入侵检测技术ppt课件

上传人:m**** 文档编号:584301254 上传时间:2024-08-30 格式:PPT 页数:130 大小:1.02MB
返回 下载 相关 举报
入侵检测技术ppt课件_第1页
第1页 / 共130页
入侵检测技术ppt课件_第2页
第2页 / 共130页
入侵检测技术ppt课件_第3页
第3页 / 共130页
入侵检测技术ppt课件_第4页
第4页 / 共130页
入侵检测技术ppt课件_第5页
第5页 / 共130页
点击查看更多>>
资源描述

《入侵检测技术ppt课件》由会员分享,可在线阅读,更多相关《入侵检测技术ppt课件(130页珍藏版)》请在金锄头文库上搜索。

1、入侵检测技术入侵检测技术 惠惠 东东1.概述概述2.入侵检测方法入侵检测方法3.入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.其它其它6.展望展望概述概述2.入侵检测方法入侵检测方法3.入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.其它其它6.展望展望IntrusionnIntrusion : Attempting to break into or misuse your system.nIntruders may be from outside the network or legitimate users of t

2、he network.nIntrusion can be a physical, system or remote intrusion.n传统的信息安全方法采用严格的访问控制和数传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策据加密策略来防护,但在复杂系统中,这些策略是不充分的。它们是系统安全不可缺的部分略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全但不能完全保证系统的安全n入侵检测(入侵检测(Intrusion Detection)是对入侵行)是对入侵行为的发觉。它通过从计算机网络或计算机系统为的发觉。它通过从计算机网络或计算机系统的关键点收

3、集信息并进行分析,从中发现网络的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击或系统中是否有违反安全策略的行为和被攻击的迹象的迹象Intrusion Detection入侵检测的定义入侵检测的定义n对系统的运行状态进行监视,发现各种攻对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性系统资源的机密性、完整性和可用性n进行入侵检测的软件与硬件的组合便是入进行入侵检测的软件与硬件的组合便是入侵检测系统侵检测系统nIDS : Intrusion Detection System

4、入侵检测的特点入侵检测的特点 一个完善的入侵检测系统的特点:一个完善的入侵检测系统的特点:n经济性经济性n时效性时效性n安全性安全性n可扩展性可扩展性网络安全工具的特点网络安全工具的特点优点优点局限性局限性防火墙防火墙可简化网络管理,产品成熟可简化网络管理,产品成熟无法处理网络内部的攻击无法处理网络内部的攻击IDS实时监控网络安全状态实时监控网络安全状态误报警,缓慢攻击,新的攻误报警,缓慢攻击,新的攻击模式击模式Scanner简单可操作,帮助系统管理简单可操作,帮助系统管理员和安全服务人员解决实际员和安全服务人员解决实际问题问题并不能真正扫描漏洞并不能真正扫描漏洞VPN保护公网上的内部通信保护

5、公网上的内部通信可视为防火墙上的一个漏洞可视为防火墙上的一个漏洞防病毒防病毒针对文件与邮件,产品成熟针对文件与邮件,产品成熟功能单一功能单一1980年年 Anderson提出:入侵检测概念,分类方法提出:入侵检测概念,分类方法1987年年 Denning提出了一种通用的入侵检测模型提出了一种通用的入侵检测模型 独立性独立性 :系统、环境、脆弱性、入侵种类:系统、环境、脆弱性、入侵种类 系统框架系统框架:异常检测器,专家系统:异常检测器,专家系统 9090年初:年初:CMDSCMDS、NetProwlerNetProwler、NetRangerNetRanger ISS RealSecure I

6、SS RealSecure入侵检测起源入侵检测起源入侵检测的起源(入侵检测的起源(1)n审计技术:产生、记录并检查按时间顺序排列审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程的系统事件记录的过程n审计的目标:审计的目标:n确定和保持系统活动中每个人的责任确定和保持系统活动中每个人的责任n重建事件重建事件n评估损失评估损失n监测系统的问题区监测系统的问题区n提供有效的灾难恢复提供有效的灾难恢复n阻止系统的不正当使用阻止系统的不正当使用入侵检测的起源(入侵检测的起源(2)n计算机安全和审计计算机安全和审计n美国国防部在美国国防部在70年代支持年代支持“可信信息系可信信息系统统”的研究

7、,最终审计机制纳入的研究,最终审计机制纳入可信可信计算机系统评估准则计算机系统评估准则(TCSEC)C2级级以上系统的要求的一部分以上系统的要求的一部分n“褐皮书褐皮书”理解可信系统中的审计指理解可信系统中的审计指南南入侵检测的起源(入侵检测的起源(3)1980年年4月,James P. Anderson :Computer Security Threat Monitoring and Surveillance(计算机安全威胁监控与监视)的技术报告,第(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念一次详细阐述了入侵检测的概念他提出了一种对计算机系统风险和威胁的分类方他提

8、出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行法,并将威胁分为外部渗透、内部渗透和不法行为三种为三种还提出了利用审计跟踪数据监视入侵活动的思想。还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作这份报告被公认为是入侵检测的开山之作入侵检测的起源(入侵检测的起源(4) 从从1984年到年到1986年,乔治敦大学的年,乔治敦大学的Dorothy Denning和和SRI/CSL的的Peter Neumann研究出了一个实时入侵检测研究出了一个实时入侵检测系统模型,取名为系统模型,取名为IDES(入侵检测专家系统)(入侵检测专家系统)入

9、侵检测的起源(入侵检测的起源(5)1990,加州大学戴维斯分校的,加州大学戴维斯分校的L. T. Heberlein等等人开发出了人开发出了NSM(Network Security Monitor)该系统第一次直接将网络流作为审计数据来源,该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况因而可以在不将审计数据转换成统一格式的情况下监控异种主机下监控异种主机入侵检测系统发展史翻开了新的一页,两大阵营入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的正式形成:基于网络的IDS和基于主机的和基于主机的IDS 入侵检测的起源(入侵检测的起源(6)IDS存

10、在与发展的必然性存在与发展的必然性一、网络攻击的破坏性、损失的严重性一、网络攻击的破坏性、损失的严重性二、日益增长的网络安全威胁二、日益增长的网络安全威胁三、单纯的防火墙无法防范复杂多变的攻击三、单纯的防火墙无法防范复杂多变的攻击为什么需要为什么需要IDSn关于防火墙关于防火墙n网络边界的设备网络边界的设备n自身可以被攻破自身可以被攻破n对某些攻击保护很弱对某些攻击保护很弱n不是所有的威胁来自防火墙外部不是所有的威胁来自防火墙外部n入侵很容易入侵很容易n入侵教程随处可见入侵教程随处可见n各种工具唾手可得各种工具唾手可得IDS基本结构基本结构n入入侵侵检检测测是是监监测测计计算算机机网网络络和和

