入侵检测技术原理及应用.ppt

第十二讲入侵检测技术原理及应用 2 主要内容 入侵检测系统定义和模型入侵检测系统的发展历史入侵检测系统的原理 3 主要内容 入侵检测系统定义和模型入侵检测系统的发展历史入侵检测系统的原理 4 入侵及入侵检测系统的定义 入侵 绕过系统安全机制的非授权行为 危害计算机 网络的机密性 完整性和可用性或者绕过计算机 网络的安全机制的尝试 入侵通常是由从互联网访问系统的攻击者 或者试图获得额外或者更高的非法权限的授权用户等引起的 入侵检测 是一种对计算机系统或网络事件进行监测并分析这些入侵事件特征的过程 入侵检测系统 自动进行这种监测和分析过程的软件或硬件产品 5 入侵检测 IntrusionDetection 顾名思义 便是对入侵行为的发觉它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象入侵检测系统 IntrusionDetectionSystem 简称IDS 是进行入侵检测的软件与硬件的组合与其他安全产品不同的是 入侵检测系统需要更多的智能 它必须可以将得到的数据进行分析 并得出有用的结果 一个合格的入侵检测系统能大大的简化管理员的工作 保证网络安全的运行 入侵检测技术简介 6 监测并分析用户和系统的活动核查系统配置和漏洞评估系统关键资源和数据文件的完整性识别已知的攻击行为统计分析异常行为操作系统日志管理 并识别违反安全策略的用户活动实时通知 入侵检测系统的主要功能 7 IDS产品常见结构 控制台CONSOLE 传感器SENSOR 传感器SENSOR 传感器SENSOR 传感器SENSOR 传感器SENSOR 8 IDWG IntrusionDetectionWorkingGroup IDWG 入侵检测工作组http www ietf org html charters idwg charter html目的 定义数据格式定义交换流程输出需求文件公共入侵检测语言规范框架文件目前成果尚未形成正式标准 形成4个草案 9 IDWG通用IDS模型 入侵检测系统 IDS 一个或多个下列组建的组合 传感器 分析器和管理器 安全策略 预定义的 正式的成文的说明 它定义了组织机构内网络或特定主机上允许发生的目的为支持组织机构要求的活动 它包括但不限于下列活动 哪一台主机拒绝外部网络访问等 IETFIDWG IntrusionDetectionWorkingGroup Draft IntrusionDetectionMessageExchangeRequirements 10 CIDF CommonIntrusionDetectionFramework 历史DARPA DefenseAdvancedResearchProjectsAgency 的TeresaLunt女士提出StuartStaniford Chen对CIDF概念进行拓宽通用入侵检测框架 CommonIntrusionDetectionFramework体系结构的IDS模块用于审计数据和数据传送的规范CIDF信息http www seclab ucdavis edu cidf spec cidf txthttp www isi edu gost cidf 11 标准APIE事件生成器A事件分析器D事件数据库C系统特定的控制器 CIDF通用入侵检测框架 标准接口 数据搜集 分析和响应组件的互连框架 可扩展的体系 核心技术的重用 方便技术转让 减少成本IDS框架 分层通信 CISL语言 API 12 CVE CommonVulnerabilitiesandExposures CVE CommonVulnerabilitiesandExposures是脆弱性和其他信息安全暴露的标准化名称的列表 CVE的目标是标准化命名所有公共已知的脆弱性和安全暴露网址 http cve mitre org CVE是 ADictionary NOTaDatabaseACommunity WideEffortFreelyAvailableforRevieworDownload以上内容 http cve mitre org about 13 入侵检测系统概述 功能 入侵检测是网络防火墙的逻辑补充 扩展了系统管理员的安全管理能力 提供了安全审计 监控 攻击识别和响应入侵检测系统主要执行功能 