网络安全技术-入侵检测.ppt

ids,ids（intrusion detection system）就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。,形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是x光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。,入侵检测系统,firewall,servers,dmz,intranet,监控中心,router,攻击者,报警,报警,入侵检测系统的作用,实时检测 实时地监视、分析网络中所有的数据报文 发现并实时处理所捕获的数据报文 安全审计 对系统记录的网络事件进行统计分析 发现异常现象 得出系统的安全状态，找出所需要的证据 主动响应 主动切断连接或与防火墙联动，调用其他程序处理,典型部署企业内部安装,firewall,监控中心,router,典型部署广域网应用,监控中心（辅）,监控中心（主）,概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望,ids存在与发展的必然性,一、网络攻击的破坏性、损失的严重性 常见攻击 二、日益增长的网络安全威胁 网络安全基本概念 三、单纯的防火墙无法防范复杂多变的攻击 ids在p2dr模型中的位置与作用,为什么需要ids,关于防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 入侵很容易 入侵教程随处可见 各种工具唾手可得,网络安全工具的特点,传统的信息安全方法采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全 入侵检测（intrusion detection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,intrusion detection,入侵检测的定义,对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性 进行入侵检测的软件与硬件的组合便是入侵检测系统 ids : intrusion detection system,入侵检测的起源（1）,审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程 审计的目标： 确定和保持系统活动中每个人的责任 重建事件 评估损失 监测系统的问题区 提供有效的灾难恢复 阻止系统的不正当使用,1980年 anderson提出：入侵检测概念，分类方法 被认为是入侵检测的开山之作。 1987年 denning和neumann提出了一种通用的入侵检测模型,开发了一个实时入侵检测系统ides(intrusion detection expert system),入侵检测起源（2）,90年初 mark crosbie和gene spaffort建议使用自治代理以便提高入侵检测系统的可伸缩性、可维护性、效率和容错性。 1995年以后出现了很多不同的新的入侵侵检测研究方法，特别是智能入侵检测系统，包括神经网络、遗传算法、模糊识别、免疫系统、数据挖掘等，这些方法目前尚处于理论研究阶段。 此外，ids还在分布式方向取得了很大的进展。 cmds、netprowler、netranger iss realsecure,由于目前的入侵检测系统大部分是基于各自的需求和设计独立开发的，不同系统间缺乏操作性和 互用性，这对入侵检测系统的发展造成了障碍，因此darpa(defense advanced research projects agency，美国国防部高级研究计划局)于1997年3月开始着手cidf(common intrusion detection framework,公共入侵检测框架)标准的制定，以便更高效地开发入侵检测系统。国内在这方面的研究刚开始起步，但也已经开始着手入侵检测标准idf的研究与制定。,入侵检测的起源（2）,1980年4月，james p. anderson computer security threat monitoring and surveillance （计算机安全威胁监控与监视） 第一次详细阐述了入侵检测的概念 计算机系统威胁分类: 外部渗透、内部渗透和不法行为 提出了利用审计跟踪数据监视入侵活动的思想 这份报告被公认为是入侵检测的开山之作,入侵检测的起源（3）,从1984年到1986年 乔治敦大学的dorothy denning sri/csl的peter neumann 研究出了一个实时入侵检测系统模型ides（入侵检测专家系统）,入侵检测的起源（3）,ides的设计模型,入侵检测专家系统ides （intrusion detection expert system）,系统所采用的设计模式可以分为4个部分：目标系统域，邻域接口，处理引擎和用户接口。 