1
计算机系统安全
第十一章
入侵检测系统
2
1、入侵检测的概念
一、什么是入侵检测
入侵检测的内容:试图闯入, 成功闯入, 冒充
其他用户, 违反安全策略, 合法用户的泄漏,
独占资源以及恶意使用 。
入侵检测 ( Intrusion Detection), 通过从计算
机网络或计算机系统的关键点收集信息并进行
分析, 从中发现网络或系统中是否有违反安全
策略的行为和被攻击的迹象 。
入侵检测系统 ( IDS), 入侵检测的软件与硬
件的组合, 是防火墙的合理补充, 是防火墙之
后的第二道安全闸门 。
3
1、入侵检测的概念:模型
一、什么是入侵检测
Dennying的通用入侵检测模型 。 模型缺点是它没有包含已知
系统漏洞或攻击方法的知识
4
1、入侵检测的概念:任务
一、什么是入侵检测
·监视, 分析用户及系统活动, 查找非法用户和合法
用户的越权操作;
·系统构造和弱点的审计, 并提示管理员修补漏洞;
·识别反映已知进攻的活动模式并报警, 能够实时对
检测到的入侵行为进行反应;
·异常行为模式的统计分析, 发现入侵行为的规律;
·评估重要系统和数据文件的完整性;
·操作系统的审计跟踪管理, 并识别用户违反安全策
略的行为 。
5
1、入侵检测的概念
一、什么是入侵检测
传统安全防范技术的不足
传统的操作系统加固技术和防火墙隔离技术
等都是静态安全防御技术, 对网络环境下日
新月异的攻击手段缺乏主动的反应 。
入侵检测技术通过对入侵行为的过程与特征
的研究使安全系统对入侵事件和入侵过程能
做出实时响应 。
6
2、入侵检测的分类
一、什么是入侵检测
根据所采用的技术可以分为:
1) 异常检测:异常检测的假设是入侵者活动
异常于正常主体的活动, 建立正常活动的
,活动简档,, 当前主体的活动违反其统计
规律时, 认为可能是, 入侵, 行为 。
2) 特征检测:特征检测假设入侵者活动可以
用一种模式来表示, 系统的目标是检测主体
活动是否符合这些模式 。
7
2、入侵检测的分类
一、什么是入侵检测
根据所监测的对象来分:
1) 基于主机的入侵检测系统 ( HIDS), 通过监视
与分析主机的审计记录检测入侵 。 能否及时采集到
审计是这些系统的弱点之一, 入侵者会将主机审计
子系统作为攻击目标以避开入侵检测系统 。
2) 基于网络的入侵检测系统 ( NIDS), 通过在共
享网段上对通信数据的侦听采集数据, 分析可疑现
象 。 这类系统不需要主机提供严格的审计, 对主机
资源消耗少, 并可以提供对网络通用的保护而无需
顾及异构主机的不同架构 。
8
2、入侵检测的分类
一、什么是入侵检测
根据系统的工作方式分为:
1) 离线检测系统:离线检测系统是非实时工作的
系统, 它在事后分析审计事件, 从中检查入侵活动 。
2) 在线检测系统:在线检测系统是实时联机的检
测系统, 它包含对实时网络数据包分析, 实时主机
审计分析 。 其工作过程是实时入侵检测在网络连接
过程中进行, 系统根据用户的历史行为模型, 存储
在计算机中的专家知识以及神经网络模型对用户当
前的操作进行判断, 一旦发现入侵迹象立即断开入
侵者与主机的连接, 并收集证据和实施数据恢复 。
9
3、信息收集
一、什么是入侵检测
第一步是信息收集, 包括系统, 网络, 数据及用户活
动的状态和行为 。 需要在系统中的不同关键点 ( 网段
和主机 ) 收集信息, 这样做的理由就是从一个来源的
信息有可能看不出疑点, 但从几个源来的信息的不一
致性却是可疑行为或入侵的最好标识 。
1.系统和网络日志文件
2.目录和文件中的不期望的改变
3.程序执行中的不期望行为
4,物理形式的入侵信息
10
4、信号分析
一、什么是入侵检测
对收集到的上述四类信息, 通过三种技术手
段进行分析:
模式匹配:用于实时的入侵检测
统计分析:用于实时的入侵检测
完整性分析:用于事后分析 。
11
4、信号分析
一、什么是入侵检测
1,模式匹配
模式匹配就是将收集到的信息与已知的网络入侵
和系统误用模式数据库进行比较, 从而发现违背安
全策略的行为 。
优点:只需收集相关的数据集合, 显著减少系统负
担, 且技术已相当成熟 。 它与病毒防火墙采用的方
法一样, 检测准确率和效率都相当高 。
缺点:需要不断的升级以对付不断出现的黑客攻击
手法, 不能检测到从未出现过的黑客攻击手段 。
12
4、信号分析
一、什么是入侵检测
