《信息安全与管理课件》由会员分享,可在线阅读,更多相关《信息安全与管理课件(46页珍藏版)》请在金锄头文库上搜索。
1、1,信息安全与管理,第十一章 入侵检测,2,1、入侵检测的概念,一、什么是入侵检测,入侵:任何企图破坏资源的完整性、保密性和可用性的行为集合。 入侵检测的内容:试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。 入侵检测(Intrusion Detection):对入侵行为的发觉,是一种试图通过观察行为、安全日志或审计数据来检测入侵的技术 入侵检测系统(IDS):入侵检测的软件与硬件的组合,是防火墙的合理补充,是防火墙之后的第二道安全闸门。,3,1、入侵检测的概念:模型,一、什么是入侵检测,Denning的通用入侵检测模型。模型缺点是它没有包含已知系统漏洞或
2、攻击方法的知识,4,1、入侵检测的概念:模型,一、什么是入侵检测,由六部分构成: 主体、对象、审计记录、活动简档、异常记录、活动规则。 Denning模型基于的假设:由于袭击者使用系统的模式不同于正常用户的使用模式,通过监控系统的跟踪记录,可以识别袭击者异常使用系统的模式,从而检测出袭击者违反系统安全性的情况。,5,1、入侵检测的概念:任务,一、什么是入侵检测, 监视、分析用户及系统活动,查找非法用户和合法用户的越权操作; 系统构造和弱点的审计,并提示管理员修补漏洞; 识别反映已知进攻的活动模式并报警,能够实时对检测到的入侵行为进行反应; 异常行为模式的统计分析,发现入侵行为的规律; 评估重要
3、系统和数据文件的完整性; 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。,6,1、入侵检测的概念,一、什么是入侵检测,传统安全防范技术的不足 传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应。 入侵检测技术通过对入侵行为的过程与特征的研究使安全系统对入侵事件和入侵过程能做出实时响应。,7,2、入侵检测的分类,一、什么是入侵检测,根据所采用的技术可以分为: 1)异常检测:异常检测的假设是入侵者活动异常于正常主体的活动,建立正常活动的“活动简档”,当前主体的活动违反其统计规律时,认为可能是“入侵”行为。 2)特征检测:特征检测假设入
4、侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。 3)协议分析:利用网络协议的高度规则性快速探测攻击的存在。,8,2、入侵检测的分类,一、什么是入侵检测,根据所监测的对象来分: 1)基于主机的入侵检测系统(HIDS):通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一,入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。 2)基于网络的入侵检测系统(NIDS):通过在共享网段上对通信数据的侦听采集数据,分析可疑现象。这类系统不需要主机提供严格的审计,对主机资源消耗少,并可以提供对网络通用的保护而无需顾及异构主机的不同架构。,9,2、入侵检测
5、的分类,一、什么是入侵检测,根据所监测的对象来分: 3)分布式入侵检测系统:检测的数据来源于网络中的数据包,不同的是,采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子,该黑匣子相当于基于网络的入侵检测系统,只是没有用户操作界面。黑匣子用来检测其所在网段上的数据流,根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据,同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。,10,2、入侵检测的分类,一、什么是入侵检测,根据系统的工作方式分为: 1)离线检测系统:离线检测系统是非实时工作的系统,在事后分析审计事件,从中检查入侵活动。
6、2)在线检测系统:在线检测系统是实时联机的检测系统,它包含对实时网络数据包分析,实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。,11,3、信息收集,一、什么是入侵检测,第一步是信息收集,包括系统、网络、数据及用户活动的状态和行为。需要在系统中的不同关键点(网段和主机)收集信息,因为从一个来源的信息有可能看不出疑点,但从几个来源的信息的不一致性却是可疑行为或入侵的最好标识。 1.系统和网络日志文件 2.目录和文件中的
7、不期望的改变 3.程序执行中的不期望行为 4. 物理形式的入侵信息,12,4、信号分析,一、什么是入侵检测,对收集到的上述四类信息,通过三种技术手段进行分析: 模式匹配:用于实时的入侵检测 统计分析:用于实时的入侵检测 完整性分析:用于事后分析。,13,4、信号分析,一、什么是入侵检测,1. 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。 优点:只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。 缺点:需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过
8、的黑客攻击手段。,14,4、信号分析,一、什么是入侵检测,2.统计分析 对系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,某帐户突然在凌晨两点试图登录。 优点:可检测到未知的入侵和更为复杂的入侵 缺点:误报、漏报率高,不适应用户正常行为的突然改变。统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法。,15,一、什么是入侵检测,3.完整性分析:利用消息摘要Hash函数计算 完整性分析关注某个文件或对象是否被更
