TCSP入侵检测技术原理

上传人:新** 文档编号:579749025 上传时间:2024-08-27 格式:PPT 页数:115 大小:2.50MB
返回 下载 相关 举报
TCSP入侵检测技术原理_第1页
第1页 / 共115页
TCSP入侵检测技术原理_第2页
第2页 / 共115页
TCSP入侵检测技术原理_第3页
第3页 / 共115页
TCSP入侵检测技术原理_第4页
第4页 / 共115页
TCSP入侵检测技术原理_第5页
第5页 / 共115页
点击查看更多>>
资源描述

《TCSP入侵检测技术原理》由会员分享,可在线阅读,更多相关《TCSP入侵检测技术原理(115页珍藏版)》请在金锄头文库上搜索。

1、TCSP入侵检测技术原理网络入侵的现状网络入侵的现状深层防御体系及深层防御体系及IDS的作用的作用IDS的分类方法学的分类方法学IDS的结构的结构入侵检测的困惑入侵检测的困惑第四代入侵检测技术第四代入侵检测技术入侵检测的新发展入侵检测的新发展内容提要内容提要网络安全l网络安全对应的英文是Network Security。Security和safety都译为“安全”,但二者其实是有区别的,safety更侧重物理实体上的安全。l网络安全领域的研究主要集中在计算机网络。l网络安全基本上是一个实践性的技术领域。安全威胁来源内部人员内部人员特殊身份人员特殊身份人员外部个人和小组外部个人和小组(所谓黑客)

2、(所谓黑客)竞争对手和恐怖组织竞争对手和恐怖组织敌对国家和军事组织敌对国家和军事组织自然和不可抗力自然和不可抗力网络安全范畴l网络安全范畴包括的要素:数据:包括网络上传输的数据和端系统中的数据。关系:网络作为交流的重要手段,涉及到通信各方信赖关系的建立与维护,信赖关系就意味着能力和数据访问权力的获取。能力:包括网络系统的传输能力与端系统的能力。网络安全范畴l网络安全包含基本方面:数据保护:包括数据的机密性保护和完整性保护,这方面的理论比较完备(加密体制和算法)实现手段也比较完备。(信赖)关系保护:包括身份鉴别与安全的建立、维护信赖关系。基本手段包括加密与协议的安全设计。理论比较完备,实现手段有

3、一定漏洞。能力保护:包括对网络系统的传输功能与端系统的处理功能的保护。这方面的理论基础基本上是实践经验的总结,运用的手段也基本上是试验性的。能力保护相关的工作也是入侵检测系统发挥作用之处。PPDR模型lPPDR模型:策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)这是一个螺旋上升的过程,如下图:图一、PPDR模型示意图PPDR模型 策略是这个模型的核心,在制定好策略之后,网络安全的其他几个方面就要围绕策略进行。 防护是第一步,它的基础是检测与响应的结果。具体包括:安全规章的制定:在安全策略的基础上制定安全细则。系统的安全配置:安装各种必要

4、补丁,并进行仔细配置。安全措施的采用:安装防火墙、IDS、VPN软件或设备等。检测就是弥补防护对于攻击的滞后时间的必要手段。检测作用包括:异常监视:发现系统的异常情况。如不正常的登陆。模式发现:对已知的攻击模式进行发现。响应就是发现攻击企图或者攻击之后,需要系统及时进行反应报告:让管理员知道是否有入侵。记录:记录入侵的各个细节以及系统的反应。反应:进行相应的处理以阻止进一步的入侵。恢复:清除入造成的影响,使系统恢复正常。网络安全事件分类 互联网安全事件分类:网页篡改网络蠕虫拒绝服务攻击特罗伊木马安全事件分类l网页篡改 非法篡改主页是指将网站中的主页更换为黑客所提供的网页。对计算机系统本身不会产

5、生直接的损失,但对电子政务与电子商务等应用来说将被迫终止对外的服务。对政府网站而言,网页的篡改,尤其是含有政治攻击色彩的篡改,会对政府形象造成严重损害。针对网页的篡改,目前国内已有成熟的网页自动保护技术,使用网页自动恢复软件。安全事件分类l网络蠕虫 网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。它利用互联网上计算机系统的漏洞进入系统,自我复制,并继续向互联网上的其它系统进行传播。它的危害通常有两个方面:蠕虫在进入被攻击的系统后,一旦具有控制系统的能力,就可以使得该系统被他人远程操纵。其危害一是重要系统会出现失密现象,二是会被利用来对其他系统进行攻击。蠕虫的不断蜕变并在网络上的传播,可能

