1 / 46

基于主机的入侵检测方法

基于主机的入侵检测方法. 原理 以操作系统的事件跟踪记录作为输入 检测单个主机的审计记录和日志 检测系统、程序的行为 CPU 利用率 I/O 调用 系统调用 修改系统文件和目录 分组发送 / 接收速率 检测用户的行为特征 登录时间 次数 击键频率和错误率 命令序列. 基于主机的入侵检测方法. 特点 可监测系统或用户的行为 无法检测针对网络协议及实现软件的攻击 应用层检测 只能监视针对本机的入侵行为 必须在每台主机上运行 日志信息需要占用大量的存储空间 需要和操作系统紧密集成. 基于网络的入侵检测方法. 网络监听 对分组的内容、流量进行分析

bambi
Download Presentation

基于主机的入侵检测方法

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 基于主机的入侵检测方法 原理 • 以操作系统的事件跟踪记录作为输入 • 检测单个主机的审计记录和日志 • 检测系统、程序的行为 • CPU利用率 • I/O调用 • 系统调用 • 修改系统文件和目录 • 分组发送/接收速率 • 检测用户的行为特征 • 登录时间 • 次数 • 击键频率和错误率 • 命令序列

  2. 基于主机的入侵检测方法 特点 • 可监测系统或用户的行为 • 无法检测针对网络协议及实现软件的攻击 • 应用层检测 • 只能监视针对本机的入侵行为 • 必须在每台主机上运行 • 日志信息需要占用大量的存储空间 • 需要和操作系统紧密集成

  3. 基于网络的入侵检测方法 • 网络监听 • 对分组的内容、流量进行分析 • 与攻击特征进行模式匹配 • 特征检测 • 单个分组数据的分析 • 分组重组分析 • 分组载荷内容分析 • 统计分析 • 网络流量分布 • 异常分组数量和频率分布 • 服务类型分布 • 相关性分析 • 分析多个网段的分组数据和网络流量 字符串特征 流量特征 协议特征

  4. 基于网络的入侵检测方法 特点 • 在一个局域网中只需一台机器运行检测系统 • 可确定入侵的来源 • 难以分析被加密的分组 • 在隧道外检测 • 不能检测非可控网段的分组 • 难以检测高速网络的分组 • 难以检测假冒等入侵行为

  5. 分布式入侵检测方法 • 基本结构 • 中央管理单元 • 每台主机上的主机管理单元 • 局域网管理单元 • 各单元之间的信息传递机制

  6. 入侵检测方法分类 • 分类二 • 被动的入侵检测系统 • 只是发出报警 • 不做出反应动作 • 主动的入侵检测系统 • 需要建立响应策略

  7. 入侵检测方法分类 • 分类三 • 异常(Anomaly)检测 • 异常:与正常使用模式相偏离的操作现象 • 将所有与正常行为不匹配的行为都看作入侵行为 • 产生误报警(false positives) • 误用(Misuse)检测 • 误用:对系统系统弱点的攻击 • 只有与入侵特征模型匹配的行为才算是入侵行为 • 容易产生漏报警(false negatives) • 基于入侵特征和知识库检索 • 分组中的特征串

  8. 异常检测 • 依据:入侵行为是异常行为 • 活动频繁程度 • 登录的频率 • 击键频率 • 分组发送频率 • 活动的分布情况 • 用户的登录情况 • 文件访问相对分布情况 • I/O活动 • 邮件发送情况 • 网络流量分布 • 分类指标 • 在每个物理位置上登录的相对频率 • 编译程序的使用 • shell和编辑器的使用 • 通常指标 • 如某个用户使用的CPU和I/O的数量

  9. 异常检测 • 问题 • 入侵行为可以由多个正常的动作构成 • 非入侵行为也可能是异常的 • 入侵的,异常的 • 入侵的,非异常的 • 非入侵的,异常的 • 非入侵的,非异常的 • 入侵者可以通过恶意训练的方法改变监测系统 • 使系统将异常行为看作正常行为

  10. 误用检测 • 收集各种入侵的方法 • 观察系统中的各种行为和现象 • 与入侵方法的特征进行比较(模式匹配) • 发现匹配的情况则认为是入侵 • 实现简单 • 扩展性好 • 效率高 • 主要用于检测已知的入侵手段 • 不能检测到未知的入侵手段

