网络与信息安全第16章入侵检测

第 16章 入 侵 检 测对 付 网 络 入 侵 ， 只 有 防 火 墙 是 不 够 的 。 防火 墙 只 是 试 图 抵 挡 网 络 入 侵 者 ， 很 难 去发 现 入 侵 的 企 图 和 成 功 的 入 侵 。 这 就 需要 一 种 新 的 技 术 入 侵 检 测 技 术 。 入 侵检 测 技 术 能 发 现 网 络 入 侵 者 的 入 侵 行 为和 入 侵 企 图 ， 及 时 向 用 户 发 出 警 报 ， 将入 侵 消 灭 在 成 功 之 前 。 第 16章 入 侵 检 测 Network and Information Security 16.1 入 侵 检 测 系 统 概 述 入 侵 检 测 系 统 的 任 务 和 作 用 是 ：(1)监 视 、 分 析 用 户 及 系 统 活 动 ；(2)对 系 统 弱 点 的 审 计 ；(3)识 别 和 反 应 已 知 进 攻 的 活 动 模 式 并 向 相 关 人 士 报警 ；(4)异 常 行 为 模 式 的 统 计 分 析 ；(5)评 估 重 要 系 统 和 数 据 文 件 的 完 整 性 ；(6)操 作 系 统 的 审 计 跟 踪 管 理 ， 识 别 用 户 违 反 安 全 策略 的 行 为 。 Network and Information Security 第 16章 入 侵 检 测 入 侵 检 测 系 统 有 两 个 指 标 。 一 是 漏 报 率 ， 指 攻 击事 件 没 有 被 IDS检 测 到 ， 与 其 相 对 的 是 检 出 率 ；二 是 误 报 率 ， 指 把 正 常 事 件 识 别 为 攻 击 并 报 警 。误 报 率 与 检 出 率 成 正 比 例 关 系 。 Network and Information Security 第 16章 入 侵 检 测 0 检 出 率 100% 100% 误报率 16.2.1 入 侵 检 测 系 统 的 CIDF模 型 Network and Information Security 第 16章 入 侵 检 测16.2 入 侵 检 测 系 统 结 构响应单元 原始数据源事件分析器 事件产生器 事件数据库 IETF的 入 侵 检 测 系 统 模 型 Network and Information Security 第 16章 入 侵 检 测 安全策略 通知告警事件活动探测器 响应探测器数据源 分析器管理员 管理器 操作员 Denning的 通 用 入 侵 检 测 系 统 模 型 Network and Information Security 第 16章 入 侵 检 测 历史行为特征审计记录新建行为特征 规则提取创建规则设计与更新更新 学习规则集处理引擎正常行为特征轮廓时钟主体活动 异常记录 16.3.1 按 数 据 来 源 的 分 类由 于 入 侵 检 测 是 个 典 型 的 数 据 处 理 过 程 ， 因而 数 据 采 集 是 其 首 当 其 冲 的 第 一 步 。 同 时 ，针 对 不 同 的 数 据 类 型 ， 所 采 用 的 分 析 机 理也 是 不 一 样 的 。 根 据 入 侵 检 测 系 统 输 入 数据 的 来 源 来 看 ， 它 可 分 为 ： 基 于 主 机 的 入侵 检 测 系 统 、 基 于 网 络 的 入 侵 检 测 系 统 和分 布 式 入 侵 检 测 系 统 。 Network and Information Security 第 16章 入 侵 检 测16.3 入 侵 检 测 系 统 类 型 1.基 于 主 机 的 (Host-Based)入 侵 检 测 系 统基 于 主 机 的 入 侵 检 测 系 统 (HIDS)通 常 以 系 统 日 志 、 应 用 程序 日 志 等 审 计 记 录 文 件 作 为 数 据 源 。 