第五讲-入侵检测技术讲解图示

第5讲入侵检测技术内容提要：入侵检测概述入侵检测的技术实现分布式入侵检测入侵检测系统的标准入侵检测系统示例本章小结5.1入侵检测概述定义入侵检测系统利用优化匹配模式和统计学技术把传统的电子数据处理(EDP)和安全审计技术结合起来，实现动态网络安全防护，是构成完整的现代网络安全系统的必要部分。入侵检测系统是防火墙的合理补充，通过主动防御来帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集并分析信息，查看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测系统在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。返回本章首页发展一个阶段是安全审计审计定义为对系统中发生事件的记录和分析处理过程。与系统日志相比，审计更关注安全问题。根据美国国防部(DOD)“可信计算机系统评估标准”(TCSEC)橘皮书规定，审计机制(auditmechanism)应作为C2或C2以上安全级别的计算机系统必须具备的安全机制。其功能：•记录系统被访问的过程以及系统保护机制的运行；•发现试图绕过保护机制的行为；•及时发现用户身份的变化；•报告并阻碍绕过保护机制的行为并记录相关过程，为灾难恢复提供信息。1980年4月，JamesP.Aderson为美国空军做了一份题为《ComputerSecurityThreatMonitoringandSurveillance》（计算机安全威胁监控与监视）的技术报告，第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。Anderson还建议对用户行为进行统计分析，可以确定系统使用的不寻常模式，可能会找出隐藏着的黑客。这个已被验证了的建议是另一个入侵检测的里程碑，即IDES(入侵检测专家系统)方案。5.1入侵检测概述发展第二个阶段是入侵检测系统的诞生1980年，Anderson在“计算机安全威胁的监察”报告中提出，必须改变现有的系统审计机制，为专职系统安全人员提供安全信息，被认为是有关IDS的最早论述。其中，他首先提出了入侵检测的概念，将入侵尝试(Intrusionattempt)或威胁(Threat)定义为：潜在的、有预谋的且未经授权而访问信息、操作信息、致使系统不可靠或无法使用的企图。Aderson提出审计追踪可应用于监视入侵威胁，但这一设想的重要性当时并未被理解。1987年，DorothyEDenning提出入侵检测系统的抽象模型，首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出。与传统加密和访问控制的常用方法相比，入侵检测技术属于全新的计算机网络安全措施。5.1入侵检测概述学学学学学学学学学学学学学学学学学学学学学学学学学学常学学学学学学学学学学学活学学学学学学学学学学学学学学学学5-1Denning学学学学学学学学返回本章首页(1)主体(subjects)；在目标系统上活动的实体，如用户。(2)对象(objects)：指系统资源，如文件、设备、命令等。(3)审计记录(Auditrecords)：内主体、活动(Action)、异常条件(Exception—Condition)、资源使用状况(Resource—Usage)和时间戳(TimeStamp)等组成。其中活动是指主体对目标的操作。异常条件是指系统对主体该活动的异常情况的报告。资源使用状况是指系统的资源消耗情况。(4)活动档案(ActiveProfile)：即系统正常行为模型，保存系统正常活动的有关信息。在各种检测方法中其实现各不相同。在统计方法巾可以从事件数量、频度、资源消耗等方面度量。(5)异常记录(AnomalyRecord)：由事件、时间戳和审计记录组成，表示异常事件的发生情况。(6)活动规则(ActiveRule)：判断是否为入侵的推则及相应要采取的行动。一般采用系统正常活动模型为准则，根据专家系统或统计方法对审计记录进行分析处理，在发现入侵时采取相应的对策。5.1入侵检测概述返回本章首页1988年，SRI／CSL的TeresaLunt等改进了Denning的入侵检测模型，并实际开发出了一个IDES。1988年TeresaLunt等人进一步改进了Denning提出的入侵检测模型，并实际开发了IDES（IntrusionDetectionExpertSystem），该系统用于检测单一主机的入侵尝试，提出了与系统平台无关的实时检测思想。该系统包括一个异常检测器和一个专家系统，分别用于统计异常模型的建立和基于规则的特征分析检测。1995年开发的NIDES（Next-GenerationIntrusionDetectionExpertSystem）作为IDES完善后的版本可以检测出多个主机上的入侵。返回本章首页1990年是入侵检测系统发展史上十分重要的一年。这一年，加州大学戴维斯分校的L.T.Heberlein等提出了一个具有里程碑意义的新型概念：基于网络的入侵检测——网络安全监视器NSM(NetworkSecurityMonitor)。该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从此之后，为入侵检测系统的发展翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS。返回本章首页•1988年的莫里斯蠕虫事件发生后，网络安全才真正引起了军方、学术界和企业的高度重视。美国空军、国家安全局和能源部共同资助空军密码支持中心、劳伦斯利弗摩尔国家实验室、加州大学戴维斯分校、Haystack实验室，开展对分布式入侵检测系统DIDS（DistributeIntrusionDetectionSystem）的研究，将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品，它的检测模型采用了分层结构，分数据、事件、主体、上下文、威胁、安全状态等6层。