入侵检测.docx
- 文档编号:24404148
- 上传时间:2023-05-27
- 格式:DOCX
- 页数:13
- 大小:114.32KB
入侵检测.docx
《入侵检测.docx》由会员分享,可在线阅读,更多相关《入侵检测.docx(13页珍藏版)》请在冰豆网上搜索。
入侵检测
入侵检测技术结课总结
一、入侵检测系统弥补了防火墙的哪些不足
我们通常所说的网络防火墙是指的是隔离在本地网络与外界网络之间的一道防御系统。
防火墙可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。
它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
它在内部网与外部网之间形成了一道安全保护屏障。
当前比较成熟的防火墙实现技术从层次上主要有以下两种:
包过滤和应用层网关。
防火墙在安全保护方面具有以下优点:
1、防火墙是网络安全的屏障。
能极大地提高一个内部网络的安全性,并通过过滤不安全的服务,可以极大地提高网络安全而降低风险;
2、它可以提供对系统的访问控制。
如允许从外部访问某些主机,同时禁止访问另外的主机;
3、防止内部信息的外泄。
使用防火墙就可以隐蔽那些透漏内部细节;
4、对网络存取和访问进行监控审计。
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据;
5、防火墙可以强化网络安全策略。
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。
但是,防火墙也有它力所不能及的:
1、防火墙可以阻断攻击,但不能消灭攻击源。
设置得当的防火墙能够阻挡他们,但是无法清除攻击源。
入侵者可以寻找防火墙背后可能敞开的后门而绕过防火墙;
2、防火墙不能抵抗最新的未设置策略的攻击漏洞。
如果世界上新发现某个主机漏洞的cracker的把第一个攻击对象选中了您的网络,那么防火墙也没有办法帮到您的;
3、防火墙的并发连接数限制容易导致拥塞或者溢出。
而当防火墙溢出的时候,整个防线就如同虚设,原本被禁止的连接也能从容通过了;
4、防火墙对待内部主动发起连接的攻击一般无法阻止;
5、防火墙本身也会出现问题和受到攻击;
6、防火墙不处理病毒。
普通防火墙虽然扫描通过他的信息,但一般只扫描源地址、目的地址端口号,不扫描数据的确切内容,对于病毒来说,防火墙不能防范。
7、防火墙是一种静态的安全技术,需要人工来实施和维护,不能主动跟踪入侵者。
8、由于性能的限制,防火墙通常不能提供实时的入侵检测能力。
综合以上可以看出,防火墙是网络安全的重要一环,但不代表设置了防火墙就能一定保证网络的安全。
入侵攻击已经见怪不怪,对付这些入侵者的攻击,可以通过身份鉴别技术,使用严格的访问控制技术,还可以对数据进行加密保护等,但这并不完全可行。
所以静态安全措施并不足以保护安全对象。
因此,一种动态的方法是必要的。
比如行为跟踪、入侵检测技术。
但是,完全防止入侵目前看是不现实的。
人们可以尽力检测出这些入侵,以便采取措施或者以后修补。
二、入侵检测系统的概念
了解入侵检测系统我们需要了解以下三个概念:
(1)入侵,是指试图破坏一个资源的完整性、机密性和可用性的行为。
是对信息系统的非授权访问及(或)未经许可在信息系统中进行操作;完整性、机密性和可用性是计算机安全的目标,破坏了这个目标的行为称为入侵。
(2)入侵检测,是对入侵行为的发觉。
对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。
它通过从计算机网络或系统中的若干关键点收集信息,并对这些信息进行分析,从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的现象。
(3)入侵检测系统(IDS),进行入侵检测的软件与硬件的组合便是入侵检测系统。
简称IDS。
三、入侵检测系统的工作模式
无论对于什么类型的入侵检测系统,其工作模式都可以体现为以下四个步骤。
1、信息收集。
