【教学课件】第十一章入侵检测.ppt

第十一章 入侵检测,朱天清,回顾：防火墙的缺点,不能防止来自内部网络的攻击防火墙不能防范不经过防火墙的攻击，如内部网用户通过拨号直接进入Internet。作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击。,IDS:Intrusion Detection System,入侵（Intrusion）：对信息系统的非授权访问及（或）未经许可在信息系统中进行操作。入侵检测（Intrusion Detection）：安装在关键节点，对（网络）系统的运行状态进行监视，对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。入侵检测系统：入侵检测的软件与硬件的组合，是防火墙的合理补充，是防火墙之后的第二道安全闸门。入侵检测的内容：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。,典型的IDS技术,攻击工具攻击命令,攻击者,实时入侵检测,漏洞扫描和评估,IDS起源与发展,审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程。审计的目标：确定和保持系统活动中每个人的责任 重建事件 评估损失 监测系统的问题区 提供有效的灾难恢复 阻止系统的不正当使用通常用审计日志的形式记录,典型的日志,但是大量的日志让管理员无所适从，从中找出需要的信息和安全时间是一件非常繁琐的事情。而且需要管理员有大量的经验,IDS起源与发展,1980年Anderson提出：提出了精简审计的概念，风险和威胁分类方法1987年Denning研究发展了实时入侵检测系统模型IDES入侵检测专家系统：IDES提出了反常活动与计算机不正当使用之间的相关性。80年代，基于主机的入侵检测90年代，基于主机和基于网络入侵检测的集成,概念诞生1980,产生模型80年代中期,模型发展80年代后期-90年代初,网络IDS1990-现在,异常检测90年代初-现在,智能IDS目前,发展历史,IDS基本结构,简单地说，入侵检测系统包括三个功能部件：（1）信息收集（2）信息分析（3）结果处理,入侵检测的设计原理-通用模型,采用异常检测或者误用检测,来源于网络或者主机的数据,利用数据库实现，如MySQL,产生警报提醒管理员，或者通知防火墙,用户方便管理，可以用浏览器,信息收集,入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，尽可能扩大检测范围 从一个源来的信息有可能看不出疑点,信息收集,入侵检测很大程度上依赖于收集信息的可靠性和正确性。要保证用来检测网络系统的软件的完整性。特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。在一个环境中，审计信息必须与它要保护的系统分开来存储和处理。因为防止入侵者通过删除审计记录来使入侵检测系统失效防止入侵者通过修改入侵检测器的结果来隐藏入侵的存在要减轻操作系统执行入侵检测任务带来的操作负载,信息收集的来源,进行入侵检测的系统叫做主机，被检测的系统或网络叫做目标机。数据来源可分为四类：来自主机的 基于主机的监测收集通常在操作系统层的来自计算机内部的数据，包括操作系统审计跟踪信息和系统日志 来自网络的 检测收集网络的数据来自应用程序的 监测收集来自运行着的应用程序的数据，包括应用程序事件日志和其它存储在应用程序内部的数据来自目标机的检测对系统对象的修改。,入侵检测的分类,按照数据来源：基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机。基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行。混合型：,入侵检测的数据源,基于主机的入侵检测系统系统分析主机产生的数据（应用程序及操作系统的事件日志）,主机的数据源,操作系统事件日志应用程序日志 系统日志 关系数据库 Web服务器,基于主机的检测威胁,特权滥用：当用户具有root权限、管理员特权时，该用户以非授权方式使用特权。具有提高特权的立约人 前职员使用旧帐户 管理员创建后门帐户关键数据的访问及修改 学生改变成绩、职员修改业绩、非授权泄露、修改WEB站点安全配置的变化 用户没有激活屏保、激活guest帐户,基于主机的入侵检测系统结构,基于主机的入侵检测系统通常是基于代理的，代理是运行在目标系统上的可执行程序，与中央控制计算机（命令控制台）通信。集中式：原始数据在分析之前要先发送到中央位置 分布式：原始数据在目标系统上实时分析，只有告警命令被发送给控制台。,Desktops,Web Servers,Telecommuters,Customers,Servers,Network,Branch Office,Partners,Host-based 入侵检测,Hacker,Host-based IDS,Host-based IDS,Internet,基于主机入侵检测系统工作原理,网络服务器1,客户端,网络服务器2,检测内容：系统调用、端口调用、系统日志、安全审记、应用日志,HIDS,HIDS,基于主机的入侵检测的好处,威慑内部人员检测通告及响应毁坏情况评估攻击预测诉讼支持行为数据辨析,基于主机的技术面临的问题,性能：降低是不可避免的部署/维护损害欺骗二进制内核日志及Windows NT安全事件日志是两个不错的审计源Syslog及Windows NT应用程序事件日志是两个糟糕的审计源,基于网络的入侵检测系统,入侵检测系统分析网络数据包,基于网络的检测威胁,非授权访问 非授权登录（login)进行其它攻击的起始点数据/资源的窃取 口令下载 带宽窃取拒绝服务 畸形分组：land 分组泛洪：packet flooding 分布式拒绝服务,基于网络的入侵检测系统结构,基于网络的入侵检测系统由遍及网络的传感器（Sensor)组成，传感器会向中央控制台报告。传感器通常是独立的检测引擎，能获得网络分组、找寻误用模式，然后告警。