第八章入侵检测系统
第8章 入侵检测系统
8.3.3 分布式入侵检测系统
❖ 基于网络与基于主机的IDS相比具有明显的优点, 如部署数量少,能实时监测、具有0S独立性等,但 同时也有较大的缺陷:只能检查一个广播型网段上 的通信、难以处理加密的会话过程。
❖ 由此看出,二者各有优势,且具有互补性,把二者 结合起来使用,有可能改善入侵检测系统的检测效 果,这就是分布式入侵检测系统(Distributed IDS,DIDS)形成的原因。
图8.5 CIDF定义的体系结构
输入:原始事件源
❖ 其次,探测代理认为可疑的数据包将被根据 其类型交给专用的分析层设备处理。
❖ 各探测代理不仅实现信息过滤,同时监视所 在系统;而分析层和管理层则可对全局的信 息进行关联性分析。
❖ 这样对网络信息进行分流,提高了检测速度, 解决了检测效率低的问题,使得DIDS本身抗 击拒绝服务攻击的能力也得到了增强。
❖ 目前,随着网络规模的发展,大部分入侵检 测系统都采用分布式结构。分布式结构采用 分级组织模型,网状组织模型,或者这两种 的混和组织模型。
❖ 分级体系结构采用树形结构,命令和控制组 件在上层,信息汇聚中间层,操作单元位于 叶节点。操作单元可以是基于网络的IDS、基 于主机IDS、防病毒以及攻击响应系统。
8.2.2入侵检测系统的现状
❖ 入侵检测系统目前主要存在的问题有: ❖ (1)IDS产品的检测准确率比较低,漏报和
误报比较多。 ❖ (2)入侵检测系统不能对攻击做出响应 ❖ (3) IDS维护比较难 ❖ (4) 缺乏国际国内标准,IDS产品的测评缺
乏统一的标准和平台
8.2.3入侵检测系统的发展
❖ (1)体系结构的发展 ❖ 现有入侵检测系统多采用单一体系结构,即所
图8.4 混和体系结构
入侵检测系统
IDES是一个混合型的入侵检测系统,使用一个在当时来说是创新的统计分析算法来检测异常入侵行为,同时该系统还使用一个专家系统检测模块来对已知的入侵攻击模式进行检测。
DIDS系统设计的目标环境是一组经由以太局域网连接起来的主机,并且这些主机系统都满足C2等级的安全审计功能要求。
DIDS所要完成的任务是监控网络中各个主机的安全状态,同时检测针对局域网本身的攻击行为。
入侵检测是对企图入侵,正在进行的入侵或者已经发生的入侵检测系统,其中包括软件系统以及软硬件结合的系统。
审计数据的获取工作主要考虑下列问题:1.确定审计数据的来源和类型2.审计数据的预处理工作,其中包括记录标准格式的设计,过滤和映射操作等3.审计数据的获取方式包括审计数据获取模块的结果设计和传输协议等审计数据模块的主要作用是获取目标系统的审计数据,并经过预处理工作后,最终目标是为入侵检测的处理模块提供一条单一的审计记录块数据流,供其使用。
邻域接口包括两个主要部件:目标系统组建(Agen)和IDES组件(Arpool)。
是一个动态的计算机系统安全理论模型.P DR特点是动态性和基于时间的特性P2DR模型的内容包括如下。
⑴策略:P2DR模型的核心内容。
具体实施过程中,策略规定了系统所要达到的安全目标和为达到目标所采取的各种具体安全措施及其实施强度等。
⑵防护:具体包括制定安全管理规则、进行系统安全配置工作以及安装各种安全防护设备。
⑶检测:在采取各种安全措施后,根据系统运行情况的变化,对系统安全状态进行实时的动态监控。
⑷响应:当发现了入侵活动或入侵结果后,需要系统作出及时的反应并采取措施,其中包括记录入侵行为、通知管理员、阻断进一步的入侵活动以及恢复系统正常运行等。
STAT系统架构示意图基于状态转移分析的检测模型,将攻击者的入侵行为描绘为一系列的特征操作及其所引起的一系列系统状态转换过程,从而使得目标系统从初始状态转移到攻击者所期望的危害状态。
它所具有的优点如下:①直接采用审计记录序列来表示攻击行为的方法不具备直观性。
入侵检测系统
1)从数据来源角度分类
分基析于。主机和分布式入
