入侵检测方法

6.2 入侵检测系统的设计原理
入侵检测系统(IDS)可以用来保护不同的对象，有 的IDS仅用来保护某台主机的安全；有的IDS用来检测内 部用户对内部网络的攻击行为；有的IDS用来检测外部网 络用户对内部网络的攻击；还有的采用分布式入侵检测 系统结构，即在多个点部署IDS，进而在不同的层次、不 同的区域使用入侵检测技术。
6.1.2 误用入侵检测技术
误用检测(Misuse Detection)的前提是首先提取已知入侵 行为的特征，建立入侵特征库，然后将当前用户或系统行 为与入侵特征库中的记录进行匹配，如果相匹配就认为当 前用户或系统行为是入侵，否则人侵检测系统认为是正常 行为。
6.1.2 误用入侵检测技术
通过误用入侵检测技术可以看出，其缺点是漏报率会增加 ，因为当新的入侵行为出现或入侵特征发生细微变化，误 用检测技术将无法检测出入侵行为。
1.明确网络拓扑需求 2.安全策略需求 3.1DS的管理需求
6.3.1 定义IDS的目标
1.明确网络拓扑需求。 分析网络拓扑结构，需要监控什么样的网络，是交换
式的网络还是共享式网络;是否需要同时监控多个网络， 多个子网是交换机连接还是通过路由器/网关连接;选择网 络入口点，需要监控网络中的哪些数据流，IP流还是 TCP/UDP流，还是应用层的各种数据包;分析关键网络组件 、网络大小和复杂度。
6.2.1 其于主机系统结构
基于主机的入侵检测系统(HIDS)通常从主机的审计记 录和日志文件中获得所需要的主要数据，并辅助以主机上 的其他信息。
6.2.2 基于网络系统的结构
基于网络的入侵 检测系统(NIDS)， 如图所示，它在共享 式网络上对通信数据 进行侦听并采集数据 ，分析可疑现象。与 主机系统相比，这类 系统对入侵者而言是 透明的。
6.2.3 基于分布式系统的结构
在大范围网络中部署有效的IDS推动了分布式入侵检 测系统的诞生和不断发展。分布式入侵检测系统一般具有 如图所示的体系结构。 分布式系统的几种类型： 集中式协同检测 层次化协同检测 完全分布式协同检测
6.2.4 入侵检测系统需求特性
入侵检测的部署与实现是和用户的需求密切相关的入 侵检测系统应该具有以下特点：
1. 入侵预防概述
（1）网络遭受的主要威胁
来自内部网络的威胁
• Instant Message在 线聊天软件
• P2P共享软件 • 虚拟隧道软件
Internet
IM：MSN、QQ、Skype P2P：迅雷、BitTorrent 虚拟隧道：VNN
用户网络
1. 入侵预防概述
（1）网络遭受的主要威胁
入侵检测框架包括通用入侵检测框架CIDF和入侵 检测交换格式IDDEF。 2．入侵检测交换格式IDEF
入侵检测工作组IDWG定义和设计了入侵检测的数 据模型，用于描述在不同组件之间所交换的各种警报 信息、控制命令和配置信息等通信数据。
6.3 入侵检测系统的部署
6.3.1 定义IDS的目标
不同的组网应用可能使用不同的规则配置，所以 用户在配置人侵检测系统前应先明确自己的目标，建 议从如下几个方面进行考虑 。
只监控网络边界流理 的IDS系统的拓扑结构图
6.3.3 部署IDS 2.集中监控多个子网流量
内部局域网中划分了多个不同职能的子网，有些子网访问 某些子网资源量希望受到监控和保护，假设具体进行监控 。含IDS的网络拓扑如图
集中监控多个子网 流量的IDS拓扑结构图
6.4 管理IDS
6.4.1 IDS提供的信息
，那么只需要监控内部网络和外部网络的边界流量。
2.选择监视的数据包的类型 入侵检测系统可事先对攻击报文进行协议分析，
从中提取IP、TCP、UDP、ICMP协议头信息和应用载荷 数据的特征，并且构建特征匹配规则，然后根据需求 使用特征匹配规则对侦听到的网络流量
6.3.2 选择监视内容
3.根据网络数据ቤተ መጻሕፍቲ ባይዱ的内容进行检测 利用字符串模式匹配技术对网络数据包的内容进
6.5.1 预防入侵活动