传统的基于传感器的结构，（又被称为混杂模式网络入侵检测系统，或网络分接器（network tap）分布式网络节点结构(network node),网络信息源,商业IDS最常用的信息来源 RealSecure,NFR,NetRanger,Snort利用以太网协议（IEEE 802.3）的广播机制,网络监听,在一个共享式网络，可以听取所有的流量是一把双刃剑 管理员可以用来监听网络的流量情况 开发网络应用的程序员可以监视程序的网络情况 黑客可以用来刺探网络情报目前有大量商业的、免费的监听工具，俗称嗅探器(sniffer),检测器的位置,放在防火墙之外无法检测到某些攻击，但可以看到自己的站点和防火墙暴露在多少种攻击之下检测器在防火墙内 少一些干扰，减少误报警；减少对检测器的攻击；发现防火墙的配置失误防火墙内外都有检测器 各有优势 检测器的其他位置 与你有直接联系的合伙人和经常在防火墙内的供应商处 高价值的地方 有大量不稳定雇员的地方 已被当作攻击目标的子网,基于网络的入侵检测的好处,威慑外部人员检测自动响应及报告,黑客入侵的过程和阶段,Network IDS,Host IDS,基于主机与基于网络IDS,信息分析,异常检测模型（Anomaly Detection):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。,误用检测模型,收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵,误用检测特点,前提：所有的入侵行为都有可被检测到的特征 攻击特征库:当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 过程 监控 特征提取 匹配 判定 指标:误报低、漏报高,误用检测,如果入侵特征与正常的用户行能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报特点：采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得滥用检测无能为力,异常检测,思想：任何正常人的行为有一定的规律。需要考虑的问题：（1）选择哪些数据来表现用户的行为（2）通过以上数据如何有效地表示用户的行为，主要在于学习和检测方法的不同（3）考虑学习过程的时间长短、用户行为的时效性等问题,异常检测模型,首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵,异常检测,前提：入侵是异常活动的子集 用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围过程 监控 量化 比较 判定 修正指标:漏报率低,误报率高,异常检测特点,异常检测系统的效率取决于用户轮廓的完备性和监控的频率因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源,异常入侵检测方法,统计异常检测基于特征选择异常检测基于贝叶斯推理异常检测基于贝叶斯网络异常检测基于模式预测异常检测基于神经网络异常检测基于贝叶斯聚类异常检测基于机器学习异常检测基于数据挖掘异常检测,两种方式比较,误用检测（Misuse Detection）建立起已知攻击的规则库实时行为与规则匹配优点：检测准确率高缺点：无法检测未知入侵异常检测（Anomaly Detection）建立用户或系统的正常行为模式不符合正常模式的行为活动为入侵优点：能够检测出未知的入侵缺点：难以建立正常行为模式,事件响应,可说明性 是指从给定的活动或事件中，可以找到相关责任方的能力。建立可说明性的目标是获得补偿或针对责任方追究相关法律责任。积极的反应 报告 警报 修改目标机系统或入侵检测系统,人为措施,攻击行为的确认遏制事态的进一步发展保存攻击证据系统的安全恢复总结经验教训写份检查，开个总结大会什么的,与IDS有关的标准,通用入侵检测框架CIDF(TheCommonIntrusion Detection Framework)IETF入侵检测工作组(IDWG)的入侵检测交换格式IDEF(Intrusion DetectionExchangeFormat)漏洞和风险的标准CVE(CommonVulnerabilities and Exposures),产品,免费 Snorthttp:/SHADOWhttp:/ISSEC/CID/,产品,商业 RealSecure,ISS CyberCop Monitor,NAI Dragon Sensor,Enterasys eTrust ID,CA NetProwler,Symantec NetRanger,Cisco NID-100/200,NFR Security SecureNet Pro,I Session Wall,入侵检测系统实例,Realsecure：是一种混合入侵检测系统,使用IDS的理由（1）,弥补其它安全产品或措施的缺陷传统安全产品的出发点 认证机制防止未经授权的使用者登录用户的系统 加密技术防止第三者接触到机密的文件 防火墙防止未经许可的数据流进入用户内部网络,使用IDS的理由（2）,帮助发现和处理攻击的企图网络或系统探查（Probe）主机探测、信息收集 端口扫描 漏洞扫描,使用IDS的理由（3）,提供已发生入侵过程的详细信息帮助确定系统存在的问题为系统恢复和修正提供参考,使用IDS的理由（4）,提供攻击行为的证据追查入侵的来源稻草人的故事心理威慑力,使用IDS的理由（5）,被动的“防护”仅仅是安全的一个方面，而且是相当薄弱的一环，行之有效的安全策略还应该包括实时的检测和响应，它们是主动的和积极的。,不使用IDS的理由（1）,影响网络或主机系统的效率 交换环境下的网络型IDS 主机型IDS检测能力与检测效率的矛盾 虚警（False Positive）漏警（False Negative）,不使用IDS的理由（2）,入侵的实时检测、报告及响应如何看待入侵检测的实时性问题“入侵检测的一个最大商业谎言是实时性”？实时性是一个相对的概念实时性与系统效率的矛盾入侵检测与防火墙的合并？,结论,现有技术仍有很多不足之处入侵检测不是万能的没有入侵检测也不是万万不能的前途是光明的道路是曲折的,