网络安全理论与时间-教案-第4讲入侵检测系统-20180531

金陵科技学院教案【教学单元首页】
第 1 次课授课学时 4 教案完成时间： 2018.2
授课内容
内容备注
1入侵检测概述
1.1入侵检测的主要作用：
（1）检测和记录网络中的攻击事件，阻断攻击行为，防止入侵事件的发生。

（2）检测其他未授权操作或安全违规行为。

（3）统计分析黑客在攻击前的探测行为，管理员发出警报。

（4）报告计算机系统或网络中存在的安全威胁。

（5）提供有关攻击的详细信息，帮助管理员诊断和修补网络中存在的安全弱点。

（6）在大型复杂的计算机网络中部署入侵检测系统，提高网络安全管理的质量。

1.2入侵检测的定义：
（1）入侵检测：不仅包括攻击者非法取得系统的控制权的行为也包括他们对系统
漏洞信息的收集，并由此对信息系统造成危害的行为。

（2）入侵检测系统：所有能够执行入侵检测任务和实现入侵检测功能的系统都称
为入侵检测系统（Intrusion Detection System, IDS)。

包括软件系统或软、硬件
结合的系统。

1.3入侵检测系统模型
（1）数据收集器：探测器，主要负责收集数据，包括网络协议数据包、系统日志
文件、系统调用记录等。

（2）检测器：分析和检测入侵的任务并向控制器发出警报信号。

（3）知识库：为检测器和控制器提供必需的数据信息支持。

（4）控制器：根据警报信号人工或自动地对入侵行为做出响应。

1.4 IDS的主要功能：
（1）防火墙之后的第二道安全闸门。

（2）提高信息安全基础结构的完整性。

2.2基于异常检测原理的入侵检测方法：
（1）统计异常检测方法（较成熟）
（2）特征选择异常检测方法（较成熟）
（3）基于贝叶斯网络异常检测方法（理论研究阶段）
（4）基于贝叶斯推理异常检测方法（理论研究阶段）
（5）基于模式预测异常检测方法（理论研究阶段）
2.3基于误用检测原理的入侵检测方法：
（1）基于条件的概率误用检测方法
（2）基于专家系统误用检测方法
（3）基于状态迁移分析误用检测方法
（4）基于键盘监控误用检测方法
（5）基于模型误用检测方法
优点：准确地检测已知的入侵行为。

缺点：不能检测出未知的入侵行为。

2.4各种入侵检测技术
基于概率统计的检测：异常检测中最常用的技术，对用户历史行为建立模型。

基于神经网络的检测基：于专家系统的检测：根据安全专家对可疑行为的分析经验来形成一套推理规则，再在此基础上建立专家系统。

基于专家系统的检测：用一系列信息单元训练神经单元，在给定一个输入后，就可能预测出输出。

基于模型推理的检测：攻击者采用一定的行为程序构成的模型，根据其代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图。

3IDS的结构与分类
3.1 IDS入侵检测步骤：
信息收集：内容包括系统、网络、数据用户活动的状态和行为。

来自系统日志、目录及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息
数据分析：入侵检测的核心。

首先构建分析器，把收集到的信息经过预处理建立模型，然后向模型中植入时间数据，在知识库中保存。

响应：主动响应由用户驱动或系统本身自动执行，可对入侵者采取行动、修正系统环境或收集有用信息。

被动响应包括告警和通知、简单网络管理协议（SNMP）陷阱和插件等。

3.2 IDS的架构：
通用入侵检测架构（Common Intrusion Detection Framework, CIDF）阐述了入侵检测系统的通用模型。

以下组件：
事件产生器（Event Generation）
事件分析器（Event Analyzers）
响应单元 (Response Unites)
事件数据库（Event Databases）
事件:将入侵检测系统需要分析的数据统称为事件（Event）。

可以是基于网络得到的数据，也可是基于主机得到的数据。

3.3. IDS的功能构成：
事件提取：负责提取相关运行数据或记录，并对数据进行简单过滤。

入侵分析：找出入侵痕迹，区分正常和不正常的访问，分析入侵行为并定位入侵者。

入侵响应：分析出入侵行为后被触发，根据入侵行为产生响应。

远程管理：在一台管理站上实现统一的管理监控。

3.4 IDS的分类：
按照数据来源分类
NIDS：截获数据包，提取特征并与知识库中已知的攻击签名相比较。

HIDS：通过对日志和审计记录的监控和分析来发现攻击后的误操作。

DIDS：同时分析来自主机系统审计日志和网络数据流。

按照入侵检测策略分类
滥用检测：将收集到的信息与数据库进行比较。

异常检测：测量属性的平均值将被用来与系统行为比较。

完整性分析：hash,关注是否被更改。

NIDS 和 HIDS
4 NIDS
4.1 NIDS概述：
NIDS：
根据网络流量、网络数据包和协议来分析入侵检测。

使用原始网络包作为数据包。

通常利用一个运行在混杂模式下的网络适配器来实现监视并分析通过网络的
所有通信业务。

4种常用技术：
（1）模式、表达式或字节匹配。

（2）频率或穿越阈值。

（3）低级事件的相关性。

（4）统计学意义上的非常规现象检测。

主要优点：
（1）拥有成本低。

（2）攻击者转移证据困难。

（3）实时检测和响应。

（4）防火墙外部IDS能够检测未成功的攻击企图。

（5）操作系统独立。

4.2基于网络入侵检测系统工作原理
4.3 NIDS关键技术：
（1）IP碎片重组技术
（2）TCP流重组技术
（3）TCP状态检测技术
（4）协议分析技术
（5）零复制技术
（6）蜜罐技术
IP碎片重组技术、TCP流重组技术：
攻击者将攻击请求分成若干个IP碎片包。

