入侵检测与可信计算.ppt

访问控制与网络安全技术(2),严飞武汉大学计算机学院Yfpostbox(AT),主要内容,访问控制技术防火墙技术VPN技术入侵检测技术一种新的网络安全技术,4.入侵检测技术,4.1 入侵检测技术概述4.2 入侵检测分类与评估4.3 入侵检测产品概况,4.1 入侵检测技术概述,入侵检测技术的起因传统网络安全技术存在着与生俱来的缺陷程序的错误配置的错误需求的变化决定网络不断发展 产品在设计阶段可能是基于一项较为安全的技术但当产品成型后，网络的发展已经使得该技术不再安全传统的网络安全技术是属于静态安全技术，无法解决动态发展网络中的安全问题,4.1 入侵检测技术概述,关于防火墙网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得,4.1 入侵检测技术概述,网络安全工具的特点,4.1 入侵检测技术概述,入侵检测的定义入侵检测是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象.它还是一种增强内部用户的责任感及提供对攻击者的法律诉讼依据的机制,4.1 入侵检测技术概述,入侵检测的特点入侵检测是一种动态的网络安全技术它利用各种不同类型的引擎，实时地或定期地对网络中相关的数据源进行分析，依照引擎对特殊的数据或事件的认识，将其中具有威胁性的部分提取出来，并触发响应机制 对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性进行入侵检测的软件与硬件的组合便是入侵检测系统入侵检测的动态性入侵检测的实时性对网络环境的变化具有一定程度上的自适应性,4.1 入侵检测技术概述,入侵检测的内容 外部攻击检测内部特权滥用检测,4.1 入侵检测技术概述,入侵检测的历史1980年 Anderson提出：入侵检测概念，分类方法1987年 Denning提出了一种通用的入侵检测模型 独立性：系统、环境、脆弱性、入侵种类 系统框架：异常检测器，专家系统 90年初 CMDS、NetProwler、NetRanger ISS RealSecure,4.1 入侵检测技术概述,入侵检测的历史1980年4月，James P.Anderson Computer Security Threat Monitoring and Surveillance（计算机安全威胁监控与监视）第一次详细阐述了入侵检测的概念计算机系统威胁分类:外部渗透、内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开山之作,4.1 入侵检测技术概述,入侵检测的历史从1984年到1986年乔治敦大学的Dorothy DenningSRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型IDES（入侵检测专家系统）,4.1 入侵检测技术概述,4.1 入侵检测技术概述,入侵检测的内容 外部攻击检测外部攻击与入侵是指来自外部网络非法用户的威胁性访问或破坏外部攻击检测的重点在于检测来自于外部的攻击或入侵内部特权滥用检测内部特权滥用是指网络的合法用户在不正常的行为下获得了特殊的网络权限并实施威胁性访问或破坏内部特权滥用检测的重点集中于观察授权用户的活动,4.1 入侵检测技术概述,入侵检测的功能检测和分析用户和系统的活动识别反映已知攻击的活动模式非正常活动模式的统计分析通过对操作系统的审计，分析用户的活动、识别违规操作审计系统配置和脆弱性、评估关键系统和数据文件的一致性,4.1 入侵检测技术概述,入侵检测技术原理与系统构成原理图,4.1 入侵检测技术概述,IDS原理入侵检测的技术的核心在于入侵检测过程 对行为与状态的综合分析是基于知识的智能推理神经网络理论模式匹配异常统计,4.1 入侵检测技术概述,IDS原理技术分析的依据历史知识现有的行为状态实时的监测是保证入侵检测具有实时性的主要手段 根据实时监测的记录不断修改历史知识保证了入侵检测具有自适应性,4.1 入侵检测技术概述,系统构成,4.1 入侵检测技术概述,IDS的构成信息采集部件对各类复杂、凌乱的信息进行格式化并交付于入侵分析部件 入侵分析部件按着部件内部的分析引擎进行入侵分析，当信息满足了引擎的入侵标准时就触发了入侵响应机制 入侵响应部件当入侵分析部件发现入侵后，由入侵响应部件根据具体的情况做出响应响应部件同信息采集部件一样都是分布于网络中，甚至与信息采集部件集成在一起,4.2 