 攻击者转移证?很困难
(3) 检测和应 一 发生恶意访问或攻击 基 网络的IDS检测可?随 发现它们 因此能够更快地
反应 从 将入侵§ 对系统的破坏减到最低
(4)能够检测未成功的攻击企图
(5) 系统独立 基 网络的IDS并 依赖—机的
系统 为检测资 基 —机的系统? 定的
系统才能发挥?
2.2,基 —机的IDS
基 —机的IDS一 监视Windows NT
的系统? 安全 志UNIX˙
¨中的syslog 一 发现这些发生¢何变化 IDS将比较?的 志记录
攻击?发现它们是否匹? 如果匹
的话 检测系统 向管理员发 入侵
fl 并且发 采取相应的行
基 —机的IDS的— 优势有
(1)非密和交换˙¨
(2)接近 的检测和应
(3)? 额 的硬?
2.3 种入侵检测技术的比较
如果攻击 经过网络 基 网络的IDS无法检测到 只能通过?基 —机的IDS
检测
基 网络的IDS通过检? 有的包首标
header?进行检测 基 —机的
IDS并?看包首标 许多基 IP的拒绝服£攻击和碎片攻击 只能通过?看它们通过网络… 的包首标才能识别
基 网络的IDS可? 负载的 容?
o 定攻击中?的命令或语法 这
攻击可?被 检?包序列的IDS迅 识别 基 —机的系统无法看到负载因此 无法识别 入fi的负载攻击
2.4 种 IDS的结合
一 的入侵检测系统中 将 现
的基 网络和基 —机这 种检测技术很 地集成? 提 集成化的攻击
检测 fl 和?关 功能
最?的可?应网络安全技术和P2DR
Policy Protection Detection Response
安全? 可? 入地 入侵?
入侵?本?被入侵 标的?
入侵检测技术从理 的分析 fi 可分为 种相–的分析技术
(1)– 发现技术
(2)?fi发现技术
IDS—fi发现技术为— 并结合– 发现技术
3,入了 入侵检测技术一?成功的入侵检测系统 可 系统管理员 了 网络系统 包括 序和硬
的¢何变更 能 网络安全策略的 提 更为· 的一点是 它应
管理? 从 非 员非 容?
地¢£网络安全
且 入侵检测的 应¥?网络?§
系统构currency1和安全?currency1的'变 '变 入侵检测系统 发现入侵,? 响应 包括?
断网络连接 记录?和fl?
3.1 信息收集入侵检测的 一?是信息收集 收集 容包括系统 网络¥§ 的? 和行为 且? 计算机网络系统中的若干
关键点 网?和 —机 收集信息这fi了fl可能扩 检测‰–的因? 有一
· 的因? 是从一的信息有可能看
点 是 从·?信息 的 一 性?
是可?行为或入侵的最 标识入侵检测很? 依赖 收集信息的可
性和?”性 因此 很有? 只
的…?的和‰”的fl 这些信息因为? 经 `换′?和移?这些信息 ˉ如`换被 序的˙ 序 ¨和其它? 对系统的?'可能 系统功能?
并看?”? 的一 ˉ如 unix系统的
PS 令可?被`换为一 侵入过 的
令 或者是?ˇ?被`换成一?—取
定的 这? 证检测网络系统的?的完整性 别是入侵检测系统?
本 应 有相 的 性 防 被 ' 收集到 的信息入侵检测的信息一
系统和网络 志
录和中的 的'变
序 行中的 行为
理 fi的入侵信息
3.1.1.系统和网络 志
经 系统 志中 们的?
迹 因此 充分系统和网络 志信息是检测入侵的 志中包?发生 系统和网络 的 和 § 的证? 这些证?可? 有? 入侵或?成功入侵了系统 通过?看 志 能够发现成功的入侵或入侵企图 并很快地a 相应的应 响应
序 志中记录了 种行为 种
包? 的信息 ˉ如记录“?¥§,
的 志 包录?¥ID'变?¥
对的访问和认证信息? 容
o 对?¥§ 的或
的行为 是·?录录到 的
非的企图访问·
3.1.2,录和中非? 的'变网络˙¨中的系统包?很多?和
包?· 信息的和 有经 是
'或破坏的 标 录和中的
的'变 包括?'? 和 fi 别是 些
访问的 很可能 是一种入侵
生的 和信
入侵者经 `换?'和破坏 们¢£访问
的系统 的 为了系统中 们的
现?§?迹?“fl力?`换系统 序或?
