入侵检测与安全审计系统(ppt 46页)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
正误判——将一个合法操作判断为异常行为。
后果:导致用户不理会IDS的报警,使IDS形同虚设。
负误判——将一个攻击动作判断为非攻击行为, 并允许其通过检测。
后果:背离了安全防护的宗旨,IDS系统成为例行公事。
失控误判——攻击者修改了IDS系统的操作,使它 总出现负误判的情况。
后果:不易察觉,长此以往,IDS将不会报警。
事件——IDS需要分析的数据,可以是网络中的数据包,也可以是从 系统日志等其他途径得到的信息。
事件产生器:从整个计算环境中获得事 件,并向系统的其他部分提供此事件。 事件分析器:分析得到的数据,并产生 分析结果。 响应单元:对分析结果作出反应的功能 单元,它可以作出切断连接、改变文件 属性 等强烈反应,或是简单的报警。 事件数据库:存放各种中间和最终数据 的地方的统称,既可以是复杂的数据库, 也可以是简单的文本文件。
28.12.2019
电子科技大学成都学院
22
主要类型
应用软件入侵检测
概念:在应用级收集信息 优点:控制性好 缺点:
需要支持的应用软件数量多 只能保护一个组件
28.12.2019
电子科技大学成都学院
23
基于主机的入侵检测
概念
在宿主系统审计日志文件中寻找攻击特征,然后 给出统计分析报告。
28.12.2019
电子科技大学成都学院
31
缺点:
可扩展性差。在单一主机上处理所有的信 息限制了受监视网络的规模;分布式的数 据收集常会引起网络数据过载问题。
难于重新配置和添加新功能。要使新的设 置和功能生效,IDS通常要重新启动。
监视所有系统行为 有些攻击在网络的数据流中很难发现,或根本没
有通过网络在本地进行,此时基于网络的IDS系 统将无能为力 适应交换和加密 不要求额外的硬件
缺点:
看不到网络活动的状况 运行审计功能要占用额外系统资源 主机监视感应器对不同的平台不能通用 管理和实施比较复杂
28.12.2019
电子科技大学成都学院
16
借助该模型,可以根据某一时间段的Web日 志信息产生会话矢量,该矢量描述在特定时 间 明第段i同个一网请页求被主访机问访的频问率各;网接页着的根频据率阈,值xi矢说 量产生伯努里矢量,此处的阈值矢量定为各
网页被访问的正常频率范围;然后计算加权 入 度 要保侵相护值关;,,最加即后权若若矢wi>加量w权中j,入的表侵w明i与值网网大页页于i比需预网受设页的保j阈护更值程需,
28.12.2019
电子科技大学成都学院
8
6.1.4 入侵分析方法
签名分析法 统计分析法 数据完整性分析法
28.12.2019
电子科技大学成都学院
9
签名分析法
主要用来监测对系统的已知弱点进行攻击的 行为。
方法:从攻击模式中归纳出它的签名,编写 到IDS系统的代码里。
签名分析实际上是一种模板匹配操作: 一方是系统设置情况和用户操作动作 一方是已知攻击模式的签名数据库
关键:异常阈值和特征的选择
优点:可以发现新型的入侵行为,漏报少
缺点:容易产生误报
28.12.2019
电子科技大学成都学院
20
误用检测
假定所有入侵行为和手段(及其变种)都能够表达 为一种模式或特征,系统的目标就是检测主体活动 是否符合这些模式。
优点:可以有针对性地建立高效的入侵检测系统, 其精确度较高,误报少。
第六章 入侵检测与安全审计系统
28.12.2019
电子科技大学成都学院
1
6.1 入侵检测系统 6.2 安全审计系统
28.12.2019
电子科技大学成都学院
2
6.1 入侵检测系统
6.1.1 入侵检测系统的概念
入侵(Intrusion)是指任何企图危及资源的完整性、 机密性和可用性的活动。
3
模型
最早的入侵检测模型是由Denning给出的,该模型主要 根据主机系统审计记录数据,生成有关系统的若干轮廓, 并监测轮廓的变化差异发现系统的入侵行为,如下图:
