入侵检测系统模型课件_第1页
入侵检测系统模型课件_第2页
入侵检测系统模型课件_第3页
入侵检测系统模型课件_第4页
入侵检测系统模型课件_第5页
已阅读5页,还剩123页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

版权所有,盗版必纠第3章入侵检测系统模型李剑北京邮电大学信息安全中心E-mail:lijian@电话:130-01936882版权所有,盗版必纠第3章入侵检测系统模型版权所有,盗版必纠概述 所有的入侵检测系统模型都是由三部分组成的,它们是信息收集模块、信息分析模块和告警与响应模块,如图3.1所示。本节来分别讲述这三块的功能与作用。版权所有,盗版必纠概述 所有的入侵检测系版权所有,盗版必纠概述

版权所有,盗版必纠概述 版权所有,盗版必纠3.1入侵检测系统模型概述 入侵检测系统,顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。版权所有,盗版必纠3.1入侵检测系统模型概述 入版权所有,盗版必纠3.1入侵检测系统模型概述IDS发展到目前,按照不同的角度区分,已经出现了主机基和网络基的入侵检测系统;基于模式匹配、异常行为、协议分析等检测技术的系统。第四代入侵检测技术是主机基+网络基+安全管理+协议分析+模式匹配+异常统计,它的优点在于入侵检测和多项技术协同工作,建立全局的主动保障体系,误报率、漏报率、滥报率较低,效率高,可管理性强,并实现了多级的分布式的检测管理,网络基和主机基入侵检测,协议分析和模式匹配以及异常统计相结合,取长补短,可以进行更有效的检测。版权所有,盗版必纠3.1入侵检测系统模型概述版权所有,盗版必纠3.1入侵检测系统模型概述美中不足的是,IDS普遍存在误报问题,导致入侵检测的实用性大打折扣,采用智能处理模块解决这个问题,智能处理模块包括下面功能:1.全面集成入侵检测技术,将多个代理传送到管理器的数据整合起来,经过智能处理,将小比例的多个事件整合形成一个放大的全面事件图。2.对于一个特定的漏洞和攻击方法,IDS先分析系统是否会因为这个缺陷而被入侵,然后再考虑与入侵检测的关联(报警)。版权所有,盗版必纠3.1入侵检测系统模型概述版权所有,盗版必纠3.1入侵检测系统模型概述3.用户自定义规则:用户可以根据漏洞扫描系统评估自己的系统,根据服务器操作系统类型,所提供的服务以及根据漏洞扫描结果制定属于自己的规则文件。这对管理员提出了更高的要求。4.采用先进的协议分析+模式匹配(滥用检测和异常检测结合使用)+异常统计的检测分析方法。版权所有,盗版必纠3.1入侵检测系统模型概述3.用户自定版权所有,盗版必纠3.1入侵检测系统模型概述图:版权所有,盗版必纠3.1入侵检测系统模型概述图:版权所有,盗版必纠3.2信息收集入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。版权所有,盗版必纠3.2信息收集入侵检测的版权所有,盗版必纠3.2信息收集当然,入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样,而实际上不是。例如,UNIX系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。这需要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。版权所有,盗版必纠3.2信息收集当然,入侵检测版权所有,盗版必纠3.2信息收集3.2.1信息收集概述数据收集机制在IDS中占据着举足轻重的位置。如果收集的数据时延较大,检测就会失去作用;如果数据不完整,系统的检测能力就会下降;如果由于错误或入侵者的行为致使收集的数据不正确,IDS就会无法检测某些入侵,给用户以安全的假象。1.分布式与集中式数据收集机制(1)分布式数据收集:检测系统收集的数据来自一些固定位置而且与受监视的网元数量无关。(2)集中式数据收集:检测系统收集的数据来自一些与受监视的网元数量有一定比例关系的位置。版权所有,盗版必纠3.2信息收集3.2.1信息收集概述版权所有,盗版必纠3.2信息收集2.直接监控和间接监控如果IDS从它所监控的对象处直接获得数据,则称为直接监控;反之,如果IDS依赖一个单独的进程或工具获得数据,则称为间接监控。就检测入侵行为而言,直接监控要优于间接监控,由于直接监控操作的复杂性,目前的IDS产品中只有不足20%使用了直接监控机制。版权所有,盗版必纠3.2信息收集2.直接监控和间接监控版权所有,盗版必纠3.2信息收集3.基于主机的数据收集和基于网络的数据收集基于主机的数据收集是从所监控的主机上获取的数据;基于网络的数据收集是通过被监视网络中的数据流获得数据。总体而言,基于主机的数据收集要优于基于网络的数据收集。版权所有,盗版必纠3.2信息收集3.基于主机的数据收集和版权所有,盗版必纠3.2信息收集4.外部探测器和内部探测器(1)外部探测器是负责监测主机中某个组件(硬件或软件)的软件。它将向IDS提供所需的数据,这些操作是通过独立于系统的其他代码来实施的。(2)内部探测器是负责监测主机中某个组件(硬件或软件)的软件。它将向IDS提供所需的数据,这些操作是通过该组件的代码来实施的。外部探测器和内部探测器在用于数据收集时各有利弊,可以综合使用。由于内部探测器实现起来的难度较大,所以在现有的IDS产品中,只有很少的一部分采用它。版权所有,盗版必纠3.2信息收集4.外部探测器和内部探版权所有,盗版必纠3.2信息收集3.2.2信息源的获取入侵检测利用的信息源一般来自以下四个方面:1.系统和网络日志文件黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。版权所有,盗版必纠3.2信息收集3.2.2信息源的获取版权所有,盗版必纠3.2信息收集2.目录和文件中的不期望的改变网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。版权所有,盗版必纠3.2信息收集2.目录和文件中的不期版权所有,盗版必纠3.2信息收集3.程序执行中的不期望行为网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程,以及与网络间其它进程的通讯。版权所有,盗版必纠3.2信息收集3.程序执行中的不期望版权所有,盗版必纠3.2信息收集4.物理形式的入侵信息这包括两个方面的内容,一是未授权的对网络硬件连接;二是对物理资源的未授权访问。黑客会想方设法去突破网络的周边防卫,如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件。依此,黑客就可以知道网上的由用户加上去的不安全(未授权)设备,然后利用这些设备访问网络。例如,用户在家里可能安装Modem以访问远程办公室,与此同时黑客正在利用自动工具来识别在公共电话线上的Modem,如果拨号访问流量经过了这些自动工具,那么这一拨号访问就成为了威胁网络安全的后门。黑客就会利用这个后门来访问内部网,从而越过了内部网络原有的防护措施,然后捕获网络流量,进而攻击其它系统,并偷取敏感的私有信息等等。版权所有,盗版必纠3.2信息收集4.物理形式的入侵信息版权所有,盗版必纠3.2信息收集3.2.3信息的标准化不同的入侵检测产品(如Snort,RealSecure等)之间或同一个入侵检测产品内部各个模块之间通常使用各自定义的信息描述语言和格式,没有一个统一的标准接口,从而使得它们之间不能很好地沟通与协作。目前,OWL(WebOntologyLanguage)已经逐渐成为语义信息描述的事实标准,正在为越来越多的系统所应用。这里将介绍入侵检测系统中一套完整的基于OWL的信息描述机制。版权所有,盗版必纠3.2信息收集3.2.3信息的标准化版权所有,盗版必纠3.2信息收集3.2.3信息的标准化1.相关研究目前的知识描述语言有许多种,如XML,RDF,DAML,DAML+OIL和OWL等。XML是Web上数据交换的标准,它可以表达任意结构的数据,但是它在表示数据的语义方面不是很强。Ontology本体可以较为有效地解决信息之间的语义不确定等问题。目前语义Web上的Ontology表示语言主要有RDF、OIL(OntologyInterchangeLanguage)、DAML(DarpaAgentMarkupLanguage)、DAML与OIL结合起来而产生的DAML+OIL、OWL。版权所有,盗版必纠3.2信息收集3.2.3信息的标准化版权所有,盗版必纠3.2信息收集3.2.3信息的标准化RDF是一种简单的Ontology表示语言。但是RDF的缺点是其表达能力差,例如,它没有变量,它只支持字符型,不支持整型、实型等其它简单数据类型。它只有属性的Domain和range约束,没有否定,没有传递属性transitive、互反属性inverse,不能表示等价性和不相交性、没有类成员的充分必要条件,不能描述等价性等。OIL以RDF为起点,用更为丰富的Ontology建模原语对RDFScheme进行扩充。OIL的缺点是它不能表达类或属性的等价性。版权所有,盗版必纠3.2信息收集3.2.3信息的标准化版权所有,盗版必纠3.2信息收集3.2.3信息的标准化在RDF和OIL的基础上,DAML尝试将RDF和OIL的优点结合起来产生了DAML+OIL。OWL是W3C在DAML+OIL基础上近几年发展起来的。它与DAML+OIL的实质区别体现为OWL通过选择Web本体取消了有条件的数量限制并直接说明属性是对称的;减少了一些不规则的DAML+OIL结构抽象语法,特别是对外层组件的约束和它们意义的差别;各种结构名称也有改变。基于以上原因,这里选择了OWL作为IDS的信息描述工具。版权所有,盗版必纠3.2信息收集3.2.3信息的标准化版权所有,盗版必纠3.2信息收集2.基于OWL的信息描述解决方案这里将采用OWL作为整个分布式IDS中信息描述的工具,并以一个入侵检测实例为例说明方案的实现过程。如图3.3所示为基于OWL信息描述的IDS模型。版权所有,盗版必纠3.2信息收集2.基于OWL的信息描版权所有,盗版必纠3.2信息收集整个安全模型由安全管理平台,事件分析器,感应器和数据源组成。由系统安全管理员制定安全策略,并通过安全管理平台分发给各个事件分析器。数据源包括来自网络和主机的各种信息。感应器可以是不同种类的分布式安全部件代理,它们将收集到的安全信息传给事件分析器进行安全分析。分析器再将分析后的结果通过网络安全管理平台传输给安全管理员,管理员再对安全事件进行响应。版权所有,盗版必纠3.2信息收集整个安全模型由安版权所有,盗版必纠3.2信息收集

