入侵检测与安全审计
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
对试图进入该主机的数据流进行检测,分析确定是 否有入侵行为。
❖ 主机文件检测
检测主机上的各种相关文件,发现入侵行为或入侵 企图。
优点
❖ 检测准确度较高 ❖ 可以检测到没有明
显行为特征的入侵
❖ 成本较低 ❖ 不会因网络流量影
响性能
❖ 适合加密和交换环 境
缺点
❖ 实时性较差 ❖ 无法检测数据包的
全部
❖ 检测效果取决于日 志系统
第四章 入侵检测与安全审计
主要内容
入侵检测系统基础 入侵检测分析方法 入侵检测系统实例 安全审计
概念 功能 I基DS于的异基常本的结检构测 技 术分基分类于布误式用入的侵检检测测系 技统术 典型的入侵检测系 统——snort IDS的应用
1.1 入侵检测基础
Internet
× 路由器 防火墙
2
( n 1)
其中均值取μ=M/n,如果S值超出了μ±dσ的范围就认为异常。
2.1.2 预测模式生成法
利用动态的规则集来检测入侵,这些规则是由 系统的归纳引擎,根据已发生的事件的情况来 预测将来发生的事件的概率来产生的,归纳引 擎为每一种事件设置可能发生的概率。 归纳出来的规律一般为:
E1,…,Ek: -(Ek+1,P(Ek+1)),…,(En,P(En)) 例如: 规则A,B: -(C,50%),(D, 30%),(E,15%),(F,5%), 如果AB已经发生,而F多次发生,远远大于5%, 或者发生了事件G,都认为是异常行为。
预测模式生成法
利用动态的规则集来检测入侵。
神经网络方法
将神经网络用于对系统和用户行为的学习。
2.1.1 基于统计学的异常检测系统
步骤: Step1:收集样本
对系统和用户的行为按照一定的时间间隔进行采样, 样本的内容包括每个会话的登录、退出情况,CPU 和内存的占用情况,硬盘等存储介质的使用情况等。
❖ 占用主机资源 ❖ 隐蔽性较差
基于网络的入侵检测系统
作为一个独立的个体放置在被保护的网络上,使用原 始的网络分组数据包作为进行攻击分析的数据源。
基于网络的入侵检测系统
网络数据 原始网 收集器 络数据
网络数据 相关网 过滤器 络数据
网络数据 检测结果 分析器
安全 管理 人员
入侵检测系统
主机A
主机B
Step2:分析样本
对每次采集到的样本进行计算,得出一系列的参数 变量来对这些行为进行描述,从而产生行为轮廓, 将每次采样后得到的行为轮廓与以后轮廓进行合并, 最终得到系统和用户的正常行为轮廓。
Step3:检查入侵行为
通过将当前采集到的行为轮廓与正常行为轮廓相比较,来检测 是否存在网络入侵行为。
百度文库
算法:
在IDS中的应用
在IDS中,系统把用户当前输入的命令和用户已经 执行的W个命令传递给神经网络,如果神经网络通 过预测得到的命令与该用户随后输入的命令不一致, 则在某种程度上表明用户的行为与其轮廓框架产生 了偏离,即说明用户行为异常。
1.2 IDS分类
基于主机的入侵检测系统
用于保护单台主机不受网络攻击行为的侵害, 需要安装在被保护的主机上。
基于主机的入侵检测系统
审计数据 原始审 收集器 计数据
审计数据 相关审 过滤器 计数据
审计数据 检测结果 分析器
安全 管理 人员
根据检测对象的不同,基于主机的IDS可分为: ❖ 网络连接检测
优点
缺点
❖ 能检测出传统方法
❖ 对于不在规则库中
难以检测的异常活动; 的入侵将会漏判。
❖ 具有很强的适应变 化的能力;
❖ 容易检测到企图在 学习阶段训练系统中 的入侵者;
❖ 实时性高。
2.1.3 神经网络方法
神经网络
是一种算法,通过学习已有的输入/输出信息对,抽 象出其内在的关系,然后通过归纳得到新的输入/输 出对。
Honeypot模型
虚拟网络主机
可疑数据流
高层交换
Internet
防火墙
内部网
关键 应用系统
2.1 基于异常的入侵检测
也称为基于行为的检测技术,在总结出的正常 行为规律基础上,检查入侵和滥用行为特征与 其之间的差异,以此来判断是否有入侵行为。 基于统计学方法的异常检测系统
使用统计学的方法来学习和检测用户的行为。
入侵检测系统(IDS)
为完成入侵检测任务而设计的计算机系统称为入侵 检测系统(Intrusion Detection System, IDS),这 是防火墙之后的第二道安全闸门。
功能
❖ 发现和制止来自系统内部/外部的攻击,迅速采 取保护措施
❖ 记录入侵行为的证据,动态调整安全策略
特点
❖ 经济性:IDS不能妨碍系统的正常运行。 ❖ 时效性:及时地发现入侵行为。 ❖ 安全性:保证自身安全。 ❖ 可扩展性:机制与数据分离;体系结构的可扩展
主机C
主机D
优点
❖ 可以提供实时的网
络行为检测
❖ 可以同时保护多台 网络主机
❖ 具有良好的隐蔽性 ❖ 有效保护入侵证据 ❖ 不影响被保护主机
的性能
缺点
❖ 防止入侵欺骗的能
力较差
❖ 在交换式网络环境 中难以配置
❖ 检测性能受硬件条 件限制
❖ 不能处理加密后的 数据
1.4 蜜罐技术
原理
蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟 一个或多个易攻击的主机,给攻击者提供一个容易 攻击的目标。 ❖ 用来观测黑客如何探测并最终入侵系统; ❖ 用于拖延攻击者对真正目标的攻击。
内部网络 SSN网络
邮件服务器 WWW服务器 FTP服务器
考虑: 如何防火墙被攻破了,该怎么来保护系统的安全?
