《入侵检测技术》PPT课件.ppt

第六章入侵检测技术,本章学习目标 本章主要讲解系统入侵的基本原理、主要方法以及如何实现入侵检测，进行主动防御。通过本章学习，应该掌握以下内容： 系统入侵的概念 几种系统攻击方法的原理 入侵检测的原理 入侵检测系统的组成及结构,6.1 系统攻击概述 系统攻击或入侵是指利用系统安全漏洞，非授权进入他人系统（主机或网络）的行为。了解自己系统的漏洞及入侵者的攻击手段，才能更好的保护自己的系统。 6.1.1 黑客与入侵者 有两个词来描述攻击者: 黑客和骇客。黑客是一个一般术语：喜欢进入东西的人。良性的黑客是那些喜欢进入他/她自己的计算机发现如何工作的人。 恶意的黑客是那些喜欢进入其他人系统的人。良性黑客希望媒体能停止对所有黑客的苛刻批评，使用骇客来做替代。很不幸，这个想法没有被接受无论如何，在这个FAQ使用的词语是入侵者，来一般表示那些想要进入其他人系统的人。,侵入者可以被分为两类: 外部的: 你网络外面的侵入者，或者可能攻击你的外部存在(乱改的web服务器,通过e-mail服务器转来的垃圾邮件)。外部的侵入者可能来自Internet, 拨号线, 物理介入, 或者从同你网络连接的伙伴网络(卖主,客户, 中间商等)。 内部的: 合法使用你的互连网络的侵入者。包括滥用权力的人(比如社会安全雇员因为不喜欢某人就将其标志为死亡)和模仿更改权力的人(比如使用别人的终端)。一个常被引用的统计就是80%的安全问题同内部人有关。 有几种类型的侵入者: 快乐骑士(Joy riders)因能而黑;文化破坏者(Vandals)意于毁坏或更改Web页面; 奸商 (Profiteers)意于利益，如控制系统勒索或者窃取数据得利。,6.1.2系统攻击的三个阶段 1. 收集信息 2. 探测系统安全弱点 3. 实施攻击 6.1.3网络入侵的对象 1. 固有的安全漏洞 2. 系统维护措施不完善的系统 3缺乏良好安全体系的系统,6.1.2入侵者进入系统的主要途径 物理侵入: 如果一个侵入者对主机有物理进入权限。(比如他们能使用键盘或者参与系统),应该可以进入。方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。甚至BIOS保护也很容易穿过的: 事实上所有的BIOS都有后门口令。 系统侵入: 这类侵入表现为侵入者已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。 远程侵入: 这类入侵指入侵者通过网络远程进入系统。侵入者从无特权开始这种侵入方式包括多种形式。比如如果在他/她和受害主机之间有防火墙存在侵入者就复杂得多。 应该注意网络侵入检测系统主要关心远程侵入。,6.2 系统攻击方法,6.2.1 口令攻击 1获取口令的一些方法 （1）是通过网络监听非法得到用户口令 （2）口令的穷举攻击 （3）利用系统管理员的失误 2设置安全的口令 （1）口令的选择：字母数字及标点的组合，如：Ha,Ppy!和w/(X,y)*;使用一句话的开头字母做口令，如：由A fox jumps over a lazy dog!产生口令：AfJoAld!。 （2）口令的保存：记住、放到安全的地方，加密最好。 （3）口令的使用：输入口令不要让别人看到；不要在不同的系统上使用同一口令；定期改变口令,3一次性口令 （OTP，One-Time Password）。 所谓的一次性口令就是一个口令仅使用一次，能有效地抵制重放攻击，这样窃取系统的口令文件、窃听网络通信获取口令及穷举攻击猜测口令等攻击方式都不能生效。OTP的主要思路是：在登录过程中加入不确定因素，使每次登录过程中的生成的口令不相同。 使用一次性口令的系统中，用户可以得到一个口令列表，每次登录使用完一个口令后就将它从列表明中删除；用户也可以使用IC卡或其他的硬件卡来存储用户的秘密信息，这些信息再随机数、系统时间等参数一起通过散列得到一个一次性口令。,真正脆弱的口令: 很多人使用他们自己的名字，孩子的名字，配偶的名字，宠物的名字，或者小车的型号做口令。也有的用户使用“password“或者简单到什么也没有。这给出了侵入者可以自己键入的不多于30个可能性的列表。 字典攻击: 上述攻击失败后，侵入者开始试图“字典攻击“。这种方法,侵入者利用程序尝试字典中的单词的每种可能。字典攻击可以利用重复的登陆或者收集加密的口令并且试图同加密后的字典中单词匹配。侵入者通常利用一个英语字典或其他语言的字典。他们也使用附加的类字典数据库，比如名字和常用的口令。 强力攻击(Brute force attacks): 同字典攻击类似，侵入者可能尝试所有的字符组合方式。一个4个由小写字母组成的口令可以在几分钟内被破解。(大约的共有50万个可能的组合)一个较长的由大小写字母组成的口令，包括数字和标点(10万亿种可能的组合)可以在一个月内破解， 如果你可以每秒试100万种组合。