入侵检测系统.ppt

入侵检测系统 IntrusionDetectionSystem IDS 2007 概述入侵检测方法入侵检测系统的设计原理入侵检测响应机制入侵检测标准化工作snort分析展望 概述入侵检测方法入侵检测系统的设计原理入侵检测响应机制入侵检测标准化工作其它展望 IDS存在与发展的必然性 一 网络攻击造成的破坏性和损失日益严重二 网络安全威胁日益增长三 单纯的防火墙无法防范复杂多变的攻击 IDS的作用 为什么需要IDS 单一防护产品的弱点防御方法和防御策略的有限性动态多变的网络环境来自外部和内部的威胁 为什么需要IDS 关于防火墙网络边界的设备 只能抵挡外部來的入侵行为自身存在弱点 也可能被攻破对某些攻击保护很弱即使透过防火墙的保护 合法的使用者仍会非法地使用系统 甚至提升自己的权限仅能拒绝非法的连接請求 但是对于入侵者的攻击行为仍一无所知 为什么需要IDS 入侵很容易入侵教程随处可见各种工具唾手可得 网络安全工具的特点 传统的信息安全方法采用严格的访问控制和数据加密策略来防护 但在复杂系统中 这些策略是不充分的 它们是系统安全不可缺的部分但不能完全保证系统的安全入侵检测 IntrusionDetection 是对入侵行为的发觉 它通过从计算机网络或计算机系统的关键点收集信息并进行分析 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象 入侵检测IntrusionDetection 入侵检测的定义 对系统的运行状态进行监视 发现各种攻击企图 攻击行为或者攻击结果 以保证系统资源的机密性 完整性和可用性入侵检测系统 进行入侵检测的软件与硬件的组合 IDS IntrusionDetectionSystem IDS基本结构 入侵检测系统包括三个功能部件 1 信息收集 2 分析引擎 3 响应部件 信息搜集 信息收集 入侵检测的第一步是信息收集 收集内容包括系统 网络 数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点 不同网段和不同主机 收集信息尽可能扩大检测范围从一个源来的信息有可能看不出疑点 信息收集 入侵检测的效果很大程度上依赖于收集信息的可靠性和正确性要保证用来检测网络系统的软件的完整性特别是入侵检测系统软件本身应具有相当强的坚固性 防止被篡改而收集到错误的信息 信息收集的来源 系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为 系统或网络的日志文件 攻击者常在系统日志文件中留下他们的踪迹 因此 充分利用系统和网络日志文件信息是检测入侵的必要条件日志文件中记录了各种行为类型 每种类型又包含不同的信息 例如记录 用户活动 类型的日志 就包含登录 用户ID改变 用户对文件的访问 授权和认证信息等内容显然 对用户活动来讲 不正常的或不期望的行为就是 重复登录失败 登录到不期望的位置以及非授权的企图访问重要文件等等 系统目录和文件的异常变化 网络环境中的文件系统包含很多软件和数据文件 包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标目录和文件中的不期望的改变 包括修改 创建和删除 特别是那些正常情况下限制访问的 很可能就是一种入侵产生的指示和信号入侵者经常替换 修改和破坏他们获得访问权的系统上的文件 同时为了隐藏系统中他们的表现及活动痕迹 都会尽力去替换系统程序或修改系统日志文件 分析引擎 分析引擎 模式匹配统计分析完整性分析 往往用于事后分析 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较 从而发现违背安全策略的行为一般来讲 一种攻击模式可以用一个过程 如执行一条指令 或一个输出 如获得权限 来表示 该过程可以很简单 如通过字符串匹配以寻找一个简单的条目或指令 也可以很复杂 如利用正规的数学表达式来表示安全状态的变化 统计分析 统计分析方法首先给系统对象 如用户 文件 目录和设备等 创建一个统计描述 统计正常使用时的一些测量属性 如访问次数 操作失败次数和延时等 测量属性的平均值和偏差被用来与网络 系统的行为进行比较 任何观察值在正常值范围之外时 就认为有入侵发生 完整性分析 