第11讲 IDS 技术（一 ）

1. 第11讲 IDS技术（一）

2. 一、入侵知识简介 • 1、入侵 (Intrusion) • 2、漏洞 • 3、主要漏洞 • 4、入侵者 • 5、侵入系统的主要途径

3. 1、入侵 (Intrusion) 入侵是指未经授权蓄意尝试访问信息、窜改信息， 使系统不可靠或不能使用的行为。它企图破坏计算 机资源的： • 完整性(Integrity)：指数据未经授权不能被改变。 • 机密性（Confidentiality）：指只有合法的授权用户才能对机密的或受限的数据进行存取。 • 可用性（Availability）：是指计算机资源在系统合法用户需要使用时必须是可用的。 • 可控性（Controliability）：是指可以控制授权范围内的信息流向及行为方式。有的也称不可否认性(Non-repudiation)。

4. 2、漏洞 入侵要利用漏洞，漏洞是指系统硬件、操 作系统、软件、网络协议等在设计上、实 现上出现的可以被攻击者利用的错误、缺 陷和疏漏。

5. 3、主要漏洞 按照漏洞的性质，现有的漏洞主要有： l缓冲区溢出 l拒绝服务攻击漏洞 l代码泄漏、信息泄漏漏洞 l配置修改、系统修改漏洞 l脚本执行漏洞 l远程命令执行漏洞 l其它类型的漏洞

6. 4、入侵者 • 入侵者可以是一个手工发出命令的人，也可是一个基于入侵脚本或程序的自动发布命令的计算机。 • 入侵者一般可以分为两类：内部的（一般指系统中的合法用户但违规或者越权操作）和外部的（一般指系统中的非法用户） 。

7. 5、侵入系统的主要途径 入侵者进入系统的主要途径有： l物理侵入：指一个入侵者对主机有物理进入权限，比如他们能使用键盘，有权移走硬盘等。 l本地侵入: 这类侵入表现为入侵者已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。 l远程侵入: 这类入侵指入侵者通过网络远程进入系统。比如通过植入木马实现对目标主机的控制，从远程发起对目标主机的攻击等。

8. 6、攻击的一般步骤 • 进行网络攻击是一件系统性很强的工 作，其主要工作流程是：收集情报，远 程攻击，清除日志，留下后门。

9. 6、攻击一般步骤总览

10. 二、入侵检测系统基本知识 • 1、入侵检测与入侵检测系统 • 2、入侵检测系统在系统安全中的地位 • 3、IDS能做什么？ • 4、为什么需要IDS？ • 5、IDS的优点 • 6、IDS的缺点 • 7、入侵检测的发展历史

11. 1、入侵检测与入侵检测系统 • 入侵检测，顾名思义，是指对入侵行为的发觉。它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。 • 入侵检测系统(Intrusion Detection System)，是完成入侵检测功能的软件、硬件及其组合它试图检测、识别和隔离“入侵”企图或计算机的不恰当未授权使用。

12. 2、入侵检测系统在系统安全中的地位

13. 3、IDS能做什么？ • 监控、分析用户和系统的活动 • 发现入侵企图或异常现象 • 审计系统的配置和弱点 • 评估关键系统和数据文件的完整性 • 对异常活动的统计分析 • 识别攻击的活动模式 • 实时报警和主动响应

14. 4、为什么需要IDS？ • 入侵很容易 • 入侵教程随处可见 • 各种工具唾手可得 • 防火墙不能保证绝对的安全 • 网络边界的设备 • 自身可以被攻破 • 对某些攻击保护很弱 • 不是所有的威胁来自防火墙外部 • 防火墙是锁，入侵检测系统是监视器

15. 5、IDS的优点 • 提高信息安全构造的其他部分的完整性 • 提高系统的监控能力 • 从入口点到出口点跟踪用户的活动 • 识别和汇报数据文件的变化 • 侦测系统配置错误并纠正 • 识别特殊攻击类型，并向管理人员发出警报

