19系统入侵检测与防御

1,系统入侵检测与防御,曹天杰tjcao中国矿业大学计算机科学与技术学院,入侵检测系统入侵响应入侵检测的分析技术入侵检测系统的结构与部署入侵检测系统SNORT其它类型的入侵检测系统蜜罐入侵防御系统,网络攻防的非对称博弈,工作量不对称攻击方：夜深人静,攻其弱点防守方：24*7,全面防护信息不对称攻击方：通过网络扫描、探测、踩点对攻击目标全面了解防守方：对攻击方一无所知后果不对称攻击方：任务失败，极少受到损失防守方：安全策略被破坏，利益受损攻击方掌握主动权,4,入侵检测的定义,防护是必要的,但仅有防护是不够的,入侵检测是防火墙的合理补充入侵检测的概念最早由Anderson在1980年提出，是指对入侵行为的发觉，并对此做出反应的过程。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。,5,网络安全工具的特点,6,入侵检测系统主要功能,（1）监视并分析用户和系统的活动。（2）检查系统配置和漏洞。（3）识别已知的攻击行为并报警。（4）异常行为模式的统计分析。（5）评估系统关键资源和数据文件的完整性。（6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。,7,IDS基本结构,入侵检测系统包括三个功能部件（1）信息收集（2）信息分析（3）结果处理,8,信息收集的来源,系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为,9,信息分析,模式匹配统计分析完整性分析，往往用于事后分析,10,入侵检测性能关键参数,误报(falsepositive)：如果系统错误地将异常活动定义为入侵漏报(falsenegative)：如果系统未能检测出真正的入侵行为,11,基于主机的入侵检测系统,基于主机的入侵检测系统（Host-basedIntrusionDetectionSystem）为早期的入侵检测系统结构，其检测的目标主要是主机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上,12,基于主机的入侵检测系统,基于主机系统的结构,13,基于主机的入侵检测系统的弱点,（1）安装在需要保护的设备上。（2）主机的审计信息弱点，如易受攻击，入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。（3）依赖于服务器固有的日志与监视能力，所能检测到的攻击类型受到限制。（4）除了监测自身的主机以外，根本不监测网络上的情况。（5）全面部署主机入侵检测系统代价较大,14,基于网络的入侵检测系统,随着计算机网络技术的发展，单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。人们提出了基于网络入侵检测系统体系结构，这种检测系统根据网络流量、单台或多台主机的审计数据检测入侵。,15,基于网络的入侵检测系统,基于网络系统的结构,基于网络的IDS配置,17,基于网络的入侵检测系统的优点,（1）平台无关性。（2）成本低、配置简单。（3）检测的攻击标记标识较多。（4）实时性的检测和响应。,18,基于网络入侵检测系统的缺点,（1）不适用于交换的网络环境。（2）网络入侵检测系统不适用于加密的网络环境。（3）网络入侵检测系统为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。（4）网络流量较大时，处理能力有限。,19,混合型入侵检测系统,基于网络的IDS能够独立于主机，不影响主机性能，并且监控范围广，能够客观地反映网络活动，特别是能够监视到系统审计的盲区基于主机的IDS能够更加精确地监视系统中的各种活动，不会因为网络流量的增加而放弃对网络行为的监视，并且可以用于加密环境。为了克服两者的不足造成防御体系的不全面，20世纪90年代以后，许多大型的分布式入侵检测系统都是混合型的入侵检测系统。,20,入侵响应,被动响应入侵检测系统只发出告警通知主动响应入侵检测系统两类:对被攻击系统实施控制的系统和对攻击系统实施控制的系统。主动响应有两种形式，一种是由用户驱动的，一种是由系统本身自动执行的。