侵检测系统。
2)从检测的策略角度分类
18:34:44
18:34:44
入侵检测系统
入侵检测系统构成 入侵检测系统的分类 基于主机的入侵检测系统 基于网络的入侵检测系统 分布式入侵检测系统
基于主机的入侵检测系统
基于主机的入侵检测系统(HIDS):其检 测的主要目标主要是主机系统和系统本地用户。 检测原理是根据主机的审计数据和系统日志发 现可疑事件,基本过程如图所示
基于网络的入侵检测系统使用原始网络包作为 数据源。基于网络的IDS通常利用一个运行在随机 模式下的网络适配器来实时监视并分析通过网络的 所有通信业务。它的攻击辨识模块通常采用四种常 用技术来识别攻击标志。
1)模式、表达式或字节匹配。 2)频率或穿越阈值。 3)低级事件的相关性。 4)统计学意义上的非常规现象检测。
18:34:45
分布式入侵检测系统
基于上述情况,分布式的入侵检测系统就应运 而生。分布式IDS系统通常由数据采集构件、通信 传输构件、入侵检测分析构件、应急处理构件和管 理构件组成,如图所示。
18:34:45
分布式入侵检测系统结构示意图
网络信息安全技术
网络信息安全技术
入侵检测系统
入侵检测通过对计算机网络或计算机系统中的若 干关键点收集信息并进行分析,从中发现网络或系统 中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统执行的主要任务包括:监视、 分析用户及系统活动;审计系统构造和弱点;识别、 反映已知进攻的活动模式,向相关人士报警;统计分 析异常行为模式;评估重要系统和数据文件的完整性; 审计、跟踪管理操作系统,识别用户违反安全策略的 行为。入侵检测一般分为三个步骤,依次为信息收集、 数据分析、响应(被动响应和主动响应)。
计算机网络安全第八章IDS
误用检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
误用检测
入侵行为
攻击模式描述库
规则匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
2 之 2
误报率低,漏报率高。攻击特征的细微变化,会使得误用检测无能为力。
按照数据来源分
目录
10 之 8
建立预警机制采取灾备措施提高保障意识
从预警到保障
IDS发展过程
— 概念的诞生
目录
10 之 9
1980年4月,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视):
异常检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
异常检测
入侵行为
正常行为描述库
规则不匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
异常检测系统的效率取决于用户轮廓的完备性和监控的频率;因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源;漏报率低,误报率高。
统计分析
目录>>IDS的基本结构>>信息分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
第8章 入侵检测系统(IDS)及应用 网络维护与安全技术教程与实训电子教案
入侵检测过程示意图
报警 日志记录
入侵检测
记录
内部入侵
终止入侵
重新配置 防火墙 路由器
入侵检测
记录入侵 过程
3、入侵检测的发展
❖ 入侵检测技术的发展过程: ❖概念诞生阶段:1980年 James P. Anderson第一
次详细阐述了入侵检测的概念。《Computer Security Threat Monitoring and Surveillance》。 ❖模型产生阶段:1986年 Denning提出了一种通 用的入侵检测模型。研究出了一个实时入侵检测 系统模型—IDES(入侵检测专家系统)。 ❖ 百家争鸣阶段:90年初-至今(基于数据挖掘、 基于神经网络的入侵检测等)。