2.统计分析
对系统对象 ( 如用户, 文件, 目录和设备等 ) 创建一
个统计描述, 统计正常使用时的一些测量属性 ( 如访
问次数, 操作失败次数和延时等 ) 。 测量属性的平均
值与网络, 系统的行为进行比较, 任何观察值在正常
值范围之外时, 就认为有入侵发生 。 例如, 某帐户突
然在凌晨两点试图登录 。
优点:可检测到未知的入侵和更为复杂的入侵
缺点:误报, 漏报率高, 不适应用户正常行为的突然
改变 。 统计分析方法如基于专家系统的, 基于模型推
理的和基于神经网络的分析方法 。
13
一、什么是入侵检测
3.完整性分析:利用消息摘要 Hash函数计算
完整性分析关注某个文件或对象是否被更改,
包括文件和目录的内容及属性, 它在发现被木
马, 病毒更改的应用程序方面特别有效 。 检查
系统保存有每个文件的数字摘要数据库, 通过
重新计算文件的数字文摘并与数据库中的值相
比较来判断文件是否被修改 。
优点:攻克文件完整性检查系统, 无论是时间
上还是空间上都是不可能的 。
配置灵活, 可以有选择地监测重要文件 。
14
二、入侵检测产品分析
文件完整性检查的弱点:
一般以批处理方式实现, 不用于实时响应 。
该方法作为网络安全的必要补充, 定期运行 。
文件完整性检查系统依赖于本地的文摘数据
库 。 这些数据可能被入侵者修改 。 防范对策:
将摘要数据库放在只读介质上 。
文件完整性检查非常耗时 。
系统正常的升级会带来大量的文件更新 。 例
如, Windows NT系统中升级 MS-Outlook将会
带来 1800多个文件变化 。
15
1、基于网络的入侵检测
二、入侵检测产品分析
基于网络的入侵检测系统使用原始网络包作为数据源 。
通常采用四种技术来识别攻击标志:
模式, 表达式或字节匹配
频率或穿越阈值
低级事件的相关性
统计学意义上的非常规现象检测
一旦检测到了攻击行为, IDS的响应模块提供多种选项
以通知, 报警并对攻击采取相应的反应 。 通常都包括
通知管理员, 中断连接, 收集证据 。
16
1、基于网络的入侵检测
二、入侵检测产品分析
优点:
1) 成本低:可在几个关键访问点上进行配置, 不要
求在各主机上装载并管理软件 。
2) 通过检测数据包的头部可发现基于主机的 IDS所漏
掉的攻击 ( 如,DOS, 碎片包 Teardrop攻击 ) 。 基
于主机的 IDS无法查看包的头部 。
3,攻击者不易销毁证据:可实时记录攻击者的有关信
息 ( 不仅包括攻击的方法, 还包括可识别黑客身份
和对其进行起诉的信息 ) 。 黑客一旦入侵到主机内
部都会修改审记记录, 抹掉作案痕迹 。
17
1、基于网络的入侵检测
二、入侵检测产品分析
4,实时检测和响应:
可以在攻击发生的同时将其检测出来, 并做出更快的响
应 。 例如, 对拒绝服务攻击发出 TCP复位信号, 在该攻
击对目标主机造成破坏前将其中断 。 而基于主机的系统
只有在可疑的登录信息被记录下来以后才能识别攻击并
做出反应 。 而这时关键系统可能早就遭到了破坏 。
5,能检测未成功的攻击和不良意图 。 基于主机的系统无
法查到未遂的攻击, 而这些丢失的信息对于评估和优化
安全策略至关重要 。
6,操作系统无关性
18
1、基于网络的入侵检测
二、入侵检测产品分析
网络入侵检测系统的弱点:
?只检查它直接连接网段的通信;
?为了不影响性能, 通常采用简单的特征检
测算法, 难以实现复杂计算与分析;
?会将大量的数据传给检测分析系统;
?难以处理加密会话 。 目前通过加密通道的
攻击尚不多, 但这个问题会越来越突出 。
19
2、基于主机的入侵检测
二、入侵检测产品分析
通常是安装在被重点检测的主机之上, 主要是对该主
机的网络实时连接以及系统审计日志进行智能分析和
判断 。 如果其中主体活动十分可疑 (特征或违反统计
规律 ),入侵检测系统就会采取相应措施 。
优点:
1,比基于网络的 IDS更加准确地判断攻击是否成功 。
2,监视特定的系统活动:监视用户和访问文件的活
动, 包括文件访问, 改变文件权限;记录帐户或文件
的变更, 发现并中止改写重要系统文件或者安装特洛
伊木马的企图 。
20
2、基于主机的入侵检测
二、入侵检测产品分析
3,检测被基于网络 IDS漏掉的, 不经过网络的攻击 。
4,可用于加密的和交换的环境 。
交换设备可将大型网络分成许多的小型网络部件加以
