入侵检测

第9章入侵检测技术

【教学目的要求】熟悉各名词、术语的含义，掌握基本概念，特别是入侵检测概述、发展、分类、异常技术和误用技术。

【重点】分类、异常技术和误用技术。

【难点】异常技术和误用技术。

【教学方法】多媒体教学和传统教学相结合。

【课时安排】2课时

【教学过程】

【导入】

入侵检测作为一种积极主动的安全技术，已成为维护网络安全的重要手段之一，并在网络安全中发挥着越来越重要的作用。

本章主要介绍入侵检测的基本概念、组成、体系结构、检测技术、标准化问题和发展方向等。

【讲解】

入侵检测概述

•现今流行的防火墙技术的局限性主要表现在：

•第一，入侵者可寻找防火墙背后可能敞开的后门；

•第二，不能阻止内部攻击；

•第三，通常不能提供实时的入侵检测能力；

•第四，不能主动跟踪入侵者；

•第五，不能对病毒进行有效防护。

入侵检测的概念

•入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。

•入侵检测系统的英文缩写是IDS（Intrusion Detection System），它通过对网络及其上的系统进行监视，可以识别恶意的使用行为，并根据监视结果进行不同的安全动作，最大限度地降低可能的入侵危害。因为入侵行为不仅可以来自外部，同时也可来自内部用户的未授权活动。所以一个有效的入侵检测系统应当能够检测两种类型的入侵：来自外部世界的闯入和有知识的内部攻击者。

•入侵检测系统基本上不具有访问控制的能力，它就像一个有着多年经验、熟悉各种入侵方式的网络侦察员，通过对数据包流的分析，可以从数据流中过滤出可疑数据包，通过与已知的入侵方式或正常使用方式进行比较，来确定入侵是否发生和入侵的类型并进行报警。

•网络管理员根据这些报警就可以确切地知道所受到的攻击并采取相应的措施。

•因此，可以说入侵检测系统是网络管理员经验积累的一种体现，它极大地减轻了网络管理员的负担，降低了对网络管理员的技术要求，提高了网络安全管理的效率和准确性。

入侵检测的历史

入侵检测系统的作用

•入侵检测系统包括三个功能部件：

•提供事件记录流的信息源、发现入侵迹象的分析引擎、基于分析引擎的结果产生反应的响应部件。

•因此，IDS可以看作这样的管理工具：

•它从计算机网络的各个关键点收集各种系统和网络资源的信息，然后分析有入侵（来自组织外部的攻击）和误用（源于内部组织的攻击）迹象的信息，并识别这些行为和活动，在某些情况下，它可以自动地对检测到的活动进行响应，报告检测过程的结果，从而帮助计算机系统对付攻击。

•IDS也可以包括一个所谓的“蜜罐”（Honeypot），人为留下一些明显的安全漏洞，以引诱攻击者对这些漏洞进行入侵，从而为研究入侵行为提供信息。

•入侵检测系统的主要功能是：

•监视用户和系统的活动，查找非法用户和合法用户的越权操作。

•审计系统配置的正确性和安全漏洞，并提示管理员修补漏洞。

•对用户的非正常活动进行统计分析，发现入侵行为的规律。

•检查系统程序和数据的一致性与正确性。

•能够实时地对检测到的入侵行为进行反应。

•操作系统的审计跟踪管理。

入侵检测的分类

•基于主机的IDS（Host-based Intrusion Detection System，HIDS）：

•通过监视和分析所在主机的审计记录检测入侵。优点是可精确判断入侵事件，并及时进行反应，不受网络加密的影响。

•缺点是会占用宝贵的主机资源。另外，能否及时采集到审计也是这种系统的弱点之一，因为入侵者会将主机审计子系统作为攻击目标以避开IDS。典型的系统主要有：

Computer Watch，Discovery，Haystack，IDES，ISOA，MIDAS以及Los Alamos国家实验室开发的异常检测系统W&S。

•基于网络的IDS（Network-based Intrusion Detection System，NIDS）：

•通过在共享网段上对主机之间的通信数据进行侦听，分析可疑现象。这类系统不需要主机通过严格的审计，主机资源消耗少，可提供对网络通用的保护而无需顾及异构主机的不同架构。但它只能监视经过本网段的活动，且精确度较差，在交换网络环境下难于配置，防欺骗能力也较差。典型的系统有：为Los Alamos国家实验室的集成计算机网络设计的网络异常检测和入侵检测报告NADIR（是一个自动专家系统）；加利福尼亚大学的NSM系统（它通过广播LAN上的信息流量来检测入侵行为）；分布式入侵检测系统DIDS等。

基于路由器的入侵检测系统（Router-based Intrusion Detection System，RIDS）：通过对网关中相关信息的提取，提供对整个信息基础设施的保护，确保大型网络计算机之间安全、可靠的连接。一般安装在路由器上，但负载变化对网络性能的影响很大。

•当然，以上三种入侵检测系统都具有自己的优点和不足，可互相作为补充。

•一般地，一个完备的入侵检测系统一定是基于主机和基于网络两种方式兼备的分布式系统。

•事实上，现在的商用产品也很少是基于一种入侵检测模型、使用一种技术实现的，一般都是理论模型与技术条件间的折衷方案。

•不同的体系结构、不同的技术途径实现的入侵检测系统都有不同的优缺点，都只能最适用于某种特定的环境。

入侵检测的分类

•按照分析的方式

•按照分析器所采用的数据分析方式，可分为

–异常检测系统

–误用检测系统

–混合检测系统。

•异常检测（Anomaly detection）系统：

•假定所有的入侵行为都与正常行为不同，建立正常活动的简档，当主体活动违反其统计规律时，则将其视为可疑行为。

•该技术的关键是异常阈值和正常特征的选择。

•其优点是可以发现新型的入侵行为，缺点是容易产生误报。

•误用检测（Misuse detection）系统：

•假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，系统的目标就是检测主体活动是否符合这些模式，如果符合则视为可疑行为。

•该技术的关键是如何表达入侵的模式，把真正的入侵行为与正常行为区分开来，因此入侵模式表达的好坏直接影响入侵检测的能力。

•其优点是误报少，缺点是只能发现攻击库中已知的攻击，且其复杂性将随着攻击数量的增加而增加。

•混合检测（Hybrid detection）系统：同时使用以上两种方法，从而获得二者的优点而避免其缺点。