《信息与网络安全教学课件作者程光第十一章》由会员分享,可在线阅读,更多相关《信息与网络安全教学课件作者程光第十一章(40页珍藏版)》请在金锄头文库上搜索。
1、,入侵检测的基本原理和结构 入侵检测的分类 入侵检测的技术指标 入侵检测的标准化和发展方向 入侵检测系统的实例,第11章 入侵检测技术,入侵检测技术,入侵检测技术是主动保护自己免受攻击的一种网络安全技术。入侵检测系统(Intrusion-detection system,IDS)就是采用入侵检测技术的系统。目前主要的网络安全技术有IDS、防火墙、扫描器、VPN和防病毒技术 。 四种网络安全技术的对比,入侵检测系统概述,入侵检测系统的定义是入侵检测系统是一种对网络传输进行实时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主
2、动的安全防护技术。 1980年4月,James P. Anderson :Computer Security Threat Monitoring and Surveillance(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念。 从1984年到1986年,乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型(Intrusion Detection Expert System,IDES)。 1990,加州大学戴维斯分校的L. T. Heberlein等人开发出了网络安全监测器(Network Security
3、 Monitor,NSM)。,入侵检测系统概述,IDES结构框架,入侵检测系统术语,ALERT(警报) 当一个入侵正在发生或者试图发生时,IDS系统将发布一个alert信息通知系统管理员。 Anomaly(异常) 一个基于anomaly(异常)的IDS会构造一个当时活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时,IDS就会告警 。 自动响应 指可以通过重新配置路由器和防火墙,拒绝那些来自同一地址的信息流;并通过在网络上发送reset包切断连接。 Signature(特征) IDS的核心是攻击特征,它使IDS在事件发生时触发。 Promiscuous(混杂模式) 如果网络接口是混
4、杂模式,就可以看到网段中所有的网络通信量,不管其来源或目的地。,入侵检测系统体系结构,入侵检测系统体系结构,入侵检测系统包括三个功能部件: (1)信息收集 入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。 信息收集的来源:网络流量日志,系统或网络的日志文件,网络流量、系统目录和文件的异常变化,程序执行中的异常行为等。 (2)信息分析 信息分析往往用于事后分析,包括:模式匹配、统计分析、完整性分析等。 (3)结果处理 结果处理的作用在于报警和响应,报警就是通知管理员,产生一个正式的警报,而响应就是对警报的安全事件的处理。,入侵检测的基本原理和结构 入侵检测的分类
5、入侵检测的技术指标 入侵检测的标准化和发展方向 入侵检测系统的实例,目 录,入侵检测系统分类,从技术上,入侵检测分为两类 基于标志(signature-based)又叫做基于规则(rule-based) 基于规则的检测技术的核心是维护一个知识库,对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常情况(anomaly-based) 基于异常的检测技术则无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广泛、甚至未发觉的攻击。 在两种检测技术的基础上形成了两种不同形式的检测模型:入侵检测可以分为异常检测模型(Anomaly De
6、tection )和误用检测模型(Misuse Detection)。,入侵检测系统分类,从技术上,入侵检测分为两类 异常检测模型 检测与可接受行为之间的偏差。 其效率取决于用户轮廓的完备性和监控的频率。 异常入侵检测方法:统计异常检测、基于特征选择异常检测、基于贝叶斯推理异常检测、基于贝叶斯网络异常检测、基于模式预测异常检测、基于神经网络异常检测、基于贝叶斯聚类异常检测、基于机器学习异常检测、基于数据挖掘异常检测、基于误用的入侵检测。,异常检测过程,入侵检测系统分类,从技术上,入侵检测分为两类 误用检测模型 前提是所有的入侵行为都有可被检测到的特征。 主要思想是通过某种方式预先定义入侵行为,
7、然后监视系统,从中找出符合预先定义规则的入侵行为。 误用入侵检测方法主要有:基于条件概率误用检测、基于专家系统误用检测、基于状态迁移误用检测、基于键盘监控误用检测、基于模型误用检测、基于误用的入侵检测。 特点是错报的概率比较低,但是漏报的概率比较高。,误用检测过程,入侵检测系统分类,按照数据来源分类 基于主机的入侵检测系统 基于主机的入侵检测监视与分析主机的审计记录,由于内部人员的威胁正变得更重要,基于主机入侵检测主要发现特权滥用、关键数据的访问及修改、安全配置的变化等威胁。 该系统有两种工作方式:集中式和分布式,集中式 功能主要有:警报、监视、毁坏情况评估、遵从性分析等。 存在问题:能否及时
8、采集到审计记录?如何保护作为攻击目标主机审计子系统?,入侵检测系统分类,按照数据来源分类 基于网络的入侵检测系统 基于网络的入侵检测系统在共享网段上对通信数据进行侦听采集数据,主机资源消耗少,提供对网络通用的保护。 基于网络的入侵检测系统由遍及网络的传感器(Sensor)组成,传感器向中央控制台报告数据。 存在问题:如何适应高速网络环境?非共享网络上如何采集数据?,入侵检测的基本原理和结构 入侵检测的分类 入侵检测的技术指标 入侵检测的标准化和发展方向 入侵检测系统的实例,目 录,入侵检测系统的技术指标,误报 所谓入侵检测系统误报是指系统中的检测算法将正常的网络数据当成了攻击。 产生误报的若干
