【正文】 和重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡(luò)安全管理員清楚地了解網(wǎng)絡(luò)上發(fā)生的事件，并能夠采取行動阻止可能的破壞。Key形象地說，它就是網(wǎng)絡(luò)攝象機，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時它也是智能攝象機，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是 X光攝象機，能夠穿透一些巧妙的偽裝，抓住實際的內(nèi)容。 FirewallServersDMZIDSAgent? 訪問 控制? 認證? NAT? 加密? 防病毒、內(nèi)容 過濾? 流量管理常用的安全防護措施－防火墻一種高級訪問控制設(shè)備，一種高級訪問控制設(shè)備，置于不同置于不同 網(wǎng)絡(luò)安全域網(wǎng)絡(luò)安全域 之間之間的一系列部件的組合，它的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信是不同網(wǎng)絡(luò)安全域間通信流的流的 唯一通道唯一通道 ，能根據(jù)企，能根據(jù)企業(yè)有關(guān)的安全政策業(yè)有關(guān)的安全政策 控制控制 （（允許、拒絕、監(jiān)視、記錄允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡(luò)的訪問行為。 兩個安全域之間通信流的唯一通道安全域 1HostHost安全域 2HostHostUDPBlockHost CHost BTCPPassHost CHost ADestination ProtocolPermitSource根據(jù)訪問控制規(guī)則決定進出網(wǎng)絡(luò)的行為防火墻%c1%1c%c1%1cDirn 防火墻一般不提供對內(nèi)部的保護。n 防火墻本身的防攻擊能力不夠，容易成為被攻擊的首要目標n 防火墻不能根據(jù)網(wǎng)絡(luò)被惡意使用和攻擊的情況動態(tài)調(diào)整自己的策略網(wǎng)絡(luò)安全工具的特點優(yōu)點 局限性防火墻 可簡化網(wǎng)絡(luò)管理，產(chǎn)品成熟 無法處理網(wǎng)絡(luò)內(nèi)部的攻擊IDS 實時監(jiān)控網(wǎng)絡(luò)安全狀態(tài) 誤報警，緩慢攻擊，新的攻擊模式Scanner 簡單可操作，幫助系統(tǒng)管理員和安全服務(wù)人員解決實際問題并不能真正掃描漏洞VPN 保護公網(wǎng)上的內(nèi)部通信 可視為防火墻上的一個漏洞防病毒 針對文件與郵件，產(chǎn)品成熟 功能單一IDS存在與發(fā)展的必然性n 網(wǎng)絡(luò)攻擊的破壞性、損失的嚴重性n 日益增長的網(wǎng)絡(luò)安全威脅n 單純的防火墻無法防范復雜多變的攻擊為什么需要 IDSn 關(guān)于防火墻n 網(wǎng)絡(luò)邊界的設(shè)備n 自身可以被攻破n 對某些攻擊保護很弱n 不是所有的威脅來自防火墻外部n 入侵很容易n 入侵教程隨處可見n 各種工具唾手可得防火墻與 IDS聯(lián)動時間Dt檢測時間檢測時間Pt防護時間防護時間Rt響應(yīng)時間響應(yīng)時間Pt防護時間防護時間 +n 在安全體系中， IDS是唯一一個通過數(shù)據(jù)和行為模式判斷其是否有效的系統(tǒng)，防火墻就象一道門，它可以阻止一類人群的進入，但無法阻止同一類人群中的破壞分子，也不能阻止內(nèi)部的破壞分子；訪問控制系統(tǒng)可以不讓低級權(quán)限的人做越權(quán)工作，但無法保證高級權(quán)限的做破壞工作，也無法保證低級權(quán)限的人通過非法行為獲得高級權(quán)限 入侵檢測系統(tǒng)的作用入侵檢測系統(tǒng)的作用n 實時檢測n 實時地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報文n 發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文n 安全審計n 對系統(tǒng)記錄的網(wǎng)絡(luò)事件進行統(tǒng)計分析n 發(fā)現(xiàn)異?