第八章 入侵检测系统
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
功能与性能提高 检测和防范分布式攻击和拒绝服务攻击 应用层入侵检测 响应策略与恢复研究 入侵检测评测方法 全面的安全防御
入侵检测系统实例
入侵检测系统Snort
免费、开放源代码的基于网络的入侵检测 系统
下载网址Http://www.snort.org 提供抓包、记录包、入侵检测三个功能 可运行于Linux/Unix、Windows操作系统
根据系统的工作方式可分为
离线检测系统 非实时工作,在行为发生后,对产生的数据进行 分析(事后分析) 成本低,可分析大量事件,分析长期情况;但无 法提供及时保护
在线检测系统 实时工作,在数据产生的同时或者发生改变时进 行分析 反应迅速,及时保护系统;但系统规模较大时, 实时性难以得到实际保证
根据体系结构可分为
集中式 有多个分布于不同主机上的审计程序,但只有一 个中央入侵检测服务器。 可伸缩性、可配置性差
分布式 将中央检测服务器的任务分配给多个HIDS,他 们不分等级,负责监控当地主机的可疑活动。 可伸缩性、安全性高;但维护成本高,监控主机 的工作负荷重。
8.1 概 述
入侵检测系统分类
响应动作
事件 数据库
事件产生器
审计数据等
目标系统
8.1 概 述 警报信息 事件分析器
IDS的通用模型
响应单元
响应动作
事件 数据库
响应单元
事件产生器
根据告警信息作出反应, 是IDS中的主动武器
审计数据等
目标系统
可作出
强烈反应:切断连接、改变文件属性等
简单的报警:给管理员发送短信等。
8.1 概 述
8.2 入侵检测技术
异常检测技术
➢概率统计异常检测 ➢模式预测异常检测 ➢特征选择异常检测 ➢神经网络异常检测 ➢贝叶斯推理异常检测 ➢机器学习异常检测 ➢贝叶斯网络异常检测 ➢数据挖掘异常检测
8.2 入侵检测技术
误用/滥用检测技术
➢条件概率滥用检测
➢专家系统滥用检测
➢状态转换分析滥用检测 ➢键盘监控滥用检测
一个攻击事件未被IDS检测到或被分析人员认为是 无害的
8.1 概 述
入侵检测系统分类
根据其采用的分析方法(检测原理) 根据数据来源 根据体系结构 根据系统的工作方式
8.1 概 述
入侵检测系统分类
根据其采用的分析方法(检测原理)可分为
异常检测(Anomaly Detection) 假设入侵行为与正常行为不同 对正常行为用定量的方式加以描述,当用户活动 与正常行为有重大偏离时即被认为是入侵。 利用统计的分析方法
IDS
IDS
NIDS
Internet
IDS
IDS
IDS
检测内容:数据包
DMZ
(包头信息+有效数
据部分)
两类IDS的比较
HIDS
视野集中 易于用户自定义 保护更加周密 对网络流量不敏感
NIDS
侦测速度快 隐藏性好 视野更宽 较少的监测器 占资源少
8.1 概 述
入侵检测系统分类
诱饵:留有安全后门或是有用的信息 记录:攻击者的所有操作。 地位:本身并不是一种安全解决方案,它只是一种
工具,而且只有Honeypot受到攻击,它的作用才能 发挥出来。
蜜网技术(Honeynet)
8.2 入侵检测技术
入侵响应技术
主动响应
IDS在检测到入侵后能够阻断攻击、影响进而改变 攻击的进程
➢模型推理滥用检测
8.2 入侵检测技术
高级检测技术
➢文件完整性检查
➢计算机免疫检测
➢遗传算法
➢模糊证据理论
➢数据挖掘
➢数据融合
8.2 入侵检测技术
入侵诱骗技术
用特有的特征吸引攻击者,同时对攻击者的各 种攻击进行分析,并进而找到有效地对付方法
试图将攻击者从关键系统引诱开的诱骗系统 蜜罐技术(Honepot)
基本术语
Promiscuous (混杂模式)
默认状态下,IDS网络接口只能“看到”进出 主机的信息,也就是所谓的non-promiscuous (非混杂模式)