6、导致网络被阻塞的现象发生,从而致使网络瘫痪。网络计算机病毒可以看作是网络蠕虫的特例,其差别仅是需要附着在其他程序上进行传播。安全事件分类l拒绝服务攻击拒绝服务攻击拒绝服务攻击是指在互联网上组织多台或大量的计算机针对某一个特定的计算机进行大规模的访问,使得被访问的计算机穷于应付来势凶猛的访问而不能再提供正常的服务。 对拒绝服务攻击的处置方法只能通过网络管理部门逐一排查攻击源,并协调各攻击源所在运营商进行清理。安全事件分类l特罗伊木马特罗伊木马特罗伊木马(简称木马)是一种隐藏在计算机系统中不为用户所知的恶意程序,通常用于潜伏在计算机系统中来与外界连接,并接受外界的指令。被植入木马的计算机系统内的所

7、有文件都会被外界所获得,并且该系统也会被外界所控制,也可能会被利用作为攻击其它系统的攻击源。对这类问题的检查,通常需要非常有经验的技术人员才能胜任。我国互联网安全状况信息和网络的安全防护能力差 我国现在许多应用网络系统处于不设防状态,存在极大的信息安全风险和隐患。基础信息产业严重依靠国外 我国的信息化建设,基本上是依赖国外技术设备装备起来的。我们对其的研发、生产能力很弱,关键部位完全处于受制于人的地位。信息安全管理机构权威性不够 国家在信息安全问题上缺乏一个专门的权威性机构。信息安全相关的民间管理机构与国家信息化领导机构之间还没有充分沟通协调。全社会的信息安全意识淡薄 信息安全领域在研究开发、

8、产业发展、人才培养、队伍建设等方面和迅速发展的形势极不适应,只是作为信息化的研究分支立项,投人很少,和国外差距越来越远。IDS定义 IDS入侵检测系统 入侵检测:对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。 入侵检测系统:进行入侵检测的软件与硬件的组合IDS属性l经济性l时效性l安全性l可扩展性IDS起源1980年4月,James P. Anderson Computer Security Threat Monitoring and Surveillance (计算机安全威胁监控与监视)第一次详细阐述了入侵检测的概念计算机系统威胁分

9、类: 外部渗透、内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开山之作。IDS起源从1984年到1986年乔治敦大学的Dorothy DenningSRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型IDES(入侵检测专家系统)。IDS起源 1990,加州大学戴维斯分校的,加州大学戴维斯分校的L. T. Heberlein等人等人开发出了开发出了NSM(Network Security Monitor) 该系统第一次直接将网络流作为审计数据来源,因该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下

10、监而可以在不将审计数据转换成统一格式的情况下监控异种主机控异种主机 入侵检测系统发展史翻开了新的一页,两大阵营正入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的式形成:基于网络的IDS和基于主机的和基于主机的IDS。 1994年提出自治代理,以提高年提出自治代理,以提高IDS的可伸缩性、的可伸缩性、可维护性、效率与容错性。可维护性、效率与容错性。1998年将信息检索技术应用到入侵检测系统。年将信息检索技术应用到入侵检测系统。2000年出现分布式入侵检测系统,是年出现分布式入侵检测系统,是IDS发展史发展史上的一个里程碑上的一个里程碑。IDS起源IDS的基本原理活动数据源感应器分析

11、器管理器操作员管理员事件警报通告应急安全策略安全策略入侵检测系统原理图入侵检测系统原理图网络入侵的现状网络入侵的现状深层防御体系及深层防御体系及IDS的作用的作用IDS的分类方法学的分类方法学IDS的结构的结构入侵检测的困惑入侵检测的困惑第四代入侵检测技术第四代入侵检测技术入侵检测的新发展入侵检测的新发展内容提要内容提要一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同网络安全域网络安全域网络安全域网络安全域之间的一系列部件的组合,它是不同之间的一系列部件的组合,它是不同之间的一系列部件的组合,它是不同之间的一系列部件的组合

12、,它是不同网络安全域间通信流的网络安全域间通信流的网络安全域间通信流的网络安全域间通信流的唯一通道唯一通道唯一通道唯一通道,能根据企业有关的安全政策,能根据企业有关的安全政策,能根据企业有关的安全政策,能根据企业有关的安全政策控制控制控制控制(允许、拒绝、(允许、拒绝、(允许、拒绝、(允许、拒绝、监视、记录)进出网络的访问行为。监视、记录)进出网络的访问行为。监视、记录)进出网络的访问行为。监视、记录)进出网络的访问行为。 两个安全域之间通信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBlockHost CHost BTCPPassHost CHo