，F(xiàn)象n 得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)n 主動響應(yīng)n 主動切斷連接或與防火墻聯(lián)動，調(diào)用其他程序處理入侵檢測技術(shù) ——IDS 的作用入侵檢測的特點 一個完善的入侵檢測系統(tǒng)的特點：n 經(jīng)濟性n 時效性n 安全性n 可擴展性入侵檢測技術(shù) ——IDS 的優(yōu)點n 實時檢測網(wǎng)絡(luò)系統(tǒng)的非法行為 n 網(wǎng)絡(luò) IDS系統(tǒng)不占用系統(tǒng)的任何資源n 網(wǎng)絡(luò) IDS系統(tǒng)是一個獨立的網(wǎng)絡(luò)設(shè)備，可以做到對黑客透明，因此其本身的安全性高 n 它既是實時監(jiān)測系統(tǒng)，也是記錄審計系統(tǒng)，可以做到實時保護，事后分析取證 n 主機 IDS系統(tǒng)運行于保護系統(tǒng)之上，可以直接保護、恢復系統(tǒng)n 通過與防火墻的聯(lián)動，可以更有效地阻止非法入侵和破壞n 1980年 Anderson提出：入侵檢測概念，分類方法n 1987年 Denning提出了一種通用的入侵檢測模型n 獨立性 ：系統(tǒng)、環(huán)境、脆弱性、入侵種類 n 系統(tǒng)框架：異常檢測器，專家系統(tǒng) n 90年初： CMDS?、 NetProwler?、NetRanger?、 ISS RealSecure?入侵檢測起源（ 1）入侵檢測的起源（ 2）n 審計技術(shù)：產(chǎn)生、記錄并檢查按時間順序排列的系統(tǒng)事件記錄的過程n 審計的目標：n 確定和保持系統(tǒng)活動中每個人的責任n 重建事件n 評估損失n 監(jiān)測系統(tǒng)的問題區(qū)n 提供有效的災難恢復n 阻止系統(tǒng)的不正當使用入侵檢測的起源（ 3）n 計算機安全和審計n 美國國防部在 70年代支持 “可信信息系統(tǒng)”的研究，最終審計機制納入《可信計算機系統(tǒng)評估準則》（ TCSEC） C2級以上系統(tǒng)的要求的一部分n “褐皮書 ”《理解可信系統(tǒng)中的審計指南》入侵檢測的起源（ 4）167。他提出了一種對計算機系統(tǒng)風險和威脅的分類方法，并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種167。這份報告被公認為是入侵檢測的開山之作入侵檢測的起源（ 5） 從 1984年到 1986年，喬治敦大學的 Dorothy Denning和SRI/CSL的 Peter Neumann研究出了一個實時入侵檢測系統(tǒng)模型，取名為 IDES（入侵檢測專家系統(tǒng)）入侵檢測的起源（ 6）167。該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機167。n 完成對控制中心指令的接收和響應(yīng)工作。IDS物理 結(jié)構(gòu) —— 引擎的功能結(jié)構(gòu)n 提供報警顯示n 提供對預警信息的記錄和檢索、統(tǒng)計功能n 制定入侵監(jiān)測的策略；n 控制探測器系統(tǒng)的運行狀態(tài)n 收集來自多臺引擎的上報事件，綜合進行事件分析，以多種方式對入侵事件作出快速響應(yīng)。IDS物理結(jié)構(gòu) —— 控制中心IDS物理 結(jié)構(gòu) —— 控制中心的功能結(jié)構(gòu)IDS的系統(tǒng)結(jié)構(gòu) n 單機結(jié)構(gòu) ：引擎和控制中心在一個系統(tǒng)之上，不能遠距離操作，只能在現(xiàn)場進行操作。n 分布式結(jié)構(gòu)就是引擎和控制中心在 2個系統(tǒng)之上，通過網(wǎng)絡(luò)通訊，可以遠距離查看和操作。 n 優(yōu)點不是必需在現(xiàn)場操作，可以用一個控制中心控制多個引擎，可以統(tǒng)一進行策略編輯和下發(fā)，可以統(tǒng)一查看申報的事件，可以通過分開事件顯示和查看的功能提高處理速度等等。l多級管理l事件庫更新 l友好界面 l日志分析 l資源占用率 l抗打擊能力 n IDS的事件按照類型一般分為 3大類：記錄事件、可疑事件、非法事件。按照處理方法的不同，一般分為基本（被動）響應(yīng)和積極（主動）響應(yīng) 2種。 基本響應(yīng)主要由下面幾種：n 事件上報：n 事件日志：n Email通知：n 手機短信息：n 呼機信息：n Windows消息：基本響應(yīng)通過 IDS的事件積極響應(yīng)， IDS系統(tǒng)可以直接阻止網(wǎng)絡(luò)非法行為，保障被保護系統(tǒng)的安全。 n 源阻斷：通過記憶網(wǎng)絡(luò)非法行為的源 IP地址，在一段時間內(nèi)阻斷所有該地址的網(wǎng)絡(luò)連接，使網(wǎng)絡(luò)非法行為在其行動的初期就被有效地組織。一般而言，事件越多，表明IDS系統(tǒng)能夠處理的能力越強。 事件數(shù)量n 作為分布式結(jié)構(gòu)的 IDS系統(tǒng)，通訊是其自身安全的關(guān)鍵因素。