完整性分析主要关注某个文件或对象是否被更改包括文件和目录的内容及属性在发现被更改的 被安装木马的应用程序方面特别有效 响应部件 响应动作 简单报警切断连接封锁用户改变文件属性最强烈反应 回击攻击者 入侵检测系统性能关键参数 误报 falsepositive 如果系统错误地将异常活动定义为入侵漏报 falsenegative 如果系统未能检测出真正的入侵行为 入侵检测系统的分类 1 按照分析方法 检测方法 异常检测模型 AnomalyDetection 首先总结正常操作应该具有的特征 用户轮廓 当用户活动与正常行为有重大偏离时即被认为是入侵误用检测模型 MisuseDetection 收集非正常操作的行为特征 建立相关的特征库 当监测的用户或系统行为与库中的记录相匹配时 系统就认为这种行为是入侵 入侵检测系统的分类 网络IDS 网络IDS NIDS 通常以非破坏方式使用 这种设备能够捕获LAN区域中的信息流并试着将实时信息流与已知的攻击签名进行对照 主机IDS 主机入侵检测系统 HIDS 是一种用于监控单个主机上的活动的软件应用 监控方法包括验证操作系统与应用调用及检查日志文件 文件系统信息与网络连接 混合型的 两类IDS监测软件 网络IDS侦测速度快隐蔽性好视野更宽较少的监测器占资源少 主机IDS视野集中易于用户自定义保护更加周密对网络流量不敏感 概述入侵检测方法 入侵检测系统的设计原理入侵检测响应机制入侵检测标准化工作其它展望 概述入侵检测方法入侵检测系统的设计原理 入侵检测响应机制入侵检测标准化工作其它展望 制订响应策略应考虑的要素 系统用户 入侵检测系统用户可以分为网络安全专家或管理员 系统管理员 安全调查员 这三类人员对系统的使用目的 方式和熟悉程度不同 必须区别对待操作运行环境 入侵检测系统提供的信息形式依赖其运行环境系统目标 为用户提供关键数据和业务的系统 需要部分地提供主动响应机制规则或法令的需求 在某些军事环境里 允许采取主动防御甚至攻击技术来对付入侵行为 响应策略 弹出窗口报警E mail通知切断TCP连接执行自定义程序与其他安全产品交互FirewallSNMPTrap 压制调速1 撤消连接2 回避3 隔离SYN ACKRESETs 自动响应 一个高级的网络节点在使用 压制调速 技术的情况下 可以采用路由器把攻击者引导到一个经过特殊装备的系统上 这种系统被成为蜜罐蜜罐是一种欺骗手段 它可以用于错误地诱导攻击者 也可以用于收集攻击信息 以改进防御能力蜜罐能采集的信息量由自身能提供的手段以及攻击行为数量决定 蜜罐 概述入侵检测方法入侵检测系统的设计原理入侵检测响应机制 入侵检测标准化工作其它展望 IDS标准化要求 随着网络规模的扩大 网络入侵的方式 类型 特征各不相同 入侵的活动变得复杂而又难以捉摸网络的安全要求IDS之间能够相互协作 能够与访问控制 应急 入侵追踪等系统交换信息 形成一个整体有效的安全保障系统需要一个标准来加以指导 系统之间要有一个约定 CIDF TheCommonIntrusionDetectionFramework http www gidos org drafts CIDF CIDF早期由美国国防部高级研究计划局赞助研究 现在由CIDF工作组负责 这是一个开放组织 实际上CIDF已经成为一个开放的共享的资源CIDF是一套规范 它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议符合CIDF规范的IDS可以共享检测信息 相互通信 协同工作 还可以与其它系统配合实施统一的配置响应和恢复策略CIDF的主要作用在于集成各种IDS 使之协同工作 实现各IDS之间的组件重用 所以CIDF也是构建分布式IDS的基础 CIDF规格文档 CIDF的规格文档由四部分组成 分别为 体系结构 阐述了一个标准的IDS的通用模型规范语言 定义了一个用来描述各种检测信息的标准语言内部通讯 定义了IDS组件之间进行通信的标准协议程序接口 提供了一整套标准的应用程序接口 通信层次 CIDF将各组件之间的通信划分为三个层次结构 GIDO层 GIDOlayer 消息层 Messagelayer 和传输层 NegotiatedTransportlayer 其中传输层不属于CIDF规范 它可以采用很多种现有的传输机制来实现消息层负责对传输的信息进行加密认证 