9、改,包括文件和目录的内容及属性,它在发现被木马、病毒更改的应用程序方面特别有效。检查系统保存有每个文件的数字摘要数据库,通过重新计算文件的数字文摘并与数据库中的值相比较来判断文件是否被修改。 优点:攻克文件完整性检查系统,无论是时间上还是空间上都是不可能的。 配置灵活,可以有选择地监测重要文件。,16,文件完整性检查的弱点: 一般以批处理方式实现,不用于实时响应。该方法作为网络安全的必要补充,定期运行。 文件完整性检查系统依赖于本地的文摘数据库。这些数据可能被入侵者修改。 防范对策:将摘要数据库放在只读介质上。 文件完整性检查非常耗时。 系统正常的升级会带来大量的文件更新。例如,Windows
10、 NT系统中升级MS-Outlook将会带来1800多个文件变化。,一、什么是入侵检测,17,1、技术分类,二、入侵检测技术分析,入侵检测技术分为:特征检测、异常检测、协议检测。 多数IDS以特征检测为主,异常检测为辅。 1)特征检测(误用检测、模式发现) 假设入侵者活动可以用某种模式来表示,系统的目标是检测主体活动是否与这些模式匹配。 关键:入侵模式描述,区分入侵与正常行为。 优点:误报少。 局限:不能发现未知的攻击。,18,1、技术分类,二、入侵检测技术分析,2)异常检测(异常发现) 按照统计规律,建立主体正常活动的“简档” ,若当前主体活动偏离“简档”相比较,则认为该活动可能是“入侵”行
11、为。例:流量统计分析,将异常时间的异常网络流量视为可疑。 难点:建立“简档”;统计算法;异常阈值选择。 避免对入侵的误判或漏判。 局限性:“入侵”与“异常”并非一一对应。而且系统的轨迹难于计算和更新。,19,1、技术分类,二、入侵检测技术分析,2)协议分析技术 协议分析提供一种高级的网路入侵解决方案,可以检测更广泛的攻击,包括已知和未知的。 协议分析可以在不同的上层应用协议上对每一个用户命令作出详细分析。 优点:当系统提升协议栈来解析每一层时,用已知的知识来消除在数据包结构中不可能出现的攻击;能大大降低模式匹配IDS系统中的误报率。,20,2、常用检测方法,二、入侵检测技术分析,IDS常用的检
12、测方法: 特征检测、统计检测与专家系统。 据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95是属于使用入侵模板进行模式匹配的特征检测产品,其他5是采用概率统计的统计检测产品与基于日志的专家知识库系产品。,21,2、常用检测方法,二、入侵检测技术分析,1)特征检测 :对攻击方式作出确定性的描述事件模式。当被审计的事件与已知的入侵事件模式相匹配时报警。目前常用的是数据包特征模式匹配。准确率高,对付已知攻击。 2)统计检测 :常用于异常检测。测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。常用的统计模型有:,22,2、常用检测方法,二、入侵检测技术分析,操作模
13、型:测量结果与一些固定指标(经验值,统计值)相比较,例:在短时间内的多次登录失败,可能是口令尝试攻击; 概率模型:计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常;或者当概率很低的事件发生时 ,可能发生入侵。 多元模式:操作模式的扩展,通过同时分析多个参数实现检测。,23,2、常用检测方法,二、入侵检测技术分析,马尔柯夫过程模式:将每种模式的事件定义为系统状态,用状态转移矩阵来表示状态的变化,当一个事件发生时,若状态矩阵该转移的概率较小则可能是异常事件; 时间序列分析:将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。,
14、24,2、常用检测方法,二、入侵检测技术分析,这种入侵检测的方法是基于对用户历史行为建模以及在早期的证据或建模的基础上,审计系统实时的检测用户对系统的使用情况,根据系统内部保存的用户行为概率统计模型进行检测,当发现有可疑的用户行为发生时,保持跟踪并监测、记录该用户行为。 统计方法的优点:可“学习”用户的使用习惯,具有较高检出率和可用率。,25,2、常用检测方法,二、入侵检测技术分析,3)专家系统: 根据专家对可疑行为的经验形成一套推理规则。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达,是入侵检测专家系统的关键。在系统实现中,将有关入侵
15、的知识转化为if-then结构(也可以是复合结构),条件部分为入侵特征,then部分是系统防范措施。,26,3、入侵的发展趋势,二、入侵检测技术分析,多样化与复杂化:采用多种手段,提高成功率。 隐蔽化:掩盖攻击者身份和目的。 欺骗性:间接攻击;IP地址欺骗 攻击规模扩大:电子战与信息战。 攻击的分布化:DDoS在很短时间内造成被攻击主机的瘫痪,且在攻击的初期不易被发觉。 攻击对象转移:网络网络防护系统。,27,4、存在的问题,1)攻击手段不断更新,攻击工具自动化。IDS必须不断跟踪最新的安全技术。 2)恶意信息采用加密传输可能骗过网络IDS。 3)IDS要适应多样化环境中不同的安全要求。 4)
16、不断增大的网络流量。数据实时分析导致对系统的要求越来越高。尽管如此,对百兆以上的流量,单一的入侵检测系统系统仍很难应付。,二、入侵检测技术分析,28,4、存在的问题,5)缺乏统一的标志和概念框架。各自为战,产品互通困难。 6)采用不恰当的自动反应所造成的风险。IDS可以与防火墙结合,当发现有攻击行为时,过滤掉所有来自攻击者的IP的数据。例:攻击者假冒大量不同的IP进行模拟攻击,而IDS自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉,于是形成了新的拒绝访问攻击。,二、入侵检测技术分析,29,4、存在的问题,7)IDS自身的安全性:本身的安全漏洞。 8)大量的误报和漏报。原因:必须深入了解所有操作系统、网络协议的运作情况和细节,才能准确的进行分析,而不同版本对协议处理都不同;而快速反应与力求全面也是矛盾。 9)缺乏客观的评估与测试信息。 10)交换式局域网造成网络数据流的可见性下降;同时高速网络使数据的实时分析越发困难。,二、入侵检测技术分析,30,5、入侵检测技术发展方向,二、入侵检测技术分析,分布式入侵检测: 两层含义 1)针对分布式网络攻击的检测方法 2)使