在IDS的消息描述方面最出名的是入侵检测工作组IDWG提出的入侵检测交换格式IDMEF(IntrusionDetectionMessageExchangeFormat)。它是一种基于XML的网络入侵检测告警信息描述标准,它针对IDS而设计,具有良好的开放性、可扩展性和商业互操作性。IDMEF仅仅对网络安全告警信息和设备心跳信息进行了描述,并且采用DTD(DocumentTypeDefinition)作为对XML数据的约束。版权所有,盗版必纠3.2信息收集在IDS的消息描述版权所有,盗版必纠3.2信息收集IDMEF数据模型是一种面向对象的入侵检测告警信息和设备心跳信息描述模型。如图3.4所示,在IDMEF-Message根类中包含两个了类:Alert和HeartBeat。它们和IDMEF-Message之间是继承关系,它继承了IDMEF-Message的所有属性。Alert和HeartBeat分别用于对安全告警信息和设备心跳信息进行描述。版权所有,盗版必纠3.2信息收集IDMEF数据模版权所有,盗版必纠3.2信息收集IDMEF版权所有,盗版必纠3.2信息收集IDMEF版权所有,盗版必纠3.2信息收集4.IDS中基于OWL的安全消息通信机制在图3.2基于OWL信息描述的IDS模型当中,多个感应器可以和事件分析器之间可以采用基于OWL的消息机制进行通信。考虑到感知器的异构性、通信的安全性、系统的效率等问题,通信机制主要要求以下两点:(1)将异构的感知检测到的信息采用统一的数据格式,这里采用基于OWL的信息描述。(2)保证通信的安全性。其通信模型如图3.5所示:版权所有,盗版必纠3.2信息收集4.IDS中基于OWL版权所有,盗版必纠3.2信息收集其通信模型如图3.5所示:版权所有,盗版必纠3.2信息收集其通信模型如图3.5所示版权所有,盗版必纠3.2信息收集在IDS中,感知器和事件分析器之间进行通信的时候,分为两层:OWL层和SSL层。OWL层负责使用OWL语言将感知器收集到的信息转换成统一的OWL语言字符串。SSL层使用SSL协议进行通信。通信的时候,首先感知器与事件分析器之间建立SSL安全会话,经过双方进行身份认证之后,感知器将OWL层生在成的消息进行RSA加密,然后通过SSL层传输给事件分析器。事件分析器收到加密的OWL消息之后进行解密,然后再进行OWL消息解析,以得到原始发送过来的消息。OWL消息解析的时候可以使用惠普公司的免费软件Jena。版权所有,盗版必纠3.2信息收集在IDS中,感知版权所有,盗版必纠3.3信息分析对上一节收集到的四类有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。版权所有,盗版必纠3.3信息分析对上一节收集到的四类版权所有,盗版必纠3.3信息分析3.3.1模式匹配