11、系系统统, ,以以发发现违反安全策略事件的过程现违反安全策略事件的过程n简简单单地地说说,入入侵侵检检测测系系统统包包括括三三个个功功能能部件:部件:(1 1)信息收集信息收集(2 2)信息分析信息分析(3 3)结果处理)结果处理信息收集信息收集n入侵检测的第一步是信息收集,收集内容入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态包括系统、网络、数据及用户活动的状态和行为。和行为。n需要在计算机网络系统中的若干不同关键需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,点(不同网段和不同主机)收集信息,n尽可能扩大检测范围尽可能扩大检测范围n从一个源来

12、的信息有可能看不出疑点从一个源来的信息有可能看不出疑点信息收集信息收集n入侵检测很大程度上依赖于收集信息的可入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,要保证用来检测网靠性和正确性,因此,要保证用来检测网络系统的软件的完整性,特别是入侵检测络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息止被篡改而收集到错误的信息 信息收集的来源信息收集的来源n系统或网络的日志文件系统或网络的日志文件n网络流量网络流量n系统目录和文件的异常变化系统目录和文件的异常变化n程序执行中的异常行为程序执行中的异常行为系统或

13、网络的日志文件系统或网络的日志文件n黑黑客客经经常常在在系系统统日日志志文文件件中中留留下下他他们们的的踪踪迹迹,因因此此,充充分分利利用用系系统统和和网网络络日日志志文文件件信信息息是是检检测入侵的必要条件测入侵的必要条件n日日志志文文件件中中记记录录了了各各种种行行为为类类型型,每每种种类类型型又又包包含含不不同同的的信信息息,例例如如记记录录“用用户户活活动动”类类型型的的日日志志,就就包包含含登登录录、用用户户ID改改变变、用用户户对对文文件的访问、授权和认证信息等内容件的访问、授权和认证信息等内容n显显然然,对对用用户户活活动动来来讲讲,不不正正常常的的或或不不期期望望的的行行为为就

14、就是是重重复复登登录录失失败败、登登录录到到不不期期望望的的位位置置以及非授权的企图访问重要文件等等以及非授权的企图访问重要文件等等 系统目录和文件的异常变化系统目录和文件的异常变化n网网络络环环境境中中的的文文件件系系统统包包含含很很多多软软件件和和数数据据文文件件,包包含含重重要要信信息息的的文文件件和和私私有有数数据据文文件件经经常常是是黑黑客客修修改改或或破破坏坏的的目目标标。目目录录和和文文件件中中的的不不期期望望的的改改变变(包包括括修修改改、创创建建和和删删除除),特特别别是是那那些些正正常常情情况况下下限限制制访访问问的的,很很可可能能就就是是一一种入侵产生的指示和信号种入侵产

15、生的指示和信号n入入侵侵者者经经常常替替换换、修修改改和和破破坏坏他他们们获获得得访访问问权权的的系系统统上上的的文文件件,同同时时为为了了隐隐藏藏系系统统中中他他们们的的表表现现及及活活动动痕痕迹迹,都都会会尽尽力力去去替替换换系系统统程程序序或或修改系统日志文件修改系统日志文件 信息分析信息分析 模式匹配模式匹配 统计分析统计分析 完整性分析,往往用于事后分析完整性分析,往往用于事后分析模式匹配模式匹配n模模式式匹匹配配就就是是将将收收集集到到的的信信息息与与已已知知的的网网络络入入侵侵和和系系统统误误用用模模式式数数据据库库进进行行比比较较,从从而而发发现现违违背背安全策略的行为安全策略

16、的行为n一一般般来来讲讲,一一种种进进攻攻模模式式可可以以用用一一个个过过程程(如如执执行行一一条条指指令令)或或一一个个输输出出(如如获获得得权权限限)来来表表示示。该该过过程程可可以以很很简简单单(如如通通过过字字符符串串匹匹配配以以寻寻找找一一个个简简单单的的条条目目或或指指令令),也也可可以以很很复复杂杂(如如利利用用正规的数学表达式来表示安全状态的变化)正规的数学表达式来表示安全状态的变化)统计分析统计分析n统计分析方法首先给系统对象(如用户、文件、统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使目录和设备等)创建一个统计描述,统计正常使用时的一些

17、测量属性(如访问次数、操作失败次用时的一些测量属性(如访问次数、操作失败次数和延时等)数和延时等)n测量属性的平均值将被用来与网络、系统的行为测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就进行比较,任何观察值在正常值范围之外时,就认为有入侵发生认为有入侵发生完整性分析完整性分析n完整性分析主要关注某个文件或对象是完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被安装容及属性,它在发现被更改的、被安装木马的应用程序方面特别有效木马的应用程序方面特别有效入侵检测的分类(入侵检测的

18、分类(1)n按照分析方法(检测方法)按照分析方法(检测方法)n异常检测模型(异常检测模型(Anomaly Detection ):首先总首先总结正常操作应该具有的特征(用户轮廓),结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认当用户活动与正常行为有重大偏离时即被认为是入侵为是入侵 n误用检测模型(误用检测模型(Misuse Detection):收集非正收集非正常操作的行为特征,建立相关的特征库,常操作的行为特征,建立相关的特征库,当当监测的用户或系统行为与库中的记录相匹配监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵时,系统就认为这种行为是入

19、侵 异常检测异常检测Below Threshold levelsExceed Threshold LevelsSystem AuditMetricsProfilerIntrusionNormal Activity异常检测模型异常检测模型1.1.前提:入侵是异常活动的子集前提:入侵是异常活动的子集 2.2.用户轮廓用户轮廓(Profile): (Profile): 通常定义为各种行为参数及其通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围阀值的集合,用于描述正常行为范围3.3.过程过程 监控监控 量化量化 比较比较 判定判定 修正修正4.4.指标指标: :漏报漏报( (false po

20、sitivefalse positive) ), ,错报错报( (false negativefalse negative) )异常检测异常检测异常检测异常检测n如果系统错误地将异常活动定义为入侵,称为如果系统错误地将异常活动定义为入侵,称为误报误报(false positive) ;如果系统未能检测出真;如果系统未能检测出真正的入侵行为则称为正的入侵行为则称为漏报漏报(false negative)。 n特点:异常检测系统的效率取决于用户轮廓的特点:异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵完备性和监控的频率。因为不需要对每种入侵行为进行定义,因此能有效检测未

21、知的入侵。行为进行定义,因此能有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整同时系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源。测会消耗更多的系统资源。 Anomaly Detectionactivity measuresprobable intrusionRelatively high false positive rate - anomalies can just be new normal activities.System AuditMetricsPattern MatcherIn