如果网络接口是混杂模式,就可以“看到”网 段中所有的网络通信量,不管其来源或目的地
这对于网络IDS是必要的
本章学习目标
了解IDS存在和发展的必然性 掌握入侵检测的相关概念 掌握IDS的工作模式及其通用模型 掌握IDS的分类 了解各种入侵检测技术 了解IDS的发展方向
入侵检测系统(IDS)
用于进行入侵检测的自动化工具,是入侵检测的软 件与硬件的组合。
8.1 概 述
入侵检测的起源
从审计技术发展而来 1980年,James P. Anderson的《计算机安全威
胁监控与监视》
第一次详细阐述了入侵检测的概念 计算机系统威胁分类:外部渗透、内部渗透和不法
被动响应
IDS仅仅简单地报告和记录所检测出的问题
二者并不互斥,无论采用哪种响应机制,IDS 均应以日志的形式记录下检测结果。
8.3 入侵检测的发展与演化
入侵和攻击的复杂化与综合化 入侵主体的间接化 入侵和攻击的规模扩大化 入侵和攻击技术的分布化 攻击对象的转移
8.4 入侵检测技术的发展方向
8.1 概 述
入侵检测系统的功能
监控、分析用户和系统的活动 发现入侵企图或异常现象 审计系统的配置和弱点 评估关键系统和数据文件的完整性 对异常活动的统计分析 识别攻击的活动模式 实时报警和主动响应 审计跟踪
8.2 入侵检测技术
异常检测技术 误用/滥用检测技术 高级检测技术 入侵诱骗技术 入侵响应技术
入侵检测的起源
1988年之后,美国开展对分布式入侵检测系统 (DIDS)的研究,将基于主机和基于网络的检测 方法集成到一起。
DIDS是分布式入侵检测系统历史上的一个里程碑式 的产品。
从20世纪90年代到现在,入侵检测系统的研发 呈现出百家争鸣的繁荣局面,并在智能化和分 布式两个方向取得了长足的进展。
知识回顾
防火墙的局限性?
削弱了网络的功能
信息受阻 增大了网络开销
并非万无一失
防外不防内
第八章 入侵检测系统
8.1 概 述
IDS存在与发展的必然性
网络安全本身的复杂性,被动式的防御方式显 得力不从心。
有关防火墙
网络边界的设备 自身可以被攻破 对某些攻击保护很弱 并非所有威胁均来自防火墙外部
目标系统
8.1 概 述 警报信息 事件分析器
IDS的通用模型
响应单元
响应动作
事件 数据库
事件产生器
事件产生器
负责收集、采集各种原始数据, 且将其转换为事件,向系统的其
审计数据等
目标系统
他部分提供此事件。
收集内容:系统、网络数据及用户活动的状态和行 为。
不同关键点的信息:系统或网络的日志文件、网络 流量、系统目录和文件的异常变化、程序执行中的 异常行为
基本术语
Signatures (特征)
攻击特征是IDS的核心,它使IDS在事件发生时 触发
特征信息过短会经常触发IDS,导致误报或错 报;过长则会影响IDS的工作速度
有人将IDS所支持的特征数视为IDS好坏的标准, 但是有的厂商用一个特征涵盖许多攻击,而有 些厂商则会将这些特征单独列出,这就会给人 一种印象:好像它包含了更多的特征,是更好 的IDS
当检测的用户或系统行为与库中的记录相匹配 时,系统就认为这种行为是入侵
过程
监控
特征提取
匹配
判定
指标
误报率低、漏报率高
误用检测
特点
采用模式匹配,误用模式能明显降低误报率, 但漏报率随之增加,攻击特征的细微变化,会 使得误用检测无能为力。
8.1 概 述
入侵检测系统分类
根据数据来源可分为
8.1 概 述
IDS的工作模式
从系统的不同环节收集信息 分析该信息,试图寻找入侵活动的特征 自动对检测到的行为作出响应 记录并报告检测过程及结果
8.1 概 述
IDS的通用模型
事件产生器 事件分析器
警报信息
事件数据库 事件分析器 响应单元
响应单元
响应动作
事件 数据库
事件产生器
审计数据等
