《入侵检测系统》由会员分享,可在线阅读,更多相关《入侵检测系统(59页珍藏版)》请在金锄头文库上搜索。
1、入侵检测系统入侵检测系统目目 录录n深层防御体系及IDS作用nIDS实现方式nIDS分析方式nIDS的结构n入侵检测的困惑n第四代入侵检测技术n入侵检测的新发展深层防御体系及IDS作用防火墙的作用防火墙的作用一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同网络安全域网络安全域之间的一系列部件的组合,它是不同之间的一系列部件的组合,它是不同 网络安全域间通信流的网络安全域间通信流的唯一通道唯一通道,能根据企业有关的安全政策,能根据企业有关的安全政策控制控制(允许、拒绝、(允许、拒绝、 监视、记录)进出网络的访问行为。监视、记录)进出网络的访问行为。 两个安全域之间通 信流的唯一通道安
2、全域1Host A Host B 安全域2Host C Host D UDPUDPBlockBlockHost CHost CHost BHost BTCPTCPPassPassHost CHost CHost AHost ADestinationDestinationProtocolProtocolPermitPermitSourceSource根据访问控制规则决 定进出网络的行为防火墙的局限(防火墙的局限(1 1)%c1%1c%c1%1cDir c:防火墙的局限(防火墙的局限(2 2)n防火墙不能防止通向站点的后门n防火墙一般不提供对内部的保护n防火墙无法防范数据驱动型攻击n防火墙不能防止
3、用户由Internet上下载被病毒感染的计算机程序,或者将该类程序附在电子邮件上传输确保网络的安全,就要对网络内部进行实时的 检测 , 这就需要IDS无时不在的防护!什么是入侵行为什么是入侵行为入侵行为主要是指对系统资源的非授权使用,它可以造成系统数据的丢失和破坏、可以造成系统拒绝对合法用户服务等危害。 什么是入侵检测系统什么是入侵检测系统IDS(Intrusion Detection System)就是入侵检测系统,它通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏。 监控室=控制中心后门保安=
4、防火墙摄像机=探测引擎Card KeyCard Key形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是 智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光 摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机, 还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断连接、关闭道路 (与防火墙联动)。入侵检测的作用入侵检测的作用在安全体系中,IDS是唯一一个通过数据和行为模式判断其是否有效的系统,如下图所示,防火墙就象一道门,它可以阻止一类人群的进入,但无法阻止同一类人群中的破坏分子,也不能阻止内部的破坏分子;访问控制系统可以不让低级权
5、限的人做越权工作,但无法保证高级权限的做破坏工作,也无法保证低级权限的人通过非法行为获得高级权限 入侵检测的职责入侵检测的职责IDS系统的两大职责:实时监测和安全审计n实时监测实时地监视、分析网络中所有的数据报 文,发现并实时处理所捕获的数据报文n安全审计通过对IDS系统记录的网络事件进行统计 分析,发现其中的异常现象,得出系统的安全状态, 找出所需要的证据深层次防御体系的组成深层次防御体系的组成入侵检测在立体防御体系中的作用入侵检测在立体防御体系中的作用联 动入侵检测防火墙实时性协议层次应用层表示层会话层传输层IP层数据链层物理层实时 准实时 事后实时分析所有的数据包 ,决定是否允许通过监控
6、所有的数据包,判断是否 非法,进行相应处理(如阻断 或者报警)记录所有的操作以备 事后查询为系统提供全方位的保护审计系统深层次防御体系的特点深层次防御体系的特点n深度防御可以对整个网络提供不同级别的防护将网络系统划分安全级别并进行相应保护n深度防御可以对入侵破坏行为进行取证IDS和审计系统可以进行电子取证n深度防御可以有限阻止病毒、蠕虫的威胁IDS是网络动态防病毒的核心组成n深度防御可以为系统提供最完备的保护从物理层直至应用层都可以得到保护n深度防御不会破坏系统的效率和稳定性从物理层直至应用层都可以得到保护n深度防御可以识别、防范位置的新攻击方式基于异常分析和行为分析的入侵检测IDS的实现方法
7、IDSIDS的实现方法的实现方法网络网络IDSIDSIDSIDS的实现方法的实现方法主机主机IDSIDS主机IDS运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理。其监测的资源主要包括:网络、文件、进程、系统日志等主机主机IDSIDS和网络和网络IDSIDS比较比较n基于网络的入侵检测系统的主要优点有:(1)成本低。(2)攻击者转移证据很困难。(3)实时检测和应答。一旦发生恶意访问或攻击,基于网络的IDS检测可 以随时发现它们,因此能够更快地作出反应。从而将入侵活动对系统的破坏 减到最低。(4)能够检测未成功的攻击企图。
8、(5)操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资 源。而基于主机的系统需要特定的操作系统才能发挥作用。n基于主机的IDS的主要优势有:(1)非常适用于加密和交换环境。(2)实时的检测和应答。(3)不需要额外的硬件。IDS的分析方式IDSIDS的分析方式的分析方式n异常防线技术(基于行为的检测)n模式发现技术(基于知识的检测)基于行为的检测基于行为的检测基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出现来检测,所以也被称为异常检测(Anomaly Detection)。n与系统相对无关n能检测出新的攻击方法n误检测较高基于行为的检测基于行
