入侵检测与安全审计系统

第六章

入侵检测与安全审计系统9/12/20231电子科技大学成都学院6.1入侵检测系统6.2安全审计系统9/12/20232电子科技大学成都学院6.1入侵检测系统6.1.1入侵检测系统的概念入侵(Intrusion)是指任何企图危及资源的完整性、机密性和可用性的活动。入侵检测顾名思义，是指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统——IntrusionDetectionSystem，简称IDS，入侵检测的软件与硬件的组合。9/12/20233电子科技大学成都学院模型

最早的入侵检测模型是由Denning给出的，该模型主要根据主机系统审计记录数据，生成有关系统的若干轮廓，并监测轮廓的变化差异发现系统的入侵行为，如下图：9/12/20234电子科技大学成都学院

CIDF(通用入侵检测框架)标准——入侵检测系统的通用模型，解决不同IDS之间的互操作和共存问题。

事件——IDS需要分析的数据，可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。事件产生器：从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器：分析得到的数据，并产生分析结果。响应单元：对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，或是简单的报警。事件数据库：存放各种中间和最终数据的地方的统称，既可以是复杂的数据库，也可以是简单的文本文件。9/12/20235电子科技大学成都学院作用是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。是安防系统的重要组成部分。以后台进程的形式运行，发现可疑情况，立即通知有关人员。被认为是防火墙之后的第二道安全闸门。如同大楼的监视系统。9/12/20236电子科技大学成都学院6.1.2入侵检测系统的特点不需要人工干预即可不间断的运行有容错能力不需要占用大量的系统资源能够发现异常的操作能够适应系统行为的长期变化判断正确灵活定制保持领先9/12/20237电子科技大学成都学院6.1.3入侵行为的误判正误判——将一个合法操作判断为异常行为。后果：导致用户不理会IDS的报警，使IDS形同虚设。负误判——将一个攻击动作判断为非攻击行为，并允许其通过检测。后果：背离了安全防护的宗旨，IDS系统成为例行公事。失控误判——攻击者修改了IDS系统的操作，使它总出现负误判的情况。后果：不易察觉，长此以往，IDS将不会报警。9/12/20238电子科技大学成都学院6.1.4入侵分析方法签名分析法统计分析法数据完整性分析法9/12/20239电子科技大学成都学院签名分析法主要用来监测对系统的已知弱点进行攻击的行为。方法：从攻击模式中归纳出它的签名，编写到IDS系统的代码里。签名分析实际上是一种模板匹配操作：一方是系统设置情况和用户操作动作一方是已知攻击模式的签名数据库9/12/202310电子科技大学成都学院统计分析法以统计学为理论基础，以系统正常使用情况下观察到的动作模式为依据来判别某个动作是否偏离了正常轨道。

数据完整性分析法以密码学为理论基础，可以查证文件或者对象是否被别人修改过。

9/12/202311电子科技大学成都学院工作流程根据计算机审计记录文件产生代表用户会话行为的会话矢量，然后对这些会话矢量进行分析，计算出会话的异常值，当该值超过阈值便产生警告。一个简单的基于统计的异常检测模型9/12/202312电子科技大学成都学院步骤1：产生会话矢量。根据审计文件中的用户会话(如用户会话包括login和logout之间的所有行为)产生会话矢量。会话矢量X=<x1,x2,….,xn>表示描述单一会话用户行为的各种属性的数量。会话开始于login，终止于logout，login和logout次数也作为会话矢量的一部分。可监视20多种属性，如：工作的时间、创建文件数、阅读文件数、打印页数和I/O失败次数等。

9/12/202313电子科技大学成都学院步骤2：产生伯努里矢量。伯努里矢量B=<b1,b2,…,bn>是单一2值矢量，表示属性的数目是否在正常用户的阈值范围之外。阈值矢量T=<t1,t2,…,tn>表示每个属性的范围，其中ti是<ti,min,ti,max>形式的元组，代表第i个属性的范围。这样阈值矢量实际上构成了一张测量表。算法假设ti服从高斯分布(即：正态分布)。产生伯努里矢量的方法就是用属性i的数值xi与测量表中相应的阈值范围比较，当超出范围时，bi被置1，否则bi置0。产生伯努里矢量的函数可描述为：

9/12/202314电子科技大学成都学院步骤3：产生加权入侵值。加权入侵矢量W=<w1,w2,…,wn>中每个wi与检测入侵类型的第i个属性的重要性相关。即，wi对应第i个属性超过阈值ti的情况在整个入侵判定中的重要程度。加权入侵值由下式给出： 加权入侵值步骤4：若加权入侵值大于预设的阈值，则给出报警。