28.12.2019
电子科技大学成都学院
4
CIDF(通用入侵检测框架)标准——入侵检测系统的通用模 型,解决不同IDS之间的互操作和共存问题。
入侵检测顾名思义,是指通过对计算机网络或计 算机系统中的若干关键点收集信息并对其进行分 析,从中发现网络或系统中是否有违反安全策略 的行为和被攻击的迹象。
入侵检测系统——Intrusion Detection System,简 称IDS,入侵检测的软件与硬件的组合。
28.12.2019
电子科技大学成都学院
28.12.2019
电子科技大学成都学院
25
基于网络的入侵检测
概念
在网络通信中寻找符合网络入侵模板的数据包, 并立即做出相应反应,如发生电子邮件、记录日 志、切断网络连接等。
优点 花费低 检查所有的包头来识别恶意和可疑行为
处于比较隐蔽的位置,基本上不对外提供服务, 比较坚固。
工作流程
根据计算机审计记录文件产 生代表用户会话行为的会话 矢量,然后对这些会话矢量 进行分析,计算出会话的异 常值,当该值超过阈值便产 生警告。
28.12.2019
电子科技大学成都学院
12
步骤1:产生会话矢量。
根据审计文件中的用户会话(如用户会话包括login和 logout之间的所有行为)产生会话矢量。
28.12.2019
电子科技大学成都学院
29
不足
不能够在没有用户参与的情况下对攻击行为展开调 查
不能够在没有用户参与的情况下阻止攻击行为的发 生
不能克服网络协议方面的缺陷 不能克服设计原理方面的缺陷 响应不够快时,签名数据库更新不够快。
28.12.2019
电子科技大学成都学院
会话矢量X=<x1,x2,….,xn>表示描述单一会话用户行 为 的 各 种 属 性 的 数 量 。 会 话 开 始 于 login , 终 止 于 logout,login和logout次数也作为会话矢量的一部 分。可监视20多种属性,如:工作的时间、创建文 件数、阅读文件数、打印页数和I/O失败次数等。
则给出报警,提醒管理员,网页可能将会被 破坏。
28.12.2019
电子科技大学成都学院
17
该模型存在的缺陷和问题,如:
大量审计日志的实时处理问题。尽管审计日志能提供大 量信息,但它们可能遭受数据崩溃、修改和删除。并且 在许多情况下,只有在发生入侵行为后才产生相应的审 计记录,因此该模型在实时监控性能方面较差。
28.12.2019
电子科技大学成都学院
5
作用
是防火墙的合理补充,帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力,提高了信 息安全基础结构的完整性。
是安防系统的重要组成部分。
以后台进程的形式运行,发现可疑情况,立即 通知有关人员。
被认为是防火墙之后的第二道安全闸门。成都学院
10
统计分析法 以统计学为理论基础,以系统正常使用情况 下观察到的动作模式为依据来判别某个动作 是否偏离了正常轨道。
数据完整性分析法 以密码学为理论基础,可以查证文件或者对 象是否被别人修改过。
28.12.2019
电子科技大学成都学院
11
一个简单的基于统计的异常检测模型
30
6.1.7 入侵检测体系结构
集中式结构
IDS发展初期,大都采用单一的体系结构, 即所有的工作包括数据的采集、分析都由单 一主机上的单一程序来完成。
注意:一些所谓的分布式IDS只是在数据采集上实 现了分布式,数据的分析、入侵的发现和识别还是 由单一程序来完成。
优点:数据的集中处理可以更加准确地分析 可能的入侵行为
28.12.2019
电子科技大学成都学院
6
6.1.2 入侵检测系统的特点
不需要人工干预即可不间断的运行 有容错能力 不需要占用大量的系统资源 能够发现异常的操作 能够适应系统行为的长期变化 判断正确 灵活定制 保持领先
28.12.2019
