網路資訊安全第六講入侵檢測系統

一入侵檢測定義

入侵：指一系列試圖破壞資訊資源機密性、完整性和可用性的行為，對資訊系統的非授權訪問及（或）未經許可在資訊系統中進行操作，
入侵檢測：是通過從計算機網路系統中的若干關鍵節點收集資訊，并分析這些資訊，監控網路中是否有違反安全策略的行為或者是否存在入侵行為，是對指向計算和網路資源的惡意行為的識別和回應程序，
入侵檢測系統（IDS）：入侵檢測系統通過監視受保護系統的狀態和活動，采用例外檢測或濫用檢測的方式，發現非授權的或惡意的系統及網路行為，為防范入侵行為提供有效的手段，是一個完備的網路安全體系的重要組成部分，入侵檢測的軟體與硬體的組合，是防火墻的合理補充，是防火墻之后的第二道安全閘門，
入侵檢測的內容：

二典型的IDS技術

IDS起源與發展：審計技術：產生、記錄并檢查按時間順序排列的系統事件記錄的程序，通常用審計日志的形式記錄，
審計的目標
1. 確定和保持系統活動中每個人的責任
2. 重建事件
3. 評估損失
4. 監測系統的問題區
5. 提供有效的災難恢復
6. 阻止系統的不正當使用
入侵檢測流程：資訊收集、資訊分析、結果處理

資訊收集

在這里插入圖片描述

資訊分析

模式匹配：就是將收集到的資訊與已知的網路入侵和系統誤用模式資料庫進行比較，從而發現違背安全策略的行為，
統計分析：首先給系統物件（如用戶、檔案、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等），測量屬性的平均值將被用來與網路、系統的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發生，
完整性分析，往往用于事后分析：完整性分析主要關注某個檔案或物件是否被更改，這經常包括檔案和目錄的內容及屬性，它在發現被更改的、被安裝木馬的應用程式方面特別有效，

事件回應（結果處理）：

在這里插入圖片描述

三入侵檢測系統分類

基于主機的入侵檢測系統、基于網路的入侵檢測系統、分布式入侵檢測系統

基于主機的入侵檢測系統（Host-based IDS，HIDS）

基于主機的入侵檢測系統通常被安裝在被保護的主機上，對該主機的網路實時連接以及系統審計日志進行分析和檢查，當發現可疑行為和安全違規事件時，系統就會向管理員報警，以便采取措施，這些受保護的主機可以是Web服務器、郵件服務器、DNS服務器等關鍵主機設備，
主機的資料源：作業系統事件日志、應用程式日志系統日志、關系資料庫、Web服務器，
檢測內容：系統呼叫、埠呼叫、系統日志、安全審記、應用日志，
HIDS的優點：檢測精度高，HIDS針對用戶和系統活動進行檢測,更適用于檢測內部用戶攻擊或越權行為，不受加密和交換設備影響，HIDS只關注主機本身發生的事件，并不關心主機之外的網路事件，所以檢測性能不受資料加密、隧道和交換設備影響，不受網路流量影響， HIDS并不采集網路資料包，不會因為網路流量增加而丟失對系統行為的監視，故其檢測性能與網路流量無關，
HIDS的缺點 ：HIDS安裝在需要保護的主機上，必然會占用主機系統資源，額外負載將降低應用系統的效率，HIDS完全依賴作業系統固有的審計機制，所以必須與作業系統緊密集成，導致平臺的可移植性差，HIDS本身的健壯性也受到主機作業系統安全性的限制，HIDS只能檢測針對本機的攻擊，而不能檢測基于網路協議的攻擊，

基于網路的入侵檢測系統（NIDS）：安裝在需要保護的網段中，實時監視網段中傳輸的各種資料包，并對這些資料包進行分析和檢測，如果發現入侵行為或可疑事件，入侵檢測系統就會發出警報甚至切斷網路連接，

