信息安全入侵检测技术课件

1

信息安全入侵检测技术本章由王昭主写1信息安全入侵检测技术2讨论议题入侵检测概述入侵检测系统的功能组成基于主机及基于网络的入侵检测系统异常检测和误用检测入侵检测的响应入侵检测标准化工作2讨论议题入侵检测概述3主要的传统安全技术加密消息摘要、数字签名身份鉴别：口令、鉴别交换协议、生物特征访问控制安全协议：IPsec、SSL网络安全产品与技术：防火墙、VPN内容控制:防病毒、内容过滤等预防(prevention)、防护（protection)3主要的传统安全技术加密4预防措施的局限性预防性安全措施采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策略是不充分的。这些措施都是以减慢交易为代价的。大部分损失是由内部引起的1999年CSI/FBI（Computersecurityinstitute/FederalBureauofInvestigation)指出，82%的损失是内部威胁造成的。4预防措施的局限性预防性安全措施采用严格的访问控制和数据加密5信息安全两态论5信息安全两态论6P2DR安全的关键检测检测是静态防护转化为动态的关键检测是动态响应的依据检测是落实/强制执行安全策略的有力工具6P2DR安全的关键检测检测是静态防护转化为动态的关键检测是7入侵检测的定义NSTAC（NationalSecurityTelecommunicationsAdvisoryBoard，国家安全通信委员会）的IDSG（IntrusionDetectionSub-Group)是一个由美国总统特许的保护国家关键基础设施的小组。IDSG1997年给出了如下定义：入侵（Intrusion）：对信息系统的非授权访问及（或）未经许可在信息系统中进行操作。入侵检测（IntrusionDetection）：对（网络）系统的运行状态进行监视，对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。7入侵检测的定义NSTAC（NationalSecurit8入侵检测的起源和发展-11980年4月，JamesP.Anderson《ComputerSecurityThreatMonitoringandSurveillance》（计算机安全威胁监控与监视）1980年Anderson提出：提出了精简审计的概念，风险和威胁分类方法提出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开创性工作。8入侵检测的起源和发展-11980年4月，JamesP.9入侵检测的起源和发展-280年代，基于主机的入侵检测1990，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM（NetworkSecurityMonitor）该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS90年代，基于主机和基于网络入侵检测的集成9入侵检测的起源和发展-280年代，基于主机的入侵检测10讨论议题入侵检测概述入侵检测系统的功能组成基于主机及基于网络的入侵检测系统异常检测和误用检测入侵检测的响应入侵检测标准化工作10讨论议题入侵检测概述11IDS基本结构进行入侵检测的软件与硬件的组合便是入侵检测系统（IDS，IntrusionDetectionSystem）。入侵检测是监测计算机网络和系统以发现违反安全策略事件的过程。简单地说，入侵检测系统包括三个功能部件：（1）信息收集（2）信息分析（3）结果处理11IDS基本结构进行入侵检测的软件与硬件的组合便是入侵检测12信息收集入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，尽可能扩大检测范围从一个源来的信息有可能看不出疑点

