《第9章入侵检测技术.doc》由会员分享,可在线阅读,更多相关《第9章入侵检测技术.doc(10页珍藏版)》请在金锄头文库上搜索。
1、 本文由javoldon贡献 ppt文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。 第9章 入侵检测技术 9.1 入侵检测的基本原理 9.2 网络入侵技术 9.3 应用实例 9.1 入侵检测的基本原理 本节内容 9.1.1 9.1.2 9.1.3 入侵检测的基本原理 入侵检测系统的分类 入侵检测系统的发展方向 9.1.1 入侵检测的基本原理 1. 入侵检测产品的现状 入侵检测系统IDS(Intrusion Detect System)分为两种:主机 入侵检测系统(HIDS)和网络入侵检测系统(NIDS)。主机入侵检测系 统分析对象为主机审计日志,所以需要在主机上
2、安装入侵检测软件, 针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较 为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较 少。网络入侵监测分析对象为网络数据流,只需安装在网络的监听 端口上,对网络的运行无任何影响,目前国内使用较为广泛。本章 介绍的是当前广泛使用的网络入侵监测系统。 2.入侵检测系统的作用 我们知道,防火墙是Internet网络上最有效的安全保护屏障, 防火墙在网络安全中起到大门警卫的作用,对进出的数据依照预先 设定的规则进行匹配,符合规则的就予以放行,起到访问控制的作 用,是网络安全的第一道闸门。但防火墙的功能也有局限性,防火 墙只能对进出网络的数据进行分析
3、,对网络内部发生的事件完全无 能为力。 同时,由于防火墙处于网关的位置,不可能对进出攻击作太多 判断,否则会严重影响网络性能。如果把防火墙比作大门警卫的话, 入侵检测就是网络中不间断的摄像机,入侵检测通过旁路监听的方 式不间断的收取网络数据,对网络的运行和性能无任何影响,同时 判断其中是否含有攻击的企图,通过各种手段向管理员报警。 IDS是主动保护自己免受攻击的一种网络安全技术。IDS对网络 或系统上的可疑行为做出相应的反应,及时切断入侵源,保护现场 并通过各种途径通知网络管理员,增大保障系统安全。 3.入侵检测系统的工作流程 入侵检测系统由数据收集、数据提取、数据分析、事件处理等几个部份组成
4、。 (1) 数据收集 入侵检测的第一步是数据收集,内容包括系统、网络运行、数据及用户活动的状态和 行为,而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集数 据。入侵检测很大程度上依赖于收集数据的准确性与可靠性,因此,必须使用精确的软件 来报告这些信息,因为黑客经常替换软件以搞混和移走这些数据,例如替换被程序调用的 子程序、库和其它工具。数据的收集主要来源以下几个方面:系统和网络日志文件、目录 和文件不期望的改变、程序不期望的行为、物理形式的入侵数据。 (2)数据提取 从收集到的数据中提取有用的数据,以供数据分析之用。 (3)数据分析 对收集到的有关系统、网络运行、数据及用
5、户活动的状态和行为等数据通过三种技术 手段进行分析:模块匹配、统计分析和完整性分析。 (4)结果处理 记录入侵事件,同时采取报警、中断连接等措施。 9.1.2 入侵检测系统的分类 入侵检测系统(IDS)可以分成3类:基于主机型(Host Based) 入侵检测系统、基于网 络型(Network Based) 入侵检测系统和基于代理型(Agent Based) 入侵检测系统。 1. 基于主机的入侵检测系统 基于主机的入侵检测系统通常以系统日志、应用程序日志等审计记录文件作为数据源。 它是通过比较这些审计记录文件的记录与攻击签名(Attack Signature,指用一种特定的 方式来表示已知的攻
