入侵检测技术15104

1、入侵检测技术,概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望,概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望,IDS存在与发展的必然性,一、网络攻击的破坏性、损失的严重性 二、日益增长的网络安全威胁 三、单纯的防火墙无法防范复杂多变的攻击,为什么需要IDS,关于防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 入侵很容易 入侵教程随处可见 各种工具唾手可得,网络安全工具的特点,Intrusion,Intrusion : Attempting to break in

2、to or misuse your system. Intruders may be from outside the network or legitimate users of the network. Intrusion can be a physical, system or remote intrusion,传统的信息安全方法采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全 入侵检测（Intrusion Detection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发

3、现网络或系统中是否有违反安全策略的行为和被攻击的迹象,Intrusion Detection,入侵检测的定义,对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性 进行入侵检测的软件与硬件的组合便是入侵检测系统 IDS : Intrusion Detection System,入侵检测的起源（1,审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程 审计的目标： 确定和保持系统活动中每个人的责任 重建事件 评估损失 监测系统的问题区 提供有效的灾难恢复 阻止系统的不正当使用,1980年 Anderson提出：入侵检测概念，分类方法 1

4、987年 Denning提出了一种通用的入侵检测模型 独立性 ：系统、环境、脆弱性、入侵种类 系统框架：异常检测器，专家系统 90年初 CMDS、NetProwler、NetRanger ISS RealSecure,入侵检测起源（2,入侵检测的起源（2,1980年4月，James P. Anderson Computer Security Threat Monitoring and Surveillance （计算机安全威胁监控与监视） 第一次详细阐述了入侵检测的概念 计算机系统威胁分类: 外部渗透、内部渗透和不法行为 提出了利用审计跟踪数据监视入侵活动的思想 这份报告被公认为是入侵检测的开

5、山之作,入侵检测的起源（3,从1984年到1986年 乔治敦大学的Dorothy Denning SRI/CSL的Peter Neumann 研究出了一个实时入侵检测系统模型IDES（入侵检测专家系统,入侵检测的起源（3,入侵检测的起源（4,1990，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor） 该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机 入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS,入侵检测的起源（6,IDS基本结构,入

6、侵检测系统包括三个功能部件 （1）信息收集 （2）信息分析 （3）结果处理,信息搜集,信息收集,入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点,信息收集,入侵检测很大程度上依赖于收集信息的可靠性和正确性 要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息,信息收集的来源,系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为,系统或网络的日志文件,攻击者

7、常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件 日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容 显然，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等,系统目录和文件的异常变化,网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标 目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指

8、示和信号 入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件,信息分析,信息分析,模式匹配 统计分析 完整性分析，往往用于事后分析,模式匹配,模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化,统计分析,统计分析方法首先给系统对象（如用户、文件、目录和设备等

9、）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等） 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生,完整性分析,完整性分析主要关注某个文件或对象是否被更改 这经常包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效,结果处理,入侵检测性能关键参数,误报(false positive)：如果系统错误地将异常活动定义为入侵 漏报(false negative)：如果系统未能检测出真正的入侵行为,入侵检测的分类（1,按照分析方法（检测方法） 异常检测模型（Anomaly Detecti

10、on ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵,异常检测模型,前提：入侵是异常活动的子集 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围 过程 监控 量化 比较 判定 修正 指标:漏报率低,误报率高,异常检测,异常检测特点,异常检测系统的效率取决于用户轮廓的完备性和监控的频率 因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵 系

11、统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源,Anomaly Detection,activity measures,probable intrusion,误用检测模型,前提：所有的入侵行为都有可被检测到的特征 攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 过程 监控 特征提取 匹配 判定 指标:误报低、漏报高,误用检测,误用检测模型,如果入侵特征与正常的用户行能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报 特点：采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。

12、攻击特征的细微变化，会使得滥用检测无能为力,Misuse Detection,Cant detect new attacks,Example: if (src_ip = dst_ip) then “land attack,入侵检测的分类（2,按照数据来源： 基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机 基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行 混合型,基于主机的入侵检测系统,黑客入侵的过程和阶段,Network IDS,Host IDS,Desktops,Web Servers,Telecommuters,Customers,Serv

