第9章入侵檢測與響應入侵檢測概述入侵檢測系統的基本概念入侵檢測系統入侵監測系統原理入侵監測系統性能關鍵參數入侵檢測系統分類入侵檢測中的響應機制入侵檢測系統的部署入侵檢測的標準化入侵檢測系統的發展9.1入侵檢測概述計算機網絡中存在著可以被攻擊者所利用的安全弱點、漏洞及不安全的配置，主要表現在操作系統漏洞、TCP/IP協議設計缺陷、應用程序(如數據庫、瀏覽器等)漏洞、網絡設備自身安全等幾個方面。另外，由于大部分網絡缺少預警防護機制，即使攻擊者已經侵入到內部網絡，侵入到關鍵的主機，并從事非法的操作，網絡管理人員也很難察覺到。這樣，攻擊者就有足夠的時間來破壞計算機網絡系統。9.1入侵檢測概述如何防止和避免網絡系統遭受攻擊和入侵呢?首先要找出網絡中存在的安全弱點、漏洞和不安全的配置;然后采用相應措施堵塞這些弱點、漏洞，對不安全的配置進行修正，最大限度地避免遭受攻擊和入侵;同時，對網絡活動進行實時監測，一旦監測到攻擊行為或違規操作，能夠及時做出反應，包括記錄日志、報警甚至阻擋非法連接。入侵檢測系統(IDS：IntrusionDetectionSystem)的出現，解決了以上的問題。在計算機網絡中，通過硬件防火墻可以阻擋網絡中一般性的攻擊行為。而采用入侵檢測系統，則可以對越過防火墻的攻擊行為以及來自網絡內部的操作進行監測和響應。9.2入侵檢測系統的基本概念1.入侵行為“入侵”(Intrusion)是個廣義的概念，不僅包括被發起攻擊的人(如惡意的黑客)取得超出合法范圍的系統控制權，也包括收集漏洞信息、拒絕服務(DenialofService)等對計算機系統造成危害的行為。入侵行為主要指對系統資源的非授權使用，它可以造成系統數據的丟失和破壞，甚至會造成系統拒絕對合法用戶服務等后果。2.入侵檢測入侵檢測(IntrusionDetection)，顧名思義，便是對入侵行為的發覺。它通過對計算機網絡或計算機系統中若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測技術是一種網絡信息安全新技術，它可以彌補防火墻的不足，對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時的檢測以及采取相應的防護手段，如記錄證據用于跟蹤和恢復、斷開網絡連接等。入侵檢測技術是一種主動保護系統免受黑客攻擊的網絡安全技術。9.2入侵檢測系統的基本概念9.3入侵檢測系統入侵檢測系統是從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。將入侵檢測的軟件與硬件進行組合便是入侵檢測系統。入侵檢測系統需要更多的智能，它必須可以對得到的數據進行分析，并得出有用的結果。一個合格的入侵檢測系統能大大地簡化管理員的工作，保證網絡安全的運行。不同于防火墻，IDS入侵檢測系統是一個監聽設備其實，不能對其監聽到的非法攻擊進行阻斷，但它可以查看網絡內部人員所做的攻擊行為，在攻擊發生后，利用IDS保存的信息可以進行調查和取證。它不跨接多個物理網段(通常只有一個監聽端口)，無須轉發任何流量，而只需要在網絡上被動地、無聲息地收集它所關心的報文即可。因此，入侵檢測系統被認為是防火墻之后的第二道安全閘門。9.4入侵監測系統原理9.4入侵監測系統原理1．數據源入侵檢測系統用來檢測非授權或不希望的活動的原始信息。通常的數據源包括原始的網絡包，操作系統審計日志，應用程序日志和系統生成的校驗和數據等。