《讲入侵检测技术》PPT课件.ppt

1,入侵检测技术,第十二讲,2,主要的传统安全技术 加密 消息摘要、数字签名 身份鉴别：口令、鉴别交换协议、生物特征 访问控制 安全协议： IPSec、SSL 网络安全产品与技术：防火墙、VPN 内容控制: 防病毒、内容过滤等,一、概述,防火墙是所有保护网络的方法中最能普遍接受的方法，能阻挡外部入侵者，但对内部攻击无能为力；无法防范数据驱动型的攻击，不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输等。,入侵检测（Intrusion Detection）对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 IDS（Intrusion Detection System，入侵检测系统）处于防火墙之后并对网络活动进行实时的检测。在许多情况下，由于可以记录和禁止网络活动，所以可以把入侵检测系统看作是防火墙的延续。它们可以配合防火墙和路由器工作。例如：IDS可以重新配置规则，禁止从防火墙外部进入的恶意流量。,入侵检测是对传统安全产品的补充和加强，是任何一个安全系统中不可缺的最后一道防线！,一、概述,IDS的需求特性 1. 实时性要求 尽快发现、阻止攻击、记录攻击过程、 2. 可扩展性要求 不需改动系统体系结构，仍能够检测新的攻击 3. 适应性要求 仍能适用多种应用环境和网络环境、跨平台工作 4. 安全性要求 预测新的攻击威胁，不能带来新的安全隐患 5. 有效性要求 错报与漏报能够控制在一定范围内,一、概述,入侵检测给予的重要前提是：非法行为和合法行为是可区分的。 入侵检测系统需要解决两个关键问题： 一是如何充分并可靠地提取描述行为特征的数据； 二是如何根据特征数据，高效并准确地判断行为的特征。,一、概述,IDS一般结构： IDS信息的收集和预处理。对来自网络系统不同节点（不同子网和不同主机）隐藏了的网络入侵行为的数据进行采集，如系统日志、网络数据包、文件与用户活动的状态和行为。 入侵分析引擎。对数据进行分析以寻找入侵。 响应和恢复系统。一旦发现入侵，IDS就会马上进入响应过程，并在日志、警告和安全控制等方面作出反应。,一、概述,7,信息收集 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。 需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，尽可能扩大检测范围 入侵检测很大程度上依赖于收集信息的可靠性和正确性。,一、概述,8,信息收集的来源 数据来源可分为四类： 来自主机的: 基于主机的监测收集通常在操作系统层的来自计算机内部的数据，包括包括系统日志、安全审计记录、系统配置文件的完整性情况和应用服务程序产生的日志文件等。 来自网络的: 网络信息是最被关注的信息来源。凡是流经网络的数据流都可以被利用作为入侵检测系统的信息源，其涉及的范围也最广。 来自应用程序的: 监测收集来自运行着的应用程序的数据，包括应用程序事件日志和其它存储在应用程序内部的数据 其他安全产品提供的信息：如防火墙、身份认证系统、访问控制系统和网络管理系统等产生的审计记录和通用消息等。,一、概述,9,信息分析 模式匹配（误用检测） 统计分析（异常检测） 完整性分析，往往用于事后分析,一、概述,10,统计分析 统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。 测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生,完整性分析 完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被安装木马的应用程序方面特别有效。,模式匹配 模式匹配就是将收集到的信息与已知的网络入侵特征数据库进行匹配比较，从而发现违背安全策略的行为。,一、概述,入侵检测性能关键参数 误报(false positive)：如果系统错误地将非入侵行为（异常行为）定义为入侵。 