13、st ADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙的作用防火墙的作用防火墙的局限防火墙的局限%c1%1c%c1%1cDir c: 防火墙的局限防火墙的局限 防火墙的局限防火墙的局限 据统计,80%的成功攻击来自于防火墙内部! 防火墙的局限防火墙的局限v防火墙不能防止通向站点的后门。防火墙不能防止通向站点的后门。v防火墙一般不提供对内部的保护。防火墙一般不提供对内部的保护。v防火墙无法防范数据驱动型的攻击。防火墙无法防范数据驱动型的攻击。v防火墙不能防止用户由防火墙不能防止用户由Internet上下载上下载被病毒感染的计算机程序或者将该

14、类程被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。序附在电子邮件上传输。确保网络的安全确保网络的安全, ,就要对网络内部进行实时的就要对网络内部进行实时的检测检测 , , 这就需要这就需要IDSIDS无时不在的防护!无时不在的防护!什么是入侵行为什么是入侵行为 入侵行为主要是指对系统资源入侵行为主要是指对系统资源的非授权使用,它可以造成系统数据的的非授权使用,它可以造成系统数据的丢失和破坏、可以造成系统拒绝对合法丢失和破坏、可以造成系统拒绝对合法用户服务等危害。用户服务等危害。 什么是入侵检测系统什么是入侵检测系统IDSIDS(Intrusion Detection SystemIn

15、trusion Detection System)就是)就是入侵检测系统,它通过抓取网络上的所有报入侵检测系统,它通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模文,分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管理员清楚地了式和行为模式,使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止解网络上发生的事件,并能够采取行动阻止可能的破坏。可能的破坏。 什么是入侵检测系统什么是入侵检测系统l入侵检测系统入侵检测系统网络数据包的获取网络数据包的获取混杂模式混杂模式网络数据包的解码网络数据包的解码协议分析协议分析网络数据包的检查网络数据包的检查规则匹配规则匹配网络

16、数据包的统计网络数据包的统计异常检测异常检测网络数据包的审查网络数据包的审查事件生成事件生成监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机摄像机=探测引擎探测引擎Card KeyCard Key形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断连接、关闭道路(与防火墙联动)。在安全体系中,在安全体系中,IDSIDS是唯一一个通过数据和行为模式是唯一一个通过数据和

17、行为模式判断其是否有效的系统,防火墙就象一道门,它可以判断其是否有效的系统,防火墙就象一道门,它可以阻止一类人群的进入,但无法阻止同一类人群中的破阻止一类人群的进入,但无法阻止同一类人群中的破坏分子,也不能阻止内部的破坏分子;访问控制系统坏分子,也不能阻止内部的破坏分子;访问控制系统可以不让低级权限的人做越权工作,但无法保证高级可以不让低级权限的人做越权工作,但无法保证高级权限的做破坏工作,也无法保证低级权限的人通过非权限的做破坏工作,也无法保证低级权限的人通过非法行为获得高级权限法行为获得高级权限 入侵检测系统的作用入侵检测系统的作用入侵检测系统的职责入侵检测系统的职责IDSIDS系统的两大

18、职责:实时检测和安全审计。系统的两大职责:实时检测和安全审计。实时监测实时监测实时地监视、分析网络中所有的实时地监视、分析网络中所有的数据报文,发现并实时处理所捕获的数据报文;数据报文,发现并实时处理所捕获的数据报文;安全审计安全审计通过对通过对IDSIDS系统记录的网络事件进系统记录的网络事件进行统计分析,发现其中的异常现象,得出系统行统计分析,发现其中的异常现象,得出系统的安全状态,找出所需要的证据。的安全状态,找出所需要的证据。入侵检测系统的具体工作入侵检测系统的具体工作监控网络和系统发现入侵企图或异常现象实时报警主动响应与其它设备联动(防火墙、风险评估系统等)深层次防御体系的组成深层次

19、防御体系的组成联联动动入侵检测入侵检测防火墙防火墙入侵检测防御体系中的作用入侵检测防御体系中的作用实时性实时性协议层次协议层次应用层应用层表示层表示层会话层会话层传输层传输层IP层层数据链层数据链层物理层物理层 实时实时 准实时准实时 事后事后实时分析所有的数据包,决定是否允许通过监控所有的数据包,判断是否非法,进行相应处理(如阻断或者报警)记录所有的操作以备事后查询为为系系统统提提供供全全方方位位的的保保护护审计系统审计系统深层次防御体系的特点深层次防御体系的特点深度防御可以对整个网络提供不同级别的保护深度防御可以对整个网络提供不同级别的保护将网络系统划分安全级别并进行相应保护深度防御可以对