IP碎片包被发给目标主机。

碎片攻击包括：碎片覆盖、碎片重写、碎片超时和针对网络拓扑的碎片技术等。

IDS需要在内存中缓存所有的碎片。

模拟目标主机对碎片包进行重组还原出真正的请求内容。

进行入侵检测分析。

IP分片：
链路层具有最大传输单元MTU这个特性，它限制了数据帧的最大长度。

不同的网络类型都有一个上限值。

以太网的MTU是1500。

如果IP层有数据包要传，而且数据包的长度超过了MTU，那么IP层就要对数据包进行分片(fragmentation)操作，使每一片的长度都小于或等于MTU。

关键域：ID\MF\DF\OFFSET
IP碎片攻击指的是一种计算机程序重组的漏洞：
IP首部有两个字节表示整个IP数据包的长度，所以IP数据包最长只能为
0xFFFF，就是65535字节。

如果有意发送总长度超过65535的IP碎片，一些老的系统内核在处理的时候就会出现问题，导致崩溃或者拒绝服务。

另外，如果分片之间偏移量经过精心构造，一些系统就无法处理，导致死机。

所以说，漏洞的起因是出在重组算法上。

（1）ping o‘ death
ping o‘ death是利用ICMP协议的一种碎片攻击。

攻击者发送一个长度超过65535的Echo Request数据包，目标主机在重组分片的时候会造成事先分配的65535字节缓冲区溢出，系统通常会崩溃或挂起。

ping不就是发送ICMP Echo Request
数据包的吗？
jolt2
jolt2.c是在一个死循环中不停的发送一个ICMP/UDP的IP碎片，可以使Windows系统的机器死锁。

我测试了没打SP的Windows 2000，CPU利用率会立即上升到100%，鼠标无法移动。

（2）Teardrop
利用重叠分片
由于目标系统能够重组IP分片，因此需要网络入侵检测系统具有重组IP碎片的能力。

如果网络入侵检测系统没有重组IP碎片的能力，将无法检测通过IP碎片进入的攻击数据。

由于目标系统能够重组IP分片，因此需要网络入侵检测系统具有重组IP碎片的能力。

如果网络入侵检测系统没有重组IP碎片的能力，将无法检测通过IP碎片进入的攻击数据。

基本的IP碎片重组问题：
IP碎片通常会按照顺序到达目的地，最后的碎片的MF位为0(表示这是最后一个碎片)。

不过，IP片有可能不按照顺序到达，目标系统必须能够重组碎片。

但是，如果网络入侵检测系统总是假设IP碎片是按照顺序到达就会出现漏报的情况。

攻
TCP 数据传输：
当双方建立 TCP 连接以后，就可以传输数据了，传输过程中发送方每发送一个数据包，接收方都要给予一个应答。

数据包的先后关系可以由 TCP 首部的序号和确认序号确定。

双方序号的及确认序号之间的关系为：
SYN 的计算：
在 TCP 建立连接的以后，会为后续 TCP 数据的传输设定一个初始的序列号。

以后每传送一个包含有效数据的 TCP 包，后续紧接着传送的一个 TCP 数据包的序列号都要做出相应的修改。

序列号是为了保证 TCP 数据包的按顺序传输来设计的，可以有效的实现 TCP 数据的完整传输，特别是在数据传送过程中出现错误的时候可以有效的进行错误修正。

在 TCP会话的重新组合过程中我们需要按照数据包的序列号对接收到的数据包进行排序。

一台主机即将发出的报文中的 SEQ 值应等于它所刚收到的报文中的 ACK 值，而它所要发送报文中的 ACK 值应为它所收到报文中的 SEQ 值加上该报文中所发送的 TCP 数据的长度，即两者存在：
（ 1 ）本次发送的 SEQ= 上次收到的 ACK ；
（ 2 ）本次发送的 ACK= 上次收到的 SEQ+ 本次收到的 TCP 数据长度；
表中初始的序列号 Init_seq 可以从携带 SYN 标记的 TCP 包中获得。

TCP状态检测技术：
攻击NIDS最有效的办法是利用Coretez Giovanni写的Stick程序，
Stick使用了很巧妙的办法，它可以在2秒内模拟450次没有经过3步握手的攻击，快速的告警信息的产生会让IDS反应不过来、产生失去反应甚至死机现象。