模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。版权所有,盗版必纠3.3信息分析3.3.1模式匹配版权所有,盗版必纠3.3信息分析3.3.2统计分析

统计分析方法通常用于异常入侵检测当中,它首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。版权所有,盗版必纠3.3信息分析3.3.2统计分析版权所有,盗版必纠3.3信息分析3.3.3完整性分析完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被木马化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。版权所有,盗版必纠3.3信息分析3.3.3完整性分析版权所有,盗版必纠3.3信息分析3.3.4数据分析机制根据IDS如何处理数据,可以将IDS分为分布式IDS和集中式IDS。1.分布式IDS:在一些与受监视组件相应的位置对数据进行分析的IDS。2.集中式IDS:在一些固定且不受监视组件数量限制的位置对数据进行分析的IDS。这些定义是基于受监视组件的数量而不是主机的数量,所以如果在系统中的不同组件中进行数据分析,除了安装集中式IDS外,有可能在一个主机中安装分布式数据分析的IDS。分布式和集中式IDS都可以使用基于主机、基于网络或两者兼备的数据收集方式。版权所有,盗版必纠3.3信息分析3.3.4数据分析机制版权所有,盗版必纠3.3信息分析3.3.4数据分析机制分布式IDS与集中式IDS的特点比较如下: 1.可靠性集中式:仅需运行较少的组件;分布式:需要运行较多的组件。

2.容错性集中式:容易使系统从崩溃中恢复,但也容易被故障中断。分布式:由于分布特性,所有数据存储时很难保持一致性和可恢复性。版权所有,盗版必纠3.3信息分析3.3.4数据分析机制版权所有,盗版必纠3.3信息分析3.3.4数据分析机制3.增加额外的系统开销集中式:仅在分析组件中增加了一些开销,那些被赋予了大量负载的主机应专门用作分析。分布式:由于运行的组件不大,主机上增加的开销很小,但对大部分被监视的主机增加了额外开销。版权所有,盗版必纠3.3信息分析3.3.4数据分析机制版权所有,盗版必纠3.3信息分析3.3.4数据分析机制4.可扩容性集中式:IDS的组件数量被限定,当被监视主机的数量增加时,需要更多的计算和存储资源处理新增的负载。分布式:分布式系统可以通过增加组件的数量来监视更多的主机,但扩容将会受到新增组件之间需要相互通信的制约。版权所有,盗版必纠3.3信息分析3.3.4数据分析机制版权所有,盗版必纠3.3信息分析3.3.4数据分析机制5.平缓地降低服务等级 集中式:如果有一个分析组件停止了工作,一部分程序和主机就不再被监视,但整个IDS仍在继续工作。 分布式:如果有一个分析组件停止了工作,整个IDS就有可能停止工作。