感應器或分析器通過識別數據源感興趣的數據源的實例。例如網絡會話、用戶活動或者應用程序事件。活動從用戶正常活動到非常明顯的惡意攻擊等。2．感應器/分析器在很多現存的入侵檢測系統中，感應器和分析器作為同一構件的不同部分。感應器負責從數據源搜集數據。數據搜集的顏率由具體操供的IDS決定。分析器負責分析感應器搜集的數據，這些數據則反映了非授權的或不希望有的話動，以及安全管理員可能關心的事件。9.4入侵監測系統原理3．管理器分析器通過警報把一個被檢測到的事件發給管理器。管理器是入侵檢測的構件或處理過程，通過它操作員可以管理入侵檢測系統的各種構件。管理功能通常包括感應器配置，分析器配置，事件通告管理，數據合并及報告。4．管理員全面負責一個組織的安全策略設置的人，進行入侵檢測系統的安裝和配置。管理員可以是IDS的操作員，也可以不是。在一些組織，管理員與網絡或系統管理組織相聯系。而在另一些組織中，管理員是一個獨立的職位。管理員通過事先定義的文檔，下發可以被監控的網段所提供的服務，以及哪些主機不允許被外部網絡訪問等策略。5．操作員IDS管理器的主要使用者。操作員經常監控入侵檢測系統的輸出，發起或建議進一步的行動。9.4入侵監測系統原理一個入侵檢測系統主要包括信息收集模塊、信息分析模塊、報警與響應模塊、管理配置模塊和相關的輔助模塊。信息收集模塊的功能是為入侵信息分析模塊提供分析用的數據，一般的有操作系統的審計日志、應用程序運行日志和網絡數據包等。入侵信息分析模塊的功能是依據輔助模塊提供的信息如攻擊模式，并按照一定算法對收集到的數據進行分析，從中判斷是否有入侵行為出現和產生入侵報警。該模塊是入侵檢測系統的核心模塊。9.4入侵監測系統原理管理配置模塊的功能是為其它的模塊提供配置服務，是IDS系統中的模塊與用戶之間的接口。應急措施模塊的功能在發生入侵后．預先為系統提供緊急的措施，例關閉網絡服務、中斷網絡連接、啟動備份系統等。輔助模塊的功能是協助入侵分析引擎模塊工作，為它提供相應的信息。例如攻擊模式、網絡安全事實和網絡安全策略等。9.4入侵監測系統原理圖給出了一個簡單的入侵檢測系統。圖中的系統主要是指產生數據的業務系統即數據源，比如工作站、網段，業務服務器、防火墻、web應用服務器等。9.5入侵監測系統性能關鍵參數入侵行為判斷的準確性是衡量IDS是否高效的關鍵參數，因此一般從誤報和漏報兩個方面對IDS系統的性能進行衡量。誤報（falsepositive）也就是IDS系統把一個合法的操作判斷為非法入侵行為，從而會導致用戶對IDS系統的報警不予處理，使得用戶逐漸疏于處理IDS系統的報警，當真正的入侵行為發生時，用戶可能會也認為屬于IDS誤報，從而使得IDS系統形同虛設。漏報（falsenegative）就是IDS系統把一個攻擊行為判斷為非攻擊行為，并允許其通過系統監測，如果系統未能檢測出真正的入侵行為，從而背離了安全防護的宗旨，IDS系統成為擺設，當真正的攻擊行為成功之后造成的后果十分嚴重。因此，為了提高IDS的性能，就要減少IDS的誤報率和漏報率，提高準確率。9.6入侵檢測系統分類根據入侵監測系統對數據的采集方式進行分類可以分為基于網絡的入侵檢測系統（NIDS）和基于主機的入侵檢測系統（HIDS）。基于網絡的入侵檢測系統使用監聽的方式，在網絡通信中尋找符合網絡入侵規則的數據包，這種方式的情況下，入侵檢測設備往往以硬件的方式部署于網絡中，獨立于被保護的機器之外。