《信息安全技术第六章-入侵检测技术》由会员分享,可在线阅读,更多相关《信息安全技术第六章-入侵检测技术(132页珍藏版)》请在金锄头文库上搜索。
1、信息安全技术许红星1. 概述2. 入侵检测方法3. 入侵检测系统的设计原理4. 入侵检测响应机制5. 入侵检测标准化工作6. 其它7. 展望 概述2. 入侵检测方法3. 入侵检测系统的设计原理4. 入侵检测响应机制5. 入侵检测标准化工作6. 其它7. 展望IntrusionnIntrusion : Attempting to break into or misuse your system.nIntruders may be from outside the network or legitimate users of the network.nIntrusion can be a phys
2、ical, system or remote intrusion.n传统的信息安全方法采用严格的访问控制和数 据加密策略来防护,但在复杂系统中,这些策 略是不充分的。它们是系统安全不可缺的部分 但不能完全保证系统的安全n入侵检测(Intrusion Detection)是对入侵行 为的发觉。它通过从计算机网络或计算机系统 的关键点收集信息并进行分析,从中发现网络 或系统中是否有违反安全策略的行为和被攻击 的迹象Intrusion Detection入侵检测的定义n对系统的运行状态进行监视,发现各种攻 击企图、攻击行为或者攻击结果,以保证 系统资源的机密性、完整性和可用性n进行入侵检测的软件与硬
3、件的组合便是入 侵检测系统nIDS : Intrusion Detection System 入侵检测的特点一个完善的入侵检测系统的特点:经济性时效性安全性可扩展性网络安全工具的特点优优点局限性 防火墙墙可简简化网络络管理,产产品成熟无法处处理网络络内部的攻击击 IDS实时监实时监 控网络络安全状态态误报误报 警,缓缓慢攻击击,新的 攻击击模式 Scanner简单简单 可操作,帮助系统统管理 员员和安全服务务人员员解决实际实际 问题问题并不能真正扫扫描漏洞VPN保护护公网上的内部通信可视为视为 防火墙墙上的一个漏 洞 防病毒针对针对 文件与邮邮件,产产品成熟功能单单一1980年 Anderso
4、n提出:入侵检测概念,分类方法1987年 Denning提出了一种通用的入侵检测模型独立性 :系统、环境、脆弱性、入侵种类 系统框架:异常检测器,专家系统 90年初:CMDS、NetProwler、NetRanger ISS RealSecure入侵检测起源入侵检测的起源(1)n审计技术:产生、记录并检查按时间顺序排列 的系统事件记录的过程n审计的目标:确定和保持系统活动中每个人的责任重建事件评估损失监测系统的问题区提供有效的灾难恢复阻止系统的不正当使用入侵检测的起源(2)n计算机安全和审计n美国国防部在70年代支持“可信信息系统 ”的研究,最终审计机制纳入可信计算 机系统评估准则(TCSEC
5、)C2级以上 系统的要求的一部分n“褐皮书”理解可信系统中的审计指南 入侵检测的起源(3)1980年4月,James P. Anderson :Computer Security Threat Monitoring and Surveillance( 计算机安全威胁监控与监视)的技术报告,第一 次详细阐述了入侵检测的概念 他提出了一种对计算机系统风险和威胁的分类方 法,并将威胁分为外部渗透、内部渗透和不法行 为三种 还提出了利用审计跟踪数据监视入侵活动的思想 。这份报告被公认为是入侵检测的开山之作入侵检测的起源(4)从1984年到1986年,乔治敦大学的Dorothy Denning和 SRI
6、/CSL的Peter Neumann研究出了一个实时入侵检测系 统模型,取名为IDES(入侵检测专家系统)入侵检测的起源(5)1990,加州大学戴维斯分校的L. T. Heberlein等 人开发出了NSM(Network Security Monitor) 该系统第一次直接将网络流作为审计数据来源, 因而可以在不将审计数据转换成统一格式的情况 下监控异种主机 入侵检测系统发展史翻开了新的一页,两大阵营 正式形成:基于网络的IDS和基于主机的IDS 入侵检测的起源(6)IDS存在与发展的必然性一、网络攻击的破坏性、损失的严重性二、日益增长的网络安全威胁三、单纯的防火墙无法防范复杂多变的攻击为什
7、么需要IDSn关于防火墙网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部n入侵很容易入侵教程随处可见各种工具唾手可得IDS基本结构n入侵检测是监测计算机网络和系统,以发 现违反安全策略事件的过程n简单地说,入侵检测系统包括三个功能 部件: (1)信息收集 (2)信息分析 (3)结果处理信息收集n入侵检测的第一步是信息收集,收集内容 包括系统、网络、数据及用户活动的状态 和行为。n需要在计算机网络系统中的若干不同关键 点(不同网段和不同主机)收集信息,尽可能扩大检测范围从一个源来的信息有可能看不出疑点信息收集n入侵检测很大程度上依赖于收集信息的可 靠性和正确性,因此,要
8、保证用来检测网 络系统的软件的完整性,特别是入侵检测 系统软件本身应具有相当强的坚固性,防 止被篡改而收集到错误的信息 信息收集的来源n系统或网络的日志文件n网络流量n系统目录和文件的异常变化n程序执行中的异常行为系统或网络的日志文件n黑客经常在系统日志文件中留下他们的踪迹, 因此,充分利用系统和网络日志文件信息是检 测入侵的必要条件n日志文件中记录了各种行为类型,每种类型又 包含不同的信息,例如记录“用户活动”类型的 日志,就包含登录、用户ID改变、用户对文件 的访问、授权和认证信息等内容n显然,对用户活动来讲,不正常的或不期望的 行为就是重复登录失败、登录到不期望的位置 以及非授权的企图访