4.入侵检测系统的工作过程
❖ IDS处理过程分为四个阶段。 ❖ 数据采集阶段:数据采集是入侵检测的基础。在
数据采集阶段,入侵检测系统主要收集目标系统 中引擎提供的主机通信数据包和系统使用等情况。
❖ 数据处理及过滤阶段:把采集到的数据进行处理, 转换为可以识别是否发生入侵的形式。
❖ 分析及检测入侵阶段:通过分析上一阶段提供的 数据来判断是否发生入侵。这一阶段是整个入侵 检测系统的核心阶段。
入侵过程示意图
入侵:是指试图破坏计
算机系统的完整性、机 密性和可用性的行为
➢入侵者取得超出合 法身份的系统控制 权 ➢ 收集漏洞信息和拒 绝服务攻击
互联网
防火墙
入侵者进入用户系统的方式
❖ 入侵者进入用户系统主要有以下三种方式: ❖ 物理入侵:在未授权的情况对网络硬件的连接,
或对系统物理资源的直接破坏等。
它的特点是实时入侵检测 在网络连接过程中进行。系统对 实时网络数据包分析,对实时主机审计分析,一旦发现入 侵迹象立即断开入侵者与主机的连接,并收集证据和实施数 据恢复。
第8章 入侵检测系统(IDS)及应用习题答案
习题答案一、填空题1. 入侵者进入我们的系统主要有三种方式:物理入侵、系统入侵、远程入侵。
2. 入侵检测系统是进行入侵检测的软件与硬件的组合。
3. 入侵检测系统由三个功能部分组成,它们分别是感应器(Sensor)、分析器(Analyzer)和管理器(Manager)。
4. 入侵检测系统根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。
5.入侵检测系统根据工作方式分为在线检测系统和离线检测系统。
6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。
二、选择题1.IDS产品相关的等级主要有(BCD)等三个等级:A: EAL0 B: EAL1 C: EAL2 D: EAL32. IDS处理过程分为(ABCD )等四个阶段。
A: 数据采集阶段B: 数据处理及过滤阶段C: 入侵分析及检测阶段D: 报告以及响应阶段3. 入侵检测系统的主要功能有(ABCD ):A: 监测并分析系统和用户的活动B: 核查系统配置和漏洞C: 评估系统关键资源和数据文件的完整性。
D: 识别已知和未知的攻击行为4. IDS产品性能指标有(ABCD ):A:每秒数据流量B: 每秒抓包数C: 每秒能监控的网络连接数D:每秒能够处理的事件数5. 入侵检测产品所面临的挑战主要有(ABCD ):A:黑客的入侵手段多样化B:大量的误报和漏报C:恶意信息采用加密的方法传输D:客观的评估与测试信息的缺乏三、判断题1. 有了入侵检测系统以后,我们可以彻底获得网络的安全。
(F )2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。
( T )3. 基于网络的入侵检测系统比基于主机的入侵检测系统性能优秀一些。
( F )4. 现在市场上比较多的入侵检测产品是基于网络的入侵检测系统。
( T )四、简答题1. 什么是入侵检测系统?简述入侵检测系统的作用?答:入侵检测系统(Intrusion Detection System,简称IDS)是进行入侵检测的软件与硬件的组合,事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。
入侵检测系统ppt课件
没有地域和时间的限制; 通过网络的攻击往往混杂在大量正常的网络活动之间,
隐蔽性强; 入侵手段更加隐蔽和复杂。
3
为什么需要IDS?
单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
4
为什么需要IDS?
