BIT8-2信息系统安全防御-IDS

1、入侵检测技术孙建伟计算机网络攻防对抗技术实验室北京理工大学内容概要要P2DR安全体系系入侵检测测系统介介绍入侵检测测系统分分类入侵检测测系统用用到的一一些技术术入侵检测测系统的的研究和和发展商用入侵侵检测系系统演示示网络安全全动态防防护模型型安全策略(policy)防护(protecttion) 检 测(detection)响 应(response)网络安全全：及时时的检测测和处理理时间PtDtRt新定义：Pt Dt +RtP2DR安全模模型这是一个个动态模模型以安全策策略为核核心基于时间间的模型型可以量化化可以计算算P2DR安全的核核心问题题检检测检测是静静态防护护转化为为动态的的关键检测是

2、动动态响应应的依据据检测是落落实/强强制执行行安全策策略的有有力工具具内容概要要P2DR安全体系系入侵检测测系统介介绍入侵检测测系统分分类入侵检测测系统用用到的一一些技术术入侵检测测系统的的研究和和发展IDS的用途攻击工具具攻击命令令攻击机制制目标网络络网络漏洞目标系统统系统漏洞攻击者漏洞扫描描评估加固攻击过程程实时入侵检测入侵检测测系统的的实现过过程信息收集集，来源源：网络流量量系统日志志文件系统目录录和文件件的异常常变化程序执行行中的异异常行为为信息分析析模式匹配配统计分析析完整性分分析，往往往用于于事后分分析入侵检测测系统的的通用模模型数据源模式匹配配器系统轮廓廓分析引引擎数据库入侵模式

3、式库异常检测测器响应和恢恢复机制制入侵检测测系统的的种类基于主机机安全操作作系统必必须具备备一定的的审计功功能，并并记录相相应的安安全性日日志基于网络络IDS可以放在在防火墙墙或者网网关的后后面，以以网络嗅嗅探器的的形式捕捕获所有有的对内内对外的的数据包包IDS的的部署和和结构入侵检测测系统的的管理和和部署多种IDS的协作管理平台台和sensor基于Agent的IDS系统Purdue大学研制制了一种种被称为为AAFID(Autonomous agentsforintrusion detection)的IDS模型SRI的EMERALD(Event MonitoringEnablingRespon

4、setoAnomalous LiveDisturbances)RealSecure ConsoleRealSecureOSSensorRealSecureServerSensor商业IDS例子：ISSRealSecure结构RealSecureNetwork Sensor内容概要要P2DR安全体系系入侵检测测系统介介绍入侵检测测系统用用到的一一些技术术入侵检测测系统分分类入侵检测测系统的的研究和和发展IDS的的技术异常检测测(anomaly detection)也称为基基于行为为的检测测首先建立立起用户户的正常常使用模模式，即即知识库库标识出不不符合正正常模式式的行为为活动误用检测测(misu

5、sedetection)也称为基基于特征征的检测测建立起已已知攻击击的知识识库判别当前前行为活活动是否否符合已已知的攻攻击模式式异常检测测比较符合合安全的的概念，但是实实现难度度较大正常模式式的知识识库难以以建立难以明确确划分正正常模式式和异常常模式常用技术术统计方法法预测模式式神经网络络误用检测测目前研究究工作比比较多，并且已已经进入入实用建立起已已有攻击击的模式式特征库库难点在于于：如何何做到动动态更新新，自适适应常用技术术基于简单单规则的的模式匹匹配技术术基于专家家系统的的检测技技术基于状态态转换分分析的检检测技术术基于神经经网络检检测技术术其他技术术，如数数据挖掘掘、模糊糊数学等等ID

6、S的的两个指指标漏报率指攻击事事件没有有被IDS检测到误报率(falsealarmrate)把正常事事件识别别为攻击击并报警警误报率与与检出率率成正比比例关系系0 检出率(detection rate) 100%100%误报率内容概要要P2DR安全体系系入侵检测测系统介介绍入侵检测测系统用用到的一一些技术术入侵检测测系统分分类入侵检测测系统的的研究和和发展入侵检测测系统的的种类基于主机机安全操作作系统必必须具备备一定的的审计功功能，并并记录相相应的安安全性日日志基于网络络IDS可以放在在防火墙墙或者网网关的后后面，以以网络嗅嗅探器的的形式捕捕获所有有的对内内对外的的数据包包基于网络络的IDS系