  11. 入侵检测方法分类 • 分类四 • 统计分析方法 • 异常检测 • 基于规则的方法 • 误用检测

  12. 基于规则的入侵检测方法 • 常见的规则 • 一个用户不应读取其他用户私有目录下的文件 • 一个用户不应改写其他用户的文件 • 用户登录几小时后通常使用以前使用的那些文件 • 应用程序通常不直接打开磁盘文件 • 在同一个系统里同一个用户只登录一次 • 用户不应复制系统程序和系统文件 • 日志文件不得删除

  13. 基于规则的入侵检测方法 • 检测方法 • 专家系统 • 将已有的入侵特征、已知的系统弱点、安全策略构成知识 • 转化成if-then结构的规则 • 采用逻辑推理方式 • 状态转换分析法 • 利用有限状态自动机模拟入侵 • 将入侵描述为从初始状态到入侵状态的一系列动作组成 • 与相应的防火墙技术类似

  14. 统计分析检测方法 通过事件统计进行异常行为的检测 • 阈值检测 • 为用户的各种行为设置度量属性 • 对度量属性设置阈值 • 对不同的用户需要设置不同的阈值 • 用单一的度量值衡量 • a1S12 + a2S22 +…+ anSn2方差分析 • 基于行为模式的检测 • 为每个用户建立一个行为模式(轮廓) • 建立多个度量指标 • 检测该用户行为模式的变化

  15. 统计分析检测方法——基于行为模式的检测 • 基于特征选择 • 从一组度量指标中挑选出能检测出入侵的度量子集来预测或分类入侵行为 • 基于贝页斯推理 • 通过测定一组选定的描述系统或用户行为特征的值A1,A2,A3,…,An推理判断 • 基于机器学习 • 通过对入侵行为的学习来改进分析的准确性

  16. 特征选择 对用户和系统行为进行计数描述 • 不成功登录的次数 • 网络连接数 • 企图访问文件或目录次数 • 企图访问网络系统次数

  17. 贝页斯推理(Bayesian Inference) • 用户行为特征的值A1,A2,A3,…,An • Ai=1表示异常,0表示正常 • I表示系统当前遭受的入侵攻击的假设 • 即Ai之间相互独立,则有:

  18. 机器学习 • 监督学习supervised learning • 系统在人员监督下的学习 • 归纳学习inductive learning • 从大量例子中找出共性 • 类比学习learning by analogy • 从类似的知识中获得知识 • 人工神经网络artificial neural network • 自适应的学习方法 • 知识发现 • 数据挖掘

  19. 入侵检测中的分组分析技术 • 基于误用检测 • 攻击的特征 • 攻击签名attack signature • 已知的攻击方式的不变特征 • 类型 • 特征串检测 • 协议分析和命令解析

  20. 特征串检测ID • 包抓取引擎 • 从网络上抓取数据包 • 包分析引擎 • 对数据包做简单处理,如IP重组、TCP流重组,根据规则库判断 • 规则库(特征库) • 入侵检测系统的知识库 • 包分析引擎 • 完成对入侵特征的检测 • 响应模块 • 确定发现疑点时所采取的响应手段

  21. 特征串检测ID • 计算模型比较容易实现 • 匹配算法成熟 • 需要收集特征串 • 无法检测到新的入侵类型 • 检测能力依赖于规则库的广度与精度 • 规则库的维护工作量较大

  22. 协议分析和命令解析的ID • 协议分析 • Protocol Anomaly • 协议解码 • 分组重装 • 协议校验 • 利用了网络协议的高度有序性 • 快速检测特征 • 开销 • 状态存储 • 分组配对 • 协议校验 • 使用了保留的字段 • 有非法的值 • 异常的默认值 • 不当的选项 • 序列号乱序 • 序列号跳号 • 序号重叠 • 校验和错 • CRC校验错

  23. 分组分析方法 • 单个数据包的分析 • 检测伪造IP地址 • 检测源地址是否为广播地址 • 源地址和目的地址是否相等 • 源地址和MAC地址是否匹配 • 数据包重组分析 • 将分片的分组重组后进行分析 • 检测Ping of death、teardrop等 • 数据分析 • 对通信的内容进行分析 • 检测堆栈溢出、特殊的命令组合等 • 应用层协议分析 • Deep Packet Inspection

