1
入侵检测
入侵检测概述
入侵检测系统分类
入侵检测系统的分析方式
入侵检测系统的优点与局限性
2
背景介绍
信息系统的安全问题
■ 操作系统的脆弱性
■ 计算机网络的资源开放、信息共享以及网络复杂性增
大了系统的不安全性
■ 数据库管理系统等应用系统设计中存在的安全性缺陷
■ 缺乏有效的安全管理
3
黑客攻击猖獗
网络
内部、外部泄密
拒绝服务攻击
逻辑炸弹
特洛伊木马 黑客攻击 计算机病毒后门、隐蔽通道
蠕虫
4
入侵检测的提出
什么是入侵检测系统
■ 入侵检测是从计算机网络或计算机系统中的若干关键
点搜集信息并对其进行分析,从中发现网络或系统中
是否有违反安全策略的行为和遭到袭击的迹象的一种
机制。
■ 入侵检测系统是一套监控计算机系统或网络系统中发
生的事件,根据规则进行安全审计的软件或硬件系统。
5
入侵检测的提出
为什么需要 IDS?
? 入侵很容易
■ 入侵教程随处可见
■ 各种工具唾手可得
? 防火墙不能保证绝对的安全
■ 网络边界的设备
■ 自身可以被攻破
■ 对某些攻击保护很弱
■ 不是所有的威胁来自防火墙外部
■ 防火墙是锁,入侵检测系统是监视器
6
入侵检测的提出
入侵检测的任务
?检测来自内部的攻击事件和越权访问
■ 85%以上的攻击事件来自于内部的攻击
■ 防火墙只能防外,难于防内
?入侵检测系统作为防火墙系统的一个有效的补充
■ 入侵检测系统可以有效的防范 防火墙开放 的服务入侵
■ 通过事先发现风险来阻止入侵事件的发生,提前发现试图攻击
或滥用网络系统的人员。
■ 检测其它 安全工具没有发现 的网络工具事件。
■ 提供有效的审计信息,详细记录黑客的入侵过程,从而帮助管
理员发现网络的脆弱性。
7
入侵检测的提出
入侵检测的发展历史
■ 1980年,James Anderson最早提出入侵检测概念
■ 1987年,D,E,Denning首次给出了一个入侵检测的抽象模型,
并将入侵检测作为一种新的安全防御措施提出。
■ 1988年,Morris蠕虫事件直接刺激了 IDS的研究
■ 1988年,创建了基于主机的系统,有 IDES,Haystack等
■ 1989年,提出基于网络的 IDS系统,有 NSM,NADIR,DIDS等
■ 90年代,不断有新的思想提出,如将人工智能、神经网络、模
糊理论、证据理论、分布计算技术等引入 IDS系统
■ 2000年 2月,对 Yahoo!,Amazon,CNN等大型网站的 DDOS
攻击引发了对 IDS系统的新一轮研究热潮
■ 2001年~今,RedCode、求职信等新型病毒的不断出现,进一
步促进了 IDS的发展。
8
入侵检测系统的基本结构
输出:反应或事件
输出:高级中断事件 输出:事件的存储信息
输出:原始或低级事件
输入:原始事件源
事件产生器
响应单元
事件数据库 事件分析器
9
入侵检测系统的基本结构
( 1) 事件产生器
事件产生器 采集和监视 被保护系统的 数据,这些数据可以
是 网络的数据包,也可以是从 系统日志 等其他途径搜集到的
信息。并且将这个数据进行保存,一般是 保存到数据库 中。
( 2) 事件分析器
事件分析器的功能主要分为两个方面:一是用于 分析事件
产生器搜集到的数据,区分数据的正确性,发现非法的或者
具有潜在危险的、异常的数据现象,通知响应单元做出入侵
防范 ;一是对数据库保存的 数据做定期的统计分析, 发现某
段时期内的异常表现,进而对该时期内的异常数据进行详细
分析。
10
( 3) 响应单元
响应单元是 协同事件分析器 工作的重要组成
部分,一旦事件分析器发现具有入侵企图的异常
数据,响应单元就要发挥作用,对具有入侵企图
的攻击施以 拦截、阻断、反追踪 等手段,保护被
保护系统免受攻击和破坏。
( 4) 事件数据库
事件数据库记录 事件分析单元提供的分析结
果,同时记录下所有来自于 事件产生器的事件,
用来进行以后的分析与检查。
11
根据检测对象和工作方式
■基于主机的入侵检测系统
■基于网络的入侵检测系统
其他
■混合入侵检测系统
■分布式入侵检测系统
入侵检测系统分类
12
基于主机的入侵检测系统
?直接与操作系统相关,控制文件系统以及重要的系统文件,
确保操作系统不会被随意地删改。
?能够及时发现操作系统所受到的侵害,并且由于它保存一
定的校验信息和所有系统文件的变更记录,在一定程度上还
可以实现安全恢复机制。
?按照检测对象的不同
■网络连接检测
■主机文件检测
13
1.网络连接检测
网络连接检测是对试图 进入该主机的数据流 进行检测,分
析确定是否有入侵行为,避免或减少这些数据流进入主机
系统后造成损害。
网络连接检测可以有效地检测出是否存在攻击探测行为,
攻击探测几乎是所有攻击行为的前奏。系统管理员可以设
置好 访问控制表,其中包括 容易受到攻击探测的网络服务,
并且为它们 设置好访问权限 。
14
2.主机文件检测
通常入侵行为会在主机的各种相关文件中留下痕迹,
主机文件检测能够帮助系统管理员发现入侵行为或
入侵企图,及时采取补救措施。
主机文件检测的检测对象主要包括以下几种:
( 1) 系统日志
( 2) 文件系统
( 3) 进程记录
15
例子:
Tripwire就是一种基于主机文件的入侵检测
系统,它是目前最为著名的 unix下文件系统完
整性检查的软件工具。
这一软件采用的技术核心就是对每个要监
控的文件产生一个数字签名,保留下来。当文
件现在的数字签名与保留的数字签名不一致时,
那么现在这个文件必定被改动过了。
16
基于主机的入侵检测系统
? 优点:
■ 检测准确度较高;
■ 可以检测到没有明显行为特征的入侵;
■ 能够对不同的操作系统进行有针对性的检测;
■ 成本较低;
■ 不会因网络流量影响性能;
■ 适于加密和交换环境。
? 不足:
■ 实时性较差;
■ 无法检测数据包的全部;
■ 检测效果取决于日志系统;
■ 占用主机资源;
■ 隐蔽性较差;
17
基于网络的入侵检测系统
? 作为一个独立的个体放置于被保护的网络上,它使用 原始的网络分组数据包 作为进行攻击分析的数据源;
? 一般利用一个 网络适配器 来实时监视和分析所有通过网络进行传输的通信;
? 一旦检测到攻击,入侵检测系统应答模块通过通知、报警以
及中断连接等方式来对 攻击做出反应 ;
? 侦听某一个 IP,保护特定服务器的安全;