管理, 所以很难确定配置基于网络的 IDS的最佳位置 。
基于主机的入侵检测系统可安装在所需的重要主机上,
在交换的环境中具有更高的能见度 。
由于加密方式位于协议堆栈内, 所以基于网络的 IDS
可能对某些攻击没有反应, 基于主机的 IDS没有这方
面的限制, 因为这时数据流已经被解密了 。
21
2、基于主机的入侵检测
二、入侵检测产品分析
5,接近实时的检测和响应
目前, 基于主机的显著减少了从攻击验证到作出响应
的时间延迟, 大多数情况下, 系统能在遭到破坏之前
发现并阻止入侵者攻击 。
6,不要求维护及管理额外硬件设备 。
7,记录花费更加低廉:尽管很容易就能使基于网络
的 IDS提供广泛覆盖, 但其价格通常是昂贵的 。 配置
一个简单的入侵监测系统要花费 $10,000以上, 而基于
主机的入侵检测系统对于单独-代理标价仅几百美元,
并且客户只需很少的费用用于最初的安装 。
22
二、入侵检测产品分析
基于主机的入侵检测系统的弱点:
1,会降低应用系统的效率 。 此外, 安装了主机
入侵检测系统后, 扩大了安全管理员访问权限 。
2,依赖于服务器固有的日志与监视能力 。 如果
服务器没有配置日志功能, 则必需重新配置 。
3,全面布署, 代价较大 。 若部分安装, 则存在
保护盲点 。
4,无法监测网络上的情况 。 对入侵行为的分析
的工作量将随着主机数目增加而增加 。
23
3、混合入侵检测
二、入侵检测产品分析
基于网络的和基于主机的 IDS对攻击的反应方
式有:告警, 存贮和主动响应 。
单纯使用一类产品的防御体系是不完整的,
两类产品结合起来部署, 可以优势互补 。 既
可发现网络中的攻击信息, 也可从系统日志
中发现异常情况 。
24
1、技术分类
三、入侵检测技术分析
入侵检测技术分为两种:特征检测, 异常检测 。
多数 IDS以特征检测为主, 异常检测为辅 。
1) 特征检测 ( 误用检测, 模式发现 )
假设入侵者活动可以用某种模式来表示, 系统
的目标是检测主体活动是否与这些模式匹配 。
关键:入侵模式描述, 区分入侵与正常行为 。
优点:误报少 。
局限:不能发现未知的攻击 。
25
1、技术分类
三、入侵检测技术分析
2) 异常检测 ( 异常发现 )
按照统计规律, 建立主体正常活动的, 简档,,
若当前主体活动偏离, 简档, 相比较, 则认为
该活动可能是, 入侵, 行为 。 例:流量统计分
析, 将异常时间的异常网络流量视为可疑 。
难点:建立, 简档, ;统计算法;异常阈值选
择 。
避免对入侵的误判或漏判 。
局限性:, 入侵, 与, 异常, 并非一一对应 。
而且系统的轨迹难于计算和更新 。
26
2、常用检测方法
三、入侵检测技术分析
IDS常用的检测方法,
特征检测, 统计检测与专家系统 。
据公安部计算机信息系统安全产品质量监督
检验中心的报告, 国内送检的入侵检测产品
中 95% 是属于使用入侵模板进行模式匹配的
特征检测产品, 其他 5% 是采用概率统计的统
计检测产品与基于日志的专家知识库系产品 。
27
2、常用检测方法
三、入侵检测技术分析
1) 特征检测,对攻击方式作出确定性的描
述 ?事件模式 。 当被审计的事件与已知的入
侵事件模式相匹配时报警 。 目前常用的是数
据包特征模式匹配 。 准确率高, 对付已知攻
击 。
2) 统计检测,常用于异常检测 。 测量参数
包括:审计事件的数量, 间隔时间, 资源消
耗情况等 。 常用的统计模型有:
28
2、常用检测方法
三、入侵检测技术分析
操作模型:测量结果与一些固定指标 ( 经验
值, 统计值 ) 相比较, 例:在短时间内的多
次登录失败, 可能是口令尝试攻击;
概率模型:计算参数的方差, 设定其置信区
间, 当测量值超过置信区间的范围时表明有
可能是异常;或者当概率很低的事件发生时,
可能发生入侵 。
用户历史行为:当用户改变他们的行为习惯
时, 这种异常就会被检测出来 。
29
2、常用检测方法
三、入侵检测技术分析
3) 专家系统:
根据专家对可疑行为的经验形成一套推理规
则 。 专家系统的建立依赖于知识库的完备性,
知识库的完备性又取决于审计记录的完备性
与实时性 。 入侵的特征抽取与表达, 是入侵
检测专家系统的关键 。 在系统实现中, 将有
关入侵的知识转化为 if-then结构 ( 也可以是
复合结构 ), 条件部分为入侵特征, then部
