入侵检测

入侵检测的步骤

入侵检测系统的作用是实时地监控计算机系统的活动， 发现可疑的攻击行为，以避免攻击的发生，或减少攻 击造成的危害。由此也划分了入侵检测的三个基本步 骤：

信息收集、数据分析和响应。
信息收集

入侵检测的第一步就是信息收集，收集的内容包括整 个计算机网络中系统、网络、数据及用户活动的状态 和行为。 入侵检测在很大程度上依赖于收集信息的可靠性、正 确性和完备性。因此，要确保采集、报告这些信息的 软件工具的可靠性，这些软件本身应具有相当强的坚 固性，能够防止被篡改而收集到错误的信息。否则， 黑客对系统的修改可能使入侵检测系统功能失常但看 起来却跟正常的系统一样。
案例6-2 入侵检测工具：BlackICE


BlackICE是一个小型的入侵检测工具，在计算机上安 全完毕后，会在操作系统的状态栏显示一个图标，当 有异常网络情况的时候，图标就会跳动。 BlackICE 功能强大易于使用的计算机安全防护工具。 它提供一个能通过先进的入侵监测系统持续监控你互 联网连接中的可疑行为的个人防火墙。 BlackICE 能 够迅速作出反应，在对你发出警报的同时阻挡外部入 侵。BlackICE PC Protection 现在提供更加具有特点 的应用程序保护功能，一个让人激动的设计用以保护 你的个人电脑、笔记本或工作站免遭攻击者控制，保 护你免受木马、蠕虫和其它恶意程序的威胁。

主界面如图所示

可以查看主机入侵的信息，选择属性页 “Intruders”，如图所示。
入侵检测工具：冰之眼

“冰之眼”网络入侵检测系统是NSFOCUS系列安全软件 中一款专门针对网络遭受黑客攻击行为而研制的网络 安全产品，该产品可最大限度地、全天候地监控企业 级的安全。由于用户自身网络系统的缺陷、网络软件 的漏洞以及网络管理员的疏忽等等，都可能使网络入 侵者有机可乘，而系统遭受了攻击，就可能造成重要 的数据、资料丢失，关键的服务器丢失控制权等。
入侵检测的方法

目前入侵检测方法有三种分类依据：


1、根据物理位置进行分类。 2、根据建模方法进行分类。 3、根据时间分析进行分类。

常用的方法有三种：静态配置分析、异 常性检测方法和基于行为的检测方法。
静态配置分析


静态配置分析通过检查系统的配置，诸如系统 文件的内容，来检查系统是否已经或者可能会 遭到破坏。静态是指检查系统的静态特征（比 如，系统配置信息）。 采用静态分析方法主要有以下几方面的原因： 入侵者对系统攻击时可能会留下痕迹，可通过 检查系统的状态检测出来。
入侵检测系统面临的挑战

一个有效的入侵检测系统应限制误报出现的次数，但 同时又能有效截击。误报是指被入侵检测系统测报警 的是正常及合法使用受保护网络和计算机的访问。误 报是入侵检测系统最头疼的问题，攻击者可以而且往 往是利用包的结构伪造无威胁的“正常”假警报，而 诱导没有警觉性的管理员人把入侵检测系统关掉。
入侵检测系统选购原则




（1）产品的攻击检测数量为多少？是否支持升级？ （2）对于网络入侵检测系统，最大可处理流量(PPS) 是多少？ （3）产品容易被攻击者躲避吗？ （4）能否自定义异常事件？ （5）产品系统结构是否合理？ （6）产品的误报和漏报率如何？ （7）系统本身是否安全？ （8）产品实时监控性能如何？ （9）系统是否易用？（包括：界面易用、帮助易用、 策略编辑易用、日志报告易用、报警事件优化技术） （10）特征库升级与维护的费用怎样？ （11）产品是否通过了国家权威机构的评测？
案例6-1 检测与端口关联的应用程序


