入侵检测与可信计算.ppt

访问控制与网络安全技术(2),严飞 武汉大学计算机学院 Yfpostbox(AT),主要内容,访问控制技术 防火墙技术 VPN技术 入侵检测技术 一种新的网络安全技术,4.入侵检测技术,4.1 入侵检测技术概述 4.2 入侵检测分类与评估 4.3 入侵检测产品概况,4.1 入侵检测技术概述,入侵检测技术的起因 传统网络安全技术存在着与生俱来的缺陷 程序的错误 配置的错误 需求的变化决定网络不断发展 产品在设计阶段可能是基于一项较为安全的技术 但当产品成型后，网络的发展已经使得该技术不再安全 传统的网络安全技术是属于静态安全技术，无法解决动态发展网络中的安全问题,4.1 入侵检测技术概述,关于防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 入侵很容易 入侵教程随处可见 各种工具唾手可得,4.1 入侵检测技术概述,网络安全工具的特点,4.1 入侵检测技术概述,入侵检测的定义 入侵检测是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象. 它还是一种增强内部用户的责任感及提供对攻击者的法律诉讼依据的机制,4.1 入侵检测技术概述,入侵检测的特点 入侵检测是一种动态的网络安全技术 它利用各种不同类型的引擎，实时地或定期地对网络中相关的数据源进行分析，依照引擎对特殊的数据或事件的认识，将其中具有威胁性的部分提取出来，并触发响应机制 对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性 进行入侵检测的软件与硬件的组合便是入侵检测系统 入侵检测的动态性 入侵检测的实时性 对网络环境的变化具有一定程度上的自适应性,4.1 入侵检测技术概述,入侵检测的内容 外部攻击检测 内部特权滥用检测,4.1 入侵检测技术概述,入侵检测的历史 1980年 Anderson提出：入侵检测概念，分类方法 1987年 Denning提出了一种通用的入侵检测模型 独立性 ：系统、环境、脆弱性、入侵种类 系统框架：异常检测器，专家系统 90年初 CMDS、NetProwler、NetRanger ISS RealSecure,4.1 入侵检测技术概述,入侵检测的历史 1980年4月，James P. Anderson Computer Security Threat Monitoring and Surveillance （计算机安全威胁监控与监视） 第一次详细阐述了入侵检测的概念 计算机系统威胁分类: 外部渗透、内部渗透和不法行为 提出了利用审计跟踪数据监视入侵活动的思想 这份报告被公认为是入侵检测的开山之作,4.1 入侵检测技术概述,入侵检测的历史 从1984年到1986年 乔治敦大学的Dorothy Denning SRI/CSL的Peter Neumann 研究出了一个实时入侵检测系统模型IDES（入侵检测专家系统）,4.1 入侵检测技术概述,4.1 入侵检测技术概述,入侵检测的内容 外部攻击检测 外部攻击与入侵是指来自外部网络非法用户的威胁性访问或破坏 外部攻击检测的重点在于检测来自于外部的攻击或入侵 内部特权滥用检测 内部特权滥用是指网络的合法用户在不正常的行为下获得了特殊的网络权限并实施威胁性访问或破坏 内部特权滥用检测的重点集中于观察授权用户的活动,4.1 入侵检测技术概述,入侵检测的功能 检测和分析用户和系统的活动 识别反映已知攻击的活动模式 非正常活动模式的统计分析 通过对操作系统的审计，分析用户的活动、识别违规操作 审计系统配置和脆弱性、评估关键系统和数据文件的一致性,4.1 入侵检测技术概述,入侵检测技术原理与系统构成 原理图,4.1 入侵检测技术概述,IDS原理 入侵检测的技术的核心在于入侵检测过程 对行为与状态的综合分析是基于 知识的智能推理 神经网络理论 模式匹配 异常统计,4.1 入侵检测技术概述,IDS原理 技术分析的依据 历史知识 现有的行为状态 实时的监测是保证入侵检测具有实时性的主要手段 根据实时监测的记录不断修改历史知识保证了入侵检测具有自适应性,4.1 