入侵检测与安全审计课件

1、入侵检测与安全审计1 第四章 入侵检测与安全 审计 入侵检测与安全审计2 主要内容 q 入侵检测系统基础 q 入侵检测分析方法 q 入侵检测系统实例 q 安全审计 l 概念 l 功能 l IDS的基本结构 l 分类 l 基于异常的检测 技术 l 基于误用的检测 技术 l 分布式入侵检测系 统 l 典型的入侵检测系 统snort l IDS的应用 入侵检测与安全审计3 1.1 入侵检测基础 考虑：考虑： 如何防火墙被攻破了，该怎么来保护系统的安全？ 入侵检测与安全审计4 q 入侵检测（入侵检测（ID） 是对系统的运行状态进行监视，发现各种攻击企图、 攻击行为或者攻击结果，以保证系统资源的机密性、

2、 完整性和可用性。 通过对数据包的分析，从数据流中过滤出可疑数据 包，通过与已知的入侵方式进行比较，确定入侵是 否发生以及入侵的类型并进行报警。 q 入侵检测系统（入侵检测系统（IDS） 为完成入侵检测任务而设计的计算机系统称为入侵 检测系统（Intrusion Detection System, IDS），这 是防火墙之后的第二道安全闸门。 入侵检测与安全审计5 q 功能功能 v 发现和制止来自系统内部/外部的攻击，迅速采 取保护措施 v 记录入侵行为的证据，动态调整安全策略 q 特点特点 v 经济性：IDS不能妨碍系统的正常运行。 v 时效性：及时地发现入侵行为。 v 安全性：保证自身安全

3、。 v 可扩展性：机制与数据分离；体系结构的可扩展 性。 入侵检测与安全审计6 q 工作流程工作流程 入侵检测与安全审计7 v数据提取模块数据提取模块 为系统提供数据，经过简单的处理后提交给数据分 析模块。 v数据分析模块数据分析模块 两方面功能：一是分析数据提取模块搜集到的数据； 二是对数据库保存的数据做定期的统计分析。 v结果处理模块结果处理模块 作用在于告警与反应。 v事件数据库事件数据库 记录分析结果，并记录下所有的时间，用于以后的 分析与检查。 入侵检测与安全审计8 1.2 IDS分类 q 基于主机的入侵检测系统基于主机的入侵检测系统 用于保护单台主机不受网络攻击行为的侵害， 需要安

4、装在被保护的主机上。 入侵检测与安全审计9 根据检测对象的不同，基于主机的IDS可分为： v 网络连接检测网络连接检测 对试图进入该主机的数据流进行检测，分析确定是 否有入侵行为。 v 主机文件检测主机文件检测 检测主机上的各种相关文件，发现入侵行为或入侵 企图。 入侵检测与安全审计10 q 优点 v 检测准确度较高 v 可以检测到没有明 显行为特征的入侵 v 成本较低 v 不会因网络流量影 响性能 v 适合加密和交换环 境 q 缺点 v 实时性较差 v 无法检测数据包的 全部 v 检测效果取决于日 志系统 v 占用主机资源 v 隐蔽性较差 入侵检测与安全审计11 q 基于网络的入侵检测系统基

5、于网络的入侵检测系统 作为一个独立的个体放置在被保护的网络上，使用原 始的网络分组数据包作为进行攻击分析的数据源。 入侵检测与安全审计12 q 优点 v 可以提供实时的网 络行为检测 v 可以同时保护多台 网络主机 v 具有良好的隐蔽性 v 有效保护入侵证据 v 不影响被保护主机 的性能 q 缺点 v 防止入侵欺骗的能 力较差 v 在交换式网络环境 中难以配置 v 检测性能受硬件条 件限制 v 不能处理加密后的 数据 入侵检测与安全审计13 1.4 蜜罐技术 q 原理原理 蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟 一个或多个易攻击的主机，给攻击者提供一个容易 攻击的目标。 v 用来观测黑客

6、如何探测并最终入侵系统； v 用于拖延攻击者对真正目标的攻击。 入侵检测与安全审计14 Honeypot模型 关键 应用系统 内部网 虚拟网络主机 防火墙 高层交换 可疑数据流 Internet 入侵检测与安全审计15 2.1 基于异常的入侵检测 也称为基于行为的检测技术，在总结出的正常 行为规律基础上，检查入侵和滥用行为特征与 其之间的差异，以此来判断是否有入侵行为。 q 基于统计学方法的异常检测系统基于统计学方法的异常检测系统 使用统计学的方法来学习和检测用户的行为。 q 预测模式生成法预测模式生成法 利用动态的规则集来检测入侵。 q 神经网络方法神经网络方法 将神经网络用于对系统和用户行

