《chap4-06-入侵检测技术-v32》由会员分享,可在线阅读,更多相关《chap4-06-入侵检测技术-v32(8页珍藏版)》请在金锄头文库上搜索。
1、 本文由蔡泽恩贡献pdf 文档可能在 WAP 端浏览体验不佳。建议您优先选择 TXT,或下载源文件到本机查看。入侵检测技术罗森林信息安全与对抗技术实验室内容入侵检测技术的概念 入侵检测系统的功能 入侵检测技术的分类 入侵检测技术的原理,结构和流程 入侵检测技术的未来发展 基于 SNORT 的入侵检测系统基本概念入侵检测技术是为保证计算机系统的安全而设计与配置的一种能 够及时发现并报告系统中未授权或异常现象的技术,是一种用于 检测计算机网络中违反安全策略行为的技术. 违反安全策略的行为有:入侵非法用户的违规行为;滥用 用户的违规行为. 入侵检测(Intrusion Detection)就是对计算
2、机网络和计算机系统的 关键结点的信息进行收集分析,检测其中是否有违反安全策略的 事件发生或攻击迹象,并通知系统安全管理员. 一般把用于入侵检测的软件,硬件合称为入侵检测系统.为什么会出现 IDS客观因素: 入侵者总可以找到防火墙的弱点和漏洞 防火墙一般不能阻止来自内部的袭击 由于性能的限制,防火墙通常不能提供实时的监控 防火墙对于病毒的网络内部传播也是无能为力的 漏洞是普遍存在的主观因素入侵和攻击不断增多 网络规模不断扩大 网络用户不断增加 黑客水平不断提高IDS 的发展史1980 年 4 月,James Anderson 为美国空军做了一份题为 Computer Security Threa
3、t Monitoring and Surveillance(计算机安全威胁监控与监视)的技术 报告,第一次提出了入侵检测. 1986 年,为检测用户对数据库异常访问,在 IBM 主机 上用 Cobol 开发的Discovery 系统成为最早的基于主机 的 IDS 雏形之一.IDS 的发展史1987 年,Dorothy E.Dennying 提出了异常入侵检测系 统的抽象模型,首次将入侵检测的概念作为一种计算 机系统安全防御问题的措施提出. 1988 年, Morris Internet 蠕虫事件使得 Internet 约 5 天 无法正常使用,该事件导致了许多 IDS 系统的开发研制. Ter
4、esa Lunt 等人进一步改进了 Dennying 提出的入侵检 测模型,并创建了 IDES(Intrusion Detection Expert System),它提出了与系统平台无关的实时检测思想.IDS 的发展史1990 年, Heberlein 等人提出基于网络的入侵检测 NSM(Network Security Monitor),NSM 可以通过在局 域网上主动地监视网络信息流量来追踪可疑的行为. 1991 年,分布式入侵检测系统(DIDS)的研究,将基 于主机和基于网络的检测方法集成到一起.DIDS 是分 布式入侵检测系统历史上的一个里程碑式的产品,它 的检测模型采用了分层结构,
5、包括数据,事件,主体, 上下文,威胁,安全状态等 6 层.IDS 的发展史1994 年,Mark Crosbie 和 Gene Spafford 建议使用自治 代理(Autonomous Agents)以便提高 IDS 的可伸缩性, 可维护性,效率和容错性. 1995 年,IDES 后续版本NIDES(Next-Generation Intrusion Detection System)实现了可以检测多个主机 上的入侵. 1996 年, GRIDS(Graph-based Intrusion Detection System)设计和实现解决了入侵检测系统伸缩性不足的 问题,使得对大规模自动或协