入侵检测技术概述,系统构成,4.1 入侵检测技术概述,IDS的构成 信息采集部件 对各类复杂、凌乱的信息进行格式化并交付于入侵分析部件 入侵分析部件 按着部件内部的分析引擎进行入侵分析，当信息满足了引擎的入侵标准时就触发了入侵响应机制 入侵响应部件 当入侵分析部件发现入侵后，由入侵响应部件根据具体的情况做出响应 响应部件同信息采集部件一样都是分布于网络中，甚至与信息采集部件集成在一起,4.2 入侵检测分类与评估,IDS引擎分类 误用检测 异常检测,4.2 入侵检测分类与评估,IDS引擎分类 误用检测 前提：所有的入侵行为都有可被检测到的特征 攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 过程 监控 特征提取 匹配 判定 首先根据已知的入侵，定义由独立的事件、事件的序列、事件临界值等通用规则组成的入侵模式 然后观察能与入侵模式相匹配的事件，达到发现入侵的目的 入侵模式需要定期更新,4.2 入侵检测分类与评估,IDS引擎分类 误用检测 如果入侵特征与正常的用户行能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报 特点：采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得滥用检测无能为力,4.2 入侵检测分类与评估,IDS引擎分类 异常检测 原理 前提：入侵是异常活动的子集 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围 通过检查统计量的偏差，从而检测出不正常的行为 其实现的方法 将各个主体、对象的行为量化 以历史数据设定期望值 将与期望值有偏差的行为定义为入侵,4.2 入侵检测分类与评估,IDS引擎分类 异常检测 异常检测系统的效率取决于用户轮廓的完备性和监控的频率 因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵 系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源,IDS引擎对比误用检测,优点 误用检测具有很强的可分割性、独立性，可缩小模式数据库规模 具有很强的针对性，对已知的入侵方法检测效率很高 有能力提供模糊入侵检测引擎,缺点 可测量性与性能都和模式数据库的大小和体系结构有关 可扩展性差 通常不具备自学习能力，对新攻击的检测分析必须补充模式数据库 攻击行为难以模式化,IDS引擎对比异常检测,优点 符合数据的异常变化理论，适合事物的发展规律 检查算法比较普适化，对变量的跟踪不需要大量的内存 有能力检测与响应某些新的攻击,缺点 数据假设可能不合理，加权算法在统计意义上可能不准确 对突发性正常事件容易引起误判断 对长期、稳定的攻击方法灵敏度低,4.2 入侵检测分类与评估,实现方式分类 基于主机的IDS （HIDS） 安装在被重点检测的主机之上 对该主机的网络实时连接以及系统审计日志进行智能分析和判断 基于网络的IDS （NIDS） 放置在比较重要的网段内 不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析,IDS实现方式HIDS,优点 能够获得更详尽的信息 误报率低。 对分析“可能的攻击行为”非常有用 适用于不需要广泛的入侵检测、或者传感器与控制台之间的通信带宽不足的环境 风险较少,缺点 依赖于服务器的日志与监视功能，降低应用系统的效率，可能需要中断服务 全面布署HIDS代价较大 对入侵行为的分析的工作量将随着主机数目增加而增加 可能带来一些额外的安全问题,IDS实现方式NIDS,优点 能够检测来自网络的攻击 能够检测到超过授权的非法访问 易于安装，不影响业务系统的性能 ，因此风险小,缺点 监测范围受网段的限制，全网段部署传感器会使成本大大增加 数据量大使得NIDS很难检测一些需要大量计算和分析才能检测的攻击 传感器的分析能力的增强常伴随着协同能力的减弱 难以处理复杂协议，如：加密、高层协议,4.2 