分是系统防范措施 。
30
3、入侵的发展趋势
三、入侵检测技术分析
多样化与复杂化:采用多种手段, 提高成功率 。
隐蔽化:掩盖攻击者身份和目的 。
欺骗性:间接攻击; IP地址欺骗
攻击规模扩大:电子战与信息战 。
攻击的分布化,DDoS在很短时间内造成被攻击
主机的瘫痪, 且在攻击的初期不易被发觉 。
攻击对象转移:网络 ?网络防护系统 。
31
4、入侵检测技术发展方向
三、入侵检测技术分析
?分布式入侵检测,两层含义
1) 针对分布式网络攻击的检测方法
2) 使用分布式的方法来检测分布式的攻击,
关键技术为检测信息的协同处理
解决异构系统及大规模网络的入侵检测, 发
展分布式入侵检测技术与通用入侵检测架构 。
?智能化入侵检测:
32
三、入侵检测技术分析
神经网络, 遗传算法, 模糊技术, 免疫原理等
方法, 用于入侵特征的辨识 。
利用专家系统, 具有自学习能力, 实现知识库
的不断更新与扩展 。
应用智能体 (Agent)技术进行入侵检测 。 应该将
常规高效的 IDS与智能检测模块结合使用 。
应用层入侵检测:许多入侵的语义只有在应用
层才能理解 。 使 IDS不仅能检测 Web类的通用协
议, 还能处理如 Lotus Notes,数据库系统等其
他的应用系统 。
33
1、入侵检测的评估
四、入侵检测产品
1)能保证自身的安全 。
2)系统运行与维护的开销 小 。
3)误报率和漏报率要低 。
4)支持多种网络, 对网络性能影响小 。
5)能检测的入侵特征数量 。
6)是否支持 IP碎片重组, TCP流重组 。 TCP流重
组是网络 IDS分析应用层协议的基础 。 如检查邮
件内容, 附件, FTP数据, 非法 HTTP请求等 。
34
2、入侵检测的产品
四、入侵检测产品
?Cisco公司的 NetRanger
传感器 (sensor),采集数据 ( 网络包, 日志 ),
分析数据, 发出报警信息等 。
控制台 (console),图形化界面, 中央管理机
构 。 接收报警, 启动对策 。
?Network Associates公司的 CyberCop
?Internet Security System公司的 RealSecure
35
3、入侵检测产品选择要点
四、入侵检测产品
1,系统的价格
2,特征库升级与维护的费用
3,网络 IDS的最大可处理流量 (包 /秒 PPS)
4,漏报率, 误报率
5,产品的可伸缩性:系统支持的传感器数目,
入侵特征库大小, 传感器与控制台之间通信
带宽, 对审计日志溢出的处理 。
36
四、入侵检测产品
6,运行与维护系统的开销:使用方便, 简单 。
7,支持的入侵特征数:协议分析及检测能力 。
各厂商对检测特征库大小的计算方法不同, 不
能偏听一面之辞 。
8,产品有哪些响应方法:本地, 远程等 。 自动
更改防火墙配置要慎重 。
9,国家权威机构的评测,国家信息安全测评
认证中心, 公安部计算机信息系统安全产品质
量监督检验中心 。
37
4、存在的问题
四、入侵检测产品
1) 攻击手段不断更新, 攻击工具自动化 。 IDS
必须不断跟踪最新的安全技术 。
2) 恶意信息采用加密传输可能骗过网络 IDS。
3) IDS要适应多样化环境中不同的安全要求 。
4) 不断增大的网络流量 。 数据实时分析导致
对系统的要求越来越高 。 尽管如此, 对百兆以
上的流量, 单一的入侵检测系统系统仍很难应
付 。
38
4、存在的问题
四、入侵检测产品
5) 缺乏统一的标志和概念框架 。 各自为战,
产品互通困难 。
6) 采用不恰当的自动反应所造成的风险 。
IDS可以与防火墙结合, 当发现有攻击行为时,
过滤掉所有来自攻击者的 IP的数据 。 例:攻
击者假冒大量不同的 IP进行模拟攻击, 而 IDS
自动配置防火墙将这些实际上并没有进行任
何攻击的地址都过滤掉, 于是形成了新的拒
绝访问攻击 。
39
4、存在的问题
四、入侵检测产品
7) IDS自身的安全性:本身的安全漏洞 。
8)大量的误报和漏报 。 原因:必须深入了解所
有操作系统, 网络协议的运作情况和细节, 才
能准确的进行分析, 而不同版本对协议处理都
不同;而快速反应与力求全面也是矛盾 。
9)缺乏客观的评估与测试信息 。
10)交换式局域网造成网络数据流的可见性下降;
同时高速网络使数据的实时分析越发困难 。
