网络安全22入侵检测系统ppt课件

吕延庆mailto:yanqlv,入侵检测系统,NetworkSecurity&Privacy,计算机安全的三大中心目标是：保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)其中比较突出的技术有：身份认证与识别，访问控制机制，加密技术，防火墙技术自适应网络安全技术(动态安全技术)和动态安全模型应运而生。典型的就是P2DR模型(如图11-1所示)。,静态安全（防御）技术,引言,图11-1P2DR模型,入侵检测是动态安全技术的核心技术之一是防火墙的合理补充是安全防御体系的一个重要组成部分,入侵检测系统属于比较新的技术，据专家预测，将来可能个人计算机上必备的三大安全软件将为：杀毒软件，防火墙，入侵检测系统。,入侵检测的发展简史,最早可追溯到1980年，JamesP.Anderson在一份技术报告中提出审计记录可用于检测计算机误用行为的思想，这可谓是入侵检测的开创性的先河。DorothyE.Denning在1987年的一篇论文3中提出了实时入侵检测系统模型L.ToddHeberlien在1990年提出的NSM(NetworkSecurityMonitor)是入侵检测发展史上又一个具有重要意义的里程碑。,监视主机,监视网络,IDS的作用,已知的网络安全系统(防火墙、安全评估系统、加密、身份认证)众多，为什么还要入侵检测系统？关于防火墙网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得,IDS与Firewall联动,通过在防火墙中驻留的一个IDSAgent对象，以接收来自IDS的控制消息，然后再增加防火墙的过滤规则，最终实现联动,CiscoCIDF(CISL)ISSCheckpoint,一个国产入侵检测系统：系统规则库的选择界面,入侵检测基本原理,入侵检测的基本概念入侵企图破坏资源的完整性、保密性、可用性的任何行为，也指违背系统安全策略的任何事件。入侵行为不仅仅是指来自外部的攻击，同时内部用户的未授权行为也是一个重要的方面从入侵策略的角度来看，入侵可分为企图进入、冒充其它合法用户、成功闯入、合法用户的泄漏、拒绝服务以及恶意使用等几个方面。检测通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时做出响应。,图11-2入侵检测的一般过程,信息源是指包含有最原始的入侵行为信息的数据主要是网络、系统的审计数据或原始的网络数据包数据预处理是指将其转化为检测模型所接受的数据格式包括对冗余信息的去除，即数据简约是入侵检测研究领域的关键，也是难点之一检测模型是指根据各种检测算法建立起来的检测分析模型它的输入一般是经过数据预处理后的数据，输出为对数据属性的判断结果数据属性一般是针对数据中包含的入侵信息的断言检测结果即检测模型输出的结果由于单一的检测模型的检测率不理想，往往需要利用多个检测模型进行并行分析处理，然后对这些检测结果进行数据融合处理，以达到满意的效果。安全策略是指根据安全需求设置的策略。响应处理主要是指综合安全策略和检测结果所作出的响应过程包括产生检测报告、通知管理员、断开网络连接或更改防火墙的配置等积极的防御措施,3入侵检测系统分类,入侵检测系统的分类有多种，这里主要介绍两种：一种是根据入侵检测系统的输入数据来源的分类基于主机的入侵检测系统（HIDS）基于网络的入侵检测系统（NIDS）一种是根据入侵检测系统所采用的技术的分类异常检测(AnomalyDetection)误用检测(MisuseDetection),3.1按数据来源的分类输入数据的来源来看，它可分为：基于主机的入侵检测系统基于网络的入侵检测系统。,1基于主机的(Host-Based)入侵检测系统基于主机的入侵检测系统(HIDS)通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名(AttackSignature，指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配，检测系统就向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件，并可对入侵事件作出立即反应。它还可针对不同操作系统的特点判断出应用层的入侵事件。,HIDS的优点和不足早期的入侵检测系统大多都是基于主机的IDS，作为入侵检测系统的一大重要类型，它具有着明显的优点：1)能够确定攻击是否成功2)非常适合于加密和交换环境3)近实时的检测和响应4)不需要额外的硬件5)可监视特定的系统行为基于主机的IDS也存在一些不足：会占用主机的系统资源，增加系统负荷，而且针对不同的操作系统必须开发出不同的应用程序，另外，所需配置的IDS数量众多。但是对系统内在的结构没有任何的约束，同时可以利用操作系统本身提供的功能，并结合异常检测分析，更能准确地报告攻击行为。