22、trusionNormal ActivityNo Signature MatchSignature Match误用检测模型误用检测模型误用检测误用检测1.1.前提:所有的入侵行为都有可被检测到的特征前提:所有的入侵行为都有可被检测到的特征 2.2.攻击特征库攻击特征库: : 当监测的用户或系统行为与库中的记录当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵相匹配时,系统就认为这种行为是入侵 3.3.过程过程 监控监控 特征提取特征提取 匹配匹配 判定判定 4.4.指标指标 错报低错报低 漏报高漏报高 误用检测误用检测误用检测模型误用检测模型n如如果果入入侵侵特特征征与与正正

23、常常的的用用户户行行能能匹匹配配,则则系系统统会会发发生生误误报报;如如果果没没有有特特征征能能与与某某种种新新的的攻攻击击行为匹配,则系统会发生行为匹配,则系统会发生漏报漏报n特点:特点:采用特征匹配,滥用模式能明显降低错采用特征匹配,滥用模式能明显降低错报率,但漏报率随之增加。攻击特征的细微变报率,但漏报率随之增加。攻击特征的细微变化,会使得滥用检测无能为力化,会使得滥用检测无能为力Misuse DetectionIntrusion Patternsactivitiespattern matchingintrusionCant detect new attacksExample: if (

24、src_ip = dst_ip) then “land attack”入侵检测的分类(入侵检测的分类(2)n按照数据来源:按照数据来源:n基于主机:系统获取数据的依据是系统基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机,保护的目标也是系统运行所在的主机运行所在的主机n基于网络:系统获取的数据是网络传输基于网络:系统获取的数据是网络传输的数据包,保护的是网络的运行的数据包,保护的是网络的运行n混合型混合型n监视与分析主机的审计记录监视与分析主机的审计记录n可以不运行在监控主机上可以不运行在监控主机上n能否及时采集到审计记录?能否及时采集到审计记录?n如何保护作

25、为攻击目标主机审计子系统如何保护作为攻击目标主机审计子系统?基于主机基于主机n在共享网段上对通信数据进行侦听采集数据在共享网段上对通信数据进行侦听采集数据 n主机资源消耗少主机资源消耗少 n提供对网络通用的保护提供对网络通用的保护n如何适应高速网络环境?如何适应高速网络环境?n非共享网络上如何采集数据?非共享网络上如何采集数据?基于网络基于网络两类两类IDS监测软件监测软件n网络网络IDSn侦测速度快侦测速度快 n隐蔽性好隐蔽性好 n视野更宽视野更宽 n较少的监测器较少的监测器 n占资源少占资源少 n主机主机IDSn视野集中视野集中 n易于用户自定义易于用户自定义n保护更加周密保护更加周密n对

26、网络流量不敏感对网络流量不敏感 入侵检测的分类(入侵检测的分类(3)n按系统各模块的运行方式按系统各模块的运行方式n集中式:系统的各个模块包括数据的集中式:系统的各个模块包括数据的收集分析集中在一台主机上运行收集分析集中在一台主机上运行n分布式:系统的各个模块分布在不同分布式:系统的各个模块分布在不同的计算机和设备上的计算机和设备上入侵检测的分类(入侵检测的分类(4)n根据时效性根据时效性n脱机分析:行为发生后,对产生的数脱机分析:行为发生后,对产生的数据进行分析据进行分析n联机分析:在数据产生的同时或者发联机分析:在数据产生的同时或者发生改变时进行分析生改变时进行分析常用术语常用术语n当一个

27、入侵正在发生或者试图发生时,当一个入侵正在发生或者试图发生时,IDSIDS系统将发系统将发布一个布一个alertalert信息通知系统管理员信息通知系统管理员n如果控制台与如果控制台与IDSIDS系统同在一台机器,系统同在一台机器,alertalert信息将信息将显示在监视器上,也可能伴随着声音提示显示在监视器上,也可能伴随着声音提示n如果是远程控制台,那么如果是远程控制台,那么alertalert将通过将通过IDSIDS系统内置系统内置方法(通常是加密的)、方法(通常是加密的)、SNMPSNMP(简单网络管理协议,(简单网络管理协议,通常不加密)、通常不加密)、emailemail、SMSS

28、MS(短信息)或者以上几(短信息)或者以上几种方法的混合方式传递给管理员种方法的混合方式传递给管理员Alert(警报)(警报) Anomaly(异常)(异常) n当有某个事件与一个已知攻击的信号相匹配时,多数当有某个事件与一个已知攻击的信号相匹配时,多数IDS都会告警都会告警n一个基于一个基于anomaly(异常)的(异常)的IDS会构造一个当时活动会构造一个当时活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时,的事件发生时,IDS就会告警就会告警n有些有些IDS厂商将此方法看做启发式功能,但一个启发厂商将此方法看做启发式功能,但一个

29、启发式的式的IDS应该在其推理判断方面具有更多的智能应该在其推理判断方面具有更多的智能n首先,可以通过重新配置路由器和防火墙,拒绝那些来首先,可以通过重新配置路由器和防火墙,拒绝那些来自同一地址的信息流自同一地址的信息流;其次,通过在网络上发送其次,通过在网络上发送reset包包切断连接切断连接n但是这两种方式都有问题,攻击者可以反过来利用重新但是这两种方式都有问题,攻击者可以反过来利用重新配置的设备,其方法是:通过伪装成一个友方的地址来配置的设备,其方法是:通过伪装成一个友方的地址来发动攻击,然后发动攻击,然后IDS就会配置路由器和防火墙来拒绝这就会配置路由器和防火墙来拒绝这些地址,这样实际

30、上就是对些地址,这样实际上就是对“自己人自己人”拒绝服务了拒绝服务了n发送发送reset包的方法要求有一个活动的网络接口,这样它包的方法要求有一个活动的网络接口,这样它将置于攻击之下,一个补救的办法是:使活动网络接口将置于攻击之下,一个补救的办法是:使活动网络接口位于防火墙内,或者使用专门的发包程序,从而避开标位于防火墙内,或者使用专门的发包程序,从而避开标准准IP栈需求栈需求Automated ResponsenIDS的核心是攻击特征,它使的核心是攻击特征,它使IDS在事件发生时触发在事件发生时触发n特征信息过短会经常触发特征信息过短会经常触发IDS,导致误报或错报,过长,导致误报或错报,过

31、长则会减慢则会减慢IDS的工作速度的工作速度n有人将有人将IDS所支持的特征数视为所支持的特征数视为IDS好坏的标准,但是好坏的标准,但是有的产商用一个特征涵盖许多攻击,而有些产商则会将有的产商用一个特征涵盖许多攻击,而有些产商则会将这些特征单独列出,这就会给人一种印象,好像它包含这些特征单独列出,这就会给人一种印象,好像它包含了更多的特征,是更好的了更多的特征,是更好的IDSSignatures(特征)(特征) Promiscuous(混杂模式)(混杂模式) n默认状态下,默认状态下,IDS网络接口只能看到进出主机的信息,网络接口只能看到进出主机的信息,也就是所谓的也就是所谓的non-pro

