網絡安全與IDS組員：程蕓蕓謝瑤瑤王小雪主講：謝瑤瑤學習導航網絡安全什么是網絡安全影響網絡安全的因素入侵基本流程IDS（入侵檢測系統）什么是IDSIDS的分類及其布曙IDS系統組成IDS工作流程IDS的未來IDS存在的不足IPS（入侵防御系統）CompanyLogo網絡安全與IDSIDS的未來

入侵檢測系統IDS

網絡安全概述

CompanyLogo網絡安全網絡安全二.影響網絡安全的因素一.什么是網絡安全三.常見的入侵方法

CompanyLogo一.什么是網絡安全網絡安全：是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統能連續可靠正常地運行，網絡服務不中斷。網絡安全應具有以下五個方面的特征：保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。完整性：數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。可用性：可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊；可控性：對信息的傳播及內容具有控制能力。可審查性：出現安全問題時提供依據與手段構建網絡安全系統，一方面由于要進行認證、加密、監聽，分析、記錄等工作，由此影響網絡效率，并且降低客戶應用的靈活性；另一方面也增加了管理費用。CompanyLogo二.影響網絡安全的因素網絡結構因素網絡基本拓撲結構有3種：星型、總線型和環型。一個單位在建立自己的內部網之前，各部門可能已建造了自己的局域網，所采用的拓撲結構也可能完全不同。在建造內部網時，為了實現異構網絡間信息的通信，往往要犧牲一些安全機制的設置和實現，從而提出更高的網絡開放性要求。

網絡協議因素在建造內部網時，用戶為了節省開支，必然會保護原有的網絡基礎設施。另外，網絡公司為生存的需要，對網絡協議的兼容性要求越來越高，使眾多廠商的協議能互聯、兼容和相互通信。這在給用戶和廠商帶來利益的同時，也帶來了安全隱患。如在一種協議下傳送的有害程序能很快傳遍整個網絡。地域因素由于內部網Intranet既可以是LAN也可能是WAN(內部網指的是它不是一個公用網絡，而是一個專用網絡)，網絡往往跨越城際，甚至國際。地理位置復雜，通信線路質量難以保證，這會造成信息在傳輸過程中的損壞和丟失，也給一些”黑客”造成可乘之機。用戶因素企業建造自己的內部網是為了加快信息交流，更好地適應市場需求。建立之后，用戶的范圍必將從企業員工擴大到客戶和想了解企業情況的人。用戶的增加，也給網絡的安全性帶來了威脅，因為這里可能就有商業間諜或“黑客”主機因素建立內部網時，使原來的各局域網、單機互聯，增加了主機的種類，如工作站、服務器，甚至小型機、大中型機。由于它們所使用的操作系統和網絡操作系統不盡相同，某個操作系統出現漏洞(如某些系統有一個或幾個沒有口令的賬戶)，就可能造成整個網絡的大隱患。CompanyLogo如何保證網絡信息安全加密技術對稱加密非對稱加密認證技術數字簽名數字證書使用網絡安全設備防火墻IDSIPSCompanyLogo常見入侵主要有四種攻擊方式中斷、截獲、修改和偽造。中斷是以可用性作為攻擊目標，它毀壞系統資源，使網絡不可用。如Dos拒絕服務，synflood、arp欺騙、landattack、死亡之PING、

截獲是以保密性作為攻擊目標，非授權用戶通過某種手段獲得對系統資源的訪問。如sniffer，IDS本身就是一個Sniffer修改是以完整性作為攻擊目標，非授權用戶不僅獲得訪問而且對數據進行修改。如Tcp會話劫持偽造是以完整性作為攻擊目標，非授權用戶將偽造的數據插入到正常傳輸的數據中。CompanyLogo基本入侵流程發現漏洞實施攻擊收集目標機信息清理痕跡留下后門社會工程學主機掃描緩沖區溢出DoS存在什么漏洞替換系統文件安裝木馬或遠程控制軟件更改防火墻設置清理系統日志CompanyLogo緩沖區溢出CompanyLogo緩沖區溢出CompanyLogo網絡安全與IDSIDS的未來

入侵檢測系統IDS

網絡安全概述

CompanyLogo網絡安全IDS（入侵檢測系統）二.IDS的分類及布曙一.

