入侵检测与可信计算

《入侵检测与可信计算》由会员分享，可在线阅读，更多相关《入侵检测与可信计算（78页珍藏版）》请在金锄头文库上搜索。

1、访问控制与网络 安全技术(2)严飞武汉大学计算机学院Yfpostbox(AT)主要内容l访问控制技术l防火墙技术lVPN技术l入侵检测技术l一种新的网络安全技术4.入侵检测技术l4.1 入侵检测技术概述l4.2 入侵检测分类与评估l4.3 入侵检测产品概况4.1 入侵检测技术概述l入侵检测技术的起因l传统网络安全技术存在着与生俱来的缺陷l程序的错误l配置的错误l需求的变化决定网络不断发展 l产品在设计阶段可能是基于一项较为安全的技术l但当产品成型后，网络的发展已经使得该技术不再安全l传统的网络安全技术是属于静态安全技术，无法解决动态 发展网络中的安全问题 4.1 入侵检测技术概述l关于防火墙l

2、网络边界的设备l自身可以被攻破l对某些攻击保护很弱l不是所有的威胁来自防火墙外部l入侵很容易l入侵教程随处可见l各种工具唾手可得4.1 入侵检测技术概述l网络安全工具的特点优优点局限性 防火墙墙可简简化网络络管理，产产品成熟无法处处理网络络内部的攻击击 IDS实时监实时监 控网络络安全状态态误报误报 警，缓缓慢攻击击，新的 攻击击模式 Scanner简单简单 可操作，帮助系统统管理 员员和安全服务务人员员解决实际实际 问题问题并不能真正扫扫描漏洞VPN保护护公网上的内部通信可视为视为 防火墙墙上的一个漏 洞 防病毒针对针对 文件与邮邮件，产产品成熟功能单单一4.1 入侵检测技术概述l入侵检测的

3、定义l入侵检测是对入侵行为的发觉。它通过从计算机 网络或计算机系统的关键点收集信息并进行分析 ，从中发现网络或系统中是否有违反安全策略的 行为和被攻击的迹象.l它还是一种增强内部用户的责任感及提供对攻击 者的法律诉讼依据的机制 4.1 入侵检测技术概述l入侵检测的特点l入侵检测是一种动态的网络安全技术l它利用各种不同类型的引擎，实时地或定期地对网络中相 关的数据源进行分析，依照引擎对特殊的数据或事件的认 识，将其中具有威胁性的部分提取出来，并触发响应机制 l对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者 攻击结果，以保证系统资源的机密性、完整性和可用性l进行入侵检测的软件与硬件的组合

4、便是入侵检测系统l入侵检测的动态性l入侵检测的实时性l对网络环境的变化具有一定程度上的自适应性 4.1 入侵检测技术概述l入侵检测的内容 l外部攻击检测l内部特权滥用检测4.1 入侵检测技术概述l入侵检测的历史1980年 Anderson提出：入侵检测概念，分类方法1987年 Denning提出了一种通用的入侵检测模型独立性 ：系统、环境、脆弱性、入侵种类 系统框架：异常检测器，专家系统 90年初 CMDS、NetProwler、NetRanger ISS RealSecure4.1 入侵检测技术概述l入侵检测的历史 1980年4月，James P. Anderson Computer Sec

5、urity Threat Monitoring and Surveillance（计算机安全威胁监控与监视） 第一次详细阐述了入侵检测的概念 计算机系统威胁分类: 外部渗透、内部渗透和不法行为 提出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开山之作4.1 入侵检测技术概述l入侵检测的历史 从1984年到1986年乔治敦大学的Dorothy Denning SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型IDES（ 入侵检测专家系统）4.1 入侵检测技术概述4.1 入侵检测技术概述l入侵检测的内容 l外部攻击检测l外部攻击与入侵是指来自外部网络非法