其中的邻域指的是一组类似的目标监控机器：类似意味着这些目标机器所产生的审计数据具有相同的格式。 例如，在原型系统的一个应用中，所监控的由一组sun工作站所组成的网络就组成了一个邻域。 邻域除提供目标审计数据外，还支持对审计数据的某些鉴别机制，用于确定它们的来源,ides处理引擎指的是一个计算环境，它负责分析从ides邻域内获得的信息。ides的审计记录被分发给多个分析引擎，也称为事件子系统。所有的ides事件子系统在单个审计记录的基础上处理事件。,ides的目标系统域即监控的目标系统。,入侵检测专家系统ides （intrusion detection expert system）,入侵检测的起源（4）,1990，加州大学戴维斯分校的l. t. heberlein等人开发出了nsm（network security monitor） 该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机 入侵检测系统发展史翻开了新的一页，两大阵营正式形成： 基于网络的ids 基于主机的ids,入侵检测的起源（6）,dids控制器,主机代理,主机事件发生器,主机监视器,lan代理,lan事件发生器,lan监视器,dids（distributed ids）结构框图,ids基本结构,入侵检测系统包括三个功能部件 （1）信息收集 （2）信息分析 （3）结果处理,信息搜集,入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点,信息收集,入侵检测很大程度上依赖于收集信息的可靠性和正确性 要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息,信息收集,信息收集的来源,系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为,系统或网络的日志文件,攻击者常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件 日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户id改变、用户对文件的访问、授权和认证信息等内容 显然，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等,系统目录和文件的异常变化,网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标 目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号 入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件,信息分析,信息分析,模式匹配 统计分析 完整性分析，往往用于事后分析,模式匹配,模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）,统计分析,统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等） 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生,完整性分析,完整性分析主要关注某个文件或对象是否被更改 这经常包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效,结果处理,入侵检测性能关键参数,误报(false positive)：如果系统错误地将异常活动定义为入侵 漏报(false negative)：如果系统未能检测出真正的入侵行为,入侵检测的分类（1）,按照分析方法（检测方法） 异常检测模型（anomaly detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型（misuse detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵,前提：入侵是异常活动的子集 用户轮廓(profile): 通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围 过程 监控 量化 比较 判定 修正 指标:漏报率低,误报率高,异常检测,异常检测特点,异常检测系统的效率取决于用户轮廓的完备性和监控的频率 因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵 系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源,前提：所有的入侵行为都有可被检测到的特征 攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 过程 监控 特征提取 匹配 判定 