入侵检测分类与评估,IDS引擎分类误用检测 异常检测,4.2 入侵检测分类与评估,IDS引擎分类误用检测 前提：所有的入侵行为都有可被检测到的特征 攻击特征库:当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 过程监控 特征提取 匹配 判定 首先根据已知的入侵，定义由独立的事件、事件的序列、事件临界值等通用规则组成的入侵模式然后观察能与入侵模式相匹配的事件，达到发现入侵的目的入侵模式需要定期更新,4.2 入侵检测分类与评估,IDS引擎分类误用检测如果入侵特征与正常的用户行能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报特点：采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得滥用检测无能为力,4.2 入侵检测分类与评估,IDS引擎分类异常检测原理前提：入侵是异常活动的子集 用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围通过检查统计量的偏差，从而检测出不正常的行为其实现的方法将各个主体、对象的行为量化以历史数据设定期望值将与期望值有偏差的行为定义为入侵,4.2 入侵检测分类与评估,IDS引擎分类异常检测异常检测系统的效率取决于用户轮廓的完备性和监控的频率因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源,IDS引擎对比误用检测,优点误用检测具有很强的可分割性、独立性，可缩小模式数据库规模具有很强的针对性，对已知的入侵方法检测效率很高 有能力提供模糊入侵检测引擎,缺点可测量性与性能都和模式数据库的大小和体系结构有关 可扩展性差通常不具备自学习能力，对新攻击的检测分析必须补充模式数据库攻击行为难以模式化,IDS引擎对比异常检测,优点符合数据的异常变化理论，适合事物的发展规律 检查算法比较普适化，对变量的跟踪不需要大量的内存 有能力检测与响应某些新的攻击,缺点数据假设可能不合理，加权算法在统计意义上可能不准确 对突发性正常事件容易引起误判断 对长期、稳定的攻击方法灵敏度低,4.2 入侵检测分类与评估,实现方式分类基于主机的IDS（HIDS）安装在被重点检测的主机之上对该主机的网络实时连接以及系统审计日志进行智能分析和判断基于网络的IDS（NIDS）放置在比较重要的网段内不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析,IDS实现方式HIDS,优点能够获得更详尽的信息误报率低。对分析“可能的攻击行为”非常有用适用于不需要广泛的入侵检测、或者传感器与控制台之间的通信带宽不足的环境风险较少,缺点依赖于服务器的日志与监视功能，降低应用系统的效率，可能需要中断服务全面布署HIDS代价较大对入侵行为的分析的工作量将随着主机数目增加而增加 可能带来一些额外的安全问题,IDS实现方式NIDS,优点能够检测来自网络的攻击能够检测到超过授权的非法访问 易于安装，不影响业务系统的性能，因此风险小,缺点监测范围受网段的限制，全网段部署传感器会使成本大大增加数据量大使得NIDS很难检测一些需要大量计算和分析才能检测的攻击 传感器的分析能力的增强常伴随着协同能力的减弱 难以处理复杂协议，如：加密、高层协议,4.2 入侵检测分类与评估,技术路线分类基于统计分析的入侵检测技术基于神经网络的入侵检测技术 基于专家系统的入侵检测技术基于模型推理的入侵检测技术,4.2 入侵检测分类与评估,技术路线分类基于统计分析的入侵检测技术 基于对用户历史行为进行统计，同时实时地检测用户对系统的使用情况，根据用户行为的概率模型与当前用户的行为进行比较，一但发现可疑的情况与行为，就跟踪、监测并记录，适当时采用一定的响应手段 有一定的自适应能力，稳定，但误警率高,4.2 入侵检测分类与评估,技术路线分类基于神经网络的入侵检测技术 将神经网络模型运用于入侵检测系统，可以解决基于统计数据的主观假设而导致的大量虚假警报问题，同时由于神经网络模型的自适应性，使得系统精简，成本较低但是不成熟,4.2 入侵检测分类与评估,技术路线分类基于专家系统的入侵检测技术 根据专家对合法行为的分析经验来形成一套推理规则，然后在此基础上构成相应的专家系统，由此专家系统自动地进行攻击分析工作推理系统的效率较低,4.2 