通過入侵數據包的特征進行檢測，可以針對網絡層、傳輸層和應用層的入侵行為的全面檢測。9.6入侵檢測系統分類基于主機的入侵檢測系統運行在主機上，在主機系統中通過審計日志文件和文件完整性等操作中尋找攻擊特征，通常以軟件的形式部署于被保護的計算機中，為了能使基于主機的IDS完整地覆蓋受控站點，需要在每臺計算機上都安裝IDS系統。主機型IDS軟件被安裝于需要監控的系統上。IDS軟件上的數據源是日志文件或系統審計代理。主機型IDS不僅著眼于計算機中通信流量的出入，同時也校驗用戶系統文件的完整性，并檢測可疑程序。為了能使基于主機的IDS完整地覆蓋受控站點，需要在每臺計算機上都安裝IDS系統。9.6入侵檢測系統分類根據檢測原理分類可以分為誤用檢測型入侵檢測系統和異常檢測型入侵檢測系統。誤用檢測型入侵檢測系統用于收集攻擊行為和非正常操作的行為特征，建立相關的特征庫，當檢測到用戶的行為與特征庫中的行為匹配的時候，系統就會認為這是入侵，這樣對于已知攻擊類型的檢測非常有效，但是不能檢測新型變種的攻擊方式，誤用入侵檢測的關鍵在于特征信息庫的升級和特征的匹配搜索，需要不斷的更新特征庫。異常檢測型入侵檢測系統會總結正常的操作系統應當具有的特征，當用戶的活動與正常的行為有較大的偏差的時候，系統就會認為這是入侵，通過利用統計的方法來檢測系統中的異常行為。9.6入侵檢測系統分類根據入侵檢測系統處理數據的方式，可以將入侵檢測系統分為分布式入侵檢測系統和集中式入侵檢測系統。分布式入侵檢測系統就是在一些與受監視組件相應的位置對數據進行分析的入侵檢測系統。集中式入侵檢測系統就是在一些固定且不受監視組件數量限制的位置對數據進行分析的入侵檢測系統。9.7入侵檢測中的響應機制9.7.1被動入侵響應被動響應只向用戶提供檢測結果，通知用戶是否發生了入侵行為，下一步采取的措施需要用戶來完成。被動響應是入侵檢測系統中最基本的響應方式，早期的入侵檢測系統中所有的響應都是被動的。被動響應有以下幾種方式：1)記錄安全事件。包括輸出到文件，可以是IDS(intruderdetectionsystem)自身的格式、tcpdump格式、xml和CSV格式等；輸出到數據庫，一般是各操作系統下主流數據庫；輸出到系統，例如采用syslog機制。2)產生報警信息。包括顯示屏報警，遠程報警(呼機或手機等)，使用SNMP陷阱通知網絡管理控制臺，使用smb報文進行局域網報警等。3)記錄附加日志。記錄系統當時狀態，例如流量、資源使用情況等。9.7.2主動入侵響應主動響應可以分為兩類：①用戶驅動的；②由系統本身自動執行的。其要達到的目的有3類：①對入侵者采取反擊；②修正系統環境；⑧收集額外信息。在具體方法上，入侵隔離、入侵屏蔽、入侵追蹤、蜜罐、可信恢復、災難控制、自適應響應等技術都屬于主動響應的范疇。9.7.2主動入侵響應1.入侵隔離在檢測到入侵發生后，往往希望阻止入侵的進一步進行，入侵隔離一般有兩種方式：會話阻斷和拒絕連接請求。會話阻斷是指IDS通過發送TCPReset或ICMP包來阻斷當前的會話。對于TCP會話，IDS將會向通信的兩端各發送TCPRESET包，此時通信雙方的堆棧將會把這個RESET包解釋為另一端的回應，然后停止整個通信過程。對于UDP會話，IDS向源地址主機發送ICMP包，表示目的主機、端口或網絡不可到達。使用拒絕連接請求，入侵檢測系統將與防火墻聯動，通過修改防火墻的規則集來實現阻塞入侵地址。