[ 笔记 ] 计算机网络安全_6_入侵检测系统

[笔记] 计算机网络安全：（6）入侵检测系统

1. 网络安全基础
2. internet协议的安全性
3. Web安全
4. 网络扫描和网络监听
5. 防火墙原理与设计
6. 入侵检测系统
7. VPN技术

---

---

传统的网络安全防护技术存在局限：被动防御的网络安全技术

• 无法防御来自内部的攻击
• 无法防范数据驱动型的攻击
• 自身存在弱点，可能成为攻击对象
• 安全策略不能充分保证系统安全

积极主动的网络安全防护技术

• 即时监控网络数据传输
• 实时报告网络异常
• 迅速、主动地采取反应措施

6.1 入侵检测系统概述

定义

入侵检测是一种网络入侵识别技术，入侵检测是防火墙之后的第一道网络安全闸门

• 事前预防：识别网络入侵企图
• 事中反制：正在发生的网络入侵行为
• 事后分析：网络入侵发生后搜集相关信息

功能

• 统计、分析攻击者的探测行为，发出警报
• 检测、记录网络中的攻击行为，采取阻断措施
• 提供攻击的详细信息，诊断和修补安全弱点
• 检测未授权操作或安全违规行为
• 识别、报告系统中存在的安全威胁

主要任务

• 监视、分析用户及系统的活动
• 跟踪、分析网络数据流量
• 实现数据文件的完整性检查
• 构建已知攻击特征库，识别已知攻击
• 构建正常行为模式，识别异常行为

发展

1. 《Computer Security Threat Monitoring and Surveillance》
   • 第一次详细阐述了入侵检测的概念
   • 将安全威胁分类：内部、外部和不法行为
   • 利用审计数据监视入侵活动
2. IDES（入侵检测专家系统）：入侵检测中最有影响的一个系统
   • 统计学原理
   • 基于规则
3. NSM（Network Security Monitor）
   • 直接将网络流作为审计数据来源
   • 无需转换审计数据格式监控异种主机
   • 两大阵营：NIDS vs HIDS
4. CIDF（Common Intrusion Detection Framework）
   • CIDF体系结构
   • CIDF通信机制
   • CIDF语言：公共入侵规范语言
   • CIDF的应用程序接口
   • 共享信息和资源 & 入侵检测组件再利用

工作流程

1. 信息收集：用户活动状态和行为
   • 网络
   • 系统
   • 数据库
   • 应用系统
2. 信息分析：对用户行为进行分析
   • 模式匹配
   • 统计分析
   • 完整性分析
3. 安全响应：对分析结果安全响应
   • 主动响应
   • 被动响应

信息收集

在网络上中若干不同关键点收集信息

入侵检测很大程度上以来收集信息的可靠性和正确性

• 系统和网络日志
• 网络流量
• IDS信息收集
• 非正常的目录和文件改变
• 非正常的程序执行
• …

信息分析

1. 模式匹配：将收集到的信息与已知的入侵行为模式进行比较

   • 网络入侵行为模式：

     • 一个输出（例如获得某种权限）

     • 一个过程（例如执行某一条指令）

       • 可能很简单。（例如字符串匹配查找指定的条目获指令）
       • 也可能很复杂。（例如利用数学方式表示安全状态的变化）

2. 统计分析：将系统对象观测值与正常测量属性进行对比，发现偏差

   • 入侵检测常用的异常发现方法：
     • 构建系统对象正常情况下的统计测量属性
     • 将当前观察值与统计测量属性进行比较
       • 观测值无偏差——无入侵行为发生
       • 观测值有偏差——存在入侵发生

3. 完整性分析：在发现被恶意代码感染的应用程序方面效果特别明显

   • 关注文件或系统对象是否被非法更改
     • 文件的内容和属性
     • 目录的内容和属性
     • 其他系统对象的内容和属性

安全响应

• 安全响应分为被动响应和主动响应两种类型

• 入侵检测系统一般采取的响应措施

  • 分析结果记录到日志
  • 告警信息
  • 阻断攻击

分类

• 依据入侵检测方法
  • 异常检测模型（Anomaly Detection）
    • 总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。
  • 误用检测模型（Misuse Detection）
    • 建立入侵行为特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵
• 依据入侵检测信息来源
  • 基于主机的入侵检测
    • 检测系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机
  • 基于网络的入侵检测
    • 检测系统获取数据的依据是网络传输的数据包，保护的目标是网络的正常运行
  • 混合型
    • 检测系统获取数据的依据二者兼而有之
• 依据体系结构和模块运行方式
  • 集中式入侵检测系统
  • 分布式入侵检测系统
• 依据时效性
  • 脱机分析型入侵检测系统
  • 联机分析型入侵检测系统

