1、IDS技術第1頁，共61頁。提綱什么是入侵行為入侵檢測系統(tǒng)防火墻的局限性IDS技術IDS規(guī)避IDS結構IDS的發(fā)展趨勢第2頁，共61頁。什么是入侵行為入侵行為主要是指對系統(tǒng)資源的非授權使用，它可以造成系統(tǒng)數(shù)據(jù)的丟失和破壞、可以造成系統(tǒng)拒絕對合法用戶服務等危害。 第3頁，共61頁。什么是入侵檢測系統(tǒng)IDS（Intrusion Detection System）就是入侵檢測系統(tǒng)，它通過抓取網(wǎng)絡上的所有報文，分析處理后，報告異常和重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡安全管理員清楚地了解網(wǎng)絡上發(fā)生的事件，并能夠采取行動阻止可能的破壞。 第4頁，共61頁。監(jiān)控室=控制中心后門保安=防火墻攝像機=探測引擎Ca

2、rd Key形象地說，它就是網(wǎng)絡攝象機，能夠捕獲并記錄網(wǎng)絡上的所有數(shù)據(jù)，同時它也是智能攝象機，能夠分析網(wǎng)絡數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡數(shù)據(jù)，它還是X光攝象機，能夠穿透一些巧妙的偽裝，抓住實際的內(nèi)容。它還不僅僅只是攝象機，還包括保安員的攝象機，能夠?qū)θ肭中袨樽詣拥剡M行反擊：阻斷連接、關閉道路（與防火墻聯(lián)動）。第5頁，共61頁。入侵檢測系統(tǒng) FirewallInternetServersDMZIDS AgentIntranet監(jiān)控中心router攻擊者發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊報警報警IDS Agent第6頁，共61頁。 訪問控制 認證 NAT 加密 防病毒、內(nèi)容過濾 流量管理常用的安全防護措施防

3、火墻第7頁，共61頁。一種高級訪問控制設備，置于不同網(wǎng)絡安全域之間的一系列部件的組合，它是不同網(wǎng)絡安全域間通信流的唯一通道，能根據(jù)企業(yè)有關的安全政策控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡的訪問行為。 兩個安全域之間通信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進出網(wǎng)絡的行為防 火 墻第8頁，共61頁。防 火 墻的局限%c1%1c%c1%1cDir c:第9頁，共61頁。防火墻的局限性防火墻不能防

4、止通向站點的后門。防火墻一般不提供對內(nèi)部的保護。防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。防火墻本身的防攻擊能力不夠，容易成為被攻擊的首要目標防火墻不能根據(jù)網(wǎng)絡被惡意使用和攻擊的情況動態(tài)調(diào)整自己的策略第10頁，共61頁。防火墻與IDS聯(lián)動時間Dt-檢測時間Pt-防護時間Rt-響應時間Pt-防護時間 +第11頁，共61頁。在安全體系中，IDS是唯一一個通過數(shù)據(jù)和行為模式判斷其是否有效的系統(tǒng)，如下圖所示，防火墻就象一道門，它可以阻止一類人群的進入，但無法阻止同一類人群中的破壞分子，也不能阻止內(nèi)部的破壞分子；訪問控制系統(tǒng)可以不讓低級權限的人做越權工作，但無法保證高級權限的做破壞工作，也無法保證低級權限的人通過

5、非法行為獲得高級權限 入侵檢測系統(tǒng)的作用第12頁，共61頁。入侵檢測系統(tǒng)的作用實時檢測實時地監(jiān)視、分析網(wǎng)絡中所有的數(shù)據(jù)報文發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文安全審計對系統(tǒng)記錄的網(wǎng)絡事件進行統(tǒng)計分析發(fā)現(xiàn)異常現(xiàn)象得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)主動響應主動切斷連接或與防火墻聯(lián)動，調(diào)用其他程序處理第13頁，共61頁。入侵檢測技術-IDS的作用第14頁，共61頁。入侵檢測技術-IDS的優(yōu)點實時檢測網(wǎng)絡系統(tǒng)的非法行為 網(wǎng)絡IDS系統(tǒng)不占用系統(tǒng)的任何資源網(wǎng)絡IDS系統(tǒng)是一個獨立的網(wǎng)絡設備，可以做到對黑客透明，因此其本身的安全性高 它既是實時監(jiān)測系統(tǒng)，也是記錄審計系統(tǒng)，可以做到實時保護，事后分析取證 主機I