20、入侵破坏行为进行取证深度防御可以对入侵破坏行为进行取证IDS和审计系统可以进行电子取证深度防御可以有效防止蠕虫、病毒的威胁深度防御可以有效防止蠕虫、病毒的威胁IDS是网络动态防病毒的核心组成深度防御能够对系统提供最完备的保护深度防御能够对系统提供最完备的保护从物理层直至应用层都可以得到保护深度防御不会破坏系统的效率和稳定性深度防御不会破坏系统的效率和稳定性针对不同实时和效率要求进行不同保护深度防御可以识别、防范未知的新攻击方式深度防御可以识别、防范未知的新攻击方式基于异常分析和行为分析的入侵检测如何选择合适的入侵检测系统如何选择合适的入侵检测系统对入侵和攻击的全面检测能力对入侵和攻击的全面检测

21、能力新漏洞及最新的入侵手段(本地化的研发和售后服务)对抗欺骗的能力对抗欺骗的能力防误报及漏报的能力(模式匹配、异常分析和智能分析)对抗攻击的能力对抗攻击的能力对抗针对IDS的拒绝服务的能力(事件风暴的防御)报警及阻断能力报警及阻断能力多种类型的报警及阻断功能可以提供全方位的保护本身的安全性本身的安全性IDS自身的加密认证及安全措施,恶意代码或数据回传人机界面人机界面方便管理,降低管理人员的负担(多级控制,丰富报表等)网络入侵的现状网络入侵的现状深层防御体系及深层防御体系及IDS的作用的作用IDS的分类方法学的分类方法学IDS的结构的结构入侵检测的困惑入侵检测的困惑第四代入侵检测技术第四代入侵检

22、测技术入侵检测的新发展入侵检测的新发展内容提要内容提要IDS分类方法学l根据体系结构进行分类l根据检测原理进行分类l根据系统特征进行分类根据体系结构进行分类集中式:这种结构的IDS可能有多个分布在不同主机上的审计程序,但只有一个中央入侵检测服务器。等级式:定义了若干个分等级的监控区,每个IDS负责一个区,每一级IDS只负责所控区的分析,然后将当地的分析结果传送给上一级。协作式:将中央检测服务器的任务分佩给多个基于主机的IDS,这些IDS不分等级,各司其职,负责监控当地主机的某些活动。根据检测原理进行分类异常检测(Anomaly Detection ):这种检测方法是首先总结正常操作应该具有的特

23、征;在得出正常操作的模型之后,对后续的操作进行监视,一旦发现偏离正常统计学意义上的操作模式,即进行报警。误用检测(Misuse Detection):这种检测方法是收集非正常操作(入侵)行为的特征,建立相关的特征库;在后续的检测过程中,将收集到的数据与特征库中的特征代码进行比较,得出是否有入侵行为。异常检测1.1.前提:入侵是异常活动的子集前提:入侵是异常活动的子集 2.2.用户轮廓用户轮廓(Profile): (Profile): 通常定义为各种行为参数及其阀通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围值的集合,用于描述正常行为范围3.3.过程过程 监控监控 量化量化 比较比较

24、 判定判定 修正修正4.4.指标指标: :漏报率低漏报率低, ,误报率高误报率高异常检测特点异常检测系统的效率取决于用户轮廓的完备性和监异常检测系统的效率取决于用户轮廓的完备性和监控的频率控的频率因为不需要对每种入侵行为进行定义,因此能有效因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵检测未知的入侵系统能针对用户行为的改变进行自我调整和优化,系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多但随着检测模型的逐步精确,异常检测会消耗更多的系统资源的系统资源异常检测的常用技术l基于统计学方法的异常检测系统 典型例子:NIDESl基于神经网络的异常检

25、测系统 典型例子:NNIDl基于数据挖掘技术的异常检测系统 典型例子:MADAMIDl使用状态机的异常检测系统异常检测模型异常检测实现自学习系统:自学习系统通过学习事例构建正常行为模型时序的非时序的编程系统:该类系统需要通过编程学习如何检测确定的异常事件,从而让用户知道什么样的异常行为足以破坏系统的安全。描述统计缺省否认异常检测实例分析NIDES引入的概念:度量(Measure): 主体行为的特性使用度量分为四类:行为强度(Activity Intensity)度量审计记录分布(audit record distribution)度量绝对的(categorical)度量持续的(continuo

26、us)度量半生(Harf-life)、老化因子(Aging Factor)统计方法异常检测实例分析l不同的量度的使用目的:行为强度量度确定产生的活动量是否正常审计纪录分布量度确定最近产生的审计记录所纪录的行为是否正常绝对的和持续的量度则确定在一类行为中(如访问一个文件)产生的操作类型是否正常。异常检测实例分析l半生是用来设置构成短期行为和长期行为的审计记录的数量或进行审计记录的天数用的。通过设置半生可以让越新的活动所占的权重越大,而在长期概貌里面很早期的活动会趋向于不起作用,也就说被“遗忘”了。这使NIDES具备了简单的学习。老化因子也是审计纪录权重的计算依据。老化因子包括短期老化因子和长期老

