ch11入侵檢測(cè)技術(shù)

第7章入侵檢測(cè)技術(shù)7.1入侵檢測(cè)系統(tǒng)概述(重點(diǎn))7.2入侵檢測(cè)一般步驟(重點(diǎn))7.3入侵檢測(cè)系統(tǒng)分類(重點(diǎn))7.4入侵檢測(cè)系統(tǒng)關(guān)鍵技術(shù)7.5入侵檢測(cè)系統(tǒng)模型介紹7.6入侵檢測(cè)系統(tǒng)標(biāo)準(zhǔn)化7.7入侵檢測(cè)系統(tǒng)Snort7.8入侵檢測(cè)產(chǎn)品選購(gòu)

第十五講作業(yè)p202(1)在網(wǎng)絡(luò)安全中,什么是入侵檢測(cè)?入侵檢測(cè)的一般步驟是什么?2.p202(2)根據(jù)系統(tǒng)檢測(cè)的對(duì)象分類,入侵檢測(cè)有哪些類型?3.p202(4)目前,入侵檢測(cè)系統(tǒng)有哪些關(guān)鍵技術(shù)?本章教學(xué)要求：（1）掌握入侵檢測(cè)系統(tǒng)概念；（2）掌握入侵檢測(cè)系統(tǒng)分類；（3）了解入侵檢測(cè)系統(tǒng)關(guān)鍵技術(shù)；（4）知道入侵檢測(cè)系統(tǒng)模型；（5）知道入侵檢測(cè)系統(tǒng)標(biāo)準(zhǔn)化；（6）了解入侵檢測(cè)軟件Snort特點(diǎn)和功能；（7）知道入侵檢測(cè)產(chǎn)品選購(gòu)。

7.1入侵檢測(cè)系統(tǒng)概述1．什么是入侵檢測(cè)

入侵檢測(cè)是指對(duì)入侵行為的發(fā)現(xiàn)、報(bào)警和響應(yīng)，它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息，并對(duì)收集到的信息進(jìn)行分析，從而判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和系統(tǒng)被攻擊的征兆。(作業(yè)1.1)入侵檢測(cè)的目標(biāo)是識(shí)別系統(tǒng)內(nèi)部人員和外部入侵者的非法使用、濫用計(jì)算機(jī)系統(tǒng)的行為。2.入侵檢測(cè)系統(tǒng)功能

入侵檢測(cè)系統(tǒng)能主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中正在進(jìn)行的針對(duì)被保護(hù)目標(biāo)的惡意濫用或非法入侵，并能采取相應(yīng)的措施及時(shí)中止這些危害，如提示報(bào)警、阻斷連接、通知網(wǎng)管等。其主要功能是監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)、核查系統(tǒng)配置中的安全漏洞、評(píng)估系統(tǒng)關(guān)鍵資源與數(shù)據(jù)文件的完整性、識(shí)別現(xiàn)有已知的攻擊行為或用戶濫用、統(tǒng)計(jì)并分析異常行為、對(duì)系統(tǒng)日志的管理維護(hù)。

7.2入侵檢測(cè)一般步驟(作業(yè)1.2)1．入侵?jǐn)?shù)據(jù)提取主要是為系統(tǒng)提供數(shù)據(jù)，提取的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。入侵檢測(cè)數(shù)據(jù)提取可來(lái)自以下四個(gè)方面。（1）系統(tǒng)和網(wǎng)絡(luò)日志；（2）目錄和文件中的的改變；（3）程序執(zhí)行中的不期望行為；（4）物理形式的入侵信息。

7.3入侵檢測(cè)系統(tǒng)分類7.3.1根據(jù)系統(tǒng)所檢測(cè)的對(duì)象分類(作業(yè)2)1.基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）基于主機(jī)的IDS安裝在被保護(hù)的主機(jī)上，通常用于保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器。它通過(guò)監(jiān)視與分析主機(jī)的審計(jì)記錄和日志文件來(lái)檢測(cè)入侵行為?；谥鳈C(jī)的IDS系統(tǒng)的優(yōu)點(diǎn)是能夠校驗(yàn)出攻擊是成功還是失??；可使特定的系統(tǒng)行為受到嚴(yán)密監(jiān)控等。缺點(diǎn)是它會(huì)占用主機(jī)的資源，要依賴操作系統(tǒng)等。