,2.基于网络的(Network-Based)入侵检测系统基于网络的入侵检测系统(NIDS)以原始的网络数据包作为数据源。它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的。其攻击识别模块在进行攻击签名识别时常用的技术有：模式、表达式或字节码的匹配；频率或阈值的比较；事件相关性处理；异常统计检测。,NIDS的优势和不足基于网络的IDS是目前随网络迅速发展，较之于基于主机的IDS，它有着自身明显的优势：1)攻击者转移证据更困难2)实时检测和应答3)能够检测到未成功的攻击企图4)操作系统无关性5)较低的成本NIDS同样有着一定的不足：它只能监视通过本网段的活动，并且精确度较差；在交换网络环境中难于配置；防欺骗的能力比较差，对于加密环境它就更是无能为力了。,3分布式的入侵检测系统HIDS和NIDS各自都有着自身独到的优势，而且在某些方面是很好的互补。采用这两者结合的入侵检测系统，那将是汲取了各自的长处，又弥补了各自的不足的一种优化设计方案。通常，这样的系统一般为分布式结构，由多个部件组成，它能同时分析来自主机系统的审计数据及来自网络的数据通信流量信息。分布式的IDS将是今后人们研究的重点，它是一种相对完善的体系结构，为日趋复杂的网络环境下的安全策略的实现提供了最佳的解决对策。,入侵检测的分类（2）,按照分析方法（检测方法）异常检测模型（AnomalyDetection):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵误用检测模型（MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵,异常检测,前提：入侵是异常活动的子集用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围过程监控量化比较判定修正指标:漏报(falsepositive),错报(falsenegative),异常检测,异常检测,如果系统错误地将异常活动定义为入侵，称为误报(falsepositive)；如果系统未能检测出真正的入侵行为则称为漏报(falsenegative)。特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。,AnomalyDetection,activitymeasures,probableintrusion,Relativelyhighfalsepositiverate-anomaliescanjustbenewnormalactivities.,异常入侵检测方法,统计异常检测基于特征选择异常检测基于贝叶斯推理异常检测基于贝叶斯网络异常检测基于模式预测异常检测基于神经网络异常检测基于贝叶斯聚类异常检测基于机器学习异常检测基于数据挖掘异常检测,误用检测,前提：所有的入侵行为都有可被检测到的特征攻击特征库:当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵过程监控特征提取匹配判定指标错报低漏报高,误用检测,误用检测模型,如果入侵特征与正常的用户行能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报特点：采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得滥用检测无能为力,MisuseDetection,Cantdetectnewattacks,Example:if(src_ip=dst_ip)then“landattack”,基于条件概率误用检测基于专家系统误用检测基于状态迁移误用检测基于键盘监控误用检测基于模型误用检测,误用入侵检测方法,snort介绍,snort是一个用C语言编写的开放源代码的跨平台、轻量级的网络入侵检测系统（NIDS）。本质上是一个基于libpcap的网络数据包嗅探器和日志记录工具。snort具有实时报警能力，还可以通过命令行进行交互，并对可选的BPF（BerkeleyPacketFilter）命令进行配置。可以安装在一台主机上对整个网络进行监视。,4入侵检测系统模型,入侵检测系统是动态安全防御策略的核心技术，比较有影响的入侵检测系统模型有：CIDF模型；Denning的通用入侵检测系统模型。其中，CIDF模型是在对入侵检测系统进行规范化的进程中提出的，也是逐渐被入侵检测领域所采纳的模型；Denning的通用入侵检测系统模型作为入侵检测发展历程中颇具影响力的实例，给入侵检测领域的研究带来了相当重要的启示。现在，很多的入侵检测系统研究原型都是基于这两个模型的，所以有必要对其作一介绍。,4.1入侵检测系统的CIDF模型CIDF模型是由CIDF(CommonIntrusionDetectionFramework)工作组提出的。