第5章 入侵检测技术

5.2.3 基于内核的入侵检测系统
第 5
基于内核的入侵检测是一种较新的技术, 基于内核的入侵检测是一种较新的技术,近来它 开始流行起来,特别是在Linux上.在Linux上目前可 开始流行起来,特别是在 上 上目前可 用的基于内核的入侵检测系统主要有两种: 用的基于内核的入侵检测系统主要有两种:OpenWall 和LIDS.这些系统采取措施防止缓冲区溢出,增加文 .这些系统采取措施防止缓冲区溢出, 件系统的保护,封闭信号, 件系统的保护,封闭信号,从而使入侵者破坏系统越 来越困难. 来越困难.LIDS同时也采取一些步骤以阻止根用户的 同时也采取一些步骤以阻止根用户的 一些活动,例如安装一个包嗅探器或改变防火墙策略. 一些活动,例如安装一个包嗅探器或改变防火墙策略.
5.2.1 基于主机的入侵检测系统
第 5
基于主机的入侵检测系统用于保护单台主机不受 网络攻击行为的侵害,需要安装在被保护的主机上. 网络攻击行为的侵害,需要安装在被保护的主机上. 按照检测对象的不同, 按照检测对象的不同,基于主机的入侵检测系统 可以分为两类:网络连接检测和主机文件检测. 可以分为两类:网络连接检测和主机文件检测. 1.网络连接检测 . 网络连接检测是对试图进入该主机的数据流进行 检测,分析确定是否有入侵行为, 检测,分析确定是否有入侵行为,避免或减少这些数 据流进入主机系统后造成损害. 据流进入主机系统后造成损害.
第 5
基于主机的入侵检测系统具有以下优点: 基于主机的入侵检测系统具有以下优点: 检测准确度较高. 检测准确度较高. 可以检测到没有明显行为特征的入侵. 可以检测到没有明显行为特征的入侵.
第 5
能够对不同的操作系统进行有针对性的检测. 能够对不同的操作系统进行有针对性的检测. 成本较低. 成本较低. 不会因网络流量影响性能. 不会因网络流量影响性能. 适于加密和交换环境. 适于加密和交换环境. 基于主机的入侵检测系统具有以下不足: 基于主机的入侵检测系统具有以下不足: 实时性较差. 实时性较差. 无法检测数据包的全部. 无法检测数据包的全部. 检测效果取决于日志系统. 检测效果取决于日志系统. 占用主机资源. 占用主机资源. 隐蔽性较差. 隐蔽性较差. 如果入侵者能够修改校验和,这种入侵检测系统将无法起到预期的作用. 如果入侵者能够修改校验和,这种入侵检测系统将无法起到预期的作用.
5.1.2 入侵检测系统的结构
CIDF(Common Intrusion Detection Framework) ( ) 阐述了一个入侵检测系统的通用模型,如图5-1所示 所示. 阐述了一个入侵检测系统的通用模型,如图 所示.
wk.baidu.com
第 5
5.2 入侵检测系统分类
第 5
5.2.1 基于主机的入侵检测系统 5.2.2 基于网络的入侵检测系统 5.2.3 基于内核的入侵检测系统 5.2.4 两种入侵检测系统的结合运用 5.2.5 分布式的入侵检测系统
第 5
5.2.5 分布式的入侵检测系统
采用分布式结构的入侵检测模式是解决方案之一, 采用分布式结构的入侵检测模式是解决方案之一, 也是目前入侵检测技术的一个研究方向. 也是目前入侵检测技术的一个研究方向.这种模式的 系统采用分布式智能代理的结构, 系统采用分布式智能代理的结构,由一个或者多个中 央智能代理和大量分布在网络各处的本地代理组成. 央智能代理和大量分布在网络各处的本地代理组成. 其中本地代理负责处理本地事件, 其中本地代理负责处理本地事件,中央代理负责统一 调控各个本地代理的工作以及从整体上完成对网络事 件进行综合分析的工作. 件进行综合分析的工作.检测工作通过全部代理互相 协作共同完成. 协作共同完成.
2.主机文件检测 . 通常入侵行为会在主机的各种相关文件中留下痕 迹,主机文件检测能够帮助系统管理员发现入侵行为 或入侵企图,及时采取补救措施. 或入侵企图,及时采取补救措施. 主机文件检测的检测对象主要包括以下几种: 主机文件检测的检测对象主要包括以下几种: (1)系统日志. )系统日志. (2)文件系统. )文件系统. (3)进程记录. )进程记录.