2.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）基于網(wǎng)絡(luò)的IDS一般安裝在需要保護(hù)的網(wǎng)段中，利用網(wǎng)絡(luò)偵聽(tīng)技術(shù)實(shí)時(shí)監(jiān)視網(wǎng)段中傳輸?shù)母鞣N數(shù)據(jù)包，并對(duì)這些數(shù)據(jù)包的內(nèi)容、源地址、目的地址等進(jìn)行分析和檢測(cè)。如果發(fā)現(xiàn)入侵行為或可疑事件，入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警報(bào)甚至切斷網(wǎng)絡(luò)連接?；诰W(wǎng)絡(luò)的IDS的優(yōu)點(diǎn)是購(gòu)買成本低，對(duì)識(shí)別出來(lái)的攻擊能進(jìn)行實(shí)時(shí)檢測(cè)和響應(yīng)，等。其主要缺點(diǎn)在于防欺騙能力較差、交互環(huán)境下難以配置等。3．基于應(yīng)用的入侵檢測(cè)系統(tǒng)（AIDS）

AIDS實(shí)際上是HIDS的一個(gè)子集,它主要使用傳感器在應(yīng)用層收集信息.它監(jiān)控在某個(gè)軟件應(yīng)用程序中發(fā)生的活動(dòng)，信息來(lái)源主要是應(yīng)用程序的日志，其監(jiān)視的內(nèi)容更為具體。7.3.2根據(jù)數(shù)據(jù)分析方法分類1．異常檢測(cè)異常檢測(cè)是假定所有的入侵行為都與正常行為不同。先定義一組系統(tǒng)在正常條件下的資源與設(shè)備利用情況的數(shù)值，建立正?；顒?dòng)的模型，然后再將系統(tǒng)在運(yùn)行時(shí)的此類數(shù)值與事先定義的原有正常指標(biāo)相比較，從而得出是否有攻擊現(xiàn)象發(fā)生。2．誤用檢測(cè)

誤用檢測(cè)是假定所有入侵行為、手段及其變種都能夠表達(dá)為一種模式或特征。系統(tǒng)的目標(biāo)就是檢測(cè)主體活動(dòng)是否符合這些模式，因此又稱為特征檢測(cè)。7.3.3根據(jù)體系結(jié)構(gòu)分類根據(jù)IDS的系統(tǒng)結(jié)構(gòu)，可分為集中式、等級(jí)式和分布式三種。1．集中式入侵檢測(cè)系統(tǒng)集中式IDS可能有多個(gè)分布于不同主機(jī)上的審計(jì)程序，但只有一個(gè)中央入侵檢測(cè)服務(wù)器。審計(jì)程序?qū)?dāng)?shù)厥占降臄?shù)據(jù)發(fā)送給中央服務(wù)器進(jìn)行分析處理。2．等級(jí)式入侵檢測(cè)系統(tǒng)等級(jí)式IDS中，定義了若干個(gè)分等級(jí)的監(jiān)控區(qū)域，每個(gè)IDS負(fù)責(zé)一個(gè)區(qū)域，每一級(jí)IDS只負(fù)責(zé)所監(jiān)控區(qū)的分析，然后將當(dāng)?shù)氐姆治鼋Y(jié)果傳送給上一級(jí)IDS。3．分布式入侵檢測(cè)系統(tǒng)分布式IDS將中央檢測(cè)服務(wù)器的任務(wù)分配給多個(gè)基于主機(jī)的IDS，這些IDS不分等級(jí)，各負(fù)其職，負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)的某些活動(dòng)。

7.4入侵檢測(cè)系統(tǒng)關(guān)鍵技術(shù)(作業(yè)3)1．模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。模式匹配方法是入侵檢測(cè)領(lǐng)域中應(yīng)用最為廣泛的檢測(cè)手段和機(jī)制之一，通常用于誤用檢測(cè)。2．統(tǒng)計(jì)分析統(tǒng)計(jì)分析方法首先給用戶、文件、目錄和設(shè)備等系統(tǒng)對(duì)象創(chuàng)建一個(gè)統(tǒng)計(jì)描述。統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性，測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。常用的入侵檢測(cè)統(tǒng)計(jì)分析模型有：（1）操作模型：（2）方差：（3）多元模型：（4）馬爾可夫過(guò)程模型（5）時(shí)間序列分析

