防火墙与入侵检测八入侵检测技术的发展趋势.ppt

第八章入侵检测技术的发展趋势,攻击技术的发展趋势 入侵检测技术的发展趋势,攻击技术的发展趋势,攻击行为的复杂化和综合化 入侵者不再单纯地使用某一种手段对系统进行攻击，而是同时采用多种手段。入侵者通常综合地使用多种嗅探方法尽量全面地获得用户系统的服务和结构特性，随后根据获得的信息有针对性地采用多种渗透和攻击方法，最大限度地确保入侵行为的成功实施。多种攻击行为往往掩盖了入侵者的真实目的，使得系统难于进行分析和判断。,攻击技术的发展趋势,攻击行为的扩大化 随着计算机技术的普及，针对主机或者网络的攻击行为再也不是只能由一小撮高手才能进行的游戏，任何感兴趣的人都可以通过非常容易获得的各种攻击工具完成针对目标系统的入侵，而且这种行为往往造成目标系统的严重损失。很多恶意的或者心存不满的人甚至相互敌对的国家都已经认识到了这一点，这几年层出不穷的计算机安全案件以及数次国家间的战争行动都证明了计算机系统攻击行为的巨大破坏力。,攻击技术的发展趋势,攻击行为的隐秘性 其实保证攻击行为的隐秘性是攻击技术的一个经典话题，简单说就是如何使得受害者不能找到罪犯。随着计算机技术研究的不断深入，人们对计算机系统本身以及网络与协议的特性的认识越来越深刻，有更多的隐秘手段应用到了攻击技术中。诸如间隔探测、乱序探测、系统权限跃迁以及嵌套式入侵等多种方法都已经被广泛地使用，并且其操作的执行也愈加细致和精确，因此也就更加难于被发现和跟踪。,攻击技术的发展趋势,对防护系统的攻击 以往的攻击行为都是直接针对用户系统的资源和数据进行的，攻击操作都选择小心地避开用户系统的安全防护措施，因此操作上多有掣肘，难于达到攻击的目的。现在出现了攻击用户系统安全防护措施的趋势攻击者对安全防护措施进行试探和分析，获取安全防护措施的特性知识和漏洞信息，进而采取有针对性的操作使得防护措施失效或被旁路。其根本目的还是为了更容易且有效地获取用户系统的资源和数据。,攻击技术的发展趋势,攻击行为的网络化 单独的攻击主机的能力毕竟是有限的。而且受制于其所处的网络位置和连接特性，很多时候不能更好地执行攻击操作。此外，单独的攻击主机由于目标确定，也容易被用户系统的安全防护措施跟踪识别。网络化的攻击行为可以充分利用网络上多台傀儡主机的特点和能力，在短时间内执行很高强度的攻击操作，使得目标系统难于应对。而且真正的攻击者淹没在多台次傀儡主机的攻击行为之中，非常难于发现。此外，目标系统的安全防护措施穷于应付突如其来的攻击操作，无法付出更多的精力去跟踪识别谁是真正的入侵者。,入侵检测系统的设计考虑,用户需求分析 检测功能需求 足够的检测功能 发生在外部的针对本地网络的攻击行为进行有效检测，以期发现潜在的外部威胁 以网络入侵检测技术为主 在某些安全保护等级要求高的内部网络环境中，需对内部网络中用户的异常活动进行检测 主机入侵检测技术比较适用 难点：如何将非法操作和一定范围内的合法操作区分开来 跟踪任何用户对系统内关键对象和资源的访问情况，并建立正常访问的行为模式。 检测内部用户用来获取更高授权时所利用的常见漏洞发掘过程。,入侵检测系统的设计考虑,用户需求分析 响应需求 对所检测的异常行为进行响应 是否有可能被攻击者用来实施拒绝服务攻击 具体的响应需求 确认用户实施恶意攻击行为后，自动注销用户帐号 调查过程中，暂停用户帐号或降低用户的权限等级并限制访问范围,入侵检测系统的设计考虑,用户需求分析 操作需求 后台操作 不需要人力干预，代理和传感器需要自动收集各种数据，发送到某个代理点进行集聚处理 可能存在的风险：没有人的及时参与，系统的性能指标可能逐步降低并导致部件故障和系统崩溃 按需操作 系统提供安全管理员在特定时候进行各种按需任务的操作能力 