,21,入侵响应,应急响应组应急响应计划应急响应计划（EmergencyResponsePlan）是指组织为了应对突发/重大信息安全事件而编制的，对包括信息系统运行在内的业务运行进行维持或恢复的策略和规程。,22,入侵检测的分析技术-异常检测,异常检测技术也称为基于行为的检测技术，是根据用户的行为和系统资源的使用状况判断是否存在网络入侵。异常检测原则是任何与已知行为模型不符合的行为都认为是入侵行为。,23,入侵检测的分析技术-异常检测,异常检测的假设是入侵者活动异常于正常主体的活动。入侵性而非异常非入侵性且异常非入侵性且非异常入侵且异常异常检测一般先建立用户正常行为的模型，再将实际观察到的行为与之相比较，检测与正常行为偏差较大的行为。,24,入侵检测的分析技术-异常检测,异常检测模型,25,入侵检测的分析技术-异常检测,优点是，与系统相对无关，通用性比较强，易于实现，易于自动更新，可以发现未知的入侵行为，同时有一定的学习能力。缺点是单纯的统计异常检测方法对时间发生的次序不够敏感，误报、虚报率较高，对没有统计特征的攻击方法难以检测。难题在于如何建立系统正常行为的“活动轮廓”以及如何设计统计算法采用的技术有统计分析、贝叶斯推理、神经网络和数据挖掘等方法。,26,入侵检测的分析技术-误用检测,误用检测检测技术也称为基于知识的检测或基于特征的检测。误用检测假设所有入侵的行为或手段及其变种都能表达为一种模式或特征。误用检测技术通过对已知道的入侵行为和手段进行分析，提取检测特征，构建攻击模式或攻击签名。检测时，主要判别主机或者网络中所搜集到的数据特征是否匹配所收集的特征库中的一种，以此判断是否有入侵行为。系统中的任何不能确认是攻击的行为都被认为是系统的正常行为。,27,入侵检测的分析技术-误用检测,基于误用的入侵检测技术具有良好的精确度，误报率较低，但其检测依赖于对入侵攻击和系统缺陷相关知识的不断更新和补充，因此不能检测未知的入侵行为。误用检测的主要实现技术有专家系统、状态转换分析、模式匹配等。,28,入侵检测系统的结构,为了提高IDS产品、组件以及与其他安全产品之间的互操作性，美国国防高级研究计划署与Internet工程任务组的入侵检测工程组（IDWG）发起制定了一系列建议草案，从体系结构、API、通信机制、语言格式等方面规范IDS的标准，提出了通用入侵检测框架。,29,分布式的入侵检测系统,新的入侵检测问题：首先，系统的弱点或漏洞分散在网络中的各个主机上，这些弱点问题可能被入侵者一起用来攻击网络，而仅依靠一个主机或网络入侵检测系统难以发现入侵行为；第二，网络入侵行为不再是单一的行为，而是表现出相互协作的入侵特点；第三，数据来源分散化，使得收集原始的检测数据变得比较困难；第四，网络速度传输加快，网络的流量大，原始数据的集中处理方式造成检测瓶颈，导致漏检。,30,分布式的入侵检测系统,分布式IDS的目标是既能检测网络入侵行为，又能检测主机的入侵行为。系统通常由数据采集模块，通信传输模块、入侵检测分析模块、响应处理模块、管理中心模块和安全知识库组成。,31,其它类型的入侵检测系统,文件完整性检查系统日志文件监视,蜜罐技术的提出,被动安全防护机制加密、VPN防火墙:配置问题、针对开放业务端口的攻击、内部攻击入侵检测系统IDS:已知攻击特征库、高误报率反病毒软件:病毒特征库在线升级，延迟“主动”安全防护机制漏洞扫描与补丁分发工具:扫描脚本、补丁延迟入侵防御系统IPS:已知攻击特征库、“傻瓜式”,蜜罐技术的提出,防御方尝试改变攻防博弈不对称性而提出的一种主动防护技术对攻击者的欺骗技术增加攻击代价、减少对实际系统的安全威胁了解攻击者所使用的攻击工具和攻击方法追踪攻击源、攻击行为审计取证蜜罐技术的提出Honeypot:首次出现在CliffStoll的小说“TheCuckoosEgg”(1990)著名计算机安全专家FredCohen,蜜罐技术发展历程,蜜罐技术1998年后，出现DTK、Honeyd等大量开源蜜罐工具同期出现一些商业产品，但并未得到市场普及蜜网技术1999年由蜜网项目组(TheHoneynetProject)提出并实现目前已发展到第三代蜜网技术蜜场技术2003年由LanceSpitzner首次提出Honeypotfarms思想目前仍未有实际的工具、产品和应用,蜜罐技术概念,定义：honeypot:“Asecurityresourcewhosvalueliesinbeingprobed,attackedorcompromised”LanceSpitzner（TheHoneynetProject的创始人）蜜罐是一类安全资源，其价值就在于被探测、被攻击及被攻陷。