入侵检测的第一步就是信息收集,从系统的不同环节收集信息。
收集信息的内容包括任何可能包含入侵行为线索的系统数据。
包括网络数据包、日志文件和系统调用记录等。
信息收集的范围越广,入侵检测系统的检测范围就越大。
此外,从一个源收集到的信息有可能看不出疑点,但从几个源收集到的信息的不一致性却可能是可疑行为。
当然,收集的信息要可靠、正确。
2、信息分析。
分析该信息,试图寻找入侵活动的特征。
入侵检测系统从信息源收集到的信息的信息量是非常庞大的,在这些海量的信息中,绝大部分信息都是正常信息,而只有很少信息才可能表征着入侵行为的发生。
那么怎样才能够从大量的信息中找到异常信息呢,就需要对这些信息进行分析。
可见,信息分析是入侵检测过程中的核心环节,没有信息分析环节,入侵检测就无从谈起。
入侵检测分析方法很多,如模式匹配、统计分析、完整性分析等。
这些后面对讲。
3、告警与响应。
自动对检测到的行为作出响应。
当一个攻击企图或事件被检测到以后,入侵检测系统就应该根据攻击或事件的类型,做出相应的告警与响应。
即通知管理员系统正在受到不良行为的入侵,或者采取一定的措施阻止入侵行为的继续。
常见的告警与响应方式如:
自动终止攻击、终止用户连接、禁止用户账号、重新配置防火墙阻塞攻击的源地址、向管理控制台发生警告指出事件的发生等。
4、记录并报告检测过程和结果。
记录事件的日志,包括日期、时间、源目的地址、描述与事件相关的原始数据。
四、入侵检测系统的组成构件
对于一个入侵检测系统来说,从功能上可以分为几个组成部分:
事件产生器(EventGenerators)、事件分析器(EventAnalyzers)、响应单元(ResponseUnits)、事件数据库(EventDatabases)。
如图,
响应单元(ResponseUnits)
事件分析器(EventAnalyzers)
事件数据库(EventDatabases)
事件产生器(EventGenerators)
网络
主机
应用程序
1、事件产生器又称传感器、感应器,负责收集信息,然后发送到分析器进行处理。
2、分析器(又称为检测器或检测引擎):
负责分析和检测入侵的任务,并发出警报信号。
分析器从许多感应器接收信息,并对这些信息进行分析以决定是否有入侵行为发生。
3、事件数据库:
提供必要的数据信息支持。
例如用户历史活动档案,或者检测规则集合等。
分析器将收集的数据和知识库比较,检测入侵行为。
4、响应单元:
对分析结果做出反应的功能单元。
功能包括:
报警和事件报告;终止进程,强制用户退出;切断网络连接,修改防火墙配置;灾难评估,自动回复;查找定位攻击者;
一套完整的IDS还应包括管理器通常也称为用户控制台,控制器。
它以一种可视化的方式向用户提供收集到的各种数据及相应的分析结果,用户可以通过管理器对入侵检测系统进行配置,从而对入侵行为进行检测以及对相应措施进行管理。
数据收集器从目标系统收集数据,产生入侵检测事件;数据收集器将入侵检测事件送给检测器,根据入侵检测事件及配置信息基于知识库内容进行检测,检测其将检测到的异常情况报告给控制器;控制器根据系统配置信息及知识库知识对目标系统作出响应。
这就是一个完整的入侵检测系统。
五、入侵检测系统的分类以及各自的优缺点
IDS系统的分类标准很多。
根据数据来源或资料收集的方式区分,大多数的入侵检测系统都可以被归入到基于网络、基于主机和分布式3类。
基于主机的传感器安装在被监控的服务器上,通过收集服务器的信息来进行分析报警。
基于网络的传感器安装在被监控的服务器的同一个交换机上,通过监听网络上到达服务器的报文来分析报警。
基于主机的传感器就像装在各个房间的摄像头,基于网络的传感器就像装在各个的摄像头。
两个位置不同,互为补充。
1、主机级IDSHost-BasedIDS(HIDS)。
HIDS只能保护它所在的计算机,系统获取数据的依据是系统运行所在的主机。
分析所需数据来自主机系统,通常是系统日志和审计记录。
通常需要在受保护的主机上安装专门的检测代理(Agent)。
优点:
1)能够监视特定的系统活动,可以精确的根据自己的需要定制规则。