32、miscuous(非混杂模式)(非混杂模式)n如果网络接口是混杂模式,就可以看到网段中所有的如果网络接口是混杂模式,就可以看到网段中所有的网络通信量,不管其来源或目的地网络通信量,不管其来源或目的地n这对于网络这对于网络IDS是必要的,但同时可能被信息包嗅探是必要的,但同时可能被信息包嗅探器所利用来监控网络通信量器所利用来监控网络通信量n交换型交换型HUB可以解决这个问题,在能看到全面通信量可以解决这个问题,在能看到全面通信量的地方,会都许多跨越(的地方,会都许多跨越(span)端口)端口1.概述概述入侵检测方法入侵检测方法3.入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入

33、侵检测响应机制5.其它其它6.展望展望入侵检测相关的数学模型入侵检测相关的数学模型试验模型(试验模型(Operational ModelOperational Model)平均值和标准差模型(平均值和标准差模型(Mean and Standard Deviation ModelMean and Standard Deviation Model): :多多变变量量模模型型(Multivariate Multivariate ModelModel): : 多多个个随随机机变变量量的的相相关关性性计计算,算, 马马尔尔可可夫夫过过程程模模型型(Markov Markov Process Proces

34、s ModelModel):初初始始分分布布和和概概率率转移矩阵;预测新的事件的出现频率太低,则表明出现异常情况。转移矩阵;预测新的事件的出现频率太低,则表明出现异常情况。时时序序模模型型(Time Time Series Series ModelModel):该该模模型型通通过过间间隔隔计计时时器器和和资资源源计计数数器器两两种种类类型型随随机机变变量量参参数数之之间间的的相相隔隔时时间间和和它它们们的的值值来来判判断入侵断入侵异常入侵检测方法异常入侵检测方法统计异常检测统计异常检测基于特征选择异常检测基于特征选择异常检测基于贝叶斯推理异常检测基于贝叶斯推理异常检测基于贝叶斯网络异常检测基于

35、贝叶斯网络异常检测基于模式预测异常检测基于模式预测异常检测基于神经网络异常检测基于神经网络异常检测基于贝叶斯聚类异常检测基于贝叶斯聚类异常检测基于机器学习异常检测基于机器学习异常检测基于数据挖掘异常检测基于数据挖掘异常检测基于条件概率误用检测基于条件概率误用检测基于专家系统误用检测基于专家系统误用检测基于状态迁移误用检测基于状态迁移误用检测基于键盘监控误用检测基于键盘监控误用检测基于模型误用检测基于模型误用检测误用入侵检测方法误用入侵检测方法基于误用的入侵检测基于误用的入侵检测n思想:主要是通过某种方式预先定义入侵行为,思想:主要是通过某种方式预先定义入侵行为,然后监视系统,从中找出符合预先定

36、义规则的然后监视系统,从中找出符合预先定义规则的入侵行为入侵行为n误用信号需要对入侵的特征、环境、次序以及误用信号需要对入侵的特征、环境、次序以及完成入侵的事件相互间的关系进行描述完成入侵的事件相互间的关系进行描述n重要问题重要问题n(1)如何全面的描述攻击的特征)如何全面的描述攻击的特征n(2)如何排除干扰,减小误报)如何排除干扰,减小误报n(3)解决问题的方式)解决问题的方式其它其它基于生物免疫检测基于生物免疫检测基于伪装检测基于伪装检测1.概述概述2.入侵检测方法入侵检测方法入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.其它其它6.展望展望活动数据源

37、感应器分析器管理器操作员管理员事件警报通告应急安全策略安全策略入侵检测系统原理图入侵检测系统原理图攻击模式库入侵检测器应急措施配置系统库数据采集安全控制系统审计记录/协议数据等系统操作简单的入侵检测示意图简单的入侵检测示意图基于主机的入侵检测系统基于主机的入侵检测系统n系统分析主机产生的数据(应用程系统分析主机产生的数据(应用程序及操作系统的事件日志)序及操作系统的事件日志)n由于内部人员的威胁正变得更重要由于内部人员的威胁正变得更重要n基于主机的检测威胁基于主机的检测威胁n基于主机的结构基于主机的结构n优点及问题优点及问题基于主机的检测威胁基于主机的检测威胁n特权滥用特权滥用n关键数据的访问

38、及修改关键数据的访问及修改n安全配置的变化安全配置的变化基于主机的入侵检测系统结构基于主机的入侵检测系统结构n基于主机的入侵检测系统通常是基基于主机的入侵检测系统通常是基于代理的,代理是运行在目标系统于代理的,代理是运行在目标系统上的可执行程序,与中央控制计算上的可执行程序,与中央控制计算机通信机通信n集中式:原始数据在分析之前要先发集中式:原始数据在分析之前要先发送到中央位置送到中央位置n分布式:原始数据在目标系统上实时分布式:原始数据在目标系统上实时分析,只有告警命令被发送给控制台分析,只有告警命令被发送给控制台目标系统审计记录收集方法审计记录预处理异常检测误用检测安全管理员接口审计记录数

39、据归档/查询审计记录数据库审计记录基于审计的入侵检测系统结构示意图基于审计的入侵检测系统结构示意图集中式检测的优缺点集中式检测的优缺点n优点:优点:n不会降低目标机的性能不会降低目标机的性能n统计行为信息统计行为信息n多主机标志、用于支持起诉的原始数据多主机标志、用于支持起诉的原始数据n缺点:缺点:n不能进行实时检测不能进行实时检测n不能实时响应不能实时响应n影响网络通信量影响网络通信量分布式检测的优缺点分布式检测的优缺点n优点:优点:n实时告警实时告警n实时响应实时响应n缺点:缺点:n降低目标机的性能降低目标机的性能n没有统计行为信息没有统计行为信息n没有多主机标志没有多主机标志n没有用于支

40、持起诉的原始数据没有用于支持起诉的原始数据n降低了数据的辨析能力降低了数据的辨析能力n系统离线时不能分析数据系统离线时不能分析数据操作模式操作模式n操作主机入侵检测系统的方式操作主机入侵检测系统的方式n警告警告n监视监视n毁坏情况评估毁坏情况评估n遵从性遵从性基于主机的技术面临的问题基于主机的技术面临的问题n性能:降低是不可避免的n部署/维护n损害n欺骗基于网络的入侵检测系统基于网络的入侵检测系统n入侵检测系统分析网络数据包入侵检测系统分析网络数据包n基于网络的检测威胁基于网络的检测威胁n基于网络的结构基于网络的结构n优点及问题优点及问题基于网络的检测威胁基于网络的检测威胁n非授权访问非授权访