13、ers,Network,Branch Office,Partners,Host-based 入侵检测,Hacker,Host-based IDS,Host-based IDS,Internet,基于主机入侵检测系统工作原理,网络服务器1,客户端,网络服务器2,检测内容： 系统调用、端口调用、系统日志、安全审记、应用日志,HIDS,HIDS,监视与分析主机的审计记录 可以不运行在监控主机上 能否及时采集到审计记录 如何保护作为攻击目标主机审计子系统,基于主机,基于网络的入侵检测系统,在共享网段上对通信数据进行侦听采集数据 主机资源消耗少 提供对网络通用的保护 如何适应高速网络环境 非共享网络上如

14、何采集数据,基于网络,黑客入侵的过程和阶段,Network IDS,Network IDS,Desktops,Web Servers,Telecommuters,Customers,Servers,Network,Branch Office,Partners,Network-based 入侵检测,Network-based IDS,Network-based IDS,Network-based IDS,Internet,NIDS,基于网络入侵检测系统工作原理,网络服务器1,数据包=包头信息+有效数据部分,客户端,网络服务器2,检测内容： 包头信息+有效数据部分,两类IDS监测软件,网络IDS

15、侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少,主机IDS 视野集中 易于用户自定义 保护更加周密 对网络流量不敏感,入侵检测的分类（3,按系统各模块的运行方式 集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行 分布式：系统的各个模块分布在不同的计算机和设备上,入侵检测的分类（4,根据时效性 脱机分析：行为发生后，对产生的数据进行分析 联机分析：在数据产生的同时或者发生改变时进行分析,常用术语,当一个入侵正在发生或者试图发生时，IDS系统将发布一个alert信息通知系统管理员 如果控制台与IDS系统同在一台机器，alert信息将显示在监视器上，也可能伴随着声音提示 如果是远

16、程控制台，那么alert将通过IDS系统内置方法（通常是加密的）、SNMP（简单网络管理协议，通常不加密）、email、SMS（短信息）或者以上几种方法的混合方式传递给管理员,Alert（警报,Anomaly（异常,当有某个事件与一个已知攻击的信号相匹配时，多数IDS都会告警 一个基于anomaly（异常）的IDS会构造一个当时活动的主机或网络的大致轮廓，当有一个在这个轮廓以外的事件发生时，IDS就会告警 有些IDS厂商将此方法看做启发式功能，但一个启发式的IDS应该在其推理判断方面具有更多的智能,首先，可以通过重新配置路由器和防火墙，拒绝那些来自同一地址的信息流;其次，通过在网络上发送res

17、et包切断连接 但是这两种方式都有问题，攻击者可以反过来利用重新配置的设备，其方法是：通过伪装成一个友方的地址来发动攻击，然后IDS就会配置路由器和防火墙来拒绝这些地址，这样实际上就是对“自己人”拒绝服务了 发送reset包的方法要求有一个活动的网络接口，这样它将置于攻击之下，一个补救的办法是：使活动网络接口位于防火墙内，或者使用专门的发包程序，从而避开标准IP栈需求,Automated Response,IDS的核心是攻击特征，它使IDS在事件发生时触发 特征信息过短会经常触发IDS，导致误报或错报，过长则会减慢IDS的工作速度 有人将IDS所支持的特征数视为IDS好坏的标准，但是有的产商用

18、一个特征涵盖许多攻击，而有些产商则会将这些特征单独列出，这就会给人一种印象，好像它包含了更多的特征，是更好的IDS,Signatures（特征,Promiscuous（混杂模式,默认状态下，IDS网络接口只能看到进出主机的信息，也就是所谓的non-promiscuous（非混杂模式） 如果网络接口是混杂模式，就可以看到网段中所有的网络通信量，不管其来源或目的地 这对于网络IDS是必要的，但同时可能被信息包嗅探器所利用来监控网络通信量 交换型HUB可以解决这个问题，在能看到全面通信量的地方，会都许多跨越（span）端口,概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化