关于防火墙
网络边界的设备,只能抵挡外部來的入侵行为 自身存在弱点,也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护,合法的使用者仍会非法地使用
入侵检测系统IDS
1
黑客攻击日益猖獗,防范问题日趋 严峻
政府、军事、邮电和金融网络是黑客攻击的主要目 标。即便已经拥有高性能防火墙等安全产品,依然 抵挡不住这些黑客对网络和系统的破坏。据统计, 几乎每20秒全球就有一起黑客事件发生,仅美国每 年所造成的经济损失就超过100亿美元。
2
网络入侵的特点
包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效
20
主动响应 被动响应
响应动作
21
入侵检测性能关键参数
误报(false positive):如果系统错误地将异常活动定 义为入侵
漏报(false negative):如果系统未能检测出真正的 入侵行为
12
入侵检测的工作过程
信息收集
检测引擎从信息源收集系统、网络、状态和行为信息。
信息分析
从信息中查找和分析表征入侵的异常和可疑信息。
告警与响应
根据入侵性质和类型,做出相应的告警和响应。
13
信息收集
入侵检测的第一步是信息收集,收集内容包括系统 、网络、数据及用户活动的状态和行为
入侵检测系统(IDS)
Intrusion Detection公司
Kane Security Monitor
Axent Technologies公司
OmniGuard/Intruder Alert
当前主流产品介绍
Internet Security System公司
RealSecure
特点:采用特征匹配,误用检测能明显降低错报 率,但漏报率随之增加。攻击特征的细微变化, 会使得误用检测无能为力。
入侵检测系统分类(二)
根据检测对象分类
基于主机的IDS(Host-Based IDS)
HIDS一般主要使用操作系统的审计日志作为主要数据源输入, 试图从日志判断滥用和入侵事件的线索。
网络入侵的特点
没有地域和时间的限制; 通过网络的攻击往往混杂在大量正常的网络活动之间,
隐蔽性强; 入侵手段更加隐蔽和复杂。
为什么需要IDS?
单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
为什么需要IDS?
关于防火墙
网络边界的设备,只能抵挡外部來的入侵行为 自身存在弱点,也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护,合法的使用者仍会非法地使用
入侵检测系统(IDS):入侵检测系统是软件与硬 件的组合,是防火墙的合理补充,是防火墙之后 的第二道安全闸门。
入侵检测的内容:试图闯入、成功闯入、冒充其 他用户、违反安全策略、合法用户的泄漏、独占 资源以及恶意使用。
入侵检测的职责
IDS系统主要有两大职责:实时检测和安全审计, 具体包含4个方面的内容
入侵检测系统分类(三)
根据系统工作方式来分:
第八章 防火墙与入侵检测技术
第八章防火墙与入侵检测技术一、选择题1.防火墙是计算机网络安全中常用到的一种技术,它通常被用在。
A LAN内部B LAN和WAN之间C PC和PC之间D PC和LAN之间标准答案:B2.为HTTP协议开放的端口是。
A 80B 139C 135D 99标准答案:A3.防火墙一般由分组过滤路由器和两部分组成。
A 应用网关B 网桥C 杀毒软件D防病毒卡标准答案:A4,下列选项是入侵检测常用的方法。
A 模式匹配B 统计分析C 静态配置分析D 完整性分析标准答案:C5,如果内部网络的地址网段为192.168.1.0/24 ,需要用到防火墙的功能,才能使用户上网。
A 地址映射B 地址转换C IP地址和MAC地址绑定功能D URL过滤功能标准答案:B6.下面哪种安全技术被称为是信息安全的第一道闸门?。
A 入侵检测技术B 防火墙技术C 防病毒技术D 加密技术标准答案:B7.下面哪种安全技术被称为是信息安全的第二道闸门?。
A 防火墙技术B 防病毒技术C 入侵检测技术D 加密技术标准答案:C8.下列不属于系统安全的技术是。
A 防火墙B 加密狗C 认证D 防病毒标准答案:B9.电路级网关是以下哪一种软/硬件的类型?。
A 防火墙B 入侵检测软件C 入侵防御软件D 商业支付程序标准答案:A10. 对于防火墙不足之处,描述错误的是。
A无法防护基于操作系统漏洞的攻击B 无法防护端口反弹木马的攻击C 无法防护病毒的侵袭D 无法进行带宽管理标准答案:D11.防火墙对数据包进行状态检测包过滤时,不可以进行过滤的是。
A 源和目的IP地址B 源和目的端口C IP协议号D 数据包中的内容标准答案:D12.包过滤防火墙不能对进行过滤。
A IP地址B 病毒C 协议D 端口标准答案:B13,加强网络安全性的最重要的基础措施是。
A 设计有效的网络安全策略B 选择更安全的操作系统C 安装杀毒软件D 加强安全教育标准答案:A14. 下面关于包过滤描述错误的是。
第8章入侵检测技术方案
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1 入侵检测概述