电子科技大学成都学院
7
6.1.3 入侵行为的误判
产生伯努里矢量的方法就是用属性i的数值xi与测量 表中相应的阈值范围比较,当超出范围时,bi被置1, 否则bi置0。产生伯努里矢量的函数可描述为:
0 bi 1
t x i,min i ti,max
其他
28.12.2019
电子科技大学成都学院
14
步骤3:产生加权入侵值。
加类性超型权过的入阈第侵值i矢个t量i属的W性情=的况<w重在1,要w整2性,个…相入,w关侵n>。中判即定每,中个w的wi对i与重应检要第测程i入度个侵。属 加权入侵值由下式给出:
具有每一种检测技术的优点,并试图弥补各自的 不足
趋势分析 稳定性好 节约成本 缺点 在安防问题上不思进取 把不同供应商的组件集成在一起较困难
28.12.2019
电子科技大学成都学院
28
6.1.6 入侵检测系统的优点和不足
优点
能够使现有的安防体系更完善 能够更好地掌握系统的情况 能够追踪攻击者的攻击线路 界面友好,便于建立安防体系 能够抓住肇事者
始于80年代早期,通常采用查看针对可疑行为的 审计记录来执行。
对新的记录条目与攻击特征进行比较,并检查不 应该被改变的系统文件的校验和来分析系统是否 被侵入或被攻击。
若发现与攻击模式匹配,IDS系统通过向管理员 报警和其他呼叫行为来响应。
28.12.2019
电子科技大学成都学院
24
优点:
28.12.2019
电子科技大学成都学院
13
步骤2:产生伯努里矢量。
伯努里矢量B=<b1,b2,…,bn>是单一2值矢量,表示 属性的数目是否在正常用户的阈值范围之外。阈值 矢量T=<t1,t2,…,tn>表示每个属性的范围,其中ti是 <ti,min, ti,max>形式的元组,代表第i个属性的范围。 这样阈值矢量实际上构成了一张测量表。算法假设 ti服从高斯分布(即:正态分布)。
18
6.1.5 入侵检测系统的主要类型
分类 根据其采用的分析方法可分为
异常检测 误用检测
根据系统的工作方式可分为
离线检测 在线检测
根据系统所检测的对象可分为
基于主机的 基于网络的
28.12.2019
电子科技大学成都学院
19
异常检测
需要建立目标系统及其用户的正常活动模型, 然后基于这个模型对系统和用户的实际活动 进行审计,当主体活动违反其统计规律时, 则将其视为可疑行为。
缺点:只能发现攻击库中已知的攻击,不能检测未知 的入侵,也不能检测已知入侵的变种,因而会发生 漏报;复杂性将随着攻击数量的增加而增加。
28.12.2019
电子科技大学成都学院
21
离线检测
在事后分析审计事件,从中检查入侵活动,是 一种非实时工作的系统。
在线检测
实时联机的检测系统,包含对实时网络数据 包分析,对实时主机审计分析。
具有更好的实时性 检测不成功的攻击和恶意企图 基于网路的IDS不依赖于被保护主机的操作系统
28.12.2019
电子科技大学成都学院
26
缺点 对加密通信无能为力 对高速网络无能为力 不能预测命令的执行后果
28.12.2019
电子科技大学成都学院
27
集成入侵检测
概念:综合前几种技术的入侵检测方法 优点
检测属性的选择问题,即如何选择与入侵判定相关度高 的、有限的一些检测属性。
阈值矢量的设置存在缺陷。由于模型依赖于用户正常行 为的规范性,因此用户行为变化越快,误警率也越高。
预设入侵阈值的选择问题,即如何更加科学地设置入侵 阈值,以降低误报率、漏报率。
28.12.2019
电子科技大学成都学院
加权入侵值
步骤4:若加权入侵值大于预设的阈值,则给 出报警。
28.12.2019
电子科技大学成都学院
15
模型应用实例
利用该模型设计一防止网站被黑客攻击的预 警系统。考虑到一个黑客应该攻击他自己比 较感兴趣的网站,因此可以在黑客最易发起 攻击的时间段去统计各网页被访问的频率, 当某一网页突然间被同一主机访问的频率剧 增,那么可以判定该主机对某一网页发生了 超乎寻常的兴趣,这时可以给管理员一个警 报,以使其提高警惕。
