ch5入侵检测技术.ppt
《ch5入侵检测技术.ppt》由会员分享,可在线阅读,更多相关《ch5入侵检测技术.ppt(97页珍藏版)》请在三一办公上搜索。
1、第5章 入侵检测技术,内容提要:入侵检测概述入侵检测的技术实现分布式入侵检测入侵检测系统的标准入侵检测系统示例本章小结,5.1 入侵检测概述发展简况,1概念的诞生1980年4月,James P.Aderson为美国空军做了一份题为Computer Security Threat Monitoring and Surveillance(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。,返回本章首页,5.
2、1 入侵检测概述发展简况,2模型的发展19841986年,乔治敦大学的Dorothy Denning和SRICSL(SRI公司计算机科学实验室)的Peter Neumann研究出了一种实时入侵检测系统模型,取名为IDES(入侵检测专家系统)(Intrusion Detection Expert System)。该模型由六个部分组成:主体、对象、审计记录、轮廓特征、异常记录、活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵检测系统提供了一个通用的框架。1988年,SRICSL的Teresa Lunt等改进了Denning的入侵检测模型,并实际开发出了一个IDES。该系
3、统包括一个异常检测器和一个专家系统,分别用于统计异常模型的建立和基于规则的特征分析检测。,返回本章首页,返回本章首页,(1)主体(subjects);在目标系统上活动的实体,如用户。(2)对象(objects):指系统资源,如文件、设备、命令等。(3)审计记录(Audit records):内主体、活动(Action)、异常条件(ExceptionCondition)、资源使用状况(ResourceUsage)和时间戳(Time Stamp)等组成。其中活动是指主体对目标的操作。异常条件是指系统对主体该活动的异常情况的报告。资源使用状况是指系统的资源消耗情况。(4)活动档案(Active Pr
4、ofile):即系统正常行为模型,保存系统正常活动的有关信息。在各种检测方法中其实现各不相同。在统计方法巾可以从事件数量、频度、资源消耗等方面度量。(5)异常记录(Anomaly Record):由事件、时间戳和审计记录组成,表示异常事件的发生情况。(6)活动规则(Active Rule):判断是否为入侵的推则及相应要采取的行动。一般采用系统正常活动模型为准则,根据专家系统或统计方法对审计记录进行分析处理,在发现入侵时采取相应的对策。,5.1 入侵检测概述发展简况,2模型的发展 1990年是入侵检测系统发展史上十分重要的一年。这一年,加州大学戴维斯分校的 等开发出了NSM(Network Se
5、curity Monitor)。该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从此之后,为入侵检测系统的发展翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS。,返回本章首页,5.1 入侵检测概述发展简况,2模型的发展1988年的莫里斯蠕虫事件发生后,网络安全才真正引起了军方、学术界和企业的高度重视。美国空军、国家安全局和能源部共同资助空军密码支持中心、劳伦斯利弗摩尔国家实验室、加州大学戴维斯分校、Haystack实验室,开展对分布式入侵检测系统DIDS(Distribute Intrusion Detection Sys
6、tem)的研究,将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品,它的检测模型采用了分层结构,分数据、事件、主体、上下文、威胁、安全状态等6层。,返回本章首页,5.1 入侵检测概述发展简况,2模型的发展从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。目前,SRICSL、普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前的最高水平,返回本章首页,3.入侵检测技术的发展 近年来,入侵检测技术研究的主要创新有:Forrest等
