《入侵检测技术ppt课件讲课教案》由会员分享,可在线阅读,更多相关《入侵检测技术ppt课件讲课教案(130页珍藏版)》请在金锄头文库上搜索。
1、入侵检测技术,惠 东,概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 其它 展望, 概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 其它 展望,Intrusion,Intrusion : Attempting to break into or misuse your system. Intruders may be from outside the network or legitimate users of the network. Intrusion can be a physical, system or remote intrusion.,入侵检测的定义,对
2、系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性 进行入侵检测的软件与硬件的组合便是入侵检测系统 IDS : Intrusion Detection System,入侵检测的特点,一个完善的入侵检测系统的特点: 经济性 时效性 安全性 可扩展性,网络安全工具的特点,1980年 Anderson提出:入侵检测概念,分类方法 1987年 Denning提出了一种通用的入侵检测模型 独立性 :系统、环境、脆弱性、入侵种类 系统框架:异常检测器,专家系统 90年初:CMDS、NetProwler、NetRanger ISS RealSecure,入
3、侵检测起源,入侵检测的起源(1),审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程 审计的目标: 确定和保持系统活动中每个人的责任 重建事件 评估损失 监测系统的问题区 提供有效的灾难恢复 阻止系统的不正当使用,入侵检测的起源(2),计算机安全和审计 美国国防部在70年代支持“可信信息系统”的研究,最终审计机制纳入可信计算机系统评估准则(TCSEC)C2级以上系统的要求的一部分 “褐皮书”理解可信系统中的审计指南,入侵检测的起源(3),1980年4月,James P. Anderson :Computer Security Threat Monitoring and Surveil
4、lance(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念 他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种 还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作,入侵检测的起源(4),从1984年到1986年,乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系统),入侵检测的起源(5),1990,加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security Mo
5、nitor) 该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机 入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS,入侵检测的起源(6),IDS存在与发展的必然性,一、网络攻击的破坏性、损失的严重性 二、日益增长的网络安全威胁 三、单纯的防火墙无法防范复杂多变的攻击,为什么需要IDS,关于防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 入侵很容易 入侵教程随处可见 各种工具唾手可得,IDS基本结构,入侵检测是监测计算机网络和系统,以发现违反安全策略事件的过程 简单地说
6、,入侵检测系统包括三个功能部件: (1)信息收集 (2)信息分析 (3)结果处理,信息收集,入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。 需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息, 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点,信息收集,入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息,信息收集的来源,系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为,系统或网络的日志文件,
7、黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件 日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容 显然,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等,系统目录和文件的异常变化,网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产
8、生的指示和信号 入侵者经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件,信息分析,模式匹配 统计分析 完整性分析,往往用于事后分析,模式匹配,模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为 一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化),统计分析,统计分析方法首先给系统对象(如用户、文件、目录和设备等)
9、创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等) 测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生,完整性分析,完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被安装木马的应用程序方面特别有效,入侵检测的分类(1),按照分析方法(检测方法) 异常检测模型(Anomaly Detection ):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型(Misuse Detection):收集非正常操作的行为特征,建立
10、相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,异常检测,前提:入侵是异常活动的子集 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围 过程 监控 量化 比较 判定 修正 指标:漏报(false positive),错报(false negative),异常检测,异常检测,如果系统错误地将异常活动定义为入侵,称为误报(false positive) ;如果系统未能检测出真正的入侵行为则称为漏报(false negative)。 特点:异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义
11、,因此能有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源。,Anomaly Detection,activity measures,probable intrusion,Relatively high false positive rate - anomalies can just be new normal activities.,误用检测,前提:所有的入侵行为都有可被检测到的特征 攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵 过程 监控 特征提取 匹配 判定 指标 错报低 漏报高
12、,误用检测,误用检测模型,如果入侵特征与正常的用户行能匹配,则系统会发生误报;如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报 特点:采用特征匹配,滥用模式能明显降低错报率,但漏报率随之增加。攻击特征的细微变化,会使得滥用检测无能为力,Misuse Detection,Cant detect new attacks,Example: if (src_ip = dst_ip) then “land attack”,入侵检测的分类(2),按照数据来源: 基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机 基于网络:系统获取的数据是网络传输的数据包,保护的是网络
13、的运行 混合型,监视与分析主机的审计记录 可以不运行在监控主机上 能否及时采集到审计记录? 如何保护作为攻击目标主机审计子系统?,基于主机,在共享网段上对通信数据进行侦听采集数据 主机资源消耗少 提供对网络通用的保护 如何适应高速网络环境? 非共享网络上如何采集数据?,基于网络,两类IDS监测软件,网络IDS 侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少,主机IDS 视野集中 易于用户自定义 保护更加周密 对网络流量不敏感,入侵检测的分类(3),按系统各模块的运行方式 集中式:系统的各个模块包括数据的收集分析集中在一台主机上运行 分布式:系统的各个模块分布在不同的计算机和设备上,入侵
14、检测的分类(4),根据时效性 脱机分析:行为发生后,对产生的数据进行分析 联机分析:在数据产生的同时或者发生改变时进行分析,常用术语,当一个入侵正在发生或者试图发生时,IDS系统将发布一个alert信息通知系统管理员 如果控制台与IDS系统同在一台机器,alert信息将显示在监视器上,也可能伴随着声音提示 如果是远程控制台,那么alert将通过IDS系统内置方法(通常是加密的)、SNMP(简单网络管理协议,通常不加密)、email、SMS(短信息)或者以上几种方法的混合方式传递给管理员,Alert(警报),Anomaly(异常),当有某个事件与一个已知攻击的信号相匹配时,多数IDS都会告警 一
15、个基于anomaly(异常)的IDS会构造一个当时活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时,IDS就会告警 有些IDS厂商将此方法看做启发式功能,但一个启发式的IDS应该在其推理判断方面具有更多的智能,首先,可以通过重新配置路由器和防火墙,拒绝那些来自同一地址的信息流;其次,通过在网络上发送reset包切断连接 但是这两种方式都有问题,攻击者可以反过来利用重新配置的设备,其方法是:通过伪装成一个友方的地址来发动攻击,然后IDS就会配置路由器和防火墙来拒绝这些地址,这样实际上就是对“自己人”拒绝服务了 发送reset包的方法要求有一个活动的网络接口,这样它将置于攻击之下,一
16、个补救的办法是:使活动网络接口位于防火墙内,或者使用专门的发包程序,从而避开标准IP栈需求,Automated Response,IDS的核心是攻击特征,它使IDS在事件发生时触发 特征信息过短会经常触发IDS,导致误报或错报,过长则会减慢IDS的工作速度 有人将IDS所支持的特征数视为IDS好坏的标准,但是有的产商用一个特征涵盖许多攻击,而有些产商则会将这些特征单独列出,这就会给人一种印象,好像它包含了更多的特征,是更好的IDS,Signatures(特征),Promiscuous(混杂模式),默认状态下,IDS网络接口只能看到进出主机的信息,也就是所谓的non-promiscuous(非混杂模式) 如果网络接口是混杂模式,就可以看到网段中所有的网络通信量,不管其来源或目的地 这对于网络IDS是必要的,但同时可能被信息包嗅探器所利用来监控网络通信量 交换型HUB可以解决这个问题,在能看到全面通信量的地方,会都许多