  24. 入侵检测的流量分析 • 基于流量和流量分布 • 数据流相关分析 • 针对分布式流量攻击的分析 • 检测协同扫描(sweep)和协同的攻击 • 网络流量统计分析 • 根据各种类型的报文数量的流量模式 • ICMP,TCP,UDP • 如检测DoS和DDoS

  25. 4.3.4 入侵检测的响应策略 • 向管理员发送报警信息 • 将报文内容记录到日志文件 • 发送Reset报文 • 断开TCP连接 • 关闭路由器 • 或者端口 • 重新配置网络设备 • 如配置防火墙(入侵防御系统IPS) • 关闭关键系统上的某些重要的账户 • 运行某种日志程序或者应用程序 • 增加对有关信息的收集

  26. 入侵检测的响应策略 • 跟踪攻击行为 • 黑客追踪 • 启动诱骗系统 • 蜜罐Honey pot • 蜜网www.honeynet.org • 调整系统结构 • 重新分配资源 • 调整带宽 • 限制入侵 • 入侵容忍系统

  27. 主机 主机 主机 蜜罐 蜜罐 蜜罐 蜜网 • Active ID • Cost more for blackhats • Sebek • Virtual honeynet? • GenIII (hosts, processes, files, network flows) 路由器 Honey Wall

  28. 威胁度 • 一级 • 非常规的,具有恶意的分组,但不会对目前流行的操作系统造成显著的危害 • 二级 • 各种端口扫描行为 • 三级 • 可以对某些服务造成危害的攻击 • 四级 • 造成系统死机、蓝屏或网络不可用的攻击 • 五级 • 获取被攻击者root权限的攻击

  29. 入侵防御系统 • IPS • Intrusion Prevention System • 主动积极的入侵防范/阻止系统 • 对入侵活动和攻击性网络流量进行拦截 • 避免其造成任何损失 • 入侵传播速度的加快留给人们响应的时间越来越短 • 部署在网络的出口处和主机中 • 基于IDS

  30. IPS的分类 • 基于主机的入侵防护(HIPS) • 在主机/服务器上安装软件代理 • 保护服务器的安全弱点不被不法分子所利用 • 基于网络的入侵防护(NIPS) • 检测并限制流经的网络流量和连接数 • 删除入侵行为的网络连接 • 应用入侵防护(AIP) • 把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备

  31. 4.3.5入侵检测的标准化 • 目的 • 提高IDS产品、组件之间的互操作性 • 标准 • 入侵检测交换格式(IDEF) • define data formats and exchange procedures • work in progress • 入侵检测消息交换格式(IDMEF) • RFC4765 • 入侵检测交换协议(IDXP) • RFC4767 • 入侵检测警告协议(IAP) • facilitate the ubiquitous interoperability of intrusion detection components across Internet enterprises • 保证大型网络中协议数据传输的完整性和安全性 • work in progress http://tools.ietf.org/html/draft-ietf-idwg-iap-00

  32. IDMEF Data Types • Integers • "123", "-456" • Real Numbers • 123.45e02 • Characters and Strings • BYTE • Enumerated Types • Date-Time Strings • YYYY-MM-DDThh:mm:ss • NTP Timestamps • a 64-bit unsigned fixed-point number • 0x12345678.0x87654321 • Port Lists • 5-25,37,42,43,53,69-119,123-514 • Unique Identifiers • represented by STRING data types

  33. IDMEF Data Model • top-level class • IDMEF-Message • two types of messages defined • Alerts • Heartbeats

  34. Alert类 每当分析器监测到一个事件,它发送一个Alert消息给管理员 • Analyzer • 分析器的标识符 • CreateTime • 消息建立时间,ntpstamp • DetectTime • 事件检测到的时间,ntpstamp • Source • 事件来源 • Target • 事件去向 • Classification • 事件类型 • Assessment • 事件的影响程度 • low | medium | high

