四章入侵检测技术

4.1入侵检测系统概述入侵检测系统概述4.2入侵检测的监视技术入侵检测的监视技术4.3入侵检测的分析技术入侵检测的分析技术4.4IDS的体系结构的体系结构4.5使用使用Snort搭建搭建NIDS4.6IPS简介简介4.7IDS的发展趋势的发展趋势4.8实验实验被动安全防御技术的不足：防火墙：防火墙：80%以上的攻以上的攻击来源于组织内部；串联的击来源于组织内部；串联的工作方式使其无法进行复杂工作方式使其无法进行复杂的检测的检测 安全访问控制：黑客可安全访问控制：黑客可以通过身份窃取、利用系统以通过身份窃取、利用系统漏洞等手段绕开安全访问控漏洞等手段绕开安全访问控制机制制机制 入侵检测技术的产生：作为一种积极主动的安作为一种积极主动的安全防护技术，对各种被动防全防护技术，对各种被动防护技术起到了极其有益的补护技术起到了极其有益的补充充 它从计算机网络或计算它从计算机网络或计算机系统中的若干关键点处收机系统中的若干关键点处收集信息，并对其分析，从中集信息，并对其分析，从中发现网络或系统中是否有违发现网络或系统中是否有违反安全策略的行为或被攻击反安全策略的行为或被攻击的迹象的迹象 事件产生器事件分析器响应单元事件数据库 CIDF体系结构图体系结构图 事件产生器事件产生器：负责从入侵检测系负责从入侵检测系统外的计算环境中获得事件。统外的计算环境中获得事件。事件分析器事件分析器：对事件进行分析，判对事件进行分析，判断其是否属于攻击。断其是否属于攻击。响应单元响应单元：在发现攻击时作出响应：在发现攻击时作出响应,包括终止进程、重置连接、修改防包括终止进程、重置连接、修改防火墙规则等。火墙规则等。事件数据库事件数据库：用于存放中间数据或：用于存放中间数据或最终数据。它既可以是数据库，也最终数据。它既可以是数据库，也可以是简单的文本文件。可以是简单的文本文件。根据监视数据的来源 基于主机的基于主机的IDS：以主机上发生的各种事情为监控对象：以主机上发生的各种事情为监控对象 基于网络的基于网络的IDS：以网络上的数据包为监控对象：以网络上的数据包为监控对象根据检测时采用的分析技术 基于误用检测的基于误用检测的IDS：依据病毒的行为特征来检测病毒：依据病毒的行为特征来检测病毒 基于异常检测的基于异常检测的IDS：依据正常用户或程序的行为特征来检：依据正常用户或程序的行为特征来检 测病毒测病毒根据检测到入侵时采取的行动 被动被动IDS：检测到入侵时，发出警报并记录下包的信息：检测到入侵时，发出警报并记录下包的信息 主动主动IDS：不但给出警报，还会对恶意行为作出响应：不但给出警报，还会对恶意行为作出响应基于主机的入侵检测系统（基于主机的入侵检测系统（host-based IDS，HIDS）用来保用来保护单台主机，负责监视系统内发生的各种活动，并在可疑事护单台主机，负责监视系统内发生的各种活动，并在可疑事件发生时给出警报或做出响应件发生时给出警报或做出响应。HIDS可对系统中的多种对象进行监控，包括：可对系统中的多种对象进行监控，包括：v 系统日志系统日志v 网络连接网络连接v 文件系统文件系统 基于网络的入侵检测系统（基于网络的入侵检测系统（Network-based IDS，NIDS）用来保护网络中的多台主机，它以网络中的用来保护网络中的多台主机，它以网络中的数据包作为分析对象数据包作为分析对象由于需处理大量数据，由于需处理大量数据，NIDS一般位于专用硬件平台上一般位于专用硬件平台上所在主机的网卡需设为混杂模式所在主机的网卡需设为混杂模式v NIDS的部署位置？的部署位置？与网络本身的拓扑结构、管理员希望达到的与网络本身的拓扑结构、管理员希望达到的监控目的有关。监控目的有关。v 如何处理交换式网络？如何处理交换式网络？使用带调试端口的交换机；使用带调试端口的交换机；使用使用Hub或或Trap。混合型混合型IDS的基本特点的基本特点v 结合了结合了HIDS和和NIDS的特点，既可以发现网的特点，既可以发现网络中的攻击行为，又可以从系统日志中发现络中的攻击行为，又可以从系统日志中发现异常情况异常情况v 一般采用分布监控、集中分析的体系结构一般采用分布监控、集中分析的体系结构 基于阀值：统计事件在一定时间内发生频率，当其发基于阀值：统计事件在一定时间内发生频率，当其发生频率超出正常值时，则认为出现了攻击事件。生频率超出正常值时，则认为出现了攻击事件。基于轮廓：对用户过去的行为特征进行刻画，然后检基于轮廓：对用户过去的行为特征进行刻画，然后检查当前活动与这些特征（若干参数）间的差异，该方查当前活动与这些特征（若干参数）间的差异，该方法以分析审计日志为基础法以分析审计日志为基础。