《入侵检测技术培训》PPT课件.ppt

《《入侵检测技术培训》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《入侵检测技术培训》PPT课件.ppt（55页珍藏版）》请在三一办公上搜索。

1、IDS技术讲座,目录,需求背景技术发展产品分类面临挑战,什么是入侵？,入侵是指一些人试图进入或者滥用你的系统。这里的滥用可以包括从严厉的偷窃机密数据到一些次要的事情：比如滥用你的电子邮件系统发垃圾邮件。,入侵者的分类,外部的:你网络外面的侵入者，或者可能攻击你的外部存在。外部的侵入者可能来自Internet,拨号线,物理介入,或者从同你网络连接的伙伴网络内部的:合法使用你的互连网络的侵入者。包括滥用权力的人和模仿更改权力的人。,防火墙,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的

2、唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。,绕过防火墙的攻击,穿过防火墙的攻击行为,防火墙的局限性,防火墙就象一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子 访问控制设备可以不让低级权限的人做越权工作，但无法保证高级权限的做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限,访问控制,矩阵访问控制 组与角色 两维ACL存在的问题,其它问题,入侵者如何进入系统？,物理侵入:如果一个侵入者对主机有物理进入权限。(比如他们能使用键盘或者参与系统),应该可以进入。方法包括控制台特权一直到物理参与系统并且移走磁

3、盘(在另外的机器读/写)。甚至BIOS保护也很容易穿过的:事实上所有的BIOS都有后门口令。,入侵者如何进入系统？,系统侵入:这类侵入表现为侵入者已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。如未打过补丁的IIS发布系统，会存在UNICODE漏洞，可能会使得入侵者远程访问系统文件。http:/IP/scrtpts/.%c1%1c./winnt/system32/cmd.exe?/c+dir,入侵者如何进入系统？,远程侵入:这类入侵指入侵者通过网络远程进入系统。侵入者从无特权开始这种侵入方式包括多种形式。比如如果在他/她和受

4、害主机之间有防火墙存在，侵入就要复杂得多。这类入侵通常是很漫长的，从系统扫描开始，获得较低的权限，然后通过先验经验获得更高的权限。,为什么会有入侵？,软件总是存在bug。系统管理员和开发人员永远无法发现和解决所有的可能漏洞。侵入者只要发现一个漏洞就可以入侵系统。有证据表明每一千行代码中就会存在五至十五个BUG！,缓冲区溢出,缓冲区溢出：大部分的安全漏洞都属于这类。攻击者通过发送精心构造的超过堆栈最大容量的数据，跳转执行自己想要的代码。如IIS发布系统中的ida/idq以及.printf溢出漏洞，攻击者很容易利用工具获得系统的root权限。,意外结合,意外结合:程序通常被组合成很多层代码。侵入者

5、常可以发送一些对于一层无意义的输入,却对其他层有意义。在“|mail/etc/passwd“，这个命令得以在perl下执行是因为操作系统为这个输入启动一个附加的程序。然而操作系统解释管道符|并且按语义启动mail程序，结果是将password文件寄给侵入者。,其它缺陷,缺省配置：很多系统在交付使用时采用缺省配置，“缺省”意味着“易攻击”。口令攻击：弱口令和字典穷举攻击。监听：收集网络上的公共团体字符串。协议缺陷：TCP/IP协议的设计缺点，如smurf攻击,ICMP不可达的连结,IP哄骗,和SYN floods。以及数据本身的容易被信任。,入侵如何被检测,UNIX系统的/var/adm下的sy

6、slog与messages。入侵监测系统,解决之道,IDS与防火墙的配合使用,达到最佳的防护效果,IDS是什么?,IDS是通过数据和行为模式来判断攻击事件是否存在的系统。采用旁路侦听的方式接入到网络中，网卡设置为混杂模式，实时抓取网络中的数据并对其进行分析。得到分析结果后，通过报警、日志、与其他安全产品联动等方式对其进行响应，并提供相应的解决方法。,入侵检测系统的发展,1980年 Anderson提出：入侵检测概念，分类方法Computer Security Threat Monitoring and Surveillance1987年 Denning提出了一种通用的入侵检测模型 独立性：系统

7、、环境、脆弱性、入侵种类 系统框架：异常检测器，专家系统研究出了一个实时入侵检测系统模型IDES（入侵检测专家系统）,入侵检测技术的成熟,1990，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM（Network Security Monitor）该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控多种主机入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS,IDS类产品分类,市场上的IDS可以分为两种：网络入侵检测系统（NIDS)以旁路侦听的方式接入到网络中 独立于被监测的系统之外 不会增加网络中主机的负

