第12讲：第7章-入侵检测的标准与评估

0,入侵检测技术分析,北京信息科技大学刘凯liukai,第12讲,1,入侵检测技术分析,第7章入侵检测系统的标准与评估,2,课程安排,入侵检测概述2学时入侵方法及手段3学时入侵检测系统3学时入侵检测流程6学时基于主机的入侵检测技术4学时基于网络的入侵检测技术4学时入侵检测系统的标准与评估4学时Snort分析4学时入侵检测技术的发展趋势2学时共32学时,3,教材及参考书,入侵检测技术曹元大人民邮电出版社入侵检测技术薛静锋等机械工业出版社Snort2.0入侵检测BrianCaswell等著宋劲松等著国防工业出版社入侵检测实用手册PaulE.Proctor中国电力出版社,4,上一章回顾,基于网络的入侵检测技术网络数据包的捕获检测引擎设计网络入侵特征实例分析,5,第7章入侵检测系统的标准与分析,入侵检测的标准化工作入侵检测设计方面的考虑入侵检测系统的性能指标网络入侵检测系统测试评估测试评估内容测试环境和测试软件用户评估标准入侵检测评估方案,6,第7章入侵检测系统的标准与评估,对标准与评估的需求随着网络规模的不断扩大以及网络入侵活动的不断复杂多变,要求IDS之间必须要有协作。网络安全也要求IDS能够与其它安全机制交换信息，相互协作。所设计和实现的IDS能否达到设计目标，也是值得关心的重要问题。,7,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作入侵检测技术在最近几年发展迅速，但是相应的入侵检测标准化工作则进展缓慢。当前有两个国际组织在进行这方面的工作，他们是CommonIntrusionDetectionFramework（CIDF）和IETF（InternetEngineeringTaskForce）下属的IntrusionDetectionWorkingGroup（IDWG）。他们强调了入侵检测的不同方面，并从各自的角度进行了标准化工作。,8,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作7.1.1CIDF由S.Staniford-Chen等人提出CIDF的规格文档由4部分组成：ArchitectureCommunicationLanguageAPI,9,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作CIDF的体系结构,Gidos,Gidos,反应Gidos,事件Gidos,事件产生器,响应单元,事件数据库,Gidos,事件分析器,10,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作CIDF的体系结构CIDF的3类互操作配置互操作：可相互发现并交换数据。语法互操作：可正确识别交换的数据。语义互操作：可相互正确理解交换的数据。,11,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作CIDF的体系结构CIDF定义IDS的6种协同方式分析方式互补方式互纠方式核实方式调整方式响应方式,12,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作CIDF的体系结构CIDF定义IDS的6种协同方式分析方式：互补方式互纠方式核实方式调整方式响应方式,A搜集原始数据并何作预处理分析，B根据A进行深层次的分析并产生报告。,13,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作CIDF的体系结构CIDF定义IDS的6种协同方式分析方式互补方式:互纠方式核实方式调整方式响应方式,B负责合并A1和A2的输出结果,A1和A2可以检测不同的攻击。,14,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作CIDF的体系结构CIDF定义IDS的6种协同方式分析方式互补方式互纠方式：核实方式调整方式响应方式,A1和A2可以互纠结果。J组件在A1和A2的检测结果都相同的情况下才会报告入侵。,15,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作CIDF的体系结构CIDF定义IDS的6种协同方式分析方式互补方式互纠方式核实方式：调整方式响应方式,A1报告发现攻击，H则询问A2是否也检测到同一种攻击。,16,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作CIDF的体系结构CIDF定义IDS的6种协同方式分析方式互补方式互纠方式核实方式调整方式：响应方式,A根据所接受到的警告信息调整监测。A发送一个请求给T，询问应该监测的对象是什么。,17,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作CIDF的体系结构CIDF定义IDS的6种协同方式分析方式互补方式互纠方式核实方式调整方式响应方式：,入侵检测器需要预先设置自动应急的脚本，以便IDS可以直接响应。