第7章 入侵检测技术
第七章 入侵检测技术
7.2 PPDR模型及入侵检测系统
入侵检测系统的功能要求:
实时性要求
可扩展性要求
适应性要求
安全性与可用性要求
有效性要求
第七章 入侵检测技术
7.2 PPDR模型及入侵检测系统
入侵检测系统的基本结构
数 据 提 取 数 据 分 析 事 件 响 应
数据
数据
业界将James P. Anderson在1980年发布的那篇《 Computer Security Threat Monitoring and Surveillance》作为入侵检测概念的最早起源 1. 将威胁分成外部渗透、内部渗透、不法行为 2. 提出将审计技术应用到对威胁的检测上
第七章 入侵检测技术
第七章 入侵检测技术
7.3 入侵检测的技术模型
基于误用的入侵检测
收集非正常操作的行为特征,建立相关的特征库,也就是所谓 的专家知识库。通过监测用户的或系统行为,将收集到的数据 与预先确定的特征知识库里的各种攻击模式进行比较,如果能 够匹配,则判断有攻击,系统就认为这种行为是入侵。 误用检测能迅速发现已知的攻击,并指出攻击的类型,便于采 取应对措施;用户可以根据自身情况选择所要监控的事件类型 和数量;并且误用检测没有浮点运算,效率较高。 缺点也是显而易见的:由于依赖误用模式库,它只能检测数据 库中己有的攻击,对未知的攻击无能为力。 误用检测中常用的方法有:简单的模式匹配、专家系统和状态 转移法。
(2)安装snort
bash#rpm -ihv --nodeps snort-1.7-1.i386.rpm
2015/11/2
24
第七章 入侵检测技术
7.5 入侵检测系统的性能指标
入侵检测系统的主要相关术语:
警告(Alert/Alarm):用来表示一个系统被攻击者攻击,一般包含从攻击内 容中得到的攻击信息,或者异常事件和统计信息。
1997年,Cisco将网络入侵检测集成到其路由器设备, 入侵检测系统正式进入主流网络安全产品阶段。
2001~2003年之间,防火墙是无法控制和发现蠕虫传 播的,反倒是入侵检测产品可以对这些蠕虫病毒所利用 的攻击代码进行检测,一时间入侵检测名声大振。 2003年GARTNER的一篇《入侵检测已死》的文章,带 来了一个新的概念:入侵防御(IPS)。
误警(False Positive):也成误报,指入侵检测系统对那些良性事件的报警, 这表明IDS的错误报警,太多的误警可能导致正常的报警事件被淹没。
漏警(False Negative):也称漏报,当一个攻击事件已经发生,而入侵检测 系统却没有有效地检测出来,如果漏警太多,或者关键入侵事件的漏报就使入侵 检测系统失去了其存在意义.
入侵检测的技术模型
最早的入侵检测模型由Dorothy Denning在1986年提出。这 个模型与具体系统和具体输入无关,对此后的大部分实用系统都 很有借鉴价值。
审计记录/网络数据包等 特征表更新 规则更新
事件产生器
行为特征模块
规则模块
包含用于计算用户行为特征的所 有变量,执行基于行为的检测
事件
事件
图7.3 通用入侵检测系统的基本结构图
图7.3给出了一个通用的入侵检测系统结构。很多入侵检测系 统还包括界面处理,配置管理等模块。
第七章 入侵检测技术
7.2 PPDR模型及入侵检测系统
入侵检测系统的分类
基于主机的入侵检测系统(HIDS)
运行于被检测的主机之上,通过查询、监听当前 系统的各种资源的使用运行状态,发现系统资源被 非法使用和修改的事件,进行上报和处理。
预处理模块的作用是对当前截获的 数据包进行预先处理,以便后续处 理模块对数据包的处理操作。
二维规则链表匹配
Snort程序流程图 2015/11/2
22
第七章 入侵检测技术
8.4 入侵检测系统Snort
系统组成和处理流程
数据包捕获器 Lib/Winpcap 数据包解码器 Decoder 预处理器 Oreprocessor 检测引擎 Detection Engine 输出插件 Output plug
7.1 入侵检测的基本概念
1986年Dorothy Denning等人才在其论文An Intrusion Detection Model中给出了一个入侵检测的抽象模型IDES (入侵检测专家系统),并在1988年开发出一个IDES系 统。 审计数据源 二维检测思想: 基于专家系统的特征检测; 模式匹配器 轮廓特征引擎 (误用检测方向)
从入侵检测分类上来看,属于基于网络和误用的入侵检 测软件; 可以运行在Linux、OpenBSD、FreeBSD、Solaris、 以及其它Unix系统、Windows等操作系统之上;
第七章 入侵检测技术
7.4 常用入侵检测系统介绍
Snort的工作模式