入侵检测(ID)
是对系统的运行状态进行监视,发现各种攻击企图、 攻击行为或者攻击结果,以保证系统资源的机密性、 完整性和可用性。
通过对数据包的分析,从数据流中过滤出可疑数据 包,通过与已知的入侵方式进行比较,确定入侵是 否发生以及入侵的类型并进行报警。
性。
工作流程
数
数
结
数据
据 提
数据
据 分
事件
果 处
事件
取
析
理
❖数据提取模块
为系统提供数据,经过简单的处理后提交给数据分 析模块。
❖数据分析模块
两方面功能:一是分析数据提取模块搜集到的数据; 二是对数据库保存的数据做定期的统计分析。
❖结果处理模块
作用在于告警与反应。
❖事件数据库
记录分析结果,并记录下所有的时间,用于以后的 分析与检查。
M1,M2,…,Mn表示行为轮廓中的特征变量,S1,S2,…,Sn分别表示
各个变量的异常性测量值,Si的值越大就表示异常性越大。ai
表示变量Mi的权重值。将各个异常性测量值的平均加权求和得
出特征值 M
a1S12
a2S22
...
an
S
2 n
(ai
0,1 i
n)
然后选取阈值,例如选择标准偏差
M
❖ 主机文件检测
检测主机上的各种相关文件,发现入侵行为或入侵 企图。
优点
❖ 检测准确度较高 ❖ 可以检测到没有明
显行为特征的入侵
❖ 成本较低 ❖ 不会因网络流量影
响性能
❖ 适合加密和交换环 境
缺点
❖ 实时性较差 ❖ 无法检测数据包的
全部
❖ 检测效果取决于日 志系统
第四章 入侵检测与安全审计
主要内容
入侵检测系统基础 入侵检测分析方法 入侵检测系统实例 安全审计
概念 功能 I基DS于的异基常本的结检构测 技 术分基分类于布误式用入的侵检检测测系 技统术 典型的入侵检测系 统——snort IDS的应用
1.1 入侵检测基础
Internet
× 路由器 防火墙
2
( n 1)
其中均值取μ=M/n,如果S值超出了μ±dσ的范围就认为异常。
2.1.2 预测模式生成法
利用动态的规则集来检测入侵,这些规则是由 系统的归纳引擎,根据已发生的事件的情况来 预测将来发生的事件的概率来产生的,归纳引 擎为每一种事件设置可能发生的概率。 归纳出来的规律一般为:
E1,…,Ek: -(Ek+1,P(Ek+1)),…,(En,P(En)) 例如: 规则A,B: -(C,50%),(D, 30%),(E,15%),(F,5%), 如果AB已经发生,而F多次发生,远远大于5%, 或者发生了事件G,都认为是异常行为。
预测模式生成法
利用动态的规则集来检测入侵。
神经网络方法
将神经网络用于对系统和用户行为的学习。
2.1.1 基于统计学的异常检测系统
步骤: Step1:收集样本
对系统和用户的行为按照一定的时间间隔进行采样, 样本的内容包括每个会话的登录、退出情况,CPU 和内存的占用情况,硬盘等存储介质的使用情况等。
❖ 占用主机资源 ❖ 隐蔽性较差
基于网络的入侵检测系统
作为一个独立的个体放置在被保护的网络上,使用原 始的网络分组数据包作为进行攻击分析的数据源。
基于网络的入侵检测系统
网络数据 原始网 收集器 络数据
网络数据 相关网 过滤器 络数据
网络数据 检测结果 分析器
安全 管理 人员
入侵检测系统
主机A
主机B
Step2:分析样本
对每次采集到的样本进行计算,得出一系列的参数 变量来对这些行为进行描述,从而产生行为轮廓, 将每次采样后得到的行为轮廓与以后轮廓进行合并, 最终得到系统和用户的正常行为轮廓。
Step3:检查入侵行为
通过将当前采集到的行为轮廓与正常行为轮廓相比较,来检测 是否存在网络入侵行为。
百度文库
算法:
在IDS中的应用
在IDS中,系统把用户当前输入的命令和用户已经 执行的W个命令传递给神经网络,如果神经网络通 过预测得到的命令与该用户随后输入的命令不一致, 则在某种程度上表明用户的行为与其轮廓框架产生 了偏离,即说明用户行为异常。