7、将免疫学原理运用于分布式入侵检测领域;1998年Ross Anderson和Abida Khattak将信息检索技术引进入侵检测;以及采用状态转换分析、数据挖掘和遗传算法等进行误用和异常检测。,返回本章首页,5.1.1 入侵检测原理,图5-2给出了入侵检测的基本原理图。入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动,采用误用检测(Misuse Detection)或异常检测(Anomaly Detection)的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。,返回本章首页,图5-2 入侵检测原理框图
8、,返回本章首页,监控分析系统和用户的活动,发现异常企图或异常现象,记录报警和响应,所谓入侵检测系统就是执行入侵检测任务的硬件或软件产品。入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法。其应用前提是入侵行为和合法行为是可区分的,也即可以通过提取行为的模式特征来判断该行为的性质。一般地,入侵检测系统需要解决两个问题:如何充分并可靠地提取描述行为特征的数据;如何根据特征数据,高效并准确地判定行为的性质。,返回本章首页,5.1.2 系统结构,由于网络环境和系统安全策略的差异,入侵检测系统在具体实现上也有所不同。从系统构成上看,入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管理四大部分
9、,另外还可能结合安全知识库、数据存储等功能模块,提供更为完善的安全检测及数据分析功能(如图5-3所示)。,返回本章首页,图5-3 入侵检测系统结构,返回本章首页,入侵检测的思想源于传统的系统审计,但拓宽了传统审计的概念,它以近乎不间断的方式进行安全检测,从而可形成一个连续的检测过程。这通常是通过执行下列任务来实现的:监视、分析用户及系统活动;系统构造和弱点的审计;识别分析知名攻击的行为特征并告警;异常行为特征的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。,返回本章首页,5.1.3 系统分类,由于功能和体系结构的复杂性,入侵检测按照不同的标准有
10、多种分类方法。可分别从数据源、检测理论、检测时效三个方面来描述入侵检测系统的类型。1基于数据源的分类 通常可以把入侵检测系统分为五类,即基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统以及文件完整性检查系统。,返回本章首页,基于主机型(HIDS),早期入侵检测系统结构,检测的目标是主机系统和系统本地用户,检测原理是根据主机的审计数据和系统日志文件发现可疑事件。检测系统运行在被检测的主机上。,基于主机型(HIDS),主要优点:既可以检测到远程入侵,也可以检测到本地入侵。可以看到基于网络的IDS看不到的、发生在主机上的事件。只要信息源生成于数据加密之前或者数据解密之后,就可以在网络流量加密
11、的环境下正常工作。不受交换式网络的影响。通过处理操作系统的审计记录,可以检测出特洛伊木马或者其它有关软件完整性破坏的攻击。主要缺点:可以使用系统特权或调用比审计本身更低级的操作来逃避审计。检测范围只限于主机。或多或少影响服务器的性能。只能对服务器的特定用户、特定应用程序执行操作,能检测到的攻击类型受限制。可管理性差,因为不同的系统使用不同的操作系统。它和应用程序共用系统资源,其自身也可能被攻击而瘫痪。,基于网络型(NIDS),单独依靠主机审计信息进行入侵检测难以适应网络安全的需求,从而提出了基于网络的结构,根据网络流量、单台或多台主机的审计数据检测入侵。,基于网络型(NIDS),主要优点:可以
12、监控多台主机。对现有网络的影响比较小。基于网络的入侵检测系统只是被动地监听网络流量,不妨碍网络的正常运行。基于网络的入侵检测系统可以设计成非常健壮,有时攻击者根本看不到它的存在。服务器平台相对独立,配置简单,能适应众多的攻击模式。主要缺点:在高速网络上,可能会处理不了所有的数据包,从而有的攻击可能会检测不到。在交换式网络中,交换机把网络分成多个小片段,一般不提供通用的监控端口,从而限制了传感器的监控范围。不能分析加密信息。多数系统不能确定一次攻击是否成功,只能检测出攻击者使用某种方法进行攻击。一些系统在处理碎片包的网络攻击时可能会导致入侵检测系统运行不稳定,甚至崩溃。,基于应用型,是基于主机的
13、入侵检测系统的一个特殊子集。它分析由应用程序生成的事件,常用信息源是应用程序生成的记录文件。由于具有对特定应用程序的知识,还与应用程序有直接接口,因此可以发现用户超越自己的权限的可疑行为。主要优点 可以监控应用程序和用户之间的操作,有能力检测出哪个用户超越自己的权限。一般可以在加密环境下运行。因为它和应用程序的接口一般是数据传输处理过程的终点,提交用户的数据必须是非加密的。主要缺点由于应用程序的记录文件受到的保护没有操作系统的审计记录受到的保护紧密。所以,该系统比基于主机的系统更容易受到攻击。由于系统只监控应用层和用户层的事件,所以它不能检测出特洛伊木马。因此,它一般是与基于主机或者网络的入侵