12信息收集入侵检测的第一步是信息收集，收集内容包括系统、网13信息分析模式匹配（误用检测）:模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。统计分析（异常检测）:统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。完整性分析，往往用于事后分析，主要关注某个文件或对象是否被更改。13信息分析模式匹配（误用检测）:模式匹配就是将收集到的信息14检测目标可说明性是指从给定的活动或事件中，可以找到相关责任方的能力。建立可说明性的目标是获得补偿或针对责任方 追究相关法律责任。积极的反应报告警报修改目标机系统或入侵检测系统14检测目标可说明性15入侵检测的分类-1按照数据来源：基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机。基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行。混合型：15入侵检测的分类-1按照数据来源：16入侵检测的分类-2按照分析方法（检测方法）异常检测模型（AnomalyDetection):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。误用检测模型（MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。16入侵检测的分类-2按照分析方法（检测方法）17入侵检测的分类-3根据时效性：脱机分析：行为发生后，对产生的数据进行分析。早期比较流行联机分析：在数据产生的同时或者发生改变时进行分析。17入侵检测的分类-3根据时效性：18入侵检测的分类-4按系统各模块的运行方式集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行。分布式：系统的各个模块分布在不同的计算机和设备上。18入侵检测的分类-4按系统各模块的运行方式19讨论议题入侵检测概述入侵检测系统的功能组成基于主机及基于网络的入侵检测系统异常检测和误用检测入侵检测的响应入侵检测标准化工作19讨论议题入侵检测概述20基于主机的入侵检测系统系统分析主机产生的数据（应用程序及操作系统的事件日志）由于内部人员的威胁正变得更重要。基于主机的检测威胁基于主机的入侵检测结构优点及问题20基于主机的入侵检测系统系统分析主机产生的数据（应用程序及21主机的数据源操作系统事件日志应用程序日志系统日志关系数据库Web服务器21主机的数据源操作系统事件日志22基于主机的检测威胁特权滥用前职员使用旧帐户管理员创建后门帐户关键数据的访问及修改非授权泄露、修改WEB站点安全配置的变化用户没有激活屏保激活guest帐户22基于主机的检测威胁特权滥用23基于主机的入侵检测系统结构基于主机的入侵检测系统通常是基于代理的，代理是运行在目标系统上的可执行程序，与中央控制计算机（命令控制台）通信。集中式分布式23基于主机的入侵检测系统结构基于主机的入侵检测系统通常是基24集中式基于主机的入侵检测结构24集中式基于主机的入侵检测结构25集中式检测的优缺点优点：不会降低目标机的性能统计行为信息多主机标志、用于支持起诉的原始数据缺点：不能进行实时检测不能实时响应影响网络通信量25集中式检测的优缺点优点：26

分布式基于主机的入侵检测结构

26分布式基于主机的入侵检测结构27分布式检测的优缺点优点：实时告警实时响应缺点：降低目标机的性能没有统计行为信息没有多主机标志没有用于支持起诉的原始数据降低了数据的辨析能力系统离线时不能分析数据27分布式检测的优缺点优点：28基于网络的入侵检测系统入侵检测系统分析网络数据包基于网络的检测威胁基于网络的入侵检测结构优点及问题28基于网络的入侵检测系统入侵检测系统分析网络数据包29基于网络的检测威胁非授权访问非授权登录（login)进行其它攻击的起始点数据/资源的窃取口令下载带宽窃取拒绝服务畸形分组：land分组泛洪：packetflooding分布式拒绝服务29基于网络的检测威胁非授权访问30基于网络的入侵检测系统结构基于网络的入侵检测系统由遍及网络的传感器（Sensor)组成，传感器会向中央控制台报告。传感器通常是独立的检测引擎，能获得网络分组、找寻误用模式，然后告警。传统的基于传感器的结构分布式网络节点结构(networknode)30基于网络的入侵检测系统结构基于网络的入侵检测系统由遍及网31检测器的位置放在防火墙之外检测器在防火墙内防火墙内外都有检测器检测器的其他位置31检测器的位置放在防火墙之外32基于网络的入侵检测的好处威慑外部人员检测自动响应及报告32基于网络的入侵检测的好处威慑外部人员33讨论议题入侵检测概述入侵检测系统的功能组成基于主机及基于网络的入侵检测系统异常检测和误用检测入侵检测的响应入侵检测标准化工作33讨论议题入侵检测概述34误用检测模型如果入侵特征与正常的用户行为能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报。特点：能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力。

34误用检测模型如果入侵特征与正常的用户行为能匹配，则系统会35误用入侵检测方法模式匹配专家系统误用检测35误用入侵检测方法模式匹配36模式匹配技术特点原理简单扩展性好检测效率高实时性好技术缺陷仅适用简单攻击模式检测的准确性检测速度36模式匹配技术特点37基于专家系统误用入侵检测方法通过将安全专家的知识表示成IF-THEN规则形成专家知识库，然后，运用推理算法进行检测入侵Snapp和Smaha给出了在入侵检测中使用这样的系统的实例CLIPS37基于专家系统误用入侵检测方法通过将安全专家的知识表示成38异常检测模型如果系统错误地将异常活动定义为入侵，称为误报(falsepositive)

