第八章 入侵检测系统()
第8章 入侵检测系统(IDS)及应用
2.IDS产品的结构
一种类型的IDS产品是探测器和控制台装在不同 的机器上,控制台可以对探测器远程管理。 另一种类型的产品是探测器和控制台以软件形 式安装在一台机器上,虽然操作简单,但不 能进行远程管理。
3.IDS的测试和评估
(1)测试评估IDS性能的标准 ①准确性 ②处理性能 ③完备性 ④容错性 ⑤及时性
(2)每秒抓包数(pps) 每秒抓包数是反映网络入侵检测系统性能的最 重要的指标。 (3)每秒能监控的网络连接数 (4)每秒能够处理的事件数
三、 IDS使用
1.基于网络的入侵检测产品(NIDS)
2.基于主机的入侵检测产品(HIDS)
国内市场上能见到的HIDS产品只有:理工先河 的“金海豚”、CA的eTrust(包含类似于 HIDS的功能模块)、东方龙马HIDS(纯软 件的)、曙光God Eye-HIDS等屈指可数的几 个产品,而且能支持的操作系统主要有Solaris、 Linux、Windows2000。
入侵检测系统的三个组成部分: • 感应器(Sensor) • 分析器(Analyzer) • 管理器(Manager)
3、入侵检测系统的分类
(1)根据其监测的对象是主机还是网络分为 基于主机的入侵检测系统和基于网络的入侵 检测系统 (2)根据检测系统对入侵行为的响应方式分 为主动检测系统和被动检测系统 (3)根据工作方式分为在线检测系统和离线 检测系统
入侵检测(Intrusion Detection),顾名思义, 便是对入侵行为的发觉。它通过对计算机系 统、或计算机网络中的若干关键部位收集信 息并对其进行分析,从中发现网络或系统中 是否有违反安全策略的行为。入侵检测的内 容包括:试图闯入、成功闯入、冒充其他用 户、违反安全策略、合法用户的泄漏、独占 资源以及恶意使用。
入侵检测系统(IDS)
入侵检测的部署
检测器放置于防火墙的DMZ区域
可以查看受保护区域主机被攻击状态 可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点
入侵检测的部署
检测器放置于路由器和边界防火墙之间
可以审计所有来自Internet上面对保护网络的攻击数目 可以审计所有来自Internet上面对保护网络的攻击类型
NFR公司
Intrusion Detection Applicance 4.0
中科网威
“天眼”入侵检测系统
启明星辰
SkyBell(天阗)
免费开源软件
snort
入侵测系统的优点
入侵检测系统能够增强网络的安全性,它的优点:
能够使现有的安防体系更完善; 能够更好地掌握系统的情况; 能够追踪攻击者的攻击线路; 界面友好,便于建立安防体系; 能够抓住肇事者。
为的规律 操作系统审计跟踪管理,识别违反政策的用户活
动 检查系统程序和数据的一致性与正确性
入侵检测系统模型(Denning)
入侵检测系统模型(CIDF)
入侵检测系统的组成特点
入侵检测系统一般是由两部分组成:控制中心和 探测引擎。控制中心为一台装有控制软件的主机 ,负责制定入侵监测的策略,收集来自多个探测 引擎的上报事件,综合进行事件分析,以多种方 式对入侵事件作出快速响应。探测引擎负责收集 数据,作处理后,上报控制中心。控制中心和探 测引擎是通过网络进行通讯的,这些通讯的数据 一般经过数据加密。
测量属性的平均值和偏差被用来与网络、系统的 行为进行比较,任何观察值在正常值范围之外时 ,就认为有入侵发生
完整性分析
完整性分析主要关注某个文件或对象是否被更改
第8章 入侵检测系统
8.3.3 分布式入侵检测系统
❖ 基于网络与基于主机的IDS相比具有明显的优点, 如部署数量少,能实时监测、具有0S独立性等,但 同时也有较大的缺陷:只能检查一个广播型网段上 的通信、难以处理加密的会话过程。
❖ 由此看出,二者各有优势,且具有互补性,把二者 结合起来使用,有可能改善入侵检测系统的检测效 果,这就是分布式入侵检测系统(Distributed IDS,DIDS)形成的原因。
图8.5 CIDF定义的体系结构
输入:原始事件源
❖ 其次,探测代理认为可疑的数据包将被根据 其类型交给专用的分析层设备处理。
❖ 各探测代理不仅实现信息过滤,同时监视所 在系统;而分析层和管理层则可对全局的信 息进行关联性分析。
❖ 这样对网络信息进行分流,提高了检测速度, 解决了检测效率低的问题,使得DIDS本身抗 击拒绝服务攻击的能力也得到了增强。
❖ 目前,随着网络规模的发展,大部分入侵检 测系统都采用分布式结构。分布式结构采用 分级组织模型,网状组织模型,或者这两种 的混和组织模型。
