《基于英特网安全的入侵检测》由会员分享,可在线阅读,更多相关《基于英特网安全的入侵检测(9页珍藏版)》请在金锄头文库上搜索。
1、基于英特网安全的入侵检测入侵检测系统通过检测恶意攻击行为来监控计算机网络,由于网络是个复杂的系统,一个有效的入侵检测必须能够处理不同内容、不同速率、不同抽象和可行性级别的事件序列。因此,必须将入侵检测传感器放置在多种受保护的网络中,当网络安全状况发生变化的时候,能够及时更改设置,将处理分析结果提交给管理员,使他能够掌握一个安全级别很高的网络全景图。本论文阐述了Hi-DRA,一个集监控、分析、应答功能为一身的适合广域网的系统。该系统提供了一个在异构和高速环境中入侵检测感应器变化模型的整体框架。另外,它的一个基本功能就是支持感应器的动态设置以及收集和分析结果。整体上,它能够保证广域网监控的良好运行
2、,与此同时,它也能将不同感应器的分析结果综合到一个高质量的安全入侵分析。I.简介近些年,互联网的规模越来越大、速度越来越快并且动态变化,尤为重要的是,英特网这个世界级的TCP/IP网络,已经成为了政府、企业、金融机构和每天成千上万使用者至关重要的基础设施。国家权威机构管理(至少规范)这些大规模基础设施提供的全国范围的服务,例如美国国家电网。但是,企业、组织和政府管理和建设互联网及其子系统,它们目的不同,有时候甚至相悖。因此,网络的关键部分必须能够在一个不可信和复杂的环境中运转。此模型表明网络保护基础设施必须依靠本地监控和全局范围的协调与控制,本地监控通过事前安全保护措施、大范围的监控以及实时响
3、应来解决保护域的安全问题,但是只有本地监控是远远不够的。蠕虫和分布式拒绝服务(DoS)攻击表明未来对网络基础设施的威胁将会牵涉到大量受保护区域内无意的主机。因此,有必要建立全国范围内的安全网络基础设施,能够收集来自不同子系统的安全信息,建立全局安全视图,并且能够接受集中或者分布式控制中心的命令和控制。当基础设施进行被当做整体攻击的时候,分析和重新调整单个网络的组件的安全状态十分重要,例如网络恐怖主义。在这些例子中,整合来自不网络不同部分的信息,需要协调、对抗和反击。不幸的是,现有的网络监控方法受着各方面的制约:现有的网络监控和入侵检测技术无法与日益增长的网速相适应,而且只重视端到端的攻击当发现
4、新的威胁时,监控工具无法动态实时调整,而且无法更改安全级别。网络监控也无法顾及受保护的网络拓扑结构和部署等方面的服务。还没有一个庞大的协调和控制设施能够在网络中将监控报告与控制的类型和级别联系起来。在位于圣巴巴拉市的加利福尼亚大学,我们开发了具有网络监控、分析和响应功能适应高速广域网的系统,克服了这些局限。这个叫做Hi-DRA(高速广域网监测、响应和分析)的系统,工作在高速广域网环境中,网络监控、分析和响应功能得到改进。图Fig. 1.展示的是Hi-DRA的结构。图中画出了三个安装有Hi-DRA监控组件的网络,它们由Hi-DRA的广域通信和控制设施相连接。这三个网络分别叫做、univ.edu、
5、devel.gov,网络监控工具在devel.gov网络中描述的很详细,devel.gov通过高速交换机(图片中的粗黑线)连接到了英特网(图片中的椭圆)上。交换机把传输分成了几个子部分,并分配专用连接,位于每个连接上的网络传感器进行网络分析。第二部分描述了划分网络流量以及分配网络分析任务的过程,除了配置有监控网络上行流量的传感器,devel.gov网络还配置了基于主机以及基于网络的传感器。这些传感器由网络监控设备配置和控制,第三部分详细阐述了网络监控设备的细节特点。传感器的配置和划分网络流量的算法都与被保护网络相适应,这由网络模型组件保证,它存储了网络的关键安全信息。1图中描述的是此模型的结构
