入侵检测系统IDS

CIDF
(The Common Intrusion Detection Framework)
http://www.gidos.org/drafts
CIDF
CIDF早期由美国国防部高级研究计划局赞助研究, CIDF早期由美国国防部高级研究计划局赞助研究,现在由 早期由美国国防部高级研究计划局赞助研究 CIDF工作组负责,这是一个开放组织.实际上CIDF已经成 CIDF工作组负责,这是一个开放组织.实际上CIDF已经成 工作组负责 CIDF 为一个开放的共享的资源 CIDF是一套规范 它定义了IDS 是一套规范, IDS表达检测信息的标准语言以 CIDF是一套规范,它定义了IDS表达检测信息的标准语言以 IDS组件之间的通信协议 及IDS组件之间的通信协议 符合CIDF规范的IDS可以共享检测信息,相互通信, CIDF规范的IDS可以共享检测信息 符合CIDF规范的IDS可以共享检测信息,相互通信,协同工 作,还可以与其它系统配合实施统一的配置响应和恢复策 略 CIDF的主要作用在于集成各种IDS,使之协同工作, 的主要作用在于集成各种IDS CIDF的主要作用在于集成各种IDS,使之协同工作,实现各 IDS之间的组件重用 所以CIDF也是构建分布式IDS 之间的组件重用, CIDF也是构建分布式IDS的基础 IDS之间的组件重用,所以CIDF也是构建分布式IDS的基础
为什么需要IDS 为什么需要
入侵很容易
入侵教程随处可见 各种工具唾手可得
网络安全工具的特点
优点 防火墙 IDS Scanner 可简化网络管理, 可简化网络管理,产品成熟 实时监控网络安全状态 局限性 无法处理网络内部的攻击 误警率高,缓慢攻击, 误警率高,缓慢攻击,新 的攻击模式
完全主动式安全工具, 完全主动式安全工具,能够了 并不能真正了解网络上即 解网络现有的安全水平, 解网络现有的安全水平,简单 时发生的攻击 可操作, 可操作,帮助系统管理员和安 全服务人员解决实际问题, 全服务人员解决实际问题, 保护公网上的内部通信 针对文件与邮件, 针对文件与邮件,产品成熟 可视为防火墙上的一个漏 洞 功能单一
VPN 防病毒
入侵检测Intrusion 入侵检测Intrusion Detection
传统的信息安全方法采用严格的访问控制和数 据加密策略来防护,但在复杂系统中, 据加密策略来防护,但在复杂系统中,这些策 略是不充分的. 略是不充分的.它们是系统安全不可缺的部分 但不能完全保证系统的安全 入侵检测( 入侵检测(Intrusion Detection)是对入侵行 ) 为的发觉. 为的发觉.它通过从计算机网络或计算机系统 的关键点收集信息并进行分析,从中发现网络 的关键点收集信息并进行分析, 收集信息并进行分析 或系统中是否有违反安全策略的行为和被攻击 的迹象
系统目录和文件的异常变化
网络环境中的文件系统包含很多软件和数据文件, 网络环境中的文件系统包含很多软件和数据文件,包 含重要信息的文件和私有数据文件经常是黑客修改或 破坏的目标 目录和文件中的不期望的改变(包括修改, 目录和文件中的不期望的改变(包括修改,创建和删 ),特别是那些正常情况下限制访问的 特别是那些正常情况下限制访问的, 除),特别是那些正常情况下限制访问的,很可能就 是一种入侵产生的指示和信号 入侵者经常替换, 入侵者经常替换,修改和破坏他们获得访问权的系统 上的文件, 上的文件,同时为了隐藏系统中他们的表现及活动痕 迹,都会尽力去替换系统程序或修改系统日志文件
制订响应策略应考虑的要素
系统用户:入侵检测系统用户可以分为网络安全专家 安全专家或 系统用户:入侵检测系统用户可以分为网络安全专家或 管理员,系统管理员,安全调查员. 管理员,系统管理员,安全调查员.这三类人员对系统 的使用目的,方式和熟悉程度不同,必须区别对待 的使用目的,方式和熟悉程度不同, 操作运行环境: 操作运行环境:入侵检测系统提供的信息形式依赖其运 行环境 系统目标:为用户提供关键数据和业务的系统, 系统目标:为用户提供关键数据和业务的系统,需要部 分地提供主动响应机制 规则或法令的需求:在某些军事环境里, 规则或法令的需求:在某些军事环境里,允许采取主动 防御甚至攻击技术来对付入侵行为
1. 2.