19、工作 其它 展望,入侵检测相关的数学模型,试验模型（Operational Model） 平均值和标准差模型 （Mean and Standard Deviation Model） 多变量模型（Multivariate Model） 马尔可夫过程模型（Markov Process Model） 时序模型（Time Series Model,前提假设：若已观测到变量 X出现的次数操作某个预定的值，则就有可能出现异常的情况 这个模型最适应于入侵活动与随机变量相关的方面 例如：口令实效次数,试验模型 （Operational Model,平均值和标准差模型 (Mean and Standard De

20、viation Model,根据已观测到随机变量x的样值Xi(I1,2,n)以及计算出这些样值的平均值mean和标准方差stddev 若新的取样值Xn+1不在可信区间 mean-d*stddev, m + d*stddev 内时，则出现异常，其中d是标准偏移均值mean的参数 这个模型适用于事件计数器、间隔计时器、资源计数器三种类型随机变量处理,平均值和标准差模型 (Mean and Standard Deviation Model,该模型的优点在于不需要为了设定限制值而掌握正常活动的知识。相反，这个模型从观测中学习获取知识，可信区间的变动就反映出知识的增长过程 另外，可信区间依赖于观测到的数

21、据，这样对于用户正常活动定义有可能差异较大 此模型可加上权重的计算，如最近取样的值的权重大些，就会更准确反映出系统的状态,多变量模型 （Multivariate Model,该模型基于两个或多个随机变量的相关性计算 适合于利用根据多个随机变量的综合结果来识别入侵行为，而不仅仅是单个变量 例如一个程序的使用CPU时间和I/O，用户注册频度，通信会话时间等多个变量来检测入侵行为,马尔可夫过程模型 （Markov Process Model,该模型将离散的事件（审计记录）看作一个状态变量，然后用状态迁移矩阵刻划状态之间的迁移频度 若观察到一个新事件，而根据先前的状态和迁移检测矩阵来得到新的事件的出现

22、频率太低，则表明出现异常情况 对于通过寻找某些命令之间的转移而检测出入侵行为，这个模型比较适合,时序模型 （Time Series Model,该模型通过间隔计时器和资源计数器两种类型随机变量来描述入侵行为 根据x1,x2,xn之间的相隔时间和它们的值来判断入侵，若在某个时间内x出现的概率太高，则出现异常情况 这个模型的有利于描述行为随时间变化的趋势，缺点在于计算开销大,异常入侵检测方法,统计异常检测模型,统计异常模型根据异常检测器观察主体的活动，然后产生刻划这些活动的行为轮廓 每一个轮廓保存记录主体当前行为，并定时将当前轮廓与历史轮廓合并形成统计轮廓，通过比较当前轮廓与统计轮廓来判定异常行为

23、,IDES测量参数,活动强度参数（Activity Intensity Measures）：跟踪和记录某个主体在不同时间间隔内产生的审计记录数； 审计记录分布参数( Audit Record Distribution measures)：描述最近审计记录中各种活动类型的分布情况，如某个特定用户在整个系统使用中产生的文件存取、CPU异常使用和I/O活动分布； 类型测量(Categorical Measures): 描述特定的活动在各种类型的分布状况。如在系统中，从各个物理位置来的远程登录相关频度，每个邮件发送者、编译器的相关使用。测量关注的是活动出现的次数多少； 顺序测量( Ordinal Me

24、asures): 描述活动的输出结果，以字数值来表示。如特定用户CPU和I/O使用总量 以上参数主要来自Sun OS 审计系统和安全审计包产生的审计事件，按活动类型进行分类，并定义了详细的数据结构进行描述,IDES轮廓,系统针对每个主体定义一个轮廓(Profile)，用于描述主体的正常行为以及一套相关的统计参数，如频率、平均值、协方差 轮廓的集合形成统计知识基(The Statistical Knowledge Base)，统计知识基通过定时老化(age)来更新参数,IDES轮廓,审计活动被离散为由各项轮廓参数Mi 的异常测量值Si组成的矢量，生成一个轮廓异常值： T2a1S12 + a2S2