它 是 通 过 比 较 这 些审 计 记 录 文 件 的 记 录 与 攻 击 签 名 (Attack Signature， 指用 一 种 特 定 的 方 式 来 表 示 已 知 的 攻 击 模 式 )以 发 现 它 们 是否 匹 配 。 如 果 匹 配 ， 检 测 系 统 就 向 系 统 管 理 员 发 出 入 侵报 警 并 采 取 相 应 的 行 动 。 基 于 主 机 的 IDS可 以 精 确 地 判 断入 侵 事 件 ， 并 可 对 入 侵 事 件 作 出 立 即 反 应 。它 具 有 着 明 显 的 优 点 ：(1) 能 够 确 定 攻 击 是 否 成 功(2) 非 常 适 合 于 加 密 和 交 换 环 境(3) 近 实 时 的 检 测 和 响 应(4) 不 需 要 额 外 的 硬 件(5) 可 监 视 特 定 的 系 统 行 为 Network and Information Security 第 16章 入 侵 检 测 2.基 于 网 络 的 (Network-Based)入 侵 检 测 系 统以 原 始 的 网 络 数 据 包 作 为 数 据 源 。 它 是 利 用 网 络适 配 器 来 实 时 地 监 视 并 分 析 通 过 网 络 进 行 传 输的 所 有 通 信 业 务 的 。 其 攻 击 识 别 模 块 在 进 行 攻击 签 名 识 别 时 常 用 的 技 术 有 ： 模 式 、 表 达 式 或 字 节 码 的 匹 配 ； 频 率 或 阈 值 的 比 较 ； 事 件 相 关 性 处 理 ； 异 常 统 计 检 测 。 一 旦 检 测 到 攻 击 ， IDS的 响 应 模 块 通 过 通 知 、报 警 以 及 中 断 连 接 等 方 式 来 对 攻 击 行 为 作 出 反应 。 Network and Information Security 第 16章 入 侵 检 测 较 之 于 基 于 主 机 的 IDS， 它 有 着 自 身 明 显 的 优 势 ：(1) 攻 击 者 转 移 证 据 更 困 难(2) 实 时 检 测 和 应 答(3) 能 够 检 测 到 未 成 功 的 攻 击 企 图(4) 操 作 系 统 无 关 性(5) 较 低 的 成 本当 然 ， 对 于 基 于 网 络 的 IDS来 讲 ， 同 样 有 着 一 定 的 不 足 ：它 只 能 监 视 通 过 本 网 段 的 活 动 ， 并 且 精 确 度 较 差 ； 在交 换 网 络 环 境 中 难 于 配 置 ； 防 欺 骗 的 能 力 比 较 差 ， 对于 加 密 环 境 它 就 更 是 无 能 为 力 了 。 Network and Information Security 第 16章 入 侵 检 测 3.分 布 式 的 入 侵 检 测 系 统 从 以 上 对 基 于 主 机 的 IDS和 基 于 网 络 的 IDS的分 析 可 以 看 出 ： 这 两 者 各 自 都 有 着 自 身 独 到 的 优势 ， 而 且 在 某 些 方 面 是 很 好 的 互 补 。 如 果 采 用 这两 者 结 合 的 入 侵 检 测 系 统 ， 那 将 是 汲 取 了 各 自 的长 处 ， 又 弥 补 了 各 自 的 不 足 的 一 种 优 化 设 计 方 案 。通 常 ， 这 样 的 系 统 一 般 为 分 布 式 结 构 ， 由 多 个 部件 组 成 ， 它 能 同 时 分 析 来 自 主 机 系 统 的 审 计 数 据及 来 自 网 络 的 数 据 通 信 流 量 信 息 。 分 布 式 的 IDS将 是 今 后 人 们 研 究 的 重 点 ， 它是 一 种 相 对 完 善 的 体 系 结 构 ， 为 日 趋 复 杂 的 网 络环 境 下 的 安 全 策 略 的 实 现 提 供 了 最 佳 的 解 决 方 案 。 Network and Information Security 第 16章 入 侵 检 测 16.3.2 按 分 析 技 术 的 分 类 从 入 侵 检 测 的 典 型 实 现 过 程 可 以 看 出 ，数 据 分 析 是 入 侵 检 测 系 统 的 核 心 ， 它 是 关 系到 能 否 检 测 出 入 侵 行 为 的 关 键 。 