❖ 分级体系结构采用树形结构,命令和控制组 件在上层,信息汇聚中间层,操作单元位于 叶节点。操作单元可以是基于网络的IDS、基 于主机IDS、防病毒以及攻击响应系统。
8.2.2入侵检测系统的现状
❖ 入侵检测系统目前主要存在的问题有: ❖ (1)IDS产品的检测准确率比较低,漏报和
误报比较多。 ❖ (2)入侵检测系统不能对攻击做出响应 ❖ (3) IDS维护比较难 ❖ (4) 缺乏国际国内标准,IDS产品的测评缺
乏统一的标准和平台
8.2.3入侵检测系统的发展
❖ (1)体系结构的发展 ❖ 现有入侵检测系统多采用单一体系结构,即所
图8.4 混和体系结构
计算机网络安全第八章IDS
误用检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
误用检测
入侵行为
攻击模式描述库
规则匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
2 之 2
误报率低,漏报率高。攻击特征的细微变化,会使得误用检测无能为力。
按照数据来源分
目录
10 之 8
建立预警机制采取灾备措施提高保障意识
从预警到保障
IDS发展过程
— 概念的诞生
目录
10 之 9
1980年4月,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视):
异常检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
异常检测
入侵行为
正常行为描述库
规则不匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
异常检测系统的效率取决于用户轮廓的完备性和监控的频率;因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源;漏报率低,误报率高。
统计分析
目录>>IDS的基本结构>>信息分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
第八章-入侵检测
8.4 入侵检测系统实现
• 入侵检测系统对收集的数据进行分析并以此判断是否为入 侵行为,具体的实现方法有以下几种:特征检测、统计检 测和专家系统。 特征检测
特征检测对已知的攻击或入侵方式做确定性的描述,形成相 应的事件模式,当被审计的事件与已知的入侵事件模式相匹 配时即报警。
• 定义
– 误用检测在系统中建立异常行为的特征库,然后将 系统或用户的行为与特征库进行比较
• 存在问题
– 不能预知新的攻击,只能检测出已发生过的攻击。
2015/11/22
8.3 入侵检测系统
• 8.3.1 入侵检测系统的设计准则
• 8.3.2 基于网络的入侵检测系统(NIDS)
• 8.3.3 基于主机的入侵检测系统(HIDS)
2015/11/22
8.3.5 其它类型的入侵检测系统
• 系统完整性验证者(SIVs)
– 一直监测系统中的核心文件(例如系统文件或注册 表)来检测是否被入侵者更改
• 日志文件监督(LFM)
– 监测网络服务创建的日志记录,并将其与关键字进 行匹配来判断入侵者是否正在攻击
• 蜜罐
– 包含漏洞,诱使入侵者对其进行攻击从而获取攻击 者攻击工具和攻击方法的信息
2015/11/22
4. 哪种入侵者是最危险的,为什么? A. 外部入侵者,因为他们在攻击之前会大量的收集目标系统的信息。 B. 内部入侵者,因为他们掌握更多关于系统的信息。 C. 外部入侵者,因为大部分入侵者都在外部。 D. 内部入侵者,因为很多外部入侵者都是新手。 5. 对于有特征的入侵行为,哪种类型的入侵检测更适用: A. 误用检测 B. 异常检测 C. 恶意检测 D. 外部检测 6. IDS规则的目的是什么: A. 告诉IDS检测那些端口 B. 限制系统行为,如果违反了,就触发警报 C. 告诉IDS那些包需要被监测,并在包中检测什么内容 D. 告诉防火墙哪些数据包可以穿过IDS
第8章 入侵检测系统(IDS)及应用 网络维护与安全技术教程与实训电子教案
入侵检测过程示意图
报警 日志记录
入侵检测
记录
内部入侵
终止入侵
重新配置 防火墙 路由器
入侵检测
记录入侵 过程
3、入侵检测的发展
❖ 入侵检测技术的发展过程: ❖概念诞生阶段:1980年 James P. Anderson第一
