第10讲 入侵检测系统
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1. Snort.是一个免费,开放源代码的基于网络的入侵检测系统, 它具有很好的配置性和可移植性。除此之外,它还可以用来截获 网络中的数据包并记录数据包日志。(主要采用的是模式匹配方 法) http://www.Snort.org 2. SWATCH. 用于实时监视日志的PERL程序。SWATCH利用指定的触 发器监视日志记录,当日志记录符合触发器条件时,SWATCH会按 预先定义好的方式通知系统管理员。 ftp://ftp.stanford.edu/general/security-tools/swatch 3. Tripware. Tripware是一个文件系统检查程序,主要检查文件 系统的使用和修改情况,以协助管理员和用户检测特定的文件变 化。http://www.tripware.com
入侵检测系统
(Intrusion Detection System)
入侵检测
入侵检测,顾名思义,是指对入侵行为 的发觉。它通过在计算机网络或计算机 系统中的若干关键点收集信息并对收集 到的信息进行分析,从而判断网络或系 统中是否有违反安全策略的行为和被攻 击的迹象。
入侵检测系统
入侵检测系统(Intrusion Detection System),是完成入侵检测功能的软件、 硬件及其组合它试图检测、识别和隔离 “入侵”企图或计算机的不恰当未授权使 用。
国内厂家的一些产品
国内的入侵检测系统,往往还不够 成熟,产品的漏报率和误报率还比较 高。产品所采用的检测技术也基本上是 传统的技术,有待于更新换代。有一些 产品是在Snort的基础上开发的,技术 局限性比较大。总之,要想给用户提供 性能优越、比较满意的IDS产品,国内 的厂商还有很多工作要做。
免费IDS产品介绍
入侵检测作为安全技术主要任务
Ø Ø Ø Ø 识别入侵者 识别入侵行为 检测和监视已成功的安全突破 为对抗措施及时提供重要信息
IDS能做什么?
监控、分析用户和系统的活动 发现入侵企图或异常现象 审计系统的配置和弱点 评估关键系统和数据文件的完整性 对异常活动的统计分析 识别攻击的活动模式 实时报警和主动响应
入侵检测标准研究的意义
当面对入侵活动越来越广泛、并且许 多攻击是经过长时期准备、通过网上协作 开展进行时,入侵检测系统和它的组件之 间共享这种类型攻击信息十分重要。共享 让系统之间对可能即将来临的攻击发出警 报。主要的意义在于:共享攻击特征数 据,安全控制系统之间相互协作有利于产 品评估。
入侵检测系统需要标准化
异常入侵要解决的问题
构造异常活动集并从中发现入侵性 活动子集。异常入侵检测方法依赖于 异常模型的建立,不同模型就构成不 同的检测方法。异常检测通过观测到 的一组测量值偏离度来预测用户行为 的变化,然后作出决策判断的检测技 术。
异常检测的实现技术和研究重点
实现技术
统计 神经网络
研究重点
如何定义、描述和获取系统的行为知识 如何提高可信度、检测率,降低报警的虚警率
检测器放在主要的网络中枢
监控大量的网络数据,可提高检测黑 客攻击的可能性 可通过授权用户的权利边界来发现未 授权用户的行为
放在安全级别高的子网
对非常重要的系统和资源的入侵检测
检测
报警
接收数据 (attack)被 攻击 110010101 100010101 000010101
重组 000010101 100010101 110010101
1.
