第6章 入侵检测技术

6.2.4 入侵检测系统实例
⒈ Snort简介 简介 ⒉ Snort的安装与运行 的安装与运行 ⒊ Snort的规则 的规则
Snort的体系结构 的体系结构
规则表的结构组成
6.3入侵检测相关的实验 入侵检测相关的实验
1. Windows下使用 下使用SessionWall进行实时 下使用 进行实时 入侵检测 2. Linux下Snort的安装和使用 下 的安装和使用
入侵防护系统IPS 入侵防护系统
• IPS概述 概述 • IPS的分类 的分类 • 目前IDS和IPS关系 和 关系 目前
IPS概述 概述
• 入侵防护系统 (IPS) 则倾向于提供主动防护，其 则倾向于提供主动防护， 设计宗旨是预先对入侵活动和攻击性网络流量进 行拦截，避免其造成损失， 行拦截，避免其造成损失，而不是简单地在恶意 流量传送时或传送后才发出警报。 流量传送时或传送后才发出警报。 • IPS 是通过直接嵌入到网络流量中实现这一功能 的，即通过一个网络端口接收来自外部系统的流 量，经过检查确认其中不包含异常活动或可疑内 容后，再通过另外一个端口将它传送到内部系统 容后， 中。
异 常 入 侵 检 测
误 用 的 入 侵 检 测
基 于 主 机 的 IDS
基 于 网 络 的 IDS
集 中 式
分 布 式
离 线 检 测
在 线 检 测
基于主机的入侵检测系统(HIDS)
• 通常是安装在被重点检测的主机之上，所 通常是安装在被重点检测的主机之上， 以也称软件检测系统。 以也称软件检测系统。 • 主要是对该主机的网络实时连接以及系统 审计日志进行智能分析和判断。 审计日志进行智能分析和判断。 • 如果其中主体活动十分可疑 特征或违反统 如果其中主体活动十分可疑(特征或违反统 计规律)，入侵检测系统就会采取相应措施。 计规律 ，入侵检测系统就会采取相应措施。
基于网络的入侵检测系统（NIDS） • 基于网络的入侵检测系统使用原始网络包 基于网络的入侵检测系统使用原始网络包 作为数据源。 作为数据源。 • 基于网络的 基于网络的IDS通常利用一个运行在混杂模 通常利用一个运行在混杂模 通常利用一个运行在 式下的网络适配器来实时监视并分析通过 网络的所有通信业务。 网络的所有通信业务。 • 系统获取的数据是网络传输的数据包，保 系统获取的数据是网络传输的数据包 网络传输的数据包， 护的是网络的运行。 护的是网络的运行。
– 漏报率低 – 误报率高
异常检测的方法
• ① 概率统计异常检测 • ② 神经网络异常检测
⒉ 误用检测技术
• 误用检测技术要收集非正常操作的行为特 建立相关的特征库，也叫攻击特征库。 征，建立相关的特征库，也叫攻击特征库。 当监测的用户或系统行为与库中的记录相 匹配时，系统就认为这种行为是入侵。 匹配时，系统就认为这种行为是入侵。 • 特点： 特点：
它依赖于主机固有的日志与监视能力， ⑴ 它依赖于主机固有的日志与监视能力， 易受攻击，入侵者可设法逃避审计； 易受攻击，入侵者可设法逃避审计； 影响主机的性能； ⑵ 影响主机的性能； 只能对主机的特定用户、 ⑶ 只能对主机的特定用户、应用程序执行动 作和日志进行检测， 作和日志进行检测，所能检测到的攻击类 型受到限制； 型受到限制； 全面部署HIDS代价较大。 代价较大。 ⑷ 全面部署 代价较大
蜜罐
4. 入侵响应技术
• ⑴ 主动响应 • ⑵ 被动响应
第6章 入侵检测系统 章
• ⑴主动响应 • 入侵检测系统在检测到入侵后能够阻断攻 影响进而改变攻击的进程。 击、影响进而改变攻击的进程。 • 主动响应可以采取较严厉的方式，如入侵 主动响应可以采取较严厉的方式， 跟踪技术；也可以采取温和的方式， 跟踪技术；也可以采取温和的方式，如： 报警和修正系统环境等。 报警和修正系统环境等。
入侵检测系统
• 入侵检测就是察觉入侵的行为。 入侵检测就是察觉入侵的行为。 • 入侵检测的软件与硬件的结合便是入侵检 测系统。 测系统。
入侵检测系统起源