2)不需要额外的硬件,HIDS驻留在现有的网络基础设施上,其包括文件服务器、Web服务器和其它的共享资源等。
减少了以后维护和管理硬件设备的负担。
3)适用于被加密的和交换的环境。
可以克服NIDS在交换和加密环境中所面临的一些困难。
缺点:
1)依赖于特定的操作系统平台,对不同的平台系统而言,它是无法移植的,因此必须针对各不同主机安裝各种HIDS。
2)在所保护主机上运行,将影响到宿主机的运行性能,特别是当宿主机为服务器的情况;通常无法对网络环境下发生的大量攻击行为,做出及时的反应。
2、网络级IDSNetwork-BasedIDS(NIDS)。
NIDS是站在整个网络高度的IDS。
正常情况下,计算机网卡工作在非混杂模式,只有数据包的目的地址是网卡的MAC地址时,网卡才会接受该数据包并处理。
在混杂模式下,网卡接收所有流经本机的数据包,不论其最终接收地址是什么。
NIDS可以监视不流向自己的MAC地址的网络流量。
这部分的技术原理和sniffer完全相同。
对于共享式网络,只需要设置网卡混杂模式就能实现监听。
但对于现在的交换式网络,必须首先在交换机上配置镜像端口才能够得到别的端口的报文,基于网络的传感器一般不影响服务器的正常工作,而且可以监控多个服务器。
优点:
1)成本较低,NIDS系统并不需要在各种各样的主机上进行安装,大大减少了安全和管理的复杂性。
2)实时检测和响应,一旦发生恶意访问或攻击,NIDS检测可以随时发现它们,因此能够很快地作出反应。
3)可监测到未成功或恶意的入侵攻击:
一个放在防火墙外面的NIDS可以检测到旨在利用防火墙后面的资源的攻击。
4)与操作系统无关:
并不依赖主机的操作系统作为检测资源,而HIDS需要特定的操作系统才能发挥作用。
缺点:
1)要采集大型网络上的流量并加以分析,往往需要更有效率的CPU处理速度,以及更大的内存空间。
2)只检查它直接相连的网段的通信,不能检测其他网段的包。
3)处理加密的会话较困难。
目前通过加密通道的攻击尚不多,但随着IPV6的普及,这个问题会越来越突出。
3、分布式入侵检测系统DIDSDistributedIntrusionDetectionSystem(DIDS)。
典型的DIDS是管理端/传感器结构。
在DIDS中,传感器可以使用NIDS,HIDS,或两者都用。
传感器有的工作在混杂模式,有的工作在非混杂模式,然而,无论在什么情况下,DIDS都有一个显著的特征,即分布在网络不同位置的传感器都向中央管理平台传送报警和日志信息。
攻击日志定时的传送到管理平台并保存在中央数据库中,新的攻击特征库能发送各个传感器上。
每个传感器能根据所在的网络的实际需要配置不同的规则集。
报警信息能发到管理平台的消息系统,用各种方式通知IDS管理员。
目前,NIDS和HIDS结合,IDS和防火墙结合是一种趋势。
另一种是按照数据分析方法进行分类,分为异常检测和滥用检测。
1、异常检测(AnomalyDetection),他需要预先定义什么是“正常”,首先总结正常操作应该具有的特征(用户轮廓),例如登陆时间,登陆地点、击键频次等,然后可以用采用统计、神经网络等方法构造用户正常行为,当用户活动与正常行为有重大偏离时即被认为是入侵。
异常检测可以检测提升权限攻击。
如果一个正常用户无权访问某一重要系统文件,但该用户却可以随意访问该文件,异常检测就可以发现。
另外异常检测能够有些检测未知入侵。
异常入侵检测要解决的问题就是构造正常活动集,并从中发现入侵性活动子集。
2、滥用检测的技术基础是分析各种类型的攻击手段,并找出可能的“攻击特征”库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
这种检测方式只能检测到大部分或所有已知的攻击模式,对未知的攻击模式几乎没有作用。
滥用检测的关键问题是如何从已知入侵中提取和编写特征,使得其能够覆盖该入侵的所有可能的变种,而同时不会匹配到非入侵活动。
