《《信息系统安全原理》电子教案 第4章》由会员分享,可在线阅读,更多相关《《信息系统安全原理》电子教案 第4章(96页珍藏版)》请在金锄头文库上搜索。
1、第4章 信息系统安全监控,从安全性的角度看,所有试图破坏系统安全性的行为都称为攻击,入侵就是成功的攻击。当一次入侵是成功的时候,一次入侵就发生了。或着说,系统藉以保障安全的第一道防线已经被攻破了。所以,只从防御的角度被动地构筑安全系统是不够的。 安全监控是从一种积极的防御措施。它通过对系统中所发生的现象的记录,分析系统出现了什么异常,以便采取相应的对策。,本章结构,4.1 入侵检测系统概述,4.2 入侵检测系统的基本结构,4.3 入侵检测系统的实现,4.4 入侵检测系统的标准化,4.5 网络诱骗,4.6 安全审计,习题,4.1 入侵检测系统概述,入侵检测(Intrusion Detection
2、 System, IDS)就是一种主动安全保护技术。入侵检测像雷达警戒一样,在不影响网络性能的前提下,对网络进行警戒、监控,从计算机网络的若干关键点收集信息,通过分析这些信息,看看网络中是否有违反安全策略的行为和遭到攻击的迹象,从而扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。,4.1.1 入侵检测与入侵检测系统,IDS是对计算机和网络系统资源上的恶意使用行为进行识别和响应的处理,它最早于1980年4月由James P. Anderson在为美国空军起草的技术报告Computer Security Threat Monitoring and Surveillance(计算机安
3、全威胁监控与监视)中提出。他提出了一种对计算机系统风险和威胁的分类方法,将威胁分为外部渗透、内部渗透和不法行为;提出了利用审计跟踪数据,监视入侵活动的思想。,相关概念,“入侵”(Intrusion)是一个广义的概念,不仅包括发起攻击的人(包括黑客)取得超出合法权限的行为,也包括收集漏洞信息,造成拒绝访问(Denial of Service)等对系统造成危害的行为。 入侵检测(Intrusion Detection)就是对入侵行为的发觉。它通过对计算机网络等信息系统中若干关键点的有关信息的收集和分析,从中发现系统中是否存在有违反安全规则的行为和被攻击的迹象。 入侵检测系统(Intrusion D
4、etection System, IDS)就是进行入侵检测的软件和硬件的组合。,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,被认为是防火墙后面的第二道安全防线。,入侵检测系统的主要功能,具体说来,入侵检测系统的主要功能有: 监视并分析用户和系统的行为; 审计系统配置和漏洞; 评估敏感系统和数据的完整性; 识别攻击行为、对异常行为进行统计; 自动收集与系统相关的补丁; 审计、识别、跟踪违反安全法规的行为; 使用诱骗服务器记录黑客行为; ,4.1.2 实时入侵检测和事后入侵检测,实时入侵检测,实时入侵检测在网络的连接过程中进行,通过攻击识别模块对用户当前的
5、操作进行分析,一旦发现攻击迹象就转入攻击处理模块,如立即断开攻击者与主机的连接、收集证据或实施数据恢复等。如图4.1所示,这个检测过程是反复循环进行的。,图4.1 实时入侵检测过程,事后入侵检测,事后入侵检测是根据计算机系统对用户操作所做的历史审计记录,判断是否发生了攻击行为,如果有,则转入攻击处理模块处理。事后入侵检测通常由网络管理人员定期或不定期地进行的。图4.2为事后入侵检测的过程。,图4.2 事后入侵检测的过程,4.1.3 入侵检测系统模型,1. IDES模型,1980年James P. Anderson为美国空军起草的技术报告Computer Security Threat Moni
