《入侵检测技术培训》PPT课件.ppt

IDS技术讲座 目录 需求背景技术发展产品分类面临挑战 什么是入侵 入侵是指一些人试图进入或者滥用你的系统 这里的滥用可以包括从严厉的偷窃机密数据到一些次要的事情 比如滥用你的电子邮件系统发垃圾邮件 入侵者的分类 外部的 你网络外面的侵入者 或者可能攻击你的外部存在 外部的侵入者可能来自Internet 拨号线 物理介入 或者从同你网络连接的伙伴网络内部的 合法使用你的互连网络的侵入者 包括滥用权力的人和模仿更改权力的人 防火墙 两个安全域之间通信流的唯一通道 根据访问控制规则决定进出网络的行为 一种高级访问控制设备 置于不同网络安全域之间的一系列部件的组合 它是不同网络安全域间通信流的唯一通道 能根据企业有关的安全政策控制 允许 拒绝 监视 记录 进出网络的访问行为 绕过防火墙的攻击 穿过防火墙的攻击行为 防火墙的局限性 防火墙就象一道门 它可以阻止一类人群的进入 但无法阻止同一类人群中的破坏分子 也不能阻止内部的破坏分子访问控制设备可以不让低级权限的人做越权工作 但无法保证高级权限的做破坏工作 也无法保证低级权限的人通过非法行为获得高级权限 访问控制 矩阵访问控制组与角色两维ACL存在的问题 其它问题 入侵者如何进入系统 物理侵入 如果一个侵入者对主机有物理进入权限 比如他们能使用键盘或者参与系统 应该可以进入 方法包括控制台特权一直到物理参与系统并且移走磁盘 在另外的机器读 写 甚至BIOS保护也很容易穿过的 事实上所有的BIOS都有后门口令 入侵者如何进入系统 系统侵入 这类侵入表现为侵入者已经拥有在系统用户的较低权限 如果系统没有打最新的漏洞补丁 就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会 如未打过补丁的IIS发布系统 会存在UNICODE漏洞 可能会使得入侵者远程访问系统文件 http IP scrtpts c1 1c winnt system32 cmd exe c dir 入侵者如何进入系统 远程侵入 这类入侵指入侵者通过网络远程进入系统 侵入者从无特权开始这种侵入方式包括多种形式 比如如果在他 她和受害主机之间有防火墙存在 侵入就要复杂得多 这类入侵通常是很漫长的 从系统扫描开始 获得较低的权限 然后通过先验经验获得更高的权限 为什么会有入侵 软件总是存在bug 系统管理员和开发人员永远无法发现和解决所有的可能漏洞 侵入者只要发现一个漏洞就可以入侵系统 有证据表明每一千行代码中就会存在五至十五个BUG 缓冲区溢出 缓冲区溢出 大部分的安全漏洞都属于这类 攻击者通过发送精心构造的超过堆栈最大容量的数据 跳转执行自己想要的代码 如IIS发布系统中的ida idq以及 printf溢出漏洞 攻击者很容易利用工具获得系统的root权限 意外结合 意外结合 程序通常被组合成很多层代码 侵入者常可以发送一些对于一层无意义的输入 却对其他层有意义 在 mail etc passwd 这个命令得以在perl下执行是因为操作系统为这个输入启动一个附加的程序 然而操作系统解释管道符 并且按语义启动 mail 程序 结果是将password文件寄给侵入者 其它缺陷 缺省配置 很多系统在交付使用时采用缺省配置 缺省 意味着 易攻击 口令攻击 弱口令和字典穷举攻击 监听 收集网络上的公共团体字符串 协议缺陷 TCP IP协议的设计缺点 如smurf攻击 ICMP不可达的连结 IP哄骗 和SYNfloods 以及数据本身的容易被信任 入侵如何被检测 UNIX系统的 var adm下的syslog与messages 入侵监测系统 解决之道 IDS与防火墙的配合使用 达到最佳的防护效果 IDS是什么 IDS是通过数据和行为模式来判断攻击事件是否存在的系统 采用旁路侦听的方式接入到网络中 网卡设置为混杂模式 实时抓取网络中的数据并对其进行分析 得到分析结果后 通过报警 日志 与其他安全产品联动等方式对其进行响应 并提供相应的解决方法 入侵检测系统的发展 1980年Anderson提出 入侵检测概念 分类方法 ComputerSecurityThreatMonitoringandSurveillance 1987年Denning提出了一种通用的入侵检测模型独立性 系统 环境 脆弱性 入侵种类系统框架 异常检测器 专家系统研究出了一个实时入侵检测系统模型 IDES 入侵检测专家系统 入侵检测技术的成熟 1990 