1.2 IDS分类
基于主机的入侵检测系统
用于保护单台主机不受网络攻击行为的侵害, 需要安装在被保护的主机上。
基于主机的入侵检测系统
审计数据 原始审 收集器 计数据
审计数据 相关审 过滤器 计数据
审计数据 检测结果 分析器
安全 管理 人员
根据检测对象的不同,基于主机的IDS可分为: ❖ 网络连接检测
优点
缺点
❖ 能检测出传统方法
❖ 对于不在规则库中
难以检测的异常活动; 的入侵将会漏判。
❖ 具有很强的适应变 化的能力;
❖ 容易检测到企图在 学习阶段训练系统中 的入侵者;
❖ 实时性高。
2.1.3 神经网络方法
神经网络
是一种算法,通过学习已有的输入/输出信息对,抽 象出其内在的关系,然后通过归纳得到新的输入/输 出对。
Honeypot模型
虚拟网络主机
可疑数据流
高层交换
Internet
防火墙
内部网
关键 应用系统
2.1 基于异常的入侵检测
也称为基于行为的检测技术,在总结出的正常 行为规律基础上,检查入侵和滥用行为特征与 其之间的差异,以此来判断是否有入侵行为。 基于统计学方法的异常检测系统
使用统计学的方法来学习和检测用户的行为。
入侵检测系统(IDS)
为完成入侵检测任务而设计的计算机系统称为入侵 检测系统(Intrusion Detection System, IDS),这 是防火墙之后的第二道安全闸门。
功能
❖ 发现和制止来自系统内部/外部的攻击,迅速采 取保护措施
❖ 记录入侵行为的证据,动态调整安全策略
特点
❖ 经济性:IDS不能妨碍系统的正常运行。 ❖ 时效性:及时地发现入侵行为。 ❖ 安全性:保证自身安全。 ❖ 可扩展性:机制与数据分离;体系结构的可扩展
主机C
主机D
优点
❖ 可以提供实时的网
络行为检测
❖ 可以同时保护多台 网络主机
❖ 具有良好的隐蔽性 ❖ 有效保护入侵证据 ❖ 不影响被保护主机
的性能
缺点
❖ 防止入侵欺骗的能
力较差
❖ 在交换式网络环境 中难以配置
❖ 检测性能受硬件条 件限制
❖ 不能处理加密后的 数据
1.4 蜜罐技术
原理
蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟 一个或多个易攻击的主机,给攻击者提供一个容易 攻击的目标。 ❖ 用来观测黑客如何探测并最终入侵系统; ❖ 用于拖延攻击者对真正目标的攻击。
内部网络 SSN网络
邮件服务器 WWW服务器 FTP服务器
考虑: 如何防火墙被攻破了,该怎么来保护系统的安全?
入侵检测(ID)
是对系统的运行状态进行监视,发现各种攻击企图、 攻击行为或者攻击结果,以保证系统资源的机密性、 完整性和可用性。
通过对数据包的分析,从数据流中过滤出可疑数据 包,通过与已知的入侵方式进行比较,确定入侵是 否发生以及入侵的类型并进行报警。
性。
工作流程
数
数
结
数据
据 提
数据
据 分
事件
果 处
事件
取
析
理
❖数据提取模块
为系统提供数据,经过简单的处理后提交给数据分 析模块。
❖数据分析模块
两方面功能:一是分析数据提取模块搜集到的数据; 二是对数据库保存的数据做定期的统计分析。
❖结果处理模块
作用在于告警与反应。
❖事件数据库
记录分析结果,并记录下所有的时间,用于以后的 分析与检查。
M1,M2,…,Mn表示行为轮廓中的特征变量,S1,S2,…,Sn分别表示
各个变量的异常性测量值,Si的值越大就表示异常性越大。ai
表示变量Mi的权重值。将各个异常性测量值的平均加权求和得
出特征值 M
a1S12
a2S22
...
an
S
2 n
(ai
0,1 i
n)
然后选取阈值,例如选择标准偏差
M