1、实训七 入侵检测技术,实训七:入侵检测技术,掌握入侵检测系统的防御原理,掌握入侵检测工具黑冰的使用,理解IDS的概念、功能结构,了解黑客常见的入侵手段,实训七:入侵检测技术,实训背景,当今,各种形式的攻击手段使得网络安全问题越来越严重,最常见的防范措施防火墙是一种静态的、被动的防御技术,无法防范利用协议漏洞发起的入侵以及内部网络之间的通信。有效的解决途径之一就是让入侵检测系统充当继防火墙之后的第二道安全闸门。入侵检测系统已成为信息安全防护策略的关键组成部分,对于网络用户来说,理解入侵检测原理及入侵检测系统的应用在防护自己网络安全中是比较重要的。,实训七:入侵检测技术,入侵检测工作原理,入侵概念
2、:入侵是指任何企图破坏资源的完整性、保密性和有效性的行为。入侵检测:入侵检测是对入侵行为的发觉。入侵检测系统IDS:入侵检测的软件与硬件的结合构成了入侵检测系统(Intrusion Detection System,简称IDS)。特点:入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实施保护在网络系统受到危害之前拦截和响应入侵。,【相关知识】,(1)监视、分析用户及系统活动,查找非法用户和合法用户的越权操作;(2)核查系统配置和漏洞,并提示管理员修补漏洞;(3)识别反映已知进攻的活动模式并向相关人士报警,能够实时对检测到的入侵行为进行反应;(4)异常行为模式的统计分
3、析,发现入侵行为的规律;(5)评估重要系统资源和数据文件的完整性,如计算和比较文件系统的校验和;(6)操作系统的审计跟踪管理,并识别违反安全策略的用户行为。,实训七:入侵检测技术,1、入侵检测流程针对入侵行为的入侵检测通常包括数据收集与提取、数据分析、结果处理3大步骤,入侵检测流程,实训七:入侵检测技术,2、入侵检测系统基本功能一个入侵检测系统至少包括信息收集、信息分析、入侵响应和管理三大功能。(1)数据收集与提取。入侵检测第一步就是在网络系统中的若干不同关键点收集数据,入侵检测很大程度上依赖于收集数据的准确性与可靠性。数据的收集主要来源:1)系统和网络日志文件;2)目录和文件不期望的改变;3
4、)程序不期望的行为;4)物理形式的入侵数据。,实训七:入侵检测技术,(2)数据分析。对收集到的有关系统、网络、数据及用户活动的状态和行为等数据信息进行分析。进行分析时采用的三种技术手段:模式匹配、统计分析和完整性分析,其中前两种用于实时的入侵检测技术,而完整性分析则用于事后分析。(3)入侵响应和管理。记录入侵事件,同时采取报警与响应等措施,该阶段分为主动响应与被动响应两种模式。,实训七:入侵检测技术,实训七:入侵检测技术,误报:误报是指实际上无害的事件却被IDS检测为攻击事件的情况。漏报:漏报是指一个攻击事件未被IDS检测到或被分析人员认为是无害的情况。,衡量一个入侵检测系统的性能,主要有两个
5、关键参数:误报和漏报,对于一个性能良好的IDS来说,要求误报率和漏报率越小越好,实训七:入侵检测技术,美国国防高级研究计划署DARPA和Internet工作任务组IETF下的入侵检测工作组IDWG发起制订了一系列IDS标准,其中影响较大的是DARPA提出的公共入侵检测框架(CIDF,common Intrusion Detection Framework)。CIDF所做的工作主要有:体系结构、通信协议、规范语言和程序接口API的标准化。,2,入侵检测系统标准化,实训七:入侵检测技术,1、CIDF体系结构CIDF把一个入侵检测系统分为四个相对独立的功能组件:事件产生器、事件分析器、响应单元和事件
6、数据库,CIDF的通用模型图,实训七:入侵检测技术,1)事件发生器:其作用是从入侵检测系统之外的计算环境中收集信息。2)事件分析器:它的作用是接收事件信息,并对其进行分析,判断是否为入侵行为或异常现象3)响应单元:根据分析结果做出反应的功能单元4)事件数据库:存放各种中间和最终数据的地方,实训七:入侵检测技术,2、CIDF通信协议CIDF将各组件之间的通信划分为三个层次结构:GIDO层、消息层和传输层。GIDO层定义事件表示方法,保证各组件能正确理解相互之间传输的各种数据的定义;消息层负责将数据从发送方传递到接收方,它不关心传输内容,只负责建立一可靠的传输通道;传输层定义各个组件间的传输机制。
7、,实训七:入侵检测技术,3、CIDF规范语言CIDF 定义了一个公共入侵标准语言(CISL,common Intrusion Specification Language),用来表示原始事件信息、分析结果和响应指令等。4、CIDF API接口API主要负责CIDF的编码、解码和传递。,实训七:入侵检测技术,根据入侵检测所监视的数据来源可以分为基于主机的入侵检测(HIDS)、基于网络的入侵检测(NIDS)和混合型三大类。入侵检测系统根据分析方法和检测原理可以分为异常入侵检测和基于误差的入侵检测。根据系统的体系结构可以将入侵检测系统分为集中式入侵检测系统和分布式入侵检测系统两类。,3,入侵检测分类
