入侵检测系统(IDS)

按照分析方法（检测方法）
异常检测模型（Anomaly Detection ):首先总结正常操作
应该具有的特征（用户轮廓），当用户活动与正常行为 有重大偏离时即被认为是入侵 误用检测模型（Misuse Detection)：收集非正常操作的 行为特征，建立相关的特征库，当监测的用户或系统行 为与库中的记录相匹配时，系统就认为这种行为是入侵
信息分析

模式匹配----误用检测（Misuse Detection）
维护一个入侵特征知识库 准确性高

统计分析--------异常检测（Anomaly Detection）
统计模型 误报、漏报较多

完整性分析
关注某个文件或对象是否被更改 事后分析
17
模式匹配


模式匹配就是将收集到的信息与已知的网络入侵和 系统误用模式数据库进行比较，从而发现违背安全 策略的行为 一般来讲，一种攻击模式可以用一个过程（如执行 一条指令）或一个输出（如获得权限）来表示。该 过程可以很简单（如通过字符串匹配以寻找一个简 单的条目或指令），也可以很复杂（如利用正规的 数学表达式来表示安全状态的变化）
信息收集

入侵检测的效果很大程度上依赖于收集信息的可靠 性和正确性


要保证用来检测网络系统的软件的完整性
特别是入侵检测系统软件本身应具有相当强的坚固 性，防止被篡改而收集到错误的信息
信息收集

系统和网络日志文件 目录和文件中的不期望的改变 程序执行中的不期望行为 物理形式的入侵信息
23
异常检测模型


如果系统错误地将异常活动定义为入侵，称为误报 (false positive) ；如果系统未能检测出真正的入侵 行为则称为漏报(false negative)。 特点：异常检测系统的效率取决于用户轮廓的完备 性和监控的频率。因为不需要对每种入侵行为进行 定义，因此能有效检测未知的入侵。同时系统能针 对用户行为的改变进行自我调整和优化，但随着检 测模型的逐步精确，异常检测会消耗更多的系统资 源。
入侵检测系统分类（三）

根据系统工作方式来分：
在线入侵检测(IPS)，一旦发现入侵迹象立即断开入侵者
与主机的连接，并收集证据和实施数据恢复。这个检测 过程是不断循环进行的。 离线入侵检测，根据计算机系统对用户操作所做的历史 审计记录判断用户是否具有入侵行为，如果有就断开连 接，并记录入侵证据和进行数据恢复。
入侵检测技术的发展趋势


入侵检测的数据融合技术，目前的IDS还存在着很 多缺陷。首先，目前的技术还不能对付训练有素的 黑客的复杂的攻击。其次，系统的虚警率太高。最 后，系统对大量的数据处理，非但无助于解决问题 ，还降低了处理能力。数据融合技术是解决这一系 列问题的好方法。 与网络安全技术相结合，结合防火墙，病毒防护以 及电子商务技术，提供完整的网络安全保障。
配置审计信息 系统对审计数据进行分析(日志文件)
NIDS和HIDS比较
入侵检测的分类 (混合IDS)

基于网络的入侵检测产品和基于主机的入侵检测产 品都有不足之处，单纯使用一类产品会造成主动防 御体系不全面。但是，它们的缺憾是互补的。如果 这两类产品能够无缝结合起来部署在网络内，则会 构架成一套完整立体的主动防御体系，综合了基于 网络和基于主机两种结构特点的入侵检测系统，既 可发现网络中的攻击信息，也可从系统日志中发现 异常情况。
NetRanger IDS

Intrusion Detection公司
Kane Security Monitor

Axent Technologies公司
OmniGuard/Intruder Alert
当前主流产品介绍

Internet Security System公司
RealSecure
误用检测模型

如果入侵特征与正常的用户行为能匹配，则系统会 发生误报；如果没有特征能与某种新的攻击行为匹 配，则系统会发生漏报。 特点：采用特征匹配，误用检测能明显降低错报率 ，但漏报率随之增加。攻击特征的细微变化，会使 得误用检测无能为力。

入侵检测系统分类（二）

根据检测对象分类
基于主机的IDS（Host-Based IDS） HIDS一般主要使用操作系统的审计日志作为主要数据源输入，试 图从日志判断滥用和入侵事件的线索。 基于网络的IDS（Network-Based IDS） NIDS在计算机网络中的关键点被动地监听网络上传输的原始流量 ，对获取的网络数据进行分析处理，从中获取有用的信息，以识 别、判定攻击事件。 混合型IDS
入侵检测的工作过程

信息收集
检测引擎从信息源收集系统、网络、状态和行为信息。

信息分析
从信息中查找和分析表征入侵的异常和可疑信息。

告警与响应
根据入侵性质和类型，做出相应的告警和响应。
信息收集


入侵检测的第一步是信息收集，收集内容包括系统 、网络、数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点（不同 网段和不同主机）收集信息，这样做的理由就是从 一个来源的信息有可能看不出疑点，但从几个来源 的信息的不一致性却是可疑行为或入侵的最好标识 。
基于网络的IDS（NIDS）


是网络上的一个监听设备 通过网络适配器捕获数据包并分析数据包 根据判断方法分为基于知识的数据模式判断和基于 行为的行为判断方法 能够检测超过授权的非法访问 IDS发生故障不会影响正常业务的运行 配置简单
基于主机的IDS（HIDS）



HIDS是配置在被保护的主机上的，用来检测针对主 机的入侵和攻击 主要分析的数据包括主机的网络连接状态、审计日 志、系统日志。 实现原理
入侵检测系统IDS
黑客攻击日益猖獗,防范问题日趋 严峻