IDS簡介三.IDS系統組成四.IDS工作流程CompanyLogo一、什么是IDS入侵檢測：（IntrusionDetection）通過從計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。入侵檢測系統的發展概況1980年，JamesP.Anderson的《計算機安全威脅監控與監視》第一次詳細闡述了入侵檢測的概念1990年，加州大學戴維斯分校的L.T.Heberlein等人開發出了NSM，入侵檢測系統發展史翻開了新的一頁，兩大陣營正式形成：基于網絡的IDS和基主機的IDS從20世紀90年代到21世紀初，入侵監測系統的研發呈現出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展。CompanyLogoInternetIDS1IDS2IDS3IDS4子網A子網B交換機帶主機IDS感應器的服務器服務器CompanyLogo二.IDS的分類及布曙根據檢測對象的不同：基于主機的入侵檢測系統基于網絡入侵檢測分布式的入侵檢測系統按照其采用的方法：基于行為的入侵檢測系統基于模型推理的入侵檢測系統按照檢測時間分為：實時入侵檢測系統事后入侵檢測系統CompanyLogo基于主機的入侵檢測系統以系統日志、應用程序日志等作為數據源

主機型入侵檢測系統保護的一般是所在的系統

CompanyLogo基于主機的入侵檢測系統網絡監測：即在數據包真正抵達主機之前對試圖進入主機的數據包進行監測，以避免其進入系統后可能造成的損害。這點與基于網絡的ID不同，因為它僅僅對已經抵達主機的數據進行監測，而后者則是對網絡上的流量進行監控。如次一來就不需要把網卡設置成混雜模式了。主機監測：任何入侵企圖都會在監測文件、文件系統、登錄記錄或其他主機上的文件中留下痕跡，系統管理員們可以從這些文件中找到相關痕跡。因此可以通過監測文件系統的變化來發現入侵。一旦系統被攻陷，入侵者就會立即開始更改系統的文件，或者更改一些設置以廢掉IDS的功能。CompanyLogo一個基于主機的入侵檢測系統LIDS文件保護：保護硬盤上任何類型的重要文件和目錄，如/bin、/sbin、/usr/bin、/usr/sbin、/etc/rc.d等目錄和其下的文件，以及系統中的敏感文件，如passwd和shadow文件，檢測：

LIDS能檢測到掃描并報告系統管理員。LIDS還可以檢測到系統上任何違反規則的進程。響應：來自內核的安全警告，當有人違反規則時，LIDS會在控制臺顯示警告信息，將非法的活動細節記錄到受LIDS保護的系統log文件中。LIDS還可以將log信息發到你的信箱中。LIDS還可以馬上關閉與用戶的會話。CompanyLogo基于網絡的入侵檢測系統數據源是網絡上的數據包根據網絡的拓撲結構的不同，入侵檢測系統的監聽端口可以接在共享媒質的集線器或交換機的鏡像端口（SpanPort）上、或專為監聽所增設的分接器（Tap）上。是一個典型的sniffer

設備內置的入侵知識庫服務器核心交換機IDSCompanyLogo典型的基于網絡的入侵檢測系統SnortSnort:是一個用C語言開發的開源網絡入侵檢測系統，目前，Snort已發展成為一個集多平臺,實時流量分析,網絡IP數據包記錄等特性的強大的網絡入侵檢測/防御系統。Snort可以三個模式運行：偵測模式（SnifferMode）：此模式下，Snort將在捕獲網段內的所有數據包，并顯示在屏幕上。封包紀錄模式：此模式下，Snort將已捕獲的數據包存入儲存硬盤中。上線模式（inlinemode）：此模式下，Snort可對捕獲到的數據包做分析的動作，并根據一定的規則來判斷是否有網絡攻擊行為的出現。基本指令：若你想要在屏幕上顯示網絡數據包的報頭（header）內容，使用./snort-v如果想要在屏幕上顯示正在傳輸的數據包的報頭內容，使用./snort-vd

如果除了以上顯示的內容之外，欲另外顯示數據鏈路層信息，使用./snort-vdeCompanyLogo三、入侵檢測系統的組成響應單元事件分析器事件產生器事件數據庫CompanyLogo模式匹配（特征庫匹配舉例）1．來自保留IP地址的連接企圖2．帶有非法TCP標志聯合物的數據包可通過對比TCP報頭中的標志集與已知正確和錯誤標記聯合物的不同點來識別。3．含有特殊病毒信息的Email可通過對比每封Email的主題信息和病態Email的主題信息來識別，或者，通過搜索特定名字的附近來識別。4．查詢負載中的DNS緩沖區溢出企圖可通過解析DNS域及檢查每個域的長度來識別利用DNS域的緩沖區溢出企圖。還有另外一個識別方法是：在負載中搜索“殼代碼利用”（exploitshellcode）的序列代碼組合。5．通過對POP3服務器發出上千次同一命令而導致的DoS攻擊通過跟蹤記錄某個命令連續發出的次數，看看是否超過了預設上限，而發出報警信息。6．未登錄情況下使用文件和目錄命令對FTP服務器的文件訪問攻擊CompanyLogo統計分析1.統計分析方法首先給系統對象創建一個統計描述2.統計模型常用異常檢測:在統計模型中常用的測量參數包括：審計事件的數量、間隔時間、資源消耗情況等。3.比較測量屬性的平均值與網絡、系統的行為例如，統計分析可能標識一個不正常行為，因為它發現一個在晚八點至早六點不登錄的賬戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為復雜的人侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基于專家系統的、基于模型推理的和基于神經網絡的分析方法，目前正處于研究熱點和迅速發展之中。CompanyLogo常用的入侵檢測5種統計模型為：操作模型:該模型假設異常可通過測量結果與一些固定指標相比較得到，固定指標可以根據經驗值或一段時間內的統計平均得到，舉例來說，在短時間內的多次失敗的登錄很有可能是口令嘗試攻擊。

