6.4入侵系統(tǒng)檢測(cè)VIP

1、5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)入侵檢測(cè)的概念與原理入侵檢測(cè)的概念與原理v入侵檢測(cè)是指入侵檢測(cè)是指“通過(guò)對(duì)行為、安全日志或?qū)復(fù)ㄟ^(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操計(jì)數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖”（參見(jiàn)國(guó)際（參見(jiàn)國(guó)際GB/T18336GB/T18336）。）。5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng) 入侵檢測(cè)入侵檢測(cè)模型與具體系統(tǒng)和具體輸入無(wú)關(guān)，模型與具體系統(tǒng)和具體輸入無(wú)關(guān)，是一種通用的模型體系結(jié)構(gòu)，如是一種通用的模型體系結(jié)構(gòu)，如下下圖所示。圖所示。5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)

2、v將入侵檢測(cè)的軟件與硬件的組合稱為入侵檢將入侵檢測(cè)的軟件與硬件的組合稱為入侵檢測(cè)系統(tǒng)（測(cè)系統(tǒng)（Intrusion Detection SystemIntrusion Detection System，IDSIDS），它是一套監(jiān)控計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)），它是一套監(jiān)控計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的事件，根據(jù)規(guī)則進(jìn)行安全審計(jì)的軟中發(fā)生的事件，根據(jù)規(guī)則進(jìn)行安全審計(jì)的軟件或硬件系統(tǒng)，是防火墻的合理補(bǔ)充，幫助件或硬件系統(tǒng)，是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），

3、提高了信息安全基礎(chǔ)結(jié)構(gòu)的完別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性整性5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)的構(gòu)成與功能入侵檢測(cè)系統(tǒng)的構(gòu)成與功能 通常，入侵檢測(cè)系統(tǒng)有以下通常，入侵檢測(cè)系統(tǒng)有以下4 4個(gè)部件組成。個(gè)部件組成。v事件發(fā)生器事件發(fā)生器提供事件記錄流的信息源，提供事件記錄流的信息源，從網(wǎng)絡(luò)中獲取所有的數(shù)據(jù)包從網(wǎng)絡(luò)中獲取所有的數(shù)據(jù)包, ,然后將所有的數(shù)然后將所有的數(shù)據(jù)包傳送給分析引擎進(jìn)行數(shù)據(jù)分析和處理。據(jù)包傳送給分析引擎進(jìn)行數(shù)據(jù)分析和處理。v事件分析器事件分析器接收信息源的數(shù)據(jù)，進(jìn)行數(shù)接收信息源的數(shù)據(jù)，進(jìn)行數(shù)據(jù)分析和協(xié)議分析，通過(guò)這些分析發(fā)現(xiàn)入侵據(jù)分析和協(xié)議分析，通過(guò)這

4、些分析發(fā)現(xiàn)入侵現(xiàn)象，從而進(jìn)行下一步的操作。現(xiàn)象，從而進(jìn)行下一步的操作。5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)v響應(yīng)單元響應(yīng)單元對(duì)基于分析引擎的數(shù)據(jù)結(jié)果產(chǎn)對(duì)基于分析引擎的數(shù)據(jù)結(jié)果產(chǎn)生反應(yīng)，包括切斷連接、發(fā)出報(bào)警信息或發(fā)生反應(yīng)，包括切斷連接、發(fā)出報(bào)警信息或發(fā)動(dòng)對(duì)攻擊者的反擊等。動(dòng)對(duì)攻擊者的反擊等。v事件數(shù)據(jù)庫(kù)事件數(shù)據(jù)庫(kù)存放各種中間和最終數(shù)據(jù)的存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。以是簡(jiǎn)單的文本文件。5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng) 5.2.2 5.2.2 入侵檢測(cè)系統(tǒng)的構(gòu)成與功能入侵檢測(cè)系統(tǒng)的構(gòu)成與功能 入