7、统统收集网络络流量数数据利用sniff技术把IDS配置在合合理的流流量集中中点上，比如与与防火墙墙或者网网关配置置在一个个子网中中利用某些些识别技技术基于模式式匹配的的专家系系统基于异常常行为分分析的检检测手段段一个轻量量的网络络IDS: snort是一个基基于简单单模式匹匹配的IDS源码开放放，跨平平台(C语言编写写，可移移植性好好)利用libpcap作为捕获获数据包包的工具具特点设计原则则：性能能、简单单、灵活活包含三个个子系统统：网络络包的解解析器、检测引引擎、日日志和报报警子系系统内置了一一套插件件子系统统，作为为系统扩扩展的手手段模式特征征链规则链链命令行方方式运行行，也可可以用作作

8、一个sniffer工具网络数据据包解析析结合网络络协议栈栈的结构构来设计计Snort支持链路路层和TCP/IP的协议定定义每一层上上的数据据包都对对应一个个函数按照协议议层次的的顺序依依次调用用就可以以得到各各个层上上的数据据包头从链路层层，到传传输层，直到应应用层在解析的的过程中中，性能能非常关关键，在在每一层层传递过过程中，只传递递指针，不传实实际的数数据支持链路路层：以以太网、令牌网网、FDDISnort规则则链处理理过程二维链表表结构匹配过程程首先匹配配到适当当的ChainHeader然后，匹匹配到适适当的ChainOption最后，满满足条件件的第一一个规则则指示相相应的动动作Sno

9、rt:日日志和和报警子子系统当匹配到到特定的的规则之之后，检检测引擎擎会触发发相应的的动作日志记录录动作，三种格格式：解码之后后的二进进制数据据包文本形式式的IP结构Tcpdump格式如果考虑虑性能的的话，应应选择tcpdump格式，或或者关闭闭logging功能报警动作作，包括括Syslog记录到alert文本文件件中发送WinPopup消息关于snort的规则则Snort的规则比比较简单单规则结构构：规则头：alerttcp!10.1.1.0/24 any-10.1.1.0/24any规则选项项：(flags: SF;msg: “SYN-FIN Scan”;)针对已经经发现的的攻击类类型，

10、都都可以编编写出适适当的规规则来规则与性性能的关关系先后的顺顺序Content option的讲究许多cgi攻击和缓缓冲区溢溢出攻击击都需要要content option现有大量量的规则则可供利利用Snort规则则示例规则示例例Option类型关于snort开放性源码开放放，最新新规则库库的开放放作为商业业IDS的有机补补充特别是对对于最新新攻击模模式的知知识共享享Snort的部署作为分布布式IDS的节点为高级的的IDS提供基本本的事件件报告发展数据库的的支持互操作性性，规则则库的标标准化二进制插插件的支支持预处理器器模块：TCP流重组、统计分分析，等等异常检测测的网络络IDS基于规则则和特征

11、征匹配的的NIDS的缺点对于新的的攻击不不能正确确识别人工提取取特征，把攻击击转换成成规则，加入到到规则库库中异常检测测的NIDS可以有一一定的自自适应能能力利用网络络系统的的已知流流量模式式进行学学习，把把正常流流量模式式的知识识学习到到IDS中当出现新新的攻击击时，根根据异常常行为来来识别并且，对对于新的的攻击以以及异常常的模式式可以反反馈到IDS系统中异常检测测的网络络IDS目前出现现了专门门流量异异常检测测设备CiscoXT5600流量异常常检测器器专用于防防DDOS攻击基于主机机的IDS系统统信息收集集系统日志志系统状态态信息特点：OS相关常用的分分析技术术统计分析析状态转移移分析关

12、联分析析基于主机机的IDS系统统在分布式式入侵检检测体系系中，作作为日志志收集代代理主机防火火墙逐步步担当IDS的职责瑞星卡巴斯基基内容概要要P2DR安全体系系入侵检测测系统介介绍入侵检测测系统分分类入侵检测测系统用用到的一一些技术术入侵检测测系统的的研究和和发展STATSTAT:A state transitionanalysistoolforintrusion detection由美国加加州大学学SantaBarbaba分校开发发从初始状状态到入入侵状态态的转移移过程用有限状状态机来来表示入入侵过程程初始状态态指入侵侵发生之之前的状状态入侵状态态指入侵侵发生之之后系统统所处的的状态系统状态