方差:計算參數的方差，設定其置信區間，當測量值超過置信區間的范圍時表明有可能是異常。多元模型:操作模型的擴展，通過同時分析多個參數實現檢測。馬爾柯夫過程模型:將每種類型的事件定義為系統狀態，用狀態轉移矩陣來表示狀態的變化，當一個事件發生時，或狀態矩陣該轉移的概率較小則可能是異常事件。時間序列分析:將事件計數與資源耗用根據時間排成序列，如果一個新事件在該時間發生的概率較低，則該事件可能是入侵，cpu使用。CompanyLogo完整性分析完整性分析主要關注某個文件或對象是否被更改如：文件和目錄的內容及屬性，它在發現被更改的、被特洛伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數(例如MDS)，它能識別哪怕是微小的變化。只要是成功的攻擊導致了文件或其他對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，不用于實時響應。盡管如此，完整性檢測方法還應該是網絡安全產品的必要手段之一。例如，可以在每一天的某個特定時間內開啟完整性分析模塊，對網絡系統進行全面地掃描檢查。

CompanyLogo四、入侵檢測系統工作流程步驟一：信息收集步驟三：結果處理詳細日志記錄、實時報警有限度的反擊攻擊源

步驟二：信號分析系統、網絡、數據及用戶活動的狀態和行為

統計分析模式匹配完整性分析CompanyLogo其它常用入侵檢測方法專家系統專家系統使用基于規則的語言為已知攻擊建模，它把審計事件表述成語義的事實，推理引擎根據這些規則和事實進行判定。專家系統的建立依賴于知識庫的完備性，知識庫的完備性取決于審計記錄的完備性和實時性。統計分析統計分析是通過設置極限鬧值等方法，將檢測數據與已有的正常行為加以比較，如果超出極限值，則認為是入侵行為。數據挖掘通過數據挖掘程序處理收集到的審計數據，為各種入侵行為和正常操作建立精確的行為模式，這是一個自動的過程。數據挖掘的關鍵點在于算法的選取和一個正確的體系結構的建立。神經網絡神經網絡具有自適應、自組織和自學習的能力，可以處理一些環境信息復雜、背景知識不清楚的問題。將神經網絡技術應用于入侵檢測系統，以檢測未知攻擊。來自審計日志或正常網絡訪問行為的信息，經數據信息預處理模塊的處理后即產生輸入向量。模糊理論人類思維、語言具有模糊性，模糊思維形式和語言表達具有廣泛性、完美和高效的特征。人們的許多知識是模糊的，模糊知識在控制和決策中具有巨大的作用。由于計算機網絡中的正常行為和異常行為難以很好地界定，使用模糊邏輯推理方法，入侵檢測系統的誤報率則會降低。免疫系統遺傳算法遺傳算法是基于自然選擇，在計算機上模擬生物進化機制的尋優搜索法。CompanyLogo網絡安全與IDSIDS的未來

入侵檢測系統IDS

網絡安全概述

CompanyLogoIDS的未來一、IDS的自身存在的不足尤其是IDS的誤報和漏報現象很嚴重，常常出現許多虛假的信息，就像狼來了的故事一樣，虛假警報過多，人們就會慢慢失去對他的信任以至于完全忽略。CompanyLogo一、IDS的軟肋檢測范圍不夠廣：很少有哪家廠商能將特征檢測、異常檢測、拒絕服務攻擊檢測無縫地集成到一起，實現對已知攻擊、新攻擊和DoS攻擊的檢測。

檢測效果不理想：主要指檢測的準確度，IDS檢測引擎最大的問題莫過于漏報和誤報，很多IDS一天就能發出上千條虛假報警信息，讓人目不暇接，而漏報的后果就更嚴重了。只能檢測，不能防御：檢測是一種被動的行為，當IDS發現入侵時往往已經為時太晚，根本來不及阻止。一個理想的安全防護產品必須引入主動的入侵防御能力，這也反映了當前和未來的市場需求。難以突破百兆瓶頸:被動偵聽的架構和深層數據包分析決定了現在的IDS無法適用于高速或交換的網絡環境，PC架構的處理器結構決定了其監控能力無法取得實質性的突破。性能有待提高：很多IDS都是PC/服務器硬件平臺上運行的軟件程序，而數據包的捕獲、處理、分析都需要大量的計算，即使在窄帶網絡上，也會出現丟包、延時太長而導致檢測不準確等問題。CompanyLogoIPS在網絡中的位置服務器核心交換機IPSCompanyLogoIPS的組成CompanyLogo二、IPS的產生IPS，入侵防御系統：（IntrusionPreventionSystem）它的設計基于一種全