网络安全22入侵检测系统.ppt

吕延庆,入侵检测系统,Network Security&Privacy,计算机安全的三大中心目标是：保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)其中比较突出的技术有：身份认证与识别，访问控制机制，加密技术，防火墙技术自适应网络安全技术(动态安全技术)和动态安全模型应运而生。典型的就是P2DR模型(如图11-1所示)。,静态安全（防御）技术,引言,图11-1 P2DR模型,入侵检测是动态安全技术的核心技术之一是防火墙的合理补充是安全防御体系的一个重要组成部分,入侵检测系统属于比较新的技术，据专家预测，将来可能个人计算机上必备的三大安全软件将为：杀毒软件，防火墙，入侵检测系统。,入侵检测的发展简史,最早可追溯到1980年，James P.Anderson在一份技术报告中提出审计记录可用于检测计算机误用行为的思想，这可谓是入侵检测的开创性的先河。Dorothy E.Denning在1987年的一篇论文3中提出了实时入侵检测系统模型L.Todd Heberlien在1990年提出的NSM(Network Security Monitor)是入侵检测发展史上又一个具有重要意义的里程碑。,监视主机,监视网络,IDS的作用,已知的网络安全系统(防火墙、安全评估系统、加密、身份认证)众多，为什么还要入侵检测系统？关于防火墙网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部 入侵很容易入侵教程随处可见各种工具唾手可得,IDS与Firewall联动,通过在防火墙中驻留的一个IDS Agent对象，以接收来自IDS的控制消息，然后再增加防火墙的过滤规则，最终实现联动,Cisco CIDF(CISL)ISS Checkpoint,一个国产入侵检测系统：系统规则库的选择界面,入侵检测基本原理,入侵检测的基本概念入侵 企图破坏资源的完整性、保密性、可用性的任何行为，也指违背系统安全策略的任何事件。入侵行为不仅仅是指来自外部的攻击，同时内部用户的未授权行为也是一个重要的方面从入侵策略的角度来看，入侵可分为企图进入、冒充其它合法用户、成功闯入、合法用户的泄漏、拒绝服务以及恶意使用等几个方面。检测 通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时做出响应。,图11-2 入侵检测的一般过程,信息源是指包含有最原始的入侵行为信息的数据主要是网络、系统的审计数据或原始的网络数据包数据预处理是指将其转化为检测模型所接受的数据格式包括对冗余信息的去除，即数据简约是入侵检测研究领域的关键，也是难点之一检测模型是指根据各种检测算法建立起来的检测分析模型它的输入一般是经过数据预处理后的数据，输出为对数据属性的判断结果数据属性一般是针对数据中包含的入侵信息的断言检测结果即检测模型输出的结果由于单一的检测模型的检测率不理想，往往需要利用多个检测模型进行并行分析处理，然后对这些检测结果进行数据融合处理，以达到满意的效果。安全策略是指根据安全需求设置的策略。响应处理主要是指综合安全策略和检测结果所作出的响应过程包括产生检测报告、通知管理员、断开网络连接或更改防火墙的配置等积极的防御措施,3 入侵检测系统分类,入侵检测系统的分类有多种，这里主要介绍两种：一种是根据入侵检测系统的输入数据来源的分类基于主机的入侵检测系统（HIDS）基于网络的入侵检测系统（NIDS）一种是根据入侵检测系统所采用的技术的分类异常检测(Anomaly Detection)误用检测(Misuse Detection),3.1 按数据来源的分类输入数据的来源来看，它可分为：基于主机的入侵检测系统 基于网络的入侵检测系统。,1基于主机的(Host-Based)入侵检测系统 基于主机的入侵检测系统(HIDS)通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名(Attack Signature，指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配，检测系统就向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件，并可对入侵事件作出立即反应。它还可针对不同操作系统的特点判断出应用层的入侵事件。,HIDS的优点和不足 早期的入侵检测系统大多都是基于主机的IDS，作为入侵检测系统的一大重要类型，它具有着明显的优点：1)能够确定攻击是否成功2)非常适合于加密和交换环境3)近实时的检测和响应4)不需要额外的硬件5)可监视特定的系统行为 基于主机的IDS也存在一些不足：会占用主机的系统资源，增加系统负荷，而且针对不同的操作系统必须开发出不同的应用程序，另外，所需配置的IDS数量众多。但是对系统内在的结构没有任何的约束，同时可以利用操作系统本身提供的功能，并结合异常检测分析，更能准确地报告攻击行为。,2.基于网络的(Network-Based)入侵检测系统 基于网络的入侵检测系统(NIDS)以原始的网络数据包作为数据源。它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的。其攻击识别模块在进行攻击签名识别时常用的技术有：模式、表达式或字节码的匹配；频率或阈值的比较；事件相关性处理；异常统计检测。