加州大学戴维斯分校的L T Heberlein等人开发出了NSM NetworkSecurityMonitor 该系统第一次直接将网络流作为审计数据来源 因而可以在不将审计数据转换成统一格式的情况下监控多种主机入侵检测系统发展史翻开了新的一页 两大阵营正式形成 基于网络的IDS和基于主机的IDS IDS类产品分类 市场上的IDS可以分为两种 网络入侵检测系统 NIDS 以旁路侦听的方式接入到网络中独立于被监测的系统之外不会增加网络中主机的负载主机入侵检测系统 HIDS 安装在被保护的主机之上主要分析主机的内部活动 审计日志 系统调用 文件完整性会占用一定的系统资源 IDS的实现方式 网络IDS IDS的分析方式 异常发现技术 基于行为的检测 模式发现技术 基于知识的检测 基于行为的检测 基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵 而不依赖于具体行为是否出现来检测 所以也被称为异常检测 AnomalyDetection 与系统相对无关 通用性强能检测出新的攻击方法误检率较高 基于行为的检测 概率统计方法 操作密度审计记录分布范畴尺度数值尺度记录的具体操作包括 CPU的使用 I O的使用 使用地点及时间 邮件使用 编辑器使用 编译器使用 所创建 删除 访问或改变的目录及文件 网络上活动等 基于行为的检测 神经网络方法 基本思想是用一系列信息单元 命令 训练神经单元 这样在给定一组输入后 就可能预测出输出 当前命令和刚过去的w个命令组成了网络的输入 其中w是神经网络预测下一个命令时所包含的过去命令集的大小 根据用户的代表性命令序列训练网络后 该网络就形成了相应用户的特征表 于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度 目前还不很成熟 神经网络检测思想 基于知识的检测 基于知识的检测指运用已知攻击方法 根据已定义好的入侵模式 通过判断这些入侵模式是否出现来检测 因为很大一部分的入侵是利用了系统的脆弱性 通过分析入侵过程的特征 条件 排列以及事件间关系能具体描述入侵行为的迹象 基于知识的检测也被称为违规检测 MisuseDetection 这种方法由于依据具体特征库进行判断 所以检测准确度很高 并且因为检测结果有明确的参照 也为系统管理员做出相应措施提供了方便 基于知识的检测 专家系统 将有关入侵的知识转化成if then结构的规则 即将构成入侵所要求的条件转化为if部分 将发现入侵后采取的相应措施转化成then部分 当其中某个或某部分条件满足时 系统就判断为入侵行为发生 其中的if then结构构成了描述具体攻击的规则库 状态行为及其语义环境可根据审计事件得到 推理机根据规则和行为完成判断工作 基于知识的检测 模型推理 模型推理是指结合攻击脚本推理出入侵行为是否出现 其中有关攻击者行为的知识被描述为 攻击者目的 攻击者达到此目的的可能行为步骤 以及对系统的特殊使用等 根据这些知识建立攻击脚本库 每一脚本都由一系列攻击行为组成 CIDF模型 CommonIntrusionDetectionFrame组件 事件产生器 Eventgenerators 事件分析器 Eventanalyzers 响应单元 Responseunits 事件数据库 Eventdatabases CIDF组件结构图 NIDS抓包 PF PACKET从链路层抓包libpcap提供API函数winpcapWindows下的抓包库 分析技术的发展 早期的网络IDS 匹配方式类似于防病毒系统 纯粹的模式匹配技术目前的网络IDS 协议分析技术 状态检测 协议确认 异常分析 基于行为 分析技术发展历程 1990纯模式匹配1996Netranger协议解码 模式匹配1999SNORT简单协议分析技术2002联想网御IDS真正意义上的协议分析技术 完全协议分析 协议分析技术与模式匹配技术 协议分析是相对模式匹配而言的 二者是在分析程度上有所不同 Ethernet IP TCP 模式匹配 Ethernet IP TCP 协议分析 HTTP Unicode XML 模式匹配 00050dac6f2d600b0d04dcbaa08004500 P M E 10015731054000800600000a0a0231d850 W1 1 P20111106a30050df62322e413a9cf15018 P b2 A P 