计算机系统安全
第十一章
入侵检测系统
2
1、入侵检测的概念
一、什么是入侵检测
入侵检测的内容:试图闯入, 成功闯入, 冒充
其他用户, 违反安全策略, 合法用户的泄漏,
独占资源以及恶意使用 。
入侵检测 ( Intrusion Detection), 通过从计算
机网络或计算机系统的关键点收集信息并进行
分析, 从中发现网络或系统中是否有违反安全
策略的行为和被攻击的迹象 。
入侵检测系统 ( IDS), 入侵检测的软件与硬
件的组合, 是防火墙的合理补充, 是防火墙之
后的第二道安全闸门 。
3
1、入侵检测的概念:模型
一、什么是入侵检测
Dennying的通用入侵检测模型 。 模型缺点是它没有包含已知
系统漏洞或攻击方法的知识
4
1、入侵检测的概念:任务
一、什么是入侵检测
·监视, 分析用户及系统活动, 查找非法用户和合法
用户的越权操作;
·系统构造和弱点的审计, 并提示管理员修补漏洞;
·识别反映已知进攻的活动模式并报警, 能够实时对
检测到的入侵行为进行反应;
·异常行为模式的统计分析, 发现入侵行为的规律;
·评估重要系统和数据文件的完整性;
·操作系统的审计跟踪管理, 并识别用户违反安全策
略的行为 。
5
1、入侵检测的概念
一、什么是入侵检测
传统安全防范技术的不足
传统的操作系统加固技术和防火墙隔离技术
等都是静态安全防御技术, 对网络环境下日
新月异的攻击手段缺乏主动的反应 。
入侵检测技术通过对入侵行为的过程与特征
的研究使安全系统对入侵事件和入侵过程能
做出实时响应 。
6
2、入侵检测的分类
一、什么是入侵检测
根据所采用的技术可以分为:
1) 异常检测:异常检测的假设是入侵者活动
异常于正常主体的活动, 建立正常活动的
,活动简档,, 当前主体的活动违反其统计
规律时, 认为可能是, 入侵, 行为 。
2) 特征检测:特征检测假设入侵者活动可以
用一种模式来表示, 系统的目标是检测主体
活动是否符合这些模式 。
7
2、入侵检测的分类
一、什么是入侵检测
根据所监测的对象来分:
1) 基于主机的入侵检测系统 ( HIDS), 通过监视
与分析主机的审计记录检测入侵 。 能否及时采集到
审计是这些系统的弱点之一, 入侵者会将主机审计
子系统作为攻击目标以避开入侵检测系统 。
2) 基于网络的入侵检测系统 ( NIDS), 通过在共
享网段上对通信数据的侦听采集数据, 分析可疑现
象 。 这类系统不需要主机提供严格的审计, 对主机
资源消耗少, 并可以提供对网络通用的保护而无需
顾及异构主机的不同架构 。
8
2、入侵检测的分类
一、什么是入侵检测
根据系统的工作方式分为:
1) 离线检测系统:离线检测系统是非实时工作的
系统, 它在事后分析审计事件, 从中检查入侵活动 。
2) 在线检测系统:在线检测系统是实时联机的检
测系统, 它包含对实时网络数据包分析, 实时主机
审计分析 。 其工作过程是实时入侵检测在网络连接
过程中进行, 系统根据用户的历史行为模型, 存储
在计算机中的专家知识以及神经网络模型对用户当
前的操作进行判断, 一旦发现入侵迹象立即断开入
侵者与主机的连接, 并收集证据和实施数据恢复 。
9
3、信息收集
一、什么是入侵检测
第一步是信息收集, 包括系统, 网络, 数据及用户活
动的状态和行为 。 需要在系统中的不同关键点 ( 网段
和主机 ) 收集信息, 这样做的理由就是从一个来源的
信息有可能看不出疑点, 但从几个源来的信息的不一
致性却是可疑行为或入侵的最好标识 。
1.系统和网络日志文件
2.目录和文件中的不期望的改变
3.程序执行中的不期望行为
4,物理形式的入侵信息
10
4、信号分析
一、什么是入侵检测
对收集到的上述四类信息, 通过三种技术手
段进行分析:
模式匹配:用于实时的入侵检测
统计分析:用于实时的入侵检测
完整性分析:用于事后分析 。
11
4、信号分析
一、什么是入侵检测
1,模式匹配
模式匹配就是将收集到的信息与已知的网络入侵
和系统误用模式数据库进行比较, 从而发现违背安
全策略的行为 。
优点:只需收集相关的数据集合, 显著减少系统负
担, 且技术已相当成熟 。 它与病毒防火墙采用的方
法一样, 检测准确率和效率都相当高 。
缺点:需要不断的升级以对付不断出现的黑客攻击
手法, 不能检测到从未出现过的黑客攻击手段 。
12
4、信号分析
一、什么是入侵检测