6.动态地重新配置 集中式:使用很少的组件来分析所有的数据,如果重新配置它们需要重新启动IDS。 分布式:很容易进行重新配置,不会影响剩余部分的性能。由于分布式不易实现,目前的IDS产品多是集中式的。版权所有,盗版必纠3.3信息分析3.3.4数据分析机制版权所有,盗版必纠3.4告警与响应在入侵检测系统中,当完成系统安全状况分析并确定系统所出问题之后,就要让系统管理员知道这些问题的存在,这在入侵检测处理过程模型中称为告警与响应。告警通常以报告的形式告诉系统管理员被监测对象的安全状况。响应包括被动响应和主动响应。版权所有,盗版必纠3.4告警与响应在入侵检测系统中,版权所有,盗版必纠3.4告警与响应3.4.1被动响应与主动响应被动响应就是系统仅仅简单地记录和报告所检测出的问题,而主动响应则是系统(自动地或与用户配合)为阻止或影响正在发生的攻击进程而采取行动。在早期的入侵检测系统中被动响应是唯一的响应模式,随着技术的不断发展和人们对安全性的不断提高主动响应成为现今入侵检测系统的主要响应模式。主动响应主要包括以下几种选项可供选择:版权所有,盗版必纠3.4告警与响应3.4.1被动响应与主版权所有,盗版必纠3.4告警与响应3.4.1被动响应与主动响应1.对入侵者采取反击行动(1)入侵追踪技术对入侵者采取反击行动的方式在一些组织和机构特别受欢迎,因为这些组织和机构的网络安全管理人员特别希望能够追踪入侵者的攻击来源,并采取行动切断入侵者的机器和网络连接。但是这一方式本身就存在安全漏洞。首先入侵者的常用攻击方法是先黑掉一个系统,然后在利用被黑掉的系统作为攻击另外系统的平台;其次,即使入侵者来自一个合法的系统,但他也会利用IP地址欺骗技术使反击误伤到无辜者;并且反击的结果可能挑起更猛烈的攻击,因为入侵者会从常规监视和扫描演变成全面的攻击,从而使系统资源陷入危机;进一步来讲,由于反击行动涉及到重要法律法规和现实问题,所以这种响应方式也不应该成为最常用的主动响应。版权所有,盗版必纠3.4告警与响应3.4.1被动响应与主版权所有,盗版必纠3.4告警与响应3.4.1被动响应与主动响应1.对入侵者采取反击行动(2)入侵警告和预防对付入侵者也可以采取比较温和的方式。一方面,入侵检测系统可以有意的断开与其的网络对话,例如向入侵者的计算机发送TCP的RESET包,或发送TCMPDestinationUnreachable(目标不可达)包,系统也可以利用防火墙和网关阻止来自入侵的IP地址的数据包;另一方面,系统可以发邮件给怀疑入侵者的系统的管理员请求协助以识别问题和处理问题。这种响应方式只能发现问题,处理问题,但对入侵检测系统的完善所起的作用并不明显,但在一些研究机构和院校得到一定应用。版权所有,盗版必纠3.4告警与响应3.4.1被动响应与主版权所有,盗版必纠3.4告警与响应3.4.1被动响应与主动响应2.修正系统环境修正系统环境类似于自动控制的反馈环节,并具有自学习进化功能。修正系统环境以堵住导致入侵发生的漏洞的概念与一些研究者提出的关键系统耦合的观点是一致的,它可通过增加敏感水平来改变分析引擎的操作特征,或通过插入规则改变专家系统来提高对一些攻击的怀疑水平或增加监视范围以比通常更好的采样间隔来收集信息。这种响应方式由于相对于上一种响应来说相比更为缓和,若与提供调查支持的响应相结合可称为是最佳响应配置,可广泛应用。版权所有,盗版必纠3.4告警与响应3.4.1被动响应与主版权所有,盗版必纠3.4告警与响应3.4.1被动响应与主动响应3.收集额外信息当被保护的系统非常重要并且系统管理人员需不断的进行规则校正时就需要收集入侵者的信息,并不断的改进和优化系统;并且可以将入侵者转移到专用服务器。这些专用服务器设置被称为欺骗网技术,欺骗网技术就是使入侵者相信信息系统存在有价值的、可利用的安全弱点,并具有一些可攻击窃取的资源(当然这些资源是伪造的或不重要的),并将入侵者引向这些错误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性,从而使入侵者不知道其进攻是否奏效或成功。而且,它允许防护者跟踪入侵者的行为,在入侵者之前修补系统可能存在的安全漏洞。版权所有,盗版必纠3.4告警与响应3.4.1被动响应与主版权所有,盗版必纠3.4告警与响应3.4.1被动响应与主动响应从原理上讲,每个有价值的网络系统都存在安全弱点,而且这些弱点都可能被入侵者所利用。网络欺骗主要有以下三个作用:(1)影响入侵者使之按照用户的意志进行选择;(2)迅速地检测到入侵者的进攻并获知其进攻技术和意图;(3)消耗入侵者的资源。版权所有,盗版必纠3.4告警与响应3.4.1被动响应与主版权所有,盗版必纠3.4告警与响应3.4.2主动响应在商业上的应用1.被动式追踪在被动式追踪技术方面,国外已经有了一些产品,如Thumbprinting技术对应用层数据进行摘要,基于某种Hash算法,可根据摘要追踪;Timing-based系统使用连接的时间特性来区分各个连接;Deviation-based方法定义两次TCP连接之间最小延迟作为“deviation”。这些技术和方法都有一个共同的缺点就是计算复杂,无论采取哪一种方法都涉及大量计算,由于现在的网络速度和发展,大规模采取任何一种方式都是不可能的。这类产品的发展前景并不被看好,一些产品已经不做进一步发展。版权所有,盗版必纠3.4告警与响应3.4.2主动响应在商版权所有,盗版必纠3.4告警与响应3.4.2主动响应在商业上的应用2.主动式追踪主动式追踪技术研究主要涉及信息隐形技术,如针对http协议,在返回的http报文中加入用户不易察觉并且有特殊标记的内容,从而在网络中检测这些标记追踪定位。这种方法不需要计算每个数据包,并进行比较,因此有很大的优势,在国外主动式追踪技术已经有了一些实用化工具,如IDIP、SWT等,但基本还处于保密阶段。随着信息隐形技术的发展,主动式追踪技术将得到进一步发展,在未来战争计算机对抗技术的迫切需求下,国家安全部门及一些军事科研机构将投入更大的精力于这方面技术的研究。版权所有,盗版必纠3.4告警与响应3.4.2主动响应在商版权所有,盗版必纠3.4告警与响应3.4.3HoneyPots技术一个“HoneyPots”是一个设计用来观测入侵者如何探测并最终入侵系统的一个系统,它意味着包含一些并不威胁公司机密的数据或应用程序同时对于入侵者来说又具有很大的诱惑力的这样的一个系统,也就是放置在网络上的一台计算机表面看来象一台普通的机器但同时通过一些特殊配置来引诱潜在的黑客并捕获他们的踪迹。它并不是用来抓获入侵者,仅仅想知道他们在并不知道自己被观测的情况下如何工作,入侵者呆在“HoneyPots”的时间越长,他们所使用的技术就暴露的越多,而这些信息可以被用来评估他们的技术水平,了解他们使用的攻击工具。通过学习他们使用的工具和思路,可以更好的保护系统和网络。而且以这种方式收集的信息对那些从事网络安全威胁趋势分析的人来说也是有价值的。这种信息对那些必须在有敌意威胁的环境里运行或易遭受大量攻击的系统(例如政府Web服务器或具有商业价值的电子商务网站)是特别重要的。版权所有,盗版必纠3.4告警与响应3.4.3HoneyP版权所有,盗版必纠3.4告警与响应3.4.3HoneyPots技术

HoneyPots技术充分体现了网络入侵检测系统的防御功能,尤其对收集入侵者的威胁信息或者收集证据来采取法律措施至关重要。Honeypots和NIDS相比较具有以下特点:(1)数据量小Honeypots仅仅收集那些对它进行访问的数据。在同样的条件下,NIDS可能会记录成千上万的报警信息,而Honeypots却只有几百条。这就使得Honeypots收集信息更容易,分析起来也更为方便。版权所有,盗版必纠3.4告警与响应3.4.3HoneyP版权所有,盗版必纠3.4告警与响应3.4.3HoneyPots技术(2)减少误报率Honeypots能显著减少误报率。任何对Honeypots的访问都是未授权的、非法的,这样Honeypots检测攻击就非常有效,从而大大减少了错误的报警信息,甚至可以避免。这样网络安全人员就可以集中精力采取其他的安全措施。(3)捕获漏报Honeypots可以很容易地鉴别捕获针对它的新的攻击行为。由于针对Honeypots的任何操作都不是正常的,这样就使得任何新的以前没有见过的攻击很容易暴露。版权所有,盗版必纠3.4告警与响应3.4.3HoneyP版权所有,盗版必纠3.4告警与响应3.4.3HoneyPots技术(4)资源最小化Honeypots所需要的资源很少,即使工作在一个大型网络环境中也是如此。一个简单的Pentium主机就可以模拟具有多个IP地址的C类网络。(5)解密无论攻击者对连接是否加密都没有关系,Honeypots都可以捕获他们的行为。版权所有,盗版必纠3.4告警与响应3.4.3HoneyP版权所有,盗版必纠3.4告警与响应实例3-1Linux下的蜜罐