5、侵檢測(cè)系統(tǒng)的組成如入侵檢測(cè)系統(tǒng)的組成如下下圖所示。圖所示。5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)的構(gòu)成與功能入侵檢測(cè)系統(tǒng)的構(gòu)成與功能 入侵檢測(cè)系統(tǒng)的基本入侵檢測(cè)系統(tǒng)的基本功能：功能：v檢測(cè)和分析用戶與系統(tǒng)的活動(dòng)。檢測(cè)和分析用戶與系統(tǒng)的活動(dòng)。v審計(jì)系統(tǒng)配置和漏洞。審計(jì)系統(tǒng)配置和漏洞。v評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。v識(shí)別已知攻擊。識(shí)別已知攻擊。v統(tǒng)計(jì)分析異常行為。統(tǒng)計(jì)分析異常行為。v操作系統(tǒng)的審計(jì)、跟蹤、管理，并識(shí)別違反安全操作系統(tǒng)的審計(jì)、跟蹤、管理，并識(shí)別違反安全策略的用戶活動(dòng)。策略的用戶活動(dòng)。5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)入侵

6、檢測(cè)系統(tǒng)的分類入侵檢測(cè)系統(tǒng)的分類 1 1按照檢測(cè)類型劃分按照檢測(cè)類型劃分v（1 1）異常檢測(cè)模）異常檢測(cè)模(Anomalydetection)(Anomalydetection)：它的：它的前提條件是入侵者活動(dòng)異常于正常主體的活前提條件是入侵者活動(dòng)異常于正常主體的活動(dòng)。動(dòng)。v（2 2）特征檢測(cè)模型）特征檢測(cè)模型(Signature-based (Signature-based detection)detection)：又稱誤用檢測(cè)模型（：又稱誤用檢測(cè)模型（Misuse Misuse detectiondetection），這一檢測(cè)假設(shè)入侵者活動(dòng)可以），這一檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來(lái)表示

7、，系統(tǒng)的目標(biāo)是檢測(cè)主體用一種模式來(lái)表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式?；顒?dòng)是否符合這些模式。5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)的分類入侵檢測(cè)系統(tǒng)的分類2 2按照檢測(cè)對(duì)象劃分按照檢測(cè)對(duì)象劃分v（1 1）基于主機(jī)的入侵檢測(cè)產(chǎn)品（）基于主機(jī)的入侵檢測(cè)產(chǎn)品（HIDSHIDS）通常）通常是安裝在被重點(diǎn)檢測(cè)的主機(jī)之上，主要是對(duì)是安裝在被重點(diǎn)檢測(cè)的主機(jī)之上，主要是對(duì)該主機(jī)的網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)連接以及系統(tǒng)審計(jì)日該主機(jī)的網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。志進(jìn)行智能分析和判斷。5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng) HIDSHIDS系統(tǒng)還存在以下優(yōu)點(diǎn)。系統(tǒng)還存在以下優(yōu)點(diǎn)

8、。v性能價(jià)格比高，在主機(jī)數(shù)量較少的情況下，性能價(jià)格比高，在主機(jī)數(shù)量較少的情況下，這種方法的性能價(jià)格比可能更高。盡管基于這種方法的性能價(jià)格比可能更高。盡管基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)能很容易地提供廣泛覆網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)能很容易地提供廣泛覆蓋，但其價(jià)格通常是昂貴的。蓋，但其價(jià)格通常是昂貴的。v更加精確，可以很容易地檢測(cè)一些活動(dòng)，如更加精確，可以很容易地檢測(cè)一些活動(dòng)，如對(duì)敏感文件、目錄、程序或端口的存取，而對(duì)敏感文件、目錄、程序或端口的存取，而這些活動(dòng)很難在基于網(wǎng)絡(luò)的系統(tǒng)中被發(fā)現(xiàn)。這些活動(dòng)很難在基于網(wǎng)絡(luò)的系統(tǒng)中被發(fā)現(xiàn)。v視野集中，一旦入侵者得到了一個(gè)主機(jī)的用視野集中，一旦入侵者得到了一個(gè)主機(jī)的用戶名和口