41、问n数据数据/资源的窃取资源的窃取n拒绝服务拒绝服务基于网络的入侵检测系统结构基于网络的入侵检测系统结构n基于网络的入侵检测系统由遍及网络的基于网络的入侵检测系统由遍及网络的传感器(传感器(Sensor)组成,传感器会向中组成,传感器会向中央控制台报告。传感器通常是独立的检央控制台报告。传感器通常是独立的检测引擎,能获得网络分组、找寻误用模测引擎,能获得网络分组、找寻误用模式,然后告警。式,然后告警。n传统的基于传感器的结构传统的基于传感器的结构n分布式网络节点结构分布式网络节点结构传统的基于传感器的结构传统的基于传感器的结构n传感器(通常设置为混杂模式)用传感器(通常设置为混杂模式)用于嗅探

42、网络上的数据分组,并将分于嗅探网络上的数据分组,并将分组送往检测引擎组送往检测引擎n检测引擎安装在传感器计算机本身检测引擎安装在传感器计算机本身n网络分接器分布在关键任务网段上,网络分接器分布在关键任务网段上,每个网段一个每个网段一个管理/配置入侵分析引擎器网络安全数据库嗅探器嗅探器分析结果基于网络的入侵检测系统模型基于网络的入侵检测系统模型分布式网络节点结构分布式网络节点结构n为解决高速网络上的丢包问题,为解决高速网络上的丢包问题,1999年年6月,出现的一种新的结构,将传感器分布到月,出现的一种新的结构,将传感器分布到网络上的每台计算机上网络上的每台计算机上n每个传感器检查流经他的网络分组

43、,然后传每个传感器检查流经他的网络分组,然后传感器相互通信,主控制台将所有的告警聚集、感器相互通信,主控制台将所有的告警聚集、关联起来关联起来数据采集构件应急处理构件通信传输构件检测分析构件管理构件安全知识库分布式入侵检测系统结构示意图分布式入侵检测系统结构示意图基于网络的入侵检测的好处基于网络的入侵检测的好处n威慑外部人员n检测n自动响应及报告基于网络的技术面临的问题基于网络的技术面临的问题n分组重组n高速网络n加密基于异常的入侵检测基于异常的入侵检测n思想:任何正常人的行为有一定的规律思想:任何正常人的行为有一定的规律n需要考虑的问题:需要考虑的问题:(1)选择哪些数据来表现用户的行为)选

44、择哪些数据来表现用户的行为(2)通过以上数据如何有效地表示用户的行为,)通过以上数据如何有效地表示用户的行为,主要在于学习和检测方法的不同主要在于学习和检测方法的不同(3)考虑学习过程的时间长短、用户行为的时)考虑学习过程的时间长短、用户行为的时效性等问题效性等问题数据选取的原则数据选取的原则(1)数据能充分反映用户行为特征的全貌数据能充分反映用户行为特征的全貌(2) 应使需要的数据量最小应使需要的数据量最小(3) 数据提取难度不应太大数据提取难度不应太大NIDS抓包抓包nPF_PACKETn从链路层抓包nlibpcapn提供API函数nwinpcapnWindows下的抓包库分析数据包分析数

45、据包EthernetIPTCP模式匹配EthernetIPTCP协议分析HTTPUnicodeXML模式匹配模式匹配 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.M.E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:.P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 64754745 5420 2f70 726f 6475 .GET /produ GET /p

46、rodu 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1

47、.1. 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1. 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*.Ref 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*.Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: http:/www 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: http:/www 9

48、0 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- b0 2f73 746f 7265 2f0d 0a41 6363 6

49、570 742d /store/.Accept- c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 61

50、74 650d : gzip, deflate. e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 100 696c 6c61 2f34 2e30 2028 636f

51、6d70 6174 illa/4.0 (compat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible; MSIE 5.01; 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible; MSIE 5.01; 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 130 0d0a 486f 7374 3a20 7777 77

52、2e 616d 6572 .Host: www.amer 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: www.amer 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: Keep-Aliv 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ctio

53、n: Keep-Aliv 160 650d 0a0d 0a e. 160 650d 0a0d 0a e. 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.M.E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:.P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 6475 .GET /produ 40 6374 732f 7769 7265 6c65 7373 2f6

54、9 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765686f 6d65 5f63 6f6c 6c61 6765 ges/home_collagehome_collage 60 322e 6a70 6720322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg2.jpg HTTP/1.1. 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*.Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77

55、7777 erer: http:/www 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encod

56、ing e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible; MSIE 5.01; 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT

57、 5.0) 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: www.amer 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: Keep-Aliv 160 650d 0a0d 0a e.协议分析协议分析一个攻击检测实例一个攻击检测实例n老版本的Sendmail漏洞利用$ telnet 25WIZshell或者DEBUG# 直接获得rootshell!简单的匹配简单的匹配n检查每个pack

58、et是否包含:“WIZ”| “DEBUG”检查端口号检查端口号n缩小匹配范围 Port 25:“WIZ”| “DEBUG” 深入决策树深入决策树n只判断客户端发送部分 Port 25:Client-sends: “WIZ” |Client-sends: “DEBUG” 1.概述概述2.入侵检测方法入侵检测方法3.入侵检测系统的设计原理入侵检测系统的设计原理入侵检测响应机制入侵检测响应机制5.其它其它6.展望展望响应策略响应策略n弹出窗口报警nE-mail通知n切断TCP连接n执行自定义程序n与其他安全产品交互nFirewallnSNMP Trapv压制调速压制调速 1 1、 撤消连接撤消连接

59、2 2、 回避回避 3 3、 隔离隔离 vSYN/ACKSYN/ACKvRESETsRESETs自动响应自动响应 一个高级的网络节点在使用一个高级的网络节点在使用“压制调速压制调速”技术的情技术的情况下,可以采用路由器把攻击者引导到一个经过特殊装况下,可以采用路由器把攻击者引导到一个经过特殊装备的系统上,这种系统被成为蜜罐备的系统上,这种系统被成为蜜罐 蜜罐是一种欺骗手段,它可以用于错误地诱导攻击蜜罐是一种欺骗手段,它可以用于错误地诱导攻击者,也可以用于收集攻击信息,以改进防御能力者,也可以用于收集攻击信息,以改进防御能力 蜜罐能采集的信息量由自身能提供的手段以及攻击蜜罐能采集的信息量由自身能