6、DS系統(tǒng)運行于保護系統(tǒng)之上，可以直接保護、恢復系統(tǒng)通過與防火墻的聯(lián)動，可以更有效地阻止非法入侵和破壞第15頁，共61頁。IDS的實現(xiàn)方式-網(wǎng)絡IDS第16頁，共61頁。主機IDS運行于被檢測的主機之上，通過查詢、監(jiān)聽當前系統(tǒng)的各種資源的使用運行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件，進行上報和處理。其監(jiān)測的資源主要包括：網(wǎng)絡、文件、進程、系統(tǒng)日志等 IDS的實現(xiàn)方式-主機IDS第17頁，共61頁。主機IDS和網(wǎng)絡IDS的比較基于網(wǎng)絡的入侵檢測系統(tǒng)的主要優(yōu)點有：（1）成本低。（2）攻擊者轉(zhuǎn)移證據(jù)很困難。（3）實時檢測和應答。一旦發(fā)生惡意訪問或攻擊，基于網(wǎng)絡的IDS檢測可以隨時發(fā)現(xiàn)它們，因此能夠

7、更快地作出反應。從而將入侵活動對系統(tǒng)的破壞減到最低。（4）能夠檢測未成功的攻擊企圖。（5）操作系統(tǒng)獨立。基于網(wǎng)絡的IDS并不依賴主機的操作系統(tǒng)作為檢測資源。而基于主機的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用。基于主機的IDS的主要優(yōu)勢有：（1）非常適用于加密和交換環(huán)境。（2）實時的檢測和應答。（3）不需要額外的硬件。第18頁，共61頁。IDS分析方式異常發(fā)現(xiàn)技術（基于行為的檢測 ）模式發(fā)現(xiàn)技術（基于知識的檢測 ）第19頁，共61頁。基于行為的檢測基于行為的檢測指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測，所以也被稱為異常檢測(Anomaly Detection)

8、。 與系統(tǒng)相對無關，通用性強能檢測出新的攻擊方法誤檢率較高 第20頁，共61頁。基于行為的檢測-概率統(tǒng)計方法 操作密度審計記錄分布范疇尺度數(shù)值尺度記錄的具體操作包括：CPU 的使用，I/O 的使用，使用地點及時間，郵件使用，編輯器使用，編譯器使用，所創(chuàng)建、刪除、訪問或改變的目錄及文件，網(wǎng)絡上活動等。 第21頁，共61頁。基于行為的檢測-神經(jīng)網(wǎng)絡方法基本思想是用一系列信息單元(命令)訓練神經(jīng)單元，這樣在給定一組輸入后，就可能預測出輸出。當前命令和剛過去的w個命令組成了網(wǎng)絡的輸入，其中w是神經(jīng)網(wǎng)絡預測下一個命令時所包含的過去命令集的大小。根據(jù)用戶的代表性命令序列訓練網(wǎng)絡后，該網(wǎng)絡就形成了相應用戶的