9、原因 在基于规则的入侵检测系统中,管理员对规则的定义不够严禁可能导致产生误报 入侵检测系统中采用异常检测模型,则产生误报的可能性将大大增加。 在误用检测模型中,外部攻击者只需要构建基于入侵规则的数据报文,就可以形成对入侵检测系统的攻击,产生大量的误报信息。 降低误报的技术手段 将传统的基于特征的技术和协议分析技术相结合 将基于异常的技术和传统的基于特征的技术相结合 强化IDS的安全管理功能,入侵检测系统的技术指标,漏报 与入侵检测误报相比,漏报导致的损失更加严重 。 漏报产生的原因 基于误用检测模型的入侵检测系统,由于规则不全或者规则库的更新不及时 基于异常检测模型的入侵检测系统由于不能正确界
10、定异常和正常的现象 减少漏报的措施 及时更新规则库,保证规则库保持为最新状态 根据内部网络的特点和相关管理维护经验,定制适合内部网络的相关规则 正确定义异常检测模型中的正常和异常情况,采用人工干预等方法和手段,提高异常检测模型的识别能力,入侵检测系统的技术指标,管理能力 需要控制台和日志分析程序来管理和分析多个网络引擎及它们产生的警报 ; 网络设备产品提供商,为用户提供远程管理功能; 存在问题:用户只能被动地得到信息,而不能主动控制远程的网络引擎 。 健壮性 程序本身在各种网络环境下都能正常工作 ; 程序各个模块之间的通信能够不被破坏,不可仿冒 。,入侵检测的基本原理和结构 入侵检测的分类 入
11、侵检测的技术指标 入侵检测的标准化和发展方向 入侵检测系统的实例,目 录,标准化和发展方向,目前,对IDS进行标 准化的工作有两个组织:IETF的入侵检测工作组 (IDWG,http:/www.ietf.org/html.charters/OLD/idwg-charter.html)和通用入侵检测框架(CIDF,http:/gost.isi.edu/cidf/)。 从进展状况来看,目前IDWG基本形成了4个RFC文档,其中有3个文档实在2007年3月从草案正式被接受为RFC文档的,历时数年之久,相当不容易;但是CIDF的进展就不尽如人意了,目前该项目组的工作基本处于停滞状态,其思想和理念也没有
12、得到很好的贯彻和执行。,标准化和发展方向,入侵检测工作组 IDWG的主要工作是定义相关的数据格式和共享信息的交换过程,用于入侵检测与响应(Intrusion Detection and Response,IDR)系统之间或与需要交互的管理系统之间的信息共享。 IDWG已经形成了四份RFC文档,主要包括三部分内容:隧道轮廓(Tunnel Profile,RFC3620)、入侵检测消息交换格式(IDMEF,RFC4766,RFC4765)以及入侵检测交换协议(I,RFC4767)。,标准化和发展方向,通用入侵检测框架 CIDF所做的工作主要包括四部分:IDS的体系结构、通信机制、描述语言和应用编程
13、接口API。 提出了一个通用模型CIDF将一个入侵检测系统分为四个组件:事件产生器(Event generators)、事件分析器(Event analyzers)、响应单元(Response units )、事件数据库(Event databases ) 。 CIDF的总体目标是实现软件的复用和IDR(入侵检测与响应)组件之间的互操作性。,标准化和发展方向,入侵检测系统的技术难点 存在问题 误报和漏报的矛盾 隐私和安全的矛盾 被动分析与主动发现的矛盾 海量信息与分析代价的矛盾 功能性和可管理性的矛盾 单一的产品与复杂的网络应用的矛盾 网络规模扩大,网络速度提高,其需满足高速大规模网络应用需求
14、,标准化和发展方向,入侵检测系统发展趋势 分析技术的改进 入侵检测分析方法主要有:统计分析、模式匹配、数据重组、协议分析、行为分析等。 目前最好综合使用多种检测技术,而不只是依靠传统的统计分析和模式匹配技术。另外,规则库是否及时更新也和检测的准确程度相关。 内容回卷和网络审计功能的引入 内容恢复即在协议分析的基础上,对网络中发生的行为加以完整的重组和记录,网络中发生的任何行为都逃不过它的监视。 网络审计即对网络中所有的连接事件进行记录。 集成网络分析和管理功能 入侵检测产品集成网管功能、扫描器(Scanner)、嗅探器(Sniffer)等功能是以后发展的方向,标准化和发展方向,入侵检测系统发展
15、趋势 提高安全性和易用性 对易用性的要求也日益增强 ; 全中文的图形界面、自动的数据库维护、多样的报表输出,这些都是入侵产品以后继续发展细化的趋势。 改进对高速网络的处理方法 对大数据量处理的要求,入侵检测的性能要求也逐步提高,出现了千兆入侵检测等产品。 网络数据分流也是一个很好的解决方案,性价比也较好,是国际上较通用的一种作法。,入侵检测的基本原理和结构 入侵检测的分类 入侵检测的技术指标 入侵检测的标准化和发展方向 入侵检测系统的实例,目 录,LIDS,LIDS全称Linux 入侵检测系统,是增强 Linux 核心的安全的补丁程序。 它主要应用了一种安全参考模型和强制访问控制(Mandat
16、ory Access Control)模型。 LIDS能够保护重要的系统文件、重要的系统进程、并能阻止对系统配制信息的改变和对设备的读写操作。,LIDS,LIDS主要功能 保护 检测 响应 LIDS的安装 安装LIDS 安装lids管理工具 LIDS的配置,SNORT,Snort是一个开放源码的网络入侵检测系统,可以免费获得(http:/www.snort.org)。 Snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。 嗅探器模式就是snort从网络上读出数据包然后显示在用户的控制台上。 SNORT规则 Snort的规则存储在文本文件中,并可以用文本编辑器修改。规则以类别分组,不同类别的规则存储在不同的文件中。 规则实例 alert tcp any any - 202.119.25.0/24 111 (content:“|00 01 86 a5|“; msg: “mountd access“;),SNORT,Snort安装 使用SNORT需要安装的软件工具包括:SNORT、MySQL、APACHE、PHP、BASE、OlinkMaster;