入侵检测分类与评估,技术路线分类 基于统计分析的入侵检测技术 基于神经网络的入侵检测技术 基于专家系统的入侵检测技术 基于模型推理的入侵检测技术,4.2 入侵检测分类与评估,技术路线分类 基于统计分析的入侵检测技术 基于对用户历史行为进行统计，同时实时地检测用户对系统的使用情况，根据用户行为的概率模型与当前用户的行为进行比较，一但发现可疑的情况与行为，就跟踪、监测并记录，适当时采用一定的响应手段 有一定的自适应能力，稳定，但误警率高,4.2 入侵检测分类与评估,技术路线分类 基于神经网络的入侵检测技术 将神经网络模型运用于入侵检测系统，可以解决基于统计数据的主观假设而导致的大量虚假警报问题，同时由于神经网络模型的自适应性，使得系统精简，成本较低 但是不成熟,4.2 入侵检测分类与评估,技术路线分类 基于专家系统的入侵检测技术 根据专家对合法行为的分析经验来形成一套推理规则，然后在此基础上构成相应的专家系统，由此专家系统自动地进行攻击分析工作 推理系统的效率较低,4.2 入侵检测分类与评估,技术路线分类 基于模型推理的入侵检测技术 对已知入侵行为建立特定的模型，监视具有特定行为特征的活动，一但发现与模型匹配的用户行为，就通过相关信息证实或否定攻击的真实性 又称为模式匹配，是应用较多的入侵检测方法,4.2 入侵检测分类与评估,评价标准 准确性 误警：IDS将用户正常的操作当作入侵行为，予以报警（1%10%） 漏警：IDS将入侵行为当作用户正常的操作，不予报警（10%50%） 处理性能 完备性 容错性 及时性,4.3 入侵检测产品概况,产品实施层次 应用层 操作系统层 网络层,4.3 入侵检测产品概况,国外产品 Cyber Cop IDS ：NAI Realsecure ：ISS Session_wall ：Abirnet NetWare Flight Recorder：Anzen Internet Emergency Response Service：IBM Cisco Secure IDS ：Cisco,4.3 入侵检测产品概况,国外产品 Adaptive Intrusion Detection System：布兰登大学 Autonomous Agents For Intrusion Detection：Purdue University IDES：SRI Wisdom and Sense：Los Alamos NSM：加里福利亚大学 Snort: S,4.3 入侵检测产品概况,国内产品 RIDS-100：瑞星 曙光GodEye-HIDS：曙光信息产业（北京） 天阗：启明星辰 天眼NPIDS：北京中科网威,5. 一种新的网络安全技术,可信计算提出的背景 可信计算的发展历程 可信计算的核心思想 可信网络互联体系 可信网络的关键技术 可信计算目前存在的问题,5.1可信计算提出的背景,信息化发展：业务系统复杂化，网络环境高速化 网络业务激增，造成 网络威胁增多，安全风险加大 对网络性能和可靠性要求不断提高 安全保障复杂，工作量激增 用户网络安全建设中的困惑 从单个网络产品、子系统建设，直至综合管理系统等多个阶段的建设，部署了多种安全产品 安全事件仍不断出现，新问题不断涌现,5.1可信计算提出的背景,信息安全的技术发展趋势 从封闭小型网络环境到开放/半开放大型网络环境 从关注数据安全、系统安全到内容安全、行为安全 从面向威胁到面向威胁和能力并重 从身份授权可信赖到用户身份与行为双重可信赖,5.1可信计算提出的背景,信息安全的基本观点 各种信息安全技术措施中，硬件结构的安全和操作系统的安全是基础，密码、网络安全等技术是关键技术。 只有从整体上采取措施，特别是从底层采取措施，才能比较有效的解决信息安全问题。,5.1可信计算提出的背景,信息安全发展新趋势的解决思路 从网络硬件基础设施出发，加强安全管控，确保安全的网络运行环境。 从网络终端的安全接入出发，确保接入节点不仅是身份上的可信，而且是接入后行为上的可信。 根据以上观点：只有从芯片、主板等硬件结构和BIOS、操作系统等底层软件作起，综合采取措施，才能比较有效的提高终端设备和网络互联设备的安全性，从而确保网络的整体安全。