第5讲入侵检测技术与Snort课件.ppt

《第5讲入侵检测技术与Snort课件.ppt》由会员分享，可在线阅读，更多相关《第5讲入侵检测技术与Snort课件.ppt（28页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第5讲入侵检测技术与Snort第1页，此课件共28页哦5.1 入侵检测原理5.1.1 入侵、入侵检测与入侵检测系统5.1.2 入侵检测原理第2页，此课件共28页哦5.1.1 入侵、入侵检测与入侵检测系统入侵检测(Intrusion Detection,ID)就是对入侵行为的发觉，就是检测对一个网络或系统未经授权的使用或攻击。作为一种积极的安全防护技术，入侵检测提供了对内部攻击、外部攻击和误操作的实时保护，被认为是防火墙后面的第二道安全防线。入侵是一个广义的概念，不仅包括发起攻击的人取得超出合法权限的行为，也包括收集漏洞信息，造成拒绝访问等对系统造成危害的行为。入侵检测系统(Intrusion

2、Detection System,IDS)是进行入侵检测的软件和硬件的组合。第3页，此课件共28页哦具体而言，入侵检测系统的主要功能：监视并分析用户和系统的行为；审计系统配置和漏洞；评估敏感系统和数据的完整性；识别攻击行为、对异常行为进行统计；自动收集与系统相关的补丁；审计、识别、跟踪违反安全法规的行为；使用诱骗服务器记录黑客行为；第4页，此课件共28页哦5.1.2 入侵检测原理1.实时入侵检测和事后入侵检测当前操作入侵检测攻击识别模块攻击处理模块是攻击否？监测NY历史记录入侵监测攻击处理模块攻击识别模块是攻击否？返回NY事后入侵检测的过程实时入侵检测过程第5页，此课件共28页哦 入侵检测系统

3、的优点：提高了信息系统安全体系其他部分的完整性；提高了系统的监察能力；可以跟踪用户从进入到退出的所有活动或影响；能够识别并报告数据文件的改动；可以发现系统配置的错误，并能在必要时予以改正；可以识别特定类型的攻击，并进行报警，作出防御响应；可以使管理人员最新的版本升级添加到程序中；允许非专业人员从事系统安全工作；可以为信息系统安全提供指导。第6页，此课件共28页哦 入侵检测系统的局限：在无人干预的情形下，无法执行对攻击的检测；无法感知组织（公司）安全策略的内容；不能弥补网络协议的漏洞；不能弥补系统提供信息的质量或完整性问题；不能分析网络繁忙时的所有事物；不能总是对数据包级的攻击进行处理；第7页，

4、此课件共28页哦5.2 入侵检测系统的功能结构5.2.1 入侵检测系统的通用模型5.2.2 信息收集模块5.2.3 数据分析模块5.2.4 入侵检测系统的特征库5.2.5 入侵响应模块第8页，此课件共28页哦5.2.1 入侵检测系统的通用模型入侵检测是防火墙的合理补充，帮助系统对付来自外部或内部的攻击，扩展了系统管理员的安全管理能力(如安全审计、监视、攻击识别及其响应)，提高了信息安全基础结构的完整性。入侵检测系统的主要工作就是从信息系统的若干关键点上收集信息，然后分析这些信息，用来得到网络中有无违反安全策略的行为和遭到袭击的迹象，其通用模型如下图所示：数数据据收收集集数数据据分分析析结结果果

5、处处理理数据数据数据数据事件事件结果结果第9页，此课件共28页哦5.2.2 信息收集模块1.收集的数据内容主机和网络日志文件主机和网络日志文件主机和网络日志文件记录了各种行为类型，包含了发生在主机和网络上的不寻常和不期望活动的证据，留下黑客的踪迹，通过查看日志文件，能发现成功的入侵或入侵企图，并很快启动响应的应急响应程序目录和文件中不期望的改变目录和文件中不期望的改变，特别是那些正常情况下限制访问的对象，往往就是入侵产生的信号程序执行中的不期望行为物理形式的入侵信息物理形式的入侵信息第10页，此课件共28页哦2.入侵检测系统的数据收集机制入侵检测系统的数据收集机制准确性、可靠性和效率是入侵检测