? 侦听整个网段,将本身的网卡设置为混杂模式以接收网段内的所有数据包;
? 通常系统会使用位于网络层和传输层的网络侦听底层实现对网络的侦听,获取其所见到的所有包并传给上一层。
18
基于网络的入侵检测系统
? 获取包的主要目的是要对它进行处理以获得需要的信息。最常用的处
理是 数据包的流量统计 以及数据包的归类分析。
? 通过多年的总结,人们发现大多数的入侵都有一定的特征。只要在数
据包记录中发现这种有特征的行为,就可以在一定程度上断定发生了或
即将发生入侵。
? 入侵检测系统就是通过将实际的数据流量记录与入侵模式库中的入侵
模式进行匹配,寻找可能的攻击特征。
? 如果是正常数据包,则允许通过或留待进一步分析。
? 如果是不安全的数据包,则可以进行阻断网络连接等操作,在这种情
况下,还可以重新配置防火墙以阻断相应的网络连接,共同保护主机的
安全。
19
基于网络的入侵检测系统
此外,基于网络的入侵检测系统可以执行以下任务:
( 1) 检测端口扫描。
( 2) 检测常见的攻击行为。
( 3) 识别各种各样可能的 IP欺骗攻击。
( 4) 当检测到一个不希望的活动时,基于网络的入侵检测
系统将采取行动,包括干涉从入侵者处发来的通信,或重新
配置附近的防火墙策略以封锁从入侵者的计算机或网络发来
的所有通信。
20
1.包嗅探器和网络监视器
?设计初衷:帮助监视以太网络的通信。最早有两
种产品,Novell LANalyser和 Network Monitor。
这些产品一旦从网络上抓获了这些数据包,就可以
进行以下工作:
■ 对包进行统计。统计通过的数据包,并统计该时期内通过的数
据包的总的大小(包括总的开销,例如包的报头),就可以很好地
知道网络的负载状况。
■详细地检查包。例如,可以抓获一系列到达 Web服务器的数据包
来诊断服务器的问题。
?要求网络接口运行在混杂模式下,接收通过网络
接口卡的每个包。
21
基于网络的入侵检测
2,ISS RealSecure Engine
包嗅探器:抓获网络上的每个数据包,拆分该包,根据包
的内容手工采取相应的反应,太浪费时间了,从大量积累数
据中 获取有价值的信息非常困难 。
RealSecure Engine能够执行的入侵检测是检查通过网络
的数据包。对于合法的数据包,允许它们通过(为了今后的
分析,也可以对它们进行记录)。当一个数据包危及到目标
系统的安全或完整性时,同时向 目标系统 和 发送该数据包的
系统 发送 TCP“Connection Closed”或 ICMP“port
unreachable”来阻止该包的传送。
22
DMZ
E-Mail
File Transfer
HTTP
Intranet
企业网络
生产部
工程部
市场部
人事部
路由
Internet
中继
内部攻击
警告 !
启动事件日志,
发送消息
利用 RealSecure进行可适应性
攻击检测和响应
入侵检测工具举例
23
利用 RealSecure进行可适应性
攻击检测和响应
DMZ
E-Mail
File Transfer
HTTP
Intranet
企业网络
生产部
工程部
市场部
人事部
路由
Internet
中继
外部攻击
商务伙伴警告 !
记录进攻,
发送消息,
终止连接
外部攻击
中止连接
重新配置
路由或防火墙
以便隐藏 IP地址
入侵检测工具举例
24
基于网络的入侵检测系统
优点:
■可以提供实时的网络行为检测;
■可以同时保护多台网络主机;
■具有良好的隐蔽性;
■有效保护入侵证据;
■不影响被保护主机的性能。
不足:
■防入侵欺骗的能力通常较差;
■检测性能受硬件条件限制;
■不能处理加密后的数据。
25
混合入侵检测系统,两种 IDS的结合运用
? 基于网络的入侵检测系统和基于主机的入侵检测系统都有各自的优势
和不足,如果同时使用互相弥补不足,会起到良好的检测效果。
? 例如,从某个重要服务器的 键盘发出的攻击 并不经过网络,因此就无
法通过基于网络的 IDS检测到,只能使用基于主机的 IDS来检测。
? 基于网络的 IDS通过检查所有的 数据包头 来进行检测,而基于主机的
IDS并不查看包头。
? 基于网络的 IDS可以研究 负载的内容,查找特定攻击中使用的命令或语
法,IDS通过实时检查包序列就能迅速识别;而基于主机的入侵检测系统
无法看到负载,因此也无法识别嵌入式的负载攻击。
? 基于主机的 IDS使用 系统日志 作为检测依据,因此它们在确定攻击是否
已经取得成功时,与基于网络的 IDS相比具有更大的 准确性 。在这方面,
基于主机的 IDS对基于网络的 IDS是一个很好的补充,可以使用基于网络
的 IDS提供早期报警,使用基于主机的 IDS来验证攻击是否取得成功。
26
分布式入侵检测系统
目前的 IDS一般采用集中式模式,在被保护网络的各个网段中分别放置检测器
进行数据包搜集和分析,各个检测器将检测信息传送给中央控制台进行统一处理,
中央控制台还会向各个检测器发送命令。
这种模式的缺点
■难以及时对在复杂网络上发起的分布式攻击进行数据分析以至于无法完成检测任务,
入侵检测系统本身所在的主机还可能面临因为负荷过重而崩溃的危险。
■单一的基于异常检测或者误用检测的分析方法所获得的效果很难令人满意。
■在大型网络中,网络的不同部分可能分别采用不同的入侵检测系统,各个 IDS]之间通
常不能互相协作,不仅不利于检测工作,甚至还会产生新的安全漏洞。
采用分布式结构的入侵检测模式系统采用分布式智能代理的结构,由一个或者
多个中央智能代理和大量分布在网络各处的本地代理组成。其中本地代理负责处
理本地事件,中央代理负责统一调控各个本地代理的工作以及从整体上完成对网
络事件进行综合分析的工作。检测工作通过全部代理互相协作共同完成。
27
异常检测技术
误用检测技术
入侵检测系统的分析方式
28
异常检测技术 —— 基于行为的检测
1,基本原理
异常检测技术( Anomaly Detection)也称为基于行为的检测技术,
是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。
首先假设网络攻击行为是不常见的或是异常的,区别于所有的正常行
为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型,