6、同攻击的检测更为便利. Forrest 等人将免疫原理用到分布式入侵检测领域IDS 的发展史1997 年,Mark crosbie 和 Gene Spafford 将遗传算法运用到入侵检 测中. 1998 年,Ross Anderson 和 Abida Khattak 将信息检索技术引进到 了入侵检测系统. 中国的 IDS 也得到了长足的发展.据 IDC 的报告,2000 年中国安全 市场中,IDS 与评估软件占了 19%的份额.IDC 在 2001 年 4 月的调 查显示,用户接下来对网络安全产品的需求中,对 IDS 的需求占 到了 18.5%.从厂商方面来说,从 1999 年前后,国外一些
7、软件商 开始将其 IDS 引入到国内,如安氏,CA,NAI,赛门铁克等.国 内如冠群金辰,金诺网安等也占据着该市场的较大份额.IDS 的功能与作用防火墙明显的不足和弱点 防火墙不能防范如 TCP,IP 等本身存在的协议漏洞 无法解决安全后门问题; 不能阻止网络内部攻击,而调查发现,80%以上的 攻击都来自内部,对于企业内部心怀不满的员工来 说,防火墙形同虚设; 不能提供实时入侵检测能力,而这一点,对于现在 层出不穷的攻击技术来说是至关重要的; 对于病毒等束手无策.IDS 的功能与作用识别黑客常用入侵与攻击手段.入侵检测系统通过分析各种 攻击特征,可以全面快速地识别探测攻击,拒绝服务攻击, 缓冲
8、区溢出攻击,电子邮件攻击,浏览器攻击等各种常用攻 击手段,并做相应的防范和向管理员发出警告 监控网络异常通信.IDS 系统会对网络中不正常的通信连接 做出反应,保证网络通信的合法性;任何不符合网络安全策 略的网络数据都会被IDS 侦测到并警告.IDS 的功能与作用鉴别对系统漏洞及后门的利用. 完善网络安全管理.IDS 通过对攻击或入侵的 检测及反应,可以有效地发现和防止大部分的 网络入侵或攻击行为,给网络安全管理提供了 一个集中,方便,有效的工具.使用 IDS 系统 的监测,统计分析,报表功能,可以进一步完 善网管.IDS 的功能与作用IDS 只能位于第二安全防线 IDS 仅仅是一种实时监控报
9、警工具,虽能够在检测到非法访 问时自动报警,但其本身无法防范攻击行为的发生; 不能将 IDS 与如防病毒或防火墙产品混淆在一起. IDS 一般无法实现精确的攻击检测,可能会出现误报现象. 目前 IDS 面临的最主要的挑战之一是检测速度太慢.大多数 IDS 系统在不牺牲检测速度的前提下,会无法处理百兆位网 络满负荷时的数据量,而千兆位更是难以企及的目标.技术分类根据入侵检测的时序 实时入侵检测.实时入侵检测在网络连接过程中进行,系统 根据用户的历史行为模型,存储在计算机中的专家知识以及 神经网络模型对用户当前的操作进行判断,一旦发现入侵迹 象立即断开入侵者与主机的连接,并收集证据和实施数据恢 复
10、,这个检测过程是不断循环进行的. 事后入侵检测.事后入侵检测需要由网络管理人员进行,他 们具有网络安全的专业知识,根据计算机系统对用户操作所 做的历史审计记录判断用户是否具有入侵行为,如果有就断 开连接,并记录入侵证据和进行数据恢复.事后入侵检测由 管理员定期或不定期进行.技术分类从入侵检测系统所使用的技术的角度 基于特征的检测.特征检测假设入侵者活动可以用一种模式 来表示,系统的目标是检测主体活动是否符合这些模式.它 可以将已有的入侵方法检查出来,但对新的入侵方法无能为 力.其难点在于如何设计模式既能够表达入侵现象又不会 将正常的活动包含进来. 基于异常的检测.异常检测假设入侵者活动异常于正
11、常主体 的活动.根据这一理念建立主体正常活动的模板,将当前 主体的活动状况与模板相比较,当违反其统计规律时,认 为该活动可能是入侵行为.异常检测的难题在于如何建立 模板以及如何设计统计算法,从而不把正常的操作作为入 侵或忽略真正的入侵行为.技术分类从入侵检测的范围来讲 基于网络的入侵检测系统.网络入侵检测系统能够检测那些 来自网络的攻击,它能够检测到超越授权的非法访问,而不 需要改变其它设备的配置,也不需要在其它主机中安装额外 的软件,因此不会影响业务系统的性能. 弱点:(1)网络入侵检测系统只检查它直接连接到网段的通 信,不能检测在不同网段的网络包,存在监测范围的局限. 而安装多台设备显然增
