第6章入侵检测系统.

6信息安全技术_第6章入侵检测系统第6章入侵检测系统6信息安全技术_第6章入侵检测系统6.1入侵检测原理与分类•入侵检测技术可以归结为安全审计数据的分析与处理；•核心问题是获取描述行为特征的数据；•利用特征数据精确地判断行为的性质；•按照预定策略实施响应；•IDS至少包括数据采集、入侵检测分析引擎和响应处理三部分功能模块。6信息安全技术_第6章入侵检测系统当前系统或网络行为入侵检测分析引擎入侵？数据采集否是证据记录响应处理模式知识库安全策略入侵行为模式正常行为模式IDS工作原理6信息安全技术_第6章入侵检测系统IDS分类•根据数据采集位置、分析引擎采用的分析方法、分析数据的时间和响应处理的方式进行分类;•根据数据采集的位置，分为基于主机（host-based）、基于网络（network-based）、基于应用（application-based）和基于目标（target-based）等;•依据分析引擎采用的分析方法，分为异常检测（anomalydetection）和误用检测（misusedetection）;•按照分析数据的时间不同，分为实时检测和离线检测;6信息安全技术_第6章入侵检测系统主机入侵检测系统•当入侵检测监视的对象为主机审计数据源时，称为主机入侵检测系统HIDS;•HIDS利用数据分析算法对操作系统审计记录、系统日志、应用程序日志或系统调用序列等主机数据源进行分析;•归纳出主机系统活动的特征或模式，作为对正常和异常行为进行判断的基准，主要用于保护提供关键应用服务的服务器。6信息安全技术_第6章入侵检测系统HIDS优点•检测精度高监控的对象明确与集中;•不受加密和交换设备影响只关注主机发生的事件，不关心网络事件，检测性能不受数据加密、隧道和交换设备影响。•不受网络流量影响不采集网络分组，不会因为网络流量增加而丢失对系统行为的监视。6信息安全技术_第6章入侵检测系统HIDS缺点•安装在需要保护的主机上，占用主机系统资源;•完全依赖操作系统固有的审计机制，必须与操作系统紧密集成，导致平台的可移植性差;•本身的健壮性受到主机操作系统安全性的限制;•只能检测针对本机的攻击，不能检测基于网络协议的攻击。6信息安全技术_第6章入侵检测系统•当入侵检测监视的对象为网络分组时，称为网络入侵检测系统NIDS；•局域网通常采用基于广播机制的以太网协议,以太网协议能够使主机接收同一网段内的所有广播数据包。•以太网络适配器有正常和混杂两种工作模式，正常模式只接收本机地址和广播地址的分组，混杂模式则接收本网段内的所有分组数据。•NIDS利用了网络适配器的混杂工作模式来实时采集通过网络的所有分组，通过网络协议解析与模式匹配实现入侵行为检测。网络入侵检测系统6信息安全技术_第6章入侵检测系统NIDS的优点•检测与响应速度快在成功入侵之前发现攻击和可疑意图，目标遭受破坏之前即可执行快速响应中止攻击过程；•入侵监视范围大只在网络关键路径上安装网络传感器，可以监视整个网络通信；•入侵取证可靠通过捕获分组收集入侵证据，攻击者无法转移证据；能够检测协议漏洞攻击诸如同步洪流（SYNflood）、Smurf攻击和泪滴攻击（teardrop）等只有通过查看分组首部或有效负载才能识别。6信息安全技术_第6章入侵检测系统NIDS的缺点•在交换以太网环境中监测范围受到限制；•在高速网络流量环境下检测精度下降；•不能检测加密数据、隧道数据和加密数据攻击；•网络传感器向控制台回传数据量大。6信息安全技术_第6章入侵检测系统异常检测•异常检测根据用户行为或资源使用的正常模式判定当前活动是否偏离了正常或期望的活动规律;•如果发现用户或系统状态偏离了正常行为模式，表示有攻击或企图攻击行为发生；•任何不符合历史活动规律的行为都被认为是入侵行为，能够发现未知的攻击模式；•缺点是误报率较高。