n 身份認證是要保證一個引擎，或者子控制中心只能由固定的上級進行控制，任何非法的控制行為將予以阻止，如下圖所示：通訊探測引擎控制中心探測引擎控制中心非法控制中心通訊實例事件響應(yīng)n 基本（被動）響應(yīng)n 積極（主動）響應(yīng)連接申請方 被連接方 連接申請報文 連接確認報文 數(shù)據(jù)通訊報文 通訊結(jié)束申請報文 確認報文 n 關(guān)閉所有可能的端口 、修改系統(tǒng)的設(shè)置，阻止一切沒有必要的網(wǎng)絡(luò)行為 、關(guān)閉所有網(wǎng)絡(luò)行為，進行無 IP地址抓 包。目前由于 inter網(wǎng)絡(luò)的發(fā)展，一個蠕蟲病毒可能一天就流行與全世界因此 IDS事件的增加速度，必須能夠跟上需要的發(fā)展 事件庫更新n 好的 IDS系統(tǒng)必須有能力抵抗黑客的惡意信息的破壞n IDS殺手：在短時間內(nèi)發(fā)送大量的具有黑客特征的報文信息，使一個報文至少產(chǎn)生 1個以上的 IDS事件，造成 IDS系統(tǒng)在 1秒內(nèi)生成成百上千的事件，最終 “累死 ”IDS系統(tǒng)，同時掩護真正地黑客行為。如碎包 抗打擊能力IDS功能結(jié)構(gòu)n 入侵檢測是監(jiān)測計算機網(wǎng)絡(luò)和系統(tǒng) ,以發(fā)現(xiàn)違反安全策略事件的過程n 簡單地說，入侵檢測系統(tǒng)包括三個功能部件：（ 1） 信息收集（ 2） 信息分析（ 3）結(jié)果處理信息收集（ 1）n 入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號n 入侵者經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件 信息分析167。 統(tǒng)計分析167。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規(guī)的數(shù)學表達式來表示安全狀態(tài)的變化）統(tǒng)計分析n 統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）n 測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生完整性分析n 完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效入侵檢測的分類（ 1）n 按照分析方法（檢測方法）n 異常檢測模型（ Anomaly Detection ):首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓）， 當用戶活動與正常行為有重大偏離時即被認為是入侵 。n 誤用檢測模型（ Misuse Detection)： 收集非正常操作的行為特征，建立相關(guān)的特征庫， 當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵 。異常檢測BelowlevelsExceedLevelsSystemActivity異常檢測模型 (基于行為的檢測）1. 前提：入侵是異?；顒拥淖蛹? 2. 用戶輪廓 (Profile): 通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍3. 過程4. 監(jiān)控 ? 量化 ? 比較 ? 判定 5. ?6. 修正4. 指標 :漏報 (false positive),錯報 (false negative)異常檢測異常檢測n 如果系統(tǒng)錯誤地將異常活動定義為入侵，稱為誤報 (false positive) ；如果系統(tǒng)未能檢測出真正的入侵行為則稱為漏報 (false negative)。因為不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵。與系統(tǒng)無關(guān)，通用性強。 Anomaly Detectionactivity measuresprobable intrusionRelatively high false positive rate anomalies can just be new normal activities.0102030405060708090CPU ProcessSizenormal因為很大一部分的入侵是利用了系統(tǒng)的脆弱性，通過分析入侵過程的特征、條件、次序以及事件間關(guān)系能具體描述入侵行為的跡象。n 依據(jù)具體特征庫進行判斷，所以檢測準確度很高，并且因為檢測結(jié)果有明確的參照，也為系統(tǒng)管理員做出相應(yīng)措施提供了方便。AuditMetrics PatternActivityNoMa