基于主机的IDS(HIDS) 系统获取数据的依据是系统运行所在的主机 保护的目标也是系统运行所在的主机
基于网络的IDS(NIDS) 系统获取的数据是网络传输的数据包 保护的目标是网络的正常运行
混合型
HIDS
Internet
检测内容:系统调用、
DMZ
端口调用、审计记录、
系统日志、应用日志
修正
异常检测
特点
异常检测系统的效率取决于用户轮廓的完备性 和监控的频率
不需要对每种入侵行为进行定义,因此能有效 检测未知的入侵
系统能针对用户行为的改变进行自我调整和优 化,但随着检测模型的逐步精确,异常检测会 消耗更多的系统资源
误用检测
前提
所有的入侵行为都有可以被检测到的特征
攻击特征库
误用检测(Misuse Detection) 假设所有入侵行为和手段都能表达为一种模式或 特征,又称特征检测 利用特征匹配的方法
异常检测
前提
入侵是异常活动的子集
用户轮廓(Profile)
通常定义为各种行为参数及其阈值的集合,用 于描述正常行为范围
过程
监控
量化
比较
判定
指标
漏报率低,误报率高
基本术语
Alert (警报)
当一个入侵正在发生或者试图发生时,IDS将 发布一个alert信息通知系统管理员
如果控制台与IDS同在一台机器,alert信息将 显示在监视器上,也可能伴随有声音提示
如果是远程控制台,那么alert将通过IDS的内 置方法(通常是加密的),SNMP(简单网络 管理协议,通常不加密),email,SMS(短信 息)或者以上几种方法的混合方式传递给管理 员
1990年,加州大学戴维斯分校的L. T. Heberlein 等人开发出了NSM (Network Security Monitor)
第一次直接将网络数据流作为审计数据来源,因而 可以在不将审计数据转换成统一格式的情况下监控 异种主机。
两大阵营正式形成:基于网络的IDS和基于主机的 IDS
8.1 概 述
注意:首先要保证用来检测网络系统的软件的完整 性,特别是IDS本身的坚固性。
8.1 概 述 警报信息 事件分析器
IDS的通用模型
响应单元
响应动作
事件 数据库
事件分析器
事件产生器
接收事件信息,对其进行分析, 判断是否为入侵行为或异常现象,
审计数据等
目标系统
最后将判断的结果转变为告警信息。
分析方法
入侵很容易
入侵教程随处可见 各种攻击唾手可得
8.1 概 述
入侵检测有关概念
入侵(Intrusion)
是指系统发生的任何违反安全策略的事件,包括对 系统资源的非法访问、恶意攻击、探测系统漏洞和 攻击准备等对网络系统造成危害的各种行为。
入侵检测(Intrusion Detection)
是指通过从计算机网络或计算机系统中的若干关键 点收集信息并对其进行分析,从中发现或识别企图 入侵、正在进行的入侵或已经发生的入侵的技术。
IDS的基本工作原理 当前系统或 网络行为
入侵检测 分析引擎
模式知识库
入侵行为模式 安全策略
入侵
否
正常行为模式
是
证据记录
数据采集
响应处理
8.1 概 述
检测IDS性能的两个关键参数
误报(false positive)
实际无害的事件却被IDS检测为攻击事件
漏报(false negative)
行为 提出了利用审计跟踪数据监视入侵活动的思想 这份报告被公认为是入侵检测的开山之作。
8.1 概 述
入侵检测的起源
1984年到1986年,乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了 一个实时入侵检测系统模型——IDES(入侵检 测专家系统)
模式匹配(与已知的攻击进行比较)
Leabharlann Baidu
统计分析(确定对象的异常行为)
完整性分析(常用于事后分析)
8.1 概 述 警报信息 事件分析器
IDS的通用模型
事件数据库