6信息安全技术_第6章入侵检测系统•误用检测依据特征库进行判断；•具有很高的检出率和很低的误报率；•检测全部入侵行为的能力取决于特征库的更新；•主要缺陷是只能检测已知攻击；•新攻击的特征模式添加到误用模式库中；•才能使系统具备检测新攻击手段的能力。误用检测6信息安全技术_第6章入侵检测系统实时检测•实时检测是指IDS能够实时分析审计数据；•在入侵行为造成危害之前及时发现和拦截入侵事件；•入侵检测速度的快慢取决于数据采集、数据分析算法、攻击特征提取和模式比较等多个因素，•实时检测主要依赖于攻击特征提取的难易程度。6信息安全技术_第6章入侵检测系统•先将采集的审计数据暂时保存起来，采用批处理分析方式定时发给入侵检测分析引擎；•离线检测不能及时防范和响应攻击事件；•采用离线检测可以降低系统负担；•在捕获攻击特征需要较长时间或高速网络环境下，可以获得高的检测精度。离线检测6信息安全技术_第6章入侵检测系统检测率和误报率检测率和误报率之间的关系误报率100%检测率100%检测阈值6信息安全技术_第6章入侵检测系统0.10.20.30.40.50.60.70.80.90.10.20.30.40.50.60.70.80.90.10.20.51251020400.10.20.5125102040ROC1ROC2ROC3DET1DET2DET3三个不同系统的ROC曲线三个不同系统的DET曲线ROC曲线和DET曲线6信息安全技术_第6章入侵检测系统系统资源占用率•HIDS的开销主要消耗在审计记录格式化和入侵分析上，精简审计记录和提高入侵分析算法是降低HIDS资源占用率的关键；•NIDS的开销主要消耗在网络分组协议解析与特征匹配上，特别在高速网络环境下，系统资源占用率将显著增大；•系统资源占用率与IDS的检测率和误报率常常是相互矛盾的；•降低系统资源占用率需要用检测率和误报率作为代价。6信息安全技术_第6章入侵检测系统系统扩展性•时间上的可扩展性将多个独立事件在时间上关联起来，才能识别出攻击行为；•空间上的可扩展性如果监测的规模扩大后，IDS仍然能够准确地检测各种攻击行为；则表明具有良好的空间可扩展性。6信息安全技术_第6章入侵检测系统最大数据处理能力•NIDS最大数据处理能力包括最大网络流量、最大采集分组数、最大网络连接数和最大事件数等；•最大网络流量是指NIDS的网络传感器单位时间内能够处理的最大数据流量，一般用每秒兆位（Mbps）表示最大网络流量；•最大采集分组数是指NIDS的网络传感器单位时间内能够采集的最大网络分组数，一般用每秒分组数（pps）表示最大采集分组数。6信息安全技术_第6章入侵检测系统最大网络连接数是指NIDS单位时间内能够监控的最大网络连接数，反映了IDS在应用层检测入侵的能力；最大事件数是指NIDS单位时间内能够处理的最大报警事件数，反映了处理攻击事件和事件日志记录的能力；最大数据处理能力(续)6信息安全技术_第6章入侵检测系统小规模HIDS典型部署引擎C引擎B引擎A引擎D中心控制台6信息安全技术_第6章入侵检测系统大规模HIDS部署引擎C引擎B引擎A引擎D引擎F引擎E引擎G引擎H子控制台中心控制台6信息安全技术_第6章入侵检测系统集线器共享网络部署网络传感器服务器工作站集线器中心控制台6信息安全技术_第6章入侵检测系统交换网络转换部署工作站交换机服务器网络传感器中心控制台集线器6信息安全技术_第6章入侵检测系统交换网络镜像端口部署工作站交换机服务器网络传感器中心控制台镜像端口6信息安全技术_第6章入侵检测系统交换网络TAP部署交换机网络传感器中心控制台网络传感器网络TAP服务器6信息安全技术_第6章入侵检测系统网络传感器中心控制台服务器工作站DNS服务入侵检测审计数据源•IDS是典型的审计数据驱动分析系统;•入侵检测的基础是利用审计数据区分合法与非法行为;•从大量审计数据中获取行为模式特征;•利用模式特征发现入侵证据。