,36,蜜罐的原理,（1）布置安全陷阱（2）诱骗攻击（3）记录攻击过程,37,蜜罐分类,（1）根据系统功能可以分为产品型蜜罐和研究型蜜罐（2）根据交互程度可将蜜罐系统分为低交互蜜罐、中交互蜜罐和高交互蜜罐（3）从具体实现的角度，可以分为物理蜜罐和虚拟蜜罐。,产品型蜜罐,目标:有效防护业务网络间接性防护通过诱骗增大攻击者代价，混淆关键业务资源，了解并规避安全威胁直接性防护蜜场技术较具代表性的产品型蜜罐包括DTK、honeyd等开源工具和KFSensor、ManTrap等一系列的商业产品。,研究型蜜罐,目标:研究对手，了解自身面临的安全威胁知己知彼、百战不殆蜜网技术(KnowYourEnemy)(Enemy)目前更多意义上属于研究型蜜罐技术具有代表性的工具是“蜜网项目组”所推出的第二代蜜网技术,低交互式蜜罐技术,交互性：攻击者在蜜罐中活动的交互性级别低交互式蜜罐技术具有与攻击源主动交互的能力模拟网络服务响应，模拟漏洞容易部署，容易控制攻击低交互式交互级别由于模拟能力而受限，数据获取能力和伪装性较弱，一般仅能捕获已知攻击例:Honeyd商业产品:KFSensorKFSensor,Specter,HoneyPointHoneyPoint,高交互式蜜罐技术,高交互式蜜罐技术使用真实的操作系统、网络服务与攻击源进行交互高度的交互等级对未知漏洞、安全威胁具有天然的可适性，数据获取能力、伪装性均较强弱势资源需求较大，可扩展性较弱，部署安全风险较高高交互式蜜罐工具Honeynet蜜网项目组(TheHoneynetProject)虚拟机蜜罐VS.物理蜜罐虚拟机(VirtualMachine)/仿真器(Emulator)技术节省硬件资源、容易部署和控制、容易恢复、安全风险降低,42,蜜罐的优点,蜜罐系统有其他网络安全技术没有的几个独特的优势。第一个优势是蜜罐的数据价值高。第二个优势是蜜罐的资源消耗少。第三个优势是蜜罐的设计和配置简单。,蜜罐技术缺点,视野窄.只能对针对蜜罐的攻击行为进行监视和分析，其视图较为有限。容易留指纹会带来一定的安全风险。,44,入侵防御系统,入侵防御系统（IntrusionPreventionSystem，IPS）是近年来新兴的一种网络安全产品。它是由入侵检测系统（IntrusionDetectionSystem，IDS）发展而来，兼有防火墙的一部分功能。IPS系统包含两大功能模块：防火墙和入侵检测。从功能上讲，IPS是传统防火墙和入侵检测系统的组合，它对入侵检测模块的检测结果进行动态响应，将检测出的攻击行为在位于网络出入口的防火墙模块上进行阻断。,45,基于网络的入侵防御系统,网络入侵防御系统（Network-basedIntrusionPreventionSystem，NIPS）与受保护网段是串联部署的。受保护的网段与其它网络之间交互的数据流都必须通过NIPS设备。当通信（指网络流量）通过NIPS时，通信将被监视是否存在攻击。当检测到攻击时，NIPS丢弃或阻断含有攻击性的数据，进而阻断了攻击。,46,基于网络的入侵防御系统,NIPS具有如下优点：（1）单个通信（流量）控制点可以保护成千的位于NIPS下面的系统。（2）NIPS设备易于部署。（3）提供一个更宽的视野，可以发现威胁情形。（4）保护非计算机类的网络设备。（5）与平台无关。（6）防止网络拒绝服务攻击、分布式拒绝服务攻击、面向带宽的（Bandwidth-oriented）攻击、同步洪水（SYNflood）攻击。,47,基于主机的入侵防御系统,正如基于主机的入侵监测系统，基于主机的入侵防御系统（HIPS）是直接安装在正受保护的机器上的代理（程序），检测并阻挡针对本机的威胁和攻击。与操作系统内核紧密捆绑在一起，监视和窃听APIs或到内核的系统调用，阻挡攻击，并记录日志。同时，它还监视针对某一特殊应用的数据流和环境变化，例如Web服务器的文件位置及注册表设置，保护应用程序免受哪些目前还没有特征的攻击。,48,基于主机的入侵防御系统,HIPS不仅可以保护操作系统，还可以保护在其上运行的应用程序，例如Web服务器。缺点是，与主机的操作系统必须紧紧地集成在一起，一旦操作系统升级，将会带来问题。,49,基于主机的入侵防御系统,HIPS具有如下优点：（1）软件直接安装在系统上