评价标准

• 功能
• 性能
• 可用性
• 误报 (false positive)——假阳性：误报率 = 误报事件数/事件数总量
• 漏报 (false negative)——假阴性：漏报率 = 漏报事件数/事件数总量

先进的检测能力和响应能力

不影响被保护网络正常运行

无人监管能正常运行

具有坚固的自身安全性

具有很好的可管理性

消耗系统资源较少

可扩展性好，能适应变化

支持IP碎片重组

支持TCP流重组

支持TCP状态检测

支持应用层协议解码

灵活的用户报告功能 安装、配置、调整简单易行

能与常用的其他安全产品集成

支持常用网络协议和拓扑结构 IDS评价标准

6.2 入侵检测系统原理及主要方法

异常检测

能检测未知入侵但误报率高

• 基于行为的入侵检测
• 识别主机或网络中的异常行为

假设前提：入侵行为是异常活动的子集

用户轮廓：各种行为参数及其阀值的集合

检测过程：监控、量化、比较、判定、修正

特点

• 效率取决于用户轮廓的完备性和监控的频率
• 能够有效地检测未知入侵
• 自我调整和优化

分类

• 统计信息异常检测

  • 对用户行为按照一定地频率进行采样

  • 依据样本计算得到参数变量描述用户轮廓

  • 优点

    • 统计学方法非常成熟
    • 学习用户使用习惯

  • 缺点

    • 计算量巨大
    • 可能被攻击者训练
    • 对事件发生的顺序不敏感

• 神经网络异常检测

  • 将神经网络用于对系统或用户行为的学习
  • 根据用户已执行命令预测用户的下一条命令
  • 优点
    • 能处理原始数据的随机性和干扰性
    • 能够自动学习
  • 缺点
    • “黑盒”建模
    • 难以确定各元素的权重
    • 无法利用已有的经验和知识

• 其它异常检测方法如下

• 模式预测异常检测

• 马尔可夫过程异常检测

• 数据挖掘异常检测

• 时间序列分析异常检测

优点

• 能检测新的网络入侵
• 较少依赖于特定的主机操作系统
• 内部合法用户的越权行为检测能力强

缺点

• 误报率高
• 行为模型建立困难
• 难以对入侵行为分类和命名

误用检测

不能检测未知入侵，准确检测已知入侵

• 基于知识的入侵检测
• 将系统当前行为状态与已知入侵特征进行比较

假设前提：入侵行为都有可被检测到的特征

入侵特征：检测用户或系统行为是否和特征库中记录匹配

检测过程：监控、提取特征、匹配、判定

特点

• 误报率低、漏报率高

攻击特征

• 误用检测的核心
• 过长的攻击特征降低系统效率
• 太短的攻击特征会导致误报

分类

• 专家系统误用检测
  • 将已知网络入侵行为转成规则，建立专家库
  • 网络行为的审计数据进行规则转换后再判定
  • 优点：适合于有特征的入侵
  • 缺点
    • 处理大量的审计数据
    • 攻击行为规则化描述精度不高
    • 只能检测已知攻击，知识库维护
• 特征分析误用检测
  • 将入侵行为表示成事件序列或数据样板
  • 以行为的审计数据与事件序列进行匹配
  • 优点：运行效率有所提高
  • 缺点
    • 需及时更新数据库
    • 建立和维护知识库工作量大
• 模型推理误用检测
  • 根据网络入侵行为特征建立误用证据模型
  • 需建立攻击场景数据库、预警器和规划者
  • 优点
    • 未确定推理理论为基础，模型证据推理中间结论
    • 减少审计数据量
  • 缺点
    • 建模开销
    • 需对数据库不断扩充