8、,实训七:入侵检测技术,基于主机的IDS部署在单主机上,HIDS系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录,主机型入侵检测系统保护的一般是所在的主机系统,它只是通过比较主机系统审计记录文件的记录与攻击签名以发现它们是否匹配。,实训七:入侵检测技术,基于主机的IDS原理图,实训七:入侵检测技术,基于主机的IDS组网图,实训七:入侵检测技术,HIDS的主要优点:1)信息源完备,IDS对信息源的处理简单、一致;2)它对某些特定的攻击十分有效,如缓冲区溢出攻击。HIDS的不足:会占用主机的系统资源,增加系统负荷;全面部署HIDS代价较大;它依赖于主机
9、固有的日志与监视能力,故能检测到的攻击类型受到限制,而且主机审计信息易受攻击,入侵这可设法逃避审计。,实训七:入侵检测技术,基于网络的IDS主要用于防御外部入侵攻击,NIDS它通过监控出入网络的通信数据流,依据一定规则对数据流的内容进行分析,从而发现协议攻击、运行已知黑客程序的企图和可能破坏安全策略的特征,做出入侵攻击判断。,实训七:入侵检测技术,基于网络的IDS原理图,实训七:入侵检测技术,基于网络的IDS组网图,实训七:入侵检测技术,NIDS的主要优点:隐藏性较好、能实时检测与响应;可用于监视结构不同的各类系统;NIDS所收集的审计数据不易被篡改,不影响被保护系统的性能;能够检测未成功的攻
10、击和不良企图NIDS的不足:其精确度较差;在交换网络环境中难于配置,防欺骗能力也较差;缺乏终端系统对待定数据的处理方法等信息,使得从原始的数据包中重构应用层信息困难。,实训七:入侵检测技术,基于主机和基于网络的IDS都有其优势和不足之处,单一的方式会造成防御体系的不全面,但综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。,实训七:入侵检测技术,检测与可接受行为之间的偏差。首先总结正常操作的行为特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模式漏报率低、误报率较高。因为不需要对每种入侵行为进行定义,所以能有效检测
11、未知的入侵。,实训七:入侵检测技术,检测与已知的不可接受行为之间的匹配程度。收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模式误报率低、漏报率较高;对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果不佳,而且必须不断更新特征库。,实训七:入侵检测技术,集中式结构的IDS可能有多个分布于不同主机上的审计程序,但只有一个中央入侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理。这种结构在可伸缩性、可配置性方面存在致命缺陷。,实训七:入侵检测技术,分布式结构的IDS就是将中央检测服务
12、器的任务分配给多个基于主机的IDS。这些IDS部分等级,各司其职,负责监控当地主机的某些活动。其可伸缩性、安全性都得到提高,但维护成本也较高,并且增加了所监控主机的工作负荷,如通信机制、审计开销、踪迹分析等。目前主流技术多属于分布式IDS。,实训七:入侵检测技术,入侵检测主要包括:误用/滥用检测技术;异常检测技术;入侵诱骗技术;入侵响应技术。,实训七:入侵检测技术,误用检测技术主要是通过某种方式预先定义入侵行为,然后监视系统的运行,并从中找出符合预先定义规则的入侵行为。,误用检测工作过程,实训七:入侵检测技术,这种方式可以检测许多甚至全部已知的攻击行为,但是对于未知的攻击手段却无能为力,即滥用
13、检测系统具有低误报率、漏报率较高的特点。主要的滥用检测模型包括专家系统、按键监视系统、模型推理系统、误用预测模型、状态转换分析系统、模式匹配系统,目前被广泛应用的是数据包特征模式匹配系统。,实训七:入侵检测技术,异常检测是基于行为的检测技术,检测方法来源于这样的思想:任何人的正常行为都是有一定规律的,并且可以通过分析这些行为产生的日志信息总结出这些规律,并建立用户的正常行为模式(即知识库),当用户活动与正常行为有重大偏离时即被认为是入侵。,异常检测工作过程,实训七:入侵检测技术,异常检测优点:能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化。缺点:随着检测模型的逐步精确,异常检