网络嗅探分析仪(Sniffer) IP包日志记录器 网络入侵检测系统
由系统安全策略、入侵模式等组 成,执行基于知识的检测
第七章 入侵检测技术
7.3 入侵检测的技术模型
基于异常检测的入侵检测
任何一种入侵和滥用行为通常与正常的行为存在严重的差异, 通过检查出这些差异就可以检查出入侵。 这种方法主要是建立计算机系统中正常行为的模式库,然后根 据收集到的信息数据,通过某种方法,看是否存在重大偏差, 如果偏差在规定范围之外,则认为发生了入侵行为。 异常检测的一个很大的优点是不需要保存各种攻击特征的数据 库,随着统计数据的增加,检测的准确性会越来越高,可能还 会检测到一些未知的攻击。 但由于用户的行为有很大的不确定性,很难对其行为确定正常 范围,因此门限值的确定也比较困难,出错的概率比较大。同 时,它只能说明系统发生了异常的情况,并不能指出系统遭受 了什么样的攻击,这给系统管理员采取应对措施带来了一定困 难。 异常检测中常用的方法有:量化分析、统计分析和神经网络。
第七章 入侵检测技术
7.4 常用入侵检测系统介绍
Snort
Snort系统是一个以开放源代码(Open Source)形式 发行的网络入侵检测系统,由Martin Roesch编写,并 由遍布世界各地的众多程序员共同维护和升级。
Snort是一个功能强大、跨平台、轻量级的网络入侵检 测系统;
系统组成和处理流程
数据包捕获器 Lib/Winpcap 数据包解码器 Decoder 预处理器 Oreprocessor 检测引擎 Detection Engine 输出插件 Output plug
Snort通过两种机制来实现, 其一是将网卡设置为混杂模式, 另一方式则是利用Libpcap/Winpcap 函数库从网卡捕获网络数据包。
分布式入侵检测系统(DIDS)
典型的DIDS是管理端/传感器结构。NIDS作为传 感器放置在网络的各个地方,并向中央管理平台汇 报情况。 对DIDS来说,传感器可以使用NIDS、HIDS,或 者同时使用,而且传感器有的工作在混杂模式,有 的工作在非混杂模式。
第七章 入侵检测技术
7.3 入侵检测的技术模型
基于统计异常模型的异常检测。 (异常检测方向)
异常检测器
策略规则
警告/报告
图7.1 IDES系统模型
第七章 入侵检测技术
7.1 入侵检测的基本概念
1990年Herberlein等人开发出了第一个真正意义上的 入侵检测系统NSM(Network Security Monitor)。
上世纪90年代中期,商业入侵检测产品初现端倪, 1994年出现了第一台入侵检测产品:ASIM。
2015/11/2 26
第七章 入侵检测技术
7.5 入侵检测系统的性能指标
噪声(Noise):指入侵检测系统生成但又没有真正威胁的报警, 这些报警是正确的,并且也是可疑的,如配置于防火墙之外的入 侵检测系统检测到的扫描事件,可能被防火墙过滤而没有产生扫 描攻击,但是入侵检测系统却检测到并产生报警。 重复报警(Repetitive Alarm): 指入侵检测系统对某一入侵事 件的反复报警,重复报警并不表示入侵检测系统的错误行为,太 多的重复报警也可能使网络管理员产生视觉疲劳,影响对其他攻 击产生适当响应,另外与其他安全技术协同工作也可能产生严重 问题,过多的重复报警可能会产生拒绝服务。
Snort的检测就是二维规则链表和网 络数据匹配的过程,一旦匹配成功 则把检测结果输出到输出插件。
二维规则链表匹配
Snort程序流程图 2015/11/2
输出方式采用输出插件方式,输出 插件使得Snort在向用户提供格式化 输出时更加灵活。
23
第七章 入侵检测技术
SNORT的安装
(1)如何获得snort 从snort的站点http://获得其源代 码或者RPM包。使用源代码安装snort需要libpcap库, 可以从ftp://下载。
– 安装于被保护的主机中
– 主要分析主机内部活动
–占用一定的系统资源
第七章 入侵检测技术
入侵检测的实现方式
基于网络的入侵检测系统(NIDS)
网络IDS是网络上的一个监听设备(或一个专用主机),通过监听网络上的 所有报文,根据协议进行分析,并报告网络中的非法使用者信息。 –安装在被保护的网段(共享网络、交换环境中交换机要 支持端口映射)中, 只需要在网络的关键点进行部署即可 –混杂模式监听
–分析网段中所有的数据包,对那些基于协议入侵的行为有很好的防范作用
–实时检测和响应 –与主机操作系统无关
2015/11/2 13
第七章 入侵检测技术
网 络 数 据
读取网络数据 网络报文数据
协议分析
事件数据库
N
比较数据
Y
上报事件
网络IDS工作模型
2015/11/2 14
