入侵检测系统.ppt

第2章入侵检测系统,2.1入侵检测流程2.2入侵检测数据源,2.1入侵检测流程,简单地说，入侵检测系统包括三个功能部件：（1）信息收集（2）信息分析（3）结果处理,（1）信息收集,入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息尽可能扩大数据收集范围从一个源来的信息有可能看不出疑点，进行多点收集。,信息收集,入侵检测很大程度上依赖于收集信息的可靠性和正确性入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息,信息收集的来源,数据来源可分为四类：来自主机的基于主机的监测收集通常在操作系统层的来自计算机内部的数据，包括操作系统审计跟踪信息和系统日志来自网络的检测收集网络的数据来自应用程序的监测收集来自运行着的应用程序的数据，包括应用程序事件日志和其它存储在应用程序内部的数据来自目标机的使用散列函数来检测对系统对象的修改。,（2）信息分析,模式匹配（误用检测）统计分析（异常检测）完整性分析，往往用于事后分析,模式匹配,模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）,统计分析,统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）测量属性的平均值和方差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生,完整性分析,完整性分析主要关注某个文件或对象是否被更改这经常包括文件和目录的内容及属性在发现被更改的、被安装木马的应用程序方面特别有效,（3）结果处理,告警与响应当一个攻击事件被检测出来以后，IDS就应该根据入侵事件的类型或性质做出相应的告警与响应。常见的方式有：自动终止攻击过程；终止用户连接；禁止用户账号；重新配置防火墙阻塞攻击的源地址；向管理控制平台发出警告指出事件的发生；向网络管理平台发出SNMPTRAP;记录事件的日志，包括日期、时间、源地址、目的地址、描述与事件相关的原始数据；执行一个用户自定义程序,11,2.2入侵检测的数据源,入侵检测的基本问题如何充分、可靠地提取描述行为特征的数据；如何根据特征数据，高效、准确地判断行为的性质；,12,数据源,主机信息源网络信息源,13,操作系统审计记录（AuditTrails）系统日志（SystemLogs）应用程序日志（ApplicationLogs）目标信息（Objects）,主机信息源,14,审计记录,由审计子系统产生；用于反映系统活动的信息集合；遵循美国可信计算机安全评价标准（TCSEC）；,15,审计记录的优点,可信度高得益于操作系统的保护审计记录没有经过高层的抽象最“原始”的信息来源了解系统事件的细节实现准确的入侵匹配不易被篡改和破坏,16,审计记录的问题,过于细节化的问题缺乏足够细节的问题缺乏说明文档不同系统审计记录的不兼容最让入侵检测系统头疼的问题！,17,审计记录内容,响应事件的主题和涉及事件的目标信息主体对象进程用户id系统调用的参数返回值特定应用事件的数据,Windows日志监测,1Windows日志Windows中也一样使用“事件查看器”来管理日志系统，也同样需要用系统管理员身份进入系统后方可进行操作，如图所示。,通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等，可能会根据服务器所开启的服务不同而略有变化。启动Windows时，事件日志服务会自动启动，所有用户都可以查看“应用程序日志”，但是只有系统管理员才能访问“安全日志”和“系统日志”。应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%system32config，默认文件大小512KB，但有经验的系统管理员往往都会改变这个默认大小。,安全日志文件：c:systemrootsystem32configSecEvent.EVT系统日志文件：c:systemrootsystem32configSysEvent.EVT应用程序日志文件：c:systemrootsystem32configAppEvent.EVTInternet信息服务FTP日志默认位置：c:systemrootsystem32logfilesmsftpsvc1。Internet信息服务WWW日志默认位置：c:systemrootsystem32logfilesw3svc1。,Windows2000中提供了一个叫做安全日志分析器(CyberSafeLogAnalyst，CLA)的工具，有很强的日志管理功能。一旦黑客在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了，包括日志文件，想要隐藏自己的入侵踪迹，就必须对日志进行修改。对事件日志移位能做到很好的保护。移位虽是一种保护方法，但只要在命令行输入dirc:*.evt/s（如系统安装在D盘，则盘符为D），一下就可查找到事件日志位置。,23,NT审计机制,WindowsNT的审计机制以事件日志（event-logging）的形式提供数据源融合了从操作系统和其它系统数据源处收集到的事件信息由操作系统内部的安全参考监视器（SRM）、本地安全中心（LSA）和事件记录器（EventLogger）共同完成,24,NT审计事件,NT包含7种类型的审计事件组：系统登录/退出对象访问特权使用细节跟踪策略更改帐号管理,25,系统事件,26,登录/退出事件,27,对象访问,28,特权使用,29,细节跟踪,30,策略更改,31,帐号管理,32,NT审计内容,NT的事件日志机制系统日志记录操作系统事件应用日志记录应用程序事件安全日志记录与安全相关的事件,33,NT审计记录,NT事件记录结构,34,系统日志,系统日志是反映各种系统事件和设置的文件；Unix系统提供了分类齐全的系统日志，如登录日志、进程统计日志；Unix提供通用的服务（syslog，几乎所有的UNIX和Linux操作系统都是采用syslog进行系统日志的管理和配置）用于支持产生和更新事件日志，任何程序都可以通过syslog记录事件；,默认配置syslog日志,36,系统日志的安全性,系统日志的来源：产生日志的软件作为一个应用程序系统日志的存储方式：存储在不受保护的目录里提高系统日志的安全性加密和校验机制日志重定向,37,系统日志的优点,面向管理员而非面向计算机与审计记录相比，更为人性化易于浏览、便于理解,38,安全性对比,39,应用日志,应用日志通常代表了系统活动的用户级抽象信息，相对于系统级的安全数据来说，去除了大量的冗余信息，更易于管理员浏览和理解。