后果:导致用户不理会IDS的报警,使IDS形同虚设。
负误判——将一个攻击动作判断为非攻击行为, 并允许其通过检测。
后果:背离了安全防护的宗旨,IDS系统成为例行公事。
失控误判——攻击者修改了IDS系统的操作,使它 总出现负误判的情况。
后果:不易察觉,长此以往,IDS将不会报警。
事件——IDS需要分析的数据,可以是网络中的数据包,也可以是从 系统日志等其他途径得到的信息。
事件产生器:从整个计算环境中获得事 件,并向系统的其他部分提供此事件。 事件分析器:分析得到的数据,并产生 分析结果。 响应单元:对分析结果作出反应的功能 单元,它可以作出切断连接、改变文件 属性 等强烈反应,或是简单的报警。 事件数据库:存放各种中间和最终数据 的地方的统称,既可以是复杂的数据库, 也可以是简单的文本文件。
28.12.2019
电子科技大学成都学院
22
主要类型
应用软件入侵检测
概念:在应用级收集信息 优点:控制性好 缺点:
需要支持的应用软件数量多 只能保护一个组件
28.12.2019
电子科技大学成都学院
23
基于主机的入侵检测
概念
在宿主系统审计日志文件中寻找攻击特征,然后 给出统计分析报告。
28.12.2019
电子科技大学成都学院
31
缺点:
可扩展性差。在单一主机上处理所有的信 息限制了受监视网络的规模;分布式的数 据收集常会引起网络数据过载问题。
难于重新配置和添加新功能。要使新的设 置和功能生效,IDS通常要重新启动。
监视所有系统行为 有些攻击在网络的数据流中很难发现,或根本没
有通过网络在本地进行,此时基于网络的IDS系 统将无能为力 适应交换和加密 不要求额外的硬件
缺点:
看不到网络活动的状况 运行审计功能要占用额外系统资源 主机监视感应器对不同的平台不能通用 管理和实施比较复杂
28.12.2019
电子科技大学成都学院
16
借助该模型,可以根据某一时间段的Web日 志信息产生会话矢量,该矢量描述在特定时 间 明第段i同个一网请页求被主访机问访的频问率各;网接页着的根频据率阈,值xi矢说 量产生伯努里矢量,此处的阈值矢量定为各
网页被访问的正常频率范围;然后计算加权 入 度 要保侵相护值关;,,最加即后权若若矢wi>加量w权中j,入的表侵w明i与值网网大页页于i比需预网受设页的保j阈护更值程需,
28.12.2019
电子科技大学成都学院
8
6.1.4 入侵分析方法
签名分析法 统计分析法 数据完整性分析法
28.12.2019
电子科技大学成都学院
9
签名分析法
主要用来监测对系统的已知弱点进行攻击的 行为。
方法:从攻击模式中归纳出它的签名,编写 到IDS系统的代码里。
签名分析实际上是一种模板匹配操作: 一方是系统设置情况和用户操作动作 一方是已知攻击模式的签名数据库
关键:异常阈值和特征的选择
优点:可以发现新型的入侵行为,漏报少
缺点:容易产生误报
28.12.2019
电子科技大学成都学院
20
误用检测
假定所有入侵行为和手段(及其变种)都能够表达 为一种模式或特征,系统的目标就是检测主体活动 是否符合这些模式。
优点:可以有针对性地建立高效的入侵检测系统, 其精确度较高,误报少。
第六章 入侵检测与安全审计系统
28.12.2019
电子科技大学成都学院
1
6.1 入侵检测系统 6.2 安全审计系统
28.12.2019
电子科技大学成都学院
2
6.1 入侵检测系统
6.1.1 入侵检测系统的概念
入侵(Intrusion)是指任何企图危及资源的完整性、 机密性和可用性的活动。
3
模型
最早的入侵检测模型是由Denning给出的,该模型主要 根据主机系统审计记录数据,生成有关系统的若干轮廓, 并监测轮廓的变化差异发现系统的入侵行为,如下图:
28.12.2019