14、测会消耗更多的系统资源。,实训七:入侵检测技术,要完成异常的入侵检测,需要解决以下两个问题:用户的行为有一定的规律,但要选择能反映用户的行为,而且能很容易地获取和处理的数据。通过上面的数据,如何有效地表达用户的正常行为。,实训七:入侵检测技术,入侵诱骗技术是一种主动防御技术。它用特有的特征吸引攻击者,试图将攻击者从关键系统引诱开,同时对各种攻击行为进行分析,进而找到有效的对付方法。蜜罐技术(Honeypot)是一种资源,是故意被攻击的目标,从而引诱黑客前来攻击。Honeypot并非一种安全的解决方案,它只是一种工具,而且只有Honeypot受到攻击时,它的作用才能发挥出来。,实训七:入侵检测技
15、术,在入侵检测系统中,完成系统安全状况分析并确定系统所出问题之后,需要让管理员知道这些问题的存在,必要情况还采取行动,这在入侵检测处理过程模型中称为响应。响应包括主动响应和被动响应。,实训七:入侵检测技术,1)主动响应 入侵检测系统在检测到入侵后,能自动地与管理员配合,采取行动阻断攻击或影响攻击进程。包括隔离入侵者IP、禁用被攻击对象的特定端口和服务、隔离被攻击对象、告警被攻击者、跟踪攻击者、断开危险连接、攻击报复攻击者等。2)被动响应 简单地报告和记录所检测出的问题,实训七:入侵检测技术,1)ISS公司(国际互联网安全系统公司)的RealSecure2)“天眼”网络入侵检测系统3)“天阗”黑
16、客入侵检测系统4)“冰之眼”网络入侵检测系统5)snort作为一个免费的、功能强大的、开放源代码的入侵检测系统,成为很多机构构建安全防护系统时的首选,实训七:入侵检测技术,入侵检测技术的发展趋势主要表现在以下几个方面:(1)高速入侵检测技术(2)分布式入侵检测(3)智能化入侵检测(4)全面地安全防御体系,1、启动天网防火墙安装程序,进入安装界面,在欢迎界面中选中“我接受此协议”,;并单击“下一步”按钮;2、选择安装目录,如图6-1所示,然后按提示一直单击“下一步”按钮,直到开始安装;,【实训环节】,图6-1 安装目录选择,【实训环节】,模拟实训环境,利用入侵检测软件BlackICE,检测UDP
17、 flood攻击为例,1、在被攻击端主机上点击“BlackICE.exe”应用程序,进行安装;2、按提示操作,在输入序列号对话框中输入序列号,如图7-1,【实训环节】,图7-1 序列号对话框,3、在“选择安装路径”对话框中,点击“browse”按键选择自己想要安装的目录路径;4、在打开的应用程序保护模式对话框中选择保护模式,如图7-2,【实训环节】,图7-2 保护模式设置,5、按提示继续安装,到安装完成;点击相应图标 打开该软件。主界面如图7-3所示。,【实训环节】,图7-3 主界面,1、利用攻击端的计算机向主机A发起UDP Flood攻击,模拟攻击 如图7-4所示。,【实训环节】,图7-4
18、模拟攻击,查看BlackICE控制台的EVENTS窗口显示,结果如图7-5所示。,【实训环节】,图7-5 模拟攻击后检测结果,2、选中一条入侵信息,点击右键,可以对该入侵者进项相关操作:忽略、阻止、信任等,如图7-6所示。,【实训环节】,图7-6 对入侵事件的操作,3、在控制台界面上点击“Intruders”和“History”选项,进入相应的窗口观察相关信息,如图7-7所示。,【实训环节】,图7-7 对入侵事件的详细信息,4、在控制台界面,点击“tools”菜单,显示出检测系统支持的相应功能选项,如图7-8所示。,【实训环节】,图7-8 工具菜单功能,5、在tools下拉菜单中,选择“Edi
19、t BlackICE Setting”选项,打开设置窗口,可以进行相应的配置。(1)选择“Firewall”选项卡,可以修改防火墙的保护级别,如图7-9所示。(2)选择“Intrusion Detection”选项卡,可以添加、删除、修改自己信任的IP地址或服务事件,图7-10为添加信任IP的操作及配置后结果。,【实训环节】,【实训环节】,图7-9 防火墙保护级别设置,【实训环节】,图7-10 入侵检测选项卡设置,(3)在“Back Trace”选项窗口中将“DNS lookup”和“NetBIOS nodestatus”两个选项前的复选框选中,可以跟踪并分析入侵者的信息。(4)“Evidence Log”证据日志选项窗口内选中“Logging enabled”复选框,可以将入侵者的入侵记录存入证据日志中。(5)在应用程序控制选项和通信控制设置窗口中,启用“Enable Application Port”(启用应用程序保护),可以防止未经授权的应用程序访问网络。,【实训环节】,1、拦截入侵活动。在“events”窗口选中要拦截的事件信息,点击右键选择“Block Intrud”选项,如图7-11所示。,【实训环节】,图7-11 拦截入侵事件操作,4个可选项,表示控制的时间限制,2、如果判定该访问没有攻击意图则设置信任该访问,【实训环节】,图7-12 信任某访问操作,