信息安全原理与应用-入侵检测技术

1、 信息安全原理与应用第十五章 入侵检测技术本章由王昭主写1整理ppt讨论议题入侵检测概述入侵检测系统的功能组成基于主机及基于网络的入侵检测系统异常检测和误用检测入侵检测的响应入侵检测标准化工作2整理ppt主要的传统安全技术加密消息摘要、数字签名身份鉴别：口令、鉴别交换协议、生物特征访问控制安全协议： IPsec、SSL网络安全产品与技术：防火墙、VPN内容控制: 防病毒、内容过滤等预防(prevention)、防护（protection)3整理ppt预防措施的局限性预防性安全措施采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策略是不充分的。这些措施都是以减慢交易为代价的。大部分损

2、失是由内部引起的1999年CSI/FBI（Computer security institute/Federal Bureau of Investigation)指出，82%的损失是内部威胁造成的。4整理ppt信息安全两态论5整理pptP2DR安全的关键检测检测是静态防护转化为动态的关键检测是动态响应的依据检测是落实/强制执行安全策略的有力工具6整理ppt入侵检测的定义NSTAC（National Security Telecommunications Advisory Board，国家安全通信委员会）的IDSG（Intrusion Detection Sub-Group)是一个由美国总统特许

3、的保护国家关键基础设施的小组。IDSG1997年给出了如下定义：入侵（ Intrusion ）：对信息系统的非授权访问及（或）未经许可在信息系统中进行操作。入侵检测（Intrusion Detection ）：对（网络）系统的运行状态进行监视，对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。7整理ppt入侵检测的起源和发展-11980年4月，James P. Anderson Computer Security Threat Monitoring and Surveillance （计算机安全威胁监控与监视）1980年 Anderson提出：提出了精简审计的概念，风险和威胁分类方法提

4、出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开创性工作。8整理ppt入侵检测的起源和发展-280年代，基于主机的入侵检测1990，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor）该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS 90年代，基于主机和基于网络入侵检测的集成9整理ppt讨论议题入侵检测概述入侵检测系统的功能组成基于主机及基于网络的入侵检测系统异常检测和误用

5、检测入侵检测的响应入侵检测标准化工作10整理pptIDS基本结构进行入侵检测的软件与硬件的组合便是入侵检测系统（IDS， Intrusion Detection System ）。入侵检测是监测计算机网络和系统以发现违反安全策略事件的过程。简单地说，入侵检测系统包括三个功能部件：（1）信息收集（2）信息分析（3）结果处理11整理ppt信息收集入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，尽可能扩大检测范围从一个源来的信息有可能看不出疑点 12整理ppt信息分析模式匹配（误用检测）:模式匹配就

6、是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。统计分析（异常检测）:统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。完整性分析，往往用于事后分析，主要关注某个文件或对象是否被更改。13整理ppt检测目标可说明性是指从给定的活动或事件中，可以找到相关责任方的能力。建立可说明性的目标是获得补偿或针对责任方追究相关法律责任。积极的反应报告警报修改目标机系统或入侵检测系统14整理ppt入侵检测的分类-1按照数据来源：基于主机：系统获取数据的依据是系统运行所在的主机，保

7、护的目标也是系统运行所在的主机。基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行。混合型：15整理ppt入侵检测的分类-2按照分析方法（检测方法）异常检测模型（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 。误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 。16整理ppt入侵检测的分类-3根据时效性：脱机分析：行为发生后，对产生的数据进行分析。早期比较流行联机分析：在数据产生的同时

8、或者发生改变时进行分析。17整理ppt入侵检测的分类-4按系统各模块的运行方式集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行。分布式：系统的各个模块分布在不同的计算机和设备上。18整理ppt讨论议题入侵检测概述入侵检测系统的功能组成基于主机及基于网络的入侵检测系统异常检测和误用检测入侵检测的响应入侵检测标准化工作19整理ppt基于主机的入侵检测系统系统分析主机产生的数据（应用程序及操作系统的事件日志）由于内部人员的威胁正变得更重要。基于主机的检测威胁基于主机的入侵检测结构优点及问题20整理ppt主机的数据源操作系统事件日志应用程序日志系统日志关系数据库Web服务器21整理ppt基

9、于主机的检测威胁特权滥用前职员使用旧帐户管理员创建后门帐户关键数据的访问及修改非授权泄露、修改WEB站点安全配置的变化用户没有激活屏保激活guest帐户22整理ppt基于主机的入侵检测系统结构基于主机的入侵检测系统通常是基于代理的，代理是运行在目标系统上的可执行程序，与中央控制计算机（命令控制台）通信。集中式分布式23整理ppt集中式基于主机的入侵检测结构24整理ppt集中式检测的优缺点优点：不会降低目标机的性能统计行为信息多主机标志、用于支持起诉的原始数据缺点：不能进行实时检测不能实时响应影响网络通信量25整理ppt 分布式基于主机的入侵检测结构 26整理ppt分布式检测的优缺点优点：实时告

