1、1.概述概述2.入侵检测方法入侵检测方法3.入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.入侵检测标准化工作入侵检测标准化工作6.其它其它7.展望展望概述概述2.入侵检测方法入侵检测方法3.入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.入侵检测标准化工作入侵检测标准化工作6.其它其它7.展望展望IntrusionnIntrusion:Attempting to break into or misuse your system.nIntruders may be from outside the network or l
2、egitimate users of the network.nIntrusion can be a physical,system or remote intrusion.n传统的信息安全方法采用严格的访问控制和数传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策据加密策略来防护,但在复杂系统中,这些策略是不充分的。它们是系统安全不可缺的部分略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全但不能完全保证系统的安全n入侵检测(入侵检测(Intrusion Detection)是对入侵行)是对入侵行为的发觉。它通过从计算机网络或计算机系统为的发觉。它
3、通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击或系统中是否有违反安全策略的行为和被攻击的迹象的迹象Intrusion Detection入侵检测的定义入侵检测的定义n对系统的运行状态进行监视,发现各种攻对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性系统资源的机密性、完整性和可用性n进行入侵检测的软件与硬件的组合便是入进行入侵检测的软件与硬件的组合便是入侵检测系统侵检测系统nIDS:Intrusion
4、Detection System 入侵检测的特点入侵检测的特点 一个完善的入侵检测系统的特点:一个完善的入侵检测系统的特点:经济性经济性时效性时效性安全性安全性可扩展性可扩展性网络安全工具的特点网络安全工具的特点优点优点局限性局限性防火墙防火墙可简化网络管理,产品成熟可简化网络管理,产品成熟无法处理网络内部的攻击无法处理网络内部的攻击IDS实时监控网络安全状态实时监控网络安全状态误报警,缓慢攻击,新的攻误报警,缓慢攻击,新的攻击模式击模式Scanner简单可操作,帮助系统管理简单可操作,帮助系统管理员和安全服务人员解决实际员和安全服务人员解决实际问题问题并不能真正扫描漏洞并不能真正扫描漏洞VP
5、N保护公网上的内部通信保护公网上的内部通信可视为防火墙上的一个漏洞可视为防火墙上的一个漏洞防病毒防病毒针对文件与邮件,产品成熟针对文件与邮件,产品成熟功能单一功能单一1980年年 Anderson提出:入侵检测概念,分类方法提出:入侵检测概念,分类方法1987年年 Denning提出了一种通用的入侵检测模型提出了一种通用的入侵检测模型 独立性独立性 :系统、环境、脆弱性、入侵种类:系统、环境、脆弱性、入侵种类 系统框架系统框架:异常检测器,专家系统:异常检测器,专家系统 9090年初:年初:CMDSCMDS、NetProwlerNetProwler、NetRanger NetRanger IS
6、S RealSecure ISS RealSecure入侵检测起源入侵检测起源入侵检测的起源(入侵检测的起源(1)n审计技术:产生、记录并检查按时间顺序排列审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程的系统事件记录的过程n审计的目标:审计的目标:确定和保持系统活动中每个人的责任确定和保持系统活动中每个人的责任重建事件重建事件评估损失评估损失监测系统的问题区监测系统的问题区提供有效的灾难恢复提供有效的灾难恢复阻止系统的不正当使用阻止系统的不正当使用入侵检测的起源(入侵检测的起源(2)n计算机安全和审计计算机安全和审计n美国国防部在美国国防部在70年代支持年代支持“可信信息系可信信
7、息系统统”的研究,最终审计机制纳入的研究,最终审计机制纳入可信可信计算机系统评估准则计算机系统评估准则(TCSEC)C2级级以上系统的要求的一部分以上系统的要求的一部分n“褐皮书褐皮书”理解可信系统中的审计指理解可信系统中的审计指南南入侵检测的起源(入侵检测的起源(3)1980年年4月,James P.Anderson:Computer Security Threat Monitoring and Surveillance(计算机安全威胁监控与监视)的技术报告,第(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念一次详细阐述了入侵检测的概念他提出了一种对计算机系统风险和威胁