9、为的检测概率统计方法概率统计方法n操作密度n审计纪律分布n范畴尺度n数值尺度记录的具体操作包括:CPU 的使用,I/O 的使用,使用地点及时间,邮件使用,编辑器使用,编译器使用,所创建、删除、访问或改变的目录及文件,网络上活动等。 基于行为的检测基于行为的检测神经网络分析神经网络分析基本思想是用一系列信息单元(命令)训练神经单元,这样在给定一组输入后,就可能预测出输出。当前命令和刚过去的w个命令组成了网络的输入,其中w是神经网络预测下一个命令时所包含的过去命令集的大小。根据用户的代表性命令序列训练网络后,该网络就形成了相应用户的特征表,于是网络对下一事件的预测错误率在一定程度上反映了用户行为的
10、异常程度。目前还不很成熟。神经网络检测思想神经网络检测思想基于知识的检测基于知识的检测基于知识的检测指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来 检测。因为很大一部分的入侵是利用了系统的脆弱性 ,通过分析入侵过程的特征、条件、排列以及事件间 关系能具体描述入侵行为的迹象。基于知识的检测也 被称为违规检测(Misuse Detection)。这种方法由于 依据具体特征库进行判断,所以检测准确度很高,并 且因为检测结果有明确的参照,也为系统管理员做出 相应措施提供了方便。 基于知识的检测基于知识的检测专家系统专家系统将有关入侵的知识转化成if-then结构的规则,即将
11、构成入侵所要求的条件转化为if 部分,将发现入侵后采取的相应措施转化成then部分。当其中某个或某部分条件满足时,系统就判断为入侵行为发生。其中的if-then结构构成了描述具体攻击的规则库,状态行为及其语义环境可根据审计事件得到,推理机根据规则和行为完成判断工作。 基于知识的检测基于知识的检测模型推理模型推理模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为:攻击者目的,攻击者达到此目的的可能行为步骤,以及对系统的特殊使用等。根据这些知识建立攻击脚本库,每一脚本都由一系列攻击行为组成。 基于知识的检测基于知识的检测状态转换分析状态转换分析状态转换法将入侵过程看作
12、一个行为序列,这个行为序列导致系统从初始状态转入被入侵状态。 分析时首先针对每一种入侵方法确定系统的初始状 态和被入侵状态,以及导致状态转换的转换条件, 即导致系统进入被入侵状态必须执行的操作(特征 事件)。然后用状态转换图来表示每一个状态和特 征事件,这些事件被集成于模型中,所以检测时不 需要一个个地查找审计记录。但是,状态转换是针 对事件序列分析,所以不善于分析过分复杂的事件 ,而且不能检测与系统状态无关的入侵。 IDS的结构IDSIDS的基本结构的基本结构IDSIDS系统结构系统结构探测引擎探测引擎n采用旁路方式全面侦听网上信息流,实时分析n将分析结果与探测器上运行的策略集相匹配n执行报
13、警、阻断、日志等功能n完成对控制中心指令的接受和相应工作n探测器是由策略驱动的网络监听和分析系统IDSIDS的基本结构的基本结构引擎的功能结构引擎的功能结构IDSIDS的基本结构的基本结构控制中心控制中心n提供报警显示n提供对预警信息的记录、检索和统计功能n指定入侵检测的策略n控制探测器系统的运行状态n收集来自多台引擎的上报事件,综合进行事件分析,以多种方式对入侵事件进行快速响应IDSIDS基本结构基本结构控制中心的基本结构控制中心的基本结构IDSIDS的系统结构的系统结构n单机结构引擎和控制中心在一个系统之上,不能远距离操作,只能 在现场进行操作n分布式结构引擎和控制中心在2个系统之上,通过
14、网络通讯,可以远 距离查看和操作。目前的大多数IDS系统都是分布式的。 分布式结构的优点:不是必需在现场操作,可以用一个 控制中心控制多个引擎,可以统一进行策略编辑和下发, 可以统一查看申报的事件,可以通过分开事件显示和查看 的功能提高处理速度等等IDSIDS系统结构系统结构分布式结构图分布式结构图入侵检测的困惑入侵检测入侵检测没有用的技术?没有用的技术?n n 入侵检测入侵检测一种被提及太多的技术一种被提及太多的技术一种容易引起误解的技术一种容易引起误解的技术那么,入侵检测是不是没有用了?那么,入侵检测是不是没有用了?n管理人员需要了解网络中正在发生的各种活动n管理人员需要在攻击到来之前发现
15、攻击行为n管理人员需要识别异常行为n需要有效的工具进行针对攻击行为以及异常的实时和时候分析n入侵检测系统逐渐成为安全防范体系中不可或缺的一部分nAwareness is the key to securityn入侵检测是审计的基础n入侵检测是网管的基础 第四代入侵检测技术第四代入侵管理技术第四代入侵管理技术现代入侵攻击技术:新一代主动式恶意代码极短时间内(Flash worms-30s),利用优化扫描的方法,感染近十万个有漏洞的系统,可以确定并记录是否被击中(4-5分钟,感染近百万台系统)。扫描探测传递复制被感染的机器 有漏洞的机器第四代入侵管理技术第四代入侵管理技术 入侵发展(目标、入侵者攻击能力、传播速度、工 具数量、复杂、隐蔽) 利用加密传播恶意代码 各种技术和策略间的互操作及关联分析 日益增长的网络流量 抵御入侵面临的挑战抵御入侵面临的挑战第四代入侵管理技术第四代入侵管理技术抵御入侵面临的挑战抵御入侵面临的挑战 入侵检测术语未统一 入侵检测系统维护非常困难 在采取不适当的自动响应行为中存在风险 入侵检测系统可能自己攻击自己 第四代入侵管理技术第四代入侵管理技术n第一代:协议解码+模式匹配优点:对已知攻击,极其有效,误报率低缺点:极其容易躲避,漏报率