Linux下的蜜罐是一个称为Honeyd的小程序。它是一个很小巧的用于创建虚拟的网络上的主机的后台程序,这些虚拟主机可以配置使得它们提供任意的服务,利用个性处理可以使得这些主机显示为在某个特定版本的操作系统上运行。Honeyd是GNUGeneralPublicLicense发布的开源软件,目前也有一些商业公司在使用这个软件。其最初面向的是类Linux操作系统,可以运行在BSD系统,Solaris,GNU/Linux等操作系统上,由NielsProvos开发和维护。这里主要介绍面向类Linux系统的Honeyd程序。版权所有,盗版必纠3.4告警与响应实例3-1Linux下版权所有,盗版必纠3.4告警与响应实版权所有,盗版必纠3.4告警与响应实版权所有,盗版必纠3.4告警与响应实版权所有,盗版必纠3.4告警与响应实版权所有,盗版必纠3.4告警与响应honeyd的日志文件记录了所有与蜜罐虚拟出来的主机连接的信息,包括了时间戳、协议类型、源地址、目的地址、端口号、操作系统类型等信息。如果系统遭受黑客攻击,这个日志文件里将能看到一些攻击信息。使用vi命令查看日志信息如图3.8所示:版权所有,盗版必纠3.4告警与响应honeyd的日志文件记版权所有,盗版必纠3.4告警与响应以上日志中,攻击主机为34,图中显示了攻击主机与蜜罐虚拟的主机建立连接。包括了TELNET、FTP、HTTP。通过查询这些信息,可以收集攻击者的入侵证据,同时由于这些主机都是由蜜罐虚拟出来的,所以不会对系统造成威胁。版权所有,盗版必纠3.4告警与响应以上日志中,攻击主机为5版权所有,盗版必纠3.4告警与响应实例3-2Windows下的蜜罐通过Windows下的TrapServer.exe软件是一个密罐软件,该软件相对于Linux下的Honeyd就简单多了。此软件是个适用于Win95/98/Me/NT/2000/XP系统的“蜜罐”,可以模拟很多不同的服务器,例如:ApacheHTTPServer,MicrosoftIIS等。蜜罐运行时就会开放一个伪装的WEB服务器,虚拟服务器将对这个服务器的访问情况进行监视,并把所有对该服务的访问记录下来,包括IP地址,访问的文件等。通过这些日志可对黑客的入侵行为进行简单分析。版权所有,盗版必纠3.4告警与响应实例3-2Window版权所有,盗版必纠3.4告警与响应安装完该软件后,在安装目录下打开TrapServer.exe,其主界面如图3.9所示:版权所有,盗版必纠3.4告警与响应安装完该软件后,在安装目版权所有,盗版必纠3.4告警与响应选择菜单“服务器类别”可以选择监听三种服务器:(1)IIS.(2)Apache.(3).EasyPHP如图3.10所示。版权所有,盗版必纠3.4告警与响应选择菜单“服务器类别”可版权所有,盗版必纠3.4告警与响应3.4.4Honeynets技术

Honeynets是一个专门设计来让人“攻陷”的网络,一旦被入侵者所攻破,入侵者的一切信息、工具等都将被用来分析学习。其想法与honeypots相似,但两者之间还是有些不同。一个Honeynets是一个网络系统,而并非某台单一主机,这一网络系统是隐藏在防火墙后面的,所有进出的数据都受到关注、捕获及控制。这些被捕获的数据可以对研究分析入侵者们使用的工具、方法及动机。在Honeynets中,可以使用各种不同的操作系统及设备,如Solaris,Linux,WindowsNT,CiscoSwitch,等等。这样建立的网络环境看上去会更加真实可信,同时还有不同的系统平台上面运行着不同的服务,比如Linux的DNSserver,WindowsNT的webserver或者一个Solaris的FTPserver,可以学习不同的工具以及不同的策略——或许某些入侵者仅仅把目标定于几个特定的系统漏洞上,而这种多样化的系统,就可能更多了揭示出他们的一些特性。版权所有,盗版必纠3.4告警与响应3.4.4Honeyn版权所有,盗版必纠3.4告警与响应3.4.4Honeynets技术在Honeynets中的所有系统都是标准的机器,上面运行的都是真实完整的操作系统及应用程序——就象在互联网上找到的系统一样。没有刻意地模拟某种环境或者故意地使系统不安全。在Honeynets里面找到的存在风险的系统,与在互联网上一些公司组织的毫无二致。可以简单地把操作系统放到Honeynets中,并不会对整个网络造成影响。由于Honeynets是一个由30余名安全专业组织成员组成,专门致力于了解黑客团体使用的工具、策略和动机以及共享他们所掌握的知识的项目。这个组织使用他们自己的时间和自己的资源来收集这方面的信息,其中最主要的方法是通过使用Honeynets来收集一些信息。因此Honeynets技术的发展是一个自发的形式,由于成员都是利用业余时间和爱好来参与Honeynets技术的研究,它的发展前景既让人充满希望,又让人担忧,如果有一些网络安全的专业研究机构介入,在加上Honeynets技术在网上的公开和免费的性质,Honeynets技术的研究和学习将更有力的推动网络入侵检测技术的发展。版权所有,盗版必纠3.4告警与响应3.4.4Honeyn版权所有,盗版必纠3.4告警与响应实例3-3用VMware实现Honeynets虚拟网络