入侵是所有试图破坏网络信息的完整性、保密性、可用 性、可信任性的行为。入侵是一个广义的概念,不仅包括发 起攻击的人取得超出合法范围的系统控制权,也包括收集漏 洞信息,造成拒绝服务等危害计算机和网络的行为。 入侵检测作为安全技术其作用在于:
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.2 入侵检测技术
8.2.1 入侵检测分析模型
人们多年来对入侵检测的研究,使得该研究领域已具有一定的规模和相应的 理论体系。入侵检测的核心问题在于如何对安全审计数据进行分析,以检测其中 是否包含入侵或异常行为的迹象。
分析是入侵检测的核心功能,它既能简单到像一个已熟悉日志情况的管理员 去建立决策表,也能复杂得像一个集成了几百万个处理的非参数系统。入侵检测 过程分析过程分为三部分:信息收集、信息分析和结果处理。
信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及 用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信 息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的 程序执行。
信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息, 被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析: 模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并 发送给控制台。
图8-1 CIDF模型结构图
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.2 入侵检测系统结构
从系统构成上看,入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管 理四大部分,另外还可能结合安全知识库、数据存储等功能模块,提供更为完善 的安全检测及数据分析功能。如图8-2所示。
151-第8章 入侵检测系统
2019 +350001500 msec,subject,cxl,root, staff,cxl,staff,431,422,24 2 192.168.0.123,text,bad auth.for user root,return,failure,2
从上例的输出可以看到,用户mht从 192.168.0.9成功地远程登录到审计所在主 机;来自192.168.0.123的用户cxl试图将用 户更换为root,但没有成功。
事件类型、时间、用户组、有效的用户 身份号以及成功/出错信息也一目了然。
(2)系统日志
系统日志是反映各种系统事件和配置的 文件。
文件名
尽信书,则不如无书
入侵检测(Intrusion Detection),
顾名思义,就是对入侵行为的发觉,它通 过对计算机网络或计算机系统中的若干关 键点收集信息并对其进行分析,从中发现 网络或系统中是否有违反安全策略的行为 和被攻击的迹象。
进行入侵检测的软件与硬件的组合便
是入侵检测系统(IDS)。
事件时间
主体信息token
用户ID 用户有效ID
审计ID 进程ID 组ID
文件属性token 存取权限 文件属主 inode号 设备号
路径信息token 路径名 串长度
Solaris2.6给系统程序员提供了简单的编程接口,使之能够根据自己的需 要增加审计内容。auditsvc(2)指定当前的审计日志文件,audit(2)写入表 示一条审计记录。
Solaris2.6的审计事件涵盖系统调用和安全相关 命令,如下表所示。
审计事件类 fr nt ad lo ip …
描述 文件读取事件
第8章入侵检测技术PPT讲义
入侵 行为
时间信息
添加新 的规则
如果正常的用户行为与入侵特征匹配,则系统会发生误报 如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报
异常检测技术
1. 前提:入侵是异常活动的子集
2. 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合,用于描述 正常行为范围;检查实际用户行为和系统的运行情况是否偏离预设的门限?
较,得出是否有入侵行为
异常检测(Anomaly Detection) ——基于行为的检测
总结正常操作应该具有的特征,得出正常操作的模型 对后续的操作进行监视,一旦发现偏离正常操作模式,即进
行报警
误用检测技术
1. 前提:所有的入侵行为都有可被检测到的特征
2. 攻击特征库: 当监测的用户或系统行为与库中的记录相匹 配时,系统就认为这种行为是入侵
中止连接
Internet
商务伙伴
外外部部攻攻击击
类程序附在电子邮件上传输
入侵检测系统的作用
摄像机=IDS探测引擎
监控室=控制中心
后门 Card Key
保安=防火墙
形象地说,IDS就是一台智能的X光摄像机,它能够捕获并记录网络上的所有数据, 分析并提炼出可疑的、异常的内容,尤其是它能够洞察一些巧妙的伪装,抓住内 容的实质。此外,它还能够对入侵行为自动地进行响应:报警、阻断连接、关闭 道路(与防火墙联动)
通过提交上千次相同命令,来实施对POP3服务器的拒绝 服务攻击.