6、和发现验证工具。此模型的一个实例是由一系列网络工具组成,它们收集到的信息是配置系统的基础。另外,同样的工具也可以用来校验实际网络与存储在此模型中的信息,安全管理员可以利用它来发现网络中错误的配置以及潜在的薄弱环节。最后,本地网络的监控器将通过Hi-DRA基于Siena的广域通信和控制设备相互协调,每个网络通过叫做aggregator(图片中用六边形表示)的组件连接到基础设备上。信息由一系列内部相互连接的协调服务器管理,这些服务器部署在互联网(在椭圆形互联网内部的圆形)的各个部分,它们利用Siena配备上易伸缩和适应性好的通信设备。它由全局指令或者控制器控制,接受网络发来的预警,执行高级别情况分
7、析和过程决策,利用基础通信设备向网络发送控制信息。由于篇幅有限,上面我们只能对Hi-DRA的一部分组件进行介绍,因此,没有详细阐述用于网络流量划分的技术、配置高效网络传感器方法和入侵检测发出预警的技术。论文的其它部分如下:第二部分是划分高速网络流量方法的概述,第三部分讨论了管理和配置网络和基于主机传感器的方法,我们称之为网站传感器法,第四部分是对相互关联的组件的概述以及讨论了在此过程中使用的工具。第五部分写了相关的网络。最后,第六部分是结论和对未来工作的描绘。II 监控高速连接传统的基于网络的入侵检测系统(NIDSs)通过分析侦听到的网络连接数据包工作,持续提高的网络速率以及吞吐量为上述系统带
8、来的新的挑战。目前这些系统完全依靠对高速以太网(100Mb/s)实时流量分析来工作,互联网技术在向前发展,吉比特以太网(1000 Mb/s)已经成为事实上的网络实施标准,针对这种网络,必须提出基于网络的入侵检测新方法,能够处理从未有过的快速增长的海量数据。网络速率的增长速度比处理器的速度还要快,因此集中控制的方法已经达到了极限,在需要考虑入侵检测分析的深度和状态方面,尤为突出。所以,传感器需要不断维护攻击的信息(例如多重攻击),或者需要在应用程序级别对数据包进行分析。这些工作需要特殊的资源,而且在一个结点执行会严重干扰从介质收数据包任务。为了能够执行深入和状态分析,需要将网络流量划分成更小的部
9、分,以便入侵检测传感器能够彻底分析它们。这个方法常被用于高效的研究机构,将负载均衡到更多结点。与标准的负载均衡不同,入侵检测划分网络流量必须保证检测到所有可能的危险。如果只用了一个随机的分法,传感器检测入侵时可能无法接收到足够的数据,因为表明一个入侵的数据可能被划分到了不同的部分。因此,当一个攻击不止一步,划分的算法必须保证能够表明攻击的所有数据包全部被传感器分析。A. 高速网络中的入侵检测流量划分方法当有一个可伸缩的解决方案时,高速网络中的入侵检测分析中的问题才能有效的解决。将网络监控的传输看成类似在数据链路层全双工流,它包含了太多实时数据以致无法由一个结点集中处理而且不得不被划分成更小能被
10、不同传感器反馈的流。每个传感器只负责所有可检测到的冲突的一部分,所以能够实时处理不断涌来的数据。另外,划分必须以能够保证所有的传感器由足够的信息,如果直接对一个单一节点进行攻击,传感器也能够精确检测出来。B. 要求总体目标是在高速网络环境中能够进行可描述的入侵检测分析,该方法需要满足下述要求:该系统必须有误用检测方法,代表网络攻击的签名必须和网络事件匹配。入侵检测必须包含一系列状态,每个代表检测签名的子集。每个传感器必须独立,与其它传感器没有相互联系。系统必须将已分析的事件流划分成可控大小的部分。系统必须保证流量划分能够检测到所有入侵,这也就是说,传感器、签名和划分好的流量必须能够动态配置以便
11、传感器能够检测到分配给它的签名。为了适应更大的吞吐量,组件能够添加到系统里,更重要的是,状态必须可变化,随着吞吐量的增大,管理员能够根据需要添加组件。C系统架构上面列出的要求是设计我们基于网络的入侵检测系统的基本法则,系统包括一个网络源头接口,一个流量分散器,一系列的流量划分器,S0.Sm-1一个开关,一系列的网络流再分器,R0Rn-1和一些列的入侵检测传感器I0.Ip-1.在Fig. 2中详细描述了系统的架构.网络源头接口组件监视了在高速连接中的流量,它的工作是在时间内提取接收到的数据链路层的帧序列,.该帧序列功过流量分散器,它将帧划分成m个字帧fj,0jm.每个fj(可能为空)包含帧序列F
