入侵检测技术

课程目标

了解需要入侵检测技术的原因

熟知入侵检测系统（IDS）的概念、结构、分类及作用

掌握入侵检测技术及其应用

目录

Why 为什么要学习IDS

1.防火墙不能保证绝对的安全

网络边界的设备

自身可以被攻破

对某些攻击保护很弱

不是所有的威胁来自防火墙外部

防火墙是锁，入侵检测系统是监视器

2.入侵很容易

入侵教程随处可见

各种工具唾手可得

3.IDS是唯一一个通过数据和行为模式判断其是否有效的系统

防火墙就像一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子；访问控制系统可以不让低级权限的人做越权控制，但无法保证高级权限的做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限。

IDS系统可以实时监测，及时发现风险，规避风险

4.IDS的意义

1).探查攻击来源

如果有黑客针对企业内部网络，甚至防火墙本身进行攻击时，入侵检测系统能及时地提醒您，并告知攻击的来源。

2).提供攻击特征

        如果有人获取了服务器的root权限，我们就需要知道他们是如何做到的，这样我们才能防止它再次发生，优秀的入侵检测系统能提供攻击的特征描述，甚至包括一个个按键的回放，这样有助于安全专家分析攻击过程，由此得出系统或配置的漏洞，从而防止再次受到同样的攻击。

3).检测内部网络威胁

        在网络中安置入侵检测系统，能够发现来自于内部网的未授权用户访问，发现威胁是来自于一般员工的误操作，还是不满员工的刻意行为，或者合约商的非授权范围，入侵检测系统可以放置于任何关键区域中，例如DMZ区或者在防火墙内部的边界上将网络入侵检测系统的探测器配置在特定的更敏感的网段中，或者将基于主机的入侵。

4).减轻重要网段或关键服务器的威胁

        检测系统安放于关键服务器中，偶然的，可疑的威胁将通过入侵检测系统来判别，攻击和非授权行为能被及时地发现，先进的安全组件互动机制还能修改安全策略来阻止进一步的攻击，这使安全风险得到有效的控制和减轻。

5).取得起诉用的法律证据

        在我国，电子证据也已经日渐成为一种新的证据形式被逐步接受，网络入侵检测系统的信息提供了网络行为的视图，它通过从多个点收集到标准化的数据，不仅用于事件关联和发现攻击，也可用于行为跟踪。隐藏在旁路的入侵检测系统往往不容易被黑客发现而删除记录，其中保存完好的数据往往是作为法庭起诉的有力证据。

What-IDS是什么

入侵检测系统概念

        IDS是一种对网络传输即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。IDS是一种积极主动的安全防护技术，通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。

入侵检测系统组成结构

响应单元：是对分析结果作出反应的功能单元，它可以作出切断连接，改变文件属性等强烈反应，也可以只是简单的报警。

事件分析器：接收事件信息，经过分析得到数据，并产生分析结果，并将判断的结果转变为警告信息。

事件数据库：是存放各种中间和最终数据的地方的统称，它可以上复杂的数据库，也可以说简单的文本文件。

事件产生器：它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

功能作用

入侵检测功能：

监控、分析用户和系统的活动

发现入侵企图或异常现象

审计系统的配置和弱点

评估关键系统和数据文件的完整性

对异常活动的统计分析

识别攻击的活动模式

实时报警和主动响应

实时监测、安全审计

监控、分析用户和系统的活动：入侵检测任务的前提条件：通过获取进出某台主机及整个网络的数据，来监控用户和系统的活动。如果入侵检测系统不能实时地截获数据包并进行分析，那么就会出现包或者网络阻塞的现象。

发现入侵企图或异常现象：入侵检测的核心功能包括两个方面：一是对进出网络的数据流进行监控，查看是否存在入侵行为；二是评估系统关键资源和数据文件的完整性，查看是否已经遭受了入侵行为。

记录、报警和响应：对于前面的分析，找出攻击行为，针对不同的攻击，记录他们的基本情况，然后做出相应的响应（包括报警、拦截）

入侵检测系统优、缺点

优点：

1.提高系统的监控能力

2.从入口点到出口点跟踪用户的活动

3.识别汇报数据文件的变化

4.侦测系统配置错误并纠正

4.识别特殊攻击类型，并向管理人员发出警报。

缺点：

1.不能弥补差的认证机制

2.需要过多的人为干预

3.不知道安全策略的内容

4.不能弥补网络协议的弱点

5.不能分析一个堵塞的网络

6.不能分析加密的数据

工作原理

IDS引擎功能结构

• 采用旁路方式全面侦听网上信息流，实时分析
• 将分析结果与探测器上运行的策略集相匹配
• 执行报警、阻断、日志等功能
• 完成对控制中心指令单接受和相应工作

IDS控制中心功能结构

• 提供报警显示
• 提供对预警信息都记录、检索和统计功能
• 指定入侵检测的策略
• 控制探测器系统的运行状态
• 收集来自多台引擎的上报事件，综合进行事件分析，以多种方式对入侵事件进行快速响应。

IDS工作过程

IDS技术详解

模式匹配

        模式匹配技术也成为攻击特征检测技术，将收集到的信息与已知的入侵模式数据库进行比较，从而发现违背安全策略的行为。

        模式匹配技术经过多年发展已经相当成熟，使得检测准确率和效率都很高，这也是模式匹配技术至今仍然存在并被使用的理由。模式匹配这种检测机制对已知攻击的报警比较准确，局限是它只能发现已知的攻击，对未知的攻击无能为力，而且误报率比较高。最为不足的是对任何企图绕开入侵检测的网络攻击欺骗都无能为力，因此会产生大量的虚假报警，以至于淹没了真正的攻击检测。