入侵检测分类与评估,技术路线分类基于模型推理的入侵检测技术 对已知入侵行为建立特定的模型，监视具有特定行为特征的活动，一但发现与模型匹配的用户行为，就通过相关信息证实或否定攻击的真实性又称为模式匹配，是应用较多的入侵检测方法,4.2 入侵检测分类与评估,评价标准准确性误警：IDS将用户正常的操作当作入侵行为，予以报警（1%10%）漏警：IDS将入侵行为当作用户正常的操作，不予报警（10%50%）处理性能完备性容错性及时性,4.3 入侵检测产品概况,产品实施层次应用层操作系统层网络层,4.3 入侵检测产品概况,国外产品Cyber Cop IDS：NAI Realsecure：ISS Session_wall：Abirnet NetWare Flight Recorder：Anzen Internet Emergency Response Service：IBM Cisco Secure IDS：Cisco,4.3 入侵检测产品概况,国外产品Adaptive Intrusion Detection System：布兰登大学 Autonomous Agents For Intrusion Detection：Purdue University IDES：SRI Wisdom and Sense：Los Alamos NSM：加里福利亚大学 Snort:Snort.org,4.3 入侵检测产品概况,国内产品RIDS-100：瑞星 曙光GodEye-HIDS：曙光信息产业（北京）天阗：启明星辰 天眼NPIDS：北京中科网威,5.一种新的网络安全技术,可信计算提出的背景可信计算的发展历程可信计算的核心思想可信网络互联体系可信网络的关键技术可信计算目前存在的问题,5.1可信计算提出的背景,信息化发展：业务系统复杂化，网络环境高速化网络业务激增，造成网络威胁增多，安全风险加大对网络性能和可靠性要求不断提高安全保障复杂，工作量激增用户网络安全建设中的困惑从单个网络产品、子系统建设，直至综合管理系统等多个阶段的建设，部署了多种安全产品安全事件仍不断出现，新问题不断涌现,5.1可信计算提出的背景,信息安全的技术发展趋势从封闭小型网络环境到开放/半开放大型网络环境从关注数据安全、系统安全到内容安全、行为安全从面向威胁到面向威胁和能力并重从身份授权可信赖到用户身份与行为双重可信赖,5.1可信计算提出的背景,信息安全的基本观点各种信息安全技术措施中，硬件结构的安全和操作系统的安全是基础，密码、网络安全等技术是关键技术。只有从整体上采取措施，特别是从底层采取措施，才能比较有效的解决信息安全问题。,5.1可信计算提出的背景,信息安全发展新趋势的解决思路从网络硬件基础设施出发，加强安全管控，确保安全的网络运行环境。从网络终端的安全接入出发，确保接入节点不仅是身份上的可信，而且是接入后行为上的可信。根据以上观点：只有从芯片、主板等硬件结构和BIOS、操作系统等底层软件作起，综合采取措施，才能比较有效的提高终端设备和网络互联设备的安全性，从而确保网络的整体安全。,5.1可信计算提出的背景,TCP的基本属性（可信计算平台）TCP是一个拥有各种保护措施的盒子，应该具备下面两个基本属性：能够保护数据存储区域，避免敌手直接物理上访问到机密数据存储区。能够保证系统的运行环境是安全的，没有被篡改，所有的代码能够执行于一个未被篡改的运行环境。总而言之：保护数据和代码安全。,5.2可信计算的发展历程,彩虹系列1983年，美国国防部制定了世界上第一个可信计算机系统评价准则TCSEC（Trusted Computer System Evaluation Criteria），其与后来的TNI（Trusted Network Interpretation）,TDI（Trusted Database Interpretation）合称为了彩虹系列。在TCSEC中第一次提出可信计算机（Trusted Computer）和可信计算基TCB（Trusted Computing Base）的概念，并把TCB作为系统安全的基础。,5.2可信计算的发展历程,彩虹系列彩虹系列的意义:彩虹系列的出现形成了可信计算的一次高潮。多年彩虹系列一直成为评价计算机系统安全的主要准则。