3.异常检测技术分类 . (1)统计分析异常检测. )统计分析异常检测.
第 5
(2)贝叶斯推理异常检测. )贝叶斯推理异常检测. (3)神经网络异常检测. )神经网络异常检测. (4)模式预测异常检测. )模式预测异常检测. (5)数据采掘异常检测. )数据采掘异常检测. (6)机器学习异常检测. )机器学习异常检测.
第 5
3.入侵检测系统 . 入侵检测系统是一种能够通过分析系统安全相关数据 来检测入侵活动的系统. 来检测入侵活动的系统.
第 5
入侵检测系统的主要功能有以下几点: 入侵检测系统的主要功能有以下几点: 监测并分析用户和系统的活动. 监测并分析用户和系统的活动. 核查系统配置和漏洞. 核查系统配置和漏洞. 评估系统关键资源和数据文件的完整性. 评估系统关键资源和数据文件的完整性. 识别已知的攻击行为. 识别已知的攻击行为. 统计分析异常行为. 统计分析异常行为. 对操作系统进行日志管理, 对操作系统进行日志管理,并识别违反安全策略的用 户活动. 户活动.
5.2.2 基于网络的入侵检测系统
基于网络的入侵检测系统通常是作为一个独立的个 体放置于被保护的网络上, 体放置于被保护的网络上,它使用原始的网络分组数据 包作为进行攻击分析的数据源, 包作为进行攻击分析的数据源,一般利用一个网络适配 器来实时监视和分析所有通过网络进行传输的通信. 器来实时监视和分析所有通过网络进行传输的通信.一 旦检测到攻击,入侵检测系统应答模块通过通知, 旦检测到攻击,入侵检测系统应答模块通过通知,报警 以及中断连接等方式来对攻击做出反应. 以及中断连接等方式来对攻击做出反应. 1.包嗅探器和网络监视器 2.包嗅探器和混杂模式 . 3.基于网络的入侵检测 .
5.2.4 两种入侵检测系统的结合运用
基于网络的入侵检测系统和基于主机的入侵检测 系统都有各自的优势和不足, 系统都有各自的优势和不足,这两种方式各自都能发 现对方无法检测到的一些网络入侵行为, 现对方无法检测到的一些网络入侵行为,如果同时使 用互相弥补不足,会起到良好的检测效果. 用互相弥补不足,会起到良好的检测效果. 基于网络的入侵检测系统通过检查所有的数据包 头来进行检测, 头来进行检测,而基于主机的入侵检测系统并不查看 包头.基于网络的入侵检测系统可以研究负载的内容, 包头.基于网络的入侵检测系统可以研究负载的内容, 查找特定攻击中使用的命令或语法, 查找特定攻击中使用的命令或语法,这类攻击可以被 实时检查包序列的入侵检测系统迅速识别; 实时检查包序列的入侵检测系统迅速识别;而基于主 机的入侵检测系统无法看到负载, 机的入侵检测系统无法看到负载,因此也无法识别嵌 入式的负载攻击. 入式的负载攻击.
2.异常检测技术的评价 . 能够检测出新的网络入侵方法的攻击. 能够检测出新的网络入侵方法的攻击.
第 5
较少依赖于特定的主机操作系统. 较少依赖于特定的主机操作系统. 对于内部合法用户的越权违法行为的检测能力较强. 对于内部合法用户的越权违法行为的检测能力较强. 异常检测技术有以下不足: 异常检测技术有以下不足: 误报率高. 误报率高. 行为模型建立困难. 行为模型建立困难. 难以对入侵行为进行分类和命名. 难以对入侵行为进行分类和命名.
第 5
5.3 入侵检测系统的分析方式
第 5
5.3.1 异常检测技术——基于行为的检测 异常检测技术 基于行为的检测 5.3.2 误用检测技术 误用检测技术——基于知识的检测 基于知识的检测 5.3.3 异常检测技术和误用检测技术的比较 5.3.4 其他入侵检测技术的研究
5.3.1 异常检测技术 异常检测技术——基于行为的检测 基于行为的检测
1.异常检测技术的基本原理 .
第 5
异常检测技术( 异常检测技术(Anomaly Detection)也称为基于行 ) 为的检测技术, 为的检测技术,是指根据用户的行为和系统资源的使 用状况判断是否存在网络入侵. 用状况判断是否存在网络入侵. 异常检测技术首先假设网络攻击行为是不常见的或 是异常的,区别于所有的正常行为. 是异常的,区别于所有的正常行为.如果能够为用户 和系统的所有正常行为总结活动规律并建立行为模型, 和系统的所有正常行为总结活动规律并建立行为模型, 那么入侵检测系统可以将当前捕获到的网络行为与行 为模型相对比,若入侵行为偏离了正常的行为轨迹, 为模型相对比,若入侵行为偏离了正常的行为轨迹, 就可以被检测出来. 就可以被检测出来.