国内厂家的一些产品
1.启明星辰信息技术有限公司。天阗入侵检测系统
http://www.venustech.com.cn/
2.中联绿盟信息技术(北京)有限公司。“冰之眼”网络入侵侦测系统. http://www.nsfocus.com 3.北京网警创新信息安全技术有限公司。网络测探神(主机、局域、广 域型).http://www.netcop.com.cn/ 4.北京海信数码科技有限公司。“眼镜蛇”入侵检测系统 http://www.hisense.com.cn 5.成都三零盛安信息系统有限公司。鹰眼系列入侵检测及安全审计产 品.http://www.30san.com 6.北京瑞星科技股份有限公司。RIDS-100入侵检测系统. http://www.rising.com.cn 7. 安 氏 互 联 网 安 全 系 统 ( 中 国 ) 有 限 公 司 。 领 信 入 侵 检 测 系 统 LinkTrust™ IDS. http://bj.is-one.net/ 8.北京赛门铁克信息技术有限公司。NetProwler、Intruder Alert http://www.symantec.com/region/cn/
目前存在的入侵检测系统标准草案
互联网工程任务组(IETF)的入侵检 测工作组(IDWG)的数据交换标准; 美国国防高级研究计划署(DARPA) 的通用入侵检测框架(CIDF),最早 由加州大学戴维斯分校安全实验室主 持起草工作。
北京邮电大学信息安全中 心承担的国家”863”项目也 进行了入侵检测的标准研 究.
为什么需要IDS?
入侵很容易
入侵教程随处可见 各种工具唾手可得
防火墙不能保证绝对的安全
网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁,入侵检测系统是监视器
IDS的优点
提高信息安全构造的其他部分的完整性 提高系统的监控能力 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正 识别特殊攻击类型,并向管理人员发出警报
算法简单 系统开销小 准确率高 效率高 举例,敲门式攻击
误用检百度文库的的缺点
被动
只能检测出已知攻击 新类型的攻击会对系统造成很大的威胁
模式库的建立和维护难
模式库要不断更新 知识依赖于
硬件平台 操作系统 系统中运行的应用程序
入侵检测系统构件
入侵检测的过程
信息收集
包括系统、网络、数据及用户活动的状态和行为。
异常入侵检测的主要前提是入侵活动 作为异常活动的子集。考虑这种情况,若外 部人闯入计算机系统,尽管没有危及用户资 源使用的倾向和企图,可是这存在一种入侵 的可能性,还是将他的行为当作异常处理。 入侵性活动常常是由单个活动组合起来执 行,单个活动却与异常性独立无关。异常活 动集与入侵活动集之间的关系如图
IDS的缺点
不能弥补差的认证机制 需要过多的人为干预 不知道安全策略的内容 不能弥补网络协议上的弱点 不能分析一个堵塞的网络 不能分析加密的数据
入侵检测的发展历史(一)
1980年,James Anderson最早提出入侵检测概念 1987年,D.E.Denning首次给出了一个入侵检 测的抽象模型,并将入侵检测作为一种新的安全 防御措施提出。 1988年,Morris蠕虫事件直接刺激了IDS的研究 1988年,创建了基于主机的系统; 有:IDES,Haystack等等 1989年,提出基于网络的IDS系统; 有:NSM,NADIR,DIDS等等
检测器部署示意图
署 三
Internet 部署一
部
部 署 二
部 四 署
检测器放在边界防火墙之内
放置于防火墙的DMZ区域
可以查看受保护区域主机被攻击状态 可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点
检测器放在边界防火墙之外
放置于路由器和边界防火墙之间
可以审计所有来自Internet上面对保护网 络的攻击数目 可以审计所有来自Internet上面对保护网 络的攻击类型
攻击
识别 出攻 击行 为
IDS
发送通知报 文
受保护网络
阻断连接 或者报警 等
发送 响应 报文
验证报文并 采取措施
Internet
案例
例如“旋转门柄”攻击, 入侵者企图登录到网络 主机, 他对每台主机只试用一次用户ID和口令, 并不进行暴力口令猜测, 如果不成功, 便转向其 它主机. 对于这种攻击方式, 防火墙系统无法拒 绝, 这就需要入侵检测系统.