60、提供的手段以及攻击行为数量决定行为数量决定蜜罐蜜罐BOF:BOF: NFRWindowspecterpecter是商业产品,运行在是商业产品,运行在WindowsWindows平台上平台上Deception Deception ToolkitToolkit:DTKDTK是是一一个个状状态态机机,实实际际上上它它能能虚虚拟拟任任何何服服务务,并并可可方方便便地地利利用用其其中中的的功功能能直直接接模模仿仿许许多服务程序多服务程序 Mantrap Mantrap : : Recourse最最多多达达四四种种操操作作系系统统运运行行在在Solaris平台平台 Honeynets Honeynets

61、: : 它它是是一一个个专专门门设设计计来来让让人人“攻攻陷陷”的的网网络络,一一旦旦被被入入侵侵者者所所攻攻破破,入入侵侵者者的的一一切切信信息息、工工具具等等都将被用来分析学习都将被用来分析学习主动攻击模型主动攻击模型1.概述概述2.入侵检测方法入侵检测方法3.入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制其它其它6.展望展望IDS现状现状1.基于主机和基于网络的入侵检测系统采集、分析的数基于主机和基于网络的入侵检测系统采集、分析的数据不全面据不全面2.入侵检测由各个检测引擎独立完成,中心管理控制平入侵检测由各个检测引擎独立完成,中心管理控制平台并不具备检

62、测入侵的功能,缺乏综合分析台并不具备检测入侵的功能,缺乏综合分析3.在响应上,除了日志和告警,检测引擎只能通过发送在响应上,除了日志和告警,检测引擎只能通过发送RST包切断网络连接,或向攻击源发送目标不可达信包切断网络连接,或向攻击源发送目标不可达信息来实现安全控制息来实现安全控制协同协同协同协同1.目前目前IDS实现的功能是相对初级的实现的功能是相对初级的2.IDS也需要充分利用数据信息的相关性也需要充分利用数据信息的相关性3.IDS作为网络安全整体解决方案的重要部分,与作为网络安全整体解决方案的重要部分,与其他安全设备之间应该有着紧密的联系其他安全设备之间应该有着紧密的联系4.IDS需要一

63、种新的系统体系来克服自身的不足,需要一种新的系统体系来克服自身的不足,并将并将IDS的各个功能模块与其他安全产品有机地的各个功能模块与其他安全产品有机地融合起来融合起来,这就需要引入协同的概念这就需要引入协同的概念数据采集协同数据采集协同1.基于网络的基于网络的IDS需要采集动态数据(网络数据包)需要采集动态数据(网络数据包)2.基于主机的基于主机的IDS需要采集静态数据(日志文件等)需要采集静态数据(日志文件等)3.目前的目前的IDS将网络数据包的采集、分析与日志文件的采集、将网络数据包的采集、分析与日志文件的采集、分析割裂开来,没有在这两类原始数据的相关性上作考虑。分析割裂开来,没有在这两

64、类原始数据的相关性上作考虑。4.在数据采集上进行协同并充分利用各层次的数据,是提高在数据采集上进行协同并充分利用各层次的数据,是提高入侵检测能力的首要条件入侵检测能力的首要条件数据分析协同数据分析协同入侵检测不仅需要利用模式匹配和异常检测技术来分析某个入侵检测不仅需要利用模式匹配和异常检测技术来分析某个检测引擎所采集的数据,以发现一些简单的入侵行为,还需检测引擎所采集的数据,以发现一些简单的入侵行为,还需要在此基础上利用要在此基础上利用数据挖掘数据挖掘技术,分析多个检测引擎提交的技术,分析多个检测引擎提交的审计数据以发现更为复杂的入侵行为。审计数据以发现更为复杂的入侵行为。两个层面上进行两个层

65、面上进行1.单个检测引擎采集的数据:综合使用检测技术,以发现较单个检测引擎采集的数据:综合使用检测技术,以发现较为常见的、典型的攻击行为为常见的、典型的攻击行为本地引擎本地引擎2.多个检测引擎的审计数据:利用数据挖掘技术进行分析,多个检测引擎的审计数据:利用数据挖掘技术进行分析,以发现较为复杂的攻击行为以发现较为复杂的攻击行为中心管理控制平台中心管理控制平台数据挖掘数据挖掘1.数据挖掘技术是一种决策支持过程,它主要基于数据挖掘技术是一种决策支持过程,它主要基于AI,机器学习,机器学习统计等技术,能高度自动化地分析原有数据,做出归纳性推理,统计等技术,能高度自动化地分析原有数据,做出归纳性推理,

66、从中挖掘出潜在的模式,预测出客户的行为从中挖掘出潜在的模式,预测出客户的行为2.运用关联分析,能够提取入侵行为在时间和空间上的关联,可运用关联分析,能够提取入侵行为在时间和空间上的关联,可以进行的关联包括源以进行的关联包括源IP关联、目标关联、目标IP关联、数据包特征关联、关联、数据包特征关联、时间周期关联、网络流量关联等;时间周期关联、网络流量关联等;3.运用序列模式分析可以进行入侵行为的时间序列特征分析;运用序列模式分析可以进行入侵行为的时间序列特征分析;4.利用以上的分析结构,可以制订入侵行为的分类标准,并进行利用以上的分析结构,可以制订入侵行为的分类标准,并进行形式化的描述,通过一定的

67、训练数据集来构造检测模型;形式化的描述,通过一定的训练数据集来构造检测模型;5.运用聚类分析,能优化或完全抛弃既有的模型,对入侵行为重运用聚类分析,能优化或完全抛弃既有的模型,对入侵行为重新划分并用显示或隐式的方法进行描述新划分并用显示或隐式的方法进行描述数据挖掘过程数据挖掘过程1.数据准备数据准备2.数据清理和集成数据清理和集成3.数据挖掘数据挖掘4.知识表示知识表示5.模式评估模式评估数据挖掘数据挖掘1.从审计数据中提取特征,以帮助区分正常数据和攻击从审计数据中提取特征,以帮助区分正常数据和攻击行为行为2.将这些特征用于模式匹配或异常检测模型将这些特征用于模式匹配或异常检测模型3.描述一种

68、人工异常产生方法,来降低异常检测算法的描述一种人工异常产生方法,来降低异常检测算法的误报率误报率4.提供一种结合模式匹配和异常检测模型的方法提供一种结合模式匹配和异常检测模型的方法基本框架基本框架1.引擎观察原始数据并计算用于模型评估的特征引擎观察原始数据并计算用于模型评估的特征2.检测器获取引擎的数据并利用检测模型来评估它是否检测器获取引擎的数据并利用检测模型来评估它是否是一个攻击是一个攻击3.数据仓库被用作数据和模型的中心存储地数据仓库被用作数据和模型的中心存储地;4.模型产生的主要目的是为了加快开发以及分发新的入模型产生的主要目的是为了加快开发以及分发新的入侵检测模型的速度侵检测模型的速