6、toring and Surveillance仅仅提出了关于入侵检测一些概念。1984年到1986年间,乔治敦大学的Dorothy Denning和SRI/CSI(SRI公司的计算机科学实验室)的Peter Neumann研究出了一个如图4.3所示的实时入侵检测系统模型IDES(入侵检测专家系统)。,图4.3 Denning的IDES模型,在这个模型中,事件产生器从审计记录/网络数据包以及其他可视行为中获取事件,构成检测的基础。行为特征表是整个检测系统的核心,它包含了用于计算用户行为特征的所有变量。这些变量可以根据具体采用的统计方法以及事件记录中的具体动作模式定义,并根据匹配上的记录数据进行变
7、量值的更新。一旦有统计变量的值达到了异常程度,行为特征表即产生异常记录,并采取相应的措施。规则模块可以由系统安全策略、入侵模式等赞成。它一方面为判断是否入侵提供参考标准;另一方面,可以根据事件记录、异常记录以及有效日期等控制并更新其他模块的状态。此外,这个模型还独立于特定的系统平台、应用环境和入侵类型,为构建入侵检测系统提供了一个通用框家。,IDES模型的改进,1988年,SRI/CSI的Teresa Luunt等人改进了Denning的模型,开发出了如图4.4所示的IDES。 该系统包括一个异常检测器(用于统计异常模型建立)和一个策略规则专家系统(基于规则的特征分析检测)。,图4.4 IDE
8、S结构框架,2. DIDS模型,1988年,莫里斯蠕虫的爆发,引起了军界、学者和企业界对网络安全的高度重视。美国空军、国家安全局和能源部共同资助空军密码支持中心、劳抡斯利弗摩尔国家实验室、加州大学分校、Haystack实验室开展对分布式入侵检测系统(DIDS)的研究。DIDS将基于主机和基于网络的检测方法集成到一起,形成如图4.5所示的模型。,DIDS检测模型采用了分层结构,包括了数据、时间、主体、上下文、威胁、安全状态等6层,成为分布式入侵检测系统发展史上的一个里程碑。,图4.5 DIDS结构框架,4.1.4 入侵检测系统的优点及其局限,1. 优点,采用入侵检测系统和漏洞评估工具带来的好处有
9、如下一些: 提高了信息系统安全体系其他部分的完整性; 提高了系统的监察能力; 可以跟踪用户从进入到退出的所有活动或影响; 能够识别并报告数据文件的改动; 可以发现系统配置的错误,并能在必要时予以改正; 可以识别特定类型的攻击,并进行报警,作出防御响应; 可以使管理人员最新的版本升级添加到程序中; 允许非专业人员从事系统安全工作; 可以为信息系统安全提供指导。,2. 局限,但是,与其他任何工具一样,入侵检测也不是万能的,它们的使用存在如下局限: 在无人干预的情形下,无法执行对攻击的检测; 无法感知组织(公司)安全策略的内容; 不能弥补网络协议的漏洞; 不能弥补系统提供信息的质量或完整性问题; 不
10、能分析网络繁忙时的所有事物; 不能总是对数据包级的攻击进行处理; ,4.2 入侵检测系统的基本结构,入侵检测是防火墙的合理补充,帮助系统对付来自外部或内部的攻击,扩展了系统管理员的安全管理能力(如安全审计、监视、攻击识别及其响应),提高了信息安全基础结构的完整性。如图4.6所示,入侵检测系统的主要工作就是从信息系统的若干关键点上收集信息,然后分析这些信息,用来得到网络中有无违反安全策略的行为和遭到袭击的迹象。,图4.6 入侵检测系统的通用模型,入侵检测系统这个模型比较粗略。但是它表明数据收集、数据分析和处理响应是一个入侵检测系统的最基本部件。,4.2.1 信息收集,1. 数据收集的内容,入侵检
11、测的第一步是在信息系统的一些关键点上收集信息。这些信息就是入侵检测系统的输入数据。,入侵检测系统收集的数据一般有如下4个方面: (1)主机和网络日志文件 (2)目录和文件中的不期望的改变 (3)程序执行中的不期望行为 (4)物理形式的入侵信息,(1)主机和网络日志文件,主机和网络日志文件中记录了各种行为类型,每种行为类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。这些信息包含了发生在主机和网络上的不寻常和不期望活动的证据,留下黑客的踪迹。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动响应的应急响应程序。因此,