9、特征表，于是網(wǎng)絡對下一事件的預測錯誤率在一定程度上反映了用戶行為的異常程度。目前還不很成熟。 第22頁，共61頁。神經(jīng)網(wǎng)絡檢測思想第23頁，共61頁。基于知識的檢測基于知識的檢測指運用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。因為很大一部分的入侵是利用了系統(tǒng)的脆弱性，通過分析入侵過程的特征、條件、排列以及事件間關系能具體描述入侵行為的跡象。基于知識的檢測也被稱為違規(guī)檢測(Misuse Detection)。這種方法由于依據(jù)具體特征庫進行判斷，所以檢測準確度很高，并且因為檢測結果有明確的參照，也為系統(tǒng)管理員做出相應措施提供了方便。 第24頁，共61頁。基于知識的檢

10、測-專家系統(tǒng) 將有關入侵的知識轉(zhuǎn)化成if-then結構的規(guī)則，即將構成入侵所要求的條件轉(zhuǎn)化為if 部分，將發(fā)現(xiàn)入侵后采取的相應措施轉(zhuǎn)化成then部分。當其中某個或某部分條件滿足時，系統(tǒng)就判斷為入侵行為發(fā)生。其中的if-then結構構成了描述具體攻擊的規(guī)則庫，狀態(tài)行為及其語義環(huán)境可根據(jù)審計事件得到，推理機根據(jù)規(guī)則和行為完成判斷工作。 第25頁，共61頁。基于知識的檢測-模型推理 模型推理是指結合攻擊腳本推理出入侵行為是否出現(xiàn)。其中有關攻擊者行為的知識被描述為：攻擊者目的，攻擊者達到此目的的可能行為步驟，以及對系統(tǒng)的特殊使用等。根據(jù)這些知識建立攻擊腳本庫，每一腳本都由一系列攻擊行為組成。 第26頁

11、，共61頁。基于知識的檢測-狀態(tài)轉(zhuǎn)換分析 狀態(tài)轉(zhuǎn)換法將入侵過程看作一個行為序列，這個行為序列導致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。分析時首先針對每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導致狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件，即導致系統(tǒng)進入被入侵狀態(tài)必須執(zhí)行的操作(特征事件)。然后用狀態(tài)轉(zhuǎn)換圖來表示每一個狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測時不需要一個個地查找審計記錄。但是，狀態(tài)轉(zhuǎn)換是針對事件序列分析，所以不善于分析過分復雜的事件，而且不能檢測與系統(tǒng)狀態(tài)無關的入侵。 第27頁，共61頁。Petri網(wǎng)分析一分鐘內(nèi)4次登錄失敗 第28頁，共61頁。基于協(xié)議分析的檢測檢測要點TCP協(xié)議：protoc

12、ol:tcp目地端口21：dst port:21必須是已經(jīng)建立的連接：conn_status:established（TCP層狀態(tài)跟蹤）必須是FTP已經(jīng)登錄成功：ftp_login:success（應用層狀態(tài)跟蹤）協(xié)議命令分析，把cd命令與后面的參數(shù)分開來，看cd后面是目錄名是否為“.%20.”：ftpcomm_cd_para:” .%20.”（協(xié)議解碼）分析下一個服務器回應的包，是“250”（成功）還是“550”（失敗）： ftp_reply:”250”|”550” （應用層狀態(tài)跟蹤）很難讓這種分析產(chǎn)生誤報和漏報，而且還能跟蹤攻擊是否成功。第29頁，共61頁。對NIDS的規(guī)避及對策基于網(wǎng)絡層

13、的規(guī)避及對策基于應用層的規(guī)避及對策第30頁，共61頁。基于網(wǎng)絡層的規(guī)避及對策理論1998年1月Ptacek&Newsham論文：Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection主要思想一個網(wǎng)絡上被動的設備很難只根據(jù)網(wǎng)絡上的數(shù)據(jù)預計受保護的終端系統(tǒng)的行為，利用IDS對數(shù)據(jù)包的分析處理方式與終端服務器TCP/IP實現(xiàn)方式的不同，進行插入、逃避及拒絕服務攻擊，使IDS無法正確地檢測到攻擊。第31頁，共61頁。對數(shù)據(jù)包的不同處理方式當處理到重疊的TCP/IP分片時，有些系統(tǒng)保留新數(shù)據(jù)，有些系統(tǒng)保

