入侵检测系统基本知识

第11讲IDS技术（一）一、入侵知识简介1、入侵(Intrusion)2、漏洞3、主要漏洞4、入侵者5、侵入系统的主要途径1、入侵(Intrusion)入侵是指未经授权蓄意尝试访问信息、窜改信息，使系统不可靠或不能使用的行为。它企图破坏计算机资源的：完整性(Integrity)：指数据未经授权不能被改变。机密性（Confidentiality）：指只有合法的授权用户才能对机密的或受限的数据进行存取。可用性（Availability）：是指计算机资源在系统合法用户需要使用时必须是可用的。可控性（Controliability）：是指可以控制授权范围内的信息流向及行为方式。有的也称不可否认性(Non-repudiation)。2、漏洞入侵要利用漏洞，漏洞是指系统硬件、操作系统、软件、网络协议等在设计上、实现上出现的可以被攻击者利用的错误、缺陷和疏漏。3、主要漏洞按照漏洞的性质，现有的漏洞主要有：l缓冲区溢出l拒绝服务攻击漏洞l代码泄漏、信息泄漏漏洞l配置修改、系统修改漏洞l脚本执行漏洞l远程命令执行漏洞l其它类型的漏洞4、入侵者入侵者可以是一个手工发出命令的人，也可是一个基于入侵脚本或程序的自动发布命令的计算机。入侵者一般可以分为两类：内部的（一般指系统中的合法用户但违规或者越权操作）和外部的（一般指系统中的非法用户）。5、侵入系统的主要途径入侵者进入系统的主要途径有：l物理侵入：指一个入侵者对主机有物理进入权限，比如他们能使用键盘，有权移走硬盘等。l本地侵入:这类侵入表现为入侵者已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。l远程侵入:这类入侵指入侵者通过网络远程进入系统。比如通过植入木马实现对目标主机的控制，从远程发起对目标主机的攻击等。6、攻击的一般步骤进行网络攻击是一件系统性很强的工作，其主要工作流程是：收集情报，远程攻击，清除日志，留下后门。6、攻击一般步骤总览二、入侵检测系统基本知识1、入侵检测与入侵检测系统2、入侵检测系统在系统安全中的地位3、IDS能做什么？4、为什么需要IDS？5、IDS的优点6、IDS的缺点7、入侵检测的发展历史1、入侵检测与入侵检测系统入侵检测，顾名思义，是指对入侵行为的发觉。它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统(IntrusionDetectionSystem)，是完成入侵检测功能的软件、硬件及其组合它试图检测、识别和隔离“入侵”企图或计算机的不恰当未授权使用。2、入侵检测系统在系统安全中的地位3、IDS能做什么？监控、分析用户和系统的活动发现入侵企图或异常现象审计系统的配置和弱点评估关键系统和数据文件的完整性对异常活动的统计分析识别攻击的活动模式实时报警和主动响应4、为什么需要IDS？入侵很容易入侵教程随处可见各种工具唾手可得防火墙不能保证绝对的安全网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部防火墙是锁，入侵检测系统是监视器5、IDS的优点提高信息安全构造的其他部分的完整性提高系统的监控能力从入口点到出口点跟踪用户的活动识别和汇报数据文件的变化侦测系统配置错误并纠正识别特殊攻击类型，并向管理人员发出警报6、IDS的缺点不能弥补差的认证机制需要过多的人为干预不知道安全策略的内容不能弥补网络协议上的弱点不能分析一个堵塞的网络不能分析加密的数据7、入侵检测的发展历史（1）1980年，JamesAnderson最早提出入侵检测概念1987年，D．E．Denning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出。1988年，Morris蠕虫事件直接刺激了IDS的研究1988年，创建了基于主机的系统；有：IDES，Haystack等等1989年，提出基于网络的IDS系统；有：NSM，NADIR，DIDS等等7、入侵检测的发展历史（2）90年代，不断有新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮2001年～今，RedCode、求职信等新型病毒的不断出现，进一步促进了IDS的发展。三、入侵检测系统构件1、IDS框架介绍2、入侵检测系统构件3、事件产生器4、事件分析器5、响应单元6、事件数据库7、管理器1、IDS框架介绍（1）理论界：CIDFCommonIntrusionDetectionFramework由DARPA于1997年3月开始着手制定为了解决不同入侵检测系统互操作性共存问题1、IDS框架介绍（2）工业界：IDWGIntrusionDetectionWorkGroupIDS系统之间、IDS和网管系统之间共享的数据格式统一的通信规程草案IDMEF(入侵检测消息交换格式）IDXP（入侵检测交换协议）最终成为RFC，尚需时日2、入侵检测系统构件（1）CIDF根据IDS系统的通用需求以及现有IDS的系统结构，将IDS系统构成划分如下部分：事件产生器(EventGenerators)事件分析器(Eventanalyzers)响应单元(Responseunits)事件数据库(Eventdatabases)2、入侵检测系统构件（2）3、事件产生器事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。入侵检测的第一步采集内容系统日志应用程序日志系统调用网络数据用户行为其他IDS的信息4、事件分析器事件分析器分析得到的数据，并产生分析结果。分析是核心效率高低直接决定整个IDS性能5、响应单元响应单元则是对分析结果作出作出反应的功能单元，功能包括：告警和事件报告终止进程，强制用户退出切断网络连接，修改防火墙设置灾难评估，自动恢复查找定位攻击者6、事件数据库事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。