(实际上，一个单机每秒可以算上几千次。),入侵者如何获得口令? 入侵者利用如下方法获得口令: 明文监听: 一些协议(Telnet, FTP, 基本HTTP)使用明文的口令，意味着他们在比如客户/服务器传输过程中不进行加密。入侵者可以使用一个协议分析仪观察线缆上的这样的口令。 密文监听: 许多协议，使用加密的口令。这种情况下，入侵者就需要执行字典或者强力攻击口令来试图解密。应该注意到你不能发现入侵者的存在，因为他/她是完全被动并且不用向线缆传送任何东西。 重放(Replay)攻击: 很多情况下，入侵者不必解密口令。他们可以使用加密的格式来代替登陆系统。这通常需要重新编码客户端软件来使用加密的口令 口令文件窃取: 所有的用户数据库通常存储在磁盘上的一个单个文件。UNIX下这个文件是/etc/passwd(或者这个文件的其他镜像),WinNT下，是SAM 文件观察: 一个传统的口令安全问题是口令必须长而且难猜(使得字典和强力攻击不合理的困难)。然而，这样的口令往往很难记忆，所以用户就在某地写下来。入侵者常可以搜寻一个个人办公桌来发现写到小字条上的口令(一般在键盘下面)。入侵者也可以自己训练在用户后面观察口令的键入。 交际工程: 一个普通(且成功)的技巧是简单的打个电话给用户并且说 “hi,我是MIS组的Bob, 我们正跟踪网络上的一些问题，并且出现在你的机器里。你用的是什么口令呢?“许多用户会在这种情况下放弃他们的口令。(许多公司有政策让用户永远不要给出他们的口令，甚至他们自己的MIS部门，),6.2.2 IP欺骗,1IP欺骗的工作原理 （1）使被信任主机丧失工作能力 TCP SYN-Flood ： t1: Z （X） SYN B Z （X） SYN B Z （X） SYN B t2: X SYN/ACK-B X SYN/ACK-B t3: X RST B,（2）序列号猜测 序列号的猜测方法如下：攻击者先与被攻击主机的一个端口（SMTP是一个很好的选择）建立起正常的连接。通常，这个过程被重复若干次，并将目标主机最后所发送的ISN（初始序列号）存储起来。攻击者还需要估计他的主机与被信任主机之间的RTT时间（往返时间），这个RTT时间是通过多次统计平均求出的。RTT对于估计下一个ISN是非常重要的。一般每秒钟ISN增加128000，每次连接增加64000。现在就不难估计出ISN的大小了，它是128000乘以RTT的一半，如果此时目标主机刚刚建立过一个连接，那么再加上一个64000。,(3）实施欺骗 Z伪装成A信任的主机B攻击目标A的过程如下： t1: Z（B）SYN A t2: B SYN/ACK A t3: Z（B）ACK A t4: Z（B）PSH A,2. IP欺骗的防止 （1）抛弃基于地址的信任策略 （2）进行包过滤 （3）使用加密方法 （4）使用随机化的初始序列号,6.2.3 端口扫描,1端口与服务 许多的TCP/IP程序都是可以通过网络启动的客户/服务器结构。服务器上运行着一个守护进程，当客户有请求到达服务器时，服务器就启动一个服务进程与其进行通信。为简化这一过程，每个应用服务程序（如WWW、FTP、Telnet等）被赋予一个唯一的地址，这个地址称为端口。端口号由16位的二进制数据表示，范围为065535。守护进程在一个端口上监听，等待客户请求。,2端口扫描 端口扫描是获取主机信息的一种常用方法。 利用端口扫描程序可以了解远程服务器提供的各种服务及其TCP端口分配，了解服务器的操作系统及目标网络结构等信息。作为系统管理员使用扫描工具，可以及时检查和发现自己系统存在的安全弱点和安全漏洞，是非很常用的网络管理工具，许多安全软件都提供扫描功能。 端口扫描也广泛被入侵者用来寻找攻击线索和攻击入口。通过这种方法，还可以搜集到很多关于目标主机的各种有用的信息，比如：是否能用匿名登陆，是否有可写的FTP目录，是否能用TELNET等等。端口扫描程序在网上很容易找到，因而许多人认为扫描工具是入侵工具中最危险的一类。,6.2.4 网络监听 网络监听可以监视网络的状态、数据流动情况以及网络上传输的信息，是网络管理员的一种监视和管理网络的一种方法，但网络监听工具也常是黑客们经常使用的工具。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。只要将网络接口设置在监听模式，便可以源源不断地将网上传输的信息截获。 网络监听可以在网上的任何一个位置实施，如局域网中的主机、网关或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。,1网络监听的原理 以太网协议的工作方式为将要发送的数据帧发往物理连接在一起的所有主机。在帧头中包含着应该接收数据包的主机的地址。