信息安全技术 第6章 入侵检测系统

分析方法没有发现的攻击可能正好被统计分析方法捕捉到。
16
6.3 入侵检测系统的主要类型
6.3.1
应 用 软 件 入 侵 检 测 (Application Intrusion
Detection)
1.概念 在应用软件级收集信息。
2.优点
控制性好——具有很高的可控性。 3.缺点 a.需要支持的应用软件数量多；
第6章 入侵检测系统
本章概要
本章针对入侵检测系统展开详尽的描述： 入侵检测系统的概念； 入侵检测系统的主要技术； 入侵检测系统的类型；
入侵检测系统的优缺点；
入侵检测系统的部署方式。
2
课程目标
通过本章的学习，读者应能够： 了解入侵检测系统工作基本原理； 了解入侵检测系统在整个安全防护体系中的作用； 掌握入侵检测系统的部署方式。
统计分析法的理论基础是统计学，此方法中，“写照” 的确定至关重要。
15
6.2.3 数据完整性分析法
数据完整性分析法主要用来查证文件或对象是否被修改
过，它的理论基础是密码学。
上述分析技术在 IDS 中会以各种形式出现，把这些方法 组合起来使用，互相弥补不足是最好的解决方案，从而在 IDS系统内部实现多层次、多手段的入侵检测功能。如签名
28
6.4 入侵检测系统的优点和不足
29
6.4.1 入侵测系统的优点
入侵检测系统能够增强网络的安全性，它的优点：

能够使现有的安防体系更完善； 能够更好地掌握系统的情况；


能够追踪攻击者的ቤተ መጻሕፍቲ ባይዱ击线路；
界面友好，便于建立安防体系； 能够抓住肇事者。
30
6.4.2 入侵检测系统的不足
入侵检测系统不是万能的，它同样存在许多不足之处：
8
a.不需要人工干预即可不间断地运行。 b.有容错功能。即使系统发生了崩溃，也不会丢失数据， 或者在系统重新启动时重建自己的知识库。 c.不需要占用大量的系统资源。
d.能够发现异于正常行为的操作。如果某个IDS系统使系
统由“跑”变成了“爬”，就不要考虑使用。
9
e.能够适应系统行为的长期变化。例如系统中增加了一 个新的应用软件，系统写照就会发生变化， IDS 必须能适应 这种变化。 f. 判断准确。相当强的坚固性，防止被篡改而收集到错 误的信息。 g.灵活定制。解决方案必须能够满足用户要求。 h.保持领先。能及时升级。
IDS的数据源则可能已经被精通审计日志的黑客篡改。 d. 基于网络的 IDS 具有更好的实时性。例如，它可以在 目标主机崩溃之前切断 TCP连接，从而达到保护的目的。而 基于主机的系统是在攻击发生之后，用于防止攻击者的进一 步攻击。
26
e. 检测不成功的攻击和恶意企图。基于网络的 IDS 可以 检测到不成功的攻击企图，而基于主机的系统则可能会遗漏 一些重要信息。 f.基于网络的IDS不依赖于被保护主机的操作系统。 3.缺点 a.对加密通信无能为力。 b.对高速网络无能为力。 c.不能预测命令的执行后果。
b.有些攻击在网络的数据流中很难发现，或者根本没有
通过网络在本地进行。这时基于网络的 IDS 系统将无能为力。
21
c. 适应交换和加密。基于主机的 IDS 系统可以较为灵活 地配置在多个关键主机上，不必考虑交换和网络拓扑问题。 这对关键主机零散地分布在多个网段上的环境特别有利。某 些类型的加密也是对基于网络的入侵检测的挑战。依靠加密 方法在协议堆栈中的位置，它可能使基于网络的系统不能判 断确切的攻击。基于主机的IDS没有这种限制。

