资源预览内容
第1页 / 共192页
第2页 / 共192页
第3页 / 共192页
第4页 / 共192页
第5页 / 共192页
第6页 / 共192页
第7页 / 共192页
第8页 / 共192页
第9页 / 共192页
第10页 / 共192页
亲,该文档总共192页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
入侵检测技术入侵检测技术1.概述概述2.入侵检测方法入侵检测方法3.入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.入侵检测标准化工作入侵检测标准化工作6.其它其它7.展望展望概述概述2.入侵检测方法入侵检测方法3.入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.入侵检测标准化工作入侵检测标准化工作6.其它其它7.展望展望IDS存在与发展的必然性存在与发展的必然性一、网络攻击的破坏性、损失的严重性一、网络攻击的破坏性、损失的严重性二、日益增长的网络安全威胁二、日益增长的网络安全威胁三、单纯的防火墙无法防范复杂多变的攻击三、单纯的防火墙无法防范复杂多变的攻击为什么需要为什么需要IDSn关于防火墙关于防火墙n网络边界的设备网络边界的设备n自身可以被攻破自身可以被攻破n对某些攻击保护很弱对某些攻击保护很弱n不是所有的威胁来自防火墙外部不是所有的威胁来自防火墙外部n入侵很容易入侵很容易n入侵教程随处可见入侵教程随处可见n各种工具唾手可得各种工具唾手可得网络安全工具的特点网络安全工具的特点优点优点局限性局限性防火墙防火墙可简化网络管理,产品成熟可简化网络管理,产品成熟无法处理网络内部的攻击无法处理网络内部的攻击IDS实时监控网络安全状态实时监控网络安全状态误报警,缓慢攻击,新的攻误报警,缓慢攻击,新的攻击模式击模式Scanner简单可操作,帮助系统管理简单可操作,帮助系统管理员和安全服务人员解决实际员和安全服务人员解决实际问题问题并不能真正扫描漏洞并不能真正扫描漏洞VPN保护公网上的内部通信保护公网上的内部通信可视为防火墙上的一个漏洞可视为防火墙上的一个漏洞防病毒防病毒针对文件与邮件,产品成熟针对文件与邮件,产品成熟功能单一功能单一IntrusionnIntrusion : Attempting to break into or misuse your system.nIntruders may be from outside the network or legitimate users of the network.nIntrusion can be a physical, system or remote intrusion.n传统的信息安全方法采用严格的访问控制和数传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策据加密策略来防护,但在复杂系统中,这些策略是不充分的。它们是系统安全不可缺的部分略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全但不能完全保证系统的安全n入侵检测(入侵检测(Intrusion Detection)是对入侵行是对入侵行为的发觉。它通过从计算机网络或计算机系统为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击或系统中是否有违反安全策略的行为和被攻击的迹象的迹象Intrusion Detection入侵检测的定义入侵检测的定义n对系统的运行状态进行监视,发现各种攻对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性系统资源的机密性、完整性和可用性n进行入侵检测的软件与硬件的组合便是入进行入侵检测的软件与硬件的组合便是入侵检测系统侵检测系统nIDS:IntrusionDetectionSystem入侵检测的起源(入侵检测的起源(1)n审计技术:产生、记录并检查按时间顺序排列审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程的系统事件记录的过程n审计的目标:审计的目标:n确定和保持系统活动中每个人的责任确定和保持系统活动中每个人的责任n重建事件重建事件n评估损失评估损失n监测系统的问题区监测系统的问题区n提供有效的灾难恢复提供有效的灾难恢复n阻止系统的不正当使用阻止系统的不正当使用1980年年 Anderson提出:入侵检测概念,分类方法提出:入侵检测概念,分类方法1987年年 Denning提出了一种通用的入侵检测模型提出了一种通用的入侵检测模型 独立性独立性 :系统、环境、脆弱性、入侵种类:系统、环境、脆弱性、入侵种类 系统框架系统框架:异常检测器,专家系统:异常检测器,专家系统 9090年初年初 CMDSCMDS、NetProwlerNetProwler、NetRanger NetRanger ISS RealSecure ISS RealSecure入侵检测起源(入侵检测起源(2)入侵检测的起源(入侵检测的起源(2) 1980年4月,James P. Anderson Computer Security Threat Monitoring and Surveillance (计算机安全威胁监控与监视)计算机安全威胁监控与监视)第一次详细阐述了入侵检测的概念第一次详细阐述了入侵检测的概念计算机系统威胁分类计算机系统威胁分类:外部渗透、内部渗透和不法行为外部渗透、内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想提出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开山之作这份报告被公认为是入侵检测的开山之作入侵检测的起源(入侵检测的起源(3)从从1984年到年到1986年年乔治敦大学的乔治敦大学的DorothyDenningSRI/CSL的的PeterNeumann研究出了一个实时入侵检测系统模型研究出了一个实时入侵检测系统模型IDES(入侵检测专家入侵检测专家系统)系统)入侵检测的起源(入侵检测的起源(3)入侵检测的起源(入侵检测的起源(4)1990,加州大学戴维斯分校的,加州大学戴维斯分校的L.T.Heberlein等人等人开发出了开发出了NSM(NetworkSecurityMonitor)该系统第一次直接将网络流作为审计数据来源,因而该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异可以在不将审计数据转换成统一格式的情况下监控异种主机种主机入侵检测系统发展史翻开了新的一页,两大阵营正式入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的形成:基于网络的IDS和基于主机的和基于主机的IDS入侵检测的起源(入侵检测的起源(6)IDS基本结构基本结构入侵检测系统包括三个功能部件入侵检测系统包括三个功能部件(1 1)信息收集信息收集(2 2)信息分析信息分析(3 3)结果处理)结果处理信息搜集信息搜集信息收集信息收集n入侵检测的第一步是信息收集,收集内容包括系统、入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为网络、数据及用户活动的状态和行为n需要在计算机网络系统中的若干不同关键点(不同需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息网段和不同主机)收集信息n尽可能扩大检测范围尽可能扩大检测范围n从一个源来的信息有可能看不出疑点从一个源来的信息有可能看不出疑点信息收集信息收集n入侵检测很大程度上依赖于收集信息的可靠性和入侵检测很大程度上依赖于收集信息的可靠性和正确性正确性n要保证用来检测网络系统的软件的完整性要保证用来检测网络系统的软件的完整性n特别是入侵检测系统软件本身应具有相当强的坚特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息固性,防止被篡改而收集到错误的信息信息收集的来源信息收集的来源n系统或网络的日志文件系统或网络的日志文件n网络流量网络流量n系统目录和文件的异常变化系统目录和文件的异常变化n程序执行中的异常行为程序执行中的异常行为系统或网络的日志文件系统或网络的日志文件n攻击者常在系统日志文件中留下他们的踪迹,因此,攻击者常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要充分利用系统和网络日志文件信息是检测入侵的必要条件条件n日志文件中记录了各种行为类型,每种类型又包含不日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录同的信息,例如记录“用户活动用户活动”类型的日志,就包类型的日志,就包含登录、用户含登录、用户ID改变、用户对文件的访问、授权和认改变、用户对文件的访问、授权和认证信息等内容证信息等内容n显然,对用户活动来讲,不正常的或不期望的行为就显然,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等企图访问重要文件等等系统目录和文件的异常变化系统目录和文件的异常变化n网络环境中的文件系统包含很多软件和数据文件,包网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标破坏的目标n目录和文件中的不期望的改变(包括修改、创建和删目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号是一种入侵产生的指示和信号n入侵者经常替换、修改和破坏他们获得访问权的系统入侵者经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件迹,都会尽力去替换系统程序或修改系统日志文件信息分析信息分析信息分析信息分析模式匹配模式匹配统计分析统计分析完整性分析,往往用于事后分析完整性分析,往往用于事后分析模式匹配模式匹配n模式匹配就是将收集到的信息与已知的网络入侵和系模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略统误用模式数据库进行比较,从而发现违背安全策略的行为的行为n一般来讲,一种攻击模式可以用一个过程(如执行一一般来讲,一种攻击模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该过程条指令)或一个输出(如获得权限)来表示。该过程可以很简单(如通过字符串匹配以寻找一个简单的条可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)式来表示安全状态的变化)统计分析统计分析n统计分析方法首先给系统对象(如用户、文件、目录统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)些测量属性(如访问次数、操作失败次数和延时等)n测量属性的平均值和偏差将被用来与网络、系统的行测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生为有入侵发生完整性分析完整性分析n完整性分析主要关注某个文件或对象是否被更改完整性分析主要关注某个文件或对象是否被更改n这经常包括文件和目录的内容及属性这经常包括文件和目录的内容及属性n在发现被更改的、被安装木马的应用程序方面特在发现被更改的、被安装木马的应用程序方面特别有效别有效结果处理结果处理入侵检测性能关键参数入侵检测性能关键参数n误报误报(false positive):如果系统错误地将异如果系统错误地将异常活动定义为入侵常活动定义为入侵n漏报漏报(false negative):如果系统未能检测如果系统未能检测出真正的入侵行为出真正的入侵行为入侵检测的分类(入侵检测的分类(1)n按照分析方法(检测方法)按照分析方法(检测方法)n异常检测模型异常检测模型(AnomalyDetection):首先总首先总结正常操作应该具有的特征(用户轮廓),结正常操作应该具有的特征(用户轮廓),当用当用户活动与正常行为有重大偏离时即被认为是入侵户活动与正常行为有重大偏离时即被认为是入侵n误用检测模型误用检测模型(MisuseDetection):收集非正收集非正常操作的行为特征,建立相关的特征库,常操作的行为特征,建立相关的特征库,当监测当监测的用户或系统行为与库中的记录相匹配时,系统的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵就认为这种行为是入侵异常检测模型异常检测模型1.1.