入侵检测系统技术白皮书docx.docx
- 文档编号:7279433
- 上传时间:2023-01-22
- 格式:DOCX
- 页数:18
- 大小:139.42KB
入侵检测系统技术白皮书docx.docx
《入侵检测系统技术白皮书docx.docx》由会员分享,可在线阅读,更多相关《入侵检测系统技术白皮书docx.docx(18页珍藏版)》请在冰豆网上搜索。
入侵检测系统技术白皮书docx
概述1
1.什么是入侵检测1
2.为什么需要使用入侵检测系统1
2.1.防火墙的局限性1
22入侵检测系统的作用2
2.3.入侵检测系统的主要类型2
3.入侵检测系统和防火墙的配合使用3
RIDS-100入侵检测系统3
1.系统结构4
1.1.入侵检测引擎4
1.2.管理控制台5
2.主要功能6
2.1.网络监控和统计6
2.2.入侵检测和报警7
3.主要技术特点10
4.典型应用方案12
4.1.监听、检测发生在内网之间的连接和攻击12
4.2.监听、检测外网对内网的攻击13
一、概述
1.什么是入侵检测
入侵检测是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。
它监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及机密性、完整性、
可用性或绕过安全机制的入侵行为。
入侵检测系统(IDS)就是自动执行这种监视和分析过
程的软件或硬件产品。
2.为什么需要使用入侵检测系统
随着计算机网络的飞速发展,社会的信息化程度不断提高,网络在带来巨大的经济效益
和社会效益的同时,也面临着日益严重的安全问题。
对计算机网络的最大威胁是计算机病毒
与黑客攻击,2001年,计算机病毒与黑客攻击在全世界造成的经济损失高达数百亿美元。
2.1.
2.2.防火墙的局限性
防火墙是阻止黑客攻击的一种有效手段,但随着攻击技术的发展,这种单一的防护手段
已不能确保网络的安全,它存在以下的弱点和不足:
1)防火墙无法阻止内部人员所做的攻击
防火墙保护的是网络边界安全,对在网络内部所发生的攻击行为无能为力,而
据调查,网络攻击事件有60%以上是由内部人员所为。
2)防火墙对信息流的控制缺乏灵活性
防火墙是依据管理员定义的过滤规则对进出网络的信息流进行过滤和控制的。
如果规则定义过于严格,则限制了网络的互连互通;如果规则定义过于宽松,则又
带来了安全隐患。
防火墙自身无法根据情况的变化进行自我调整。
3)在攻击发生后,利用防火墙保存的信息难以调查和取证
在攻击发生后,能够进行调查和取证,将罪犯绳之以法,是威慑网络罪犯、确
保网络秩序的重要手段。
防火墙由于自身的功能所限,难以识别复杂的网络攻击并保存相关的信息。
为了确保计算机网络安全,必须建立一整套的安全防护体系,进行多层次、多手段
的检测和防护。
入侵检测系统就是安全防护体系中重要的一环,它能够及时识别网络中
发生的入侵行为并实时报警。
需要说明的是,虽然目前很多防火墙都集成有入侵检测模块,但由于技术和性能上的限制,它们通常只能检测少数几种简单的攻击,无法与专业
的入侵检测系统相比。
专业入侵检测系统所具有的实时性、动态检测和主动防御等特点,
弥补了防火墙等静态防御工具的不足。
2.3.入侵检测系统的作用
入侵检测系统作为一种积极主动的安全防护工具,提供了对内部攻击、外部攻击和误操
作的实时防护,在计算机网络和系统受到危害之前进行报警、拦截和响应。
它具有以下主要作用:
1)通过检测和记录网络中的安全违规行为,惩罚网络犯罪,防止网络入侵事件的发生;
2)检测其它安全措施未能阻止的攻击或安全违规行为;
3)检测黑客在攻击前的探测行为,预先给管理员发出警报;
4)报告计算机系统或网络中存在的安全威胁;
5)提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补;
6)在大型、复杂的计算机网络中布置入侵检测系统,可以显著提高网络安全管理的质量。
2.4.入侵检测系统的主要类型
按数据来源的不同,可以将入侵检测系统分为基于网络的入侵检测和基于主机的入侵检测。
(1)基于主机的入侵检测系统