；如果系统未能检测出真正的入侵行为则称为漏报(falsenegative)。特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率。能有效检测未知的入侵。38异常检测模型如果系统错误地将异常活动定义为入侵，称为误报异常检测方法统计学的方法 基于神经网络的异常检测 基于数据挖掘的异常检测 39异常检测方法统计学的方法 39入侵检测相关的数学模型试验模型（OperationalModel）平均值和标准差模型（MeanandStandardDeviationModel）多变量模型（MultivariateModel）马尔可夫过程模型（MarkovProcessModel）时序模型（TimeSeriesModel）40入侵检测相关的数学模型试验模型（OperationalMo41讨论议题入侵检测概述入侵检测系统的功能组成基于主机及基于网络的入侵检测系统异常检测和误用检测入侵检测的响应入侵检测标准化工作41讨论议题入侵检测概述42制订响应策略应考虑的要素系统用户操作运行环境系统目标规则或法令的需求42制订响应策略应考虑的要素系统用户43响应选项主动响应针对入侵者的措施——自动响应系统修正——弥补缺陷收集更详细的信息——HoneyPot被动响应警报显示远程通报：寻呼机、移动电话、电子邮件与其它网管工具结合：SNMPTrap43响应选项主动响应44讨论议题入侵检测概述入侵检测系统的功能组成基于主机及基于网络的入侵检测系统异常检测和误用检测入侵检测的响应入侵检测标准化工作44讨论议题入侵检测概述45与IDS有关的标准通用入侵检测框架CIDF(TheCommonIntrusionDetectionFramework)IETF入侵检测工作组(IDWG)的入侵检测交换格式IDEF(IntrusionDetectionExchangeFormat)漏洞和风险的标准CVE(CommonVulnerabilitiesandExposures)45与IDS有关的标准通用入侵检测框架CIDF(TheCo46CIDF规格文档CIDF是一套规范，它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议。CIDF的规格文档由四部分组成，分别为：体系结构：阐述了一个标准的IDS的通用模型规范语言：定义了一个用来描述各种检测信息的标准语言内部通讯：定义了IDS组件之间进行通信的标准协议程序接口：提供了一整套标准的应用程序接口46CIDF规格文档CIDF是一套规范，它定义了IDS表达检47CIDF中的术语CIDF将IDS需要分析的数据统称为事件（event）.

CIDF组件之间的通信基于通用入侵检测对象（generalizedintrusiondetectionobjects，以下简称为GIDO）和通用入侵规范语言(Commonintrusionspecificationlanguage).一个GIDO可以表示在一些特定时刻发生的一些特定事件，也可以表示从一系列事件中得出的一些结论，还可以表示执行某个行动的指令

47CIDF中的术语CIDF将IDS需要分析的数据统称为事件48CIDF构件间的通信路径

48CIDF构件间的通信路径49IETF入侵检测工作组(IDWG)IDWG从CIDF发展而来，IDWG的最终目的是创建一种包括数据格式及交换协议的IETF标准，以便异种入侵检测系统能互相通信。IDWG从CIDF草案开始，新的名称为入侵检测交换格式IDEF（IntrusionDetectionExchangeFormat）。与CIDF在三个方面不同：IETFRFC过程被设计为产生商业标准所有厂商的支持、关注都集中于IETFIDWG的文档对业界具有可读性49IETF入侵检测工作组(IDWG)IDWG从CIDF发展50参考文献韩东海、王超等，入侵检测系统及实例剖析，清华大学出版社，2002，5RebecaGurleyBace，入侵检测，人民邮电出版社，2001，6PaulEProctor，入侵检测实用手册，中国电力出版社，2002，10StephenNorthcutt，网络入侵检测分析员手册，人民邮电出版社，2000，10潘柱廷，入侵检测，2001年863培训讲义…..50参考文献韩东海、王超等，入侵检测系统及实例剖析，清华大学51

