入侵檢測分析

1、入侵檢測分析1一、入侵檢測系統(tǒng)概述1、相關(guān)術(shù)語 攻擊：攻擊者利用工具，出于某種動機，對目標系統(tǒng)采取的行動，其后果是獲取/破壞/篡改目標系統(tǒng)的數(shù)據(jù)或訪問權(quán)限直接攻擊和間接攻擊事件：在攻擊過程中發(fā)生的可以識別的行動或行動造成的后果；在入侵檢測系統(tǒng)中，事件常常具有一系列屬性和詳細的描述信息可供用戶查看。 將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件（event）入侵檢測是對入侵行為的發(fā)覺，它幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測技術(shù)是通過從計算機網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中

2、是否有違反安全策略的行為和遭到入侵的跡象的一種安全技術(shù)。負責(zé)入侵檢測的軟/硬件組合體稱為入侵檢測系統(tǒng)IDS。22、入侵檢測技術(shù)入侵檢測（Intrusion Detection）技術(shù)是一種動態(tài)的網(wǎng)絡(luò)檢測技術(shù)，主要用于識別對計算機和網(wǎng)絡(luò)資源的惡意使用行為，包括來自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動。一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象，則應(yīng)當(dāng)做出適當(dāng)?shù)姆磻?yīng)。對于正在進行的網(wǎng)絡(luò)攻擊，則采取適當(dāng)?shù)姆椒▉碜钄喙簦ㄅc防火墻聯(lián)動），以減少系統(tǒng)損失。對于已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊，則應(yīng)通過分析日志記錄找到發(fā)生攻擊的原因和入侵者的蹤跡，作為增強網(wǎng)絡(luò)系統(tǒng)安全性和追究入侵者法律責(zé)任的依據(jù)。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息

3、，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。 入侵檢測技術(shù)也是保障系統(tǒng)動態(tài)安全的核心技術(shù)之一 一、入侵檢測系統(tǒng)概述3 3、入侵檢測系統(tǒng)入侵檢測系統(tǒng)（IDS）由入侵檢測的軟件與硬件組合而成，被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執(zhí)行以下任務(wù)來實現(xiàn)： 1）監(jiān)視、分析用戶及系統(tǒng)活動。 2）識別反映已知進攻的活動模式并向相關(guān)人士報警。 3）異常行為模式的統(tǒng)計分析。 4）評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。 5）操作系統(tǒng)的審計跟蹤管理，識別用戶違反安全策略的行為6）檢查系統(tǒng)配置和漏洞 一

4、、入侵檢測系統(tǒng)概述44、入侵檢測系統(tǒng)的作用監(jiān)控網(wǎng)絡(luò)和系統(tǒng)發(fā)現(xiàn)入侵企圖或異常現(xiàn)象實時報警主動響應(yīng)審計跟蹤 一、入侵檢測系統(tǒng)概述55、入侵檢測的發(fā)展歷程1980年，James Anderson最早提出入侵檢測概念1987年，DEDenning首次給出了一個入侵檢測的抽象模型，并將入侵檢測作為一種新的安全防御措施提出。1988年，Morris蠕蟲事件直接刺激了IDS的研究1988年，創(chuàng)建了基于主機的系統(tǒng),有IDES，Haystack等1989年，提出基于網(wǎng)絡(luò)的IDS系統(tǒng),有NSM，NADIR， DIDS等90年代，不斷有新的思想提出，如將人工智能、神經(jīng)網(wǎng)絡(luò)、模糊理論、證據(jù)理論、分布計算技術(shù)等引入ID

5、S系統(tǒng)2000年2月，對Yahoo！、Amazon、CNN等大型網(wǎng)站的DDOS攻擊引發(fā)了對IDS系統(tǒng)的新一輪研究熱潮2001年今，RedCode、求職信等新型病毒的不斷出現(xiàn)，進一步促進了IDS的發(fā)展 一、入侵檢測系統(tǒng)概述6二、入侵檢測系統(tǒng)的分類IDS一般從實現(xiàn)方式上分為兩種：基于主機的IDS和基于網(wǎng)絡(luò)的IDS。一個完備的入侵檢測系統(tǒng)IDS一定是基于主機和基于網(wǎng)絡(luò)兩種方式兼?zhèn)涞姆植际较到y(tǒng)。不管使用哪一種工作方式，都用不同的方式使用了上述兩種分析技術(shù)，都需要查找攻擊簽名Attack Signature。所謂攻擊簽名，就是用一種特定的方式來表示已知的攻擊方式 7二、入侵檢測系統(tǒng)的分類1、基于網(wǎng)絡(luò)的I

