《网络安全入侵检测技术.ppt》由会员分享,可在线阅读,更多相关《网络安全入侵检测技术.ppt(129页珍藏版)》请在金锄头文库上搜索。
1、,网络安全,入侵检测技术,第五章 入侵检测技术,5.1 5.2 5.3 5.4,概述 入侵检测技术 入侵检测体系 入侵检测发展,5,5.1,1 2 3 4,概述 入侵检测系统及起源 IDS基本结构 入侵检测的分类 基本术语,IDS存在与发展的必然性,网络安全本身的复杂性,被动式的防御方式显得力不从心。 有关防火墙:网络边界的设备;自身可以被攻破;对某些攻 击保护很弱;并非所有威胁均来自防火墙外部。 入侵很容易:入侵教程随处可见;各种工具唾手可得,入侵检测系统(IDS),入侵检测(Intrusion Detection)的定义:通过从计算机 网络或计算机系统中的若干关键点收集信息并对其进行分 析
2、,从中发现网络或系统中是否有违反安全策略的行为和遭 到袭击的迹象的一种安全技术。,入侵检测系统(IDS):进行入侵检测的软件与硬件的组 合。,入侵检测的起源(1),审计技术:产生、记录并检查按时间顺序排列的系统事 件记录的过程。,1980年,James P. Anderson的计算机安全威胁监控与 监视(Computer Security Threat Monitoring and Surveillance), 第一次详细阐述了入侵检测的概念, 计算机系统威胁分类: 外部渗透、内部渗透和不法行为 提出了利用审计跟踪数据监视入侵活动的思想 这份报告被公认为是入侵检测的开山之作,入侵检测的起源(2
3、),1984年到1986年,乔治敦大学的Dorothy Denning和,SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模 型IDES(入侵检测专家系统),1990年,加州大学戴维斯分校的L. T. Heberlein等人开发 出了NSM(Network Security Monitor), 该系统第一次直接将网络流作为审计数据来源,因而可以,在不将审计数据转换成统一格式的情况下监控异种主机 入侵检测系统发展史翻开了新的一页,两大阵营正式形,成:基于网络的IDS和基于主机的IDS,入侵检测的起源(3),1988年之后,美国开展对分布式入侵检测系统(DIDS)的 研究,将
4、基于主机和基于网络的检测方法集成到一起。 DIDS是分布式入侵检测系统历史上的一个里程碑式的产 品。,从20世纪90年代到现在,入侵检测系统的研发呈现出百家 争鸣的繁荣局面,并在智能化和分布式两个方向取得了长 足的进展。,IDS基本结构,IDS通常包括以下功能部件:P182,事件产生器 事件分析器 事件数据库 响应单元,事件产生器(1),负责原始数据采集,并将收集到的原始数据转换为事 件,向系统的其他部分提供此事件。,收集内容:系统、网络数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点(不同网段 和不同主机)收集信息, 系统或网络的日志文件 网络流量, 系统目录和文件的异常变
5、化 程序执行中的异常行为,事件产生器(2),注意:,入侵检测很大程度上依赖于收集信息的可靠性和正确性, 要保证用来检测网络系统的软件的完整性, 特别是入侵检测系统软件本身应具有相当强的坚固性,,防止被篡改而收集到错误的信息,事件分析器,接收事件信息,对其进行分析,判断是否为入侵行为或异常 现象,最后将判断的结果转变为告警信息。,分析方法:, 模式匹配:将收集到的信息与已知的网络入侵和系统误用模式数据库进,行比较,从而发现违背安全策略的行为, 统计分析:首先给系统对象(如用户、文件、目录和设备等)创建一个统 计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和 延时等);测量属性的平