那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比,若入
侵行为偏离了正常的行为轨迹,就可以被检测出来。
异常检测技术先定义一组系统正常活动的阈值,如 CPU利用率、内存
利用率、文件校验和等,这类数据可以人为定义,也可以通过观察系统,
用统计的办法得出,然后将系统运行时的数值与所定义的“正常”情况比
较,得出是否有被攻击的迹象。这种检测方式的核心在于如何分析系统运
行情况。
29
异常检测技术
用户行为
正常行为 异常行为
误警漏警
阈值
30
入侵活动
( 1)外部闯入指的是未经授权计算机系统用户的入
侵;
( 2)内部渗透是指已授权的计算机用户访问未经授
权的数据;
( 3)不当行为指的是用户虽经授权,但对授权数据
和资源的使用不合法或滥用授权。
异常活动集与入侵活动集之间的关系如下图所示
31
异常检测技术
异常检测技术的核心问题是建立行为模型,目前主要有以下
几种方法。
? 统计分析异常检测
统计分析异常检测方法在基于异常检测技术的入侵检测系统
中使用最为广泛。首先要对系统或用户的行为 按照一定的时间
间隔进行采样,样本的内容包括每个会话的登录、退出情况,
CPU和内存的占用情况,硬盘等存储介质的使用情况等。
对每次采集到的 样本进行计算,得出一系列的 参数变量 来对
这些行为进行描述,从而 产生行为轮廓,将每次 采样后得到的
行为轮廓与已有轮廓进行合并,最终 得到系统和用户的正常行
为轮廓 。入侵检测系统通过将当前采集到的行为轮廓与正常行
为轮廓相比较,来检测是否存在网络入侵行为。
32
异常检测技术
在早期采用的算法中,系统计算出所有 变量的平均值,然
后根据 平均偏差 检测当前行为是否超过了某一阈值,这样的
模型比较粗糙,检测精度较低。目前使用一种更加复杂的模
型,检测系统同时计算并且比较每个用户长期和短期的活动
状态,而状态信息随着用户行为的变化不断更新。
优势
■在于所应用的技术方法在统计学中已经比较成熟。
不足
■在于异常阈值难以确定,阈值设置得偏高会产生过多的误检,偏低
则会导致漏检率升高;而且对事件发生的次序不敏感,可能不会检测
出由先后发生的几个关联事件组成的入侵行为
33
异常检测技术
?其他方法
■贝叶斯推理异常检测
■神经网络异常检测
■模式预测异常检测
■数据采掘异常检测
■机器学习异常检测
34
异常检测技术
2,评价
■优点:
■能够检测出新的网络入侵方法的攻击;
■较少依赖于特定的主机操作系统;
■对于内部合法用户的越权违法行为的检测能力较强。
■不足:
■误报率高;
■行为模型建立困难;
■难以对入侵行为进行分类和命名。
35
误用检测技术 —— 基于知识的检测
1,基本原理
根据已知的攻击方法或系统安全缺陷方面的知识,建立
特征( Signature ) 数据库,然后在收集到的网络活
动中寻找匹配的使用模式( Pattern) —— 知识、特征
匹配 /检测。
它的前提是假设所有的网络攻击行为和方法都具有 一定的模式或特征。
误用检测技术首先要 定义违背安全策略事件的特征,检测主要判别所
搜集到的数据特征是否在所搜集到的入侵模式库中出现。这种方法与大
部分杀毒软件采用的特征码匹配原理类似。
一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个
输出(如获得权限)来表示。
36
误用检测主要实现技术
( 1) 专家系统误用检测
专家系统误用检测方法首先将安全专家的关于网络入侵行为的知识表
示成一些类似 If-Then的规则,并以这些规则为基础 建立专家知识库 。
规则中的 If部分 说明形成 网络入侵的必需条件, Then部分 说明发现入
侵后要 实施的操作 。入侵检测系统将网络行为的 审计数据事件 进行转换,
成为包含 入侵警告程度的判断事实,然后通过 推理引擎 进行入侵检测,当
If中的条件 全部满足或者在一定程度上满足 时,Then中的动作就会被执行。
专家系统误用检测需要 处理大量的审计数据 并且依赖于审计 追踪的次
序,在目前的条件下处理速度难以保证。同时,对于各种网络攻击行为知
识进行规则化描述的精度有待提高,审计数据有时不能提供足够的检测所
需的信息。
专家系统只能检测出以往发现过的入侵行为,要检测出新的入侵,必
须及时添加新的规则,维护知识库的工作量很大。
37
误用检测主要实现技术
?其他方法
■ 基于条件概率误用检测
■ 基于状态转移分析误用检测
■ 基于模型误用检测
38
误用检测技术
3,评价
优点:
■检测准确度高;
■技术相对成熟;
■便于进行系统防护。
缺点:
■不能检测出新的入侵行为;
■完全依赖于入侵特征的有效性;
■维护特征库的工作量巨大;
■难以检测来自内部用户的攻击。
39
异常检测技术和误用检测技术的比较
无论哪种入侵检测技术都需要 搜集总结 有关 网络入侵行为 的各种知识,
或者 系统及其用户的各种行为 的知识。基于异常检测技术的入侵检测系统
如果想检测到所有的网络入侵行为,必须掌握被保护系统 已知行为 和 预期
行为 的所有信息,这一点实际上无法做到,因此入侵检测系统必须不断地
学习并 更新已有的行为轮廓 。
对于基于误用检测技术的入侵检测系统而言,只有拥有所有可能的入
侵行为的先验知识,而且必须能 识别各种入侵行为的过程细节 或者 每种入
侵行为的特征模式,才能检测到所有的入侵行为,而这种情况也是不存在
的,该类入侵检测系统 只能检测出已有的入侵模式,必须不断地对 新出现
的入侵行为进行 总结和归纳 。
40
异常检测技术和误用检测技术的比较
( 1)因为异常检测需要对系统和用户的行为轮廓进行不断的学习更新,需要大
量的数据分析处理工作,要求管理员能够 总结出 被保护系统的 所有正常行为状态,
对系统的 已知和期望 行为进行全面的分析,因此配置 难度 相对较大。
但是,有些基于误用检测技术的入侵检测系统允许 管理员 对入侵 特征数据库进
行修改,甚至允许管理员自己根据所发现的攻击行为 创建新的网络入侵特征规则
记录,这种入侵检测系统在系统配置方面的 工作量会显著增加 。
(2)基于异常检测技术的 IDS所输出的 检测结果,通常是在对实际行为与行为轮