9、问重要文件等等 系统目录和文件的异常变化n网络环境中的文件系统包含很多软件和数据文 件,包含重要信息的文件和私有数据文件经常 是黑客修改或破坏的目标。目录和文件中的不 期望的改变(包括修改、创建和删除),特别 是那些正常情况下限制访问的,很可能就是一 种入侵产生的指示和信号n入侵者经常替换、修改和破坏他们获得访问权 的系统上的文件,同时为了隐藏系统中他们的 表现及活动痕迹,都会尽力去替换系统程序或 修改系统日志文件 信息分析 模式匹配 统计分析 完整性分析,往往用于事后分析模式匹配n模式匹配就是将收集到的信息与已知的网络入侵 和系统误用模式数据库进行比较,从而发现违背 安全策略的行为n一般来讲
10、,一种进攻模式可以用一个过程(如执 行一条指令)或一个输出(如获得权限)来表示 。该过程可以很简单(如通过字符串匹配以寻找 一个简单的条目或指令),也可以很复杂(如利 用正规的数学表达式来表示安全状态的变化)统计分析n统计分析方法首先给系统对象(如用户、文件、 目录和设备等)创建一个统计描述,统计正常使 用时的一些测量属性(如访问次数、操作失败次 数和延时等)n测量属性的平均值将被用来与网络、系统的行为 进行比较,任何观察值在正常值范围之外时,就 认为有入侵发生完整性分析n完整性分析主要关注某个文件或对象是 否被更改,这经常包括文件和目录的内 容及属性,它在发现被更改的、被安装 木马的应用程序
11、方面特别有效入侵检测的分类(1)n按照分析方法(检测方法)异常检测模型(Anomaly Detection ):首先总 结正常操作应该具有的特征(用户轮廓), 当用户活动与正常行为有重大偏离时即被认 为是入侵 误用检测模型(Misuse Detection):收集非 正常操作的行为特征,建立相关的特征库, 当监测的用户或系统行为与库中的记录相匹 配时,系统就认为这种行为是入侵 异常检测Below Threshold levelsExceed Threshold LevelsSystem AuditMetricsProfilerIntrusionNormal Activity异常检测模型1. 前
12、提:入侵是异常活动的子集 2. 用户轮廓(Profile): 通常定义为各种行为参数及其 阀值的集合,用于描述正常行为范围3. 过程监控 量化 比较 判定 1. 2. 修正4. 指标:漏报(false positive),错报(false negative)异常检测异常检测n如果系统错误地将异常活动定义为入侵,称为 误报(false positive) ;如果系统未能检测出真 正的入侵行为则称为漏报(false negative)。 n特点:异常检测系统的效率取决于用户轮廓的 完备性和监控的频率。因为不需要对每种入侵 行为进行定义,因此能有效检测未知的入侵。 同时系统能针对用户行为的改变进行自
13、我调整 和优化,但随着检测模型的逐步精确,异常检 测会消耗更多的系统资源。 Anomaly Detectionactivity measuresprobable intrusionRelatively high false positive rate - anomalies can just be new normal activities.System AuditMetrics Pattern MatcherIntrusionNormal ActivityNo Signature MatchSignature Match误用检测模型误用检测1. 前提:所有的入侵行为都有可被检测到的特征 2.
14、 攻击特征库: 当监测的用户或系统行为与库中的记录 相匹配时,系统就认为这种行为是入侵 3. 过程监控 特征提取 匹配 判定 4. 指标 错报低 漏报高 误用检测误用检测模型n如果入侵特征与正常的用户行能匹配,则系统 会发生误报;如果没有特征能与某种新的攻击 行为匹配,则系统会发生漏报n特点:采用特征匹配,滥用模式能明显降低错 报率,但漏报率随之增加。攻击特征的细微变 化,会使得滥用检测无能为力Misuse DetectionIntrusion Patternsactivitiespattern matchingintrusionCant detect new attacksExample:
15、if (src_ip = dst_ip) then “land attack”入侵检测的分类(2)n按照数据来源:基于主机:系统获取数据的依据是系统 运行所在的主机,保护的目标也是系统 运行所在的主机基于网络:系统获取的数据是网络传输 的数据包,保护的是网络的运行混合型n监视与分析主机的审计记录n可以不运行在监控主机上n能否及时采集到审计记录?n如何保护作为攻击目标主机审计子系统 ?基于主机n在共享网段上对通信数据进行侦听采集数据 n主机资源消耗少 n提供对网络通用的保护n如何适应高速网络环境?n非共享网络上如何采集数据?基于网络两类IDS监测软件n网络IDS侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少 n主机IDS视野集中 易于用户自定义保护更加周密对网络流量不敏感 入侵检测的分类(3)n按系统各模块的运行方式集中式:系统的各个模块包括数据的 收集分析集中在一台主机上运行分布式:系统的各个模块分布在不同 的计算机和设备上入侵检测的分类(4)n根据时效性脱机分析:行为发生后,对产生的数 据进行分析联机分析:在数据产生的同时或者发 生改变时进行分析常用术语n当一个入侵正在发生或者试图发生时,IDS系统将发 布一个alert信息通知系统管理员n如果控制台与IDS系统同在一台机器,alert信息将 显示在监视器上,也可能伴随着声
