入侵检测技术原理及应用.ppt

第十二讲 入侵检测技术 原理及应用,2,主要内容,入侵检测系统定义和模型 入侵检测系统的发展历史 入侵检测系统的原理,3,主要内容,入侵检测系统定义和模型 入侵检测系统的发展历史 入侵检测系统的原理,4,入侵及入侵检测系统的定义,入侵 绕过系统安全机制的非授权行为。 危害计算机、网络的机密性、完整性和可用性或者绕过计算机、网络的安全机制的尝试。入侵通常是由从互联网访问系统的攻击者、或者试图获得额外或者更高的非法权限的授权用户等引起的。 入侵检测 是一种对计算机系统或网络事件进行监测并分析这些入侵事件特征的过程。 入侵检测系统 自动进行这种监测和分析过程的软件或硬件产品。,5,入侵检测（Intrusion Detection），顾名思义，便是对入侵行为的发觉 它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象 入侵检测系统（Intrusion Detection System,简称IDS）是进行入侵检测的软件与硬件的组合 与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行,入侵检测技术简介,6,监测并分析用户和系统的活动 核查系统配置和漏洞 评估系统关键资源和数据文件的完整性 识别已知的攻击行为 统计分析异常行为 操作系统日志管理，并识别违反安全策略的用户活动 实时通知,入侵检测系统的主要功能,7,IDS产品常见结构,控制台 CONSOLE,传感器 SENSOR,传感器 SENSOR,传感器 SENSOR,传感器 SENSOR,传感器 SENSOR,8,IDWGIntrusion Detection Working Group,IDWG:入侵检测工作组 /html.charters/idwg-charter.html 目的： 定义数据格式 定义交换流程 输出 需求文件 公共入侵检测语言规范 框架文件 目前成果 尚未形成正式标准，形成 4个草案,9,IDWG通用IDS模型,入侵检测系统（IDS） 一个或多个下列组建的组合：传感器、分析器和管理器。 安全策略 预定义的、正式的成文的说明，它定义了组织机构内网络或特定主机上允许发生的目的为支持组织机构要求的活动。它包括但不限于下列活动：哪一台主机拒绝外部网络访问等。,IETF IDWG（Intrusion Detection Working Group） Draft：Intrusion Detection Message Exchange Requirements ,10,CIDFCommon Intrusion Detection Framework,历史 DARPA（Defense Advanced Research Projects Agency）的Teresa Lunt女士提出 Stuart Staniford-Chen对CIDF概念进行拓宽 通用入侵检测框架Common Intrusion Detection Framework 体系结构的IDS模块 用于审计数据和数据传送的规范 CIDF信息 /cidf/spec/cidf.txt /gost/cidf/,11,标准API E 事件生成器 A 事件分析器 D 事件数据库 C 系统特定的控制器,CIDF通用入侵检测框架,标准接口 - 数据搜集、分析和响应组件的互连框架 - 可扩展的体系 - 核心技术的重用 - 方便技术转让 - 减少成本 IDS框架、分层通信、CISL语言、API,12,CVECommon Vulnerabilities and Exposures,CVE：Common Vulnerabilities and Exposures 是脆弱性和其他信息安全暴露的标准化名称的列表CVE的目标是标准化命名所有公共已知的脆弱性和安全暴露 网址：/ CVE是： A Dictionary, NOT a Database A Community-Wide Effort Freely Available for Review or Download 以上内容：/about/,13,入侵检测系统概述功能,入侵检测是网络防火墙的逻辑补充，扩展了系统管理员的安全管理能力，提供了安全审计、监控、攻击识别和响应 入侵检测系统主要执行功能： 监控和分析用户和系统活动 审计系统配置和脆弱性 评估关键系统和数据文件的完整性 识别活动模式以反应已知攻击 统计分析异常活动模式 操作系统审计跟踪管理，识别违反策略的用户活动,14,主要内容,入侵检测系统定义和模型 入侵检测系统的发展历史 入侵检测系统的原理,15,入侵检测系统的历史,1980年 James P. Anderson 可以使用审计记录以标识误用 威胁分类的分类学 建议在审计子系统的基础上进行改进以检测误用,16,入侵检测系统的历史,1985 年 SRI由美国海军（SPAWAR）资助以建立Intrusion Detection Expert System(IDES)入侵检测专家系统（IDES） 的初步原型。 