8、的分类方他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行法,并将威胁分为外部渗透、内部渗透和不法行为三种为三种还提出了利用审计跟踪数据监视入侵活动的思想。还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作这份报告被公认为是入侵检测的开山之作入侵检测的起源(入侵检测的起源(4)从从1984年到年到1986年,乔治敦大学的年,乔治敦大学的Dorothy Denning和和SRI/CSL的的Peter Neumann研究出了一个实时入侵检测系研究出了一个实时入侵检测系统模型,取名为统模型,取名为IDES(入侵检测专家系统)(入侵检测专
9、家系统)入侵检测的起源(入侵检测的起源(5)1990,加州大学戴维斯分校的,加州大学戴维斯分校的L.T.Heberlein等等人开发出了人开发出了NSM(Network Security Monitor)该系统第一次直接将网络流作为审计数据来源,该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况因而可以在不将审计数据转换成统一格式的情况下监控异种主机下监控异种主机入侵检测系统发展史翻开了新的一页,两大阵营入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的正式形成:基于网络的IDS和基于主机的和基于主机的IDS 入侵检测的起源(入侵检测的起源(6)I
10、DS存在与发展的必然性存在与发展的必然性一、网络攻击的破坏性、损失的严重性一、网络攻击的破坏性、损失的严重性二、日益增长的网络安全威胁二、日益增长的网络安全威胁三、单纯的防火墙无法防范复杂多变的攻击三、单纯的防火墙无法防范复杂多变的攻击为什么需要为什么需要IDSn关于防火墙关于防火墙网络边界的设备网络边界的设备自身可以被攻破自身可以被攻破对某些攻击保护很弱对某些攻击保护很弱不是所有的威胁来自防火墙外部不是所有的威胁来自防火墙外部n入侵很容易入侵很容易入侵教程随处可见入侵教程随处可见各种工具唾手可得各种工具唾手可得IDS基本结构基本结构n入入侵侵检检测测是是监监测测计计算算机机网网络络和和系系统
11、统,以以发发现违反安全策略事件的过程现违反安全策略事件的过程n简简单单地地说说,入入侵侵检检测测系系统统包包括括三三个个功功能能部件:部件:(1 1)信息收集信息收集(2 2)信息分析信息分析(3 3)结果处理)结果处理信息收集信息收集n入侵检测的第一步是信息收集,收集内容入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态包括系统、网络、数据及用户活动的状态和行为。和行为。n需要在计算机网络系统中的若干不同关键需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,点(不同网段和不同主机)收集信息,尽可能扩大检测范围尽可能扩大检测范围从一个源来的信息有可能看
12、不出疑点从一个源来的信息有可能看不出疑点信息收集信息收集n入侵检测很大程度上依赖于收集信息的可入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,要保证用来检测网靠性和正确性,因此,要保证用来检测网络系统的软件的完整性,特别是入侵检测络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息止被篡改而收集到错误的信息 信息收集的来源信息收集的来源n系统或网络的日志文件系统或网络的日志文件n网络流量网络流量n系统目录和文件的异常变化系统目录和文件的异常变化n程序执行中的异常行为程序执行中的异常行为系统或网络的日志文件
13、系统或网络的日志文件n黑黑客客经经常常在在系系统统日日志志文文件件中中留留下下他他们们的的踪踪迹迹,因因此此,充充分分利利用用系系统统和和网网络络日日志志文文件件信信息息是是检检测入侵的必要条件测入侵的必要条件n日日志志文文件件中中记记录录了了各各种种行行为为类类型型,每每种种类类型型又又包包含含不不同同的的信信息息,例例如如记记录录“用用户户活活动动”类类型型的的日日志志,就就包包含含登登录录、用用户户ID改改变变、用用户户对对文文件的访问、授权和认证信息等内容件的访问、授权和认证信息等内容n显显然然,对对用用户户活活动动来来讲讲,不不正正常常的的或或不不期期望望的的行行为为就就是是重重复复
14、登登录录失失败败、登登录录到到不不期期望望的的位位置置以及非授权的企图访问重要文件等等以及非授权的企图访问重要文件等等 系统目录和文件的异常变化系统目录和文件的异常变化n网网络络环环境境中中的的文文件件系系统统包包含含很很多多软软件件和和数数据据文文件件,包包含含重重要要信信息息的的文文件件和和私私有有数数据据文文件件经经常常是是黑黑客客修修改改或或破破坏坏的的目目标标。目目录录和和文文件件中中的的不不期期望望的的改改变变(包包括括修修改改、创创建建和和删删除除),特特别别是是那那些些正正常常情情况况下下限限制制访访问问的的,很很可可能能就就是是一一种入侵产生的指示和信号种入侵产生的指示和信号
