第5章(2)-入侵检测.ppt

入侵检测,04/04/0710:18,概述入侵检测系统的分类及特点入侵检测系统的关键技术入侵检测系统的外围支撑技术入侵检测系统应用指南入侵检测系统的发展趋势,04/04/0710:18,一、概述,什么是入侵检测系统为什么需要入侵检测入侵检测系统的作用入侵检测的相关术语,传统的安全防御技术防火墙,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,防火墙的局限性,关于防火墙防火墙不能安全过滤应用层的非法攻击，如unicode攻击防火墙对不通过它的连接无能为力，如内网攻击等防火墙采用静态安全策略技术，因此自身无法动态防御新的非法攻击,04/04/0710:18,对信息系统的非授权访问及（或）未经许可在信息系统中进行操作,入侵Intrusion,入侵检测IntrusionDetection,对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程,入侵检测系统（IDS）,用于辅助进行入侵检测或者独立进行入侵检测的自动化工具,什么是入侵检测系统,IDS,IntrusionDetection：通过从计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到入侵的迹象的一种安全技术；IntrusionDetectionSystem：作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。,04/04/0710:18,边界防御的局限,攻击工具唾手可得入侵教程随处可见,内部网的攻击占总的攻击事件的70%以上没有监测的内部网是内部人员的“自由王国”,入侵行为日益严重,内部的非法访问,防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止Internet上下载被病毒感染的程序,为什么需要入侵检测系统,04/04/0710:18,为什么需要入侵检测系统,如：穿透防火墙的攻击,client,网络安全的P2DR模型与入侵检测,04/04/0710:18,监控室=控制中心,入侵检测系统的作用,监控前门和保安,监控屋内人员,监控后门,监控楼外,入侵检测的必要性因为访问控制和保护模型本身存着在以下问题。（1）弱口令问题。（2）静态安全措施不足以保护安全对象属性。（3）软件的Bug-Free近期无法解决。（4）软件生命周期缩短和软件测试不充分。（5）系统软件缺陷的修补工作复杂，而且源代码大多数不公开，也缺乏修补Bug的专门技术，导致修补进度太慢，因而计算机系统的不安全系统将持续一段时间。,入侵检测的主要目的有：识别入侵者；识别入侵行为；检测和监视已成功的安全突破；为对抗措施即时提供重要信息。因而，入侵检测是非常必要的，可以弥补传统安全保护措施的不足。入侵检测系统的主要功能是检测，当然还有其他的功能选项，因而增加了计算机系统和网络的安全性。,使用入侵检测系统有如下优点：检测防护部分阻止不了的入侵；检测入侵的前兆；对入侵事件进行归档；对网络遭受的威胁程度进行评估；对入侵事件进行恢复。入侵检测系统利用优化匹配模式和统计学技术把传统的电子数据处理和安全审查结合起来，已经发展成为构筑完整的现代网络安全技术的一个必不可少的部分。,04/04/0710:18,攻击,事件,攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取/破坏/篡改目标系统的数据或访问权限,在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。CIDF将入侵检测系统需要分析的数据统称为事件（event）,入侵检测相关术语,检测系统在检测时把系统的正常行为判为入侵行为的错误被称为虚警。检测系统在检测过程中出现虚警的概率称为系统的虚警率。,falsepositives（虚警）,falsenegatives（漏警）,检测系统在检测时把某些入侵行为判为正常行为的错误现象称为漏警。检测系统在检测过程中出现漏警的概率称为系统的漏警率。,04/04/0710:18,模拟脆弱性主机诱惑攻击者在其上浪费时间延缓对真正目标的攻击,Honeypot（蜜罐）,Promiscuous（混杂模式）,网卡的一种接收模式在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的,1997年，DARPA(DefenseAdvancedResearchProjectsAgency)资助成立了CIDF(CommonIntrusionDetectionFramework)工作组；其工作目标是制定一套入侵检测系统的公共框架，使得不同的IDR(IntrusionDetectionandResponseProjections)组件能够互相交换和共享信息，并允许不同的IDR子系统能够得到复用；CIDF将标准化的重点放在入侵检测系统的不同组件之间的合作上；CIDF定义了四个方面的标准：Architecture；Communication；Language；API。,CIDF,IETF（InternetEngineeringTaskForce）下属的IDWG（IDWorkingGroup）。入侵检测信息交换格式（IDMessageExchangeFormat,IDMEF）对组件之间的通信进行了标准化。IDMEF使用面向对象的模型来表示其数据格式，可以提供强大的兼容性与可扩展性。IDMEF的通信规范就是入侵警告协议（IntrusionAlertProtocol,IAP）。