第一个系统中同时使用了statistical and rule-based基于统计和基于规则的方法。,17,入侵检测系统的历史,1986 年 Dorothy Denning 发表了“An Intrusion-Detection Model-一个入侵检测的模型” ，入侵检测领域开创性的工作。 基本的行为分析机制。 一些可能的实现系统的方法。,18,入侵检测系统的历史,1989 年 Todd Heberlien，California, Davis大学的一个学生 写了Network Security Monitor(NSM)网络安全监视器（NSM），系统设计用于捕获TCP/IP包并检测异构网络中的异常行动。 网络入侵检测诞生,19,入侵检测系统的历史,1992 年 计算机误用检测系统（CMDS）Computer Misuse Detection System(CMDS) Screen Application International Corporation(SAIC) 基于在海军报告调查中完成的工作 Stalker （ Haystack Labs. ） 基于为空军完成的原Haystack工作，第一个商业化的主机IDS，用于UNIX,20,入侵检测系统的历史,1994 年 A group of researchers at the 空军加密支持中心（Air Force Cryptological Support Center）的一组研究人员创建了鲁棒的网络入侵检测系统，ASIM，广泛用于空军。 来自于一家商业化公司 Wheelgroup的开发人员开始商业化网络入侵检测技术。,21,入侵检测系统的历史,1997 年 Cisco收购了 Wheelgroup并开始将网络入侵检测加入路由器中。 Internet Security Systems发布了 Realsecure，Windows NT的网络入侵检测系统。 开始了网络入侵检测的革命。,22,入侵检测系统的历史,1998 年 Centrax公司发布了 eNTrax，用于Windows NT的分布主机入侵检测系统 Centrax是由CMDS的开发人员组成，后来加入了建立Stalker的技术队伍。,23,主要内容,入侵检测系统定义和模型 入侵检测系统的发展历史 入侵检测系统的原理,24,入侵检测产品分类,按技术 特征检测 异常检测 按监测对象 网络入侵检测 ( NIDS ) 主机入侵检测 ( HIDS ),25,特征检测 Signature-based detection,原理： 假设入侵者活动可以用一种模式来表示 系统的目标是检测主体活动是否符合这些模式。 特征检测可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。 难点： 如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。 常用方法： 模式匹配。,26,异常检测 Anomaly detection,原理 假设入侵者活动异常于正常主体的活动 念建立主体正常活动的“活动简档” 将当前主体的活动状况与“活动简档”相比 当违反统计规律时，认为该活动可能是“入侵”行为 难点 异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。 常用方法 概率统计。,27,NIDS,大多数入侵检测厂商采用的产品形式。 通过捕获和分析网络包来探测攻击。网络入侵检测可以在网段或者交换机上进行监听，来检测对连接在网段上的多个主机有影响的网络通讯，从而保护那些主机。