05网络安全_入侵检测

网络安全入侵检测技术第五章入侵检测技术5.15.25.35.4概述入侵检测技术入侵检测体系入侵检测发展55.11234概述入侵检测系统及起源IDS基本结构入侵检测的分类基本术语IDS存在与发展的必然性网络安全本身的复杂性，被动式的防御方式显得力不从心。有关防火墙：网络边界的设备；自身可以被攻破；对某些攻击保护很弱；并非所有威胁均来自防火墙外部。入侵很容易：入侵教程随处可见；各种工具唾手可得入侵检测系统（IDS）入侵检测（IntrusionDetection）的定义：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测系统（IDS）：进行入侵检测的软件与硬件的组合。入侵检测的起源（1）审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程。1980年，JamesP.Anderson的《计算机安全威胁监控与监视》（《ComputerSecurityThreatMonitoringandSurveillance》）－第一次详细阐述了入侵检测的概念－计算机系统威胁分类:外部渗透、内部渗透和不法行为－提出了利用审计跟踪数据监视入侵活动的思想－这份报告被公认为是入侵检测的开山之作入侵检测的起源（2）1984年到1986年，乔治敦大学的DorothyDenning和SRI/CSL的PeterNeumann研究出了一个实时入侵检测系统模型——IDES（入侵检测专家系统）1990年，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM（NetworkSecurityMonitor）－该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机－入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS入侵检测的起源（3）1988年之后，美国开展对分布式入侵检测系统（DIDS）的研究，将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。IDS基本结构IDS通常包括以下功能部件：P182事件产生器事件分析器事件数据库响应单元事件产生器（1）负责原始数据采集，并将收集到的原始数据转换为事件，向系统的其他部分提供此事件。收集内容：系统、网络数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息－系统或网络的日志文件－网络流量－系统目录和文件的异常变化－程序执行中的异常行为事件产生器（2）注意：入侵检测很大程度上依赖于收集信息的可靠性和正确性－要保证用来检测网络系统的软件的完整性－特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息事件分析器接收事件信息，对其进行分析，判断是否为入侵行为或异常现象，最后将判断的结果转变为告警信息。分析方法：－模式匹配：将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为－统计分析：首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）；测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生－完整性分析（往往用于事后分析）：主要关注某个文件或对象是否被更改事件数据库存放各种中间和最终数据的地方。从事件产生器或事件分析器接收数据，一般会将数据进行较长时间的保存。响应单元根据告警信息做出反应，是IDS中的主动武器。可做出：－强烈反应：切断连接、改变文件属性等－简单的报警入侵检测的分类按照分析方法/检测原理按照数据来源按照体系结构按照工作方式入侵检测性能关键参数误报(falsepositive)：实际无害的事件却被IDS检测为攻击事件。漏报(falsenegative)：一个攻击事件未被IDS检测到或被分析人员认为是无害的。入侵检测的分类（1）按照分析方法/检测原理－异常检测（AnomalyDetection):首先总结正常操作应该具有的特征（用户轮廓），试图用定量的方式加以描述，当用户活动与正常行为有重大偏离时即被认为是入侵－误用检测（MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵异常检测前提：入侵是异常活动的子集用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围过程：监控量化比较判定修正指标:漏报率低,误报率高异常检测特点异常检测系统的效率取决于用户轮廓的完备性和监控的频率不需要对每种入侵行为进行定义，因此能有效检测未知的入侵系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源指标:误报低、漏报高误用检测前提：所有的入侵行为都有可被检测到的特征攻击特征库:当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵过程：监控特征提取匹配判定误用检测如果入侵特征与正常的用户行为能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报特点：采用模式匹配，误用模式能明显降低误报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力。