《网络安全入侵检测和安全审计技术课件》由会员分享,可在线阅读,更多相关《网络安全入侵检测和安全审计技术课件(82页珍藏版)》请在金锄头文库上搜索。
1、退出,第4章 入侵检测与安全审计,网络安全技术,学习目的: 了解入侵检测概念 初步掌握入侵检测系统(IDS)的分析方法 了解入侵检测系统(IDS)结构 初步掌握入侵检测工具 了解安全审计技术 学习重点: 入侵检测系统(IDS)的分析方法 入侵检测工具 安全审计技术,4.1 入侵检测系 统概述,当我们无法完全防止入侵时,那么只能希望系统在受到攻击时,能尽快检测出入侵,而且最好是实时的,以便可以采取相应的措施来对付入侵,这就是入侵检测系统要做的,它从计算机网络中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。,4
2、.1.1 入侵检测定义,1、定义 可以看到入侵检测的作用就在于及时地发现各种攻击以及攻击企图并作出反应。我们可以给入侵检测做一个简单的定义,入侵检测就是对(网络)系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性与可用性。,2、基本特性 经济性 时效性 安全性 可扩展性,1、入侵检测的发展 入侵检测从最初实验室里的研究课题到目前的商业IDS产品,已经有20多年的发展历史,可分为两个阶段:,4.1.2 入侵检测的发展及未来,安全审计 IDS的诞生,2、入侵检测技术主要的发展方向,体系结构方向进一步研究分布式入侵检测与通用的入侵检测架构 。 应用层入侵检
3、测 智能的入侵检测 提供高层统计与决策 响应策略与恢复研究 入侵检测的评测方法 和其它网络安全部件的协作、与其他安全技术 的结合,4.1.3 入侵检测系统的功能及分类,1、入侵检测系统的功能,监测并分析用户和系统的活动,查找非法用户 和合法用户的越权操作。 检查系统配置和漏洞,并提示管理员修补漏洞 (现在通常由安全扫描系统完成)。 评估系统关键资源和数据文件的完整性。 识别已知的攻击行为。 统计分析异常行为。 操作系统日志管理,并识别违反安全策略的用 户活动等。,2入侵检测的分类,对入侵检测技术的分类方法很多,根据着眼点的不同,主要有下列几种分法:按数据来源和系统结构分类,入侵检测系统分为3类
4、:基于主机的入侵检测系统,基于网络的入侵检测系统,分布式入侵检测系统(混合型)。根据数据分析方法(也就是检测方法)的不同,可以将入侵检测系统分为2类:异常检测和误用检测。按数据分析发生的时间不同,入侵检测系统可以分为2类:离线检测系统与在线检测系统。按照系统各个模块运行的分布方式不同,可以分为2类:集中式检测系统和分布式检测系统。,4.1.4 入侵响应(Intrusion Response),入侵响应就是当检测到入侵或攻击时,采取适当的措施阻止入侵和攻击的进行。入侵响应系统分类也有几种分类方式,按响应类型可分为:报警型响应系统、人工响应系统、自动响应系统;按响应方式可分为:基于主机的响应、基于
5、网络的响应;按响应范围可分为:本地响应系统、协同入侵响应系统。当我们检测到入侵攻击时,采用的技术很多,又大致可分为被动入侵响应技术和主动入侵响应技术。被动入侵响应包括:记录安全事件、产生报警信息、记录附加日志、激活附加入侵检测工具等。主动入侵响应包括隔离入侵者IP、禁止被攻击对象的特定端口和服务、隔离被攻击对象、警告攻击者、跟踪攻击者、断开危险连接、攻击攻击者等。,Garfinkel和Spafford于2019年推荐了两个重要的响应方案:第一个是保持冷静,不要惊慌。第二个是对每件事情都进行记录。Chapman与Zwicky也针对入侵攻击提出了如下七步建议: 第一步:估计形势并决定需要做出那些响
