《《精编》入侵检测与安全审计系统》由会员分享,可在线阅读,更多相关《《精编》入侵检测与安全审计系统(45页珍藏版)》请在金锄头文库上搜索。
1、第六章入侵检测与安全审计系统 电子科技大学成都学院 2 24 05 2020 6 1入侵检测系统6 2安全审计系统 电子科技大学成都学院 3 24 05 2020 6 1入侵检测系统 6 1 1入侵检测系统的概念入侵 Intrusion 是指任何企图危及资源的完整性 机密性和可用性的活动 入侵检测顾名思义 是指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象 入侵检测系统 IntrusionDetectionSystem 简称IDS 入侵检测的软件与硬件的组合 电子科技大学成都学院 4 24 05 2020 模型最早的
2、入侵检测模型是由Denning给出的 该模型主要根据主机系统审计记录数据 生成有关系统的若干轮廓 并监测轮廓的变化差异发现系统的入侵行为 如下图 电子科技大学成都学院 5 24 05 2020 CIDF 通用入侵检测框架 标准 入侵检测系统的通用模型 解决不同IDS之间的互操作和共存问题 事件 IDS需要分析的数据 可以是网络中的数据包 也可以是从系统日志等其他途径得到的信息 事件产生器 从整个计算环境中获得事件 并向系统的其他部分提供此事件 事件分析器 分析得到的数据 并产生分析结果 响应单元 对分析结果作出反应的功能单元 它可以作出切断连接 改变文件属性等强烈反应 或是简单的报警 事件数据
3、库 存放各种中间和最终数据的地方的统称 既可以是复杂的数据库 也可以是简单的文本文件 电子科技大学成都学院 6 24 05 2020 作用是防火墙的合理补充 帮助系统对付网络攻击 扩展了系统管理员的安全管理能力 提高了信息安全基础结构的完整性 是安防系统的重要组成部分 以后台进程的形式运行 发现可疑情况 立即通知有关人员 被认为是防火墙之后的第二道安全闸门 如同大楼的监视系统 电子科技大学成都学院 7 24 05 2020 6 1 2入侵检测系统的特点不需要人工干预即可不间断的运行有容错能力不需要占用大量的系统资源能够发现异常的操作能够适应系统行为的长期变化判断正确灵活定制保持领先 电子科技大
4、学成都学院 8 24 05 2020 6 1 3入侵行为的误判正误判 将一个合法操作判断为异常行为 后果 导致用户不理会IDS的报警 使IDS形同虚设 负误判 将一个攻击动作判断为非攻击行为 并允许其通过检测 后果 背离了安全防护的宗旨 IDS系统成为例行公事 失控误判 攻击者修改了IDS系统的操作 使它总出现负误判的情况 后果 不易察觉 长此以往 IDS将不会报警 电子科技大学成都学院 9 24 05 2020 6 1 4入侵分析方法签名分析法统计分析法数据完整性分析法 电子科技大学成都学院 10 24 05 2020 签名分析法主要用来监测对系统的已知弱点进行攻击的行为 方法 从攻击模式中
5、归纳出它的签名 编写到IDS系统的代码里 签名分析实际上是一种模板匹配操作 一方是系统设置情况和用户操作动作一方是已知攻击模式的签名数据库 电子科技大学成都学院 11 24 05 2020 统计分析法以统计学为理论基础 以系统正常使用情况下观察到的动作模式为依据来判别某个动作是否偏离了正常轨道 数据完整性分析法以密码学为理论基础 可以查证文件或者对象是否被别人修改过 电子科技大学成都学院 12 24 05 2020 工作流程根据计算机审计记录文件产生代表用户会话行为的会话矢量 然后对这些会话矢量进行分析 计算出会话的异常值 当该值超过阈值便产生警告 一个简单的基于统计的异常检测模型 电子科技大
