1、目录2.1 入侵检测基本概念2.2 入侵检测系统的分类2.3 入侵检测系统的基本模型2.4 入侵检测系统的工作模式2.5 入侵检测系统的部署2.6 入侵检测过程2.7 入侵检测系统的信息收集2.8 入侵检测系统的信息分析2.9 告警与响应本章学习目标1.了解入侵检测系统模型及分类;2.了解入侵检测系统架构及部署;3.了解入侵检测数据源;4.理解入侵分析的概念;5.理解入侵检测分析模型;6.理解状态的协议分析技术;7.掌握入侵检测的分析方法;入侵检测基本概念2.1入侵检测基本概念(1)入侵检测:识别对计算机或网络信息的恶意行为,并对此行为做出响应的过程。(2)入侵检测系统:具有入侵检测功能的系统
2、。(3)入侵检测系统的主要功能:监视、分析用户及系统的活动;系统构造和弱点的审计;识别已知的进攻并报警;评估重要系统和数据文件的完整性;对操作系统进行审计跟踪管理;识别用户违反安全策略的行为。入侵检测的分类2.2按数据源分类根据检测所用数据的来源可以将入侵检测系统分为如下三类:(1)基于主机(Host-Based)的入侵检测系统其检测的目标系统主要是主机系统和本地用户。(2)基于网络(Network-Based)的入侵检测系统不依赖于被保护的主机操作系统,实时监视并分析通过网络的所有通信业务。(3)基于混合数据源的入侵检测系统综合了基于网络和基于主机两种特点的混合型入侵检测系统。基于主机的入侵
3、检测系统(1)基于主机的入侵检测系统的功能:可监测系统、事件和操作系统下的安全记录以及系统记录。(2)入侵检测的原理:每个被保护的主机系统上都运行一个客户端程序,用于实时检测系统中的信息通信,若根据规则审计出有入侵的数据,立即由检测系统的主机进行分析,如果是入侵行为,及时进行响应。基于网络的入侵检测系统(1)基于网络的入侵检测系统的功能:使用原始数据包作为数据源,利用运行在混杂模式下的网络适配器实时监视分析通过网络的通信业务。(2)入侵检测的原理:根据相应的网络协议和工作原理,捕获和过滤网络数据包,并进行入侵特征识别和协议分析,从而检测出网络中存在的入侵行为。基于混合数据源的入侵检测系统(1)
4、基于混合数据源的入侵检测系统的功能:以多种数据源为检测目标,来提高IDS的性能。(2)入侵检测的原理:系统综合基于网络和基于主机两种特点的混合型入侵检测系统,既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。按分析方法分类(1)异常入侵检测系统通过将异常活动与异常阈值和特征比较,判断入侵行为。常用的方法有基于数据挖掘的异常检测方法、基于机器学习的异常检测方法、基于特征不匹配的异常检测方法。(2)误用入侵检测系统根据已知入侵攻击的信息(知识、模式等)来检测系统中的入侵和攻击。常用的方法有基于条件概率的误用检测、基于专家系统的误用检测、基于神经网络的误用检测。按检测方式分类(1)实时检测
5、系统通过实时监测并分析网络流量、主机审计记录及各种日志信息来发现攻击,进行快速响应。这种实时性是在一定的条件下,一定的系统规模中,具有的相对实时性。(2)非实时检测系统通常是对一段时间内的被检测数据进行分析来发现入侵攻击,并作出相应的处理,可以发现实时方式难以发现的入侵攻击。按检测结果分类(1)二分类入侵检测系统只提供是否发生入侵攻击的结论性判断,不能提供更多可读的、有意义的信息,如具体的入侵行为。(2)多分类入侵检测系统能够分辨出当前系统所遭受的入侵攻击的具体类型,输出的不仅仅是有无入侵发生,还会报告具体的入侵类型。按响应方式分类(1)主动的入侵检测系统主动的入侵检测系统在检测出入侵行为后,
6、可自动地对目标系统中的漏洞采取修补、强制可疑用户(可疑的入侵者)退出系统以及关闭相关服务等对策和响应措施。(2)被动的入侵检测系统被动的入侵检测系统在检测出对系统的入侵攻击后产生报警信息通知系统安全管理员,之后的处理工作则由系统管理员来完成。按分布方式分类(1)集中式入侵检测系统系统的各个模块包括数据的收集与分析以及响应都集中在一台主机上运行,把分析结果输出或通知管理员。(2)分布式入侵检测系统系统由多个模块组成,各模块分布在网络中不同的设备上,完成数据的收集、数据分析、控制输出分析结果等功能。入侵检测系统的基本模型2.3入侵检测系统(1)入侵检测系统的定义:是一种对网络传输进行即时监视,在发