6、应 第二步:如果有必要就断开连接或关闭资源 第三步:事故分析和响应 第四步:根据响应策略向其他人报警 第五步:保存系统状态 第六步:恢复遭到攻击的系统工程 第七步:记录所发生的一切,4.1.5 入侵跟踪技术,1、基础 互联网的各种协议的了解 在不同的网络层,主要的不同网络地址 2、跟踪电子邮件 简单邮件传输协议SMTP 跟踪发信者最好的办法就是对邮件中附加的头信息中出现的整个路径作彻底的调查。 SMTP邮件服务器保存的日志记录信息审计,3、跟踪Usenet的信息传递 对消息中附加的头信息中出现的整个路径作彻底的调查和审计日志信息。 4第三方跟踪工具 (Netscan Pro ) 5蜜罐技术,4
7、.2 入侵检测系统 (IDS)的分析 方法,入侵分析的任务就是在提取到的庞大数据中找到入侵的痕迹。入侵分析过程需要将提取到的事件与入侵检测规则等进行比较,从而发现入侵行为。一方面入侵检测系统需要尽可能多地提取数据以获得足够的入侵证据,而另一方面由于入侵行为的千变万化而导致判定入侵的规则等越来越复杂,为了保证入侵检测的效率和满足实时性的要求,入侵分析必须在系统的性能和检测能力之间进行权衡,合理地设计分析策略,并且可能要牺牲一部分检测能力来保证系统可靠、稳定地运行,并具有较快的响应速度。入侵检测分析技术主要分为两类:异常检测和误用检测。,4.2.1 基于异常的入侵检测方法,本节重点讨论这种方法的原
8、理和基本流程。需要注意的是这个领域基本上是一个边缘学科,它的理论基础包括人工智能、神经网络以及统计学等,由于能力和篇幅的限制,我们无法一一介绍相关的理论,基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为产生的日志信息(假定日志信息足够完全)总结出这些规律,而入侵和滥用行为则通常和正常的行为存在严重的差异,通过检查出这些差异就可以检测出入侵 。这样,我们就可以检测出非法的入侵行为甚至是通过未知方法进行的入侵行为。此外不属于入侵的异常用户行为(滥用自己的权限)也能被检测到。,1基于统计学方法的异常检测系统 这种系统使用统计学的方法来学习和检测
9、用户的行为。鉴于人工智能领域的发展缓慢,统计学方法可以说是一种比较现实的方法,一个典型的系统SRI International的NIDES(Next-generation Intrusion Detection Expert System)。,2. 预测模式生成法 使用该方法进行入侵检测的系统,利用动态的规则集来检测入侵,这些规则是由系统的归纳引擎,根据已发生的事件的情况来预测将来发生的事件的概率来产生的,归纳引擎为每一种事件设置可能发生的概率 。,3. 神经网络方法 利用神经网络检测入侵的基本思想是用一系列信息单元(命令)训练神经单元,这样在给定一组输入后,就可能预测出输出。与统计理论相比,
10、神经网络更好地表达了变量间的非线性关系,并且能自动学习和更新。,4. 基于数据挖掘技术的异常检测系统 数据挖掘,也称为知识发现技术。对象行为日志信息的数据量通常都非常大,如何从大量的数据中“浓缩”出一个值或一组值来表示对象行为的概貌,并以此进行对象行为的异常分析和检测,就可以借用数据挖掘的方法。其中有一种方式就是记录一定量的格式化后的数据,来进行分析和入侵检测。,总结 理论上这种入侵检测方法具有一定入侵检测的能力,并且相对于基于误用的入侵检测有一个非常强的优势,就是能够检测出未知的攻击;但在实际中,理论本身也存在一定的缺陷,比如: 基于异常的入侵监测系统首先学习对象的正常行为,并形成一个或一组
11、值表示对象行为概貌,而表示概貌的这些数据不容易进行正确性和准确性的验证。 通常比较长期行为的概貌和短期行为的概貌检测出异常后,只能模糊地报告存在异常,不能准确地报告攻击类型和方式,因此也不能有效地阻止入侵行为。 通常基于异常的入侵监测系统首先要有一个学习过程,这个过程是否能够正确反映对象的正常行为?因为这个过程很可能会被入侵者利用。 这些问题使大多数此类的系统仍然停留在研究领域。,.2.2 基于误用的入侵检测方法,在介绍基于误用(misuse)的入侵检测的概念之前,先看看误用(misuse)的含义,在这里它指“可以用某种规则、方式或模型表示的攻击或其它安全相关行为”。那么基于误用的入侵检测技术