'系统 志
3.1.3,序 行中的 行为网络系统 的 序 行一 包括 系统 网络服
£?¥ 的 序和 定 的的应? ˉ如¨
服£ 系统 行的 序 一到多?进?
现?进 行 有的˙¨中这种˙¨ 进 可访问的系统资 序和 一?进 的 行行为 它 行
行的? 现 行的 fi
它的系统资 包括计算
… 和其它进 网络间其它进 的通讯 一?进 现了 的行为可能 明 入侵你的系统? 可能“
将 序或服£的 行分 从 导 它?
或者是?非?¥或管理员意图的 fi
3.1.4,理 fi的入侵信息
理入侵包括? 的 容 一是未的对网络硬?连接 是对 理资 的未访问?
“想 法?突破网络的周边防卫 如果 们能够
理 访问 网 能安装 们 己的 和?
依此? 可 网 的?¥的
安全 未 o这些 访问网络 ˉ如?¥ 家里可能安装Modem?
访问远 办公室 此
识别 公共电话线 的Modem 如果一拨 访问流量经过了这些 么这一拨 访问 成为了?§网络安全的?
,这访问 网 从 越过了
网络 有的防 措施 o 捕¢网络流量进 攻击其它系统 并偷取敏感的 有信息?
3.2 信 分析对? 收集到的有关系统 网络
¥§ 的? 和行为?信息一 通过三种技术?进行分析?fi
匹? 统计分析和完整性分析 其中
种 法? 的入侵检测 完整性分析则? 分析
3.2.1,?fi匹?
fi匹? 是将收集到的信息
的网络入侵和系统fi¨进行比较 从 发现违背安全策略的行为
过 可?很 如通过字符串匹?
o一? 的 或 令 可
很 杂 如的?学 达fi?
安全? 的变化一? 一种进攻?fi可一?过
如 行一 令 或一? 如¢£
法的一 优点是只?收集相关的
集合?著减少系统负担 且技术?相
成熟 它 病毒防火墙采?的 法一 检测准”率和效率?相 高
是 法存 的'点是? 断的升级?对付 断 现的? 攻击 法 能检测到从未 现过的? 攻击?
3.2.2.统计分析统计分析 法首先 系统对象 如
¥ 录和 一?
统计描? 统计 的一些测量属性 如访问次 次?和延
测量属性的平均值将被 网络 系统的行为进行比较 ¢何观察值? 值‰–
认为有入侵发生 ˉ如 统计分析可能标识一 行为 因为它发现一? 晚八点至早六点?录的帐¥? 凌晨 点试图
录 其优点是可检测到未?的入侵和更为
杂的入侵.
法的?点是 fl fl率高 且?应
¥? 行为的突o'变 体的统计分析
法如基 家系统的 基? 推理的和基
神经网络的分析 法?处 热点和迅 发展 中
3.2.3 完整性分析完整性分析— 关注某或对象是否被更' 这经 包括和 录的 容?属性 它 发现被更'的 被
络伊化的应? 序 别有效完整性分析 有力的?密机 称为消息摘 函? ˉ如MD5 它能识别 怕是微小的变化 其优点是 管?fi匹? 法和统计分析 法能否发现入侵 只 是成功的攻击导 了或其它对象的¢何'变 它?能够发现?点是一?批处理 fi 现?
响应 fl管如此 完整性检测 法 应
是网络安全 品的 一 ˉ如 可?
一天的某? 定 间 开a完整性分析?
对网络系统进行全 地扫描检?
典 品
ISS RealSecure(WinNT)
Axent Netproler(WinNT)
Cisco NetRanger(Unix)
DOE NFR(Unix)
1.基 —机和基 网络的入侵检测?有何优?点如何应?
2 试?入侵检测信 分析的 理
doyes@pku.edu.cn
入侵检测技术IDS
1定义入侵检测是通过从计算机网络或系统中的若干关键点收集信息并对其进行分析 从中发现网络或系统中是否有违反安全策略的行为和遭到入侵的迹象的一种安全技术入侵检测是防火墙的合理补充 帮助系统对付网络攻击 扩展了系统管理员的安全管理能力 包括安全审计 监视 进攻识别和响应 提高了信息安全基础结构的完整性 入侵检测被认为是防火墙 的 安全
响网络性能的 能对网络进行监测从 提 对 攻击 攻击和 的
入侵检测 是 系统 安全的 技术 一
IDS通 行? ¢£
监视 分析?¥?系统§
系统构currency1和'点的审计
识别反“进攻的§?fi并fl
– 行为?fi的统计分析
· 系统和的完整性
系统的审计”?管理 并识别?¥
违反安全策略的行为
…统安全防‰技术的
…统的 系统? 技术和防火墙`′
技术是ˉ 安全防?技术 对网络
˙¨–的攻击ˇ— 的反应
入侵检测技术通过对入侵行为的过
的 安全系统对入侵?和入侵过 能 响应
2 IDS的分
IDS一 从 现 fi 分为 种 基 —
机的IDS和基 网络的IDS 一?完 的入侵检测系统IDS一定是基 —机和基
网络 种 fia 的分 fi系统
管? 一种 fi 的
fi?了? 种分析技术
o攻击 Attack Signature
攻击 是?一种 定的 fi?