7、现可疑传输时发出警报或者采取主动反应措施的网络安全设备。(2)入侵检测系统的主要功能包括:监视、分析用户及系统的活动;系统构造和弱点的审计;识别已知的进攻并报警;评估重要系统和数据文件的完整性;对操作系统进行审计跟踪管理;识别用户违反安全策略的行为。入侵检测系统的基本模型(1)入侵检测系统的发展阶段:集中式阶段层次式阶段集成式阶段(2)入侵检测系统每阶段代表性的基本模型:通用入侵检测模型(Denning模型)层次式入侵检测模型(IDM)管理式入侵检测模型(SNMP-IDSM)通用入侵检测模型(1)检测原理:系统在对按照一定的规则学习用户行为模型后,将当前发生的事件和模型进行比较,如果不匹配则认
8、为异常。(2)模型组成部分:主体对象审计记录活动简档异常记录活动规则层次化入侵检测模型层次化入侵检测系统基于异常检测和误用检测将入侵检测动态地分为攻击检测和入侵检测。(1)攻击检测是指在入侵检测系统中已经有对此种入侵的描述,利用误用检测可将其检测出来。(2)入侵检测是指在入侵检测系统中没有对此种入侵的描述,只能用异常检测确定其是否为入侵行为。层次化入侵检测模型结构(1)数据层:包括主机操作系统的审计记录、局域网监视器结果和第三方审计软件包提供的数据。(2)事件层:通过动作和领域补充说明第一层客体。(3)主体层:鉴别在网络中跨越多台主机使用的用户。(4)上下文层:说明事件发生时所处的环境和产生的
9、背景。(5)威胁层:分析事件对网络和主机构成的威胁。(6)安全状态层:用数字值表示网络的安全状态。管理式入侵检测模型检测原理:管理式入侵检测模型以SNMP为公共语言来实现IDS系统之间的消息交换和协同检测,明确原始事件和抽象事件之间关系。管理式入侵检测系统管理式入侵检测系统采用五元组形式 来描述攻击事件。(1)WHRER:描述产生攻击的位置,包括目标所在地和事件发生地点。(2)WHEN:事件的时间戳,说明事件的起始时间、终止时间、信息频度或发生的次数。(3)WHO:表明IDS观察到的事件,记录哪个用户或进程触发事件。(4)WHAT:记录详细信息,例如协议类型、说明数据和包的内容。(5)HOW:
10、用来连接原始事件和抽象事件。入侵检测系统的工作模式2.4入侵检测系统的基本结构(1)事件产生器:负责原始数据采集,并将收集到的原始数据转换成事件,向系统的其他部分提供此事件。(2)事件分析器:接收事件信息,并对其进行分析,判断是否为入侵行为或异常现象,之后将判断的结果转变为告警信息。(3)事件数据库:存放中间和最终数据的地方。(4)响应单元:根据告警信息做出反应。入侵检测系统的部署2.5网络中没有部署防火墙时网络入侵检测系统通常安装在网络入口处的交换机上,以便监听所有进出网络的数据包并进行相应的保护。网络中部署防火墙时入侵检测系统常部署在防火墙之后,在防火墙的一次过滤之后进行二次防御。来自外部
11、的针对防火墙本身的攻击行为也需注意。入侵检测过程2.6入侵检测过程(1)信息收集阶段从入侵检测系统的信息源中收集信息,包括系统、网络、数据以及用户活动的状态和行为等。(2)信息分析阶段分析从信息源中收集到的有关系统、网络、数据及用户活动的状态和行为等信息,找到表示入侵行为的异常信息。入侵检测的分析方法包括模式匹配、统计分析、完整性分析等。(3)告警与响应阶段入侵检测系统根据检测到的攻击企图或事件的类型或性质,选择通知管理员,或者采取相应的响应措施阻止入侵行为的继续。入侵检测系统的数据收集2.7基于主机数据源(1)关键审计数据:是收集一个给定机器用户活动信息的唯一方法。系统的审计数据在系统受到攻