14、检测系统相结合。,分布式IDS(DIDS),美国普度大学安全研究小组首先提出了基于主体的入侵检测系统软件结构,其主要方法是采用相互独立并独立于系统而运行的进程组,这些进程被称为自治主体。通过训练这些主体,并观察系统行为,然后将这些主体认为是异常的行为标记出来。,2基于检测理论的分类 从具体的检测理论上来说,入侵检测又可分为异常检测和误用检测。异常检测(Anomaly Detection)指根据使用者的行为或资源使用状况的正常程度来判断是否入侵,而不依赖于具体行为是否出现来检测。误用检测(Misuse Detection)指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来
15、检测。,返回本章首页,3基于检测时效的分类 IDS在处理数据的时候可以采用实时在线检测方式,也可以采用批处理方式,定时对处理原始数据进行离线检测,这两种方法各有特点(如图5-5所示)。离线检测方式将一段时间内的数据存储起来,然后定时发给数据处理单元进行分析,如果在这段时间内有攻击发生就报警。在线检测方式的实时处理是大多数IDS所采用的办法,由于计算机硬件速度的提高,使得对攻击的实时检测和响应成为可能。,返回本章首页,返回本章首页,5.2 入侵检测的技术实现,对于入侵检测的研究,从早期的审计跟踪数据分析,到实时入侵检测系统,到目前应用于大型网络的分布式检测系统,基本上已发展成为具有一定规模和相应
16、理论的研究领域。入侵检测的核心问题在于如何对安全审计数据进行分析,以检测其中是否包含入侵或异常行为的迹象。这里,我们先从误用检测和异常检测两个方面介绍当前关于入侵检测技术的主流技术实现,然后对其它类型的检测技术作简要介绍。,返回本章首页,5.2.1 入侵检测分析模型,分析是入侵检测的核心功能,它既能简单到像一个已熟悉日志情况的管理员去建立决策表,也能复杂得像一个集成了几百万个处理的非参数系统。入侵检测的分析处理过程可分为三个阶段:构建分析器,对实际现场数据进行分析,反馈和提炼过程。其中,前两个阶段都包含三个功能:数据处理、数据分类(数据可分为入侵指示、非入侵指示或不确定)和后处理。,返回本章首
17、页,5.2.2 误用检测(Misuse Detection),误用检测是按照预定模式搜寻事件数据的,最适用于对已知模式的可靠检测。执行误用检测,主要依赖于可靠的用户活动记录和分析事件的方法。1条件概率预测法 条件概率预测法是基于统计理论来量化全部外部网络事件序列中存在入侵事件的可能程度。将入侵方式对应于一个事件序列,然后通过观测到的事件发生情况来推测入侵的出现,其依据是外部事件序列,根据贝叶斯定理进行推理检测入侵。主要缺点是先验概率难以给出,而且事件的独立性难以满足。,返回本章首页,2产生式/专家系统 用专家系统对入侵进行检测,主要是检测基于特征的入侵行为。所谓规则,即是知识,专家系统的建立依
18、赖于知识库的完备性,而知识库的完备性又取决于审计记录的完备性与实时性。产生式/专家系统是误用检测早期的方案之一,在MIDAS、IDES、NIDES、DIDS和CMDS中都使用了这种方法。,返回本章首页,专家系统是误用检测中运用最多的一种方法。将有关入侵的知识转化成if-then结构的规则,即将构成入侵所要求的条件转化为if部分,将发现入侵后采取的相应措施转化成then部分。当其中某个或某部分条件满足时,系统就判断为入侵行为发生。其中if-then结构构成了描述具体攻击的规则库,状态行为及其语义环境可根据审计事件得到,推理机根据规则和行为完成判断工作。,返回本章首页,在具体实现中,该方法的主要难
19、点在于:全面性问题,难以科学地从各种入侵手段中抽象出全面的规则化知识;效率问题,需处理的数据量过大;在大型系统中,难以获得实时连续的审计数据。因为上述缺陷,商业产品一般不用,而较多的使用特征分析。特征分析也需要知道攻击行为的具体知识,但是攻击方法的语义描述是在审计记录中能直接找到的信息形式,不像专家系统一样需要处理大量数据,从而大大提高了检测效率。这种方法的缺陷是,需要经常为新发现的系统漏洞更新知识库。此外,由于对不同操作系统平台的具体攻击方法,以及不同平台的审计方式可能不同,所以对特征分析检测系统进行构造和维护的工作量较大。,返回本章首页,3状态转换方法 状态转换方法使用系统状态和状态转换表