12、充分利用主机和网络日志文件信息是检测入侵的必要条件。,(2)目录和文件中的不期望的改变,网络环境中的文件系统包含很多软件和数据文件。包含重要信息的文件和私密数据文件经常是黑客修改或破坏的目标。黑客经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐蔽系统中他们的活动痕迹,还会尽力替换系统程序或修改系统日志文件。因此,目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的对象,往往就是入侵产生的指示和信号。,(3)程序执行中的不期望行为,每个在系统上执行的程序由一到多个进程来实现。每个进程都运行在特定权限的环境中,的行为由它运行时执行的操作来表现,这种环境控制
13、着进程可访问的系统资源、程序和数据文件等;操作执行的方式不同,利用的系统资源也就不同。 操作包括计算、文件传输、设备以及与网络间其它进程的通讯。黑客可能会将程序或服务的运行分解,从而导致它的失败,或者是以非用户或管理员意图的方式操作。因此,一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。,(4)物理形式的入侵信息,黑客总是想方设法(如通过网络上的由用户私自加上去的不安全未授权设备)去突破网络的周边防卫,以便能够在物理上访问内部网,在内部网上安装他们自己的设备和软件。例如,用户在家里可能安装Modem以访问远程办公室,那么这一拨号访问就成了威胁网络安全的后门。黑客就会利用这个后门来访问内
14、部网,从而越过了内部网络原有的防护措施,然后捕获网络流量,进而攻击其它系统,并偷取敏感的私有信息等等。,2.入侵检测系统的数据收集机制,准确性、可靠性和效率是入侵检测系统数据收集机制基本指标,在IDS中占据着举足轻重的位置。如果收集的数据时延较大,检测就会失去作用;如果数据不完整,系统的检测能力就会下降;如果由于错误或入侵者的行为致使收集的数据不正确,IDS就会无法检测某些入侵,给用户以安全的假象。,(1)基于主机的数据收集和基于网络的数据收集,基于主机的IDS是在每台要保护的主机后台运行一个代理程序,检测主机运行日志中记录的未经授权的可疑行径,检测正在运行的进程是否合法并及时做出响应。 基于
15、网络的入侵检测系统是在连接过程中监视特定网段的数据流,查找每一数据包内隐藏的恶意入侵,对发现的入侵做出及时的响应。在这种系统中,使用网络引擎执行监控任务。如图4.7所示,网络引擎所处的位置决定了所监控的网段,图4.7 基于网络的IDS中网络引擎的配置,如图4.7所示,网络引擎所处的位置决定了所监控的网段。 网络引擎配置在防火墙内,可以监测渗透过防火墙的攻击; 网络引擎配置在防火墙外的非军事区,可以监测对防火墙的攻击; 网络引擎配置在内部网络的各临界网段,可以监测内部的攻击。,控制台用于监控全网络的网络引擎。为了防止假扮控制台入侵或拦截数据,在控制台与网络引擎之间应创建安全通道。,基于网络的入侵
16、检测系统主要用于实时监控网络关键路径。它的隐蔽性好、视野宽、侦测速度快、占用资源少、实施简便,并且还可以用单独的计算机实现,不增加主机负担。但难于发现所有数据包,对于加密环境无能为力,用在交换式以太网上比较困难。,基于主机的IDS提供了基于网络的IDS不能提供的一些功能,如二进制完整性检查、记录分析和非法进程关闭等。同时由于不受交换机隔离的影响,在交换网络中非常有用。但是它对网络流量不敏感,并且由于运行在后台,不能访问被保护系统的核心功能(不能将攻击阻挡在协议层之外)。它的内在结构没有任何束缚,并可以利用操作系统提供的功能,结合异常分析,较准确地报告攻击行为,而不是根据网上收集到的数据包去猜测发生的事件。但是它们往往要求为不同的平台开发不同的程序,从而增加了主机的负担。,总地看来,单纯地使用基于主机的入侵检测或基于网络的入侵检测,都会造成主动防御体系的不全面。但是,由于它们具有互补性,所以将两种产品结合起来,无缝地部署在网络内,就会构架成综合了两者优势的主动防