现有的入侵检测系统限制了攻击的检测能力。因为 入侵检测系统的内部各部件缺乏有效的信息共享和 协同机制,某些入侵活动(比如协同攻击)靠单一 IDS不能检测出来; 很难建立面向大型网络的安全预警系统。因为入侵 检测系统之间基本无法协同,甚至交换信息都很难 实现; 网络安全的要求。网络安全要求IDS能够与访问控 制、应急响应、入侵追踪等系统交换信息,相互协 作,形成一个整体有效的安全保障系统;
攻击特征
(attack) 分片、乱序 (tatkca) 000010101 100010101 110010101
攻击
Internet
入侵检测只是仅仅试图发现计算 机网络中的安全问题,要解决网络 安全的问题还需要其它的网络安全 技术。
与防火墙联动
发起攻击 Host A Host B Host C Host D
入侵行为(入侵活动)
异常行为(异常活动)
入侵性活动并不总是与异常活动相符合。这里存在四 种可能性,每种情况的概率都不为零。
(1) 入侵性而非异常。活动具有入侵性却因为不 是异常而导致不能检测到,这时候造成漏检,结 果就是IDS不报告入侵。 (2) 非入侵性且是异常的。活动不具有入侵性, 而因为它是异常的,IDS报告入侵,这时候造成 虚报。 (3) 非入侵性非异常。活动不具有入侵性,IDS 没有将活动报告为入侵,这属于正确的判断。 (4)入侵且异常。活动具有入侵性并因为活动是 异常,IDS将其报告为入侵。
统计算法的计算量庞大,效率很低 统计点的选取和参考库的建立比较困难
误用入侵检测技术
误用入侵检测是指根据已知的入侵模式来检测入侵。入 侵者常常利用系统和应用软件中弱点攻击,而这些弱点 易编成某种模式,如果入侵者攻击方式恰好匹配上检测 系统中的模式库,则入侵者即被检测到,
警报 攻击者 模式匹配
模式库
误用检测的优点
根据检测技术进行分类
异常入侵检测
根据异常行为和使用计算机资源的情况检测出来的入 侵。
误用入侵检测
利用已知系统和应用软件的弱点攻击模式来检测入 侵。
异常入侵检测技术
异常检测指的是根据非正常行为(系统或用 户)和使用计算机资源非正常情况检测出入侵行 为。 例如,如果用户A早上8点钟到下午5点钟之间 在办公室使用计算机,则他在晚上使用办公室计 算机是异常的,就有可能是入侵;用户B总是在下 班后登录到公司的终端服务器或是在深夜时来自B 的账号远程登录都可能是不正常的。异常检测试 图用定量方式描述常规的或可接受的行为,以标 记非常规的,潜在的入侵行为。
入侵检测的发展历史(二)
90年代,不断有新的思想提出,如将人 工智能、神经网络、模糊理论、证据理 论、分布计算技术等引入IDS系统 2000年2月,对Yahoo!、Amazon、 CNN等大型网站的DDOS攻击引发了对 IDS系统的新一轮研究热潮 2001年~今,RedCode、求职信等新型 病毒的不断出现,进一步促进了IDS的 发展。
信息分析
分析收集到的信息,发现违背安全策略的行为。
响应
根据攻击或事件的类型或性质,做出相应的响应
响应策略
弹出窗口报警 E-mail通知 切断TCP连接 执行自定义程序 与其他安全产品交互
Firewall SNMP Trap
入侵检测系统检测器的部署
放在边界防火墙之内 放在边界防火墙之外 放在主要的网络中枢 放在一些安全级别需求高的子网
IDS商业产品介绍(国外)
http://www.iss.net. Internet Security System公 司的RealSecure是一种实时监控软件,它包含控制 台、网络引擎和系统代理三个部分组成。 2. http://www.cisco.com/. Cisco公司的NetRanger, 产品分为两部分:监测网络包和发报警的传感器,以 及接收并分析报警、启动响应的控制器。NetRanger 以其高性能而闻名,而且它还非常易于裁剪。控制器 程序可以综合多站点的信息并监视散布在整个企业网 上的攻击。 3. http://www.nai.com/. Network Associates公司的 CyberCop. CyberCop的前端设计成浏览器方式,这主 要是为了易于使用。
异常检测
基本原理
正常行为的特征轮廓 检查系统的运行情况 是否偏离预设的门限?
