网络安全-6

LOGO网络安全第6讲LOGO2第6章入侵检测技术入侵检测技术概述入侵检测技术分类基于主机/网络的入侵检测技术混合型的入侵检测技术先进入侵检测技术分布式的入侵检测架构入侵检测系统的设计思路LOGO3入侵检测技术概述主机审计—入侵检测的起点入侵检测基本模型的建立技术发展过程入侵检测定义入侵检测与P2DR模型LOGO4主机审计—入侵检测的起点主机审计出现在入侵检测技术之前，其定义为：产生、记录并检查按照时间顺序排列的系统事件记录的过程。在早期的中央主机集中计算的环境之下，主机审计的主要目的是统计用户的上机时间，便于进行计费管理。不久，随着计算机的普及，审计的用途扩展到跟踪记录计算机系统的资源使用情况。经过进一步的发展，主机审计开始应用于追踪调查计算机系统中用户的不正当使用行为的目的。现在的主机审计，已经逐步开始引入了安全审计的概念。安全审计的主要需求来自于商业领域和军事、行政领域。LOGO5主机审计—入侵检测的起点JamesAnderson在1980年首次明确提出安全审计的目标，并强调应该对计算机审计机制做出若干修改，以便计算机安全人员能够方便地检查和分析审计数据。Anderson在报告中定义了3种类型的恶意用户：伪装者（masquerader）违法者（misfeasor）秘密活动者（clandestineduser）LOGO6主机审计—入侵检测的起点伪装者：此类用户试图绕过系统安全访问控制机制，利用合法用户的系统账户。违法者：在计算机系统上执行非法活动的合法用户。秘密活动者：此类用户在获取系统最高权限后，利用此种权限以一种审计机制难以发现的方式进行秘密活动，或者干脆关闭审计记录过程。LOGO7主机审计—入侵检测的起点Anderson指出，可以通过观察在审计数据记录中的偏离历史正常行为模式的用户活动来检查和发现伪装者和一定程度上的违法者。Anderson对此问题的建议，实质上就是入侵检测中异常检测技术的基本假设和检测思路，为后来的入侵检测技术发展奠定了早期的思想基础。LOGO8入侵检测基本模型的建立1987年，DorothyDenning发表了入侵检测领域内的经典论文《入侵检测模型》。这篇文献正式启动了入侵检测领域内的研究工作，被认为是入侵检测领域内的开创性成果。Denning提出的统计分析模型在早期研发的入侵检测专家系统（IDES）中得到较好的实现。IDES系统主要采纳了Anderson的技术报告中所给出的检测建议，但是，Denning的论文中还包括了其他检测模型。Denning对入侵检测的基本模型给出了建议，所提出的入侵检测基本模型，其意义在于一般化的模型定义，并不强调具体的实现技术。如图所示。LOGO9入侵检测基本模型的建立通用入侵检测模型事件生成器从给定的数据来源中，生成入侵检测事件，并分别送入到活动档案计算模块和规则库检测模块中。活动档案模块根据新生成的事件，自动更新系统行为的活动档案。规则库根据当前系统活动档案和当前事件的情况，发现异常活动情况，并可以按照一定的时间规则自动地删减规则库中的规则集合。LOGO10技术发展过程入侵检测技术自20世纪80年代早期提出以来，经过不断发展，从最初的一种有价值的研究想法和单纯的理论模型，迅速发展出种类繁多的各种实际原型系统，并且在近10年内涌现出许多商用入侵检测系统产品，成为计算机安全防护领域内不可缺少的一种重要的安全防护技术。1980年，Anderson在其完成的一份技术报告中提出了改进安全审计系统的建议，以便用于检测计算机用户的非授权活动，同时，提出了基本的检测思路。LOGO11技术发展过程1984-1986年，Denning和Neumann在SRI公司内设计和实现了著名的IDES，该系统是早期入侵检测系统中最有影响力的一个。