入侵检测技术第9章.ppt

9.1 用户需求分析 9.2 系统安全设计原则 9.3 系统设计的生命周期,第9章 入侵检测系统的设计考虑,本章描述入侵检测系统在设计时所需要考虑的若干实际问题。首先，系统设计的最初阶段要注意对用户的实际需求进行分析，从而能够具备明确的设计目标。其次，必须在系统设计时遵循若干基本的安全设计原则，保障系统自身的安全性能。最后，简要回顾入侵检测系统的设计生命周期过程。,需求定义或者需求分析是进行系统设计的第一步，同时也是对后继过程产生最重要影响的阶段。 同时，在需求定义的早期阶段，要注意保持需求定义的适当灵活性。在实际开发中，通常采用开发需求文档来记录不同阶段内需求定义的变更情况。 对于入侵检测系统的设计和开发过程而言，具体需要考虑如下所示的需求定义和分析情况。,9.1 用户需求分析,1. 检测功能需求 对于入侵检测系统而言，足够有力的检测功能是最基本的需求。按照不同用户的检测目标要求，检测功能需求又可以分为不同的类型。 首先，通常的用户需要对发生在外部的针对本地网络的攻击行为进行有效检测，以期发现潜在的外部威胁，包括拒绝服务攻击、非授权访问企图或者漏洞扫描等攻击性活动。满足此类用户需求的系统设计，应该以网络入侵检测技术为主。用户需求可以从较高层次进一步进行细化分析，例如能够检测到拒绝服务攻击中的碎片攻击，能够检测到隐蔽端口扫描等。根据入侵检测系统部署位置的不同，例如部署在访问控制点（防火墙等）外部还是内部，,检测需求又可有不同。例如，部署在防火墙之内的系统，应该检测到来自于外部网络对内部非开放端口的访问请求；如果检测到，则说明外部攻击者可能通过某种渠道绕开了防火墙的访问控制机制。 其次，在某些安全保护等级要求高的内部网络环境中，例如军事计算环境和金融交易网络，用户需求将要求对内部网络中用户的异常活动进行检测。一般而言，主机入侵检测技术比较适用于检测此类内部人员的威胁模式。同时，网络入侵检测技术也可以用于发现内部网络上发现的可疑活动。 对内部人员威胁的检测，通常要比检测来自外部的威胁更加困难。如何将非法操作和一定范围内的合法操作区分开来，是检测内部威胁的最大需求。,根据内部威胁的检测目标，可以进一步细化为更加具体的检测需求。首先，入侵检测系统应该能够追踪任何用户对系统内关键对象和资源的访问情况，并建立正常访问的行为模式。其次，系统应该能够检测内部用户用来获取更高授权时所利用的常见漏洞发掘过程，例如本地用户利用特定的缓冲区溢出攻击手段，或者利用特定服务程序的实现漏洞等。,2. 响应需求 在入侵检测一般模型中，都包含了一定的响应模块。这也就反映了一般用户都具有的对所检测到的异常行为进行响应的基本需求。 用户通常最初对响应需求的期望值很高，例如自动切断会话连接或者锁定特定用户账户等，用来达到快速阻断攻击的目标。但是，设计者需要进一步分析自动响应需求所存在的潜在风险，即有可能反而被攻击者用来实施拒绝服务攻击；因此，在设计中要妥善处理好此类响应操作的实现过程。 响应需求还通常应该与整个系统的检测目标以及其他需求相关。如果检测目标中主要考虑了取证和诉讼的需求，则响应需求就应该包括如何能够增强,证据说服力和可信度的操作，例如日志记录警报信息和原始审计数据等。如果检测目标中考虑了损伤评估需求，则响应需求就应该集中在增加可支持进一步调查活动的管理性操作上。 具体的响应需求包括： 最强烈的需求是自动注销用户账户，这是在确认该用户实施了恶意的攻击行为之后采取的措施；其次，在调查某个用户的可疑活动时，暂停该用户账户，或者是在调查过程中，降低用户的权限等级并限制访问范围等。,3. 操作需求 操作需求定义了执行入侵检测工作的具体过程。确定如何操作一个入侵检测系统将极大地影响系统部署的总体有效性。不同的操作方式类型将包含不同的操作需求，具体的操作方式包括 后台操作、按需操作、预定操作、实时操作和全天候操作。 后台操作需要入侵检测系统在后台自动地运行，而不需要人力干预。在此方式下，代理和传感器需要自动收集各种数据，例如网络数据包和事件日志，然后将这些数据发送到某个处理点进行集聚处理。最大化的后台操作，能够减少对外部资源的需求并减少资金需求，但是存在的最大风险是，如果没有人的及时参与，系统的性能指标将可能逐步降低并导致部件故障和系统崩溃。, 按需操作也可以减少对外部资源的需求。为了满足按需操作，系统应该提供安全管理员在特定时候进行各种按需任务的操作能力，例如调查某个可疑的用户活动。