次详细阐述了入侵检测的概念。《Computer Security Threat Monitoring and Surveillance》。 ❖模型产生阶段:1986年 Denning提出了一种通 用的入侵检测模型。研究出了一个实时入侵检测 系统模型—IDES(入侵检测专家系统)。 ❖ 百家争鸣阶段:90年初-至今(基于数据挖掘、 基于神经网络的入侵检测等)。
4.入侵检测系统的工作过程
❖ IDS处理过程分为四个阶段。 ❖ 数据采集阶段:数据采集是入侵检测的基础。在
数据采集阶段,入侵检测系统主要收集目标系统 中引擎提供的主机通信数据包和系统使用等情况。
❖ 数据处理及过滤阶段:把采集到的数据进行处理, 转换为可以识别是否发生入侵的形式。
❖ 分析及检测入侵阶段:通过分析上一阶段提供的 数据来判断是否发生入侵。这一阶段是整个入侵 检测系统的核心阶段。
入侵过程示意图
入侵:是指试图破坏计
算机系统的完整性、机 密性和可用性的行为
➢入侵者取得超出合 法身份的系统控制 权 ➢ 收集漏洞信息和拒 绝服务攻击
互联网
防火墙
入侵者进入用户系统的方式
❖ 入侵者进入用户系统主要有以下三种方式: ❖ 物理入侵:在未授权的情况对网络硬件的连接,
或对系统物理资源的直接破坏等。
它的特点是实时入侵检测 在网络连接过程中进行。系统对 实时网络数据包分析,对实时主机审计分析,一旦发现入 侵迹象立即断开入侵者与主机的连接,并收集证据和实施数 据恢复。
入侵检测系统简介
入侵检测系统简介入侵检测系统(Intrusion Detection System,简称IDS)是一种用于保护计算机网络免受未经授权的访问和恶意攻击的安全工具。
它通过监控和分析网络流量以及系统日志,识别出潜在的入侵行为,并及时生成警报,帮助管理员采取适当的措施保护网络的安全。
一、入侵检测系统的作用入侵检测系统主要具有以下几个作用:1. 发现未知入侵行为:入侵检测系统可以分析网络流量和系统日志,通过与已知的入侵特征进行比较,识别出未知的入侵行为。
这有助于及时发现并应对新型的攻击手段。
2. 预防未知威胁:IDS可以根据已知的威胁情报对网络流量进行实时分析,从而及早发现潜在的威胁。
管理员可以通过及时更新系统规则和策略来增强网络的安全性,提前避免可能的攻击。
3. 提供实时警报和反馈:IDS能够实时监控网络流量和系统状态,并及时发出警报。
这可以帮助管理员快速响应并采取适当的措施,以减少潜在的损害或数据泄露。
4. 支持安全审计和合规性要求:入侵检测系统可以记录网络活动并生成详细的日志报告,为安全审计提供可靠的数据。
此外,IDS还可以帮助组织满足合规性要求,如GDPR、HIPAA等。
二、入侵检测系统的类型根据工作原理和部署方式的不同,入侵检测系统可以分为以下几类:1. 签名型入侵检测系统(Signature-based IDS):这种类型的IDS使用已知的攻击特征来检测入侵行为。
它会将已知的攻击签名与网络流量进行比对,如果匹配成功,则判断为入侵。
由于该类型IDS需要事先定义并更新大量的攻击签名,因此对于未知的攻击手段无法有效检测。
2. 基于异常行为检测的入侵检测系统(Anomaly-based IDS):这类IDS会建立正常网络活动的行为模型,并通过与该模型的比较来检测异常行为。
它可以及时发现未知的入侵行为,但也容易产生误报。
该类型IDS需要较长时间的学习和适应阶段,并需要不断调整和优化行为模型。
3. 巚杂入侵检测系统(Hybrid IDS):这是一种结合了签名型和基于异常行为检测的入侵检测系统的混合型IDS。
入侵检测系统 IDS
集中式架构
通过中心节点收集和处理网络中所 有节点的数据,实现全局检测和响 应,适用于规模较小的网络。
混合式架构
结合分布式和集中式架构的优点, 实现分层检测和响应,提高检测效 率和准确性,同时降低误报率。
设备配置与参数设置
设备选型
根据网络规模、流量、安 全需求等因素,选择适合 的IDS设备,如硬件IDS、 软件IDS或云IDS等。
数据分析
IDS使用各种检测算法和技术,如模 式匹配、统计分析、行为分析等,对 收集到的数据进行分析,以识别潜在 的攻击行为或异常活动。
响应与记录
IDS可以采取自动或手动响应措施, 如阻断攻击源、通知管理员等,并记 录相关活动以供后续分析和调查。
常见类型与特点
基于网络的IDS(NIDS)
NIDS部署在网络中,通过监听网络流量来检测攻击。它可以实时监测并分析网络数据包 ,以识别潜在的攻击行为。NIDS具有部署灵活、可扩展性强的特点。
参数配置
根据网络环境和安全策略 ,配置IDS设备的参数,如 检测规则、阈值、日志存 储等。