6、学成都学院 13 24 05 2020 步骤1 产生会话矢量 根据审计文件中的用户会话 如用户会话包括login和logout之间的所有行为 产生会话矢量 会话矢量X 表示描述单一会话用户行为的各种属性的数量 会话开始于login 终止于logout login和logout次数也作为会话矢量的一部分 可监视20多种属性 如 工作的时间 创建文件数 阅读文件数 打印页数和I O失败次数等 电子科技大学成都学院 14 24 05 2020 步骤2 产生伯努里矢量 伯努里矢量B 是单一2值矢量 表示属性的数目是否在正常用户的阈值范围之外 阈值矢量T 表示每个属性的范围 其中ti是形式的元组 代表第
7、i个属性的范围 这样阈值矢量实际上构成了一张测量表 算法假设ti服从高斯分布 即 正态分布 产生伯努里矢量的方法就是用属性i的数值xi与测量表中相应的阈值范围比较 当超出范围时 bi被置1 否则bi置0 产生伯努里矢量的函数可描述为 电子科技大学成都学院 15 24 05 2020 步骤3 产生加权入侵值 加权入侵矢量W 中每个wi与检测入侵类型的第i个属性的重要性相关 即 wi对应第i个属性超过阈值ti的情况在整个入侵判定中的重要程度 加权入侵值由下式给出 加权入侵值步骤4 若加权入侵值大于预设的阈值 则给出报警 电子科技大学成都学院 16 24 05 2020 模型应用实例利用该模型设计一
8、防止网站被黑客攻击的预警系统 考虑到一个黑客应该攻击他自己比较感兴趣的网站 因此可以在黑客最易发起攻击的时间段去统计各网页被访问的频率 当某一网页突然间被同一主机访问的频率剧增 那么可以判定该主机对某一网页发生了超乎寻常的兴趣 这时可以给管理员一个警报 以使其提高警惕 电子科技大学成都学院 17 24 05 2020 借助该模型 可以根据某一时间段的Web日志信息产生会话矢量 该矢量描述在特定时间段同一请求主机访问各网页的频率 xi说明第i个网页被访问的频率 接着根据阈值矢量产生伯努里矢量 此处的阈值矢量定为各网页被访问的正常频率范围 然后计算加权入侵值 加权矢量中的wi与网页需受保护程度相关
9、 即若wi wj 表明网页i比网页j更需要保护 最后若加权入侵值大于预设的阈值 则给出报警 提醒管理员 网页可能将会被破坏 电子科技大学成都学院 18 24 05 2020 该模型存在的缺陷和问题 如 大量审计日志的实时处理问题 尽管审计日志能提供大量信息 但它们可能遭受数据崩溃 修改和删除 并且在许多情况下 只有在发生入侵行为后才产生相应的审计记录 因此该模型在实时监控性能方面较差 检测属性的选择问题 即如何选择与入侵判定相关度高的 有限的一些检测属性 阈值矢量的设置存在缺陷 由于模型依赖于用户正常行为的规范性 因此用户行为变化越快 误警率也越高 预设入侵阈值的选择问题 即如何更加科学地设置
10、入侵阈值 以降低误报率 漏报率 电子科技大学成都学院 19 24 05 2020 6 1 5入侵检测系统的主要类型分类根据其采用的分析方法可分为异常检测误用检测根据系统的工作方式可分为离线检测在线检测根据系统所检测的对象可分为基于主机的基于网络的 电子科技大学成都学院 20 24 05 2020 异常检测需要建立目标系统及其用户的正常活动模型 然后基于这个模型对系统和用户的实际活动进行审计 当主体活动违反其统计规律时 则将其视为可疑行为 关键 异常阈值和特征的选择优点 可以发现新型的入侵行为 漏报少缺点 容易产生误报 电子科技大学成都学院 21 24 05 2020 误用检测假定所有入侵行为和
11、手段 及其变种 都能够表达为一种模式或特征 系统的目标就是检测主体活动是否符合这些模式 优点 可以有针对性地建立高效的入侵检测系统 其精确度较高 误报少 缺点 只能发现攻击库中已知的攻击 不能检测未知的入侵 也不能检测已知入侵的变种 因而会发生漏报 复杂性将随着攻击数量的增加而增加 电子科技大学成都学院 22 24 05 2020 离线检测在事后分析审计事件 从中检查入侵活动 是一种非实时工作的系统 在线检测实时联机的检测系统 包含对实时网络数据包分析 对实时主机审计分析 电子科技大学成都学院 23 24 05 2020 主要类型应用软件入侵检测概念 在应用级收集信息优点 控制性好缺点 需要支