12、击时很可能被修改,因此检测者必须在攻击者接管及其并暗中破坏系统审计数据或入侵检测系统之前完成对审计数据的分析、采取报警等相应的措施。(2)基于主机的数据源主要包括:系统运行状态信息系统记信息系统日志C2级安全审计信息基于网络的数据源(1)基于网络的入侵检测方法:需要从网络上传输的网络通信流中采集信息。(2)基于网络的数据源:包括SNMP信息、网络通信包等。(3)基于网络的数据源的优势:通过网络监控获得信息的性能代价低。网络监控器对用户是透明的,攻击者难以发现。网络监控器可以发现一些不易被发现的攻击的证据。应用程序日志文件(1)精确性(Accuracy):直接从应用日志中提取信息,可以保证入侵检
13、测系统获取安全信息的准确性。(2)完整性(Completeness):应用程序的日志文件包含所有的相关信息,还能提供审计记录或网络包中没有的内部数据信息。(3)性能(Performance):通过应用程序选择与安全相关的信息,使得系统的信息收集机制的开销远小于安全审计记录的情况。其他入侵检测系统的报警信息(1)系统结构:基于网络、分布式环境的检测系统采用分层的结构以覆盖较大的范围。(2)入侵检测过程:局部入侵检测系统(如传统的基于主机的入侵检测系统)进行局部的检测,然后把局部检测结果汇报给上层的检测系统,各局部入侵检测系统也可参考其他局部入侵检测系统的结果,以弥补不同检测机制的入侵检测系统的不
14、足。其它设备网络设备大多具有完善的关于设备的性能、使用统计资料的日志信息,如交换机、路由器、网络管理系统等,帮助判断已探测出的问题是与安全相关的还是与系统其它方面原因相关。安全产品大多能够产出自己的与安全相关的活动日志,如防火墙、安全扫描系统、访问控制系统等,日志包含信息。入侵检测系统的信息分析2.8入侵分析的概念(1)入侵分析的概念:是指对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。(2)入侵分析:入侵分析可以实时进行,也可以事后分析,大多数事后的进一步分析是为了寻找行为的责任人。入侵分析的目标(1)威慑攻击者:目标系统
15、使用IDS进行入侵分析对入侵者具有很大的威慑力,因为其攻击行为可能会被发现或被追踪。(2)安全规划和管理:入侵分析可对系统进行重新安全规划和配置,减少系统被攻击者破坏或窃取信息的几率。(3)获取入侵证据:入侵分析可以提供有关入侵行为详细、可信的证据,用于追究入侵者的责任。入侵分析注意事项(1)需求:入侵检测系统支持可说明性和实时检测和响应两个需求,前者指一个活动与人或负责它的实体的能力,后者包括快速识别与攻击相关的事件链,阻断攻击或隐蔽系统,以避免攻击者的影响。(2)子目标:包括保留系统执行的情况、识别影响性能的问题、归档和保护时间日志的完整性等。(3)目标划分:在目标和要求被计算之后按照优先
16、顺序区分开。(4)平衡:在系统的需求与目标有冲突时进行适当的平衡。入侵分析模型(1)入侵分析模型:分析是入侵检测的核心功能在这里,定义一个包含能在系统事件日志中找到入侵证据的所有方法的模型。(2)入侵分析过程构建分析器分析数据反馈和更新构建分析器(1)收集事件信息:误用检测在处理后收集入侵信息,异常检测收集来自系统本身或指定的相似系统的事件信息。(2)预处理信息:误用检测中包括转换表格中的时间信息,异常检测中将时间数据转换成数据表或规范的表格。(3)建立行为分析引擎:误用检测中在规则或其他模式描绘的行为上建立数据区分引擎,异常检测由用户过去行为的统计特征轮廓建立。(4)将事件数据输入引擎中:误
17、用检测将收集到的有意义的攻击数据输入道分析引擎,异常检测通过运行异常检测器输入收集到的数据。(5)保存已输入数据模型:将输入数据模型存储到预定的位置分析数据(1)输入事件记录:收集可靠信息源产生的事件记录。(2)事件预处理:误用检测中事件数据通常都转化成相应于攻击信号的表格,异常检测中事件数据通常被精简成一个轮廓向量。(3)比较事件记录和知识库:对格式化的事件记录和知识库的内容进行比较,进行判定处理。(4)产生响应:若事件记录是入侵或其它重要行为的返回一个响应。反馈和更新(1)反馈的功能:根据每天出现的新攻击方式更新攻击信息的特征数据库。(2)反馈时间间隔:大多数基于误用检测分析方案都有一些关