优点

• 检测准确度高
• 技术相对成熟
• 便于系统维护

缺点

• 不能检测新的入侵
• 依赖于入侵特征的有效性
• 维护特征库的工作量巨大

6.3 入侵检测系统

基于网络的入侵检测系统（NIDS）

• 分析网络流量、网络数据包和协议
• 使用原始网络包作为数据包
• 运行在随机模式下的网络适配器监听通信

主要特点

• 成本低
• 攻击者很难转移/消除证据
• 能够进行实时检测和响应
• 能够检测未成功的攻击企图
• 独立于操作系统

关键技术

• IP碎片重组技术
  • 针对IP碎片攻击
    • 碎片覆盖
    • 碎片重写
    • 碎片超时
    • 针对网络拓扑的碎片技术
  • 模拟目标主机对缓存的IP碎片进行重组
  • 然后进行入侵检测分析
• TCP流重组技术
  • IDS无法使用TCP重传机制
  • 传输中出现报文丢失或者失序，将增加检测难度
  • 报文丢失或者失序，还将导致IDS无法进行序列号追踪
• TCP状态检测组技术
• 网络协议分析技术
  • 协议分析技术特点
    • 根据现有协议模式，到固定位置取值
    • 根据取得的值，分析协议的流量，寻找可疑或不正常的行为
    • 加入状态特性分析，将会话流量作为整体来考虑
    • 当流量不是期望值时，IDS就发出告警
  • 协议分析技术优点
    • 性能提高
    • 准确性提高
    • 基于状态的分析
    • 反规避能力大大增强
    • 系统资源开销小。
• 零复制技术
  • 减少数据复制和系统调用，实现CPU零参与
  • DMA数据传输
  • 内存区域映射
• 蜜罐/蜜网技术
  • 蜜罐/蜜网是吸引攻击者的陷阱
  • 收集和分析威胁信息
  • 发现攻击工具、确定攻击模式、研究攻击动机
  • 优势
    • 大大减少了需要分析的数据
    • 蜜网计划已收集了大量信息，黑客很少采用新的攻击方法
    • 蜜罐不仅是一种研究工具，还具有真正的商业应用价值
    • 虚拟蜜网的出现降低了蜜罐的成本和管理难度

实例-SNORT

SNORT是一个强大的轻量级网络入侵检测系统

• 具备实时数据流量分析能力，能够进行协议分析和内容搜索/匹配
• 具有很好的扩展性和可移植性
• 遵循通用公共许可证GPL，任何组织和个人都可以自由使用
• 入侵检测规则是完全开放的

NIDS优缺点

优点

• 可提供实时的网络行为检测
• 可保护多态网络主机
• 具有良好的隐蔽性
• 有效保护入侵证据
• 不影响被保护主机的性能

缺点

• 在交换式网络环境难以配置
• 检测性能受硬件限制
• 不能处理加密后的数据

NIDS的部署

• DMZ区
  • 最常见的部署位置，可检测到所有针对服务器的攻击行为
  • 优点
    • 检测已经渗入过第一层防御体系的来自外部的攻击
    • 容易检测网络防火墙的性能并找到配置策略中的问题
    • 所检测的对象集中于关键的服务设备
    • 即使进入的攻击行为不可识别，也可以从被攻击主机的反馈中获得受到攻击的信息
• 外网入口
  • 检测所有进出防火墙外网口的数据
  • 优点
    • 可以记录最为原始的攻击数据包
    • 可以记录针对目标网络的攻击类型
  • 缺点
    • 性能不理想
    • 对进行NAT的访问来说不易定位源或目的地址
• 内网主干
  • 最常用的部署位置，主要检测内网流出和经过防火墙过滤后流入内网的网络数据
  • 优点
    • 提高了检测攻击的识别可能
    • 检测内网可信用户的越权行为
    • 实现对内部网络信息的检测
  • 缺点
    • 由于防火墙的过滤作用，入侵检测器并不能记录下所有可能的入侵行为
• 关键子网
  • 通过对关键子网进行安全检测，检测到来自内部以及外部 的所有不正常的网络行为
  • 优点
    • 流量相对要小一些，可保证入侵检测器的有效检测
    • 集中资源检测针对关键系统和资源的来自企业内外部的攻击
    • 将有限的资源进行有效部署，获取最高的使用价值

基于主机的入侵检测系统（HIDS）

用于保护单台主机不受网络攻击行为的侵害，需要安装在被保护的主机上

• 网络连接检测
  • 对试图进入该主机的数据流进行检测
  • 分析确定是否有入侵行为
  • 避免或减少这些数据流进入主机系统后造成损害
• 主机系统检测
  • 检测入侵行为在主机相关文件中留下的痕迹
  • 帮助系统管理员发现入侵行为或入侵企图
  • 主机系统检测的对象
    • 日志系统
    • 文件系统
    • 进程记录

