《网络安全入侵检测技术课件》由会员分享,可在线阅读,更多相关《网络安全入侵检测技术课件(129页珍藏版)》请在金锄头文库上搜索。
1、网络安全入侵检测技术第五章 入侵检测技术5.15.25.35.4概述入侵检测技术入侵检测体系入侵检测发展55.11234概述入侵检测系统及起源IDS基本结构入侵检测的分类基本术语IDS存在与发展的必然性网络安全本身的复杂性,被动式的防御方式显得力不从心。有关防火墙:网络边界的设备;自身可以被攻破;对某些攻击保护很弱;并非所有威胁均来自防火墙外部。入侵很容易:入侵教程随处可见;各种工具唾手可得入侵检测系统(IDS)入侵检测(Intrusion Detection)的定义:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象
2、的一种安全技术。入侵检测系统(IDS):进行入侵检测的软件与硬件的组合。入侵检测的起源(1)审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程。1980年,James P. Anderson的计算机安全威胁监控与监视(Computer Security Threat Monitoring andSurveillance) 第一次详细阐述了入侵检测的概念 计算机系统威胁分类: 外部渗透、内部渗透和不法行为 提出了利用审计跟踪数据监视入侵活动的思想 这份报告被公认为是入侵检测的开山之作入侵检测的起源(2)1984年到1986年,乔治敦大学的Dorothy Denning和SRI/CSL的
3、Peter Neumann研究出了一个实时入侵检测系统模型IDES(入侵检测专家系统)1990年,加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security Monitor) 该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机 入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS入侵检测的起源(3)1988年之后,美国开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。从20世纪9
4、0年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。IDS基本结构IDS通常包括以下功能部件:P182事件产生器事件分析器事件数据库响应单元事件产生器(1)负责原始数据采集,并将收集到的原始数据转换为事件,向系统的其他部分提供此事件。收集内容:系统、网络数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息 系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为事件产生器(2)注意:入侵检测很大程度上依赖于收集信息的可靠性和正确性 要保证用来检测网络系统的软件的完整性 特别是入侵检
5、测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息事件分析器接收事件信息,对其进行分析,判断是否为入侵行为或异常现象,最后将判断的结果转变为告警信息。分析方法: 模式匹配:将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为 统计分析:首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等);测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生 完整性分析(往往用于事后分析):主要关注某个文件或对象是否被更改事件数据库存放各种
6、中间和最终数据的地方。从事件产生器或事件分析器接收数据,一般会将数据进行较长时间的保存。响应单元根据告警信息做出反应,是IDS中的主动武器。可做出: 强烈反应:切断连接、改变文件属性等 简单的报警入侵检测的分类按照分析方法/检测原理按照数据来源按照体系结构按照工作方式入侵检测性能关键参数误报(false positive):实际无害的事件却被IDS检测为攻击事件。漏报(false negative):一个攻击事件未被IDS检测到或被分析人员认为是无害的。入侵检测的分类(1)按照分析方法/检测原理 异常检测(Anomaly Detection ):首先总结正常操作应该具有的特征(用户轮廓),试图
