入侵检测系统.ppt
《入侵检测系统.ppt》由会员分享,可在线阅读,更多相关《入侵检测系统.ppt(192页珍藏版)》请在三一办公上搜索。
1、入侵检测技术,概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望,概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望,IDS存在与发展的必然性,一、网络攻击的破坏性、损失的严重性二、日益增长的网络安全威胁三、单纯的防火墙无法防范复杂多变的攻击,为什么需要IDS,关于防火墙网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得,网络安全工具的特点,Intrusion,Intrusion:Attempting to break into or misus
2、e your system.Intruders may be from outside the network or legitimate users of the network.Intrusion can be a physical,system or remote intrusion.,传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全入侵检测(Intrusion Detection)是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全
3、策略的行为和被攻击的迹象,Intrusion Detection,入侵检测的定义,对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性进行入侵检测的软件与硬件的组合便是入侵检测系统IDS:Intrusion Detection System,入侵检测的起源(1),审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程审计的目标:确定和保持系统活动中每个人的责任重建事件评估损失监测系统的问题区提供有效的灾难恢复阻止系统的不正当使用,1980年 Anderson提出:入侵检测概念,分类方法1987年 Denning提出了一种通用的入侵检测模
4、型 独立性:系统、环境、脆弱性、入侵种类 系统框架:异常检测器,专家系统 90年初 CMDS、NetProwler、NetRanger ISS RealSecure,入侵检测起源(2),入侵检测的起源(2),1980年4月,James P.Anderson Computer Security Threat Monitoring and Surveillance(计算机安全威胁监控与监视)第一次详细阐述了入侵检测的概念计算机系统威胁分类:外部渗透、内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开山之作,入侵检测的起源(3),从1984年到1986年乔治敦大
5、学的Dorothy DenningSRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型IDES(入侵检测专家系统),入侵检测的起源(3),入侵检测的起源(4),1990,加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(Network Security Monitor)该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS,入侵检测的起源(6),IDS基本结构,入侵检测系统包括三个功能部件(1)信息收集(2)信息分析(3)结果处
6、理,信息搜集,信息收集,入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息尽可能扩大检测范围从一个源来的信息有可能看不出疑点,信息收集,入侵检测很大程度上依赖于收集信息的可靠性和正确性要保证用来检测网络系统的软件的完整性特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息,信息收集的来源,系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为,系统或网络的日志文件,攻击者常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条
7、件日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容显然,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等,系统目录和文件的异常变化,网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号入侵者经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及
8、活动痕迹,都会尽力去替换系统程序或修改系统日志文件,信息分析,信息分析,模式匹配 统计分析 完整性分析,往往用于事后分析,模式匹配,模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为一般来讲,一种攻击模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化),统计分析,统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)测量属性的平
9、均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生,完整性分析,完整性分析主要关注某个文件或对象是否被更改这经常包括文件和目录的内容及属性在发现被更改的、被安装木马的应用程序方面特别有效,结果处理,入侵检测性能关键参数,误报(false positive):如果系统错误地将异常活动定义为入侵漏报(false negative):如果系统未能检测出真正的入侵行为,入侵检测的分类(1),按照分析方法(检测方法)异常检测模型(Anomaly Detection):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵 误用