,28,网络入侵检测优点,网络通信检测能力 NIDS能够检测那些来自网络的攻击 它能够检测到超过授权的非法访问 对正常业务影响少 NIDS不需要改变服务器等主机的配置 由于它不会在业务系统中的主机中安装额外的软件 从而不会影响这些机器的CPU、I/O与磁盘等资源的使用 不会影响业务系统的性能,29,网络入侵检测优点,布署风险小 NIDS不像路由器、防火墙等关键设备方式工作 它不会成为系统中的关键路径 NIDS发生故障不会影响正常业务的运行 布署NIDS的风险比HIDS的风险来得少得多 定制设备，安装简单 NIDS近年内有向专门的设备发展的趋势 安装NIDS系统非常方便 只需将定制的备接上电源，做很少一些配置，将其接上网络即可,30,网络入侵检测弱点,共享网段的局限 NIDS只检查它直接连接网段的通信 NIDS不能监测在不同网段的网络包 交换以太网环境中就会出现它的监测范围的局限 多传感器系统会使布署成本增加 性能局限 NIDS为了性能目标通常采用特征检测的方法 它可以高效地检测出普通的一些攻击 实现一些复杂的需要大量计算与分析时间的攻击检测时，对硬件处理能力要求较高,31,网络入侵检测弱点,中央分析与大数据流量的矛盾 NIDS可能会将大量的数据传回分析系统中，会产生大量的分析数据流量 采用以下方法可减少回传的数据量： 对入侵判断的决策由传感器实现，而中央控制台成为状态显示与通信中心，不再作为入侵行为分析器 这样的系统中的传感器协同工作能力较弱,32,网络入侵检测弱点,加密通信 NIDS处理加密的会话过程时，会参与解密操作 目前通过加密通道的攻击尚不多 随着IPv6的普及，这个问题会越来越突出,33,HIDS,基于主机的入侵检测产品（HIDS）通常是安装在被重点检测的主机之上。 主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律)，入侵检测系统就会采取相应措施。,34,主机入侵检测优点,入侵行为分析能力 HIDS对分析“可能的攻击行为”非常有用 除了指出入侵者试图执行一些“危险的命令”之外 还能分辨出入侵者干了什么事： 运行了什么程序、打开了哪些文件、执行了哪些系统调用 HIDS比NIDS能够提供更详尽的相关信息 误报率低 HIDS通常情况下比NIDS误报率要低,35,主机入侵检测优点,复杂性小 因为监测在主机上运行的命令序列比监测网络流来得简单 网络通信要求低 可布署在那些不需要广泛的入侵检测 传感器与控制台之间的通信带宽不足的情况下 布署风险 HIDS在不使用诸如“停止服务” 、“注销用户”等响应方法时风险较少,36,主机入侵检测弱点,影响保护目标 HIDS安装在需要保护的设备上 可能会降低应用系统的效率 带来一些额外的安全问题 如：安装了HIDS后，将本不允许安全管理员有权力访问的服务器变成他可以访问的了 服务器依赖性 依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必需重新配置，这将会给运行中的业务系统带来不可预见的性能影响,37,主机入侵检测弱点,全面布署代价与主机盲点 全面布署主机入侵检测系统代价较大 若选择部分主机保护 那些未装HIDS的机器将成为保护的盲点 入侵者可利用这些机器达到攻击目标 工作量随主机数目线性增加 HIDS主机入侵检测系统除了监测自身的主机以外 根本不监测网络上的情况 对入侵行为的分析的工作量将随着主机数目增加而增加,38,实时分析的方法 实时系统可以不间断地提供信息收集、分析和汇报，实时系统提供了多种实时报警，并对攻击自动做出反应 事后分析的方法 在事后分析的方法中，入侵检测系统将事件信息的记录到文件中，并且由入侵检测系统在事后对这些文件进行分析，找出入侵或误用的特征,IDS信息的收集和分析的时间,39,改变被攻击系统的环境 断开进攻者使用的连接 重新配置网络设施 这种响应机制可让系统管理员在职权范围内采取主动措施，使被检测到的攻击造成的损失最小化 实时通知 即时发送的与事件有关的信息，通知重要人员 电子邮件、寻呼机、手机短消息、传真等,对误用或入侵的响应,40,入侵检测技术发展方向,高速网络的数据分析能力 分布式入侵检测与通用入侵检测架构 智能的入侵检测 入侵检测的评测方法 与其它网络安全技术相结合,41,使用网络协处理器提高处理能力,42,收到报警,攻击检测,主动响应,产生临时阻挡策略,内部违规用户,攻击,报警、记录,阻断入侵行为,网络入侵检测系统(NIDS)工作流程,NIDS,控制台,43,NIDS传感器的部署位置,Internet,路由器,防火墙,核心交换机,Web 服务器,电子邮件服务器,FTP 服务器,DMZ公共服务,网管服务,内部服务,办公区,办公自动化,数据库,办公用户,办公用户,办公用户,IDS管理中心,部署位置 1 优点： 记录源自于互联网目标为本地网络的攻击次数 记录源自于互联网目标为本地网络的攻击类型,部署位置 2 优点： 查看源自于外部穿透网络边界防护的攻击 重点关注网络防火墙策略和性能的问题 查看目标针对于DMZ区中Web/邮件等服务器的攻击