监控和分析用户和系统活动审计系统配置和脆弱性评估关键系统和数据文件的完整性识别活动模式以反应已知攻击统计分析异常活动模式操作系统审计跟踪管理 识别违反策略的用户活动 14 主要内容 入侵检测系统定义和模型入侵检测系统的发展历史入侵检测系统的原理 15 入侵检测系统的历史 1980年JamesP Anderson可以使用审计记录以标识误用威胁分类的分类学建议在审计子系统的基础上进行改进以检测误用 16 入侵检测系统的历史 1985年SRI由美国海军 SPAWAR 资助以建立IntrusionDetectionExpertSystem IDES 入侵检测专家系统 IDES 的初步原型 第一个系统中同时使用了statisticalandrule based 基于统计和基于规则的方法 17 入侵检测系统的历史 1986年DorothyDenning发表了 AnIntrusion DetectionModel 一个入侵检测的模型 入侵检测领域开创性的工作 基本的行为分析机制 一些可能的实现系统的方法 18 入侵检测系统的历史 1989年ToddHeberlien California Davis大学的一个学生写了NetworkSecurityMonitor NSM 网络安全监视器 NSM 系统设计用于捕获TCP IP包并检测异构网络中的异常行动 网络入侵检测诞生 19 入侵检测系统的历史 1992年计算机误用检测系统 CMDS ComputerMisuseDetectionSystem CMDS ScreenApplicationInternationalCorporation SAIC 基于在海军报告调查中完成的工作Stalker HaystackLabs 基于为空军完成的原Haystack工作 第一个商业化的主机IDS 用于UNIX 20 入侵检测系统的历史 1994年Agroupofresearchersatthe空军加密支持中心 AirForceCryptologicalSupportCenter 的一组研究人员创建了鲁棒的网络入侵检测系统 ASIM 广泛用于空军 来自于一家商业化公司Wheelgroup的开发人员开始商业化网络入侵检测技术 21 入侵检测系统的历史 1997年Cisco收购了Wheelgroup并开始将网络入侵检测加入路由器中 InternetSecuritySystems发布了Realsecure WindowsNT的网络入侵检测系统 开始了网络入侵检测的革命 22 入侵检测系统的历史 1998年Centrax公司发布了eNTrax 用于WindowsNT的分布主机入侵检测系统Centrax是由CMDS的开发人员组成 后来加入了建立Stalker的技术队伍 23 主要内容 入侵检测系统定义和模型入侵检测系统的发展历史入侵检测系统的原理 24 入侵检测产品分类 按技术特征检测异常检测按监测对象网络入侵检测 NIDS 主机入侵检测 HIDS 25 特征检测Signature baseddetection 原理 假设入侵者活动可以用一种模式来表示系统的目标是检测主体活动是否符合这些模式 特征检测可以将已有的入侵方法检查出来 但对新的入侵方法无能为力 难点 如何设计模式既能够表达 入侵 现象又不会将正常的活动包含进来 常用方法 模式匹配 26 异常检测Anomalydetection 原理假设入侵者活动异常于正常主体的活动念建立主体正常活动的 活动简档 将当前主体的活动状况与 活动简档 相比当违反统计规律时 认为该活动可能是 入侵 行为难点异常检测的难题在于如何建立 活动简档 以及如何设计统计算法 从而不把正常的操作作为 入侵 或忽略真正的 入侵 行为 常用方法概率统计 27 NIDS 大多数入侵检测厂商采用的产品形式 通过捕获和分析网络包来探测攻击 网络入侵检测可以在网段或者交换机上进行监听 来检测对连接在网段上的多个主机有影响的网络通讯 从而保护那些主机 28 网络入侵检测优点 网络通信检测能力NIDS能够检测那些来自网络的攻击它能够检测到超过授权的非法访问对正常业务影响少NIDS不需要改变服务器等主机的配置由于它不会在业务系统中的主机中安装额外的软件从而不会影响这些机器的CPU I O与磁盘等资源的使用不会影响业务系统的性能 29 网络入侵检测优点 布署风险小NIDS不像路由器 防火墙等关键设备方式工作它不会成为系统中的关键路径NIDS发生故障不会影响正常业务的运行布署NIDS的风险比HIDS的风险来得少得多定制设备 