计算机网络信息安全理论与实践教程第11章

第 11章 入侵检测技术的原理与应用 第 11章 入侵检测技术的原理与应用 11.1 入侵检测概述 11.2 入侵检测技术 11.3 入侵检测系统的组成与分类 11.4 入侵检测系统的评估指标 11.5 入侵检测系统的部署方法 与应用案例 11.6 本章小结 本章思考与练习 第 11章 入侵检测技术的原理与应用 11.1 入侵检测概述 11.1.1 入侵检测概念20世纪 80年代初期，安全专家认为： “ 入侵是指未经授权蓄意尝试访问信息、篡改信息、使系统不可用的行为。 ” 美国大学安全专家将入侵定义为 “ 非法进入信息系统，包括违反信息系统的安全策略或法律保护条例的动作。 ” 我们认为，入侵应与受害目标相关联，该受害目标可以是一个大的系统或单个对象。判断与目标相关的操作是入侵的依据是：对目标的操作是否超出了目标的安全策略范围。因此，入侵是指违背访问目标的安全策略的行为。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能的系统称为入侵检测系统，简称 IDS。 第 11章 入侵检测技术的原理与应用 11.1.2 入侵检测系统模型最早的入侵检测模型是由 Denning给出的，该模型主要根据主机系统审计记录数据，生成有关系统的若干轮廓，并监测轮廓的变化差异，发现系统的入侵行为，如图 11-1所示。 第 11章 入侵检测技术的原理与应用 图 11-1 入侵检测模型 第 11章 入侵检测技术的原理与应用 现在，入侵行为的种类在不断增多，许多攻击都是经过长时期准备的。面对这种情况，入侵检测系统的不同功能组件之间、不同 IDS之间共享这类攻击信息是十分重要的。于是，一种通用的入侵检测框架模型 (简称 CIDF)就被提出来了。该模型认为入侵检测系统由事件产生器 (event generators)、 事件分析器 (event analyzers)、 响应单元 (response units)和事件数据库(event databases)组成，如图 11-2所示。 CIDF将入侵检测系统需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。事件产生器从整个计算环境中获得事件，并向系统的其他部分提供事件。 第 11章 入侵检测技术的原理与应用 事件分析器分析所得到的数据，并产生分析结果。响应单元对分析结果做出反应，如切断网络连接，改变文件属性，简单报警等。事件数据库存放各种中间和最终数据，数据存放的形式既可以是复杂的数据库，也可以是简单的文本文件。CIDF模型具有很强的扩展性，目前已经得到广泛认同。 第 11章 入侵检测技术的原理与应用 图 11-2 CIDF各组件之间的关系图 第 11章 入侵检测技术的原理与应用 11.1.3 入侵检测作用入侵检测系统在网络安全保障过程中扮演类似 “ 预警机 ”或 “ 安全巡逻人员 ” 的角色，入侵检测系统的直接目的不是阻止入侵事件的发生，而是通过检测技术来发现系统中企图或违背安全策略的行为，其作用表现为以下几个方面：* 发现受保护系统中的入侵行为或异常行为。* 检验安全保护措施的有效性。* 分析受保护系统所面临的威胁。* 有利于阻止安全事件扩大，及时报警触发网络安全应急响应。* 可以为网络安全策略的制定提供重要指导。* 报警信息可用作网络犯罪取证。 第 11章 入侵检测技术的原理与应用 11.2 入侵检测技术 11.2.1 基于误用的入侵检测技术 基于误用的入侵检测通常称为基于特征的入侵检测方法，是指根据已知的入侵模式检测入侵行为。攻击者常常利用系统和应用软件中的漏洞技术进行攻击，而这些基于漏洞的攻击方法具有某种特征模式。如果入侵者的攻击方法恰好匹配上检测系统中的特征模式，则入侵行为可立即被检测到，如图 11-3所示。 第 11章 入侵检测技术的原理与应用 图 11-3 基于攻击模式匹配的原理图 第 11章 入侵检测技术的原理与应用 显然，误用入侵检测依赖于攻击模式库，因此，这种采用误用入侵检测技术的 IDS产品的检测能力就取决于攻击模式库的大小以及攻击方法的覆盖面。如果攻击模式库太小，则IDS的有效性就大打折扣。