按需操作通常与后台操作结合起来，能够利用有限的资源获得较好的检测效果。例如，对特定用户行为模式的跟踪，系统可以在后台自动处理当前用户活动的信息，而在每天较为空闲的时段里（通常是深夜）用来执行更新用户全天行为模式的任务。 预定操作有利于在资源有限的情况下，执行资源密集型的工作任务，例如周期性的大量数据传送和对系统的周期性维护工作等。预定操作能够减少完成重复性任务的资源需求。具体的需求包括： 在设定的时间内或者按照设定的频率，传送各个检测,部件的统计信息和报表信息等；每天集中对各个系统部件进行一次维护工作，包括修改规则配置、重新应用审计策略等。 实时操作在提供用户期望性能需求的同时，还带来了很大的资源开销。尽管很多情况下，执行大多数的检测任务并不需要实时操作，但是对于某些特定的应用而言，实时操作需求是关键的任务需求。例如，对关键服务程序的攻击行为，包括对电子商务Web站点的拒绝服务攻击、对关键数据库服务器的漏洞发掘等，必须要执行实时的检测工作。 全天候操作主要是针对大型的网络基础设施不间断地实时地进行威胁检测和响应工作。全天候操作的代价很高，通常是在某些行业内存在的特殊需求时使用。,4. 平台范围需求 通常用户会从运行平台范围的角度提出自己的需求，例如入侵检测系统所能处理的网络协议类型、所能运行的操作系统平台类型以及能够监控的计算机和应用程序范围等。平台范围需求通常描述了用户需要监控的目标网络组件类型。 例如，用户提出系统应该具备在Solaris和Windows 2000上的网络结点检测性能；或者是要求系统能够检测针对特定应用程序的攻击行为，包括Web站点和电子邮件服务器等。,5. 数据来源需求 用户还会提出数据来源的需求，即系统能够监控哪些输入的审计数据源。不同行业内的信息系统通常由不同类型的主机、操作系统和应用程序组成，因此拥有不同类型、种类繁多的审计数据源，并且各种审计数据源都具备不同的安全性能。对于网络数据来源而言，现在大多数的网络系统都建筑在TCP/IP协议之上；但是，对于某些遗留网络而言，可能存在着其他的网络协议，例如X.25和令牌环网等。 其他的数据来源需求，还可能包括能够分析防火墙日志信息、路由器日志，以及SNMP网管日志等的能力。,6. 检测性能需求 入侵检测系统具有通用的性能需求，同时不同类型的入侵检测技术各自具备自己的性能需求指标。 传统的基于网络入侵检测，性能指标通常包括所能监控的网络带宽情况，例如100MHz或者1000MHz的以太网上的检测工作是否能够顺利展开。具体的参数包括在负载为百分之多少时网络分组的丢失率应该小于某个阈值。此外，还要考虑在交换式网络环境下和加密情况下的性能需求。 网络结点入侵检测，关注的性能需求指标主要是网络环境中各结点数据的关联分析性能，即能够对多少个独立网络结点的检测结果进行关联分析，从而获得对整个网络安全状态的评估结果。, 基于主机的入侵检测，性能需求主要来自于目标监控系统日志产生的速度以及系统处理审计记录的速度要求。例如，假定目标系统中包含10台主机系统，而每台主机每小时独立生成10MB的日志记录，则要求入侵检测系统能够达到每小时处理100MB日志数据的性能指标。 应用程序入侵检测是基于主机入侵检测的一个特例，其性能需求包括主机入侵检测的参数指标。特别之处在于,需要注意从各种特定应用程序处收集数据的性能需求，尤其是在需要进行实时的应用程序安全分析时，此种性能需求更为重要。, 对于分布式的入侵检测系统，要注意特有的性能需求情况。首先，分布式入侵检测系统在控制台和检测组件通常会发生大量的双向通信流量，因此它们之间通信接口性能的好坏将会极大影响整个入侵检测系统的总体性能。其次，不同的网络规模和监控要求会提出系统所能监控结点数目的性能需求，更加细化的指标是每个分析控制点能够同时管理多少个检测组件的数目需求。,7. 可伸缩性需求 前面所述的分布式入侵检测系统的性能要求反映了可伸缩性需求的一个方面，另一个方面是系统部署和操作方面的可伸缩性要求。,8. 取证和诉讼需求 如果要把入侵检测系统用于法律起诉用途的工具，则需要满足相关的取证和诉讼需求。为了满足取证和诉讼的需求，则需要确定如何设计系统，能够确保证据的可信度和说服力以及具备完整的法律效力，包括如何选择恰当的审计数据源，如何充分保证数据的处理过程满足诉讼要求等。 许多用于诉讼的需求是与具体过程相关的，这些需求确定了在调查期间的各个阶段需要何种安全等级的数据。