1、信息安全與技術(jsh)清華大學出版社共三十二頁第6章 入侵檢測(jin c)技術 傳統上，企業網絡一般采用防火墻作為安全的第一道防線，但隨著攻擊工具與手法的日趨復雜多樣，單純的防火墻策略已經無法滿足對網絡安全的進一步需要，網絡的防衛必須采用一種縱深的、多樣化的手段。入侵檢測系統是繼防火墻之后，保護網絡安全的第二道防線，它可以在網絡受到攻擊時，發出警報(jngbo)或者采取一定的干預措施，以保證網絡的安全。共三十二頁6.1 入侵(rqn)檢測的概念6.1.1 入侵檢測系統功能及工作過程6.1.2 入侵檢測技術(jsh)的分類6.1.3 入侵檢測系統的性能指標共三十二頁6.1.1 入侵檢測系統功

2、能(gngnng)及工作過程入侵是指任何企圖危及資源的完整性、機密性和可用性的活動。入侵檢測（Intrusion Detection），顧名思義，便是對入侵行為的發覺。它通過對計算機網絡或計算機系統中得若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測技術是為保證計算機系統和計算機網絡系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術。入侵檢測系統（Intrusion Detection System,簡稱IDS）是進行入侵檢測的軟件與硬件的組合。該系統對系統資源的非授權使用能夠做出及時的判斷、記錄和報警。與其他安全產

3、品不同的是，入侵檢測系統需要更多的智能，它必須可以將得到的數據進行分析，并得出有用(yu yn)的結果。一個合格的入侵檢測系統能大大的簡化管理員的工作，保證網絡安全的運行。 共三十二頁6.1.1 入侵檢測系統功能及工作(gngzu)過程入侵檢測系統的主要功能有：實時檢測：監控和分析用戶和系統活動，實時地監視、分析網絡(wnglu)中所有的數據包；發現并實時處理所捕獲的數據包，識別活動模式以反應已知攻擊。安全審計：對系統記錄的網絡事件進行統計分析；發現異常現象；得出系統的安全狀態，找出所需要的證據主動響應：主動切斷連接或與防火墻聯動，調用其他程序處理評估統計：評估關鍵系統和數據文件的完整性，統計

4、分析異常活動模式 共三十二頁6.1.2 入侵檢測技術(jsh)的分類入侵檢測按技術(jsh)可以分為特征檢測（Signature-based detection）和異常檢測（Anomaly detection）。按監測對象可以分為基于主機入侵檢測 ( HIDS )和基于網絡入侵檢測 ( NIDS )。共三十二頁6.1.2 入侵檢測技術(jsh)的分類特征檢測特征檢測是收集非正常操作的行為特征，建立相關的特征庫，當監測的用戶或系統行為與庫中的記錄相匹配時，系統就認為這種行為是入侵。特征檢測可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。特征檢測的難點是如何(rh)設計模式既能夠表達“入侵

5、”現象又不會將正常的活動包含進來，采取的主要方法是模式匹配。共三十二頁6.1.2 入侵檢測技術(jsh)的分類異常檢測異常檢測是總結正常操作應該具有的特征，建立主體正常活動的“活動簡檔”，當用戶活動狀況與“活動簡檔”相比，有重大偏離(pinl)時即被認為該活動可能是“入侵”行為。異常檢測的技術難點是異常檢測的難題在于如何建立“活動簡檔”以及如何設計統計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。常用方法是概率統計。共三十二頁6.1.2 入侵(rqn)檢測技術的分類基于主機的入侵檢測基于主機的入侵檢測產品（HIDS）主要用于保護運行關鍵應用的服務器或被重點檢測的主機之上。主要是

6、對該主機的網絡實時連接以及系統審計日志進行智能分析和判斷。如果其中主體活動十分可疑(特征或違反統計規律)，入侵檢測系統就會采取相應措施。 主機入侵檢測的優點主要表現在以下方面：入侵行為分析能力誤報率要低復雜性小，性能價格比高網絡通信要求低主機入侵檢測的缺點主要變現在以下幾個方面。影響保護目標服務器依賴性全面布署代價大不能監控(jin kn)網絡上的情況共三十二頁6.1.2 入侵檢測技術(jsh)的分類基于網絡入侵檢測網絡入侵檢測是大多數入侵檢測廠商采用的產品形式。通過捕獲和分析網絡包來探測攻擊。網絡入侵檢測可以在網段或者交換機上進行監聽，來檢測對連接在網段上的多個主機有影響的網絡通訊，從而保護

