




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
网络安全入侵检测技术第五章入侵检测技术5.15.25.35.4概述 入侵检测技术 入侵检测体系 入侵检测发展55.11234
概述
入侵检测系统及起源IDS基本结构入侵检测的分类基本术语IDS存在与发展的必然性网络安全本身的复杂性,被动式的防御方式显得力不从心。有关防火墙:网络边界的设备;自身可以被攻破;对某些攻击保护很弱;并非所有威胁均来自防火墙外部。入侵很容易:入侵教程随处可见;各种工具唾手可得入侵检测系统(IDS)入侵检测(IntrusionDetection)的定义:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测系统(IDS):进行入侵检测的软件与硬件的组合。入侵检测的起源(1)审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程。1980年,JamesP.Anderson的《计算机安全威胁监控与监视》(《ComputerSecurityThreatMonitoringandSurveillance》)-第一次详细阐述了入侵检测的概念-计算机系统威胁分类:外部渗透、内部渗透和不法行为-提出了利用审计跟踪数据监视入侵活动的思想-这份报告被公认为是入侵检测的开山之作入侵检测的起源(2)1984年到1986年,乔治敦大学的DorothyDenning和SRI/CSL的PeterNeumann研究出了一个实时入侵检测系统模型——IDES(入侵检测专家系统)1990年,加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(NetworkSecurityMonitor)-该系统第一次直接将网络流作为审计数据来源,因而可以
在不将审计数据转换成统一格式的情况下监控异种主机-入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS入侵检测的起源(3)1988年之后,美国开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。IDS基本结构IDS通常包括以下功能部件:P182事件产生器事件分析器事件数据库响应单元事件产生器(1)负责原始数据采集,并将收集到的原始数据转换为事件,向系统的其他部分提供此事件。收集内容:系统、网络数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息-系统或网络的日志文件-网络流量-系统目录和文件的异常变化-程序执行中的异常行为事件产生器((2)注意:入侵检测很大大程度上依赖赖于收集信息息的可靠性和和正确性-要保证用用来检测网络络系统的软件件的完整性-特别是入入侵检测系统统软件本身应应具有相当强强的坚固性,,防止被篡改而而收集到错误误的信息事件分析器接收事件信息息,对其进行行分析,判断断是否为入侵侵行为或异常常现象,最后将将判断的结果果转变为告警警信息。分析方法:-模式匹配:将将收集到的信信息与已知的的网络入侵和和系统误用模模式数据库进进行比较,从而而发现违背安安全策略的行行为-统计分析析:首先给系系统对象(如如用户、文件件、目录和设设备等)创建建一个统计描述,统计计正常使用时时的一些测量量属性(如访访问次数、操操作失败次数数和延时等);测测量属性的平平均值和偏差差将被用来与与网络、系统统的行为进行行比较,任何观察察值在正常值值范围之外时时,就认为有有入侵发生-完整性分分析(往往用用于事后分析析):主要关关注某个文件件或对象是否否被更改事件数据库存放各种中间间和最终数据据的地方。从事件产生器器或事件分析析器接收数据据,一般会将将数据进行较长时间的的保存。响应单元根据告警信息息做出反应,,是IDS中中的主动武器器。可做出:-强烈反应应:切断连接接、改变文件件属性等-简单的报报警入侵检测的分分类按照分析方法法/检测原理理按照数据来源源按照体系结构构按照工作方式式入侵检测性能能关键参数误报(falsepositive):实际无害害的事件却被被IDS检测测为攻击事件。漏报(falsenegative):一个攻击击事件未被IDS检测到到或被分析人员认认为是无害的的。入侵检测的分分类(1)按照分析方法法/检测原理理-异常检测测(AnomalyDetection):首先总结结正常操作应应该具有的特征((用户轮廓)),试图用定定量的方式加加以描述,当用户活动与与正常行为有有重大偏离时时即被认为是是入侵-误用检测测(MisuseDetection):收收集非正常操操作的行为特特征,建立相关关的特征库,,当监测的用用户或系统行行为与库中的记录相匹配配时,系统就就认为这种行行为是入侵异常检测前提:入侵是是异常活动的的子集用户轮廓(Profile):通通常定义为各各种行为参数数及其阀值的集合,用于于描述正常行行为范围过程:监控量化比较判定修正指标:漏报率率低,误报率率高异常检测特点点异常检测系统统的效率取决决于用户轮廓廓的完备性和和监控的频率不需要对每种种入侵行为进进行定义,因因此能有效检检测未知的入侵系统能针对用用户行为的改改变进行自我我调整和优化化,但随着检测模型的逐逐步精确,异异常检测会消消耗更多的系系统资源指标:误报低低、漏报高误用检测前提:所有的的入侵行为都都有可被检测测到的特征攻击特征库:当监测的的用户或系统统行为与库中中的记录相匹配时,系系统就认为这这种行为是入入侵过程:监控特征提取匹配判定误用检测如果入侵特征征与正常的用用户行为能匹匹配,则系统统会发生误报;如果没有特特征能与某种种新的攻击行行为匹配,则则系统会发生漏报特点:采用模模式匹配,误误用模式能明明显降低误报报率,但漏报率随之增加加。