,5.1可信计算提出的背景,TCP的基本属性（可信计算平台） TCP是一个拥有各种保护措施的盒子，应该具备下面两个基本属性： 能够保护数据存储区域，避免敌手直接物理上访问到机密数据存储区。 能够保证系统的运行环境是安全的，没有被篡改，所有的代码能够执行于一个未被篡改的运行环境。 总而言之：保护数据和代码安全。,5.2可信计算的发展历程,彩虹系列 1983年，美国国防部制定了世界上第一个可信计算机系统评价准则TCSEC（Trusted Computer System Evaluation Criteria），其与后来的TNI（Trusted Network Interpretation）,TDI （Trusted Database Interpretation）合称为了彩虹系列。 在TCSEC中第一次提出可信计算机（Trusted Computer）和可信计算基TCB（Trusted Computing Base）的概念，并把TCB作为系统安全的基础。,5.2可信计算的发展历程,彩虹系列 彩虹系列的意义: 彩虹系列的出现形成了可信计算的一次高潮。 多年彩虹系列一直成为评价计算机系统安全的主要准则。 对计算机系统安全有指导意义 彩虹系列的局限 主要考虑了信息的秘密性，对完整性、真实性考虑较少 强调系统安全性的评价，并没有给出达到这种安全性的系统结构和主要技术路线,5.2可信计算的发展历程,TCB技术实践的尝试 安全协处理器（Secure Coprocessor） 密码加速器（Cryptographic Accelerator） 个人令牌（Personal Token） 增强型CPU（Harden CPUs）,5.2可信计算的发展历程,TCB技术实践1：安全协处理器 独立的，但从属于主处理器（CPU）的，能够完成一定的工作任务的处理单元。 类似PC机系统中的floating-point coprocessor（增强CPU的数学计算功能） 早期的安全协处理器主要被设想为一个保护某种类型的计算和存储的工具，主要防止本地敌手的攻击，而且它的主要操作依靠主处理器（CPU）来完成。,5.2可信计算的发展历程,TCB技术实践2：密码加速器 通用的计算机性能上不适合密码运算，因而将所有的密码计算集中到同一个设备中进行 如果在通用系统上处理一旦密钥长度超过了系统的处理字长，速度就会变得很慢。 密码运算和操作模指数运算（RSA加密签名、DSA签名、Diffie-Hellman密钥交换协议等）集中的用密码加速器处理，提高效率和增强安全性。,5.2可信计算的发展历程,TCB技术实践3：个人令牌 个人令牌是一种用户可随身携带的进行用户认证、密码操作和提供其他服务的令牌。 特点： 依赖于内存和主机计算。 依赖于应用程序。 要求有一定物理安全（能够防止他人盗用和伪造） 个人令牌种类上包括智能卡，USB KEY，PCMACIA卡。,5.2可信计算的发展历程,TCB技术实践4：增强型CPU 将安全芯片功能直接增加到CPU中，用于专用目的的可信计算平台。 缺点： 要改变CPU，改变现有的计算机架构（即增强型CPUs必须有专用的主板，外设等）。 与计算机体系结构不兼容。,5.2可信计算的发展历程,TCP平台的发展历程 安全启动 安全协处理器 TPM 安全启动 TCP技术的思想源于早期计算机的可信启动研 Bill Arbaugh etc. “A Secure and Reliable Bootstrap Architecture” 安全启动的基本思想 将系统配置分解为一系列的实体 检查实体的完整性 安全启动在可信计算平台中的重要性 安全启动应用是可信计算平台的第一个应用程序 安全启动是可信计算平台的安全计算边界超出物理保护边界的一项技术，即扩展安全计算边界的技术 安全启动应用可以扩展到软件配置方面,5.2可信计算的发展历程,5.2可信计算的发展历程,安全协处理器早期项目 Kent Abyss Citadel Dayd,1973年 美国国防部的LOCK项目（Logical Coprocessing Kernel）试图使用硬件和一些相关工具，结合虚拟机监视器的原理（virtual machine monitor）建立一个高可信的通信子系统。