•从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。目前，SRI／CSL、普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前的最高水平。1994年，MarkCrosbie和GeneSpafford建议使用自治代理（autonomousagents）以提高IDS的可伸缩性、可维护性、效率和容错性，该理念非常符合计算机科学其他领域（如软件代理，softwareagent）正在进行的相关研究。另一个致力于解决当代绝大多数入侵检测系统伸缩性不足的方法于1996年提出，这就是GrIDS（Graph-basedIntrusionDetectionSystem）的设计和实现，该系统可以方便地检测大规模自动或协同方式的网络攻击。返回本章首页近年来，入侵检测技术研究的主要创新有：Forrest等将免疫学原理运用于分布式入侵检测领域；1998年RossAnderson和AbidaKhattak将信息检索技术引进入侵检测；以及采用状态转换分析、数据挖掘和遗传算法等进行误用和异常检测。返回本章首页5.1.1入侵检测原理图5-2给出了入侵检测的基本原理图。入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动，采用误用检测（MisuseDetection）或异常检测（AnomalyDetection）的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段。返回本章首页入侵检测分析引擎历史行为特定行为模式数据提取入侵?否记录证据响应处理是安全策略当前系统/用户行为知识库其它图5-2入侵检测原理框图返回本章首页监控分析系统和用户的活动发现异常企图或异常现象记录报警和响应所谓入侵检测系统就是执行入侵检测任务的硬件或软件产品。入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法。其应用前提是入侵行为和合法行为是可区分的，也即可以通过提取行为的模式特征来判断该行为的性质。一般地，入侵检测系统需要解决两个问题：如何充分并可靠地提取描述行为特征的数据；如何根据特征数据，高效并准确地判定行为的性质。返回本章首页5.1.2系统结构由于网络环境和系统安全策略的差异，入侵检测系统在具体实现上也有所不同。从系统构成上看，入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管理四大部分，另外还可能结合安全知识库、数据存储等功能模块，提供更为完善的安全检测及数据分析功能（如图5-3所示）。返回本章首页数据提取入侵分析数据存储响应处理原始数据流知识库图5-3入侵检测系统结构返回本章首页入侵检测的思想源于传统的系统审计，但拓宽了传统审计的概念，它以近乎不间断的方式进行安全检测，从而可形成一个连续的检测过程。这通常是通过执行下列任务来实现的：监视、分析用户及系统活动；系统构造和弱点的审计；识别分析知名攻击的行为特征并告警；异常行为特征的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。返回本章首页图5-4入侵检测系统的功能结构知识库文件生成器安全报告专家系统管理员客户代理服务目标系统安全RPC采集审计数据代理服务目标系统安全RPC采集审计数据中心检测平台•代理服务器负责从各个目标系统中采集审计数据，并把审计数据转换为与平台无关的格式后传送到中心检测平台，同时把中心平台的审计数据要求传送到各个目标系统•中心检测平台的功能是根据代理服务器采集来的审计数据由专家系统进行分析，产生系统报告。•管理员可向各个主机提供安全管理功能，根据专家系统分析结果向各个代理服务器发出审计数据的需求。•中心检测平台和代理服务器之间通过安全的远程过程调用（RPC）进行通信。5.1.3系统分类由于功能和体系结构的复杂性，入侵检测按照不同的标准有多种分类方法。可分别从数据源、检测理论、检测时效三个方面来描述入侵检测系统的类型。返回本章首页1．基于数据源的分类基于主机:安装在主机上，监视和分析主机的审计记录，从而对可疑的主体活动采取相应的措施。缺点是系统自身安全和入侵检测系统的性能之间无法统一（系统特权或逃过审计）；再则依赖系统的日志和监视能力，使得能否及时采集获得审计数据成为问题。返回本章首页1．基于数据源的分类基于网络:放在共享网段的重要位置，依据规则对监听到的每个数据包进行特征分析，并做出响应。优点是具有平台无关性，影响很小，系统不可见性使其不易受攻击；缺点是性能受限于交换网络环境，特征检测法很难检测存在大量复杂计算和分析的攻击方法，受网段协调能力制约，网络流量回传和攻击告警延迟较大。返回本章首页1．基于数据源的分类混合入侵检测:综合基于网络和基于主机两种结构优势的入侵检测系统。其特点是形成一套完整的、立体式的主动防御体系，既可发现网络中的攻击信息，也可从系统日志中发现异常。基于网关:由新一代的高速网络结合路由与高速交换技术构成的，它从网关中提取信息来提供对整个信息基础设施的保护措施。文件完整性检查系统:检查计算机中自上次检查后文件系统的变化情况，从而发现其中异常现象。缺点是此系统依赖本地的文摘数据库，与日志文件一样，存在被入侵者修改的可能。返回本章首页2．基于检测理论的分类从具体的检测理论上来说，入侵检测又可分为异常检测和误用检测。•误用检测技术通过将用户行为与已知的入侵行为特征进行比较来发现入侵。•异常检测技术通过将用户行为与已知的正常行为特征进行比较来发现入侵。返回本章首页2．基于检测理论的分类异常检测（AnomalyDetection）指根据使用者的行为或资源使用状况的正常程度来判断是否入侵，而不依赖于具体行为是否出现来检测。与系统相对无关，通用性较强，它甚至有可能检测出以前未出现的攻击方法。缺陷是误检率高