廓进行异常分析等相关处理后得出的,这类 IDS的 检测报告 通常会比基于误用检
测技术的 IDS具有 更多的数据量,因为任何超出行为轮廓范围的事件都将被检测
出来并写入报告中。
而大多数基于误用检测技术的 IDS,是将 当前行为模式 与 已有行为模式 进行匹
配后产生检测结论,其 输出内容 是 列举出入侵行为的类型和名称,以及 提供相应
的处理建议 。
41
其他入侵检测技术的研究
绝大多数 IDS(入侵检测系统)的检测机制还停留在,基本的数据
包捕获 加以 非智能模式匹配 与 特征搜索技术 来探测攻击。
IDS的核心是 攻击特征,它使 IDS在事件发生时触发。特征信息过短
会经常触发 IDS,导致误报或错报,过长则会减慢 IDS的工作速度。有
人将 IDS所支持的特征数视为 IDS好坏的标准,但是有的产商用一个特
征涵盖许多攻击,而有些产商则会将这些特征单独列出,这就会给人
一种印象,好像它包含了更多的特征,是更好的 IDS。
入侵检测系统的研究方向之一是将 各个领域的研究成果 应用于入侵
检测中,以形成更高效、更为 智能化 的检测算法,提高入侵检测的应
用价值。目前研究的重点有遗传算法和免疫技术等。
42
其他入侵检测技术的研究
1.遗传算法
遗传算法的基本原理是 首先定义一组入侵检测指令集,这些指令用
于检测出正常或者异常的行为。
指令中包含若干字符串,所有的指令 在定义初期的检测能力都很有
限,入侵检测系统对这些指令 逐步地进行训练,促使指令中的字符
串片段 发生重组,以生成新的字符串指令 。
再从新的指令中经过测试 筛选出检测能力最强的部分指令,对它们
进行下一轮的 训练 。如此 反复,使检测指令的检测能力不断提高,
这个过程如同生物学中的遗传进化过程。
直到指令的 检测能力不会有明显的提高,训练过程即可结束,此时
这些指令已经具有一定的检测能力,入侵检测系统可以使用它们进
行网络入侵检测。目前对遗传算法的研究还处于试验阶段。
43
其他入侵检测技术的研究
2.免疫技术
处于网络环境中的主机之所以受到入侵,是因为主机系统
本身以及所运行的应用程序存在着各种 脆弱性因素,网络攻
击者正是利用这些漏洞来侵入到主机系统中的;免疫机制包
括 特异性 免疫和 非特异性 免疫。
特异性免疫针对于 特定的某种病毒,非特异性免疫可用于
检测和抵制 以前从未体验过的入侵类型 。入侵检测免疫技术
受免疫系统原理的启发,通过学习分析已有行为的样本来获
得识别不符合常规行为的能力。
44
入侵检测系统是企业安全 防御系统 中的重要部件,但入侵检
测系统并不是万能的。入侵检测对于部分事件可以处理得很好,
但对于另一些情况则无能为力。
只有充分了解入侵检测系统的优点和局限性,才能对入侵检
测系统有一个准确的定位,以便将入侵检测系统有效地应用在
安全防御系统中,最大限度 地发挥它的安全防御功能。
入侵检测系统的优点与局限性
Policy——策略
Protection—防护
Detection——检测
Response——响应
45
入侵检测系统的优点
入侵检测系统作为一个迅速崛起并受到广泛承认的安全组件,有着很多
方面的安全优势:
■可以检测和分析系统事件以及用户的行为;
■可以测试系统设置的 安全状态 ;
■以系统的安全状态为基础,跟踪任何对系统安全的修改操作;
■通过模式识别等技术从通信行为中检测出已知的攻击行为;
■可以对网络通信行为 进行统计,并进行检测分析;
■管理操作系统 认证和日志机制 并对产生的数据进行分析处理;
■在检测到攻击的时候,通过适当的方式进行 适当的报警处理 ;
■通过对分析引擎的配置对网络的安全进行 评估和监督 ;
■允许非安全领域的管理人员对重要的安全事件进行有效的处理。
46
入侵检测系统的局限性
入侵检测系统只能对网络行为进行安全审计,从入侵检测
系统的定位可以看出,入侵检测系统存在以下缺陷,
( 1) 入侵检测系统 无法弥补 安全防御系统中的 安全缺陷和
漏洞 。这些安全漏洞包括其他安全设备的错误配置以及安全
设备本身造成的安全漏洞和缺陷。
( 2) 对于高负载的网络或主机,很难实现对网络入侵的 实
时检测, 报警和迅速地进行攻击响应 。
( 3) 基于 知识 的入侵检测系统 很难检测到未知的攻击行为,
也就是说,检测具有一定的后滞性,而对于已知的报警,一
些没有明显特征的攻击行为也很难检测到,或需要付出提高
误报警率的代价才能够正确检测。
47
入侵检测系统的局限性
( 4) 入侵检测系统的主动防御功能和联动防御功
能会 对网络的行为产生影响,同样也会成为攻击者
的目标,实现以入侵检测系统过敏自主防御为基础
的攻击。
通过发送伪造的数据,触发入侵检测系统的主动
防御响应,对可信连接进行阻断,造成拒绝服务攻
击。在目前的技术条件下,对于网络的主动防御的
设置要十分慎重,防止出现利用主动防御系统进行
网络攻击的情况。
48
入侵检测系统的局限性
( 5) 入侵检测系统 无法单独防止攻击行为的渗透,只能
调整相关网络设备的参数 或 人为 地进行 处理 。由于入侵
检测技术不可避免地存在着大量的误报情况,因此进行
自动防御会造成对可信连接的影响。目前的入侵检测系
统在实质性安全防御方面,还是要以人为修正为主,即
使是对可确定入侵的自动阻断行为,建议也要经过人为
干预,防止可能的过敏防御。
( 6) 入侵检测系统主要是对 网络行为进行分析检测,不
能修正信息资源中存在的安全问题。
入侵检测
入侵检测概述
入侵检测系统分类
入侵检测系统的分析方式
入侵检测系统的优点与局限性
2
背景介绍
信息系统的安全问题
■ 操作系统的脆弱性
■ 计算机网络的资源开放、信息共享以及网络复杂性增
大了系统的不安全性
■ 数据库管理系统等应用系统设计中存在的安全性缺陷
■ 缺乏有效的安全管理
3
黑客攻击猖獗
网络
内部、外部泄密
拒绝服务攻击
逻辑炸弹
特洛伊木马 黑客攻击 计算机病毒后门、隐蔽通道
蠕虫
4
入侵检测的提出
什么是入侵检测系统
■ 入侵检测是从计算机网络或计算机系统中的若干关键
点搜集信息并对其进行分析,从中发现网络或系统中
是否有违反安全策略的行为和遭到袭击的迹象的一种
机制。
■ 入侵检测系统是一套监控计算机系统或网络系统中发
生的事件,根据规则进行安全审计的软件或硬件系统。
5
入侵检测的提出
为什么需要 IDS?