入侵检测系统发现该行为发生次数超过预定义阈值,认 为是异常事件。
实例二:暴力破解FTP账号密码
黑客得知FTP Server存在用户名admin 使用字典程序对admin用户暴力猜密码 入侵检测系统会发现在很短的时间内会出现大量如下数
第八章-入侵检测
8.4 入侵检测系统实现
• 入侵检测系统对收集的数据进行分析并以此判断是否为入 侵行为,具体的实现方法有以下几种:特征检测、统计检 测和专家系统。 特征检测
特征检测对已知的攻击或入侵方式做确定性的描述,形成相 应的事件模式,当被审计的事件与已知的入侵事件模式相匹 配时即报警。
• 定义
– 误用检测在系统中建立异常行为的特征库,然后将 系统或用户的行为与特征库进行比较
• 存在问题
– 不能预知新的攻击,只能检测出已发生过的攻击。
2015/11/22
8.3 入侵检测系统
• 8.3.1 入侵检测系统的设计准则
• 8.3.2 基于网络的入侵检测系统(NIDS)
• 8.3.3 基于主机的入侵检测系统(HIDS)
2015/11/22
8.3.5 其它类型的入侵检测系统
• 系统完整性验证者(SIVs)
– 一直监测系统中的核心文件(例如系统文件或注册 表)来检测是否被入侵者更改
• 日志文件监督(LFM)
– 监测网络服务创建的日志记录,并将其与关键字进 行匹配来判断入侵者是否正在攻击
• 蜜罐
– 包含漏洞,诱使入侵者对其进行攻击从而获取攻击 者攻击工具和攻击方法的信息
2015/11/22
4. 哪种入侵者是最危险的,为什么? A. 外部入侵者,因为他们在攻击之前会大量的收集目标系统的信息。 B. 内部入侵者,因为他们掌握更多关于系统的信息。 C. 外部入侵者,因为大部分入侵者都在外部。 D. 内部入侵者,因为很多外部入侵者都是新手。 5. 对于有特征的入侵行为,哪种类型的入侵检测更适用: A. 误用检测 B. 异常检测 C. 恶意检测 D. 外部检测 6. IDS规则的目的是什么: A. 告诉IDS检测那些端口 B. 限制系统行为,如果违反了,就触发警报 C. 告诉IDS那些包需要被监测,并在包中检测什么内容 D. 告诉防火墙哪些数据包可以穿过IDS
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第八章入侵检测系统第一节引言通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。
攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。
对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。
保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。
目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。
检测 (入侵的检测)研究如何高效正确地检测网络攻击。
只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。
因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。
响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。
这三种安全措施构成完整的信息战防御系统。
入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。
入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。
入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。
入侵检测系统(Intrusion Detection System,IDS)是实现入侵检测功能的硬件与软件。
入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。
入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。
入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。