  35. Heartbeats类 • 防止入侵检测消息被阻断 • 对DoS攻击免疫 • 简单的消息格式 • 保持不断的联系

  36. Example The "teardrop" Attack <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE IDMEF-Message PUBLIC "-//IETF//DTD RFC XXXX IDMEF v1.0//EN" "idmef-message.dtd"> <IDMEF-Message version="1.0"> <Alert ident="abc123456789"> <Analyzer analyzerid="hq-dmz-analyzer01"> <Node category="dns"> <location>Headquarters DMZ Network</location> <name>analyzer01.example.com</name> </Node> </Analyzer> <CreateTime ntpstamp="0xbc723b45.0xef449129"> 2000-03-09T10:01:25.93464-05:00 </CreateTime> <Source ident="a1b2c3d4"> <Node ident="a1b2c3d4-001" category="dns"> <name>badguy.example.net</name> <Address ident="a1b2c3d4-002" category="ipv4-net-mask"> <address>192.0.2.50</address> <netmask>255.255.255.255</netmask> </Address> </Node> </Source> <Target ident="d1c2b3a4"> <Node ident="d1c2b3a4-001" category="dns"> <Address category="ipv4-addr-hex"> <address>0xde796f70</address> </Address> </Node> </Target> <Classification origin="bugtraqid"> <name>124</name> <url>http://www.securityfocus.com/bid/124</url> </Classification> </Alert> </IDMEF-Message>

  37. 入侵检测交换协议(IDXP) • As a BEEP "profile" • Blocks Extensible Exchange Protocol • 一个通用的应用层协议 • 用于面向连接的异步交互 • 用于建立应用层安全隧道 • 提供加密的认证 • rfc3080 • IDXP为交换IDMEF消息提供支持 • 无结构的文本 • 二进制数据

  38. Example of BEEP message • A message contained in a single frame that contains a payload of 120 octets spread over 5 lines • Channel 0 • Message number 1 • Final frame of the message • Sequence number 52 • Payload size 120 C: MSG 0 1 . 52 120 C: Content-Type: application/beep+xml C: C: <start number='1'> C: <profile uri='http://idxp.org/beep/profile' /> C: </start> C: END

  39. IDXP communication • Opening a BEEP channel • initiating a BEEP session • Negotiate a BEEP security profile • Exchange IDXP greetings transport connection 乙方 甲方 greeting Start security profile greeting Start IDXP

  40. IDXP Profile • Provides a mechanism for exchanging information between intrusion detection entities • used to create an application-layer tunnel • Identified as • http://idxp.org/beep/profile • IDXP-Greeting Element • identify the analyzer or manager at one end of the BEEP channel • Uniform Resource Identifier (URI) • include the role of the peer on the channel • client or server

  41. IDXP-Greeting example I: MSG 0 10 . 1592 187 I: Content-Type: application/beep+xml I: I: <start number='1'> I: <profile uri='http://idxp.org/beep/profile'> I: <![CDATA[ <IDXP-Greeting uri='http://example.com/alice' I: role='client' /> ]]> I: </profile> I: </start> I: END L: RPY 0 10 . 1865 91 L: Content-Type: application/beep+xml L: L: <profile uri='http://idxp.org/beep/profile'> L: <![CDATA[ <ok /> ]]> L: </profile> L: END L: MSG 0 11 . 1956 61 L: Content-Type: text/xml L: L: <IDXP-Greeting uri='http://example.com/bob' role='server' /> L: END I: RPY 0 11 . 1779 7 I: Content-Type: application/beep+xml I: I: <ok /> I: END

  42. 4.3.6 入侵检测技术的发展方向 • 分布式入侵检测与通用入侵检测架构 • 分布式信息收集、处理与分析 • 协作式入侵检测 • 基于主机与基于网络的协作 • 不同安全工具之间的协作 • 不同供应商的产品之间的协作 • 不同组织机构间的协作 • 应用层入侵检测 • 综合防御系统 • IDS与防火墙、病毒检测系统的联动

  43. "天眼"网络入侵侦测系统 • http://www.enet.com.cn/A20040721326496.html

  44. 入侵检测的新动向 • 间谍件(Spyware) • 自动安装 • 不可卸载 • 侧重于窃取用户信息并通知攻击者 • 攻击者不能控制被植入间谍软件的计算机 • 僵尸软件(Bot) • 受到黑客集中控制的网络蠕虫软件 • 黑客通过服务器秘密操纵 • 使主机成为黑客的一个攻击平台(Zombie) • Dynamic code obfuscation(DCO) • Virus code encryption, string concatenations and other methods to hide signature • scramble malicious code in a different way each time a new visitor enters the malicious website

  45. Malware • Virus • Worms • Trojan horses • Spam • Phishing schemes • DDoS attack • Spyware • Adware

  46. 机遇与挑战 • 减少误报、漏报 • 入侵检测与隐私保护 • 提高性能,减少负载 • 高速网络环境的入侵检测 • 入侵与反入侵的较量

More Related