第五章入侵检测系统

历史 用户当前操作
入侵 检测
专家 知识
断开连接
收集证据 数据恢复
图2 事后入侵检测原理
8.1.3 入侵检测一般步骤
入侵检测的一般过程包括数据提取、数据分析和事件响应。 1．入侵数据提取（信息收集） 主要是为系统提供数据，提取的内容包括系统、网络、 数据及用户活动的状态和行为。需要在计算机网络系统中的 若干不同关键点（不同网段和不同主机）收集信息。一是尽 可能扩大检测范围，二是检测不同来源的信息的一致性。入 侵检测很大程度上依赖于收集信息的可靠性和正确性。 入侵检测数据提取可来自以下4个方面。 （1）系统和网络日志； （2）目录和文件中的的改变； （3）程序执行中的不期望行为； （4）物理形式的入侵信息。
8.1.2入侵检测原理

入侵检测可分为实时入 侵检测和事后入侵检测， 其原理分别如图1和图2 所示。 实时入侵检测在网络连 接过程中进行，系统根 据用户的历史行为模型、 存储在计算机中的专家 知识以及神经网络模型 对用户当前的操作进行 判断，一旦发现入侵迹 象立即断开入侵者与主 机的连接，并收集证据 和实施数据恢复。
8.1.1 入侵检测系统的产生


审计技术：产生、记录并检查按时间顺序排列的系统事件记 录的过程。 国际上在20世纪70年代就开始了对计算机和网络遭受攻击进 行防范的研究，审计跟踪是当时的主要方法。1980年4月， James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》（计算 机安全威胁监控与监视）的技术报告，这份报告被公认为是 入侵检测的开山之作，报告里第一次详细阐述了入侵检测的 概念。他提出了一种对计算机系统风险和威胁的分类方法， 并将威胁分为外部渗透、内部渗透和不法行为三种，还提出 了利用审计跟踪数据，监视入侵活动的思想。 1984～1986年入侵检测专家系统产生。 商业的入侵检测系统一直到了20世纪80年代后期才出现，但 总的看来，现在对IDS的研究还不够深入，产品的性能也有 待提高。
入侵检测系统的部署 在目前的网络拓扑中，绝大部分的网络区 域都已经全面升级到交换式的网络结构。因此，IDS 在交换式网络中的位臵一般选择在尽可能靠近攻击 源和受保护的资源处（通常是在服务器区域的交换 机上、Internet接入路由器之后的第一台交换机上 或重点保护网段的局域网交换机上）。 经典入侵检测系统的部署方式如图所示。
8.1.1 入侵检测系统的产生



1990年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯 分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor）。 NSM是入侵检测研究史上一个非常重要的里程碑，从此之后，入侵检测系 统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主 机的IDS。 1991年，美国空军等多部门进行联合，开展对分布式入侵检测系统（DIDS） 的研究，将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入 侵检测系统历史上的一个里程碑式的产品，它的检测模型采用了分层结构。 从二十世纪90年代到现在，入侵检测系统的研究呈现出百家争鸣的繁荣局 面，并在智能化和分布式两个方面取得了长足的进展。
用户当前操作
用户历史行为 专家知识 神经网络模型 入侵？ 是 断开连接 收集证据 数据恢复 否 入侵 检测 检测

图1 实时入侵检测原理
8.1.2入侵检测原理
事后入侵检测由网络 管理人员定期或不定期进 行，根据计算机系统对用 户操作所做的历史审计记 录判断用户是否具有入侵 行为，如果有就断开连接， 并记录入侵证据和进行数 据恢复；但是其入侵检测 的能力不如实时入侵检测 系统。
8.1.5 IDS功能

一般来说，IDS能够完成下列活动： 监控、分析用户、网络系统和的活动； 发现入侵企图或异常现象； 审计系统的配臵和弱点； 评估关键系统和数据文件的完整性； 对异常活动的统计分析； 识别攻击的活动模式； 实时报警和主动响应。
8.2 入侵检测系统的类型
随着入侵检测技术的发展，到目前为止出现了很多入侵检测 系统，不同的入侵检测系统具有不同的特征。根据不同的分 类标准，入侵检测系统可分为不同的类别。按照信息源划分 入侵检测系统是目前最通用的划分方法。 根据数据来源（或系统监测的对象）分类，入侵检测系统分 为3类： 基于主机的入侵检测系统：主机型IDS驻留在一台主机上，监 控那些有入侵动作的机器。 基于网络的入侵检测系统：对流动在网络中的其他主机发送和 接收的流量进行监控。 根据技术（分析方法或分析引擎），可以将IDS划分为误用 检测系统和异常检测系统。 根据IDS的系统结构，可分为集中式、等级式和分布式三种.