2.统计分析
对系统对象 ( 如用户, 文件, 目录和设备等 ) 创建一
个统计描述, 统计正常使用时的一些测量属性 ( 如访
问次数, 操作失败次数和延时等 ) 。 测量属性的平均
值与网络, 系统的行为进行比较, 任何观察值在正常
值范围之外时, 就认为有入侵发生 。 例如, 某帐户突
然在凌晨两点试图登录 。
优点:可检测到未知的入侵和更为复杂的入侵
缺点:误报, 漏报率高, 不适应用户正常行为的突然
改变 。 统计分析方法如基于专家系统的, 基于模型推
理的和基于神经网络的分析方法 。
13
一、什么是入侵检测
3.完整性分析:利用消息摘要 Hash函数计算
完整性分析关注某个文件或对象是否被更改,
包括文件和目录的内容及属性, 它在发现被木
马, 病毒更改的应用程序方面特别有效 。 检查
系统保存有每个文件的数字摘要数据库, 通过
重新计算文件的数字文摘并与数据库中的值相
比较来判断文件是否被修改 。
优点:攻克文件完整性检查系统, 无论是时间
上还是空间上都是不可能的 。
配置灵活, 可以有选择地监测重要文件 。
14
二、入侵检测产品分析
文件完整性检查的弱点:
一般以批处理方式实现, 不用于实时响应 。
该方法作为网络安全的必要补充, 定期运行 。
文件完整性检查系统依赖于本地的文摘数据
库 。 这些数据可能被入侵者修改 。 防范对策:
将摘要数据库放在只读介质上 。
文件完整性检查非常耗时 。
系统正常的升级会带来大量的文件更新 。 例
如, Windows NT系统中升级 MS-Outlook将会
带来 1800多个文件变化 。
15
1、基于网络的入侵检测
二、入侵检测产品分析
基于网络的入侵检测系统使用原始网络包作为数据源 。
通常采用四种技术来识别攻击标志:
模式, 表达式或字节匹配
频率或穿越阈值
低级事件的相关性
统计学意义上的非常规现象检测
一旦检测到了攻击行为, IDS的响应模块提供多种选项
以通知, 报警并对攻击采取相应的反应 。 通常都包括
通知管理员, 中断连接, 收集证据 。
16
1、基于网络的入侵检测
二、入侵检测产品分析
优点:
1) 成本低:可在几个关键访问点上进行配置, 不要
求在各主机上装载并管理软件 。
2) 通过检测数据包的头部可发现基于主机的 IDS所漏
掉的攻击 ( 如,DOS, 碎片包 Teardrop攻击 ) 。 基
于主机的 IDS无法查看包的头部 。
3,攻击者不易销毁证据:可实时记录攻击者的有关信
息 ( 不仅包括攻击的方法, 还包括可识别黑客身份
和对其进行起诉的信息 ) 。 黑客一旦入侵到主机内
部都会修改审记记录, 抹掉作案痕迹 。
17
1、基于网络的入侵检测
二、入侵检测产品分析
4,实时检测和响应:
可以在攻击发生的同时将其检测出来, 并做出更快的响
应 。 例如, 对拒绝服务攻击发出 TCP复位信号, 在该攻
击对目标主机造成破坏前将其中断 。 而基于主机的系统
只有在可疑的登录信息被记录下来以后才能识别攻击并
做出反应 。 而这时关键系统可能早就遭到了破坏 。
5,能检测未成功的攻击和不良意图 。 基于主机的系统无
法查到未遂的攻击, 而这些丢失的信息对于评估和优化
安全策略至关重要 。
6,操作系统无关性
18
1、基于网络的入侵检测
二、入侵检测产品分析
网络入侵检测系统的弱点:
?只检查它直接连接网段的通信;
?为了不影响性能, 通常采用简单的特征检
测算法, 难以实现复杂计算与分析;
?会将大量的数据传给检测分析系统;
?难以处理加密会话 。 目前通过加密通道的
攻击尚不多, 但这个问题会越来越突出 。
19
2、基于主机的入侵检测
二、入侵检测产品分析
通常是安装在被重点检测的主机之上, 主要是对该主
机的网络实时连接以及系统审计日志进行智能分析和
判断 。 如果其中主体活动十分可疑 (特征或违反统计
规律 ),入侵检测系统就会采取相应措施 。
优点:
1,比基于网络的 IDS更加准确地判断攻击是否成功 。
2,监视特定的系统活动:监视用户和访问文件的活
动, 包括文件访问, 改变文件权限;记录帐户或文件
的变更, 发现并中止改写重要系统文件或者安装特洛
伊木马的企图 。
20
2、基于主机的入侵检测
二、入侵检测产品分析
3,检测被基于网络 IDS漏掉的, 不经过网络的攻击 。
4,可用于加密的和交换的环境 。
交换设备可将大型网络分成许多的小型网络部件加以