9、令，基于主機(jī)的代理是最有可能區(qū)戶名和口令，基于主機(jī)的代理是最有可能區(qū)分正常的活動(dòng)和非法的活動(dòng)的。分正常的活動(dòng)和非法的活動(dòng)的。5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)的分類入侵檢測(cè)系統(tǒng)的分類 （2 2）基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品（）基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品（NIDSNIDS）放置）放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。此外，各種數(shù)據(jù)包。此外，NIDSNIDS系統(tǒng)還存在以下優(yōu)系統(tǒng)還存在以下優(yōu)點(diǎn)。點(diǎn)。v隱蔽性好，一個(gè)網(wǎng)絡(luò)上的檢測(cè)器不像一個(gè)主隱蔽性好，一個(gè)網(wǎng)絡(luò)上的檢測(cè)器不像一個(gè)主機(jī)那樣顯眼和易被存取，因而也不那么容易機(jī)那樣顯眼和易被存取，因而

10、也不那么容易遭受攻擊。遭受攻擊。v視野更寬，基于網(wǎng)絡(luò)的入侵檢測(cè)甚至可以在視野更寬，基于網(wǎng)絡(luò)的入侵檢測(cè)甚至可以在網(wǎng)絡(luò)的邊緣上，即攻擊者還沒(méi)能接入網(wǎng)絡(luò)時(shí)網(wǎng)絡(luò)的邊緣上，即攻擊者還沒(méi)能接入網(wǎng)絡(luò)時(shí)就被發(fā)現(xiàn)并制止。就被發(fā)現(xiàn)并制止。5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)的分類入侵檢測(cè)系統(tǒng)的分類v較少的監(jiān)測(cè)器，由于使用一個(gè)檢測(cè)器就可以較少的監(jiān)測(cè)器，由于使用一個(gè)檢測(cè)器就可以保護(hù)一個(gè)共享的網(wǎng)段，所以不需要很多的檢保護(hù)一個(gè)共享的網(wǎng)段，所以不需要很多的檢測(cè)器。測(cè)器。v攻擊者不易轉(zhuǎn)移證據(jù)，基于網(wǎng)絡(luò)的攻擊者不易轉(zhuǎn)移證據(jù)，基于網(wǎng)絡(luò)的IDSIDS使用正使用正在發(fā)生的網(wǎng)絡(luò)通信進(jìn)行實(shí)時(shí)攻擊的檢測(cè)，所在發(fā)生的網(wǎng)絡(luò)通信

11、進(jìn)行實(shí)時(shí)攻擊的檢測(cè)，所以攻擊者無(wú)法轉(zhuǎn)移證據(jù)。被捕獲的數(shù)據(jù)不僅以攻擊者無(wú)法轉(zhuǎn)移證據(jù)。被捕獲的數(shù)據(jù)不僅包括攻擊的方法，而且還包括可識(shí)別黑客身包括攻擊的方法，而且還包括可識(shí)別黑客身份和對(duì)其進(jìn)行起訴的信息。份和對(duì)其進(jìn)行起訴的信息。5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)v操作系統(tǒng)無(wú)關(guān)性，基于網(wǎng)絡(luò)的操作系統(tǒng)無(wú)關(guān)性，基于網(wǎng)絡(luò)的IDSIDS作為安全監(jiān)作為安全監(jiān)測(cè)資源，與主機(jī)的操作系統(tǒng)無(wú)關(guān)。與之相比，測(cè)資源，與主機(jī)的操作系統(tǒng)無(wú)關(guān)。與之相比，基于主機(jī)的系統(tǒng)必須在特定的、沒(méi)有遭到破基于主機(jī)的系統(tǒng)必須在特定的、沒(méi)有遭到破壞的操作系統(tǒng)中才能正常工作，生成有用的壞的操作系統(tǒng)中才能正常工作，生成有用的結(jié)果。結(jié)果。v占資源

