第3章 入侵检测系统模型
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3.2 信息收集
• 在IDS的消息描述方面最出名的是入侵检测工作组 IDWG提出的入侵检测交换格式IDMEF(Intrusion Detection Message Exchange Format)。它是一种基 于XML的网络入侵检测告警信息描述标准,它针对IDS而 设计,具有良好的开放性、可扩展性和商业互操作性。 IDMEF仅仅对网络安全告警信息和设备心跳信息进行了描 述,并且采用DTD (Document Type Definition)作为对 XML数据的约束。
3.2 信息收集
• 3.2.3 信息的标准化 • 不同的入侵检测产品(如Snort,Real Secure等)之间 或同一个入侵检测产品内部各个模块之间通常使用各自定 义的信息描述语言和格式,没有一个统一的标准接口,从 而使得它们之间不能很好地沟通与协作。目前,OWL (Web Ontology Language)已经逐渐成为语义信息描述 的事实标准,正在为越来越多的系统所应用。这里将介绍 入侵检测系统中一套完整的基于OWL的信息描述机制。
3.2 信息收集
• 3. 程序执行中的不期望行为 网络系统上的程序执行一般包括操作系统、网络服务、 用户起动的程序和特定目的的应用,例如数据库服务器。 每个在系统上执行的程序由一到。每个进程执行在具有不 同权限的环境中,这种环境控制着进程可访问的系统资源、 程序和数据文件等。一个进程的执行行为由它运行时执行 的操作来表现,操作执行的方式不同,它利用的系统资源 也就不同。操作包括计算、文件传输、设备和其它进程, 以及与网络间其它进程的通讯。
3.2 信息收集
• 当然,入侵检测很大程度上依赖于收集信息的可靠性 和正确性,因此,很有必要只利用所知道的真正的和精确 的软件来报告这些信息。因为黑客经常替换软件以搞混和 移走这些信息,例如替换被程序调用的子程序、库和其它 工具。黑客对系统的修改可能使系统功能失常并看起来跟 正常的一样,而实际上不是。例如,UNIX系统的PS指令 可以被替换为一个不显示侵入过程的指令,或者是编辑器 被替换成一个读取不同于指定文件的文件(黑客隐藏了初 试文件并用另一版本代替)。这需要保证用来检测网络系 统的软件的完整性,特别是入侵检测系统软件本身应具有 相当强的坚固性,防止被篡改而收集到错误的信息。
3.2 信息收集
• 3.2.3 信息的标准化 • 在RDF和OIL的基础上,DAML尝试将RDF和OIL的优点结 合起来产生了DAML+OIL。 • OWL是W3C在DAML + OIL 基础上近几年发展起来的。 它与DAML+OIL 的实质区别体现为OWL 通过选择Web 本体取消了有条件的数量限制并直接说明属性是对称的; 减少了一些不规则的DAML+OIL 结构抽象语法,特别是对 外层组件的约束和它们意义的差别;各种结构名称也有改 变。基于以上原因,这里选择了OWL作为IDS的信息描述 工具。
3.1 入侵检测系统模型概述
• 3. 用户自定义规则:用户可以根据漏洞扫描系统评估自己 的系统,根据服务器操作系统类型,所提供的服务以及根 据漏洞扫描结果制定属于自己的规则文件。这对管理员提 出了更高的要求。 • 4. 采用先进的协议分析+ 模式匹配(滥用检测和异常检测 结合使用) + 异常统计的检测分析方法。
3.1 入侵检测系统模型概述
美中不足的是, IDS 普遍存在误报问题,导致入侵检 测的实用性大打折扣,采用智能处理模块解决这个问题, 智能处理模块包括下面功能: • 1. 全面集成入侵检测技术,将多个代理传送到管理器的数 据整合起来,经过智能处理,将小比例的多个事件整合形 成一个放大的全面事件图。 • 2. 对于一个特定的漏洞和攻击方法, IDS 先分析系统是 否会因为这个缺陷而被入侵,然后再考Байду номын сангаас与入侵检测的关 联(报警)。
3.2 信息收集