27、化因子,前者作用于每一个审计纪录,后者则作用于每一天的纪录汇总。异常检测理论本身存在的缺陷l基于异常的入侵检测系统首先学习对象的正常行为,并形成一个或一组值表示对象行为的概貌,而表示概貌的这些数据不容易进行正确性和准确性的验证。l通过比较长期行为的概貌和短期行为的概貌检测出异常后,只能模糊的报告存在异常,不能精确的报告攻击类型和方式,因此也不能有效地阻止入侵行为。l通常基于异常的入侵检测系统首先有一个学习过程,这个过程是否能够正确反映对象的正常行为仍是问题所在;而且检测的过程通常也是学习过程,而这个过程很可能被入侵者利用。误用检测1.1.前提:所有的入侵行为都有可被检测到的特征前提:所有的入侵

28、行为都有可被检测到的特征 2.2.攻击特征库攻击特征库: : 当监测的用户或系统行为与库中的记录当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵相匹配时,系统就认为这种行为是入侵 3.3.过程过程 监控监控 特征提取特征提取 匹配匹配 判定判定 4.4.指标指标: :误报低、漏报高误报低、漏报高 误用检测特点如如果果入入侵侵特特征征与与正正常常的的用用户户行行能能匹匹配配,则则系系统统会会发发生生误误报报;如如果果没没有有特特征征能能与与某某种种新新的的攻攻击击行行为为匹匹配配,则系统会发生则系统会发生漏报漏报特点:特点:采用特征匹配,滥用模式能明显降低错报率,采用特征匹配

29、,滥用模式能明显降低错报率,但漏报率随之增加。攻击特征的细微变化,会使得但漏报率随之增加。攻击特征的细微变化,会使得滥用检测无能为力滥用检测无能为力误用检测的模型审计数据误用检测系统攻击状态规则匹配?修正现有规则添加新的规则时间信息典型的基于误用的入侵检测系统模型误用检测系统的类型专家系统按键监视系统模型推理系统误用预测系统状态转换分析系统模式匹配系统误用检测专家系统 专家系统采用类似于if-then这种带有因果关系的结构,使用由专家制定的规则来表示攻击行为,并在此基础上从审计事件中找到入侵。但是实际应用中有如下几个问题:数据量问题数据顺序问题专家的综合能力问题规则库缺少环境的适应能力维护问题

30、模型推理检测系统 模型推理系统最早是由T.D.Garvey和T.F.Lunt 提出来的,它主要通过构建一些误用的模型,在此基础上对某些行为活动进行监视,并推理出是否发生入侵行为。 推理系统的组件构成先知模块计划模块解释模块模型推理检测系统 模型推理系统的优点它的推理过程有比较合理的数学理论模型。计划模块使攻击行为表示与具体的审计数据相分离干扰信息会被忽略,降低需要处理数据量具有一定的预见性,可以采取一些防御性措施模型推理系统的缺点最后的限值定义不当,容易影响检测的准确性检验工作比较难整体性能能否提高很难说维护困难模式匹配检测系统l模式匹配检测系统是由入侵检测领域的大师Kumar在1995年提出

31、的。l模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为l一般来讲,一种攻击模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)入侵信号层次性l依据底层的审计事件,可以从中提取出高层的事件(或者活动);由高层的事件构成入侵信号,并依照高层事件之间的结构关系,划分入侵信号的抽象层次并对其进行分析。实例化的层次结构意味着可以对每一层中匹配信号的复杂性边界进行划分。lKumar把入侵信号分成四层。入侵信号层次性存在(

32、Existence) 这种入侵信号表示只要存在这样一种审计事件就足以说明发生了入侵行为或 入侵企图,它对应的匹配模式称为存在模式(Existence Pattern)。存在模式是很重要的。尤其是当攻击者破坏了系统的审计数据、导致提交的审计数据无法正常反应当前真实状态的时候,通过主动的查询可以起到很好的作用入侵信号层次性序列(Sequence) 有些入侵是由一些按照一定顺序发生的行为所组成的,它具体可以表现为一组事件的序列。其对应的匹配模式就是序列模式(Sequence Pattern),这种入侵审计事件可以表示为在图形中某个方向上一串连续的峰值。序列模式需要注意两点间隔持续时间入侵信号层次性规

33、则表示(Regular Expressions) 规则表示模式(RE Patterns)是指用一种扩展的规则表达式方式构造匹配模式,规则表达式是由用AND逻辑表达式连接一些描述事件的原语构成的。适用这种模式的攻击信号通常由一些相关的活动所组成,而这些活动间没有什么事件顺序的关系。入侵信号层次性其他 其他模式(Other Pattern)是指一些不能用前面的方法进行表示的攻击,在此统一为其他模式。例如:内部否定模式归纳选择模式入侵信号层次性存在模式序列模式规则模式其他模式间隔持续时间匹配模式的层次关系模式匹配系统的特点l把攻击信号看成一种模式进行匹配的特点事件来源独立描述和匹配相分离动态的模式生