12、少，在被保護(hù)的設(shè)備上不用占用任何占資源少，在被保護(hù)的設(shè)備上不用占用任何資源。資源。 5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng) 5.2.4 5.2.4 入侵檢測(cè)系統(tǒng)的部署入侵檢測(cè)系統(tǒng)的部署v 一般入侵檢測(cè)產(chǎn)品通常由兩部分組成：傳感器一般入侵檢測(cè)產(chǎn)品通常由兩部分組成：傳感器（SensorSensor）與控制臺(tái)（）與控制臺(tái)（ConsoleConsole）。）。下圖為入侵檢下圖為入侵檢測(cè)系統(tǒng)一般部署圖：測(cè)系統(tǒng)一般部署圖：5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng) 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)需要有傳感器才能基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)需要有傳感器才能工作。工作。要使要使入侵檢測(cè)系統(tǒng)工作在最佳狀態(tài)入侵檢測(cè)系統(tǒng)工作在最

13、佳狀態(tài)下下, ,一般可以采取以下選擇。一般可以采取以下選擇。v放在邊界防火墻之內(nèi)，傳感器可以發(fā)現(xiàn)所有放在邊界防火墻之內(nèi)，傳感器可以發(fā)現(xiàn)所有來(lái)自來(lái)自Internet Internet 的攻擊，然而如果攻擊類型是的攻擊，然而如果攻擊類型是TCPTCP攻擊，而防火墻或過(guò)濾路由器能封鎖這種攻擊，而防火墻或過(guò)濾路由器能封鎖這種攻擊，那么入侵檢測(cè)系統(tǒng)可能就檢測(cè)不到這攻擊，那么入侵檢測(cè)系統(tǒng)可能就檢測(cè)不到這種攻擊的發(fā)生。種攻擊的發(fā)生。5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)v放在邊界防火墻之外，可以檢測(cè)所有對(duì)保護(hù)放在邊界防火墻之外，可以檢測(cè)所有對(duì)保護(hù)網(wǎng)絡(luò)的攻擊事件網(wǎng)絡(luò)的攻擊事件。v放在主要的網(wǎng)絡(luò)中樞中，傳感器

14、可以監(jiān)控大放在主要的網(wǎng)絡(luò)中樞中，傳感器可以監(jiān)控大量的網(wǎng)絡(luò)數(shù)據(jù)，可提高檢測(cè)黑客攻擊的可能量的網(wǎng)絡(luò)數(shù)據(jù)，可提高檢測(cè)黑客攻擊的可能性，可通過(guò)授權(quán)用戶的權(quán)利周界來(lái)發(fā)現(xiàn)未授性，可通過(guò)授權(quán)用戶的權(quán)利周界來(lái)發(fā)現(xiàn)未授權(quán)用戶的行為。權(quán)用戶的行為。v放在一些安全級(jí)別需求高的子網(wǎng)中，對(duì)非常放在一些安全級(jí)別需求高的子網(wǎng)中，對(duì)非常重要的系統(tǒng)和資源的入侵檢測(cè)重要的系統(tǒng)和資源的入侵檢測(cè)。5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)的選型入侵檢測(cè)系統(tǒng)的選型v對(duì)于入侵檢測(cè)系統(tǒng)的選擇，首先必須從技術(shù)對(duì)于入侵檢測(cè)系統(tǒng)的選擇，首先必須從技術(shù)上、物理結(jié)構(gòu)和策略上綜合考慮網(wǎng)絡(luò)環(huán)境，上、物理結(jié)構(gòu)和策略上綜合考慮網(wǎng)絡(luò)環(huán)境，以及網(wǎng)絡(luò)中