的攻击 fi
2.1 基 网络的IDS
基 网络的IDS的网络分
包 为进行攻击分析的 一
一?网络 监视和分析 有通过网络进行… 的通信 一
检测到攻击 IDS应? 通过通? fl
中断连接? fi?对攻击 反应基 网络的入侵检测系统的— 优点有
1 成本低
2 攻击者转移证?很困难
(3) 检测和应 一 发生恶意访问或攻击 基 网络的IDS检测可?随 发现它们 因此能够更快地
反应 从 将入侵§ 对系统的破坏减到最低
(4)能够检测未成功的攻击企图
(5) 系统独立 基 网络的IDS并 依赖—机的
系统 为检测资 基 —机的系统? 定的
系统才能发挥?
2.2,基 —机的IDS
基 —机的IDS一 监视Windows NT
的系统? 安全 志UNIX˙
¨中的syslog 一 发现这些发生¢何变化 IDS将比较?的 志记录
攻击?发现它们是否匹? 如果匹
的话 检测系统 向管理员发 入侵
fl 并且发 采取相应的行
基 —机的IDS的— 优势有
(1)非密和交换˙¨
(2)接近 的检测和应
(3)? 额 的硬?
2.3 种入侵检测技术的比较
如果攻击 经过网络 基 网络的IDS无法检测到 只能通过?基 —机的IDS
检测
基 网络的IDS通过检? 有的包首标
header?进行检测 基 —机的
IDS并?看包首标 许多基 IP的拒绝服£攻击和碎片攻击 只能通过?看它们通过网络… 的包首标才能识别
基 网络的IDS可? 负载的 容?
o 定攻击中?的命令或语法 这
攻击可?被 检?包序列的IDS迅 识别 基 —机的系统无法看到负载因此 无法识别 入fi的负载攻击
2.4 种 IDS的结合
一 的入侵检测系统中 将 现
的基 网络和基 —机这 种检测技术很 地集成? 提 集成化的攻击
检测 fl 和?关 功能
最?的可?应网络安全技术和P2DR
Policy Protection Detection Response
安全? 可? 入地 入侵?
入侵?本?被入侵 标的?
入侵检测技术从理 的分析 fi 可分为 种相–的分析技术
(1)– 发现技术
(2)?fi发现技术
IDS—fi发现技术为— 并结合– 发现技术
3,入了 入侵检测技术一?成功的入侵检测系统 可 系统管理员 了 网络系统 包括 序和硬
的¢何变更 能 网络安全策略的 提 更为· 的一点是 它应
管理? 从 非 员非 容?
地¢£网络安全
且 入侵检测的 应¥?网络?§
系统构currency1和安全?currency1的'变 '变 入侵检测系统 发现入侵,? 响应 包括?
断网络连接 记录?和fl?
3.1 信息收集入侵检测的 一?是信息收集 收集 容包括系统 网络¥§ 的? 和行为 且? 计算机网络系统中的若干
关键点 网?和 —机 收集信息这fi了fl可能扩 检测‰–的因? 有一
· 的因? 是从一的信息有可能看
点 是 从·?信息 的 一 性?
是可?行为或入侵的最 标识入侵检测很? 依赖 收集信息的可
性和?”性 因此 很有? 只
的…?的和‰”的fl 这些信息因为? 经 `换′?和移?这些信息 ˉ如`换被 序的˙ 序 ¨和其它? 对系统的?'可能 系统功能?
并看?”? 的一 ˉ如 unix系统的
PS 令可?被`换为一 侵入过 的
令 或者是?ˇ?被`换成一?—取
定的 这? 证检测网络系统的?的完整性 别是入侵检测系统?
本 应 有相 的 性 防 被 ' 收集到 的信息入侵检测的信息一
系统和网络 志
录和中的 的'变
序 行中的 行为
理 fi的入侵信息
3.1.1.系统和网络 志
经 系统 志中 们的?