存放各种中间和最终数据的地方 从事件产生器或事件分析器接收
数据,一般会将数据进行较长时 间的保存,以便于今后的关联分 析等。
响应单元
入侵检测系统实例
入侵检测系统Snort
免费、开放源代码的基于网络的入侵检测 系统
下载网址Http://www.snort.org 提供抓包、记录包、入侵检测三个功能 可运行于Linux/Unix、Windows操作系统
根据系统的工作方式可分为
离线检测系统 非实时工作,在行为发生后,对产生的数据进行 分析(事后分析) 成本低,可分析大量事件,分析长期情况;但无 法提供及时保护
在线检测系统 实时工作,在数据产生的同时或者发生改变时进 行分析 反应迅速,及时保护系统;但系统规模较大时, 实时性难以得到实际保证
根据体系结构可分为
集中式 有多个分布于不同主机上的审计程序,但只有一 个中央入侵检测服务器。 可伸缩性、可配置性差
分布式 将中央检测服务器的任务分配给多个HIDS,他 们不分等级,负责监控当地主机的可疑活动。 可伸缩性、安全性高;但维护成本高,监控主机 的工作负荷重。
8.1 概 述
入侵检测系统分类
响应动作
事件 数据库
事件产生器
审计数据等
目标系统
8.1 概 述 警报信息 事件分析器
IDS的通用模型
响应单元
响应动作
事件 数据库
响应单元
事件产生器
根据告警信息作出反应, 是IDS中的主动武器
审计数据等
目标系统
可作出
强烈反应:切断连接、改变文件属性等
简单的报警:给管理员发送短信等。
8.1 概 述
8.2 入侵检测技术
异常检测技术
➢概率统计异常检测 ➢模式预测异常检测 ➢特征选择异常检测 ➢神经网络异常检测 ➢贝叶斯推理异常检测 ➢机器学习异常检测 ➢贝叶斯网络异常检测 ➢数据挖掘异常检测
8.2 入侵检测技术
误用/滥用检测技术
➢条件概率滥用检测
➢专家系统滥用检测
➢状态转换分析滥用检测 ➢键盘监控滥用检测
一个攻击事件未被IDS检测到或被分析人员认为是 无害的
8.1 概 述
入侵检测系统分类
根据其采用的分析方法(检测原理) 根据数据来源 根据体系结构 根据系统的工作方式
8.1 概 述
入侵检测系统分类
根据其采用的分析方法(检测原理)可分为
异常检测(Anomaly Detection) 假设入侵行为与正常行为不同 对正常行为用定量的方式加以描述,当用户活动 与正常行为有重大偏离时即被认为是入侵。 利用统计的分析方法
IDS
IDS
NIDS
Internet
IDS
IDS
IDS
检测内容:数据包
DMZ
(包头信息+有效数
据部分)
两类IDS的比较
HIDS
视野集中 易于用户自定义 保护更加周密 对网络流量不敏感
NIDS
侦测速度快 隐藏性好 视野更宽 较少的监测器 占资源少
8.1 概 述
入侵检测系统分类
诱饵:留有安全后门或是有用的信息 记录:攻击者的所有操作。 地位:本身并不是一种安全解决方案,它只是一种
工具,而且只有Honeypot受到攻击,它的作用才能 发挥出来。
蜜网技术(Honeynet)
8.2 入侵检测技术
入侵响应技术
主动响应
IDS在检测到入侵后能够阻断攻击、影响进而改变 攻击的进程
➢模型推理滥用检测
8.2 入侵检测技术
高级检测技术
➢文件完整性检查
➢计算机免疫检测
➢遗传算法
➢模糊证据理论
➢数据挖掘
➢数据融合
8.2 入侵检测技术
入侵诱骗技术
用特有的特征吸引攻击者,同时对攻击者的各 种攻击进行分析,并进而找到有效地对付方法
试图将攻击者从关键系统引诱开的诱骗系统 蜜罐技术(Honepot)
基本术语
Promiscuous (混杂模式)
默认状态下,IDS网络接口只能“看到”进出 主机的信息,也就是所谓的non-promiscuous (非混杂模式)
如果网络接口是混杂模式,就可以“看到”网 段中所有的网络通信量,不管其来源或目的地