管理, 所以很难确定配置基于网络的 IDS的最佳位置 。
基于主机的入侵检测系统可安装在所需的重要主机上,
在交换的环境中具有更高的能见度 。
由于加密方式位于协议堆栈内, 所以基于网络的 IDS
可能对某些攻击没有反应, 基于主机的 IDS没有这方
面的限制, 因为这时数据流已经被解密了 。
21
2、基于主机的入侵检测
二、入侵检测产品分析
5,接近实时的检测和响应
目前, 基于主机的显著减少了从攻击验证到作出响应
的时间延迟, 大多数情况下, 系统能在遭到破坏之前
发现并阻止入侵者攻击 。
6,不要求维护及管理额外硬件设备 。
7,记录花费更加低廉:尽管很容易就能使基于网络
的 IDS提供广泛覆盖, 但其价格通常是昂贵的 。 配置
一个简单的入侵监测系统要花费 $10,000以上, 而基于
主机的入侵检测系统对于单独-代理标价仅几百美元,
并且客户只需很少的费用用于最初的安装 。
22
二、入侵检测产品分析
基于主机的入侵检测系统的弱点:
1,会降低应用系统的效率 。 此外, 安装了主机
入侵检测系统后, 扩大了安全管理员访问权限 。
2,依赖于服务器固有的日志与监视能力 。 如果
服务器没有配置日志功能, 则必需重新配置 。
3,全面布署, 代价较大 。 若部分安装, 则存在
保护盲点 。
4,无法监测网络上的情况 。 对入侵行为的分析
的工作量将随着主机数目增加而增加 。
23
3、混合入侵检测
二、入侵检测产品分析
基于网络的和基于主机的 IDS对攻击的反应方
式有:告警, 存贮和主动响应 。
单纯使用一类产品的防御体系是不完整的,
两类产品结合起来部署, 可以优势互补 。 既
可发现网络中的攻击信息, 也可从系统日志
中发现异常情况 。
24
1、技术分类
三、入侵检测技术分析
入侵检测技术分为两种:特征检测, 异常检测 。
多数 IDS以特征检测为主, 异常检测为辅 。
1) 特征检测 ( 误用检测, 模式发现 )
假设入侵者活动可以用某种模式来表示, 系统
的目标是检测主体活动是否与这些模式匹配 。
关键:入侵模式描述, 区分入侵与正常行为 。
优点:误报少 。
局限:不能发现未知的攻击 。
25
1、技术分类
三、入侵检测技术分析
2) 异常检测 ( 异常发现 )
按照统计规律, 建立主体正常活动的, 简档,,
若当前主体活动偏离, 简档, 相比较, 则认为
该活动可能是, 入侵, 行为 。 例:流量统计分
析, 将异常时间的异常网络流量视为可疑 。
难点:建立, 简档, ;统计算法;异常阈值选
择 。
避免对入侵的误判或漏判 。
局限性:, 入侵, 与, 异常, 并非一一对应 。
而且系统的轨迹难于计算和更新 。
26
2、常用检测方法
三、入侵检测技术分析
IDS常用的检测方法,
特征检测, 统计检测与专家系统 。
据公安部计算机信息系统安全产品质量监督
检验中心的报告, 国内送检的入侵检测产品
中 95% 是属于使用入侵模板进行模式匹配的
特征检测产品, 其他 5% 是采用概率统计的统
计检测产品与基于日志的专家知识库系产品 。
27
2、常用检测方法
三、入侵检测技术分析
1) 特征检测,对攻击方式作出确定性的描
述 ?事件模式 。 当被审计的事件与已知的入
侵事件模式相匹配时报警 。 目前常用的是数
据包特征模式匹配 。 准确率高, 对付已知攻
击 。
2) 统计检测,常用于异常检测 。 测量参数
包括:审计事件的数量, 间隔时间, 资源消
耗情况等 。 常用的统计模型有:
28
2、常用检测方法
三、入侵检测技术分析
操作模型:测量结果与一些固定指标 ( 经验
值, 统计值 ) 相比较, 例:在短时间内的多
次登录失败, 可能是口令尝试攻击;
概率模型:计算参数的方差, 设定其置信区
间, 当测量值超过置信区间的范围时表明有
可能是异常;或者当概率很低的事件发生时,
可能发生入侵 。
用户历史行为:当用户改变他们的行为习惯
时, 这种异常就会被检测出来 。
29
2、常用检测方法
三、入侵检测技术分析
3) 专家系统:
根据专家对可疑行为的经验形成一套推理规
则 。 专家系统的建立依赖于知识库的完备性,
知识库的完备性又取决于审计记录的完备性
与实时性 。 入侵的特征抽取与表达, 是入侵
检测专家系统的关键 。 在系统实现中, 将有
关入侵的知识转化为 if-then结构 ( 也可以是
复合结构 ), 条件部分为入侵特征, then部