? 入侵很容易
■ 入侵教程随处可见
■ 各种工具唾手可得
? 防火墙不能保证绝对的安全
■ 网络边界的设备
■ 自身可以被攻破
■ 对某些攻击保护很弱
■ 不是所有的威胁来自防火墙外部
■ 防火墙是锁,入侵检测系统是监视器
6
入侵检测的提出
入侵检测的任务
?检测来自内部的攻击事件和越权访问
■ 85%以上的攻击事件来自于内部的攻击
■ 防火墙只能防外,难于防内
?入侵检测系统作为防火墙系统的一个有效的补充
■ 入侵检测系统可以有效的防范 防火墙开放 的服务入侵
■ 通过事先发现风险来阻止入侵事件的发生,提前发现试图攻击
或滥用网络系统的人员。
■ 检测其它 安全工具没有发现 的网络工具事件。
■ 提供有效的审计信息,详细记录黑客的入侵过程,从而帮助管
理员发现网络的脆弱性。
7
入侵检测的提出
入侵检测的发展历史
■ 1980年,James Anderson最早提出入侵检测概念
■ 1987年,D,E,Denning首次给出了一个入侵检测的抽象模型,
并将入侵检测作为一种新的安全防御措施提出。
■ 1988年,Morris蠕虫事件直接刺激了 IDS的研究
■ 1988年,创建了基于主机的系统,有 IDES,Haystack等
■ 1989年,提出基于网络的 IDS系统,有 NSM,NADIR,DIDS等
■ 90年代,不断有新的思想提出,如将人工智能、神经网络、模
糊理论、证据理论、分布计算技术等引入 IDS系统
■ 2000年 2月,对 Yahoo!,Amazon,CNN等大型网站的 DDOS
攻击引发了对 IDS系统的新一轮研究热潮
■ 2001年~今,RedCode、求职信等新型病毒的不断出现,进一
步促进了 IDS的发展。
8
入侵检测系统的基本结构
输出:反应或事件
输出:高级中断事件 输出:事件的存储信息
输出:原始或低级事件
输入:原始事件源
事件产生器
响应单元
事件数据库 事件分析器
9
入侵检测系统的基本结构
( 1) 事件产生器
事件产生器 采集和监视 被保护系统的 数据,这些数据可以
是 网络的数据包,也可以是从 系统日志 等其他途径搜集到的
信息。并且将这个数据进行保存,一般是 保存到数据库 中。
( 2) 事件分析器
事件分析器的功能主要分为两个方面:一是用于 分析事件
产生器搜集到的数据,区分数据的正确性,发现非法的或者
具有潜在危险的、异常的数据现象,通知响应单元做出入侵
防范 ;一是对数据库保存的 数据做定期的统计分析, 发现某
段时期内的异常表现,进而对该时期内的异常数据进行详细
分析。
10
( 3) 响应单元
响应单元是 协同事件分析器 工作的重要组成
部分,一旦事件分析器发现具有入侵企图的异常
数据,响应单元就要发挥作用,对具有入侵企图
的攻击施以 拦截、阻断、反追踪 等手段,保护被
保护系统免受攻击和破坏。
( 4) 事件数据库
事件数据库记录 事件分析单元提供的分析结
果,同时记录下所有来自于 事件产生器的事件,
用来进行以后的分析与检查。
11
根据检测对象和工作方式
■基于主机的入侵检测系统
■基于网络的入侵检测系统
其他
■混合入侵检测系统
■分布式入侵检测系统
入侵检测系统分类
12
基于主机的入侵检测系统
?直接与操作系统相关,控制文件系统以及重要的系统文件,
确保操作系统不会被随意地删改。
?能够及时发现操作系统所受到的侵害,并且由于它保存一
定的校验信息和所有系统文件的变更记录,在一定程度上还
可以实现安全恢复机制。
?按照检测对象的不同
■网络连接检测
■主机文件检测
13
1.网络连接检测
网络连接检测是对试图 进入该主机的数据流 进行检测,分
析确定是否有入侵行为,避免或减少这些数据流进入主机
系统后造成损害。
网络连接检测可以有效地检测出是否存在攻击探测行为,
攻击探测几乎是所有攻击行为的前奏。系统管理员可以设
置好 访问控制表,其中包括 容易受到攻击探测的网络服务,
并且为它们 设置好访问权限 。
14
2.主机文件检测
通常入侵行为会在主机的各种相关文件中留下痕迹,
主机文件检测能够帮助系统管理员发现入侵行为或
入侵企图,及时采取补救措施。
主机文件检测的检测对象主要包括以下几种:
( 1) 系统日志
( 2) 文件系统
( 3) 进程记录
15
例子:
Tripwire就是一种基于主机文件的入侵检测
系统,它是目前最为著名的 unix下文件系统完
整性检查的软件工具。
这一软件采用的技术核心就是对每个要监
控的文件产生一个数字签名,保留下来。当文
件现在的数字签名与保留的数字签名不一致时,
那么现在这个文件必定被改动过了。
16
基于主机的入侵检测系统
? 优点:
■ 检测准确度较高;
■ 可以检测到没有明显行为特征的入侵;
■ 能够对不同的操作系统进行有针对性的检测;
■ 成本较低;
■ 不会因网络流量影响性能;
■ 适于加密和交换环境。
? 不足:
■ 实时性较差;
■ 无法检测数据包的全部;
■ 检测效果取决于日志系统;
■ 占用主机资源;
■ 隐蔽性较差;
17
基于网络的入侵检测系统
? 作为一个独立的个体放置于被保护的网络上,它使用 原始的网络分组数据包 作为进行攻击分析的数据源;
? 一般利用一个 网络适配器 来实时监视和分析所有通过网络进行传输的通信;
? 一旦检测到攻击,入侵检测系统应答模块通过通知、报警以
及中断连接等方式来对 攻击做出反应 ;
? 侦听某一个 IP,保护特定服务器的安全;
? 侦听整个网段,将本身的网卡设置为混杂模式以接收网段内的所有数据包;
? 通常系统会使用位于网络层和传输层的网络侦听底层实现对网络的侦听,获取其所见到的所有包并传给上一层。
18
基于网络的入侵检测系统
? 获取包的主要目的是要对它进行处理以获得需要的信息。最常用的处
理是 数据包的流量统计 以及数据包的归类分析。
? 通过多年的总结,人们发现大多数的入侵都有一定的特征。只要在数