7、为的学习。 入侵检测与安全审计16 2.1.1 基于统计学的异常检测系统 步骤：步骤： Step1：收集样本 对系统和用户的行为按照一定的时间间隔进行采样， 样本的内容包括每个会话的登录、退出情况，CPU 和内存的占用情况，硬盘等存储介质的使用情况等。 Step2：分析样本 对每次采集到的样本进行计算，得出一系列的参数 变量来对这些行为进行描述，从而产生行为轮廓， 将每次采样后得到的行为轮廓与以后轮廓进行合并， 最终得到系统和用户的正常行为轮廓。 入侵检测与安全审计17 Step3：检查入侵行为 通过将当前采集到的行为轮廓与正常行为轮廓相比较，来检测 是否存在网络入侵行为。 算法：算法： M1

8、,M2,Mn表示行为轮廓中的特征变量，S1,S2,Sn分别表示 各个变量的异常性测量值，Si的值越大就表示异常性越大。ai表 示变量Mi的权重值。将各个异常性测量值的平均加权求和得出 特征值 然后选取阈值，例如选择标准偏差 其中均值取=M/n，如果S值超出了d的范围就认为异常。 )1 , 0(. 22 22 2 11 niaSaSaSaM inn 2 )1( n M 入侵检测与安全审计18 2.1.2 预测模式生成法 利用动态的规则集来检测入侵，这些规则是由 系统的归纳引擎，根据已发生的事件的情况来 预测将来发生的事件的概率来产生的，归纳引 擎为每一种事件设置可能发生的概率。 归纳出来的规律一

9、般为： E1,Ek: -(Ek+1,P(Ek+1),(En,P(En) 例如： 规则A,B: -(C,50%),(D, 30%),(E,15%),(F,5%)， 如果AB已经发生，而F多次发生，远远大于5%， 或者发生了事件G，都认为是异常行为。 入侵检测与安全审计19 q 优点 v 能检测出传统方法 难以检测的异常活动； v 具有很强的适应变 化的能力； v 容易检测到企图在 学习阶段训练系统中 的入侵者； v 实时性高。 q 缺点 v 对于不在规则库中 的入侵将会漏判。 入侵检测与安全审计20 2.1.3 神经网络方法 q 神经网络神经网络 是一种算法，通过学习已有的输入/输出信息对，抽

10、象出其内在的关系，然后通过归纳得到新的输入/输 出对。 q 在在IDS中的应用中的应用 在IDS中，系统把用户当前输入的命令和用户已经 执行的W个命令传递给神经网络，如果神经网络通 过预测得到的命令与该用户随后输入的命令不一致， 则在某种程度上表明用户的行为与其轮廓框架产生 了偏离，即说明用户行为异常。 入侵检测与安全审计21 q 优点优点 v 能更好的处理原始 数据的随即特性， 不需要对原是数据 做任何统计假设； v 有较好的抗干扰能 力。 q 缺点缺点 v 网络拓扑结构以及 各元素的权重很难 确定； v 命令窗口W的大小 也难以选择 入侵检测与安全审计22 2.2 基于误用的入侵检测 也称

11、为基于知识的检测技术或者模式匹配检测 技术，通过某种方式预先定义入侵行为，然后 监视系统的运行，并从中找出符合预先定义规 则的入侵行为。 分类：分类： q 专家系统 q 模式匹配 q 模型推理 q 按键监视 入侵检测与安全审计23 2.2.1 专家系统误用检测 将安全专家的关于网络入侵行为的知识表 示成一些类似If-Then的规则，并以这些规 则为基础建立专家知识库。规则中If部分 说明形成网络入侵的必需条件，Then部分 说明发现入侵后要实施的操作。 缺点：缺点： q 全面性问题 q 效率问题 入侵检测与安全审计24 2.2.2 模式匹配误用检测 也叫特征分析误用检测，指将入侵行为表示成 一

12、个事件序列或者转换成某种可以直接在网络 数据包审计记录中找到的数据样板，而不进行 规则转换，这样可以直接在审计记录中寻找相 匹配的已知入侵模式。 缺点：缺点： 必须及时更新知识库 兼容性较差 建立和维护知识库的工作量都相当大 入侵检测与安全审计25 2.2.3 模型推理误用检测 根据网络入侵行为的特征建立起误用证据模型，以此 推理判断当前的用户行为是否是误用行为。 这种检测方法需要建立： 攻击剧本数据库：每个攻击剧本是一个攻击行为序 列，IDS根据攻击剧本的子集来判断系统当前是否收 到入侵。 预警器：根据当前的活动模型，产生下一步行为。 规划者：负责判断所假设的行为如何反应在审计追 踪数据上，

13、以及如何将假设的行为与系统相关的审 计追踪相匹配。 入侵检测与安全审计26 2.2.4 按键监视误用检测 假设每种网络入侵行为都具有特定的击键序列 模式，IDS监视各个用户的击键模式，并将该 模式与已有的入侵击键模式相匹配，如果匹配 成功就认为是网络入侵行为。 缺点：缺点： 不能对击键进行语义分析，容易遭受欺骗； 缺少可靠的方法来捕获用户的击键行为； 无法检测利用程序进行自动攻击的行为。 入侵检测与安全审计27 2.3 异常检测与误用检测的对比 收集先验知识 系统配置 检测结果 基于异常的入侵检测基于误用的入侵检测 需不断的学习并更新已 有的行为轮廓，进而掌 握被保护系统已知行为 和预期行为的