6、DS基于網(wǎng)絡(luò)的IDS是網(wǎng)絡(luò)上的一個監(jiān)聽設(shè)備(或一個專用主機)基于網(wǎng)絡(luò)的IDS使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進行攻擊分析的數(shù)據(jù)源。一般利用一個網(wǎng)絡(luò)適配器來實時監(jiān)視和分析所有通過網(wǎng)絡(luò)進行傳輸?shù)耐ㄐ牛?一旦檢測到攻擊，IDS應(yīng)答模塊通過通知報警以及中斷連接等方式來對攻擊作出反應(yīng)安裝在被保護的網(wǎng)段（通常是共享網(wǎng)絡(luò)，交換環(huán)境中交換機需支持端口映射）中混雜模式監(jiān)聽分析網(wǎng)段中所有的數(shù)據(jù)包實時檢測和響應(yīng) 8基于網(wǎng)絡(luò)的IDS工作模型二、入侵檢測系統(tǒng)的分類9基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的主要優(yōu)點有 1 成本低 2 攻擊者轉(zhuǎn)移證據(jù)很困難 3 實時檢測和應(yīng)答一旦發(fā)生惡意訪問或攻擊，基于網(wǎng)絡(luò)的IDS檢測可以隨時發(fā)現(xiàn)它們，因此能

7、夠更快地作出反應(yīng)，從而將入侵活動對系統(tǒng)的破壞減到最低 4 能夠檢測未成功的攻擊企圖 5 操作系統(tǒng)獨立。基于網(wǎng)絡(luò)的IDS并不依賴主機的操作系統(tǒng)作為檢測資源，而基于主機的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用 二、入侵檢測系統(tǒng)的分類10基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的主要缺點有 (1) 不適合交換環(huán)境和高速環(huán)境：很難實現(xiàn)一些復(fù)雜的需要大量計算與分析時間的攻擊檢測。(2)不能處理加密數(shù)據(jù)(3) 資源及處理能力局限：只檢查它直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)包。(4) 系統(tǒng)相關(guān)的脆弱性二、入侵檢測系統(tǒng)的分類112、基于主機的IDS基于主機的IDS一般監(jiān)視Windows NT上的系統(tǒng)、事件、安全日志以及U

8、NIX環(huán)境中的syslog文件，一旦發(fā)現(xiàn)這些文件發(fā)生任何變化，IDS將比較新的日志記錄與攻擊簽名以發(fā)現(xiàn)它們是否匹配， 如果匹配的話檢測系統(tǒng)就向管理員發(fā)出入侵報警并且發(fā)出采取相應(yīng)的行動 安裝于被保護的主機中主要分析主機內(nèi)部活動占用一定的系統(tǒng)資源二、入侵檢測系統(tǒng)的分類12基于主機的IDS的主要優(yōu)勢有 1 非常適用于高速環(huán)境 2 接近實時的檢測和應(yīng)答 3 不需要額外的硬件 二、入侵檢測系統(tǒng)的分類133、兩種入侵檢測技術(shù)的比較 如果攻擊不經(jīng)過網(wǎng)絡(luò)，基于網(wǎng)絡(luò)的IDS無法檢測到，只能通過使用基于主機的IDS 來檢測 基于網(wǎng)絡(luò)的IDS通過檢查所有的包首標 header來進行檢測，而基于主機的IDS并不查看包

9、首標；許多基于IP的拒絕服務(wù)攻擊和碎片攻擊只能通過查看它們通過網(wǎng)絡(luò)傳輸時的包首標才能識別 基于網(wǎng)絡(luò)的IDS可以研究負載的內(nèi)容查找特定攻擊中使用的命令或語法。這類攻擊可以被實時檢查包序列的IDS迅速識別；而基于主機的系統(tǒng)無法看到負載，因此也無法識別嵌入式的負載攻擊 二、入侵檢測系統(tǒng)的分類144、兩種類型IDS的結(jié)合 在新一代的入侵檢測系統(tǒng)中將把現(xiàn)在的基于網(wǎng)絡(luò)和基于主機這兩種檢測技術(shù)很好地集成起來，提供集成化的攻擊簽名、檢測、報告和事件關(guān)聯(lián)功能利用最新的可適應(yīng)網(wǎng)絡(luò)安全技術(shù)和P2DR（Policy Protection Detection Response）安全模型，可 以深入地研究入侵事件、入侵手