电子科技大学成都学院
4
CIDF(通用入侵检测框架)标准——入侵检测系统的通用模 型,解决不同IDS之间的互操作和共存问题。
入侵检测顾名思义,是指通过对计算机网络或计 算机系统中的若干关键点收集信息并对其进行分 析,从中发现网络或系统中是否有违反安全策略 的行为和被攻击的迹象。
入侵检测系统——Intrusion Detection System,简 称IDS,入侵检测的软件与硬件的组合。
28.12.2019
电子科技大学成都学院
28.12.2019
电子科技大学成都学院
25
基于网络的入侵检测
概念
在网络通信中寻找符合网络入侵模板的数据包, 并立即做出相应反应,如发生电子邮件、记录日 志、切断网络连接等。
优点 花费低 检查所有的包头来识别恶意和可疑行为
处于比较隐蔽的位置,基本上不对外提供服务, 比较坚固。
工作流程
根据计算机审计记录文件产 生代表用户会话行为的会话 矢量,然后对这些会话矢量 进行分析,计算出会话的异 常值,当该值超过阈值便产 生警告。
28.12.2019
电子科技大学成都学院
12
步骤1:产生会话矢量。
根据审计文件中的用户会话(如用户会话包括login和 logout之间的所有行为)产生会话矢量。
28.12.2019
电子科技大学成都学院
29
不足
不能够在没有用户参与的情况下对攻击行为展开调 查
不能够在没有用户参与的情况下阻止攻击行为的发 生
不能克服网络协议方面的缺陷 不能克服设计原理方面的缺陷 响应不够快时,签名数据库更新不够快。
28.12.2019
电子科技大学成都学院
会话矢量X=<x1,x2,….,xn>表示描述单一会话用户行 为 的 各 种 属 性 的 数 量 。 会 话 开 始 于 login , 终 止 于 logout,login和logout次数也作为会话矢量的一部 分。可监视20多种属性,如:工作的时间、创建文 件数、阅读文件数、打印页数和I/O失败次数等。
则给出报警,提醒管理员,网页可能将会被 破坏。
28.12.2019
电子科技大学成都学院
17
该模型存在的缺陷和问题,如:
大量审计日志的实时处理问题。尽管审计日志能提供大 量信息,但它们可能遭受数据崩溃、修改和删除。并且 在许多情况下,只有在发生入侵行为后才产生相应的审 计记录,因此该模型在实时监控性能方面较差。
28.12.2019
电子科技大学成都学院
5
作用
是防火墙的合理补充,帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力,提高了信 息安全基础结构的完整性。
是安防系统的重要组成部分。
以后台进程的形式运行,发现可疑情况,立即 通知有关人员。
被认为是防火墙之后的第二道安全闸门。成都学院
10
统计分析法 以统计学为理论基础,以系统正常使用情况 下观察到的动作模式为依据来判别某个动作 是否偏离了正常轨道。
数据完整性分析法 以密码学为理论基础,可以查证文件或者对 象是否被别人修改过。
28.12.2019
电子科技大学成都学院
11
一个简单的基于统计的异常检测模型
30
6.1.7 入侵检测体系结构
集中式结构
IDS发展初期,大都采用单一的体系结构, 即所有的工作包括数据的采集、分析都由单 一主机上的单一程序来完成。
注意:一些所谓的分布式IDS只是在数据采集上实 现了分布式,数据的分析、入侵的发现和识别还是 由单一程序来完成。
优点:数据的集中处理可以更加准确地分析 可能的入侵行为
28.12.2019
电子科技大学成都学院
6
6.1.2 入侵检测系统的特点
不需要人工干预即可不间断的运行 有容错能力 不需要占用大量的系统资源 能够发现异常的操作 能够适应系统行为的长期变化 判断正确 灵活定制 保持领先
28.12.2019
电子科技大学成都学院
7
6.1.3 入侵行为的误判