攻击特征征的细微变化化,会使得误误用检测无能为力。入侵检测的分分类(2)按照数据来源源-基于主机机:系统获取取数据的依据据是系统运行行所在的主机机,保护的目标也也是系统运行行所在的主机机-基于网络络:系统获取取的数据是网网络传输的数数据包,保护护的是网络的正常常运行-混合型InternetCustomersDesktopsNetworkBranchOfficeTelecommutersPartners基于主机的入入侵检测系统统(HIDS)HackerWebServersHIDSServersHIDSHIDS的工作原理X检测内容:系统调用、端端口调用、审审计记录、系统日志、应用日志志客户端Internet网络服务器1HIDS网络服务器2HIDS注意:监视与分析主主机的审计记记录和日志文文件主要用于保护护运行关键应应用的服务器器最适合于检测测那些可以信信赖的内部人人员的误用以以及已经避开了传统统的检测方法法而渗透到网网络中的活动动能否及时采集集到审计记录录如何保护作为为攻击目标的的HIDSHIDSInternetWebServersCustomersServersNetworkBranchOfficeTelecommutersPartners基于网络的入入侵检测系统统(NIDS)NIDSDesktopsNIDSNIDSNIDS基于网络入侵侵检测系统工工作原理数据包=包头信息+有效数据部部分网络服务器1网络服务器2检测内容:包头信息+有有效数据部分分X客户端Internet注意:在共享网段上上对通信数据据进行侦听采采集数据主机资源消耗耗少提供对网络通通用的保护如何适应高速速网络环境非共享网络上上如何采集数数据典型产品代表表:SnortNIDS两类IDS监测软件网络IDS-侦测速度度快-隐蔽性好好-视野更宽宽-较少的监监测器-占资源少少主机IDS-视野集中中-易于用户户自定义-保护更加加周密-对网络流流量不敏感入侵检测的分分类(3)按照体系结构构-集中式::有多个分布布于不同主机机上的审计程程序,但只有有一个中央入侵检检测服务器。。审计程序把把当地收集到到的数据踪迹发送给中央央服务器进行行分析处理。。(可伸缩性性、可配置性差)-分布式::将中央检测测服务器的任任务分配给多多个HIDS,它们不分等级,负负责监控当地地主机的可疑疑活动。(可可伸缩性、安全性高;但但维护成本高高,监控主机机的工作负荷荷重)入侵检测的分分类(4)按照工作方式式-离线检测测:非实时工工作,在行为为发生后,对对产生的数据据进行分析。(成成本低,可分分析大量事件件、分析长期期情况;但无法提供及时时保护)-在线检测测:实时工作作,在数据产产生的同时或或者发生改变变时进行分析(反反应迅速、及及时保护系统统;但系统规规模较大时,实时性难难以得到实际际保证)Alert((警报)Signatures((特征)Promiscuous(混杂模式式)基本术语当一个入侵正正在发生或者者试图发生时时,IDS将将发布一个alert信信息通知系统统管理员如果控制台与与IDS同在在一台机器,,alert信息将显示示在监视器上,也可可能伴随有声声音提示如果是远程控控制台,那么么alert将通过IDS的内置方方法(通常是加密密的)、SNMP(简单单网络管理协协议,通常不不加密)、email、SMS(短信信息)或者以以上几种方法法的混合方式传递给给管理员Alert(警报)攻击特征是IDS的核心心,它使IDS在事件发发生时触发特征信息过短短会经常触发发IDS,导导致误报或错错报;过长则会影响IDS的工作速速度有人将IDS所支持的特特征数视为IDS好坏的的标准,但是是有的厂商用一个个特征涵盖许许多攻击,而而有些厂商则则会将这些特征单独列列出,这就会会给人一种印印象:好像它它包含了更多的特征,,是更好的IDSSignatures(特征)Promiscuous(混杂模式))默认状态下,,IDS网络络接口只能“看到”进出主机的信信息,也就是所谓的的non-promiscuous(非混杂模模式)如果网络接口口是混杂模式式,就可以“看到”网段中所有的的网络通信量,,不管其来源源或目的地这对于网络IDS是必要要的5.2入侵检测技术术异常检测技术术误/滥用检测技术术高级检测技术术入侵诱骗技术术入侵响应技术术12345概率统计异常常检测特征选择异常常检测贝叶斯推理异异常检测贝叶斯网络异异常检测模式预测异常常检测神经网络异常常检测机器学习异常常检测数据挖掘异常常检测异常检测技术术概率统计异常常检测方法是异常检测技技术中应用最最早也是最多多的一种方法法根据异异常检检测器器观察察主体体的活活动,,然后后产生生刻划划这些些活动动的行为为轮廓廓(用用户特特征表表)每一个个轮廓廓保存存记录录主体体当前前行为为,并并定时时将当当前轮轮廓与与历史轮轮廓合合并形形成统统计轮轮廓((更新新),,通过过比较较当前前轮廓廓与统计计轮廓廓来判判定异异常行行为用于描描述特特征的的变量量类型型及具具体操操作::P189概率统统计异异常检检测方方法优点::可应应用成成熟的的概率率统计计理论论缺点::