第 5
基于网络的入侵检测系统有以下优点: 基于网络的入侵检测系统有以下优点: 可以提供实时的网络行为检测. 可以提供实时的网络行为检测. 可以同时保护多台网络主机. 可以同时保护多台网络主机. 第 5 具有良好的隐蔽性. 具有良好的隐蔽性. 有效保护入侵证据. 有效保护入侵证据. 不影响被保护主机的性能. 不影响被保护主机的性能. 基于网络的入侵检测系统有以下不足: 基于网络的入侵检测系统有以下不足: 防入侵欺骗的能力通常较差. 防入侵欺骗的能力通常较差. 在交换式网络环境中难以配置. 在交换式网络环境中难以配置. 检测性能受硬件条件限制. 检测性能受硬件条件限制. 不能处理加密后的数据. 不能处理加密后的数据.
第五章 入侵检测技术
第 5
5.1 入侵检测概述 5.2 入侵检测系统分类 5.3 入侵检测系统的分析方式 5.4 入侵检测系统的设置 5.5 入侵检测系统的部署 5.6 入侵检测系统的优点与局限性
本章学习目标
第 5
(1)入侵检测的结构 ) (2)入侵检测系统分类 ) (3)入侵检测系统分析方式 ) (4)入侵检测系统的设置与部署 ) (5)入侵检测系统的优缺点 )
5.1 入侵检测概述
第 5
5.1.1 基本概念 5.1.2 入侵检测系统的结构
5.1.1 基本概念
1.入侵行为 . 入侵行为主要指对系统资源的非授权使用, 入侵行为主要指对系统资源的非授权使用,它可 以造成系统数据的丢失和破坏, 以造成系统数据的丢失和破坏,甚至会造成系统拒绝 对合法用户服务等后果. 对合法用户服务等后果. 2.入侵检测 . 入侵检测技术是一种网络信息安全新技术, 入侵检测技术是一种网络信息安全新技术,它可 以弥补防火墙的不足,对网络进行监测, 以弥补防火墙的不足,对网络进行监测,从而提供对 内部攻击, 内部攻击,外部攻击和误操作的实时的检测及采取相 应的防护手段,如记录证据用于跟踪和恢复, 应的防护手段,如记录证据用于跟踪和恢复,断开网 络连接等.因此, 络连接等.因此,入侵检测系统被认为是防火墙之后 的第二道安全闸门. 的第二道安全闸门.入侵检测技术是一种主动保护系 统免受黑客攻击的网络安全技术. 统免受黑客攻击的网络安全技术.
第 5
基于网络的入侵检测系统可以执行以下任务: 基于网络的入侵检测系统可以执行以下任务: 检测端口扫描.在攻击一个系统时, ( 1 )检测端口扫描. 在攻击一个系统时, 一个入侵者 通常对该系统进行端口扫描,从而判断存在哪些脆弱性. 通常对该系统进行端口扫描,从而判断存在哪些脆弱性. 企图对Internet Internet上的一台主机进行端口扫描通常是一个 企图对Internet上的一台主机进行端口扫描通常是一个 人要试图破坏网络的一个信号. 人要试图破坏网络的一个信号. (2)检测常见的攻击行为.访问Web服务器的80端口通 检测常见的攻击行为.访问Web服务器的80端口通 Web服务器的80 常被认为是无害的活动,但是, 常被认为是无害的活动,但是,一些访问企图事实上是 故意在进行攻击,或者试图攻击. 故意在进行攻击,或者试图攻击. 识别各种各样可能的IP欺骗攻击.用来将IP IP欺骗攻击 IP地址 (3) 识别各种各样可能的IP欺骗攻击.用来将IP地址 转化为MAC地址的ARP协议通常是一个攻击目标. MAC地址的ARP协议通常是一个攻击目标 转化为MAC地址的ARP协议通常是一个攻击目标.通过在 以太网上发送伪造的ARP数据包, ARP数据包 以太网上发送伪造的ARP数据包, 已经获得系统访问权 限的入侵者可以假装是一个不同的系统在进行操作. 限的入侵者可以假装是一个不同的系统在进行操作.