入侵检测技术的分类

1、第二讲 入侵检测技术的分类 第二讲入侵检测技术的分类 第一节入侵检测的信息源对于入侵检测系统而言，输入数据的选择是首要 解决的问题：入侵检测的输出结果，取决于所能获得的输入 数据的数量和质量。具体采用的入侵检测技术类型，也常常因为所 选择的输入数据的类型不同而各不相同。几种常用输入数据来源?操作系统的审计记录?系统日志?应用程序的日志信息?基于网络数据的信息源?其它的数据来源操作系统的审计记录?在入侵检测技术的发展历史中，最早采用的 用于入侵检测任务的输入数据源?操作系统的审计记录是由操作系统软件内 部的专门审计子系统所产生的，其目的是记 录当前系统的活动信息，并将这些信息按照 时间顺序组织成

2、为一个或多个审计文件。?不同的系统在审计事件的选择、审计记录的 选择和内容组织等诸多方面都存在着兼容 性的问题。?操作系统审计机制的设计和开发的初始目 标，并不是为了满足后来才出现的入侵检测 技术的需求目的，因此无法提供所需的关键 事件信息（不足），或者是提供了冗余的记 录信息（过）。操作系统审计记录做为是基于主机入侵检测技 术的首选数据源的原因：安全性有保障。操作系统的审计系统在设计 时，就考虑了审计记录的结构化组织工作以 及对审计记录内容的保护机制，因此操作系 统审计记录的安全性得到了较好的保护。 没有经过高层抽象、详尽。操作系统审计记 录提供了在系统内核级的事件发生情况，反 映的是系统底

3、层的活动情况并提供了相关 的详尽信息，为发现潜在的异常行为特征奠 定了良好的基础。审计记录的优点?可信度高得益于操作系统的保护?审计记录没有经过高层的抽象 最“原始”的信息来源 了解系统事件的细节 实现准确的入侵匹配 不易被篡改和破坏审计记录的问题?过于细节化的问题?缺乏足够细节的问题?缺乏说明文档?不同系统审计记录的不兼容审计记录级别系统级(Kernel level)?从系统调用(system call )的角度用户级(User leve)?从应用事件的角度审计记录内容? 响应事件的主题和涉及事件的目标信息 主体 对象 进程 用户 id 系统调用的参数 返回值 特定应用事件的数据 OS审计纪

4、录示例之一一Sun Solaris BSM? BSM安全审计子系统的主要概念包括审计日志、审计文件、审计记录和审计令牌等信息 ? 其中审计日志由一个或多个审计文件组成，每个审计文件包含多个审计记录，而每个审 计记录则由一组审计令牌( audit token ) 构成。审计日i审汁丈件 审il立件 审;t 4件 带汁文件审计记条审计记戒审计记录审计记录中”计文件 审计记录审计字段申讣孚般山'讣？段 审il字段Win dows的系统事件应用程序日志?包含由应用程序或程序记录的事件。例如，数据库程序可在应用程序 日志中记录文件错误。?程序开发人员 决定记录哪些事件。?安全日志包含诸如有效和无

5、效的登录尝试等事件，以及与资源使用相 管理员可以指定在安全日志关的事件，如创建、打开或删除文件或其他对象。安全日志中记录什么事件。例如，如果已启用登录审核，则对系统的 登录尝试将记录在安全日志中。系统日志?系统日志包含 Windows系统组件记录的事件。例如，在启动过程中加 载驱动程序或其他系统组件失败将记录在系统日志中。?系统组件所记录的事件类型由Win dows预先确定。事件日志的格式? 类型： 事件查看器显示 5 种事件类型错误、警告、信息、成功审核、失败审核? 日期：事件产生的详细日期。? 时间：事件产生的详细时间，精确到秒。? 来源：事件的生成者。? 分类：对事件的分类，如系统事件、

6、特权使用、登录 / 注销等? 事件：事件 ID。? 用户：用户名称。? 计算机： 计算机名称。可以是本地计算机， 也可以是远程计算机。事件类型信息：描述应用程序、驱动程序或服务的成功操作的事件警告：不是很重要但将来可能出现的问题的事件成功审核：审核安全访问尝试成功审核安全访问尝试失败审计记录口期 时间主体标识讣算机名记录头事件描述附加数据事件标号事件来源 爭件等级爭件类别M件描述区的为容取决于貝休的曲件可以是爭件的名称*洋 细说明、产生该事件的原圉、建议的解决方案等信息。可逸數据区.通常包含可以以进制”式从示的二进制数弼。具体为容由产牛.唏件记录的应用程序决定口Win dows审计管理事件日志