7、用定量的方式加以描述,当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵异常检测前提:入侵是异常活动的子集用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围过程:监控量化比较判定修正指标:漏报率低,误报率高异常检测特点异常检测系统的效率取决于用户轮廓的完备性和监控的频率不需要对每种入侵行为进行定义,因此能有效检测未知的入侵系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消
8、耗更多的系统资源指标:误报低、漏报高误用检测前提:所有的入侵行为都有可被检测到的特征攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵过程:监控特征提取匹配判定误用检测如果入侵特征与正常的用户行为能匹配,则系统会发生误报;如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报特点:采用模式匹配,误用模式能明显降低误报率,但漏报率随之增加。攻击特征的细微变化,会使得误用检测无能为力。入侵检测的分类(2)按照数据来源 基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机 基于网络:系统获取的数据是网络传输的数据包,保护的是网络的正常运行
9、 混合型InternetCustomersDesktopsNetworkBranch OfficeTelecommutersPartners基于主机的入侵检测系统(HIDS)HackerWeb ServersHIDSServersHIDSHIDS的工作原理X检测内容:系统调用、端口调用、审计记录、系统日志、应用日志客户端Internet网络服务器1HIDS网络服务器2HIDS注意:监视与分析主机的审计记录和日志文件主要用于保护运行关键应用的服务器最适合于检测那些可以信赖的内部人员的误用以及已经避开了传统的检测方法而渗透到网络中的活动能否及时采集到审计记录如何保护作为攻击目标的HIDSHIDSI
10、nternetWeb ServersCustomersServersNetworkBranch OfficeTelecommutersPartners基于网络的入侵检测系统(NIDS)NIDSDesktopsNIDSNIDSNIDS基于网络入侵检测系统工作原理数据包=包头信息+有效数据部分网络服务器1网络服务器2检测内容:包头信息+有效数据部分X客户端Internet注意:在共享网段上对通信数据进行侦听采集数据主机资源消耗少提供对网络通用的保护如何适应高速网络环境非共享网络上如何采集数据典型产品代表:SnortNIDS两类IDS监测软件网络IDS- 侦测速度快- 隐蔽性好- 视野更宽- 较少的
11、监测器- 占资源少主机IDS- 视野集中- 易于用户自定义- 保护更加周密- 对网络流量不敏感入侵检测的分类(3)按照体系结构 集中式:有多个分布于不同主机上的审计程序,但只有一个中央入侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理。(可伸缩性、可配置性差) 分布式:将中央检测服务器的任务分配给多个HIDS,它们不分等级,负责监控当地主机的可疑活动。(可伸缩性、安全性高;但维护成本高,监控主机的工作负荷重)入侵检测的分类(4)按照工作方式 离线检测:非实时工作,在行为发生后,对产生的数据进行分析。(成本低,可分析大量事件、分析长期情况;但无法提供及时保护) 在线检测:
12、实时工作,在数据产生的同时或者发生改变时进行分析(反应迅速、及时保护系统;但系统规模较大时,实时性难以得到实际保证)Alert(警报)Signatures(特征)Promiscuous(混杂模式)基本术语当一个入侵正在发生或者试图发生时,IDS将发布一个alert信息通知系统管理员如果控制台与IDS同在一台机器,alert信息将显示在监视器上,也可能伴随有声音提示如果是远程控制台,那么alert将通过IDS的内置方法(通常是加密的)、SNMP(简单网络管理协议,通常不加密)、email、SMS(短信息)或者以上几种方法的混合方式传递给管理员Alert(警报)攻击特征是IDS的核心,它使IDS在