9/12/202315电子科技大学成都学院模型应用实例利用该模型设计一防止网站被黑客攻击的预警系统。考虑到一个黑客应该攻击他自己比较感兴趣的网站，因此可以在黑客最易发起攻击的时间段去统计各网页被访问的频率，当某一网页突然间被同一主机访问的频率剧增，那么可以判定该主机对某一网页发生了超乎寻常的兴趣，这时可以给管理员一个警报，以使其提高警惕。9/12/202316电子科技大学成都学院借助该模型，可以根据某一时间段的Web日志信息产生会话矢量，该矢量描述在特定时间段同一请求主机访问各网页的频率，xi说明第i个网页被访问的频率；接着根据阈值矢量产生伯努里矢量，此处的阈值矢量定为各网页被访问的正常频率范围；然后计算加权入侵值，加权矢量中的wi与网页需受保护程度相关，即若wi>wj，表明网页i比网页j更需要保护；最后若加权入侵值大于预设的阈值，则给出报警，提醒管理员，网页可能将会被破坏。

9/12/202317电子科技大学成都学院该模型存在的缺陷和问题，如：大量审计日志的实时处理问题。尽管审计日志能提供大量信息，但它们可能遭受数据崩溃、修改和删除。并且在许多情况下，只有在发生入侵行为后才产生相应的审计记录，因此该模型在实时监控性能方面较差。检测属性的选择问题，即如何选择与入侵判定相关度高的、有限的一些检测属性。阈值矢量的设置存在缺陷。由于模型依赖于用户正常行为的规范性，因此用户行为变化越快，误警率也越高。预设入侵阈值的选择问题，即如何更加科学地设置入侵阈值，以降低误报率、漏报率。9/12/202318电子科技大学成都学院6.1.5入侵检测系统的主要类型分类根据其采用的分析方法可分为异常检测误用检测根据系统的工作方式可分为离线检测在线检测根据系统所检测的对象可分为基于主机的基于网络的9/12/202319电子科技大学成都学院异常检测需要建立目标系统及其用户的正常活动模型，然后基于这个模型对系统和用户的实际活动进行审计，当主体活动违反其统计规律时，则将其视为可疑行为。关键：异常阈值和特征的选择优点：可以发现新型的入侵行为，漏报少缺点：容易产生误报9/12/202320电子科技大学成都学院误用检测假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，系统的目标就是检测主体活动是否符合这些模式。优点：可以有针对性地建立高效的入侵检测系统，其精确度较高，误报少。缺点:只能发现攻击库中已知的攻击，不能检测未知的入侵，也不能检测已知入侵的变种，因而会发生漏报；复杂性将随着攻击数量的增加而增加。9/12/202321电子科技大学成都学院离线检测在事后分析审计事件，从中检查入侵活动，是一种非实时工作的系统。在线检测 实时联机的检测系统，包含对实时网络数据包分析，对实时主机审计分析。9/12/202322电子科技大学成都学院主要类型应用软件入侵检测概念：在应用级收集信息优点：控制性好缺点：需要支持的应用软件数量多只能保护一个组件9/12/202323电子科技大学成都学院基于主机的入侵检测概念在宿主系统审计日志文件中寻找攻击特征，然后给出统计分析报告。始于80年代早期，通常采用查看针对可疑行为的审计记录来执行。对新的记录条目与攻击特征进行比较，并检查不应该被改变的系统文件的校验和来分析系统是否被侵入或被攻击。若发现与攻击模式匹配，IDS系统通过向管理员报警和其他呼叫行为来响应。9/12/202324电子科技大学成都学院优点：监视所有系统行为有些攻击在网络的数据流中很难发现，或根本没有通过网络在本地进行，此时基于网络的IDS系统将无能为力适应交换和加密不要求额外的硬件缺点：看不到网络活动的状况运行审计功能要占用额外系统资源主机监视感应器对不同的平台不能通用管理和实施比较复杂9/12/202325电子科技大学成都学院基于网络的入侵检测概念在网络通信中寻找符合网络入侵模板的数据包，并立即做出相应反应，如发生电子邮件、记录日志、切断网络连接等。优点花费低检查所有的包头来识别恶意和可疑行为处于比较隐蔽的位置，基本上不对外提供服务，比较坚固。具有更好的实时性检测不成功的攻击和恶意企图基于网路的IDS不依赖于被保护主机的操作系统9/12/202326电子科技大学成都学院缺点对加密通信无能为力对高速网络无能为力不能预测命令的执行后果9/12/202327电子科技大学成都学院集成入侵检测概念：综合前几种技术的入侵检测方法优点具有每一种检测技术的优点，并试图弥补各自的不足趋势分析稳定性好节约成本缺点在安防问题上不思进取把不同供应商的组件集成在一起较困难9/12/202328电子科技大学成都学院6.1.6入侵检测系统的优点和不足优点能够使现有的安防体系更完善能够更好地掌握系统的情况能够追踪攻击者的攻击线路界面友好，便于建立安防体系能够抓住肇事者9/12/202329电子科技大学成都学院不足不能够在没有用户参与的情况下对攻击行为展开调查不能够在没有用户参与的情况下阻止攻击行为的发生不能克服网络协议方面的缺陷不能克服设计原理方面的缺陷响应不够快时，签名数据库更新不够快。