VMware是VMware公司出品的一个多系统安装软件。利用它,可以在一台电脑上将硬盘和内存的一部分拿出来虚拟出若干台机器,每台机器可以运行单独的操作系统而互不干扰,这些“新”机器各自拥有自己独立的CMOS、硬盘和操作系统,可以像使用普通机器一样对它们进行分区、格式化、安装系统和应用软件等操作,所有的这些操作都是一个虚拟的过程不会对真实的主机造成影响,还可以将这几个操作系统联成一个网络。

可以采用VMware实现一个虚拟的网络,引导黑客或病毒来攻击这个网络,从而发现这个攻击的特征,进而对这个攻击进行很好地防护。版权所有,盗版必纠3.4告警与响应实例3-3用VMwar版权所有,盗版必纠返回ThanksForAttendance!致谢版权所有,盗版必纠返回ThanksForAttendan版权所有,盗版必纠第3章入侵检测系统模型李剑北京邮电大学信息安全中心E-mail:lijian@电话:130-01936882版权所有,盗版必纠第3章入侵检测系统模型版权所有,盗版必纠概述 所有的入侵检测系统模型都是由三部分组成的,它们是信息收集模块、信息分析模块和告警与响应模块,如图3.1所示。本节来分别讲述这三块的功能与作用。版权所有,盗版必纠概述 所有的入侵检测系版权所有,盗版必纠概述

版权所有,盗版必纠概述 版权所有,盗版必纠3.1入侵检测系统模型概述 入侵检测系统,顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。版权所有,盗版必纠3.1入侵检测系统模型概述 入版权所有,盗版必纠3.1入侵检测系统模型概述IDS发展到目前,按照不同的角度区分,已经出现了主机基和网络基的入侵检测系统;基于模式匹配、异常行为、协议分析等检测技术的系统。第四代入侵检测技术是主机基+网络基+安全管理+协议分析+模式匹配+异常统计,它的优点在于入侵检测和多项技术协同工作,建立全局的主动保障体系,误报率、漏报率、滥报率较低,效率高,可管理性强,并实现了多级的分布式的检测管理,网络基和主机基入侵检测,协议分析和模式匹配以及异常统计相结合,取长补短,可以进行更有效的检测。版权所有,盗版必纠3.1入侵检测系统模型概述版权所有,盗版必纠3.1入侵检测系统模型概述美中不足的是,IDS普遍存在误报问题,导致入侵检测的实用性大打折扣,采用智能处理模块解决这个问题,智能处理模块包括下面功能:1.全面集成入侵检测技术,将多个代理传送到管理器的数据整合起来,经过智能处理,将小比例的多个事件整合形成一个放大的全面事件图。2.对于一个特定的漏洞和攻击方法,IDS先分析系统是否会因为这个缺陷而被入侵,然后再考虑与入侵检测的关联(报警)。版权所有,盗版必纠3.1入侵检测系统模型概述版权所有,盗版必纠3.1入侵检测系统模型概述3.用户自定义规则:用户可以根据漏洞扫描系统评估自己的系统,根据服务器操作系统类型,所提供的服务以及根据漏洞扫描结果制定属于自己的规则文件。这对管理员提出了更高的要求。4.采用先进的协议分析+模式匹配(滥用检测和异常检测结合使用)+异常统计的检测分析方法。版权所有,盗版必纠3.1入侵检测系统模型概述3.用户自定版权所有,盗版必纠3.1入侵检测系统模型概述图:版权所有,盗版必纠3.1入侵检测系统模型概述图:版权所有,盗版必纠3.2信息收集入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。版权所有,盗版必纠3.2信息收集入侵检测的版权所有,盗版必纠3.2信息收集当然,入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样,而实际上不是。例如,UNIX系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。这需要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。版权所有,盗版必纠3.2信息收集当然,入侵检测版权所有,盗版必纠3.2信息收集3.2.1信息收集概述数据收集机制在IDS中占据着举足轻重的位置。如果收集的数据时延较大,检测就会失去作用;如果数据不完整,系统的检测能力就会下降;如果由于错误或入侵者的行为致使收集的数据不正确,IDS就会无法检测某些入侵,给用户以安全的假象。1.分布式与集中式数据收集机制(1)分布式数据收集:检测系统收集的数据来自一些固定位置而且与受监视的网元数量无关。(2)集中式数据收集:检测系统收集的数据来自一些与受监视的网元数量有一定比例关系的位置。版权所有,盗版必纠3.2信息收集3.2.1信息收集概述版权所有,盗版必纠3.2信息收集2.直接监控和间接监控如果IDS从它所监控的对象处直接获得数据,则称为直接监控;反之,如果IDS依赖一个单独的进程或工具获得数据,则称为间接监控。就检测入侵行为而言,直接监控要优于间接监控,由于直接监控操作的复杂性,目前的IDS产品中只有不足20%使用了直接监控机制。版权所有,盗版必纠3.2信息收集2.直接监控和间接监控版权所有,盗版必纠3.2信息收集3.基于主机的数据收集和基于网络的数据收集基于主机的数据收集是从所监控的主机上获取的数据;基于网络的数据收集是通过被监视网络中的数据流获得数据。总体而言,基于主机的数据收集要优于基于网络的数据收集。版权所有,盗版必纠3.2信息收集3.基于主机的数据收集和版权所有,盗版必纠3.2信息收集4.外部探测器和内部探测器(1)外部探测器是负责监测主机中某个组件(硬件或软件)的软件。它将向IDS提供所需的数据,这些操作是通过独立于系统的其他代码来实施的。(2)内部探测器是负责监测主机中某个组件(硬件或软件)的软件。它将向IDS提供所需的数据,这些操作是通过该组件的代码来实施的。外部探测器和内部探测器在用于数据收集时各有利弊,可以综合使用。由于内部探测器实现起来的难度较大,所以在现有的IDS产品中,只有很少的一部分采用它。版权所有,盗版必纠3.2信息收集4.外部探测器和内部探版权所有,盗版必纠3.2信息收集3.2.2信息源的获取入侵检测利用的信息源一般来自以下四个方面:1.系统和网络日志文件黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。版权所有,盗版必纠3.2信息收集3.2.2信息源的获取版权所有,盗版必纠3.2信息收集2.目录和文件中的不期望的改变网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。版权所有,盗版必纠3.2信息收集2.目录和文件中的不期版权所有,盗版必纠3.2信息收集3.程序执行中的不期望行为网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程,以及与网络间其它进程的通讯。版权所有,盗版必纠3.2信息收集3.程序执行中的不期望版权所有,盗版必纠3.2信息收集4.物理形式的入侵信息这包括两个方面的内容,一是未授权的对网络硬件连接;二是对物理资源的未授权访问。黑客会想方设法去突破网络的周边防卫,如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件。依此,黑客就可以知道网上的由用户加上去的不安全(未授权)设备,然后利用这些设备访问网络。例如,用户在家里可能安装Modem以访问远程办公室,与此同时黑客正在利用自动工具来识别在公共电话线上的Modem,如果拨号访问流量经过了这些自动工具,那么这一拨号访问就成为了威胁网络安全的后门。黑客就会利用这个后门来访问内部网,从而越过了内部网络原有的防护措施,然后捕获网络流量,进而攻击其它系统,并偷取敏感的私有信息等等。版权所有,盗版必纠3.2信息收集4.物理形式的入侵信息版权所有,盗版必纠3.2信息收集3.2.3信息的标准化不同的入侵检测产品(如Snort,RealSecure等)之间或同一个入侵检测产品内部各个模块之间通常使用各自定义的信息描述语言和格式,没有一个统一的标准接口,从而使得它们之间不能很好地沟通与协作。目前,OWL(WebOntologyLanguage)已经逐渐成为语义信息描述的事实标准,正在为越来越多的系统所应用。这里将介绍入侵检测系统中一套完整的基于OWL的信息描述机制。版权所有,盗版必纠3.2信息收集3.2.3信息的标准化版权所有,盗版必纠3.2信息收集3.2.3信息的标准化1.相关研究目前的知识描述语言有许多种,如XML,RDF,DAML,DAML+OIL和OWL等。XML是Web上数据交换的标准,它可以表达任意结构的数据,但是它在表示数据的语义方面不是很强。Ontology本体可以较为有效地解决信息之间的语义不确定等问题。目前语义Web上的Ontology表示语言主要有RDF、OIL(OntologyInterchangeLanguage)、DAML(DarpaAgentMarkupLanguage)、DAML与OIL结合起来而产生的DAML+OIL、OWL。版权所有,盗版必纠3.2信息收集3.2.3信息的标准化版权所有,盗版必纠3.2信息收集3.2.3信息的标准化RDF是一种简单的Ontology表示语言。但是RDF的缺点是其表达能力差,例如,它没有变量,它只支持字符型,不支持整型、实型等其它简单数据类型。它只有属性的Domain和range约束,没有否定,没有传递属性transitive、互反属性inverse,不能表示等价性和不相交性、没有类成员的充分必要条件,不能描述等价性等。OIL以RDF为起点,用更为丰富的Ontology建模原语对RDFScheme进行扩充。OIL的缺点是它不能表达类或属性的等价性。版权所有,盗版必纠3.2信息收集3.2.3信息的标准化版权所有,盗版必纠3.2信息收集3.2.3信息的标准化在RDF和OIL的基础上,DAML尝试将RDF和OIL的优点结合起来产生了DAML+OIL。OWL是W3C在DAML+OIL基础上近几年发展起来的。它与DAML+OIL的实质区别体现为OWL通过选择Web本体取消了有条件的数量限制并直接说明属性是对称的;减少了一些不规则的DAML+OIL结构抽象语法,特别是对外层组件的约束和它们意义的差别;各种结构名称也有改变。基于以上原因,这里选择了OWL作为IDS的信息描述工具。版权所有,盗版必纠3.2信息收集3.2.3信息的标准化版权所有,盗版必纠3.2信息收集2.基于OWL的信息描述解决方案这里将采用OWL作为整个分布式IDS中信息描述的工具,并以一个入侵检测实例为例说明方案的实现过程。如图3.3所示为基于OWL信息描述的IDS模型。版权所有,盗版必纠3.2信息收集2.基于OWL的信息描版权所有,盗版必纠3.2信息收集整个安全模型由安全管理平台,事件分析器,感应器和数据源组成。由系统安全管理员制定安全策略,并通过安全管理平台分发给各个事件分析器。数据源包括来自网络和主机的各种信息。感应器可以是不同种类的分布式安全部件代理,它们将收集到的安全信息传给事件分析器进行安全分析。分析器再将分析后的结果通过网络安全管理平台传输给安全管理员,管理员再对安全事件进行响应。版权所有,盗版必纠3.2信息收集整个安全模型由安版权所有,盗版必纠3.2信息收集