相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。
入侵检测系统是计算机系统安全、网络安全的第二道防线。
一个理想的入侵检测系统具有如下特性:➢能以最小的人为干预持续运行。
➢能够从系统崩溃中恢复和重置。
➢能抵抗攻击。
IDS必须能监测自身和检测自己是否已经被攻击者所改变。
➢运行时占用系统的开销最小。
➢能够根据被监视系统的安全策略进行配置。
➢能在使用过程中适应系统和用户行为的改变。
当被监控系统的规模和受攻击的机会增加时,我们认为下列的特征也同样重要:➢能够检测具有一定规模的网络。
➢保证当IDS某一部分被攻破时,对其余部分造成的影响尽可能的小。
➢允许动态的再配置,即它必须有不用重新启动而能再次配置的功能。
➢提供很低的误报率。
➢提供互操作性,在不同环境中运行的IDS组件能够相互作用。
➢提供方便的用户界面,使管理者方便地配置和监视系统。
➢能够以实时或接近于实时的方式检测入侵。
目前的入侵检测系统(包括研究的原型和商业化的IDS)的数目已经超过一百个,它们只具有上述特征的一部分。
第二节入侵检测系统结构CIDF (Common Intrusion Detection Framework)定义了通用的IDS系统结构,它将入侵检测系统分为四个功能模块,如图8.1所示:图8.1 CIDF模型事件产生器(Event generater, E-box)收集入侵检测事件,并提供给IDS其他部件处理,是IDS的信息源。
事件包含的范围很广泛,既可以是网络活动也可是系统调用序列等系统信息。
事件的质量、数量与种类对IDS性能的影响极大。
事件分析器(Analysis engine, A-box)对输入的事件进行分析并检测入侵。
许多IDS的研究都集中于如何提高事件分析器的能力,包括提高对已知入侵识别的准确性以及提高发现未知入侵的几率等。
事件数据库(Event database, D-box)E-boxes 和 A-boxes 产生大量的数据,这些数据必须被妥善地存储,以备将来使用。
D-box的功能就是存储和管理这些数据,用于IDS的训练和证据保存。
事件响应器(Response unit, C-box)对入侵做出响应,包括向管理员发出警告,切断入侵连接,根除入侵者留下的后门以及数据恢复等。
CIDF概括了IDS的功能,并进行了合理的划分。
利用这个模型可描述当今现有的各种IDS的系统结构。
对IDS的设计及实现提供了有价值的指导。
第三节入侵检测系统分类为了准确地分类,首先要确定用来分类的IDS特征。
IDS是复杂的系统,若只用一种特征分类,结果将是粗糙的。
因此本章根据多种特征对IDS进行了不同角度的分类。
事件分析器是IDS的核心部分,故首先对检测方法进行分类。
其次从事件产生器的角度分类,将采集事件种类或采集事件的方法作为分类标准。
一、检测方法分类入侵检测的方法可大体分为两类:滥用检测(misuse detection)、异常检测(anomaly detection)。
在IDS中,任何一个事件都可能属于以下三种情况:➢已知入侵➢已知正常状态➢无法判定状态第三种事件可能是一种未知的入侵, 也可能是正常状态,但在现有的系统和技术下无法判定。
目前的检测方法都是对已知入侵和已知正常状态的识别,其中滥用检测识别已知入侵,但对于无法判定状态中的未知入侵将漏报(false negative),异常检测根据已知的正常状态将已知入侵、无法判定状态都当作异常,因此会产生误报(false positive)。
(一)滥用检测根据对已知入侵的知识,在输入事件中检测入侵。
这种方法不关心正常行为,只研究已知入侵,能较准确地检测已知入侵,但对未知入侵的检测能力有限。
目前大多数的商业IDS都使用此类方法。
滥用检测所采用的技术包括:(二)专家系统使用专家系统技术,用规则表示入侵。
通常使用的是forward-chaining、production-based等专家系统工具。
例如DARPA的Emerald项目,将P-BEST工具箱应用于入侵检测。
(三)状态转换模型将入侵表示为一系列系统状态转换,通过监视系统或网络状态的改变发现入侵。
典型系统是NetSTAT。
(四)协议分析与字符串匹配将已知攻击模式与输入事件进行匹配以判定入侵的发生,这种方法具有速度高、扩展性好的特点,但容易产生误报。
典型系统包括shadow、Bro和Snort等。