13、态通常用用系统属属性或者者用户权权限来描描述用户的行行为和动动作导致致系统状状态的转转变S1S2S3AssertionsAssertionsAssertionsSTAT的优缺缺点优点：状态转移移图提供供了一种种针对入入侵渗透透模式的的直观的的、高层层次的、与审计计记录无无关的表表示方法法用状态转转移法，可以描描述出构构成特定定攻击模模式的特特征行为为序列状态转移移图给出出了保证证攻击成成功的特特征行为为的最小小子集，从而使使得检测测系统可可以适应应相同入入侵模式式的不同同表现形形式可使攻击击行为在在到达入入侵状态态之前就就被检测测到，从从而采取取措施阻阻止攻击击行为可以检测测协同攻攻击和慢慢速

14、攻击击缺点：状态(assertions)和特征行行为需要要手工编编码Assertions和特征用用于表达达复杂细细致的入入侵模式式时可能能无法表表达STAT只是一个个框架，需要具具体的实实现或者者与其他他系统协协同工作作STAT的速度相相对比较较慢STATUSTATUSTAT：用于UNIX系统的STAT实现包括四部部分预处理器器：对数数据进行行过滤，并转换换为与系系统日志志文件无无关的格格式知识库：包括状状态描述述库和规规则库。规则库库用于存存放已知知攻击类类型所对对应的状状态转移移规则；状态描描述库存存放系统统在遭受受不同类类型攻击击下所出出现的状状态推理引擎擎：根据据预处理理器给出出的信息

15、息和状态态描述库库中定义义的系统统状态，判断状状态的变变化并更更新状态态信息。一旦发发现可疑疑的安全全威胁，通知决决策引擎擎决策引擎擎：将安安全事件件通知管管理员，或者采采取预先先定义的的自动响响应措施施基于STAT的IDSUSTATNSTAT把USTAT扩展到多多台主机机，从而而可以检检测到针针对多台台共享同同一个网网络文件件系统的的主机的的攻击NetSTAT是一个基基于网络络的IDS，分析网络络中的流流量，找找到代表表恶意行行为的数数据包WinSTAT基于主机机的IDS，分析Windows NT的事件日日志WebSTAT基于应用用的IDS，用ApacheWeb Server的日志作作为输入

16、入AlertSTAT是一个高高层的入入侵关联联器，以以其他检检测器的的报警作作为输入入，以便便检测出出高层次次、多步步骤的攻攻击IDS的的困难异常检测测技术仍仍然需要要研究和和发展NIDS的部署交换式网网络的普普及有些交换换机提供供了“把把多个端端口或者者VLAN镜像到单单个端口口”的能能力，用用于捕获获数据包包应用系统统的多样样性需要统一一的规范范交换信信息IPSec等一些加加密或者者隧道协协议IDS与响应和和恢复技技术IDS属于检测测的环节节，一旦旦检测到到入侵或或者攻击击，必须须尽快地地做出响响应，以以保证信信息系统统的安全全IDS的响应机机制，可可以从基基本的管管理角度度来考虑虑，也可

17、可以从技技术角度度来实施施，包括括与其他他防护系系统的互互操作，比如防防火墙对于一个个企业而而言，IDS与DRP(DisasterRecoveryPlanning)需要一起起来制订订和实施施DRP包括业务影响响分析(BIA, Business ImpactAnalysis)数据必须须定期备备份信息系统统的根本本目的是是提供便便利的服服务灾难评估估明确责任任人IDS的研究与与发展IDS自身的发发展基于异常常检测的的技术分布式IDS系统引入生物物学免疫疫系统的的概念与其他防防护系统统的集成成IDS与其他学学科IDS与模式识识别、人人工智能能IDS与数据挖挖掘IDS与神经网网络IDS与IDS之间的互

18、互操作CIDF:由美国加加州大学学Davis分校提出出的框架架，试图图规范一一种通用用的语言言格式和和编码方方式来表表示IDS组件边界界传递的的数据IDEF:IETF IDWG提出的草草案，规规范了部部分术语语的使用用，用XML来描述消消息格式式。IDS的研究与与发展IDS自身的发发展基于异常常检测的的技术分布式IDS系统引入生物物学免疫疫系统的的概念与其他防防护系统统的集成成IDS与其他学学科IDS与模式识识别、人人工智能能IDS与数据挖挖掘IDS与神经网网络IDS与IDS之间的互互操作CIDF:由美国加加州大学学Davis分校提出出的框架架，试图图规范一一种通用用的语言言格式和和编码方方式来表表示IDS组件边界界传递的的数据IDEF:IETF IDWG提出的草草案，规规范了部部分术语语的使用用，用XML来描述消消息格式式。入侵检测测技术展展望随着攻击击技术的的发展而而发展Botnet