前提:入侵是异常活动的子集前提:入侵是异常活动的子集 2.2.用户轮廓用户轮廓( (Profile): Profile): 通常定义为各种行为参数及其通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围阀值的集合,用于描述正常行为范围3.3.过程过程4.4. 监控监控 量化量化 比较比较 判定判定 5.5. 6.6. 修正修正4.4.指标指标: :漏报率低漏报率低, ,误报率高误报率高异常检测异常检测异常检测特点异常检测特点n异常检测系统的效率取决于用户轮廓的完备性和异常检测系统的效率取决于用户轮廓的完备性和监控的频率监控的频率n因为不需要对每种入侵行为进行定义,因此能有因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵效检测未知的入侵n系统能针对用户行为的改变进行自我调整和优化,系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更但随着检测模型的逐步精确,异常检测会消耗更多的系统资源多的系统资源AnomalyDetectionactivity measuresprobable intrusion误用检测模型误用检测模型1.1.前提:所有的入侵行为都有可被检测到的特征前提:所有的入侵行为都有可被检测到的特征 2.2.攻击特征库攻击特征库: : 当监测的用户或系统行为与库中的记录当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵相匹配时,系统就认为这种行为是入侵 3.3.过程过程4.4. 监控监控 特征提取特征提取 匹配匹配 判定判定 4.4.指标指标: :误报低、漏报高误报低、漏报高 误用检测误用检测误用检测模型误用检测模型n如如果果入入侵侵特特征征与与正正常常的的用用户户行行能能匹匹配配,则则系系统统会会发发生生误误报报;如如果果没没有有特特征征能能与与某某种种新新的的攻攻击击行行为为匹配,则系统会发生匹配,则系统会发生漏报漏报n特点:特点:采用特征匹配,滥用模式能明显降低错报采用特征匹配,滥用模式能明显降低错报率,但漏报率随之增加。攻击特征的细微变化,率,但漏报率随之增加。攻击特征的细微变化,会使得滥用检测无能为力会使得滥用检测无能为力MisuseDetectionIntrusion Patternsactivitiespattern matchingintrusionCant detect new attacksExample: if (src_ip = dst_ip) then “land attack”入侵检测的分类入侵检测的分类(2)n按照数据来源:按照数据来源:n基于主机:系统获取数据的依据是系统运行所在基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机的主机,保护的目标也是系统运行所在的主机n基于网络:系统获取的数据是网络传输的数据包,基于网络:系统获取的数据是网络传输的数据包,保护的是网络的运行保护的是网络的运行n混合型混合型基于主机的入侵检测系统基于主机的入侵检测系统v 黑客入侵的过程和阶段黑客入侵的过程和阶段Phase 3:Attack/ControlResources Passwordattacks Privilegegrabbing Trojan Horse Vandalism Audit TrailTampering Admin Changes TheftInternetInternetNetwork IDSHost IDSPhase 2:PenetratePerimeter App. Attack Spoofing Protocol exploits Denial of ServicePhase 1:Discover &Map Scanning &probingAutomatedInternetDesktopsDesktopsWebServersWebServersTelecommutersTelecommutersCustomersCustomersServersServersNetworkNetworkBranchOfficeBranchOfficePartnersPartnersHost-based Host-based 入侵入侵检测检测HackerHackerHost-basedIDSHost-basedIDSHost-basedIDSHost-basedIDSInternetInternet基于主机入侵检测系统工作原理基于主机入侵检测系统工作原理网络服务器网络服务器1客户端网络服务器网络服务器2X检测内容: 系统调用、端口调用、系统日志、安全审记、应用日志HIDSHIDSXHIDSHIDSn监视与分析主机的审计记录监视与分析主机的审计记录n可以不运行在监控主机上可以不运行在监控主机上n能否及时采集到审计记录能否及时采集到审计记录n如何保护作为攻击目标主机审计子系统如何保护作为攻击目标主机审计子系统基于主机基于主机基于网络的入侵检测系统基于网络的入侵检测系统n在共享网段上对通信数据进行侦听采集数据在共享网段上对通信数据进行侦听采集数据n主机资源消耗少主机资源消耗少n提供对网络通用的保护提供对网络通用的保护n如何适应高速网络环境如何适应高速网络环境n非共享网络上如何采集数据非共享网络上如何采集数据基于网络基于网络v 黑客入侵的过程和阶段黑客入侵的过程和阶段Phase 3:Attack/ControlResources Passwordattacks Privilegegrabbing Trojan Horse Vandalism Audit TrailTampering Admin Changes TheftInternetInternetNetwork IDSNetwork IDSPhase 2:PenetratePerimeter App. Attack Spoofing Protocol exploits Denial of ServicePhase 1:Discover &Map Scanning &probingAutomatedInternetDesktopsDesktopsWebServersWebServersTelecommutersTelecommutersCustomersCustomersServersServersNetworkNetworkBranchOfficeBranchOfficePartnersPartnersNetwork-based Network-based 入侵入侵检测检测Network-basedIDSNetwork-basedIDSNetwork-basedIDSNetwork-basedIDSNetwork-basedIDSNetwork-basedIDSInternetInternetNIDSNIDS基于网络入侵检测系统工作原理基于网络入侵检测系统工作原理网络服务器网络服务器1数据包=包头信息+有效数据部分客户端网络服务器网络服务器2X检测内容: 包头信息+有效数据部分两类两类IDS监测软件监测软件n网络网络IDSn侦测速度快侦测速度快n隐蔽性好隐蔽性好n视野更宽视野更宽n较少的监测器较少的监测器n占资源少占资源少n主机主机IDSn视野集中视野集中n易于用户自定义易于用户自定义n保护更加周密保护更加周密n对网络流量不敏感对网络流量不敏感入侵检测的分类(入侵检测的分类(3)n按按系统各模块的运行方式系统各模块的运行方式n集中式:系统的各个模块包括数据的集中式:系统的各个模块包括数据的收集分析集中在一台主机上运行收集分析集中在一台主机上运行n分布式:系统的各个模块分布在不同分布式:系统的各个模块分布在不同的计算机和设备上的计算机和设备上入侵检测的分类(入侵检测的分类(4)n根据时效性根据时效性n脱机分析:行为发生后,对产生的数脱机分析:行为发生后,对产生的数据进行分析据进行分析n联机分析:在数据产生的同时或者发联机分析:在数据产生的同时或者发生改变时进行分析生改变时进行分析常用术语常用术语n当一个入侵正在发生或者试图发生时,当一个入侵正在发生或者试图发生时,IDSIDS系统将发系统将发布一个布一个alertalert信息通知系统管理员信息通知系统管理员n如果控制台与如果控制台与IDSIDS系统同在一台机器,系统同在一台机器,alertalert信息将信息将显示在监视器上,也可能伴随着声音提示显示在监视器上,也可能伴随着声音提示n如果是远程控制台,那么如果是远程控制台,那么alertalert将通过将通过IDSIDS系统内置系统内置方法(通常是加密的)、方法(通常是加密的)、SNMPSNMP(简单网络管理协议,简单网络管理协议,通常不加密)、通常不加密)、emailemail、SMSSMS(短信息)或者以上几短信息)或者以上几种方法的混合方式传递给管理员种方法的混合方式传递给管理员Alert(警报)警报) Anomaly(异常)异常)n当有某个事件与一个已知攻击的信号相匹配时,多数当有某个事件与一个已知攻击的信号相匹配时,多数IDS都会告警都会告警n一个基于一个基于anomaly(异常)的异常)的IDS会构造一个当时活动会构造一个当时活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时,的事件发生时,IDS就会告警就会告警n有些有些IDS厂商将此方法看做启发式功能,但一个启发厂商将此方法看做启发式功能,但一个启发式的式的IDS应该在其推理判断方面具有更多的智能应该在其推理判断方面具有更多的智能n首先,可以通过重新配置路由器和防火墙,拒绝那些来首先,可以通过重新配置路由器和防火墙,拒绝那些来自同一地址的信息流自同一地址的信息流;其次,通过在网络上发送其次,通过在网络上发送reset包包切断连接切断连接n但是这两种方式都有问题,攻击者可以反过来利用重新但是这两种方式都有问题,攻击者可以反过来利用重新配置的设备,其方法是:通过伪装成一个友方的地址来配置的设备,其方法是:通过伪装成一个友方的地址来发动攻击,然后发动攻击,然后IDS就会配置路由器和防火墙来拒绝这就会配置路由器和防火墙来拒绝这些地址,这样实际上就是对些地址,这样实际上就是对“自己人自己人”拒绝服务了拒绝服务了n发送发送reset包的方法要求有一个活动的网络接口,这样它包的方法要求有一个活动的网络接口,这样它将置于攻击之下,一个补救的办法是:使活动网络接口将置于攻击之下,一个补救的办法是:使活动网络接口位于防火墙内,或者使用专门的发包程序,从而避开标位于防火墙内,或者使用专门的发包程序,从而避开标准准IP栈需求栈需求AutomatedResponsenIDS的核心是攻击特征,它使的核心是攻击特征,它使IDS在事件发生时触发在事件发生时触发n特征信息过短会经常触发特征信息过短会经常触发IDS,导致误报或错报,过长导致误报或错报,过长则会减慢则会减慢IDS的工作速度的工作速度n有人将有人将IDS所支持的特征数视为所支持的特征数视为IDS好坏的标准,但是好坏的标准,但是有的产商用一个特征涵盖许多攻击,而有些产商则会将有的产商用一个特征涵盖许多攻击,而有些产商则会将这些特征单独列出,这就会给人一种印象,好像它包含这些特征单独列出,这就会给人一种印象,好像它包含了更多的特征,是更好的了更多的特征,是更好的IDSSignatures(特征)特征)Promiscuous(混杂模式)混杂模式)n默认状态下,默认状态下,IDS网络接口只能看到进出主机的信息,网络接口只能看到进出主机的信息,也就是所谓的也就是所谓的non-promiscuous(非混杂模式)非混杂模式)n如果网络接口是混杂模式,就可以看到网段中所有的如果网络接口是混杂模式,就可以看到网段中所有的网络通信量,不管其来源或目的地网络通信量,不管其来源或目的地n这对于网络这对于网络IDS是必要的,但同时可能被信息包嗅探是必要的,但同时可能被信息包嗅探器所利用来监控网络通信量器所利用来监控网络通信量n交换型交换型HUB可以解决这个问题,在能看到全面通信量可以解决这个问题,在能看到全面通信量的地方,会都许多跨越(的地方,会都许多跨越(span)端口端口1.