指标:误报低、漏报高,误用检测,误用检测模型,如果入侵特征与正常的用户行能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报 特点：采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得滥用检测无能为力,入侵检测的分类（2）,按照数据来源： 基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机 基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行 混合型,基于主机的入侵检测系统,desktops,web servers,telecommuters,customers,servers,network,branch office,partners,host-based 入侵检测,hacker,host-based ids,host-based ids,internet,基于主机入侵检测系统工作原理,网络服务器1,客户端,网络服务器2,检测内容： 系统调用、端口调用、系统日志、安全审记、应用日志,hids,hids,监视与分析主机的审计记录 可以不运行在监控主机上 能否及时采集到审计记录 如何保护作为攻击目标主机审计子系统,基于主机,基于网络的入侵检测系统,在共享网段上对通信数据进行侦听采集数据 主机资源消耗少 提供对网络通用的保护 如何适应高速网络环境 非共享网络上如何采集数据,基于网络,desktops,web servers,telecommuters,customers,servers,network,branch office,partners,network-based 入侵检测,network-based ids,network-based ids,network-based ids,internet,nids,基于网络入侵检测系统工作原理,网络服务器1,数据包=包头信息+有效数据部分,客户端,网络服务器2,检测内容： 包头信息+有效数据部分,两类ids监测软件,网络ids 侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少,主机ids 视野集中 易于用户自定义 保护更加周密 对网络流量不敏感,入侵检测的分类（3）,按系统各模块的运行方式 集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行 分布式：系统的各个模块分布在不同的计算机和设备上,入侵检测的分类（4）,根据时效性 脱机分析：行为发生后，对产生的数据进行分析 联机分析：在数据产生的同时或者发生改变时进行分析,常用术语,当一个入侵正在发生或者试图发生时，ids系统将发布一个alert信息通知系统管理员 如果控制台与ids系统同在一台机器，alert信息将显示在监视器上，也可能伴随着声音提示 如果是远程控制台，那么alert将通过ids系统内置方法（通常是加密的）、snmp（简单网络管理协议，通常不加密）、email、sms（短信息）或者以上几种方法的混合方式传递给管理员,alert（警报）,anomaly（异常）,当有某个事件与一个已知攻击的信号相匹配时，多数ids都会告警 一个基于anomaly（异常）的ids会构造一个当时活动的主机或网络的大致轮廓，当有一个在这个轮廓以外的事件发生时，ids就会告警 有些ids厂商将此方法看做启发式功能，但一个启发式的ids应该在其推理判断方面具有更多的智能,首先，可以通过重新配置路由器和防火墙，拒绝那些来自同一地址的信息流;其次，通过在网络上发送reset包切断连接 但是这两种方式都有问题，攻击者可以反过来利用重新配置的设备，其方法是：通过伪装成一个友方的地址来发动攻击，然后ids就会配置路由器和防火墙来拒绝这些地址，这样实际上就是对“自己人”拒绝服务了 发送reset包的方法要求有一个活动的网络接口，这样它将置于攻击之下，一个补救的办法是：使活动网络接口位于防火墙内，或者使用专门的发包程序，从而避开标准ip栈需求,automated response,ids的核心是攻击特征，它使ids在事件发生时触发 特征信息过短会经常触发ids，导致误报或错报，过长则会减慢ids的工作速度 有人将ids所支持的特征数视为ids好坏的标准，但是有的产商用一个特征涵盖许多攻击，而有些产商则会将这些特征单独列出，这就会给人一种印象，好像它包含了更多的特征，是更好的ids,signatures（特征）,promiscuous（混杂模式）,默认状态下，ids网络接口只能看到进出主机的信息，也就是所谓的non-promiscuous（非混杂模式） 如果网络接口是混杂模式，就可以看到网段中所有的网络通信量，不管其来源或目的地 这对于网络ids是必要的，但同时可能被信息包嗅探器所利用来监控网络通信量 交换型hub可以解决这个问题，在能看到全面通信量的地方，会都许多跨越（span）端口,nids技术简介,数据捕获技术 不同平台实现不同,nids技术数据捕获,利用hub的广播特性或者switch端口监视功能和处于混杂模式的网卡接受网络数据 在系统或者特殊驱动的支持下，程序可以在自有的用户空间获得想要的网络数据。 