基于主机的入侵检测系统通常是安装在被保护的主机上,主要是对该主机的网络实
时连接以及系统审计日志进行分析和检查,当发现可疑行为和安全违规事件时,系统就
会向管理员报警,以便采取措施。
(2)基于网络的入侵检测系统
基于网络的入侵检测系统一般安装在需要保护的网段中,实时监视网段中传输的各
种数据包,并对这些数据包进行分析和检测。
如果发现入侵行为或可疑事件,入侵检测
系统就会发出警报甚至切断网络连接。
基于网络的入侵检测系统如同网络中的摄像机,
只要在一个网络中安放一台或多台入侵检测引擎,就可以监视整个网络的运行情况,在
黑客攻击造成破坏之前,预先发出警报。
基于网络的入侵检测系统自成体系,它的运行不会给原系统和网络增加负担。
入侵检测系统使用的主要检测方法有基于攻击特征的模式匹配法和基于行为的统计分析法。
它们各有优缺点:
模式匹配法主要适用于对已知攻击方法的检测,通过分析攻击的原理和过程,提取有关
的特征,建立攻击特征库,对截获的数据进行分析和模式匹配,这种方法的优点是识别准确,
误报率低,但它对未知的攻击方法却无能为力,并且当新的攻击方法出现时,需要及时更新
特征库。
基于行为的统计分析法对未知攻击和可疑活动有一定的识别能力,但误报率高。
现在优秀的入侵检测系统一般都综合运用了上述两种检测方法。
3.入侵检测系统和防火墙的配合使用
将入侵检测系统与防火墙配合使用,可以极大地提高网络的安全防御能力。
使用入侵检测系统和防火墙共同构建网络安全防护体系有多种组合方法,用户可以根据
需要进行选择。
(1)入侵检测引擎放在防火墙之外
在这种情况下,入侵检测系统能接收到防火墙外网口的所有信息,管理员可以清楚地看
到所有来自Internet的攻击,当与防火墙联动时,防火墙可以动态阻断发生攻击的连接。
(2)入侵检测引擎放在防火墙之内
在这种情况下,只有穿透了防火墙的攻击才能被入侵检测系统监听到,管理员可以清楚
地看到哪些攻击真正对自己的网络构成了威胁。
如果入侵检测系统检测到了本应该被防火墙
过滤掉的攻击,就可以判断防火墙的配置存在失误。
(3)防火墙内外都装有入侵检测引擎
在这种情况下,可以检测来自内部和外部的所有攻击,管理员可以清楚地看出是否有攻
击穿透防火墙,对自己网络所面对的安全威胁了如指掌。
(4)将入侵检测引擎安装在其它关键位置
安装在需要重点保护的部位,如企业内部重要服务器所在的子网,对该子网中
的所有连接进行监控;
安装在内部两个不同子网之间,监视两个子网之间的所有连接。
根据网络的拓扑结构的不同,入侵检测系统的监听端口可以接在共享媒质的集线器
(Hub)上、交换机的调试端口(spanport)上、或专为监听所增设的分接器(Tap)上。
二、RIDS-100入侵检测系统
RIDS-100入侵检测系统是由瑞星公司自主开发研制的新一代网络安全产品,它集入侵
检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置
的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为管理员事后分析的依据;如果情况严重,RIDS-100可以
发出实时报警,使得管理员能够及时采取应对措施。
1.系统结构
RIDS-100入侵检测系统是一套基于网络的分布式入侵检测系统,它主要由入侵检测引
擎和管理控制台两部分组成。
1.1.入侵检测引擎
入侵检测引擎为专用硬件设备,可以安装在标准的机架上,一个检测引擎可以保护一个
网段。
圏晏入1*检謂鬲纽
••
•*
釦H毗」
eoEnnuacM
——一
检测引擎有两个以太网接口:
数据捕获口和查询管理口。
检测引擎的数据捕获口接在被保护网段上,它以隐身模式从网络线路上获取数据,然后
调用相应的处理模块进行分析处理,如果发现异常事件,则调用告警器,由其根据预定义的处理规则,决定调用相应的响应模块。
响应模块可以采取多种手段向系统管理员或被攻击主机报警,也可以主动切断发生攻击的连接。
查询管理口接在管理主机可以访问的网络上,它是管理控制台和引擎进行通信的接口。
检测引擎采用模块化设计结构,具有很好的可扩展性。