6、击模式)以发现它们是否匹配。如果匹配,检测系统向系统管理员发 出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件,并可对入侵事 件及时做出反应。它还可针对不同操作系统的特点判断应用层的入侵事件。基于主机的 IDS有着明显的优点: 适合于加密和交换环境; 可实时的检测和响应; 不需要额外的硬件。 基于主机的入侵检测系统对系统内在的结构却没有任何约束,同时可以利用操作系统 本身提供的功能,并结合异常检测分析,更能准确的报告攻击行为。 基于主机的入侵检测系统存在的不足之处在于:会占用主机的系统资源,增加系统负 荷,而且针对不同的操作平台必须开发出不同的程序,另外所需配置的数量众多。
7、2. 基于网络的入侵检测系统 基于网络的入侵检测系统把原始的网络数据包作为数据源。利用 网络适配器来实时地监视并分析通过网络进行传输的所有通信业务。 它的攻击识别模块进行攻击签名识别的方法有:模式、表达式或字节 码匹配;频率或阈值比较;次要事件的相关性处理;统计异常检测。 一旦检测到攻击,IDS的响应模块通过通知、报警以及中断连接等方式 来对攻击行为做出反应。然而它只能监视通过本网段的活动,并且精 确度较差,在交换网络环境中难于配置,防欺骗的能力也比较差。其 优势有: 成本低; 攻击者转移证据困难; 实时检测和响应; 能够检测到未成功的攻击企图; 与操作系统无关。 3. 基于代理的入侵检测系统
8、 基于代理的入侵检测系统用于监视大型网络系统。随着 网络系统的复杂化和大型化,系统弱点趋于分布式,而且攻 击行为也表现为相互协作式特点,所以不同的IDS之间需要 共享信息,协同检测。整个系统可以由一个中央监视器和多 个代理组成。中央监视器负责对整个监视系统的管理,它应 该处于一个相对安全的地方。代理则被安放在被监视的主机 上(如服务器、交换机、路由器等)。代理负责对某一主机的 活动进行监视,如收集主机运行时的审计数据和操作系统的 数据信息,然后将这些数据传送到中央监视器。代理也可以 接受中央监控器的指令。这种系统的优点是可以对大型分布 式网络进行检测。 9.2 网络入侵技术 本节内容 9.2.
9、1 9.2.2 9.2.3 9.2.4 9.2.5 基本检测方法 异常检测模型 误用检测模型 异常检测模型和误用检测模型的比较 其他入侵检测模型 9.2.1 基本检测方法 1.基于用户特征的检测 基于用户特征的检测方法是根据用户通常的举动来识别特定的用户,用户的活动模式 根据在一段时间内的观察后建立。例如,某个用户多次使用某些命令,在特定的时间内以 一定的频度访问文件、系统登录及执行相同的程序等。可以按照用户的活动情况给每个合 法的用户建立特征库,用以检测和判断登录用户的合法性,因为非法用户不可能像合法用 户一样地进行同样的操作。 2.基于入侵者的特征的检测 当外界用户或入侵者试图访问某个计算
10、机系统时会进行某些特殊的活动或使用特殊方 法,如果这些活动能够予以描述并作为对入侵者的描述,入侵活动就能够被检测到。非法 入侵者活动的一个典型例子是,当其获得系统的访问权时,通常会立即查看当前有哪些用 户在线,并且会反复检查文件系统和浏览目录结构,还会打开这些文件,另外,非法入侵 者在一个系统上不会停留过久,而一个合法的用户一般是不会这样做的。 3.基于活动的检测 一般来说,非法入侵者在入侵系统时会进行某些已知的且具有共性的操作,比如在入 侵UNIX时入侵通常要试图获得根(root)权限,所以,我们有理由认为任何企图获得根权限 的活动都要被检测。 9.2.2 异常检测模型 1.异常检测模型的基
11、本原理 异常检测,也被称为基于行为的检测。其基本前提是: 假定所有的入侵行为都是异常的。其基本原理是:首先建 立系统或用户的“正常”行为特征轮廓,通过比较当前的 系统或用户的行为是否偏离正常的行为特征轮廓来判断是 否发生了入侵。而不是依赖于具体行为是否出现来进行检 测的,从这个意义上来讲,异常检测是一种间接的方法。 2.异常检测的关键技术 (1)特征量的选择 异常检测首先是要建立系统或用户的“正常”行为特征轮廓,这就要求在建立正常模 型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以 最少的特征量就能涵盖系统或用户的行为特征。例如:我们可以检测磁盘的转速是否正常,