-由由于用用户行行为的的复杂杂性,,要想想准确确地匹匹配一一个用用户的的历史史行为非常常困难难,容容易造造成系系统误误报和和漏报报-定定义入入侵阈阈值比比较困困难,,阈值值高则则误报报率提提高,,阈值值低则则漏报率增增高基于神神经网网络异异常检检测方方法基本思思想::用一一系列列信息息单元元(命命令))训练练神经经元神经网网络的的输入入层是是用户户当前前输入入的命命令和和已执执行过过的W个命令令;用用户执执行过过的命命令被被神经经网络络使用用来预预测用用户输输入的下下一个个命令令若神经经网络络被训训练成成预测测用户户输入入命令令序列列集合合,则则神经经网络就就构成成用户户的轮轮廓框框架,,于是是网络络对下下一事事件的的预测测错误率率在一一定程程度上上反映映了用用户行行为的的异常常程度度用于入入侵检检测的的神经经网络络示意意图::P190基于神神经网网络异异常检检测方方法优点::-更好好地表表达了了变量量间的的非线线性关关系,,能更更好地地处理理原始始数据的随随机特特征,,即不不需要要对这这些数数据做做任何何统计计假设设,并并且能自自动学学习和和更新新-有有较好好的抗抗干扰扰能力力缺点::网络络拓扑扑结构构以及及各元元素的的权重重很难难确定定主要假假设::具有有能够够被精精确地地按某某种方方式编编码的的攻击击,并可以以通过过捕获获攻击击及重重新整整理,,确认认入侵侵活动动是基基于同一弱弱点进进行攻攻击的的入侵侵方法法的变变种误用入入侵检检测::指通通过按按预先先定义义好的的入侵侵模式式以及及观察到入入侵发发生情情况进进行模模式匹匹配来来检测测入侵模模式说说明了了那些些导致致安全全突破破或其其它误误用的的事件件中的特征征、条条件、、排列列和关关系。。一个个不完完整的的模式式可能能表明存在在多种种构造造方式式的入入侵企企图误/滥用检测测技术术条件概概率滥滥用检检测专家系系统滥滥用检检测状态转转换分分析滥滥用检检测键盘监监控滥滥用检检测模型推推理滥滥用检检测滥用入入侵检检测方方法专家系系统滥滥用入入侵检检测方方法是滥用用检测测技术术中运运用最最多的的一种种方法法通过将将安全全专家家的知知识表表示成成If-Then结结构的的规则则(if部分:构构成入入侵所所要求求的条条件;;then部分分:发发现入入侵后后采取取的相应应措施施)形形成专专家知知识库库,然然后运运用推推理算算法检检测入入侵注意::需要解解决的的主要要问题题是处处理序序列数数据和和知识识库的的维护护(只只能检测测已知知弱点点);;专家系系统滥滥用入入侵检检测方方法具体实实现中中所面面临的的问题题:-全面面性问问题::难以以科学学地从从各种种入侵侵手段段中抽抽象出出全面面地规规则化知知识;;-效率率问题题:需需要处处理的的数据据量过过大商业产产品一一般不不采用用专家家系统统状态转转换分分析滥滥用入入侵检检测方方法主要思思想::将入入侵过过程看看作一一个行行为序序列,,该行行为序序列导导致系统统从初初始状状态转转入被被入侵侵状态态。分分析时时,需需要针针对每每一种入入侵方方法确确定系系统的的初始始状态态和被被入侵侵状态态,以以及导导致状态态转换换的转转换条条件((导致致系统统进入入被入入侵状状态必必须执执行的操操作/特征征事件件);;然后后用状状态转转换图图来表表示每每一个个状态和特特征事事件。。缺点::不善善于分分析过过分复复杂的的事件件,也也不能能检测测与系系统状状态无关关的入入侵高级检检测技技术文件完完整性性检查查计算机机免疫疫检测测遗传算算法模糊证证据理理论数据挖挖掘数据融融合文件完完整性性检查查主要思思想::检查查计算算机中中自上上次检检查后后文件件的变变化情情况。。首先保存存保护护文件件的信信息摘摘要数数据库库,每每次检检查时时,重重新计计算文件的的数字字摘要要并与与之进进行比比较,,并判判断文文件是是否被被更改改。典型产产品代代表::Tripwire优点::几乎乎不可可能攻攻破((数学学上分分析));有有效的的检测测文件件是否被更更改的的工具具;灵灵活性性好缺点::依赖赖于本本地的的文摘摘数据据库,,可能能被入入侵者者修改改;做做完整的文文件完完整性性检查查非常常耗时时计算机机免疫疫检测测受生物物免疫疫机制制的启启发::生物物系统统中的的脆弱弱性因因素都都是由由免疫系统来妥妥善处理的,,而这种免疫疫机制在处理理外来异常时呈现了分布布的、多样性性的、自治的的和自修复的的特征,免疫系统通过识识别异常或以以前未出现的的特征来确定定入侵。主要思想:通通过正常行为为(以系统处处理为中心))的学习来识别不符合常常态的行为序序列。缺点:难以获获得程序运行行的所有情况况的执行轨迹迹;检测不出利用程序合合法活动进行行非授权存取取的攻击。数据挖掘数据挖掘(DataMining):从大大型数据库或或数据仓库中中提取人们感兴趣趣的知识,这这些知识是隐隐含的、事先先未知的潜在在有用信息,提提取的知识一一般可表示为为概念、规则则、规律、模模式等等形形式式。。数据据挖挖掘掘技技术术是是一一种种决决策策支支持持过过程程,,它它是是一一门门交交叉叉性性学学科科,,主要要基基于于AI,,机机器器学学习习、、模模式式识识别别、、统统计计学学、、数数据据库库等等技技术,,能能高高度度自自动动化化地地分分析析原原有有数数据据,,做做出出归归纳纳性性推推理理,,从从而而提取取出出有有用用信信息息。。