15、n入入侵侵者者经经常常替替换换、修修改改和和破破坏坏他他们们获获得得访访问问权权的的系系统统上上的的文文件件,同同时时为为了了隐隐藏藏系系统统中中他他们们的的表表现现及及活活动动痕痕迹迹,都都会会尽尽力力去去替替换换系系统统程程序序或或修改系统日志文件修改系统日志文件 信息分析信息分析 模式匹配模式匹配 统计分析统计分析 完整性分析,往往用于事后分析完整性分析,往往用于事后分析模式匹配模式匹配n模模式式匹匹配配就就是是将将收收集集到到的的信信息息与与已已知知的的网网络络入入侵侵和和系系统统误误用用模模式式数数据据库库进进行行比比较较,从从而而发发现现违违背背安全策略的行为安全策略的行为n一一般
16、般来来讲讲,一一种种进进攻攻模模式式可可以以用用一一个个过过程程(如如执执行行一一条条指指令令)或或一一个个输输出出(如如获获得得权权限限)来来表表示示。该该过过程程可可以以很很简简单单(如如通通过过字字符符串串匹匹配配以以寻寻找找一一个个简简单单的的条条目目或或指指令令),也也可可以以很很复复杂杂(如如利利用用正规的数学表达式来表示安全状态的变化)正规的数学表达式来表示安全状态的变化)统计分析统计分析n统计分析方法首先给系统对象(如用户、文件、统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访
17、问次数、操作失败次用时的一些测量属性(如访问次数、操作失败次数和延时等)数和延时等)n测量属性的平均值将被用来与网络、系统的行为测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就进行比较,任何观察值在正常值范围之外时,就认为有入侵发生认为有入侵发生完整性分析完整性分析n完整性分析主要关注某个文件或对象是完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被安装容及属性,它在发现被更改的、被安装木马的应用程序方面特别有效木马的应用程序方面特别有效入侵检测的分类(入侵检测的分类(1)n按
18、照分析方法(检测方法)按照分析方法(检测方法)异常检测模型(异常检测模型(Anomaly Detection):首先总首先总结正常操作应该具有的特征(用户轮廓),结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认当用户活动与正常行为有重大偏离时即被认为是入侵为是入侵 误用检测模型(误用检测模型(Misuse Detection):收集非收集非正常操作的行为特征,建立相关的特征库,正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵配时,系统就认为这种行为是入侵 异常检测异常检测
19、Below Threshold levelsExceed Threshold LevelsSystem AuditMetricsProfilerIntrusionNormal Activity异常检测模型异常检测模型1.1.前提:入侵是异常活动的子集前提:入侵是异常活动的子集 2.2.用户轮廓用户轮廓(Profile):(Profile):通常定义为各种行为参数及其通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围阀值的集合,用于描述正常行为范围3.3.过程过程4.4.监控监控 量化量化 比较比较 判定判定 5.5.6.6.修正修正4.4.指标指标:漏报漏报(false positiv
20、efalse positive),错报错报(false negativefalse negative)异常检测异常检测异常检测异常检测n如果系统错误地将异常活动定义为入侵,称为如果系统错误地将异常活动定义为入侵,称为误报误报(false positive);如果系统未能检测出真;如果系统未能检测出真正的入侵行为则称为正的入侵行为则称为漏报漏报(false negative)。n特点:异常检测系统的效率取决于用户轮廓的特点:异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵完备性和监控的频率。因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵。行为进行定义,因此能
21、有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整同时系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源。测会消耗更多的系统资源。Anomaly Detectionactivity measuresprobable intrusionRelatively high false positive rate-anomalies can just be new normal activities.System AuditMetricsPattern MatcherIntrusionNormal Acti