10、段本身及被入侵 目標的漏洞等 二、入侵檢測系統(tǒng)的分類155、IDS的基本結(jié)構(gòu)無論IDS系統(tǒng)是網(wǎng)絡(luò)型的還是主機型的，從功能上看，都可分為兩大部分：探測引擎和控制中心。前者用于讀取原始數(shù)據(jù)和產(chǎn)生事件；后者用于顯示和分析事件以及策略定制等工作二、入侵檢測系統(tǒng)的分類16引擎的主要功能為：原始數(shù)據(jù)讀取、數(shù)據(jù)分析、產(chǎn)生事件、策略匹配、事件處理、通信等功能 引擎的工作流程 17控制中心的工作流程 控制中心的主要功能為：通信、事件讀取、事件顯示、策略定制、日志分析、系統(tǒng)幫助等。1819三、入侵檢測的原理異常檢測（Anomaly Detection） 統(tǒng)計模型誤報較多誤用檢測（Misuse Detection）

11、維護一個入侵特征知識庫（CVE）準確性高特征檢測 關(guān)注系統(tǒng)本身的行為通過提高行為特征定義的準確度和覆蓋范圍，較低誤報和錯別率201、異常檢測異常檢測的基本原理正常行為的特征輪廓檢查系統(tǒng)的運行情況是否偏離預(yù)設(shè)的門限21異常檢測的優(yōu)點：可以檢測到未知的入侵 可以檢測冒用他人帳號的行為 具有自適應(yīng)，自學(xué)習(xí)功能 不需要系統(tǒng)先驗知識1、異常檢測22異常檢測的缺點：漏報、誤報率高入侵者可以逐漸改變自己的行為模式來逃避檢測合法用戶正常行為的突然改變也會造成誤警 統(tǒng)計算法的計算量龐大，效率很低 統(tǒng)計點的選取和參考庫的建立比較困難1、異常檢測232、誤用檢測誤用檢測采用匹配技術(shù)檢測已知攻擊提前建立已出現(xiàn)的入侵行

12、為特征檢測當(dāng)前用戶行為特征24誤用檢測的優(yōu)點算法簡單系統(tǒng)開銷小 準確率高效率高2、誤用檢測25誤用檢測的缺點被動只能檢測出已知攻擊 新類型的攻擊會對系統(tǒng)造成很大的威脅 模式庫的建立和維護難模式庫要不斷更新知識依賴于硬件平臺操作系統(tǒng)系統(tǒng)中運行的應(yīng)用程序2、誤用檢測263、特征檢測特征檢測定義系統(tǒng)行為輪廓，并將系統(tǒng)行為與輪廓進行比較，對未指明為正常行為的事件定義為入侵。特征檢測系統(tǒng)采用某種特征語言定義系統(tǒng)的安全策略。27最大的優(yōu)點可以通過提高行為特征定義的準確度和覆蓋范圍，大幅度降低漏報和錯報率。最大缺點要求嚴格定義安全策略需要耗費大量的時間來維護動態(tài)系統(tǒng)的特征庫3、特征檢測28四、 入侵檢測的步

13、驟入侵檢測系統(tǒng)的作用是實時地監(jiān)控計算機系統(tǒng)的活動，發(fā)現(xiàn)可疑的攻擊行為，以避免攻擊的發(fā)生，或減少攻擊造成的危害。由此也劃分了入侵檢測的三個基本步驟：信息收集、數(shù)據(jù)分析和響應(yīng)291信息收集 入侵檢測的第一步是信息收集。收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為，而且，需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點、不同網(wǎng)段和不同主機收集信息。這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但是從幾個信息源的不一致性卻是可疑行為或入侵的最好標識 入侵檢測在很大程度上依賴于收集信息的可靠性、正確性和完備性。因此，要確保采集、報告這些信息的軟件工具的可靠性，這些

14、軟件本身應(yīng)具有相當(dāng)強的堅固性，能夠防止被篡改而收集到錯誤的信息。否則，黑客對系統(tǒng)的修改可能使入侵檢測系統(tǒng)功能失常但看起來卻跟正常的系統(tǒng)一樣。四、 入侵檢測的步驟30 因為黑客經(jīng)常替換軟件以搞混和移走這些信息。例如替換被程序調(diào)用的子程序 庫和其它工具。黑客對系統(tǒng)的修改可能使系統(tǒng)功能失常并看起來跟正常的一樣，例如，unix系統(tǒng)的PS指令可以被替換為一個不顯示侵入過程的指令，或者是編輯器被替換成一個讀取不同于指定文件的文件，這就需要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強的堅固性， 防止被篡改而收集到錯誤的信息 四、 入侵檢測的步驟31入侵檢測利用的信息一般來自以下