6、均值和偏差将被用来与网络、系统的行为进行比 较,任何观察值在正常值范围之外时,就认为有入侵发生, 完整性分析(往往用于事后分析):主要关注某个文件或对象是否被更改,事件数据库,存放各种中间和最终数据的地方。,从事件产生器或事件分析器接收数据,一般会将数据进 行较长时间的保存。,响应单元,根据告警信息做出反应,是IDS中的主动武器。 可做出:, 强烈反应:切断连接、改变文件属性等 简单的报警,入侵检测的分类,按照分析方法/检测原理 按照数据来源 按照体系结构 按照工作方式,入侵检测性能关键参数,误报(false positive):实际无害的事件却被IDS检测为 攻击事件。,漏报(false n
7、egative):一个攻击事件未被IDS检测到或 被分析人员认为是无害的。,入侵检测的分类(1),按照分析方法/检测原理, 异常检测(Anomaly Detection ):首先总结正常操作应该 具有的特征(用户轮廓),试图用定量的方式加以描述, 当用户活动与正常行为有重大偏离时即被认为是入侵, 误用检测(Misuse Detection):收集非正常操作的行为特 征,建立相关的特征库,当监测的用户或系统行为与库中 的记录相匹配时,系统就认为这种行为是入侵,异常检测 前提:入侵是异常活动的子集 用户轮廓(Profile): 通常定义为各种行为参数及其阀值 的集合,用于描述正常行为范围 过程:,
8、监控,量化,比较,判定,修正 指标:漏报率低,误报率高,异常检测特点,异常检测系统的效率取决于用户轮廓的完备性和监控的频 率,不需要对每种入侵行为进行定义,因此能有效检测未知的 入侵,系统能针对用户行为的改变进行自我调整和优化,但随着 检测模型的逐步精确,异常检测会消耗更多的系统资源,指标:误报低、漏报高,误用检测 前提:所有的入侵行为都有可被检测到的特征 攻击特征库: 当监测的用户或系统行为与库中的记录 相匹配时,系统就认为这种行为是入侵 过程:,监控,特征提取,匹配,判定,误用检测,如果入侵特征与正常的用户行为能匹配,则系统会发生误 报;如果没有特征能与某种新的攻击行为匹配,则系统会 发生
9、漏报,特点:采用模式匹配,误用模式能明显降低误报率,但漏 报率随之增加。攻击特征的细微变化,会使得误用检测无 能为力。,入侵检测的分类(2),按照数据来源, 基于主机:系统获取数据的依据是系统运行所在的主机,,保护的目标也是系统运行所在的主机, 基于网络:系统获取的数据是网络传输的数据包,保护的,是网络的正常运行, 混合型,Internet,Customers Desktops,Network,Branch Office Telecommuters,Partners,基于主机的入侵检测系统(HIDS),Hacker,Web Servers HIDS,Servers HIDS,HIDS的工作原理
10、,X,检测内容: 系统调用、端口调用、审计记录、 系统日志、应用日志 客户端 Internet,网络服务器1 HIDS 网络服务器2 HIDS,注意:,监视与分析主机的审计记录和日志文件 主要用于保护运行关键应用的服务器,最适合于检测那些可以信赖的内部人员的误用以及已 经避开了传统的检测方法而渗透到网络中的活动 能否及时采集到审计记录,如何保护作为攻击目标的HIDS,HIDS,Internet,Web Servers,Customers,Servers,Network,Branch Office Telecommuters,Partners,基于网络的入侵检测系统(NIDS),NIDS Des
11、ktops,NIDS,NIDS,NIDS,基于网络入侵检测系统工作原理,数据包=包头信息+有效数据部分,网络服务器1 网络服务器2,检测内容: 包头信息+有效数据部分 X 客户端 Internet,注意:,在共享网段上对通信数据进行侦听采集数据 主机资源消耗少,提供对网络通用的保护 如何适应高速网络环境,非共享网络上如何采集数据,典型产品代表:Snort,NIDS,两类IDS监测软件,网络IDS - 侦测速度快 - 隐蔽性好 - 视野更宽 - 较少的监测器 - 占资源少,主机IDS - 视野集中 - 易于用户自定义 - 保护更加周密 - 对网络流量不敏感,入侵检测的分类(3),按照体系结构,