数据帧到达一台主机的网络接口时，在正常情况下，网络接口读入数据帧，并检查数据帧帧头中的地址字段，如果数据帧中携带的物理地址是自己的，或者物理地址是广播地址，则将数据帧交给上层协议软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。然而，当主机工作在监听模式下，不管数据帧的目的地址是什么，所有的数据帧都将被交给上层协议软件处理。,2网络监听工具及其作用 嗅探器（sniffer）就是一种网络监听工具。 sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局 , Sniffer实施的是一种消极的安全攻击，它们极其安静地躲在某个主机上偷听别人的通信，具有极好隐蔽性。 网络监听对系统管理员是很重要的，系统管理员通过监听可以诊断出大量的不可见问题，这些问题有些涉及两台或多台计算机之间的异常通讯，有些牵涉到各种协议的漏洞和缺陷。,3如何发现sniffer 通过下面的方法可以分析出网络上是否存在sniffer进行分析。 网络通讯掉包率反常的高。 网络带宽将出现异常。 对于怀疑运行监听程序的主机，用正确的IP地址和错误的物理地址去PING，正常的机器不接受错误的物理地址，处于监听状态的机器能接受，这种方法依赖系统的IPSTACK，对有些系统可能行不通。 往网上发大量包含着不存在的物理地址的包 ,由于监听程序将处理这些包，将导致性能下降，通过比较前后该机器性能（icmp echo delay等方法）加以判断。,6.2.5 拒绝服务（DoS）,1什么是拒绝服务 拒绝服务攻击（Denial of Service）是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其它用户提供服务的一种攻击方式。拒绝服务攻击的结果可以降低系统资源的可用性， 2拒绝服务攻击的方式 信息数据包流量式： SYN-Flooding攻击 : 过载攻击 :服务过载 、进程过载攻击、系统过载攻击、磁盘过载攻击,3分布式拒绝服务（DDoS） DDoS就是利用通过组织和操纵更多的机器来发起进攻，来实现拒绝服务攻击。 分布式拒绝服务攻击程序由两部分组成：在主控主机上的客户端和在代理主机上的守护进程。主控端向其代理端发送要攻击的目标主机的列表，代理端据此列表对目标进行拒绝服务攻击。由一个主控端控制的多个代理端能够在攻击过程中相互协同，保证攻击的连续性。,6.2.6 缓冲区溢出 缓冲区溢出是目前最为常见的安全漏洞，也是黑客利用最多的攻击漏洞。 1缓冲区溢出的原理 在程序试图将数据放到机器内存中的某一个位置的时候，如果没有足够的空间就会发生缓冲区溢出。 大多造成缓冲区溢出的原因是程序中没有仔细检查用户输入参数而造成的。 危害：一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃；另有一个结果就是利用这种漏洞可以执行任意指令，甚至可以取得系统根用户的权限。,3缓冲区溢出的保护 目前有四种基本的方法保护缓冲区免受缓冲区溢出的攻击和影响： 一是强制编写正确的代码的方法。 二是通过操作系统使得缓冲区不可执行，从而阻止攻击者植入攻击代码。 三是利用编译器的边界检查来实现缓冲区的保护。 四是一种间接的方法，该方法在程序指针失效前进行完整性检查。,6.2.7典型的入侵过程,步骤1.外部侦查 入侵者会尽可能地找出实际上并不直接给予他们的资讯.他们常通过公开资讯或伪装成正常的使用者.用这种方式的入侵者, 将使你实在难以察觉. 如你的网络跟你的Domain Name 一起 注册的(例如 ),入侵者可以使用whois这种查表(lookup)来尽量找出你的网路(network)资讯. 入侵者也许经由你的DNS表(使用nslookup,dig,或其他的工具程序 来作 domain 的转换)来找出你机器的名字.入侵者会浏览其他的公开资讯, 例如 你的公开站点和匿名(anonymous)FTP 站点. 入侵者也许会寻找关于你公司的新闻文件和报刊的发行品.,步骤2.内部侦查 入侵者使用更具侵略性的技术来对资讯扫描,但不会破坏任何东西.他们将由你全部的网页来找出CGI scripts(CGIscripts 经常是容易被入侵的).他们也许会为了试探主机的存在而使用ping.他们也许会用 UDP/TCP scan/strob(扫描)来找出目标主机的可获得服务(services).他们也许会执行一个如同 rpcinfo,showmount, snmpwalk等等 的工具程序, 来寻找可获得的资讯.关于这点,入侵者只是做出“正常的“网路行为,并且没有作出任何被归类为闯入(intrusion)的举动.,步骤3.入侵 入侵者违越了规矩,并开始对目标主机作了可能的漏洞入侵.