• 3.2.2 信息源的获取 • 入侵检测利用的信息源一般来自以下四个方面: • 1. 系统和网络日志文件 黑客经常在系统日志文件中留下他们的踪迹,因此,充分利 用系统和网络日志文件信息是检测入侵的必要条件。日志中包 含发生在系统和网络上的不寻常和不期望活动的证据,这些证 据可以指出有人正在入侵或已成功入侵了系统。通过查看日志 文件,能够发现成功的入侵或入侵企图,并很快地启动相应的 应急响应程序。日志文件中记录了各种行为类型,每种类型又 包含不同的信息,例如记录“用户活动”类型的日志,就包含 登录、用户ID改变、用户对文件的访问、授权和认证信息等内 容。很显然地,对用户活动来讲,不正常的或不期望的行为就 是重复登录失败、登录到不期望的位置以及非授权的企图访问 重要文件等等。
3.1 入侵检测系统模型概述
IDS 发展到目前,按照不同的角度区分,已经出现了主 机基和网络基的入侵检测系统;基于模式匹配、异常行为、 协议分析等检测技术的系统。第四代入侵检测技术是主机基 + 网络基+ 安全管理+ 协议分析+ 模式匹配+异常统计, 它的优点在于入侵检测和多项技术协同工作,建立全局的主 动保障体系,误报率、漏报率、滥报率较低,效率高,可管 理性强,并实现了多级的分布式的检测管理,网络基和主机 基入侵检测,协议分析和模式匹配以及异常统计相结合,取 长补短,可以进行更有效的检测。
3.2 信息收集
• IDMEF数据模型是一种面向对象的入侵检测告警信息和 设备心跳信息描述模型。如图3.4所示,在IDMEFMessage根类中包含两个了类:Alert和HeartBeat。它 们和IDMEF-Message之间是继承关系,它继承了 IDMEF-Message的所有属性。Alert和HeartBeat分别用 于对安全告警信息和设备心跳信息进行描述。
3.2 信息收集
• 3.2.1 信息收集概述 数据收集机制在IDS中占据着举足轻重的位置。如果收 集的数据时延较大,检测就会失去作用;如果数据不完整, 系统的检测能力就会下降;如果由于错误或入侵者的行为 致使收集的数据不正确,IDS就会无法检测某些入侵,给 用户以安全的假象。 • 1.分布式与集中式数据收集机制 • (1) 分布式数据收集:检测系统收集的数据来自一些固定 位置而且与受监视的网元数量无关。 • (2) 集中式数据收集:检测系统收集的数据来自一些与受 监视的网元数量有一定比例关系的位置。
3.2 信息收集
• 4. 物理形式的入侵信息 • 这包括两个方面的内容,一是未授权的对网络硬件连接; 二是对物理资源的未授权访问。黑客会想方设法去突破网 络的周边防卫,如果他们能够在物理上访问内部网,就能 安装他们自己的设备和软件。依此,黑客就可以知道网上 的由用户加上去的不安全(未授权)设备,然后利用这些 设备访问网络。例如,用户在家里可能安装Modem以访问 远程办公室,与此同时黑客正在利用自动工具来识别在公 共电话线上的Modem,如果拨号访问流量经过了这些自动 工具,那么这一拨号访问就成为了威胁网络安全的后门。 黑客就会利用这个后门来访问内部网,从而越过了内部网 络原有的防护措施,然后捕获网络流量,进而攻击其它系 统,并偷取敏感的私有信息等等。
3.2 信息收集
• 3.2.3 信息的标准化 • RDF是一种简单的Ontology表示语言。但是RDF的缺点是 其表达能力差,例如,它没有变量,它只支持字符型,不 支持整型、实型等其它简单数据类型。它只有属性的 Domain和range约束,没有否定,没有传递属性 transitive、互反属性 inverse,不能表示等价性和不相 交性、没有类成员的充分必要条件,不能描述等价性等。 • OIL以RDF为起点,用更为丰富的Ontology建模原语对 RDF Scheme进行扩充。OIL的缺点是它不能表达类或属 性的等价性。
第3章 入侵检测系统模型
概
述
所有的入侵检测系统模型都是由三部分组 成的,它们是信息收集模块、信息分析模块和 告警与响应模块,如图3.1所示。本节来分别讲 述这三块的功能与作用。
概
述
3.1 入侵检测系统模型概述
入侵检测系统,顾名思义,便是对入侵行为的发觉。 它通过对计算机网络或计算机系统中的若干关键点收集信 息并对其进行分析,从中发现网络或系统中是否有违反安 全策略的行为和被攻击的迹象。