在一些专业的机构，或对网络安全要求比较高的地 方，入侵检测系统和其他审计跟踪产品结合，可以提供 针对企业信息资源全面的审计资料，这些资料对于攻击 还原、入侵取证、异常事件识别、网络故障排除等等都 有很重要的作用。
但一般来说，更多的用户关注的是自己的网络能否 避免被攻击，对于能检测到多少攻击并不是很热衷。
6.3.1 定义IDS的目标
2.安全策略需求。 是否限制Telnet，SSH，HTTP，HTTPS等服务管理访
问；Telnet登录是否需要登录密码；安全的Shell(SSH) 的认证机制是否需要加强；是否允许从非管理口(如以太 网口，而不是Console端口)进行设备管理。
6.3.1 定义IDS的目标
来自内部网络的威胁
• Instant Message在 线聊天软件
▪ 降低工作效率 ▪ 文件传输，引发泄密风险 ▪ 散布恶意程序
网管的梦想—— “只允许聊天，禁止其它功能” “不同的对象使用不同管理 方式”
错报(False Positive)：系统错误地将异常活动定义为入 侵。
漏报(False Negative)：系统未能检测出真正的入侵行为 。
6.1.1 异常入侵检测技术
异常检测只能识别出那些与正常过程有较大偏差的行 为，而无法知道具体的人侵情况。由于对各种网络环境的 适应性不强，且缺乏精确的判定准则，难以配置，异常检 测经常会出现错报和漏报情况。
入侵检测框架包括通用入侵检测框架CIDF和入侵 检测交换格式IDDEF。 1．通用入侵检测框架CIDF
CIDF的主要工作在于集成各种IDS使之协同工作 ，实现各IDS之间的组件重用，所以CIDF也是构建分 布式IDS的基础。
6.2.5 入侵检测框架简介 CIDF的体系结构
6.2.5 入侵检测框架简介
6.4.2 调查可疑事件
对计算机攻击的分析可以在攻击正在发生的时候 进行,也可以事后调查分析。
IDS提供的这些工具的目的和功能都不尽相同，但 是它们大多都会根据入侵检测系统创建的警报数据分 析和显示相关的安全事件，提供协议分析及统计信息 ，并具有良好的用户界面，还可以以文本、国表的形 式显示。
6.4.2 调查可疑事件
入侵检测 主讲教师：曹秀莲 计算机网络教研室
主要内容：
• 入侵检测的定义 • 入侵检测的分类 • 入侵检测系统的设计原理
6.1 入侵检测方法
入侵：包括发起攻击的人取得超出范围的系统控制权、收集 漏洞信息，造成拒绝访问或对计算机危害的行为。
入侵检测：是对入侵行为的发觉。它通过对计算机网络或系 统中的若干关键点收集信息并对其进行分析，从中发现网络 或系统中是否有违反安全策略的行为和被攻击的迹象。
业界开始关注如何实现集检测和防御一体化的系统 ，并对当前网络遭受的主要威胁进行研究分析。
6.5.2 入侵预防问题
1. 入侵预防概述
（1）网络遭受的主要威胁 随着网络安全技术的发展以及用户需求的升级，网络
应用越来越多，管理起来也越来越复杂，问题层出不穷。 当前网络的威胁主要来自以下几方面：
安全漏洞 DoS/DDoS攻击 内部网络的威胁
3.IDS的管理需求。 有哪些接口需要配置管理服务；是否启用Telnet
进行设备管理；是否启用SSH进行设备管理；是否启用 HTTP进行设备管理；是否启用HTTPS进行设备管理；是 否需要和其他设备(例如防火墙)进行联动
6.3.2 选择监视内容
1.选择监视的网络区域 在小型网络结构中，如果内部网络是可以信任的
行匹配来检测多种方式的攻击和探测，如缓冲区溢出 、cGI攻击、SMB检测、操作系统类型探测等。
一般来说，不同的入 侵检测系统采用不同的 方法来监视网络数据包 的内容，然后再根据此 协议数据包中的字符特 征进行检测。
6.3.3 部署IDS 1.只检测内部网络和外部网络边界流量的IDS系统的部
署，如图所示的部署方式不仅方便了用户的使用和配置， 也节约了投资成本，适合中小规模企业的网络安全应用。
6.2.4 入侵检测系统需求特性
入侵检测的部署与实现是和用户的需求密切相关的入 侵检测系统应该具有以下特点：
6.可适应性。 检测系统应能实时追踪系统环境的改变， 7.准确性。 检测系统不能随意发送误警报和漏报。 8.安全性。 检测系统应不易于被欺骗，能保护自身系统的 安全。