入侵者尝试 在一个输入资料里,传递一个shell 指令,因而危及CGI script.入侵者试图以传递大量的资料的方式,来侵害一个已知的缓冲区溢位(buffer-overrun)漏洞.入侵者开始检查有无 简单可猜(甚至 没有)密码的户帐号.一个黑客,会由几个阶段性的入侵.例如,如果黑客可以得到一个用户的帐号,他将试图作更进一步的入侵举动来获得 root/admin.,步骤4.立足 在这阶段中,入侵者已经由机器的入侵,成功地在你的网路中立足. 入侵者主要的目的就是藏匿入侵证据(修改稽核(audit trail)与log档)并确认他可以再次侵入.他们也许会安装可让他们执行的toolkits.用他们有着后门(backdoor)密码的木马(Trojanhorses)置换原先的服务,或 创造一个属于自己的使用者帐户.System IntegrityVerifiers(SIVs)可以 注意到 档案的改变 而对使用这些手段的入侵者做出检测.由于大部分的网路难以防御来自内部的侵害,入侵者将利用这个机器作为其他机器的跳岛. 步骤5.利益 入侵者利用他们的优势偷取机密资料,滥用系统资源(阶段性的由其他机器侵扰你的机器)或破坏你的网页.,6.3 入侵检测概念,6.3.1 入侵检测概述 1. 入侵检测(Intrusion Detection) 入侵检测是对入侵行为的发觉.它通过对计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象.进行入侵行为检测的软件与硬件的组合是入侵检测系统(IDS) 2. 入侵监测系统 入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。例如，你的IDS可以重新配置来禁止从防火墙外部进入的恶意流量。你应当理解入侵监测系统是独立于防火墙工作的。,6.3.2 入侵检测系统的CIDF模型,通用入侵检测框架（CIDF）是由美国加州大学Davis分校的安全实验室提出的框架。 CIDF从逻辑上把IDS分成面向任务的一个组件集合，这些组件一起定义了入侵检测系统的结构。 这些组件包括：事件发生器（E-boxes）、分析引擎(A-boxes)、存贮机制（D-boxes）以及对抗措施（C-boxes）。,6.3.3入侵检测系统的功能,1.监测并分析用户和系统的活动 2.核查系统配置和漏洞 3.评估系统关键资源和数据文件的完整性 4.识别已知的攻击行为 5.统计分析异常行为 6.操作系统日志管理,识别违反安全策略的用户行为,6.4 入侵检测系统的原理,6.4.1入侵检测系统的分类 按照入侵检测系统的数据来源划分 （1）基于主机的入侵检测系统 （2）基于网络的入侵检测系统 （3）采用上述两种数据来源的分布式的入侵检测系统,1.基于主机的入侵检测系统,主机级的IDS结构使用一个管理者和数个代理。管理者向代理发送查询请求，代理向管理者汇报网络中主机传输信息的情况。代理和管理者之间直接通信，解决了复杂网络中的许多问题。 管理者Managers 管理者定义管理代理的规则和策略。管理者安装在一台经过特殊配置过的主机上，对网络中的代理进行查询。有的管理者具有图形界面儿其它的IDS产品只是以守护进程的形式来运行管理者，然后使用其它程序来管理它们。 物理安全对充当管理者的主机来说至关重要。如果攻击者可以获得硬盘的访问权，他便可以获得重要的信息。此外，除非必需管理者的系统也不应被网络用户访问到，这种限制包括Internet访问。 安装管理者的操作系统应该尽可能的安全和没有漏洞。有些厂商要求你使用特定类型的操作系统来安装管理者。例如，ISS RealSecure要求你安装在Windows NT Workstation而不是Windows NT Server，这是由于在NT Workstation上更容易对操作系统进行精简。,代理 由于代理负责监视网络安全，所以大多数的IDS允许你将代理安装在任何可以接受配置的主机上。当你在考虑产品时，你应当确保它可以和网络上的主机配合工作。大多数的产品在UNIX,NT和Novell网络环境中可以出色的工作。有些厂商也生产在特殊网络环境下工作的代理，例如DECnet，mainframes等等。无论如何，你应当通过测试来选择最适合你的网络的产品。所有的代理都工作在混杂模式，并且捕捉网络上传递的信息包。 请考虑将代理安装在像数据库，Web服务器，DNS服务器和文件服务器等重要的资源上。像eTrust Intrusion Detection这样的基于扫描的IDS程序也许更适合在某些特定的时段扫描个别的主机。这个工具能够确保你在占用最小带宽的前提下监视网络活动。 下列是部分适合放置代理资源的列表： 账号、人力资源和研发数据库 局域网和广域网的骨干，包括路由器和交换机 临时工作人员的主机 SMTP，HTTP和FTP服务器 Modem池服务器和交换机、路由器、集线器 文件服务器,优点:1.