6、用户的威胁性 访问或破坏l外部攻击检测的重点在于检测来自于外部的攻击或入 侵l内部特权滥用检测l内部特权滥用是指网络的合法用户在不正常的行为下 获得了特殊的网络权限并实施威胁性访问或破坏l内部特权滥用检测的重点集中于观察授权用户的活动 4.1 入侵检测技术概述l入侵检测的功能l检测和分析用户和系统的活动l识别反映已知攻击的活动模式l非正常活动模式的统计分析l通过对操作系统的审计，分析用户的活动、识别 违规操作l审计系统配置和脆弱性、评估关键系统和数据文 件的一致性4.1 入侵检测技术概述l入侵检测技术原理与系统构成l原理图 4.1 入侵检测技术概述lIDS原理l入侵检测的技术的核心在于入侵检测

7、过程 l对行为与状态的综合分析是基于l知识的智能推理l神经网络理论l模式匹配l异常统计 4.1 入侵检测技术概述lIDS原理l技术分析的依据l历史知识l现有的行为状态l实时的监测是保证入侵检测具有实时性的主要手 段 l根据实时监测的记录不断修改历史知识保证了入 侵检测具有自适应性 4.1 入侵检测技术概述l系统构成4.1 入侵检测技术概述lIDS的构成l信息采集部件l对各类复杂、凌乱的信息进行格式化并交付于入侵分析部 件 l入侵分析部件l按着部件内部的分析引擎进行入侵分析，当信息满足了引 擎的入侵标准时就触发了入侵响应机制 l入侵响应部件l当入侵分析部件发现入侵后，由入侵响应部件根据具体的 情

8、况做出响应l响应部件同信息采集部件一样都是分布于网络中，甚至与 信息采集部件集成在一起 4.2 入侵检测分类与评估lIDS引擎分类l误用检测 l异常检测4.2 入侵检测分类与评估lIDS引擎分类l误用检测 l前提：所有的入侵行为都有可被检测到的特征 l攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时 ，系统就认为这种行为是入侵 l过程监控 特征提取 匹配 判定 首先根据已知的入侵，定义由独立的事件、事件的序列、事 件临界值等通用规则组成的入侵模式然后观察能与入侵模式相匹配的事件，达到发现入侵的目的入侵模式需要定期更新4.2 入侵检测分类与评估lIDS引擎分类l误用检测l如果入侵特征与正

9、常的用户行能匹配，则系统会发生误报；如 果没有特征能与某种新的攻击行为匹配，则系统会发生漏报l特点：采用特征匹配，滥用模式能明显降低错报率，但漏报率 随之增加。攻击特征的细微变化，会使得滥用检测无能为力4.2 入侵检测分类与评估lIDS引擎分类l异常检测l原理前提：入侵是异常活动的子集 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合 ，用于描述正常行为范围通过检查统计量的偏差，从而检测出不正常的行为l其实现的方法将各个主体、对象的行为量化以历史数据设定期望值将与期望值有偏差的行为定义为入侵4.2 入侵检测分类与评估lIDS引擎分类l异常检测l异常检测系统的效率取决于用 户轮

10、廓的完备性和监控的频率l因为不需要对每种入侵行为进 行定义，因此能有效检测未知 的入侵l系统能针对用户行为的改变进 行自我调整和优化，但随着检 测模型的逐步精确，异常检测 会消耗更多的系统资源IDS引擎对比误用检测 l优点l误用检测具有很强的可 分割性、独立性，可缩 小模式数据库规模l具有很强的针对性，对 已知的入侵方法检测效 率很高 l有能力提供模糊入侵检 测引擎 l缺点l可测量性与性能都和模 式数据库的大小和体系 结构有关 l可扩展性差l通常不具备自学习能力 ，对新攻击的检测分析 必须补充模式数据库l攻击行为难以模式化IDS引擎对比异常检测l优点l符合数据的异常变化理 论，适合事物的发展规

11、 律 l检查算法比较普适化， 对变量的跟踪不需要大 量的内存 l有能力检测与响应某些 新的攻击l缺点l数据假设可能不合理， 加权算法在统计意义上 可能不准确 l对突发性正常事件容易 引起误判断 l对长期、稳定的攻击方 法灵敏度低 4.2 入侵检测分类与评估l实现方式分类l基于主机的IDS （HIDS）l安装在被重点检测的主机之上l对该主机的网络实时连接以及系统审计日志进行智能 分析和判断l基于网络的IDS （NIDS）l放置在比较重要的网段内l不停地监视网段中的各种数据包。对每一个数据包或 可疑的数据包进行特征分析IDS实现方式HIDSl优点l能够获得更详尽的信息l误报率低。 l对分析“可能的