69、度响应协同响应协同理想的情况是,建立相关安全产品能够相互通信并协同理想的情况是,建立相关安全产品能够相互通信并协同工作的安全体系,实现防火墙、工作的安全体系,实现防火墙、IDS、病毒防护系统和审、病毒防护系统和审计系统等的互通与联动,以实现整体安全防护计系统等的互通与联动,以实现整体安全防护响应协同响应协同:当:当IDS检测到需要阻断的入侵行为时,立即迅检测到需要阻断的入侵行为时,立即迅速启动联动机制,自动通知防火墙或其他安全控制设备对速启动联动机制,自动通知防火墙或其他安全控制设备对攻击源进行封堵,达到整体安全控制的效果。攻击源进行封堵,达到整体安全控制的效果。IDS与防火墙的联动,可封堵源

70、自外部网络的攻击与防火墙的联动,可封堵源自外部网络的攻击IDS与网络管理系统的联动,可封堵被利用的网络设备和主机与网络管理系统的联动,可封堵被利用的网络设备和主机IDS与操作系统的联动,可封堵有恶意的用户账号与操作系统的联动,可封堵有恶意的用户账号IDS与内网监控管理系统的联动,可封堵内部网络上恶意的主机与内网监控管理系统的联动,可封堵内部网络上恶意的主机IDS与与Firewall联动联动通过在防火墙中驻留的一个通过在防火墙中驻留的一个IDSAgent对象,以接收来自对象,以接收来自IDS的控制消息,然后再增加防火墙的过滤规则,最终实的控制消息,然后再增加防火墙的过滤规则,最终实现联动现联动C

71、isco CIDF(CISL)ISS Checkpoint模式匹配是第一代模式匹配是第一代(10M)(10M)和第二代和第二代(100M)(100M)入侵检测入侵检测系统在网络数据包里检查某个攻击特征存在性的一系统在网络数据包里检查某个攻击特征存在性的一种技术种技术模式匹配就是将收集到的信息与已知的网络入侵和模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全系统误用模式数据库进行比较,从而发现违背安全策略的行为策略的行为一般来讲,一种进攻模式可以用一个过程(如执行一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示一条指令)

72、或一个输出(如获得权限)来表示模式匹配模式匹配1.只需收集相关的数据集合,显著减少系统负担只需收集相关的数据集合,显著减少系统负担2.技术已相当成熟技术已相当成熟3.检测准确率和效率都相当高检测准确率和效率都相当高优点优点1 1计算负荷大:支撑这一算法所需的计算量非常惊人,对一个计算负荷大:支撑这一算法所需的计算量非常惊人,对一个满负荷的满负荷的100100兆以太网而言,所需的计算量是每秒兆以太网而言,所需的计算量是每秒720720亿次计算。亿次计算。这一计算速度要求大大超出了现有的技术条件。同时,这种办法这一计算速度要求大大超出了现有的技术条件。同时,这种办法虽然可以把系统构建为部分覆盖的功

73、能,但是这样的系统有严重虽然可以把系统构建为部分覆盖的功能,但是这样的系统有严重的性能问题,并容易被黑客规避的性能问题,并容易被黑客规避2 2检测准确率低:第二个根本弱点是使用固定的特征模式来检检测准确率低:第二个根本弱点是使用固定的特征模式来检测入侵只能检测特定的特征,这将会错过通过对原始攻击串做对测入侵只能检测特定的特征,这将会错过通过对原始攻击串做对攻击效果无影响的微小变形而衍生所得的攻击攻击效果无影响的微小变形而衍生所得的攻击3. 3. 没有理解能力:模式匹配系统没有判别模式的真实含义和实没有理解能力:模式匹配系统没有判别模式的真实含义和实际效果的能力,因此,所有的变形都将成为攻击特征

74、库里一个不际效果的能力,因此,所有的变形都将成为攻击特征库里一个不同的特征,这就是模式匹配系统有一个庞大的特征库的原因同的特征,这就是模式匹配系统有一个庞大的特征库的原因缺点缺点新技术的出现新技术的出现1.高速网络的出现高速网络的出现 基于模式匹配的入侵检测系统在一个满负荷的基于模式匹配的入侵检测系统在一个满负荷的100100兆以太网上,兆以太网上,将不得不丢弃将不得不丢弃30%30%75%75%的数据流量的数据流量 某些系统,即使在利用率为某些系统,即使在利用率为20%20%的的100100兆以太网上也已经开始漏兆以太网上也已经开始漏掉某些攻击行为掉某些攻击行为2.攻击技术的提高攻击技术的提

75、高3.降低错报率和漏报率的要求降低错报率和漏报率的要求协议分析加命令解析技术是一种新的入侵检测技术,它协议分析加命令解析技术是一种新的入侵检测技术,它结合高速数据包捕捉、协议分析和命令解析来进行入侵结合高速数据包捕捉、协议分析和命令解析来进行入侵检测,给入侵检测战场带来了许多决定性的优势检测,给入侵检测战场带来了许多决定性的优势由于有了协议分析加命令解析的高效技术,基于运行由于有了协议分析加命令解析的高效技术,基于运行在单个在单个IntelIntel架构计算机上的入侵检测系统的千兆网络架构计算机上的入侵检测系统的千兆网络警戒系统,就能分析一个高负载的千兆以太网上同时存警戒系统,就能分析一个高负

76、载的千兆以太网上同时存在的超过在的超过300300万个连接,而不错漏一个包万个连接,而不错漏一个包协议分析协议分析 命令解析命令解析协议分析充分利用了网络协议的高度有序性,使用这些知识协议分析充分利用了网络协议的高度有序性,使用这些知识快速检测某个攻击特征的存在快速检测某个攻击特征的存在协议分析协议分析因为系统在每一层上都沿着协议栈向上解码,因此可以因为系统在每一层上都沿着协议栈向上解码,因此可以使用所有当前已知的协议信息,来排除所有不属于这一使用所有当前已知的协议信息,来排除所有不属于这一个协议结构的攻击。个协议结构的攻击。协议解码协议解码nProtocol AnalysisnEther、I

77、P、ARPnTCP、UDP、ICMPnHTTP、Telnet、DNS、FTP、IRC、NetBIOS、SMB、SMTP、SNMP、TFTP、RPC、POP3、Finger、rlogin、MIME、IMAP4、VNC、RealAudio、NetGames、MS SQL协议分析的优势协议分析的优势n效率高n检测0-day漏洞脚本n例如大量的90字符可能是ShellCode中的NOOP操作。n依据RFC,执行协议异常分析解析器是一个命令解释程序,入侵检测引擎包括了多种不同解析器是一个命令解释程序,入侵检测引擎包括了多种不同的命令语法解析器,因此,它能对不同的高层协议的命令语法解析器,因此,它能对不同