设备联动
将IDS设备与其他安全设备 (如防火墙、SIEM等)进 行联动,实现安全事件的 自动响应和处置。
数据收集、处理和分析流程
数据收集
通过镜像、分流等方式,将网 络流量数据收集到IDS设备中。
数据处理
对收集到的数据进行预处理, 如去重、过滤、格式化等,以 便于后续的分析和检测。
新兴技术对IDS的影响和启示
人工智能和机器学习
通过应用人工智能和机器学习技术,IDS可以实现对网络 流量的智能分析和威胁的自动识别,提高检测效率和准确 性。
大数据分析技术
借助大数据分析技术,IDS可以对海量数据进行深入挖掘 和分析,发现隐藏在其中的威胁和异常行为。
第8章 入侵检测系统(IDS)及应用习题答案
习题答案一、填空题1. 入侵者进入我们的系统主要有三种方式:物理入侵、系统入侵、远程入侵。
2. 入侵检测系统是进行入侵检测的软件与硬件的组合。
3. 入侵检测系统由三个功能部分组成,它们分别是感应器(Sensor)、分析器(Analyzer)和管理器(Manager)。
4. 入侵检测系统根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。
5.入侵检测系统根据工作方式分为在线检测系统和离线检测系统。
6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。
二、选择题1.IDS产品相关的等级主要有(BCD)等三个等级:A: EAL0 B: EAL1 C: EAL2 D: EAL32. IDS处理过程分为(ABCD )等四个阶段。
A: 数据采集阶段B: 数据处理及过滤阶段C: 入侵分析及检测阶段D: 报告以及响应阶段3. 入侵检测系统的主要功能有(ABCD ):A: 监测并分析系统和用户的活动B: 核查系统配置和漏洞C: 评估系统关键资源和数据文件的完整性。
D: 识别已知和未知的攻击行为4. IDS产品性能指标有(ABCD ):A:每秒数据流量B: 每秒抓包数C: 每秒能监控的网络连接数D:每秒能够处理的事件数5. 入侵检测产品所面临的挑战主要有(ABCD ):A:黑客的入侵手段多样化B:大量的误报和漏报C:恶意信息采用加密的方法传输D:客观的评估与测试信息的缺乏三、判断题1. 有了入侵检测系统以后,我们可以彻底获得网络的安全。
(F )2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。
( T )3. 基于网络的入侵检测系统比基于主机的入侵检测系统性能优秀一些。
( F )4. 现在市场上比较多的入侵检测产品是基于网络的入侵检测系统。
( T )四、简答题1. 什么是入侵检测系统?简述入侵检测系统的作用?答:入侵检测系统(Intrusion Detection System,简称IDS)是进行入侵检测的软件与硬件的组合,事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。
第8章入侵检测技术PPT讲义
入侵 行为
时间信息
添加新 的规则
如果正常的用户行为与入侵特征匹配,则系统会发生误报 如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报
异常检测技术
1. 前提:入侵是异常活动的子集
2. 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合,用于描述 正常行为范围;检查实际用户行为和系统的运行情况是否偏离预设的门限?
较,得出是否有入侵行为
异常检测(Anomaly Detection) ——基于行为的检测
总结正常操作应该具有的特征,得出正常操作的模型 对后续的操作进行监视,一旦发现偏离正常操作模式,即进
行报警
误用检测技术
1. 前提:所有的入侵行为都有可被检测到的特征
2. 攻击特征库: 当监测的用户或系统行为与库中的记录相匹 配时,系统就认为这种行为是入侵
中止连接
Internet
商务伙伴
外外部部攻攻击击
类程序附在电子邮件上传输
入侵检测系统的作用
摄像机=IDS探测引擎
监控室=控制中心
后门 Card Key
保安=防火墙
形象地说,IDS就是一台智能的X光摄像机,它能够捕获并记录网络上的所有数据, 分析并提炼出可疑的、异常的内容,尤其是它能够洞察一些巧妙的伪装,抓住内 容的实质。此外,它还能够对入侵行为自动地进行响应:报警、阻断连接、关闭 道路(与防火墙联动)
通过提交上千次相同命令,来实施对POP3服务器的拒绝 服务攻击.