,CIWG,04/04/0710:18,二、入侵检测系统的分类,按数据检测方法分类按系统结构分类按时效性分类按照数据来源分类,异常检测模型（AnomalyDetection):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵误用检测模型（MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵,按照分析方法（检测方法）,04/04/0710:18,集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行分布式：系统的各个模块分布在不同的计算机和设备上,按系统结构分类,04/04/0710:18,离线入侵检测系统（off-lineIDS）在线入侵检测系统（On-lineIDS）,根据时效性分类,04/04/0710:18,基于主机的入侵检测系统（HIDS）基于网络的入侵检测系统（NIDS）混合型入侵检测系统（HybridIDS）网络节点入侵检测系统（NNIDS）,按数据来源分类,04/04/0710:18,HIDS,定义运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理特点安装于被保护的主机中系统日志系统调用文件完整性检查主要分析主机内部活动占用一定的系统资源,04/04/0710:18,分析处理,结果,主机入侵检测系统运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。其监测的资源主要包括：网络、文件、进程、系统日志等,04/04/0710:18,HIDS优势,(1)精确地判断攻击行为是否成功。(2)监控主机上特定用户活动、系统运行情况(3)HIDS能够检测到NIDS无法检测的攻击(4)HIDS适用加密的和交换的环境。(5)不需要额外的硬件设备。,04/04/0710:18,HIDS的劣势,(1)HIDS对被保护主机的影响。(2)HIDS的安全性受到宿主操作系统的限制。(3)HIDS的数据源受到审计系统限制。(4)被木马化的系统内核能够骗过HIDS。(5)维护/升级不方便。,04/04/0710:18,NIDS,定义通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。特点安装在被保护的网段（通常是共享网络）中混杂模式监听分析网段中所有的数据包实时检测和响应,NIDS在网络的位置,探测引擎,交换机,数据镜像,控制台,Internet,路由器,内部局域网,IDS,防火墙,04/04/0710:18,NIDS实现,0101010101010101,收集,0101010101010101010101010101010101010,分析处理,结果,网络IDS通过抓取网络上的所有报文，分析处理后，报告异常。,04/04/0710:18,NIDS优势,(1)实时分析网络数据，检测网络系统的非法行为；(2)网络IDS系统单独架设，不占用其它计算机系统的任何资源；(3)网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高；(4)它既可以用于实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证；(5)通过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止非法入侵和破坏。(6)不会增加网络中主机的负担,04/04/0710:18,NIDS的劣势,(1)不适合交换环境和高速环境(2)不能处理加密数据(3)资源及处理能力局限(4)系统相关的脆弱性,HIDS和NIDS的比较,安装于被保护的主机中主要分析主机内部活动系统日志系统调用文件完整性检查占用一定的系统资源,安装在被保护的网段中混杂模式监听分析网段中所有的数据包实时检测和响应操作系统无关性不会增加网络中主机的负担,入侵检测系统,网络型入侵检测系统,主机型入侵检测系统,04/04/0710:18,CIDF组件,事件产生器（Eventgenerators）事件分析器（Eventanalyzers）响应单元（Responseunits）事件数据库（Eventdatabases）,CommonIntrusionDetectionFrame组件,04/04/0710:18,CIDF组件,04/04/0710:18,常见产品形态组件,策略下发,上报事件,控制中心,探测引擎,表现方式：软件功能：接收事件策略下发日志记录与分析事件库升级,表现方式：硬件/软件功能：抓包分析数据上报事件,04/04/0710:18,三、入侵检测系统关键技术,数据采集技术,数据检测技术,数据分析技术,数据采集技术,04/04/0710:18,数据采集技术,高速网络线速采集DedicatedNICDriverDMA-basedzerocopy包俘获包俘获库LibcapwindowsNT下Gobber、Ethdump和EthloadUNIX下CSPF、BPF基于流的包俘获主机信息采集应用程序日志审计日志网络端口的连接状况系统文件,04/04/0710:18,基于误用的检测方法基于异常的检测方法,数据检测技术,04/04/0710:18,运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。也被称为违规检测(MisuseDetection)。检测准确度很高。,基于误用的检测方法,数据检测技术,04/04/0710:18,专家系统模型匹配检测系统状态转换分析,具体实现,数据检测技术,基于误用的检测方法,04/04/0710:18,攻击信息使用的输入使用ifthen的语法。指示入侵的具体条件放在规则的左边（if侧），当满足这些规则时，规则执行右边（then侧）的动作。,专家系统,基于误用的检测方法,04/04/0710:18,模式匹配检测,基于误用的检测方法,根据知识建立攻击脚本库，每一脚本都由一系列攻击行为组成。有关攻击者行为的知识被描述为：攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特殊使用等。,04/04/0710:18,00050dac6f2d600b0d04dcbaa08004500.P.M.E.10015731054000800600000a0a0231d850.W1.1.P20111106a30050df62322e413a9cf15018.P.b2.A:.P.3016d0f6e50000474554202f70726f6475.GET/produ406374732f776972656c6573732f696d61cts/wireless/ima506765732f686f6d655f636f6c6c616765ges/home_collage60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1.704163636570743a202a2f2a0d0a526566Accept:*/*.Ref80657265723a20687474703a2f2f777777erer:,基于误用的检测方法,模式匹配检测示例,04/04/0710:18,优点可检测出所有对系统来说是已知的入侵行为系统安全管理员能够很容易地知道系统遭受到的是那种入侵攻击并采取相应的行动局限：它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。