18、于最大时间间隔的主张,以便在这段时间内匹配一次攻击事件。异常检测系统中,依靠执行异常检测的类型定时更新历史统计特征轮廓,将每个用户的摘要资料加入知识库中,并且删除最老的资料。入侵检测的分析方法入侵检测的分析方法:(1)误用检测(2)异常检测(3)基于状态的协议分析技术(4)其他检测方法误用检测(1)误用入侵检测原理:根据已知的入侵模式来检测入侵,如果入侵者的攻击方式与检测系统中的模式库匹配,则认为入侵发生。(2)误用入侵检测的局限性:仅适用于已知使用模式的可靠检测,只能检测到已知的入侵方式。误用检测的主要方法(1)模式匹配方法模式匹配模型将发送的事件与入侵模式库中的入侵模式进行匹配,如果匹配成
19、功,则认为有入侵行为发生。(2)专家系统方法通过利用专家系统内大量丰富的专家水平的经验和知识,分析发生事件是否是入侵行为。(3)状态转换方法状态转换方法使用系统状态和状态转换表达式来描述和检测已知入侵,主要方法有状态转换分析和有色Petri网。异常检测(1)异常检测原理:通过比较系统或用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。(2)异常检测的方法:有Denning的原始模型、量化分析、统计度量、非统计度量、基于规则的方法、神经网络。异常判断结果(1)入侵性而非异常:活动具有入侵性却因为不是异常而导致不能检测,IDS不报告入侵,发生漏检现象。(2)非入侵性而却异常:活动不具有入
20、侵性,但因为它是异常的,IDS报告入侵,发生误报现象。(3)非入侵也非异常:活动不具有入侵性,因此IDS没有将活动报告为入侵,这属于正确判断。(4)入侵且异常:活动具有入侵性,且活动是异常的,I因此DS将其报告为入侵。Denning的原始模型IDES模型主张在一个系统中包括4个统计模型,每个模型适合于一个特定类型的系统度量。(1)可操作模型:将度量和阈值比较,在度量超过阈值时触发异常。(2)平均和标准偏差模型:假定所有的分析器知道系统行为度量是平均和标准偏差,将观察落在信任间隔之外的行为定义为异常。(3)多变量模型:多变量模型是对平均和标准偏差模型的一个扩展,是基于两个或多个度量来执行的。(4
21、)Markov处理模型:检测器把不同类型的审计事件作为一个状态变量,并且使用一个状态转换矩阵来描述在不同状态间的转换频率。量化分析量化分析采用计算形式进行分析,检测规则和属性以数值形式表述。常见的量化分析形势如下:(1)阈值检测:根据属性计数描述用户和系统行为,这些计数是有许可级别的。(2)启发式阈值检测:在简单阈值检测的基础上进一步分析观察。(3)基于目标的集成检测:使用消息函数计算可疑客体的加密校验和,将结果保存,系统定期重新计算校验和,并与存储的参考值比较。(4)量化分析和数据精简:使用量化分析从庞大的时间信息中删除过剩或冗余信息。统计度量(1)IDES/NIDES:应用统计分析技术为每
22、个用户和系统建立和维护历史统计特征轮廓。(2)Haystack:通过分析用户会话与已建立的入侵类型的相似度和使用互补统计方法检测用户会话活动与正常用户会话特征轮廓之间的偏差,统计异常检测。(3)统计分析:用户行为的变化必须在相应的度量上产生一个经常的、显著地变化以便统计分析检测。非统计度量(1)检测原理:系统使用非统计度量可以容纳可预测性比较低的行为,并且可以引入在参数分析中无法引入的系统属性。(2)非统计度量的优点:可根据实验结果对相似操作系统操作分组。可以精简事件数据。基于规则的方法(1)Wisdom and SenseW&S 能在多种系统平台上运行并能在操作系统和应用级描述活动,其使用两