举例
多次错误登录、午夜登录
异常检测的优点
可以检测到未知的入侵 可以检测冒用他人帐号的行为 具有自适应,自学习功能 不需要系统先验知识
异常检测的缺点
漏报、误报率高
入侵者可以逐渐改变自己的行为模式来逃避检测 合法用户正常行为的突然改变也会造成误警
入侵检测系统
(Intrusion Detection System)
入侵检测
入侵检测,顾名思义,是指对入侵行为 的发觉。它通过在计算机网络或计算机 系统中的若干关键点收集信息并对收集 到的信息进行分析,从而判断网络或系 统中是否有违反安全策略的行为和被攻 击的迹象。
入侵检测系统
入侵检测系统(Intrusion Detection System),是完成入侵检测功能的软件、 硬件及其组合它试图检测、识别和隔离 “入侵”企图或计算机的不恰当未授权使 用。
国内厂家的一些产品
国内的入侵检测系统,往往还不够 成熟,产品的漏报率和误报率还比较 高。产品所采用的检测技术也基本上是 传统的技术,有待于更新换代。有一些 产品是在Snort的基础上开发的,技术 局限性比较大。总之,要想给用户提供 性能优越、比较满意的IDS产品,国内 的厂商还有很多工作要做。
免费IDS产品介绍
入侵检测作为安全技术主要任务
Ø Ø Ø Ø 识别入侵者 识别入侵行为 检测和监视已成功的安全突破 为对抗措施及时提供重要信息
IDS能做什么?
监控、分析用户和系统的活动 发现入侵企图或异常现象 审计系统的配置和弱点 评估关键系统和数据文件的完整性 对异常活动的统计分析 识别攻击的活动模式 实时报警和主动响应
入侵检测标准研究的意义
当面对入侵活动越来越广泛、并且许 多攻击是经过长时期准备、通过网上协作 开展进行时,入侵检测系统和它的组件之 间共享这种类型攻击信息十分重要。共享 让系统之间对可能即将来临的攻击发出警 报。主要的意义在于:共享攻击特征数 据,安全控制系统之间相互协作有利于产 品评估。
入侵检测系统需要标准化
异常入侵要解决的问题
构造异常活动集并从中发现入侵性 活动子集。异常入侵检测方法依赖于 异常模型的建立,不同模型就构成不 同的检测方法。异常检测通过观测到 的一组测量值偏离度来预测用户行为 的变化,然后作出决策判断的检测技 术。
异常检测的实现技术和研究重点
实现技术
统计 神经网络
研究重点
如何定义、描述和获取系统的行为知识 如何提高可信度、检测率,降低报警的虚警率
检测器放在主要的网络中枢
监控大量的网络数据,可提高检测黑 客攻击的可能性 可通过授权用户的权利边界来发现未 授权用户的行为
放在安全级别高的子网
对非常重要的系统和资源的入侵检测
检测
报警
接收数据 (attack)被 攻击 110010101 100010101 000010101
重组 000010101 100010101 110010101
1.
国内厂家的一些产品
1.启明星辰信息技术有限公司。天阗入侵检测系统
http://www.venustech.com.cn/
2.中联绿盟信息技术(北京)有限公司。“冰之眼”网络入侵侦测系统. http://www.nsfocus.com 3.北京网警创新信息安全技术有限公司。网络测探神(主机、局域、广 域型).http://www.netcop.com.cn/ 4.北京海信数码科技有限公司。“眼镜蛇”入侵检测系统 http://www.hisense.com.cn 5.成都三零盛安信息系统有限公司。鹰眼系列入侵检测及安全审计产 品.http://www.30san.com 6.北京瑞星科技股份有限公司。RIDS-100入侵检测系统. http://www.rising.com.cn 7. 安 氏 互 联 网 安 全 系 统 ( 中 国 ) 有 限 公 司 。 领 信 入 侵 检 测 系 统 LinkTrust™ IDS. http://bj.is-one.net/ 8.北京赛门铁克信息技术有限公司。NetProwler、Intruder Alert http://www.symantec.com/region/cn/
目前存在的入侵检测系统标准草案
互联网工程任务组(IETF)的入侵检 测工作组(IDWG)的数据交换标准; 美国国防高级研究计划署(DARPA) 的通用入侵检测框架(CIDF),最早 由加州大学戴维斯分校安全实验室主 持起草工作。
北京邮电大学信息安全中 心承担的国家”863”项目也 进行了入侵检测的标准研 究.