关键技术

HIDS关键技术

• 文件和注册表保护技术
• 网络安全防护技术
• WEB保护技术
  • HTTP请求类型
  • 缓冲区溢出
  • 关键字
  • 物理目录
• 文件完整性分析技术

优缺点

优点

• 检测准确度高
• 可以检测没有明显特征的入侵
• 针对性的检测
• 成本低
• 对网络性能影响小
• 适用加密、交换环境

缺点

• 实时性较差
• 无法检测数据包的全部内容
• 占用主机资源
• 隐蔽性较差
• 无法检测某些网络攻击

实例TripWire

基于主机文件的入侵检测系统

• 为主机系统的一些关键文件建立校验和，维护文件正常变化
• 通过校验和检测文件及其属性的异常修改，从而发现入侵行为
• 能够在一定程度上恢复修改前的系统文件
• 遵循通用公共许可证GPL

NIDS vs HIDS

NIDS	HIDS
侦测速度快	视野更集中
隐蔽性好	易于用户自定义
视野更宽	保护更加周密
较少的检测器	对网络流量不敏感
占用资源少

分布式入侵检测系统（DIDS）

• 数据采集 收集检测使用的数据。可驻留在主机上，或者安装在网络检测点上。
• 通信传输 传递加工、处理原始数据。需和其他构件协作完成通信功能
• 入侵检测分析 采用检测算法对数据进行分析，产生检测结果、报警和应急信号
• 应急处理 按入侵检测的结果做出决策判断，对入侵行为进行响应
• 用户管理 管理构件配置，产生总体报告，提供管理接口等。

6.4 IDS设计重点和部署

IDS的设计

• 日志检索 至少包括：来源地址、目标地址、来源端口、目标端口、攻击特征、风险等级、时间段等
• 探测器管理 控制台可以一次管理多个探测器，包括启动、停止、配置探测器和查看探测器运行状态等。
• 规则管理 为用户提供根据不同网段具体情况配置安全策略的工具，针对不同情况制定相应安全规则。
• 日志报表 至少需要提供多种文本和图形的报表模板，且报表格式可以导出WORD、HTML、TXT、EXCEL、PDF等常用的格式
• 用户管理 对用户权限进行严格的定义，提供口令修改、添加用户、删除用户、用户权限配置等功能，有效保护系统使用的安全性。

IDS的部署

6.5 IDS发展趋势和方向

面临问题

• 攻击手段更为复杂精致，攻击目标更大范围
• 入侵者采用加密手段传输攻击信息
• 日益增长的网络流量导致检测分析难度加大
• 不适当的自动响应机制
• 存在对入侵检测系统自身的攻击
• 交换方法限制了网络数据的可见性

发展方向

• 宽带高速实时检测技术
• 大规模分布式检测技术
• 数据挖掘技术
• 更先进的检测算法
  • 计算机免疫技术
  • 神经网络技术
  • 遗传算法
• 入侵响应技术

入侵防御系统IPS

IPS是深层防御的最优方案

IPS与IDS:技术同源

• 核心技术基础一致
• 名称非常接近
• 通常厂商同时推出两类产品

部署方式对比

IPS	IDS
在线，流量必须通过IPS	旁路，通过镜像获得数据
实时，其时延必须满足业务要求	准实时，可接受秒级时延
立刻影响网络报文	对网络及业务无直接影响
作用范围有限制	监控范围广

设计出发点对比

IPS	IDS
无误报	无漏报
满足峰值流量和时延要求	满足平均流量，可接受秒级时延
不能影响业务系统可用性	只需关注自身功能实现

解决的问题

IPS

• IPS可提供有效的、防火墙无法提供的应用层安全防护功能。
• 但为了避免误报，IPS对未知攻击的防御能力几乎没有

IDS

• IDS从总体和趋势上的分析能力是其他安全设备难以实现的
• 同时，通过基于流量、统计等方面的分析，IDS理论上拥有在未知攻击特别是蠕虫 类攻击爆发时进行预警的能力

IPS	IDS
阻拦已知攻击（重点）	总体威胁趋势分析（重点）
为已知漏洞提供虚拟补丁（重点）	流量及连接分析（重点）
速率或流量控制	安全事件分析（重点）
行为管理	无漏报