中间可能经过多级缓冲,nids技术协议分析,协议分析 去除噪声数据，根据协议的定义可以丢弃很多无效数据，减少分析压力。 还原真实内容。确保ids具有接近操作系统和应用服务器对于网络数据的理解能力，降低误报率和漏报率。 实际 必须考虑分析层次、范围与系统性能的平衡 分析与检测一般交替进行,网络数据结构,协议解析,还原处理：ip碎片重组、tcp会话汇聚、编码处理等,nids技术数据处理,数据分析处理位置 在各个层次的协议分析过程中 针对协议分析结果进行检查 数据分析处理方法 特殊特征if-else，如land攻击(srcip=dstip) 运用简单模式匹配方法，一般为字符串搜索 简单统计，如单位时间内相同目的地址的syn数据包,数据分析处理过程示意,协议分析,协议分析,网络数据,中间数据,应用数据,网络数据,入侵检测,入侵检测,入侵检测,入侵检测,分析数据包,ethernet,ip,tcp,模式匹配,ethernet,ip,tcp,协议分析,http,unicode,xml,模式匹配 vs. 协议分析,模式匹配是第一代(10m)和第二代(100m)入侵检测系统在网络数据包里检查某个攻击特征存在性的一种技术 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示,模式匹配,模式匹配的优点,只需收集相关的数据集合，显著减少系统负担 技术已相当成熟 检测准确率和效率都相当高,1计算负荷大：支撑这一算法所需的计算量非常惊人，对一个满负荷的100兆以太网而言，所需的计算量是每秒720亿次计算。这一计算速度要求大大超出了现有的技术条件。同时，这种办法虽然可以把系统构建为部分覆盖的功能，但是这样的系统有严重的性能问题，并容易被黑客规避 2检测准确率低：第二个根本弱点是使用固定的特征模式来检测入侵只能检测特定的特征，这将会错过通过对原始攻击串做对攻击效果无影响的微小变形而衍生所得的攻击 3. 没有理解能力：模式匹配系统没有判别模式的真实含义和实际效果的能力，因此，所有的变形都将成为攻击特征库里一个不同的特征，这就是模式匹配系统有一个庞大的特征库的原因,模式匹配的缺点,新技术的需求,高速网络的出现 基于模式匹配的入侵检测系统在一个满负荷的100兆以太网上，将不得不丢弃30%75%的数据流量 某些系统，即使在利用率为20%的100兆以太网上也已经开始漏掉某些攻击行为 攻击技术的提高 降低错报率和漏报率的要求,协议分析加命令解析技术是一种新的入侵检测技术，它结合高速数据包捕捉、协议分析和命令解析来进行入侵检测，给入侵检测战场带来了许多决定性的优势,由于有了协议分析加命令解析的高效技术，基于运行在单个intel架构计算机上的入侵检测系统的千兆网络警戒系统，就能分析一个高负载的千兆以太网上同时存在的超过300万个连接，而不错漏一个包,协议分析 命令解析,协议分析充分利用了网络协议的高度有序性，使用这些知识快速检测某个攻击特征的存在,协议分析,因为系统在每一层上都沿着协议栈向上解码，因此可以使用所有当前已知的协议信息，来排除所有不属于这一个协议结构的攻击。,协议解码,protocol analysis ether、ip、arp tcp、udp、icmp http、telnet、dns、ftp、irc、netbios、smb、smtp、snmp、tftp、rpc、pop3、finger、rlogin、mime、imap4、vnc、realaudio、netgames、ms sql,协议分析的优势,效率高 检测0-day漏洞脚本 例如大量的90字符可能是shellcode中的noop操作。 依据rfc，执行协议异常分析,解析器是一个命令解释程序，入侵检测引擎包括了多种不同的命令语法解析器，因此，它能对不同的高层协议如telnet、ftp、http、smtp、snmp、dns等的用户命令进行详细的分析。 命令解析器具有读取攻击串及其所有可能的变形，并发掘其本质含义的能力。这样，在攻击特征库中只需要一个特征，就能检测这一攻击所有可能的变形。 解析器在发掘出命令的真实含义后将给恶意命令做好标记，主机将会在这些包到达操作系统、应用程序之前丢弃它们。,命令解析,模式匹配,0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .p.me. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .w1.1.p 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .p.b2.a:p. 30 16d0 f6e5 0000 4745 5420 2f70 726f 6475 get /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg http/1.1 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 accept: */*ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: http:/www 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 ./p a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/accept- c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d language: en-us. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .accept-encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .user-agent: moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible; msie 5.01; 120 2057 696e 646f 7773 204e 5420 352e 3029 windows nt 5.0) 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 host: www.amer 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: keep-aliv 160 650d 0a0d 0a e,基于状态的协议分析,深层协议分析。 数据包经过协议解析后，被分流到不同的检测方法集中。经过细颗粒的协议分析（解析）后，需要匹配的规则数大大减少，所以提高了入侵分析的效率和准确性，并能检测检测到某些协议异常的未知攻击。 状态分析。 引擎不只是检测单个数据包，而是将一个会话的所有流量作为一个整体来考察。很多网络攻击的行为包含在多个请求中，仅靠检测单一的连接请求或响应是不准确的，会引起误警或漏警。,状态分析举例,全程跟踪攻击的过程，甚至可判断攻击的是否成功,高效的匹配算法,尽管协议分析技术可以减少内容匹配负担，但不能避免模式匹配，高效的算法和高效的处理结构能大大增强ids检测引擎的性能 单模匹配算法：bm算法（boyer-moore） 多模匹配算法：如改进的bm算法（snort中提供多种多模匹配算法可参考） 引擎的结构、处理流程、规则特征、必须与算法高度配合才能达到最好的效果，甚至达到增加规则数而不影响处理速度。,高效的匹配算法,采用单模匹配算法，数据与每条相应规则的模依次匹配，假设在对http url内容的检查中，有两条规则分别具有以下字串特征： rule1: “scripts/cgimail.exe” rule2: “scripts/fpcount.exe” 可以看到，虽然两个模式中都有“scripts”子字串，但如果被匹配的内容中根本没有该子串，则两条规则都进行了同样的匹配操作，而实际上第二个规则无需再检测。 采用多模算法能有效避免这种情况发生并大大提高处理性能。,一个攻击检测实例,老版本的sendmail漏洞利用 $ telnet 25 wiz shell 或者 debug # 直接获得rootshell！,简单的匹配,检查每个packet是否包含： “wiz” | “debug”,检查端口号,缩小匹配范围 port 25: “wiz” | “debug” ,深入决策树,只判断客户端发送部分 port 25: client-sends: “wiz” | client-sends: “debug” ,更加深入,状态检测 + 引向异常的分支 port 25: stateful client-sends: “wiz” | stateful client-sends: “debug” after stateful “data” client-sends line 1024 bytes means possible buffer overflow ,响应策略,弹出窗口报警 e-mail通知 切断tcp连接 执行自定义程序 与其他安全产品交互 firewall snmp trap,nids技术响应方法（1）,切断连接,服务器,tcp会话,ids,我是u,会话立即终止,我是s,会话立即终止,黑客,服务器,1,3,2,黑客,nids技术响应方法（2）,显示与记录 记录到文件或者数据库中 显示到控制台屏幕 利用网络或者其他设备显示到呼机或者手机 发送电子邮件 给指定的管理员发送电子邮件，附带警报部分内容,nids技术响应方法（3）,配置防火墙 向防火墙提交进行恶意攻击的ip地址及其他相关信息，防火墙动态添加规则，禁止该地址通过或者访问特定主机的服务。 发送snmp trap信息 向snmp trap代理发送保护警报信息的事件，以便通知基于snmp的管理平台。