12、的含义是:通过某种方式预先定义入侵行为,然后监视系统的运行,并从中找出符合预先定义规则的入侵行为。,1专家系统 专家系统是基于知识的检测中早期运用较多的方法。将有关入侵的知识转化成if-then结构的规则,即把构成入侵所需要的条件转化为if部分,把发现入侵后采取的相应措施转化为then部分。当其中某个或某部分条件满足时,系统就判断为入侵行为发生。其中的if-then结构构成了描述具体攻击的规则库,状态行为及其语义环境可根据审计事件得到,推理机根据规则和行为完成判断工作 。,2模式匹配 基于模式匹配的入侵检测方式也像专家系统一样,也需要知道攻击行为的具体知识。但是攻击方法的语义描述不是被转化抽象
13、的检测规则,而是将已知的入侵特征编码成与审计记录相符合的模式,因而能够在审计记录中直接寻找相匹配的已知入侵模式。这样就不像专家系统一样需要处理大量数据,从而大大提高了检测效率,3按键监视(Keystroke Monitor ) 按键监视是一种很简单的入侵检测方法,用来监视攻击模式的按键。,4Petric网状态转换 Petric网用于入侵行为分析是一种类似于状态转换图分析的方法。利用Petric网的有利之处在于它能一般化、图形化地表达状态,并且简洁明了。虽然很复杂的入侵特征能用Petric网表达得很简单,但是对原始数据匹配时的计算量却会很大。,5误用检测与异常检测的比较 前面介绍了基于异常和基于
14、误用两种不同的检测方法,下面简单地评述一下两者之间的差异: 异常检测系统试图发现一些未知的入侵行为,而误用检测系统则是标识一些已知的入侵行为。 异常检测指根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出现来检测;而误用检测系统则大多数是通过对一些具体的行为的判断和推理,从而检测出入侵。 异常检测的主要缺陷在于误检率很高,尤其在用户数目众多或工作行为经常改变的环境中;而误用检测系统由于依据具体特征库进行判断,准确度要高很多。 异常检测对具体系统的依赖性相对较小;而误用检测系统对具体的系统依赖性太强,移植性不好。,4.3 入侵检测系统 (IDS)结构,为了提高IDS产品、组件
15、及与其它安全产品之间的互操作性,美国国防高级研究计划署(DARPA)和互联网工程任务组(IETF)的入侵检测工作组(IDWG)提出的建议是公共入侵检测框架(CDIF) 。,1、事件产生器 CDIF将IDS需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统日志或其它途径得到的信息。事件产生器的任务是从入侵检测系统之外的计算环境中收集事件,并将这些事件转换成CDIF的GIDO(统一入侵检测对象)格式传送给其它组件。,2、事件分析器 事件分析器分析从其它组件收到的GIDO,并将产生的新GIDO在传送给其它组件。分析器可以是一个轮廓(profile)描述工具,统计性地检测现在的事件是否可
16、能与以前某个时间来自同一个时间序列;也可以是一个特征检测工具,用于在一个事件序列中检测是否有已知的误用攻击特性;此外,事件分析器还可以是一个相关器,观察事件之间的关系,将有联系的事件放在一起,以利于以后的进一步分析。,3、事件数据库 用来存储GIDO,以备系统需要的时候使用。,4. 响应单元 响应单元处理收到的GIDO,并据此采取相应的措施,如kill相关进程、将连接复位、修改文件权限等。 以上4个组件只是逻辑实体,一个组件可能是某台计算机上的一个进程甚至线程,也可能是多台计算机上的多个进程,它们以GIDO格式进行数据交换。GIDO是对事件进行编码的标准通用格式(由CDIF描述语言CISL定义),GIDO数据流在图中已标出,它可以是发生在系统中的审计事件,也可以是对审计事件的分析结果。,.3 基于智能代理技术的分布 式入侵检测系统,分布式入侵检测系统是与简单的基于主机的入侵检测系统不同的,它一般由多个部件组成分布在网络的各个部分,完成相应的功能,如进行数据采集、分析等。通过中心的控制部件进行数据汇总、分析、产生入侵报警等。