13、事件发生时触发特征信息过短会经常触发IDS,导致误报或错报;过长则会影响IDS的工作速度有人将IDS所支持的特征数视为IDS好坏的标准,但是有的厂商用一个特征涵盖许多攻击,而有些厂商则会将这些特征单独列出,这就会给人一种印象:好像它包含了更多的特征,是更好的IDSSignatures(特征)Promiscuous(混杂模式)默认状态下,IDS网络接口只能“看到”进出主机的信息,也就是所谓的non-promiscuous(非混杂模式)如果网络接口是混杂模式,就可以“看到”网段中所有的网络通信量,不管其来源或目的地这对于网络IDS是必要的5.2入侵检测技术异常检测技术误/滥用检测技术高级检测技术入
14、侵诱骗技术入侵响应技术12345概率统计异常检测特征选择异常检测贝叶斯推理异常检测贝叶斯网络异常检测模式预测异常检测神经网络异常检测机器学习异常检测数据挖掘异常检测异常检测技术概率统计异常检测方法是异常检测技术中应用最早也是最多的一种方法根据异常检测器观察主体的活动,然后产生刻划这些活动的行为轮廓(用户特征表)每一个轮廓保存记录主体当前行为,并定时将当前轮廓与历史轮廓合并形成统计轮廓(更新),通过比较当前轮廓与统计轮廓来判定异常行为用于描述特征的变量类型及具体操作:P189概率统计异常检测方法优点:可应用成熟的概率统计理论缺点: 由于用户行为的复杂性,要想准确地匹配一个用户的历史行为非常困难,
15、容易造成系统误报和漏报 定义入侵阈值比较困难,阈值高则误报率提高,阈值低则漏报率增高基于神经网络异常检测方法基本思想:用一系列信息单元(命令)训练神经元神经网络的输入层是用户当前输入的命令和已执行过的W个命令;用户执行过的命令被神经网络使用来预测用户输入的下一个命令若神经网络被训练成预测用户输入命令序列集合,则神经网络就构成用户的轮廓框架,于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度用于入侵检测的神经网络示意图:P190基于神经网络异常检测方法优点:更好地表达了变量间的非线性关系,能更好地处理原始数据的随机特征,即不需要对这些数据做任何统计假设,并且能自动学习和更新 有较
16、好的抗干扰能力缺点:网络拓扑结构以及各元素的权重很难确定主要假设:具有能够被精确地按某种方式编码的攻击,并可以通过捕获攻击及重新整理,确认入侵活动是基于同一弱点进行攻击的入侵方法的变种误用入侵检测:指通过按预先定义好的入侵模式以及观察到入侵发生情况进行模式匹配来检测入侵模式说明了那些导致安全突破或其它误用的事件中的特征、条件、排列和关系。一个不完整的模式可能表明存在多种构造方式的入侵企图误/滥用检测技术条件概率滥用检测专家系统滥用检测状态转换分析滥用检测键盘监控滥用检测模型推理滥用检测滥用入侵检测方法专家系统滥用入侵检测方法是滥用检测技术中运用最多的一种方法通过将安全专家的知识表示成IfThe
17、n结构的规则( if部分:构成入侵所要求的条件;then部分:发现入侵后采取的相应措施)形成专家知识库,然后运用推理算法检测入侵注意:需要解决的主要问题是处理序列数据和知识库的维护(只能检测已知弱点);专家系统滥用入侵检测方法具体实现中所面临的问题:全面性问题:难以科学地从各种入侵手段中抽象出全面地规则化知识;效率问题:需要处理的数据量过大商业产品一般不采用专家系统状态转换分析滥用入侵检测方法主要思想:将入侵过程看作一个行为序列,该行为序列导致系统从初始状态转入被入侵状态。分析时,需要针对每一种入侵方法确定系统的初始状态和被入侵状态,以及导致状态转换的转换条件(导致系统进入被入侵状态必须执行的
18、操作/特征事件);然后用状态转换图来表示每一个状态和特征事件。缺点:不善于分析过分复杂的事件,也不能检测与系统状态无关的入侵高级检测技术文件完整性检查计算机免疫检测遗传算法模糊证据理论数据挖掘数据融合文件完整性检查主要思想:检查计算机中自上次检查后文件的变化情况。首先保存保护文件的信息摘要数据库,每次检查时,重新计算文件的数字摘要并与之进行比较,并判断文件是否被更改。典型产品代表:Tripwire优点:几乎不可能攻破(数学上分析);有效的检测文件是否被更改的工具;灵活性好缺点:依赖于本地的文摘数据库,可能被入侵者修改;做完整的文件完整性检查非常耗时计算机免疫检测受生物免疫机制的启发:生物系统中