信息安全入侵检测技术本章由王昭主写1信息安全入侵检测技术52讨论议题入侵检测概述入侵检测系统的功能组成基于主机及基于网络的入侵检测系统异常检测和误用检测入侵检测的响应入侵检测标准化工作2讨论议题入侵检测概述53主要的传统安全技术加密消息摘要、数字签名身份鉴别：口令、鉴别交换协议、生物特征访问控制安全协议：IPsec、SSL网络安全产品与技术：防火墙、VPN内容控制:防病毒、内容过滤等预防(prevention)、防护（protection)3主要的传统安全技术加密54预防措施的局限性预防性安全措施采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策略是不充分的。这些措施都是以减慢交易为代价的。大部分损失是由内部引起的1999年CSI/FBI（Computersecurityinstitute/FederalBureauofInvestigation)指出，82%的损失是内部威胁造成的。4预防措施的局限性预防性安全措施采用严格的访问控制和数据加密55信息安全两态论5信息安全两态论56P2DR安全的关键检测检测是静态防护转化为动态的关键检测是动态响应的依据检测是落实/强制执行安全策略的有力工具6P2DR安全的关键检测检测是静态防护转化为动态的关键检测是57入侵检测的定义NSTAC（NationalSecurityTelecommunicationsAdvisoryBoard，国家安全通信委员会）的IDSG（IntrusionDetectionSub-Group)是一个由美国总统特许的保护国家关键基础设施的小组。IDSG1997年给出了如下定义：入侵（Intrusion）：对信息系统的非授权访问及（或）未经许可在信息系统中进行操作。入侵检测（IntrusionDetection）：对（网络）系统的运行状态进行监视，对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。7入侵检测的定义NSTAC（NationalSecurit58入侵检测的起源和发展-11980年4月，JamesP.Anderson《ComputerSecurityThreatMonitoringandSurveillance》（计算机安全威胁监控与监视）1980年Anderson提出：提出了精简审计的概念，风险和威胁分类方法提出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开创性工作。8入侵检测的起源和发展-11980年4月，JamesP.59入侵检测的起源和发展-280年代，基于主机的入侵检测1990，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM（NetworkSecurityMonitor）该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS90年代，基于主机和基于网络入侵检测的集成9入侵检测的起源和发展-280年代，基于主机的入侵检测60讨论议题入侵检测概述入侵检测系统的功能组成基于主机及基于网络的入侵检测系统异常检测和误用检测入侵检测的响应入侵检测标准化工作10讨论议题入侵检测概述61IDS基本结构进行入侵检测的软件与硬件的组合便是入侵检测系统（IDS，IntrusionDetectionSystem）。入侵检测是监测计算机网络和系统以发现违反安全策略事件的过程。简单地说，入侵检测系统包括三个功能部件：（1）信息收集（2）信息分析（3）结果处理11IDS基本结构进行入侵检测的软件与硬件的组合便是入侵检测62信息收集入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，尽可能扩大检测范围从一个源来的信息有可能看不出疑点

12信息收集入侵检测的第一步是信息收集，收集内容包括系统、网63信息分析模式匹配（误用检测）:模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。统计分析（异常检测）:统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。完整性分析，往往用于事后分析，主要关注某个文件或对象是否被更改。13信息分析模式匹配（误用检测）:模式匹配就是将收集到的信息64检测目标可说明性是指从给定的活动或事件中，可以找到相关责任方的能力。建立可说明性的目标是获得补偿或针对责任方 追究相关法律责任。积极的反应报告警报修改目标机系统或入侵检测系统14检测目标可说明性65入侵检测的分类-1按照数据来源：基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机。基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行。混合型：15入侵检测的分类-1按照数据来源：66入侵检测的分类-2按照分析方法（检测方法）异常检测模型（AnomalyDetection):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。误用检测模型（MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。16入侵检测的分类-2按照分析方法（检测方法）67入侵检测的分类-3根据时效性：脱机分析：行为发生后，对产生的数据进行分析。早期比较流行联机分析：在数据产生的同时或者发生改变时进行分析。17入侵检测的分类-3根据时效性：68入侵检测的分类-4按系统各模块的运行方式集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行。分布式：系统的各个模块分布在不同的计算机和设备上。18入侵检测的分类-4按系统各模块的运行方式69讨论议题入侵检测概述入侵检测系统的功能组成基于主机及基于网络的入侵检测系统异常检测和误用检测入侵检测的响应入侵检测标准化工作19讨论议题入侵检测概述70基于主机的入侵检测系统系统分析主机产生的数据（应用程序及操作系统的事件日志）由于内部人员的威胁正变得更重要。基于主机的检测威胁基于主机的入侵检测结构优点及问题20基于主机的入侵检测系统系统分析主机产生的数据（应用程序及71主机的数据源操作系统事件日志应用程序日志系统日志关系数据库Web服务器21主机的数据源操作系统事件日志72基于主机的检测威胁特权滥用前职员使用旧帐户管理员创建后门帐户关键数据的访问及修改非授权泄露、修改WEB站点安全配置的变化用户没有激活屏保激活guest帐户22基于主机的检测威胁特权滥用73基于主机的入侵检测系统结构基于主机的入侵检测系统通常是基于代理的，代理是运行在目标系统上的可执行程序，与中央控制计算机（命令控制台）通信。集中式分布式23基于主机的入侵检测系统结构基于主机的入侵检测系统通常是基74集中式基于主机的入侵检测结构24集中式基于主机的入侵检测结构75集中式检测的优缺点优点：不会降低目标机的性能统计行为信息多主机标志、用于支持起诉的原始数据缺点：不能进行实时检测不能实时响应影响网络通信量25集中式检测的优缺点优点：76