为什么需要IDS?
入侵很容易
入侵教程随处可见 各种工具唾手可得
防火墙不能保证绝对的安全
网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁,入侵检测系统是监视器
IDS的优点
提高信息安全构造的其他部分的完整性 提高系统的监控能力 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正 识别特殊攻击类型,并向管理人员发出警报
算法简单 系统开销小 准确率高 效率高 举例,敲门式攻击
误用检百度文库的的缺点
被动
只能检测出已知攻击 新类型的攻击会对系统造成很大的威胁
模式库的建立和维护难
模式库要不断更新 知识依赖于
硬件平台 操作系统 系统中运行的应用程序
入侵检测系统构件
入侵检测的过程
信息收集
包括系统、网络、数据及用户活动的状态和行为。
异常入侵检测的主要前提是入侵活动 作为异常活动的子集。考虑这种情况,若外 部人闯入计算机系统,尽管没有危及用户资 源使用的倾向和企图,可是这存在一种入侵 的可能性,还是将他的行为当作异常处理。 入侵性活动常常是由单个活动组合起来执 行,单个活动却与异常性独立无关。异常活 动集与入侵活动集之间的关系如图
IDS的缺点
不能弥补差的认证机制 需要过多的人为干预 不知道安全策略的内容 不能弥补网络协议上的弱点 不能分析一个堵塞的网络 不能分析加密的数据
入侵检测的发展历史(一)
1980年,James Anderson最早提出入侵检测概念 1987年,D.E.Denning首次给出了一个入侵检 测的抽象模型,并将入侵检测作为一种新的安全 防御措施提出。 1988年,Morris蠕虫事件直接刺激了IDS的研究 1988年,创建了基于主机的系统; 有:IDES,Haystack等等 1989年,提出基于网络的IDS系统; 有:NSM,NADIR,DIDS等等
检测器部署示意图
署 三
Internet 部署一
部
部 署 二
部 四 署
检测器放在边界防火墙之内
放置于防火墙的DMZ区域
可以查看受保护区域主机被攻击状态 可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点
检测器放在边界防火墙之外
放置于路由器和边界防火墙之间
可以审计所有来自Internet上面对保护网 络的攻击数目 可以审计所有来自Internet上面对保护网 络的攻击类型
攻击
识别 出攻 击行 为
IDS
发送通知报 文
受保护网络
阻断连接 或者报警 等
发送 响应 报文
验证报文并 采取措施
Internet
案例
例如“旋转门柄”攻击, 入侵者企图登录到网络 主机, 他对每台主机只试用一次用户ID和口令, 并不进行暴力口令猜测, 如果不成功, 便转向其 它主机. 对于这种攻击方式, 防火墙系统无法拒 绝, 这就需要入侵检测系统.