然后将其可靠地从源传输到目的地 消息层不关心传输的内容 它只负责建立一个可靠的传输通道GIDO层负责对传输信息的格式化 正是因为有了GIDO这种统一的信息表达格式 才使得各个IDS之间的互操作成为可能 CISL ACommonIntrusionSpecificationLanguage CIDF的规范语言文档定义了一个公共入侵标准语言CISL 各IDS使用统一的CISL来表示原始事件信息 分析结果和响应指令 从而建立了IDS之间信息共享的基础CISL是CIDF的最核心也是最重要的内容 匹配服务法 匹配器 CIDF的匹配服务为CIDF各组件之间的相互识别 定位和信息共享提供了一个标准的统一的机制匹配器的实现是基于轻量目录访问协议 LDAP 的 每个组件通过目录服务注册 并公告它能够产生或能够处理的GIDO 这样组件就被分类存放 其它组件就可以方便地查找到那些它们需要通信的组件目录中还可以存放组件的公共密钥 从而实现对组件接收和发送GIDO时的身份认证 匹配器构成 通信模块 实现客户端 可为任何一个CIDF组件 与匹配代理之间的通信协议匹配代理 一个任务是处理从远端组件到它的客户端的输入请求 另一个任务是处理从它的客户端到远端组件的输出请求认证和授权模块 使一个组件能够鉴别其它组件 使客户端与匹配代理之间能够相互鉴别客户端缓冲区 使客户端能够对最近建立的一些关联信息进行缓冲存储 CIDF程序接口 CIDF的程序接口文档描述了用于GIDO编解码以及传输的标准应用程序接口 以下简称为API 它包括以下几部分内容GIDO编码和解码API GIDOEncoding DecodingAPISpecification 消息层API MessageLayerAPISpecification GIDO动态追加API GIDOAddendumAPI 签名API SignatureAPI 顶层CIDF的API Top LevelCIDFAPI 每类API均包含数据结构定义 函数定义和错误代码定义等 CIDF的应用 目前CIDF还没有成为正式的标准 也没有一个商业IDS产品完全遵循该规范 但各种IDS的结构模型具有很大的相似性 各厂商都在按照CIDF进行信息交换的标准化工作 有些产品已经可以部分地支持CIDF可以预测 随着分布式IDS的发展 各种IDS互操作和协同工作的迫切需要 各种IDS产品必须遵循统一的框架结构 CIDF将成为事实上的IDS的工业标准 产品 免费Snorthttp www snort orgSHADOWhttp www nswc navy mil ISSEC CID 产品 商业CyberCopMonitor NAIDragonSensor EnterasyseTrustID CANetProwler SymantecNetRanger CiscoNID 100 200 NFRSecurityRealSecure ISSSecureNetPro I 资源 IDSFAQ Snort分析 内容概要 Snort安装与配置Snort的使用Snort的规则Snort总体结构分析 Snort安装与配置 Snort是一个用C语言编写的开放源代码软件 符合GPL GNUGeneralPublicLicense 的要求 较新版本是1 8 其作者为MartinRoesch Snort称自己是一个跨平台 轻量级的网络入侵检测软件 实际上它是一个基于libpcap的网络数据包嗅探器和日志记录工具 可以用于入侵检测 从入侵检测分类上来看 Snort应该算是一个基于网络和误用的入侵检测软件 Snort简介 Snort由三个重要的子系统构成 数据包解码器检测引擎日志与报警系统 底层库的安装与配置 安装Snort所必须的底层库有三个 Libpcap提供的接口函数 主要实现和封装了与数据包截获有关的过程Libnet提供的接口函数 主要实现和封装了数据包的构造和发送过程NDISpacketcaptureDriver是为了方便用户在Windows环境下抓取和处理网络数据包而提供的驱动程序 底层库的安装与配置 以Libpcap为例 讲解库的安装 检查Libpcap解开压缩包 tar zxvflibpcap tar z正式安装 cdlibpcap configure make makecheck makeinstall Snort的安装 Linux环境下的安装 