16. 6、IDS的缺点 • 不能弥补差的认证机制 • 需要过多的人为干预 • 不知道安全策略的内容 • 不能弥补网络协议上的弱点 • 不能分析一个堵塞的网络 • 不能分析加密的数据

17. 7、入侵检测的发展历史（1） • 1980年，James Anderson最早提出入侵检测概念 • 1987年，D．E．Denning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出。 • 1988年，Morris蠕虫事件直接刺激了IDS的研究 • 1988年，创建了基于主机的系统； 有：IDES，Haystack等等 • 1989年，提出基于网络的IDS系统； 有：NSM，NADIR，DIDS等等

18. 7、入侵检测的发展历史（2） • 90年代，不断有新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统 • 2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮 • 2001年～今，RedCode、求职信等新型病毒的不断出现，进一步促进了IDS的发展。

19. 三、入侵检测系统构件 • 1、IDS框架介绍 • 2、入侵检测系统构件 • 3、事件产生器 • 4、事件分析器 • 5、响应单元 • 6、事件数据库 • 7、管理器

20. 1、IDS框架介绍（1） • 理论界：CIDF • Common Intrusion Detection Framework • 由DARPA于1997年3月开始着手制定  • 为了解决不同入侵检测系统 • 互操作性 • 共存问题

21. 1、IDS框架介绍（2） • 工业界：IDWG • Intrusion Detection Work Group • IDS系统之间、IDS和网管系统之间 • 共享的数据格式 • 统一的通信规程 • 草案 • IDMEF(入侵检测消息交换格式） • IDXP（入侵检测交换协议） • 最终成为RFC，尚需时日

22. 2、入侵检测系统构件（1） • CIDF根据IDS系统的通用需求以及现有IDS的系统结构，将IDS系统构成划分如下部分： • 事件产生器(Event Generators) • 事件分析器(Event analyzers) • 响应单元(Response units) • 事件数据库(Event databases)

23. 2、入侵检测系统构件（2）

24. 3、事件产生器 • 事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。 • 入侵检测的第一步 • 采集内容 • 系统日志 • 应用程序日志 • 系统调用 • 网络数据 • 用户行为 • 其他IDS的信息

25. 4、事件分析器 • 事件分析器分析得到的数据，并产生分析结果。 • 分析是核心 • 效率高低直接决定整个IDS性能

26. 5、响应单元 响应单元则是对分析结果作出作出反应的功能单 元，功能包括： • 告警和事件报告 • 终止进程，强制用户退出 • 切断网络连接，修改防火墙设置 • 灾难评估，自动恢复 • 查找定位攻击者

27. 6、事件数据库 • 事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

28. 7、管理器 • 常规的管理功能 • 定位 • 控制 • Console GUI • 命令行 • 客户程序 • Web方式 • Database • 日志 • 规则库 • 行为模式库

29. 四、入侵检测系统的分类 • 1、入侵检测系统的分类 • 2、根据原始数据的来源 • 3、根据检测技术进行分类 • 4、根据体系结构分类 • 5、根据响应方式分类

30. 1、入侵检测系统的分类 随着入侵检测技术的发展，到目前为止出 现了很多入侵检测系统，不同的入侵检测 系统具有不同的特征。根据不同的分类标 准，入侵检测系统可分为不同的类别。对 于入侵检测系统，要考虑的因素（分类依 据）主要的有：信息源，入侵，事件生成， 事件处理，检测方法等。

31. 2、根据原始数据的来源 • 基于主机的入侵检测系统 监控粒度更细、配置灵活、可用于加密的以及交换的环境 • 基于网络的入侵检测系统 视野更宽 、隐蔽性好 、攻击者不易转移证据

32. 3、根据检测技术进行分类 • 异常入侵检测 根据异常行为和使用计算机资源的情况检测出来的入侵。 • 误用入侵检测 利用已知系统和应用软件的弱点攻击模式来检测入侵。

33. 4、根据体系结构分类 • 集中式 多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器。 • 等级式 定义了若干个分等级的监控区域，每个IDS负责一个区域，每一级IDS只负责所监控区的分析，然后将当地的分析结果传送给上一级IDS。 • 协作式 将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当地主机的某些活动。