,NIDS的优势和不足基于网络的IDS是目前随网络迅速发展，较之于基于主机的IDS，它有着自身明显的优势：1)攻击者转移证据更困难2)实时检测和应答3)能够检测到未成功的攻击企图4)操作系统无关性5)较低的成本 NIDS同样有着一定的不足：它只能监视通过本网段的活动，并且精确度较差；在交换网络环境中难于配置；防欺骗的能力比较差，对于加密环境它就更是无能为力了。,3分布式的入侵检测系统 HIDS和NIDS各自都有着自身独到的优势，而且在某些方面是很好的互补。采用这两者结合的入侵检测系统，那将是汲取了各自的长处，又弥补了各自的不足的一种优化设计方案。通常，这样的系统一般为分布式结构，由多个部件组成，它能同时分析来自主机系统的审计数据及来自网络的数据通信流量信息。分布式的IDS将是今后人们研究的重点，它是一种相对完善的体系结构，为日趋复杂的网络环境下的安全策略的实现提供了最佳的解决对策。,入侵检测的分类（2）,按照分析方法（检测方法）异常检测模型（Anomaly Detection):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵,异常检测,前提：入侵是异常活动的子集 用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围过程 监控 量化 比较 判定 修正指标:漏报(false positive),错报(false negative),异常检测,异常检测,如果系统错误地将异常活动定义为入侵，称为误报(false positive)；如果系统未能检测出真正的入侵行为则称为漏报(false negative)。特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。,Anomaly Detection,activity measures,probable intrusion,Relatively high false positive rate-anomalies can just be new normal activities.,异常入侵检测方法,统计异常检测基于特征选择异常检测基于贝叶斯推理异常检测基于贝叶斯网络异常检测基于模式预测异常检测基于神经网络异常检测基于贝叶斯聚类异常检测基于机器学习异常检测基于数据挖掘异常检测,误用检测,前提：所有的入侵行为都有可被检测到的特征 攻击特征库:当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 过程 监控 特征提取 匹配 判定 指标 错报低 漏报高,误用检测,误用检测模型,如果入侵特征与正常的用户行能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报特点：采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得滥用检测无能为力,Misuse Detection,Cant detect new attacks,Example:if(src_ip=dst_ip)then“land attack”,基于条件概率误用检测基于专家系统误用检测基于状态迁移误用检测基于键盘监控误用检测基于模型误用检测,误用入侵检测方法,snort介绍,snort是一个用C语言编写的开放源代码的跨平台、轻量级的网络入侵检测系统（NIDS）。本质上是一个基于libpcap的网络数据包嗅探器和日志记录工具。snort具有实时报警能力，还可以通过命令行进行交互，并对可选的BPF（Berkeley Packet Filter）命令进行配置。可以安装在一台主机上对整个网络进行监视。,4 入侵检测系统模型,入侵检测系统是动态安全防御策略的核心技术，比较有影响的入侵检测系统模型有：CIDF模型；Denning的通用入侵检测系统模型。其中，CIDF模型是在对入侵检测系统进行规范化的进程中提出的，也是逐渐被入侵检测领域所采纳的模型；Denning的通用入侵检测系统模型作为入侵检测发展历程中颇具影响力的实例，给入侵检测领域的研究带来了相当重要的启示。现在，很多的入侵检测系统研究原型都是基于这两个模型的，所以有必要对其作一介绍。,4.1 入侵检测系统的CIDF模型 CIDF模型是由CIDF(Common Intrusion Detection Framework)工作组提出的。/)工作组是由Teresa Lunt发起的，专门从事对入侵检测系统(IDS)进行标准化的研究机构。它主要研究的是入侵检测系统的通用结构、入侵检测系统各组件间的通信接口问题、通用入侵描述语言(Common Intrusion Specification Language，CISL)以及不同入侵检测系统间通信问题等关于入侵检测的规范化问题。,CIDF提出了一个入侵检测系统的通用模型(如图11-5所示)，它将入侵检测系统分为以下几个单元：事件产生器(Event Generators)事件分析器(Event Analyzers)响应单元(Response Units)事件数据库(Event Databases),图11-5 简化的入侵检测系统CIDF模型,CIDF模型将入侵检测系统(IDS)需要分析的数据统称为事件(Event)，它可以是网络中的数据包，也可以是从系统日志等审计记录途径得到的信息。