,9. 其他需求 入侵检测系统还需要满足其他的需求，例如用于损伤情况评估的需求和尽可能减少对目标系统性能影响的需求等。,1. 机制的经济性原则 该原则提倡保护机制的设计应该在有效的前提下，尽量保持实现简单。在正常无错误的条件下，保护机制通常都能够生效。保护机制的设计必须足够简单明了，以便能够通过手工检查方式或者数学证明方式来进行有效的正确性和有效性评估验证过程。 另外一个考虑因素是，任何复杂系统必然会导致出错的倾向性大于简单系统。简单明确的系统设计，将会大大降低出现故障和错误的概率。,9.2 系统安全设计原则,2. 可靠默认原则 可靠默认原则是指保护机制的设计应该确保在默认的情况下，任何主体没有访问的特权，而保护机制的设计应该指出在哪些特定的条件下允许访问操作。 如果保护机制没有遵循可靠默认原则，例如在默认情况下允许所有访问请求，则在机制失效情况下，它就会允许所有的访问操作，其中就会存在潜在的攻击威胁，而此种情况在实际损失造成之前很难为人所觉察。 可靠默认原则的一个拓展情况就是，在系统设计和实现中的每个资源访问点上，都必须确保在进行实际的访问操作时，必须首先执行特定的操作来获得所需的授权；否则系统应该拒绝后继的操作。,3. 完全调节原则 该原则要求保护机制检查对每个对象的每次访问操作，必须确保该次操作得到了合理的授权。遵循此原则并系统地实施之，可以避免一些最常见的安全脆弱性。 事实上，如果在保护机制的设计过程中，完全和系统地贯彻此原则，将构成整个机制设计安全保护的最关键基础。另外，值得注意的是，该原则要求访问的完全授权，从而能够增强系统的安全性；但是其并不能确保授权完毕后与进行实际操作之间存在的时间间隔内，授权的状态不会发生变化。因此，需要在具体的实现过程中，保证授权状态检查与实际操作的一致性。,4. 开放设计原则 开放设计的原则要求保护机制的设计不应该建立在攻击者对机制原理一无所知的假设基础之上。实施开发设计原则的一个原因就是保护机制的支持者都需要检查保护机制的设计，以确保该保护机制的安全等级具备足够的信任度来满足实际需求。因此，该保护机制必须能够接受其他人的全面测试，也包括攻击者的攻击测试，来检验安全设计的质量等级。安全领域内较为明显地体现安全设计原则的例子就是密码算法的设计。 开放设计原则要求保护机制的系统设计对外开放，那么如何来保证保护机制的生效激活呢？一般来说，需要依赖于安全证书的形式来激活整个保护机制。,5. 特权分割原则 特权分割原则的基本要点在于不能够在满足一种条件的情况下，允许对对象的访问操作。一般来说，至少要满足两个特点条件后，才能够做出允许访问的决定。某些情况下，可以采用“双因子”的概念来描述该原则。,6. 最小权限原则 最小权限原则指的是系统中每个实体（包括用户和进程），都应该在其能够满足要求的最小权限下进行操作。所需权限只有在需要时才进行适当提升，以满足必要的条件；而在不需要时，则要进行降低，避免潜在的安全风险。 在入侵检测系统设计时，实施最小权限原则将能够限制实施攻击的机会，特别是考虑到攻击者有可能利用入侵检测系统作为后继攻击中介体的潜在威胁。,7. 最小通用原则 该原则的微妙之处在于要求系统设计时尽可能减少出现所有用户都依赖的通用机制，例如共享的通信信道和资源等。最小通用原则能够减少共享资源的各个用户之间出现因为疏忽而造成敏感信息泄漏的情况。 同时，该原则可以降低机制设计的复杂性，因为要为所有用户提供服务的通用机制通常要求复杂的数据处理技术，一旦出现故障，则会影响所有的相关用户。,8. 心理可接受原则 心理可接受原则，对于安全保护机制能否得到实际应用起到关键的作用。该原则的要点是保护机制的人机交互界面必须要直观明显，便于用户操作。 一个系统设计得再好，如果用户不去使用，也无法生效。所以，实际的系统设计中必须要切实根据操作环境和用户的特点，进行良好的界面设计工作。,图9-1 系统设计的生命周期,9.3 系统设计的生命周期,首先，设计者需要定义入侵检测的各个目标并且建立目标之间的优先级需求定义。在该阶段，设计者需要回答以下问题： 系统设计开发的目的是什么？ 谁将使用和操作这个系统？具备什么样的需求？ 系统的典型部署环境包括哪些网络资源和拓扑结构？ 可用的资源类型和限制因素是什么？ 系统所要面临的威胁类型包括哪些？ 需要具备哪些制定的特殊性能要求？ 在完成了需求定义阶段后，设计者需要进一步将这些需求定