7、那些主機。 網絡入侵檢測優點表現(bioxin)在以下幾個方面:網絡通信檢測能力無需改變主機配置和性能布署風險小，獨立性和操作系統無關性定制設備，安裝簡單網絡入侵檢測缺點表現在以下幾個方面:不能檢測不同網段的網絡包很難檢測復雜的需要大量計算的攻擊協同工作能力弱難以處理加密的會話共三十二頁6.1.3 入侵檢測(jin c)系統的性能指標網絡入侵檢測系統的性能指標(zhbio)主要包括3類，即準確性指標(zhbio)、效率指標(zhbio)和系統指標(zhbio)。準確性指標 準確性指標在很大程度上取決于測試時采用的樣本集和測試環境。樣本集和測試環境不同，準確性也不相同。主要包括三個指標，即檢測率

8、、誤報率和漏報率。 檢測率是指被監視網絡在受到入侵攻擊時，系統能夠正確報警的概率。通常利用已知入侵攻擊的實驗數據集合來測試系統的檢測率。檢測率=入侵報警的數量/入侵攻擊的數量。誤報率是指系統把正常行為作為入侵攻擊而進行報警的概率和把一種周知的攻擊錯誤報告為另一種攻擊的概率。誤報率=錯誤報警數量/（總體正常行為樣本數量+總體攻擊樣本數量）。漏報率是指被檢測網絡受到入侵攻擊時，系統不能正確報警的概率。通常利用已知入侵攻擊的實驗數據集合來測試系統的漏報率。漏報率=不能報警的數量/入侵攻擊的數量共三十二頁6.1.3 入侵檢測(jin c)系統的性能指標2. 效率指標效率指標根據用戶系統(xtng)的實

9、際需求，以保證檢測質量為準；同時取決于不同的設備級別，如百兆網絡入侵檢測系統(xtng)和千兆網絡入侵檢測系統(xtng)的效率指標一定有很大差別。效率指標主要包括最大處理能力、每秒并發TCP會話數、最大并發TCP會話數等。 共三十二頁6.1.3 入侵檢測(jin c)系統的性能指標3.系統指標系統指標主要表征系統本身(bnshn)運行的穩定性和使用的方便性。系統指標主要包括最大規則數、平均無故障間隔等。 共三十二頁6.2 網絡入侵(rqn)檢測系統產品6.2.1 入侵檢測系統(xtng)簡介6.2.2 Snort入侵檢測系統共三十二頁6.2.1 入侵(rqn)檢測系統簡介入侵檢測系統作為最常

10、見的網絡安全產品之一，已經得到了非常廣泛(gungfn)的應用。當前網絡入侵檢測系統的產品有很多，主要有Snort，、金諾網安、安氏的領信IDS、啟明星辰的天闐系列、聯想的聯想網御IDS、東軟、綠盟科技的冰之眼系列、中科網威的天眼IDS、思科的Cisco IDS、CA的eTrust IDS等。共三十二頁6.2.2 Snort入侵檢測(jin c)系統1. Snort 簡介Snort是Martin Roesch等人開發的一種開放源碼的入侵檢測系統。Martin Roesch把Snort定位為一個輕量級的入侵檢測系統。它具有實時數據流量分析和IP數據包日志分析的能力，具有跨平臺特征，能夠進行協議分

11、析和對內容的搜索/匹配。它能夠檢測不同的攻擊(gngj)行為，如緩沖區溢出、端口掃描、DoS攻擊(gngj)等，并進行實時報警。共三十二頁6.2.2 Snort入侵(rqn)檢測系統2系統結構Snort具有良好的擴展性和可移植性，可支持Linux、windows等多種操作系統平臺。基于Snort和BASE的入侵檢測系統通常采用“傳感器數據庫分析平臺”的三層架構體系。傳感器即網絡數據包捕獲轉儲程序。這三種角色既可以部署于同一個主機平臺也可以部署在不同的物理平臺上，架構組織非常靈活。如果僅僅需要一個測試研究環境，單服務器部署是一個不錯的選擇；而如果需要一個穩定高效的專業IDS平臺，那么多層分布的I