引擎包含的功能模块有包捕获模块、虚拟机模块、攻击特征库、过滤器模块、智能分析模块、记录器模块、报警模块、磁盘管理模块等。
检测引擎具有在线升级功能,升级包括攻击特征库的更新和软件程序的更新。
检测引擎的接入对被保护网络是透明的,它对被保护网络的任何流量和请求均不做反
应,不影响被保护网络的性能。
1.2.管理控制台
管理控制台是对检测引擎进行配置、管理和数据查询的软件程序,它可以安装在内网的
管理员主机(Windows2000/NT操作系统)上。
此外,为了加强对引擎进行访问的用户的管理,RIDS-100系统设计了一套完善的用户
管理机制,每个管理用户配有一把电子钥匙,内装有该用户的密钥和加密算法。
用户在对系
统进行管理时必须插入自己的钥匙并输入正确的口令。
部件名称
产品形态
安装方式
在系统中的作用
入侵检测引擎
硬件
即插即用
监听被保护网络,检测攻击,实时报警,存储检测到的信息。
管理控制台
软件
安装在管理员主机
(Windows2000/NT)
对引擎进行管理、配置,查询数据。
电子钥匙
硬件
即插即用
实现用户一次性口令认证。
2.主要功能
RIDS-100主要包含两大功能:
网络监控和统计、入侵检测和报警。
2.1.网络监控和统计
2.1.1.实时监控
1)内外网连接情况
RIDS-100入侵检测系统可以将内外网之间的连接情况实时地捕获下来,并以动态连线图的方式展现出来,管理员从图上可以直观地了解当前内外网之间的连
-lalxi
接和访问情况。
醫网络监控与入愎检测系统口92’坊8•:
L27]
交件查看刚窑买时监控入楼检测斷筒管理慕统审计和维护帮助
2)网络流量的实时统计
RIDS-100入侵检测系统可以捕获内外网之间传输的所有数据包,实时分析出网络流速,并按不同的应用协议统计网速,最终以图形的方式直观地展示在指定的时间段内。
各应用协议的流速和总的流速的变化曲线,为网络管理和故障诊断提供了强有力的工具。
2.12网络统计
RIDS-100入侵检测系统提供强大的网络统计功能,它可以从传输层、应用层、主机三个不同层次详细地统计和记录内外网的连接和流量情况,并将它们保存在引擎的数据库中,
供管理员查询和分析。
提供HTTP,Telent,FTP,Mail应用协议的统计分析;
3)流量统计提供每小时内外网之间总的流量统计、内部主机访问外部站点情况
以及流量月报表三种功能。
网络统计的层次
统计的内容
传输层
TCP协议
UDP协议
ICMP协议
应用层
HTTP协议
Telent协议
FTP协议
Mail协议
内部主机
内外主机连接统计
主机流量统计(包括月报表)
总的流量统计
2.2.入侵检测和报警
虽然网络攻击方法层出不穷,但有很多方法在原理上很相近,我们通过对这些攻击方法进行深入的分析,对其进行了合理的归类,并按类编制了过滤器,每个过滤器可以检测一大批类似的攻击,从而极大地提高了过滤器的检测效率。
RIDS-100将目前已知的1300多种网络入侵事件划分成了5大类:
拒绝服务攻击,非授
权访问尝试,预攻击探测,可疑活动和其它。
每一大类又分为若干子类,如下表。
攻击大类
攻击子类
攻击描述及示例
拒绝服务
攻击
与ICMP有关的攻击
利用ICMP包的DoS攻击,如pingflood,pingofdeath攻击等
WinIGMP攻击
利用IGMP协议的攻击,如IGMP,Asking攻击等
Land攻击
Land攻击,如land等
邮件炸弹
大量发送电子邮件的攻击,如aenima20,divint3
攻击等
SYNflooding
SYN洪水式攻击,如synflooder,melnuke等
UDPflooding
利用UDP包的洪水式攻击,如mstream,trinoo等
Winnuke
各种OOB攻击,如Dosnuke,wnuke等
对NT的DoS攻击(及其它)
针对WindowsNT的攻击,女口针对Wins.exe,
TCPSVCS.exe的攻击等
对WEB服务的DoS攻击
针对IIS的拒绝服务攻击,如iiscrash,iishack
等
预攻击探
测
端口扫描
如各种基本的商品扫描方法
扫描一ICMP
利用ICMP包进行的扫描,如L3retrieverping以
及webtrends扫描器的扫描。
扫描探测一UDP