入侵检测系统发现该行为发生次数超过预定义阈值,认 为是异常事件。
实例二:暴力破解FTP账号密码
黑客得知FTP Server存在用户名admin 使用字典程序对admin用户暴力猜密码 入侵检测系统会发现在很短的时间内会出现大量如下数
入侵检测系统原理
入侵检测系统原理入侵检测系统(Intrusion Detection System, IDS)是一种用于监测计算机网络或系统中是否发生未经授权的入侵行为的安全设备。
通过检测网络流量和系统日志来发现潜在的入侵,并及时采取相应的防御措施。
本文将介绍入侵检测系统的原理及其工作过程。
一、入侵检测系统的分类入侵检测系统可分为主机入侵检测系统(Host-based IDS, HIDS)和网络入侵检测系统(Network-based IDS, NIDS)两种类型。
主机入侵检测系统主要针对主机级别的入侵行为进行监测。
它通过监控主机上的日志文件、系统调用、文件完整性等信息,来检测是否存在异常行为。
网络入侵检测系统主要针对网络层次的入侵行为进行监测。
它通过监控网络传输的数据包,来检测是否有非法入侵的行为。
二、入侵检测系统的原理入侵检测系统的原理可以分为基于签名的检测和基于异常的检测两种。
1. 基于签名的检测基于签名的检测是一种静态检测方法,依据预先确定的已知攻击特征(也称为签名),对网络流量或主机行为进行匹配。
当检测到与已知攻击特征相匹配时,就会发出警报,并采取相应的防御措施。
这种方法的优点是准确性高,能够精确识别已知的攻击行为。
然而,对于新型的未知攻击行为,基于签名的检测方法无法发现。
2. 基于异常的检测基于异常的检测是一种动态检测方法,通过学习正常网络流量或主机行为的基准,并监测实时的流量或行为数据,以检测出异常行为。
这种方法通过建立正常行为的模型,识别与模型不一致的行为,来发现潜在的入侵。
它能够检测到未知攻击行为,但也容易误报和漏报现象。
三、入侵检测系统的工作过程入侵检测系统的工作过程主要包括数据采集、数据预处理、特征提取、异常检测和报警等步骤。
1. 数据采集入侵检测系统通过监测网络流量和主机行为,收集数据用于后续的检测和分析。
网络入侵检测系统通常通过网络监测设备(如IDS传感器)获取网络流量数据,而主机入侵检测系统则通过监测主机上的系统日志、进程信息等数据。
入侵检测系统(IDS)
Intrusion Detection公司
Kane Security Monitor
Axent Technologies公司
OmniGuard/Intruder Alert
当前主流产品介绍
Internet Security System公司
RealSecure
特点:采用特征匹配,误用检测能明显降低错报 率,但漏报率随之增加。攻击特征的细微变化, 会使得误用检测无能为力。
入侵检测系统分类(二)
根据检测对象分类
基于主机的IDS(Host-Based IDS)
HIDS一般主要使用操作系统的审计日志作为主要数据源输入, 试图从日志判断滥用和入侵事件的线索。
网络入侵的特点
没有地域和时间的限制; 通过网络的攻击往往混杂在大量正常的网络活动之间,
隐蔽性强; 入侵手段更加隐蔽和复杂。
为什么需要IDS?
单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
为什么需要IDS?