网络入侵者都会连接到主机的某个非法端口，通过检 查出与端口关联应用程序，可以进行入侵检测，这种 方法属于静态配置分析。 利用工具软件fport.exe可以检查与每一端口关联的应 用程序，执行程序. FPort可以把本机开放的TCP/UDP 端口同应用程序关联起来，这和使用“netstat -an” 命令产生的效果类似，但是该软件还可以把端口和运 行着的进程关联起来，并可以显示进程PID、名称和路 径。该软件可以用于快速识别未知的开放端口和与之 关联的应用程序。

数据分析

数据分析（Analysis Schemes）是入侵检 测系统的核心，它的效率高低直接决定 了整个入侵检测系统的性能。根据数据 分析的不同方式可将入侵检测系统分为 异常入侵检测与误用入侵检测两类：
响应




数据分析发现入侵迹象后，入侵检测系统的下一步工 作就是响应。而响应并不局限于对可疑的攻击者。目 前的入侵检测系统一般采取下列响应。 1、将分析结果记录在日志文件中，并产生相应的报告。 2、触发警报：如在系统管理员的桌面上产生一个告警 标志位，向系统管理员发送传呼或电子邮件等等。 3、修改入侵检测系统或目标系统，如终止进程、切断 攻击者的网络连接，或更改防火墙配置等。


1、基于主机的入侵检测系统：主要用于保护运行关键应用的 服务器。它通过监视与分析土机的审计记录和日志文件：来 检测入侵。日志中包含发生在系统上的不寻常和不期望活动 的证据，这些证据可以指出有人正在入侵或已成功入侵了系 统。通过查看日志文件，能够发现成功的入侵或入侵企图， 并很快地启动相应的应急响应程序。 2、基于网络的入侵检测系统：主要用于实时监控网络关键路 径的信息，它监听网络上的所有分组来采集数据，分析可疑 现象。
误报

没有一个入侵检测能无敌于误报，因为没有一个应用系统不 会发生错误，原因主要有四个方面。



1、缺乏共享数据的机制 2、缺乏集中协调的机制 3、缺乏揣摩数据在一段时间内变化的能力 4、缺乏有效的跟踪分析
入侵检测系统的类型和性能比较

根据入侵检测的信息来源不同，可以将入侵检测系统 分为两类：基于主机的入侵检测系统和基于网络的入 侵检测系统。
异常性检测方法

异常性检测技术是一种在不需要操作系统及其安全性 缺陷的专门知识的情况下，就可以检测入侵者的方法， 同时它也是检测冒充合法用户的入侵者的有效方法。 但是。在许多环境中，为用户建立正常行为模式的特 征轮廓以及对用户活动的异常性进行报警的门限值的 确定都是比较困难的事。因为并不是所有入侵者的行 为都能够产生明显的异常性，所以在入侵检测系统中， 仅使用异常性检测技术不可能检测出所有的入侵行为。 而且，有经验的入侵者还可以通过缓慢地改变他的行 为，来改变入侵检测系统中的用户正常行为模式，使 其入侵行为逐步变为合法，这样就可以避开使用异常 性检测技术的入侵检测系统的检测。

4、 灵活的过滤规则制定方式。目前有用户过滤规则、 用户排除规则、一般过滤规则、URL 过滤规则、内容 过滤规则、一般排除规则、入侵检测规则、IP和MAC 地址绑定规则等灵活多变的检测规则制定方式。 5、 支持对TCP会话的实时跟踪功能，特别适合对 Telnet 、FTP等交互式会话的实跟踪。 6、 支持对端口扫描和800多种常见攻击方式的检测。 7、 以可视化方式支持Unix下ARPWatch功能，跟踪 网络内的IP地址变更，防止ARP欺骗。 8、 可手工对主机进行堵塞和孤立功能。 9、 可自动阻断TCP连接。 10、在规则过滤中， 可以以主机的MAC地址而不是 IP地址进行过滤。
入侵检测系统netwatch