1987年，DorothyDenning发表的经典论文“AnIntrusionDetectionModal”中提出入侵检测的基本模型，并提出了几种可用于入侵检测的统计分析模型。此论文正式启动了入侵检测领域内的研究工作。同年，在SRI召开了首次入侵检测方面的专题研讨会。1989-1991年，StephenSmaha设计开发了Haystack入侵检测系统，该系统用于美国空军内部网络的安全检测目的。LOGO12技术发展过程1990年，加州大学Davis分校的ToddHeberlien的论文“ANetworkSecurityMonitor”，标志着入侵检测第一次将网络数据包作为实际输入的信息源。NSM系统截获TCP/IP分组数据，可用于监控异构网络环境下的异常活动。1991年，在多个部门的赞助支持下，在NSM系统和Haystack系统的基础上，StephenSmaha主持设计开发了DIDS（分布式入侵检测系统）。1992年，加州大学圣巴巴拉分校的Porras和Ilgun提出状态转移分析的入侵检测技术，并实现了原型系统USTAT，之后发展出NSTAT、NetSTAT等系统。差不多同一时期，KathleenJackson在LosAlamos国家实验室设计开发了NADIR入侵检测系统。LOGO13技术发展过程而SAIC和HaystackLabs分别开发出了CMDS系统和Stalker系统，这两个系统是首批投入商用的主机入侵检测系统。1994年，Porras在SRI开发出IDES系统的后继版本NIDES系统，后者在系统整体结构设计和统计分析算法上有了较大改进。1995年，普渡大学的S.Kumar在STAT的思路基础上，提出了基于有色Petri网的模式匹配计算模型，并实现了IDIOT原型系统。1996年，新墨西哥大学的Forrest提出了基于计算机免疫学的入侵检测技术。LOGO14技术发展过程1997年，Cisco公司开始将入侵检测技术嵌入到路由器，同时，ISS公司发布了基于Windows平台的RealSecure入侵检测系统，自此拉开商用网络入侵检测系统的发展序幕。1998年，MIT的RichardLippmann等人为DARPA进行了一次入侵检测系统的离线评估活动，该评估活动使用的是人工合成的模拟数据，最后的测试结果对于后来的入侵检测系统开发和评估工作都产生了较大影响。1999年，LosAlamos的V.Paxson开发了Bro系统，用于高速网络环境下的入侵检测。Bro系统在设计上考虑了鲁棒性、安全性，并且处理了许多反规避的技术问题。LOGO15技术发展过程1999年，加州大学的Davis分校发布了GrIDS系统，该系统试图为入侵检测技术扩展到大型网络环境提供一个实际的解决方案。WenkeLee提出用于入侵检测的数据挖掘技术框架。2000年，普渡大学的DiegoZamboni和E.Spafford提出了入侵检测的自治代理结构，并实现了原型系统AAFID系统。早期的入侵检测系统几乎都是基于主机的，过去的10年里最流行的商业入侵检测系统大多却是基于网络的。现在和未来几年内的发展趋势似乎是混合型以及分布式系统的发展。LOGO16入侵检测定义一种主动保护自己的网络和系统免遭非法攻击的网络安全技术。它从计算机系统或者网络中收集、分析信息，检测任何企图破坏计算机资源的完整性、机密性和可用性的行为，即查看是否有违反安全策略的行为和遭到攻击的迹象，并做出相应的反应。美国计算机安全协会关于“入侵检测”的定义：通过从计算机网络或计算机系统中的若干关键点手机信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的现象的一种安全技术。违反安全策略的行为：入侵，非法用户的违规行为；误用，用户的违规行为。加载入侵检测技术的系统我们称之为入侵检测系统（IDS，IntrusionDetectionSystem），一般情况下，我们并不严格的去区分入侵检测和入侵检测系统两个概念，而都称为IDS或入侵检测技术。