23、种移植规则库的方法:手工输入它们(反映一个策略陈述)和从历史审计记录中产生它们。(2)TIMTIM 使用一个引导方法动态产生定义入侵的规则,与其他异常监测系统不同,TIM在时间顺序中查找模式,而不是在单个事件中查找模式。神经网络(1)神经网络的构成:神经网络由许多简单处理元素单元组成,这些单元通过使用加权的连接相互作用,神经网络使用可适应学习技术来描述异常行为。(2)神经网络的处理涉及两个阶段:将代表用户行为的历史或其他样本数据集移入网络。网络接受事件数据并与历史行为参数比较,判断之间的相似处和不同处。协议分析技术(1)模式匹配技术特征检测的传统方法是模式匹配技术,其基本原理是将发生的事件模式
24、与特征库中的模式匹配分析。(2)协议分析技术协议分析技术通过利用网络协议的高度规则性快速探测攻击的存在,相对于模式匹配技术,它更准确,分析速度更快,协议分析技术可用于检测TCP Syn Flooding攻击、检测FTP会话。免疫系统方法(1)进行异常检测系统按照两个阶段对入侵检测分析处理,第一阶段建立一个正常行为特征轮廓的知识库,第二阶段将特征轮廓用于监控异常系统行为。(2)比较描述正常行为的不同方法研究监控更复杂的系统时,基于时间的较简单的顺序模型比一些有力的数据模型技术(例如隐马尔可夫模型)的效果更好。遗传算法(1)遗传算法的分析步骤:使用一位串对问题的解决办法进行编码。与进化标准比较,找
25、到一个合适的函数测试群体中的每个个体。(2)遗传算法的优点:准确率高、时间复杂度低。(3)遗传算法的缺点:系统不能检测多个同时攻击。如果几个攻击有相同的事件或组事件,并且攻击者使用这个共性进行多个同时攻击,系统不能找到一个优化的假设向量。系统不能在审计跟踪中精确地定位攻击。基于代理的检测(1)定义:是指在一个主机上执行某种安全监控功能的软件实体。(2)基于代理的入侵检测方法有:入侵检测的自动代理代理需要实现一个分层顺序控制和报告结构,可以是多层分层结构的监控器控制和合并来自多个接收器的信息。EMERLDEMERLD是一个复合入侵检测器,使用特征分析和统计特征轮廓来检测安全问题,支持大规模网络下
26、的自动响应。数据挖掘(1)数据挖掘的目的:是发现能用于描述程序和用户行为的系统特性一致使用模式。(2)数据挖掘的常用方法有:分类:给几个预定义种类赋予一个数据条目。关联分析:识别数据实体中字段间的自相关和互相关。序列模式分析:使序列模式模型化。告警与响应2.9对响应的需求(1)产品的响应要求:应符合特定的需求环境,符合通用的安全管理或事件处理标准,或者要能够反映本地管理的关注点和策略。(2)响应需求的影响因素:操作系统系统目标和优先权规则或法令的需求给用户传授专业技术响应的类型(1)主动响应主动响注重在检测到入侵后立即采取行动,主动响应有对入侵者采取反击行动、修正系统环境、收集尽可能多的信息三
27、种形式。(2)被动响应被动响应是指仅向用户报告和记录所检测出的问题而依靠用户去采取下一步行动的响应,有告警和通知SNMP Trap和插件两种形式。主动响应的方法(1)对入侵者采取反击行动实施反击行动追踪入侵者的攻击来源,切断入侵者的机器或网络的连接以保护系统,一般有由用户驱动和由系统本身自动执行两种形式,(2)修正系统环境修正系统环境与提供调查支持的响应结合后的响应效果更佳。(3)收集额外信息这种响应常与特殊服务器配合使用,营造装备着文件系统和其他带有欺骗性的系统属性的服务器迷惑入侵者。被动响应的方法(1)告警和通知包括告警显示屏和远程通知两种方法。前者令窗口告警消息出现在入侵检测系统控制台上,或由用户配置的其他系统上,后者通过拨号寻呼或移动电话向系统管理员和安全工作人员发出告警和警报消息。(2)SNMP Trap和插件入侵检测系统在设计成与网络管理工具一起使用时,使用系统网络管理基础设施来传送告警,并可在网络管理控制台看到告警和警报信息。联动响应机制(1)联动响应机制的定义:入侵检测系统与其他安全技术联动响应,可联动的安全技术包括防火墙、安全扫描器、防病毒系统、安全加密系统等。(2)联动的基本过程是“报警-转换-响应”:THANKS!THANKS!让网络更安全让世界更美好w w w.q i a n x i n.c o m