15、存在哪些應(yīng)用和設(shè)備、自身網(wǎng)絡(luò)以及網(wǎng)絡(luò)中存在哪些應(yīng)用和設(shè)備、自身網(wǎng)絡(luò)已經(jīng)部署了哪些安全設(shè)備，從而明確哪種入已經(jīng)部署了哪些安全設(shè)備，從而明確哪種入侵檢測(cè)系統(tǒng)適合自身的網(wǎng)絡(luò)環(huán)境。侵檢測(cè)系統(tǒng)適合自身的網(wǎng)絡(luò)環(huán)境。v其次確定入侵檢測(cè)的范圍，即是主要關(guān)注來(lái)其次確定入侵檢測(cè)的范圍，即是主要關(guān)注來(lái)自企業(yè)外部的入侵事件還是來(lái)自內(nèi)部人員的自企業(yè)外部的入侵事件還是來(lái)自內(nèi)部人員的入侵，是否使用入侵，是否使用IDSIDS用于管理控制其他應(yīng)用用于管理控制其他應(yīng)用。5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)入侵防護(hù)技術(shù)入侵防護(hù)技術(shù)IPSIPSv入侵防護(hù)（入侵防護(hù)（Intrusion Prevention SystemIntru

16、sion Prevention System，IPSIPS）技術(shù)是一種主動(dòng)的、積極的入侵防范及）技術(shù)是一種主動(dòng)的、積極的入侵防范及阻止系統(tǒng)。它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它阻止系統(tǒng)。它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，會(huì)自動(dòng)地將攻擊包丟掉檢測(cè)到攻擊企圖后，會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷?；虿扇〈胧⒐粼醋钄唷?.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)入侵防護(hù)技術(shù)入侵防護(hù)技術(shù)IPSIPS IPSIPS主要的技術(shù)優(yōu)勢(shì)如下所示。主要的技術(shù)優(yōu)勢(shì)如下所示。v在線安裝在線安裝IPSIPS保留保留IDSIDS實(shí)時(shí)檢測(cè)的技術(shù)與實(shí)時(shí)檢測(cè)的技術(shù)與功能，但是卻采用了防火墻式的在線安裝。功能，但是卻

17、采用了防火墻式的在線安裝。v實(shí)時(shí)阻斷實(shí)時(shí)阻斷IPSIPS具有強(qiáng)有力的實(shí)時(shí)阻斷功能，具有強(qiáng)有力的實(shí)時(shí)阻斷功能，能夠預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行能夠預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失。攔截，避免其造成任何損失。5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)入侵防護(hù)技術(shù)入侵防護(hù)技術(shù)IPSIPSv先進(jìn)的檢測(cè)技術(shù)先進(jìn)的檢測(cè)技術(shù)主要是并行處理檢測(cè)和主要是并行處理檢測(cè)和協(xié)議重組分析。協(xié)議重組分析。v特殊規(guī)則植入功能特殊規(guī)則植入功能IPSIPS允許植入特殊規(guī)則允許植入特殊規(guī)則以阻止惡意代碼。以阻止惡意代碼。IPSIPS能夠輔助實(shí)施可接收應(yīng)能夠輔助實(shí)施可接收應(yīng)用策略用策略。v自學(xué)習(xí)與自適應(yīng)能力自學(xué)習(xí)與自適應(yīng)能力為了應(yīng)對(duì)不斷更新和為了應(yīng)對(duì)不斷更新和提高的攻擊手段，提高的攻擊手段，IPSIPS具有了人工智能的自學(xué)具有了人工智能的自學(xué)習(xí)與自適應(yīng)能力。習(xí)與自適應(yīng)能力。5.4 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)入侵防護(hù)技術(shù)入侵防護(hù)技術(shù)IPSIPS 從保護(hù)對(duì)象上可將從保護(hù)對(duì)象上可將IPSIPS分為分為3 3類類v基于主機(jī)的入侵防護(hù)（基于主機(jī)的入侵防護(hù)（HIPSHIPS），用于保護(hù)服