12、DS無論是在安全還是在性能方面都能夠滿足。具體(jt)的部署方案還要取決于實際環境需求。共三十二頁6.2.2 Snort入侵(rqn)檢測系統3. 安裝環境一臺安裝windows2000/XP/2003操作系統的計算機，連接到本地(bnd)局域網中。需要安裝部署下列軟件包，如表6-1所示。4安裝軟件（1）WinPcap 安裝（2）Snort 安裝（3）MySQL 安裝（4）Apache 安裝（5）Php 安裝（6）ADODB 安裝（7）安裝配置數據控制臺ACID。（8）將Snort規則放入解壓 d:snort目錄下。（9）啟動snort（10）測試snort共三十二頁6.3 漏洞檢測(jin

13、c)技術和系統漏洞檢測(jin c)工具6.3.1 入侵攻擊可利用的系統漏洞類型6.3.2 漏洞檢測技術分類6.3.3 系統漏洞檢測方法6.3.4 常見(chn jin)的系統漏洞及防范6.3.5 系統漏洞檢測工具共三十二頁6.3.1 入侵攻擊可利用(lyng)的系統漏洞類型入侵者常常從收集、發現和利用(lyng)信息系統的漏洞來發起對系統的攻擊。不同的應用，甚至同一系統不同的版本，其系統漏洞都不盡相同，大致上可以分為3類（1） 網絡傳輸和協議的漏洞攻擊者利用網絡傳輸時對協議的信任以及網絡傳輸的漏洞進入系統。攻擊者還可利用協議的特性進行攻擊，攻擊者還可以設法避開認證過程，或通過假冒 (如源地址

14、) 而混過認證過程DNS、WHOIS、FINGER等服務也會泄露出許多對攻擊者有用的信息。（2） 系統的漏洞攻擊者可以利用服務進程的BUG和配置錯誤進行攻擊。因為系統內部的程序可能存在許多BUG，因此，存在著入侵者利用程序中的BUG來獲取特權用戶權限的可能。（3） 管理的漏洞攻擊者可以利用各種方式從系統管理員和用戶那里誘騙或套取可用于非法進入的系統信息，包括口令、用戶名等。共三十二頁6.3.1 入侵(rqn)攻擊可利用的系統漏洞類型通過對入侵過程的分析，系統的安全漏洞可以分為以下5類：可使遠程攻擊者獲得系統的一般訪問權限；可使遠程攻擊者獲得系統的管理權限；遠程攻擊者可使系統拒絕(jju)合法用

15、戶的服務請求；可使一般用戶獲得系統管理權限；一般用戶可使系統拒絕其他合法用戶的服務請求。共三十二頁6.3.1 入侵攻擊可利用(lyng)的系統漏洞類型從系統本身的結構看，系統的漏洞可分為：安全機制本身存在的安全漏洞；系統服務協議中存在的安全漏洞；系統、服務管理與配置的安全漏洞；安全算法(sun f)、系統協議與服務現實中存在的安全問題。共三十二頁6.3.2 漏洞(ludng)檢測技術分類漏洞檢測技術(jsh)可采用兩種策略，即被動式策略和主動式策略。前者是基于主機的檢測，對系統中不合適的設置、脆弱的密碼以及其他同安全策略相抵觸的對象進行檢查。后者是基于網絡的檢測，通過執行一些腳本文件對系統進行

16、攻擊，并記錄其反應，從而發現其中漏洞。根據所采用的技術特點，漏洞檢測技術可以分為以下5類 ：（1）基于應用的檢測技術。采用被動、非破壞性的辦法來檢查應用軟件包的設置，發現安全漏洞。（2）基于主機的檢測技術。采用被動、非破壞性的辦法對系統進行檢測，常涉及系統內核、文件的屬性、操作系統的補丁等問題。這種技術還包括口令解密，因此，這種技術可以非常準確地定位系統存在的問題，發現系統漏洞。其缺點是與平臺相關，升級復雜。共三十二頁6.3.2 漏洞檢測(jin c)技術分類（3）基于目標的檢測技術。采用被動、非破壞性的辦法檢查系統屬性和文件屬性，如數據庫、注冊號等。通過消息摘要算法，對系統屬性和文件屬性進行