政府、军事、邮电和金融网络是黑客攻击的主要目 标。即便已经拥有高性能防火墙等安全产品，依然
抵挡不住这些黑客对网络和系统的破坏。据统计，
几乎每20秒全球就有一起黑客事件发生，仅美国每
年所造成的经济损失就超过100亿美元。
网络入侵的特点

网络入侵的特点
包括文件和目录的内容及属性
在发现被更改的、被安装木马的应用程序方面特别有效
响应动作

主动响应 被动响应
入侵检测性能关键参数

误报(false positive)：如果系统错误地将异常活动定 义为入侵

漏报(false negative)：如果系统未能检测出真正的
入侵行为
入侵检测系统分类（一）
系统，甚至提升自己的权限 仅能拒绝非法的连接請求，但是对于入侵者的攻击行为 仍一无所知
为什么需要IDS？

入侵很容易
入侵教程随处可见
各种工具唾手可得
入侵检测的概念



入侵检测（Intrusion Detection）：通过从计算机网 络或计算机系统的关键点收集信息并进行分析，从 中发现网络或系统中是否有违反安全策略的行为和 被攻击的迹象。 入侵检测系统（IDS）：入侵检测系统是软件与硬 件的组合，是防火墙的合理补充，是防火墙之后的 第二道安全闸门。 入侵检测的内容：试图闯入、成功闯入、冒充其他 用户、违反安全策略、合法用户的泄漏、独占资源 以及恶意使用。
击类型
入侵检测的部署

检测器放在主要的网络中枢
监控大量的网络数据，可提高检测黑客攻击的可
能性
可通过授权用户的权利周界来发现未授权用户的
行为
当前主流产品介绍

Computer Associates公司
SessionWall-3/eTrust Intrusion Detection

Cisco公司

NFR公司
Intrusion Detection Applicance 4.0

中科网威
“天眼”入侵检测系统

启明星辰
SkyBell(天阗）

免费开源软件
snort
入侵测系统的优点

入侵检测系统能够增强网络的安全性，它的优点：
能够使现有的安防体系更完善； 能够更好地掌握系统的情况； 能够追踪攻击者的攻击线路； 界面友好，便于建立安防体系； 能够抓住肇事者。
入侵检测技术的发展趋势


大规模分布式入侵检测，传统的入侵检测技术一般 只局限于单一的主机或网络框架，显然不能适应大 规模网络的监测，不同的入侵检测系统之间也不能 协同工作。因此，必须发展大规模的分布式入侵检 测技术。 宽带高速网络的实时入侵检测技术，大量高速网络 的不断涌现，各种宽带接入手段层出不穷，如何实 现高速网络下的实时入侵检测成为一个现实的问题 。

检测器放置于防火墙的DMZ区域
可以查看受保护区域主机被攻击状态
可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点
入侵检测的部署

检测器放置于路由器和边界防火墙之间
可以审计所有来自Internet上面对保护网络的攻
击数目
可以审计所有来自Internet上面对保护网络的攻
入侵检测的职责

IDS系统主要有两大职责：实时检测和安全审计， 具体包含4个方面的内容
识别黑客常用入侵与攻击
监控网络异常通信
鉴别对系统漏洞和后门的利用 完善网络安全管理
入侵检测系统的功能




监控用户和系统的活动 查找非法用户和合法用户的越权操作 检测系统配置的正确性和安全漏洞 评估关键系统和数据的完整性 识别攻击的活动模式并向网管人员报警 对用户的非正常活动进行统计分析，发现入侵行为 的规律 操作系统审计跟踪管理，识别违反政策的用户活动 检查系统程序和数据的一致性与正确性
入侵检测的部署

IDS的部署模式：
共享媒介HUB
交换环境
隐蔽模式
Tap模式
In-line模式
入侵检测的部署

检测器部署位置
放在边界防火墙之内
放在边界防火墙之外
放在主要的网络中枢
放在一些安全级别需求高的子网
入侵检测的部署
Internet 部署一
部 署 二
入侵检测的部署
入侵检测系统的不足

入侵检测系统不是万能的，它同样存在许多不足之 处：
不能够在没有用户参与的情况下对攻击行为展开调查；
不能够在没有用户参与的情况下阻止攻击行为的发生；
不能克服网络协议方面的缺陷； 不能克服设计原理方面的缺陷；
响应不够及时，签名数据库更新得不够快。经常是事后
才检测到，适时性不好。
统计分析


统计分析方法首先给系统对象（如用户、文件、目 录和设备等）创建一个统计描述，统计正常使用时 的一些测量属性（如访问次数、操作失败次数和延 时等） 测量属性的平均值和偏差被用来与网络、系统的行 为进行比较，任何观察值在正常值范围之外时，就 认为有入侵发生
完整性分析

完整性分析主要关注某个文件或对象是否被更改
入侵检测系统模型(Denning)
入侵检测系统模型(CIDF)
入侵检测系统的组成特点

入侵检测系统一般是由两部分组成：控制中心和探 测引擎。控制中心为一台装有控制软件的主机，负 责制定入侵监测的策略，收集来自多个探测引擎的 上报事件，综合进行事件分析，以多种方式对入侵 事件作出快速响应。探测引擎负责收集数据，作处 理后，上报控制中心。控制中心和探测引擎是通过 网络进行通讯的，这些通讯的数据一般经过数据加 密。
没有地域和时间的限制；
通过网络的攻击往往混杂在大量正常的网络活动之间，
隐蔽性强；
入侵手段更加隐蔽和复杂。
为什么需要IDS？

单一防护产品的弱点
防御方法和防御策略的有限性
Байду номын сангаас
动态多变的网络环境
来自外部和内部的威胁
为什么需要IDS？

关于防火墙
网络边界的设备，只能抵挡外部來的入侵行为 自身存在弱点，也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护，合法的使用者仍会非法地使用