概述 入侵检测方法
3. 入侵检测系统的设计原理 4. 入侵检测响应机制 入侵检测标准化工作 6. 7. 其它 展望
IDS标准化要求 标准化要求
随着网络规模的扩大,网络入侵的方式, 随着网络规模的扩大,网络入侵的方式,类 特征各不相同, 型,特征各不相同,入侵的活动变得复杂而 又难以捉摸 网络的安全要求IDS之间能够相互协作,能 之间能够相互协作 网络的安全要求 之间能够相互协作, 够与访问控制,应急, 够与访问控制,应急,入侵追踪等系统交换 信息, 信息,形成一个整体有效的安全保障系统 需要一个标准来加以指导, 需要一个标准来加以指导,系统之间要有一 个约定
误报( 误报 false positive):如果系统错误地将异 如果系统错误地将异 常活动定义为入侵 漏报( 漏报 false negative):如果系统未能检测出 如果系统未能检测出 真正的入侵行为
入侵检测系统的分类(1) 入侵检测系统的分类( )
按照分析方法(检测方法) 按照分析方法(检测方法) 异常检测模型( 异常检测模型(Anomaly Detection ):首先总 首先总 结正常操作应该具有的特征(用户轮廓), ),当用 结正常操作应该具有的特征(用户轮廓),当用 户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型( 误用检测模型(Misuse Detection):收集非正 : 常操作的行为特征,建立相关的特征库, 常操作的行为特征,建立相关的特征库,当监测 的用户或系统行为与库中的记录相匹配时, 的用户或系统行为与库中的记录相匹配时,系统 就认为这种行为是入侵
统计分析
统计分析方法首先给系统对象(如用户,文件, 统计分析方法首先给系统对象(如用户,文件,目录 和设备等)创建一个统计描述, 和设备等)创建一个统计描述,统计正常使用时的一 些测量属性(如访问次数,操作失败次数和延时等) 些测量属性(如访问次数,操作失败次数和延时等) 测量属性的平均值和偏差被用来与网络, 测量属性的平均值和偏差被用来与网络,系统的行为 进行比较,任何观察值在正常值范围之外时, 进行比较,任何观察值在正常值范围之外时,就认为 有入侵发生
信息收集
入侵检测的效果很大程度上依赖于收集信息的 可靠性和正确性 要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当强的 坚固性, 坚固性,防止被篡改而收集到错误的信息
信息收集的来源
系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为
系统或网络的日志文件
攻击者常在系统日志文件中留下他们的踪迹,因此, 攻击者常在系统日志文件中留下他们的踪迹,因此, 充分利用系统和网络日志文件信息是检测入侵的必要 条件 日志文件中记录了各种行为类型, 日志文件中记录了各种行为类型,每种类型又包含不 同的信息,例如记录"用户活动"类型的日志, 同的信息,例如记录"用户活动"类型的日志,就包 含登录,用户ID改变 用户对文件的访问, 改变, 含登录,用户 改变,用户对文件的访问,授权和认 证信息等内容 显然,对用户活动来讲, 显然,对用户活动来讲,不正常的或不期望的行为就 是:重复登录失败,登录到不期望的位置以及非授权的 重复登录失败, 重复登录失败 企图访问重要文件等等
完整性分析
完整性分析主要关注某个文件或对象是否被更改 完整性分析主要关注某个文件或对象是否被更改
包括文件和目录的内容及属性 在发现被更改的,被安装木马的应用程序方面特别有效 在发现被更改的,
响应部件
响应动作
简单报警 切断连接 封锁用户 改变文件属性 最强烈反应:回击攻击者
入侵检测系统性能关键参数
响应策略
弹出窗口报警 E-mail通知 切断TCP连接 执行自定义程序 与其他安全产品交互
Firewall SNMP Trap
自动响应
压制调速 1, 撤消连接 2, 回避 3, 隔离 SYN/ACK RESETs
蜜罐
一个高级的网络节点在使用" 压制调速" 技术的情况 一个高级的网络节点在使用"压制调速" 一个高级的网络节点在使用 可以采用路由器把攻击者引导到一个经过特殊装备 下,可以采用路由器把攻击者引导到一个经过特殊装备 的系统上, 的系统上,这种系统被成为蜜罐 蜜罐是一种欺骗手段, 蜜罐是一种欺骗手段,它可以用于错误地诱导攻击 也可以用于收集攻击信息, 者,也可以用于收集攻击信息,以改进防御能力 蜜罐能采集的信息量由自身能提供的手段以及攻击 行为数量决定
入侵检测系统的分类
主机IDS:
主机入侵检测系统( HIDS) 主机入侵检测系统 ( HIDS ) 是一种用于监控单个主机 上的活动的软件应用. 上的活动的软件应用.监控方法包括验证操作系统与应 用调用及检查日志文件,文件系统信息与网络连接. 用调用及检查日志文件,文件系统信息与网络连接.