3．專家系統(tǒng)專家系統(tǒng)是一種以知識(shí)為基礎(chǔ)，根據(jù)人類專家的知識(shí)和經(jīng)驗(yàn)進(jìn)行推理，解決需要專家才能解決的復(fù)雜問(wèn)題的計(jì)算機(jī)程序系統(tǒng)。用專家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)主要是針對(duì)誤用檢測(cè)，是針對(duì)有特征入侵的行為。4．神經(jīng)網(wǎng)絡(luò)神經(jīng)網(wǎng)絡(luò)具有自適應(yīng)、自組織、自學(xué)習(xí)的能力，可以處理一些環(huán)境信息復(fù)雜、背景知識(shí)不清楚的問(wèn)題。

5．?dāng)?shù)據(jù)挖掘數(shù)據(jù)挖掘是從大量的數(shù)據(jù)中抽取出潛在的、有價(jià)值的知識(shí)（即模型或規(guī)則）的過(guò)程。對(duì)于入侵檢測(cè)系統(tǒng)來(lái)說(shuō)，也需要從大量的數(shù)據(jù)中提取入侵特征。6．協(xié)議分析協(xié)議分析是利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測(cè)攻擊的存在。協(xié)議分析技術(shù)對(duì)協(xié)議進(jìn)行解碼，減少了入侵檢測(cè)系統(tǒng)需要分析的數(shù)據(jù)量。7.移動(dòng)代理移動(dòng)Agent指一個(gè)在網(wǎng)絡(luò)結(jié)點(diǎn)間自主遷移的軟實(shí)體,特別適合于大規(guī)模信息處理和動(dòng)態(tài)代理.在IDS的信息采集和處理中采用移動(dòng)代理,既能充分發(fā)揮移動(dòng)代理的特長(zhǎng),又能大大提高入侵檢測(cè)系統(tǒng)的性能和整體功能.

7.7入侵檢測(cè)系統(tǒng)SnortSnort是一個(gè)免費(fèi)的、開(kāi)放源代碼的基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，具有很好的擴(kuò)展性和可移植性。1．Snort主要功能Snort主要功能有三種：數(shù)據(jù)包嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測(cè)。2．Snort特點(diǎn)（1）Snort是一個(gè)跨平臺(tái)、輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)軟件。（2）Snort采用基于規(guī)則的網(wǎng)絡(luò)信息搜索機(jī)制，對(duì)數(shù)據(jù)包進(jìn)行內(nèi)容的模式匹配，從中發(fā)現(xiàn)入侵和探測(cè)行為。（3）Snort具有實(shí)時(shí)數(shù)據(jù)流量分析和監(jiān)測(cè)IP網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對(duì)內(nèi)容進(jìn)行搜索/匹配。它能夠檢測(cè)各種不同的攻擊方式，對(duì)攻擊進(jìn)行實(shí)時(shí)報(bào)警。它還可以用來(lái)截獲網(wǎng)絡(luò)中的數(shù)據(jù)包并記錄數(shù)據(jù)包日志。（4）Snort的報(bào)警機(jī)制豐富。（5）Snort的日志格式既可以是二進(jìn)制格式，也可以解碼成ASCII字符形式，便于用戶檢查。（6）Snort使用一種簡(jiǎn)單的規(guī)則描述語(yǔ)言，能夠很快對(duì)新的網(wǎng)絡(luò)攻擊作出反應(yīng)。（7）Snort支持插件?？梢允褂镁哂刑囟üδ艿膱?bào)告、檢測(cè)子系統(tǒng)插件對(duì)其功能進(jìn)行擴(kuò)展。3．Snort組成（1）數(shù)據(jù)包解碼器。數(shù)據(jù)包解碼器主要是對(duì)各種協(xié)議棧上的數(shù)據(jù)包進(jìn)行解析、預(yù)處理，以便提交給檢測(cè)引擎進(jìn)行規(guī)則匹配。（2）檢測(cè)引擎。Snort用一個(gè)二維鏈表存儲(chǔ)它的檢測(cè)規(guī)則，一維稱為規(guī)則頭，另一維稱為規(guī)則選項(xiàng)。規(guī)則匹配查找采用遞歸的方法進(jìn)行，檢測(cè)機(jī)制只針對(duì)當(dāng)前已經(jīng)建立的鏈表選項(xiàng)進(jìn)行檢測(cè)。（3）日志子系統(tǒng)。Snort可供選擇的日志形式有三種：文本形式、二進(jìn)制形式、關(guān)閉日志服務(wù)。（4）報(bào)警子系統(tǒng)。報(bào)警形式有五種：報(bào)警信息可發(fā)往系統(tǒng)日志，用文本形式記錄到報(bào)警文件中去，用二進(jìn)制形式記錄到報(bào)警文件中去，通過(guò)Samba發(fā)送WinPopup信息，第五種方法就是關(guān)閉報(bào)警，什么也不做。