数据据挖挖掘掘过过程程::数数据据准准备备、、数数据据清清理理和和集集成成、、数数据据挖挖掘掘、、知知识表表示示、、模模式式评评估估数据据挖挖掘掘运用用关关联联分分析析,,能能够够提提取取入入侵侵行行为为在在时时间间和和空空间间上上的的关关联联,,可以以进进行行的的关关联联包包括括源源IP关关联联、、目目标标IP关关联联、、数数据据包包特特征征关关联、、时时间间周周期期关关联联、、网网络络流流量量关关联联等等可以以解解决决的的问问题题::-弥弥补补模模式式匹匹配配技技术术对对未未知知攻攻击击无无能能为为力力的的弱弱点点-使使检检测测模模型型的的构构建建自自动动化化,,发发展展异异常常检检测测方方法法数据据挖挖掘掘技技术术在在入入侵侵检检测测中中的的主主要要应应用用方方向向::-发发现现入入侵侵的的规规则则、、模模式式,,与与模模式式匹匹配配检检测测方方法法相相结结合合-找找出出用用户户正正常常行行为为,,创创建建用用户户的的正正常常行行为为库库谢谢谢!!网络络安安全全入侵侵检检测测技技术术第五五章章入入侵侵检检测测技技术术5.15.25.35.4概述述入侵侵检检测测技技术术入侵侵检检测测体体系系入侵侵检检测测发发展展55.11234概述述入侵侵检检测测系系统统及及起起源源IDS基本本结结构构入侵侵检检测测的分分类类基本本术术语语IDS存在在与与发发展展的的必必然然性性网络络安安全全本本身身的的复复杂杂性性,,被被动动式式的的防防御御方方式式显显得得力力不不从从心心。。有关关防防火火墙墙::网网络络边边界界的的设设备备;;自自身身可可以以被被攻攻破破;;对对某某些些攻攻击保保护护很很弱弱;;并并非非所所有有威威胁胁均均来来自自防防火火墙墙外外部部。。入侵侵很很容容易易::入入侵侵教教程程随随处处可可见见;;各各种种工工具具唾唾手手可可得得入侵侵检检测测系系统统((IDS)入侵侵检检测测((IntrusionDetection))的的定定义义::通通过过从从计计算算机机网络络或或计计算算机机系系统统中中的的若若干干关关键键点点收收集集信信息息并并对对其其进进行行分分析,,从从中中发发现现网网络络或或系系统统中中是是否否有有违违反反安安全全策策略略的的行行为为和和遭遭到袭袭击击的的迹迹象象的的一一种种安安全全技技术术。。入侵侵检检测测系系统统((IDS))::进进行行入入侵侵检检测测的的软软件件与与硬硬件件的的组组合。。入侵侵检检测测的的起起源源((1)审计计技技术术::产产生生、、记记录录并并检检查查按按时时间间顺顺序序排排列列的的系系统统事事件记记录录的的过过程程。。1980年年,,JamesP.Anderson的的《《计计算算机机安安全全威威胁胁监监控控与与监视视》》((《《ComputerSecurityThreatMonitoringandSurveillance》》))-第第一一次次详详细细阐阐述述了了入入侵侵检检测测的的概概念念-计计算算机机系系统统威威胁胁分分类类:外外部部渗渗透透、、内内部部渗渗透透和和不不法法行行为为-提提出出了了利利用用审审计计跟跟踪踪数数据据监监视视入入侵侵活活动动的的思思想想-这这份份报报告告被被公公认认为为是是入入侵侵检检测测的的开开山山之之作作入侵侵检检测测的的起起源源((2)1984年年到到1986年年,,乔乔治治敦敦大大学学的的DorothyDenning和和SRI/CSL的的PeterNeumann研研究究出出了了一一个个实实时时入入侵侵检检测测系系统统模模型———IDES((入入侵侵检检测测专专家家系系统统))1990年年,,加加州州大大学学戴戴维维斯斯分分校校的的L.T.Heberlein等等人人开开发发出了了NSM((NetworkSecurityMonitor))-该该系系统统第第一一次次直直接接将将网网络络流流作作为为审审计计数数据据来来源源,,因因而而可可以以在不不将将审审计计数数据据转转换换成成统统一一格格式式的的情情况况下下监监控控异异种种主主机机-入入侵侵检检测测系系统统发发展展史史翻翻开开了了新新的的一一页页,,两两大大阵阵营营正正式式形形成::基基于于网网络络的的IDS和和基基于于主主机机的的IDS入侵侵检检测测的的起起源源((3)1988年年之之后后,,美美国国开开展展对对分分布布式式入入侵侵检检测测系系统统((DIDS))的的研究究,,将将基基于于主主机机和和基基于于网网络络的的检检测测方方法法集集成成到到一一起起。。DIDS是是分布布式入入侵检检测系系统历历史上上的一一个里里程碑碑式的的产品。从20世纪纪90年代代到现现在,,入侵侵检测测系统统的研研发呈呈现出出百家家争鸣的的繁荣荣局面面,并并在智智能化化和分分布式式两个个方向向取得得了长长足的进进展。。IDS基本结结构IDS通常常包括括以下下功能能部件件:P182事件产产生器器事件分分析器器事件数数据库库响应单单元事件产产生器器(1)负责原原始数数据采采集,,并将将收集集到的的原始始数据据转换换为事事件,向向系统统的其其他部部分提提供此此事件件。收集内内容::系统统、网网络数数据及及用户户活动动的状状态和和行为为需要在在计算算机网网络系系统中中的若若干不不同关关键点点(不不同网网段和不同同主机机)收收集信信息-系系统或或网络络的日日志文文件-网网络流流量-系系统目目录和和文件件的异异常变变化-程程序执执行中中的异异常行行为事件产产生器器(2)注意::入侵检检测很很大程程度上上依赖赖于收收集信信息的的可靠靠性和和正确确性-要要保证证用来来检测测网络络系统统的软软件的的完整整性-特特别是是入侵侵检测测系统统软件件本身身应具具有相相当强强的坚坚固性性,防止被被篡改改而收收集到到错误误的信信息事件分分析器器接收事事件信信息,,对其其进行行分析析,判判断是是否为为入侵侵行为为或异异常现象,,最后后将判判断的的结果果转变变为告告警信信息。。