12、加了成本.(2)采用特征检测的方法 可以检测出普通的一些攻击,很难检测复杂的需要大量时间 和分析的攻击.(3)大数据流量网络入侵检测上存在一定的 困难.(4)加密通信检测上存在困难,而加密通信将会越来 越多.技术分类 基于主机的入侵检测系统.通常安装在被重点检测的主机 上,主要是对该主机的网络实时连接以及系统审计日志进行 智能分析和判断,如果其中主体活动十分可疑,入侵检测系 统就会采取相应措施. 弱点:(1)安装在保护的设备上会降低系统的效率,也会带 来一些额外的安全问题.(2)系统依赖于服务器固有的日志 与监视能力,如果服务器没有配置日志功能,则必需重新配 置,这将会给运行中的系统带来不可预
13、见的性能影响.(3) 全面布署基于主机的入侵检测系统代价较大,则未安装检测 系统的设备将成为保护的盲点,入侵者可利用这些机器达到 攻击目标.(4)对网络入侵行为无法检测.技术分类从使用的检测方法 基于特征的检测.特征检测对已知的攻击或入侵的 方式作出确定性的描述,形成相应的事件模式.当 被审计的事件与已知的入侵事件模式相匹配时,即 报警.原理上与专家系统相仿.其检测方法上与计 算机病毒的检测方式类似.目前基于对包特征描述 的模式匹配应用较为广泛,该方法预报检测的准确 率较高,但对于无经验知识的入侵与攻击行为无能 为力.技术分类从使用的检测方法 基于统计的检测.统计模型常用异常检测, 在统计模型
14、中常用的测量参数包括:审计事 件的数量,间隔时间,资源消耗情况等.操 作模型,计算参数的方差,马尔柯夫过程模 型,时间序列分析.技术分类从使用的检测方法 基于专家系统的检测.专家系统的建立依赖于知识 库的完备性,知识库的完备性又取决于审计记录的 完备性与实时性.入侵的特征抽取与表达,是基于 专家系统的入侵检测的关键.在系统实现中,就是 将有关入侵的知识转化为 if-then 结构(也可以是复 合结构),条件部分为入侵特征,then 部分是系统 防范措施.运用专家系统防范有特征入侵行为的有 效性完全取决于专家系统知识库的完备性.入侵检测技术的原理物理链路网络流量 网络流量入侵检测数据入侵检测系统
15、的结构传感器 传感器 传感器 信 息 处 理 分 析 管 理 与 控 制数据库工作流程信息收集,入侵检测的第一步是信息收集,内 容包括网络流量的内容,用户连接活动的状态 和行为. 数据分析,对上述收集到的信息,一般通过三 种技术手段进行分析:模式匹配,统计分析和 完整性分析.其中前两种方法用于实时的入侵 检测,而完整性分析则用于事后分析. 结果处理,实时记录,报警或有限度反击.系统中 IDS 的位置系统中 IDS 的位置部署 1: 放在防火墙和外部网络之间 优点:可充分检测到针对网络和系统的攻击 缺点:无法检测防火墙内部用户之间的事件 ; 容易成为黑客入侵的对象; 部署 2 放在防火墙与路由器
16、之间 优点:可发现防火墙配置是否合理;可检测内部事件; 部署 3 放于主要的网络中枢 部署 4 部署于一些安全级别需求高的子网IDS 面临的主要问题较高的误报和漏报率 不断增大的网络流量 基于模式匹配的工作方式无法防御未知的攻击 基于网络的 IDS 基本上无法防止本地缓冲区溢出的攻击 对 DoS 的检测能力问题技术发展方向入侵技术的发展与演化 大范围的分布式入侵检测.针对分布式网络攻击的检测方 法,使用分布式的方法来检测分布式的攻击,其中的关键技 术为检测信息的协同处理与入侵攻击的全局信息获取 智能化入侵检测.即使用智能化的方法与手段来进行入侵检 测,神经网络,遗传算法,模糊技术,免疫原理等方法可能 用于入侵特征的辨识与泛化.智能代理技术可能广泛应用于 入侵检测技术. 系统层的安全保障体系.将其它安全技术融入到入侵检测系 统中,或者入侵检测系统与其它网络安全设备