由于Stick发出多个有攻击特征（按照snort的规则组包）的数据包，所以IDS
传统的方法：需通过系统调用将网卡中的数据包复制到上层应用系统中，会占用系统资源，造成IDS性能下降。

改进后的方法：通过重写网卡驱动，使网卡驱动与上层系统共享一块内存区域，网卡从网络上捕获到的数据包直接传递给入侵检测系统。

蜜罐技术：
蜜罐（honeypot）的作用：
把潜在入侵者的注意力从关键系统移开。

收集入侵者的动作信息。

设法让攻击者停留一段时间，使管理员能检测到它并采取相应的措施。

蜜罐的实现：
在外部Internet上的一台计算机上运行没有打上补丁的微软Windows或Red Hat Linux
引诱黑客来攻击
设置网络监控系统，记录进出计算机的所有流量
下游责任：蜜罐会被黑客用来攻击其他系统。

蜜网（honeynet）：另外采用了各种入侵检测和安全审计技术的蜜罐。

减小或排除对其它系统造成的风险。

蜜罐技术优势：
大大减少了所要分析的数据。

蜜网计划已经收集了大量信息，很少有黑客采用新的攻击手法。

蜜罐不仅是一种研究工具，同样有着真正的商业应用价值。

虚拟蜜网的出现大大降低了蜜罐的成本及管理难度，节省了机器占用的空间。

5 HIDS
5.1 HIDS概述：
检测目标：主机系统和本地用户。

检测原理：根据主机的审计数据和系统日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上。

当有文件发生变化时，IDS将新的记录条目与攻击标记相比较，看二者是否匹配，如果匹配，系统就会向管理员报警并向其他的目标报告，以采取措施。

5.2 HIDS的特点：
（1）监视特定的系统活动：
监视用户和访问文件的活动，包括文件访问、改变文件的权限、试图建立新的可执行文件或试图访问特殊设备。

监视只有管理员才能实施的异常行为。

监视主要系统文件和可执行文件的改变。

（2）非常适用于加密和交换环境。

NIDS无法检测密文
HIDS驻留在主机中，OS做解密
（3）近实时的检测和应答。

（4）不需要额外的硬件。

（5）NIDS不能检测针对主机的攻击，而HIDS能检测该攻击
（6）HIDS能监测系统文件、进程和日志文件，寻找可疑活动。

（7）HIDS可检测缓冲区溢出攻击，在某些时刻阻止入侵。

（8）一旦检测到入侵，HIDS代理程序可以利用多种方式做出反应
Host-based IDS
5.3 HIDS的关键技术
6 DIDS分布式入侵检测
6.1 入侵检测系统的实际应用问题：
系统的弱点或漏洞分散在网络的各个主机上，这些弱点有可能被入侵者一起用来攻击网络，而依靠唯一的主机或网络，IDS不能发现入侵行为。

入侵行为不再是单一的行为，而表现出协作入侵的特点，如分布式拒绝服务攻击（DDoS）。

入侵检测所依靠的数据来源分散化，收集原始数据变得困难，如交换网络使得监听网络数据包受到限制。

网络传输速度加快，网络的流量大，集中处理原始数据的方式往往造成检测瓶颈，从而导致漏检。

6.2 DIDS分布式入侵检测系统结构
6.3 DIDS结构及功能
数据采集构件：收集检测使用的数据。

可驻留在网络主机上，或者安装在网络检测点上。

通信传输构件：传递加工、处理原始数据的控制命令。

需和其他构件协作完成通信功能。

入侵检测分析构件：采用检测算法对数据进行误用和异常分析，产生检测结果、报警和应急信号。

应急处理构件：按入侵检测的结果和主机、网络的实际情况做出决策判断，对入侵行为进行响应。

用户管理构件：管理其他构件的配置，产生入侵总体报告，提供管理接口、图形化工具或可视化的界面，供用户查询和检测入侵系统的情况等。

6.4 DIDS应用实例
7 IDS设计上的考虑与部署
7.1 控制台的设计重点：
日志检索：日志检索至少包括：来源地址、目标地址、来源端口、目标端口、攻击特征、风险等级、时间段等。

探测器管理：控制台可以一次管理多个探测器，包括启动、停止、配置探测器和查看探测器运行状态等。

规则管理：至少需要提供多种文本和图形的报表模板，且报表格式可以导出WORD、HTML、TXT、EXCEL、PDF等常用的格式。

用户管理:对用户权限进行严格的定义，提供口令修改、添加用户、删除用户、用户权限配置等功能，有效保护系统使用的安全性。

7.2 控制台功能框图
7.3 IDS自身安全设计：
（1）系统安全
（1）放置在防火墙DMZ区
（2）监听网口与管理网口分享，卸载监听网口的IP栈（3）安装最新补丁
（4）禁止大部分远程访问权限
（5）设置安全策略
（6）删除默认共享
（7）禁止匿名账号
（2）认证和审计
（1）高强度的身份认证
（2）定期修改账号口令
（3）对口令进行HASH存储
（4）程序安全性方面使用完整性检查
（3）通信安全
使用SSL
7.4 典型的IDS的部署图
8 IDS的发展方向
金陵科技学院教案【末页】。