,1980年MIT的Stephen Kent探索性的使用TRM（tamper-resistant modules）保护外部软件，研制了Kent系统。,1987年IBM Watson研究院在Kent系统的基础上设计了ABYSS（A Basic Yorktown Security System）。 Abyss抛弃了Kent的指令级总线保护，设计了一个包含微型处理器和内存的TCP，在物理上不受保护的主机系统上操作。,IBM Watson研究院改进了Abyss系统，形成了功能更为全面的Citadel系统。 早期的TCP只是做为监视器或防窜改部件，被动的监视系统，Citadel发展到了主动的为系统提供服务，并且发展过程中功能越来越强大。,CMU开发了Dyad系统，Dyad系统是Citadel系统的扩展，特别是扩展了Citadel系统的软件体系结构，实现了一系列应用。,5.2可信计算的发展历程,可信计算技术的发展 可信计算平台技术的提出 1999年IEEE太平洋沿岸国家容错计算会议改名为 “ 可信计算会议”，标志着可信计算又一次成为学术界新的研究热点。 同年美国IBM、HP、Intel、微软，日本SONY等著名企业参加，成立了可信计算联盟TCPA，标志着可信计算进入产业界。 TCG的出现: TCPA于01年9月制定了可信PC的实现规范V1.1。 03年TCPA改组为可信计算组织TCG。TCG的成立标志着可信计算技术和应用领域的扩大。 03年9月TCG推出可信PC的新规范V1.2。 05年3月TCG推出可信服务器规范V1.0。 05年5月TCG推出可信网络连接规范V1.0。 06年9月TCG推出可信手机模块规范V0.9。,5.2可信计算的发展历程,可信计算在中国 近期 可信计算平台 2000年6月武汉瑞达和武汉大学合作开始研制安全计算机，2004年10月通过国家技术鉴定； 2004年6月在武汉召开中国首届TCP论坛； 2004年武汉大学召开第一届中国可信计算与信息安全学术会议。解放军密码管理委员会 2006年河北大学召开第一届中国可信计算与信息安全学术会议。解放军密码管理委员会支持,5.2可信计算的发展历程,可信计算在中国 2003年武汉瑞达与武汉大学研制出可信平台模块芯片J2810，2004年研制出可信计算机。 2005年联想公司研制出可信平台模块“恒智”芯片和可信计算机。 2005年兆日公司研制出可信平台模块芯片。 瑞达、联想、兆日的产品都通过了国密局的认证。 我国政府大力支持可信计算技术与产业。,5.3可信计算的核心思想,TCG的思路 首先建立一个信任根。信任根的可信性由物理安全和管理安全确保。 再建立一条信任链。 从信任根开始到硬件平台、到操作系统、再到应用，一级认证一级，一级信任一级。从而把这种信任扩展到整个计算机系统。,5.3可信计算的核心思想,信任根可信平台模块 信任根是系统可信的基础和出发点 信任根的可信性由物理安全和管理安全确保 TCG认为一个可信计算平台必须包含三个可信根： 可信测量根RTM 可信存储根RTS 可信报告根RTR,5.3可信计算的核心思想,可信测量根RTM RTM 是开机首先执行的程序模块 RTM必须是不可绕过的和不可篡改的 RTM必须存储在ROM中 RTM的可信性由安全管理确保,5.3可信计算的核心思想,可信存储根和可信报告根 它由CPU、存储器、I/O、密码运算器、随机数产生器和嵌入式操作系统等部件组成。 TPM本身就是一个小的计算机系统，一般是一种片上系统SOC（System on Chip）,而且它应当是物理可信和管理可信的。,5.3可信计算的核心思想,信任根可信平台模块 TPM的特点 TPM保护整个通用的计算机，比前面提到的TCP设备功能要强。 克服了小型专用设备（如密码加速器）的CPU和内存限制。 兼容现在的计算机体系结构和软件结构。 TPM满足了计算机低成本、低物理安全要求的需求。,5.3可信计算的核心思想,信任链 以TPM为根 从信任根开始到硬件平台、到操作系统、再到应用，一级认证一级，一级信任一级。,5.3可信计算的核心思想,目标 一个实体是可信