第6章 入侵检测系统

• Samhain开发的文件完整性检查与入侵检测系统 SAMHAIN （file integrity and intrusion detection system）.
STALKER系统
• STALKER系统的分析引擎采用状态转移方法描述已知入侵 模式。 • 入侵特征包括初始状态、针对入侵模式的状态转移函数和 结束状态。 • 入侵行为一旦与分析引擎所保存的入侵特征匹配，系统将 根据预先定义的安全策略采取相应的响应措施。 • STALKER系统是第一个采用误用检测技术的IDS，也是第 一款在安全市场上销售成功的商业化产品。
• TCSEC根据计算机系统硬件、软件和信息资源的不同安全保
护要求，将网络安全等级由高到低划分成A、B、C、D四大类 七个安全子级别A1、B3、B2、B1、C2、C1和D。其中， A1安全级别最高，D安全级别最低。 • TCSEC评估准则的颁布不仅推动了操作系统、数据库管理系 统及应用软件在安全方面的发展，也对入侵检测系统等安全 技术的发展起到了巨大的推动作用。 • TCSEC评估准则已成为评估各类网络安全产品的重要依据之 一，是计算机网络安全发展史上的一个重要里程碑。
第六章 入侵检测系统
第六章
百度文库
入侵检测系统
6.1 入侵检测原理与结构 6.1.1 入侵检测发展历史 6.1.2 入侵检测原理与系统结构 6.1.3 入侵检测人类方法 6.1.4 入侵检测主要性能指标 6.1.5 入侵检测系统部署 6.2 入侵检测审计数据源 6.2.1 审计数据源 6.2.2 审计数据源质量分析 6.2.3 常用审计数据源采集工具
侵检测系统NetRanger更名为Secure IDS 。
RealSecure
• RealSecure采用传感器（sensor）和管理控制台（workgroup manager）两级体系结构。
• 传感器包括网络传感器（network sensor）、系统传感器（OS sensor）和服务传感器（server sensor），网络传感器负责对网络数 据包进行检测。系统传感器检测系统文件和系统日志。服务传感器则对 服务器系统文件、系统日志和进出服务器的网络数据实施检测。 • 传感器与管理控制台之间的通信采用128-bit RSA进行加密和认证，具 有详细的协议分析功能和出色的碎片重组能力，并且支持多种品牌防火 墙和路由器的联动配置，一旦检测到非法入侵即可立即切断网络连接。
• 采用统计分析方法实现异常行为检测。 • 采用规则匹配方法实现已知攻击检测。 • 但NIDES原型系统在统计分析算法、组件接口、组件封装、 可移植性、可扩展性和用户接口等方面都对IDES进行了重 大改进。 • 1994年9月正式发布了最终测试版本。 • NIDES是著名的非商用入侵检测系统之一。
商用入侵检测系统问世
CyberCop入侵防护系统
• CyberCop 入侵防护系统主要由网络扫描（CyberCop scanner）、 网络监视（CyberCop monitor）、网络诱骗（CyberCop sting）和 用户审计脚本语言（custom audit scripting language）四部分组 成。
• 6.3主机系统调用入侵检测 • • 6.3.1 系统调用跟踪概念 6.3.2 前看系统调用对模型
•
• • • •
6.3.3 每局序列匹配模型
6.3.4 短序列频度分布向量模型 6.3.5 数据挖掘分类规则模型 6.3.6 隐含马尔科夫模型 6.3.7 支持向量机模型
• 6.4 网络连接记录入侵检测 • • • • • 6.4.1 网络数据报协议解协 6.4.2连接记录属性选择 6.5.2 Snort 系统组成 6.5.3 Snort检测规则
• 1991年2月，Haystack公司与L. T. Heberlein等人共同展开了对分布式 入侵检测系统DIDS（distributed intrusion detection system）的研 究。
• 1992年，斯坦福研究所决定对早期的IDES进行改进，开发下一代入侵 检测专家系统NIDES（next-generation intrusion detection expert system）新产品。
非商用开放源代码IDS软件(续)
• Yoann Vandoorselaere开发的混合入侵检测系统 Prelude IDS（hybrid intrusion detection system）. • Shmoo 研究组开发的Osiris. • Dominique Karg开发的开放源码安全信息管理系 统OSSIM（open source security information management）.