CIDF(/)工作组是由TeresaLunt发起的，专门从事对入侵检测系统(IDS)进行标准化的研究机构。它主要研究的是入侵检测系统的通用结构、入侵检测系统各组件间的通信接口问题、通用入侵描述语言(CommonIntrusionSpecificationLanguage，CISL)以及不同入侵检测系统间通信问题等关于入侵检测的规范化问题。,CIDF提出了一个入侵检测系统的通用模型(如图11-5所示)，它将入侵检测系统分为以下几个单元：事件产生器(EventGenerators)事件分析器(EventAnalyzers)响应单元(ResponseUnits)事件数据库(EventDatabases),图11-5简化的入侵检测系统CIDF模型,CIDF模型将入侵检测系统(IDS)需要分析的数据统称为事件(Event)，它可以是网络中的数据包，也可以是从系统日志等审计记录途径得到的信息。事件产生器即检测器，它从整个计算环境中获得事件，并向系统的其它部分提供此事件；事件分析器分析得到的数据，并产生分析结果；响应单元则是对分析结果作出反应的功能单元，它可以是作出切断连接、改变文件属性等反应，甚至发动对攻击者的反击，也可以只是简单的报警；事件数据库是存放各种中间和最终数据的地方的总称，它可以是复杂的数据库，也可以是简单的文本文件。各功能单元间的数据交换采用的是CISL语言。,图11-5是入侵检测系统的一个简化模型，它给出了入侵检测系统的一个基本框架。一般地，入侵检测系统由这些功能模块组成。在具体实现上，由于各种网络环境的差异以及安全需求的不同，因而在实际的结构上就存在一定程度的差别。图11-6是互联网工程任务组(IETF)提出的对CIDF模型的一个更详细的描述。,图11-6IETF的入侵检测模型实例,这里介绍的模型是IETF下的IDWG(入侵检测工作组)(/html.charters/idwg-charter.html)对入侵检测系统进行标准化的设计方案。目前，此模型还只是Internet草案，未形成正式的RFC文档，现有的各种入侵检测系统的研究原型还未采纳这种标准，但是，在不久的将来，随着行业的不断规范化，这一模型将会被投入到实际运用中。,11.4.2Denning的通用入侵检测系统模型DorothyE.Denning于1987年提出了一个通用的入侵检测模型(如图11-7所示)。该模型由以下六个主要部分组成：主体(Subjects)、客体(Objects)、审计记录(AuditRecords)、行为轮廓(Profiles)、异常记录(AnomalyRecords)及活动规则(ActivityRules)。,图11-7Denning的通用入侵检测系统模型,在该模型中，主体是指目标系统上活动的实体，通常指的是用户，也可能是代表用户行为的系统进程，或者是系统自身。主体的所有行为都是通过命令来实现的。客体是指系统资源，如文件、命令、设备等。它是主体的行为的接受者。主体和客体没有明显的界限，往往在某一环境下的主体在另一环境下则会成为客体。,审计记录是指主体对客体进行操作而在目标系统上产生的记录，如用户的登录、命令的执行、文件的访问等都会在系统中产生相应的记录。它是由构成的六元组。其中，活动是指主体对客体的操作，如登录、退出、读、写等；异常条件是指主体活动出现异常情况时系统的状态；资源使用状况是指系统的资源消耗情况；时间戳是指活动发生的时间。,行为轮廓是描述主体对客体正常行为的模型，它包含有系统正常活动的各种相关信息。异常记录是指当系统检测到异常行为时产生的记录，由事件、时间戳、行为轮廓组成。活动规则是指系统判断是否是入侵的准则，以及当满足入侵条件时，系统所采取的相应的对策。这个模型是个典型的异常检测的实现原型，对入侵检测的研究起着相当重要的推动作用。SRI的NIDES(,5分布式入侵检测系统,一方面，由于网络环境的分布性和开放性，使得我们要保护的目标主机和网络在数量和层次上将不再局限在很有限的范围内，而且不断发展的网络技术使得攻击手段也在不断推陈出新，这样，对入侵行为的检测将面临更大的挑战。另一方面，单一机制的入侵检测系统存在着自身难以克服的缺陷，无法满足日益苛刻的安全需求。这使得人们在深入研究的同时不得不另辟蹊径。分布式入侵检测系统就是这一时期的产物，它的出现为人们提供了新的安全解决方案。,分布式入侵检测系统是采用基于主机的和基于网络的入侵检测系统相结合的综合方案，这样既可以克服基于主机的入侵检测系统和基于网络的入侵检测系统的各自不足，又可以充分发挥它们各自的优势，从而实现对被保护目标的最佳防护。图11-8是分布式入侵检测系统的组成框图。,图11-8分布式入侵检测系统设计框图,由图可以看出，该系统的主要功能部件有网络引擎、主机代理、分析系统、管理控制系统、存储系统、响应系统等。网络引擎主要是从网络流量中获取原始数据包，并对其进行预处理，并将预处理后的数据发送