安装简单NIDS近年内有向专门的设备发展的趋势安装NIDS系统非常方便只需将定制的备接上电源 做很少一些配置 将其接上网络即可 30 网络入侵检测弱点 共享网段的局限NIDS只检查它直接连接网段的通信NIDS不能监测在不同网段的网络包交换以太网环境中就会出现它的监测范围的局限多传感器系统会使布署成本增加性能局限NIDS为了性能目标通常采用特征检测的方法它可以高效地检测出普通的一些攻击实现一些复杂的需要大量计算与分析时间的攻击检测时 对硬件处理能力要求较高 31 网络入侵检测弱点 中央分析与大数据流量的矛盾NIDS可能会将大量的数据传回分析系统中 会产生大量的分析数据流量采用以下方法可减少回传的数据量 对入侵判断的决策由传感器实现 而中央控制台成为状态显示与通信中心 不再作为入侵行为分析器这样的系统中的传感器协同工作能力较弱 32 网络入侵检测弱点 加密通信NIDS处理加密的会话过程时 会参与解密操作目前通过加密通道的攻击尚不多随着IPv6的普及 这个问题会越来越突出 33 HIDS 基于主机的入侵检测产品 HIDS 通常是安装在被重点检测的主机之上 主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断 如果其中主体活动十分可疑 特征或违反统计规律 入侵检测系统就会采取相应措施 34 主机入侵检测优点 入侵行为分析能力HIDS对分析 可能的攻击行为 非常有用除了指出入侵者试图执行一些 危险的命令 之外还能分辨出入侵者干了什么事 运行了什么程序 打开了哪些文件 执行了哪些系统调用HIDS比NIDS能够提供更详尽的相关信息误报率低HIDS通常情况下比NIDS误报率要低 35 主机入侵检测优点 复杂性小因为监测在主机上运行的命令序列比监测网络流来得简单网络通信要求低可布署在那些不需要广泛的入侵检测传感器与控制台之间的通信带宽不足的情况下布署风险HIDS在不使用诸如 停止服务 注销用户 等响应方法时风险较少 36 主机入侵检测弱点 影响保护目标HIDS安装在需要保护的设备上可能会降低应用系统的效率带来一些额外的安全问题如 安装了HIDS后 将本不允许安全管理员有权力访问的服务器变成他可以访问的了服务器依赖性依赖于服务器固有的日志与监视能力 如果服务器没有配置日志功能 则必需重新配置 这将会给运行中的业务系统带来不可预见的性能影响 37 主机入侵检测弱点 全面布署代价与主机盲点全面布署主机入侵检测系统代价较大若选择部分主机保护那些未装HIDS的机器将成为保护的盲点入侵者可利用这些机器达到攻击目标工作量随主机数目线性增加HIDS主机入侵检测系统除了监测自身的主机以外根本不监测网络上的情况对入侵行为的分析的工作量将随着主机数目增加而增加 38 实时分析的方法实时系统可以不间断地提供信息收集 分析和汇报 实时系统提供了多种实时报警 并对攻击自动做出反应事后分析的方法在事后分析的方法中 入侵检测系统将事件信息的记录到文件中 并且由入侵检测系统在事后对这些文件进行分析 找出入侵或误用的特征 IDS信息的收集和分析的时间 39 改变被攻击系统的环境断开进攻者使用的连接重新配置网络设施这种响应机制可让系统管理员在职权范围内采取主动措施 使被检测到的攻击造成的损失最小化实时通知即时发送的与事件有关的信息 通知重要人员电子邮件 寻呼机 手机短消息 传真等 对误用或入侵的响应 40 入侵检测技术发展方向 高速网络的数据分析能力分布式入侵检测与通用入侵检测架构智能的入侵检测入侵检测的评测方法与其它网络安全技术相结合 41 使用网络协处理器提高处理能力 42 收到报警 攻击检测 主动响应 产生临时阻挡策略 内部违规用户 攻击 报警 记录 阻断入侵行为 网络入侵检测系统 NIDS 工作流程 NIDS 控制台 43 NIDS传感器的部署位置 Internet 路由器 防火墙 核心交换机 Web服务器 电子邮件服务器 FTP服务器 DMZ公共服务 网管服务 内部服务 办公区 办公自动化 数据库 办公用户 办公用户 办公用户 IDS管理中心 部署位置1优点 记录源自于互联网目标为本地网络的攻击次数 记录源自于互联网目标为本地网络的攻击类型 部署位置2优点 查看源自于外部穿透网络边界防护的攻击 重点关注网络防火墙策略和性能的问题 查看目标针对于DMZ区中Web 邮件等服务器的攻击 即使不能识别入