而如果攻击模式库过大，则 IDS的性能会受到影响。基于上述分析，误用入侵检测的前提条件是，入侵行为能够按某种方式进行特征编码，而入侵检测的过程实际上就是模式匹配的过程。根据入侵特征描述的方式或构造技术，误用检测方法可以进一步细分。下面介绍几种常见的误用检测方法。 第 11章 入侵检测技术的原理与应用 1基于条件概率的误用检测方法基于条件概率的误用检测方法是指将入侵方式对应一个事件序列，然后观测事件发生序列，应用贝叶斯定理进行推理，推测入侵行为。令 ES表示事件序列，先验概率为P(Intrusion)， 后验概率为 P(ES | Intrusion)， 事件出现概率为P(ES)， 则： 第 11章 入侵检测技术的原理与应用 通常，网络安全员可以给出先验概率 P(Intrusion)， 对入侵报告的数据统计处理可得出 P(ES | ?Intrusion)和 P(ES | Intrusion)， 于是可以计算出：因此，可以通过事件序列的观测推算出 P(Intrusion|ES)。 基于条件概率的误用检测方法是基于概率论的一种通用方法。它是对贝叶斯方法的改进，其缺点是先验概率难以给出，而且事件的独立性难以满足。 第 11章 入侵检测技术的原理与应用 2基于状态迁移的误用检测方法状态迁移方法利用状态图表示攻击特征，不同状态刻画了系统某一时刻的特征。初始状态对应于入侵开始前的系统状态，危害状态对应于已成功入侵时刻的系统状态。初始状态与危害状态之间的迁移可能有一个或多个中间状态。攻击者的操作将导致状态发生迁移，使系统从初始状态迁移到危害状态。基于状态迁移的误用检测方法通过检查系统的状态变化来发现系统中的入侵行为。采用该方法的 IDS有STAT(State Transition Analysis Technique)和 USTAT(State Transition Analysis Tool for UNIX)。 第 11章 入侵检测技术的原理与应用 3基于键盘监控的误用检测方法基于键盘监控的误用检测方法是先假设入侵行为对应特定的击键序列模式，然后监测用户击键模式，并将这一模式与入侵模式匹配，从而发现入侵行为。这种方法的缺点是，在没有操作系统支持的情况下，缺少捕获用户击键的可靠方法。此外，也可能存在多种击键方式表示同一种攻击。而且，如果没有击键语义分析，用户若提供别名 (例如 Korn shell)则很容易欺骗这种检测技术。最后，该方法也不能够检测恶意程序的自动攻击。 第 11章 入侵检测技术的原理与应用 4基于规则的误用检测方法基于规则的误用检测方法 (rule-based misuse detection)是指将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为。这种方法的优点是，检测比较简单。存在的缺点是，检测受到规则库限制，无法发现新的攻击，并且容易受干扰。目前，大部分 IDS都采用这种方法。 Snort NIDS是典型的基于规则的误用检测方法应用实例。 第 11章 入侵检测技术的原理与应用 11.2.2 基于异常的入侵检测技术 异常检测方法通过对计算机或网络资源的统计分析，建立系统正常行为的 “ 轨迹 ” ，定义一组系统正常情况的阈值，然后将系统运行时的数值与所定义的 “ 正常 ” 情况相比较，得出是否有被攻击的迹象，如图 11-4所示。 第 11章 入侵检测技术的原理与应用 图 11-4 异常检测原理图 第 11章 入侵检测技术的原理与应用 但是，异常检测的前提是异常行为包括入侵行为。理想情况下，异常行为集合等同于入侵行为集合，此时，如果 IDS能够检测所有的异常行为，就表明能够检测所有的入侵行为。但是在现实中，入侵行为集合通常不等同于异常行为集合。事实上，行为有以下 4种状况： 行为是入侵行为，但不表现异常； 行为不是入侵行为，却表现异常； 行为既不是入侵行为，也不表现异常； 行为是入侵行为，且表现异常。异常检测方法的基本思路是构造异常行为集合，从中发现入侵行为。异常检测依赖于异常模型的建立，不同模型可构成不同的检测方法。 第 11章 入侵检测技术的原理与应用 1基于统计的异常检测方法基于统计的异常检测方法就是利用数学统计理论技术，通过构建用户或系统正常行为的特征轮廓来检测入侵。