3.2 信息收集
• 3.2.3 信息的标准化 • 1. 相关研究 目前的知识描述语言有许多种,如XML,RDF,DAML, DAML+OIL和OWL等。XML是Web上数据交换的标准, 它可以表达任意结构的数据,但是它在表示数据的语义方 面不是很强。 • Ontology本体可以较为有效地解决信息之间的语义不 确定等问题。目前语义Web上的Ontology表示语言主要 有RDF、OIL (Ontology Interchange Language)、 DAML (Darpa Agent Markup Language)、DAML与 OIL结合起来而产生的DAML+OIL、OWL。
3.2 信息收集
• IDMEF
3.2 信息收集
• 4. IDS中基于OWL的安全消息通信机制 • 在图3.2基于OWL信息描述的IDS模型当中,多个感应 器可以和事件分析器之间可以采用基于OWL的消息机制进 行通信。考虑到感知器的异构性、通信的安全性、系统的 效率等问题,通信机制主要要求以下两点:(1) 将异构的 感知检测到的信息采用统一的数据格式,这里采用基于 OWL的信息描述。(2) 保证通信的安全性。其通信模型如 图3.5所示:
3.2 信息收集
• 2. 目录和文件中的不期望的改变 • 网络环境中的文件系统包含很多软件和数据文件,包含 重要信息的文件和私有数据文件经常是黑客修改或破坏的 目标。目录和文件中的不期望的改变(包括修改、创建和 删除),特别是那些正常情况下限制访问的,很可能就是 一种入侵产生的指示和信号。黑客经常替换、修改和破坏 他们获得访问权的系统上的文件,同时为了隐藏系统中他 们的表现及活动痕迹,都会尽力去替换系统程序或修改系 统日志文件。
3.1 入侵检测系统模型概述
• 图:
3.2 信息收集
入侵检测的第一步是信息收集,内容包括系统、网络、 数据及用户活动的状态和行为。而且,需要在计算机网络 系统中的若干不同关键点(不同网段和不同主机)收集信 息,这除了尽可能扩大检测范围的因素外,还有一个重要 的因素就是从一个源来的信息有可能看不出疑点,但从几 个源来的信息的不一致性却是可疑行为或入侵的最好标识。
3.2 信息收集
• 2. 基于OWL的信息描述解决方案 • 这里将采用OWL作为整个分布式IDS中信息描述的工具, 并以一个入侵检测实例为例说明方案的实现过程。如图3.3 所示为基于OWL信息描述的IDS模型。
3.2 信息收集
• 整个安全模型由安全管理平台,事件分析器,感应器和 数据源组成。由系统安全管理员制定安全策略,并通过安 全管理平台分发给各个事件分析器。数据源包括来自网络 和主机的各种信息。感应器可以是不同种类的分布式安全 部件代理,它们将收集到的安全信息传给事件分析器进行 安全分析。分析器再将分析后的结果通过网络安全管理平 台传输给安全管理员,管理员再对安全事件进行响应。
3.2 信息收集
• 3.基于主机的数据收集和基于网络的数据收集 • 基于主机的数据收集是从所监控的主机上获取的数据;基 于网络的数据收集是通过被监视网络中的数据流获得数据。 • 总体而言,基于主机的数据收集要优于基于网络的数据收 集。
3.2 信息收集
4. 外部探测器和内部探测器 • (1) 外部探测器是负责监测主机中某个组件(硬件或软件) 的软件。它将向IDS提供所需的数据,这些操作是通过独 立于系统的其他代码来实施的。 • (2) 内部探测器是负责监测主机中某个组件(硬件或软件) 的软件。它将向IDS提供所需的数据,这些操作是通过该 组件的代码来实施的。 • 外部探测器和内部探测器在用于数据收集时各有利弊, 可以综合使用。由于内部探测器实现起来的难度较大,所 以在现有的IDS产品中,只有很少的一部分采用它。
3.2 信息收集
• 2.直接监控和间接监控 • 如果IDS从它所监控的对象处直接获得数据,则称为直接 监控;反之,如果IDS依赖一个单独的进程或工具获得数 据,则称为间接监控。 • 就检测入侵行为而言,直接监控要优于间接监控,由于直 接监控操作的复杂性,目前的IDS产品中只有不足20%使 用了直接监控机制。