6.2.5 入侵检测框架简介
3.警报信息管理。可以删除处理过的或错报的警 报信息，也可以导出在电子邮件中或者在其他警报数 据库之间进行存档和传送。
6.4.2 调查可疑事件
4.国表统计生成。能根据时间、检测器、攻击特 征、协议、IP地址、TCP/UDP端口号进行分类统计。 通过IDS的附属工具能够广泛地分析已预处理过的数据 库中的警报信息，从而帮助用户进行可疑事件的调查 并采取一定的行为。
1. 入侵预防概述
（1）网络遭受的主要威胁
零日漏洞攻击：安全补丁与 漏洞曝光的同一日内，相关 的恶意程序就出现
安全漏洞越来越多，零日漏洞攻击问题严重
1. 入侵预防概述
（1）网络遭受的主要威胁
DOS：拒绝服务，即阻止合法 用户对正常网络资源访问 DDOS：分布式拒绝服务
DoS/DDoS威胁
• 根据调查，每天平均侦测到6,110个事件，相关研究指出， DoS/DDoS攻击占网络安全事件的65%
1.可靠性。 检测系统必须可以在无人监控的情况下持续运 行。 2.容错性。 入侵检测系统必须是可容错的，即使系统崩溃 ，检测系统本身必须能保留下来，而且不必在 重启系统时重建知识库。
6.2.4 入侵检测系统需求特性
入侵检测的部署与实现是和用户的需求密切相关的入 侵检测系统应该具有以下特点：
3.可用性。 入侵检测系统所占用的系统资源要最小，这样 不会严重降低系统性能。 4.可检验性。 入侵检测系统必须能观察到非正常行为。 5.对观察的系统来说必须是易于开发的。
6.5.1 预防入侵活动
IDS是一种并联在网络上的设备，它主要功能是检测 网络遭到了何种攻击，然后发出警告。
使用IDS要实现预防入侵，其方式主要有：
1.网管手动分析处理；
2.IDS旁路阻断网络传输；
3.集成其他安全设备，联动阻止攻击。
6.5.1 预防入侵活动
1. 网管手动分析处理
当IDS检测到事件发生时，发送警报，网管对警 报进行分析，提出解决方案，然后处理问题。
缺点：无法有效地阻断网络传输。
6.5.1 预防入侵活动
3.集成其他安全设备，联动阻止攻击 当IDS检测到事件发生时，将自动通知防火墙等
安全设备，修改防火墙策略，靠其阻止攻击行为。 优点：反应迅速，能有效地阻断； 缺点：可靠性不强，成本较高，不同品牌设备间
通信可能会出现兼容性问题。
我们可以看出，IDS侧重于对网络安全状况的监 视，在阻断攻击方面其能力是比较弱的。
入侵检测系统：指的是任何有能力检测系统或网络状态改变 的系统或系统的集合，它能发送警报或采取预先设置好的行 动来帮助保护网络。
6.1.1 异常入侵检测技术
异常检测(Anomaly Detection)技术是运行在系统层或 应用层的监控程序通过将当前主体的活动情况和用户轮廓 进行比较来监控用户的行为。
优点：能准确、灵活、有效地解决问题。
缺点：反应速度慢，无法即时处理，网管工作负 担重、压力大。
6.5.1 预防入侵活动
2. IDS旁路阻断网络传输
当IDS检测到事件发生时，自动发送数据包，使用旁 路阻隔技术，采取干扰或伪造报文方式对非法数据包进 行阻隔，以阻止攻击行为。
优点：不需要外部设备，容易实现，反应速度快。
例如，入侵数据库分析控制器ACID可以帮助用户 搜索和处理由各种IDS生成的安全事件数据库，它可以 实现以下功能： 1.根据警报源信息以及潜在的网络事件查找和搜索相
匹配的攻击。
6.4.2 调查可疑事件
2.协议数据包浏览。ACID可以根据日志写入到数 据库中的警报数据，以图形化的形式显示网络层和传 输层的数据包信息。
IDS可以提供多种形式的输出信息，既可以是将网 络数据包解码后的ASCII字符形式，也可以是全文本的 警报信息形式。
在安装某一个入侵检测系统之后，当入侵检测系 统检测到这种攻击企图后，以解码以后的ASCII字符形 式输出数据负载为5245545220736861646F770D0A，以 警报信息的形式输出为FTP shadow retrieval attempt。