34、成多事件流可移植性模式匹配系统具体的实现问题模式的提取:要使提取的模式具有很高的质量,能够充分表示入侵信号的特征,同时模式之间不能有冲突。匹配模式的动态增加和删除:为了适应不断变化的攻击手段,匹配模式必须具有动态变更的能力增量匹配和优先级匹配:有事件流对系统处理能力产生很大压力的时候,要求系统采取增量匹配的方法提高系统效率,或者可以先对高优先级的事件先行处理。完全匹配:匹配机制必须能够对所有模式进行匹配的能力IDS分类方法学l根据体系结构进行分类l根据检测原理进行分类l根据系统特征进行分类根据系统特征进行分类l分类特征应该考虑的重要因素检测时间数据处理的粒度审计数据来源入侵检测响应方式数据收集

35、地点数据处理地点安全性互操作性根据系统特征进行分类l根据检测时间脱机分析:行为发生后,对产生的数据进行分析联机分析:在数据产生的同时或者发生改变时进行分析根据系统特征进行分类l数据处理的粒度基于数据流方式的粗粒度基于连接的细粒度 数据处理的粒度和检测时间有一定的关系,但是二者并不完全一样,一个系统可能在相当长的时延内进行连续数据处理,也可以实时地处理少量的批处理数据。根据系统特征进行分类l审计数据来源基于网络数据基于主机安全日志文件(包括操作系统的内核日志、应用程序日志、网络设备日志)根据系统特征进行分类l入侵响应方式被动响应:本身只会发出警告,不能试图降低破坏,更不会主动地对攻击者采取反击行

36、动主动响应:对被攻击系统实施控制:它通过调整被攻击系统的状态,阻止或者减轻攻击的危害对攻击系统实施控制的系统: 主动响应如果失败可能使系统暴露在拒绝服务攻击之下。根据系统特征进行分类l数据收集或者处理地点集中式的分布式的IDSIDS的实现方式的实现方式-网络网络IDSIDS主机IDS运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理。其监测的资源主要包括:网络、文件、进程、系统日志等 IDSIDS的实现方式的实现方式-主机主机IDSIDS主机主机IDSIDS和网络和网络IDSIDS的比较的比较基于网络的入侵检测系统的主要优

37、点有:基于网络的入侵检测系统的主要优点有:(1)成本低。(2)攻击者转移证据很困难。(3)实时检测和应答。一旦发生恶意访问或攻击,基于网络的IDS检测可以随时发现它们,因此能够更快地作出反应。从而将入侵活动对系统的破坏减到最低。(4)能够检测未成功的攻击企图。(5)操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源。而基于主机的系统需要特定的操作系统才能发挥作用。基于主机的基于主机的IDSIDS的主要优势有:的主要优势有:(1)非常适用于加密和交换环境。(2)实时的检测和应答。(3)不需要额外的硬件。网络入侵的现状网络入侵的现状深层防御体系及深层防御体系及IDS的作用的作用IDS

38、的分类方法学的分类方法学IDS的结构的结构入侵检测的困惑入侵检测的困惑第四代入侵检测技术第四代入侵检测技术入侵检测的新发展入侵检测的新发展内容提要内容提要IDSIDS的基本结构的基本结构 IDSIDS系统结构系统结构-探测引擎探测引擎l采用旁路方式全面侦听网上信息流,实时分析采用旁路方式全面侦听网上信息流,实时分析l将分析结果与探测器上运行的策略集相匹配将分析结果与探测器上运行的策略集相匹配l执行报警、阻断、日志等功能。执行报警、阻断、日志等功能。l完成对控制中心指令的接收和响应工作。完成对控制中心指令的接收和响应工作。l探测器是由策略驱动的网络监听和分析系统。探测器是由策略驱动的网络监听和分

39、析系统。IDSIDS的基本结构的基本结构 -引擎的功能结构引擎的功能结构IDSIDS系统结构系统结构-控制中心控制中心提供报警显示提供报警显示提供对预警信息的记录和检索、统计功能提供对预警信息的记录和检索、统计功能制定入侵监测的策略;制定入侵监测的策略;控制探测器系统的运行状态控制探测器系统的运行状态收收集集来来自自多多台台引引擎擎的的上上报报事事件件,综综合合进进行行事事件件分分析析,以多种方式对入侵事件作出快速响应。以多种方式对入侵事件作出快速响应。这这种种分分布布式式结结构构有有助助于于系系统统管管理理员员的的集集中中管管理理,全全面面搜搜集多台探测引擎的信息,进行入侵行为的分析。集多台