22、vityNo Signature MatchSignature Match误用检测模型误用检测模型误用检测误用检测1.1.前提:所有的入侵行为都有可被检测到的特征前提:所有的入侵行为都有可被检测到的特征 2.2.攻击特征库攻击特征库:当监测的用户或系统行为与库中的记录当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵相匹配时,系统就认为这种行为是入侵 3.3.过程过程4.4.监控监控 特征提取特征提取 匹配匹配 判定判定 4.4.指标指标 错报低错报低 漏报高漏报高 误用检测误用检测误用检测模型误用检测模型n如如果果入入侵侵特特征征与与正正常常的的用用户户行行能能匹匹配配,则
23、则系系统统会会发发生生误误报报;如如果果没没有有特特征征能能与与某某种种新新的的攻攻击击行为匹配,则系统会发生行为匹配,则系统会发生漏报漏报n特点:特点:采用特征匹配,滥用模式能明显降低错采用特征匹配,滥用模式能明显降低错报率,但漏报率随之增加。攻击特征的细微变报率,但漏报率随之增加。攻击特征的细微变化,会使得滥用检测无能为力化,会使得滥用检测无能为力Misuse DetectionIntrusion Patternsactivitiespattern matchingintrusionCant detect new attacksExample:if(src_ip=dst_ip)then“l
24、and attack”入侵检测的分类(入侵检测的分类(2)n按照数据来源:按照数据来源:基于主机:系统获取数据的依据是系统基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机,保护的目标也是系统运行所在的主机运行所在的主机基于网络:系统获取的数据是网络传输基于网络:系统获取的数据是网络传输的数据包,保护的是网络的运行的数据包,保护的是网络的运行混合型混合型n监视与分析主机的审计记录监视与分析主机的审计记录n可以不运行在监控主机上可以不运行在监控主机上n能否及时采集到审计记录?能否及时采集到审计记录?n如何保护作为攻击目标主机审计子系统如何保护作为攻击目标主机审计子
25、系统?基于主机基于主机n在共享网段上对通信数据进行侦听采集数据在共享网段上对通信数据进行侦听采集数据n主机资源消耗少主机资源消耗少n提供对网络通用的保护提供对网络通用的保护n如何适应高速网络环境?如何适应高速网络环境?n非共享网络上如何采集数据?非共享网络上如何采集数据?基于网络基于网络两类两类IDS监测软件监测软件n网络网络IDS侦测速度快侦测速度快 隐蔽性好隐蔽性好 视野更宽视野更宽 较少的监测器较少的监测器 占资源少占资源少 n主机主机IDS视野集中视野集中 易于用户自定义易于用户自定义保护更加周密保护更加周密对网络流量不敏感对网络流量不敏感 入侵检测的分类(入侵检测的分类(3)n按系统
26、各模块的运行方式按系统各模块的运行方式集中式:系统的各个模块包括数据的集中式:系统的各个模块包括数据的收集分析集中在一台主机上运行收集分析集中在一台主机上运行分布式:系统的各个模块分布在不同分布式:系统的各个模块分布在不同的计算机和设备上的计算机和设备上入侵检测的分类(入侵检测的分类(4)n根据时效性根据时效性脱机分析:行为发生后,对产生的数脱机分析:行为发生后,对产生的数据进行分析据进行分析联机分析:在数据产生的同时或者发联机分析:在数据产生的同时或者发生改变时进行分析生改变时进行分析常用术语常用术语n当一个入侵正在发生或者试图发生时,当一个入侵正在发生或者试图发生时,IDSIDS系统将发系
27、统将发布一个布一个alertalert信息通知系统管理员信息通知系统管理员n如果控制台与如果控制台与IDSIDS系统同在一台机器,系统同在一台机器,alertalert信息将信息将显示在监视器上,也可能伴随着声音提示显示在监视器上,也可能伴随着声音提示n如果是远程控制台,那么如果是远程控制台,那么alertalert将通过将通过IDSIDS系统内置系统内置方法(通常是加密的)、方法(通常是加密的)、SNMPSNMP(简单网络管理协议,(简单网络管理协议,通常不加密)、通常不加密)、emailemail、SMSSMS(短信息)或者以上几(短信息)或者以上几种方法的混合方式传递给管理员种方法的混合