概述概述2.入侵检测方法入侵检测方法3.入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.入侵检测标准化工作入侵检测标准化工作6.其它其它7.展望展望入侵检测相关的数学模型入侵检测相关的数学模型 试验模型(试验模型(Operational ModelOperational Model) 平均值和标准差模型平均值和标准差模型 (Mean and Standard Deviation ModelMean and Standard Deviation Model) 多变量模型(多变量模型(Multivariate ModelMultivariate Model) 马尔可夫过程模型(马尔可夫过程模型(Markov Process ModelMarkov Process Model) 时序模型(时序模型(Time Series ModelTime Series Model)n前提假设:若已观测到变量前提假设:若已观测到变量X出现的次数操作某个预定出现的次数操作某个预定的值,则就有可能出现异常的情况的值,则就有可能出现异常的情况n这个模型最适应于入侵活动与随机变量相关的方面这个模型最适应于入侵活动与随机变量相关的方面n例如:口令实效次数例如:口令实效次数试验模型试验模型(OperationalModel)平均值和标准差模型平均值和标准差模型(MeanandStandardDeviationModel)n根据已观测到随机变量根据已观测到随机变量x的样值的样值Xi(I1,2,n)以及计算出以及计算出这些样值的平均值这些样值的平均值mean和标准方差和标准方差stddevn若新的取样值若新的取样值Xn+1不在可信区间不在可信区间mean-d*stddev,m+d*stddev内时,则出现异常,其中内时,则出现异常,其中d是标准偏移均值是标准偏移均值mean的参数的参数n这个模型适用于事件计数器、间隔计时器、资源计数器三这个模型适用于事件计数器、间隔计时器、资源计数器三种类型随机变量处理种类型随机变量处理平均值和标准差模型平均值和标准差模型(MeanandStandardDeviationModel)n该模型的优点在于不需要为了设定限制值而掌握正常活动该模型的优点在于不需要为了设定限制值而掌握正常活动的知识。相反,这个模型从观测中学习获取知识,可信区的知识。相反,这个模型从观测中学习获取知识,可信区间的变动就反映出知识的增长过程间的变动就反映出知识的增长过程n另外,可信区间依赖于观测到的数据,这样对于用户正常另外,可信区间依赖于观测到的数据,这样对于用户正常活动定义有可能差异较大活动定义有可能差异较大n此模型可加上权重的计算,如最近取样的值的权重大些,此模型可加上权重的计算,如最近取样的值的权重大些,就会更准确反映出系统的状态就会更准确反映出系统的状态多变量模型多变量模型(MultivariateModel)n该模型基于两个或多个随机变量的相关性计算该模型基于两个或多个随机变量的相关性计算n适合于利用根据多个随机变量的综合结果来识别入侵行为,适合于利用根据多个随机变量的综合结果来识别入侵行为,而不仅仅是单个变量而不仅仅是单个变量n例如一个程序的使用例如一个程序的使用CPU时间和时间和I/O,用户注册频度,通用户注册频度,通信会话时间等多个变量来检测入侵行为信会话时间等多个变量来检测入侵行为马尔可夫过程模型马尔可夫过程模型 (MarkovProcessModel)n该模型将离散的事件(审计记录)看作一个状态变量,然该模型将离散的事件(审计记录)看作一个状态变量,然后用状态迁移矩阵刻划状态之间的迁移频度后用状态迁移矩阵刻划状态之间的迁移频度n若观察到一个新事件,而根据先前的状态和迁移检测矩阵若观察到一个新事件,而根据先前的状态和迁移检测矩阵来得到新的事件的出现频率太低,则表明出现异常情况来得到新的事件的出现频率太低,则表明出现异常情况n对于通过寻找某些命令之间的转移而检测出入侵行为,这对于通过寻找某些命令之间的转移而检测出入侵行为,这个模型比较适合个模型比较适合时序模型时序模型(TimeSeriesModel)n该模型通过间隔计时器和资源计数器两种类型随机变量来该模型通过间隔计时器和资源计数器两种类型随机变量来描述入侵行为描述入侵行为n根据根据x1,x2,xn之间的相隔时间和它们的值来判断入侵,之间的相隔时间和它们的值来判断入侵,若在某个时间内若在某个时间内x出现的概率太高,则出现异常情况出现的概率太高,则出现异常情况n这个模型的有利于描述行为随时间变化的趋势,缺点在于这个模型的有利于描述行为随时间变化的趋势,缺点在于计算开销大计算开销大异常入侵检测方法异常入侵检测方法 统计异常检测统计异常检测 基于特征选择异常检测基于特征选择异常检测 基于贝叶斯推理异常检测基于贝叶斯推理异常检测 基于贝叶斯网络异常检测基于贝叶斯网络异常检测 基于模式预测异常检测基于模式预测异常检测 基于神经网络异常检测基于神经网络异常检测 基于贝叶斯聚类异常检测基于贝叶斯聚类异常检测 基于机器学习异常检测基于机器学习异常检测 基于数据挖掘异常检测基于数据挖掘异常检测统计异常检测模型统计异常检测模型n统计异常模型根据异常检测器观察主体的活动,然后统计异常模型根据异常检测器观察主体的活动,然后产生刻划这些活动的行为轮廓产生刻划这些活动的行为轮廓n每一个轮廓保存记录主体当前行为,并定时将当前轮每一个轮廓保存记录主体当前行为,并定时将当前轮廓与历史轮廓合并形成统计轮廓,通过比较当前轮廓廓与历史轮廓合并形成统计轮廓,通过比较当前轮廓与统计轮廓来判定异常行为与统计轮廓来判定异常行为IDES测量参数测量参数n活动强度参数(活动强度参数(Activity Intensity MeasuresActivity Intensity Measures):):跟踪和记录某个主体跟踪和记录某个主体在不同时间间隔内产生的审计记录数;在不同时间间隔内产生的审计记录数;n审计记录分布参数审计记录分布参数( ( Audit Record Distribution measures)Audit Record Distribution measures):描述最近描述最近审计记录中各种活动类型的分布情况,如某个特定用户在整个系统使用审计记录中各种活动类型的分布情况,如某个特定用户在整个系统使用中产生的文件存取、中产生的文件存取、CPUCPU异常使用和异常使用和I/OI/O活动分布;活动分布;n类型测量类型测量( (Categorical Measures): Categorical Measures): 描述特定的活动在各种类型的分布描述特定的活动在各种类型的分布状况。如在系统中,从各个物理位置来的远程登录相关频度,每个邮件状况。如在系统中,从各个物理位置来的远程登录相关频度,每个邮件发送者、编译器的相关使用。测量关注的是活动出现的次数多少;发送者、编译器的相关使用。测量关注的是活动出现的次数多少;n顺序测量顺序测量( ( Ordinal Measures): Ordinal Measures): 描述活动的输出结果,以字数值来表示。描述活动的输出结果,以字数值来表示。如特定用户如特定用户CPUCPU和和I/OI/O使用总量使用总量 以上参数主要来自以上参数主要来自Sun OS Sun OS 审计系统和安全审计包产生的审计事件,按活审计系统和安全审计包产生的审计事件,按活动类型进行分类,并定义了详细的数据结构进行描述动类型进行分类,并定义了详细的数据结构进行描述 IDES轮廓轮廓n系统针对每个主体定义一个轮廓系统针对每个主体定义一个轮廓( (Profile)Profile),用于描述主体的正常行为以及一套相关的统计用于描述主体的正常行为以及一套相关的统计参数,如频率、平均值、协方差参数,如频率、平均值、协方差n轮廓的集合形成统计知识基轮廓的集合形成统计知识基( (The Statistical The Statistical Knowledge Base)Knowledge Base),统计知识基通过定时老化统计知识基通过定时老化( (age)age)来更新参数来更新参数IDES轮廓轮廓n审计活动被离散为由各项轮廓参数审计活动被离散为由各项轮廓参数M Mi i 的异常测量值的异常测量值S Si i组组成的矢量,生成一个轮廓异常值:成的矢量,生成一个轮廓异常值: T T2 2a a1 1S S1 12 2 + a+ a2 2S S2 22 2 + + + a + an nS Sn n2 2 (a ai i为权重参数)为权重参数)n这种模型的优点是所应用的技术方法在统计学得到了很这种模型的优点是所应用的技术方法在统计学得到了很好的研究,也具备自学习能力。好的研究,也具备自学习能力。n但缺乏事件序列关联能力,系统容易被训练成单一点;但缺乏事件序列关联能力,系统容易被训练成单一点;同时运用统计技术对异常作形式化处理需要假设数据来同时运用统计技术对异常作形式化处理需要假设数据来源稳定和具有相似性,但这种假设并不总是能够满足源稳定和具有相似性,但这种假设并不总是能够满足基于特征选择异常检测方法基于特征选择异常检测方法 n异常入侵检测的困难问题是在异常活动和入侵活动之异常入侵检测的困难问题是在异常活动和入侵活动之间作出判断间作出判断n基于特征选择异常检测方法是通过从一组度量中挑选基于特征选择异常检测方法是通过从一组度量中挑选能检测出入侵的度量构成子集来准确地预测或分类已能检测出入侵的度量构成子集来准确地预测或分类已检测到的入侵检测到的入侵特征子集的构造要求特征子集的构造要求n判断符合实际的度量是复杂的,因为合适地选择度量判断符合实际的度量是复杂的,因为合适地选择度量子集依赖于检测到的入侵类型子集依赖于检测到的入侵类型n一个度量集对所有的各种各样的入侵类型不可能是足一个度量集对所有的各种各样的入侵类型不可能是足够的,预先确定特定的度量来检测入侵可能会错过单够的,预先确定特定的度量来检测入侵可能会错过单独的特别的环境下的入侵独的特别的环境下的入侵n最理想的检测入侵度量集必须动态地决策判断以获得最理想的检测入侵度量集必须动态地决策判断以获得最好的效果最好的效果特征子集的构造方法特征子集的构造方法n假设与入侵潜在相关的度量有假设与入侵潜在相关的度量有n n个,则这个,则这n n个度量构成个度量构成子集数是子集数是2 2n n个。由于搜索空间同度量数是指数关系,个。由于搜索空间同度量数是指数关系,所以穷尽寻找最理想的度量子集的开销不是有效的所以穷尽寻找最理想的度量子集的开销不是有效的nMaccabeMaccabe提出遗传方法来搜索整个度量子空间以寻找正提出遗传方法来搜索整个度量子空间以寻找正确的度量子集。其方法是使用学习分类器方案生成遗确的度量子集。其方法是使用学习分类器方案生成遗传交叉算子和基因突变算子,除去降低预测入侵的度传交叉算子和基因突变算子,除去降低预测入侵的度量子集,而采用遗传算子产生更强的度量子集取代量子集,而采用遗传算子产生更强的度量子集取代n这种方法采用与较高的预测度量子集相结合,允许搜这种方法采用与较高的预测度量子集相结合,允许搜索的空间大小比其它的启发式搜索技术更有效索的空间大小比其它的启发式搜索技术更有效基于神经网络异常检测方法基于神经网络异常检测方法 n基于神经网络入侵检测方法是训练神经网络连续的信基于神经网络入侵检测方法是训练神经网络连续的信息单元,信息单元指的是命令息单元,信息单元指的是命令n网络的输入层是用户当前输入的命令和已执行过的网络的输入层是用户当前输入的命令和已执行过的W个命令;用户执行过的命令被神经网络使用来预测用个命令;用户执行过的命令被神经网络使用来预测用户输入的下一个命令户输入的下一个命令n若神经网络被训练成预测用户输入命令序列集合,则若神经网络被训练成预测用户输入命令序列集合,则神经网络就构成用户的轮廓框架神经网络就构成用户的轮廓框架基于神经网络异常检测模型基于神经网络异常检测模型 基于神经网络异常检测方法基于神经网络异常检测方法 n当用这个神经网络预测不出某用户正确的后继命令,当用这个神经网络预测不出某用户正确的后继命令,即在某种程度上表明了用户行为与其轮廓框架的偏离,即在某种程度上表明了用户行为与其轮廓框架的偏离,这时有异常事件发生,以此就能进行异常入侵检测这时有异常事件发生,以此就能进行异常入侵检测误用入侵检测方法误用入侵检测方法误用入侵检测的主要假设是具有能够被精确地按某种方误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击,并可以通过捕获攻击及重新整理,确认式编码的攻击,并可以通过捕获攻击及重新整理,确认入侵活动是基于同一弱点进行攻击的入侵方法的变种入侵活动是基于同一弱点进行攻击的入侵方法的变种误用入侵检测指的是通过按预先定义好的入侵模式以及误用入侵检测指的是通过按预先定义好的入侵模式以及观察到入侵发生情况进行模式匹配来检测观察到入侵发生情况进行模式匹配来检测入侵模式说明了那些导致安全突破或其它误用的事件中入侵模式说明了那些导致安全突破或其它误用的事件中的特征、条件、排列和关系。