这对于网络IDS是必要的
本章学习目标
了解IDS存在和发展的必然性 掌握入侵检测的相关概念 掌握IDS的工作模式及其通用模型 掌握IDS的分类 了解各种入侵检测技术 了解IDS的发展方向
入侵检测系统(IDS)
用于进行入侵检测的自动化工具,是入侵检测的软 件与硬件的组合。
8.1 概 述
入侵检测的起源
从审计技术发展而来 1980年,James P. Anderson的《计算机安全威
胁监控与监视》
第一次详细阐述了入侵检测的概念 计算机系统威胁分类:外部渗透、内部渗透和不法
被动响应
IDS仅仅简单地报告和记录所检测出的问题
二者并不互斥,无论采用哪种响应机制,IDS 均应以日志的形式记录下检测结果。
8.3 入侵检测的发展与演化
入侵和攻击的复杂化与综合化 入侵主体的间接化 入侵和攻击的规模扩大化 入侵和攻击技术的分布化 攻击对象的转移
8.4 入侵检测技术的发展方向
8.1 概 述
入侵检测系统的功能
监控、分析用户和系统的活动 发现入侵企图或异常现象 审计系统的配置和弱点 评估关键系统和数据文件的完整性 对异常活动的统计分析 识别攻击的活动模式 实时报警和主动响应 审计跟踪
8.2 入侵检测技术
异常检测技术 误用/滥用检测技术 高级检测技术 入侵诱骗技术 入侵响应技术
入侵检测的起源
1988年之后,美国开展对分布式入侵检测系统 (DIDS)的研究,将基于主机和基于网络的检测 方法集成到一起。
DIDS是分布式入侵检测系统历史上的一个里程碑式 的产品。
从20世纪90年代到现在,入侵检测系统的研发 呈现出百家争鸣的繁荣局面,并在智能化和分 布式两个方向取得了长足的进展。
知识回顾
防火墙的局限性?
削弱了网络的功能
信息受阻 增大了网络开销
并非万无一失
防外不防内
第八章 入侵检测系统
8.1 概 述
IDS存在与发展的必然性
网络安全本身的复杂性,被动式的防御方式显 得力不从心。
有关防火墙
网络边界的设备 自身可以被攻破 对某些攻击保护很弱 并非所有威胁均来自防火墙外部
目标系统
8.1 概 述 警报信息 事件分析器
IDS的通用模型
响应单元
响应动作
事件 数据库
事件产生器
事件产生器
负责收集、采集各种原始数据, 且将其转换为事件,向系统的其
审计数据等
目标系统
他部分提供此事件。
收集内容:系统、网络数据及用户活动的状态和行 为。
不同关键点的信息:系统或网络的日志文件、网络 流量、系统目录和文件的异常变化、程序执行中的 异常行为
基本术语
Signatures (特征)
攻击特征是IDS的核心,它使IDS在事件发生时 触发
特征信息过短会经常触发IDS,导致误报或错 报;过长则会影响IDS的工作速度
有人将IDS所支持的特征数视为IDS好坏的标准, 但是有的厂商用一个特征涵盖许多攻击,而有 些厂商则会将这些特征单独列出,这就会给人 一种印象:好像它包含了更多的特征,是更好 的IDS
当检测的用户或系统行为与库中的记录相匹配 时,系统就认为这种行为是入侵
过程
监控
特征提取
匹配
判定
指标
误报率低、漏报率高
误用检测
特点
采用模式匹配,误用模式能明显降低误报率, 但漏报率随之增加,攻击特征的细微变化,会 使得误用检测无能为力。
8.1 概 述
入侵检测系统分类
根据数据来源可分为
8.1 概 述
IDS的工作模式
从系统的不同环节收集信息 分析该信息,试图寻找入侵活动的特征 自动对检测到的行为作出响应 记录并报告检测过程及结果
8.1 概 述
IDS的通用模型
事件产生器 事件分析器
警报信息
事件数据库 事件分析器 响应单元
响应单元
响应动作
事件 数据库
事件产生器
审计数据等
基于主机的IDS(HIDS) 系统获取数据的依据是系统运行所在的主机 保护的目标也是系统运行所在的主机