利用UDP包进行的扫描,女口namedIquery探测等
扫描探测一TCP
利用TCP包进行的扫描,女口christmas扫描,空扫描等
FTP口令猜测
FTP口令猜测,如ftpcrack
POP3口令猜测
POP3口令猜测,如emailcrack等
Windows系统登录口令猜
测
Windows登录口令猜测,如多次尝试登录windows
系统
可疑活动
NetBIOS
各种利用netbios的可疑活动,如SMBPC^取等
包含病毒的邮件(POP3
Part1)
取回携带病毒的邮件,如triplesix蠕虫,newapt
蠕虫等
包含病毒的邮件(POP3
Part2)
取回携带病毒的邮件,如freelink蠕虫,nail蠕
虫等
携带病毒的邮件(MAIL,
Part1)
发送携带病毒的邮件,如Resume蠕虫,Y2Kzelu
特洛伊木马等
携带病毒的邮件(MAIL,
Part2)
发送携带病毒的邮件,如prettppark木马,zipped
文件木马等
IP层上的未知协议
未知协议检测
利用WE冋艮务进行的可疑活动
利用http服务漏洞实现pingofdeath,如cxjnuke2,3等
未授权的
尝试访问
对coldfusion文件的非
授权存取
利用coldfusion的攻击,如利用检验邮件,发送
邮件等的攻击
对Frontpage文件的非授
权存取
利用Frontpage的攻击,如利用register.htm,
formresults.htm等的攻击
利用HTTP服务的弱点
利用IISUnicode漏洞的各种攻击,如unicode等
缓存溢出
各种缓存溢出攻击,如针对X86linux
imapd4,imapd5等的攻击
WE—CGI存取企图
利用webcgi程序的攻击,如php.cgi存取企图,
rwwwshell.pl存取企图等
WE—IIS存取企图
利用或针对IIS服务器的攻击,如
vtiinf,carbo.dll等
对Web服务的存取企图
其它的针对或利用web服务进行的攻击,如netscape服务器目录查看,Apachesource.asp文件的存取等
Backdoor
各种后门的检测,如netbus,backorifice等
其它
和Finger有关的活动
利用或针对finger服务的攻击,如fingerbomb,finger探测等
与Ftp有关的可疑活动
利用ftp服务的漏洞进行的攻击,如ftpwhoot口
令,ftpcwdhoot等
恶意邮件Antijunk1.0
恶意邮件攻击,如Antijunk等
RPC协议解码
利用rpc服务进行的攻击,如portmaprstatd请
求,portmapmountd请求等
恶意邮件Outlook漏洞
恶意邮件攻击,如outmail等
每个子类中又包含了许多具体的攻击方法,例如,缓存溢出子类中就包括了70多种缓
存溢出攻击方法。
采用这种大类一一>子类一一>具体攻击方法的分类,既提高了攻击检测
的效率,也简化了用户的操作管理。
RIDS-100的检测引擎是带状态的,它通过对IP分片进行自动重组,并在引擎内部维护
每个TCP会话的状态,可以有效地检测出利用IP分片所进行的攻击,并能够对TCP连接
的前后数据包作关联性分析,从而极大地提高了入侵检测的准确率。
同时,它还对标准协议
中的非正常流量进行分析,从而能够识别出利用这些协议漏洞进行的新的攻击。
单个IP包'
检测引擎中的虚拟机
中-■KIP层分析
IP分片重组
I
TCP会话维护°传输层分析
应用层k应用层分析
3个级别:
轻度危险,中
RIDS-100根据危害程度的不同,将检测到的入侵信息划分成
度危险,高度危险。
危险级别
分类原则
轻度危险
指行为本身对网络主机和资源造成的威胁较小,但它们通常是更严重攻击的前奏,应给予关注。
如端口扫描,口令猜测等。
中度危险
指行为本身对网络主机和资源造成了一定的威胁,但其破坏性不是很严重。
如监屏炸弹,winnuke攻击等。
高度危险
指行为具有高度的危害性,如黑客已获得了某台主机的管理员权限。
如木马,
缓存溢出攻击等。
用户可以根据自己的需要,设定需要实时响应和报警的方式。
RIDS-100入侵检测系统
提供了如下的报警和响应方式:
通知管理主机;
通知被攻击的主机;
发送e-mail(当与网站配合时,可以给手机发短信息);
主动切断发生攻击的连接。
当与防火墙配合使用时,还可以自动通知防火墙,暂时关闭发生攻击的连接。
3.主要技术特点
RIDS-100入侵检测系统的目标是:
全面,准确,高效,稳定,安全,快速。
全面是指
能检测已知的各种攻击方法,并能对未知的攻击行为具有一定的判断能力;准确是指检测的
结果准确,误报率低;高效是指检测引擎的运行效率高,由于现在的网络速度越来越快,只有高效的引擎才能在检测时不丢包;稳定是指系统运行稳定可靠;安全是指入侵检测系统自
身的安全,由于引擎中保存了大量检测到的敏感信息,因此对其自身的保护是十分重要的;快速是指对新的漏洞和新的攻击方法反应快,系统升级简便。
RIDS-100入侵检测系统采用软硬件一体化设计,主要技术特点有:
1)将基于特征的检测法和基于行为的统计分析法有机地结合,能实时检测5大类1300
多种已知攻击,基本涵盖了现有的各种攻击方法,并通过总结网络攻击的规律,采
用行为判断方法,建立了智能化分析模块,使其具有一定的对未知攻击和可疑活动的识别能力。
2)实现了带状态的检测方法,对网络攻击识别准确,效率高。
由于攻击者可以利用
IP分片来进行攻击,或将攻击数据分散到TCP连接的多个数据包中,如果只是孤
立地检测每个数据包,就可能检测不出这些复杂的攻击。
RIDS-100采用IP分片重
组和TCP会话状态维护技术,不但可以检测利用IP分片的攻击,还可以真实、完
整地监测整个TCP会话过程,对TCP会话的各数据包进行关联性分析,从而确保了检测的准确性。
3)实现了对协议的分析检测,提高了系统对未知攻击的分析能力。
网络攻击之所以猖
獗,与网络协议中的各种安全漏洞密切相关,通过对标准协议中的非正常流量进行
分析,可以有效识别利用这些协议中的安全漏洞所作的攻击。
RIDS-100实现了对
HTTP、FTP、telnet、SMTP等高层协议的分析检测。
4)配置管理简便灵活。
系统允许管理员根据自己的需求,定制检测的范围和内容以及报警的方式。
5)采用模块化设计结构,易于升级和维护。
入侵检测引擎采用模块化的设计结构,各功能模块担负着一定的作用。
这种模块化设计
易于引擎进行升级。
例如:
当有新的攻击出现时,只需对攻击特征库进行更新;对新的协议检测,只需增加相应的新的功能模块即可。
6)分布式检测、集中式管理。
用户可以根据自己的需要,在需要保护的网络中安放多台入侵检测引擎,用一个控制台
从远程进行集中式管理,利于全网安全策略的统一。
7)具有强大的自身保护能力。
入侵检测系统作为安全产品,经常会成为黑客攻击的重点目标,因此其自身的安全是十
分重要的,RIDS-100入侵检测系统采用了多种自我保护手段:
i完善的用户访问控制机制和管理信息的加密传输。
系统建立了完善的用户认证机制,为管理员配备了专用的电子钥匙,只有经过密码强认证的用户才有权登录系统;控制台和入侵检测引擎之间的信息采用加密传输,防止敏感信息的泄露。
ii详尽的系统审记日志。
该系统提供了对自身的详细审计功能。
iii对外的隐身性。
该系统将管理口与监听口分离,监听口不带IP地址,当把管
理口接在内网时,攻击者无法从外网探测到入侵检测系统的存在。
iv完善的磁盘空间管理。
系统的磁盘空间是有限的,必须有一定的机制,保证系统始终有足够的空间维持正常运行。
RIDS-100入侵检测系统设计了完善、
灵活的磁盘空间管理机制,可以用时间和空间双重因素控制磁盘空间的配额。
管理控制台
具有对外网黑客的隐身件
完薈的磴盘窣间倉理
4.典型应用方案
4.1.监听、检测发生在内网之间的连接和攻击
图4.1监听、检测内网中发生的所有连接和攻击时引擎的安装方式
42监听、检测外网对内网的攻击
非安全区
防火墙
gi
域名服务器WWW服务誥
igfl!
□fl
FTP服务器耶件服等器
监軒口
洽理11
A安全区
图4.2用于监听、检测外网对内网所做的攻击时引擎的安装方式
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵 检测 系统 技术 白皮书 docx