19、的脆弱性因素都是由免疫系统来妥善处理的,而这种免疫机制在处理外来异常时呈现了分布的、多样性的、自治的和自修复的特征,免疫系统通过识别异常或以前未出现的特征来确定入侵。主要思想:通过正常行为(以系统处理为中心)的学习来识别不符合常态的行为序列。缺点:难以获得程序运行的所有情况的执行轨迹;检测不出利用程序合法活动进行非授权存取的攻击。数据挖掘数据挖掘(Data Mining):从大型数据库或数据仓库中提取人们感兴趣的知识,这些知识是隐含的、事先未知的潜在有用信息,提取的知识一般可表示为概念、规则、规律、模式等形式。数据挖掘技术是一种决策支持过程,它是一门交叉性学科,主要基于AI,机器学习、模式识别
20、、统计学、数据库等技术,能高度自动化地分析原有数据,做出归纳性推理,从而提取出有用信息。数据挖掘过程:数据准备、数据清理和集成、数据挖掘、知识表示、模式评估数据挖掘运用关联分析,能够提取入侵行为在时间和空间上的关联,可以进行的关联包括源IP关联、目标IP关联、数据包特征关联、时间周期关联、网络流量关联等可以解决的问题:弥补模式匹配技术对未知攻击无能为力的弱点使检测模型的构建自动化,发展异常检测方法数据挖掘技术在入侵检测中的主要应用方向:发现入侵的规则、模式,与模式匹配检测方法相结合找出用户正常行为,创建用户的正常行为库谢 谢!网络安全入侵检测技术第五章 入侵检测技术5.15.25.35.4概述
21、入侵检测技术入侵检测体系入侵检测发展55.11234概述入侵检测系统及起源IDS基本结构入侵检测的分类基本术语IDS存在与发展的必然性网络安全本身的复杂性,被动式的防御方式显得力不从心。有关防火墙:网络边界的设备;自身可以被攻破;对某些攻击保护很弱;并非所有威胁均来自防火墙外部。入侵很容易:入侵教程随处可见;各种工具唾手可得入侵检测系统(IDS)入侵检测(Intrusion Detection)的定义:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测系统(IDS):进行入侵检测的软件与硬件的组
22、合。入侵检测的起源(1)审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程。1980年,James P. Anderson的计算机安全威胁监控与监视(Computer Security Threat Monitoring andSurveillance) 第一次详细阐述了入侵检测的概念 计算机系统威胁分类: 外部渗透、内部渗透和不法行为 提出了利用审计跟踪数据监视入侵活动的思想 这份报告被公认为是入侵检测的开山之作入侵检测的起源(2)1984年到1986年,乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型IDES(
23、入侵检测专家系统)1990年,加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security Monitor) 该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机 入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS入侵检测的起源(3)1988年之后,美国开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化
24、和分布式两个方向取得了长足的进展。IDS基本结构IDS通常包括以下功能部件:P182事件产生器事件分析器事件数据库响应单元事件产生器(1)负责原始数据采集,并将收集到的原始数据转换为事件,向系统的其他部分提供此事件。收集内容:系统、网络数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息 系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为事件产生器(2)注意:入侵检测很大程度上依赖于收集信息的可靠性和正确性 要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息事件