漏报(false negative)：如果系统未能检测出真正的入侵行为。,11,一、概述,12,IDS分类 按照分析方法 异常检测模型（Anomaly Detection ): 首先统计归纳正常用户行为特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。 ,一、概述,13,前提： 建立完备的用户轮廓(Profile)集: 通常定义为各 种行为参数及其阀值，用于描述正常行为范围。阀值的设定 能保证异常活动集与入侵活动集相等 过程：监控量化 比较 判定 修正 指标：误报率；漏报率 特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义，因此能检测未知或变种的入侵。该方法的关键是异常阈值的选择。漏报率低,误报率高,一、概述,误用检测模型（Misuse Detection)： 收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。,14,一、概述,15,前提：所有的入侵行为都有可被检测到的特征 过程：监控 特征提取 匹配 判定 指标：误报率；漏报率 特点：对新的入侵行为或已知入侵行为的变种检测无 能为力 误报率低、漏报率高。 特征库实时更新困难。,一、概述,16,按系统各模块的运行方式 集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行 分布式：系统的各个模块分布在不同的计算机和设备上 根据时效性 脱机分析：行为发生后，对产生的数据进行分析 联机分析：在数据产生的同时或者发生改变时进行分析,一、概述,17,按照数据来源： 基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机。 基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行。 混合型：,一、概述,Internet,基于主机入侵检测系统工作原理,网络服务器1,客户端,网络服务器2,检测内容：系统调用、端口调用、系统日志、安全审记、应用日志,HIDS,HIDS,监视与分析主机的审计记录 可以不运行在监控主机上 能否及时采集到审计记录 如何保护作为攻击目标主机审计子系统,一、概述,19,基于网络的入侵检测系统（NIDS) NIDS的数据来源于网络上的数据流 NIDS截获网络中的数据包，提取其特征并与知识库中已 知攻击特征相比较，以进行攻击辨识。 NIDS通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的是数据流。,一、概述,Internet,NIDS,基于网络入侵检测系统工作原理,网络服务器1,客户端,网络服务器2,检测内容： 包头信息+有效数据部分,一、概述,在共享网段上对通信数据进行侦听采集数据 主机资源消耗少 提供对网络通用的保护 如何适应高速网络环境 非共享网络上如何采集数据,两类IDS比较,网络IDS 侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少,主机IDS 视野集中 易于用户自定义 保护更加周密 对网络流量不敏感,一、概述,基于主机的入侵检测系统,安装于被保护的主机中 主要分析主机内部活动 系统日志 系统调用 文件完整性检查 占用一定的系统资源 检测威胁 特权滥用 关键数据的访问及修改 安全配置的变化,二、入侵检测系统的设计原理,23,基于主机的入侵检测系统结构 基于主机的入侵检测系统通常是基于代理的，代理是运行在目标系统上的可执行程序，与中央控制计算机（命令控制台）通信。对于基于主机的IDS，一般来说直接将检测代理安装在受监控的主机系统上。 集中式：原始数据在分析之前要先发送到中央位置 分布式：原始数据在目标系统上实时分析，只有告警命令被发送给控制台。