不能够在没有用户参与的情况下对攻击行为展开调查； 不能够在没有用户参与的情况下阻止攻击行为的发生；

27
6.3.4 集成入侵检测(Integrated Intrusion Detection)
1.概念 综合了上面介绍的几种技术的入侵检测方法。 2.优点 a.具有每一种检测技术的优点，并试图弥补各自的不足。 b.趋势分析——能够更容易看清长期攻击和跨网络攻击的 模式。 C.稳定性好。 d.节约成本--购买集成化解决方案相对于分别购买独立组 件的解决方案，可节约开支。 3.缺点 a.在安防问题上不思进取。 b.把不同供应商的组件集成在一起较困难。
为。例如，许多拒绝服务攻击(DoS)只能在它们通过网络传输
时检查包头信息才能识别。
25
c.基于网络 IDS 的宿主机通常处于比较隐蔽的位置，基
本上不对外提供服务，因此也比较坚固。这样对于攻击者来 说，消除攻击证据非常困难。捕获的数据不仅包括攻击方法，
还包括可以辅助证明和作为起诉证据的信息。而基于主机
“补救”环节——入侵检测系统。
4
6.1.1 什么是入侵检测系统？
入侵检测系统 (Intrusiondetetionsystem ，简称 IDS) 是指 监视 ( 或者在可能的情况下阻止 ) 入侵或者试图控制你的系统 或者网络资源的行为的系统。作为分层安全中日益被越普遍 采用的成分，入侵检测系统能有效地提升黑客进入网络系统 的门槛。入侵检测系统能够通过向管理员发出入侵或者入侵 企图来加强当前的存取控制系统，例如防火墙;识别防火墙通 常不能识别的攻击，如来自企业内部的攻击；在发现入侵企 图之后提供必要的信息。
18
b. 只能保护一个组件 —— 针对软件的 IDS 系统只能对特
定的软件进行分析，系统中其他的组件不能得到保护。
网络入侵检测系统 (IDS) 可以分为基于网络数据包分析 的和基于主机的两种基本方式。简单说，前者在网络通信中
寻找符合网络入侵模版的数据包，并立即做出相应反应；后
者在宿主系统审计日志文件中寻找攻击特征，然后给出统计 分析报告。它们各有优缺点，互相作为补充。
的攻击。反应的时间依赖于定期检测的时间间隔。实时性没
有基于网络的IDS系统好。
20
2.优点 基于主机的入侵检测具有以下优势： a. 监视所有系统行为。基于主机的 IDS 能够监视所有的 用户登录和退出，甚至用户所做的所有操作，审计系统在日
志里记录的策略改变，监视关键系统文件和可执行文件的改
变等。可以提供比基于网络的 IDS 更为详细的主机内部活动 信息。
d. 不要求额外的硬件。基于主机的 IDS 配置在被保护的
网络设备中，不要求在网络上增加额外的硬件。
22
3.缺点 a.看不到网络活动的状况。
b.运行审计功能要占用额外系统资源。
C.主机监视感应器对不同的平台不能通用。
d.管理和实施比较复杂。
23
6.3.3 基于网络的入侵检测(NetworkIntrusionDetection)
7
6.1.2 入侵检测系统的特点
对一个成功的入侵检测系统来讲，它不但可使系统管理 员时刻了解网络系统 ( 包括程序、文件和硬件设备等 ) 的任何 变更，还能给网络安全策略的制订提供指南。更为重要的一 点是，它应该具有管理方便、配置简单的特性，从而使非专 业人员非常容易地管理网络安全。而且，入侵检测的规模还 应根据网络威胁、系统构造和安全需求的改变而改变。入侵 检测系统在发现入侵后，会及时做出响应，包括切断网络连 接、记录事件和报警等。因此，一个好的入侵检测系统应具 有如下特点：
2.优点
基于网络的入侵检测系统具有以下几方面的优势：
24
a.基于网络的ID技术不要求在大量的主机上安装和管理 软件，允许在重要的访问端口检查面向多个网络系统的流量。 在一个网段只需要安装一套系统，则可以监视整个网段的通 信，因而花费较低。 b.基于主机的 IDS不查看包头，因而会遗漏一些关键信 息，而基于网络的 IDS 检查所有的包头来识别恶意和可疑行
1.概念 基于网络的入侵检测系统使用原始的裸网络包作为源。 利用工作在混杂模式下的网卡实时监视和分析所有的通过共 享式网络的传输。当前，部分产品也可以利用交换式网络中 的端口映射功能来监视特定端口的网络入侵行为。一旦攻击 被检测到，响应模块将按照配置对攻击做出反应。这些反应 通常包括发送电子邮件、寻呼、记录日志、切断网络连接等。
19