据包记录中发现这种有特征的行为,就可以在一定程度上断定发生了或
即将发生入侵。
? 入侵检测系统就是通过将实际的数据流量记录与入侵模式库中的入侵
模式进行匹配,寻找可能的攻击特征。
? 如果是正常数据包,则允许通过或留待进一步分析。
? 如果是不安全的数据包,则可以进行阻断网络连接等操作,在这种情
况下,还可以重新配置防火墙以阻断相应的网络连接,共同保护主机的
安全。
19
基于网络的入侵检测系统
此外,基于网络的入侵检测系统可以执行以下任务:
( 1) 检测端口扫描。
( 2) 检测常见的攻击行为。
( 3) 识别各种各样可能的 IP欺骗攻击。
( 4) 当检测到一个不希望的活动时,基于网络的入侵检测
系统将采取行动,包括干涉从入侵者处发来的通信,或重新
配置附近的防火墙策略以封锁从入侵者的计算机或网络发来
的所有通信。
20
1.包嗅探器和网络监视器
?设计初衷:帮助监视以太网络的通信。最早有两
种产品,Novell LANalyser和 Network Monitor。
这些产品一旦从网络上抓获了这些数据包,就可以
进行以下工作:
■ 对包进行统计。统计通过的数据包,并统计该时期内通过的数
据包的总的大小(包括总的开销,例如包的报头),就可以很好地
知道网络的负载状况。
■详细地检查包。例如,可以抓获一系列到达 Web服务器的数据包
来诊断服务器的问题。
?要求网络接口运行在混杂模式下,接收通过网络
接口卡的每个包。
21
基于网络的入侵检测
2,ISS RealSecure Engine
包嗅探器:抓获网络上的每个数据包,拆分该包,根据包
的内容手工采取相应的反应,太浪费时间了,从大量积累数
据中 获取有价值的信息非常困难 。
RealSecure Engine能够执行的入侵检测是检查通过网络
的数据包。对于合法的数据包,允许它们通过(为了今后的
分析,也可以对它们进行记录)。当一个数据包危及到目标
系统的安全或完整性时,同时向 目标系统 和 发送该数据包的
系统 发送 TCP“Connection Closed”或 ICMP“port
unreachable”来阻止该包的传送。
22
DMZ
File Transfer
HTTP
Intranet
企业网络
生产部
工程部
市场部
人事部
路由
Internet
中继
内部攻击
警告 !
启动事件日志,
发送消息
利用 RealSecure进行可适应性
攻击检测和响应
入侵检测工具举例
23
利用 RealSecure进行可适应性
攻击检测和响应
DMZ
File Transfer
HTTP
Intranet
企业网络
生产部
工程部
市场部
人事部
路由
Internet
中继
外部攻击
商务伙伴警告 !
记录进攻,
发送消息,
终止连接
外部攻击
中止连接
重新配置
路由或防火墙
以便隐藏 IP地址
入侵检测工具举例
24
基于网络的入侵检测系统
优点:
■可以提供实时的网络行为检测;
■可以同时保护多台网络主机;
■具有良好的隐蔽性;
■有效保护入侵证据;
■不影响被保护主机的性能。
不足:
■防入侵欺骗的能力通常较差;
■检测性能受硬件条件限制;
■不能处理加密后的数据。
25
混合入侵检测系统,两种 IDS的结合运用
? 基于网络的入侵检测系统和基于主机的入侵检测系统都有各自的优势
和不足,如果同时使用互相弥补不足,会起到良好的检测效果。
? 例如,从某个重要服务器的 键盘发出的攻击 并不经过网络,因此就无
法通过基于网络的 IDS检测到,只能使用基于主机的 IDS来检测。
? 基于网络的 IDS通过检查所有的 数据包头 来进行检测,而基于主机的
IDS并不查看包头。
? 基于网络的 IDS可以研究 负载的内容,查找特定攻击中使用的命令或语
法,IDS通过实时检查包序列就能迅速识别;而基于主机的入侵检测系统
无法看到负载,因此也无法识别嵌入式的负载攻击。
? 基于主机的 IDS使用 系统日志 作为检测依据,因此它们在确定攻击是否
已经取得成功时,与基于网络的 IDS相比具有更大的 准确性 。在这方面,
基于主机的 IDS对基于网络的 IDS是一个很好的补充,可以使用基于网络
的 IDS提供早期报警,使用基于主机的 IDS来验证攻击是否取得成功。
26
分布式入侵检测系统
目前的 IDS一般采用集中式模式,在被保护网络的各个网段中分别放置检测器
进行数据包搜集和分析,各个检测器将检测信息传送给中央控制台进行统一处理,
中央控制台还会向各个检测器发送命令。
这种模式的缺点
■难以及时对在复杂网络上发起的分布式攻击进行数据分析以至于无法完成检测任务,
入侵检测系统本身所在的主机还可能面临因为负荷过重而崩溃的危险。
■单一的基于异常检测或者误用检测的分析方法所获得的效果很难令人满意。
■在大型网络中,网络的不同部分可能分别采用不同的入侵检测系统,各个 IDS]之间通
常不能互相协作,不仅不利于检测工作,甚至还会产生新的安全漏洞。
采用分布式结构的入侵检测模式系统采用分布式智能代理的结构,由一个或者
多个中央智能代理和大量分布在网络各处的本地代理组成。其中本地代理负责处
理本地事件,中央代理负责统一调控各个本地代理的工作以及从整体上完成对网
络事件进行综合分析的工作。检测工作通过全部代理互相协作共同完成。
27
异常检测技术
误用检测技术
入侵检测系统的分析方式
28
异常检测技术 —— 基于行为的检测
1,基本原理
异常检测技术( Anomaly Detection)也称为基于行为的检测技术,
是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。
首先假设网络攻击行为是不常见的或是异常的,区别于所有的正常行
为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型,