在IDS的消息描述方面最出名的是入侵检测工作组IDWG提出的入侵检测交换格式IDMEF(IntrusionDetectionMessageExchangeFormat)。它是一种基于XML的网络入侵检测告警信息描述标准,它针对IDS而设计,具有良好的开放性、可扩展性和商业互操作性。IDMEF仅仅对网络安全告警信息和设备心跳信息进行了描述,并且采用DTD(DocumentTypeDefinition)作为对XML数据的约束。版权所有,盗版必纠3.2信息收集在IDS的消息描述版权所有,盗版必纠3.2信息收集IDMEF数据模型是一种面向对象的入侵检测告警信息和设备心跳信息描述模型。如图3.4所示,在IDMEF-Message根类中包含两个了类:Alert和HeartBeat。它们和IDMEF-Message之间是继承关系,它继承了IDMEF-Message的所有属性。Alert和HeartBeat分别用于对安全告警信息和设备心跳信息进行描述。版权所有,盗版必纠3.2信息收集IDMEF数据模版权所有,盗版必纠3.2信息收集IDMEF版权所有,盗版必纠3.2信息收集IDMEF版权所有,盗版必纠3.2信息收集4.IDS中基于OWL的安全消息通信机制在图3.2基于OWL信息描述的IDS模型当中,多个感应器可以和事件分析器之间可以采用基于OWL的消息机制进行通信。考虑到感知器的异构性、通信的安全性、系统的效率等问题,通信机制主要要求以下两点:(1)将异构的感知检测到的信息采用统一的数据格式,这里采用基于OWL的信息描述。(2)保证通信的安全性。其通信模型如图3.5所示:版权所有,盗版必纠3.2信息收集4.IDS中基于OWL版权所有,盗版必纠3.2信息收集其通信模型如图3.5所示:版权所有,盗版必纠3.2信息收集其通信模型如图3.5所示版权所有,盗版必纠3.2信息收集在IDS中,感知器和事件分析器之间进行通信的时候,分为两层:OWL层和SSL层。OWL层负责使用OWL语言将感知器收集到的信息转换成统一的OWL语言字符串。SSL层使用SSL协议进行通信。通信的时候,首先感知器与事件分析器之间建立SSL安全会话,经过双方进行身份认证之后,感知器将OWL层生在成的消息进行RSA加密,然后通过SSL层传输给事件分析器。事件分析器收到加密的OWL消息之后进行解密,然后再进行OWL消息解析,以得到原始发送过来的消息。OWL消息解析的时候可以使用惠普公司的免费软件Jena。版权所有,盗版必纠3.2信息收集在IDS中,感知版权所有,盗版必纠3.3信息分析对上一节收集到的四类有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。版权所有,盗版必纠3.3信息分析对上一节收集到的四类版权所有,盗版必纠3.3信息分析3.3.1模式匹配