25、2 + + anSn2 （ai为权重参数） 这种模型的优点是所应用的技术方法在统计学得到了很好的研究，也具备自学习能力。 但缺乏事件序列关联能力，系统容易被训练成单一点；同时运用统计技术对异常作形式化处理需要假设数据来源稳定和具有相似性，但这种假设并不总是能够满足,基于特征选择异常检测方法,异常入侵检测的困难问题是在异常活动和入侵活动之间作出判断 基于特征选择异常检测方法是通过从一组度量中挑选能检测出入侵的度量构成子集来准确地预测或分类已检测到的入侵,特征子集的构造要求,判断符合实际的度量是复杂的，因为合适地选择度量子集依赖于检测到的入侵类型 一个度量集对所有的各种各样的入侵类型不可能是足够的

26、，预先确定特定的度量来检测入侵可能会错过单独的特别的环境下的入侵 最理想的检测入侵度量集必须动态地决策判断以获得最好的效果,特征子集的构造方法,假设与入侵潜在相关的度量有n个，则这n个度量构成子集数是2n个。由于搜索空间同度量数是指数关系，所以穷尽寻找最理想的度量子集的开销不是有效的 Maccabe提出遗传方法来搜索整个度量子空间以寻找正确的度量子集。其方法是使用学习分类器方案生成遗传交叉算子和基因突变算子，除去降低预测入侵的度量子集，而采用遗传算子产生更强的度量子集取代 这种方法采用与较高的预测度量子集相结合，允许搜索的空间大小比其它的启发式搜索技术更有效,基于神经网络异常检测方法,基于神经

27、网络入侵检测方法是训练神经网络连续的信息单元，信息单元指的是命令 网络的输入层是用户当前输入的命令和已执行过的W个命令；用户执行过的命令被神经网络使用来预测用户输入的下一个命令 若神经网络被训练成预测用户输入命令序列集合，则神经网络就构成用户的轮廓框架,基于神经网络异常检测模型,基于神经网络异常检测方法,当用这个神经网络预测不出某用户正确的后继命令，即在某种程度上表明了用户行为与其轮廓框架的偏离，这时有异常事件发生，以此就能进行异常入侵检测,误用入侵检测方法,误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击，并可以通过捕获攻击及重新整理，确认入侵活动是基于同一弱点进行攻击的入侵方法

28、的变种 误用入侵检测指的是通过按预先定义好的入侵模式以及观察到入侵发生情况进行模式匹配来检测 入侵模式说明了那些导致安全突破或其它误用的事件中的特征、条件、排列和关系。一个不完整的模式可能表明存在入侵的企图模式构造也有多种方式,基于条件概率误用检测 基于专家系统误用检测 基于状态迁移误用检测 基于键盘监控误用检测 基于模型误用检测,误用入侵检测方法,基于条件概率误用入侵检测方法,将入侵方式对应于一个事件序列，然后通过观测到事件发生情况来推测入侵出现 这种方法的依据是外部事件序列，根据贝叶斯定理进行推理检测入侵,基于条件概率误用入侵检测方法,令ES表示事件序列，先验概率为P（Intrusion）

29、，后验概率为P（ES | Intrusion），事件出现的概率为 P（ES），则 通常网络安全专家可以给出先验概率 P（Intrusion），对入侵报告数据进行统计处理得出 P(ES | Intrusion)和 P(ES | Intrusion)，于是可以计算出,基于专家系统误用入侵检测方法,通过将安全专家的知识表示成 IF-THEN规则形成专家知识库，然后，运用推理算法进行检测入侵 Snapp和Smaha给出了在入侵检测中使用这样的系统的实例CLIPS,CLIPS,在CLIPS中，将入侵知识进行编码表示成IFTHEN蕴含规则以及根据相应的审计跟踪事件的断言事实 编码规则说明攻击的必需条件作为