关于防火墙
网络边界的设备,只能抵挡外部來的入侵行为 自身存在弱点,也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护,合法的使用者仍会非法地使用
入侵检测系统(IDS):入侵检测系统是软件与硬 件的组合,是防火墙的合理补充,是防火墙之后 的第二道安全闸门。
入侵检测的内容:试图闯入、成功闯入、冒充其 他用户、违反安全策略、合法用户的泄漏、独占 资源以及恶意使用。
入侵检测的职责
IDS系统主要有两大职责:实时检测和安全审计, 具体包含4个方面的内容
入侵检测系统分类(三)
根据系统工作方式来分:
入侵检测系统归纳总结
入侵检测系统归纳总结入侵检测系统(Intrusion Detection System,简称IDS)是网络安全中用于检测和防御未经授权的网络入侵活动的重要工具。
本文将对入侵检测系统进行归纳总结,包括入侵检测系统的基本原理、分类、工作模式以及应用实践等方面的内容。
一、入侵检测系统的基本原理入侵检测系统通过监控网络流量和主机行为,分析和识别异常行为,并及时做出相应的响应和处理。
其基本原理包括异常检测和特征检测两种方式。
异常检测是基于对网络/主机正常行为的学习和建模,通过比对实时观测到的网络流量或主机行为与模型的差异,判断是否发生入侵。
而特征检测则是事先定义好一系列可能存在的入侵行为特征,通过与实际观测到的行为进行匹配,来判断是否发生入侵。
二、入侵检测系统的分类根据工作位置和侦测方式的不同,入侵检测系统可以分为网络入侵检测系统(NIDS)和主机入侵检测系统(HIDS)两种类型。
网络入侵检测系统主要在网络边界或关键网络节点进行部署,通过监控网络流量进行入侵检测。
而主机入侵检测系统则直接部署在被保护的主机上,通过监控主机行为进行入侵检测。
三、入侵检测系统的工作模式根据检测方式的不同,入侵检测系统可以分为基于签名的入侵检测系统和基于行为的入侵检测系统两种模式。
基于签名的入侵检测系统通过事先定义好一系列入侵行为的特征签名,通过匹配网络流量或主机行为是否包含这些特征签名来进行检测。
这种模式的优点是精确度高,缺点是对未知的入侵行为无法进行有效检测。
基于行为的入侵检测系统则是通过学习和分析网络流量或主机行为的正常模式,识别其中的异常行为来进行检测。
这种模式的优点是能够检测到未知的入侵行为,但也容易产生误报。
四、入侵检测系统的应用实践入侵检测系统在实际应用中可以结合其他安全设备和技术,形成多层次、多维度的安全防护体系。
例如,可以与防火墙、安全网关等设备配合使用,实现对网络流量的实时监控和分析;同时,也可以结合入侵防御系统,及时响应入侵行为,进行主动防御。
入侵检测系统(IDS)
入侵检测系统分类(三)
根据系统工作方式来分:
在线入侵检测(IPS),一旦发现入侵迹象立即断开入侵者 与主机的连接,并收集证据和实施数据恢复。这个检测 过程是不断循环进行的。
离线入侵检测,根据计算机系统对用户操作所做的历史 审计记录判断用户是否具有入侵行为,如果有就断开连 接,并记录入侵证据和进行数据恢复。
特点:采用特征匹配,误用检测能明显降低错报 率,但漏报率随之增加。攻击特征的细微变化, 会使得误用检测无能为力。
入侵检测系统分类(二)
根据检测对象分类
基于主机的IDS(Host-Based IDS)
HIDS一般主要使用操作系统的审计日志作为主要数据源输入, 试图从日志判断滥用和入侵事件的线索。
部 署 二
入侵检测的部署
检测器放置于防火墙的DMZ区域
可以查看受保护区域主机被攻击状态 可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点
入侵检测的部署
检测器放置于路由器和边界防火墙之间
可以审计所有来自Internet上面对保护网络的攻击数目 可以审计所有来自Internet上面对保护网络的攻击类型
为的规律 操作系统审计跟踪管理,识别违反政策的用户活
动 检查系统程序和数据的一致性与正确性
入侵检测系统模型(Denning)
入侵检测系统模型(CIDF)
入侵检测系统的组成特点
入侵检测系统一般是由两部分组成:控制中心和 探测引擎。控制中心为一台装有控制软件的主机 ,负责制定入侵监测的策略,收集来自多个探测 引擎的上报事件,综合进行事件分析,以多种方 式对入侵事件作出快速响应。探测引擎负责收集 数据,作处理后,上报控制中心。控制中心和探 测引擎是通过网络进行通讯的,这些通讯的数据 一般经过数据加密。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第八章入侵检测系统第一节引言通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。
攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。
对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。
保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。