網路監聽：在一個共享式網路，可以聽取所有的流量是一把雙刃劍，管理員可以用來監聽網路的流量情況，開發網路應用的程式員可以監視程式的網路情況，黑客可以用來刺探網路情報，
NIDS的優點： 檢測與回應速度快，NIDS能夠在成功入侵之前發現攻擊和可疑意圖，在攻擊目標遭受破壞之前即可執行快速回應中止攻擊程序，入侵監視范圍大，由于每個網路傳感器能夠采集共享網段內的所有資料包，一個網路傳感器就可以保護一個網段，因此，只在網路關鍵路徑上安裝網路傳感器，就可以監視整個網路通信，入侵取證可靠，NIDS通過捕獲資料包收集入侵證據，攻擊者無法轉移證據，能夠檢測協議漏洞攻擊，許多攻擊程式是基于網路協議漏洞撰寫的，諸如同步洪流（SYN flood）、Smurf攻擊和淚滴攻擊（teardrop）等只有通過查看資料包頭或有效負載才能識別，

分布式入侵檢測系統（DIDS）：網路系統結構的復雜化和大型化，使得：系統的弱點或漏洞分散在網路中的各個主機上，這些弱點有可能被入侵者用來攻擊網路，而僅依靠一個主機或網路的入侵檢測系統很難發現入侵行為，入侵行為不再是單一的行為，而是表現出相互協作入侵的特點，例如分布式拒絕服務攻擊，入侵檢測所依靠的資料來源分散化，使得收集原始的檢測資料變得比較困難，

分布式入侵檢測系統（DIDS）的目標是既能檢測網路入侵行為，又能檢測主機的入侵行為，
檢測器的位置：

在這里插入圖片描述

基于網路的技術面臨的問題：在某些采用交換技術的網路環境中，交換機制使得網路報文不能在子網內任意廣播，只能在設定的虛網（VLAN）內廣播，這就使得進行網路監聽的主機只能提取到本虛網內的資料，監視范圍大為減少，監視的能力也受到削弱，

四入侵檢測方法

濫用檢測（Misuse Detection）

濫用檢測也被稱為誤用檢測或者基于特征的檢測，這種方法首先直接對入侵行為進行特征化描述，建立某種或某類入侵特征行為的模式，如果發現當前行為與某個入侵模式一致，就表示發生了這種入侵，
濫用檢測特點：

在這里插入圖片描述

例外檢測（Anomaly Detection）

基本思想：任何人的正常行為都是有一定規律的，并且可以通過分析這些行為產生的日志資訊（假定日志資訊足夠完全）總結出一些規律，而入侵和濫用行為則通常與正常行為會有比較大的差異，通過檢查出這些差異就可以檢測出入侵，
主要方法：為正常行為建立一個規則集，稱為正常行為模式，也稱為正常輪廓（normal profile），也被稱為“用戶輪廓”，當用戶活動和正常輪廓有較大偏離的時候認為例外或入侵行為，這樣能夠檢測出非法的入侵行為甚至是通過未知攻擊方法進行的入侵行為，此外不屬于入侵的例外用戶行為（濫用自己的權限）也能被檢測到，
例外檢測特點：

在這里插入圖片描述

例外檢測使用的一些方法：

統計例外檢測
基于特征選擇例外檢測
基于貝葉斯推理例外檢測
基于貝葉斯網路例外檢測
基于模式預測例外檢測
基于神經網路例外檢測
基于貝葉斯聚類例外檢測
基于機器學習例外檢測
基于資料挖掘例外檢測

兩種方式比較

在這里插入圖片描述

入侵檢測的發展方向：

工業界：

主要的研究內容是如何通過優化檢測系統的演算法來提高入侵檢測系統的綜合性能與處理速度，以適應千兆網路的需求，

學術界：

主要通過引入各種智能計算方法，使入侵檢測技術向智能化方向發展，人工神經網路技術，人工免疫技術，資料挖掘技術

入侵檢測系統的局限性：

誤報和漏報的矛盾
隱私和安全的矛盾
被動分析與主動發現的矛盾
海量資訊與分析代價的矛盾
功能性和可管理性的矛盾
單一產品與復雜網路應用的矛盾

五網路入侵檢測系統產品

Snort是最流行的免費NIDS，Snort是基于濫用/例外檢測的IDS，使用規則的定義來檢查網路中的問題資料包，Snort由以下幾個部分組成：資料包嗅探器、前處理器、檢測引擎、報警輸出模塊，
RealSecure：1996年， RealSecure首先被作為一種傳統的基于傳感器的網路入侵檢測系統來開發，1998年成為一種混合入侵檢測系統，正在努力提供一種混合的OS日志及網路分組性能，設計為放置在協議堆疊的IP層之下和IP層之上，多種回應方式

報警輸出模塊，