8、载主机入侵检测系统（HIDS）安装在被保护的主机之上 主要分析主机的内部活动：审计日志、系统调用、文件完整性 会占用一定的系统资源,IDS的实现方式-网络IDS,IDS的分析方式,异常发现技术（基于行为的检测）模式发现技术（基于知识的检测）,基于行为的检测,基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测，所以也被称为异常检测(Anomaly Detection)。与系统相对无关，通用性强能检测出新的攻击方法误检率较高,基于行为的检测-概率统计方法,操作密度审计记录分布范畴尺度数值尺度记录的具体操作包括：CPU 的使用，I/O 的使用，使用地点及时

9、间，邮件使用，编辑器使用，编译器使用，所创建、删除、访问或改变的目录及文件，网络上活动等。,基于行为的检测-神经网络方法,基本思想是用一系列信息单元(命令)训练神经单元，这样在给定一组输入后，就可能预测出输出。当前命令和刚过去的w个命令组成了网络的输入，其中w是神经网络预测下一个命令时所包含的过去命令集的大小。根据用户的代表性命令序列训练网络后，该网络就形成了相应用户的特征表，于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。目前还不很成熟。,神经网络检测思想,基于知识的检测,基于知识的检测指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。因为很

10、大一部分的入侵是利用了系统的脆弱性，通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。基于知识的检测也被称为违规检测(Misuse Detection)。这种方法由于依据具体特征库进行判断，所以检测准确度很高，并且因为检测结果有明确的参照，也为系统管理员做出相应措施提供了方便。,基于知识的检测-专家系统,将有关入侵的知识转化成if-then结构的规则，即将构成入侵所要求的条件转化为if 部分，将发现入侵后采取的相应措施转化成then部分。当其中某个或某部分条件满足时，系统就判断为入侵行为发生。其中的if-then结构构成了描述具体攻击的规则库，状态行为及其语义环境可根据

11、审计事件得到，推理机根据规则和行为完成判断工作。,基于知识的检测-模型推理,模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为：攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特殊使用等。根据这些知识建立攻击脚本库，每一脚本都由一系列攻击行为组成。,CIDF模型,Common Intrusion Detection Frame组件：事件产生器（Event generators）事件分析器（Event analyzers）响应单元（Response units）事件数据库（Event databases）,CIDF组件结构图,NIDS抓包,PF_PACKET

12、从链路层抓包libpcap提供API函数winpcapWindows下的抓包库,分析技术的发展,早期的网络IDS 匹配方式类似于防病毒系统 纯粹的模式匹配技术目前的网络IDS 协议分析技术（状态检测、协议确认、异常分析、基于行为）,分析技术发展历程,1990 纯模式匹配1996 Netranger 协议解码+模式匹配1999 SNORT 简单协议分析技术2002 联想网御IDS 真正意义上的协议分析技术（完全协议分析）,协议分析技术与模式匹配技术,协议分析是相对模式匹配而言的，二者是在分析程度上有所不同,Ethernet,IP,TCP,模式匹配,Ethernet,IP,TCP,协议分析,HTT

13、P,Unicode,XML,模式匹配,0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500.P.M.E.10 0157 3105 4000 8006 0000 0a0a 0231 d850.W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018.P.b2.A:.P.30 16d0 f6e5 0000 4745 5420 2f70 726f 6475.GET/produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f

14、 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1.70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept:*/*.Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer:http:/www 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 73

15、73 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d/store/.Accept-c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language:en-us.d0 0a41 6363 6570 742d 456e 636f 6469 6e67.Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d:gzip,deflate.f0 0a55 7365 722d 4167 656e 743a 204d 6f7a.User-Ag

16、ent:Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0(compat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible;MSIE 5.01;120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0)130 0d0a 486f 7374 3a20 7777 772e 616d 6572.Host:www.amer 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65.Conne 150 63

17、74 696f 6e3a 204b 6565 702d 416c 6976 ction:Keep-Aliv 160 650d 0a0d 0a e.,协议分析,0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500.P.M.E.10 0157 3105 4000 8006 0000 0a0a 0231 d850.W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018.P.b2.A:.P.30 16d0 f6e5 0000 4745 5420 2f70 726f 6475.GET/produ 40 6374 732f 7769

18、 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1.70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept:*/*.Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer:http:/www 90 2e61 6d65 7269 7465

19、6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d/store/.Accept-c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language:en-us.d0 0a41 6363 6570 742d 456e 636f 6469 6e67.Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d:gzi

20、p,deflate.f0 0a55 7365 722d 4167 656e 743a 204d 6f7a.User-Agent:Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0(compat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible;MSIE 5.01;120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0)130 0d0a 486f 7374 3a20 7777 772e 616d 6572.Host:www.a