,nids技术挑战与方向（1）,攻击描述不统一 没有通用描述方法，难以共享和统一 xml，攻击描述语言 提高检测有效性 误报率、漏报率较高 深入协议分析、提高处理性能 警报二次分析，复杂统计处理,nids技术挑战与方向（2）,响应 防范dos攻击利用 统一交换格式 宽带环境 微机处理io、cpu瓶颈 专用硬件、分布式处理 统计分析、战略预警,nids技术其他（1）,基于用户行为概率统计模型的入侵检测方法：在对用户历史行为建模以及在早期的证据或模型的基础上，审计系统实时的检测用户对系统的使用情况，根据系统内部保存的用户行为概率统计模型进行检测，当发现有可疑的用户行为发生时，保持跟踪并监测、记录该用户的行为。系统要根据每个用户以前的历史行为，生成每个用户的历史行为记录库，当用户改变他们的行为习惯时，这种异常就会被检测出。,nids技术其他（2）,基于神经网络的入侵检测方法 这种方法是利用神经网络技术来进行入侵检测，对用户行为具有学习和自适应功能，能够根据实际检测到的信息有效地加以处理并做出入侵可能性的判断。,nids技术其他（3）,基于专家系统的入侵检测技术 根据安全专家对可疑行为的分析经验来形成一套推理规则，然后在此基础上建立相应的专家系统，由此专家系统自动进行对所涉及的入侵行为的分析工作。该系统应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。,压制调速 1、 撤消连接 2、 回避 3、 隔离 syn/ack resets,自动响应,一个高级的网络节点在使用“压制调速”技术的情况下，可以采用路由器把攻击者引导到一个经过特殊装备的系统上，这种系统被成为蜜罐 蜜罐是一种欺骗手段，它可以用于错误地诱导攻击者，也可以用于收集攻击信息，以改进防御能力 蜜罐能采集的信息量由自身能提供的手段以及攻击行为数量决定,蜜罐,bof: nfr windows pecter是商业产品，运行在windows平台上 deception toolkit : dtk是一个状态机，实际上它能虚拟任何服务，并可方便地利用其中的功能直接模仿许多服务程序 mantrap : recourse 最多达四种操作系统 运行在solaris 平台 honeynets : 它是一个专门设计来让人“攻陷”的网络，一旦被入侵者所攻破，入侵者的一切信息、工具等都将被用来分析学习,主动攻击模型,基本框架,引擎观察原始数据并计算用于模型评估的特征 检测器获取引擎的数据并利用检测模型来评估它是否是一个攻击 数据仓库被用作数据和模型的中心存储地; 模型产生的主要目的是为了加快开发以及分发新的入侵检测模型的速度,引擎,检测器,数据仓库,自适应 模型产生,原始数据,格式化数据,模 型,格式化数据,模 型,响应协同,理想的情况是，建立相关安全产品能够相互通信并协同工作的安全体系，实现防火墙、ids、病毒防护系统和审计系统等的互通与联动，以实现整体安全防护,响应协同：当ids检测到需要阻断的入侵行为时，立即迅速启动联动机制，自动通知防火墙或其他安全控制设备对攻击源进行封堵，达到整体安全控制的效果。,ids与防火墙的联动，可封堵源自外部网络的攻击 ids与网络管理系统的联动，可封堵被利用的网络设备和主机 ids与操作系统的联动，可封堵有恶意的用户账号 ids与内网监控管理系统的联动，可封堵内部网络上恶意的主机,ids与firewall联动,通过在防火墙中驻留的一个ids agent对象，以接收来自ids的控制消息，然后再增加防火墙的过滤规则，最终实现联动,cisco cidf(cisl) iss checkpoint,基于网络入侵检测系统的部署,基于网络的入侵检测系统可以在网络的多个位置进行部署。 这里的部署主要指对网络入侵检测器的部署。 根据检测器部署位置的不同，入侵检测系统具有不同的工作特点。 用户需要根据自己的网络环境以及安全需求进行网络部署，以达到预定的网络安全需求。 总体来说，入侵检测的部署点可以划分为4个位置：dmz区、外网入口、内网主干、关键子网,基于网络入侵检测系统的部署,1dmz区,dmz区部署点在dmz区的总口上，这是入侵检测器最常见的部署位置。 在这里入侵检测器可以检测到所有针对用户向外提供服务的服务器进行攻击的行为。 对于用户来说，防止对外服务的服务器受到攻击是最为重要的。 由于dmz区中的各个服务器提供的服务有限，所以针对这些对外提供的服务进行入侵检测，可以使入侵检测器发挥最大的优势，对进出的网络数据进行分析。 由于dmz区中的服务器是外网可见的，因此在这里的入侵检测也是最为需要的。,1dmz区,在该部署点进行入侵检测有以下优点： 检测来自外部的攻击，这些攻击已经渗入过第一层防御体系； 可以容易地检测网络防火墙的性能并找到配置策略中的问题； dmz区通常放置的是对内外提供服务的重要的服务设备，因此，所检测的对象集中于关键的服务设备； 即使进入的攻击行为不可识别，入侵检测系统经过正确的配置也可以从被攻击主机的反馈中获得受到攻击的信息。,2外网入口,外网入口部署点位于防火墙之前，入侵检测器在这个部署点可以检测所有进出防火墙外网口的数据。 