,18,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作CIDF的公共入侵规范语言（CISL）CIDF最主要的工作就是不同组件间所使用语言的标准化。在CIDF模型里，通过组件接收的输入流来驱动分析引擎进行处理，并将结果传递到其它的部件。CIDF用通用入侵说明语言CISL对事件、分析结果、响应指示等过程进行表示说明，以达到IDS之间的语法互操作。CISL语言使用符号表达式（简称S-表达式），类似于LISP语言。,19,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作CIDF的公共入侵规范语言（CISL）S-表达式的递归定义:(1)原子是S-表达式。(2)如果a1、a2是S-表达式，则表（a1、a2）也是S-表达式。(3)有限次使用（1）、（2）所得的表达式都是S-表达式，此外没有别的S-表达式。,20,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作CIDF的公共入侵规范语言（CISL）设计目标表达能力表示的唯一性精确性层次化自定义效率扩展性简单性可移植性容易实现,21,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作CIDF的公共入侵规范语言（CISL）一个实例:以LINUX环境为例，针对一个含有LOGIN_FAILED的日志记录10：Jul3108:57:45zd213login1344LOGIN_FAILED1from11FORJohnAuthenticationfailure。系统产生的GIDO如下(限于篇幅，这里略去其对应的二进制编码形式)：LoginOutcome,22,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作CIDF的公共入侵规范语言（CISL）ReturnCodeACTION_FAILEDWhenBeginTimeJul3108:57:43InitiatorIPV4Address11UsernameJohnReceiverHostnamezd213,23,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作CIDF的通信机制,24,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作CIDF的总结通过组件标识查找，或更高层次上地通过特性查找通信双方的代理设施和查找协议。使用正确（鉴别）、安全（加密）、有效的组件间通信协议。定义了一种能使组件间互相理解的语言CISL。说明了进行通信所用的主要的API。,25,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作CIDF的总结存在一些不足复杂性时效性协议的完整性,26,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作IMDEFInternet网络工程部IETF（InternetEngineeringTaskForce）的入侵检测工作组（InternetDetectionWorkingGroup，简称IDWG）制订了入侵检测信息交换格式（IntrusionDetectionMessageExchangeFormat，缩写为IDMEF）。IDMEF与CIDF类似，也是对组件间的通信进行了标准化。引入入侵检测信息交换格式的目的在于定义入侵检测模块和响应模块之间，以及与管理模块间的信息交换的数据格式和交换过程。,27,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作IMDEFIMDEF主要工作制定入侵检测消息交换需求文档。该文档内容有入侵检测系统之间通信的要求说明，同时还有入侵检测系统和管理系统之间通信的要求说明。制定公共入侵语言规范。制定一种入侵检测消息交换的体系结构，使得最适合于用目前已存在协议实现入侵检测系统之间的通信。,28,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作IMDEF需求消息交换需求消息格式需求通信机制需求安全需求消息内容需求,29,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作IMDEF需求消息交换需求:消息格式需求通信机制需求安全需求消息内容需求,-用户可能选择多种入侵检测系统,需要查询多个管理器的输出入侵行为常涉及多个受害组织,或同一组织的多个站点,各站点的报告采取统一的格式更有利不同系统的组件更易集中,30,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作IMDEF需求消息交换需求:消息格式需求:通信机制需求安全需求消息内容需求,应允许支持国际化和本地化允许管理器对消息数据进行过滤和聚合.,31,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作IMDEF需