• 入侵检测的研究可以追溯到 入侵检测的研究可以追溯到1980年 年 • 1987年乔治敦大学首次给出一个入侵检测 年乔治敦大学首次给出一个入侵检测 的抽象模型 • 1990年是入侵检测系统发展史上的一个分 年是入侵检测系统发展史上的一个分 水岭 • 从20世纪 年代到现在，入侵检测系统的 世纪90年代到现在 世纪 年代到现在， 研发呈现出百家争鸣的繁荣局面， 研发呈现出百家争鸣的繁荣局面，并在智 能化和分布式两个方向取得了长足的进展
需求分析
1）黑客穿过防火墙寻找内部主机漏洞进行攻 ） 击 2）通过邮件传播蠕虫病毒进行检测报警。 ）通过邮件传播蠕虫病毒进行检测报警。 3）对防病毒软件无法检测的新型病毒进行告 ） 警 4）检测内部人员的攻击和内植木马病毒的攻 ） 击
思考与讨论
• 为什么在校园网或企业网与外网之间中安 装了强大的防火墙， 装了强大的防火墙，我们内部主机也安装 了防病毒软件和个人防火墙， 了防病毒软件和个人防火墙，可是受攻击 的现象依然存在，而且到道高一尺， 的现象依然存在，而且到道高一尺，魔高 一丈呢？ 有什么办法可以解决。 一丈呢？ 有什么办法可以解决。 • 上网搜索几种入侵检测系统进行一下功能 比较，同时也进行成本比较。 比较，同时也进行成本比较。
Windows下使用 下使用SessionWall进行 下使用 进行 实时入侵检测
实验目的： 实验目的： 了解IDS的原理，并掌握 的原理， 了解 的原理 并掌握windows平台下 平台下 CASessionWall产品的配置和使用。 产品的配置和使用。 产品的配置和使用 实验内容和步骤参看教材P165 实验内容和步骤参看教材
基于移动代理的分布式入侵检测系统 • 分布式入侵检测系统系统架构 • 移动代理（Mobile Agent）技术 ） 移动代理（
分布式入侵检测系统的拓扑图
移动代理技术
• 在入侵检测系统中使用代理可以完成数据 采集、数据预处理、数据分析等功能， 采集、数据预处理、数据分析等功能，用 移动代理可以实时就地处理数据和突发事 减少系统内部通信量， 件，减少系统内部通信量，对入侵进行响 应和追踪等。 应和追踪等。
全国高等职业教育计算机类规划教材 实例与实训教程系列
网络安全应用技术
第6章 入侵检测系统 章
在这一章中
你将学习 入侵检测系统的概念、 ◇ 入侵检测系统的概念、分类 ◇ 入侵检测技术 ◇ 蜜罐技术 你将获取 系统下安装轻量级的入侵检测系统Snort △ 在Linux系统下安装轻量级的入侵检测系统 系统下安装轻量级的入侵检测系统 的技能 使用Snort在网络中进行入侵检测与嗅探 △ 使用 在网络中进行入侵检测与嗅探 使用Snort在网络中进行数据记录 △ 使用 在网络中进行数据记录
基于网络的入侵检测系统
基于网络的入侵检测优点
⑴ 拥有成本较低 ⑵ 检测基于主机的系统漏掉的攻击 ⑶ 攻击者不易转移证据 ⑷ 实时检测和响应 ⑸ 检测未成功的攻击和不良意图 ⑹ 操作系统无关性
基于网络的IDS缺点
只检测直接连接网段的通信， ⑴ 只检测直接连接网段的通信，不能检测在 不同网段的网络包； 不同网段的网络包； 交换以太网环境中会出现检测范围局限； ⑵ 交换以太网环境中会出现检测范围局限； 很难实现一些复杂的、 ⑶ 很难实现一些复杂的、需要大量计算与分 析时间的攻击检测； 析时间的攻击检测； ⑷ 处理加密的会话过程比较困难
入侵诱骗技术
• 蜜罐技术（Honeypot） 蜜罐技术（ ） • 蜜罐技术采取主动的方式 ，用特有的特征吸引攻 击者，同时对攻击者的各种攻击行为进行分析并 击者， 找到有效的对付办法。 找到有效的对付办法。 • 蜜罐是一种资源 • 蜜罐系统最为重要的功能是对系统中所有操作和 行为进行监视和记录， 行为进行监视和记录，可以网络安全专家通过精 心的伪装， 心的伪装，使得攻击者在进入到目标系统后仍不 知道自己所有的行为已经处于系统的监视下。 知道自己所有的行为已经处于系统的监视下。
第6章 入侵检测系统 章
• • • • 6.1 案例问题 6.2 技术视角 6.3 单元实验 6.4 超越与提高