产生伯努里矢量的方法就是用属性i的数值xi与测量 表中相应的阈值范围比较,当超出范围时,bi被置1, 否则bi置0。产生伯努里矢量的函数可描述为:
0 bi 1
t x i,min i ti,max
其他
28.12.2019
电子科技大学成都学院
14
步骤3:产生加权入侵值。
加类性超型权过的入阈第侵值i矢个t量i属的W性情=的况<w重在1,要w整2性,个…相入,w关侵n>。中判即定每,中个w的wi对i与重应检要第测程i入度个侵。属 加权入侵值由下式给出:
具有每一种检测技术的优点,并试图弥补各自的 不足
趋势分析 稳定性好 节约成本 缺点 在安防问题上不思进取 把不同供应商的组件集成在一起较困难
28.12.2019
电子科技大学成都学院
28
6.1.6 入侵检测系统的优点和不足
优点
能够使现有的安防体系更完善 能够更好地掌握系统的情况 能够追踪攻击者的攻击线路 界面友好,便于建立安防体系 能够抓住肇事者
始于80年代早期,通常采用查看针对可疑行为的 审计记录来执行。
对新的记录条目与攻击特征进行比较,并检查不 应该被改变的系统文件的校验和来分析系统是否 被侵入或被攻击。
若发现与攻击模式匹配,IDS系统通过向管理员 报警和其他呼叫行为来响应。
28.12.2019
电子科技大学成都学院
24
优点:
28.12.2019
电子科技大学成都学院
13
步骤2:产生伯努里矢量。
伯努里矢量B=<b1,b2,…,bn>是单一2值矢量,表示 属性的数目是否在正常用户的阈值范围之外。阈值 矢量T=<t1,t2,…,tn>表示每个属性的范围,其中ti是 <ti,min, ti,max>形式的元组,代表第i个属性的范围。 这样阈值矢量实际上构成了一张测量表。算法假设 ti服从高斯分布(即:正态分布)。
18
6.1.5 入侵检测系统的主要类型
分类 根据其采用的分析方法可分为
异常检测 误用检测
根据系统的工作方式可分为
离线检测 在线检测
根据系统所检测的对象可分为
基于主机的 基于网络的
28.12.2019
电子科技大学成都学院
19
异常检测
需要建立目标系统及其用户的正常活动模型, 然后基于这个模型对系统和用户的实际活动 进行审计,当主体活动违反其统计规律时, 则将其视为可疑行为。
缺点:只能发现攻击库中已知的攻击,不能检测未知 的入侵,也不能检测已知入侵的变种,因而会发生 漏报;复杂性将随着攻击数量的增加而增加。
28.12.2019
电子科技大学成都学院
21
离线检测
在事后分析审计事件,从中检查入侵活动,是 一种非实时工作的系统。
在线检测
实时联机的检测系统,包含对实时网络数据 包分析,对实时主机审计分析。
具有更好的实时性 检测不成功的攻击和恶意企图 基于网路的IDS不依赖于被保护主机的操作系统
28.12.2019
电子科技大学成都学院
26
缺点 对加密通信无能为力 对高速网络无能为力 不能预测命令的执行后果
28.12.2019
电子科技大学成都学院
27
集成入侵检测
概念:综合前几种技术的入侵检测方法 优点
检测属性的选择问题,即如何选择与入侵判定相关度高 的、有限的一些检测属性。
阈值矢量的设置存在缺陷。由于模型依赖于用户正常行 为的规范性,因此用户行为变化越快,误警率也越高。
预设入侵阈值的选择问题,即如何更加科学地设置入侵 阈值,以降低误报率、漏报率。
28.12.2019
电子科技大学成都学院
加权入侵值
步骤4:若加权入侵值大于预设的阈值,则给 出报警。
28.12.2019
电子科技大学成都学院
15
模型应用实例
利用该模型设计一防止网站被黑客攻击的预 警系统。考虑到一个黑客应该攻击他自己比 较感兴趣的网站,因此可以在黑客最易发起 攻击的时间段去统计各网页被访问的频率, 当某一网页突然间被同一主机访问的频率剧 增,那么可以判定该主机对某一网页发生了 超乎寻常的兴趣,这时可以给管理员一个警 报,以使其提高警惕。