30、IF的组成部分。当规则的左边的全部条件都满足时，规则的右边的动作才会执行 入侵检测专家系统应用的实际问题是要处理大量的数据和依赖于审计跟踪的次序，其推理方式主要有以下两种,推理方式,根据给定的数据，应用符号推理出入侵的发生情况。需要解决的主要问题是处理序列数据和知识库的维护。不足之处就是只能检测已知弱点 根据其它的入侵证据，进行不确定性推理。这种推理的局限性就是推理证据的不精确和专家知识的不精确,基于条件概率误用入侵检测方法,故可以通过事件序列的观测，从而推算出 P（Intrusion | ES）。基于条件概率误用入侵检测方法是在概率理论基础上的一个普遍的方法。它是对贝叶斯方法的改进，其缺点就

31、是先验概率难以给出，而且事件的独立性难以满足,基于键盘监控误用入侵检测方法,基于键盘监控误用入侵检测方法假设入侵对应特定的击键序列模式，然后监测用户击键模式，并将这一模式与入侵模式匹配，以此就能检测入侵 这种方法的不利之处是在没有操作系统支持的情况下，缺少捕获用户击键的可靠方法，存在无数击键方式表示同一种攻击。而且，没有击键语义分析，用户提供别名（例如 Korn shell）很容易欺骗这种技术 用户注册的shell提供命令序列简写工具，这就是所谓的别名，类似宏定义。因为这种技术仅仅分析击键，所以不能够检测到恶意程序执行结果的自动攻击,其它,基于生物免疫检测 基于伪装检测,基于生物免疫的入侵检测

32、,基于生理免疫系统和计算机系统保护机制之间显著的相似性，New Mexico大学的学者Steven Andrew Hofmeyr提出了对计算机安全的全新看法，即自免疫系统。这种系统具备执行“自我/非自我”决定的能力，在参照大量的目标数据基础上，系统选取短顺序的系统调用，忽略传递调用的参数，而仅观察其临时顺序来决定行为的异常性 系统分两个阶段来对入侵进行分析处理。第一个阶段建立一个形成正常行为轮廓的知识库，这里描述的行为以系统处理为中心，因此这种轮廓有别于传统的其他特征轮廓。与这个特征轮廓的偏差被定义为异常。在检测的第二阶段，特征轮廓用于监控随后的异常系统行为,基于伪装的入侵检测,基于伪装的入侵

33、检测通过构造一些虚假的信息提供给入侵者，如果入侵者使用这些信息攻击系统，那么就可以推断系统正在遭受入侵，并且还可以诱惑入侵者，进一步跟踪入侵的来源,概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望,基于主机的入侵检测系统,系统分析主机产生的数据（应用程序及操作系统的事件日志） 由于内部人员的威胁正变得更重要 基于主机的检测威胁 基于主机的结构 优点及问题,基于主机的检测威胁,特权滥用 关键数据的访问及修改 安全配置的变化,基于主机的入侵检测系统结构,基于主机的入侵检测系统通常是基于代理的，代理是运行在目标系统上的可执行程序，与中央控制计算机通信 集中

34、式：原始数据在分析之前要先发送到中央位置 分布式：原始数据在目标系统上实时分析，只有告警命令被发送给控制台,集中式检测的优缺点,优点： 不会降低目标机的性能 统计行为信息 多主机标志、用于支持起诉的原始数据 缺点： 不能进行实时检测 不能实时响应 影响网络通信量,分布式检测的优缺点,优点： 实时告警 实时响应 缺点： 降低目标机的性能 没有统计行为信息 没有多主机标志 没有用于支持起诉的原始数据 降低了数据的辨析能力 系统离线时不能分析数据,操作模式,操作主机入侵检测系统的方式 警告 监视 毁坏情况评估 遵从性,基于主机的技术面临的问题,性能：降低是不可避免的 部署/维护 损害 欺骗,基于网络