在这个位置上，入侵检测器可以检测到所有来自外部网络的可能的攻击行为并进行记录，这些攻击包括对内部服务器的攻击、对防火墙本身的攻击以及内网机器不正常的数据通信行为。 由于该部署点在防火墙之前，因此入侵检测器将处理所有的进出数据。 这种方式虽然对整体入侵行为记录有帮助，但由于入侵检测器本身性能上的局限，该部署点的入侵检测器目前的效果并不理想，同时对于进行nat的内部网来说，入侵检测器不能定位攻击的源或目的地址，系统管理员在处理攻击行为上存在一定的难度。,2外网入口,在该部署点进行入侵检测有以下优点： 可以对针对目标网络的攻击进行计数，并记录最为原始的攻击数据包； 可以记录针对目标网络的攻击类型。,3内网主干,内网主干部署点是最常用的部署位置，在这里入侵检测器主要检测内网流出和经过防火墙过滤后流入内网的网络数据。 在这个位置，入侵检测器可以检测所有通过防火墙进入的攻击以及内部网向外部的不正常操作，并且可以准确地定位攻击的源和目的，方便系统管理员进行针对性的网络管理。 由于防火墙的过滤作用，防火墙已经根据规则要求抛弃了大量的非法数据包。这样就降低了通过入侵检测器的数据流量，使得入侵检测器能够更有效地工作。 当然，由于入侵检测器在防火墙的内部，防火墙已经根据规则要求阻断了部分攻击，所以入侵检测器并不能记录下所有可能的入侵行为。,3内网主干,在该部署点进行入侵检测有以下优点： 检测大量的网络通信提高了检测攻击的识别可能； 检测内网可信用户的越权行为； 实现对内部网络信息的检测。,4关键子网,在内部网中，总有一些子网因为存在关键性数据和服务，需要更严格的管理，比如资产管理子网、财务子网、员工档案子网等，这些子网是整个网络系统中的关键子网。 通过对这些子网进行安全检测，可以检测到来自内部以及外部的所有不正常的网络行为，这样可以有效地保护关键的网络不会被外部或没有权限的内部用户侵入，造成关键数据泄漏或丢失。 由于关键子网位于内网的内部，因此流量相对要小一些，可以保证入侵检测器的有效检测。,4关键子网,在该部署点进行入侵检测具有以下优点： 集中资源用于检测针对关键系统和资源的来自企业内外部的攻击； 将有限的资源进行有效部署，获取最高的使用价值。,传感器具体的部署,nids的位置必须要看到所有数据包 共享媒介hub 交换环境 隐蔽模式 千兆网 分布式结构 sensor console,共享媒介,hub,ids sensor,monitored servers,console,交换环境,switch,ids sensor,monitored servers,console,通过端口镜像实现 （span / port monitor）,隐蔽模式,switch,ids sensor,monitored servers,不设ip,千兆网络,ids sensors,l4或l7 交换设备,advanced 1 gb to many 100mb sensors (advanced concept),deployment of ids,internet,firewall,ids #1,ids #2,ids #3,ids#1 monitor of external traffic ids#2 monitor of internal traffic ids#3 monitor of firewalls,external,性能测试,实际生产环境 模拟流量 硬件：smartbits 人为构造一定大小的数据报，从64bytes到1500bytes，衡量不同pps(packets per second)下ids对攻击的检测情况。 软件：tcpdump & tcpreplay 对流量的回放,ids躲避测试,url编码 “cgi-bin” “%63%67%69%2d%62%69%6e” insersion，插入其他字符 “get /cgi-bin/phf” “get /cgi-bin/phf” 以绕过攻击特征库。 将攻击包以碎片方式发出 fragrouter,状态性测试,stateful ? 测试工具：stick/snot 不建立连接，直接发送攻击数据包 只分析单个数据包的ids会大量误报 要减少误报，ids必须维护连接状态,状态性测试：cgi攻击举例,1) 不握手，直接发送第4个包；,2) 握手，能否跟踪返回的第5个包，判断攻击成功与否？,产品,免费 snort shadow /issec/cid/,产品,商业 cybercop monitor, nai dragon sensor, enterasys etrust id, ca netprowler, symantec netranger, cisco nid-100/200, nfr security realsecure, iss securenet pro, i,资源,ids faq /pubs/ focus-ids mailinglist /archive/96 yawl oldhand sinbad /doc.html?board=ids,面临的问题,(1) 随着能力的提高，入侵者会研制更多的攻击工具，以及使用更为复杂精致的攻击手段，对更大范围的目标类型实施攻击； (2) 入侵者采用加密手段传输攻击信息； (3) 日益增长的网络流量导致检测分析难度加大； (4) 缺乏统一的入侵检测术语和概念框架； (5) 不适当的自动响应机制存在着巨大的安全风险； (6) 存在对入侵检测系统自身的攻击； (7) 过高的错报率和误报率，导致很难确定真正的入侵行为； (8) 采用交换方法限制了网络数据的可见性； (9) 高速网络环境导致很难对所有数据进行高效实时分析,第六章 入侵检测 内容结束,。