28、方式传递给管理员Alert(警报)(警报)Anomaly(异常)(异常)n当有某个事件与一个已知攻击的信号相匹配时,多数当有某个事件与一个已知攻击的信号相匹配时,多数IDS都会告警都会告警n一个基于一个基于anomaly(异常)的(异常)的IDS会构造一个当时活动会构造一个当时活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时,的事件发生时,IDS就会告警就会告警n有些有些IDS厂商将此方法看做启发式功能,但一个启发厂商将此方法看做启发式功能,但一个启发式的式的IDS应该在其推理判断方面具有更多的智能应该在其推理判断方面具有更多的智能n
29、首先,可以通过重新配置路由器和防火墙,拒绝那些来首先,可以通过重新配置路由器和防火墙,拒绝那些来自同一地址的信息流自同一地址的信息流;其次,通过在网络上发送其次,通过在网络上发送reset包包切断连接切断连接n但是这两种方式都有问题,攻击者可以反过来利用重新但是这两种方式都有问题,攻击者可以反过来利用重新配置的设备,其方法是:通过伪装成一个友方的地址来配置的设备,其方法是:通过伪装成一个友方的地址来发动攻击,然后发动攻击,然后IDS就会配置路由器和防火墙来拒绝这就会配置路由器和防火墙来拒绝这些地址,这样实际上就是对些地址,这样实际上就是对“自己人自己人”拒绝服务了拒绝服务了n发送发送reset
30、包的方法要求有一个活动的网络接口,这样它包的方法要求有一个活动的网络接口,这样它将置于攻击之下,一个补救的办法是:使活动网络接口将置于攻击之下,一个补救的办法是:使活动网络接口位于防火墙内,或者使用专门的发包程序,从而避开标位于防火墙内,或者使用专门的发包程序,从而避开标准准IP栈需求栈需求AutomatedResponsenIDS的核心是攻击特征,它使的核心是攻击特征,它使IDS在事件发生时触发在事件发生时触发n特征信息过短会经常触发特征信息过短会经常触发IDS,导致误报或错报,过长,导致误报或错报,过长则会减慢则会减慢IDS的工作速度的工作速度n有人将有人将IDS所支持的特征数视为所支持的
31、特征数视为IDS好坏的标准,但是好坏的标准,但是有的产商用一个特征涵盖许多攻击,而有些产商则会将有的产商用一个特征涵盖许多攻击,而有些产商则会将这些特征单独列出,这就会给人一种印象,好像它包含这些特征单独列出,这就会给人一种印象,好像它包含了更多的特征,是更好的了更多的特征,是更好的IDSSignatures(特征)(特征)Promiscuous(混杂模式)(混杂模式)n默认状态下,默认状态下,IDS网络接口只能看到进出主机的信息,网络接口只能看到进出主机的信息,也就是所谓的也就是所谓的non-promiscuous(非混杂模式)(非混杂模式)n如果网络接口是混杂模式,就可以看到网段中所有的如
32、果网络接口是混杂模式,就可以看到网段中所有的网络通信量,不管其来源或目的地网络通信量,不管其来源或目的地n这对于网络这对于网络IDS是必要的,但同时可能被信息包嗅探是必要的,但同时可能被信息包嗅探器所利用来监控网络通信量器所利用来监控网络通信量n交换型交换型HUB可以解决这个问题,在能看到全面通信量可以解决这个问题,在能看到全面通信量的地方,会都许多跨越(的地方,会都许多跨越(span)端口)端口1.概述概述2.入侵检测方法入侵检测方法3.入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.入侵检测标准化工作入侵检测标准化工作6.其它其它7.展望展望入侵检测相关
33、的数学模型入侵检测相关的数学模型试验模型(试验模型(Operational ModelOperational Model)平均值和标准差模型(平均值和标准差模型(Mean and Standard Deviation ModelMean and Standard Deviation Model):多多变变量量模模型型(Multivariate Multivariate ModelModel):多多个个随随机机变变量量的的相相关关性性计计算,算,马马尔尔可可夫夫过过程程模模型型(Markov Markov Process Process ModelModel):初初始始分分布布和和概概率率转移矩
34、阵;预测新的事件的出现频率太低,则表明出现异常情况。转移矩阵;预测新的事件的出现频率太低,则表明出现异常情况。时时序序模模型型(Time Time Series Series ModelModel):该该模模型型通通过过间间隔隔计计时时器器和和资资源源计计数数器器两两种种类类型型随随机机变变量量参参数数之之间间的的相相隔隔时时间间和和它它们们的的值值来来判判断入侵断入侵异常入侵检测方法异常入侵检测方法统计异常检测统计异常检测基于特征选择异常检测基于特征选择异常检测基于贝叶斯推理异常检测基于贝叶斯推理异常检测基于贝叶斯网络异常检测基于贝叶斯网络异常检测基于模式预测异常检测基于模式预测异常检测基于
35、神经网络异常检测基于神经网络异常检测基于贝叶斯聚类异常检测基于贝叶斯聚类异常检测基于机器学习异常检测基于机器学习异常检测基于数据挖掘异常检测基于数据挖掘异常检测基于条件概率误用检测基于条件概率误用检测基于专家系统误用检测基于专家系统误用检测基于状态迁移误用检测基于状态迁移误用检测基于键盘监控误用检测基于键盘监控误用检测基于模型误用检测基于模型误用检测误用入侵检测方法误用入侵检测方法基于误用的入侵检测基于误用的入侵检测n思想:主要是通过某种方式预先定义入侵行为,思想:主要是通过某种方式预先定义入侵行为,然后监视系统,从中找出符合预先定义规则的然后监视系统,从中找出符合预先定义规则的入侵行为入侵行