40、探测引擎的信息,进行入侵行为的分析。IDSIDS的基本结构的基本结构-控制中心的功能结构控制中心的功能结构网络入侵检测系统的部署方式网络入侵检测系统的部署方式lNIDS的位置必须要看到所有数据包n共享媒介HUBn交换环境n隐蔽模式n千兆网l分布式结构nSensornConsole HUBIDSSensorMonitoredServersConsole网络入侵检测系统的部署方式网络入侵检测系统的部署方式 SwitchIDSSensorMonitoredServersConsole网络入侵检测系统的部署方式网络入侵检测系统的部署方式 SwitchIDSSensorMonitoredServersC

41、onsole不设不设IP网络入侵检测系统的部署方式网络入侵检测系统的部署方式 IDSSensorsL4或或L7交换设备交换设备网络入侵检测系统的部署方式网络入侵检测系统的部署方式IDSIDS的系统结构的系统结构 单机结构单机结构 :引擎和控制中心在一个系统之上,不能远距离操作,只能在现场进行操作。优点优点是结构简单,不会因为通讯而影响网络带宽和泄密。分布式结构分布式结构就是引擎和控制中心在2个系统之上,通过网络通讯,可以远距离查看和操作。目前的大多数IDS系统都是分布式的。 优点优点不是必需在现场操作,可以用一个控制中心控制多个引擎,可以统一进行策略编辑和下发,可以统一查看申报的事件,可以通过

42、分开事件显示和查看的功能提高处理速度等等。IDSIDS的系统结构的系统结构-分布式结构图分布式结构图网络入侵的现状网络入侵的现状深层防御体系及深层防御体系及IDS的作用的作用IDS的分类方法学的分类方法学IDS的结构的结构入侵检测的困惑入侵检测的困惑第四代入侵检测技术第四代入侵检测技术入侵检测的新发展入侵检测的新发展内容提要内容提要入侵检测入侵检测没有用的技术?没有用的技术?n入侵检测入侵检测一种被提及太多的技术一种被提及太多的技术 一种容易引起误解的技术一种容易引起误解的技术那么,入侵检测是不是没有用了?那么,入侵检测是不是没有用了?管理人员需要了解网络中正在发生的各种活动管理人员需要在攻击

43、到来之前发现攻击行为管理人员需要识别异常行为需要有效的工具进行针对攻击行为以及异常的实时和事后分析入侵检测系统逐渐成为安全防护体系中不入侵检测系统逐渐成为安全防护体系中不可缺少的一部分可缺少的一部分Awareness is the key to securityAwareness is the key to security入侵检测是审计的基础入侵检测是审计的基础入侵检测是网管的基础入侵检测是网管的基础网络入侵的现状网络入侵的现状深层防御体系及深层防御体系及IDS的作用的作用IDS的分类方法学的分类方法学IDS的结构的结构入侵检测的困惑入侵检测的困惑第四代入侵检测技术第四代入侵检测技术入侵检测

44、的新发展入侵检测的新发展内容提要内容提要第四代入侵管理技术第四代入侵管理技术 现代入侵攻击技术:新一代主动式恶意代码极短时间内(Flash worms-30s),利用优化扫描的方法,感染近十万个有漏洞的系统,可以确定并记录是否被击中(4-5分钟,感染近百万台系统)。扫描探测 传递复制被感染的机器 有漏洞的机器第四代入侵管理技术第四代入侵管理技术n入侵发展(目标、入侵者攻击能力、传播速度、工具数量、复杂、隐蔽) n利用加密传播恶意代码 n各种技术和策略间的互操作及关联分析 n日益增长的网络流量 抵御入侵面临的挑战抵御入侵面临的挑战第四代入侵管理技术第四代入侵管理技术n入侵检测术语未统一 n入侵检

45、测系统维护非常困难 n在采取不适当的自动响应行为中存在风险 n入侵检测系统可能自己攻击自己 抵御入侵面临的挑战抵御入侵面临的挑战第四代入侵管理技术第四代入侵管理技术n误报漏报使得系统准确性大大折扣 n客观性的测评信息缺乏(如何选择和评价)n高速网络与实时分析 n直观的事件分析报告抵御入侵面临的挑战抵御入侵面临的挑战第四代入侵管理技术第四代入侵管理技术第一代:协议解码第一代:协议解码+ +模式匹配模式匹配 优点:对已知攻击,极其有效,误报率低优点:对已知攻击,极其有效,误报率低 缺点:极其容易躲避,漏报率高缺点:极其容易躲避,漏报率高第四代入侵管理技术第四代入侵管理技术第二代:模式匹配第二代:模