可对企业网络进行实时监控、自动或手动切断网络连接、 孤立堵塞网络主机、防止ARP欺骗、入侵检测功能、支持 防火墙的互动.NetWatch 2.0 专业版提供如下的功能: 1、对企业网络连接信息进行实时监控(TCP和UDP)，并 以列表和活动状态树的形式显示，用户可对每个连接进行 更细的处理：切断连接、记录连接、跟踪连接、制定控制 规则、制定和防火墙的互动规则、给客户端发送”信使” 信息(WinPopup 信息)。 2、 按客户端、服务端、服务和常用应用层协议对网络 流量数据的进行统计显示。在按客户端和服务端进行流量 显示的同时，可对指定的条目制定动态过滤规则、互动规 则过滤、排除规则过滤。 3、 对影响网络活动的每一个要素实施面向对象的管理。 目前有网络对象、服务对象、时间对象、URL 对象、内容 对象、消息对象。
入侵检测系统的概念

入侵检测系统1DS（Intrusion Detection System）指的是一种硬件或者软件系统， 该系统对系统资源的非授权使用能够做 出及时的判断、记录和报警。
主要产品



Snort NFR eTrust BlackICE Cisco公司的NetRanger Network Associates公司的CyberCop Internet Security System公司的RealSecure Intrusion Detection公司的Kane Security Monitor Axent Technologies公司的OmniGuard/Intruder Alert 中科网威的“天眼”入侵检测系统 启明星辰的SkyBell（天阗）
本章习题





【1】、什么是防火墙？古时候的防火墙和目前通常说的防火墙有什么联系 和区别？ 【2】、简述防火墙的分类，并说明分组过滤防火墙的基本原理。 【3】、常见防火墙模型有哪些？比较他们的优缺点。 【4】、编写防火墙规则：禁止除管理员计算机（IP为172.18.25.110）外任 何一台电脑访问某主机（IP为172.18.25.109）的终端服务（TCP端口3389）。 【5】、使用Winroute实现第四题的规则。（上机完成） 【6】、简述创建防火墙的基本步骤以及每一步的注意点。 【7】、什么是入侵检测系统？简述入侵检测系统目前面临的挑战。 【8】、简述入侵检测常用的四种方法。 【9】、编写程序实现每十秒检查一次与端口关联的应用程序。（上机完成） 【10】、简述入侵检测的步骤以及每一步的工作要点。 【11】、对某一台装有入侵检测工具的计算机进行扫描、攻击等实验，查看 入侵检测系统的反应，并编写实验报告。（上机完成）

使用“冰之眼”，系统管理人员可以自动地监控网络 的数据流、主机的日志等，对可疑的事件给予检测和 响应,在内联网和外联网的主机和网络遭受破坏之前阻 止非法的入侵行为，主界面如图所示。

管理员可以添加主机探测器来检测系统 是否被入侵，选择菜单栏“网络”下的 菜单项“添加探测器”，可以添加相关 的探测器，如图所示。
基于行为的检测方法

wk.baidu.com
基于行为的检测方法通过检测用户行为中的那些与某 些已知的入侵行为模式类似的行为或那些利用系统中 缺陷或者是间接地违背系统安全规则的行为，来检测 系统中的入侵活动。 基于入侵行为的入侵检测技术的优势：如果检测器的 入侵特征模式库中包含一个已知入侵行为的特征模式， 就可以保证系统在受到这种入侵行为攻击时能够把它 检测出来。但是，目前主要是从已知的入侵行为以及 已知的系统缺陷来提取入侵行为的特征模式，加入到 检测器入侵行为特征模式库中，来避免系统以后再遭 受同样的入侵攻击。
使用

软件下载 软件安装 软件使用
本章总结



本章介绍了防御技术中的防火墙技术与入侵检 测技术。 重点理解防火墙的概念、分类、常见防火墙的 系统模型以及创建防火墙的基本步骤。 掌握使用Winroute创建简单的防火墙规则。 重点理解入侵检测系统的基本概念、检测的方 法以及入侵检测的步骤。 掌握编写简单入侵检测的程序，掌握一种入侵 检测工具。