金陵科技学院教案【教学单元首页】第 1 次课授课学时 4 教案完成时间： 2018.2授课内容内容备注1入侵检测概述1.1入侵检测的主要作用：（1）检测和记录网络中的攻击事件，阻断攻击行为，防止入侵事件的发生。

（2）检测其他未授权操作或安全违规行为。

（3）统计分析黑客在攻击前的探测行为，管理员发出警报。

（4）报告计算机系统或网络中存在的安全威胁。

（5）提供有关攻击的详细信息，帮助管理员诊断和修补网络中存在的安全弱点。

（6）在大型复杂的计算机网络中部署入侵检测系统，提高网络安全管理的质量。

1.2入侵检测的定义：（1）入侵检测：不仅包括攻击者非法取得系统的控制权的行为也包括他们对系统漏洞信息的收集，并由此对信息系统造成危害的行为。

（2）入侵检测系统：所有能够执行入侵检测任务和实现入侵检测功能的系统都称为入侵检测系统（Intrusion Detection System, IDS)。

包括软件系统或软、硬件结合的系统。

1.3入侵检测系统模型（1）数据收集器：探测器，主要负责收集数据，包括网络协议数据包、系统日志文件、系统调用记录等。

（2）检测器：分析和检测入侵的任务并向控制器发出警报信号。

（3）知识库：为检测器和控制器提供必需的数据信息支持。

（4）控制器：根据警报信号人工或自动地对入侵行为做出响应。

1.4 IDS的主要功能：（1）防火墙之后的第二道安全闸门。

（2）提高信息安全基础结构的完整性。

2.2基于异常检测原理的入侵检测方法：（1）统计异常检测方法（较成熟）（2）特征选择异常检测方法（较成熟）（3）基于贝叶斯网络异常检测方法（理论研究阶段）（4）基于贝叶斯推理异常检测方法（理论研究阶段）（5）基于模式预测异常检测方法（理论研究阶段）2.3基于误用检测原理的入侵检测方法：（1）基于条件的概率误用检测方法（2）基于专家系统误用检测方法（3）基于状态迁移分析误用检测方法（4）基于键盘监控误用检测方法（5）基于模型误用检测方法优点：准确地检测已知的入侵行为。

缺点：不能检测出未知的入侵行为。

2.4各种入侵检测技术基于概率统计的检测：异常检测中最常用的技术，对用户历史行为建立模型。

基于神经网络的检测基：于专家系统的检测：根据安全专家对可疑行为的分析经验来形成一套推理规则，再在此基础上建立专家系统。

基于专家系统的检测：用一系列信息单元训练神经单元，在给定一个输入后，就可能预测出输出。

基于模型推理的检测：攻击者采用一定的行为程序构成的模型，根据其代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图。

3IDS的结构与分类3.1 IDS入侵检测步骤：信息收集：内容包括系统、网络、数据用户活动的状态和行为。

来自系统日志、目录及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息数据分析：入侵检测的核心。

首先构建分析器，把收集到的信息经过预处理建立模型，然后向模型中植入时间数据，在知识库中保存。

响应：主动响应由用户驱动或系统本身自动执行，可对入侵者采取行动、修正系统环境或收集有用信息。

被动响应包括告警和通知、简单网络管理协议（SNMP）陷阱和插件等。

3.2 IDS的架构：通用入侵检测架构（Common Intrusion Detection Framework, CIDF）阐述了入侵检测系统的通用模型。

以下组件：事件产生器（Event Generation）事件分析器（Event Analyzers）响应单元 (Response Unites)事件数据库（Event Databases）事件:将入侵检测系统需要分析的数据统称为事件（Event）。

可以是基于网络得到的数据，也可是基于主机得到的数据。

3.3. IDS的功能构成：事件提取：负责提取相关运行数据或记录，并对数据进行简单过滤。

入侵分析：找出入侵痕迹，区分正常和不正常的访问，分析入侵行为并定位入侵者。

入侵响应：分析出入侵行为后被触发，根据入侵行为产生响应。

远程管理：在一台管理站上实现统一的管理监控。

3.4 IDS的分类：按照数据来源分类NIDS：截获数据包，提取特征并与知识库中已知的攻击签名相比较。

HIDS：通过对日志和审计记录的监控和分析来发现攻击后的误操作。

DIDS：同时分析来自主机系统审计日志和网络数据流。

按照入侵检测策略分类滥用检测：将收集到的信息与数据库进行比较。

异常检测：测量属性的平均值将被用来与系统行为比较。

完整性分析：hash,关注是否被更改。

NIDS 和 HIDS4 NIDS4.1 NIDS概述：NIDS：根据网络流量、网络数据包和协议来分析入侵检测。

使用原始网络包作为数据包。

通常利用一个运行在混杂模式下的网络适配器来实现监视并分析通过网络的所有通信业务。

4种常用技术：（1）模式、表达式或字节匹配。

（2）频率或穿越阈值。

（3）低级事件的相关性。

（4）统计学意义上的非常规现象检测。

主要优点：（1）拥有成本低。

（2）攻击者转移证据困难。

（3）实时检测和响应。

（4）防火墙外部IDS能够检测未成功的攻击企图。

（5）操作系统独立。

4.2基于网络入侵检测系统工作原理4.3 NIDS关键技术：（1）IP碎片重组技术（2）TCP流重组技术（3）TCP状态检测技术（4）协议分析技术（5）零复制技术（6）蜜罐技术IP碎片重组技术、TCP流重组技术：攻击者将攻击请求分成若干个IP碎片包。