7.8入侵檢測(cè)產(chǎn)品選購(gòu)1．根據(jù)單位需求。2．產(chǎn)品通過(guò)權(quán)威機(jī)構(gòu)認(rèn)證。3．廠商的技術(shù)支持和服務(wù)。4．產(chǎn)品系統(tǒng)結(jié)構(gòu)要合理。5．自定義異常事件。6．檢測(cè)規(guī)則庫(kù)要完整。。7．檢測(cè)能力強(qiáng)大。8．產(chǎn)品實(shí)時(shí)監(jiān)控性能。9．?dāng)?shù)據(jù)報(bào)表要靈活直觀。10．產(chǎn)品實(shí)時(shí)監(jiān)控性能11．漏報(bào)與誤報(bào)。12．安裝、配置以及管理的方便性。13．及時(shí)性。14．響應(yīng)能力。15．負(fù)荷能力。16．靈活的日志報(bào)告。17．產(chǎn)品的抗攻擊性。

9.3Windows安全配置基于NT技術(shù)的Windows操作系統(tǒng)自身帶有強(qiáng)大的安全功能和選項(xiàng)，只要合理的配置它們，windows操作系統(tǒng)將會(huì)是一個(gè)比較安全的操作系統(tǒng)。據(jù)說(shuō)，有90％的惡意攻擊都是利用Windows操作系統(tǒng)安全配置不當(dāng)造成的。1．使用NTFS分區(qū)格式NTFS文件系統(tǒng)具備高強(qiáng)度的訪問(wèn)控制機(jī)制，保證用戶不能訪問(wèn)未經(jīng)授權(quán)的文件和目錄，能夠有效地保護(hù)數(shù)據(jù)不被泄漏與篡改。同時(shí)NTFS文件系統(tǒng)還具有查找文件速度快，產(chǎn)生文件碎片少，節(jié)約磁盤空間等優(yōu)點(diǎn)。2．使用不同的分區(qū)安裝操作系統(tǒng)時(shí)，應(yīng)用程序不要和操作系統(tǒng)放在同一個(gè)分區(qū)中，至少要在硬盤上留出兩個(gè)分區(qū)，一個(gè)用來(lái)安裝操作系統(tǒng)和重要的日志文件，另一個(gè)用來(lái)安裝應(yīng)用程序，以免攻擊者利用應(yīng)用程序的漏洞導(dǎo)致系統(tǒng)文件的泄漏與損壞。3．系統(tǒng)版本的選擇Windows有各種語(yǔ)言的版本，可以選擇英文版或簡(jiǎn)體中文版。4．安裝順序在本地系統(tǒng)用光盤等安裝，接著是安裝各種應(yīng)用程序，最后再安裝最新系統(tǒng)補(bǔ)丁。5．及時(shí)安裝最新補(bǔ)丁程序要經(jīng)常訪問(wèn)微軟和一些安全站點(diǎn)，下載最新的SP（ServicePack）和漏洞補(bǔ)?。℉otFixes）程序，這是維護(hù)系統(tǒng)安全最簡(jiǎn)單也是最有效的方法。微軟公司的產(chǎn)品補(bǔ)丁分為2類：SP和HotFixes。SP是集合一段時(shí)間內(nèi)發(fā)布的HotFixes的所有補(bǔ)丁，也稱大補(bǔ)丁，一般命名為SP1、SP2等，HotFixes是小補(bǔ)丁，是為解決微軟網(wǎng)站上最新安全告示中的系統(tǒng)漏洞而發(fā)布的。6．組件的定制最好只安裝你確實(shí)需要的服務(wù)。在不確定的情況下，選擇是不安裝，需要時(shí)再補(bǔ)裝也不晚。根據(jù)安全原則，最少的服務(wù)＋最小的權(quán)限＝最大的安全。