求消息交换需求:消息格式需求:通信机制需求:安全需求消息内容需求,必须支持可靠的消息传递必须支持消息传递穿过防火墙,但并不损害安全性.,32,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作IMDEF需求消息交换需求:消息格式需求:通信机制需求:安全需求:消息内容需求,必须支持分析器和管理器之间的相互认证必须支持消息内容的保密性、完整性、非否认性应该抵制对协议的拒绝服务攻击应能防止恶意的消息复制,33,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作IMDEF需求消息交换需求:消息格式需求:通信机制需求:安全需求:消息内容需求：,必须覆盖各种类型的入侵检测机制，如：基于签名的检测系统基于异常的检测系统基于相关性的检测系统基于网络的检测系统基于主机的检测系统基于应用程序的检测系统,34,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作IMDEF入侵检测消息数据模型1(面向对象),35,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作IMDEF入侵检测消息数据模型2(基于XML)可以方便地为入侵检测报警描述特定的开发自定义语言全面支持消息格式的国际化和本地化需求.处理文档资料的软件工具可以多方面的得到.免费,36,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作IMDEFIDMEF的入侵警告协议(IntrusionAlertProtocol,IAP)TCP连接建立安全建立通道的建立,37,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作IMDEFIDMEF的总结IDMEF最大的特点就是充分利用了已有的较成熟的标准。与CIDF相比较，在数据表示方面不仅在语法方面而且在语义方面都进行了详细的规定，方便了传输数据的解释，提高了解释的效率，但同时也降低了通用性，只能表达警告信息。在通信方面，IDMEF各组件必须有通信对方的地址信息，这样效率很高。IDMEF通信可能考虑到安全边界问题，支持使用代理。,38,第7章入侵检测系统的标准与评估,7.1入侵检测的标准化工作标准化工作总结以上入侵检测协议只是草案，至于这些协议将来是否能成为Internet标准现在还难以确定。按IETF规定，Internet草案最长有效期六个月，随时可能被其他文档更新、替换。总的来说，入侵检测的标准化工作进展非常缓慢，现在各个IDS厂商几乎都不支持当前的标准，造成各IDS之间几乎不可能进行互相操作。标准化终究是IT行业充分发展的一个必然趋势，而且标准化提供了一套比较完备、安全的解决方案。,39,第7章入侵检测系统的标准与评估,7.2入侵检测系统的设计考虑入侵检测系统在设计时需要考虑若干问题。首先，系统设计的最初阶段要注意对用户的实际需求进行分析。其次要遵循若干基本的安全设计原则。用户需求分析系统安全设计原则系统设计的生命周期,继续,40,用户需求分析,需求定义或者需求分析是进行系统设计的第一步，同时也是对后继过程产生最重要影响的阶段。在需求定义的早期阶段，要注意保持需求定义的适当灵活性。在实际开发中，通常采用开发需求文档来记录不同阶段内需求定义的变更情况。对于入侵检测系统的设计和开发过程而言，具体需要考虑如下所示的需求定义和分析情况。,41,用户需求分析,1.检测功能需求：对于入侵检测系统而言，足够有力的检测功能是最基本的需求。按照不同用户的检测目标要求，检测功能需求又可以分为不同的类型。首先，通常的用户需要对发生在外部的针对本地网络的攻击行为进行有效检测，以期发现潜在的外部威胁，包括拒绝服务攻击、非授权访问企图或者漏洞扫描等攻击性活动。满足上述需求应该以网络入侵检测技术为主.部署位置的不同，也会带来需求的变化,42,用户需求分析,其次，在某些安全保护等级要求高的内部网络环境中，例如军事计算环境和金融交易网络，用户需求将要求对内部网络中用户的异常活动进行检测。能追踪任何用户对系统内关键对象和资源的访问情况能检测内部用户用来获取更高授权时所利用的常见漏洞的发掘过程此外，另一类检测需求来自于对组织内部安全策略的一致性检测目标。,43,用户需求分析,2.响应需求：在入侵检测一般模型中，都包含了一定的响应模块。这也就反映了一般用户都具有的对所检测到的异常行为进行响应的基本需求。用户通常最初对响应需求的期望值很高，例如自动切断会话连接或者锁定特定用户账户等，用来达到快速阻断攻击的目标。设计者需要进一步分析自动响应需求所存在的潜在风险，要妥善处理好此类响应操作的实现过程。,44,用户需求分析,2.响应需求：响应需求还通常应该与整个系统的检测目标以及其他需求相关。如果检测目标中主要考虑了取证和诉讼的需求，则响应需求就应该包括如何能够增强证据说服力和可信度的操作。如果检测目标中考虑了损伤评估需求，则响应需求就应该集中在增加可支持进一步调查活动的管理性操作上。具体的响应需求包括：最强烈的需求是自动注销用户账户在调查某个用户的可疑活动时，暂停该用户账户，或者是在调查过程中，降低用户的权限等级并限制访问范围等。