协议分析

        协议分析最大的特点是将捕获的数据包从网络层一直送达应用层，将真实数据还原出来，然后将还原出来的数据再与规则库进行匹配，因此它能够对数据包进行结构化协议分析来识别入侵企图和行为。

        采用协议分析技术的入侵检测系统能够理解不同协议的原理，由此分析这些协议的流量，来寻找可疑的或不正常的行为。

误用检测

        误用检测技术又称为基于知识点检测或特征检测，是指通过将收集到的数据与预先确定的特征知识库里的各种攻击模式进行比较，如果发现攻击特征，则进行告警。

数据挖掘

        数据挖掘技术也被称为数据库知识发现技术（KDD），是一个较新的研究领域，就是从数据中发现肉眼难以发现的固定模式或异常现象。数据挖掘遵循基本都归纳过程将数据进行整理分析，并从海量数据中自动抽取和发现有用模式或知识。

异常检测

        异常检测所根据用户行为或资源使用的正常模式来判定当前活动是否偏离了正常或期望的活动规律，若有就表示有攻击行为发生，系统将产生入侵警戒信号。

基于机器学习的异常检测方法

基于模式归纳的异常检测方法

基于数据挖掘的异常检测方法

基于统计模型店异常检测方法

IDS分类

基于数据源

基于混合数据源的入侵检测系统

基于主机的入侵检测系统（HIDS）

        用于保护运行关键应用的服务器，通过监视与分析主机的审计记录和日志文件来检测入侵，日志中包含发生在系统上的不寻常活动的证据，通过查看日志文件，能够发现成功的入侵或入侵企图，并启动相应的应急措施。

基于网络的入侵检测系统（NIDS）

        用于实时监控网络关键路径的信息，它能够监听网络上的所有分组，并采集数据以分析现象。使用原始的网络包作为数据源，通常利用一个运行中混杂模式下的网络适配器来进行实时监控，并分析通过网络的所有通信业务。

基于检测原理

异常入侵检测

是能够根据异常行为和使用计算机资源的情况检测入侵，基于异常检测的入侵检测首先要构建用户正常行为的统计模型，然后将当前行为与正常行为特征相比较来检测入侵。常用的异常检测技术也概率统计法和神经网络方法两种。

误用入侵检测

是通过将收集到的时间与预先确定的特征知识库里的各种攻击模式进行比较，发现有攻击特征，则判断有攻击，完全依靠特征库来做出判断，所以不能判断未知攻击。常用的误用检测技术有专家系统、模型推理和状态转换分析。

基于响应方式

主动响应：对被动攻击系统实施控制和对攻击系统实施控制

被动响应：只会发出警告通知，将发生不正常情况报告管理员，本身不降低造成的破坏，更不会主动对攻击的行为反击。

基于体系结构

集中式：包含多个分布于不同主机上的审计程序，只有一个中央入侵检测服务器，审计程序把收集数据发给中央服务器分析处理。

等级式：定义了若干个分等级的监控区域，每个入侵检测系统负责一个区域，每一级入侵检测系统只负责分析所监控区域，然后将当地的分析结果传送给上一级入侵检测系统。

协作式：将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当地主机的某些活动。

基于工作方式

离线检测

是一种非实时工作的系统，在事件发生后分析审计事件，从中检查入侵事件。这类系统成本低，可分析大量事件，调查长期情况，但因是事后进行，不能对系统提供及时保护，入侵者完成后会删除相应的日志，因而无法进行审计。

在线监测

在线监测对网络数据包或主机的审计事件进行实时分析，可以快速响应，保护系统安全，但这系统规模较大时难以保证实时性。

发展历程

入侵管理技术的发展

第一代：协议解码+模式匹配

优点：对已知攻击有效、误报率低

缺点：及其容易躲避，漏报率

第二代：模式匹配+简单协议分析+异常统计

优点：能够分析和处理一部分协议，重组

缺点：匹配效率较低，管理功能较弱

第三代：完全协议分析+模式匹配+异常统计

优点：误报、漏报、滥报率低，效率高，可管理性强

缺点：可视化程度不高，防范及管理功能较弱

第四代：安全管理+协议分析+模式匹配+异常统计

优点：入侵管理、多项技术协同、安全保障

缺点：专业化程度较高、成本较高

How-IDS怎么用

IDS的部署

        IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接着任何链路上，无需网络流量流经它便可以工作。因此，对IDS的部署的唯一要求是：IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里，所关注流量，指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

        IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源，尽可能靠近受保护资源，如：

服务器区域的交换机上;

Internet接入路由器之后的第一台交换机上；

重点保护网段的局域网交换机上;

IDS两种部署实现方法

1.基于网络IDS的实现

基于网络的IDS（NIDS）一般部署在系统防火墙之后，作为防火墙被突破后下一道安全防护措施。它的原理是对数据包的分析，通过分析结果判断是否存在网络攻击等行为。

2.基于主机IDS实现

主机IDS （HIDS）运行于被检测的主机之上，通过查询、监听当前系统的各种资源的运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。其监测点资源主要包括：网络、文件、进程、系统日志等。