检 出 率 是 人们 关 注 的 焦 点 ， 不 同 的 分 析 技 术 所 体 现 的 分析 机 制 也 是 不 一 样 的 ， 从 而 对 数 据 分 析 得 到的 结 果 当 然 也 就 大 不 相 同 ， 而 且 不 同 的 分 析技 术 对 不 同 的 数 据 环 境 的 适 用 性 也 不 一 样 。根 据 入 侵 检 测 系 统 所 采 用 的 分 析 技 术 来 看 ，它 可 以 分 为 采 用 异 常 检 测 的 入 侵 检 测 系 统 和采 用 误 用 检 测 的 入 侵 检 测 系 统 。 Network and Information Security 第 16章 入 侵 检 测 1.异 常 检 测 (Anomaly Detection) 假 定 所 有 的 入 侵 行 为 都 是 异 常 的 ， 即 入 侵 行 为 是 异 常 行 为的 子 集 。 原 理 是 ： 首 先 建 立 系 统 或 用 户 的 “ 正 常 ” 行 为 特 征 轮廓 ， 通 过 比 较 当 前 的 系 统 或 用 户 的 行 为 是 否 偏 离 正 常 的 行 为 特征 轮 廓 来 判 断 是 否 发 生 了 入 侵 行 为 。 Network and Information Security 第 16章 入 侵 检 测 动态产生新的行为特征更新审计数据 偏离正常行为特征系统正常的行为特征轮廓统计分析 入侵行为 从 异 常 检 测 的 实 现 机 理 来 看 ， 异 常 检 测 所 面 临 的 关键 问 题 有 ：(1) 特 征 量 的 选 择(2) 阈 值 的 选 定 (3) 比 较 频 率 的 选 取 从 异 常 检 测 的 原 理 我 们 可 以 看 出 ， 该 方 法 的 技 术 难点 在 于 ： “ 正 常 ” 行 为 特 征 轮 廓 的 确 定 ； 特 征 量的 选 取 ； 特 征 轮 廓 的 更 新 。 由 于 这 几 个 因 素 的 制约 ， 异 常 检 测 的 误 报 率 会 很 高 ， 但 对 于 未 知 的 入侵 行 为 的 检 测 非 常 有 效 ， 同 时 它 也 是 检 测 冒 充 合法 用 户 的 入 侵 行 为 的 有 效 方 法 。 Network and Information Security 第 16章 入 侵 检 测 2.误 用 检 测 (Misuse Detection)其 基 本 前 提 是 ： 假 定 所 有 可 能 的 入 侵 行 为 都能 被 识 别 和 表 示 。 原 理 是 ： 首 先 对 已 知 的攻 击 方 法 进 行 攻 击 签 名 (攻 击 签 名 是 指 用 一种 特 定 的 方 式 来 表 示 已 知 的 攻 击 模 式 )表 示 ，然 后 根 据 已 经 定 义 好 的 攻 击 签 名 ， 通 过 判断 这 些 攻 击 签 名 是 否 出 现 来 判 断 入 侵 行 为的 发 生 与 否 。 同 样 ， 误 用 检 测 也 存 在 着 影响 检 测 性 能 的 关 键 问 题 ： 攻 击 签 名 的 恰 当表 示 。 Network and Information Security 第 16章 入 侵 检 测 误 用 检 测 的 主 要 局 限 性 表 现 在 ： (1) 它 只 能 根 据 已 知 的 入 侵 序 列 和 系 统 缺 陷 的模 式 来 检 测 系 统 中 的 可 疑 行 为 ， 而 面 对 新 的 入 侵攻 击 行 为 以 及 那 些 利 用 系 统 中 未 知 或 潜 在 缺 陷 的越 权 行 为 则 无 能 为 力 。 也 就 是 说 ， 不 能 检 测 未 知的 入 侵 行 为 。 (2) 与 系 统 的 相 关 性 很 强 ， 即 检 测 系 统 知 识 库中 的 入 侵 攻 击 知 识 与 系 统 的 运 行 环 境 有 关 。 