分布式基于主机的入侵检测结构

26分布式基于主机的入侵检测结构77分布式检测的优缺点优点：实时告警实时响应缺点：降低目标机的性能没有统计行为信息没有多主机标志没有用于支持起诉的原始数据降低了数据的辨析能力系统离线时不能分析数据27分布式检测的优缺点优点：78基于网络的入侵检测系统入侵检测系统分析网络数据包基于网络的检测威胁基于网络的入侵检测结构优点及问题28基于网络的入侵检测系统入侵检测系统分析网络数据包79基于网络的检测威胁非授权访问非授权登录（login)进行其它攻击的起始点数据/资源的窃取口令下载带宽窃取拒绝服务畸形分组：land分组泛洪：packetflooding分布式拒绝服务29基于网络的检测威胁非授权访问80基于网络的入侵检测系统结构基于网络的入侵检测系统由遍及网络的传感器（Sensor)组成，传感器会向中央控制台报告。传感器通常是独立的检测引擎，能获得网络分组、找寻误用模式，然后告警。传统的基于传感器的结构分布式网络节点结构(networknode)30基于网络的入侵检测系统结构基于网络的入侵检测系统由遍及网81检测器的位置放在防火墙之外检测器在防火墙内防火墙内外都有检测器检测器的其他位置31检测器的位置放在防火墙之外82基于网络的入侵检测的好处威慑外部人员检测自动响应及报告32基于网络的入侵检测的好处威慑外部人员83讨论议题入侵检测概述入侵检测系统的功能组成基于主机及基于网络的入侵检测系统异常检测和误用检测入侵检测的响应入侵检测标准化工作33讨论议题入侵检测概述84误用检测模型如果入侵特征与正常的用户行为能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报。特点：能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力。

34误用检测模型如果入侵特征与正常的用户行为能匹配，则系统会85误用入侵检测方法模式匹配专家系统误用检测35误用入侵检测方法模式匹配86模式匹配技术特点原理简单扩展性好检测效率高实时性好技术缺陷仅适用简单攻击模式检测的准确性检测速度36模式匹配技术特点87基于专家系统误用入侵检测方法通过将安全专家的知识表示成IF-THEN规则形成专家知识库，然后，运用推理算法进行检测入侵Snapp和Smaha给出了在入侵检测中使用这样的系统的实例CLIPS37基于专家系统误用入侵检测方法通过将安全专家的知识表示成88异常检测模型如果系统错误地将异常活动定义为入侵，称为误报(falsepositive)

；如果系统未能检测出真正的入侵行为则称为漏报(falsenegative)。特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率。能有效检测未知的入侵。38异常检测模型如果系统错误地将异常活动定义为入侵，称为误报异常检测方法统计学的方法 基于神经网络的异常检测 基于数据挖掘的异常检测 89异常检测方法统计学的方法 39入侵检测相关的数学模型试验模型（OperationalModel）平均值和标准差模型（MeanandStandardDeviationModel）多变量模型（MultivariateModel）马尔可夫过程模型（MarkovProcessModel）时序模型（TimeSeriesModel）90入侵检测相关的数学模型试验模型（OperationalMo91讨论议题入侵检测概述入侵检测系统的功能组成基于主机及基于网络的入侵检测系统异常检测和误用检测入侵检测的响应入侵检测标准化工作41讨论议题入侵检测概述92制订响应策略应考虑的要素系统用户操作运行环境系统目标规则或法令的需求42制订响应策略应考虑的要素系统用户93响应选项主动响应针对入侵者的措施——自动响应系统修正——弥补缺陷收集更详细的信息——HoneyPot被动响应警报显示远程通报：寻呼机、移动电话、电子邮件与其它网管工具结合：SNMPTrap43响应选项主动响应94讨论议题入侵检测概述入侵检测系统的功能组成基于主机及基于网络的入侵检测系统异常检测和误用检测