入侵检测技术原理及应用

4
入侵检测技术简介
入侵检测（Intrusion Detection），顾名思义， 入侵检测（Intrusion Detection），顾名思义， 便是对入侵行为的发觉 它通过对计算机网络或计算机系统中得若干关键 点收集信息并对其进行分析，从中发现网络或系 统中是否有违反安全策略的行为和被攻击的迹象 入侵检测系统（Intrusion 入侵检测系统（Intrusion Detection System,简 System,简 称IDS）是进行入侵检测的软件与硬件的组合 IDS）是进行入侵检测的软件与硬件的组合 与其他安全产品不同的是，入侵检测系统需要更 多的智能，它必须可以将得到的数据进行分析， 并得出有用的结果。一个合格的入侵检测系统能 大大的简化管理员的工作，保证网络安全的运行
难点： 难点：
如何设计模式既能够表达“入侵” 如何设计模式既能够表达“入侵”现象又不 会将正常的活动包含进来。 会将正常的活动包含进来。
常用方法： 常用方法：
模式匹配。 模式匹配。
25
Baidu Nhomakorabea
原理
异常检测 Anomaly detection
假设入侵者活动异常于正常主体的活动 念建立主体正常活动的“活动简档” 念建立主体正常活动的“活动简档” 将当前主体的活动状况与“活动简档” 将当前主体的活动状况与“活动简档”相比 当违反统计规律时，认为该活动可能是“入侵” 当违反统计规律时，认为该活动可能是“入侵”行 为
CVE—Common Vulnerabilities and Exposures
CVE： CVE：Common Vulnerabilities and Exposures
是脆弱性和其他信息安全暴露的标准化名称的列表－CVE的目标 是脆弱性和其他信息安全暴露的标准化名称的列表－CVE的目标 是标准化命名所有公共已知的脆弱性和安全暴露 网址：http://cve.mitre.org/ 网址：http://cve.mitre.org/
难点
异常检测的难题在于如何建立“活动简档” 异常检测的难题在于如何建立“活动简档”以及如 何设计统计算法，从而不把正常的操作作为“入侵” 何设计统计算法，从而不把正常的操作作为“入侵” 或忽略真正的“入侵”行为。 或忽略真正的“入侵”行为。
常用方法
概率统计。 概率统计。
26
NIDS
大多数入侵检测厂商采用的产品形式。 通过捕获和分析网络包来探测攻击。网络 入侵检测可以在网段或者交换机上进行监 听，来检测对连接在网段上的多个主机有 影响的网络通讯，从而保护那些主机。
20
入侵检测系统的历史
1997 年 Cisco收购了 Wheelgroup并开始将网络入侵检测加入路由器中。 Internet Security Systems发布了 Realsecure，Windows NT的网络入 Realsecure， 侵检测系统。 开始了网络入侵检测的革命。
21
入侵检测系统的历史
CVE是： CVE是：
A Dictionary, NOT a Database A Community-Wide Effort CommunityFreely Available for Review or Download
以上内容：http://cve.mitre.org/about/ 以上内容：http://cve.mitre.org/about/
27
网络入侵检测优点
1. 网络通信检测能力
NIDS能够检测那些来自网络的攻击 NIDS能够检测那些来自网络的攻击 它能够检测到超过授权的非法访问
2. 对正常业务影响少
NIDS不需要改变服务器等主机的配置 NIDS不需要改变服务器等主机的配置 由于它不会在业务系统中的主机中安装额外的软件 从而不会影响这些机器的CPU、I/O与磁盘等资源的 从而不会影响这些机器的CPU、I/O与磁盘等资源的 使用 不会影响业务系统的性能
18
入侵检测系统的历史
1992 年 计算机误用检测系统（ 计算机误用检测系统（CMDS）Computer Misuse Detection ） System(CMDS)
Screen Application International Corporation(SAIC) 基于在海军报告调查中完成的工作
通用入侵检测框架－Common 通用入侵检测框架－Common Intrusion Detection Framework
体系结构的IDS模块 体系结构的IDS模块 用于审计数据和数据传送的规范
CIDF信息 CIDF信息
http://www.seclab.ucdavis.edu/cidf/spec/cidf.txt http://www.isi.edu/gost/cidf/
5
入侵检测系统的主要功能
监测并分析用户和系统的活动 核查系统配置和漏洞 评估系统关键资源和数据文件的完整性 识别已知的攻击行为 统计分析异常行为 操作系统日志管理，并识别违反安全策略的 用户活动 实时通知
6
IDS产品常见结构 IDS产品常见结构
传感器 SENSOR 传感器 SENSOR
传感器 SENSOR
16
入侵检测系统的历史
1986 年 Dorothy Denning 发表了“An Intrusion-Detection Model-一个入侵检测的模型” ，入 侵检测领域开创性的工作。 基本的行为分析机制。 一些可能的实现系统的方法。
17
入侵检测系统的历史
1989 年 Todd Heberlien，California, Davis大学的一个学生 写了Network Security Monitor(NSM)－网络安全监视器（NSM），系 网络安全监视器（ 统设计用于捕获TCP/IP包并检测异构网络中的异常行动。 网络入侵检测诞生
第十二讲 入侵检测技术 原理及应用
主要内容
入侵检测系统定义和模型 入侵检测系统的发展历史 入侵检测系统的原理
2
主要内容
入侵检测系统定义和模型 入侵检测系统的发展历史 入侵检测系统的原理
3
入侵及入侵检测系统的定义
入侵