25、分析器接收事件信息,对其进行分析,判断是否为入侵行为或异常现象,最后将判断的结果转变为告警信息。分析方法: 模式匹配:将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为 统计分析:首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等);测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生 完整性分析(往往用于事后分析):主要关注某个文件或对象是否被更改事件数据库存放各种中间和最终数据的地方。从事件产生器或事件分析器接收数据,一般会将数据
26、进行较长时间的保存。响应单元根据告警信息做出反应,是IDS中的主动武器。可做出: 强烈反应:切断连接、改变文件属性等 简单的报警入侵检测的分类按照分析方法/检测原理按照数据来源按照体系结构按照工作方式入侵检测性能关键参数误报(false positive):实际无害的事件却被IDS检测为攻击事件。漏报(false negative):一个攻击事件未被IDS检测到或被分析人员认为是无害的。入侵检测的分类(1)按照分析方法/检测原理 异常检测(Anomaly Detection ):首先总结正常操作应该具有的特征(用户轮廓),试图用定量的方式加以描述,当用户活动与正常行为有重大偏离时即被认为是入侵
27、 误用检测(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵异常检测前提:入侵是异常活动的子集用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围过程:监控量化比较判定修正指标:漏报率低,误报率高异常检测原理模型807060activity 50measures403020100异常检测举例90CPUProcessSizeprobableintrusionnormal profileabnormal异常检测特点异常检测系统的效率取决于用户轮廓的完备性和监控的频
28、率不需要对每种入侵行为进行定义,因此能有效检测未知的入侵系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源指标:误报低、漏报高误用检测前提:所有的入侵行为都有可被检测到的特征攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵过程:监控特征提取匹配判定误用检测模型Intrusion误用检测举例patternmatchingintrusionPatternsactivities例: if (src_ip = dst_ip) then “land attack”误用检测如果入侵特征与正常的用户行为能匹配,则系统会发生误报
29、;如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报特点:采用模式匹配,误用模式能明显降低误报率,但漏报率随之增加。攻击特征的细微变化,会使得误用检测无能为力。入侵检测的分类(2)按照数据来源 基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机 基于网络:系统获取的数据是网络传输的数据包,保护的是网络的正常运行 混合型InternetCustomersDesktopsNetworkBranch OfficeTelecommutersPartners基于主机的入侵检测系统(HIDS)HackerWeb ServersHIDSServersHIDSHIDS的工作
30、原理X检测内容:系统调用、端口调用、审计记录、系统日志、应用日志客户端Internet网络服务器1HIDS网络服务器2HIDS注意:监视与分析主机的审计记录和日志文件主要用于保护运行关键应用的服务器最适合于检测那些可以信赖的内部人员的误用以及已经避开了传统的检测方法而渗透到网络中的活动能否及时采集到审计记录如何保护作为攻击目标的HIDSHIDSInternetWeb ServersCustomersServersNetworkBranch OfficeTelecommutersPartners基于网络的入侵检测系统(NIDS)NIDSDesktopsNIDSNIDSNIDS基于网络入侵检测系统