性价比高2.更加细腻3.视野集中4.易于裁 减5.较少主机6.对网络流量不敏感. 这种类型的系统依赖于审计数据或系统日志的准确性、完整性以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵，则基于主机的检测系统的弱点就暴露出来了。特别是在现代的网络环境下，单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。这主要表现在以下四个方面：一是主机的审计信息弱点，如易受攻击，入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。二是不能通过分析主机审计记录来检测网络攻击。三是IDS的运行或多或少影响服务器性能。四是基于主机的IDS只能对服务器的特定用户、应用程序执行动作、日志进行检测，所能检测到的攻击类型受到限制。,2 .基于网络的入侵检测系统,网络级IDS 你可以使用网络级的产品，象eTrust Intrusion Detection只需一次安装。程序（或服务）会扫描整个网段中所有传输的信息来确定网络中实时的活动。网络级IDS程序同时充当管理者和代理的身份，安装IDS的主机完成所有的工作，网络只是接受被动的查询。 基于网络的IDS的优点是： （1）服务器平台独立：基于网络的IDS监视通信流量而不影响服务器平台的变化和更新。 （2）配置简单：基于网络的IDS环境只需要一个普通的网络访问接口。 （3）检测多种攻击：基于网络的IDS探测器可以监视多种多样的攻击包括协议攻击和特定环境的攻击，长于识别与网络低层操作有关的攻击。 （4）侦测速度快: 通常能在微秒或秒级发现问题,这种IDS构架在交换和ATM环境下工作得不好。而且，它对处理升级非法账号，破坏策略和篡改日志也并不特别有效。在扫描大型网络时会使主机的性能急剧下降。所以，对于大型、复杂的网络，需要主机级的IDS。,3. 基于分布式系统的入侵检测技术 典型的入侵检测系统是一个统一集中的代码块，它位于系统内核或内核之上，监控传送到内核的所有请求。但是，随着网络系统结构复杂化和大型化，系统的弱点或漏洞将趋于分布化。另外，入侵行为不再是单一的行为，而是表现出相互协作的入侵特点，在这种背景下，产生了基于分布式的入侵检测系统。,基于分布式系统的IDS结构,6.4.2 入侵检测技术,1. 基于标志的入侵检测系统： 2. 基于异常情况的入侵检测系统： 3. 采用两者混合检测的入侵检测系统：,1. 基于标志的检测也叫特征检测 首先要定义违背安全策略的事件的特征。 特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。,专家系统 用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。,2.基于异常情况的入侵检测,先定义一组系统”正常”情况的数值,然后将系统运行时的数值与所定义的”正常”情况比较,得出是否有被攻击的迹象.其核心在于如何定义所谓的”正常”情况,统计检测 :统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为： 1、操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到； 2、方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常； 3、多元模型，操作模型扩展，同时分析多个参数检测； 4、马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件； 5、时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。 统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。,6.4.3入侵检测过程,信息收集 (1) 系统和网络日志文件 (2) 目录和文件中的不期望的改变 (3) 程序执行中的不期望行为 (4) 物理形式的入侵信息 2. 信号分析 (1)模式匹配： (2) 统计分析 (3) 完整性分析,文件完整性检查 文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库，每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较，如不同，则文件已被修改，若相同，文件则未发生变化。 文件的数字文摘通过Hash函数计算得到。不管文件长度如何，它的Hash函数计算结果是一个固定长度的数字。