分析方方法::-模式匹匹配::将收收集到到的信信息与与已知知的网网络入入侵和和系统统误用用模式式数据据库进进行比较较,从从而发发现违违背安安全策策略的的行为为-统统计分分析::首先先给系系统对对象((如用用户、、文件件、目目录和和设备备等))创建建一个个统计描述述,统统计正正常使使用时时的一一些测测量属属性((如访访问次次数、、操作作失败败次数数和延时等等);;测量量属性性的平平均值值和偏偏差将将被用用来与与网络络、系系统的的行为为进行行比较,任任何观观察值值在正正常值值范围围之外外时,,就认认为有有入侵侵发生生-完完整性性分析析(往往往用用于事事后分分析)):主主要关关注某某个文文件或或对象象是否否被更更改事件数数据库库存放各各种中中间和和最终终数据据的地地方。。从事件件产生生器或或事件件分析析器接接收数数据,,一般般会将将数据据进行较长长时间间的保保存。。响应单单元根据告告警信信息做做出反反应,,是IDS中的的主动动武器器。可做出出:-强强烈反反应::切断断连接接、改改变文文件属属性等等-简简单的的报警警入侵检检测的的分类类按照分分析方方法/检测测原理理按照数数据来来源按照体体系结结构按照工工作方方式入侵检检测性性能关关键参参数误报(falsepositive)::实际际无害害的事事件却却被IDS检测测为攻击事事件。。漏报(falsenegative)::一个个攻击击事件件未被被IDS检检测到到或被分析析人员员认为为是无无害的的。入侵检检测的的分类类(1)按照分分析方方法/检测测原理理-异异常检检测((AnomalyDetection):首先先总结结正常常操作作应该该具有的的特征征(用用户轮轮廓)),试试图用用定量量的方方式加加以描描述,,当用户户活动动与正正常行行为有有重大大偏离离时即即被认认为是是入侵侵-误误用检检测((MisuseDetection)::收集集非正正常操操作的的行为为特征,建建立相相关的的特征征库,,当监监测的的用户户或系系统行行为与与库中中的记录录相匹匹配时时,系系统就就认为为这种种行为为是入入侵异常检检测前提::入侵侵是异异常活活动的的子集集用户轮轮廓(Profile):通通常常定义义为各各种行行为参参数及及其阀阀值的集合合,用用于描描述正正常行行为范范围过程::监控量化比较判定修正指标:漏报报率低低,误误报率率高异常检检测原原理模模型807060activity50measures403020100异常检检测举举例90CPUProcessSizeprobableintrusionnormalprofileabnormal异常检检测特特点异常检检测系系统的的效率率取决决于用用户轮轮廓的的完备备性和和监控控的频频率不需要要对每每种入入侵行行为进进行定定义,,因此此能有有效检检测未未知的的入侵系统能能针对对用户户行为为的改改变进进行自自我调调整和和优化化,但但随着着检测模模型的的逐步步精确确,异异常检检测会会消耗耗更多多的系系统资资源指标:误报报低、、漏报报高误用检检测前提::所有有的入入侵行行为都都有可可被检检测到到的特特征攻击特特征库库:当当监监测的的用户户或系系统行行为与与库中中的记记录相匹配配时,,系统统就认认为这这种行行为是是入侵侵过程::监控特征提提取匹配判定误用检检测模模型Intrusion误用检检测举举例patternmatchingintrusionPatternsactivities例:if(src_ip==dst_ip)then“landattack””误用检检测如果入入侵特特征与与正常常的用用户行行为能能匹配配,则则系统统会发发生误报;如果果没有有特征征能与与某种种新的的攻击击行为为匹配配,则则系统统会发生漏报特点::采用用模式式匹配配,误误用模模式能能明显显降低低误报报率,,但漏漏报率随随之增增加。。攻击击特征征的细细微变变化,,会使使得误误用检检测无无能为力力。入侵检检测的的分类类(2)按照数数据来来源-基基于主主机::系统统获取取数据据的依依据是是系统统运行行所在在的主主机,,保护的的目标标也是是系统统运行行所在在的主主机-基基于网网络::系统统获取取的数数据是是网络络传输输的数数据包包,保保护的的是网络络的正正常运运行-混混合型型InternetCustomersDesktopsNetworkBranchOfficeTelecommutersPartners基于主主机的的入侵侵检测测系统统(HIDS)HackerWebServersHIDSServersHIDSHIDS的工作作原理理X检测内内容::系统调调用、、端口口调用用、审审计记记录、系统日日志、应应用日日志客户端端Internet网络服服务器器1HIDS网络服服务器器2HIDS注意::监视与与分析析主机机的审审计记记录和和日志志文件件主要用用于保保护运运行关关键应应用的的服务务器最适合合于检检测那那些可可以信信赖的的内部部人员员的误误用以以及已已经避开开了传传统的的检测测方法法而渗渗透到到网络络中的的活动动能否及及时采采集到到审计计记录录如何保保护作作为攻攻击目目标的的HIDSHIDSInternetWebServersCustomersServersNetworkBranchOfficeTelecommutersPartners基于网网络的的入侵侵检测测系统统(NIDS)NIDSDesktopsNIDSNIDSNIDS基于网网络入入侵检检测系系统工工作原原理数据包包=包头头信息息+有有效数数据部部分网络服服务器器1网络服服务器器2检测内内容::包头信信息+有效效数据据部分分X客户端端Internet注意::在共享享网段段上对对通信信数据据进行行侦听听采集集数据据主机资资源消消耗少少提供对对网络络通用用的保保护如何适适应高高速网网络环环境非共享享网络络上如如何采采集数数据典型产产品代代表::SnortNIDS两类IDS监测软件网络IDS-侦侦测速速度快快-隐隐蔽性性好-视视野更更宽-较较少的的监测测器-占占资源源少主机IDS-视视野集集中-易易于用用户自自定义义-保保护更更加周周密-对对网络络流量量不敏敏感入侵检检测的的分类类(3)按照体体系结结构-集集中式式:有有多个个分布布于不不同主主机上上的审审计程程序,,但只只有一一个中央央入侵侵检测测服务务器。。审计计程序序把当当地收收集到到的数数据踪踪迹发送送给中中央服服务器器进行行分析析处理理。((可伸伸缩性性、可可配置置性差))-分分布式式:将将中央央检测测服务务器的的任务务分配配给多多个HIDS,,它们们不分等等级,,负责责监控控当地地主机机的可可疑活活动。。(可可伸缩缩性、、安全性性高;;但维维护成成本高高,监监控主主机的的工作作负荷荷重))入侵检检测的的分类类(4)按照工工作方方式-离离线检检测::非实实时工工作,,在行行为发发生后后,对对产生生的数数据进进行分析析。((成本本低,,可分分析大大量事事件、、分析析长期期情况况;但但无法提提供及及时保保护))-在在线检检测::实时时工作作,在在数据据产生生的同同时或或者发发生改改变时时进行分分析((反应应迅速速、及及时保保护系系统;;但系系统规规模较较大时,实时性难难以得到实际际保证)Alert((警报)Signatures((特征)Promiscuous(混杂模式式)基本术语当一个入侵正正在发生或者者试图发生时时,IDS将将发布一个alert信信息通知系统统管理员如果控制台与与IDS同在在一台机器,,alert信息将显示示在监视器上,也可可能伴随有声声音提示如果是远程控控制台,那么么alert将通过IDS的内置方方法(通常是加密密的)、SNMP(简单单网络管理协协议,通常不不加密)、email、SMS(短信信息)或者以以上几种方法法的混合方式传递给给管理员Alert(警报)攻击特征是IDS的核心心,它使IDS在事件发发生时触发特征信息过短短会经常触发发IDS,导导致误报或错错报;过长则会影响IDS的工作速速度有人将IDS所支持的特特征数视为IDS好坏的的标准,但是是有的厂商用一个个特征涵盖许许多攻击,而而有些厂商则则会将这些特征单独列列出,这就会会给人一种印印象:好像它它包含了更多的特征,,是更好的IDSSignatures(特征)Promiscuous(混杂模式))默认状态下,,IDS网络络接口只能“看到”进出主机的信信息,也就是所谓的的non-promiscuous(非混杂模模式)如果网络接口口是混杂模式式,就可以“看到”网段中所有的的网络通信量,,不管其来源源或目的地这对于网络IDS是必要要的5.2入侵检测技术术异常检测技术术误/滥用检测技术术高级检测技术术入侵诱骗技术术入侵响应技术术12345概率统计异常常检测特征选择异常常检测贝叶斯推理异异常检测贝叶斯网络异异常检测模式预测异常常检测神经网络异常常检测机器学习异常常检测数据挖掘异常常检测异常检测技术术概率统计异常常检测方法是异常检测技技术中应用最最早也是最多多的一种方法法根据异常检测测器观察主体体的活动,然然后产生刻划划这些活动的行为轮廓((用户特征表表)每一个轮廓保保存记录主体体当前行为,,并定时将当当前轮廓与历史轮廓合并并形成统计轮轮廓(更新)),通过比较较当前轮廓与统计轮廓来来判定异常行行为用于描述特征征的变量类型型及具体操作作:P189概率统计异常常检测方法优点:可应用用成熟的概率率统计理论缺点:-由于用户户行为的复杂杂性,要想准准确地匹配一一个用户的历历史行为非常困难,,容易造成系系统误报和漏漏报-定义入侵侵阈值比较困困难,阈值高高则误报率提提高,阈值低低则漏报率增高基于神经网络络异常检测方方法基本思想:用用一系列信息息单元(命令令)训练神经经元神经网络的输输入层是用户户当前输入的的命令和已执执行过的W个命令;用户户执行过的命命令被神经网网络使用来预预测用户输入的下一个命命令若神经网络被被训练成预测测用户输入命命令序列集合合,则神经网络就构成用用户的轮廓框框架,于是网网络对下一事事件的预测错误率在一定定程度上反映映了用户行为为的异常程度度用于入侵检测测的神经网络络示意图:P190基于神经网络络异常检测方方法优点:-更好地表达达了变量间的的非线性关系系,能更好地地处理原始数数据的随机特征征,即不需要要对这些数据据做任何统计计假设,并且能自动学习习和更新-有较好的的抗干扰能力力缺点:网络拓拓扑结构以及及各元素的权权重很难确定定主要假设:具具有能够被精精确地按某种种方式编码的的攻击,并可以通过捕捕获攻击及重重新整理,确确认入侵活动动是基于同一弱点进行行攻击的入侵侵方法的变种种误用入侵检测测:指通过按按预先定义好好的入侵模式式以及观察到入侵发生生情况进行模模式匹配来检检测入侵模式说明明了那些导致致安全突破或或其它误用的的事件中的特征、条件件、排列和关关系。