事件产生器即检测器，它从整个计算环境中获得事件，并向系统的其它部分提供此事件；事件分析器分析得到的数据，并产生分析结果；响应单元则是对分析结果作出反应的功能单元，它可以是作出切断连接、改变文件属性等反应，甚至发动对攻击者的反击，也可以只是简单的报警；事件数据库是存放各种中间和最终数据的地方的总称，它可以是复杂的数据库，也可以是简单的文本文件。各功能单元间的数据交换采用的是CISL语言。,图11-5是入侵检测系统的一个简化模型，它给出了入侵检测系统的一个基本框架。一般地，入侵检测系统由这些功能模块组成。在具体实现上，由于各种网络环境的差异以及安全需求的不同，因而在实际的结构上就存在一定程度的差别。图11-6是互联网工程任务组(IETF)提出的对CIDF模型的一个更详细的描述。,图11-6 IETF的入侵检测模型实例,这里介绍的模型是IETF下的IDWG(入侵检测工作组)()对入侵检测系统进行标准化的设计方案。目前，此模型还只是Internet草案，未形成正式的RFC文档，现有的各种入侵检测系统的研究原型还未采纳这种标准，但是，在不久的将来，随着行业的不断规范化，这一模型将会被投入到实际运用中。,11.4.2 Denning的通用入侵检测系统模型 Dorothy E.Denning于1987年提出了一个通用的入侵检测模型(如图11-7所示)。该模型由以下六个主要部分组成：主体(Subjects)、客体(Objects)、审计记录(Audit Records)、行为轮廓(Profiles)、异常记录(Anomaly Records)及活动规则(Activity Rules)。,图11-7 Denning 的通用入侵检测系统模型,在该模型中，主体是指目标系统上活动的实体，通常指的是用户，也可能是代表用户行为的系统进程，或者是系统自身。主体的所有行为都是通过命令来实现的。客体是指系统资源，如文件、命令、设备等。它是主体的行为的接受者。主体和客体没有明显的界限，往往在某一环境下的主体在另一环境下则会成为客体。,审计记录是指主体对客体进行操作而在目标系统上产生的记录，如用户的登录、命令的执行、文件的访问等都会在系统中产生相应的记录。它是由构成的六元组。其中，活动是指主体对客体的操作，如登录、退出、读、写等；异常条件是指主体活动出现异常情况时系统的状态；资源使用状况是指系统的资源消耗情况；时间戳是指活动发生的时间。,行为轮廓是描述主体对客体正常行为的模型，它包含有系统正常活动的各种相关信息。异常记录是指当系统检测到异常行为时产生的记录，由事件、时间戳、行为轮廓组成。活动规则是指系统判断是否是入侵的准则，以及当满足入侵条件时，系统所采取的相应的对策。这个模型是个典型的异常检测的实现原型，对入侵检测的研究起着相当重要的推动作用。SRI的NIDES(http:/,5 分布式入侵检测系统,一方面，由于网络环境的分布性和开放性，使得我们要保护的目标主机和网络在数量和层次上将不再局限在很有限的范围内，而且不断发展的网络技术使得攻击手段也在不断推陈出新，这样，对入侵行为的检测将面临更大的挑战。另一方面，单一机制的入侵检测系统存在着自身难以克服的缺陷，无法满足日益苛刻的安全需求。这使得人们在深入研究的同时不得不另辟蹊径。分布式入侵检测系统就是这一时期的产物，它的出现为人们提供了新的安全解决方案。,分布式入侵检测系统是采用基于主机的和基于网络的入侵检测系统相结合的综合方案，这样既可以克服基于主机的入侵检测系统和基于网络的入侵检测系统的各自不足，又可以充分发挥它们各自的优势，从而实现对被保护目标的最佳防护。图11-8是分布式入侵检测系统的组成框图。,图11-8 分布式入侵检测系统设计框图,由图可以看出，该系统的主要功能部件有网络引擎、主机代理、分析系统、管理控制系统、存储系统、响应系统等。网络引擎主要是从网络流量中获取原始数据包，并对其进行预处理，并将预处理后的数据发送给分析系统；主机代理则是从受保护的主机系统获取审计数据，并对其进行预处理，将处理过的数据送往分析系统；分析系统对预处理后的数据进行分析，根据不同的数据特点建立相应的检测模型，即采用不同的检测算法对数据进行分析处理，并将分析结果送到管理控制系统；,管理控制系统是整个系统同用户交互的窗口，它提供各种管理控制信息，并协调其它部件的工作；存储系统是用来对各种结果进行存储的地方，并提供灵活的数据维护、处理和查询服务，同时也是一个安全的日志系统；响应系统则是对确认的入侵行为采取相应措施的子系统。从所采用的技术角度来看，分布式入侵检测系统的检测机制是误用检测和异常检测并举的方案。具体的工作模式如图11-9所示。,图11-9 分布式入侵检测系统的检测机制示意图,图11-10给出了一个典型的分布式入侵检测系统在实际网络环境下的部署图。在本图中，我们在防火墙内外都设置了网络引擎，这样我们就可以充分利用基于网络的IDS的优点，实时地进行攻击企图的识别，并可将其阻断在防火墙之外。同时，还可监控透过防火墙的攻击行为，为我们及时地更新防火墙的配置提供依据。对于主机代理的设置则是要根据具体的安全防护策略来进行。这样，我们就可以最大限度地发挥不同类型的IDS的优势，实现对被保护网络的最大安全化。,图11-10 典型的分布式入侵检测系统部署图,6 小 结,入侵检测是信息时代网络技术蓬勃发展的必然产物，它的出现给从事信息安全研究的人们一个全新的遐想空间，而且关于入侵检测的研究涉及到多学科的知识的交互。这里只是对入侵检测基本理论的阐述，很多问题还不是很深入，目的是能给大家在从事这方面研究时有所启示。,