8.2.1 基于主机的入侵检测系统HIDS


基于主机的入侵检测系统（ Host-based IDS,HIDS ）的输入 数据来源于系统的审计日志，它只能检测发生在这个主机上 的入侵行为。 这种检测系统一般应用在系统服务器、用户机器和工作站上。 检测的目标主要是主机系统和系统本地用户。 检测的原理是根据主机的审计数据和系统的日志发现可疑事 件，检测系统可以运行在被检测的主机或单独的主机上。 最适合于检测那些可以信赖的内部人员的误用以及已经避开 了传统的检测方法而渗透到网络中的活动。 基于主机的IDS系统的优点是能够校验出攻击是成功还是 失败；可使特定的系统行为受到严密监控等。缺点是它会占 用主机的资源，要依赖操作系统等。
8.1 入侵检测系统概述



入侵检测系统（IDS, Intrusion Detection System）通过 对网络中的数据包或主机的日志等信息进行提取、分析，发 现入侵和攻击行为，并对入侵或攻击作出响应。入侵检测系 统在识别入侵和攻击时具有一定的智能，这主要体现在入侵 特征的提取和汇总、响应的合并与融合、在检测到入侵后能 够主动采取响应措施等方面，所以说，入侵检测系统是一种 主动防御技术。 网络入侵检测技术是网络动态安全的核心技术，相关设备和 系统是整个安全防护体系的重要组成部分。目前，防火墙沿 用的仍是静态安全防御技术，对于网络环境下日新月异的攻 击手段缺乏主动的响应，不能提供足够的安全保护；而网络 入侵检测系统却能对网络入侵事件和过程作出实时响应，与 防火墙共同成为网络安全的核心设备。 一个安全的完整的入侵检测系统必须具备以下特点：可行性、 安全性、实时性、扩展性。
第8章 入侵检测技术
入侵检测系统概述 ----IDS产生、原理、步骤、通用模型、功能 入侵检测系统分类（重点） 入侵检测技术（重点） 入侵诱骗技术 典型入侵检测系统—Snort 入侵检测产品选购 入侵检测的主要性能指标 网络入侵检测技术发展的三个阶段 -----IDS、IPS、IMS

8.1.3 入侵检测一般步骤
2．入侵数据分析 主要作用在于对数据进行深入分析，发现攻击并根据 分析的结果产生事件，传递给事件响应模块。常用技术有： 模式匹配、统计分析和完整性分析等。前两种方法用于实时 网络入侵检测，而完整性分析用于事后的计算机网络入侵检 测。 三种分析方法（重点） ① 模式匹配 ；模式匹配就是将收集到的信息与已知的计算 机网络入侵和系统误用模式数据库进行比较，从而发现违背 安全策略的行为。 ② 统计分析 ：统计分析方法首先给系统对象（例如用户、 文件、目录和设备等）创建一个统计描述，统计正常使用时 的一些测量属性（例如访问次数、操作失败次数和时延 等）。 ③ 完整性分析 ：完整性分析主要关注某个文件或对象是否 被更改。
基于主机的入侵检测系统图
审计数据
审计数据过滤 相关数据 审计分析
分析员
基于主机的入侵检测系统
总结： 数据来源：HIDS所保护的主机或服务器 主要用途：保护特定主机和运行关键应用的服务器 检测内容：系统调用、端口调用、审计记录、系统日志、应 用日志 监视和分析主机的审计记录和日志文件 最适合于检测那些可以信赖的内部人员的误用以及已经避开 了传统的检测方法而渗透到网络中的活动
经典的入侵检测系统的部署方式(基于主机)
8.2.2 基于网络的入侵检测系统NIDS