对计算机系统安全有指导意义彩虹系列的局限主要考虑了信息的秘密性，对完整性、真实性考虑较少强调系统安全性的评价，并没有给出达到这种安全性的系统结构和主要技术路线,5.2可信计算的发展历程,TCB技术实践的尝试安全协处理器（Secure Coprocessor）密码加速器（Cryptographic Accelerator）个人令牌（Personal Token）增强型CPU（Harden CPUs）,5.2可信计算的发展历程,TCB技术实践1：安全协处理器独立的，但从属于主处理器（CPU）的，能够完成一定的工作任务的处理单元。类似PC机系统中的floating-point coprocessor（增强CPU的数学计算功能）早期的安全协处理器主要被设想为一个保护某种类型的计算和存储的工具，主要防止本地敌手的攻击，而且它的主要操作依靠主处理器（CPU）来完成。,5.2可信计算的发展历程,TCB技术实践2：密码加速器通用的计算机性能上不适合密码运算，因而将所有的密码计算集中到同一个设备中进行如果在通用系统上处理一旦密钥长度超过了系统的处理字长，速度就会变得很慢。密码运算和操作模指数运算（RSA加密签名、DSA签名、Diffie-Hellman密钥交换协议等）集中的用密码加速器处理，提高效率和增强安全性。,5.2可信计算的发展历程,TCB技术实践3：个人令牌个人令牌是一种用户可随身携带的进行用户认证、密码操作和提供其他服务的令牌。特点：依赖于内存和主机计算。依赖于应用程序。要求有一定物理安全（能够防止他人盗用和伪造）个人令牌种类上包括智能卡，USB KEY，PCMACIA卡。,5.2可信计算的发展历程,TCB技术实践4：增强型CPU将安全芯片功能直接增加到CPU中，用于专用目的的可信计算平台。缺点：要改变CPU，改变现有的计算机架构（即增强型CPUs必须有专用的主板，外设等）。与计算机体系结构不兼容。,5.2可信计算的发展历程,TCP平台的发展历程安全启动 安全协处理器 TPM安全启动TCP技术的思想源于早期计算机的可信启动研Bill Arbaugh etc.“A Secure and Reliable Bootstrap Architecture”安全启动的基本思想将系统配置分解为一系列的实体检查实体的完整性安全启动在可信计算平台中的重要性安全启动应用是可信计算平台的第一个应用程序安全启动是可信计算平台的安全计算边界超出物理保护边界的一项技术，即扩展安全计算边界的技术安全启动应用可以扩展到软件配置方面,5.2可信计算的发展历程,5.2可信计算的发展历程,安全协处理器早期项目Kent Abyss Citadel Dayd,1973年 美国国防部的LOCK项目（Logical Coprocessing Kernel）试图使用硬件和一些相关工具，结合虚拟机监视器的原理（virtual machine monitor）建立一个高可信的通信子系统。,1980年MIT的Stephen Kent探索性的使用TRM（tamper-resistant modules）保护外部软件，研制了Kent系统。,1987年IBM Watson研究院在Kent系统的基础上设计了ABYSS（A Basic Yorktown Security System）。Abyss抛弃了Kent的指令级总线保护，设计了一个包含微型处理器和内存的TCP，在物理上不受保护的主机系统上操作。,IBM Watson研究院改进了Abyss系统，形成了功能更为全面的Citadel系统。早期的TCP只是做为监视器或防窜改部件，被动的监视系统，Citadel发展到了主动的为系统提供服务，并且发展过程中功能越来越强大。,CMU开发了Dyad系统，Dyad系统是Citadel系统的扩展，特别是扩展了Citadel系统的软件体系结构，实现了一系列应用。,5.2可信计算的发展历程,可信计算技术的发展可信计算平台技术的提出1999年IEEE太平洋沿岸国家容错计算会议改名为“可信计算会议”，标志着可信计算又一次成为学术界新的研究热点。同年美国IBM、HP、Intel、微软，日本SONY等著名企业参加，成立了可信计算联盟TCPA，标志着可信计算进入产业界。TCG的出现:TCPA于01年9月制定了可信PC的实现规范V1.1。03年TCPA改组为可信计算组织TCG。TCG的成立标志着可信计算技术和应用领域的扩大。03年9月TCG推出可信PC的新规范V1.2。05年3月TCG推出可信服务器规范V1.0。05年5月TCG推出可信网络连接规范V1.0。06年9月TCG推出可信手机模块规范V0.9。