35、的入侵检测系统,入侵检测系统分析网络数据包 基于网络的检测威胁 基于网络的结构 优点及问题,基于网络的检测威胁,非授权访问 数据/资源的窃取 拒绝服务,基于网络的入侵检测系统结构,基于网络的入侵检测系统由遍及网络的传感器（Sensor)组成，传感器会向中央控制台报告。传感器通常是独立的检测引擎，能获得网络分组、找寻误用模式，然后告警。 传统的基于传感器的结构 分布式网络节点结构,传统的基于传感器的结构,传感器（通常设置为混杂模式）用于嗅探网络上的数据分组，并将分组送往检测引擎 检测引擎安装在传感器计算机本身 网络分接器分布在关键任务网段上，每个网段一个,分布式网络节点结构,为解决高速网络上的丢

36、包问题，1999年6月，出现的一种新的结构，将传感器分布到网络上的每台计算机上 每个传感器检查流经他的网络分组，然后传感器相互通信，主控制台将所有的告警聚集、关联起来,基于网络的入侵检测的好处,威慑外部人员 检测 自动响应及报告,基于网络的技术面临的问题,分组重组 高速网络 加密,基于异常的入侵检测,思想：任何正常人的行为有一定的规律 需要考虑的问题： （1）选择哪些数据来表现用户的行为 （2）通过以上数据如何有效地表示用户的行为，主要在于学习和检测方法的不同 （3）考虑学习过程的时间长短、用户行为的时效性等问题,数据选取的原则,1）数据能充分反映用户行为特征的全貌 （2） 应使需要的数据量最

37、小 （3） 数据提取难度不应太大,NIDS抓包,PF_PACKET 从链路层抓包 libpcap 提供API函数 winpcap Windows下的抓包库,分析数据包,Ethernet,IP,TCP,模式匹配,Ethernet,IP,TCP,协议分析,HTTP,Unicode,XML,模式匹配,0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.M.E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:

38、.P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 6475 .GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1. 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*.Ref 80

39、6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: http:/www 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. d0 0a41 6363 6570 742d

40、 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible; MSIE 5.01; 120 2057 696e 646f 7

41、773 204e 5420 352e 3029 Windows NT 5.0) 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: www.amer 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: Keep-Aliv 160 650d 0a0d 0a e,0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.M.E. 10 0157 3105 4000 8

42、006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:.P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 6475 .GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31

43、0d0a 2.jpg HTTP/1.1. 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*.Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: http:/www 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept-

44、 c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compa

45、t 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible; MSIE 5.01; 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: www.amer 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: Keep-Aliv 160 6

46、50d 0a0d 0a e,协议分析,一个攻击检测实例,老版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell,简单的匹配,检查每个packet是否包含： “WIZ” | “DEBUG,检查端口号,缩小匹配范围 Port 25: “WIZ” | “DEBUG”,深入决策树,只判断客户端发送部分 Port 25: Client-sends: “WIZ” | Client-sends: “DEBUG”,概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望,制订响应策略应考虑的要素,系统用

47、户：入侵检测系统用户可以分为网络安全专家或管理员、系统管理员、安全调查员。这三类人员对系统的使用目的、方式和熟悉程度不同，必须区别对待 操作运行环境：入侵检测系统提供的信息形式依赖其运行环境 系统目标：为用户提供关键数据和业务的系统，需要部分地提供主动响应机制 规则或法令的需求：在某些军事环境里，允许采取主动防御甚至攻击技术来对付入侵行为,响应策略,弹出窗口报警 E-mail通知 切断TCP连接 执行自定义程序 与其他安全产品交互 Firewall SNMP Trap,压制调速 1、 撤消连接 2、 回避 3、 隔离 SYN/ACK RESETs,自动响应,一个高级的网络节点在使用“压制调速”

48、技术的情况下，可以采用路由器把攻击者引导到一个经过特殊装备的系统上，这种系统被成为蜜罐 蜜罐是一种欺骗手段，它可以用于错误地诱导攻击者，也可以用于收集攻击信息，以改进防御能力 蜜罐能采集的信息量由自身能提供的手段以及攻击行为数量决定,蜜罐,BOF: NFR Windows pecter是商业产品，运行在Windows平台上 Deception Toolkit : DTK是一个状态机，实际上它能虚拟任何服务，并可方便地利用其中的功能直接模仿许多服务程序 Mantrap : Recourse 最多达四种操作系统 运行在Solaris 平台 Honeynets : 它是一个专门设计来让人“攻陷”的网