那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比,若入
侵行为偏离了正常的行为轨迹,就可以被检测出来。
异常检测技术先定义一组系统正常活动的阈值,如 CPU利用率、内存
利用率、文件校验和等,这类数据可以人为定义,也可以通过观察系统,
用统计的办法得出,然后将系统运行时的数值与所定义的“正常”情况比
较,得出是否有被攻击的迹象。这种检测方式的核心在于如何分析系统运
行情况。
29
异常检测技术
用户行为
正常行为 异常行为
误警漏警
阈值
30
入侵活动
( 1)外部闯入指的是未经授权计算机系统用户的入
侵;
( 2)内部渗透是指已授权的计算机用户访问未经授
权的数据;
( 3)不当行为指的是用户虽经授权,但对授权数据
和资源的使用不合法或滥用授权。
异常活动集与入侵活动集之间的关系如下图所示
31
异常检测技术
异常检测技术的核心问题是建立行为模型,目前主要有以下
几种方法。
? 统计分析异常检测
统计分析异常检测方法在基于异常检测技术的入侵检测系统
中使用最为广泛。首先要对系统或用户的行为 按照一定的时间
间隔进行采样,样本的内容包括每个会话的登录、退出情况,
CPU和内存的占用情况,硬盘等存储介质的使用情况等。
对每次采集到的 样本进行计算,得出一系列的 参数变量 来对
这些行为进行描述,从而 产生行为轮廓,将每次 采样后得到的
行为轮廓与已有轮廓进行合并,最终 得到系统和用户的正常行
为轮廓 。入侵检测系统通过将当前采集到的行为轮廓与正常行
为轮廓相比较,来检测是否存在网络入侵行为。
32
异常检测技术
在早期采用的算法中,系统计算出所有 变量的平均值,然
后根据 平均偏差 检测当前行为是否超过了某一阈值,这样的
模型比较粗糙,检测精度较低。目前使用一种更加复杂的模
型,检测系统同时计算并且比较每个用户长期和短期的活动
状态,而状态信息随着用户行为的变化不断更新。
优势
■在于所应用的技术方法在统计学中已经比较成熟。
不足
■在于异常阈值难以确定,阈值设置得偏高会产生过多的误检,偏低
则会导致漏检率升高;而且对事件发生的次序不敏感,可能不会检测
出由先后发生的几个关联事件组成的入侵行为
33
异常检测技术
?其他方法
■贝叶斯推理异常检测
■神经网络异常检测
■模式预测异常检测
■数据采掘异常检测
■机器学习异常检测
34
异常检测技术
2,评价
■优点:
■能够检测出新的网络入侵方法的攻击;
■较少依赖于特定的主机操作系统;
■对于内部合法用户的越权违法行为的检测能力较强。
■不足:
■误报率高;
■行为模型建立困难;
■难以对入侵行为进行分类和命名。
35
误用检测技术 —— 基于知识的检测
1,基本原理
根据已知的攻击方法或系统安全缺陷方面的知识,建立
特征( Signature ) 数据库,然后在收集到的网络活
动中寻找匹配的使用模式( Pattern) —— 知识、特征
匹配 /检测。
它的前提是假设所有的网络攻击行为和方法都具有 一定的模式或特征。
误用检测技术首先要 定义违背安全策略事件的特征,检测主要判别所
搜集到的数据特征是否在所搜集到的入侵模式库中出现。这种方法与大
部分杀毒软件采用的特征码匹配原理类似。
一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个
输出(如获得权限)来表示。
36
误用检测主要实现技术
( 1) 专家系统误用检测
专家系统误用检测方法首先将安全专家的关于网络入侵行为的知识表
示成一些类似 If-Then的规则,并以这些规则为基础 建立专家知识库 。
规则中的 If部分 说明形成 网络入侵的必需条件, Then部分 说明发现入
侵后要 实施的操作 。入侵检测系统将网络行为的 审计数据事件 进行转换,
成为包含 入侵警告程度的判断事实,然后通过 推理引擎 进行入侵检测,当
If中的条件 全部满足或者在一定程度上满足 时,Then中的动作就会被执行。
专家系统误用检测需要 处理大量的审计数据 并且依赖于审计 追踪的次
序,在目前的条件下处理速度难以保证。同时,对于各种网络攻击行为知
识进行规则化描述的精度有待提高,审计数据有时不能提供足够的检测所
需的信息。
专家系统只能检测出以往发现过的入侵行为,要检测出新的入侵,必
须及时添加新的规则,维护知识库的工作量很大。
37
误用检测主要实现技术
?其他方法
■ 基于条件概率误用检测
■ 基于状态转移分析误用检测
■ 基于模型误用检测
38
误用检测技术
3,评价
优点:
■检测准确度高;
■技术相对成熟;
■便于进行系统防护。
缺点:
■不能检测出新的入侵行为;
■完全依赖于入侵特征的有效性;
■维护特征库的工作量巨大;
■难以检测来自内部用户的攻击。
39
异常检测技术和误用检测技术的比较
无论哪种入侵检测技术都需要 搜集总结 有关 网络入侵行为 的各种知识,
或者 系统及其用户的各种行为 的知识。基于异常检测技术的入侵检测系统
如果想检测到所有的网络入侵行为,必须掌握被保护系统 已知行为 和 预期
行为 的所有信息,这一点实际上无法做到,因此入侵检测系统必须不断地
学习并 更新已有的行为轮廓 。
对于基于误用检测技术的入侵检测系统而言,只有拥有所有可能的入
侵行为的先验知识,而且必须能 识别各种入侵行为的过程细节 或者 每种入
侵行为的特征模式,才能检测到所有的入侵行为,而这种情况也是不存在
的,该类入侵检测系统 只能检测出已有的入侵模式,必须不断地对 新出现
的入侵行为进行 总结和归纳 。
40
异常检测技术和误用检测技术的比较
( 1)因为异常检测需要对系统和用户的行为轮廓进行不断的学习更新,需要大
量的数据分析处理工作,要求管理员能够 总结出 被保护系统的 所有正常行为状态,