7、管理?日志大小、日志文件达到上限时的处理方式 安全日志和审计策略?指定审计的事件类型，记录内容审计机制的调整?安全性和系统效率的矛盾审计数据的提炼?操作系统的复杂化?审计数据量的庞大?审计数据的提炼、过滤、去冗余?可信进程的审计记录精简系统日志和应用程序日志?系统日志是反映各种系统事件和设置的文 件?系统使用日志机制记录下主机上发生的事 情，无论是对日常管理维护，还是对追踪入 侵者的痕迹都非常关键。?日志可分为操作系统日志和应用程序日志两部分 系统日志的安全性?系统日志的来源产生系统日志的软件是在内核外运行的 应用程序，易受到恶意的修改或攻击 而操作系统审计记录是由系统内核模块 生成的?系统日

8、志的存储方式存储在不受保护的文件目录里审计记录以二进制文件形式存放，具备 较强的保护机制?提高系统日志的安全性：加密和校验机制系统日志审计记录运行方式应用程序操作系统子系统存储目录未受保护受系统保护1存储格式文本带加密和校验应用程序日志?应用程序日志通常代表了系统活动的用户 级抽象信息，相对于系统级的安全数据来 说，去除了大量的冗余信息，更易于管理员 浏览和理解?典型的有?扩展日志文件格式（ELFF）Web服务器日志数据库系统日志? Web服务器通常支持两种标准格式的日志文 件：通用日志格式（CLF）扩展日志文件格式（ELFF）,除了 CLF 所定义的数据字段外，还扩展包含了其 他的附加信息。

9、访间者拦机名HostAiihurtjlomain.neP字段返叵的字节教LUidciitd|n|的滇用户倍息闪户頁伽果冃户LTrlDNN*虹果汽有则订一龙示妇果没冇则以叹"衣示rM3l请求口期及吋風（包括时（X信息）1 DD/MMMA YYY: Il E11M;SS+Ti*ieZonel清求的贝面“及脛务簿便用乩列匱期暂亦议“CrET *好.huySiibnSNiMmiin.iKi"诸求的设冋码（2曲代表成功）字段格式|访问者主机名HosLsLihnetdonmin.ncf"由iikntd返冋的该用户培息用户名（如果用户提交f用于认证的ID）UserID请求日期及

10、时问包括时区佶息）|I)D/MM5LY > Y:HHniS+ThiKZune|请求的曲血及服务器睦用的也血通信擁谊%；E fbntt.su bnet.doni jiiuiet'*请求的趣冋码（HOC代废成功）N>'N,如果没有则少丁責示返冋的字节数NNNN.如来没有财以*1表示请求的LR4的地址httpi/nrchitcnct/dir p,ic访问右使用的浏览器及其版木brow«er/Ver£iqnH 操作系统)基于网络数据的信息源? 近年来流行的商用入侵检测系统大多采用了网络数据作为其主要的输入数据源。? 优势占用资源少。 在被保护的设备上不用

11、几乎占用任 何资源。 通过网络被动监听的方式来获取网 络数据包，作为入侵检测系统输入 信息源的工作过程，对目标监控系 统的运行性能几乎没有任何影响， 并且通常无须改变。隐蔽性好 一个网络上的监测器不像一个主机 那样显眼和易被存取，因而也不那 么容易遭受攻击。由于不是主机， 因此一个基于网络的监视器不用去 响应 ping ，不允许别人存取其本地 存储器，不能让别人运行程序，而 且不让多个用户使用它。其它的数据来源? 安全产品提供的数据源? 网络设备提供的数据? 带外的信息源安全产品提供的数据源? 入侵检测系统采用其他安全产品的事件日 志作为自己的输入数据源，可以凸现入侵检 测在整个动态计算机安全

12、模型中的关键角 色和重要地位，显示出动态安全监控的能力 在应付当前日益复杂的安全威胁模式中所 发挥的不可或缺的作用。? 以 win7 自带的防火墙为例网络设备提供的数据? 采用网络管理系统提供的信息SNMP主要的数据源。标准网管协议，其中的管理信息库是专门用于存放网络管理目的信息的地方，包含网络的配置信息（路 由表、地址、名称等），以及大量关于网络系统性能和活动记账方面的信息（如用来记录在各个网络接口和各协议层上的网络流量的统计信 息）路由器交换机带外的信息源? “带外” （ out of band ）数据源通常是指 由人工方式提供的数据信息。例如，系统管理员对入侵检测系统所进 行的各种管理控