一个不完整的模式可能表的特征、条件、排列和关系。一个不完整的模式可能表明存在入侵的企图模式构造也有多种方式明存在入侵的企图模式构造也有多种方式 基于条件概率误用检测基于条件概率误用检测 基于专家系统误用检测基于专家系统误用检测 基于状态迁移误用检测基于状态迁移误用检测 基于键盘监控误用检测基于键盘监控误用检测 基于模型误用检测基于模型误用检测误用入侵检测方法误用入侵检测方法基于条件概率误用入侵检测方法基于条件概率误用入侵检测方法 将将入入侵侵方方式式对对应应于于一一个个事事件件序序列列,然然后后通通过过观观测测到到事事件发生情况来推测入侵出现件发生情况来推测入侵出现这这种种方方法法的的依依据据是是外外部部事事件件序序列列,根根据据贝贝叶叶斯斯定定理理进进行推理检测入侵行推理检测入侵基于条件概率误用入侵检测方法基于条件概率误用入侵检测方法 令令ESES表表示示事事件件序序列列,先先验验概概率率为为P P(IntrusionIntrusion),后后验验概概率率为为P P(ES ES | | IntrusionIntrusion),事事件件出出现现的的概概率率为为 P P(ESES),),则则通通常常网网络络安安全全专专家家可可以以给给出出先先验验概概率率 P P(IntrusionIntrusion),对对 入入 侵侵 报报 告告 数数 据据 进进 行行 统统 计计 处处 理理 得得 出出 P(ES P(ES | | Intrusion)Intrusion)和和 P(ES | Intrusion)P(ES | Intrusion),于是可以计算出:于是可以计算出:基于专家系统误用入侵检测方法基于专家系统误用入侵检测方法通通过过将将安安全全专专家家的的知知识识表表示示成成 IF-THENIF-THEN规规则则形形成成专专家家知知识识库库,然然后后,运运用用推推理理算算法法进进行行检检测测入侵入侵SnappSnapp和和SmahaSmaha给给出出了了在在入入侵侵检检测测中中使使用用这这样样的的系统的实例系统的实例CLIPSCLIPSCLIPS在在CLIPSCLIPS中中,将将入入侵侵知知识识进进行行编编码码表表示示成成IFIFTHENTHEN蕴蕴含规则以及根据相应的审计跟踪事件的断言事实含规则以及根据相应的审计跟踪事件的断言事实编编码码规规则则说说明明攻攻击击的的必必需需条条件件作作为为IFIF的的组组成成部部分分。当当规规则则的的左左边边的的全全部部条条件件都都满满足足时时,规规则则的的右右边边的的动动作作才会执行才会执行入入侵侵检检测测专专家家系系统统应应用用的的实实际际问问题题是是要要处处理理大大量量的的数数据据和和依依赖赖于于审审计计跟跟踪踪的的次次序序,其其推推理理方方式式主主要要有有以以下下两种两种推理方式推理方式1.1.根根据据给给定定的的数数据据,应应用用符符号号推推理理出出入入侵侵的的发发生生情情况况。需需要要解解决决的的主主要要问问题题是是处处理理序序列列数数据据和和知知识识库的维护。不足之处就是只能检测已知弱点库的维护。不足之处就是只能检测已知弱点2.2.根根据据其其它它的的入入侵侵证证据据,进进行行不不确确定定性性推推理理。这这种种推推理理的的局局限限性性就就是是推推理理证证据据的的不不精精确确和和专专家家知知识识的不精确的不精确基于条件概率误用入侵检测方法基于条件概率误用入侵检测方法 故故可可以以通通过过事事件件序序列列的的观观测测,从从而而推推算算出出 P P(Intrusion Intrusion | | ESES)。基基于于条条件件概概率率误误用用入入侵侵检检测测方方法法是是在在概概率率理理论论基基础础上上的的一一个个普普遍遍的的方方法法。它它是是对对贝贝叶叶斯斯方方法法的的改改进进,其其缺缺点点就就是是先先验验概概率率难难以以给给出出,而而且且事事件件的的独独立立性性难难以以满满足足基于键盘监控误用入侵检测方法基于键盘监控误用入侵检测方法基基于于键键盘盘监监控控误误用用入入侵侵检检测测方方法法假假设设入入侵侵对对应应特特定定的的击击键键序序列列模模式式,然然后后监监测测用用户户击击键键模模式式,并并将将这这一一模模式与入侵模式匹配,以此就能式与入侵模式匹配,以此就能检测检测入侵入侵这这种种方方法法的的不不利利之之处处是是在在没没有有操操作作系系统统支支持持的的情情况况下下,缺缺少少捕捕获获用用户户击击键键的的可可靠靠方方法法,存存在在无无数数击击键键方方式式表表示示同同一一种种攻攻击击。而而且且,没没有有击击键键语语义义分分析析,用用户户提提供供别别名(例如名(例如 KornKorn shell shell)很容易欺很容易欺骗这骗这种技种技术术用用户户注注册册的的shellshell提提供供命命令令序序列列简简写写工工具具,这这就就是是所所谓谓的的别别名名,类类似似宏宏定定义义。因因为为这这种种技技术术仅仅仅仅分分析析击击键键,所以不能所以不能够检测够检测到到恶恶意程序意程序执执行行结结果的自果的自动动攻攻击击 其它其它 基于生物免疫检测基于生物免疫检测 基于伪装检测基于伪装检测基于生物免疫的入侵检测基于生物免疫的入侵检测基基于于生生理理免免疫疫系系统统和和计计算算机机系系统统保保护护机机制制之之间间显显著著的的相相似似性性,New New MexicoMexico大大学学的的学学者者Steven Steven AndrewAndrew HofmeyrHofmeyr提提出出了了对对计计算算机机安安全全的的全全新新看看法法,即即自自免免疫疫系系统统。这这种种系系统统具具备备执执行行“自自我我/ /非非自自我我”决决定定的的能能力力,在在参参照照大大量量的的目目标标数数据据基基础础上上,系系统统选选取取短短顺顺序序的的系系统统调调用用,忽忽略略传传递递调调用用的的参参数数,而而仅仅观观察察其其临临时时顺顺序序来来决决定定行行为为的的异异常常性性系系统统分分两两个个阶阶段段来来对对入入侵侵进进行行分分析析处处理理。第第一一个个阶阶段段建建立立一一个个形形成成正正常常行行为为轮轮廓廓的的知知识识库库,这这里里描描述述的的行行为为以以系系统统处处理理为为中中心心,因因此此这这种种轮轮廓廓有有别别于于传传统统的的其其他他特特征征轮轮廓廓。与与这这个个特特征征轮轮廓廓的的偏偏差差被被定定义义为为异异常常。在在检检测测的的第二阶段,特征轮廓用于监控随后的异常系统行为第二阶段,特征轮廓用于监控随后的异常系统行为基于伪装的入侵检测基于伪装的入侵检测基基于于伪伪装装的的入入侵侵检检测测通通过过构构造造一一些些虚虚假假的的信信息息提提供供给给入入侵侵者者,如如果果入入侵侵者者使使用用这这些些信信息息攻攻击击系系统统,那那么么就就可可以以推推断断系系统统正正在在遭遭受受入入侵侵,并并且且还还可可以以诱惑入侵者,进一步跟踪入侵的来源诱惑入侵者,进一步跟踪入侵的来源 1.概述概述2.入侵检测方法入侵检测方法入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.入侵检测标准化工作入侵检测标准化工作6.其它其它7.展望展望活动数据源感应器分析器管理器操作员管理员事件警报通告应急安全策略安全策略入侵检测系统原理图入侵检测系统原理图攻击模式库入侵检测器应急措施配置系统库数据采集安全控制系统审计记录/协议数据等系统操作简单的入侵检测示意图简单的入侵检测示意图基于主机的入侵检测系统基于主机的入侵检测系统n系统分析主机产生的数据(应用程系统分析主机产生的数据(应用程序及操作系统的事件日志)序及操作系统的事件日志)n由于内部人员的威胁正变得更重要由于内部人员的威胁正变得更重要n基于主机的检测威胁基于主机的检测威胁n基于主机的结构基于主机的结构n优点及问题优点及问题基于主机的检测威胁基于主机的检测威胁n特权滥用特权滥用n关键数据的访问及修改关键数据的访问及修改n安全配置的变化安全配置的变化基于主机的入侵检测系统结构基于主机的入侵检测系统结构n基于主机的入侵检测系统通常是基基于主机的入侵检测系统通常是基于代理的,代理是运行在目标系统于代理的,代理是运行在目标系统上的可执行程序,与中央控制计算上的可执行程序,与中央控制计算机通信机通信n集中式:原始数据在分析之前要先发集中式:原始数据在分析之前要先发送到中央位置送到中央位置n分布式:原始数据在目标系统上实时分布式:原始数据在目标系统上实时分析,只有告警命令被发送给控制台分析,只有告警命令被发送给控制台目标系统审计记录收集方法审计记录预处理异常检测误用检测安全管理员接口审计记录数据归档/查询审计记录数据库审计记录基于审计的入侵检测系统结构示意图基于审计的入侵检测系统结构示意图集中式检测的优缺点集中式检测的优缺点n优点:优点:n不会降低目标机的性能不会降低目标机的性能n统计行为信息统计行为信息n多主机标志、用于支持起诉的原始数据多主机标志、用于支持起诉的原始数据n缺点:缺点:n不能进行实时检测不能进行实时检测n不能实时响应不能实时响应n影响网络通信量影响网络通信量分布式检测的优缺点分布式检测的优缺点n优点:优点:n实时告警实时告警n实时响应实时响应n缺点:缺点:n降低目标机的性能降低目标机的性能n没有统计行为信息没有统计行为信息n没有多主机标志没有多主机标志n没有用于支持起诉的原始数据没有用于支持起诉的原始数据n降低了数据的辨析能力降低了数据的辨析能力n系统离线时不能分析数据系统离线时不能分析数据操作模式操作模式n操作主机入侵检测系统的方式操作主机入侵检测系统的方式n警告警告n监视监视n毁坏情况评估毁坏情况评估n遵从遵从性性基于主机的技术面临的问题基于主机的技术面临的问题n性能:降低是不可避免的n部署/维护n损害n欺骗基于网络的入侵检测系统基于网络的入侵检测系统n入侵检测系统分析网络数据包入侵检测系统分析网络数据包n基于网络的检测威胁基于网络的检测威胁n基于网络的结构基于网络的结构n优点及问题优点及问题基于网络的检测威胁基于网络的检测威胁n非非授权访问授权访问n数据数据/资源的窃取资源的窃取n拒绝服务拒绝服务基于网络的入侵检测系统结构基于网络的入侵检测系统结构n基于网络的入侵检测系统由遍及网络的基于网络的入侵检测系统由遍及网络的传感器(传感器(Sensor)组成,传感器会向中组成,传感器会向中央控制台报告。传感器通常是独立的检央控制台报告。传感器通常是独立的检测引擎,能获得网络分组、找寻误用模测引擎,能获得网络分组、找寻误用模式,然后告警。式,然后告警。