案例问题
• 案例说明 • 思考与讨论
案例说明
• 校园网中各种 校园网中各种P2P的应用在校园网内部广泛的应 的应用在校园网内部广泛的应 作为一种时下流行的下载手段，但是， 用，作为一种时下流行的下载手段，但是，大量 无限制的P2P连接将极大的消耗网络带宽资源， 连接将极大的消耗网络带宽资源， 无限制的 连接将极大的消耗网络带宽资源 给西工大正常的网络业务带来极大的困扰， 给西工大正常的网络业务带来极大的困扰，同时 也带来了一些安全隐患。 也带来了一些安全隐患。 • 此外，由于校园网内部的学生机器较多，且没有 此外，由于校园网内部的学生机器较多， 统一安装防病毒软件， 统一安装防病毒软件，如何预防内部网络的病毒 传播，也是摆在校网络中心负责人面前的一个重 传播， 要问题。 要问题。
第6章 入侵检测系统 章
• • • • 6.1 案例问题 6.2 技术视角 6.3 单元实验 6.4 超越与提高
6.2 技术视角
入侵检测技术概述 基于网络IDS和基于主机的 和基于主机的IDS比较 基于网络 和基于主机的 比较 入侵检测技术 入侵检测系统实例
Hale Waihona Puke Baidu
入侵检测技术概述
入侵检测系统及起源 IDS的基本结构 的基本结构 基本术语 入侵检测系统的分类
IDS的基本结构 的基本结构
• 美国国防高级研究计划署（DARPA）提出 美国国防高级研究计划署（ ） 的建议是公共入侵检测框架（ 的建议是公共入侵检测框架（CIDF） ） •
CIDF的通用模型 的通用模型
IDS基本术语 基本术语
误报 漏报 警报 特征 混杂模式
入侵检测系统的分类
分析方法和检测原 理 数据来源 体系结构 工作方式
– 误报率低 – 漏报率高
误用检测模型
• ⑴ 专家系统 • ⑵ 模式匹配
⒊ 入侵诱骗技术
• 定义：用特有的特征吸引攻击者，同时对 定义：用特有的特征吸引攻击者， 攻击者的各种攻击行为进行分析， 攻击者的各种攻击行为进行分析，并进而 找到有效的对付方法。 找到有效的对付方法。 • 特点：试图将攻击者从关键系统引诱开。 特点：试图将攻击者从关键系统引诱开。 是一种主动防御技术。 是一种主动防御技术。 • 目的：从现存的各种威胁中提取有用的信 目的： 息，以发现新型的攻击工具、确定攻击的 以发现新型的攻击工具、 模式并研究攻击者的攻击动机。 模式并研究攻击者的攻击动机。
NIDS和HIDS比较 和 比较
6.2.3 入侵检测技术
⒈ 异常检测技术 ⒉ 误用检测技术 ⒊ 入侵诱骗技术 4. 入侵响应技术
⒈ 异常检测技术
• 异常检测技术就是首先总结正常操作应该 具有的特征（用户轮廓）， ），当用户活动与 具有的特征（用户轮廓），当用户活动与 正常行为有重大偏离时即被认为是入侵。 正常行为有重大偏离时即被认为是入侵。 • 特点： 特点：
Linux下Snort的安装和使用 下 的安装和使用
• 实验目的： 实验目的：
– 通过实验，深入理解入侵检测系统的原理和工 作方式，熟悉入侵检测工具snort在Linux操作 系统中的安装和配置方法。 – 实验内容和步骤参看教材P168
6.4超越与提高 超越与提高
• 基于移动代理的分布式入侵检测系统 （MADIDS） ） • 入侵防护系统 入侵防护系统IPS
第6章 入侵检测系统 章
• ⑵ 被动响应 • 入侵检测系统仅仅简单地报告和记录所检 测出的问题。 测出的问题。 • 包括记录安全事件，产生报警信息，记录 包括记录安全事件，产生报警信息， 附加日志，激活附加入侵检测工作等。 附加日志，激活附加入侵检测工作等。是 发现入侵时最常见的行动类型。 发现入侵时最常见的行动类型。
基于主机入侵检测系统
基于主机的入侵检测系统有如下优点 • ⑴ 确定攻击是否成功 • ⑵ 监视特定的系统活动 • ⑶ 能够检查到基于网络的系统检查不出的 攻击 • ⑷ 适用被加密的和交换的环境 • ⑸ 近于实时的检测和响应 • ⑹ 不要求额外的硬件设备 • ⑺ 记录花费更加低廉
HIDS弱点和局限性 弱点和局限性