第 5 章 入侵检测与蜜罐技术

NIDS系统由Probe （探测器）、NIDS Engine （探测引擎）、NIMS Manager（管理器）和 NIMS Console（控制台）几部分组成 ，如图 5.1所示。 NIDS的优点主要是使用简便。一个网段上只需 安装一个或几个这样的检测系统，便可以检测 整个网段的入侵状况。 另外，由于往往分出单独的计算机做这种旁路应 用，不会给运行关键业务的主机和网络增加任 何负担。
4. 入侵检测技术发展方向
今后的入侵检测技术大致会朝下述三个方向发展。 （1）分布式入侵检测。

一是针对分布式网络攻击的检测方法；二是使用分布式 的方法来检测分布式的攻击，其中的关键技术为检测信 息的协同处理与入侵攻击的全局信息的提取。

（2）智能化入侵检测
神经网络 遗传算法 模糊技术 免疫原理 专家系统
5.1.3 网络入侵监测系统
进行入侵检测的软件与硬件的组合便是IDS （Intrusion Detection System） 。 一般说来，和IDS关系比较密切的网络安全组件 主要有防火墙、扫描器、防病毒软件和安全审 计4大类。 上述4种安全组件对正在进行的外 部入侵和网络内部攻击缺乏检测和实时响应功 能。而IDS的主要功能包括检测并分析用户在 网络中的活动，识别已知的攻击行为，统计分 析异常行为，核查系统配臵和漏洞，评估系统 关键资源和数据文件的完整性，管理操作系统 日志，识别违反安全策略的用户活动等。
入侵检测技术是一种能够及时发现并报告系统中未授权 或异常现象的技术，是一种用于检测计算机网络中违 反安全策略行为的技术。违反安全策略的行为主要有 入侵和滥用。入侵是指非法用户的违规行为；而滥用 则是指用户的违规行为。 利用审计记录，入侵检测系统能够识别出任何不希望有 的活动，从而达到限制这些活动，以保护系统的安全。 入侵检测系统的应用，能使在入侵攻击对系统发生危 害前，检测到入侵攻击，并利用报警与防护系统驱逐 入侵攻击。在入侵攻击过程中，能减少入侵攻击所造 成的损失。在被入侵攻击后，收集入侵攻击的相关信 息，作为防范系统的知识，添加入知识库内，以增强 系统的防范能力。
（1）模式匹配 模式匹配就是将收集到的信息与已知的网络入侵 和系统误用模式数据库进行比较，从而发现违 背安全策略的行为。该方法的一大优点是只需 收集相关的数据集合，显著减少系统负担，且 技术已相当成熟。它与病毒防火墙采用的方法 一样，检测准确率和效率都相当高。但是，该 方法存在的弱点是需要不断的升级以对付不断 出现的黑客攻击手法，不能检测到从未出现过 的黑客攻击手段。
（3）全面的安全防御方案
5.2 建立一个入侵检测系统
Snort是一个强大的轻量级的网络入侵检测系统。 它具有实时数据流量分析和日志Ip网络数据包 的能力，能够进行协议分析，对内容搜索/匹 配。它能够检测各种不同的攻击方式，对攻击 进行实时警报。只要遵守GPL，任何组织和个 人都可以自由使用Snort。 Snort虽然功能强大，但是其代码极为简洁，其 源代码压缩包只有200KB不到。此外，Snort 具有很好的扩展性和可移植性，跨平台性能极 佳，目前已经支持Linux系列、Solaris、BSD 系列、IRIX,HP-UX、Windows系列，Sco Openserver、Unixware等。
（2）统计分析 统计分析方法首先给系统对象（如用户、文件、目录和 设备等）创建一个统计描述，统计正常使用时的一些 测量属性（如访问次数、操作失败次数和时延等）。 测量属性的平均值将被用来与网络、系统的行为进行 比较，任何观察值在正常值范围之外时，就认为有入 侵发生。其优点是可检测到未知的入侵和更为复杂的 入侵，缺点是误报、漏报率高，且不适应用户正常行 为的突然改变。具体的统计分析方法如基于专家系统 的、基于模型推理的和基于神经网络的分析方法，目 前正处于研究热点和迅速发展之中。
（3）完整性分析 完整性分析主要关注某个文件或对象是否被更改， 这经常包括文件和目录的内容及属性，它在发 现被更改的、被特洛伊化的应用程序方面特别 有效。完整性分析利用强有力的加密机制，称 为消息摘要函数（例如MD5），它能识别哪怕 是微小的变化。其优点是不管模式匹配方法和 统计分析方法能否发现入侵，只要是成功的攻 击导致了文件或其它对象的任何改变，它都能 够发现。缺点是一般以批处理方式实现，不用 于实时响应。
常用的手工入侵检测方法与命令
1. 检查/etc/passwd文件中是否有可疑用户
2. 查看看看有没有奇怪的进程 3. 检查是否有可疑进程 4. 检查网络连接和监听端口