迹 因此 充分系统和网络 志信息是检测入侵的 志中包?发生 系统和网络 的 和 § 的证? 这些证?可? 有? 入侵或?成功入侵了系统 通过?看 志 能够发现成功的入侵或入侵企图 并很快地a 相应的应 响应
序 志中记录了 种行为 种
包? 的信息 ˉ如记录“?¥§,
的 志 包录?¥ID'变?¥
对的访问和认证信息? 容
o 对?¥§ 的或
的行为 是·?录录到 的
非的企图访问·
3.1.2,录和中非? 的'变网络˙¨中的系统包?很多?和
包?· 信息的和 有经 是
'或破坏的 标 录和中的
的'变 包括?'? 和 fi 别是 些
访问的 很可能 是一种入侵
生的 和信
入侵者经 `换?'和破坏 们¢£访问
的系统 的 为了系统中 们的
现?§?迹?“fl力?`换系统 序或?
'系统 志
3.1.3,序 行中的 行为网络系统 的 序 行一 包括 系统 网络服
£?¥ 的 序和 定 的的应? ˉ如¨
服£ 系统 行的 序 一到多?进?
现?进 行 有的˙¨中这种˙¨ 进 可访问的系统资 序和 一?进 的 行行为 它 行
行的? 现 行的 fi
它的系统资 包括计算
… 和其它进 网络间其它进 的通讯 一?进 现了 的行为可能 明 入侵你的系统? 可能“
将 序或服£的 行分 从 导 它?
或者是?非?¥或管理员意图的 fi
3.1.4,理 fi的入侵信息
理入侵包括? 的 容 一是未的对网络硬?连接 是对 理资 的未访问?
“想 法?突破网络的周边防卫 如果 们能够
理 访问 网 能安装 们 己的 和?
依此? 可 网 的?¥的
安全 未 o这些 访问网络 ˉ如?¥ 家里可能安装Modem?
访问远 办公室 此
识别 公共电话线 的Modem 如果一拨 访问流量经过了这些 么这一拨 访问 成为了?§网络安全的?
,这访问 网 从 越过了
网络 有的防 措施 o 捕¢网络流量进 攻击其它系统 并偷取敏感的 有信息?
3.2 信 分析对? 收集到的有关系统 网络
¥§ 的? 和行为?信息一 通过三种技术?进行分析?fi
匹? 统计分析和完整性分析 其中
种 法? 的入侵检测 完整性分析则? 分析
3.2.1,?fi匹?
fi匹? 是将收集到的信息
的网络入侵和系统fi¨进行比较 从 发现违背安全策略的行为
过 可?很 如通过字符串匹?
o一? 的 或 令 可
很 杂 如的?学 达fi?
安全? 的变化一? 一种进攻?fi可一?过
如 行一 令 或一? 如¢£
法的一 优点是只?收集相关的
集合?著减少系统负担 且技术?相
成熟 它 病毒防火墙采?的 法一 检测准”率和效率?相 高
是 法存 的'点是? 断的升级?对付 断 现的? 攻击 法 能检测到从未 现过的? 攻击?
3.2.2.统计分析统计分析 法首先 系统对象 如
¥ 录和 一?
统计描? 统计 的一些测量属性 如访问次 次?和延
测量属性的平均值将被 网络 系统的行为进行比较 ¢何观察值? 值‰–
认为有入侵发生 ˉ如 统计分析可能标识一 行为 因为它发现一? 晚八点至早六点?录的帐¥? 凌晨 点试图
录 其优点是可检测到未?的入侵和更为
杂的入侵.
法的?点是 fl fl率高 且?应
¥? 行为的突o'变 体的统计分析
法如基 家系统的 基? 推理的和基
神经网络的分析 法?处 热点和迅 发展 中
3.2.3 完整性分析完整性分析— 关注某或对象是否被更' 这经 包括和 录的 容?属性 它 发现被更'的 被
络伊化的应? 序 别有效完整性分析 有力的?密机 称为消息摘 函? ˉ如MD5 它能识别 怕是微小的变化 其优点是 管?fi匹? 法和统计分析 法能否发现入侵 只 是成功的攻击导 了或其它对象的¢何'变 它?能够发现?点是一?批处理 fi 现?
响应 fl管如此 完整性检测 法 应
是网络安全 品的 一 ˉ如 可?
一天的某? 定 间 开a完整性分析?
对网络系统进行全 地扫描检?
典 品
ISS RealSecure(WinNT)
Axent Netproler(WinNT)
Cisco NetRanger(Unix)
DOE NFR(Unix)
1.基 —机和基 网络的入侵检测?有何优?点如何应?
2 试?入侵检测信 分析的 理