78、的高层协议如如TelnetTelnet、FTPFTP、HTTPHTTP、SMTPSMTP、SNMPSNMP、DNSDNS等的用户命令进行详等的用户命令进行详细的分析。细的分析。命令解析器具有读取攻击串及其所有可能的变形,并发掘其命令解析器具有读取攻击串及其所有可能的变形,并发掘其本质含义的能力。这样,在攻击特征库中只需要一个特征,本质含义的能力。这样,在攻击特征库中只需要一个特征,就能检测这一攻击所有可能的变形。就能检测这一攻击所有可能的变形。解析器在发掘出命令的真实含义后将给恶意命令做好标记,解析器在发掘出命令的真实含义后将给恶意命令做好标记,主机将会在这些包到达操作系统、应用程序之前丢弃它

79、们。主机将会在这些包到达操作系统、应用程序之前丢弃它们。命令解析命令解析第一步第一步直接跳到第直接跳到第1313个字节,并读取个字节,并读取2 2个字节的协议标识。如果个字节的协议标识。如果值是值是08000800,则说明这个以太网帧的数据域携带的是,则说明这个以太网帧的数据域携带的是IPIP包,基于协议解包,基于协议解码的入侵检测利用这一信息指示第二步的检测工作。码的入侵检测利用这一信息指示第二步的检测工作。第二步第二步跳到第跳到第2424个字节处读取个字节处读取1 1字节的第四层协议标识。如果读字节的第四层协议标识。如果读取到的值是取到的值是0606,则说明这个,则说明这个IPIP帧的数据

80、域携带的是帧的数据域携带的是TCPTCP包,入侵检测包,入侵检测利用这一信息指示第三步的检测工作。利用这一信息指示第三步的检测工作。第三步第三步跳到第跳到第3535个字节处读取一对端口号。如果有一个端口号是个字节处读取一对端口号。如果有一个端口号是00800080,则说明这个,则说明这个TCPTCP帧的数据域携带的是帧的数据域携带的是HTTPHTTP包,基于协议解码的包,基于协议解码的入侵检测利用这一信息指示第四步的检测工作。入侵检测利用这一信息指示第四步的检测工作。第四步第四步让解析器从第让解析器从第5555个字节开始读取个字节开始读取URLURL。 URLURL串将被提交给串将被提交给HT

81、TPHTTP解析器,在它被允许提交给解析器,在它被允许提交给WebWeb服务器前,服务器前,由由HTTPHTTP解析器来分析它是否可能会做攻击行为。解析器来分析它是否可能会做攻击行为。典型例子典型例子 提高了性能提高了性能:协议分析利用已知结构的通信协议,与模式匹配系统中传统的穷举分析方法相比,在处理数据帧和连接时更迅速、有效。 提高了准确性提高了准确性:与非智能化的模式匹配相比,协议分析减少了虚警和误判的可能性,命令解析(语法分析)和协议解码技术的结合,在命令字符串到达操作系统或应用程序之前,模拟它的执行,以确定它是否具有恶意。 基于状态的分析基于状态的分析:当协议分析入侵检测系统引擎评估某

82、个包时,它考虑了在这之前相关的数据包内容,以及接下来可能出现的数据包。与此相反,模式匹配入侵检测系统孤立地考察每个数据包。 反规避能力反规避能力:因为协议分析入侵检测系统具有判别通信行为真实意图的能力,它较少地受到黑客所用的像URL编码、干扰信息、TCP/IP分片等入侵检测系统规避技术的影响。 系统资源开销小系统资源开销小:协议分析入侵检测系统的高效性降低了在网络和主机探测中的资源开销,而模式匹配技术却是个可怕的系统资源消费者。优点优点部署部署nNIDS的位置必须要看到所有数据包n共享媒介HUBn交换环境n隐蔽模式n千兆网n分布式结构nSensornConsole共享媒介共享媒介HUBIDS

83、SensorMonitored ServersConsole交换环境交换环境SwitchIDS SensorMonitored ServersConsole通过端口镜像实现通过端口镜像实现(SPAN / Port Monitor)隐蔽模式隐蔽模式SwitchIDS SensorMonitored ServersConsole不设不设IP千兆网络千兆网络IDS SensorsL4或或L7交换设备交换设备Advanced1 Gb to many 100Mb Sensors(Advanced concept)Deployment of IDSInternetFireWallIDS #1IDS #2I

84、DS #3IDS#1Monitor of External TrafficIDS#2Monitor of Internal TrafficIDS#3Monitor of FirewallsExternal性能测试性能测试n实际生产环境n模拟流量n硬件:SmartBitsn人为构造一定大小的数据报,从64bytes到1500bytes,衡量不同pps(packets per second)下IDS对攻击的检测情况。n软件:tcpdump & tcpreplayn对流量的回放IDS躲避测试躲避测试nURL编码n “cgi-bin” “%63%67%69%2d%62%69%6e”nInsersion

85、,插入其他字符n“GET /cgi-bin/phf” “GET /cgi-bin/phf”以绕过攻击特征库。n将攻击包以碎片方式发出nfragrouter状态性测试状态性测试nStateful ?n测试工具:Stick/Snotn不建立连接,直接发送攻击数据包n只分析单个数据包的IDS会大量误报n要减少误报,IDS必须维护连接状态状态性测试:状态性测试:CGI攻击举例攻击举例三次握手SYN1.SYN/ACK2.ACK3.GET /cgi-bin/phf4.200 OK 或404 Not Found5.1) 不握手,直接发送第4个包;2) 握手,能否跟踪返回的第5个包,判断攻击成功与否?产品产品

86、n免费nSnort nhttp:/www.snort.orgnSHADOWnhttp:/www.nswc.navy.mil/ISSEC/CID/产品产品n商业nCyberCop Monitor, NAInDragon Sensor, EnterasysneTrust ID, CAnNetProwler, SymantecnNetRanger, CisconNID-100/200, NFR SecuritynRealSecure, ISSnSecureNet Pro, I资源资源nIDS FAQnhttp:/ Mailinglistnhttp:/ 致性;致性;5.5.研制可靠的测试和评估标准;研制可靠的测试和评估标准;6.6.提提供供科科学学的的漏漏洞洞分分类类方方法法,尤尤其其注注重重从从攻攻击击客客体体而而不不是是攻攻击击主主体体的的观观点出发;点出发;7.7.提供提供对对更高更高级级的攻的攻击击行行为为如分布式攻如分布式攻击击、拒、拒绝绝服服务务攻攻击击等的等的检测检测手段;手段;

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 工作计划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号