基于网络的入侵检测系统通过在共享网段上对通信数据进行 侦听，采集数据，分析可疑现象，系统根据网络流量、协议 分析、简单网络管理协议信息等检测入侵。 网络入侵检测系统(Network-based IDS,NIDS)放臵在网络基 础设施的关键区域，监控流向其他主机的流量。 基于网络的IDS一般安装在需要保护的网段中，利用网络侦 听技术实时监视网段中传输的各种数据包，并对这些数据包 的内容、源地址、目的地址等进行分析和检测。如果发现入 侵行为或可疑事件，入侵检测系统就会发出警报甚至切断网 络连接。 在共享网段上对通信数据进行侦听采集数据 主机资源消耗较少 典型产品代表：Snort
8.1.3入侵检测一般步骤
3．入侵事件响应 事件响应模块的作用在于报警与反应，响 应方式分为主动响应和被动响应。 被动响应系统只会发出报警通知，将发生 的不正常情况报告给管理员，本身并不试图 降低所造成的破坏，更不会主动地对攻击者 采取反击行动。 主动响应系统可以分为对被攻击系统实施 保护（如：阻断攻击、影响并改变进程）和 对攻击系统实施反击的系统。
在网络入侵检测系统 模型中，事件产生器、事 件分析器和响应单元通常 以应用程序的形式出现， 而事件数据库则往往以文 件或数据流的形式出现。
8.1.4 通用入侵检测框架
（1）事件产生器：事件产生器从系统所处的计算机网络环境中采集原始
数据，并将收集到的原始数据转换为事件，并将这些事件传送给其他组件。 （2）事件数据库：是各种原始数据或已加工过数据的存储器。用来存储 事件产生器和事件分析器产生的临时事件，以备系统需要的时候使用。 （3）事件分析器：事件分析器可以是一个特征检测工具，用于在一个事 件序列中检查是否有已知的攻击特征；也可以是一个统计分析工具，检查现 在的事件是否与以前某个事件来自同一个事件序列；此外，事件分析器还可 以是一个相关器，观察事件之间的关系，将有联系的事件放到一起，以利于 以后的进一步分析。 （4）响应单元：响应单元根据事件产生器检测到的和事件分析器分析到 的入侵行为而采取相应的响应措施。根据响应策略采取相应的行为，发出命 令响应攻击，如简单的报警、杀死进程、切断连接、改变文件属性等。

8.1 入侵检测系统概述
1.IDS原理 2.IDS步骤 4.IDS通用模型 4.IDS起源 5.IDS功能

8.1 入侵检测系统概述

来自传统的计算机安全技术已不能满足复杂系统的安全性要求，被动式的防御 方式已显得力不从心. 有关防火墙：网络边界的设备或划分安全子域的设备，隐藏内部网络拓扑 结构，限制外部网络不安全数据包进入内网；但不能阻止内网的攻击和内 外网勾结攻击。 入侵检测技术是一种主动防御策略，是继防火墙之后的第二道安全闸门。 入侵检测系统已成为网络计算机系统中一个有效的防范检测手段，对正常 和误用的系统行为提供了识别的技术. 入侵：是指对任何企图危及资源的完整性、机密性和可用性的活动。入侵 检测（Intrusion Detection），顾名思义，就是对入侵行为的发觉. 入侵检测：是指对入侵行为的发现、报警和响应，它通过对计算机网络或 计算机系统中若干关键点收集信息，并对收集到的信息进行分析，从而判 断网络或系统中是否有违反安全策略的行为和系统被攻击的征兆。 完成入侵检测功能的软件、硬件组合便是入侵检测系统。 入侵检测的目标是识别系统内部人员和外部入侵者的非法使用、滥用计算 机系统的行为。
8.1.4 通用入侵检测框架
入侵检测系统至少应该包含3个模块，即提供信息的信息源、 发现入侵迹象的分析器和入侵响应部件。为此，美国国防部高 级 计 划 局 提 出 了 通 用 入 侵 检 测 模 型 （ Common Intrusion Detection Framework，CIDF），阐述了一个入侵检测系统 IDS的通用模型。它将一个入侵检测系统分为4个组件，如图3 所示。