模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。版权所有,盗版必纠3.3信息分析3.3.1模式匹配版权所有,盗版必纠3.3信息分析3.3.2统计分析

统计分析方法通常用于异常入侵检测当中,它首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。版权所有,盗版必纠3.3信息分析3.3.2统计分析版权所有,盗版必纠3.3信息分析3.3.3完整性分析完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被木马化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。版权所有,盗版必纠3.3信息分析3.3.3完整性分析版权所有,盗版必纠3.3信息分析3.3.4数据分析机制根据IDS如何处理数据,可以将IDS分为分布式IDS和集中式IDS。1.分布式IDS:在一些与受监视组件相应的位置对数据进行分析的IDS。2.集中式IDS:在一些固定且不受监视组件数量限制的位置对数据进行分析的IDS。这些定义是基于受监视组件的数量而不是主机的数量,所以如果在系统中的不同组件中进行数据分析,除了安装集中式IDS外,有可能在一个主机中安装分布式数据分析的IDS。分布式和集中式IDS都可以使用基于主机、基于网络或两者兼备的数据收集方式。版权所有,盗版必纠3.3信息分析3.3.4数据分析机制版权所有,盗版必纠3.3信息分析3.3.4数据分析机制分布式IDS与集中式IDS的特点比较如下: 1.可靠性集中式:仅需运行较少的组件;分布式:需要运行较多的组件。

2.容错性集中式:容易使系统从崩溃中恢复,但也容易被故障中断。分布式:由于分布特性,所有数据存储时很难保持一致性和可恢复性。版权所有,盗版必纠3.3信息分析3.3.4数据分析机制版权所有,盗版必纠3.3信息分析3.3.4数据分析机制3.增加额外的系统开销集中式:仅在分析组件中增加了一些开销,那些被赋予了大量负载的主机应专门用作分析。分布式:由于运行的组件不大,主机上增加的开销很小,但对大部分被监视的主机增加了额外开销。版权所有,盗版必纠3.3信息分析3.3.4数据分析机制版权所有,盗版必纠3.3信息分析3.3.4数据分析机制4.可扩容性集中式:IDS的组件数量被限定,当被监视主机的数量增加时,需要更多的计算和存储资源处理新增的负载。分布式:分布式系统可以通过增加组件的数量来监视更多的主机,但扩容将会受到新增组件之间需要相互通信的制约。版权所有,盗版必纠3.3信息分析3.3.4数据分析机制版权所有,盗版必纠3.3信息分析3.3.4数据分析机制5.平缓地降低服务等级 集中式:如果有一个分析组件停止了工作,一部分程序和主机就不再被监视,但整个IDS仍在继续工作。 分布式:如果有一个分析组件停止了工作,整个IDS就有可能停止工作。

6.动态地重新配置 集中式:使用很少的组件来分析所有的数据,如果重新配置它们需要重新启动IDS。 分布式:很容易进行重新配置,不会影响剩余部分的性能。由于分布式不易实现,目前的IDS产品多是集中式的。版权所有,盗版必纠3.3信息分析3.3.4数据分析机制版权所有,盗版必纠3.4告警与响应在入侵检测系统中,当完成系统安全状况分析并确定系统所出问题之后,就要让系统管理员知道这些问题的存在,这在入侵检测处理过程模型中称为告警与响应。告警通常以报告的形式告诉系统管理员被监测对象的安全状况。响应包括被动响应和主动响应。版权所有,盗版必纠3.4告警与响应在入侵检测系统中,版权所有,盗版必纠3.4告警与响应3.4.1被动响应与主动响应被动响应就是系统仅仅简单地记录和报告所检测出的问题,而主动响应则是系统(自动地或与用户配合)为阻止或影响正在发生的攻击进程而采取行动。在早期的入侵检测系统中被动响应是唯一的响应模式,随着技术的不断发展和人们对安全性的不断提高主动响应成为现今入侵检测系统的主要响应模式。主动响应主要包括以下几种选项可供选择:版权所有,盗版必纠3.4告警与响应3.4.1被动响应与主版权所有,盗版必纠3.4告警与响应3.4.1被动响应与主动响应1.对入侵者采取反击行动(1)入侵追踪技术对入侵者采取反击行动的方式在一些组织和机构特别受欢迎,因为这些组织和机构的网络安全管理人员特别希望能够追踪入侵者的攻击来源,并采取行动切断入侵者的机器和网络连接。但是这一方式本身就存在安全漏洞。首先入侵者的常用攻击方法是先黑掉一个系统,然后在利用被黑掉的系统作为攻击另外系统的平台;其次,即使入侵者来自一个合法的系统,但他也会利用IP地址欺骗技术使反击误伤到无辜者;并且反击的结果可能挑起更猛烈的攻击,因为入侵者会从常规监视和扫描演变

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论