通常与后台操作结合起来 预定操作 在设定的时间内或按照设定的频率，传送各个检测部件的统计信息和报表信息 每天集中对各个系统部件进行维护，包括修改规则配置、重新应用审计策略等,入侵检测系统的设计考虑,用户需求分析 操作需求 实时操作 全天候操作 针对大型的网络基础设施不间断的实时的进行威胁检测和响应工作 平台范围需求 数据来源需求 检测性能需求 基于网络入侵检测 网络带宽情况 网络节点入侵检测 各节点数据的关联分析性能 基于主机的入侵检测 目标监控系统日志产生的速度以及系统处理审计记录的速度要求。 应用程序入侵检测 需要注意从各种特定程序处收集数据的性能需求 分布式入侵检测 控制台和检测组件之间通信接口性能以及系统所能监控节点数目,入侵检测系统的设计考虑,系统安全设计原则 机制的经济性原则 在有效的前提下，尽可能保持实现简单 能够通过手工检查方式或者数学证明方式进行有效的正确性和有效性评估验证过程 复杂系统必将导致出错的倾向性大于简单系统 可靠默认原则 保护机制的设计应该确保在默认情况下，任何主体没有访问的特权，而保护机制的设计应该指出在哪些特定的条件下允许访问操作。 完全调节原则 保护机制检查对每个对象的每次访问操作，必须确保该次操作得到了合理的授权,入侵检测系统的设计考虑,系统安全设计原则 开放设计原则 保护机制的设计不应建立在攻击者对机制原理一无所知的假设基础上 特权分割原则 一般来说，需要至少满足两个特点条件后，才能做出允许访问的决定 最小权限原则 系统的每一个实体，都应该在其能够满足要求的最小权限下进行操作 最小通用原则 系统设计时尽可能减少出现所有用户都依赖的通用机制 心理可接受原则,入侵检测的响应问题,响应策略的确定 紧急行动 立即跟踪当前正在发生的入侵攻击行为 启动安全事件处理程序 尽可能控制损害发生的范围并阻止后继攻击的进一步进行 通知负责信息安全执法的职能部门或其他相关组织 恢复遭到攻击而停顿的关键任务服务系统 及时行动 对已经确认检测到的攻击行为，采取相应的响应措施 手工检查系统的异常活动模式 调查安全事件发生的根源并对其实施安全隔离操作 采取补救措施来尝试改正和纠正这些问题 通报详细报告信息 修正或者增添入侵检测的规则或者特征库 法律措施和安全通报等,入侵检测的响应问题,响应策略的确定 本地的长期行动 编制安全事件的统计报表并适时进行数据的趋势分析工作 追踪历史上出现过的入侵攻击模式 全局的长期行动 将发现的软件产品中的漏洞及时通报给生产厂商，并要求进行及时的答复和产品升级服务 与政府只能部门和立法部门等进行积极有效的沟通，推动相关的安全立法工作 向执法部门和权威的安全组织等发送关于安全事件的统计报表，并使其及时向全社会公布,入侵检测的响应问题,选择恰当的响应类型 主动响应 在发现异常攻击活动后，采取某些响应手段或措施阻塞实施攻击的进程或者改变受攻击的网络环境配置，从而达到阻止入侵危害性后果的发生或尽可能减少危害性后果的目的，手段措施包括： 对入侵者采取反击措施 切断当前异常网络TCP连接 自动修补目标系统的安全漏洞、动态更改检测系统的检测规则集合，甚至包括与“蜜罐”系统密切合作，积极收集攻击行为的信息和入侵证据,入侵检测的响应问题,选择恰当的响应类型 被动响应 仅仅报告和记录所检测到的异常活动信息 警报窗口 远程告警 日志记录 发送网关信息,未来需求和技术发展前景,现有入侵技术的局限性 对网络入侵检测技术而言，主要面临问题： 高速网络环境下的检测问题 交换式网络环境下的检测问题 加密的问题 对主机入侵检测技术而言，主要面临问题： 对系统性能的影响 部署和维护的问题 安全问题 通用性的问题 虚假警报问题 可扩展性问题 管理问题 支持法律诉讼 互操作性问题,入侵检测技术的发展趋势,标准化的入侵检测 由于用户对于入侵检测技术的需求日益增高，越来越多的安全企业投身于入侵检测系统的研发工作。