6、系统数据收集机准确性、可靠性和效率是入侵检测系统数据收集机制的基本指标。制的基本指标。基于主机基于主机的数据收集和的数据收集和基于网络基于网络的数据收集的数据收集基于主机的基于主机的IDSIDS在每台要保护的主机后台运行一个代理程序，检测主机运行日志中记录的未经授权的可疑行径，检测正在运行的进程是否合法并及时作出响应。基于网络的基于网络的IDSIDS在连接过程中监视特定网段的数据流，查找每一数据包内隐藏的恶意入侵，对发现的入侵作出及时响应。如下图所示，基于网络的IDS使用使用网络引擎网络引擎执行监控任务。执行监控任务。网络引擎所处的位置决定了所监控的网段：网络引擎放在防火墙内，可以监测渗透过防

7、火墙的攻击；配置在防火墙外的非军事区，可以监测对防火墙的攻击；配置在内部网络的各临界网段，可以监测内部的攻击。第11页，此课件共28页哦子网子网1子网子网2子网子网3控制台控制台防防火火墙墙 Web服务器服务器域域 名名服务器服务器 Internet网络引擎网络引擎内部网内部网如下图所示，控制台控制台用来监控全网络的网络引擎。为了防止假扮控制台入侵或拦截数据，在控制台与网络引起之间应创建安全通道。基于网络的IDS主要用于实时监控网络关键路径，隐蔽性好，侦测速度快，占用资源少，且可用单独的计算机实现，不增加主机负担；但难于发现所有的数据包，对加密环境无能为力第12页，此课件共28页哦分布式与集中

8、式数据收集机制分布式与集中式数据收集机制单纯使用基于主机的入侵检测或基于网络的入侵检测都会造成主动防御体系的不全面，因它们具有互补性，故将这种两种方式结合起来，无缝部署在网络中，就能构建综合两者优势的主动防御体系，既可以发现网段中的攻击信息，又可以从系统日志中发现异常情况。分布式IDS收集的数据来自一些固定位置，而与受监视的网元数量无关；集中式IDS收集的信息来自一些与受监视的网元数量具有一定比例关系的位置直接监控和间接监控直接监控和间接监控IDS从它所监控的对象处直接获得数据，称为直接监控；反之，如果IDS依赖一个单独的进程或工具获得数据，则称为间接监控。就检测入侵行为而言，直接监控要优于间

9、接监控。外部探测器和内部探测器第13页，此课件共28页哦5.2.3 数据分析模块数据分析是IDS的核心，它的功能功能就是对从数据源提供的系统运行状态和活动记录进行同步、整理、组织、分类以及各种类型的细致分析，提取其中包含的系统活动特征或模式，用于对正常和异常行为的判断。1.异常发现技术异常发现技术用在基于异常检测的IDS中。在这类系统中，观测到的不是已知的入侵行为，而是所监视通信系统中的异常现象。如果建立了系统的正常行为轨迹，则在理论上就可如果建立了系统的正常行为轨迹，则在理论上就可以把所有与正常轨迹不同的系统状态视为可疑企图以把所有与正常轨迹不同的系统状态视为可疑企图。由于正常情况具有一定的

10、范围，因此正确选择异常阀值或特正确选择异常阀值或特征，决定何种程度才是异常，是异常发现技术的关键征，决定何种程度才是异常，是异常发现技术的关键。异常检测只能检测出那些与正常过程具有较大偏差的行为。由于对各种网络环境的适应性较弱，且缺乏精确的判定准则，异常检测可能出现虚报可能出现虚报现象。第14页，此课件共28页哦类型方法系统名称自学习型非时序规则建模Wisdom&Sense描述统计IDES、NIDES、EMERRALD、JiNao、Haystack时序人工神经网络Hyperview可编程型描述统计简单统计MIDAS、NADIR、Haystack基于简单规则NSM门限Computer-watch

11、默认否定状态序列建模DPEM、Janus、Bro如下图所示，异常发现技术种类很多。其中，自学习系统通过学习事例构建正常行为模型，可分为时序和非时序两种；可编程系统需要通过程序测定异常事件，让用户知道哪些是足以破坏系统安全的异常行为，可分为描述统计和默认否定两类。第15页，此课件共28页哦2.模式发现技术模式发现技术模式发现又称为特征检测或滥用检测，基于已知系统缺陷和入侵模式，事先定义一些非法行为，然后将观察现象与之比较作出判断。这种技术可以准确检测具有某些特征的攻击，但由于过度依赖事先定义好的安全策略，而无法检测系统未知的攻击行为，因而可能产生漏报。模式发现常用技术：状态建模状态建模：将入侵行