12、持的应用软件数量多只能保护一个组件 电子科技大学成都学院 24 24 05 2020 基于主机的入侵检测概念在宿主系统审计日志文件中寻找攻击特征 然后给出统计分析报告 始于80年代早期 通常采用查看针对可疑行为的审计记录来执行 对新的记录条目与攻击特征进行比较 并检查不应该被改变的系统文件的校验和来分析系统是否被侵入或被攻击 若发现与攻击模式匹配 IDS系统通过向管理员报警和其他呼叫行为来响应 电子科技大学成都学院 25 24 05 2020 优点 监视所有系统行为有些攻击在网络的数据流中很难发现 或根本没有通过网络在本地进行 此时基于网络的IDS系统将无能为力适应交换和加密不要求额外的硬件缺
13、点 看不到网络活动的状况运行审计功能要占用额外系统资源主机监视感应器对不同的平台不能通用管理和实施比较复杂 电子科技大学成都学院 26 24 05 2020 基于网络的入侵检测概念在网络通信中寻找符合网络入侵模板的数据包 并立即做出相应反应 如发生电子邮件 记录日志 切断网络连接等 优点花费低检查所有的包头来识别恶意和可疑行为处于比较隐蔽的位置 基本上不对外提供服务 比较坚固 具有更好的实时性检测不成功的攻击和恶意企图基于网路的IDS不依赖于被保护主机的操作系统 电子科技大学成都学院 27 24 05 2020 缺点对加密通信无能为力对高速网络无能为力不能预测命令的执行后果 电子科技大学成都学
14、院 28 24 05 2020 集成入侵检测概念 综合前几种技术的入侵检测方法优点具有每一种检测技术的优点 并试图弥补各自的不足趋势分析稳定性好节约成本缺点在安防问题上不思进取把不同供应商的组件集成在一起较困难 电子科技大学成都学院 29 24 05 2020 6 1 6入侵检测系统的优点和不足优点能够使现有的安防体系更完善能够更好地掌握系统的情况能够追踪攻击者的攻击线路界面友好 便于建立安防体系能够抓住肇事者 电子科技大学成都学院 30 24 05 2020 不足不能够在没有用户参与的情况下对攻击行为展开调查不能够在没有用户参与的情况下阻止攻击行为的发生不能克服网络协议方面的缺陷不能克服设计
15、原理方面的缺陷响应不够快时 签名数据库更新不够快 电子科技大学成都学院 31 24 05 2020 6 1 7入侵检测体系结构集中式结构IDS发展初期 大都采用单一的体系结构 即所有的工作包括数据的采集 分析都由单一主机上的单一程序来完成 注意 一些所谓的分布式IDS只是在数据采集上实现了分布式 数据的分析 入侵的发现和识别还是由单一程序来完成 优点 数据的集中处理可以更加准确地分析可能的入侵行为 电子科技大学成都学院 32 24 05 2020 缺点 可扩展性差 在单一主机上处理所有的信息限制了受监视网络的规模 分布式的数据收集常会引起网络数据过载问题 难于重新配置和添加新功能 要使新的设置
16、和功能生效 IDS通常要重新启动 中央分析器是个单一失效点 数据的集中处理使检测主机成了网络安全的瓶颈 若它出现故障或受到攻击 则整个网络的安全将无从保障 电子科技大学成都学院 33 24 05 2020 分布式结构采用多个代理在网络各部分分别进行入侵检测 并且协同处理可能的入侵行为 优点 能够较好地实现数据的监听 可以检测内部和外部的入侵行为 缺点 不能完全解决集中式结构的缺点 因为当前的网络普遍是分层的结构 而纯分布式的入侵检测要求代理分布在同一个层次 若代理所处的层次太低 则无法检测针对网络上层的入侵 反之 则无法检测针对网络下层的入侵 同时 由于每个代理都没有针对网络数据的整体认识 所以无法准确地判断跨一定时间和空间的攻击 容易受到IP分段等针对IDS的攻击 电子科技大学成都学院 34 24 05 2020 分层结构在树形分层结构中 最底层的代理负责收集所有的基本信息 然后对这些信息进行简单的处理 并完成简单的判断和处理 特点 所处理的数据量大 速度快 效率高 但只能坚持某些简单的攻击 中间层代理起承上启下的作用 一方面可以接受并处理下层节点处理后的数据 一方面可以进行较高层次