36、为n误用信号需要对入侵的特征、环境、次序以及误用信号需要对入侵的特征、环境、次序以及完成入侵的事件相互间的关系进行描述完成入侵的事件相互间的关系进行描述n重要问题重要问题(1)如何全面的描述攻击的特征)如何全面的描述攻击的特征(2)如何排除干扰,减小误报)如何排除干扰,减小误报(3)解决问题的方式)解决问题的方式其它其它基于生物免疫检测基于生物免疫检测基于伪装检测基于伪装检测1.概述概述2.入侵检测方法入侵检测方法入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.入侵检测标准化工作入侵检测标准化工作6.其它其它7.展望展望活动数据源感应器分析器管理器操作员管理
37、员事件警报通告应急安全策略安全策略入侵检测系统原理图入侵检测系统原理图攻击模式库入侵检测器应急措施配置系统库数据采集安全控制系统审计记录/协议数据等系统操作简单的入侵检测示意图简单的入侵检测示意图基于主机的入侵检测系统基于主机的入侵检测系统n系统分析主机产生的数据(应用程系统分析主机产生的数据(应用程序及操作系统的事件日志)序及操作系统的事件日志)n由于内部人员的威胁正变得更重要由于内部人员的威胁正变得更重要基于主机的检测威胁基于主机的检测威胁基于主机的结构基于主机的结构优点及问题优点及问题基于主机的检测威胁基于主机的检测威胁n特权滥用特权滥用n关键数据的访问及修改关键数据的访问及修改n安全配
38、置的变化安全配置的变化基于主机的入侵检测系统结构基于主机的入侵检测系统结构n基于主机的入侵检测系统通常是基基于主机的入侵检测系统通常是基于代理的,代理是运行在目标系统于代理的,代理是运行在目标系统上的可执行程序,与中央控制计算上的可执行程序,与中央控制计算机通信机通信集中式:原始数据在分析之前要先发集中式:原始数据在分析之前要先发送到中央位置送到中央位置分布式:原始数据在目标系统上实时分布式:原始数据在目标系统上实时分析,只有告警命令被发送给控制台分析,只有告警命令被发送给控制台目标系统审计记录收集方法审计记录预处理异常检测误用检测安全管理员接口审计记录数据归档/查询审计记录数据库审计记录基于
39、审计的入侵检测系统结构示意图基于审计的入侵检测系统结构示意图集中式检测的优缺点集中式检测的优缺点n优点:优点:不会降低目标机的性能不会降低目标机的性能统计行为信息统计行为信息多主机标志、用于支持起诉的原始数据多主机标志、用于支持起诉的原始数据n缺点:缺点:不能进行实时检测不能进行实时检测不能实时响应不能实时响应影响网络通信量影响网络通信量分布式检测的优缺点分布式检测的优缺点n优点:优点:实时告警实时告警实时响应实时响应n缺点:缺点:降低目标机的性能降低目标机的性能没有统计行为信息没有统计行为信息没有多主机标志没有多主机标志没有用于支持起诉的原始数据没有用于支持起诉的原始数据降低了数据的辨析能力
40、降低了数据的辨析能力系统离线时不能分析数据系统离线时不能分析数据操作模式操作模式n操作主机入侵检测系统的方式操作主机入侵检测系统的方式警告警告监视监视毁坏情况评估毁坏情况评估遵从性遵从性基于主机的技术面临的问题基于主机的技术面临的问题n性能:降低是不可避免的n部署/维护n损害n欺骗基于网络的入侵检测系统基于网络的入侵检测系统n入侵检测系统分析网络数据包入侵检测系统分析网络数据包n基于网络的检测威胁基于网络的检测威胁n基于网络的结构基于网络的结构n优点及问题优点及问题基于网络的检测威胁基于网络的检测威胁n非授权访问非授权访问n数据数据/资源的窃取资源的窃取n拒绝服务拒绝服务基于网络的入侵检测系统
41、结构基于网络的入侵检测系统结构n基于网络的入侵检测系统由遍及网络的基于网络的入侵检测系统由遍及网络的传感器(传感器(Sensor)组成,传感器会向中央组成,传感器会向中央控制台报告。传感器通常是独立的检测控制台报告。传感器通常是独立的检测引擎,能获得网络分组、找寻误用模式,引擎,能获得网络分组、找寻误用模式,然后告警。然后告警。n传统的基于传感器的结构传统的基于传感器的结构n分布式网络节点结构分布式网络节点结构传统的基于传感器的结构传统的基于传感器的结构n传感器(通常设置为混杂模式)用传感器(通常设置为混杂模式)用于嗅探网络上的数据分组,并将分于嗅探网络上的数据分组,并将分组送往检测引擎组送往
42、检测引擎n检测引擎安装在传感器计算机本身检测引擎安装在传感器计算机本身n网络分接器分布在关键任务网段上,网络分接器分布在关键任务网段上,每个网段一个每个网段一个管理/配置入侵分析引擎器网络安全数据库嗅探器嗅探器分析结果基于网络的入侵检测系统模型基于网络的入侵检测系统模型分布式网络节点结构分布式网络节点结构n为解决高速网络上的丢包问题,为解决高速网络上的丢包问题,1999年年6月,月,出现的一种新的结构,将传感器分布到网络出现的一种新的结构,将传感器分布到网络上的每台计算机上上的每台计算机上n每个传感器检查流经他的网络分组,然后传每个传感器检查流经他的网络分组,然后传感器相互通信,主控制台将所有