31、工作原理数据包=包头信息+有效数据部分网络服务器1网络服务器2检测内容:包头信息+有效数据部分X客户端Internet注意:在共享网段上对通信数据进行侦听采集数据主机资源消耗少提供对网络通用的保护如何适应高速网络环境非共享网络上如何采集数据典型产品代表:SnortNIDS两类IDS监测软件网络IDS- 侦测速度快- 隐蔽性好- 视野更宽- 较少的监测器- 占资源少主机IDS- 视野集中- 易于用户自定义- 保护更加周密- 对网络流量不敏感入侵检测的分类(3)按照体系结构 集中式:有多个分布于不同主机上的审计程序,但只有一个中央入侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分
32、析处理。(可伸缩性、可配置性差) 分布式:将中央检测服务器的任务分配给多个HIDS,它们不分等级,负责监控当地主机的可疑活动。(可伸缩性、安全性高;但维护成本高,监控主机的工作负荷重)入侵检测的分类(4)按照工作方式 离线检测:非实时工作,在行为发生后,对产生的数据进行分析。(成本低,可分析大量事件、分析长期情况;但无法提供及时保护) 在线检测:实时工作,在数据产生的同时或者发生改变时进行分析(反应迅速、及时保护系统;但系统规模较大时,实时性难以得到实际保证)Alert(警报)Signatures(特征)Promiscuous(混杂模式)基本术语当一个入侵正在发生或者试图发生时,IDS将发布一
33、个alert信息通知系统管理员如果控制台与IDS同在一台机器,alert信息将显示在监视器上,也可能伴随有声音提示如果是远程控制台,那么alert将通过IDS的内置方法(通常是加密的)、SNMP(简单网络管理协议,通常不加密)、email、SMS(短信息)或者以上几种方法的混合方式传递给管理员Alert(警报)攻击特征是IDS的核心,它使IDS在事件发生时触发特征信息过短会经常触发IDS,导致误报或错报;过长则会影响IDS的工作速度有人将IDS所支持的特征数视为IDS好坏的标准,但是有的厂商用一个特征涵盖许多攻击,而有些厂商则会将这些特征单独列出,这就会给人一种印象:好像它包含了更多的特征,是
34、更好的IDSSignatures(特征)Promiscuous(混杂模式)默认状态下,IDS网络接口只能“看到”进出主机的信息,也就是所谓的non-promiscuous(非混杂模式)如果网络接口是混杂模式,就可以“看到”网段中所有的网络通信量,不管其来源或目的地这对于网络IDS是必要的5.2入侵检测技术异常检测技术误/滥用检测技术高级检测技术入侵诱骗技术入侵响应技术12345概率统计异常检测特征选择异常检测贝叶斯推理异常检测贝叶斯网络异常检测模式预测异常检测神经网络异常检测机器学习异常检测数据挖掘异常检测异常检测技术概率统计异常检测方法是异常检测技术中应用最早也是最多的一种方法根据异常检测器
35、观察主体的活动,然后产生刻划这些活动的行为轮廓(用户特征表)每一个轮廓保存记录主体当前行为,并定时将当前轮廓与历史轮廓合并形成统计轮廓(更新),通过比较当前轮廓与统计轮廓来判定异常行为用于描述特征的变量类型及具体操作:P189概率统计异常检测方法优点:可应用成熟的概率统计理论缺点: 由于用户行为的复杂性,要想准确地匹配一个用户的历史行为非常困难,容易造成系统误报和漏报 定义入侵阈值比较困难,阈值高则误报率提高,阈值低则漏报率增高基于神经网络异常检测方法基本思想:用一系列信息单元(命令)训练神经元神经网络的输入层是用户当前输入的命令和已执行过的W个命令;用户执行过的命令被神经网络使用来预测用户输
36、入的下一个命令若神经网络被训练成预测用户输入命令序列集合,则神经网络就构成用户的轮廓框架,于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度用于入侵检测的神经网络示意图:P190基于神经网络异常检测方法优点:更好地表达了变量间的非线性关系,能更好地处理原始数据的随机特征,即不需要对这些数据做任何统计假设,并且能自动学习和更新 有较好的抗干扰能力缺点:网络拓扑结构以及各元素的权重很难确定主要假设:具有能够被精确地按某种方式编码的攻击,并可以通过捕获攻击及重新整理,确认入侵活动是基于同一弱点进行攻击的入侵方法的变种误用入侵检测:指通过按预先定义好的入侵模式以及观察到入侵发生情况进行
