BIT8-2信息系统安全防御-IDS

入侵检测技术孙建伟计算机网络攻防对抗技术实验室北京理工大学内容概要P2DR安全体系入侵检测系统介绍入侵检测系统分类入侵检测系统用到的一些技术入侵检测系统的研究和发展商用入侵检测系统演示网络安全动态防护模型安全策略(policy)防护(protecttion)网络安全：及时的检测和处理时间PtDtRt新定义：PtDt+RtP2DR安全模型这是一个动态模型以安全策略为核心基于时间的模型可以量化可以计算P2DR安全的核心问题——检测检测是静态防护转化为动态的关键检测是动态响应的依据检测是落实/强制执行安全策略的有力工具内容概要P2DR安全体系入侵检测系统介绍入侵检测系统分类入侵检测系统用到的一些技术入侵检测系统的研究和发展IDS的用途攻击工具攻击命令攻击机制目标网络网络漏洞目标系统系统漏洞攻击者漏洞扫描评估加固攻击过程实时入侵检测入侵检测系统的实现过程信息收集，来源：网络流量系统日志文件系统目录和文件的异常变化程序执行中的异常行为信息分析模式匹配统计分析完整性分析，往往用于事后分析入侵检测系统的通用模型数据源模式匹配器系统轮廓分析引擎数据库入侵模式库异常检测器响应和恢复机制入侵检测系统的种类基于主机安全操作系统必须具备一定的审计功能，并记录相应的安全性日志基于网络IDS可以放在防火墙或者网关的后面，以网络嗅探器的形式捕获所有的对内对外的数据包IDS的部署和结构入侵检测系统的管理和部署多种IDS的协作管理平台和sensor基于Agent的IDS系统Purdue大学研制了一种被称为AAFID(Autonomousagentsforintrusiondetection)的IDS模型SRI的EMERALD(EventMonitoringEnablingResponsetoAnomalousLiveDisturbances)RealSecureConsoleRealSecureOSSensorRealSecureServerSensor商业IDS例子：ISSRealSecure结构RealSecureNetworkSensor内容概要P2DR安全体系入侵检测系统介绍入侵检测系统用到的一些技术入侵检测系统分类入侵检测系统的研究和发展IDS的技术异常检测(anomalydetection)也称为基于行为的检测首先建立起用户的正常使用模式，即知识库标识出不符合正常模式的行为活动误用检测(misusedetection)也称为基于特征的检测建立起已知攻击的知识库判别当前行为活动是否符合已知的攻击模式异常检测比较符合安全的概念，但是实现难度较大正常模式的知识库难以建立难以明确划分正常模式和异常模式常用技术统计方法预测模式神经网络误用检测目前研究工作比较多，并且已经进入实用建立起已有攻击的模式特征库难点在于：如何做到动态更新，自适应常用技术基于简单规则的模式匹配技术基于专家系统的检测技术基于状态转换分析的检测技术基于神经网络检测技术其他技术，如数据挖掘、模糊数学等IDS的两个指标漏报率指攻击事件没有被IDS检测到误报率(falsealarmrate)把正常事件识别为攻击并报警误报率与检出率成正比例关系0检出率(detectionrate)100%100%误报率内容概要P2DR安全体系入侵检测系统介绍入侵检测系统用到的一些技术入侵检测系统分类入侵检测系统的研究和发展入侵检测系统的种类基于主机安全操作系统必须具备一定的审计功能，并记录相应的安全性日志基于网络IDS可以放在防火墙或者网关的后面，以网络嗅探器的形式捕获所有的对内对外的数据包基于网络的IDS系统收集网络流量数据利用sniff技术把IDS配置在合理的流量集中点上，比如与防火墙或者网关配置在一个子网中利用某些识别技术基于模式匹配的专家系统基于异常行为分析的检测手段一个轻量的网络IDS:snort是一个基于简单模式匹配的IDS源码开放，跨平台(C语言编写，可移植性好)利用libpcap作为捕获数据包的工具特点设计原则：性能、简单、灵活包含三个子系统：网络包的解析器、检测引擎、日志和报警子系统内置了一套插件子系统，作为系统扩展的手段模式特征链——规则链命令行方式运行，也可以用作一个sniffer工具网络数据包解析结合网络协议栈的结构来设计Snort支持链路层和TCP/IP的协议定义每一层上的数据包都对应一个函数按照协议层次的顺序依次调用就可以得到各个层上的数据包头从链路层，到传输层，直到应用层在解析的过程中，性能非常关键，在每一层传递过程中，只传递指针，不传实际的数据支持链路层：以太网、令牌网、FDDISnort规则链处理过程二维链表结构匹配过程首先匹配到适当的ChainHeader然后，匹配到适当的ChainOption最后，满足条件的第一个规则指示相应的动作Snort:日志和报警子系统当匹配到特定的规则之后，检测引擎会触发相应的动作日志记录动作，三种格式：解码之后的二进制数据包文本形式的IP结构Tcpdump格式如果考虑性能的话，应选择tcpdump格式，或者关闭logging功能报警动作，包括Syslog记录到alert文本文件中发送WinPopup消息关于snort的规则Snort的规则比较简单规则结构：规则头：alerttcp!10.1.1.0/24any-10.1.1.0/24any规则选项：(flags:SF;msg:“SYN-FINScan”;)针对已经发现的攻击类型，都可以编写出适当的规则来规则与性能的关系先后的顺序Contentoption的讲究许多cgi攻击和缓冲区溢出攻击都需要contentoption现有大量的规则可供利用Snort规则示例规则示例Option类型关于snort