12、为表示成许多不同的状态。如果在观察某个可疑行为期间，所有的状态都存在，则判定为恶意入侵。状态模型本质上是时间序列模型，可细分为状态转换和Petri网，前者将入侵行为的所有状态形成一个简单的遍历链；后者所有的状态构成一个更广义的树形结构的Petri网串匹配串匹配：通过对系统之间传输的或系统自身产生的文本进行子串匹配专家系统专家系统：可在给定入侵行为描述规则的情况下，对系统的安全状态进行推理。一般，专家系统检测能力强大，灵活性高，但计算成本较高基于简单规则基于简单规则：类似专家系统，相对简单，执行速度快3.混合检测混合检测既分析系统的正常行为，同时还观察可疑的入侵行为第16页，此课件共28页哦5.

13、2.4 入侵检测系统的特征库IDS中的特征就是指用于判别通信信息种类的样板数据，通常有以下多种典型情况：来自保留IP地址的连接企图：可通过检查IP报头（IP header）的来源地址识别。带有非法TCP 标志联合物的数据包：可通过TCP 报头中的标志集与已知正确和错误标记联合物的不同点来识别。含有特殊病毒信息的Email：可通过对比每封Email的主题信息和病态Email的主题信息来识别，或者通过搜索特定名字的外延来识别。查询负载中的DNS 缓冲区溢出企图：可通过解析DNS域及检查每个域的长度来识别。另外一个方法是在负载中搜索“壳代码利用”（exploit shellcode）的序列代码组合。

14、对POP3服务器大量发出同一命令而导致DoS攻击：通过跟踪记录某个命令连续发出的次数，看看是否超过了预设上限，而发出报警信息。未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击：通过创建具备状态跟踪的特征样板以监视成功登录的FTP对话，发现未经验证却发命令的入侵企图。第17页，此课件共28页哦5.2.5 入侵响应模块一个好的IDS应该让用户能够裁剪定制其响应机制，以符合特定的需求环境。1.主动响应系统自动或以用户设置的方式阻断攻击过程或以其他方式影响攻击过程，通常可以选择的措施有：针对入侵者采取的措施；修正系统；收集更详细的信息。2.被动响应在被动响应系统中，系统只报告和记录发生的事件

15、。第18页，此课件共28页哦5.3 入侵检测系统的实现5.3.1 入侵检测系统的设置5.3.2 入侵检测器的部署5.3.3 报警策略第19页，此课件共28页哦5.3.1 入侵检测系统的设置网络安全需要各个安全设备的协同工作和正确设置。由于入侵检测系统位于网络体系中的高层，高层应用的多样性导致了入侵检测系统分析的复杂性和对计算资源的高需求。这种情况下，对入侵检测设备进行合理的优化设置，可以使IDS更有效运行。如右图所示，IDS的设置需要经过多次回溯及反复调整确定安全需求确定安全需求设计设计IDE的拓扑的拓扑拓扑改变？拓扑改变？配置系统配置系统磨合调试磨合调试磨合达标？磨合达标？使使 用用拓扑变更

16、或安全更拓扑变更或安全更新？新？调整参数调整参数是是是是否否是是否否否否第20页，此课件共28页哦5.3.2 入侵检测器的部署1.在基于网络的IDS中部署入侵检测器基于网络的IDS主要检测网络数据报文，因此一般将检测器部署在靠近防火墙的地方。具体可安排在下图中的几个位置：内部网内部网关键子网关键子网检测器检测器(3)(4)检测器检测器(1)检测器检测器(2)(4)检测器检测器(5)外部网络外部网络第21页，此课件共28页哦其中，检测器可安放的位置:1)DMZDMZ区内区内 DMZ(DeMilitarized Zone,隔离区)也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络