37、模式匹配来检测入侵模式说明了那些导致安全突破或其它误用的事件中的特征、条件、排列和关系。一个不完整的模式可能表明存在多种构造方式的入侵企图误/滥用检测技术条件概率滥用检测专家系统滥用检测状态转换分析滥用检测键盘监控滥用检测模型推理滥用检测滥用入侵检测方法专家系统滥用入侵检测方法是滥用检测技术中运用最多的一种方法通过将安全专家的知识表示成IfThen结构的规则( if部分:构成入侵所要求的条件;then部分:发现入侵后采取的相应措施)形成专家知识库,然后运用推理算法检测入侵注意:需要解决的主要问题是处理序列数据和知识库的维护(只能检测已知弱点);专家系统滥用入侵检测方法具体实现中所面临的问题:全
38、面性问题:难以科学地从各种入侵手段中抽象出全面地规则化知识;效率问题:需要处理的数据量过大商业产品一般不采用专家系统状态转换分析滥用入侵检测方法主要思想:将入侵过程看作一个行为序列,该行为序列导致系统从初始状态转入被入侵状态。分析时,需要针对每一种入侵方法确定系统的初始状态和被入侵状态,以及导致状态转换的转换条件(导致系统进入被入侵状态必须执行的操作/特征事件);然后用状态转换图来表示每一个状态和特征事件。缺点:不善于分析过分复杂的事件,也不能检测与系统状态无关的入侵高级检测技术文件完整性检查计算机免疫检测遗传算法模糊证据理论数据挖掘数据融合文件完整性检查主要思想:检查计算机中自上次检查后文件
39、的变化情况。首先保存保护文件的信息摘要数据库,每次检查时,重新计算文件的数字摘要并与之进行比较,并判断文件是否被更改。典型产品代表:Tripwire优点:几乎不可能攻破(数学上分析);有效的检测文件是否被更改的工具;灵活性好缺点:依赖于本地的文摘数据库,可能被入侵者修改;做完整的文件完整性检查非常耗时计算机免疫检测受生物免疫机制的启发:生物系统中的脆弱性因素都是由免疫系统来妥善处理的,而这种免疫机制在处理外来异常时呈现了分布的、多样性的、自治的和自修复的特征,免疫系统通过识别异常或以前未出现的特征来确定入侵。主要思想:通过正常行为(以系统处理为中心)的学习来识别不符合常态的行为序列。缺点:难以
40、获得程序运行的所有情况的执行轨迹;检测不出利用程序合法活动进行非授权存取的攻击。数据挖掘数据挖掘(Data Mining):从大型数据库或数据仓库中提取人们感兴趣的知识,这些知识是隐含的、事先未知的潜在有用信息,提取的知识一般可表示为概念、规则、规律、模式等形式。数据挖掘技术是一种决策支持过程,它是一门交叉性学科,主要基于AI,机器学习、模式识别、统计学、数据库等技术,能高度自动化地分析原有数据,做出归纳性推理,从而提取出有用信息。数据挖掘过程:数据准备、数据清理和集成、数据挖掘、知识表示、模式评估入侵诱骗技术定义:用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析,并进而找到有效的对
41、付方法。它是试图将攻击者从关键系统引诱开的诱骗系统。它是其他安全策略所不可替代的一种主动防御技术。其设计目的是:从现存的各种威胁中提取有用的信息,以发现新型的攻击工具、确定攻击的模式并研究攻击者的攻击动机。入侵诱骗技术蜜罐技术(Honeypot)蜜网技术(Honeynet)蜜罐(Honeypot)技术定义:是一种被侦听、被攻击或已经被入侵的资源。注意:Honeypot并非一种安全解决方案,它只是一种工具,而且只有Honeypot受到攻击,它的作用才能发挥出来。Honeypot系统在整个安全防护体系中的地位:P193 图6-5例:蜜罐与蠕虫捕获蜜罐与反病毒领域的结合趋势始于2002年,成熟于20
42、04年。用于蠕虫捕获的蜜罐完全以获得蠕虫样本为目的。用于蠕虫捕获的蜜罐系统主要针对获取系统控制权且主动传播的扫描溢出/口令猜测型蠕虫样本,使这些蠕虫扫描到蜜罐节点的时候,其样本文件或其他载体形态被获取。蜜罐的价值蜜罐主要的价值是:第一时间捕获流行的扫描型蠕虫,例如第一时间截获冲击波、震荡波以及他们的变种都在某种程度上依赖于蜜罐体制。蜜罐具有统计意义,能够对流行情况/节点压力进行比较准确的判断和分析。入侵响应技术分类:主动响应:入侵检测系统在检测到入侵后能够阻断攻击、影响进而改变攻击的进程;被动响应:入侵检测系统仅仅简单地报告和记录所检测出的问题。注意:二者并不互斥,无论采用哪种响应机制,入侵检