一个不不完整的模式式可能表明存在多种构构造方式的入入侵企图误/滥用检测技术条件概率滥用用检测专家系统滥用用检测状态转换分析析滥用检测键盘监控滥用用检测模型推理滥用用检测滥用入侵检测测方法专家系统滥用用入侵检测方方法是滥用检测技技术中运用最最多的一种方方法通过将安全专专家的知识表表示成If--Then结结构的规则((if部分:构成入侵侵所要求的条条件;then部分:发发现入侵后采采取的相应措施))形成专家知知识库,然后后运用推理算算法检测入侵注意:需要解决的主主要问题是处处理序列数据据和知识库的的维护(只能检测已知弱弱点);专家系统滥用用入侵检测方方法具体实现中所所面临的问题题:-全面性问题题:难以科学学地从各种入入侵手段中抽抽象出全面地地规则化知识;-效率问题::需要处理的的数据量过大大商业产品一般般不采用专家家系统状态转换分析析滥用入侵检检测方法主要思想:将将入侵过程看看作一个行为为序列,该行行为序列导致系统从初始始状态转入被被入侵状态。。分析时,需需要针对每一种入侵方法法确定系统的的初始状态和和被入侵状态态,以及导致状态转换的的转换条件((导致系统进进入被入侵状状态必须执行的操作/特特征事件);;然后用状态态转换图来表表示每一个状状态和特征事件件。缺点:不善于于分析过分复复杂的事件,,也不能检测测与系统状态无关的入侵侵高级检测技术术文件完整性检检查计算机免疫检检测遗传算法模糊证据理论论数据挖掘数据融合文件完整性检检查主要思想:检检查计算机中中自上次检查查后文件的变变化情况。首首先保存保护文文件的信息摘摘要数据库,,每次检查时时,重新计算算文件的数字摘摘要并与之进进行比较,并并判断文件是是否被更改。。典型产品代表表:Tripwire优点:几乎不不可能攻破((数学上分析析);有效的的检测文件是是否被更改的工工具;灵活性性好缺点:依赖于于本地的文摘摘数据库,可可能被入侵者者修改;做完完整的文件完整整性检查非常常耗时计算机免疫检检测受生物免疫机机制的启发::生物系统中中的脆弱性因因素都是由免疫系统来妥妥善处理的,,而这种免疫疫机制在处理理外来异常时呈现了分布布的、多样性性的、自治的的和自修复的的特征,免疫系统通过识识别异常或以以前未出现的的特征来确定定入侵。主要思想:通通过正常行为为(以系统处处理为中心))的学习来识别不符合常常态的行为序序列。缺点:难以获获得程序运行行的所有情况况的执行轨迹迹;检测不出利用程序合合法活动进行行非授权存取取的攻击。数据挖掘数据挖掘(DataMining):从大大型数据库或或数据仓库中中提取人们感兴趣趣的知识,这这些知识是隐隐含的、事先先未知的潜在在有用信息,提提取的知识一一般可表示为为概念、规则则、规律、模模式等形式。数据挖掘技术术是一种决策策支持过程,,它是一门交交叉性学科,,主要基于AI,机器学习习、模式识别别、统计学、、数据库等技技术,能高度自自动化地分析析原有数据,,做出归纳性性推理,从而而提取出有用信信息。数据挖掘过程程:数据准备备、数据清理理和集成、数数据挖掘、知知识表示、模式式评估入侵诱骗技术术定义:用特有的特特征吸引攻击击者,同时对对攻击者的各各种攻击行行为为进进行行分分析析,,并并进进而而找找到到有有效效的的对对付付方方法法。。它是是试试图图将将攻攻击击者者从从关关键键系系统统引引诱诱开开的的诱诱骗骗系系统统。。它是是其其他他安安全全策策略略所所不不可可替替代代的的一一种种主动动防御御技技术术。。其其设计目目的的是::从从现现存存的的各各种种威威胁胁中中提提取取有有用用的的信信息息,,以以发发现现新型型的的攻攻击击工工具具、、确确定定攻攻击击的的模模式式并并研研究究攻攻击击者者的的攻攻击击动动机。。入侵侵诱诱骗骗技技术术蜜罐罐技技术术((Honeypot))蜜网网技技术术((Honeynet))蜜罐罐((Honeypot)技技术术定义义::是是一一种种被被侦侦听听、、被被攻攻击击或或已已经经被被入入侵侵的的资资源源。。注意意::Honeypot并非非一一种种安安全全解解决决方方案案,它它只只是是一一种种工工具,,而而且且只只有有Honeypot受受到到攻攻击击,,它它的的作作用用才才能能发发挥挥出出来。。Honeypot系系统统在在整整个个安安全全防防护护体体系系中中的的地地位位::P193图图6-5例::蜜蜜罐罐与与蠕蠕虫虫捕捕获获蜜罐与反病病毒领域的的结合趋势势始于2002年,,成熟于2004年年。用于蠕虫捕捕获的蜜罐罐完全以获获得蠕虫样样本为目的的。用于蠕虫捕捕获的蜜罐罐系统主要要针对获取取系统控制制权且主动传播的的扫描溢出出/口令猜猜测型蠕虫虫样本,使使这些蠕虫扫描到蜜蜜罐节点的的时候,其其样本文件件或其他载载体形态被获取。。蜜罐的价值值蜜罐主要的的价值是::第一时间间捕获流行行的扫描型型蠕虫,例如第第一时间截截获冲击波波、震荡波波以及他们们的变种都在某种种程度上依依赖于蜜罐罐体制。蜜罐具有统统计意义,,能够对流流行情况/节点压力力进行比较准确的判判断和分析析。入侵响应技技术分类:主动响应::入侵检测测系统在检检测到入侵侵后能够阻阻断攻击、、影响进而改改变攻击的的进程;被动响应::入侵检测测系统仅仅仅简单地报报告和记录录所检测出出的问题。注意:二者者并不互斥斥,无论采采用哪种响响应机制,,入侵检测测系统均应以日日志的形式式记录下检检测结果。。主动响应主动响应::检测到入入侵后立即即采取行动动。