17、雜湊 (Hash) 函數運算。如果函數的輸入有一點變化，其輸出就會發生大的變化，這樣文件和數據流的細微變化都會被感知。這些算法實現(shxin)是運行在一個閉環上，不斷地處理文件和系統目標屬性，然后產生校驗數，把這些校驗數同原來的校驗數相比較，一旦發現改變就通知管理員。（4）基于網絡的檢測技術。采用積極、非破壞性的辦法來檢驗系統是否有可能被攻擊而崩潰。它利用了一系列腳本對系統進行攻擊，然后對結果進行分析。網絡檢測技術常被用來進行穿透實驗和安全審計。這種技術可以發現系統平臺的一系列漏洞，也容易安裝。但是，它容易影響網絡的性能。（5）綜合的技術。它集中了以上4種技術的優點，極大地增強了漏洞識別的精

18、度。共三十二頁6.3.3 系統漏洞檢測(jin c)方法系統漏洞檢測是通過一定的技術方法主動地去發現系統中未知的安全漏洞。現有的漏洞檢測方法有源代碼掃描、反匯編代碼掃描、滲透分析、環境錯誤(cuw)注入等。 共三十二頁6.3.3 系統漏洞檢測(jin c)方法（1）源代碼掃描由于相當多的安全漏洞在源代碼中會出現類似的錯誤，因此可以通過匹配程序中不符合規則的部分（如文件結構、命名規則、函數、堆棧指針等），從而發現程序中可能隱含的缺陷。源代碼掃描技術主要針對開放源代碼的程序，因而這種檢測技術需要熟練掌握編程語言，并預先定義出不安全代碼的審查規則，通過表達式匹配的方法檢查(jinch)源程序代碼。該

19、方法不僅能夠發現程序動態運行過程中存在的安全漏洞，而且會出現大量的誤報。（2）反匯編代碼掃描對于不公開的源代碼程序，反匯編代碼掃描是最有效的檢測方法，但分析反匯編代碼需要有豐富的經驗和很高的技術。采用反匯編代碼掃描方法可以自行分析代碼，也可以借助輔助工具得到目標程序的匯編腳本語言，再對匯編出來的腳本語言使用掃描方法，檢測不安全的匯編代碼序列。通常，通過反匯編代碼掃描方法可以檢測出大部分的系統漏洞，但這種方法費時費力，對人員的技術水平要求很高，也同樣不能檢測到程序動態運行過程中產生的安全漏洞。共三十二頁6.3.3 系統漏洞檢測(jin c)方法（3）滲透分析滲透分析法是依據已知安全漏洞檢測未知的

20、漏洞，但是滲透分析以事先知道系統中的某種漏洞為先決條件。滲透分析的有效性與執行分析的程序員有關，缺乏(quf)評估的客觀性。（4）環境錯誤注入環境錯誤注入法是軟件運行的環境中故意注入人為的錯誤，并驗證反應這也是驗證計算機和軟件系統容錯性和可靠性的一種有效方法。 共三十二頁6.3.4 常見(chn jin)的系統漏洞及防范利用Windows XP的AutoRun漏洞刪除硬盤文件(wnjin)。IPC$默認共享漏洞Unicode漏洞IDQ溢出漏洞WebDAV溢出漏洞共三十二頁6.3.5 系統漏洞檢測工具網絡攻擊的目標主要有兩類：系統和數據，其所對應的安全性也涉及系統安全和數據安全兩個方面。 系統型

21、攻擊的特點是：攻擊發生在網絡層，破壞系統的可用性，使系統不能正常工作。可能留下明顯(mngxin)的攻擊痕跡，用戶會發現系統不能工作。數據型攻擊的特點是：發生在網絡的應用層，面向信息，主要目的是篡改和偷取信息，不會留下明顯的痕跡。 共三十二頁本章(bn zhn)小結介紹了入侵檢測的概念，入侵檢測系統功能及工作過程。入侵檢測按技術分類可以分為特征檢測和異常檢測。按監測對象分類可以分為基于主機入侵檢測和基于網絡入侵檢測。網絡入侵檢測系統的性能指標主要包括3類，即準確性指標、效率指標和系統指標。入侵檢測系統作為最常見的網絡安全產品之一，已經得到了非常廣泛的應用。當前網絡入侵檢測系統的產品有很多，主要有Snort，、金諾網安、安氏的領信IDS、啟明星辰的天闐系列、聯想的聯想網御IDS、東軟、綠盟科技的冰之眼系列、中科網威的