14、所有信息 需不断的对新出现的入 侵行为进行总结归纳， 进而拥有所有可能的入 侵行为的先验知识 基于异常的入侵检测基于误用的入侵检测 工作量少，但配置难度 较大 工作量非常大基于异常的入侵检测基于误用的入侵检测 结果相对具有更多的数 据量，任何超出行为轮 廓范围的事件都将被检 测出来 输出内容是列举出入侵 行为的类型和名称，以 及提供相应的处理建议 入侵检测与安全审计28 3.1 通用入侵检测模型 1987年，Denning D.E.提出了一个通用入侵检 测模型： 新活动档案 学习 提取规则 创建 历史档案 审计记录 更新 时钟 主体 活动 规则集处 理引擎 活动 档案 异常 记录 入侵检测与安

15、全审计29 3.2 分布式入侵检测系统 系统的构成是开放的、分布式的，多个功能构件分 工合作 能够检测分布式的攻击 入侵检测与安全审计30 3.3 典型入侵检测系统Snort Snort 是一个强大的轻量级的网络入侵检测系 统。 它具有实时数据流量分析和日志IP 网络数据 包的能力，能够进行协议分析，对内容进行 搜索/匹配。 它能够检测各种不同的攻击方式，对攻击进 行实时报警。 Snort 可以运行在*nix/Win32 平台上。 入侵检测与安全审计31 q 工作原理 在基于共享网络上检测原始的网络传输数据， 通过分析捕获的数据包，匹配入侵行为的特 征或者从网络活动的角度检测异常行为，进 而采

16、取入侵的预警或记录。属于基于误用的 检测。 入侵检测与安全审计32 初始化 解析命令行 解析规则库 打开libpcap接口 获取数据包 解析数据包 生成二维链表 与二维链表某 节点匹配？ 响应 （报警、日志） 是否 Snort工作流程图工作流程图 入侵检测与安全审计33 3.4 入侵检测系统的应用 q 实例 入侵检测与安全审计34 分支机构2 INTERNET 分支机构1 NEsec300 FW 2 0 3 5 9 6 8 ? 告警 内网接口 外网接口 电源 内部核心子网内部核心子网 NEsec300 FW 2 0 3 5 9 6 8 ? 告 警 内网接口 外网接口 电 源 NEsec300

17、FW 2 0 3 5 9 6 8 ? 告警 内网接口 外网接口 电源 NEsec300 FW 2 0 3 5 9 6 8 ? 告警 内网接口 外网接口 电源 交换机交换机 安全网关安全网关SG1 安全网关安全网关SG2 安全网关安全网关SG3 路由器路由器 路由器路由器路由器路由器 安全管理器安全管理器 安全认证服务器安全认证服务器 网络入侵检测探头网络入侵检测探头 网络入侵策略管理器网络入侵策略管理器 入侵检测与安全审计35 4. 安全审计基础 q 为何我们需要安全审计？ 一旦我们采用的防御体系被突破怎么办？至少我们 必须知道系统是怎样遭到攻击的，这样才能恢复系 统，此外我们还要知道系统存在

18、什么漏洞，如何能 使系统在受到攻击时有所察觉，如何获取攻击者留 下的证据。网络安全审计的概念就是在这样的需求 下被提出的，它相当于飞机上使用的“黑匣子”。 网络安全审计系统能帮助我们对网络安全进行实时 监控，及时发现整个网络上的动态，发现网络入侵 和违规行为，忠实记录网络上发生的一切，提供取 证手段。它是保证网络安全十分重要的一种手段。 入侵检测与安全审计36 q CC标准中的网络安全审计功能定义 网络安全审计包括识别、记录、存储、分析与安全 相关行为有关的信息。在CC标准中对网络审计定义 了一套完整的功能，有： v安全审计自动响应 v安全审计数据生成 v安全审计分析 v安全审计浏览 v安全审计事件存储 v安全审计事件选择 入侵检测与安全审计37 4.1 安全审计系统 网络网络 层审层审 计计 系统系统 层审层审 计计 应用应用 层审层审 计计 TCP/IP、ATM UNIX、Windows 9x/NT、ODBC 审计总控 审计总控 CA发证发证 操作操作 主页更主页更 新监视新监视 网络安全审计层次结构图网络安全审计层次结构图 入侵检测与安全审计38 4.3 参考标准 qISO 7498-2 ISO7498-2描述了如何确保站点安全和实施有效的审计计划。 它是第一篇论述如何系统的达到网络安全的文章，