与加密算法不同，Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法，如MD5、SHA时，两个不同的文件几乎不可能得到相同的Hash结果。从而，当文件一被修改，就可检测出来。在文件完整性检查中功能最全面的当属Tripwire。,文件完整性检查系统的优点 从数学上分析，攻克文件完整性检查系统，无论是时间上还是空间上都是不可能的。文件完整性检查系统是非常强劲的检测文件被修改的工具。实际上，文件完整性检查系统是一个检测系统被非法使用的最重要的工具之一。 文件完整性检查系统具有相当的灵活性，可以配置成为监测系统中所有文件或某些重要文件。 当一个入侵者攻击系统时，他会干两件事，首先，他要掩盖他的踪迹，即他要通过更改系统中的可执行文件、库文件或日志文件来隐藏他的活动；其它，他要作一些改动保证下次能够继续入侵。这两种活动都能够被文件完整性检查系统检测出。 文件完整性检查系统的弱点 文件完整性检查系统依赖于本地的文摘数据库。与日志文件一样，这些数据可能被入侵者修改。当一个入侵者取得管理员权限后，在完成破坏活动后，可以运行文件完整性检查系统更新数据库，从而瞒过系统管理员。当然，可以将文摘数据库放在只读的介质上，但这样的配置不够灵活性。 做一次完整的文件完整性检查是一个非常耗时的工作，在Tripwire中，在需要时可选择检查某些系统特性而不是完全的摘要，从而加快检查速度。 系统有些正常的更新操作可能会带来大量的文件更新，从而产生比较繁杂的检查与分析工作，如，在Windows NT系统中升级MS-Outlook将会带来1800多个文件变化。,6.5入侵检测的应用,6.5.1入侵检测产品选择要点 1. 系统的价格 当然，价格是必需考虑的要点，不过，性能价格比、以及要保护系统的价值可是更重要的因素。 2. 特征库升级与维护的费用 象反病毒软件一样，入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。 3. 对于网络入侵检测系统，最大可处理流量(包/秒 PPS)是多少 首先，要分析网络入侵检测系统所布署的网络环境，如果在512K或2M专线上布署网络入侵检测系统，则不需要高速的入侵检测引擎，而在负荷较高的环境中，性能是一个非常重要的指标。 4. 该产品容易被躲避吗 有些常用的躲开入侵检测的方法，如：分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。,5. 产品的可伸缩性 系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理。 6. 运行与维护系统的开销 产品报表结构、处理误报的方便程度、事件与事志查询的方便程度以及使用该系统所需的技术人员数量。 7. 产品支持的入侵特征数 不同厂商对检测特征库大小的计算方法都不一样，所以不能偏听一面之辞。 8. 产品有哪些响应方法 要从本地、远程等多个角度考察。自动更改防火墙配置是一个听上去很“酷”的功能，但是，自动配置防火墙可是一个极为危险的举动。 9. 是否通过了国家权威机构的评测 主要的权威测评机构有：国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心。,6.5.2入侵检测技术发展方向,分布式入侵检测 :第一层含义，即针对分布式网络攻击的检测方法；第二层含义即使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。 智能化入侵检测 : 即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的入侵检测系统的防范能力不断增强，应具有更广泛的应用前景。应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。 全面的安全防御方案 : 即使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。 基于内核的入侵检测 基于内核的入侵检测是一种相当巧妙的新型的Linux入侵检测系统。现在最主要的基于内核的入侵检测系统叫做LIDS。 LIDS是一种基于Linux内核的入侵检测和预防系统。,6.5.3 主流入侵检测产品,一、Cisco公司的NetRanger 1996年3月，WheelGroup基于多年的业界经验推出了NetRanger。产品分为两部分：监测网络包和发告警的传感器(9000美元)，以及接收并分析告警和启动对策的控制器(1万美元)。 另外，至少还需要一台奔腾PC来跑传感器程序以及一台Sun SparcStation通过OpenView或NetView来跑控制器程序。两者都运行Sun的Solaris。