其中，统计性特征轮廓通常由主体特征变量的频度、均值、方差、被监控行为的属性变量的统计概率分布以及偏差等统计量来描述。典型的系统主体特征有：系统的登录与注销时间、资源被占用的时间以及处理机、内存和外设的使用情况等。至于统计的抽样周期可以短到几分钟或长达几个月甚至更长。基于统计性特征轮廓的异常检测器，通过对收集到的数据进行统计处理，并与描述主体正常行为的统计性特征轮廓进行比较，然后根据二者的偏差是否超过指定的门限来进行进一步的判断和处理。许多入侵检测系统或系统原型都采用了这种统计模型。 第 11章 入侵检测技术的原理与应用 2基于模式预测的异常检测方法基于模式预测的异常检测方法的前提条件是，事件序列不是随机发生的，而是服从某种可辨别的模式，其特点是考虑了事件序列之间的相互联系。安全专家 Teng和 Chen给出了一种基于时间的推理方法，即利用时间规则识别用户正常行为模式的特征。通过归纳学习产生这些规则集，并能动态地修改系统中的这些规则，使之具有较高的预测性、准确性和可信度。如果规则大部分时间是正确的，并能够成功地用于预测所观察到的数据，那么规则就具有较高的可信度。例如， TIM(Time-based Inductive Machine)给出下述产生规则： 第 11章 入侵检测技术的原理与应用 其中， E1 E5表示安全事件。上述规则说明，事件发生的顺序是 E1， E2， E3， E4， E5。 事件 E4发生的概率是 95%，事件 E5发生的概率是 5%。通过事件中的临时关系， TIM能够产生更多的通用规则。根据观察到的用户行为，归纳产生出一套规则集，构成用户的行为轮廓框架。如果观测到的事件序列匹配规则的左边，而后续的事件显著地背离根据规则预测到的事件，那么系统就可以检测出这种偏离，表明用户操作异常。第 11章 入侵检测技术的原理与应用 这种方法的主要优点有：(1) 能较好地处理变化多样的用户行为，并具有很强的时序模式。(2) 能够集中考察少数几个相关的安全事件，而不用关注可疑的整个登录会话过程。(3) 容易发现针对检测系统的攻击。第 11章 入侵检测技术的原理与应用 3基于文本分类的异常检测方法基于文本分类的异常检测方法的基本原理是将程序的系统调用视为某个文档中的 “ 字 ” ，而进程运行所产生的系统调用集合就产生一个 “ 文档 ” 。对于每个进程所产生的 “ 文档 ”，利用 K-最近邻聚类 (K-Nearest Neighbor)文本分类算法，分析文档的相似性，发现异常的系统调用，从而检测出入侵行为。 第 11章 入侵检测技术的原理与应用 4基于贝叶斯推理的异常检测方法基于贝叶斯推理的异常检测方法，是指在任意给定的时刻，测量 A1， A2， .， An变量值，推理判断系统是否发生入侵行为。其中，每个变量 Ai表示系统某一方面的特征，例如磁盘 I/O的活动数量、系统中页面出错的数目等。假定变量 Ai可以取两个值： 1表示异常， 0表示正常。令 I表示系统当前遭受的入侵攻击。每个异常变量 Ai的异常可靠性和敏感性分别用 P(Ai=1 | I)和 P(Ai=1 | I)表示。于是，在给定每个 Ai值的条件下，由贝叶斯定理得出 I的可信度为 第 11章 入侵检测技术的原理与应用 从而得到 第 11章 入侵检测技术的原理与应用 因此，根据各种异常测量的值、入侵的先验概率、入侵发生时每种测量得到的异常概率，就能够判断出系统入侵的概率。但是为了保证检测的准确性，还需要考查各变量 Ai之间的独立性。 第 11章 入侵检测技术的原理与应用 11.2.3 其他1基于规范的检测方法基于规范的入侵检测方法 (specification-based intrusion detection)介于异常检测和误用检测之间，其基本原理是：用一种策略描述语言 PE-grammars事先定义系统特权程序有关安全的操作执行序列 (每个特权程序都有一组安全操作序列，这些操作序列构成特权程序的安全跟踪策略 (trace policy)； 若特权程序的操作序列不符合已定义的操作序列，就进行入侵报警。这种方法的优点是，不仅能够发现已知的攻击，而且也能发现未知的攻击。 第 11章 入侵检测技术的原