43、测系统均应以日志的形式记录下检测结果。主动响应主动响应:检测到入侵后立即采取行动。形式:由用户驱动;系统本身自动执行基本手段: 对入侵者采取反击行动严厉方式:警告攻击者、跟踪攻击者、断开危险连接、对攻击者进行攻击等温和方式:记录安全事件、产生告警信息、记录附加日志、激活附加入侵检测工具等介于严厉和温和之间的方式:隔离入侵者IP、禁止被攻击对象的特定端口和服务、隔离被攻击对象等主动响应 修正系统环境这种策略类似于实时过程控制系统的反馈机制,用目前系统处理过程的输出来调整和优化下一个处理过程。 收集额外信息对于保护必须在有敌意威胁的环境中运行的系统或易遭受大量攻击的系统具有重要意义。如:Honey
44、pot被动响应被动响应:只向用户提供信息而依靠用户去采取下一步行动的响应。常用的被动响应技术:告警和通知:形式多样的告警方式SNMP(简单网络管理协议)陷阱和插件:结合网络管理工具使用SNMP:提供从运行网络管理软件的中央计算机对网络主机进行管理的方法。5.312入侵检测体系入侵检测模型入侵检测体系结构入侵检测模型Denning模型:P197 图6-6最早的入侵检测模型,Denning于1987年提出虽然与具体系统和具体输入无关,但是对此后的大部分实用系统都有很大的借鉴价值CIDF(Common Intrusion Detection Framework)模型:P198 图6-7内容:IDS的
45、体系结构、通信机制、描述语言和API入侵检测体系结构主机入侵检测网络入侵检测混合入侵检测分布式入侵检测主机入侵检测主机入侵检测系统:安装在单个主机或服务器系统上,对针对主机或服务器系统的入侵行为进行检测和响应,对主机系统进行全面保护的系统。主要优点:性价比高更加细腻误报率较低适用于加密和交换的环境对网络流量不敏感确定攻击是否成功主机入侵检测局限性:它依赖于主机固有的日志与监视能力,而主机审计信息存在弱点:易受攻击,入侵者可设法逃避审计;IDS的运行或多或少影响主机的性能;HIDS只能对主机的特定用户、应用程序执行动作和日志进行检测,所能检测到的攻击类型受到限制;全面部署HIDS代价较大。网络入
46、侵检测网络入侵检测系统:使用原始的网络分组数据包作为攻击分析的数据源,通常利用工作在混杂模式下的网卡来实时监听整个网段上的通信业务,通过实时捕获网络数据包,进行分析,能够检测该网段上发生的网络入侵。主要优点:隐蔽性好实时检测和响应攻击者不易转移证据不影响业务系统能够检测未成功的攻击企图局限性:P201项 目HIDSNIDS误报少一定量漏报与技术水平相关与数据处理能力有关(不可避免)系统部署与维护与网络拓扑无关与网络拓扑相关检测规则少量大量检测特征事件与信号分析特征代码分析安全策略基本安全策略(点策略)运行安全策略(线策略)安全局限到达主机的所有事件传输中的非加密、非保密信息安全隐患违规事件攻击
47、方法或手段HIDS与NIDS的主要差别分布式入侵检测系统(DIDS)传统的集中式入侵检测模型的缺陷:系统的弱点或漏洞分散在网络的各个主机上,这些弱点有可能被入侵者一起用来攻击网络。入侵行为不再是单一的行为,而是表现出相互协作入侵的特点。入侵检测所依靠的数据来源分散化,收集原始检测数据变得困难。网络传输速度加快,网络的流量大,集中处理原始数据的方式往往造成检测瓶颈,从而导致漏检。DIDS分布式入侵检测系统一般由多个协同工作的部件组成,分布在网络的各个部分,完成相应的功能,分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、对入侵行为进行响应等。在这种结构下,不仅可以检测到针对单独
48、主机的入侵,同时也可以检测到针对整个网段主机的入侵。5.412入侵检测发展入侵技术的发展与演化入侵检测技术的主要发展方向入侵技术的发展与演化入侵和攻击的复杂化与综合化入侵主体的间接化入侵和攻击的规模扩大入侵和攻击技术的分布化攻击对象的转移入侵检测技术的主要发展方向功能与性能提高检测和防范分布式攻击和拒绝服务攻击应用层入侵检测响应策略与恢复研究入侵检测评测方法全面的安全防御IDS的部署当实际使用IDS时,首先面临的问题是:决定在系统的什么位置部署检测和分析入侵行为用的嗅探器或检测引擎。HIDS:通常直接将检测代理安装在受监控的主机系统上NIDS:检测引擎的部署稍微复杂(见下图)作业NIDS的部署位置IDCIDC
