Download
1 / 50
500 likes | 665 Views
信息安全原理与应用 第十五章 入侵检测技术 本章由王昭主写. 讨论议题. 入侵检测概述 入侵检测系统的功能组成 基于主机及基于网络的入侵检测系统 异常检测和误用检测 入侵检测的响应 入侵检测标准化工作. 主要的传统安全技术. 加密 消息摘要、数字签名 身份鉴别:口令、鉴别交换协议、生物特征 访问控制 安全协议: IPsec 、 SSL 网络安全产品与技术:防火墙、 VPN 内容控制 : 防病毒、内容过滤等 预防 (prevention) 、防护( protection). 预防措施的局限性.
E N D
信息安全原理与应用 第十五章 入侵检测技术 本章由王昭主写
讨论议题 • 入侵检测概述 • 入侵检测系统的功能组成 • 基于主机及基于网络的入侵检测系统 • 异常检测和误用检测 • 入侵检测的响应 • 入侵检测标准化工作
主要的传统安全技术 • 加密 • 消息摘要、数字签名 • 身份鉴别:口令、鉴别交换协议、生物特征 • 访问控制 • 安全协议: IPsec、SSL • 网络安全产品与技术:防火墙、VPN • 内容控制: 防病毒、内容过滤等 • 预防(prevention)、防护(protection)
预防措施的局限性 • 预防性安全措施采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策略是不充分的。这些措施都是以减慢交易为代价的。 • 大部分损失是由内部引起的 • 1999年CSI/FBI(Computer security institute/Federal Bureau of Investigation)指出,82%的损失是内部威胁造成的。
P2DR安全的关键 检测 检测是静态防护转化为动态的关键 检测是动态响应的依据 检测是落实/强制执行安全策略的 有力工具
入侵检测的定义 • NSTAC(National Security Telecommunications Advisory Board,国家安全通信委员会)的IDSG(Intrusion Detection Sub-Group)是一个由美国总统特许的保护国家关键基础设施的小组。 • IDSG1997年给出了如下定义: • 入侵( Intrusion ):对信息系统的非授权访问及(或)未经许可在信息系统中进行操作。 • 入侵检测(Intrusion Detection ):对(网络)系统的运行状态进行监视,对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。
入侵检测的起源和发展-1 1980年4月,James P. Anderson 《Computer Security Threat Monitoring and Surveillance》 (计算机安全威胁监控与监视) • 1980年 Anderson提出:提出了精简审计的概念,风险和威胁分类方法 • 提出了利用审计跟踪数据监视入侵活动的思想 这份报告被公认为是入侵检测的开创性工作。
入侵检测的起源和发展-2 • 80年代,基于主机的入侵检测 • 1990,加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security Monitor) • 该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机 • 入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS • 90年代,基于主机和基于网络入侵检测的集成
讨论议题 • 入侵检测概述 • 入侵检测系统的功能组成 • 基于主机及基于网络的入侵检测系统 • 异常检测和误用检测 • 入侵检测的响应 • 入侵检测标准化工作
IDS基本结构 • 进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS, Intrusion Detection System )。 • 入侵检测是监测计算机网络和系统以发现违反安全策略事件的过程。简单地说,入侵检测系统包括三个功能部件: (1)信息收集 (2)信息分析 (3)结果处理
信息收集 • 入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。 • 需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息, • 尽可能扩大检测范围 • 从一个源来的信息有可能看不出疑点