3016d0f6e50000474554202f70726f6475 GET produ406374732f776972656c6573732f696d61cts wireless ima506765732f686f6d655f636f6c6c616765ges home collage60322e6a706720485454502f312e310d0a2 jpgHTTP 1 1 704163636570743a202a2f2a0d0a526566Accept Ref80657265723a20687474703a2f2f777777erer 协议分析 00050dac6f2d600b0d04dcbaa08004500 P M E 10015731054000800600000a0a0231d850 W1 1 P20111106a30050df62322e413a9cf15018 P b2 A P 3016d0f6e50000474554202f70726f6475 GET produ406374732f776972656c6573732f696d61cts wireless ima506765732f686f6d655f636f6c6c616765ges home collage60322e6a706720485454502f312e310d0a2 jpgHTTP 1 1 704163636570743a202a2f2a0d0a526566Accept Ref80657265723a20687474703a2f2f777777erer 协议分析 FrameHeader IPDatagramHeader ICMP UDP TCPHeader FrameDataArea IPData ProtocolData InterfaceLayer InternetLayer TransportLayer 例子 ETHER ARP IP RARP ICMP IGMP TCP UDP POP3 FTP HTTP DNS 典型例子 第一步 直接跳到第13个字节 并读取2个字节的协议标识 如果值是0800 则说明这个以太网帧的数据域携带的是IP包 基于协议解码的入侵检测利用这一信息指示第二步的检测工作 第二步 跳到第24个字节处读取1字节的第四层协议标识 如果读取到的值是06 则说明这个IP帧的数据域携带的是TCP包 入侵检测利用这一信息指示第三步的检测工作 第四步 让解析器从第55个字节开始读取URL URL串将被提交给HTTP解析器 在它被允许提交给Web服务器前 由HTTP解析器来分析它是否可能会做攻击行为 第三步 跳到第35个字节处读取一对端口号 如果有一个端口号是0080 则说明这个TCP帧的数据域携带的是HTTP包 基于协议解码的入侵检测利用这一信息指示第四步的检测工作 典型例子 一个攻击检测实例 老版本的Sendmail漏洞利用 25WIZshell或者DEBUG 直接获得rootshell 模式的匹配 检查每个packet是否包含 WIZ DEBUG 检查端口号 缩小匹配范围Port25 WIZ DEBUG 深入决策树 只判断客户端发送部分Port25 Client sends WIZ Client sends DEBUG 更加深入 状态检测 引向异常的分支Port25 statefulclient sends WIZ statefulclient sends DEBUG afterstateful DATA client sendsline 1024bytesmeanspossiblebufferoverflow 例子 续 线性匹配 树型匹配 O N O logN N是规则数 规则数 时间 随着规则数的增大 树型匹配的消耗时间的增长速度远远低于线性匹配 模式匹配 模式匹配面临的问题 计算的负载 对于满负载的100Mbps以太网 需要的计算量将是 攻击特征字节数 数据包字节数 每秒的数据包数 数据库的攻击特征数 探测准确性 模式匹配 特征搜索技术使用固定的特征模式来探测攻击 只能探测出明确的 唯一的攻击特征 即便是基于最轻微变换的攻击串都会被忽略 模式匹配 优点 只需收集相关的数据集合 显著减少系统负担技术已相当成熟检测准确率和效率都相当高缺点 计算负荷大检测准确率低没有理解能力 协议分析 协议分析充分利用了网络协议的高度有序性 使用这些知识快速检测某个攻击特征的存在因为系统在每一层上都沿着协议栈向上解码 因此可以