10、检测模型(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,异常检测模型,前提:入侵是异常活动的子集 用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围过程 监控 量化 比较 判定 修正指标:漏报率低,误报率高,异常检测,异常检测特点,异常检测系统的效率取决于用户轮廓的完备性和监控的频率因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源,Anomaly D
11、etection,activity measures,probable intrusion,误用检测模型,前提:所有的入侵行为都有可被检测到的特征 攻击特征库:当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵 过程 监控 特征提取 匹配 判定 指标:误报低、漏报高,误用检测,误用检测模型,如果入侵特征与正常的用户行能匹配,则系统会发生误报;如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报特点:采用特征匹配,滥用模式能明显降低错报率,但漏报率随之增加。攻击特征的细微变化,会使得滥用检测无能为力,Misuse Detection,Cant detect new attac
12、ks,Example:if(src_ip=dst_ip)then“land attack”,入侵检测的分类(2),按照数据来源:基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机基于网络:系统获取的数据是网络传输的数据包,保护的是网络的运行混合型,基于主机的入侵检测系统,黑客入侵的过程和阶段,Network IDS,Host IDS,Desktops,Web Servers,Telecommuters,Customers,Servers,Network,Branch Office,Partners,Host-based 入侵检测,Hacker,Host-base
13、d IDS,Host-based IDS,Internet,基于主机入侵检测系统工作原理,网络服务器1,客户端,网络服务器2,检测内容:系统调用、端口调用、系统日志、安全审记、应用日志,HIDS,HIDS,监视与分析主机的审计记录可以不运行在监控主机上能否及时采集到审计记录如何保护作为攻击目标主机审计子系统,基于主机,基于网络的入侵检测系统,在共享网段上对通信数据进行侦听采集数据 主机资源消耗少 提供对网络通用的保护如何适应高速网络环境非共享网络上如何采集数据,基于网络,黑客入侵的过程和阶段,Network IDS,Network IDS,Desktops,Web Servers,Teleco
14、mmuters,Customers,Servers,Network,Branch Office,Partners,Network-based 入侵检测,Network-based IDS,Network-based IDS,Network-based IDS,Internet,NIDS,基于网络入侵检测系统工作原理,网络服务器1,数据包=包头信息+有效数据部分,客户端,网络服务器2,检测内容:包头信息+有效数据部分,两类IDS监测软件,网络IDS侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少,主机IDS视野集中 易于用户自定义保护更加周密对网络流量不敏感,入侵检测的分类(3),按系统各
15、模块的运行方式集中式:系统的各个模块包括数据的收集分析集中在一台主机上运行分布式:系统的各个模块分布在不同的计算机和设备上,入侵检测的分类(4),根据时效性脱机分析:行为发生后,对产生的数据进行分析联机分析:在数据产生的同时或者发生改变时进行分析,常用术语,当一个入侵正在发生或者试图发生时,IDS系统将发布一个alert信息通知系统管理员如果控制台与IDS系统同在一台机器,alert信息将显示在监视器上,也可能伴随着声音提示如果是远程控制台,那么alert将通过IDS系统内置方法(通常是加密的)、SNMP(简单网络管理协议,通常不加密)、email、SMS(短信息)或者以上几种方法的混合方式传
16、递给管理员,Alert(警报),Anomaly(异常),当有某个事件与一个已知攻击的信号相匹配时,多数IDS都会告警一个基于anomaly(异常)的IDS会构造一个当时活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时,IDS就会告警有些IDS厂商将此方法看做启发式功能,但一个启发式的IDS应该在其推理判断方面具有更多的智能,首先,可以通过重新配置路由器和防火墙,拒绝那些来自同一地址的信息流;其次,通过在网络上发送reset包切断连接但是这两种方式都有问题,攻击者可以反过来利用重新配置的设备,其方法是:通过伪装成一个友方的地址来发动攻击,然后IDS就会配置路由器和防火墙来拒绝这些地
17、址,这样实际上就是对“自己人”拒绝服务了发送reset包的方法要求有一个活动的网络接口,这样它将置于攻击之下,一个补救的办法是:使活动网络接口位于防火墙内,或者使用专门的发包程序,从而避开标准IP栈需求,Automated Response,IDS的核心是攻击特征,它使IDS在事件发生时触发特征信息过短会经常触发IDS,导致误报或错报,过长则会减慢IDS的工作速度有人将IDS所支持的特征数视为IDS好坏的标准,但是有的产商用一个特征涵盖许多攻击,而有些产商则会将这些特征单独列出,这就会给人一种印象,好像它包含了更多的特征,是更好的IDS,Signatures(特征),Promiscuous(混