n传统的基于传感器的结构传统的基于传感器的结构n分布式网络节点结构分布式网络节点结构传统的基于传感器的结构传统的基于传感器的结构n传感器(通常设置为混杂模式)用传感器(通常设置为混杂模式)用于嗅探网络上的数据分组,并将分于嗅探网络上的数据分组,并将分组送往检测引擎组送往检测引擎n检测引擎安装在传感器计算机本身检测引擎安装在传感器计算机本身n网络分接器分布在关键任务网段上,网络分接器分布在关键任务网段上,每个网段一个每个网段一个管理/配置入侵分析引擎器网络安全数据库嗅探器嗅探器分析结果基于网络的入侵检测系统模型基于网络的入侵检测系统模型分布式网络节点结构分布式网络节点结构n为为解决高速网络上的丢包问题解决高速网络上的丢包问题,1999年年6月,出现的一种新的结构,将传感器分布到月,出现的一种新的结构,将传感器分布到网络上的每台计算机上网络上的每台计算机上n每个传感器检查流经他的网络分组,然后传每个传感器检查流经他的网络分组,然后传感器相互通信,主控制台将所有的告警聚集、感器相互通信,主控制台将所有的告警聚集、关联起来关联起来数据采集构件应急处理构件通信传输构件检测分析构件管理构件安全知识库分布式入侵检测系统结构示意图分布式入侵检测系统结构示意图基于网络的入侵检测的好处基于网络的入侵检测的好处n威慑外部人员n检测n自动响应及报告基于网络的技术面临的问题基于网络的技术面临的问题n分组重组n高速网络n加密基于异常的入侵检测基于异常的入侵检测n思想:任何正常人的行为有一定的规律思想:任何正常人的行为有一定的规律n需要考虑的问题:需要考虑的问题:(1)选择哪些数据来表现用户的行为)选择哪些数据来表现用户的行为(2)通过以上数据如何有效地表示用户的行为,)通过以上数据如何有效地表示用户的行为,主要在于学习和检测方法的不同主要在于学习和检测方法的不同(3)考虑学习过程的时间长短、用户行为的时)考虑学习过程的时间长短、用户行为的时效性等问题效性等问题数据选取的原则数据选取的原则(1)数据能充分反映用户行为特征的全貌数据能充分反映用户行为特征的全貌(2)应使需要的数据量最小应使需要的数据量最小(3)数据提取难度不应太数据提取难度不应太大大NIDS抓包抓包nPF_PACKETn从链路层抓包nlibpcapn提供API函数nwinpcapnWindows下的抓包库分析数据包分析数据包EthernetIPTCP模式匹配EthernetIPTCP协议分析HTTPUnicodeXML模式匹配模式匹配 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.M.E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:.P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 64754745 5420 2f70 726f 6475 .GET /GET /produ produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 ctscts/wireless/wireless/ima ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 gesges/home_collage /home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1. 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1. 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*.Ref 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*.Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erererer: http:/www : http:/www 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 . 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 .ameritechameritech.com/p .com/p a0 726f 6475 6374 732f 7769 7265 6c65 7373 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roductsroducts/wireless /wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzipgzip, deflate. , deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat compat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ibleible; MSIE 5.01; ; MSIE 5.01; 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: www.amerwww.amer 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 itech.com.Conneitech.com.Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ctionction: Keep-: Keep-AlivAliv 160 650d 0a0d 0a e. 160 650d 0a0d 0a e. 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.M.E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:.P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 6475 .GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765686f 6d65 5f63 6f6c 6c61 6765 ges/home_collagehome_collage 60 322e 6a70 6720322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg2.jpg HTTP/1.1. 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*.Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: http:/www 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 .ameritech.com/p a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible; MSIE 5.01; 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: www.amer 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 itech.com.Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: Keep-Aliv 160 650d 0a0d 0a e.协议分析协议分析一个攻击检测实例一个攻击检测实例n老版本的Sendmail漏洞利用$ telnet mail.victim.com 25WIZshell或者DEBUG# 直接获得rootshell!简单的匹配简单的匹配n检查每个packet是否包含:“WIZ”| “DEBUG”检查端口号检查端口号n缩小匹配范围 Port 25:“WIZ”| “DEBUG” 深入决策深入决策树树n只判断客户端发送部分 Port 25:Client-sends: “WIZ” |Client-sends: “DEBUG” 1.概述概述2.入侵检测方法入侵检测方法3.入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.入侵检测标准化工作入侵检测标准化工作6.其它其它7.展望展望制订响应策略应考虑的要素制订响应策略应考虑的要素n系统用户:入侵检测系统用户可以分为网络安全专家或系统用户:入侵检测系统用户可以分为网络安全专家或管理员、系统管理员、安全调查员。这三类人员对系统管理员、系统管理员、安全调查员。这三类人员对系统的使用目的、方式和熟悉程度不同,必须区别对待的使用目的、方式和熟悉程度不同,必须区别对待n操作运行环境:入侵检测系统提供的信息形式依赖其运操作运行环境:入侵检测系统提供的信息形式依赖其运行环境行环境n系统目标:为用户提供关键数据和业务的系统,需要部系统目标:为用户提供关键数据和业务的系统,需要部分地提供主动响应机制分地提供主动响应机制n规则或法令的需求:在某些军事环境里,允许采取主动规则或法令的需求:在某些军事环境里,允许采取主动防御甚至攻击技术来对付入侵行为防御甚至攻击技术来对付入侵行为响应策略响应策略n弹出窗口报警nE-mail通知n切断TCP连接n执行自定义程序n与其他安全产品交互nFirewallnSNMP Trapv压制调速压制调速 1 1、 撤消连接撤消连接 2 2、 回避回避 3 3、 隔离隔离 vSYN/ACKSYN/ACKvRESETsRESETs自动响应自动响应 一个高级的网络节点在使用一个高级的网络节点在使用“压制调速压制调速”技术的情技术的情况下,可以采用路由器把攻击者引导到一个经过特殊装况下,可以采用路由器把攻击者引导到一个经过特殊装备的系统上,这种系统被成为蜜罐备的系统上,这种系统被成为蜜罐 蜜罐是一种欺骗手段,它可以用于错误地诱导攻击蜜罐是一种欺骗手段,它可以用于错误地诱导攻击者,也可以用于收集攻击信息,以改进防御能力者,也可以用于收集攻击信息,以改进防御能力 蜜罐能采集的信息量由自身能提供的手段以及攻击蜜罐能采集的信息量由自身能提供的手段以及攻击行为数量决定行为数量决定蜜罐蜜罐BOF:BOF: NFRWindowspecterpecter是商业产品,运行在是商业产品,运行在WindowsWindows平台上平台上Deception Deception ToolkitToolkit:DTKDTK是是一一个个状状态态机机,实实际际上上它它能能虚虚拟拟任任何何服服务务,并并可可方方便便地地利利用用其其中中的的功功能能直直接接模模仿仿许许多服务程序多服务程序 Mantrap Mantrap : : Recourse最最多多达达四四种种操操作作系系统统运运行行在在Solaris平台平台 HoneynetsHoneynets : : 它它是是一一个个专专门门设设计计来来让让人人“攻攻陷陷”的的网网络络,一一旦旦被被入入侵侵者者所所攻攻破破,入入侵侵者者的的一一切切信信息息、工工具具等等都将被用来分析学习都将被用来分析学习主动攻击模型主动攻击模型1.概述概述2.入侵检测方法入侵检测方法3.入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.入侵检测标准化工作入侵检测标准化工作6.其它其它7.展望展望IDS标准化要求标准化要求n随着网络规模的扩大,网络入侵的方式、类型、特征各不随着网络规模的扩大,网络入侵的方式、类型、特征各不相同,入侵的活动变得复杂而又难以捉摸相同,入侵的活动变得复杂而又难以捉摸n某些入侵的活动靠单一某些入侵的活动靠单一IDS不能检测出来,如分布式攻击不能检测出来,如分布式攻击n网络管理员常因缺少证据而无法追踪入侵者,入侵者仍然网络管理员常因缺少证据而无法追踪入侵者,入侵者仍然可以进行非法的活动可以进行非法的活动n不同的不同的IDS之间没有协作,结果造成缺少某种入侵模式而之间没有协作,结果造成缺少某种入侵模式而导致导致IDS不能发现新的入侵活动不能发现新的入侵活动n目前网络的安全也要求目前网络的安全也要求IDS能够与访问控制、应急、入侵能够与访问控制、应急、入侵追踪等系统交换信息,相互协作,形成一个整体有效的安追踪等系统交换信息,相互协作,形成一个整体有效的安全保障系统全保障系统IDS标准化要求标准化要求n然而,要达到这些要求,需要一个标准来加以然而,要达到这些要求,需要一个标准来加以指导,系统之间要有一个约定,如数据交换的指导,系统之间要有一个约定,如数据交换的格式、协作方式等格式、协作方式等n基于上述的因素考虑,国际上的一些研究组织基于上述的因素考虑,国际上的一些研究组织开展这方面的研究工作开展这方面的研究工作CIDF(The Common Intrusion Detection Framework)http:/www.gidos.org/draftsCIDFnCIDFCIDF早期由美国国防部高级研究计划局赞助研究,现在由早期由美国国防部高级研究计划局赞助研究,现在由CIDFCIDF工作组负责,这是一个开放组织。