,主机代理,主机代理,主机代理,二、入侵检测系统的设计原理,24,集中式基于主机的入侵检测结构,二、入侵检测系统的设计原理,25,分布式基于主机的入侵检测结构,二、入侵检测系统的设计原理,26,分布式检测的优缺点 优点： 实时告警 实时响应 缺点： 降低目标机的性能 没有统计行为信息 没有多主机标志 没有用于支持起诉的原始数据 降低了数据的辨析能力,二、入侵检测系统的设计原理,集中式检测的优缺点 优点： 不会降低目标机的性能 统计行为信息 多主机标志、用于支持起诉的原始数据 缺点： 不能进行实时检测，实时响应 影响网络通信量,基于网络的入侵检测系统,安装在被保护的网段中 混杂模式监听 分析网段中所有的数据包 实时检测和响应 操作系统无关性 不会增加网络中主机的负载 检测威胁 非授权访问 数据/资源的窃取 拒绝服务,二、入侵检测系统的设计原理,28, 基于网络的入侵检测系统由遍及网络的传感器组成。该传感器又称为信息包嗅探器。通常是将其以太网卡设置为混杂模式，在混杂模式下，嗅探器可以看到网段中所有的网络通信量，不管其来源或目的地,二、入侵检测系统的设计原理,基于网络的入侵检测系统由遍及网络的传感器（Sensor)组成，传感器会向中央控制台报告。传感器通常是独立的检测引擎，能获得网络分组、找寻误用模式，然后告警。,基于网络的入侵检测系统结构,29,传统的基于传感器的入侵检测结构,将传感器分布到网络上的每台计算机上。每个传感器只检查流经它所驻留的计算机的网络分组，并将分组送往检测引擎。,二、入侵检测系统的设计原理,30,分布式基于网络的入侵检测结构,检测引擎安装在传感器计算机本身，中央控制台用于将来自多个传感器的告警相互关联起来。,二、入侵检测系统的设计原理,31,异常检测方法 统计异常检测 基于特征选择异常检测 基于贝叶斯推理异常检测 基于贝叶斯网络异常检测 基于神经网络异常检测 基于贝叶斯聚类异常检测 基于机器学习异常检测 基于数据挖掘异常检测,二、入侵检测系统的设计原理,入侵检测系统的入侵检测方法,误用检测方法 基于专家系统误用检测 基于特征分析误用检测 基于模型推理误用检测 基于条件概率误用检测 基于状态迁移误用检测 基于键盘监控误用检测,32,二、入侵检测系统的设计原理,专家系统误用检测,专家系统误用检测方法首先将安全专家的关于网络入侵行为的知识表示成一些类似 If-Then的规则，并以这些规则为基础建立专家知识库。规则中的If部分说明形成网络入侵的必需条件，Then部分说明发现入侵后要实施的操作。 入侵检测系统将网络行为的审计数据事件进行转换，成为包含入侵警告程度的判断事实，然后通过推理引擎进行入侵检测，当If中的条件全部满足或者在一定程度上满足时，Then中的动作就会被执行。,二、入侵检测系统的设计原理,专家系统误用检测需要处理大量的审计数据并且依赖于审计追踪的次序，在目前的条件下处理速度难以保证。 同时，对于各种网络攻击行为知识进行规则化描述的精度有待提高，审计数据有时不能提供足够的检测所需的信息。 专家系统只能检测出以往发现过的入侵行为，要检测出新的入侵，必须及时添加新的规则，维护知识库的工作量很大。,二、入侵检测系统的设计原理,特征分析误用检测,在商业化产品的入侵检测系统中，特征分析技术的运用较多。 特征分析误用检测与专家系统误用检测一样，也需要搜集关于网络入侵行为的各种知识。 专家系统误用检测由于运行效率的问题，还没有得到普遍的采用， 而特征分析更直接地使用各种入侵知识。 特征分析误用检测将入侵行为表示成一个事件序列或者转换成某种可以直接在网络数据包审计记录中找到的数据样板，而不进行规则转换，这样可以直接从审计数据中提取相应的数据与之匹配，因此不需要处理大量的数据，从而提高了运行效率。,二、入侵检测系统的设计原理,基于条件概率误用入侵检测方法,条件概率误用检测方法将网络入侵方式看作一个事件序列，根据所观测到的各种网络事件的发生情况来推测入侵行为的发生。,二、入侵检测系统的设计原理,37,其他方法 基于生物免疫的入侵检测 基于生理免疫系统和计算机系统保护机制之间显著的相似性，New Mexico大学的学者Steven Andrew Hofmeyr提出了对计算机安全的全新看法，即自免疫系统。