确认Libpcap已经安装成功 安装过程如下 tar zxvfsnort 1 8 tar gz cdsnort 1 8 configure make makeinstall Snort的安装 Solaris环境下的安装 确认Libpcap已经安装成功 在Solaris下 同样可以按照Linux下的步骤和方法使用源代码包进行安装 另外还提供了Solaris特有的PacketFormat包 安装方法则比较冷门一点 所以在此另行说明 安装过程如下 pkgtranssnort 1 8 sol 2 7 sparc local var spool pkg pkgadd在此选择 Mrsnort 选项进行安装即可 Snort的安装 Win32环境下的安装解开snort 1 8 win32 source zip用VC 打开位于snort 1 8 win32 source snort 1 7 win32 Prj目录下的snort dsw文件选择 Win32Release 编译选项进行编译在Release目录下会生成所需的Snort exe可执行文件 8 1 3Snort的安装 Snort的配置 配置Snort 不需要自已编写配置文件 只需对Snort conf文件进行修改即可设置网络变量配置预处理器配置输出插件配置所使用的规则集 Snort的使用 Libpcap的命令行Snort和大多数基于Libpcap的应用程序一样 可以使用标准BPF类型的过滤器 设置过滤器关键字分为以下几类 属性类关键字 说明后面所跟值的意义 这样的关键字有host net port方向类关键字 说明报文的流向 这样的关键字有 src dst srcordst srcanddst协议类关键字 用来限制协议 这样的关键字有 ether fddi ip arp rarp decnet lat sca moprc mopdl tcp udp等 Snort的命令行 Snort的命令行参数很多 可使用Snort 命令列出这些参数及其简单的解释常见的参数有 A设置警告模式 a显示ARP报文 b以tcpdump格式记录报文到日志文件 c使用配置文件 d 显示应用层数据 v 更详细地输出详细的解释可以使用mansnort命令查看帮助页 或者直接阅读README文件和USAGE文件 高性能的配置方式 如果在一个高数据流量 比如大于100Mbps 的网络环境下运行Snort 就需要考虑如何配置Snort才能使它高效率地运行 snort b Afast csnort lib snort d csnort lib l log h192 168 9 0 24 rsnort log 8 2 4Snort配置实例 8 2 4Snort配置实例 8 2 4Snort配置实例 8 2 4Snort配置实例 8 2 4Snort配置实例 使用Snort 8 2 5使用Snort Snort的规则 内容包括 规则的语法规则头规则选项预处理器输出模块对规则的更新 规则的语法 Snort使用了一种简单但是灵活 高效的规则描述语言来对检测规则进行表述每一个Snort规则的描述都必须在单独一行内完成Snort规则可以划分为两个逻辑部分 规则头 RuleHeader 和规则选项 RuleOptions 规则头 规则动作 Alert Log Pass 协议IP地址端口号方向操作符 规则选项 是Snort系统入侵检测引擎的核心部分所有的Snort规则选项之间都使用分号来分离规则选项中的关键字与选项参数之间使用冒号隔离当前有三十几种关键字 msg log ttl id content flags seq等 预处理器 预处理器的引用大大扩展Snort功能 使得用户和程序员可以容易地加入模块化的插件预处理器程序在系统检测引擎执行前被调用 但在数据包解码工作之后预处理程序通过preprocessor关键字来引入和配置preprocessor 输出模块 输出模块的引入使得Snort能够以更加灵活的方式来格式化和显示对用户的输出输出模块被系统的警告或者日志系统所调用 在预处理器模块和检测引擎之后执行 通过在规则文件中指定output关键字 可以在运行时加载对应的输出模块 Output 对规则的更新 要经常访问snort的官方网站 更新它所发布的新规则 这些规则通常有一定的通用性和稳定性 但时效上可能要弱一点