查看网卡设置：# ifconfig -a 查看本机的路由、网关设置是否正确： # netstat –m（netstat –rn，） 列出本机所有的连接和监听的端口，查看有没有非 法连接： # netstat -an 查看本机所有开放的端口： # netstat -an | grep listen
1. 入侵检测系统概述
入侵检测产品可分为：网络入侵检测系统 (Network Intrusion Detection System， NIDS)产品和主机入侵检测系统 (Host Intrusion Detection System，HIDS)产品。 混合的入侵检测系统可以弥补一些基于网络与 基于主机的片面性缺陷。此外，文件的完整性 检查工具也可看作是一类入侵检测产品。
3. 入侵检测产品选择要点
当选择入侵检测系统时，要考虑的要点有： （1）系统Hale Waihona Puke Baidu价格

免费的IDS与IDS商业产品的比较
（2）特征库升级与维护的费用 （3）网络入侵检测系统最大可处理流量 （4）该产品容易被躲避吗 （5）产品的可伸缩性 （6）运行与维护系统的开销 （7）产品支持的入侵特征数 （8）产品有哪些响应方法 （9）是否通过了国家权威机构的评测
网络入侵检测技术的特点是利用网络监控软件或 者硬件对网络流量进行监控并分析，及时发现 网络攻击的迹象并做出反应。入侵检测部件可 以直接部署于受监控网络的广播网段，或者直 接接收受监控网络旁路过来的数据流。为了更 有效地发现网络受攻击的迹象，网络入侵检测 部件应能够分析网络上使用的各种网络协议， 识别各种网络攻击行为。网络入侵检测部件对 网络攻击行为的识别，通常是通过网络入侵特 征库来实现的，这种方法有利于在出现了新的 网络攻击手段时方便地对入侵特征库加以更新， 提高入侵检测部件对网络攻击行为的识别能力。
图5.1 NIDS的网络拓扑示意图
2. 入侵检测技术
入侵检测系统所采用的技术可分为特征检测与异 常检测两种。



（1）特征检测(Signature-based detection) 又称Misuse detection，特征检测对已知的攻 击或入侵的方式做出确定性的描述，形成相应 的事件模式。 （2）异常检测(Anomaly detection)的假设是 入侵者活动异常于正常主体的活动。 （3）协议分析技术利用网络协议的高度规则性 快速探测攻击的存在。
5. 检查系统日志 6. 检查/etc/inet.conf和crontab文件是否被修改 7. 检查系统文件完整性 8. 检查内核级后门 9. 检查.rhosts. /etc/hosts.equiv. .forward文件是否被 修改（这是常被黑客利用来安装后门的几个文件）。 以上介绍的是一些简单的入侵检测原理和方法，手工入 侵检测相当烦琐，很难进行深层次的检测，而且这些 检测大多基于系统命令，如果系统文件已经被黑客替 换的话，就不可能进行准确的检测，要正确有效地进 行入侵检测和审计需要借助于一些入侵分析工具。
（4）统计检测





统计模型常用于异常检测。 ① 操作模型，该模型假设异常可通过测量结果与一些 固定指标相比较得到，固定指标可以根据经验值或一段 时间内的统计平均得到； ② 方差，计算参数的方差，设定其置信区间； ③ 多元模型，操作模型的扩展，通过同时分析多个参 数实现检测； ④ 马尔柯夫过程模型，将每种类型的事件定义为系统 状态，用状态转移矩阵来表示状态的变化； ⑤ 时间序列分析，将事件计数与资源耗用根据时间排 成序列，如果一个新事件在该时间发生的概率较低，则 该事件可能是入侵。
一个成功的入侵检测系统不但可使系统管理员时 刻了解网络系统（包括程序、文件和硬件设备 等）的任何变更，还能给网络安全策略的制订 提供指南。更为重要的一点是，它应该管理、 配臵简单，从而使非专业人员非常容易地获得 网络安全。而且，入侵检测的规模还应根据网 络威胁、系统构造和安全需求的改变而改变。 入侵检测系统在发现入侵后，会及时做出响应， 包括切断网络连接、记录事件和报警等。 作为一种积极主动地安全防护技术，入侵检测提 供了对内部攻击、外部攻击和误操作的实时保 护，在网络系统受到危害之前拦截和响应入侵。
入侵检测利用的信息
入侵检测利用的信息一般来自以下四个方面： （1）系统和网络日志文件 （2）目录和文件中的不期望的改变 （3）程序执行中的不期望行为 （4）物理形式的入侵信息