形式:由用用户驱动;;系统本身身自动执行行基本手段::①对入侵者采采取反击行行动-严厉方式式:警告攻攻击者、跟跟踪攻击者者、断开危危险连接、、对攻击者进行攻攻击等-温和方式式:记录安安全事件、、产生告警警信息、记记录附加日日志、激活附加入入侵检测工工具等-介于严厉厉和温和之之间的方式式:隔离入入侵者IP、禁止被被攻击对象的特定端端口和服务务、隔离被被攻击对象象等主动响应②修正系统环环境-这种策略略类似于实实时过程控控制系统的的反馈机制制,用目前前系统处理过程程的输出来来调整和优优化下一个个处理过程程。③收集额外信信息-对于保护护必须在有有敌意威胁胁的环境中中运行的系系统或易遭遭受大量攻击的的系统具有有重要意义义。-如:Honeypot被动响应被动响应::只向用户户提供信息息而依靠用用户去采取取下一步行行动的响应。。常用的被动动响应技术术:-告警和通通知:形式式多样的告告警方式-SNMP(简单网网络管理协协议)陷阱阱和插件::结合网络络管理工具具使用SNMP::提供从运运行网络管管理软件的的中央计算算机对网络络主机进行行管理的方法法。5.312入侵检测体体系入侵检测模模型入侵检测体体系结构入侵检测模模型Denning模型型:P197图6-6-最早的入入侵检测模模型,Denning于1987年提提出-虽然与具具体系统和和具体输入入无关,但但是对此后后的大部分分实用系统都有很很大的借鉴鉴价值CIDF((CommonIntrusionDetectionFramework)模型::P198图图6-7-内容:IDS的体体系结构、、通信机制制、描述语语言和API入侵检测体体系结构主机入侵检检测网络入侵检检测混合入侵检检测分布式入侵侵检测主机入侵检检测主机入侵检检测系统::安装在单单个主机或或服务器系系统上,对对针对主机或或服务器系系统的入侵侵行为进行行检测和响响应,对主主机系统进行全全面保护的的系统。主要优点::-性价比比高-更加细腻腻-误报率较较低-适用于加加密和交换换的环境-对网络流流量不敏感感-确定攻击击是否成功功主机入侵检检测局限性:-它依赖于于主机固有有的日志与与监视能力力,而主机机审计信息息存在弱点:易易受攻击,,入侵者可可设法逃避避审计;-IDS的的运行或多多或少影响响主机的性性能;-HIDS只能对主主机的特定定用户、应应用程序执执行动作和和日志进行检测,所所能检测到到的攻击类类型受到限限制;-全面部署署HIDS代价较大大。网络入侵检检测网络入侵检检测系统::使用原始始的网络分分组数据包包作为攻击击分析的数据据源,通常常利用工作作在混杂模模式下的网网卡来实时时监听整个网段段上的通信信业务,通通过实时捕捕获网络数数据包,进进行分析,能够够检测该网网段上发生生的网络入入侵。主要优点::-隐蔽性性好-实时检测测和响应-攻击者不不易转移证证据-不影响业业务系统-能够检测测未成功的的攻击企图图局限性:P201项目HIDSNIDS误报少一定量漏报与技术水平相关与数据处理能力有关 (不可避免)系统部署与维护与网络拓扑无关与网络拓扑相关检测规则少量大量检测特征事件与信号分析特征代码分析安全策略基本安全策略(点策略)运行安全策略(线策略)安全局限到达主机的所有事件传输中的非加密、非保密信息安全隐患违规事件攻击方法或手段HIDS与NIDS的的主要差别别分布式入侵侵检测系统统(DIDS)传统的集中中式入侵检检测模型的的缺陷:-系统的弱弱点或漏洞洞分散在网网络的各个个主机上,,这些弱点点有可能被入侵者者一起用来来攻击网络络。-入侵行为为不再是单单一的行为为,而是表表现出相互互协作入侵侵的特点。-入侵检测测所依靠的的数据来源源分散化,,收集原始始检测数据据变得困难。-网络传输输速度加快快,网络的的流量大,,集中处理理原始数据据的方式往往造成成检测瓶颈颈,从而导导致漏检。。DIDS分布式入侵侵检测系统统一般由多多个协同工工作的部件件组成,分分布在网络的的各个部分分,完成相相应的功能能,分别进进行数据采采集、数据分分析等。通通过中心的的控制部件件进行数据据汇总、分分析、对入侵侵行为进行行响应等。。在这种结构构下,不仅仅可以检测测到针对单单独主机的的入侵,同同时
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 公司培训介绍
- 低空经济产业园企业入驻与招商阶段实施方案
- 低空经济产业园的运营管理模式
- 低空经济产业园发展项目实施方案
- DB6501-T 041-2022 乌鲁木齐市海绵城市建设施工与验收规程
- DB6108-T 81-2024 户外广告与招牌设置规范
- 中国古典四大名著新读(上)知到课后答案智慧树章节测试答案2025年春喀什大学
- DB1331T 095-2024雄安新区现代设施农业关键元素施用技术规程 第一部分:钼
- 2025年芝士片项目合作计划书
- 第9课 IP地址与DHCP 教学设计 2024-2025学年浙教版(2023)初中信息技术七年级上册
- 2024届辽宁省名校联盟高考模拟卷(调研卷)数学试题(一)
- 用户需求调研结果分析报告
- 无期限的六合公式汇编
- 公司通用管理制度汇编适合中小企业初创公司汇编新版
- 《婴幼儿睡眠》课件
- 《护士服务礼仪》课件
- 《锅炉事故处理》课件
- Creo-7.0基础教程-配套课件
- 方格网土方计算表
- 专题五 商品的价值是如何确定的
- 激发小学生数学学习兴趣的策略探究
评论
0/150
提交评论