13、制操作。除了上面所述的全部数据源之外，还有一种特殊的数据源类型，即来自文件系 统的信息源。信息源的选择问题? 根据入侵检测系统设计的检测目标来选择 所需的输入数据源。如果设计要求检测主机用户的异常活动，或者是特定应用程序的运行情况等，采用主机数据源是比较合适的； 如果需要发现通过网络协议发动的入侵攻击就要采用来自网络数据的输入信 如果系统设计要求监控整个目标系统内的总体安全状况等，此时就需要同时采 用来自主机和网络的数据源? 在不影响目标系统运行性能和实现安全检 测目标的前提下，最少需要多少信息，或者 是采用最少数目的输入数据源。第二节 入侵检测技术的分类第三节 按照信息源的分类，分为两类：a

14、) 基 于主机的入侵检测b) 基于网络的入侵检测第四节 按照检测方法的分类a)滥用(misuse)入侵检测，又称为特征检测(Signature-based detection)i. 分析各种类型的攻击手段， 并找出可能的 “攻击特征”集合。ii. 滥用入侵检测利用这些特征集合或者是对应的规则集合， 对当前的数据来源进行各种处理后，再进行特征匹配或者规则匹配工作，如果发现满足条件的匹配， 则指 示发生了一次攻击行为。b）异常（anomaly）入侵检测i. 对攻击行为的检测可以通过观察当前活 动与系统历史正常活动情况之间的差异 来实现。滥用入侵检测? 滥用入侵检测的优点与异常入侵检测相比，滥用入侵

15、检测具备更好的确定解释能力，即明确指示当前发生的攻击手段类型，因而在诸多商 用系统中得到广泛应用。滥用入侵检测具备较高的检测率和较低的虚警率，开发规则库和特征集合相对 于建立系统正常模型而言， 也要更方便、 更容易。? 滥用入侵检测的主要缺点一般情况下，只能检测到已知的攻击模 式异常入侵检测? 异常检测的优点 可以检测到未知的入侵行为 大多数的正常行为的模型使用一种矩阵 的数学模型，矩阵的数量来自于系统的 各种指标。比如CPU使用率、内存使用 率、登录的时间和次数、网络活动、文 件的改动等。? 异常检测的缺点 若入侵者了解到检测规律，就可以小心 的避免系统指标的突变，而使用逐渐改 变系统指标的

16、方法逃避检测。另外检测 效率也不高，检测时间较长。最重要的是，这是一种“事后”的检测，当检测 到入侵行为时，破坏早已经发生了。入侵检测技术的分类? 实时和非实时处理系统 非实时的检测系统通常在事后收集的审 计日志文件基础上， 进行离线分析处理， 并找出可能的攻击行为踪迹，目的是进行系统配置的修补工作，防范以后的攻 击。实时处理系统实时监控，并在出现异常活动时及 时做出反应。实时是一个根据用户需求而定的变 量的概念，当系统分析和处理的速度处于用户需 求范围内时，就可以称为实时入侵检测系统。第三节具体的入侵检测系统NFR NID 200Product InformstionVendor: NFR

17、securityProduct: MFR 卜ID 3C0 JDS group tw;)Vers泊n: 3httpV/wivw Price: from S7 SCOTh s s a networK-based IDS supplied as ar apiance TTi&re are four versions of the NID-3DJ series difference b&ng in the nurnber n J speed of the Ethernet interfaces. The top of the- range model lias ?W3 10/100Mb

18、it and two gigabit network interfaces One of th&se ntrhc&F； is alwsyc rfSFrvprl fnr ranadnpit hut:hn rsmainciRr can bt utcd for monilorrnc. Ii thia way, a single NC-3&3 can monitor Ocd-i>a.anced or fai Dver 'A'AM Connectiors. By separating the Tianag&mpnt and nrorittring interfaces N|D-30tl esn appratfl in stealth mod&, as the tnoniicriiig inierface does r)o< respond to anyProduct Ratinanetwork traffic or requests from any setvics on tha monitored network.ISS 公司的 RealSecure?是一种混合入侵检测系统? 1996年，RealSecure首先被作为一种传统 的基于传感器的网络入侵检测系统来开发? 1998年成为一种混合