目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。
检测 (入侵的检测)研究如何高效正确地检测网络攻击。
只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。
因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。
响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。
这三种安全措施构成完整的信息战防御系统。
入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。
入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。
入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。
入侵检测系统(Intrusion Detection System,IDS)是实现入侵检测功能的硬件与软件。
入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。
入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。
入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。
相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。
入侵检测系统是计算机系统安全、网络安全的第二道防线。
一个理想的入侵检测系统具有如下特性:能以最小的人为干预持续运行。
能够从系统崩溃中恢复和重置。
能抵抗攻击。
IDS必须能监测自身和检测自己是否已经被攻击者所改变。
运行时占用系统的开销最小。
能够根据被监视系统的安全策略进行配置。
能在使用过程中适应系统和用户行为的改变。
当被监控系统的规模和受攻击的机会增加时,我们认为下列的特征也同样重要: 能够检测具有一定规模的网络。
保证当IDS某一部分被攻破时,对其余部分造成的影响尽可能的小。
允许动态的再配置,即它必须有不用重新启动而能再次配置的功能。
提供很低的误报率。
提供互操作性,在不同环境中运行的IDS组件能够相互作用。
提供方便的用户界面,使管理者方便地配置和监视系统。
能够以实时或接近于实时的方式检测入侵。
目前的入侵检测系统(包括研究的原型和商业化的IDS)的数目已经超过一百个,它们只具有上述特征的一部分。
第二节入侵检测系统结构CIDF (Common Intrusion Detection Framework)定义了通用的IDS系统结构,它将入侵检测系统分为四个功能模块,如图8.1所示:图8.1 CIDF模型事件产生器(Event generater, E-box)收集入侵检测事件,并提供给IDS其他部件处理,是IDS的信息源。
事件包含的范围很广泛,既可以是网络活动也可是系统调用序列等系统信息。
事件的质量、数量与种类对IDS性能的影响极大。
事件分析器(Analysis engine, A-box)对输入的事件进行分析并检测入侵。
许多IDS的研究都集中于如何提高事件分析器的能力,包括提高对已知入侵识别的准确性以及提高发现未知入侵的几率等。
事件数据库(Event database, D-box)E-boxes 和 A-boxes 产生大量的数据,这些数据必须被妥善地存储,以备将来使用。
D-box的功能就是存储和管理这些数据,用于IDS的训练和证据保存。
事件响应器(Response unit, C-box)对入侵做出响应,包括向管理员发出警告,切断入侵连接,根除入侵者留下的后门以及数据恢复等。
CIDF概括了IDS的功能,并进行了合理的划分。
利用这个模型可描述当今现有的各种IDS的系统结构。
对IDS的设计及实现提供了有价值的指导。
第三节入侵检测系统分类为了准确地分类,首先要确定用来分类的IDS特征。
IDS是复杂的系统,若只用一种特征分类,结果将是粗糙的。
因此本章根据多种特征对IDS进行了不同角度的分类。
事件分析器是IDS的核心部分,故首先对检测方法进行分类。
其次从事件产生器的角度分类,将采集事件种类或采集事件的方法作为分类标准。
一、检测方法分类入侵检测的方法可大体分为两类:滥用检测(misuse detection)、异常检测(anomaly detection)。
在IDS中,任何一个事件都可能属于以下三种情况: 已知入侵已知正常状态无法判定状态第三种事件可能是一种未知的入侵, 也可能是正常状态,但在现有的系统和技术下无法判定。
目前的检测方法都是对已知入侵和已知正常状态的识别,其中滥用检测识别已知入侵,但对于无法判定状态中的未知入侵将漏报(false negative),异常检测根据已知的正常状态将已知入侵、无法判定状态都当作异常,因此会产生误报(false positive)。
(一)滥用检测根据对已知入侵的知识,在输入事件中检测入侵。