9/12/202330电子科技大学成都学院6.1.7入侵检测体系结构集中式结构IDS发展初期，大都采用单一的体系结构，即所有的工作包括数据的采集、分析都由单一主机上的单一程序来完成。注意：一些所谓的分布式IDS只是在数据采集上实现了分布式，数据的分析、入侵的发现和识别还是由单一程序来完成。优点：数据的集中处理可以更加准确地分析可能的入侵行为9/12/202331电子科技大学成都学院缺点：可扩展性差。在单一主机上处理所有的信息限制了受监视网络的规模；分布式的数据收集常会引起网络数据过载问题。难于重新配置和添加新功能。要使新的设置和功能生效，IDS通常要重新启动。中央分析器是个单一失效点。数据的集中处理使检测主机成了网络安全的瓶颈，若它出现故障或受到攻击，则整个网络的安全将无从保障。9/12/202332电子科技大学成都学院分布式结构采用多个代理在网络各部分分别进行入侵检测，并且协同处理可能的入侵行为。优点:能够较好地实现数据的监听，可以检测内部和外部的入侵行为。缺点：不能完全解决集中式结构的缺点。因为当前的网络普遍是分层的结构，而纯分布式的入侵检测要求代理分布在同一个层次，若代理所处的层次太低，则无法检测针对网络上层的入侵；反之，则无法检测针对网络下层的入侵。同时，由于每个代理都没有针对网络数据的整体认识，所以无法准确地判断跨一定时间和空间的攻击，容易受到IP分段等针对IDS的攻击。9/12/202333电子科技大学成都学院分层结构在树形分层结构中，最底层的代理负责收集所有的基本信息，然后对这些信息进行简单的处理，并完成简单的判断和处理。特点：所处理的数据量大、速度快、效率高，但只能坚持某些简单的攻击。中间层代理起承上启下的作用，一方面可以接受并处理下层节点处理后的数据，一方面可以进行较高层次的关联分析、判断和结果输出，并向高层节点进行报告。中间层的加入减轻了中央控制的负担，增强了系统的伸缩性。最高层节点主要负责在整体上对各级节点进行管理和协调，此外，它还可根据环境的要求动态调整节点层次关系，实现系统的动态配置。9/12/202334电子科技大学成都学院6.1.8入侵检测系统的发展方向：攻击防范技术和更好的攻击识别技术，即入侵防范技术。优势：对入侵作出主动的反映不再完全依赖于签名数据库，易于管理追求的目标是在攻击对系统造成真正危害之前将它们化解掉对攻击展开的跟踪调查随时都可以进行极大地改善了IDS系统的易用性，减轻了主机安防在系统管理方面的压力9/12/202335电子科技大学成都学院6.2安全审计系统6.2.1安全审计的概念及目的计算机网络安全审计（Audit）是通过一定的安全策略，利用记录及分析系统活动和用户活动的历史操作事件，按照顺序检查、审查和检验每个事件的环境及活动，发现系统的漏洞和入侵行为并改进系统的性能和安全。其中系统活动包括操作系统和应用程序进程的活动；用户活动包括用户在操作系统中和应用程序中的活动，如用户使用何种资源、使用的时间、执行何种操作等方面。安全审计就是对系统的记录与行为进行独立的审查与估计。9/12/202336电子科技大学成都学院目的及意义对潜在的攻击者起到重大震慑和警告作用测试系统的控制是否恰当，以便进行调整，保证与既定安全策略和操作协调一致对已发生的破坏行为，作出损害评估并提供有效的灾难恢复依据和追究责任的证据对系统控制、安全策略与规程中特定的改变作出评价和反馈，便于修订决策和部署为系统管理员提供有价值的系统使用日志，帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞9/12/202337电子科技大学成都学院安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易被干扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。9/12/202338电子科技大学成都学院安全审计的类型系统级审计登录情况、登录识别号、每次登录尝试的日期和时间、每次退出的日期和时间、所使用的设备、登录后运行的内容、如用户启动应用的尝试，无论是成功还是失败。典型的系统级日志还包括和安全无关的信息，如系统操作、费用记账和网络性能。 应用级审计打开和关闭数据文件、读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。用户级审计用户直接启动的所有命令、用户所有的鉴别和认证尝试、用户所访问的文件和资源等方面。9/12