,45,用户需求分析,3.操作需求：定义了执行入侵检测工作的具体过程。不同的操作方式类型将包含不同的操作需求，具体的操作方式包括：后台操作(backgroundoperation)。按需操作(on-demandoperation)。预定操作(scheduledoperation)。实时操作(realtimeoperation)。全天候操作(alldayoperation)。,46,用户需求分析,4.平台范围需求：通常用户会从运行平台范围的角度提出自己的需求，例如：入侵检测系统所能处理的网络协议类型所能运行的操作系统平台类型能够监控的计算机和应用程序范围等。平台范围需求通常描述了用户需要监控的目标网络组件类型。例如：用户提出系统应该具备在Solaris和Windows2000上的网络结点检测性能；要求系统能够检测针对特定应用程序的攻击行为，包括Web站点和电子邮件服务器等。,47,用户需求分析,5.数据来源需求：用户还会提出数据来源的需求，即系统能够监控哪些输入的审计数据源。不同行业内的信息系统通常由不同类型的主机、操作系统和应用程序组成，因此拥有不同类型、种类繁多的审计数据源。对于网络数据来源而言，现在大多数的网络系统都建筑在TCP/IP协议之上；但是，对于某些遗留网络而言，可能存在着其他的网络协议，例如X.25和令牌环网等。其他的数据来源需求，还可能包括能够分析防火墙日志信息、路由器日志，以及SNMP网管日志等的能力。,48,用户需求分析,6.检测性能需求：入侵检测系统具有通用的性能需求，同时不同类型的入侵检测技术各自具备自己的性能需求指标。传统的基于网络入侵检测，性能指标通常包括所能监控的网络带宽情况，此外，还要考虑在交换式网络环境下和加密情况下的性能需求。网络结点入侵检测，关注的性能需求指标主要是网络环境中各结点数据的关联分析性能，即能够对多少个独立网络结点的检测结果进行关联分析，从而获得对整个网络安全状态的评估结果。,49,用户需求分析,基于主机的入侵检测，性能需求主要来自于目标监控系统日志产生的速度以及系统处理审计记录的速度要求。应用程序入侵检测是基于主机入侵检测的一个特例，其性能需求包括主机入侵检测的参数指标。特别之处在于,需要注意从各种特定应用程序处收集数据的性能需求。对于分布式的入侵检测系统，要注意特有的性能需求情况。在控制台和检测组件之间发生大量的通信流量对带宽的影响。不同的网络规模和监控要求会提出系统所能监控结点数目的性能需求。,50,用户需求分析,7.可伸缩性需求前面所述的分布式入侵检测系统的性能要求反映了可伸缩性需求的一个方面，另一个方面是系统部署和操作方面的可伸缩性要求。8取证和诉讼需求如果要把入侵检测系统用于法律起诉用途的工具，则需要满足相关的取证和诉讼需求。许多用于诉讼的需求是与具体过程相关的，这些需求确定了在调查期间的各个阶段需要何种安全等级的数据。9.其他需求,返回,51,系统安全设计原则,1.机制的经济性原则：该原则提倡保护机制的设计应该在有效的前提下，尽量保持实现简单。在正常无错误的条件下，保护机制通常都能够生效。保护机制的设计必须足够简单明了，以便能够通过手工检查方式或者数学证明方式来进行有效的正确性和有效性评估验证过程。另外一个考虑因素是，任何复杂系统必然会导致出错的倾向性大于简单系统。简单明确的系统设计，将会大大降低出现故障和错误的概率。,52,系统安全设计原则,2.可靠默认原则：指保护机制的设计应该确保在默认的情况下，任何主体没有访问的特权，而保护机制的设计应该指出在哪些特定的条件下允许访问操作。如果保护机制没有遵循可靠默认原则，例如在默认情况下允许所有访问请求，则在机制失效情况下，它就会允许所有的访问操作。可靠默认原则的一个拓展情况就是，在系统设计和实现中的每个资源访问点上，都必须确保在进行实际的访问操作时，必须首先执行特定的操作来获得所需的授权；否则系统应该拒绝后继的操作。,53,系统安全设计原则,3.完全调节原则：该原则要求保护机制检查对每个对象的每次访问操作，必须确保该次操作得到了合理的授权。遵循此原则并系统地实施之，可以避免一些最常见的安全脆弱性。如果在保护机制的设计过程中，完全和系统地贯彻此原则，将构成整个机制设计安全保护的最关键基础。该原则要求访问的完全授权，从而能够增强系统的安全性；但是其并不能确保授权完毕后与进行实际操作之间存在的时间间隔内，授权的状态不会发生变化。因此，需要在具体的实现过程中，保证授权状态检查与实际操作的一致性。,54,系统安全设计原则,4.开放设计原则：开放设计的原则要求保护机制的设计不应该建立在攻击者对机制原理一无所知的假设基础之上。实施开发设计原则的一个原因就是保护机制的支持者都需要检查保护机制的设计。保护机制必须能够接受其他人的全面测试，也包括攻击者的攻击测试，来检验安全设计的质量等级。一般来说，需要依赖于安全证书的形式来激活整个保护机制。,55,系统安全设计原则,5.特权分割原则：该原则的基本要点在于不能够在满足一种条件的情况下，允许对对象的访问操作。一般来说，至少要满足两个特定条件后，才能够做出允许访问的决定。,56,系统安全设计原则,6.最小权限原则：该原则系统