6信息安全技术_第6章入侵检测系统操作系统审计记录特点•数据源可靠性高;•审计事件划分粒度小;•审计记录具有连续性与完备性;•不同操作系统审计记录数据格式不兼容;•数据格式不适应机器学习;•审计记录数量庞大。6信息安全技术_第6章入侵检测系统SunSolaris操作系统审计记录简介SunSolaris操作系统审计机制由基础安全模块BSM（basicsecuritymodule）审计子系统提供，可对内核系统调用事件、Solaris应用程序事件和第三方用户程序事件进行安全审计BSM采用分层结构化方式组织审计记录文件，审计记录文件也称为审计跟踪（audittrail）。6信息安全技术_第6章入侵检测系统SolarisBSM审计记录结构审计记录文件审计文件……审计文件审计文件审计记录前审计文件审计记录后审计文件……审计标记审计标记审计标记……事件属性审计文件审计记录6信息安全技术_第6章入侵检测系统Windows操作系统审计结构事件日志用户模式核心模式审计策略审计记录安全账户库事件记录器EL安全参考监视器SRM对象访问进程跟踪特权使用文件系统审计日志审计策略库策略更改登录事件账户登录审计线程本地安全认证LSA安全账户管理SAM6信息安全技术_第6章入侵检测系统Windows操作系统事件日志Windows事件日志安全事件日志操作系统事件日志应用事件日志记录用户登录、系统资源使用等与系统安全相关的事件，对用户不开放记录操作系统组件的事件，对所有用户开放记录应用程序产生的事件，对所有用户开放6信息安全技术_第6章入侵检测系统网络审计数据•主机审计数据源：操作系统审计记录、系统日志、应用日志和系统调用跟踪;•网络审计数据源指通过网络监听获取的数据;•网络数据是网络入侵检测系统使用的主要审计数据源。6信息安全技术_第6章入侵检测系统网络数据协议解析过程网络连接记录网络检测模型工作站工作站集线器服务器服务器局域网通用网关数据包输出格式机器学习10:35:41.5046941.0.256.256.70002.0.256.256.7001:udp14810:35:41.5179932.0.256.256.13625.0.256.256.25:.ack1win409610:35:41.5838952.0.256.256.2513.0.256.256.2845:.ack46win409610:35:411.0.256.2562.0.256.256udp148SF10:35:412.0.256.2565.0.256.256smtp88SFInternet6信息安全技术_第6章入侵检测系统网络入侵检测系统Snort•Snort是基于误用检测的网络入侵检测系统开放源码软件；•采用规则匹配检测网络分组是否违反了事先配置的安全策略；•安装在一台主机上可以监测整个共享网段；•发现入侵和探测行为，具有将报警信息发送到系统日志、报警文件或控制台屏幕等多种实时报警方式；•Snort不仅能够检测各种网络攻击，还具有网络分组采集、分析和日志记录功能。6信息安全技术_第6章入侵检测系统Snort系统组成•Snort主要由分组协议分析器、入侵检测引擎、日志记录和报警模块组成；•协议分析器的任务是对协议栈上的分组进行协议解析;•入侵检测引擎根据规则文件匹配分组特征;•日志记录将解析后的分组以文本或Tcpdump二进制格式记录到日志文件;•文本格式便于分组分析;•二进制格式提高记录速度。6信息安全技术_第6章入侵检测系统报警信息与报警文件•报警信息可以发送到系统日志；•也可以采用文本或Tcpdump二进制格式发送到报警文件；•也容许选择关闭报警操作；•记录到报警文件的报警信息有完全和快速两种方式；•完全报警记录分组首部所有字段信息和报警信息；•而快速报警只记录分组首部部分字段信息。6信息安全技术_第6章入侵检测系统Win32snort-2_0_0.exe安装双击snort-2_0_0.exe在安装目录下将自动生成snort文件夹；其中包含bi