43、的告警聚集、感器相互通信,主控制台将所有的告警聚集、关联起来关联起来数据采集构件应急处理构件通信传输构件检测分析构件管理构件安全知识库分布式入侵检测系统结构示意图分布式入侵检测系统结构示意图基于网络的入侵检测的好处基于网络的入侵检测的好处n威慑外部人员n检测n自动响应及报告基于网络的技术面临的问题基于网络的技术面临的问题n分组重组n高速网络n加密基于异常的入侵检测基于异常的入侵检测n思想:任何正常人的行为有一定的规律思想:任何正常人的行为有一定的规律n需要考虑的问题:需要考虑的问题:(1)选择哪些数据来表现用户的行为)选择哪些数据来表现用户的行为(2)通过以上数据如何有效地表示用户的行为,)通
44、过以上数据如何有效地表示用户的行为,主要在于学习和检测方法的不同主要在于学习和检测方法的不同(3)考虑学习过程的时间长短、用户行为的时)考虑学习过程的时间长短、用户行为的时效性等问题效性等问题数据选取的原则数据选取的原则(1)数据能充分反映用户行为特征的全貌数据能充分反映用户行为特征的全貌(2)应使需要的数据量最小应使需要的数据量最小(3)数据提取难度不应太大数据提取难度不应太大NIDS抓包抓包nPF_PACKET从链路层抓包nlibpcap提供API函数nwinpcapWindows下的抓包库分析数据包分析数据包EthernetIPTCP模式匹配EthernetIPTCP协议分析HTTPUn
45、icodeXML模式匹配模式匹配 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.M.E.10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:.P.30 16d0 f6e5 0000 4745 5420 2f70 726f 64754745 5420 2f70 726f 6475 .GET/produ GET/produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d6
46、1 cts/wireless/ima 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1.60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a
47、2.jpg HTTP/1.1.70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept:*/*.Ref 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept:*/*.Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer:http:/www 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer:http:/www 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 90 2e61 6d
48、65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept-b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept-c0 4c61 6e67 7561 6765 3a20 656
49、e 2d75 730d Language:en-us.c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language:en-us.d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d :gzip,deflate.e0 3a20 677a 6970 2c20 6465 666c 6174
50、650d :gzip,deflate.f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent:Moz f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent:Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0(compat 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0(compat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b