20、达式来描述和检测入侵,采用最优模式匹配技巧来结构化误用检测,增强了检测的速度和灵活性。目前,主要有三种实现方法:状态转换分析、有色Petri-Net和语言/应用编程接口(API)。,返回本章首页,3状态转换方法将入侵过程看作一个行为序列,这个行为序列导致系统从初始状态转入被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态,以及导致状态转换的转换条件,即导致系统进入被入侵状态必须执行的操作(特征事件),然后用状态转换图来表示每一个状态和特征事件。这些事件被集成于模型中,所以检测时不需要一个个地查找审计记录。但是,状态转换是针对事件序列分析,所以不适合分析过分复杂的事件,而且不
21、能检测与系统状态无关的入侵。由于处理速度的优势和系统的灵活性,状态转移分析法已成为当今最具竞争力的入侵检测模型之一。,返回本章首页,基于状态迁移分析的误用检测简单示例在一分钟内如果登录失败的次数超过4次,系统便发出警报。其中竖线代表状态转换,如果在状态S1发生登录失败,则产生一个标志变量,并存储事件发生时间T1,同时转入状态S2。如果在状态S4时又有登录失败,而且这时的时间T2-T160秒,则系统转入状态S5,即为入侵状态,系统报警。,4用于批模式分析的信息检索技术 当前大多数入侵检测都是通过对事件数据的实时收集和分析来发现入侵的,然而在攻击被证实之后,要从大量的审计数据中寻找证据信息,就必须
22、借助于信息检索(IR,Information Retrieval)技术,IR技术当前广泛应用于WWW的搜索引擎上。IR系统使用反向文件作为索引,允许高效地搜寻关键字或关键字组合,并使用Bayesian理论帮助提炼搜索。,返回本章首页,5Keystroke Monitor Keystroke Monitor是一种简单的入侵检测方法,它通过分析用户击键序列的模式来检测入侵行为,常用于对主机的入侵检测。该方法具有明显的缺点,首先,批处理或Shell程序可以不通过击键而直接调用系统攻击命令序列;其次,操作系统通常不提供统一的击键检测接口,需通过额外的钩子函数(Hook)来监测击键。假设入侵对应特定的击
23、键序列模式,然后监测用户击键模式,并将这一模式与入侵模式匹配从而检测入侵行为。这种方法的不足之处是:在没有操作系统支持的情况下,缺少捕获用户击键的可靠方法,存在着许多击键方式表示同一种攻击。而且,没有击键语义分析,用户提供别名很容易欺骗这种技术。这种技术仅仅分析击键,不能检测到恶意程序执行后的自动攻击。,返回本章首页,6基于模型推理的方法 基于模型的方法是:入侵者在攻击一个系统的时候往往采用一定的行为序列,如猜测口令的行为序列,这种序列构成了具有一定行为特征的模型,根据这种模型代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图。与专家系统通常放弃处理那些不确定的中间结论的特点相比,这一方
24、法的优点在于它基于完善的不确定性推理数学理论。基于模型的入侵检测方法先可以预测一些主要事件,当这些事件发生后,再开始详细审计,从而减少了事件审计的处理负荷。,返回本章首页,6基于模型推理的方法 通过建立误用证据模型,根据证据推理来作出发生了误用的判断结论,其中有关攻击者行为的知识被描述为:攻击者目的,攻击者达到此目的的可能行为步骤,以及对系统的特殊使用等。此方法的要点是建立攻击脚本库、预警器和决策分析器。检测时先将这些攻击脚本的子集看作系统正面临的攻击,然后通过一个称为预警器的程序模块根据当前行为模式,产生下一个需要验证的攻击脚本子集,并将它传送给决策分析器。决策分析器收到信息后,根据这些假设
25、的攻击行为在审计记录中的可能出现方式,将它们翻译成与特定系统匹配的审计记录格式,然后在审计记录中寻找相应信息来确认或否认这些攻击。初始攻击脚本子集的假设应满足:易于在审计记录中识别,并且出现频率很高。随着一些脚本被确认的次数增多,另一些脚本被确认的次数减少,攻击脚本不断地得到更新。,返回本章首页,6基于模型推理的方法主要优点对不确定性的推理有合理的数学理论基础。决策器使得攻击脚本可以与审计记录的上下文无关。因为首先按脚本类型检测相应类型是否出现,然后再检测具体的事件,所以减少了需要处理的数据量。主要缺陷增加了创建入侵检测模型的开销。系统实现时决策分析器如何有效地翻译攻击脚本。,返回本章首页,5
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ch5 入侵 检测 技术

链接地址:https://www.31ppt.com/p-5421417.html