15、四個方面 系統(tǒng)和網(wǎng)絡(luò)日志文件 目錄和文件中的不期望的改變 程序執(zhí)行中的不期望行為 物理形式的入侵信息 四、 入侵檢測的步驟32四、 入侵檢測的步驟系統(tǒng)和網(wǎng)絡(luò)日志文件 黑客經(jīng)常在系統(tǒng)日志文件中 留下他們 的蹤跡， 因此充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看 日志文件能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應(yīng)的應(yīng)急響應(yīng)程序。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志就包含登錄、用戶ID改變、用戶對文件的訪問、授權(quán)和認證信息等內(nèi)

16、容。 顯然，對用戶活動來講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等。33四、 入侵檢測的步驟目錄和文件中不期望的改變 網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標。目錄和文件中的不期望 的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號。 入侵者經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件 34四、 入侵檢測的步驟程序執(zhí)行中的不期望行為 網(wǎng)絡(luò)系統(tǒng)上的程序

17、執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶起動的程序和特定目的的應(yīng)用，例如數(shù)據(jù)庫服務(wù)器。每個在系統(tǒng)上執(zhí)行的程序由一到多個進程來實現(xiàn)，每個進程執(zhí)行在具有不同權(quán)限 的環(huán)境中，這種環(huán)境控制著進程可訪問的系統(tǒng)資源、程序和數(shù)據(jù)文件等。一個進程的執(zhí)行行為由它運行時執(zhí)行的操作來表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。操作包括計算、文件傳輸、設(shè)備和其它進程以及與網(wǎng)絡(luò)間其它進程的通訊。一個進程出現(xiàn)了不期望的行為，可能表明黑客正在入侵你的系統(tǒng)。黑客可能會將程序或服務(wù)的運行分解從而導(dǎo)致它失敗，或者是以非用戶或管理員意圖的方式操作。35四、 入侵檢測的步驟2 數(shù)據(jù)分析 數(shù)據(jù)分析（Analysis Schemes

18、）是入侵檢測系統(tǒng)的核心，它的效率高低直接決定了整個入侵檢測系統(tǒng)的性能。對上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進行分析模式匹配、統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測而完整性分析則用于事后分析 36四、 入侵檢測的步驟模式匹配 模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡單，如通過字符串匹配以尋找一個簡單的條目或指令；也可以很復(fù)雜，如利用正規(guī)的數(shù)學(xué)表達式來表示安全狀態(tài)的變化 37四、 入侵檢測的步驟統(tǒng)計分析 統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）

19、創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性，如訪問次數(shù)、操作失敗次數(shù)和延時等 其優(yōu)點是可檢測到未知的入侵和更為復(fù)雜的入侵。 該法的缺點是誤報、漏報率高，且不適應(yīng)用戶正常行為的突然改變。38四、 入侵檢測的步驟完整性分析 完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的被特絡(luò)伊化的應(yīng)用程序方面特別有效其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對象的任何改變，它都能夠發(fā)現(xiàn)。缺點是一般以批處理方式實現(xiàn)，不用于實時響應(yīng)。39四、 入侵檢測的步驟3 響應(yīng) 數(shù)據(jù)分析發(fā)現(xiàn)入侵跡象后，入侵檢測系統(tǒng)的下一步工作就是響應(yīng)。

20、而響應(yīng)并不局限于對可疑的攻擊者。目前的入侵檢測系統(tǒng)一般采取下列響應(yīng)。1、將分析結(jié)果記錄在日志文件中，并產(chǎn)生相應(yīng)的報告。2、觸發(fā)警報：如在系統(tǒng)管理員的桌面上產(chǎn)生一個告警標志位，向系統(tǒng)管理員發(fā)送傳呼或電子郵件等等。3、修改入侵檢測系統(tǒng)或目標系統(tǒng)，如終止進程、切斷攻擊者的網(wǎng)絡(luò)連接，或更改防火墻配置等。40五、案例 入侵檢測工具：BlackICEBlackICE是一個小型的入侵檢測工具，在計算機上安全完畢后，會在操作系統(tǒng)的狀態(tài)欄顯示一個圖標，當(dāng)有異常網(wǎng)絡(luò)情況的時候，圖標就會跳動。主界面如圖所示。41案例 入侵檢測工具：BlackICE可以查看主機入侵的信息，選擇屬性頁“Intruders”，如圖所示。42入侵檢測工具：冰之眼“冰之眼”網(wǎng)絡(luò)入侵檢測系統(tǒng)是NSFOCUS系列安全軟件中一款專門針對網(wǎng)絡(luò)遭受黑客攻擊行為而研制的網(wǎng)絡(luò)安全產(chǎn)品，該產(chǎn)品可最大限度地、全天候地監(jiān)控企業(yè)級的安全。由于用戶自身網(wǎng)絡(luò)系統(tǒng)的缺陷、網(wǎng)絡(luò)軟