未授权的对网络硬件连接 对物理资源的未授权访问。
2. 信号分析
对上述四类收集到的有关系统、网络、数据及用 户活动的状态和行为等信息，一般通过模式匹 配，统计分析和完整性分析三种技术手段进行 分析 。其中前两种方法用于实时的入侵检测， 而完整性分析则用于事后分析。
5.1.2 用手工检测入侵
检测入侵、保护系统安全是管理员的最为重要的 任务，熟悉常用手工入侵检测的方法和命令也 应该是网络管理员的基本技能。因为UNIX系 统经常承担着关键任务，所以它经常是入侵者 攻击的首选目标。下面以Linux和solaris为例， 介绍一些常用的手工入侵检测方法与命令，掌 握了它不但可以迅速判断出一些简单的黑客入 侵，还可以加深对入侵检测的了解，从而能更 好地使用一些入侵检测和审计工具。
1. 信息收集
入侵检测的第一步是信息收集，内容包括系统、网络、 数据及用户活动的状态和行为。需要在计算机网络系 统中的若干不同关键点（不同网段和不同主机）收集 信息。一是要尽可能扩大检测范围，二是因为虽然来 自一个源的信息有可能看不出疑点，但来自几个源的 信息的不一致性却是可疑行为或入侵的最好标识。 入侵检测很大程度上依赖于收集信息的可靠性和正确性。 因为黑客经常替换软件以搞混和移走这些信息，因此， 需要保证用来检测网络系统的软件的完整性，特别是 入侵检测系统软件本身应具有相当强的坚固性，防止 被篡改而收集到错误的信息。

统计方法的最大优点是它可以“学习”用户的使用习惯，从而 具有较高检出率与可用性。但是它的“学习”能力也给入侵者 以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，
（5）专家系统 用专家系统对入侵进行检测，经常是针对有特征入侵行 为。所谓的规则，即是知识，不同的系统与设臵具有 不同的规则，且规则之间往往无通用性。专家系统的 建立依赖于知识库的完备性，知识库的完备性又取决 于审计记录的完备性与实时性。入侵的特征抽取与表 达，是入侵检测专家系统的关键。在系统实现中，将 有关入侵的知识转化为if-then结构（也可以是复合结 构），条件部分为入侵特征，then部分是系统防范措 施。运用专家系统防范有特征入侵行为的有效性完全 取决于专家系统知识库的完备性。
网络安全技术
骆耀祖 刘东远 骆珍仪编著
第 5 章 入侵检测与蜜罐技术
本章介绍网络入侵检测、用手工检测入侵的方法 及入侵检测产品，讨论了如何用Snort建立一 个入侵检测系统以及分布式攻击的防范策略， 最后讨论了黑客诱骗技术。
5.1 网络入侵检测
入侵检测（Intrusion Detection）是对入侵行为 的发觉。它通过对计算机网络或计算机系统中 的若干关键点收集信息并对其进行分析，从中 发现网络或系统中是否有违反安全策略的行为 和被攻击的迹象。 进行入侵检测的软件与硬件的组合便是入侵检测 系统IDS（Intrusion Detection System）。 与其他安全产品不同的是，入侵检测系统需要 更多的智能，它必须可以将得到的数据进行分 析，并得出有用的结果。一个合格的入侵检测 系统能大大的简化管理员的工作，保证网络安 全的运行。
5.1.1 网络入侵检测概述
网络入侵检测技术也叫网络实时监控技术，它通 过硬件或软件对网络上的数据流进行实时检查， 并与系统中的入侵特征数据库进行比较，一旦 发现有被攻击的迹象，立刻根据用户所定义的 动作做出反应，如切断网络连接，或通知防火 墙系统对访问控制策略进行调整，过滤入侵的 数据包等。
网络入侵检测技术的特点