基于网络的IDS(NIDS) 系统获取的数据是网络传输的数据包 保护的目标是网络的正常运行
混合型
HIDS
Internet
检测内容:系统调用、
DMZ
端口调用、审计记录、
系统日志、应用日志
修正
异常检测
特点
异常检测系统的效率取决于用户轮廓的完备性 和监控的频率
不需要对每种入侵行为进行定义,因此能有效 检测未知的入侵
系统能针对用户行为的改变进行自我调整和优 化,但随着检测模型的逐步精确,异常检测会 消耗更多的系统资源
误用检测
前提
所有的入侵行为都有可以被检测到的特征
攻击特征库
误用检测(Misuse Detection) 假设所有入侵行为和手段都能表达为一种模式或 特征,又称特征检测 利用特征匹配的方法
异常检测
前提
入侵是异常活动的子集
用户轮廓(Profile)
通常定义为各种行为参数及其阈值的集合,用 于描述正常行为范围
过程
监控
量化
比较
判定
指标
漏报率低,误报率高
基本术语
Alert (警报)
当一个入侵正在发生或者试图发生时,IDS将 发布一个alert信息通知系统管理员
如果控制台与IDS同在一台机器,alert信息将 显示在监视器上,也可能伴随有声音提示
如果是远程控制台,那么alert将通过IDS的内 置方法(通常是加密的),SNMP(简单网络 管理协议,通常不加密),email,SMS(短信 息)或者以上几种方法的混合方式传递给管理 员
1990年,加州大学戴维斯分校的L. T. Heberlein 等人开发出了NSM (Network Security Monitor)
第一次直接将网络数据流作为审计数据来源,因而 可以在不将审计数据转换成统一格式的情况下监控 异种主机。
两大阵营正式形成:基于网络的IDS和基于主机的 IDS
8.1 概 述
注意:首先要保证用来检测网络系统的软件的完整 性,特别是IDS本身的坚固性。
8.1 概 述 警报信息 事件分析器
IDS的通用模型
响应单元
响应动作
事件 数据库
事件分析器
事件产生器
接收事件信息,对其进行分析, 判断是否为入侵行为或异常现象,
审计数据等
目标系统
最后将判断的结果转变为告警信息。
分析方法
入侵很容易
入侵教程随处可见 各种攻击唾手可得
8.1 概 述
入侵检测有关概念
入侵(Intrusion)
是指系统发生的任何违反安全策略的事件,包括对 系统资源的非法访问、恶意攻击、探测系统漏洞和 攻击准备等对网络系统造成危害的各种行为。
入侵检测(Intrusion Detection)
是指通过从计算机网络或计算机系统中的若干关键 点收集信息并对其进行分析,从中发现或识别企图 入侵、正在进行的入侵或已经发生的入侵的技术。
IDS的基本工作原理 当前系统或 网络行为
入侵检测 分析引擎
模式知识库
入侵行为模式 安全策略
入侵
否
正常行为模式
是
证据记录
数据采集
响应处理
8.1 概 述
检测IDS性能的两个关键参数
误报(false positive)
实际无害的事件却被IDS检测为攻击事件
漏报(false negative)
行为 提出了利用审计跟踪数据监视入侵活动的思想 这份报告被公认为是入侵检测的开山之作。
8.1 概 述
入侵检测的起源
1984年到1986年,乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了 一个实时入侵检测系统模型——IDES(入侵检 测专家系统)
模式匹配(与已知的攻击进行比较)
Leabharlann Baidu
统计分析(确定对象的异常行为)
完整性分析(常用于事后分析)
8.1 概 述 警报信息 事件分析器
IDS的通用模型
事件数据库
存放各种中间和最终数据的地方 从事件产生器或事件分析器接收
数据,一般会将数据进行较长时 间的保存,以便于今后的关联分 析等。
响应单元