实际上工作组负责,这是一个开放组织。实际上CIDFCIDF已经成已经成为一个开放的共享的资源为一个开放的共享的资源nCIDFCIDF是一套规范,它定义了是一套规范,它定义了IDSIDS表达检测信息的标准语言以表达检测信息的标准语言以及及IDSIDS组件之间的通信协议组件之间的通信协议n符合符合CIDFCIDF规范的规范的IDSIDS可以共享检测信息,相互通信,协同工可以共享检测信息,相互通信,协同工作,还可以与其它系统配合实施统一的配置响应和恢复策作,还可以与其它系统配合实施统一的配置响应和恢复策略略nCIDFCIDF的主要作用在于集成各种的主要作用在于集成各种IDSIDS使之协同工作,实现各使之协同工作,实现各IDSIDS之间的组件重用,所以之间的组件重用,所以CIDFCIDF也是构建分布式也是构建分布式IDSIDS的基础的基础CIDF规格文档规格文档 CIDFCIDF的规格文档由四部分组成,分别为:的规格文档由四部分组成,分别为:n体系结构:阐述了一个标准的体系结构:阐述了一个标准的IDSIDS的通用模型的通用模型n规范语言:定义了一个用来描述各种检测信息的标准语言规范语言:定义了一个用来描述各种检测信息的标准语言n内部通讯:定义了内部通讯:定义了IDSIDS组件之间进行通信的标准协议组件之间进行通信的标准协议n程序接口:提供了一整套标准的应用程序接口程序接口:提供了一整套标准的应用程序接口CIDF规格文档规格文档nCIDFCIDF将将IDSIDS需要分析的数据统称为事件(需要分析的数据统称为事件(eventevent),),它可以是它可以是基于网络的基于网络的IDSIDS从网络中提取的数据包,也可以是基于主机的从网络中提取的数据包,也可以是基于主机的IDSIDS从系统日志等其它途径得到的数据信息从系统日志等其它途径得到的数据信息nCIDFCIDF组件之间是以通用入侵检测对象(组件之间是以通用入侵检测对象(generalized generalized intrusion detection objectsintrusion detection objects,以下简称为以下简称为GIDOGIDO)的形式交的形式交换数据的,一个换数据的,一个GIDOGIDO可以表示在一些特定时刻发生的一些特可以表示在一些特定时刻发生的一些特定事件,也可以表示从一系列事件中得出的一些结论,还可定事件,也可以表示从一系列事件中得出的一些结论,还可以表示执行某个行动的指令以表示执行某个行动的指令 Componentsq事件产生器(Event generators) q事件分析器(Event analyzers)q事件数据库(Event databases)q响应单元(Response units)ComponentsnCIDFCIDF中的事件产生器负责从整个计算环境中获取事中的事件产生器负责从整个计算环境中获取事件,但它并不处理这些事件,而是将事件转化为件,但它并不处理这些事件,而是将事件转化为GIDOGIDO标准格式提交给其它组件使用,显然事件产生标准格式提交给其它组件使用,显然事件产生器是所有器是所有IDSIDS所需要的,同时也是可以重用的所需要的,同时也是可以重用的nCIDFCIDF中的事件分析器接收中的事件分析器接收GIDOGIDO,分析它们,然后以分析它们,然后以一个新的一个新的GIDOGIDO形式返回分析结果形式返回分析结果ComponentsnCIDFCIDF中的事件数据库负责中的事件数据库负责GIDOGIDO的存贮,它可以是复的存贮,它可以是复杂的数据库,也可以是简单的文本文件杂的数据库,也可以是简单的文本文件nCIDFCIDF中的响应单元根据中的响应单元根据GIDOGIDO做出反应,它可以是终做出反应,它可以是终止进程、切断连接、改变文件属性,也可以只是简止进程、切断连接、改变文件属性,也可以只是简单的报警单的报警通信层次通信层次nCIDFCIDF将各组件之间的通信划分为三个层次结构:将各组件之间的通信划分为三个层次结构:GIDOGIDO层(层(GIDO GIDO layerlayer)、)、消息层(消息层(Message layerMessage layer)和传输层(和传输层(Negotiated Negotiated Transport layerTransport layer)n其中传输层不属于其中传输层不属于CIDFCIDF规范,它可以采用很多种现有的传输机制来规范,它可以采用很多种现有的传输机制来实现实现n消息层负责对传输的信息进行加密认证,然后将其可靠地从源传输消息层负责对传输的信息进行加密认证,然后将其可靠地从源传输到目的地,消息层不关心传输的内容,它只负责建立一个可靠的传到目的地,消息层不关心传输的内容,它只负责建立一个可靠的传输通道输通道nGIDOGIDO层负责对传输信息的格式化,正是因为有了层负责对传输信息的格式化,正是因为有了GIDOGIDO这种统一的信这种统一的信息表达格式,才使得各个息表达格式,才使得各个IDSIDS之间的互操作成为可能之间的互操作成为可能CISLCISL(A Common Intrusion Specification Language )(A Common Intrusion Specification Language )nCIDFCIDF的规范语言文档定义了一个公共入侵标准语言的规范语言文档定义了一个公共入侵标准语言CISLCISL,各各IDSIDS使用统一的使用统一的CISLCISL来表示原始事件信息、来表示原始事件信息、分析结果和响应指令,从而建立了分析结果和响应指令,从而建立了IDSIDS之间信息共享之间信息共享的基础的基础nCISLCISL是是CIDFCIDF的最核心也是最重要的内容的最核心也是最重要的内容CISLCISLnCISLCISL使用了一种类似使用了一种类似LispLisp语言的语言的S S表达式,它的基本单位表达式,它的基本单位由语义标志符(由语义标志符(SemanticSemantic IDentifiers IDentifiers,以下简称以下简称为为SIDSID)、)、数据和圆括号组成。例如:数据和圆括号组成。例如: ( (HostNameHostName first.example.com) first.example.com)n其中其中HostNameHostName为为SIDSID,表示后面的数据是一个主机名,表示后面的数据是一个主机名, first.example.comfirst.example.com为数据,括号将两者关联为数据,括号将两者关联n多个多个S S表达式的基本单位递归组合在一起,构成整个表达式的基本单位递归组合在一起,构成整个CISLCISL的的S S表达式。在表达式。在CISLCISL中,所有信息(原始事件、分析结果、中,所有信息(原始事件、分析结果、响应指令等)均是用这种响应指令等)均是用这种S S表达式来表示的表达式来表示的CISLCISLn表示用户名为表示用户名为joejoe的用户在的用户在19981998年年6 6月月1414日日1616点点4040分分3232秒删除了主机名为秒删除了主机名为first.example.comfirst.example.com的主机的主机上的文件上的文件/ /etc/etc/passwdpasswd。n这是一个事件描述,其中的这是一个事件描述,其中的DeleteDelete、ContextContext、HostNameHostName、TimeTime等均为等均为SIDSIDCISLCISLSIDSID在在CISLCISL中,中,SIDSID分为七类,分别为:分为七类,分别为: n动词动词SIDSID,表动作,如表动作,如DeleteDelete、OpenApplicationSessionOpenApplicationSessionn角色角色SIDSID,表产生动作的主体,如表产生动作的主体,如InitiatorInitiator、FileDestinationFileDestinationn副词副词SIDSID,表动作的地点或时间,如表动作的地点或时间,如OutcomeOutcome、WhenWhenn属性属性SIDSID,表产生动作主体的属性,如表产生动作主体的属性,如OwnerOwnern原子原子SIDSID,表最基本的表最基本的SIDSID,如如UserNameUserName、TimeTimen指示指示SIDSID,表示组合同一句子的两个或多个部分,如表示组合同一句子的两个或多个部分,如ReferToReferTo、ReferAsReferAsn关联关联SIDSID,表句子之间的联系,如表句子之间的联系,如AndAndCISLCISLSIDSIDn这些这些SIDSID、S S表达式以及表达式以及S S表达式的组合、递归、嵌套等构表达式的组合、递归、嵌套等构成了成了CISLCISL的全部表达能力,也即的全部表达能力,也即CISLCISL本身本身n在计算机内部处理在计算机内部处理CISLCISL时,为节省存储空间提高运行效率,时,为节省存储空间提高运行效率,必须对必须对ASCIIASCII形式的形式的S S表达式进行编码,将其转换为二进制表达式进行编码,将其转换为二进制字节流的形式,编码后的字节流的形式,编码后的S S表达式就是表达式就是GIDOGIDOnGIDOGIDO是是S S表达式的二进制形式,是表达式的二进制形式,是CIDFCIDF各组件统一的信各组件统一的信息表达格式,也是组件之间信息数据交换的统一形式息表达格式,也是组件之间信息数据交换的统一形式n在在CISLCISL中还对中还对GIDOGIDO的动态追加,多个的动态追加,多个GIDOGIDO的组合,以的组合,以及及GIDOGIDO的头结构等进行了定义的头结构等进行了定义CIDFCIDF内部通信内部通信CIDFCIDF的内部通信文档描述了两种的内部通信文档描述了两种CIDFCIDF组件之间通信的机制组件之间通信的机制n匹配服务(匹配服务(Matchmaking ServiceMatchmaking Service)法法n消息层(消息层(Message LayerMessage Layer)法法匹配服务法(匹配器)匹配服务法(匹配器)nCIDFCIDF的匹配服务为的匹配服务为CIDFCIDF各组件之间的相互识别、定位和各组件之间的相互识别、定位和信息共享提供了一个标准的统一的机制信息共享提供了一个标准的统一的机制n匹配器的实现是基于轻量目录访问协议(匹配器的实现是基于轻量目录访问协议(LDAPLDAP)的,每的,每个组件通过目录服务注册,并公告它能够产生或能够处理个组件通过目录服务注册,并公告它能够产生或能够处理的的GIDOGIDO,这样组件就被分类存放,其它组件就可以方便这样组件就被分类存放,其它组件就可以方便地查找到那些它们需要通信的组件地查找到那些它们需要通信的组件n目录中还可以存放组件的公共密钥,从而实现对组件接收目录中还可以存放组件的公共密钥,从而实现对组件接收和发送和发送GIDOGIDO时的身份认证时的身份认证匹配器构成匹配器构成n通信模块:实现客户端(可为任何一个通信模块:实现客户端(可为任何一个CIDFCIDF组件)与匹配代组件)与匹配代理之间的通信协议理之间的通信协议n匹配代理:一个任务是处理从远端组件到它的客户端的输入匹配代理:一个任务是处理从远端组件到它的客户端的输入请求,另一个任务是处理从它的客户端到远端组件的输出请请求,另一个任务是处理从它的客户端到远端组件的输出请求求n认证和授权模块:使一个组件能够鉴别其它组件,使客户端认证和授权模块:使一个组件能够鉴别其它组件,使客户端与匹配代理之间能够相互鉴别与匹配代理之间能够相互鉴别n 客户端缓冲区:使客户端能够对最近建立的一些关联信息进客户端缓冲区:使客户端能够对最近建立的一些关联信息进行缓冲存储行缓冲存储CIDFCIDF程序接口程序接口 CIDF CIDF的程序接口文档描述了用于的程序接口文档描述了用于GIDOGIDO编解码以及传输的标准编解码以及传输的标准应用程序接口(以下简称为应用程序接口(以下简称为APIAPI),),它包括以下几部分内容它包括以下几部分内容nGIDOGIDO编码和解码编码和解码APIAPI(GIDO Encoding/Decoding API GIDO