12、集中式:有多个分布于不同主机上的审计程序,但只有一 个中央入侵检测服务器。审计程序把当地收集到的数据踪 迹发送给中央服务器进行分析处理。(可伸缩性、可配置 性差), 分布式:将中央检测服务器的任务分配给多个HIDS,它们 不分等级,负责监控当地主机的可疑活动。(可伸缩性、 安全性高;但维护成本高,监控主机的工作负荷重),入侵检测的分类(4),按照工作方式, 离线检测:非实时工作,在行为发生后,对产生的数据进 行分析。(成本低,可分析大量事件、分析长期情况;但 无法提供及时保护), 在线检测:实时工作,在数据产生的同时或者发生改变时,进行分析(反应迅速、及时保护系统;但系统规模较大 时,实时性难
13、以得到实际保证),Alert(警报),Signatures(特征),Promiscuous(混杂模式),基本术语,当一个入侵正在发生或者试图发生时,IDS将发布一个 alert信息通知系统管理员,如果控制台与IDS同在一台机器,alert信息将显示在监 视器上,也可能伴随有声音提示,如果是远程控制台,那么alert将通过IDS的内置方法 (通常是加密的)、SNMP(简单网络管理协议,通常不 加密)、email、SMS(短信息)或者以上几种方法的混 合方式传递给管理员,Alert(警报),攻击特征是IDS的核心,它使IDS在事件发生时触发 特征信息过短会经常触发IDS,导致误报或错报;过长 则会
14、影响IDS的工作速度,有人将IDS所支持的特征数视为IDS好坏的标准,但是有 的厂商用一个特征涵盖许多攻击,而有些厂商则会将这 些特征单独列出,这就会给人一种印象:好像它包含了 更多的特征,是更好的IDS,Signatures(特征),Promiscuous(混杂模式),默认状态下,IDS网络接口只能“看到”进出主机的信息, 也就是所谓的non-promiscuous(非混杂模式),如果网络接口是混杂模式,就可以“看到”网段中所有的 网络通信量,不管其来源或目的地 这对于网络IDS是必要的,5.2,入侵检测技术 异常检测技术 误/滥用检测技术 高级检测技术 入侵诱骗技术 入侵响应技术,1 2
15、3 4 5,概率统计异常检测 特征选择异常检测 贝叶斯推理异常检测 贝叶斯网络异常检测,模式预测异常检测 神经网络异常检测 机器学习异常检测 数据挖掘异常检测,异常检测技术,概率统计异常检测方法,是异常检测技术中应用最早也是最多的一种方法,根据异常检测器观察主体的活动,然后产生刻划这些活动 的行为轮廓(用户特征表),每一个轮廓保存记录主体当前行为,并定时将当前轮廓与 历史轮廓合并形成统计轮廓(更新),通过比较当前轮廓 与统计轮廓来判定异常行为,用于描述特征的变量类型及具体操作:P189,概率统计异常检测方法,优点:可应用成熟的概率统计理论 缺点:, 由于用户行为的复杂性,要想准确地匹配一个用户
16、的历史行,为非常困难,容易造成系统误报和漏报, 定义入侵阈值比较困难,阈值高则误报率提高,阈值低则漏,报率增高,基于神经网络异常检测方法,基本思想:用一系列信息单元(命令)训练神经元,神经网络的输入层是用户当前输入的命令和已执行过的W 个命令;用户执行过的命令被神经网络使用来预测用户输 入的下一个命令,若神经网络被训练成预测用户输入命令序列集合,则神经 网络就构成用户的轮廓框架,于是网络对下一事件的预测 错误率在一定程度上反映了用户行为的异常程度 用于入侵检测的神经网络示意图:P190,基于神经网络异常检测方法,优点:,更好地表达了变量间的非线性关系,能更好地处理原始数 据的随机特征,即不需要对这些数据做任何统计假设,并 且能自动学习和更新, 有较好的抗干扰能力,缺点:网络拓扑结构以及各元素的权重很难确定,主要假设:具有能够被精确地按某种方式编码的攻击, 并可以通过捕获攻击及重新整理,确认入侵活动是基于 同一弱点进行攻击的入侵方法的变种,误