入侵检测的分类（2）按照数据来源－基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机－基于网络：系统获取的数据是网络传输的数据包，保护的是网络的正常运行－混合型InternetCustomersDesktopsNetworkBranchOfficeTelecommutersPartners基于主机的入侵检测系统（HIDS）HackerWebServersHIDSServersHIDSHIDS的工作原理X检测内容：系统调用、端口调用、审计记录、系统日志、应用日志客户端Internet网络服务器1HIDS网络服务器2HIDS注意：监视与分析主机的审计记录和日志文件主要用于保护运行关键应用的服务器最适合于检测那些可以信赖的内部人员的误用以及已经避开了传统的检测方法而渗透到网络中的活动能否及时采集到审计记录如何保护作为攻击目标的HIDSHIDSInternetWebServersCustomersServersNetworkBranchOfficeTelecommutersPartners基于网络的入侵检测系统（NIDS）NIDSDesktopsNIDSNIDSNIDS基于网络入侵检测系统工作原理数据包=包头信息+有效数据部分网络服务器1网络服务器2检测内容：包头信息+有效数据部分X客户端Internet注意：在共享网段上对通信数据进行侦听采集数据主机资源消耗少提供对网络通用的保护如何适应高速网络环境非共享网络上如何采集数据典型产品代表：SnortNIDS两类IDS监测软件网络IDS-侦测速度快-隐蔽性好-视野更宽-较少的监测器-占资源少主机IDS-视野集中-易于用户自定义-保护更加周密-对网络流量不敏感入侵检测的分类（3）按照体系结构－集中式：有多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理。（可伸缩性、可配置性差）－分布式：将中央检测服务器的任务分配给多个HIDS，它们不分等级，负责监控当地主机的可疑活动。（可伸缩性、安全性高；但维护成本高，监控主机的工作负荷重）入侵检测的分类（4）按照工作方式－离线检测：非实时工作，在行为发生后，对产生的数据进行分析。（成本低，可分析大量事件、分析长期情况；但无法提供及时保护）－在线检测：实时工作，在数据产生的同时或者发生改变时进行分析（反应迅速、及时保护系统；但系统规模较大时，实时性难以得到实际保证）Alert（警报）Signatures（特征）Promiscuous（混杂模式）基本术语当一个入侵正在发生或者试图发生时，IDS将发布一个alert信息通知系统管理员如果控制台与IDS同在一台机器，alert信息将显示在监视器上，也可能伴随有声音提示如果是远程控制台，那么alert将通过IDS的内置方法（通常是加密的）、SNMP（简单网络管理协议，通常不加密）、email、SMS（短信息）或者以上几种方法的混合方式传递给管理员Alert（警报）攻击特征是IDS的核心，它使IDS在事件发生时触发特征信息过短会经常触发IDS，导致误报或错报；过长则会影响IDS的工作速度有人将IDS所支持的特征数视为IDS好坏的标准，但是有的厂商用一个特征涵盖许多攻击，而有些厂商则会将这些特征单独列出，这就会给人一种印象：好像它包含了更多的特征，是更好的IDSSignatures（特征）Promiscuous（混杂模式）默认状态下，IDS网络接口只能“看到”进出主机的信息，也就是所谓的non-promiscuous（非混杂模式）如果网络接口是混杂模式，就可以“看到”网段中所有的网络通信量，不管其来源或目的地这对于网络IDS是必要的5.2入侵检测技术异常检测技术误/滥用检测技术高级检测技术入侵诱骗技术入侵响应技术12345概率统计异常检测特征选择异常检测贝叶斯推理异常检测贝叶斯网络异常检测模式预测异常检测神经网络异常检测机器学习异常检测数据挖掘异常检测异常检测技术概率统计异常检测方法是异常检测技术中应用最早也是最多的一种方法根据异常检测器观察主体的活动，然后产生刻划这些活动的行为轮廓（用户特征表）每一个轮廓保存记录主体当前行为，并定时将当前轮廓与历史轮廓合并形成统计轮廓（更新），通过比较当前轮廓与统计轮廓来判定异常行为用于描述特征的变量类型及具体操作：P189概率统计异常检测方法优点：可应用成熟的概率统计理论缺点：－由于用户行为的复杂性，要想准确地匹配一个用户的历史行为非常困难，容易造成系统误报和漏报－定义入侵阈值比较困难，阈值高则误报率提高，阈值低则漏报率增高基于神经网络异常检测方法基本思想：用一系列信息单元（命令）训练神经元神经网络的输入层是用户当前输入的命令和已执行过的W个命令；用户执行过的命令被神经网络使用来预测用户输入的下一个命令若神经网络被训练成预测用户输入命令序列集合，则神经网络就构成用户的轮廓框架，于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度用于入侵检测的神经网络示意图：P190基于神经网络异常检测方法优点：－更好地表达了变量间的非线性关系，能更好地处理原始数据的随机特征，即不需要对这些数据做任何统计假设，并且能自动学习和更新－有较好的抗干扰能力缺点：网络拓扑结构以及各元素的权重很难确定主要假设：具有能够被精确地按某种方式编码的攻击，并可以通过捕获攻击及重新整理，确认入侵活动是基于同一弱点进行攻击的入侵方法的变种误用入侵检测：指通过按预先定义好的入侵模式以及观察到入侵发生情况进行模式匹配来检测入侵模式说明了那些导致安全突破或其它误用的事件中的特征、条件、排列和关系。一个不完整的模式可能表明存在多种构造方式的入侵企图误/滥用检测技术条件概率滥用检测专家系统滥用检测状态转换分析滥用检测键盘监控滥用检测模型推理滥用检测滥用入侵检测方法专家系统滥用入侵检测方法是滥用检测技术中运用最多的一种方法通过将安全专家的知识表示成If－Then结构的规则（if部分：构成入侵所要求的条件；then部分：发现入侵后采取的相应措施）形成专家知识库，然后运用推理算法检测入侵注意：需要解决的主要问题是处理序列数据和知识库的维护（只能检测已知弱点）；专家系统滥用入侵检测方法具体实现中所面临的问题：－全面性问题：难以科学地从各种入侵手段中抽象出全面地规则化知识；－效率问题：需要处理的数据量过大商业产品一般不采用专家系统状态转换分析滥用入侵检测方法主要思想：将入侵过程看作一个行为序列，该行为序列导致系统