21、mer 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65.Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction:Keep-Aliv 160 650d 0a0d 0a e.,协议分析,FrameHeader,IP DatagramHeader,ICMP/UDP/TCPHeader,Frame Data Area,IP Data,ProtocolData,Interface Layer,Internet Layer,Transport Layer,例子,ETHER,ARP,IP,RARP,ICMP,IG

22、MP,TCP,UDP,POP3,FTP,HTTP,。,DNS,典型例子,第一步直接跳到第13个字节，并读取2个字节的协议标识。如果值是0800，则说明这个以太网帧的数据域携带的是IP包，基于协议解码的入侵检测利用这一信息指示第二步的检测工作。,第二步跳到第24个字节处读取1字节的第四层协议标识。如果读取到的值是06，则说明这个IP帧的数据域携带的是TCP包，入侵检测利用这一信息指示第三步的检测工作。,第四步让解析器从第55个字节开始读取URL。URL串将被提交给HTTP解析器，在它被允许提交给Web服务器前，由HTTP解析器来分析它是否可能会做攻击行为。,第三步跳到第35个字节处读取一对端口号

23、。如果有一个端口号是0080，则说明这个TCP帧的数据域携带的是HTTP包，基于协议解码的入侵检测利用这一信息指示第四步的检测工作。,典型例子,一个攻击检测实例,老版本的Sendmail漏洞利用$telnet 25WIZshell或者DEBUG#直接获得rootshell！,模式的匹配,检查每个packet是否包含：“WIZ”|“DEBUG”,检查端口号,缩小匹配范围 Port 25:“WIZ”|“DEBUG”,深入决策树,只判断客户端发送部分 Port 25:Client-sends:“WIZ”|Client-sends:“DEBUG”,更加深入,状态检测+引向异常的分支 Port 25:s

24、tateful client-sends:“WIZ”|stateful client-sends:“DEBUG”after stateful“DATA”client-sends line 1024 bytes means possible buffer overflow,例子（续）,线性匹配,树型匹配,O(N)O(logN)N是规则数,规则数,时间,随着规则数的增大，树型匹配的消耗时间的增长速度远远低于线性匹配,模式匹配,模式匹配面临的问题：计算的负载：对于满负载的100Mbps以太网，需要 的计算量将是：攻击特征字节数数据包字节数每秒的数据包数数据库的攻击特征数。探测准确性：模式匹配/特征搜

25、索技术使用固定的特征模式来探测攻击，只能探测出明确的、唯一的攻击特征，即便是基于最轻微变换的攻击串都会被忽略,模式匹配,优点：只需收集相关的数据集合，显著减少系统负担 技术已相当成熟 检测准确率和效率都相当高缺点：计算负荷大 检测准确率低 没有理解能力：,协议分析,协议分析充分利用了网络协议的高度有序性，使用这些知识快速检测某个攻击特征的存在因为系统在每一层上都沿着协议栈向上解码，因此可以使用所有当前已知的协议信息，来排除所有不属于这一个协议结构的攻击。,典型例子,第一步直接跳到第13个字节，并读取2个字节的协议标识。如果值是0800，则说明这个以太网帧的数据域携带的是IP包，基于协议解码的入

26、侵检测利用这一信息指示第二步的检测工作。第二步跳到第24个字节处读取1字节的第四层协议标识。如果读取到的值是06，则说明这个IP帧的数据域携带的是TCP包，入侵检测利用这一信息指示第三步的检测工作。第三步跳到第35个字节处读取一对端口号。如果有一个端口号是0080，则说明这个TCP帧的数据域携带的是HTTP包，基于协议解码的入侵检测利用这一信息指示第四步的检测工作。第四步让解析器从第55个字节开始读取URL。URL串将被提交给HTTP解析器，在它被允许提交给Web服务器前，由HTTP解析器来分析它是否可能会做攻击行为。,面临挑战,IDS面临的挑战 漏报率高、误报率高；管理困难、不方便；性能不能满足需要；,发展方向,更有效的集成各种入侵检测数据源，包括从不同的系统和不同的传感器上采集的数据，提高报警准确率；在事件诊断中结合人工分析；提高对恶意代码的检测能力，包括email攻击，Java，ActiveX等；采用一定的方法和策略来增强异种系统的互操作性和数据一 致性；研制可靠的测试和评估标准；提供科学的漏洞分类方法，尤其注重从攻击客体而不是攻击主体的观点出发；提供对更高级的攻击行为如分布式攻击、拒绝服务攻击等的检测手段,