滥用入侵检测比异常入侵检测具备更好的确定解释能力,即能够明确指示当前发生的攻击手段类型,滥用检测得到广泛应用;另一方面,滥用入侵检测具备较高的检测率和较低的虚警率(误报率);开发规则库和特征集合相对于建立系统正常模型而言,也更方便、更容易;主要缺点是一般只能检测到已知的攻击模式,模式库需要不断地更新才能检测到新的攻击方法;异常检测的优点是可以检测到未知的入侵行为。
六、入侵检测技术未来发展
自我对入侵检测不是很深入的了解,对未来的发展更不敢多说,通过上网学习,了解到了以下几个方面的趋势,总结如下:
(1)分布式入侵检测:
传统的IDS局限于单一的主机或网络架构,对异构系统及大规模的网络检测明显不足,不同的IDS系统之间不能协同工作。
为解决这一问题,需要发展分布式入侵检测技术与通用入侵检测架构。
第一层含义,即针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。
(2)智能化入侵检测:
即使用智能化的方法与手段来进行入侵检测。
所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。
利用专家系统的思想来构建入侵检测系统也是常用的方法之一。
特别是具有自学习能力的专家系统,实现了知识库的不断更新与扩展,使设计的入侵检测系统的防范能力不断增强,应具有更广泛的应用前景。
应用智能体的概念来进行入侵检测的尝试也已有报道。
较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。
目前尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但这只是一些尝试性的研究工作,仍需对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。
(3)应用层入侵检测:
许多入侵的语义只有在应用层才能理解,而目前的IDS仅能检测如Web之类的通用协议,而不能处理如LotusNotes、数据库系统等其他的应用系统。
(4)高速网络的入侵检测:
在IDS中,截获网络的每一个数据包,并分析、匹配其中是否具有某种攻击的特征需要花费大量的时间和系统资源,因此大部分现有的IDS只有几十兆的检测速度,随着百兆、甚至千兆网络的大量应用,需要研究高速网络的入侵检测。
(5)入侵检测系统的标准化:
在大型网络中,网络的不同部分可能使用了多种入侵检测系统,甚至还有防火墙、漏洞扫描等其他类别的安全设备,这些入侵检测系统之间以及IDS和其他安全组件之间如何交换信息,共同协作来发现攻击、作出响应并阻止攻击是关系整个系统安全性的重要因素。
例如,漏洞扫描程序例行的试探攻击就不应该触发IDS的报警;而利用伪造的源地址进行攻击,就可能联动防火墙关闭服务从而导致拒绝服务,这也是互动系统需要考虑的问题。
可以建立新的检测模型,使不同的IDS产品可以协同工作。
七、学习体会
通过选修这么入侵检测课,我了解到了很多知识。
对入侵检测技术和入侵检测系统有了浅显的认识,虽然是很浅显的。
对于这么深奥的课程短短的这些课时是远远不够的,仅凭上课的讲授而没有实践也是不能深入理解掌握的,但是,通过这些时间的学习让我了解了入侵检测,为以后的学习打下了基础。
我们的其他课程,网络安全技术,网络攻防技术,防火墙等等,都与入侵检测有密切的联系,将这些课程一起学习,可以有更多的收获,也为以后的学习工作打下坚实的基础。
通过对snort的安装,我学到了一下几点内容:
1、对snort有了认识。
Snort是基于滥用检测的IDS,使用规则的定义来检查网络中的问题数据包。
由数据包嗅探器、预处理器、检测引擎、报警输出模块五个模块组成。
有十一个软件组成,名称及作用如下表:
软件名称
作用
Apache+PHP+MySQL套件
Windows下Aapche服务器,web服务器安装软件,相当于iis;PHP脚本支持,Mysql数据库支持,用于存储snort的日志、报警、权限等数据信息
WinPcap
Windows下的网络驱动
Snort
Windows下的Snort安装包,是入侵检测的核心部分
Snortrules