18、杂模式),默认状态下,IDS网络接口只能看到进出主机的信息,也就是所谓的non-promiscuous(非混杂模式)如果网络接口是混杂模式,就可以看到网段中所有的网络通信量,不管其来源或目的地这对于网络IDS是必要的,但同时可能被信息包嗅探器所利用来监控网络通信量交换型HUB可以解决这个问题,在能看到全面通信量的地方,会都许多跨越(span)端口,概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望,入侵检测相关的数学模型,试验模型(Operational Model)平均值和标准差模型(Mean and Standard Deviation Model
19、)多变量模型(Multivariate Model)马尔可夫过程模型(Markov Process Model)时序模型(Time Series Model),前提假设:若已观测到变量 X出现的次数操作某个预定的值,则就有可能出现异常的情况这个模型最适应于入侵活动与随机变量相关的方面例如:口令实效次数,试验模型(Operational Model),平均值和标准差模型(Mean and Standard Deviation Model),根据已观测到随机变量x的样值Xi(I1,2,n)以及计算出这些样值的平均值mean和标准方差stddev若新的取样值Xn+1不在可信区间 mean-d*std
20、dev,m+d*stddev 内时,则出现异常,其中d是标准偏移均值mean的参数这个模型适用于事件计数器、间隔计时器、资源计数器三种类型随机变量处理,平均值和标准差模型(Mean and Standard Deviation Model),该模型的优点在于不需要为了设定限制值而掌握正常活动的知识。相反,这个模型从观测中学习获取知识,可信区间的变动就反映出知识的增长过程另外,可信区间依赖于观测到的数据,这样对于用户正常活动定义有可能差异较大此模型可加上权重的计算,如最近取样的值的权重大些,就会更准确反映出系统的状态,多变量模型(Multivariate Model),该模型基于两个或多个随机变
21、量的相关性计算适合于利用根据多个随机变量的综合结果来识别入侵行为,而不仅仅是单个变量例如一个程序的使用CPU时间和I/O,用户注册频度,通信会话时间等多个变量来检测入侵行为,马尔可夫过程模型(Markov Process Model),该模型将离散的事件(审计记录)看作一个状态变量,然后用状态迁移矩阵刻划状态之间的迁移频度若观察到一个新事件,而根据先前的状态和迁移检测矩阵来得到新的事件的出现频率太低,则表明出现异常情况对于通过寻找某些命令之间的转移而检测出入侵行为,这个模型比较适合,时序模型(Time Series Model),该模型通过间隔计时器和资源计数器两种类型随机变量来描述入侵行为根
22、据x1,x2,xn之间的相隔时间和它们的值来判断入侵,若在某个时间内x出现的概率太高,则出现异常情况这个模型的有利于描述行为随时间变化的趋势,缺点在于计算开销大,异常入侵检测方法,统计异常检测模型,统计异常模型根据异常检测器观察主体的活动,然后产生刻划这些活动的行为轮廓每一个轮廓保存记录主体当前行为,并定时将当前轮廓与历史轮廓合并形成统计轮廓,通过比较当前轮廓与统计轮廓来判定异常行为,IDES测量参数,活动强度参数(Activity Intensity Measures):跟踪和记录某个主体在不同时间间隔内产生的审计记录数;审计记录分布参数(Audit Record Distribution
23、measures):描述最近审计记录中各种活动类型的分布情况,如某个特定用户在整个系统使用中产生的文件存取、CPU异常使用和I/O活动分布;类型测量(Categorical Measures):描述特定的活动在各种类型的分布状况。如在系统中,从各个物理位置来的远程登录相关频度,每个邮件发送者、编译器的相关使用。测量关注的是活动出现的次数多少;顺序测量(Ordinal Measures):描述活动的输出结果,以字数值来表示。如特定用户CPU和I/O使用总量 以上参数主要来自Sun OS 审计系统和安全审计包产生的审计事件,按活动类型进行分类,并定义了详细的数据结构进行描述,IDES轮廓,系统针对
24、每个主体定义一个轮廓(Profile),用于描述主体的正常行为以及一套相关的统计参数,如频率、平均值、协方差轮廓的集合形成统计知识基(The Statistical Knowledge Base),统计知识基通过定时老化(age)来更新参数,IDES轮廓,审计活动被离散为由各项轮廓参数Mi 的异常测量值Si组成的矢量,生成一个轮廓异常值:T2a1S12+a2S22+anSn2(ai为权重参数)这种模型的优点是所应用的技术方法在统计学得到了很好的研究,也具备自学习能力。但缺乏事件序列关联能力,系统容易被训练成单一点;同时运用统计技术对异常作形式化处理需要假设数据来源稳定和具有相似性,但这种假设并
25、不总是能够满足,基于特征选择异常检测方法,异常入侵检测的困难问题是在异常活动和入侵活动之间作出判断基于特征选择异常检测方法是通过从一组度量中挑选能检测出入侵的度量构成子集来准确地预测或分类已检测到的入侵,特征子集的构造要求,判断符合实际的度量是复杂的,因为合适地选择度量子集依赖于检测到的入侵类型一个度量集对所有的各种各样的入侵类型不可能是足够的,预先确定特定的度量来检测入侵可能会错过单独的特别的环境下的入侵最理想的检测入侵度量集必须动态地决策判断以获得最好的效果,特征子集的构造方法,假设与入侵潜在相关的度量有n个,则这n个度量构成子集数是2n个。由于搜索空间同度量数是指数关系,所以穷尽寻找最理
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵 检测 系统
三一办公所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
链接地址:https://www.31ppt.com/p-5468496.html