对 于不 同 的 操 作 系 统 ， 由 于 其 实 现 机 制 不 同 ， 对 其 攻击 的 方 法 也 不 尽 相 同 ， 因 而 很 难 定 义 出 统 一 的 模式 库 。 (3) 对 于 系 统 内 部 攻 击 者 的 越 权 行 为 ， 由 于 他们 没 有 利 用 系 统 的 缺 陷 ， 因 而 很 难 检 测 出 来 。 Network and Information Security 第 16章 入 侵 检 测 3.采 用 两 种 技 术 混 合 的 入 侵 检 测入 侵 检 测 的 两 种 最 常 用 技 术 在 实 现 机 理 、 处理 机 制 上 存 在 明 显 的 不 同 ， 而 且 各 自 都 有着 自 身 无 法 逾 越 的 障 碍 ， 使 得 各 自 都 有 着某 种 不 足 。 但 是 采 用 这 两 种 技 术 混 合 的 方案 ， 将 是 一 种 理 想 的 选 择 ， 这 样 可 以 做 到优 势 互 补 。 Network and Information Security 第 16章 入 侵 检 测 16.3.3 其 它 的 分 类除 了 上 述 对 入 侵 检 测 系 统 的 基 本 分 类 外 ， 还 有其 它 不 同 形 式 的 分 类 方 法 ， 如 按 照 入 侵 检 测系 统 的 响 应 方 式 来 划 分 ， 可 分 为 主 动 的 入 侵检 测 系 统 和 被 动 的 入 侵 检 测 系 统 。 主 动 的 入侵 检 测 系 统 对 检 测 到 的 入 侵 行 为 进 行 主 动 响应 、 处 理 ， 而 被 动 的 入 侵 检 测 系 统 则 对 检 测到 的 入 侵 行 为 仅 进 行 报 警 。 Network and Information Security 第 16章 入 侵 检 测 经 典 的 入 侵 检 测 技 术 都 需 要 大 量 或 者 是 完 备 的 审计 数 据 集 才 能 达 到 比 较 理 想 的 检 测 性 能 ， 因 此计 算 量 大 ， 并 且 学 习 时 间 较 长 。 协 议 分 析 技 术能 有 效 避 免 这 些 方 法 中 的 缺 点 ， 协 议 分 析 技 术结 合 高 速 数 据 包 捕 捉 、 命 令 解 析 等 技 术 来 进 行入 侵 检 测 ， 提 高 了 入 侵 检 测 的 速 度 和 性 能 。16.4.1 基 于 协 议 分 析 的 检 测 方 法基 于 协 议 分 析 的 检 测 方 法 就 是 根 据 网 络 数 据 包 封装 结 构 的 有 序 性 ， 快 速 检 测 出 各 层 协 议 中 可 能的 攻 击 特 征 。 Network and Information Security 16.4 基 于 协 议 分 析 的 入 侵 检 测 技 术 第 16章 入 侵 检 测 TCP/IP协 议 是 一 组 不 同 层 次 上 多 个 协 议 的组 合 ， 每 一 层 上 的 协 议 分 别 负 责 不 同 的通 信 功 能 。 下 层 协 议 为 上 层 协 议 的 实 现提 供 服 务 。 只 有 下 层 协 议 的 特 征 得 到 满足 才 考 虑 上 层 协 议 的 特 征 。 因 此 ， 从 分类 上 来 说 下 层 协 议 可 以 看 成 是 上 层 协 议数 据 包 的 大 类 。 在 TCP/IP协 议 实 现 时 ，上 层 协 议 的 一 些 细 节 可 以 在 下 层 协 议 的实 现 中 得 到 体 现 。 Network and Information Security 第 16章 入 侵 检 测 传 统 的 检 测 方 法 是 入 侵 检 测 系 统 在 网 络 数 据 包 里 检查 某 个 攻 击 特 征 存 在 性 的 一 种 技 术 ， 它 认 为 数 据包 都 是 无 序 的 ， 只 是 被 动 的 执 行 匹 配 ， 因 此 具 有计 算 量 大 、 准 确 率 低 的 缺 陷 。 