对系统的 已知和期望 行为进行全面的分析,因此配置 难度 相对较大。
但是,有些基于误用检测技术的入侵检测系统允许 管理员 对入侵 特征数据库进
行修改,甚至允许管理员自己根据所发现的攻击行为 创建新的网络入侵特征规则
记录,这种入侵检测系统在系统配置方面的 工作量会显著增加 。
(2)基于异常检测技术的 IDS所输出的 检测结果,通常是在对实际行为与行为轮
廓进行异常分析等相关处理后得出的,这类 IDS的 检测报告 通常会比基于误用检
测技术的 IDS具有 更多的数据量,因为任何超出行为轮廓范围的事件都将被检测
出来并写入报告中。
而大多数基于误用检测技术的 IDS,是将 当前行为模式 与 已有行为模式 进行匹
配后产生检测结论,其 输出内容 是 列举出入侵行为的类型和名称,以及 提供相应
的处理建议 。
41
其他入侵检测技术的研究
绝大多数 IDS(入侵检测系统)的检测机制还停留在,基本的数据
包捕获 加以 非智能模式匹配 与 特征搜索技术 来探测攻击。
IDS的核心是 攻击特征,它使 IDS在事件发生时触发。特征信息过短
会经常触发 IDS,导致误报或错报,过长则会减慢 IDS的工作速度。有
人将 IDS所支持的特征数视为 IDS好坏的标准,但是有的产商用一个特
征涵盖许多攻击,而有些产商则会将这些特征单独列出,这就会给人
一种印象,好像它包含了更多的特征,是更好的 IDS。
入侵检测系统的研究方向之一是将 各个领域的研究成果 应用于入侵
检测中,以形成更高效、更为 智能化 的检测算法,提高入侵检测的应
用价值。目前研究的重点有遗传算法和免疫技术等。
42
其他入侵检测技术的研究
1.遗传算法
遗传算法的基本原理是 首先定义一组入侵检测指令集,这些指令用
于检测出正常或者异常的行为。
指令中包含若干字符串,所有的指令 在定义初期的检测能力都很有
限,入侵检测系统对这些指令 逐步地进行训练,促使指令中的字符
串片段 发生重组,以生成新的字符串指令 。
再从新的指令中经过测试 筛选出检测能力最强的部分指令,对它们
进行下一轮的 训练 。如此 反复,使检测指令的检测能力不断提高,
这个过程如同生物学中的遗传进化过程。
直到指令的 检测能力不会有明显的提高,训练过程即可结束,此时
这些指令已经具有一定的检测能力,入侵检测系统可以使用它们进
行网络入侵检测。目前对遗传算法的研究还处于试验阶段。
43
其他入侵检测技术的研究
2.免疫技术
处于网络环境中的主机之所以受到入侵,是因为主机系统
本身以及所运行的应用程序存在着各种 脆弱性因素,网络攻
击者正是利用这些漏洞来侵入到主机系统中的;免疫机制包
括 特异性 免疫和 非特异性 免疫。
特异性免疫针对于 特定的某种病毒,非特异性免疫可用于
检测和抵制 以前从未体验过的入侵类型 。入侵检测免疫技术
受免疫系统原理的启发,通过学习分析已有行为的样本来获
得识别不符合常规行为的能力。
44
入侵检测系统是企业安全 防御系统 中的重要部件,但入侵检
测系统并不是万能的。入侵检测对于部分事件可以处理得很好,
但对于另一些情况则无能为力。
只有充分了解入侵检测系统的优点和局限性,才能对入侵检
测系统有一个准确的定位,以便将入侵检测系统有效地应用在
安全防御系统中,最大限度 地发挥它的安全防御功能。
入侵检测系统的优点与局限性
Policy——策略
Protection—防护
Detection——检测
Response——响应
45
入侵检测系统的优点
入侵检测系统作为一个迅速崛起并受到广泛承认的安全组件,有着很多
方面的安全优势:
■可以检测和分析系统事件以及用户的行为;
■可以测试系统设置的 安全状态 ;
■以系统的安全状态为基础,跟踪任何对系统安全的修改操作;
■通过模式识别等技术从通信行为中检测出已知的攻击行为;
■可以对网络通信行为 进行统计,并进行检测分析;
■管理操作系统 认证和日志机制 并对产生的数据进行分析处理;
■在检测到攻击的时候,通过适当的方式进行 适当的报警处理 ;
■通过对分析引擎的配置对网络的安全进行 评估和监督 ;
■允许非安全领域的管理人员对重要的安全事件进行有效的处理。
46
入侵检测系统的局限性
入侵检测系统只能对网络行为进行安全审计,从入侵检测
系统的定位可以看出,入侵检测系统存在以下缺陷,
( 1) 入侵检测系统 无法弥补 安全防御系统中的 安全缺陷和
漏洞 。这些安全漏洞包括其他安全设备的错误配置以及安全
设备本身造成的安全漏洞和缺陷。
( 2) 对于高负载的网络或主机,很难实现对网络入侵的 实
时检测, 报警和迅速地进行攻击响应 。
( 3) 基于 知识 的入侵检测系统 很难检测到未知的攻击行为,
也就是说,检测具有一定的后滞性,而对于已知的报警,一
些没有明显特征的攻击行为也很难检测到,或需要付出提高
误报警率的代价才能够正确检测。
47
入侵检测系统的局限性
( 4) 入侵检测系统的主动防御功能和联动防御功
能会 对网络的行为产生影响,同样也会成为攻击者
的目标,实现以入侵检测系统过敏自主防御为基础
的攻击。
通过发送伪造的数据,触发入侵检测系统的主动
防御响应,对可信连接进行阻断,造成拒绝服务攻
击。在目前的技术条件下,对于网络的主动防御的
设置要十分慎重,防止出现利用主动防御系统进行
网络攻击的情况。
48
入侵检测系统的局限性
( 5) 入侵检测系统 无法单独防止攻击行为的渗透,只能
调整相关网络设备的参数 或 人为 地进行 处理 。由于入侵
检测技术不可避免地存在着大量的误报情况,因此进行
自动防御会造成对可信连接的影响。目前的入侵检测系
统在实质性安全防御方面,还是要以人为修正为主,即
使是对可确定入侵的自动阻断行为,建议也要经过人为
干预,防止可能的过敏防御。
( 6) 入侵检测系统主要是对 网络行为进行分析检测,不
能修正信息资源中存在的安全问题。
