Cisco安全代理是个软件包，可以运行在独 安全代理是个软件包， 安全代理是个软件包 立服务器或工作站中，用于保护主机预防 立服务器或工作站中， 攻击。 攻击。 Cisco IDS检测器提供了对入侵的实例分析 检测器提供了对入侵的实例分析 检测器 和响应。主机IDS可以处理和分析针对操作 和响应。主机 可以处理和分析针对操作 系统应用程序接口的每个请求， 系统应用程序接口的每个请求，在必要是 采取主动地保护措施。 采取主动地保护措施。
模型
传感器 格式化数据
数据 仓库
检测器
13
6.3.基本原理 基本原理
6.3.1事件告警指示 事件告警指示 IDS的主要目标是，当发现某个数据分组或一 的主要目标是， 的主要目标是 系列数据分组出现可疑的违反安全策略的行为时， 系列数据分组出现可疑的违反安全策略的行为时， 触发相应的事件告警。告警是IDS的基本要求，但 的基本要求， 触发相应的事件告警。告警是 的基本要求 网络管理员必须合理地配置IDS以减少漏报和误报 以减少漏报 网络管理员必须合理地配置 以减少漏报和 的数量。 的数量。 漏报：是指当恶意流量出现时， 漏报：是指当恶意流量出现时，未触发相应的 IDS告警。 告警。 告警 误报：是指正常的数据流和活动触发了某个 误报：是指正常的数据流和活动触发了某个IDS 特征，从而产生不必要的事件告警。 特征，从而产生不必要的事件告警。
Hale Waihona Puke 第6章漏洞扫描与入侵检测第十章 2010-10-20
虚拟私用网络技术
1
内容提要
通过本章的学习，学生应该掌握以下内容： 通过本章的学习，学生应该掌握以下内容： 入侵检测系统（ 入侵检测系统（IDS）概述 ） 入侵检测系统分类 基本原理 Cisco主机 主机IDS 主机 Cisco网络 网络IDS 网络
6
6.2.2基于网络的入侵检测系统 基于网络的入侵检测系统
基于网络的入侵检测系统在通过在计 算机网络中的某些点被动地监听网络上传 输的原始流量， 输的原始流量，对获取的网络数据进行处 从中获取有用的信息， 理，从中获取有用的信息，再与已知攻击 特征相匹配或与正常网络行为原型相比较 来识别攻击事件。 来识别攻击事件。
21
例如： 例如：一个网络访问策略定义了访问许可权控 这个策略比较方便执行。在网段X上的市 制，这个策略比较方便执行。在网段 上的市 场部门只允许浏览工程部的Web站点，但禁止 站点， 场部门只允许浏览工程部的 站点 访问网络段Y上的 上的FTP软件目录，只是一个非 软件目录， 访问网络段 上的 软件目录 常简单的网络策略。而其他策略会更难执行。 常简单的网络策略。而其他策略会更难执行。 例如： 例如：一个公司的管理团队不允许浏览游戏网 这时IDS必须与一个含有禁止网站列表的 站，这时 必须与一个含有禁止网站列表的 数据库通信，以确定访问是否违反了策略。 数据库通信，以确定访问是否违反了策略。
基于主机的入侵检测系统一般主要使用 操作系统的审计跟踪日志作为输入， 操作系统的审计跟踪日志作为输入，某些也 会主动与主机系统进行交互以获得不存在于 系统日志中的信息。 系统日志中的信息。其所收集的信息集中在 系统调用和应用层审计上， 系统调用和应用层审计上，试图从日志判断 滥用和入侵事件的线索。 滥用和入侵事件的线索。
22
23
（3）基于异常的 ）基于异常的IDS 基于异常的IDS监测数据流与正常流量模 监测数据流与正常流量模 基于异常的 式是否不一致， 式是否不一致，但如何定义正常的网络流量 模式是棘手的。 模式是棘手的。IDS利用定义的正常模式来监 利用定义的正常模式来监 视系统和网络，如果检测到不正常的行为， 视系统和网络，如果检测到不正常的行为， 则触发告警事件。例如， 则触发告警事件。例如，正常情况下一个路 由选择更新的分组通常源自于网络路由器， 由选择更新的分组通常源自于网络路由器， 但如果来源于一个用户就被视为异常。（ 。（欺 但如果来源于一个用户就被视为异常。（欺 骗）
7
利用网络适配器来实时监视和分析所有通过网 络进行传输的通信。一旦检测到攻击， 络进行传输的通信。一旦检测到攻击，IDS相应模 相应模 块通过通知、 块通过通知、报警以及中断连接等方式来对攻击做 出反应。 出反应。
网络接口 网络接口
采集模块
采集模块
分析引擎模块 分析结果 管理/配置模块 管理 配置模块
14
6.3.2 入侵检测技术
（1）基于特征的 ）基于特征的IDS 基于特征的IDS用于监视网络流量或一个系统， 用于监视网络流量或一个系统， 基于特征的 用于监视网络流量或一个系统 当已知的恶意事件发生时发出告警信息。 当已知的恶意事件发生时发出告警信息。它将数据流 与数据库中已知的攻击特征模式进行比较， 与数据库中已知的攻击特征模式进行比较，这些特征 确定了哪些流量和活动是恶意的。基于特征的IDS有 确定了哪些流量和活动是恶意的。基于特征的 有 几种类型 a.简单模式匹配和有状态模式匹配 简单模式匹配和有状态模式匹配 b.协议解码分析 协议解码分析 c.启发式分析 启发式分析