典型的有：WWWServer日志数据库系统日志,40,WWWServer日志,通用日志格式（CLF）-user127/Nov/2000:10:00:00+0600“GET/page1/HTTP1.0”2001893,41,WWWServer日志,扩展日志文件格式,WWW日志,#Software:MicrosoftInternetInformationServices5.0#Version:1.0#Date:2004041903:091#Fields:datetimecipcsusernamesipsportcsmethodcsuristemcsuriqueryscstatuscs(UserAgent)2004041903:0916780GET/iisstart.asp200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)2004041903:0946780GET/pagerror.gif200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt),FTP日志,FTP日志每天生成一个日志文件，包含了该日的一切记录，文件名通常为ex（年份）（月份）（日期）。例如ex040419，就是2004年4月19日产生的日志，用记事本可直接打开，普通的有入侵行为的日志一般是这样的：#Software:MicrosoftInternetInformationServices5.0（微软IIS5.0）#Version:1.0（版本1.0）#Date:200404190315（服务启动时间日期）#Fields:timecipcsmethodcsuristemscstatus03151USERadministator331（IP地址为用户名为administator试图登录）03181PASS530（登录失败）032:041USERnt331（IP地址为用户名为nt的用户试图登录）032:061PASS530（登录失败）032:091USERcyz331（IP地址为用户名为cyz的用户试图登录）03221PASS530（登录失败）03221USERadministrator331（IP地址为用户名为administrator试图登录）03241PASS230（登录成功）03211MKDnt550（新建目录失败）03251QUIT550（退出FTP程序）从日志里就能看出IP地址为的用户一直试图登录系统，换了四次用户名和密码才成功，管理员立即就可以得知这个IP至少有入侵企图！而他的入侵时间、IP地址以及探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用Administrator用户名进入的，那么就要考虑此用户名是不是密码失窃？还是被别人利用？接下来就要想想系统出什么问题了。,44,应用日志的关键问题,日志信息的组织审计事件的时间顺序日志信息的综合分析组合：数据流的合并聚合：数据流的高层抽象,45,主机数据源的优点,可利用操作系统本身提供的功能，因此检测效率高，速度快可结合操作系统和应用程序的行为特征，得出更为准确的报告可检测针对本机的入侵行为,46,主机数据源的缺点,依赖于系统的可靠性主机提供的信息有限对网络层的入侵无能为力必须为不同操作系统开发不同的程序增加系统负荷,47,商业IDS最常用的信息来源RealSecure,NFR,NetRanger,Snort利用以太网协议（IEEE802.3）的广播机制,网络信息源,48,网络监听,在一个共享式网络，可以听取所有的流量是一把双刃剑管理员可以用来监听网络的流量情况开发网络应用的程序员可以监视程序的网络情况黑客可以用来刺探网络情报目前有大量商业的、免费的监听工具，俗称嗅探器(sniffer),49,以太网络的工作原理,载波侦听/冲突检测(CSMA/CD,carriersensemultipleaccesswithcollisiondetection)技术载波侦听：是指在网络中的每个站点都具有同等的权利，在传输自己的数据时，首先监听信道是否空闲如果空闲，就传输自己的数据如果信道被占用，就等待信道空闲而冲突检测则是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突以太网采用了CSMA/CD技术，由于使用了广播机制，所以，所有与网络连接的工作站都可以看到网络上传递的数据,50,以太网卡的工作模式,网卡的MAC地址(48位)通过ARP来解析MAC与IP地址的转换用ipconfig/ifconfig可以查看MAC地址正常情况下，网卡应该只接收这样的包MAC地址与自己相匹配的数据帧广播包网卡完成收发数据包的工作，两种接收模式混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据包(和组播数据包)为了监听网络上的流量，必须设置为混杂模式,51,共享网络和交换网络,共享式网络通过网络的所有数据包发往每一个主机最常见的是通过HUB连接起来的子网交换式网络通过交换机连接网络由交换机构造一个“MAC地址-端口”映射表发送包的时候，只发到特定的端口上,52,应用程序抓包的技术,UNIX系统提供了标准的API支持PacketsocketBPFWindows平台上通过驱动程序来获取数据包驱动程序WinPcap,53,BPF(BerkeleyPacketFilter),BSD抓包法BPF是一个核心态的组件，也是一个过滤器NetworkTap接收所有的数据包KernelBuffer，保存过滤器送过来的数据包Userbuffer，用户态上的数据包缓冲区Libpcap(一个抓包工具库)支持BPFLibpcap是用户态的一个抓包工具Libpcap几乎是系统无关的BPF是一种比较理想的抓包方案在核心态，所以效率比较高，但是，只有少数OS支持(主要是一些BSD操作系统),54,Windows平台下的抓包技术,内核本身没有提供标准的接