这种方法不关心正常行为,只研究已知入侵,能较准确地检测已知入侵,但对未知入侵的检测能力有限。
目前大多数的商业IDS都使用此类方法。
滥用检测所采用的技术包括:(二)专家系统使用专家系统技术,用规则表示入侵。
通常使用的是 forward-chaining、production-based等专家系统工具。
例如DARPA的Emerald项目,将P-BEST工具箱应用于入侵检测。
(三)状态转换模型将入侵表示为一系列系统状态转换,通过监视系统或网络状态的改变发现入侵。
典型系统是NetSTAT。
(四)协议分析与字符串匹配将已知攻击模式与输入事件进行匹配以判定入侵的发生,这种方法具有速度高、扩展性好的特点,但容易产生误报。
典型系统包括shadow、Bro和Snort等。
(五)异常检测与滥用检测相反,异常检测对系统正常状态进行研究,通过监测用户行为模式、主机系统调用特征、网络连接状态等,建立系统常态模型。
在运行中,将当前系统行为与常态模型进行比较,根据其与常态偏离的程度判定事件的性质。
这种方法很有可能检测到未知入侵与变种攻击,但现有系统通常都存在大量的误报。
未知入侵的检测是IDS中最具挑战性的问题,其难度比不正当行为检测要大。
异常检测通常使用统计学方法和机器学习方法。
(六)统计学方法使用统计分析方法建立系统常态模型。
统计的数据源包括:用户的击键特征、telnet对话的平均长度等。
通过监测输入值与期望值的偏离程度判断事件的属性,Emerald和cmds都包括了这种方式。
(七)机器学习方法将机器学习领域的方法和工具如神经网络、数据挖掘、遗传算法、贝叶斯网络和人工免疫系统等应用于异常检测中。
这种方法也是通过建立常态模型进行异常识别。
每种方法都具有不同的适用范围和特色。
目前研究的热点之一是噪声数据学习。
(八)混合检测上述两类检测方法各有所长,滥用检测能够准确高效地发现已知攻击;异常检测能识别未知攻击。
目前任何一种系统都不能很好地完成全部入侵检测任务。
混合IDS 中同时包含模式识别与异常识别系统,并且根据两种方法的特点对其进行分工,既能精确识别已知攻击,又能发现部分未知攻击,可减少误报和漏报。
Emerlad是一种典型的混合系统。
二、系统结构分类从IDS所监视的事件种类上可分为基于网络的IDS(Network-based IDS,NIDS)和基于主机的IDS。
按照IDS的响应方式可分为实时IDS和非实时IDS,按照采集事件的方式分为分布式IDS与集中式IDS。
基于主机的IDS数据源包括:系统调用序列,存储系统的活动记录,系统日志等。
由于基于主机的IDS对主机的信息有充分的掌握并且拥有对主机的较强的控制权,因此与网络入侵检测系统相比,其检测的准确性更高,误报率更低。
同时基于主机的IDS 更难以欺骗,对攻击的响应也更有效:可切断入侵连接,杀死进程。
它的缺点是只能对一个主机进行保护,并对主机产生一定的负担,而且移植性差。
基于网络的IDS通过监视网络流量检测入侵活动,简称为网络入侵检测系统(NIDS)。
NIDS能对整个网络加以保护,其优点在于简便性和可移植性。
NIDS的使用不会对现有网络系统造成明显影响,并能应用于各种网络环境。
网络入侵检测系统由于只处理网络数据,对数据的语义掌握是不充分的,容易受到攻击和欺骗。
适应高速网及提高可扩展性是NIDS需要解决的问题。
以上两种IDS都不能单独完成有效的入侵检测,二者的结合能达到取长补短的效果。
目前一些商业IDS已经采用了这种方案,如RealSecurity,Axnet。
IDS的应用规模也是一个重要的参数。
现有的商业IDS的应用范围都是局域网。
随着网络入侵的发展,攻击已进化为从不同主机发起的协同攻击。
对这种攻击的检测是现有IDS所不能胜任的,需要依靠多点分布式网络入侵检测系统,通过联防来检测。
三、典型的入侵检测系统IDS的研究从上世纪80年代就已开始,第一个商业IDS也在1991年诞生。
目前各种IDS研究项目和商业产品的数量极为庞大,下面对具有代表性的入侵检测系统加以介绍,分为商业IDS、IDS研究项目和自由软件三个类别。
(一)开放源码的IDS项目:SnortSnort是一种运行于单机的基于滥用检测的网络入侵检测系统。
Snort通过libpcap获取网络包,并进行协议分析。
它定义了一种简单灵活的网络入侵描述语言,对网络入侵进行描述 (入侵特征或入侵信号)。
Snort根据入侵描述对网络数据进行匹配和搜索,能够检测到多种网络攻击与侦察,包括:缓冲区溢出攻击,端口扫描,CGI 攻击,SMB侦察等。
并提供了多种攻击响应方式。
对于最新的攻击方法,使用Snort 的入侵描述语言能够快速方便地写出新攻击的描述,从而使Snort能够检测到这种攻击。
在Internet上已建立了发布Snort入侵模式数据库的站点。
Snort是极具活力的自由软件,在世界各地的志愿者开发下,技术和功能在不断提高。
(二)商业产品国际市场上的主流商业IDS产品大部分为基于网络的,采用滥用检测方法的系统。
主要有:1、RealSecureRealSecure 由Internet Security Systems(ISS)开发,包括三种系统部件:网络入侵检测agent,主机入侵检测agent和管理控制台。