7．啟動(dòng)設(shè)置一旦系統(tǒng)安裝完畢，除了硬盤啟動(dòng)外，軟盤、光盤、甚至是USB閃存的啟動(dòng)都可能帶來(lái)安全的問(wèn)題。可以在BIOS設(shè)置中禁止除硬盤以外的任何設(shè)備的啟動(dòng)。同時(shí)，要在BIOS中設(shè)置開(kāi)機(jī)密碼，開(kāi)機(jī)密碼是計(jì)算機(jī)安全的第一道防線。8．限制用戶數(shù)量去掉所有測(cè)試用戶、共享用戶和普通部門賬號(hào)等，要知道，系統(tǒng)的帳戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大。

9．創(chuàng)建2個(gè)管理員用帳號(hào)創(chuàng)建一個(gè)一般權(quán)限帳號(hào)用來(lái)處理一些日常事物，另一個(gè)擁有Administrators權(quán)限的帳戶只在需要的時(shí)候使用。要盡量減少Administrators登陸的次數(shù)和時(shí)間，因?yàn)?，只要登陸系統(tǒng)后，密碼就存儲(chǔ)在WinLogon中，非法用戶入侵計(jì)算機(jī)時(shí)就可以得到登陸用戶密碼。10．使用文件加密系統(tǒng)EFSWindows強(qiáng)大的加密系統(tǒng)能夠給磁盤、文件夾（包括temp文件夾）和文件加上一層安全保護(hù)，這樣可以防止別人把你的硬盤上的數(shù)據(jù)讀出。

11．目錄和文件權(quán)限僅給用戶真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障。12．關(guān)閉默認(rèn)共享操作系統(tǒng)安裝后，系統(tǒng)會(huì)創(chuàng)建一些默認(rèn)的共享，如共享驅(qū)動(dòng)器、共享文件和共享打印等，這意味著進(jìn)入網(wǎng)絡(luò)的用戶都可以共享和獲得這些資源。因此要根據(jù)應(yīng)用需要，關(guān)閉不需要的共享服務(wù)。

13．禁用Guest賬號(hào)Guest帳戶，即所謂的來(lái)賓帳戶，它可以訪問(wèn)計(jì)算機(jī)，雖然受到限制，但也為為黑客入侵打開(kāi)了方便之門，如果不需要用到Guest帳戶，最好禁用它。14．清除轉(zhuǎn)儲(chǔ)文件和交換文件轉(zhuǎn)儲(chǔ)文件（DumpFile）是在系統(tǒng)崩潰和藍(lán)屏?xí)r，會(huì)把內(nèi)存中的數(shù)據(jù)保存到轉(zhuǎn)儲(chǔ)文件，以幫助人們分析系統(tǒng)遇到的問(wèn)題，但對(duì)一般用戶來(lái)說(shuō)是沒(méi)有用的。另一方面，轉(zhuǎn)儲(chǔ)文件可能泄漏許多敏感數(shù)據(jù)。交換文件（即頁(yè)面文件）也存在同樣問(wèn)題。

15．使用安全密碼Windows允許設(shè)置口令的長(zhǎng)度可達(dá)127位，要實(shí)現(xiàn)最大的保護(hù)工作，就要為“Administrator”帳號(hào)創(chuàng)建至少8位長(zhǎng)度的口令。開(kāi)啟Windows賬號(hào)安全和密碼策略，可以使設(shè)置的密碼更加安全。16．隨時(shí)鎖定計(jì)算機(jī)如果在使用計(jì)算機(jī)過(guò)程中，需要短暫離開(kāi)計(jì)算機(jī)的話，可以通過(guò)使用CTRL+ALT+DEL組合鍵或屏幕保護(hù)程序來(lái)達(dá)到鎖定屏幕的目的。

17.關(guān)閉不必要的端口我們知道，Windows中每一項(xiàng)服務(wù)都對(duì)應(yīng)相應(yīng)的端口，而黑客大多是通過(guò)端口進(jìn)行入侵的，關(guān)閉一些端口可以防止黑客的入侵。18．關(guān)閉不必要的服務(wù)為了方便用戶，Windows默