12、的一个子集,每个fj帧是Fj的一个子序列。流量分散器可以用任何算法划分F。假设分散算法简单的将m个子序列分割成一个循环,分配fi到fi mod (m) 因此每个Fj包含总流量的第m个序列。每个Fj被分配到了不同的流量部分Sj。流量划分器的任务是将收到的帧发送给传感器以便传感器能够检测到入侵。分散器并不来做这项工作,因为帧的路由选择可能会比较复杂,需要相当多的时间,分散器同时还要保持高的吞吐量,所以处理每帧的时间就非常有限。流量划分器与一个开关组件相连,此开关允许流量划分器将单个帧发送到一个或者多个信道Ci,被发送到某个信道的帧集合用FCi表示,每个信道Ci都与一个流再分配组件Ri和一部分入侵检
13、测传感器相互关联,用ICi表示。所有与某个单一信道想连接的传感器能够获取通过该信道的所有数据包。但是这个方法可能产生问题,如果两个帧通过不同的路径到达相同的信道,这两帧可能丢失原来的顺序,因此,与每个信道想关联的再分器必须保证出现在信道上的帧与原来网络上帧的顺序一致。也就是说,每个再分器Ri必须保证对于每个帧对fj和fkFCi(fj在fk之前)jk每个传感器组件Ij与q个不同的攻击相联系,Aj=Aj0,Ajq-1,每个攻击Ajk与一个相关的事件空间相联系Ejk。每个事件空间标明哪些帧可能具有攻击性。例如,在入侵检测系统的保护下,有个目标为georgia网站服务器的攻击,此攻击的事件空间就必须包
14、含georgia网站服务器所有的TCP连接。事件空间是子句的析取,也就是Ejk=Cjk0VCjk1VVCjkn,每个子句Cj是XRY的一个表达式,X由fi帧导出(例如帧头的一部分),R代表一个算术关系(比如等于、不等于、大于、小于),y可以使个常量、变量或者也是从此帧导出来的值。子句和事件空间可能由对攻击的描述中得到,例如,从像Bro 4, Sutekh 5, STATL 6, 或者Snort 7这样的写在入侵中的的签名。D 帧路由将帧路由到不同的信道,流量划分器需要使用过滤器,过滤器是以事件空间为基础的,在指定信道中,事件空间与所有可能的“活跃”攻击状态相互联系,并决定过滤器。更重要的是,活
15、跃的攻击状态集合是 Aj是代表攻击状态 的集合。k是信道Ci的编号。对于每个信道Ci的事件空间ECi是整个活跃攻击状态的析取,与整个活跃攻击状态的子句一致。流量划分器利用所有表达式的结果来选择具体路由到哪个信道,值得注意的是,多个攻击状态可能需要同一个帧,所以同一帧可能被路由到多个信道。上述流量划分器的配置算法是静态的,即在系统启动之前已经在线下计算好。静态方法有可能面临当网络流量增大的时候,大部分的帧可能被路由到单一的信道,这样就可能使连接在信道上的传感器超载。在吉比特的网络环境下,静态配置方法无法准确估计需要的传感器数量,实际网络流量大小和表示攻击的状态多少决定了传感器的负载。流量划分器的
16、输入输出的能力至少是其监控的连接的带宽。动态负载均衡能阻止过载情况的的发生,这需要实时为不同的信道分配状态。这样就需要在流量划分器上重新配置过滤器,并且实时更新与信道相关联的子句。除了需要重新为不同的信道分配状态,有可能还需要将一个状态分成多个或者反之。原来的状态包含有多个攻击,新的状态是原来的一个子集,但是可以被分配到不同的信道上,显然,所有重新分配的状态的集合与原来状态的集合相同。通过为基本事件的属性增加约束条件能够做到这一点,每个约束条件限制了重新分割的状态能代表检测到攻击数量的上限,约束条件必须以单个新状态至少能确定一个(初始状态的)属性值的方法来确定,每个状态只是代表所有攻击初始状态的子集,所以新状态的集合能够像初始状态一样确定某个攻击。对一个特殊的状态分割的简