6.3.2基于主机的入侵检测(Host Intrusion Detection)
1.概念 基于主机的入侵检测始于20世纪80年代早期，通常采用 查看针对可疑行为的审计记录来执行。它对新的记录条目与 攻击特征进行比较，并检查不应该被改变的系统文件的校验 和来分析系统是否被侵入或者被攻击。如果发现与攻击模式 匹配， IDS 系统通过向管理员报警和其他呼叫行为来响应。 它的主要目的是在事件发生后提供足够的分析来阻止进一步
5
入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展 了系统管理员的安全管理能力(包括安全审计、监视、进攻识 别和响应)，提高了信息安全基础结构的完整性。它从计算机 网络系统中的若干个关键点收集信息，并分析这些信息，检 测网络中是否有违反安全策略的行为和遭到袭击的迹象。它 的作用是监控网络和计算机系统是否出现被入侵或滥用的征 兆。 作为监控和识别攻击的标准解决方案， IDS 系统已经成为安防 体系的重要组成部分。 IDS 系统以后台进程的形式运行。发现可疑情况，立即通知有 关人员。
3
6.1 入侵检测系统的概念
当前，平均每20秒就发生一次入侵计算机网络的事件， 超过1/3的互联网防火墙被攻破！面对接二连三的安全问题， 人们不禁要问：到底是安全问题本身太复杂，以至于不可能 被彻底解决，还是仍然可以有更大的改善，只不过我们所采 取安全措施中缺少了某些重要的环节。有关数据表明，后一 种解释更说明问题。有权威机构做过入侵行为统计，发现有 80％来自于网络内部，也就是说，“堡垒”是从内部被攻破 的。另外，在相当一部分黑客攻击中，黑客都能轻易地绕过 防火墙而攻击网站服务器。这就使人们认识到：仅靠防火墙 仍然远远不能将“不速之客”拒之门外，还必须借助于一个
非常危险，将使IDS形同虚设。
11
2.负误判(fasenegative) 概念：把一个攻击动作判断为非攻击行为，并允许其通 过检测。 特点：背离了安全防护的宗旨，IDS系统成为例行公事，
后果十分严重。
3.失控误判(subversion) 概念：攻击者修改了IDS系统的操作，使它总是出现负误
判的情况。
6
防火墙为网络提供了第一道防线，入侵检测被认为是防火墙之 后的第二道安全闸门，在不影响网络性能的情况下对网络进 行检测，从而提供对内部攻击、外部攻击和误操作的实时保 护。由于入侵检测系统是防火墙后的又一道防线，从而可以 极大地减少网络免受各种攻击的损害。 假如说防火墙是一幢大楼的门锁，那入侵检测系统就是这幢大 楼里的监视系统。门锁可以防止小偷进入大楼，但不能保证 小偷 100 ％地被拒之门外，更不能防止大楼内部个别人员的 不良企图。而一旦小偷爬窗进入大楼，或内部人员有越界行 为，门锁就没有任何作用了，这时，只有实时监视系统才能 发现情况并发出警告。入侵检测系统不仅仅针对外来的入侵 者，同时也针对内部的入侵行为。
统设置情况和用户操作动作，一方是已知攻击模式的签名数
据库。
14
6.2.2 统计分析法
统计分析法是以系统正常使用情况下观察到的动作为基
础，如果某个操作偏离了正常的轨道，此操作就值得怀疑。
主要方法：首先根据被检测系统的正常行为定义出一个 规律性的东西，在此称为“写照”，然后检测有没有明显偏
离“写照”的行为。
10
6.1.3 入侵行为的误判
入侵行为判断的准确性是衡量 IDS 是否高效的重要技术 指标，因为， IDS 系统很容易出现判断失误，这些判断失误 分为：正误判、负误判和失控误判三类。 1.正误判(falsepositive) 概念：把一个合法操作判断为异常行为。 特点：导致用户不理会IDS的报警，类似于“狼来了”的 后果，使得用户逐渐对 IDS 的报警淡漠起来，这种“淡漠”
特点：不易觉察，长此以往，对这些“合法”操作IDS将 不会报警。
12
6.2 入侵检测的主要技术一入侵分析技术
入侵分析技术主要有三大类：签名、统计及数据完整性。
13
6.2.1 签名分析法
签名分析法主要用来检测有无对系统的己知弱点进行的 攻击行为。这类攻击可以通过监视有无针对特定对象的某种 行为而被检测到。 主要方法：从攻击模式中归纳出其签名，编写到 IDS 系 统的代码里，再由 IDS 系统对检测过程中收集到的信息进行 签名分析。 签名分析实际上是一个模板匹配操作，匹配的一方是系