Snort的规则库
Navicat
idscenter
Mysql和snort图形化界面
ACID
基于PHP的入侵检测数据库分析控制台
Adodb
为PHP提供统一的数据库连接函数
JpGraph
PHP所用图形库
2、安装过程中出现了许多问题,有的解决了,有的还没有解决。
因为作业留的比较早,而安装说明没有给,我就在网上搜索了几份说明,自己尝试着进行安装,基本流程是正确的,但并没有教员给的说明详细,一些软件的安装没有详细的设置步骤,造成可能一些安装选项有些出入,有可能导致了最后的问题。
基本的安装还是比较顺利的,包括一些设置,文件的修改也比较顺利,主要遇到了以下三个问题,其中前两个已经解决,而最后一个直到写总结的时候才解决。
1)遇到的第一个问题是在修改httpd.conf时出现的,因为说明中写的是增加语句LoadModulephp_5modulec:
\php5\ph5apache2.dllAddTypeapplication/x-httpd-php.php而我们安装的,其中ddl文件应该是c:
\php5\ph5apache2_2.dll,因为这个问题一直导致apache不能正常启动,在教员的指导下,得到了解决。
2)上一个问题解决了,紧接着又是一个问题,输入http:
//127.0.0.1/test.php后能弹出PHPVersion5.2.5页面,但是没有gd库,输入http:
//127.0.0.1/acid/acid_main.php后,出现报错的页面,不能进行setup。
这个问题困扰了很长时间,也修改了很多文件,还是没能解决,最后在上完课的一个中午,花了一中午时间,又修改了很多配置,才成功。
因为修改的太多也太乱,也不确定哪个部分是关键的,但在修改了这个目录后就可以使用了。
“复制c:
\php5\php.ini-dist至%systemroot%目录下,更改名为php.ini。
注意php.ini也可以不拷贝到%systemroot%目录中,只要httpd.conf中作如下指定:
PHPIniDir“c:
\php5””这个操作,最初我选择了第一个,就是复制文件并改名。
在遇到这个问题后,我把c:
\php5\php.ini-dist这个文件也改名为php.ini,并在httpd.conf中增加了PHPIniDir“c:
\php5”指令,才成功解决这个问题。
3)这个问题是最后一个,也是至今没有解决的问题。
在安装配置好后,运行snort-W能够正常运行,但进行监控,输入指令“snort-c"c:
\snort\etc\snort.conf"-l"c:
\snort\log"-i2–d-e–X”时,却出现错误
修改了很多文件,也没能解决。
在最后一步遇到困难,前功尽弃,确实很不甘心,所以一直在努力。
直到整理这篇总结的时候,又翻回原来自己的安装文档,修改了下列语句“outputdatabase:
alert,Mysql,host=localhostport=3306dbname=snortuser=rootpassword=568094935sensor_name=nencoding=asciidetail=Full”,才终于安装成功。
3、Snort安装是一个很细致认真的工作,每一步都要细心,需要科学的严谨态度。
这仅仅是一个很小的系统安装,更大型的系统安装调试更是需要耐心,细心。
通过这次安装snort,锻炼了我的心智。
在整体的安装过程中,时间跨度比较大,每次都是安装配置一小部分,尤其是到了后半程,经常出现的问题,有时候一个多小时都解决不了,几乎都丧失了信心,但每当解决一个问题的时候,成就感油然而生。
尤其是最后一个问题的解决,当时心情真是异常激动,似乎完成了一个巨大的工程一般!
这会激励我继续做下去,跟深入的研究,也希望教员能多给指导。
以上是我学习入侵检测的一些收获,正如上面说的,还是很浅薄的,在以后的学习生活中我会继续学习钻研,争取能有更多的收获,更大的成绩。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵 检测