Encoding/Decoding API SpecificationSpecification)n 消息层消息层APIAPI(Message Layer API SpecificationMessage Layer API Specification)n GIDO GIDO动态追加动态追加APIAPI(GIDO Addendum APIGIDO Addendum API) n签名签名APIAPI(Signature APISignature API) n顶层顶层CIDFCIDF的的APIAPI(Top-Level CIDF APITop-Level CIDF API) 每类每类APIAPI均包含数据结构定义、函数定义和错误代码定义等均包含数据结构定义、函数定义和错误代码定义等CIDFCIDF的应用的应用n目前目前CIDFCIDF还没有成为正式的标准,也没有一个商业还没有成为正式的标准,也没有一个商业IDSIDS产品完产品完全遵循该规范,但各种全遵循该规范,但各种IDSIDS的结构模型具有很大的相似性,各的结构模型具有很大的相似性,各厂商都在按照厂商都在按照CIDFCIDF进行信息交换的标准化工作,有些产品已进行信息交换的标准化工作,有些产品已经可以部分地支持经可以部分地支持CIDFCIDFn可以预测,随着分布式可以预测,随着分布式IDSIDS的发展,各种的发展,各种IDSIDS互操作和协同工互操作和协同工作的迫切需要,各种作的迫切需要,各种IDSIDS必须遵循统一的框架结构,必须遵循统一的框架结构,CIDFCIDF将成将成为事实上的为事实上的IDSIDS的工业标准的工业标准OPSEC(Open Platform for Security)nAn open, industry-wide initiative which enables customers to deploy multi-vendor security solutions unified by a single management framework. nDeveloped by Check Point Software Technologies, it has become the de facto industry standard platform for achieving true enterprise-wide security integration at the policy level. nThe OPSEC architecture allows customers to build the secure network that meets their specific business needs. nCustomers can choose from over 200 best-of-breed products, from routers, switches, servers, gateways and VPN devices, to anti-virus, intrusion detection, URL filtering, high availability and other security and reporting applications. nThey can also sign up with Managed Service Providers whose offerings are based on Check Point and OPSEC solutions. 1.概述概述2.入侵检测方法入侵检测方法3.入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.入侵检测标准化工作入侵检测标准化工作*其它其它7.展望展望IDS现状现状1.基于主机和基于网络的入侵检测系统采集、分析的数基于主机和基于网络的入侵检测系统采集、分析的数据不全面据不全面2.入侵检测由各个检测引擎独立完成,中心管理控制平入侵检测由各个检测引擎独立完成,中心管理控制平台并不具备检测入侵的功能,缺乏综合分析台并不具备检测入侵的功能,缺乏综合分析3.在响应上,除了日志和告警,检测引擎只能通过发送在响应上,除了日志和告警,检测引擎只能通过发送RST包切断网络连接,或向攻击源发送目标不可达信包切断网络连接,或向攻击源发送目标不可达信息来实现安全控制息来实现安全控制协同协同协同协同1.目前目前IDS实现的功能是相对初级的实现的功能是相对初级的2.IDS也需要充分利用数据信息的相关性也需要充分利用数据信息的相关性3.IDS作为网络安全整体解决方案的重要部分,与作为网络安全整体解决方案的重要部分,与其他安全设备之间应该有着紧密的联系其他安全设备之间应该有着紧密的联系4.IDS需要一种新的系统体系来克服自身的不足,需要一种新的系统体系来克服自身的不足,并将并将IDS的各个功能模块与其他安全产品有机地的各个功能模块与其他安全产品有机地融合起来融合起来,这就需要引入协同的概念这就需要引入协同的概念数据采集协同数据采集协同1.基于网络的基于网络的IDS需要采集动态数据(网络数据包)需要采集动态数据(网络数据包)2.基于主机的基于主机的IDS需要采集静态数据(日志文件等)需要采集静态数据(日志文件等)3.目前的目前的IDS将网络数据包的采集、分析与日志文件的采集、将网络数据包的采集、分析与日志文件的采集、分析割裂开来,没有在这两类原始数据的相关性上作考虑。分析割裂开来,没有在这两类原始数据的相关性上作考虑。4.在数据采集上进行协同并充分利用各层次的数据,是提高在数据采集上进行协同并充分利用各层次的数据,是提高入侵检测能力的首要条件入侵检测能力的首要条件数据分析协同数据分析协同入侵检测不仅需要利用模式匹配和异常检测技术来分析某个入侵检测不仅需要利用模式匹配和异常检测技术来分析某个检测引擎所采集的数据,以发现一些简单的入侵行为,还需检测引擎所采集的数据,以发现一些简单的入侵行为,还需要在此基础上利用要在此基础上利用数据挖掘数据挖掘技术,分析多个检测引擎提交的技术,分析多个检测引擎提交的审计数据以发现更为复杂的入侵行为。审计数据以发现更为复杂的入侵行为。两个层面上进行两个层面上进行1.单个检测引擎采集的数据:综合使用检测技术,以发现较单个检测引擎采集的数据:综合使用检测技术,以发现较为常见的、典型的攻击行为为常见的、典型的攻击行为本地引擎本地引擎2.多个检测引擎的审计数据:利用数据挖掘技术进行分析,多个检测引擎的审计数据:利用数据挖掘技术进行分析,以发现较为复杂的攻击行为以发现较为复杂的攻击行为中心管理控制平台中心管理控制平台数据挖掘数据挖掘1.数据挖掘技术是一种决策支持过程,它主要基于数据挖掘技术是一种决策支持过程,它主要基于AI,机器学习机器学习统计等技术,能高度自动化地分析原有数据,做出归纳性推理,统计等技术,能高度自动化地分析原有数据,做出归纳性推理,从中挖掘出潜在的模式,预测出客户的行为从中挖掘出潜在的模式,预测出客户的行为2.运用关联分析,能够提取入侵行为在时间和空间上的关联,可运用关联分析,能够提取入侵行为在时间和空间上的关联,可以进行的关联包括源以进行的关联包括源IP关联、目标关联、目标IP关联、数据包特征关联、关联、数据包特征关联、时间周期关联、网络流量关联等;时间周期关联、网络流量关联等;3.运用序列模式分析可以进行入侵行为的时间序列特征分析;运用序列模式分析可以进行入侵行为的时间序列特征分析;4.利用以上的分析结构,可以制订入侵行为的分类标准,并进行利用以上的分析结构,可以制订入侵行为的分类标准,并进行形式化的描述,通过一定的训练数据集来构造检测模型;形式化的描述,通过一定的训练数据集来构造检测模型;5.运用聚类分析,能优化或完全抛弃既有的模型,对入侵行为重运用聚类分析,能优化或完全抛弃既有的模型,对入侵行为重新划分并用显示或隐式的方法进行描述新划分并用显示或隐式的方法进行描述数据挖掘过程数据挖掘过程1.数据准备数据准备2.数据清理和集成数据清理和集成3.数据挖掘数据挖掘4.知识表示知识表示5.模式评估模式评估数据挖掘数据挖掘1.从审计数据中提取特征,以帮助区分正常数据和攻击从审计数据中提取特征,以帮助区分正常数据和攻击行为行为2.将这些特征用于模式匹配或异常检测模型将这些特征用于模式匹配或异常检测模型3.描述一种人工异常产生方法,来降低异常检测算法的描述一种人工异常产生方法,来降低异常检测算法的误报率误报率4.提供一种结合模式匹配和异常检测模型的方法提供一种结合模式匹配和异常检测模型的方法基本框架基本框架1.引擎观察原始数据并计算用于模型评估的特征引擎观察原始数据并计算用于模型评估的特征2.检测器获取引擎的数据并利用检测模型来评估它是否检测器获取引擎的数据并利用检测模型来评估它是否是一个攻击是一个攻击3.数据仓库被用作数据和模型的中心存储地数据仓库被用作数据和模型的中心存储地;4.模型产生的主要目的是为了加快开发以及分发新的入模型产生的主要目的是为了加快开发以及分发新的入侵检测模型的速度侵检测模型的速度响应协同响应协同理想的情况是,建立相关安全产品能够相互通信并协同理想的情况是,建立相关安全产品能够相互通信并协同工作的安全体系,实现防火墙、工作的安全体系,实现防火墙、IDS、病毒防护系统和审病毒防护系统和审计系统等的互通与联动,以实现整体安全防护计系统等的互通与联动,以实现整体安全防护响应协同响应协同:当:当IDS检测到需要阻断的入侵行为时,立即迅检测到需要阻断的入侵行为时,立即迅速启动联动机制,自动通知防火墙或其他安全控制设备对速启动联动机制,自动通知防火墙或其他安全控制设备对攻击源进行封堵,达到整体安全控制的效果。攻击源进行封堵,达到整体安全控制的效果。IDS与防火墙的联动,可封堵源自外部网络的攻击与防火墙的联动,可封堵源自外部网络的攻击IDS与网络管理系统的联动,可封堵被利用的网络设备和主机与网络管理系统的联动,可封堵被利用的网络设备和主机IDS与操作系统的联动,可封堵有恶意的用户账号与操作系统的联动,可封堵有恶意的用户账号IDS与内网监控管理系统的联动,可封堵内部网络上恶意的主机与内网监控管理系统的联动,可封堵内部网络上恶意的主机IDS与与Firewall联动联动通过在防火墙中驻留的一个通过在防火墙中驻留的一个IDSAgent对象,以接收来自对象,以接收来自IDS的控制消息,然后再增加防火墙的过滤规则,最终实的控制消息,然后再增加防火墙的过滤规则,最终实现联动现联动Cisco CIDF(CISL)ISS Checkpoint模式匹配是第一代模式匹配是第一代(10(10M)M)和第二代和第二代(100(100M)M)入侵检测入侵检测系统在网络数据包里检查某个攻击特征存在性的一系统在网络数据包里检查某个攻击特征存在性的一种技术种技术模式匹配就是将收集到的信息与已知的网络入侵和模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全系统误用模式数据库进行比较,从而发现违背安全策略的行为策略的行为一般来讲,一种进攻模式可以用一个过程(如执行一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示一条指令)或一个输出(如获得权限)来表示模式匹配模式匹配1.只需收集相关的数据集合,显著减少系统负担只需收集相关的数据集合,显著减少系统负担2.技术已相当成熟技术已相当成熟3.检测准确率和效率都相当高检测准确率和效率都相当高优点优点1 1计算负荷大:支撑这一算法所需的计算量非常惊人,对一个计算负荷大:支撑这一算法所需的计算量非常惊人,对一个满负荷的满负荷的100100兆以太网而言,所需的计算量是每秒兆以太网而言,所需的计算量是每秒720720亿次计算。亿次计算。这一计算速度要求大大超出了现有的技术条件。同时,这种办法这一计算速度要求大大超出了现有的技术条件。同时,这种办法虽然可以把系统构建为部分覆盖的功能,但是这样的系统有严重虽然可以把系统构建为部分覆盖的功能,但是这样的系统有严重的性能问题,并容易被黑客规避的性能问题,并容易被黑客规避2 2检测准确率低:第二个根本弱点是使用固定的特征模式来检检测准确率低:第二个根本弱点是使用固定的特征模式来检测入侵只能检测特定的特征,这将会错过通过对原始攻击串做对测入侵只能检测特定的特征,这将会错过通过对原始攻击串做对攻击效果无影响的微小变形而衍生所得的攻击攻击效果无影响的微小变形而衍生所得的攻击3. 