49、络，一旦被入侵者所攻破，入侵者的一切信息、工具等都将被用来分析学习,主动攻击模型,概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望,IDS标准化要求,随着网络规模的扩大，网络入侵的方式、类型、特征各不相同，入侵的活动变得复杂而又难以捉摸 某些入侵的活动靠单一IDS不能检测出来，如分布式攻击 网络管理员常因缺少证据而无法追踪入侵者，入侵者仍然可以进行非法的活动 不同的IDS之间没有协作，结果造成缺少某种入侵模式而导致IDS不能发现新的入侵活动 目前网络的安全也要求IDS能够与访问控制、应急、入侵追踪等系统交换信息，相互协作，形成一个整体有效的安全保障系

50、统,IDS标准化要求,然而，要达到这些要求，需要一个标准来加以指导，系统之间要有一个约定，如数据交换的格式、协作方式等 基于上述的因素考虑，国际上的一些研究组织开展这方面的研究工作,CIDF(The Common Intrusion Detection Framework,/drafts,CIDF,CIDF早期由美国国防部高级研究计划局赞助研究，现在由CIDF工作组负责，这是一个开放组织。实际上CIDF已经成为一个开放的共享的资源 CIDF是一套规范，它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议 符合CIDF规范的IDS可以共享检测信息

51、，相互通信，协同工作，还可以与其它系统配合实施统一的配置响应和恢复策略 CIDF的主要作用在于集成各种IDS使之协同工作，实现各IDS之间的组件重用，所以CIDF也是构建分布式IDS的基础,CIDF规格文档,CIDF的规格文档由四部分组成，分别为： 体系结构：阐述了一个标准的IDS的通用模型 规范语言：定义了一个用来描述各种检测信息的标准语言 内部通讯：定义了IDS组件之间进行通信的标准协议 程序接口：提供了一整套标准的应用程序接口,CIDF规格文档,CIDF将IDS需要分析的数据统称为事件（event），它可以是基于网络的IDS从网络中提取的数据包，也可以是基于主机的IDS从系统日志等其它途

52、径得到的数据信息 CIDF组件之间是以通用入侵检测对象（generalized intrusion detection objects，以下简称为GIDO）的形式交换数据的，一个GIDO可以表示在一些特定时刻发生的一些特定事件，也可以表示从一系列事件中得出的一些结论，还可以表示执行某个行动的指令,Components,事件产生器（Event generators） 事件分析器（Event analyzers） 事件数据库（Event databases） 响应单元（Response units,Components,CIDF中的事件产生器负责从整个计算环境中获取事件，但它并不处理这些事件，而是

53、将事件转化为GIDO标准格式提交给其它组件使用，显然事件产生器是所有IDS所需要的，同时也是可以重用的 CIDF中的事件分析器接收GIDO，分析它们，然后以一个新的GIDO形式返回分析结果,Components,CIDF中的事件数据库负责GIDO的存贮，它可以是复杂的数据库，也可以是简单的文本文件 CIDF中的响应单元根据GIDO做出反应，它可以是终止进程、切断连接、改变文件属性，也可以只是简单的报警,通信层次,CIDF将各组件之间的通信划分为三个层次结构：GIDO层（GIDO layer）、消息层（Message layer）和传输层（Negotiated Transport layer）

54、其中传输层不属于CIDF规范，它可以采用很多种现有的传输机制来实现 消息层负责对传输的信息进行加密认证，然后将其可靠地从源传输到目的地，消息层不关心传输的内容，它只负责建立一个可靠的传输通道 GIDO层负责对传输信息的格式化，正是因为有了GIDO这种统一的信息表达格式，才使得各个IDS之间的互操作成为可能,CISL(A Common Intrusion Specification Language,CIDF的规范语言文档定义了一个公共入侵标准语言CISL，各IDS使用统一的CISL来表示原始事件信息、分析结果和响应指令，从而建立了IDS之间信息共享的基础 CISL是CIDF的最核心也是最重要的