46、式匹配+ +简单协议分析简单协议分析+ +异常统计异常统计优点:能够分析处理一部分协议,重组优点:能够分析处理一部分协议,重组缺点:匹配效率较低,管理功能较弱缺点:匹配效率较低,管理功能较弱第四代入侵管理技术第四代入侵管理技术第三代:完全协议分析+模式匹配+异常统计优点:误报、漏报、滥报率低,效率高,可管理性强缺点:可视化程度不够,防范及管理功能较弱第四代入侵管理技术第四代入侵管理技术第四代:安全管理第四代:安全管理+ +协议分析协议分析+ +模式匹配模式匹配+ +异常统计异常统计优点:入侵管理、多项技术协同、安全保障优点:入侵管理、多项技术协同、安全保障缺点:专业化程度较高,成本较高缺点:专

47、业化程度较高,成本较高Security =VisibilityControl+Manage+网络入侵的现状网络入侵的现状深层防御体系及深层防御体系及IDS的作用的作用IDS的分类方法学的分类方法学IDS的结构的结构入侵检测的困惑入侵检测的困惑第四代入侵检测技术第四代入侵检测技术入侵检测的新发展入侵检测的新发展内容提要内容提要入侵检测的新时代入侵检测的新时代行业化时代客户化时代大规模应用时代三个标志:行业化时代行业化时代针对不同行业的定制自适应、自学习能力抽象出针对行业的模板客户化时代客户化时代 即即“ “系列化系列化” ”时代。仅凭单一产品服务天时代。仅凭单一产品服务天下所有用户的时代早已尘封

48、,取而代之的是根下所有用户的时代早已尘封,取而代之的是根据用户需求,将产品细分并不断为之注入新的据用户需求,将产品细分并不断为之注入新的技术活力的技术活力的“ “客户化客户化” ”产品,使得不同用户可产品,使得不同用户可以根据自身网络环境需求来挑选真正满足自身以根据自身网络环境需求来挑选真正满足自身安全需要的防御系统。安全需要的防御系统。百兆入侵检测系统百兆入侵检测系统千兆入侵检测系统千兆入侵检测系统专用检测系统专用检测系统为中小型企业用户专门打造为中小型企业用户专门打造主机入侵检测系统主机入侵检测系统多平台多平台数据库数据库数据库数据库电子传真电子传真电子传真电子传真电子邮件电子邮件电子邮件

49、电子邮件电子邮件电子邮件VPVPN NInterneInterneInternet tt防火墙防火墙防火墙防火墙电话拨号电话拨号电话拨号电话拨号OAOA资源分享从不知到有知从被动到主动需要系列化入侵检测需要系列化入侵检测内部办公网DMZDBWWWE-MAILInternInternetet防火墙防火墙从事后到事前从预警到保障NIDSNIDSNIDSDNS$ $需要系列化入侵检测需要系列化入侵检测HIDSHIDS需要系列化入侵检测需要系列化入侵检测不同入侵管理系统不同类型(主机、网络、综合)不同技术(管理、协议分析、模式匹配、异常统计)不同部件(扫描、恶意代码检测、蜜网、结构分析)不同性能(百兆

50、、千兆、2.5G Pos)不同服务(分析、综合)低端入侵检测低端入侵检测清晰的界面只针对网络事件无需多级控制用户审计简便无需了解事件细节(原始报文)简便的设置鲜明的报表(事件库)与防火墙联动与Scanner联动低端入侵检测是无需现场服务的产品中端入侵检测中端入侵检测 多级管理、控制多级管理、控制 集多种主机代理与网络引擎于一起集多种主机代理与网络引擎于一起 可自定义事件可自定义事件 可自定义窗口可自定义窗口 可自动定义协议可自动定义协议 可自定义显示内容可自定义显示内容 与防火墙联动与防火墙联动 用户审计手段用户审计手段 可观察事件细节可观察事件细节 远程升级综合型事件库远程升级综合型事件库中端入侵检测必须是体现专业化的产品中端入侵检测必须是体现专业化的产品高端入侵检测产品高端入侵检测产品综合分析能力全局预警能力动态策略调整功能攻击关联分析功能协同工作能力远程分布式能力 高端入侵检测具有综合分析能力和全局预警能力大规模应用时代大规模应用时代大规模不是简单的重叠大规模入侵监测的发展和应用和IP定位的结合和网络拓扑发现的结合入侵监测的新发展入侵监测的新发展可扩展性网络规模迅速发展的要求数据获取和分析能力的加强模式匹配算法对数据库技术的应用和网络管理系统的相互融合形成全网监控的管理平台的主要部分远程管理和远程服务可用性的提高和其他技术的相互融合事件响应机制

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号