—绕过系统安全机制的非授权行为。 绕过系统安全机制的非授权行为。 绕过系统安全机制的非授权行为 —危害计算机、网络的机密性、完整性和可用性或者绕过计算机、网络的安 危害计算机、 危害计算机 网络的机密性、完整性和可用性或者绕过计算机、 全机制的尝试。入侵通常是由从互联网访问系统的攻击者、 全机制的尝试。入侵通常是由从互联网访问系统的攻击者、或者试图获得额 外或者更高的非法权限的授权用户等引起的。 外或者更高的非法权限的授权用户等引起的。
Stalker （ Haystack Labs. ） 基于为空军完成的原Haystack工作，第一个商业化的主机IDS，用于 UNIX
19
入侵检测系统的历史
1994 年 A group of researchers at the 空军加密支持中心（Air Force Cryptological Support Center）的一组研究人员创建了鲁棒的网络入侵 检测系统，ASIM ASIM，广泛用于空军。 来自于一家商业化公司 Wheelgroup Wheelgroup的开发人员开始商业化网络入侵 检测技术。
入侵检测
—是一种对计算机系统或网络事件进行监测并分析这些入侵事件特征的过程。 是一种对计算机系统或网络事件进行监测并分析这些入侵事件特征的过程。 是一种对计算机系统或网络事件进行监测并分析这些入侵事件特征的过程
入侵检测系统
—自动进行这种监测和分析过程的软件或硬件产品。 自动进行这种监测和分析过程的软件或硬件产品。 自动进行这种监测和分析过程的软件或硬件产品
9
CIDF—Common Intrusion Detection Framework
历史
DARPA（ DARPA（Defense Advanced Research Projects Agency）的 Agency）的 Teresa Lunt女士提出 Lunt女士提出 Stuart Staniford-Chen对CIDF概念进行拓宽 Staniford-Chen对CIDF概念进行拓宽
12
入侵检测系统概述——功能 入侵检测系统概述——功能
入侵检测是网络防火墙的逻辑补充，扩展了系统 管理员的安全管理能力 管理员的安全管理能力，提供了安全审计、监控、 安全管理能力，提供了安全审计、监控、 攻击识别和响应 入侵检测系统主要执行功能：
监控和分析用户和系统活动 监控和分析用户和系统活动 审计系统配置和脆弱性 审计系统配置和脆弱性 评估关键系统和数据文件的完整性 评估关键系统和数据文件的完整性 识别活动模式以反应已知攻击 识别活动模式以反应已知攻击 统计分析异常活动模式 统计分析异常活动模式 操作系统审计跟踪管理，识别违反策略的用户活动 操作系统审计跟踪管理，识别违反策略的用户活动
控制台 CONSOLE 传感器 SENSOR 传感器 SENSOR
7
IDWG—Intrusion Detection Working Group
IDWG:入侵检测工作组 IDWG:入侵检测工作组 http://www.ietf.org/html.charters/idwghttp://www.ietf.org/html.charters/idwg-charter.html 目的： 定义数据格式 定义交换流程 输出 需求文件 公共入侵检测语言规范 框架文件 目前成果 尚未形成正式标准，形成 4个草案
13
主要内容
入侵检测系统定义和模型 入侵检测系统的发展历史 入侵检测系统的原理
14
入侵检测系统的历史
1980年 James P. Anderson 可以使用审计记录以标识误用 威胁分类的分类学 建议在审计子系统的基础上进行改进以检测误用
15
入侵检测系统的历史
1985 年 SRI由美国海军（SPAWAR）资助以建立Intrusion Detection Expert System(IDES)－入侵检测专家系统（IDES） 的初步原型。 －入侵检测专家系统（ ） 第一个系统中同时使用了statistical and rule-based－基于统计和基 于规则的方法。
特征检测 异常检测
按监测对象
网络入侵检测 ( NIDS ) 主机入侵检测 ( HIDS )
24
特征检测 SignatureSignature-based detection
原理： 原理：
假设入侵者活动可以用一种模式来表示 系统的目标是检测主体活动是否符合这些模 式。 特征检测可以将已有的入侵方法检查出来， 特征检测可以将已有的入侵方法检查出来， 但对新的入侵方法无能为力。 但对新的入侵方法无能为力。
8
IDWG通用IDS模型 IDWG通用IDS模型
入侵检测系统（ 入侵检测系统（IDS） ） – 一个或多个下列组建的组 合：传感器、分析器和管理 器。 安全策略 – 预定义的、正式的成文的 说明，它定义了组织机构内 网络或特定主机上允许发生 的目的为支持组织机构要求 的活动。它包括但不限于下 列活动：哪一台主机拒绝外 部网络访问等。 IETF IDWG（Intrusion Detection Working Group） 《Draft：Intrusion Detection Message Exchange Requirements 》
28
网络入侵检测优点
3.布署风险小 3.布署风险小
NIDS不像路由器、防火墙等关键设备方式工作 NIDS不像路由器、防火墙等关键设备方式工作 它不会成为系统中的关键路径 NIDS发生故障不会影响正常业务的运行 NIDS发生故障不会影响正常业务的运行 布署NIDS的风险比HIDS的风险来得少得多 布署NIDS的风险比HIDS的风险来得少得多
10
CIDF通用入侵检测框架 CIDF通用入侵检测框架
标准接口
- 数据搜集、分析和响应组件的互连框架 - 可扩展的体系 - 核心技术的重用 - 方便技术转让 - 减少成本
IDS框架、分层通信、CISL语言、 API
E A D C 标准API 事件生成器 事件分析器 事件数据库 系统特定的控制器
11
1998 年 Centrax公司发布了 eNTrax，用于Windows NT的分布主机入侵检测系 ， 统 Centrax是由CMDS的开发人员组成，后来加入了建立Stalker的技术队 伍。
22
主要内容
入侵检测系统定义和模型 入侵检测系统的发展历史 入侵检测系统的原理
23
入侵检测产品分类
按技术