入侵检测的主要目的有：识别入侵者；识别入侵行为；检测和监视已成功的安全突破；为对抗措施即时提供重要信息。因而，入侵检测是非常必要的，可以弥补传统安全保护措施的不足。LOGO监控室=控制中心后门保安=防火墙摄像机=探测引擎CardKey形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。LOGO18入侵检测定义通用入侵检测系统模型LOGO19入侵检测定义通用入侵检测系统模型，主要由以下几部分组成：数据收集器（探测器）：主要负责收集数据。检测器（分析器或检测引擎）：负责分析和检测入侵的任务，并发出警报信号。知识库：提供必要的数据信息支持。控制器：根据警报信号，人工或自动做出反应动作。另外，绝大多数的入侵检测系统都包含一个用户接口组件，用于观察系统的运行状态和输出信号，并对系统行为进行控制。LOGOIDS意义源于信息审计，优于信息审计，信息安全审计的核心技术主动防御的需要，防火墙、VPN通过“阻断”的机制被动式防御，不能抵制复杂和内部的攻击作为与防火墙配合的防护手段（如下图）LOGOLOGO22入侵检测与P2DR模型P2DR模型的内容包括：策略：P2DR模型的核心内容。具体实施过程中，策略规定了系统所要达到的安全目标和为达到目标所采取的各种具体安全措施及其实施强度等。防护：具体包括制定安全管理规则、进行系统安全配置工作以及安装各种安全防护设备。检测：在采取各种安全措施后，根据系统运行情况的变化，对系统安全状态进行实时的动态监控。响应：当发现了入侵活动或入侵结果后，需要系统作出及时的反应并采取措施，其中包括记录入侵行为、通知管理员、阻断进一步的入侵活动以及恢复系统正常运行等。LOGO23入侵检测与P2DR模型P2DR模型阐述了如下结论：安全的目标实际上就是尽可能地增大保护时间，尽量减少检测时间和响应时间。入侵检测技术（intrusiondetection）就是实现P2DR模型中“Detection”部分的主要技术手段。在P2DR模型中，安全策略处于中心地位，但是从另一个角度来看，安全策略也是制定入侵检测中检测策略的一个重要信息来源，入侵检测系统需要根据现有已知的安全策略信息，来更好地配置系统模块参数信息。当发现入侵行为后，入侵检测系统会通过响应模块改变系统的防护措施，改善系统的防护能力，从而实现动态的系统安全模型。因此，从技术手段上分析，入侵检测可以看作是实现P2DR模型的承前启后的关键环节。P2DR模型是一个动态的计算机系统安全理论模型。P2DR特点是动态性和基于时间的特性。LOGOIDS功能事前：检测到入侵感觉，利用报警与防护系统驱逐入侵事中：减少入侵所造成的损失；事后：收集入侵攻击的信息，作为防范系统的知识添加到知识库内，以增强系统的防范能力。监控、分析用户和系统活动实现入侵检测任务的前提条件。依据:主机日志和网络数据包发现入侵企图或异常现象入侵检测系统的核心功能这主要包括两个方面，一是入侵检测系统对进出网络或主机的数据流进行监控，看是否存在对系统的入侵行为，另一个是评估系统关键资源和数据文件的完整性，看系统是否已经遭受了入侵。记录、报警和响应入侵检测系统在检测到攻击后，应该采取相应的措施来阻止攻击或响应攻击。入侵检测系统作为一种主动防御策略，必然应该具备此功能。审计系统的配置和弱点、评估关键系统和数据文件的完整性等LOGOIDS的两个指标漏报率•指攻击事件没有被IDS检测到误报率(falsealarmrate)•把正常事件识别为攻击并报警•误报率与检出率成正比例关系LOGOIDS特点不足不能弥补差的认证机制需要过多的人为干预不知道安全策略的内容不能弥补网络协议上的弱点不能分析一个堵塞的网络不能分析加密的数据LOGO优点：提高信息安全构造的其他