7、管理器常规的管理功能定位控制ConsoleGUI命令行客户程序Web方式Database日志规则库行为模式库四、入侵检测系统的分类1、入侵检测系统的分类2、根据原始数据的来源3、根据检测技术进行分类4、根据体系结构分类5、根据响应方式分类1、入侵检测系统的分类随着入侵检测技术的发展，到目前为止出现了很多入侵检测系统，不同的入侵检测系统具有不同的特征。根据不同的分类标准，入侵检测系统可分为不同的类别。对于入侵检测系统，要考虑的因素（分类依据）主要的有：信息源，入侵，事件生成，事件处理，检测方法等。2、根据原始数据的来源基于主机的入侵检测系统监控粒度更细、配置灵活、可用于加密的以及交换的环境基于网络的入侵检测系统视野更宽、隐蔽性好、攻击者不易转移证据3、根据检测技术进行分类异常入侵检测根据异常行为和使用计算机资源的情况检测出来的入侵。误用入侵检测利用已知系统和应用软件的弱点攻击模式来检测入侵。4、根据体系结构分类集中式多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器。等级式定义了若干个分等级的监控区域，每个IDS负责一个区域，每一级IDS只负责所监控区的分析，然后将当地的分析结果传送给上一级IDS。协作式将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当地主机的某些活动。5、根据响应方式分类主动响应对被攻击系统实施控制和对攻击系统实施控制。被动响应只会发出告警通知，将发生的不正常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动。五、入侵检测的分析方式1、入侵检测的分析方式2、异常检测3、误用检测4、完整性分析5、入侵检测的过程1、入侵检测的分析方式异常检测（AnomalyDetection）统计模型误报较多误用检测（MisuseDetection）维护一个入侵特征知识库（CVE）准确性高完整性分析2、异常检测（1）基本原理正常行为的特征轮廓检查系统的运行情况是否偏离预设的门限？举例多次错误登录、午夜登录2、异常检测（2）实现技术和研究重点实现技术统计神经网络研究重点如何定义、描述和获取系统的行为知识如何提高可信度、检测率，降低报警的虚警率2、异常检测（3）优点可以检测到未知的入侵可以检测冒用他人帐号的行为具有自适应，自学习功能不需要系统先验知识2、异常检测（4）缺点漏报、误报率高入侵者可以逐渐改变自己的行为模式来逃避检测合法用户正常行为的突然改变也会造成误警统计算法的计算量庞大，效率很低统计点的选取和参考库的建立比较困难3、误用检测（1）检测已知攻击匹配建立已出现的入侵行为特征当前用户行为特征举例Land攻击源地址=目标地址?3、误用检测（2）优点算法简单系统开销小准确率高效率高3、误用检测（3）缺点被动只能检测出已知攻击新类型的攻击会对系统造成很大的威胁模式库的建立和维护难模式库要不断更新知识依赖于硬件平台操作系统系统中运行的应用程序4、完整性分析通过检查系统的当前系统配置，诸如系统文件的内容或者系统表，来检查系统是否已经或者可能会遭到破坏。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。5、入侵检测的过程信息收集包括系统、网络、数据及用户活动的状态和行为。信息分析分析收集到的信息，发现违背安全策略的行为。响应根据攻击或事件的类型或性质，做出相应的响应六、异常检测技术1、异常检测技术概念2、异常检测技术的优势3、主要方法4、统计学5、典型系统6、数据挖掘技术7、异常检测技术的缺陷8、异常检测技术的发展趋势1、异常检测技术概念异常检测就是为系统中的用户、程序或资源建立正常行为模式，然后通过比较用户行为与正常行为模式之间的差异进行检测。1、异常检测技术概念Denning在1987年提出的基于系统行为检测的入侵检测系统模型：通过对系统审计数据的分析建立起系统主体的正常行为特征轮廓（Profile）；检测时，如果系统中的审计迹数据与已建立的主体正常行为特征有较大出入，就认为系统遭到入侵。特征轮廓是借助主体登录的时刻、位置，CPU的使用时间以及文件的存取属性等，来描述主体的正常行为特征。当主体的行为特征改变时，对应的特征轮廓也相应改变。1、异常检测技术概念DenningIDS模型：主体（用户、主机、关键的程序、文件等）对象（系统资源）审计记录Subject,Action,Object,Exception-Condition,Resource-Usage,Time-Stamp活动简档异常记录Event,Time-stamp,Profile活动规则1、异常检测技术-概念2、异常检测技术的优势入侵检测技术分为滥用检测和异常检测两种。滥用检测技术的局限性：不能检测未知攻击和新的攻击，特征库需要不断升级更新检测系统知识库中的入侵攻击知识与系统的运行环境有关对于系统内部攻击者的越权行为，由于他们没有利用系统的缺陷，因而很难检测出来2、异常检测技术的优势不需要操作系统、协议等安全性缺陷专门知识检测冒充合法用户入侵的有效方法智能技术的引进使其能够检测未知攻击3、主要方法基于统计的方法专家系统神经网络数据挖掘遗传算法、计算机免疫技术等等4、统计学通过对系统审计迹中的数据进行统计处理，并与描述主体正常行为的统计性特征轮廓进行比较，然后根据二者的偏差是否超过指定的门限来进一步判断、处理。利用统计理论提取用户或系统正常行为的特征轮廓；4、统计学统计性特征轮廓由主体特征变量的频度、均值、方差、被监控行为的属性变量的统计概率分布以及偏差等统计量来描述。典型的系统主体特征有：系统的登录与注销时间、资源被占用