14、留老數(shù)據(jù)，IDS處理重疊時可能與終端系統(tǒng)不同Windows NT 4.0保留老數(shù)據(jù)Linux保留新數(shù)據(jù)終端系統(tǒng)可能會丟棄某些帶了不被支持或不尋常的TCP/IP選項的數(shù)據(jù)包，IDS則可能還會處理那些包終端系統(tǒng)可能被配置成丟棄源路由的包終端系統(tǒng)可能丟棄有老時間戳的包終端系統(tǒng)可能丟棄某些帶有特殊TCP/IP選項組合的包因為網(wǎng)絡拓撲與數(shù)據(jù)包TTL值的設置，IDS和終端系統(tǒng)可能收到不同的數(shù)據(jù)包第32頁，共61頁。更多的不同在進行TCP/IP分片的重組時，IDS與終端系統(tǒng)的所設定的超時可能不同，造成重組的結果不同IDS與終端系統(tǒng)的硬件能力不同，導致一方能夠完成的重組對另一方來說不可能完成所有以上這些的不同

15、，使下面的這幾種攻擊成為可能。第33頁，共61頁。插入攻擊 在數(shù)據(jù)流中插入多余的字符，而這些多余的字符會使IDS接受而被終端系統(tǒng)所丟棄。第34頁，共61頁。逃避攻擊 想辦法使數(shù)據(jù)流中的某些數(shù)據(jù)包造成終端系統(tǒng)會接受而IDS會丟棄局面。第35頁，共61頁。拒絕服務攻擊IDS本身的資源也是有限的，攻擊者可以想辦法使其耗盡其中的某種資源而使之失去正常的功能CPU，攻擊者可以迫使IDS去執(zhí)行一些特別耗費計算時間而又無意義的事內(nèi)存，連接狀態(tài)的保留、數(shù)據(jù)包的重組都需要大量的內(nèi)存，攻擊者可以想辦法使IDS不停的消耗內(nèi)存日志記錄空間，攻擊者可以不停地觸發(fā)某個事件讓IDS不停地記錄，最終占滿記錄空間IDS需要處理

16、網(wǎng)絡上所有的數(shù)據(jù)包，如果攻擊者能使IDS所在的網(wǎng)絡達到很高的流量，IDS的檢測能力將急劇下降第36頁，共61頁。IDS的基本結構 第37頁，共61頁。IDS系統(tǒng)結構-探測引擎采用旁路方式全面?zhèn)陕牼W(wǎng)上信息流，實時分析將分析結果與探測器上運行的策略集相匹配執(zhí)行報警、阻斷、日志等功能。完成對控制中心指令的接收和響應工作。探測器是由策略驅(qū)動的網(wǎng)絡監(jiān)聽和分析系統(tǒng)。第38頁，共61頁。IDS的基本結構 -引擎的功能結構第39頁，共61頁。IDS系統(tǒng)結構-控制中心提供報警顯示提供對預警信息的記錄和檢索、統(tǒng)計功能制定入侵監(jiān)測的策略；控制探測器系統(tǒng)的運行狀態(tài)收集來自多臺引擎的上報事件，綜合進行事件分析，以多種方

17、式對入侵事件作出快速響應。這種分布式結構有助于系統(tǒng)管理員的集中管理，全面搜集多臺探測引擎的信息，進行入侵行為的分析。第40頁，共61頁。IDS的基本結構-控制中心的功能結構第41頁，共61頁。IDS的系統(tǒng)結構 單機結構 ：引擎和控制中心在一個系統(tǒng)之上，不能遠距離操作，只能在現(xiàn)場進行操作。優(yōu)點是結構簡單，不會因為通訊而影響網(wǎng)絡帶寬和泄密。分布式結構就是引擎和控制中心在2個系統(tǒng)之上，通過網(wǎng)絡通訊，可以遠距離查看和操作。目前的大多數(shù)IDS系統(tǒng)都是分布式的。 優(yōu)點不是必需在現(xiàn)場操作，可以用一個控制中心控制多個引擎，可以統(tǒng)一進行策略編輯和下發(fā)，可以統(tǒng)一查看申報的事件，可以通過分開事件顯示和查看的功能提高