8
网络安全 数据库
基于网络的IDS的优点 的 基于网络的
①检测的范围是整个网段，而不仅仅是被保护的主机。 检测的范围是整个网段，而不仅仅是被保护的主机。 ②实时检测和应答。一旦发生恶意访问或攻击，能够更 实时检测和应答。一旦发生恶意访问或攻击， 快地做出反应，将入侵活动对系统的破坏减到最低。 快地做出反应，将入侵活动对系统的破坏减到最低。 ③隐蔽性好。不需要在每个主机上安装，不易被发现。 隐蔽性好。不需要在每个主机上安装，不易被发现。 ④不需要任何特殊的审计和登录机制，只要配置网络接 不需要任何特殊的审计和登录机制， 口就可以了，不会影响其他数据源。 口就可以了，不会影响其他数据源。 ⑤操作系统独立。基于网络的IDS并不依赖主机的操作 操作系统独立。基于网络的 并不依赖主机的操作 系统作为检测资源。 系统作为检测资源。
2
6.1.入侵检测系统（IDS）概述 入侵检测系统（ 入侵检测系统 ）
入侵检测系统（ 入侵检测系统（Intrusion Detection System）就是对 ） 网络或操作系统上的可疑行为做出策略反应， 网络或操作系统上的可疑行为做出策略反应，及时切断 入侵源、记录、并通过各种途径通知网络管理员。 入侵源、记录、并通过各种途径通知网络管理员。 IDS是防火墙的合理补充，帮助系统对付网络攻击，扩 是防火墙的合理补充，帮助系统对付网络攻击， 是防火墙的合理补充 展系统管理员的安全管理能力（包括安全审计、监视、 展系统管理员的安全管理能力（包括安全审计、监视、 进攻识别和响应），提高信息安全基础结构的完整性， 进攻识别和响应），提高信息安全基础结构的完整性， ），提高信息安全基础结构的完整性 被认为是防火墙之后的第二道安全闸门， 被认为是防火墙之后的第二道安全闸门，它在不影响网 第二道安全闸门 络性能的情况下能对网络进行监测，从而提供对内部攻 络性能的情况下能对网络进行监测，从而提供对内 击、外部攻击和误操作的实时保护，最大幅度地保障系 部攻击和误操作的实时保护， 统安全。 统安全。
10
6.2.3分布式的入侵检测系统 分布式的入侵检测系统
(3)采用上述两种数据来源的分布式的入侵检 采用上述两种数据来源的分布式的入侵检 测系统 这种入侵检测系统能够同时分析来自主 机系统审计日志和网络数据流的入侵检测系 一般为分布式结构，由多个部件组成。 统，一般为分布式结构，由多个部件组成。
11
17
18
例如， 公司的 公司的Web服务器受到一个攻击， 服务器受到一个攻击， 例如，X公司的 服务器受到一个攻击 攻击者试图通过系统中/etc/shadow文件来获 攻击者试图通过系统中 文件来获 取用户口令。通常，针对Web服务器的攻击 取用户口令。通常，针对 服务器的攻击 都需要使用包含URL的HTTP请求，为检测这 请求， 都需要使用包含 的 请求 种攻击， 分析所有捕获到的分组， 种攻击，IDS分析所有捕获到的分组，查找其 分析所有捕获到的分组 中是否包含了相应的特征。 中是否包含了相应的特征。 说明了这种攻击， 图1说明了这种攻击，这种攻击可通过基于特 说明了这种攻击 征的IDS预防。 预防。 征的 预防
分布式IDS系统的目标是既能检测网络入侵行 系统的目标是既能检测网络入侵行 分布式 又能检测主机的入侵行为。 为，又能检测主机的入侵行为。
中央数据处理单元
传 感 器
传 感 器
传 感 器
…
传 感 器
局域 网管 理器
早期的分布式入侵检测系统
12
分布式入侵检测系统
原始数据 格式化数据 格式化数据 自适应 模型 产生器 模型
3
6.2.入侵检测系统分类 入侵检测系统分类
入侵检测系统按照其数据来源来看， 入侵检测系统按照其数据来源来看，可以分 为三类： 为三类： (1)基于主机的入侵检测系统 基于主机的入侵检测系统 (2)基于网络的入侵检测系统 基于网络的入侵检测系统 (3) 分布式的入侵检测系统
4
6.2.1基于主机的入侵检测系统 基于主机的入侵检测系统
24
25
6.4.Cisco主机 主机IDS 主机
主机IDS的组成和结构 的组成和结构 主机 Cisco主机 主机IDS由两个主要部分构成： 由两个主要部分构成： 主机 由两个主要部分构成
Cisco安全代理 安全代理 Cisco安全代理管理器 安全代理管理器
26
(1)Cisco安全代理 安全代理
15
a1.简单模式匹配系统在单个数据分组中查找固 简单模式匹配系统在单个数据分组中查找固 定的字节序列。 定的字节序列。
优点：简单、事件告警可靠、适用于所有协议。 优点：简单、事件告警可靠、适用于所有协议。 缺点：对攻击做任何小的改动都会导致漏报。 缺点：对攻击做任何小的改动都会导致漏报。
a2.有状态模式匹配系统根据数据流的状态的上 有状态模式匹配系统根据数据流的状态的上 下文进行模式匹配， 下文进行模式匹配，对一个漏洞的识别往往需 要多个特征的支持。 要多个特征的支持。