计算机免疫系统生物有机体自 体非 自 体通过自体耐受得到的检测器解码器：解码器：负责从网络接口上获取数据包。负责从网络接口上获取数据包。检测引擎：检测引擎：该子系统是该子系统是Snort工作在入侵检测模式下的核心部分，工作在入侵检测模式下的核心部分，它使用基于规则匹配的方式来检测每个数据包。一旦发现数据它使用基于规则匹配的方式来检测每个数据包。一旦发现数据包的特征符合某个规则定义，则触发相应的处理操作。包的特征符合某个规则定义，则触发相应的处理操作。日志警报子系统：日志警报子系统：规则中定义了数据包的处理方式，包括规则中定义了数据包的处理方式，包括alter（报警）、（报警）、log（记录）和（记录）和pass（忽略）等，但具体的（忽略）等，但具体的alter和和log操作则是由日志操作则是由日志/警报子系统完成的。日志子系统将解码得到的警报子系统完成的。日志子系统将解码得到的信息以信息以ASCII码的格式或以码的格式或以tcpdump的格式记录下来，报警子的格式记录下来，报警子系统将报警信息发送到系统将报警信息发送到syslog、socket或数据库中。或数据库中。预处理器：预处理器：可选部件，用于提供除规则匹配外的检测机制。可选部件，用于提供除规则匹配外的检测机制。输出插件：输出插件：可选部件。用来格式化警报信息。使得管理员可以可选部件。用来格式化警报信息。使得管理员可以按照公司环境来配置容易理解、使用和查看的报警和日志方法。按照公司环境来配置容易理解、使用和查看的报警和日志方法。解码器预处理器检测引擎输出插件日志/警报子系统ruletype myalter type alter output alter_syslog:LOG_AUTH LOG_ALERT output database:log,mysql,user=snort dbname=snort host=localhost 用来检测复杂的攻击用来检测复杂的攻击 包含了一个或多个规则选项；多个规则选项之间的关系为逻辑包含了一个或多个规则选项；多个规则选项之间的关系为逻辑与，即只有在所有选项定义的条件都为真的条件下，才执行规与，即只有在所有选项定义的条件都为真的条件下，才执行规则头中定义的行为则头中定义的行为 例如：例如：content:”|E8C0FFFFFF|/bin”其中，括号内的部分为可选的，即不是所有的选项都有对应的其中，括号内的部分为可选的，即不是所有的选项都有对应的参数值。例如：参数值。例如：nocase将将IDS与防火墙的功能集中在一起，形成一种新的产品：入侵防与防火墙的功能集中在一起，形成一种新的产品：入侵防御系统（御系统（Intrusion Prevention System，IPS），有时又称入侵检），有时又称入侵检测和防御系统（测和防御系统（Intrusion Detection and Prevention，IDP）IPS采用串接的工作方式，通常部署在防火墙之后，对通过防火墙的数据包进行进一步检查过滤。分布式入侵检测通用入侵检测技术应用层入侵检测智能入侵检测入侵检测的评测方法综合性检测系统 alter tcp$TELNET_SERVER 23-$TELNET_CLIENT any(msg:haha,I got a bad one;content:Login incorrect;nocase;flow:from_server,established;classtype:bad-unknown;sid:777;rev:1;)var TELNET_SERVER 192.168.0.179var TELNET_CLIENT!192.168.0.253 点击点击“开始开始”-“运行运行”，输入，输入“telnet 192.168.0.179”连接连接telnet服务器；服务器；连接成功后，服务器会提示输入用户名和密码。此时，输入正确的用户连接成功后，服务器会提示输入用户名和密码。此时，输入正确的用户名和错误的密码。之后，会看到屏幕上会名和错误的密码。之后，会看到屏幕上会“Login incorrect”的提示。的提示。图1：alter文件中的报警信息图2：日志文件中的包信息telnet服务器IP:192.168.0.179编写自定义编写自定义的的Snort规则规则telnet客户端IP：192.168.0.176模拟模拟telnet登陆失败登陆失败查看日志文件，查看日志文件，确认确认SnortSnort已检已检测到该事件测到该事件