18、處理速度等等。第42頁，共61頁。IDS的系統(tǒng)結構-分布式結構圖第43頁，共61頁。IDS性能指標系統(tǒng)結構事件數(shù)量 處理帶寬 定義事件 事件響應 自身安全 多級管理事件庫更新 友好界面 日志分析 資源占用率 抗打擊能力 第44頁，共61頁。日志分析所謂日志分析，就是按照事件的各種屬性、源、目的地址分布等信息進行統(tǒng)計分析、數(shù)據(jù)檢索等操作，提供各種分析的圖形、表格信息，使用戶十分清楚地了解所發(fā)生地總體態(tài)勢，并方便地查找出所需要地事件。IDS的事件按照類型一般分為3大類：記錄事件、可疑事件、非法事件。第45頁，共61頁。事件響應當IDS系統(tǒng)產(chǎn)生了一個事件后，不僅僅是報告顯示該事件，還可以進行一系列操

19、作對該事件進行實時處理。按照處理方法的不同，一般分為基本（被動）響應和積極（主動）響應2種。 第46頁，共61頁。基本響應是IDS所產(chǎn)生的響應只是為了更好地通知安全人員，并不對該網(wǎng)絡行為進行進行自動的阻斷行為。 基本響應主要由下面幾種：事件上報：事件日志：Email通知：手機短信息：呼機信息：Windows消息：第47頁，共61頁。通過IDS的事件積極響應，IDS系統(tǒng)可以直接阻止網(wǎng)絡非法行為，保障被保護系統(tǒng)的安全。阻斷：通過發(fā)送擾亂報文，IDS系統(tǒng)破壞正常的網(wǎng)絡連接，使非法行為無法繼續(xù)進行。 源阻斷：通過記憶網(wǎng)絡非法行為的源IP地址，在一段時間內(nèi)阻斷所有該地址的網(wǎng)絡連接，使網(wǎng)絡非法行為在其行動

20、的初期就被有效地組織。 聯(lián)動：通過防火墻的聯(lián)動，IDS系統(tǒng)可以徹底阻止網(wǎng)絡非法行為 第48頁，共61頁。考察IDS系統(tǒng)的一個關鍵性指標是報警事件的多少。一般而言，事件越多，表明IDS系統(tǒng)能夠處理的能力越強。一般而言，這個數(shù)量在5001000之間，應該與流行系統(tǒng)的漏洞數(shù)目相關。 事件數(shù)量第49頁，共61頁。作為分布式結構的IDS系統(tǒng)，通訊是其自身安全的關鍵因素。這包含2個部分：一是身份認證，一是數(shù)據(jù)加密。身份認證是要保證一個引擎，或者子控制中心只能由固定的上級進行控制，任何非法的控制行為將予以阻止，如下圖所示：通 訊第50頁，共61頁。探測引擎控制中心探測引擎控制中心非法控制中心第51頁，共61頁。事件響應基本（被動）響應積極（主動）響應第52頁，共61頁。連接申請方 被連接方 連接申請報文 連接確認報文 數(shù)據(jù)通訊報文 通訊結束申請報文 確認報文 發(fā)送確認和連接報文 數(shù)據(jù)通訊報文 確認報文 通訊結束申請報 TCP連接是經(jīng)過3次握手建立連接、4次握手中斷連接而完成的 第53頁，共61頁。IDS設備開始報文 后續(xù)報文 防火墻監(jiān)測網(wǎng)絡報文設置命令第54頁，共61頁。隱蔽性：在作