9.7.2主動入侵響應2.入侵追蹤在諸如DOS這樣的攻擊方式中，攻擊者往往采用偽造源IP地址的方式來隱藏自己。入侵追蹤研究的重點在于發現攻擊者的真實地址和傳輸路徑，同時追蹤技術也有助于提高響應的準確性。常用的追蹤技術包括：鏈路測試、日志記錄、ICMP追蹤和報文標記等。鏈路測試。日志記錄。ICMP追蹤。報文標記。9.7.2主動入侵響應3.蜜罐技術這種響應方式能夠幫助用戶獲取更多關于入侵行為的信息，目前多采用的技術是建立“蜜罐”(honeypot)及“蜜網”(honeynet)。這實際上是一種欺騙網技術，通過故意設置專門的服務器或局域網來誘使入侵者相信信息系統中存在有價值的、可利用的安全弱點，并具有一些重要的資源，并將入侵者引向這些錯誤的資源。當入侵者認為成功進入系統并竊取資源的時候，用戶則可以監視入侵者的行為，得到關于入侵者的第一手資料。蜜罐技術包括操作系統欺騙、目錄系統欺騙、數據及文件欺騙、應用程序及服務欺騙等。由于分散了入侵者的注意力，在收集、分析入侵者行為的同時，蜜罐也充當了主動防御的角色。Honeyd是一個輕量級的蜜罐系統，它通過模擬各操作系統網絡層的實現來達到欺騙入侵者的目的，且可同時模擬多臺主機及相關網絡服務程序，大大節省了建立及管理蜜罐系統的成本。9.8入侵檢測系統的部署9.9入侵檢測的標準化隨著網絡規模的擴大，網絡入侵的方式、類型、特征各不相同，入侵的活動變得復雜而又難以捉摸。某些入侵的活動靠單一IDS不能檢測出來，如分布式攻擊。網絡管理員常因缺少證據而無法追蹤入侵者，入侵者仍然可以進行非法的活動。不同的IDS之間設有協作，結果造成缺少某種入侵模式而導致IDS不能發現新的入侵活動。目前，網絡的安全也要求IDS能夠與訪問控制、應急、入侵追蹤等系統交換情息，相互協作，形成一個整體有效的安全保障系統。然而，要達到達些要求，需要一個標準來加以指導，系統之間要有一個約定，如數據交換的格式、協作方式等。基于上述的因素考慮，國際上的一些研究組織開展這方面的研究工作。下面概述一下目前的入侵檢測的標準化制定工作進展狀況。9.9.1通用入侵檢測框架（CIDF）通用入侵檢測框架(CIDF，CommonIntrusionDetectionFramework)，定義了檢測體系結構、入侵描述語言規范和應用程序接口規范。CIDF定義了IDS系統和應急系統之間通過交換數據方式，協作而實現入侵檢測和應急響應。CIDF將軟件構件理論應用到入侵檢測系統中，定義構件之間接口方法，從而使得不同的構件能夠互相通信和協作。（CIDF）闡述了一個入侵檢測系統（IDS）的通用模型。它將一個入侵檢測系統分為事件產生器（Eventgenerators）、事件分析器（Eventanalyzers）、響應單元（Responseunits）、事件數據庫（Eventdatabases）四個組件。CIDF將IDS需要分析的數據統稱為事件（event），它可以是網絡中的數據包，也可以是從系統日志等其他途徑得到的信息。9.9.2入侵檢測工作組(IDWG)為了適應網絡安全發展的需要，Intenet網絡工程部IETF的入侵檢測工作組(IntrusionDetectionWorkingGroup，簡稱IDWG)負責制定入侵檢測響應系統之間的共享信息的數據格式和交換信息的方式，以及滿足系統管理的需要。IDWG主要的工作圍繞下面的三點。(1)制定入侵檢測消息交換需求