34. 5、根据响应方式分类 • 主动响应 对被攻击系统实施控制和对攻击系统实施控制。 • 被动响应 只会发出告警通知，将发生的不正常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动。

35. 五、入侵检测的分析方式 • 1、入侵检测的分析方式 • 2、异常检测 • 3、误用检测 • 4、完整性分析 • 5、入侵检测的过程

36. 1、入侵检测的分析方式 • 异常检测（Anomaly Detection） • 统计模型 • 误报较多 • 误用检测（Misuse Detection） • 维护一个入侵特征知识库（CVE） • 准确性高 • 完整性分析

37. 2、异常检测（1） • 基本原理 • 正常行为的特征轮廓 • 检查系统的运行情况 • 是否偏离预设的门限？ • 举例 • 多次错误登录、午夜登录

38. 2、异常检测（2）实现技术和研究重点 • 实现技术 • 统计 • 神经网络 • 研究重点 • 如何定义、描述和获取系统的行为知识 • 如何提高可信度、检测率，降低报警的虚警率

39. 2、异常检测（3）优点 • 可以检测到未知的入侵 • 可以检测冒用他人帐号的行为 • 具有自适应，自学习功能 • 不需要系统先验知识

40. 2、异常检测（4）缺点 • 漏报、误报率高 • 入侵者可以逐渐改变自己的行为模式来逃避检测 • 合法用户正常行为的突然改变也会造成误警 • 统计算法的计算量庞大，效率很低 • 统计点的选取和参考库的建立比较困难

41. 3、误用检测（1） • 检测已知攻击 • 匹配 • 建立已出现的入侵行为特征 • 当前用户行为特征 • 举例 • Land攻击 • 源地址=目标地址?

42. 3、误用检测（2）优点 • 算法简单 • 系统开销小 • 准确率高 • 效率高

43. 3、误用检测（3）缺点 • 被动 • 只能检测出已知攻击 • 新类型的攻击会对系统造成很大的威胁 • 模式库的建立和维护难 • 模式库要不断更新 • 知识依赖于 • 硬件平台 • 操作系统 • 系统中运行的应用程序

44. 4、完整性分析 • 通过检查系统的当前系统配置，诸如系统文件的内容或者系统表，来检查系统是否已经或者可能会遭到破坏。 • 其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。 • 缺点是一般以批处理方式实现，不用于实时响应。

45. 5、入侵检测的过程 • 信息收集 包括系统、网络、数据及用户活动的状态和行为。 • 信息分析 分析收集到的信息，发现违背安全策略的行为。 • 响应 根据攻击或事件的类型或性质，做出相应的响应

46. 六、异常检测技术 • 1、异常检测技术概念 • 2、异常检测技术的优势 • 3、主要方法 • 4、统计学 • 5、典型系统 • 6、数据挖掘技术 • 7、异常检测技术的缺陷 • 8、异常检测技术的发展趋势

47. 1、异常检测技术概念 异常检测就是为系统中的用户、程序或资源建立正常行为模式，然后通过比较用户行为与正常行为模式之间的差异进行检测。

48. 1、异常检测技术概念 Denning在1987年提出的基于系统行为检测的入侵检测系统模型： 通过对系统审计数据的分析建立起系统主体的正常行为特征轮廓（Profile）；检测时，如果系统中的审计迹数据与已建立的主体正常行为特征有较大出入，就认为系统遭到入侵。特征轮廓是借助主体登录的时刻、位置，CPU的使用时间以及文件的存取属性等，来描述主体的正常行为特征。当主体的行为特征改变时，对应的特征轮廓也相应改变。

49. 1、异常检测技术概念 Denning IDS模型： • 主体（用户、主机、关键的程序、文件等） • 对象（系统资源） • 审计记录 <Subject, Action, Object, Exception-Condition, Resource-Usage, Time-Stamp> • 活动简档 • 异常记录<Event, Time-stamp, Profile> • 活动规则

50. 1、异常检测技术-概念