分是系统防范措施 。
30
3、入侵的发展趋势
三、入侵检测技术分析
多样化与复杂化:采用多种手段, 提高成功率 。
隐蔽化:掩盖攻击者身份和目的 。
欺骗性:间接攻击; IP地址欺骗
攻击规模扩大:电子战与信息战 。
攻击的分布化,DDoS在很短时间内造成被攻击
主机的瘫痪, 且在攻击的初期不易被发觉 。
攻击对象转移:网络 ?网络防护系统 。
31
4、入侵检测技术发展方向
三、入侵检测技术分析
?分布式入侵检测,两层含义
1) 针对分布式网络攻击的检测方法
2) 使用分布式的方法来检测分布式的攻击,
关键技术为检测信息的协同处理
解决异构系统及大规模网络的入侵检测, 发
展分布式入侵检测技术与通用入侵检测架构 。
?智能化入侵检测:
32
三、入侵检测技术分析
神经网络, 遗传算法, 模糊技术, 免疫原理等
方法, 用于入侵特征的辨识 。
利用专家系统, 具有自学习能力, 实现知识库
的不断更新与扩展 。
应用智能体 (Agent)技术进行入侵检测 。 应该将
常规高效的 IDS与智能检测模块结合使用 。
应用层入侵检测:许多入侵的语义只有在应用
层才能理解 。 使 IDS不仅能检测 Web类的通用协
议, 还能处理如 Lotus Notes,数据库系统等其
他的应用系统 。
33
1、入侵检测的评估
四、入侵检测产品
1)能保证自身的安全 。
2)系统运行与维护的开销 小 。
3)误报率和漏报率要低 。
4)支持多种网络, 对网络性能影响小 。
5)能检测的入侵特征数量 。
6)是否支持 IP碎片重组, TCP流重组 。 TCP流重
组是网络 IDS分析应用层协议的基础 。 如检查邮
件内容, 附件, FTP数据, 非法 HTTP请求等 。
34
2、入侵检测的产品
四、入侵检测产品
?Cisco公司的 NetRanger
传感器 (sensor),采集数据 ( 网络包, 日志 ),
分析数据, 发出报警信息等 。
控制台 (console),图形化界面, 中央管理机
构 。 接收报警, 启动对策 。
?Network Associates公司的 CyberCop
?Internet Security System公司的 RealSecure
35
3、入侵检测产品选择要点
四、入侵检测产品
1,系统的价格
2,特征库升级与维护的费用
3,网络 IDS的最大可处理流量 (包 /秒 PPS)
4,漏报率, 误报率
5,产品的可伸缩性:系统支持的传感器数目,
入侵特征库大小, 传感器与控制台之间通信
带宽, 对审计日志溢出的处理 。
36
四、入侵检测产品
6,运行与维护系统的开销:使用方便, 简单 。
7,支持的入侵特征数:协议分析及检测能力 。
各厂商对检测特征库大小的计算方法不同, 不
能偏听一面之辞 。
8,产品有哪些响应方法:本地, 远程等 。 自动
更改防火墙配置要慎重 。
9,国家权威机构的评测,国家信息安全测评
认证中心, 公安部计算机信息系统安全产品质
量监督检验中心 。
37
4、存在的问题
四、入侵检测产品
1) 攻击手段不断更新, 攻击工具自动化 。 IDS
必须不断跟踪最新的安全技术 。
2) 恶意信息采用加密传输可能骗过网络 IDS。
3) IDS要适应多样化环境中不同的安全要求 。
4) 不断增大的网络流量 。 数据实时分析导致
对系统的要求越来越高 。 尽管如此, 对百兆以
上的流量, 单一的入侵检测系统系统仍很难应
付 。
38
4、存在的问题
四、入侵检测产品
5) 缺乏统一的标志和概念框架 。 各自为战,
产品互通困难 。
6) 采用不恰当的自动反应所造成的风险 。
IDS可以与防火墙结合, 当发现有攻击行为时,
过滤掉所有来自攻击者的 IP的数据 。 例:攻
击者假冒大量不同的 IP进行模拟攻击, 而 IDS
自动配置防火墙将这些实际上并没有进行任
何攻击的地址都过滤掉, 于是形成了新的拒
绝访问攻击 。
39
4、存在的问题
四、入侵检测产品
7) IDS自身的安全性:本身的安全漏洞 。
8)大量的误报和漏报 。 原因:必须深入了解所
有操作系统, 网络协议的运作情况和细节, 才
能准确的进行分析, 而不同版本对协议处理都
不同;而快速反应与力求全面也是矛盾 。
9)缺乏客观的评估与测试信息 。
10)交换式局域网造成网络数据流的可见性下降;
同时高速网络使数据的实时分析越发困难 。