17、服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内。通过DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。DMZ防火墙方案为要保护的内部网络增加了一道安全防线，通常认为是非常安全的。同时它提供了一个区域放置公共服务器，从而又能有效地避免一些互联应用需要公开，而与内部安全策略相矛盾的情况发生。在这里可以检测到的攻击行为是所有针对向外提供服务的服务器的攻击。由于DMZ中的服务器是外部可见的，因此在这里检测最为需要。同时，由于DMZ中的服务器有限，所以针对这些服务器的检测可以使入侵

18、检测器发挥最大优势，但同时检测器暴露在外部，易遭受攻击第22页，此课件共28页哦2)内网主干内网主干(防火墙内侧防火墙内侧)将检测器放在防火墙内侧，比放在DMZ中安全；受干扰的机会少，报警几率也少；所检测到的都是已经渗透过防火墙的攻击行为；也可以检测到内部可信用户的越权行为3)外网入口外网入口(防火墙外侧防火墙外侧)可以记录针对目标网络的攻击类型，并进行计数4)在防火墙的内外都放置在防火墙的内外都放置既可以检测内部攻击，又可以检测到外部攻击，无需猜测攻击是否穿越防火墙，但开销大5)关键子网关键子网可检测到对系统关键部位的攻击，将有限的资源用在最值得保护的地方，获得最大效益或投资比3.在基于主机

19、的在基于主机的IDSIDS中部署入侵检测器中部署入侵检测器基于主机的IDS通常是一个程序，部署在最重要、最需要保护的主机上第23页，此课件共28页哦5.3.3 报警策略检测到入侵行为需要报警。具体报警的内容和方式，需要根据整个网络的环境和安全需要确定。例如：对一般性服务企业，报警集中在已知的有威胁的攻击行为上；对关键性服务企业，需要尽将可能多的报警记录，并对部分认定的报警进行实时反馈。第24页，此课件共28页哦5.4 Snort5.4.1 Snort的特性5.4.2 Snort的使用第25页，此课件共28页哦5.4.1 Snort的特性Snort是一款开源的网络IDSIDS，能够执行实时数据流

20、的分析和IP协议网络数据包的记录。Snort可以执执行协议分析和内容查询行协议分析和内容查询/匹配，能够检测各种攻击和探查，如缓冲区溢出、隐蔽端口扫描、公共网关接口攻击、服务器信息块协议SMB探测、操作系统指纹攻击等。Snort已成为入侵检测工具中的最佳选择。Snort有三种工作模式：嗅探器、数据包记录器和网络入侵检测系统。嗅探器模式仅仅从网络上读取数据包并作为连续不断的流显示在终端；数据包记录器数据包记录器模式模式把数据包记录在硬盘上；网络入侵检测模式最复杂，最难配置，可以让Snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定动作第26页，此课件共28页哦SnortSno

21、rt的体系结构的体系结构由4个基本部分组成：嗅探器、预处理器、检测引擎和输出设备（日志/报警组件）。在最基本形式下，Snort是一个数据包嗅探器。预处理器、检测引擎和Snort的报警装置都是安装Snort的API编写的插插件件程序。1.数据包嗅探器数据包嗅探器数据包嗅探器是一种用于接入Internet网的硬件或软件设备。它以一种类似电话窃听的方式工作，通过应用程序或硬件设备窃听网络数据流。在Internet中，网络数据通常由IP数据流组成，但在本地局域网和过去遗留网络中，网络数据可能由其他的协议组数据流组成。利用数据包嗅探器，可以帮助用户：网络分析和故障排除性能分析窃听明文密码和其他感兴趣的数

22、据第27页，此课件共28页哦2.预处理程序预处理程序预处理器接收原始数据包并用一定的插件对其进行检查。这些插件检查数据包中有无某些特定类型的行为，一旦发现，就将其发送到检测引擎。Snort支持多种预处理器及其附带的插件，覆盖许多广泛应用的协议以及一些广泛关注的协议中存在的问题。因为插件可以在预处理层根据需要启用和禁用，并在对所在网络产生最佳作用的前提下分配计算机资源和产生警报，因此，可以更好地进行模块化配置。3.检测引擎检测引擎检测引擎是Snort基于签名的IDS的核心，它接收被所有启动的预处理器及其插件依次处理后的数据，对其进行一系列规则集合的检测，若数据包中的数据域规则相匹配，就把该数据包送到报警处理器。其中，规则集合按照类型分组并定期更新。规则本身由两部分构成：规则头部和规则选项第28页，此课件共28页哦