3. 没有理解能力:模式匹配系统没有判别模式的真实含义和实没有理解能力:模式匹配系统没有判别模式的真实含义和实际效果的能力,因此,所有的变形都将成为攻击特征库里一个不际效果的能力,因此,所有的变形都将成为攻击特征库里一个不同的特征,这就是模式匹配系统有一个庞大的特征库的原因同的特征,这就是模式匹配系统有一个庞大的特征库的原因缺点缺点新技术的出现新技术的出现1.高速网络的出现高速网络的出现2. 基于模式匹配的入侵检测系统在一个满负荷的基于模式匹配的入侵检测系统在一个满负荷的100100兆以太网兆以太网上,将不得不丢弃上,将不得不丢弃30%30%75%75%的数据流量的数据流量3.3. 某些系统,即使在利用率为某些系统,即使在利用率为20%20%的的100100兆以太网上也已经开兆以太网上也已经开始漏掉某些攻击行为始漏掉某些攻击行为2.攻击技术的提高攻击技术的提高3.降低错报率和漏报率的要求降低错报率和漏报率的要求协议分析加命令解析技术是一种新的入侵检测技术,它协议分析加命令解析技术是一种新的入侵检测技术,它结合高速数据包捕捉、协议分析和命令解析来进行入侵结合高速数据包捕捉、协议分析和命令解析来进行入侵检测,给入侵检测战场带来了许多决定性的优势检测,给入侵检测战场带来了许多决定性的优势由于有了协议分析加命令解析的高效技术,基于运行由于有了协议分析加命令解析的高效技术,基于运行在单个在单个IntelIntel架构计算机上的入侵检测系统的千兆网络架构计算机上的入侵检测系统的千兆网络警戒系统,就能分析一个高负载的千兆以太网上同时存警戒系统,就能分析一个高负载的千兆以太网上同时存在的超过在的超过300300万个连接,而不错漏一个包万个连接,而不错漏一个包协议分析协议分析命令解析命令解析协议分析充分利用了网络协议的高度有序性,使用这些知识协议分析充分利用了网络协议的高度有序性,使用这些知识快速检测某个攻击特征的存在快速检测某个攻击特征的存在协议分析协议分析因为系统在每一层上都沿着协议栈向上解码,因此可以因为系统在每一层上都沿着协议栈向上解码,因此可以使用所有当前已知的协议信息,来排除所有不属于这一使用所有当前已知的协议信息,来排除所有不属于这一个协议结构的攻击。个协议结构的攻击。协议解码协议解码nProtocol AnalysisnEther、IP、ARPnTCP、UDP、ICMPnHTTP、Telnet、DNS、FTP、IRC、NetBIOS、SMB、SMTP、SNMP、TFTP、RPC、POP3、Finger、rlogin、MIME、IMAP4、VNC、RealAudio、NetGames、MS SQL协议分析的优势协议分析的优势n效率高n检测0-day漏洞脚本n例如大量的90字符可能是ShellCode中的NOOP操作。n依据RFC,执行协议异常分析解析器是一个命令解释程序,入侵检测引擎包括了多种不同解析器是一个命令解释程序,入侵检测引擎包括了多种不同的命令语法解析器,因此,它能对不同的高层协议的命令语法解析器,因此,它能对不同的高层协议如如TelnetTelnet、FTPFTP、HTTPHTTP、SMTPSMTP、SNMPSNMP、DNSDNS等的用户命令进行详等的用户命令进行详细的分析。细的分析。命令解析器具有读取攻击串及其所有可能的变形,并发掘其命令解析器具有读取攻击串及其所有可能的变形,并发掘其本质含义的能力。这样,在攻击特征库中只需要一个特征,本质含义的能力。这样,在攻击特征库中只需要一个特征,就能检测这一攻击所有可能的变形。就能检测这一攻击所有可能的变形。解析器在发掘出命令的真实含义后将给恶意命令做好标记,解析器在发掘出命令的真实含义后将给恶意命令做好标记,主机将会在这些包到达操作系统、应用程序之前丢弃它们。主机将会在这些包到达操作系统、应用程序之前丢弃它们。命令解析命令解析第一步第一步直接跳到第直接跳到第1313个字节,并读取个字节,并读取2 2个字节的协议标识。如果个字节的协议标识。如果值是值是08000800,则说明这个以太网帧的数据域携带的是,则说明这个以太网帧的数据域携带的是IPIP包,基于协议解包,基于协议解码的入侵检测利用这一信息指示第二步的检测工作。码的入侵检测利用这一信息指示第二步的检测工作。第二步第二步跳到第跳到第2424个字节处读取个字节处读取1 1字节的第四层协议标识。如果读字节的第四层协议标识。如果读取到的值是取到的值是0606,则说明这个,则说明这个IPIP帧的数据域携带的是帧的数据域携带的是TCPTCP包,入侵检测包,入侵检测利用这一信息指示第三步的检测工作。利用这一信息指示第三步的检测工作。第三步第三步跳到第跳到第3535个字节处读取一对端口号。如果有一个端口号是个字节处读取一对端口号。如果有一个端口号是00800080,则说明这个,则说明这个TCPTCP帧的数据域携带的是帧的数据域携带的是HTTPHTTP包,基于协议解码的包,基于协议解码的入侵检测利用这一信息指示第四步的检测工作。入侵检测利用这一信息指示第四步的检测工作。第四步第四步让解析器从第让解析器从第5555个字节开始读取个字节开始读取URLURL。 URL URL串将被提交给串将被提交给HTTPHTTP解析器,在它被允许提交给解析器,在它被允许提交给WebWeb服务器前,服务器前,由由HTTPHTTP解析器来分析它是否可能会做攻击行为。解析器来分析它是否可能会做攻击行为。典型例子典型例子 提高了性能提高了性能:协议分析利用已知结构的通信协议,与模式匹配系统中传统的穷举分析方法相比,在处理数据帧和连接时更迅速、有效。 提高了准确性提高了准确性:与非智能化的模式匹配相比,协议分析减少了虚警和误判的可能性,命令解析(语法分析)和协议解码技术的结合,在命令字符串到达操作系统或应用程序之前,模拟它的执行,以确定它是否具有恶意。 基于状态的分析基于状态的分析:当协议分析入侵检测系统引擎评估某个包时,它考虑了在这之前相关的数据包内容,以及接下来可能出现的数据包。与此相反,模式匹配入侵检测系统孤立地考察每个数据包。 反规避能力反规避能力:因为协议分析入侵检测系统具有判别通信行为真实意图的能力,它较少地受到黑客所用的像URL编码、干扰信息、TCP/IP分片等入侵检测系统规避技术的影响。 系统资源开销小系统资源开销小:协议分析入侵检测系统的高效性降低了在网络和主机探测中的资源开销,而模式匹配技术却是个可怕的系统资源消费者。优点优点部署部署nNIDS的位置必须要看到所有数据包n共享媒介HUBn交换环境n隐蔽模式n千兆网n分布式结构nSensornConsole共享媒介共享媒介HUBIDS SensorMonitored ServersConsole交换环境交换环境SwitchIDS SensorMonitored ServersConsole通过端口镜像实现通过端口镜像实现(SPAN / Port Monitor)隐蔽模式隐蔽模式SwitchIDS SensorMonitored ServersConsole不设不设IP千兆网络千兆网络IDS SensorsL4或或L7交换设备交换设备Advanced1 Gb to many 100Mb Sensors(Advanced concept)DeploymentofIDSInternetFireWallIDS #1IDS #2IDS #3IDS#1Monitor of External TrafficIDS#2Monitor of Internal TrafficIDS#3Monitor of FirewallsExternal性能测试性能测试n实际生产环境n模拟流量n硬件:SmartBitsn人为构造一定大小的数据报,从64bytes到1500bytes,衡量不同pps(packets per second)下IDS对攻击的检测情况。n软件:tcpdump & tcpreplayn对流量的回放IDS躲避测试躲避测试nURL编码n “cgi-bin” “%63%67%69%2d%62%69%6e”nInsersion,插入其他字符n“GET /cgi-bin/phf” “GET /cgi-bin/phf”以绕过攻击特征库。n将攻击包以碎片方式发出nfragrouter状态性测试状态性测试nStateful ?n测试工具:Stick/Snotn不建立连接,直接发送攻击数据包n只分析单个数据包的IDS会大量误报n要减少误报,IDS必须维护连接状态状态性测试状态性测试:CGI攻击举例攻击举例三次握手SYN1.SYN/ACK2.ACK3.GET /cgi-bin/phf4.200 OK 或404 Not Found5.1) 不握手,直接发送第4个包;2) 握手,能否跟踪返回的第5个包,判断攻击成功与否?产品产品n免费nSnort nhttp:/www.snort.orgnSHADOWnhttp:/www.nswc.navy.mil/ISSEC/CID/产品产品n商业nCyberCop Monitor, NAInDragon Sensor, EnterasysneTrust ID, CAnNetProwler, SymantecnNetRanger, CisconNID-100/200, NFR SecuritynRealSecure, ISSnSecureNet Pro, Intrusion.com资源资源nIDS FAQnhttp:/www.robertgraham.com/pubs/nFocus-IDS Mailinglistnhttp:/online.securityfocus.com/archive/96nYawlnhttp:/www.docshow.netnOldHandnhttp:/www.oldhand.orgnSinbadnhttp:/sinbad.dhs.org/doc.html?board=IDS1.概述概述2.入侵检测方法入侵检测方法3.入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.入侵检测标准化工作入侵检测标准化工作6.其它其它7.展望展望面临的问题面临的问题(1)(1)随随着着能能力力的的提提高高,入入侵侵者者会会研研制制更更多多的的攻攻击击工工具具,以以及及使使用更为复杂精致的攻击手段,对更大范围的目标类型实施攻击;用更为复杂精致的攻击手段,对更大范围的目标类型实施攻击;(2)(2)入侵者采用加密手段传输攻击信息;入侵者采用加密手段传输攻击信息;(3)(3)日益增长的网络流量导致检测分析难度加大;日益增长的网络流量导致检测分析难度加大;(4)(4)缺乏统一的入侵检测术语和概念框架;缺乏统一的入侵检测术语和概念框架;(5)(5)不适当的自动响应机制存在着巨大的安全风险;不适当的自动响应机制存在着巨大的安全风险;(6)(6)存在对入侵检测系统自身的攻击;存在对入侵检测系统自身的攻击;(7)(7)过高的错报率和误报率,导致很难确定真正的入侵行为;过高的错报率和误报率,导致很难确定真正的入侵行为;(8)(8)采用交换方法限制了网络数据的可见性;采用交换方法限制了网络数据的可见性;(9)(9)高速网络环境导致很难对所有数据进行高效实时分析高速网络环境导致很难对所有数据进行高效实时分析发展方向发展方向1.1.更更有有效效的的集集成成各各种种入入侵侵检检测测数数据据源源,包包括括从从不不同同的的系系统统和和不不同同的的传传感感器上采集的数据,提高报警准确率;器上采集的数据,提高报警准确率;2.2.在事件诊断中结合人工分析;在事件诊断中结合人工分析;3.3.提高对恶意代码的检测能力,包括提高对恶意代码的检测能力,包括emailemail攻击,攻击,JavaJava,ActiveXActiveX等;等;4.4.采用一定的方法和策略来增强异种系统的互操作性和数据一采用一定的方法和策略来增强异种系统的互操作性和数据一 致性;致性;5.5.研制可靠的测试和评估标准;研制可靠的测试和评估标准;6.6.提提供供科科学学的的漏漏洞洞分分类类方方法法,尤尤其其注注重重从从攻攻击击客客体体而而不不是是攻攻击击主主体体的的观观点出发;点出发;7.7.提供提供对对更高更高级级的攻的攻击击行行为为如分布式攻如分布式攻击击、拒、拒绝绝服服务务攻攻击击等的等的检测检测手段;手段;
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号