• 审计数据源分别来自网络数据包 ,主机审计记录。 • 将基于主机和基于网络两种入侵检测方法集成在 一起。
• 采用层次体系的检测系统结构。
• 通过基于主机和基于网络两种入侵检测方法的优
势互补。
• 创建了混合型入侵检测系统原型 。
下一代入侵检测专家系统NIDES
• NIDES基本沿用了IDES的入侵检测机制。
• 因特网安全系统公司ISS（Internet security systems）在 1994年4月创建的同时，发布了因特网安全漏洞扫描软件 Internet Scanner。1996年12月，ISS公司又推出实时入侵检 测产品RealSecure。 • 1997年5月，两家美国著名的网络安全公司McAfee Associates 和Network General合并组建了网络联盟有限公司NAI （network associates inc.）。随后NAI与WheelGroup公司合 作，推出了CyberCop 入侵防护系统（CyberCop intrusion protection）。 • 思科公司（Cisco ）将Wheel Group公司早期开发的网络实时入
前拦截和阻断危害行为。
6.1.1
入侵检测发展历史
1,入侵检测的起源
2,入侵检测的迅速发展 3,商用入侵检测系统问世 4,入侵检测的标准化
入侵检测的起源
• James P. Anderson早在1980年4月为美国空军所作的著名研究报告 “计机安全威胁监测与监视” （computer security threat monitoring and surveillance）。 • 1983年，斯坦福研究所SRI（Stanford research institute）的 Dorothy E. Denning和Peter Neumann承担了美国空海作战系统指挥 部资助的入侵检测系统研究课题。研究成果命名为入侵检测专家系统 IDES（intrusion detection expert system）。 • 1985年，美国国防部所属的国家计算机安全中心正式颁布了网络安全标 准，既可信计算机系统评估准则TCSEC （trusted computer system evalution criteria）。 • 1987年2月，Dorothy E. Denning和Peter Neumann在总结几年研究 工作的基础上，正式发表了入侵检测模型著名论文（an intrusion detection model）。
入侵检测的迅速发展
• 1988年5月，加州大学戴维斯分校劳伦斯利弗莫尔 （Lawrence Livermore）国家实验室承接了为美国空军基地开发新型 IDS Haystack的科研课题。 • 1989年创建了以科研课题名称Haystack命名的商业公司，并将公司开 发的IDS产品称为STALKER 。 • 1990年5月是入侵检测发展史上的另一个里程碑，加州大学戴维斯分校 的L. T. Heberlein等研究人员首次利用网络数据包作为安全审计数据源， 通过监测网络流量来识别网络入侵行为。
入侵检测技术创始人。
入侵检测专家系统IDES
• 采用审计数据统计分析方法建立系统用户的行为 模式，当用户行为明显偏离系统所建立的行为模 式时，将产生报警信号。 • 采用基于规则匹配的专家系统机制来检测已知入 侵行为，当入侵特征与检测规则匹配时，系统产 生报警信号。
可信计算机系统评估准则TCSEC
入侵检测模型
• 入侵检测模型的核心思想就是异常用户模式不同于正 常用户模式，因此，通过分析审计记录和网络数据包 能够识别违反系统安全策略的入侵行为。
• 通 用 入 侵 检 测 模 型 为 以 后 研 发 入 侵 检 测 系 统 IDS （intrusion detection system）产品奠定了坚实的 理论基础。
范技术。
6.1
入侵检测原理与结构
• 入侵是指系统发生了违反安全策略的事件，包括 对系统资源的非法访问、恶意攻击、探测系统漏 洞和攻击准备等对网络造成危害的各种行为。 • 入侵检测作为一种积极主动的网络安全防御技术， 通过监视系统的运行状态发现外部攻击、内部攻
击和各种越权操作等威胁，并在网络受到危害之
入侵检测的起源(续)
• 入侵检测的核心思想起源与安全审计机制。
• 审计是基于系统安全的角度来记录和分析 事件，通过风险评估制定可靠的安全策略 并提出有效的安全解决方案 。
计算机安全威胁监测与监视
• 在计算机系统遭受攻击时，审计机制应当给安全管理人 员提供足够的信息识别系统的异常行为。
• 将计算机系统的威胁划分为外部渗透、内部渗透和不法 行为三种类型。 • James P. Anderson提出的利用安全审计监视入侵行为 的思想为开展入侵检测研究创建了思想方法，是公认的
非商用开放源代码IDS软件
• Martin Roesch开发的Snort.
• Purdue大学开发的入侵检测自治代理AAFID（autonomous agents for intrusion detection）. • 卡内基梅隆大学计算机应急响应协作中心（computer emergency response team coordination center at Carnegie Mellon university）开发的自动事件报告AirCERT （automated incident reporting）. • 劳伦斯伯克利国家实验室（Lawrence Berkeley national laboratory）Vern Paxson开发的Bro.
Secure IDS
• Secure IDS与其他入侵检测系统产品类似，主要 由传感器、管理控制台（director）和入侵检测 系统模块IDSM（intrusion detection system module）三大部分组成。
• 传感器包括网络传感器和主机传感器两类，分别
负责网络数据包和主机审计数据的采集与分析。
• 网络扫描对系统与网络进行分析，发现其中的安全漏洞与安全策略问 题。
• 网络监视是整个入侵防护系统的核心部件，采用分布式技术监测系统 与网络中的可疑事件。 • 网络诱骗则在主机上营造一个虚拟网络环境，诱骗入侵者进行网络攻 击，以便捕获新的攻击特征。 • 用户审计脚本语言则容许用户自己编写攻击程序，通过对脚本攻击测 试实现对未知攻击的防护。
网络安全监视器NSM
• NSM系统与以前IDS的最大区别就是用网络数
据包作为审计数据源，没有采用主机系统的审 计记录，从而在不必进行审计记录格式变换的 条件下实现了异构系统的入侵检测。 • 开辟了基于主机和基于网络两个重要的入侵检
测研究方向。
• 审计数据源分别来自网络数据包。
分布式入侵检测系统DIDS
• 6.5 Snort 主要特点
• 6.6 本章知识点小结
• 传统的安全防御机制主要通过信息加密、身份认证、访问 控制、安全路由、防火墙和虚拟专用网等安全措施来保护 计算机系统及网络基础设施。入侵者一旦利用脆弱程序或 系统漏洞绕过这些安全措施，就可以获得未经授权的资源 访问，从而导致系统的巨大损失或完全崩溃。 • 网络除了要采取安全防御措施，还应该采取积极主动的入 侵检测与响应措施。 • 入侵检测技术是近年发展起来的用于检测任何损害或企图 损害系统保密性、完整性或可用性行为的一种新型安全防