多种各具特色的入侵检测系统出现在市场上并为厂家带来了巨大的利益。但是各种入侵检测系统之上没有一个统一的标准，使得各种系统之间难于交换数据，不能实现协同工作。虽然已经有了CIDF（ Common Intrusion Detection Framework ）模型和IDEMF（ Intrusion Detection Message Exchange Format ）标准等种种努力，但是它们的工作进展缓慢，还没有制定出一个可以被广泛接收的标准。总之，入侵检测系统架构的通用化以及实现的标准化是入侵检测技术发展的必然趋势。,入侵检测技术的发展趋势,高速入侵检测 随着网络连接线路质量和性能的不断提高以及网络数据连接和交换技术的飞速发展，各种高速网络的应用也越来越广泛。小到普通家庭的宽带介入，大到基于光信号传输技术的通信骨干网，高速、海量的信息交换为人们带来了一个全新的未来。当然，同时也带来了不能忽视的安全问题在这种高速、海量的数据交互环境下如何实现安全检测。传统的入侵检测技术受制于数据的处理能力而无法适应这种高速的网络。未来的发展趋势是重新设计入侵检测系统的软件结构和算法提高数据处理能力，重新设计检测模块符合新出现的高速网络传输协议的需要，采用诸如数据分流等新的部署实现结构进一步增强对大规模数据的适应性。,入侵检测技术的发展趋势,大规模、分布式的入侵检测 基于主机的入侵检测技术只适用于特定的主机系统。而目前的基于网络的入侵检测技术虽然采用的是分布式的检测方式，但是还需要一个中心模块进行管理，具有单失效点的固有缺陷。这些问题决定了目前的入侵检测技术难于适合普遍存在的大规模异构网络的安全需求。虽然有普度大学融入了协同工作思想的AAFID系统等努力，但入侵检测技术在这个方向上还有很长的路要走。需要重点研究解决的关键问题有如何及时有效地获取异种主机以及异构网络上的安全信息，如何有效地组织检测模块之间的协同工作，如何在系统的各组成部分之间完成信息的交换以及这种类型的入侵检测系统要采用什么样的架构。,入侵检测技术的发展趋势,多种技术的融合 入侵检测技术其实只提出了完成安全防护工作的目标，那么所有对完成安全防护工作有利的技术都可以应用到入侵检测系统中。这些技术包括适合于大规模数据分析和内容提取的数据挖掘技术、具有自修复和自学习能力的计算机免疫学技术、具备知识更新和学习能力的神经网络技术以及具备优化能力的遗传算法等等。这些新技术的应用可以提高入侵检测系统对于多种复杂的入侵行为的探测、识别和响应能力，能够大大增强用户系统的安全性。需要重点解决的关键问题是如何将这些技术平滑地融合进入侵检测系统中，而不损害这些技术的特有优势。,入侵检测技术的发展趋势,实时入侵响应 目前的入侵检测系统虽然有很多的告警和通知手段，但是只具备很低的实时响应能力。这是因为目前的入侵检测系统是一种被动的系统，不能作为系统行为的主动参与者融合进操作过程中去，而只能通过截获系统中的数据进行判断分析。这些截获、分析、判断以及响应等操作的延迟使得入侵检测系统无法立刻介入系统的行为过程。目前人们已经认识到了这一点，也提出了一些解决的办法，最受关注的应该是入侵防御系统IPS（Intrusion Protection System）。,入侵检测技术的发展趋势,入侵检测的评测 作为一种安全手段，如何评估入侵检测系统的性能时每一个用户需要面对的问题。由于入侵行为的多样性，入侵检测系统的特点也大相径庭。如何构建一套能够体现入侵检测技术特点以及用户安全需求的统一的评估标准和评估方法也是入侵检测技术必须完成的重要任务。从目前来看，对入侵检测的评测主要集中在攻击类型检测范围