IP碎片包被发给目标主机。

碎片攻击包括：碎片覆盖、碎片重写、碎片超时和针对网络拓扑的碎片技术等。

IDS需要在内存中缓存所有的碎片。

模拟目标主机对碎片包进行重组还原出真正的请求内容。

进行入侵检测分析。

IP分片：链路层具有最大传输单元MTU这个特性，它限制了数据帧的最大长度。

不同的网络类型都有一个上限值。

以太网的MTU是1500。

如果IP层有数据包要传，而且数据包的长度超过了MTU，那么IP层就要对数据包进行分片(fragmentation)操作，使每一片的长度都小于或等于MTU。

关键域：ID\MF\DF\OFFSETIP碎片攻击指的是一种计算机程序重组的漏洞：IP首部有两个字节表示整个IP数据包的长度，所以IP数据包最长只能为0xFFFF，就是65535字节。

如果有意发送总长度超过65535的IP碎片，一些老的系统内核在处理的时候就会出现问题，导致崩溃或者拒绝服务。

另外，如果分片之间偏移量经过精心构造，一些系统就无法处理，导致死机。

所以说，漏洞的起因是出在重组算法上。

（1）ping o‘ deathping o‘ death是利用ICMP协议的一种碎片攻击。

攻击者发送一个长度超过65535的Echo Request数据包，目标主机在重组分片的时候会造成事先分配的65535字节缓冲区溢出，系统通常会崩溃或挂起。

ping不就是发送ICMP Echo Request数据包的吗？jolt2jolt2.c是在一个死循环中不停的发送一个ICMP/UDP的IP碎片，可以使Windows系统的机器死锁。

我测试了没打SP的Windows 2000，CPU利用率会立即上升到100%，鼠标无法移动。

（2）Teardrop利用重叠分片由于目标系统能够重组IP分片，因此需要网络入侵检测系统具有重组IP碎片的能力。

如果网络入侵检测系统没有重组IP碎片的能力，将无法检测通过IP碎片进入的攻击数据。

由于目标系统能够重组IP分片，因此需要网络入侵检测系统具有重组IP碎片的能力。

如果网络入侵检测系统没有重组IP碎片的能力，将无法检测通过IP碎片进入的攻击数据。

基本的IP碎片重组问题：IP碎片通常会按照顺序到达目的地，最后的碎片的MF位为0(表示这是最后一个碎片)。

不过，IP片有可能不按照顺序到达，目标系统必须能够重组碎片。

但是，如果网络入侵检测系统总是假设IP碎片是按照顺序到达就会出现漏报的情况。

攻TCP 数据传输：当双方建立 TCP 连接以后，就可以传输数据了，传输过程中发送方每发送一个数据包，接收方都要给予一个应答。

数据包的先后关系可以由 TCP 首部的序号和确认序号确定。

双方序号的及确认序号之间的关系为：SYN 的计算：在 TCP 建立连接的以后，会为后续 TCP 数据的传输设定一个初始的序列号。

以后每传送一个包含有效数据的 TCP 包，后续紧接着传送的一个 TCP 数据包的序列号都要做出相应的修改。

序列号是为了保证 TCP 数据包的按顺序传输来设计的，可以有效的实现 TCP 数据的完整传输，特别是在数据传送过程中出现错误的时候可以有效的进行错误修正。

在 TCP会话的重新组合过程中我们需要按照数据包的序列号对接收到的数据包进行排序。

一台主机即将发出的报文中的 SEQ 值应等于它所刚收到的报文中的 ACK 值，而它所要发送报文中的 ACK 值应为它所收到报文中的 SEQ 值加上该报文中所发送的 TCP 数据的长度，即两者存在：（ 1 ）本次发送的 SEQ= 上次收到的 ACK ；（ 2 ）本次发送的 ACK= 上次收到的 SEQ+ 本次收到的 TCP 数据长度；表中初始的序列号 Init_seq 可以从携带 SYN 标记的 TCP 包中获得。

TCP状态检测技术：攻击NIDS最有效的办法是利用Coretez Giovanni写的Stick程序，Stick使用了很巧妙的办法，它可以在2秒内模拟450次没有经过3步握手的攻击，快速的告警信息的产生会让IDS反应不过来、产生失去反应甚至死机现象。

由于Stick发出多个有攻击特征（按照snort的规则组包）的数据包，所以IDS传统的方法：需通过系统调用将网卡中的数据包复制到上层应用系统中，会占用系统资源，造成IDS性能下降。

改进后的方法：通过重写网卡驱动，使网卡驱动与上层系统共享一块内存区域，网卡从网络上捕获到的数据包直接传递给入侵检测系统。

蜜罐技术：蜜罐（honeypot）的作用：把潜在入侵者的注意力从关键系统移开。

收集入侵者的动作信息。

设法让攻击者停留一段时间，使管理员能检测到它并采取相应的措施。

蜜罐的实现：在外部Internet上的一台计算机上运行没有打上补丁的微软Windows或Red Hat Linux引诱黑客来攻击设置网络监控系统，记录进出计算机的所有流量下游责任：蜜罐会被黑客用来攻击其他系统。

蜜网（honeynet）：另外采用了各种入侵检测和安全审计技术的蜜罐。

减小或排除对其它系统造成的风险。

蜜罐技术优势：大大减少了所要分析的数据。

蜜网计划已经收集了大量信息，很少有黑客采用新的攻击手法。

蜜罐不仅是一种研究工具，同样有着真正的商业应用价值。

虚拟蜜网的出现大大降低了蜜罐的成本及管理难度，节省了机器占用的空间。

5 HIDS5.1 HIDS概述：检测目标：主机系统和本地用户。

检测原理：根据主机的审计数据和系统日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上。