在软硬件平台中，传感器上可能要花费1.3万美元，控制器上要花费2.5万美元。,二、Network Associates公司的CyberCop Network Associates 公司是1977年由以做Sniffer类探测器闻名的Network General公司与以做反病毒产品为专业的 McAfee Associates公司合并而成的。NetWork Associates从Cisco那里取得授权，将NetRanger的引擎和攻击模式数据库用在CyberCop中。 CyberCop基本上可以认为是NetRanger的局域网管理员版。这些局域网管理员正是NetWork Associates的主要客户群。其软件价格比NetRanger还贵:传感器为9000美元，服务器上的控制器为15000美元。但其平台却可以是运行Solaris 2.5.1的Dell PC(通常CyberCop是预装在里面的)。跑传感器的平台一般要3000美元，控制器的平台要5000美元。,三、Internet Security System公司的RealSecure 按照GartnerGroup的OReilley的说法，RealSecure的优势在于其简洁性和低价格。与NetRanger和CyberCop类似，RealSecure在结构上也是两部分。引擎部分负责监测信息包并生成告警，控制台接收报警并作为配置及产生数据库报告的中心点。两部分都可以在NT、Solaris、SunOS和Linux上运行，并可以在混合的操作系统或匹配的操作系统环境下使用。它们都能在商用微机上运行。 对于一个小型的系统，将引擎和控制台放在同一台机器上运行是可以的，但这对于NetRanger或CyberCop却不行。RealSecure的引擎价值1万美元，控制台是免费的。一个引擎可以向多个控制台报告，一个控制台也可以管理多个引擎。 RealSecure可以对CheckPoint Software的FireWall-1重新进行配置。根据入侵检测技术经理Mark Wood的说法，ISS还计划使其能对Cisco的路由器进行重新配置，同时也正开发OpenView下的应用。,四、Intrusion Detection公司的Kane Security Monitor 基于主机的Kane Security Monitor(KSM) for NT是1997年9月推出的。它在结构上由三部分组成，即一个审计器、一个控制台和代理。代理用来浏览NT的日志并将统计结果送往审计器。系统安全员用控制台的GUI界面来接收告警、查看历史记录以及系统的实时行为。KSM对每个被保护的服务器报价1495美元(包括审计器和控制台)，在此基础上每个工作站代理报价295美元。 按照位于加州Playa Del Rey以安全技术见长的Miora Systems Consulting公司的资深咨询专家David Brussin的看法，KSM在TCP/IP监测方面特别强。但他也提到，Intrusion Detection的产品不是为较快的广域网设计的。 公司的奠基人兼总裁Robert Kane说，Intrusion Detection在本季度将推出在OpenView下的应用，随后在年底将推出与Tivoli Management Environment(TME)的集成。将来，Intrusion Detection还计划支持Unix、微软的BackOffice和Novell的Netware。,五、Axent Technologies公司的OmniGuard/Intruder Alert 与KSM的审计器、控制台、代理所对应的OmniGuard/Intruder Alert(ITA)在结构上的三个组成部分为一个管理器(1995美元)、控制台(免费)和代理(每个服务器为995美元，每个工作站为95美元)。 ITA比Intrusion Detection的KSM提供了更广泛的平台支持。它的管理器和代理能在Windows NT、95、3.1和Netware 3.x、4.x上运行，所有的部分在多种Unix下都能运行，如Solaris、SunOS、IBM AIX、HP-UX以及DEC的Unix。 可以根据一些解决方案来剪裁ITA，这些解决方案可来自主流的操作系统、防火墙厂商、Web服务器厂商、数据库应用以及路由器制造商。Axent在2月份兼并了防火墙厂商Raptor，并将增强ITA，使其能对Raptor的防火墙进行重配置。,六、Computer Associates公司的SessionWall-3/eTrust Intrusion Detection SessionWall-3/eTrust Intrusion Detection可以通过降低对网络管理技能和时间的要求，在确保网络的连接性能的前提下，大大提高网络的安全性。SessionWall-3/eTrust Intru