55、内容,CISL,CISL使用了一种类似Lisp语言的S表达式，它的基本单位由语义标志符（Semantic IDentifiers，以下简称为SID）、数据和圆括号组成。例如： (HostName ) 其中HostName为SID，表示后面的数据是一个主机名，为数据，括号将两者关联 多个S表达式的基本单位递归组合在一起，构成整个CISL的S表达式。在CISL中，所有信息（原始事件、分析结果、响应指令等）均是用这种S表达式来表示的,CISL,表示用户名为joe的用户在1998年6月14日16点40分32秒删除了主机名为的主机上的文件/etc/passwd。 这是一个事件描述，其中的Delete、C

56、ontext、HostName、Time等均为SID,CISLSID,在CISL中，SID分为七类，分别为： 动词SID，表动作，如Delete、OpenApplicationSession 角色SID，表产生动作的主体，如Initiator、FileDestination 副词SID，表动作的地点或时间，如Outcome、When 属性SID，表产生动作主体的属性，如Owner 原子SID，表最基本的SID，如UserName、Time 指示SID，表示组合同一句子的两个或多个部分，如ReferTo、ReferAs 关联SID，表句子之间的联系，如And,CISLSID,这些SID、S表达式

57、以及S表达式的组合、递归、嵌套等构成了CISL的全部表达能力，也即CISL本身 在计算机内部处理CISL时，为节省存储空间提高运行效率，必须对ASCII形式的S表达式进行编码，将其转换为二进制字节流的形式，编码后的S表达式就是GIDO GIDO是S表达式的二进制形式，是CIDF各组件统一的信息表达格式，也是组件之间信息数据交换的统一形式 在CISL中还对GIDO的动态追加，多个GIDO的组合，以及GIDO的头结构等进行了定义,CIDF内部通信,CIDF的内部通信文档描述了两种CIDF组件之间通信的机制 匹配服务（Matchmaking Service）法 消息层（Message Layer）法

58、,匹配服务法（匹配器,CIDF的匹配服务为CIDF各组件之间的相互识别、定位和信息共享提供了一个标准的统一的机制 匹配器的实现是基于轻量目录访问协议（LDAP）的，每个组件通过目录服务注册，并公告它能够产生或能够处理的GIDO，这样组件就被分类存放，其它组件就可以方便地查找到那些它们需要通信的组件 目录中还可以存放组件的公共密钥，从而实现对组件接收和发送GIDO时的身份认证,匹配器构成,通信模块：实现客户端（可为任何一个CIDF组件）与匹配代理之间的通信协议 匹配代理：一个任务是处理从远端组件到它的客户端的输入请求，另一个任务是处理从它的客户端到远端组件的输出请求 认证和授权模块：使一个组件能

59、够鉴别其它组件，使客户端与匹配代理之间能够相互鉴别 客户端缓冲区：使客户端能够对最近建立的一些关联信息进行缓冲存储,CIDF程序接口,CIDF的程序接口文档描述了用于GIDO编解码以及传输的标准应用程序接口（以下简称为API），它包括以下几部分内容 GIDO编码和解码API（GIDO Encoding/Decoding API Specification） 消息层API（Message Layer API Specification） GIDO动态追加API（GIDO Addendum API） 签名API（Signature API） 顶层CIDF的API（Top-Level CIDF API） 每类API均包含数据结构定义、函数定义和错误代码定义等,CIDF的应用,目前CIDF还没有成为正式的标准，也没有一个商业IDS产品完全遵循该规范，但各种IDS的结构模型具有很大的相似性，各厂商都在按照CIDF进行信息交换的标准化工作，有些产品已经可以部分地支持CIDF 可以预测，随着分布式IDS的发展，各种IDS互操作和协同工作的迫切需要，各种IDS必须遵循统一的框架结构，CIDF将成为事实上的IDS的工业标准,OPSEC(Open Platform for Security,An open, industry-wide initiative which enables custo