,5.2可信计算的发展历程,可信计算在中国近期 可信计算平台 2000年6月武汉瑞达和武汉大学合作开始研制安全计算机，2004年10月通过国家技术鉴定；2004年6月在武汉召开中国首届TCP论坛；2004年武汉大学召开第一届中国可信计算与信息安全学术会议。解放军密码管理委员会2006年河北大学召开第一届中国可信计算与信息安全学术会议。解放军密码管理委员会支持,5.2可信计算的发展历程,可信计算在中国2003年武汉瑞达与武汉大学研制出可信平台模块芯片J2810，2004年研制出可信计算机。2005年联想公司研制出可信平台模块“恒智”芯片和可信计算机。2005年兆日公司研制出可信平台模块芯片。瑞达、联想、兆日的产品都通过了国密局的认证。我国政府大力支持可信计算技术与产业。,5.3可信计算的核心思想,TCG的思路首先建立一个信任根。信任根的可信性由物理安全和管理安全确保。再建立一条信任链。从信任根开始到硬件平台、到操作系统、再到应用，一级认证一级，一级信任一级。从而把这种信任扩展到整个计算机系统。,5.3可信计算的核心思想,信任根可信平台模块信任根是系统可信的基础和出发点信任根的可信性由物理安全和管理安全确保TCG认为一个可信计算平台必须包含三个可信根：可信测量根RTM可信存储根RTS可信报告根RTR,5.3可信计算的核心思想,可信测量根RTM RTM 是开机首先执行的程序模块RTM必须是不可绕过的和不可篡改的RTM必须存储在ROM中RTM的可信性由安全管理确保,5.3可信计算的核心思想,可信存储根和可信报告根它由CPU、存储器、I/O、密码运算器、随机数产生器和嵌入式操作系统等部件组成。TPM本身就是一个小的计算机系统，一般是一种片上系统SOC（System on Chip）,而且它应当是物理可信和管理可信的。,5.3可信计算的核心思想,信任根可信平台模块TPM的特点TPM保护整个通用的计算机，比前面提到的TCP设备功能要强。克服了小型专用设备（如密码加速器）的CPU和内存限制。兼容现在的计算机体系结构和软件结构。TPM满足了计算机低成本、低物理安全要求的需求。,5.3可信计算的核心思想,信任链以TPM为根从信任根开始到硬件平台、到操作系统、再到应用，一级认证一级，一级信任一级。,5.3可信计算的核心思想,目标一个实体是可信的，如果它的行为总是以所期望的方式，达到预期的目标。通过信任链，将来自于安全芯片的信任关系，传递到整个终端系统，从而确保系统的数据与代码的安全，实现计算环境可信。,5.3可信计算的核心思想,可信的测量：任何想要获得平台控制权的实体，在获得控制权之前都要被测量，判断其是否可信。度量的存储：对实体可信的测量以及该过程的审计信息将被TPM保存，以此向访问实体报告平台或其上运行实体的可信度的依据。度量的报告：需要知道平台可信状态的实体，在获得许可后，可以得到当前TPM中保存的测量值的报告。询问实体据此来衡量当前平台的可信度，并决定是否与该平台建立会话。,5.3可信计算的核心思想,平台,实体,访问请求,可信测量,度量存储,访问允许/拒绝,实体访问平台，平台测量实体,平台,实体,实体询问,平台报告,提供/拒绝服务,实体询问平台，平台提供报告,5.4可信计算与可信网络互联,目标：如果在可信计算范畴里，主机行为是可以以预期的轨迹，朝着所期望的目标运行，那么在网络中这一假设同样也可满足。技术途径：在网络终端可信化的基础上，将网络基础硬件设施进行可信化改造。将可信计算的思想拓展到网络中，建立以网络基础设施和可信接入平台为基础的可信网络互联环境。,5.4可信计算与可信网络互联,TCG提出的可信网络互联体系,5.4可信计算与可信网络互联,TCG提出的可信网络互联体系以TCG可信平台技术为基础的接入完整性平台与用户的身份认证平台环境配置检查（Remote Attestation）三个层次完整性度量层完整性评估层网络访问层,5.5可信网络的关键技术,如何将面向主机的技术移植到网络中完整性检查与网络可信性检查技术静态完整性与网络动态完整性检查技术网络环境中信任根的定义网络行为的描述方法网络行为可预期的建模网络行为信任关系的传递信任关系的隔离技术信任关系的延伸技术,5.6可信计算目前存在的问题,缺少可信计算的理论模型与严禁的理论依据信任链的理论尚存在缺陷目前的信任测量是静态的可信测量，缺少系统动态可信测量缺少软件动态信任的度量理论与技术安全与容错机制的结合许多关键技术尚待攻克：完整的信任链测量、存储、报告存储器隔离,访问控制与网络安全技术(2),本节结束！,