信息分析 • 模式匹配(误用检测):模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。 • 统计分析(异常检测):统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。 • 完整性分析,往往用于事后分析,主要关注某个文件或对象是否被更改。
检测目标 • 可说明性 • 是指从给定的活动或事件中,可以找到相关责任方的能力。建立可说明性的目标是获得补偿或针对责任方 追究相关法律责任。 • 积极的反应 • 报告 • 警报 • 修改目标机系统或入侵检测系统
入侵检测的分类-1 • 按照数据来源: • 基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机。 • 基于网络:系统获取的数据是网络传输的数据包,保护的是网络的运行。 • 混合型:
入侵检测的分类-2 • 按照分析方法(检测方法) • 异常检测模型(Anomaly Detection ):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵 。 • 误用检测模型(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵 。
入侵检测的分类-3 • 根据时效性: • 脱机分析:行为发生后,对产生的数据进行分析。早期比较流行 • 联机分析:在数据产生的同时或者发生改变时进行分析。
入侵检测的分类-4 • 按系统各模块的运行方式 • 集中式:系统的各个模块包括数据的收集分析集中在一台主机上运行。 • 分布式:系统的各个模块分布在不同的计算机和设备上。
讨论议题 • 入侵检测概述 • 入侵检测系统的功能组成 • 基于主机及基于网络的入侵检测系统 • 异常检测和误用检测 • 入侵检测的响应 • 入侵检测标准化工作
基于主机的入侵检测系统 • 系统分析主机产生的数据(应用程序及操作系统的事件日志) • 由于内部人员的威胁正变得更重要。 • 基于主机的检测威胁 • 基于主机的入侵检测结构 • 优点及问题
主机的数据源 • 操作系统事件日志 • 应用程序日志 • 系统日志 • 关系数据库 • Web服务器
基于主机的检测威胁 • 特权滥用 • 前职员使用旧帐户 • 管理员创建后门帐户 • 关键数据的访问及修改 • 非授权泄露、修改WEB站点 • 安全配置的变化 • 用户没有激活屏保 • 激活guest帐户
基于主机的入侵检测系统结构 • 基于主机的入侵检测系统通常是基于代理的,代理是运行在目标系统上的可执行程序,与中央控制计算机(命令控制台)通信。 • 集中式 • 分布式
集中式检测的优缺点 • 优点: • 不会降低目标机的性能 • 统计行为信息 • 多主机标志、用于支持起诉的原始数据 • 缺点: • 不能进行实时检测 • 不能实时响应 • 影响网络通信量
分布式检测的优缺点 • 优点: • 实时告警 • 实时响应 • 缺点: • 降低目标机的性能 • 没有统计行为信息 • 没有多主机标志 • 没有用于支持起诉的原始数据 • 降低了数据的辨析能力 • 系统离线时不能分析数据
基于网络的入侵检测系统 • 入侵检测系统分析网络数据包 • 基于网络的检测威胁 • 基于网络的入侵检测结构 • 优点及问题
基于网络的检测威胁 • 非授权访问 • 非授权登录(login) • 进行其它攻击的起始点 • 数据/资源的窃取 • 口令下载 • 带宽窃取 • 拒绝服务 • 畸形分组:land • 分组泛洪:packet flooding • 分布式拒绝服务
基于网络的入侵检测系统结构 • 基于网络的入侵检测系统由遍及网络的传感器(Sensor)组成,传感器会向中央控制台报告。传感器通常是独立的检测引擎,能获得网络分组、找寻误用模式,然后告警。 • 传统的基于传感器的结构 • 分布式网络节点结构(network node)
检测器的位置 • 放在防火墙之外 • 检测器在防火墙内 • 防火墙内外都有检测器 • 检测器的其他位置
基于网络的入侵检测的好处 • 威慑外部人员 • 检测 • 自动响应及报告
讨论议题 • 入侵检测概述 • 入侵检测系统的功能组成 • 基于主机及基于网络的入侵检测系统 • 异常检测和误用检测 • 入侵检测的响应 • 入侵检测标准化工作
误用检测模型 • 如果入侵特征与正常的用户行为能匹配,则系统会发生误报;如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报。 • 特点:能明显降低错报率,但漏报率随之增加。攻击特征的细微变化,会使得误用检测无能为力。