现有的入侵检测系统限制了攻击的检测能力。因为 入侵检测系统的内部各部件缺乏有效的信息共享和 协同机制,某些入侵活动(比如协同攻击)靠单一 IDS不能检测出来; 很难建立面向大型网络的安全预警系统。因为入侵 检测系统之间基本无法协同,甚至交换信息都很难 实现; 网络安全的要求。网络安全要求IDS能够与访问控 制、应急响应、入侵追踪等系统交换信息,相互协 作,形成一个整体有效的安全保障系统;
攻击特征
(attack) 分片、乱序 (tatkca) 000010101 100010101 110010101
攻击
Internet
入侵检测只是仅仅试图发现计算 机网络中的安全问题,要解决网络 安全的问题还需要其它的网络安全 技术。
与防火墙联动
发起攻击 Host A Host B Host C Host D
入侵行为(入侵活动)
异常行为(异常活动)
入侵性活动并不总是与异常活动相符合。这里存在四 种可能性,每种情况的概率都不为零。
(1) 入侵性而非异常。活动具有入侵性却因为不 是异常而导致不能检测到,这时候造成漏检,结 果就是IDS不报告入侵。 (2) 非入侵性且是异常的。活动不具有入侵性, 而因为它是异常的,IDS报告入侵,这时候造成 虚报。 (3) 非入侵性非异常。活动不具有入侵性,IDS 没有将活动报告为入侵,这属于正确的判断。 (4)入侵且异常。活动具有入侵性并因为活动是 异常,IDS将其报告为入侵。
统计算法的计算量庞大,效率很低 统计点的选取和参考库的建立比较困难
误用入侵检测技术
误用入侵检测是指根据已知的入侵模式来检测入侵。入 侵者常常利用系统和应用软件中弱点攻击,而这些弱点 易编成某种模式,如果入侵者攻击方式恰好匹配上检测 系统中的模式库,则入侵者即被检测到,
警报 攻击者 模式匹配
模式库
误用检测的优点
根据检测技术进行分类
异常入侵检测
根据异常行为和使用计算机资源的情况检测出来的入 侵。
误用入侵检测
利用已知系统和应用软件的弱点攻击模式来检测入 侵。
异常入侵检测技术
异常检测指的是根据非正常行为(系统或用 户)和使用计算机资源非正常情况检测出入侵行 为。 例如,如果用户A早上8点钟到下午5点钟之间 在办公室使用计算机,则他在晚上使用办公室计 算机是异常的,就有可能是入侵;用户B总是在下 班后登录到公司的终端服务器或是在深夜时来自B 的账号远程登录都可能是不正常的。异常检测试 图用定量方式描述常规的或可接受的行为,以标 记非常规的,潜在的入侵行为。
入侵检测的发展历史(二)
90年代,不断有新的思想提出,如将人 工智能、神经网络、模糊理论、证据理 论、分布计算技术等引入IDS系统 2000年2月,对Yahoo!、Amazon、 CNN等大型网站的DDOS攻击引发了对 IDS系统的新一轮研究热潮 2001年~今,RedCode、求职信等新型 病毒的不断出现,进一步促进了IDS的 发展。
信息分析
分析收集到的信息,发现违背安全策略的行为。
响应
根据攻击或事件的类型或性质,做出相应的响应
响应策略
弹出窗口报警 E-mail通知 切断TCP连接 执行自定义程序 与其他安全产品交互
Firewall SNMP Trap
入侵检测系统检测器的部署
放在边界防火墙之内 放在边界防火墙之外 放在主要的网络中枢 放在一些安全级别需求高的子网
IDS商业产品介绍(国外)
http://www.iss.net. Internet Security System公 司的RealSecure是一种实时监控软件,它包含控制 台、网络引擎和系统代理三个部分组成。 2. http://www.cisco.com/. Cisco公司的NetRanger, 产品分为两部分:监测网络包和发报警的传感器,以 及接收并分析报警、启动响应的控制器。NetRanger 以其高性能而闻名,而且它还非常易于裁剪。控制器 程序可以综合多站点的信息并监视散布在整个企业网 上的攻击。 3. http://www.nai.com/. Network Associates公司的 CyberCop. CyberCop的前端设计成浏览器方式,这主 要是为了易于使用。
异常检测
基本原理
正常行为的特征轮廓 检查系统的运行情况 是否偏离预设的门限?
举例
多次错误登录、午夜登录
异常检测的优点
可以检测到未知的入侵 可以检测冒用他人帐号的行为 具有自适应,自学习功能 不需要系统先验知识
异常检测的缺点
漏报、误报率高
入侵者可以逐渐改变自己的行为模式来逃避检测 合法用户正常行为的突然改变也会造成误警