(五)异常检测与滥用检测相反,异常检测对系统正常状态进行研究,通过监测用户行为模式、主机系统调用特征、网络连接状态等,建立系统常态模型。
在运行中,将当前系统行为与常态模型进行比较,根据其与常态偏离的程度判定事件的性质。
这种方法很有可能检测到未知入侵与变种攻击,但现有系统通常都存在大量的误报。
未知入侵的检测是IDS中最具挑战性的问题,其难度比不正当行为检测要大。
异常检测通常使用统计学方法和机器学习方法。
(六)统计学方法使用统计分析方法建立系统常态模型。
统计的数据源包括:用户的击键特征、telnet 对话的平均长度等。
通过监测输入值与期望值的偏离程度判断事件的属性,Emerald和cmds都包括了这种方式。
(七)机器学习方法将机器学习领域的方法和工具如神经网络、数据挖掘、遗传算法、贝叶斯网络和人工免疫系统等应用于异常检测中。
这种方法也是通过建立常态模型进行异常识别。
每种方法都具有不同的适用范围和特色。
目前研究的热点之一是噪声数据学习。
(八)混合检测上述两类检测方法各有所长,滥用检测能够准确高效地发现已知攻击;异常检测能识别未知攻击。
目前任何一种系统都不能很好地完成全部入侵检测任务。
混合IDS中同时包含模式识别与异常识别系统,并且根据两种方法的特点对其进行分工,既能精确识别已知攻击,又能发现部分未知攻击,可减少误报和漏报。
Emerlad是一种典型的混合系统。
二、系统结构分类从IDS所监视的事件种类上可分为基于网络的IDS(Network-based IDS,NIDS)和基于主机的IDS。
按照IDS的响应方式可分为实时IDS和非实时IDS,按照采集事件的方式分为分布式IDS与集中式IDS。
基于主机的IDS数据源包括:系统调用序列,存储系统的活动记录,系统日志等。
由于基于主机的IDS对主机的信息有充分的掌握并且拥有对主机的较强的控制权,因此与网络入侵检测系统相比,其检测的准确性更高,误报率更低。
同时基于主机的IDS更难以欺骗,对攻击的响应也更有效:可切断入侵连接,杀死进程。
它的缺点是只能对一个主机进行保护,并对主机产生一定的负担,而且移植性差。
基于网络的IDS通过监视网络流量检测入侵活动,简称为网络入侵检测系统(NIDS)。
NIDS能对整个网络加以保护,其优点在于简便性和可移植性。
NIDS的使用不会对现有网络系统造成明显影响,并能应用于各种网络环境。
网络入侵检测系统由于只处理网络数据,对数据的语义掌握是不充分的,容易受到攻击和欺骗。
适应高速网及提高可扩展性是NIDS需要解决的问题。
以上两种IDS都不能单独完成有效的入侵检测,二者的结合能达到取长补短的效果。
目前一些商业IDS已经采用了这种方案,如RealSecurity,Axnet。
IDS的应用规模也是一个重要的参数。
现有的商业IDS的应用范围都是局域网。
随着网络入侵的发展,攻击已进化为从不同主机发起的协同攻击。
对这种攻击的检测是现有IDS所不能胜任的,需要依靠多点分布式网络入侵检测系统,通过联防来检测。
三、典型的入侵检测系统IDS的研究从上世纪80年代就已开始,第一个商业IDS也在1991年诞生。
目前各种IDS研究项目和商业产品的数量极为庞大,下面对具有代表性的入侵检测系统加以介绍,分为商业IDS、IDS研究项目和自由软件三个类别。
(一)开放源码的IDS项目:SnortSnort是一种运行于单机的基于滥用检测的网络入侵检测系统。
Snort通过libpcap 获取网络包,并进行协议分析。
它定义了一种简单灵活的网络入侵描述语言,对网络入侵进行描述 (入侵特征或入侵信号)。
Snort根据入侵描述对网络数据进行匹配和搜索,能够检测到多种网络攻击与侦察,包括:缓冲区溢出攻击,端口扫描,CGI攻击,SMB侦察等。
并提供了多种攻击响应方式。
对于最新的攻击方法,使用Snort的入侵描述语言能够快速方便地写出新攻击的描述,从而使Snort能够检测到这种攻击。
在Internet 上已建立了发布Snort入侵模式数据库的站点。
Snort是极具活力的自由软件,在世界各地的志愿者开发下,技术和功能在不断提高。
(二)商业产品国际市场上的主流商业IDS产品大部分为基于网络的,采用滥用检测方法的系统。
主要有:1、RealSecureRealSecure 由Internet Security Systems(ISS)开发,包括三种系统部件:网络入侵检测agent,主机入侵检测agent和管理控制台。