12、攻击行为”非 常有用l适用于不需要广泛的入侵 检测、或者传感器与控制 台之间的通信带宽不足的 环境l风险较少 l缺点l依赖于服务器的日志与监 视功能，降低应用系统的 效率，可能需要中断服务l全面布署HIDS代价较大l对入侵行为的分析的工作 量将随着主机数目增加而 增加 l可能带来一些额外的安全 问题 IDS实现方式NIDSl优点l能够检测来自网络的攻 击l能够检测到超过授权的 非法访问 l易于安装，不影响业务 系统的性能 ，因此风险 小 l缺点l监测范围受网段的限制， 全网段部署传感器会使成 本大大增加l数据量大使得NIDS很难检 测一些需要大量计算和分 析才能检测的攻击 l传感器的分析能力的

13、增强 常伴随着协同能力的减弱 l难以处理复杂协议，如： 加密、高层协议 4.2 入侵检测分类与评估l技术路线分类l基于统计分析的入侵检测技术l基于神经网络的入侵检测技术 l基于专家系统的入侵检测技术l基于模型推理的入侵检测技术4.2 入侵检测分类与评估l技术路线分类l基于统计分析的入侵检测技术 l基于对用户历史行为进行统计，同时实时地检测用户 对系统的使用情况，根据用户行为的概率模型与当前 用户的行为进行比较，一但发现可疑的情况与行为， 就跟踪、监测并记录，适当时采用一定的响应手段 l有一定的自适应能力，稳定，但误警率高4.2 入侵检测分类与评估l技术路线分类l基于神经网络的入侵检测技术 l将

14、神经网络模型运用于入侵检测系统，可以解决基于 统计数据的主观假设而导致的大量虚假警报问题，同 时由于神经网络模型的自适应性，使得系统精简，成 本较低l但是不成熟4.2 入侵检测分类与评估l技术路线分类l基于专家系统的入侵检测技术 l根据专家对合法行为的分析经验来形成一套推理规则 ，然后在此基础上构成相应的专家系统，由此专家系 统自动地进行攻击分析工作l推理系统的效率较低4.2 入侵检测分类与评估l技术路线分类l基于模型推理的入侵检测技术 l对已知入侵行为建立特定的模型，监视具有特定行为 特征的活动，一但发现与模型匹配的用户行为，就通 过相关信息证实或否定攻击的真实性l又称为模式匹配，是应用较多

15、的入侵检测方法 4.2 入侵检测分类与评估l评价标准l准确性l误警：IDS将用户正常的操作当作入侵行为，予以报警（ 1%10%）l漏警：IDS将入侵行为当作用户正常的操作，不予报警（ 10%50%）l处理性能l完备性l容错性l及时性4.3 入侵检测产品概况l产品实施层次l应用层l操作系统层l网络层4.3 入侵检测产品概况l国外产品lCyber Cop IDS ：NAI lRealsecure ：ISS lSession_wall ：Abirnet lNetWare Flight Recorder：Anzen lInternet Emergency Response Service：IBM lC

16、isco Secure IDS ：Cisco 4.3 入侵检测产品概况l国外产品lAdaptive Intrusion Detection System：布兰登大 学 lAutonomous Agents For Intrusion Detection： Purdue University lIDES：SRI lWisdom and Sense：Los Alamos lNSM：加里福利亚大学 lSnort: Snort.org4.3 入侵检测产品概况l国内产品lRIDS-100：瑞星 l曙光GodEye-HIDS：曙光信息产业（北京） l天阗：启明星辰 l天眼NPIDS：北京中科网威 5. 一种新的网络安全技术l可信计算提出的背景l可信计算的发展历程l可信计算的核心思想l可信网络互联体系l可信网络的关键技术l可信计算目前存在的问题5.1可信计算提出的背景l信息化发展：业务系统复杂化，网络环境高 速化l网络业务激增，造成l网络威胁增多，安全风险加大l对网络性能和可靠性要求不