网络IDS:
IDS存在与发展的必然性 存在与发展的必然性
一,网络攻击造成的破坏性和损失日益严重 二,网络安全威胁日益增长 三,单纯的防火墙无法防范复杂多变的攻击
IDS的作用
为什么需要IDS 为什么需要
单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
为什么需要IDS 为什么需要
入侵检测的定义
对系统的运行状态进行监视, 对系统的运行状态进行监视,发现各种攻 击企图,攻击行为或者攻击结果, 击企图,攻击行为或者攻击结果,以保证 系统资源的机密性, 系统资源的机密性,完整性和可用性 入侵检测系统: 入侵检测系统:进行入侵检测的软件与硬 件的组合 (IDS : Intrusion Detection System)
侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少
主机IDS 主机
视野集中 易于用户自定义 保护更加周密 对网络流量不敏感
1. 2.
概述 入侵检测方法 入侵检测系统的设计原理
4. 5. 6. 7.
入侵检测响应机制 入侵检测标准化工作 其它 展望
1. 2.
概述 入侵检测方法
3. 入侵检测系统的设计原理 入侵检测响应机制 5. 6. 7. 入侵检测标准化工作 其它 展望
入侵检测系统
Intrusion Detection System (IDS) 2007
1. 2. 3. 4. 5. 6. 7.
概述 入侵检测方法 入侵ቤተ መጻሕፍቲ ባይዱ测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 snort分析 分析 展望
概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望
关于防火墙
网络边界的设备, 网络边界的设备,只能抵挡外部来的入侵行 为 自身存在弱点, 自身存在弱点,也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护, 即使透过防火墙的保护,合法的使用者仍会 非法地使用系统, 非法地使用系统,甚至提升自己的权限 仅能拒绝非法的连接请求, 仅能拒绝非法的连接请求,但是对于入侵者 的攻击行为仍一无所知
IDS基本结构 基本结构
入侵检测系统包括三个功能部件 (1)信息收集 (2)分析引擎 (3)响应部件
信息搜集
信息收集
入侵检测的第一步是信息收集,收集内容包括系统, 入侵检测的第一步是信息收集,收集内容包括系统, 网络, 网络,数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点(不同 需要在计算机网络系统中的若干不同关键点( 网段和不同主机) 网段和不同主机)收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点
分析引擎
分析引擎
模式匹配 统计分析 完整性分析,往往用于事后分析 完整性分析,
模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系 统误用模式数据库进行比较, 模式数据库进行比较 统误用模式数据库进行比较,从而发现违背安全策略 的行为 一般来讲,一种攻击模式可以用一个过程( 一般来讲,一种攻击模式可以用一个过程(如执行一 条指令)或一个输出(如获得权限)来表示. 条指令)或一个输出(如获得权限)来表示.该过程 可以很简单( 可以很简单(如通过字符串匹配以寻找一个简单的条 目或指令),也可以很复杂( ),也可以很复杂 目或指令),也可以很复杂(如利用正规的数学表达 式来表示安全状态的变化) 式来表示安全状态的变化)
网络IDS(NIDS)通常以非破坏方式使用.这种 ( 网络 )通常以非破坏方式使用. 设备能够捕获LAN区域中的信息流并试着将实时信 设备能够捕获 区域中的信息流并试着将实时信 息流与已知的攻击签名进行对照. 息流与已知的攻击签名进行对照. 混合型的
两类IDS监测软件 两类 监测软件
网络IDS 网络