误用入侵检测方法 • 模式匹配 • 专家系统误用检测
模式匹配 • 技术特点 • 原理简单 • 扩展性好 • 检测效率高 • 实时性好 • 技术缺陷 • 仅适用简单攻击模式 • 检测的准确性 • 检测速度
基于专家系统误用入侵检测方法 • 通过将安全专家的知识表示成 IF-THEN规则形成专家知识库,然后,运用推理算法进行检测入侵 • Snapp和Smaha给出了在入侵检测中使用这样的系统的实例CLIPS
异常检测模型 • 如果系统错误地将异常活动定义为入侵,称为误报(false positive);如果系统未能检测出真正的入侵行为则称为漏报(false negative)。 • 特点:异常检测系统的效率取决于用户轮廓的完备性和监控的频率。能有效检测未知的入侵。
异常检测方法 • 统计学的方法 • 基于神经网络的异常检测 • 基于数据挖掘的异常检测
入侵检测相关的数学模型 • 试验模型(Operational Model) • 平均值和标准差模型(Mean and Standard Deviation Model) • 多变量模型(Multivariate Model) • 马尔可夫过程模型(Markov Process Model) • 时序模型(Time Series Model)
讨论议题 • 入侵检测概述 • 入侵检测系统的功能组成 • 基于主机及基于网络的入侵检测系统 • 异常检测和误用检测 • 入侵检测的响应 • 入侵检测标准化工作
制订响应策略应考虑的要素 • 系统用户 • 操作运行环境 • 系统目标 • 规则或法令的需求
响应选项 • 主动响应 • 针对入侵者的措施——自动响应 • 系统修正——弥补缺陷 • 收集更详细的信息——Honey Pot • 被动响应 • 警报显示 • 远程通报:寻呼机、移动电话、电子邮件 • 与其它网管工具结合:SNMP Trap
讨论议题 • 入侵检测概述 • 入侵检测系统的功能组成 • 基于主机及基于网络的入侵检测系统 • 异常检测和误用检测 • 入侵检测的响应 • 入侵检测标准化工作
与IDS有关的标准 • 通用入侵检测框架CIDF(The Common Intrusion Detection Framework) • IETF入侵检测工作组(IDWG)的入侵检测交换格式IDEF(Intrusion Detection Exchange Format) • 漏洞和风险的标准 CVE(Common Vulnerabilities and Exposures)
CIDF规格文档 • CIDF是一套规范,它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议。 • CIDF的规格文档由四部分组成,分别为: • 体系结构:阐述了一个标准的IDS的通用模型 • 规范语言:定义了一个用来描述各种检测信息的标准语言 • 内部通讯:定义了IDS组件之间进行通信的标准协议 • 程序接口:提供了一整套标准的应用程序接口
CIDF中的术语 • CIDF将IDS需要分析的数据统称为事件(event). • CIDF组件之间的通信基于通用入侵检测对象(generalized intrusion detection objects,以下简称为GIDO)和通用入侵规范语言(Common intrusion specification language) . • 一个GIDO可以表示在一些特定时刻发生的一些特定事件,也可以表示从一系列事件中得出的一些结论,还可以表示执行某个行动的指令
IETF入侵检测工作组(IDWG) • IDWG从CIDF发展而来,IDWG的最终目的是创建一种包括数据格式及交换协议的IETF标准,以便异种入侵检测系统能互相通信。 • IDWG从CIDF草案开始,新的名称为入侵检测交换格式IDEF(Intrusion Detection Exchange Format)。与CIDF在三个方面不同: • IETF RFC过程被设计为产生商业标准 • 所有厂商的支持、关注都集中于IETF • IDWG的文档对业界具有可读性
参考文献 • 王昭,袁春编著,信息安全原理与应用,电子工业出版社,北京,2010,1 • 韩东海、王超等,入侵检测系统及实例剖析,清华大学出版社,2002,5 • Rebeca Gurley Bace,入侵检测, 人民邮电出版社,2001,6 • Paul E Proctor,入侵检测实用手册,中国电力出版社,2002,10 • Stephen Northcutt,网络入侵检测分析员手册,人民邮电出版社,2000,10 • 潘柱廷,入侵检测,2001年863培训讲义 • …..