开放性源码开放，最新规则库的开放作为商业IDS的有机补充特别是对于最新攻击模式的知识共享Snort的部署作为分布式IDS的节点为高级的IDS提供基本的事件报告发展数据库的支持互操作性，规则库的标准化二进制插件的支持预处理器模块：TCP流重组、统计分析，等……异常检测的网络IDS基于规则和特征匹配的NIDS的缺点对于新的攻击不能正确识别人工提取特征，把攻击转换成规则，加入到规则库中异常检测的NIDS可以有一定的自适应能力利用网络系统的已知流量模式进行学习，把正常流量模式的知识学习到IDS中当出现新的攻击时，根据异常行为来识别并且，对于新的攻击以及异常的模式可以反馈到IDS系统中异常检测的网络IDS目前出现了专门流量异常检测设备CiscoXT5600流量异常检测器专用于防DDOS攻击基于主机的IDS系统信息收集系统日志系统状态信息特点：OS相关常用的分析技术统计分析状态转移分析关联分析……基于主机的IDS系统在分布式入侵检测体系中，作为日志收集代理主机防火墙逐步担当IDS的职责瑞星卡巴斯基内容概要P2DR安全体系入侵检测系统介绍入侵检测系统分类入侵检测系统用到的一些技术入侵检测系统的研究和发展STATSTAT:Astatetransitionanalysistoolforintrusiondetection由美国加州大学SantaBarbaba分校开发从初始状态到入侵状态的转移过程用有限状态机来表示入侵过程初始状态指入侵发生之前的状态入侵状态指入侵发生之后系统所处的状态系统状态通常用系统属性或者用户权限来描述用户的行为和动作导致系统状态的转变S1S2S3AssertionsAssertionsAssertionsSTAT的优缺点优点：状态转移图提供了一种针对入侵渗透模式的直观的、高层次的、与审计记录无关的表示方法用状态转移法，可以描述出构成特定攻击模式的特征行为序列状态转移图给出了保证攻击成功的特征行为的最小子集，从而使得检测系统可以适应相同入侵模式的不同表现形式可使攻击行为在到达入侵状态之前就被检测到，从而采取措施阻止攻击行为可以检测协同攻击和慢速攻击缺点：状态(assertions)和特征行为需要手工编码Assertions和特征用于表达复杂细致的入侵模式时可能无法表达STAT只是一个框架，需要具体的实现或者与其他系统协同工作STAT的速度相对比较慢STAT——USTATUSTAT：用于UNIX系统的STAT实现包括四部分预处理器：对数据进行过滤，并转换为与系统日志文件无关的格式知识库：包括状态描述库和规则库。规则库用于存放已知攻击类型所对应的状态转移规则；状态描述库存放系统在遭受不同类型攻击下所出现的状态推理引擎：根据预处理器给出的信息和状态描述库中定义的系统状态，判断状态的变化并更新状态信息。一旦发现可疑的安全威胁，通知决策引擎决策引擎：将安全事件通知管理员，或者采取预先定义的自动响应措施基于STAT的IDSUSTATNSTAT把USTAT扩展到多台主机，从而可以检测到针对多台共享同一个网络文件系统的主机的攻击NetSTAT是一个基于网络的IDS，分析网络中的流量，找到代表恶意行为的数据包WinSTAT基于主机的IDS，分析WindowsNT的事件日志WebSTAT基于应用的IDS，用ApacheWebServer的日志作为输入AlertSTAT是一个高层的入侵关联器，以其他检测器的报警作为输入，以便检测出高层次、多步骤的攻击IDS的困难异常检测技术仍然需要研究和发展NIDS的部署交换式网络的普及有些交换机提供了“把多个端口或者VLAN镜像到单个端口”的能力，用于捕获数据包应用系统的多样性需要统一的规范交换信息IPSec等一些加密或者隧道协议……IDS与响应和恢复技术IDS属于检测的环节，一旦检测到入侵或者攻击，必须尽快地做出响应，以保证信息系统的安全IDS的响应机制，可以从基本的管理角度来考虑，也可以从技术角度来实施，包括与其他防护系统的互操作，比如防火墙对于一个企业而言，IDS与DRP(DisasterRecoveryPlanning)需要一起来制订和实施DRP包括业务影响分析(BIA,BusinessImpactAnalysis)数据必须定期备份信息系统的根本目的是提供便利的服务灾难评估明确责任人IDS的研究与发展IDS自身的发展基于异常检测的技术分布式IDS系统引入生物学免疫系统的概念与其他防护系统的集成IDS与其他学科IDS与模式识别、人工智能IDS与数据挖掘IDS与神经网络IDS与……IDS之间的互操作CIDF:由美国加州大学Davis分校提出的框架，试图规范一种通用的语言格式和编码方式来表示IDS组件边界传递的数据IDEF:IETFIDWG提出的草案，规范了部分术语的使用，用XML来描述消息格式。IDS的研究与发展IDS自身的发展基于异常检测的技术分布式IDS系统引入生物学免疫系统的概念与其他防护系统的集成IDS与其他学科IDS与模式识别、人工智能IDS与数据挖掘IDS与神经网络IDS与……IDS之间的互操作CIDF:由美国加州大学Davis分校提出的框架，试图规范一种通用的语言格式和编码方式来表示IDS组件边界传递的数据IDEF:IETFIDWG提出的草案，规范了部分术语的使用，用XML来描述消息格式。入侵检测技术展望随着攻击技术的发展而发展Botnet如何检测Botnet？蠕虫攻击如何检测蠕虫？会逐步纳入信息系统审计体系中以网络审计的形式出现再现安全事件再现运维操作行为内容概要P2DR安全体系入侵检测系统介绍入侵检测系统分类入侵检测系统用到的一些技术入侵检测系统的研究和发展商用入侵检测系统演示商用入侵检测系统演示绿盟的“冰之眼”入侵检测系统