系统运行的环境与知识库中关于攻击的知识有关。对于系统内部攻击者的越权行为，由于他们没有利用系统的缺陷，因而很难检测出来。,基于误用的检测方法,04/04/0710:18,基本原理前提：入侵是异常活动的子集用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围过程监控量化比较判定修正指标:漏报率低,误报率高,基于异常的检测方法,04/04/0710:18,具体实现基于统计学方法的异常检测基于神经网络的异常检测基于数据挖掘的异常检测,04/04/0710:18,记录的具体操作包括：CPU的使用，I/O的使用，使用地点及时间，邮件使用，编辑器使用，编译器使用，所创建、删除、访问或改变的目录及文件，网络上活动等。,基于统计学方法,操作密度审计记录分布范畴尺度数值尺度,04/04/0710:18,基于神经网络,04/04/0710:18,数据挖掘是指从大量实体数据抽象出模型的处理；目的是要从海量数据中提取对用户有用的数据；这些模型经常在数据中发现对其它检测方式不是很明显的异常。主要方法：聚类分析、连接分析和顺序分析。,基于数据挖掘技术的异常检测,04/04/0710:18,优点不需要操作系统及其安全性缺陷专门知识能有效检测出冒充合法用户的入侵缺点为用户建立正常行为模式的特征轮廓和对用户活动的异常性报警的门限值的确定都比较困难不是所有入侵者的行为都能够产生明显的异常性有经验的入侵者还可以通过缓慢地改变他的行为，来改变入侵检测系统中的用户正常行为模式，使其入侵行为逐步变为合法。,误用检测和异常检测的对比,入侵检测模型,异常检测(AnomalyDetection）指根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测。,误用检测（MisuseDetection）指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。模式匹配为误用检测的典型应用,异常检测模型,误用检测模型,04/04/0710:18,数据分析技术,协议解析有限状态自动机ACBM字符串匹配正则表达式事件规则树完整性分析,04/04/0710:18,协议分析与解码,ETHER,ARP,IP,RARP,ICMP,IGMP,TCP,UDP,POP3,FTP,HTTP,。,DNS,04/04/0710:18,匹配规则子集,ETHER,ARP,IP,RARP,ICMP,IGMP,TCP,UDP,POP3,FTP,HTTP,。,DNS,04/04/0710:18,协议分析的优点,提高了性能提高了准确性基于状态的分析反规避能力系统资源开销小,检测实例,老版本的Sendmail有一个漏洞，telnet到25端口，输入wiz，然后接着输入超过1024Kb的shellcode，就能获得一个rootshell，还有通过debug命令的方式，也能获得root权限，进而控制系统。$25WIZShellecx0 x943a3145-1808125627edx0 x408d17fc1082988540。或者DEBUG#*直接获得rootshell！,04/04/0710:18,检查每个packet是否包含：“WIZ”|“DEBUG”,简单的匹配,检测实例,04/04/0710:18,检测实例,缩小匹配范围Port25:“WIZ”|“DEBUG”,检查端口号,04/04/0710:18,检测实例,只判断客户端发送部分Port25:Client-sends:“WIZ”|Client-sends:“DEBUG”,深入决策树,04/04/0710:18,检测实例,状态检测+引向异常的分支Port25:statefulclient-sends:“WIZ”|statefulclient-sends:“DEBUG”afterstateful“DATA”client-sendsline1024bytesmeanspossiblebufferoverflow,更加深入,04/04/0710:18,四、入侵检测系统的外围支撑技术,联动机制响应机制日志分析事件过滤技术漏洞机理研究,04/04/0710:18,五、入侵检测系统应用指南,IDS的部署评价IDS的性能和功能指标典型IDS产品介绍,04/04/0710:18,IDS的部署,共享模式隐蔽模式交换模式In-line模式TAP模式,04/04/0710:18,共享环境,HUB,IDS探测器,被监测机器,控制台,SPAM模式通过镜像端口从HUB上的任意一个接口，或者在交换机上设置成监听模式的监听端口上收集信息。,04/04/0710:18,交换机,IDS探测器,被监测机器,控制台,通过端口镜像实现,交换环境,隐蔽模式,HUB,IDS探测器,被监测机器,控制台,监测口无IP地址,隐蔽模式使得IDS在对外界不可见的情况下正常工作。这种IDS大多数用在DMZ外，在防火墙的保护之外。它有自动响应的缺点。例如采用双网卡的技术，一个网卡绑定IP，用来与console（控制台）通信，另外一个网卡无IP，用来收集网络数据包，其中连在网络中的是无IP的网卡，因为没有IP，所以可以免受直接攻击。,04/04/0710:18,In-Line模式,直接将IDS串接在通信线路中。,04/04/0710:18,TAP模式,以双向监听全双工以太网连接中的网络通信信息，这样能捕捉到网络中的所有流量，能更好地了解网络攻击的发生源和攻击的性质，为阻止网络攻击提供丰富的信息，并能记录完整的状态信息，使得与防火墙联动或发送Reset包更加容易。,04/04/0710:18,评价IDS的性能指标,Porras等给出了评价入侵检测系统性能的三个因素：准确性（Accuracy）处理性能（Performanc