这种系统具备执行“自我/非自我”决定的能力，,二、入侵检测系统的设计原理,38,基于伪装的入侵检测 基于伪装的入侵检测通过构造一些虚假的信息提供给入侵者，如果入侵者使用这些信息攻击系统，那么就可以推断系统正在遭受入侵，并且还可以诱惑入侵者，进一步跟踪入侵的来源 检测到入侵后，把攻击者引导到经过特殊装备的诱骗服务器上，这些服务器可以模拟关键系统的文件系统和其它系统特征，引诱攻击者进入，记录下攻击者的行为，从而获得关于攻击者的详细信息。 诱骗服务器： 蜜罐（ Honey Pot）和沙箱, Manhunt, Mantrap,二、入侵检测系统的设计原理,协议分析加命令解析技术是一种新的入侵检测技术，它结合高速数据包捕捉、协议分析和命令解析来进行入侵检测，给入侵检测战场带来了许多决定性的优势,由于有了协议分析加命令解析的高效技术，基于运行在单个Intel架构计算机上的入侵检测系统的千兆网络警戒系统，就能分析一个高负载的千兆以太网上同时存在的超过300万个连接，而不错漏一个包,协议分析 命令解析,二、入侵检测系统的设计原理,协议分析充分利用了网络协议的高度有序性，使用这些知识快速检测某个攻击特征的存在,协议分析,因为系统在每一层上都沿着协议栈向上解码，因此可以使用所有当前已知的协议信息，来排除所有不属于这一个协议结构的攻击。,二、入侵检测系统的设计原理,解析器是一个命令解释程序，入侵检测引擎包括了多种不同的命令语法解析器，因此，它能对不同的高层协议如Telnet、FTP、HTTP、SMTP、SNMP、DNS等的用户命令进行详细的分析。 命令解析器具有读取攻击串及其所有可能的变形，并发掘其本质含义的能力。这样，在攻击特征库中只需要一个特征，就能检测这一攻击所有可能的变形。 解析器在发掘出命令的真实含义后将给恶意命令做好标记，主机将会在这些包到达操作系统、应用程序之前丢弃它们。,命令解析,二、入侵检测系统的设计原理,IDS属于检测的环节，一旦检测到入侵或者攻击，必须尽快地做出响应，以保证信息系统的安全 IDS的响应机制： 弹出窗口报警 E-mail通知 切断TCP连接 执行自定义程序 与其他安全产品交互 Firewall：向防火墙提交进行恶意攻击的IP地址及其他相关信息，防火墙动态添加规则，禁止该地址通过或者访问特定主机的服务 SNMP Trap：向SNMP Trap代理发送保护警报信息的事件，以便通知基于snmp的管理平台,二、入侵检测系统的设计原理,IDS的响应机制,IDS与Firewall联动,通过在防火墙中驻留的一个IDS Agent对象，以接收来自IDS的控制消息，然后再增加防火墙的过滤规则，最终实现联动,二、入侵检测系统的设计原理,基于网络的入侵检测系统的部署 根据检测器部署位置的不同，入侵检测系统具有不同的工作特点。 用户需要根据自己的网络环境以及安全需求进行网络部署，以达到预定的网络安全需求。 总体来说，入侵检测的部署点可以划分为4个位置：DMZ区、外网入口、内网主干、关键子网,外网入口部署点位于防火墙之前，在这个位置上，入侵检测器可以检测到所有来自外部网络的可能的攻击行为并进行记录，这些攻击包括对内部服务器的攻击、对防火墙本身的攻击以及内网机器不正常的数据通信行为。,DMZ区部署点在DMZ区的总口上，这是入侵检测器最常见的部署位置。可以检测到所有针对用户向外提供服务的服务器进行攻击的行为，使入侵检测器发挥最大的优势，,内网主干部署点可以检测所有通过防火墙进入的攻击以及内部网向外部的不正常操作，并且可以准确地定位攻击的源和目的，方便系统管理员进行针对性的网络管理,有一些关键子网存有关键性数据和服务。比如资产管理子网、财务子网、员工档案子网等。通过对这些子网的安全检测，可以检测到来自内部以及外部的所有不正常的网络行为，有效地保护关键数据,二、入侵检测系统的设计原理,具体的部署,NIDS的位置必须要看到所有数据包 共享媒介HUB 交换环境 隐蔽模式 千兆网 分布式结构 Sensor Console,二、入侵检测系统的设计原理,46,一个网络I