10、警实时响应缺点：降低目标机的性能没有统计行为信息没有多主机标志没有用于支持起诉的原始数据降低了数据的辨析能力系统离线时不能分析数据27整理ppt基于网络的入侵检测系统入侵检测系统分析网络数据包基于网络的检测威胁基于网络的入侵检测结构优点及问题28整理ppt基于网络的检测威胁非授权访问非授权登录（login)进行其它攻击的起始点数据/资源的窃取口令下载带宽窃取拒绝服务畸形分组：land分组泛洪：packet flooding分布式拒绝服务29整理ppt基于网络的入侵检测系统结构基于网络的入侵检测系统由遍及网络的传感器（Sensor)组成，传感器会向中央控制台报告。传感器通常是独立的检测引擎，能获

11、得网络分组、找寻误用模式，然后告警。传统的基于传感器的结构分布式网络节点结构(network node)30整理ppt检测器的位置放在防火墙之外检测器在防火墙内防火墙内外都有检测器检测器的其他位置31整理ppt基于网络的入侵检测的好处威慑外部人员检测自动响应及报告32整理ppt讨论议题入侵检测概述入侵检测系统的功能组成基于主机及基于网络的入侵检测系统异常检测和误用检测入侵检测的响应入侵检测标准化工作33整理ppt误用检测模型如果入侵特征与正常的用户行为能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报。特点：能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，

12、会使得误用检测无能为力。 34整理ppt误用入侵检测方法模式匹配专家系统误用检测35整理ppt模式匹配技术特点原理简单扩展性好检测效率高实时性好技术缺陷仅适用简单攻击模式检测的准确性检测速度36整理ppt基于专家系统误用入侵检测方法通过将安全专家的知识表示成 IF-THEN规则形成专家知识库，然后，运用推理算法进行检测入侵Snapp和Smaha给出了在入侵检测中使用这样的系统的实例CLIPS37整理ppt异常检测模型如果系统错误地将异常活动定义为入侵，称为误报(false positive) ；如果系统未能检测出真正的入侵行为则称为漏报(false negative)。 特点：异常检测系统的效

13、率取决于用户轮廓的完备性和监控的频率。能有效检测未知的入侵。38整理ppt异常检测方法统计学的方法基于神经网络的异常检测基于数据挖掘的异常检测39整理ppt入侵检测相关的数学模型试验模型（Operational Model）平均值和标准差模型（Mean and Standard Deviation Model）多变量模型（Multivariate Model）马尔可夫过程模型（Markov Process Model）时序模型（Time Series Model）40整理ppt讨论议题入侵检测概述入侵检测系统的功能组成基于主机及基于网络的入侵检测系统异常检测和误用检测入侵检测的响应入侵检测标准

14、化工作41整理ppt制订响应策略应考虑的要素系统用户操作运行环境系统目标规则或法令的需求42整理ppt响应选项主动响应针对入侵者的措施自动响应系统修正弥补缺陷收集更详细的信息Honey Pot被动响应警报显示远程通报：寻呼机、移动电话、电子邮件与其它网管工具结合：SNMP Trap43整理ppt讨论议题入侵检测概述入侵检测系统的功能组成基于主机及基于网络的入侵检测系统异常检测和误用检测入侵检测的响应入侵检测标准化工作44整理ppt与IDS有关的标准通用入侵检测框架CIDF(The Common Intrusion Detection Framework)IETF入侵检测工作组(IDWG)的入侵

15、检测交换格式IDEF(Intrusion Detection Exchange Format)漏洞和风险的标准 CVE(Common Vulnerabilities and Exposures)45整理pptCIDF规格文档CIDF是一套规范，它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议。CIDF的规格文档由四部分组成，分别为：体系结构：阐述了一个标准的IDS的通用模型规范语言：定义了一个用来描述各种检测信息的标准语言内部通讯：定义了IDS组件之间进行通信的标准协议程序接口：提供了一整套标准的应用程序接口46整理pptCIDF中的术语CIDF将IDS需要分析的数据统称为事件

16、（event）. CIDF组件之间的通信基于通用入侵检测对象（generalized intrusion detection objects，以下简称为GIDO）和通用入侵规范语言(Common intrusion specification language) .一个GIDO可以表示在一些特定时刻发生的一些特定事件，也可以表示从一系列事件中得出的一些结论，还可以表示执行某个行动的指令 47整理pptCIDF构件间的通信路径 48整理pptIETF入侵检测工作组(IDWG)IDWG从CIDF发展而来，IDWG的最终目的是创建一种包括数据格式及交换协议的IETF标准，以便异种入侵检测系统能互相通信。IDWG从CIDF草案开始，新的名称为入侵检测交换格式IDEF（Intrusion Detection Exchange Format）。与CIDF在三个方面不同：IETF RFC过程被设计为产生商业标准所有厂商的支持