12、CPU是否无故超频等异常现象。 (2)参考阈值的选定 因为在实际的网络环境下,入侵行为和异常行为往往不是一对一的等价关系,经常发 生这样的异常情况:如某一行为是异常行为,而它并不是入侵行为;同样存在某一行为是 入 侵 行 为 , 而 它 却 并 不 是 异 常 行 为 的 情 况 。 这 样 就 会 导 致 检 测 结 果 的 虚 警 (False Positives)和漏警(False Negatives)的产生。由于异常检测是先建立正常的特征轮廓作 为比较的参考基准,这个参考基准即参考阈值的选定是非常关键的,阈值定的过大,那漏 警率会很高;阈值定的过小,则虚警率就会提高。合适的参考阈值的选
13、定是影响这一检测 方法准确率的至关重要的因素。 从异常检测的原理我们可以看出,该方法的技术难点在于:“正常”行为特征轮廓的 确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高, 但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的 特征轮廓,这样所需的计算量很大,对系统的处理性能要求会很高。 3.异常检测模型的实现方法 异常检测模型常用的实现方法有:统计异常检测方法、基于特征选择 异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测 方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机 器学习异常检测方法、基于数据采
14、掘异常检测方法等。 (1)基于统计分析的异常检测方法 基于统计分析的异常检测方法是根据异常检测器观察主体的活动情况, 随之产生能刻画这些活动的行为框架。每一个框架能保存记录主体的当前 行为,并定时地将当前的框架与存储的框架合并。通过比较当前的框架与 事先存储的框架来判断异常行为,从而检测出网络的入侵行为。 设M1,M2,Mn为框架的特征变量,如CPU的使用、I/O的使用、使 用地点及时间、邮件的使用、文件的访问数量、网络的会话时间等。用S1, S2,Sn分别表示框架中的变量M1,M2,Mn的异常测量值,这些值 表明了异常程度,Si的值越高,则Mi的异常性就越大。 框架的异常值是将有关的异常测量
15、平方加权后得到的,其计算 式如下: s=a 2a 2a 2 1 2 n 这里,i表示框架与变量Mi相关的权重,一般地,M1,M2,Mn 不是相互独立的,而是具其相关性的。常见的几种异常测量值的测 量类型如下: 活动强度测量:用以描述活动的处理速度; 审计记录分布测量:用以描述最近审计记录中所有活动类型 的分布状况; 类型测量:用以描述特定的活动在各种类型的分布状况; 顺序测量:用以描述活动的输出结果。 (2)基于特征选择的异常检测方法 基于特征选择的异常检测方法是通过从一组度量中挑选能检 测出入侵的度量构成子集来准确地预测或分类已检测到的入侵。 (3)基于贝叶斯推理的异常检测方法 基于贝叶斯(
16、Bayesian)推理异常检测方法是通过在任意的 时刻,测量A1,A2,An变量值推理判断系统是否有入侵事件的 发生。其中每个Ai变量表示系统不同的方面特征(如磁盘I/O的活 动数量,或者系统中页面出错的次数等)。 (4)基于贝叶斯网络的异常检测方法 基于贝叶斯网络的异常检测方法是通过建立起异常入侵检测 的贝叶斯网络,然后将其用作分析异常测量的结果。 (5)基于模式预测的异常检测方法 基于模式预测异常检测方法是假设事件序列不是随机的而是能 遵循可辨别的模式。这种检测方法的主要特点是考虑事件的序列及 其相互联系。其典型模型是由Teng和Chen提出的基于时间的推理方 法,利用时间规则识别用户行为正常模式的特征。通过归纳学习产 生这些规则集,并能动态地修改系统中的这些规则,使之具有高的 预测性、准