而 实 际 上 网 络 数 据包 不 是 一 个 随 机 变 换 的 字 节 流 ， 而 是 一 组 高 度 规则 的 数 据 ， 数 据 包 中 的 字 节 符 合 一 套 广 泛 而 详 细的 规 则 。 协 议 分 析 的 方 法 就 是 利 用 网 络 协 议 的 有序 性 ， 快 速 检 测 出 各 个 攻 击 特 征 的 存 在 。 协 议 分析 方 法 的 功 能 是 辨 别 数 据 包 的 协 议 类 型 ， 以 便 使用 相 应 的 检 测 函 数 来 检 测 数 据 包 ， 并 根 据 协 议 首部 相 应 的 字 段 确 定 上 层 协 议 ， 直 至 完 成 应 用 层 协议 的 解 析 。 Network and Information Security 第 16章 入 侵 检 测 16.4.2 协 议 分 析 树网 络 数 据 包 是 一 组 高 度 规 则 的 数 据 ， 数 据 包 中 的 字 节 符 合 一套 广 泛 而 详 细 的 规 则 。 基 于 此 原 理 ， 可 以 把 所 有 的 协 议 构成 一 棵 协 议 树 ， 一 个 特 定 的 协 议 是 树 结 构 中 的 一 个 节 点 。 Network and Information Security 第 16章 入 侵 检 测Fram e ARPIP RARP TCPUDPICMP HTTPFTPSNMPTFTP 构 建 带 权 重 协 议 分 析 树树 的 节 点 数 据 结 构 中 应 包 含 该 协 议 的 特 征 、 协 议 名称 、 协 议 代 号 、 协 议 权 重 、 下 层 协 议 代 号 、 协 议对 应 的 检 测 函 数 链 表 。根 据 日 志 记 录 中 各 种 协 议 受 到 攻 击 次 数 的 统 计 ， 可以 预 测 以 后 可 能 发 生 的 入 侵 。 因 此 可 以 给 协 议 分析 树 的 节 点 赋 权 重 ， 表 示 基 于 该 节 点 协 议 入 侵 的可 能 性 ， 取 值 范 围 为 V=0（ 最 不 可能 ） ,0.1,0.2,.,1（ 最 可 能 ） 。 当 进 行 分 析时 ， 权 大 的 协 议 要 尽 可 能 的 启 动 所 有 检 测 函 数 ，权 小 的 协 议 可 以 只 启 动 必 要 的 检 测 函 数 。 Network and Information Security 第 16章 入 侵 检 测 16.5 几 种 商 用 入 侵 检 测 系 统 16.5.1 ISS BlackICEBlackICE Server Protection 软 件 （ 以 下 简 称 BlackICE）是 由 ISS安 全 公 司 出 品 的 一 款 著 名 的 基 于 主 机 的 入 侵 检测 系 统 。16.5.2 ISS RealSecureRealSecure是 一 种 领 导 市 场 的 攻 击 检 测 方 案 ， 它 提 供 了分 布 式 的 安 全 体 系 结 构 。 多 个 检 测 引 擎 可 以 监 控 不 同的 网 络 并 向 中 央 管 理 控 制 台 报 告 。16.5.3 Dragon入 侵 检 测 系 统Dragon的 特 色 ： Dragon为 探 测 整 个 IT基 础 设 施 中 的 滥 用和 各 种 攻 击 提 供 了 一 个 集 成 的 解 决 方 案 。 通 过 把 网 络上 探 测 到 的 事 件 同 主 机 、 防 火 墙 和 应 用 系 统 上 探 测 到的 事 件 结 合 起 来 ， Dragon为 大 企 业 和 小 企 业 都 提 供 了完 整 的 入 侵 检 测 解 决 方 案 。 Network and Information Security 第 16章 入 侵 检 测