,发展方向,更有效的集成各种入侵检测数据源，包括从不同的系统和不同的传感器上采集的数据，提高报警准确率； 在事件诊断中结合人工分析； 提高对恶意代码的检测能力，包括email攻击，java，activex等； 采用一定的方法和策略来增强异种系统的互操作性和数据一 致性； 研制可靠的测试和评估标准； 提供科学的漏洞分类方法，尤其注重从攻击客体而不是攻击主体的观点出发； 提供对更高级的攻击行为如分布式攻击、拒绝服务攻击等的检测手段；,常见攻击,1.land (cert ca-97.28): 描述：伪造ip地址，并将源、目的地址及端口设成相同值，某些路由器设备及一些操作系统遇到此种情况不能正常工作。 检测：检查tcp或udp包的源、目的地址、端口信息是否相同即可发觉。 2.winnuke 描述：向139端口发出带有oob标志（tcp urgent）的数据包,早期的win95 ，及nt（如果没有相应的补丁）会立即当机。 检测：检查tcp的端口和urgent指针可以轻松发现此种攻击。 -continue,continue,3.ping of death (cert ca-96.01) 描述：正常的ping程序发出的数据段大小为32 （windows）或56 （linux）bytes，此种攻击则使用特大的数据包，如65537 bytes.这种长度的数据包超出了单个ip包的大小(最多65536 bytes)，必须用分片处理，而许多早期的系统没有对这种情况进行处理，往往造成系统崩溃。 检测：检查icmp数据包的长度，超过一定范围的数据包一定是恶意的行为。 4.source routing 描述：ip选项（ip option）中有源路由功能，由发送方指定传输路径，但这种功能除进行调试外，几乎没有任何实际应用。而攻击者可以利用此功能来逃避网络中的一些检查点（如绕开防火墙）。 检测：查看ip选项（头长度大于20字节时）。 -continue,continue,5.cgi 攻击: 描述：有许多cgi脚本文件存在安全漏洞（包括众多的asp bug），如果系统中有这种程序，入侵者可以轻易获得重要的文件，或通过缓冲区溢出造成更大危害。 已知的有漏洞的cgi程序非常多，如count.cgi，phf,glimpse,handler, htmlscript,icat,info2www，nph-test-cgi, pfdispaly, phf, php, php.cgi test-cgi,webdist,webgais,websendmail等。 常见的asp 漏洞有：showcode.asp，及通过追加小数点或用%20代替小数点等漏洞阅读asp文件源代码等漏洞。 检测：检查数据段中的字符串，可以对已知的漏洞进行察觉。 -continue,continue,6.os detection: 描述：在攻击发起之前，攻击者会尽可能的收集对方系统的信息,检测出对方操作系统的类型甚至版本尤为重要。nmap和queso等工具均可通过发送各种异常的数据包，并通过观察系统的不同反映来准确的鉴定远端的操作系统类型。 检测：因为其发出的数据包本身便比较特殊，通过观察此特征可检查此类行为。如queso利用了tcp中未定义的标志。nmap向端口发出只有fin标记的tcp数据包. -continue,continue,7.扫描： 描述：包括端口扫描和icmp sweep，入侵者在攻击之前往往用此种办法收集远端系统的信息。 检测：端口扫描时往往大范围的检测端口的状态，在端口范围中往往有许多是关闭的，试图对这种端口建立连接往往是扫描行为。 8.syn flood (cert ca-96.21) 描述：tcp连接的建立需三次握手，客户首先发syn信息，服务器发回syn/ack，客户接到后再发回ack信息，此时连接建立。若客户不发回ack，则server在timeout后处理其他连接。攻击者可假冒服务器端无法连接的地址向其发出syn，服务器向这个假的ip发回syn/ack，但由于没有ack发回来，服务器只能等timeout。大量的无法完成的建立连接请求会严重影响系统性能。 检测：如果某一地址短时间内发出大量的建立连接的请求且请求失败，则证明此ip被用来做syn flood 攻击。（具体的源ip地址往往不能说明任何问题） -continue,continue,9.smurf (cert ca-98.01) 描述：伪造被攻击者的ip向广播地址连续的发出icmp-echo包，当众多机器返回信息时（实际是返回了受害者），过