云计算及安全-云计算及入侵检测

云计算与入侵检测概述入侵检测方法入侵检测系统的设计原理入侵检测响应机制入侵检测标准化工作云计算分层平安和入侵检测系统概述入侵检测方法入侵检测系统的设计原理入侵检测响应机制入侵检测标准化工作云计算分层平安和入侵检测系统IDS存在与发展的必定性一、网络攻击造成的破坏性和损失日益严峻二、网络平安威逼日益增长三、单纯的防火墙无法防范困难多变的攻击IDS的作用为什么须要IDS单一防护产品的弱点防卫方法和防卫策略的有限性动态多变的网络环境来自外部和内部的威逼为什么须要IDS关于防火墙网络边界的设备，只能反抗外部來的入侵行为自身存在弱点，也可能被攻破对某些攻击疼惜很弱即使透过防火墙的疼惜，合法的运用者仍会非法地运用系统，甚至提升自己的权限仅能拒绝非法的连接請求，但是对于入侵者的攻击行为仍一窍不通为什么须要IDS入侵很简洁入侵教程随处可见各种工具唾手可得网络平安工具的特点优点局限性防火墙可简化网络管理，产品成熟无法处理网络内部的攻击IDS实时监控网络安全状态误警率高，缓慢攻击，新的攻击模式Scanner完全主动式安全工具，能够了解网络现有的安全水平，简单可操作，帮助系统管理员和安全服务人员解决实际问题，并不能真正了解网络上即时发生的攻击VPN保护公网上的内部通信可视为防火墙上的一个漏洞防病毒针对文件与邮件，产品成熟功能单一传统的信息平安方法接受严格的访问限制和数据加密策略来防护，但在困难系统中，这些策略是不充分的。它们是系统平安不行缺的部分但不能完全保证系统的平安入侵检测（IntrusionDetection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发觉网络或系统中是否有违反平安策略的行为和被攻击的迹象入侵检测IntrusionDetection入侵检测的定义对系统的运行状态进行监视，发觉各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性入侵检测系统：进行入侵检测的软件与硬件的组合（IDS:IntrusionDetectionSystem）IDS基本结构入侵检测系统包括三个功能部件（1）信息收集（2）分析引擎（3）响应部件信息搜集信息收集入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为须要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息尽可能扩大检测范围从一个源来的信息有可能看不出疑点信息收集入侵检测的效果很大程度上依靠于收集信息的牢靠性和正确性要保证用来检测网络系统的软件的完整性特殊是入侵检测系统软件本身应具有相当强的坚实性，防止被篡改而收集到错误的信息信息收集的来源系统或网络的日志文件网络流量系统书目和文件的异样变更程序执行中的异样行为系统或网络的日志文件攻击者常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID变更、用户对文件的访问、授权和认证信息等内容明显，对用户活动来讲，不正常的或不期望的行为就是:重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等系统书目和文件的异样变更网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件常常是黑客修改或破坏的目标书目和文件中的不期望的变更（包括修改、创建和删除），特殊是那些正常状况下限制访问的，很可能就是一种入侵产生的指示和信号入侵者常常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件分析引擎分析引擎

模式匹配统计分析完整性分析，往往用于事后分析模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发觉违反平安策略的行为一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简洁（如通过字符串匹配以找寻一个简洁的条目或指令），也可以很困难（如利用正规的数学表达式来表示平安状态的变更）统计分析统计分析方法首先给系统对象（如用户、文件、书目和设备等）创建一个统计描述，统计正常运用时的一些测量属性（如访问次数、操作失败次数和延时等）测量属性的平均值和偏差被用来与网络、系统的行为进行比较，任何视察值在正常值范围之外时，就认为有入侵发生完整性分析完整性分析主要关注某个文件或对象是否被更改包括文件和书目的内容及属性在发觉被更改的、被安装木马的应用程序方面特殊有效响应部件响应动作简洁报警切断连接封锁用户变更文件属性最猛烈反应：回击攻击者入侵检测系统性能关键参数误报(falsepositive)：假如系统错误地将异样活动定义为入侵漏报(falsenegative)：假如系统未能检测出真正的入侵行为入侵检测系统的分类（1）依据分析方法（检测方法）异样检测模型（AnomalyDetection):首先总结正常操作应当具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵误用检测模型（MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵入侵检测系统的分类网络IDS:网络IDS（NIDS）通常以非破坏方式运用。这种设备能够捕获LAN区域中的信息流并试着将实时信息流与已知的攻击签名进行比照。主机IDS：主机入侵检测系统（HIDS）是一种用于监控单个主机上的活动的软件应用。监控方法包括验证操作系统与应用调用及检查日志文件、文件系统信息与网络连接。混合型的两类IDS监测软件网络IDS侦测速度快隐藏性好视野更宽较少的监测器占资源少主机IDS视野集中易于用户自定义疼惜更加周密对网络流量不敏感概述入侵检测方法入侵检测系统的设计原理入侵检测响应机制入侵检测标准化工作云计算分层平安和入侵检测系统概述入侵检测方法入侵检测系统的设计原理入侵检测响应机制入侵检测标准化工作云计算分层平安和入侵检测系统制订响应策略应考虑的要素系统用户：入侵检测系统用户可以分为网络平安专家或管理员、系统管理员、平安调查员。这三类人员对系统的运用目的、方式和熟悉程度不同，必需区分对待操作运行环境：入侵检测系统供应的信息形式依靠其运行环境系统目标：为用户供应关键数据和业务的系统，须要部分地供应主动响应机制规则或法令的需求：在某些军事环境里，允许实行主动防卫甚至攻击技术来应付入侵行为响应策略弹出窗口报警E-mail通知切断TCP连接执行自定义程序与其他平安产品交互FirewallSNMPTrap压制调速

1、撤消连接

2、回避

3、隔离SYN/ACKRESETs自动响应一个高级的网络节点在运用“压制调速”技术的状况下，可以接受路由器把攻击者引导到一个经过特殊装备的系统上，这种系统被成为蜜罐蜜罐是一种欺瞒手段，它可以用于错误地诱导攻击者，也可以用于收集攻击信息，以改进防卫实力蜜罐能采集的信息量由自身能供应的手段以及攻击行为数量确定蜜罐概述入侵检测方法入侵检测系统的设计原理入侵检测响应机制入侵检测标准化工作云计算分层平安和入侵检测系统IDS标准化要求随着网络规模的扩大，网络入侵的方式、类型、特征各不相同，入侵的活动变得困难而又难以捉摸网络的平安要求IDS之间能够相互协作，能够与访问限制、应急、入侵追踪等系统交换信息，形成一个整体有效的平安保障系统须要一个标准来加以指导，系统之间要有一个约定CIDF

(TheCommonIntrusionDetectionFramework):///draftsCIDFCIDF早期由美国国防部高级探讨支配局赞助探讨，现在由CIDF工作组负责，这是一个开放组织。事实上CIDF已经成为一个开放的共享的资源CIDF是一套规范，它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议符合CIDF规范的IDS可以共享检测信息，相互通信，协同工作，还可以与其它系统协作实施统一的配置响应和复原策略CIDF的主要作用在于集成各种IDS，使之协同工作，实现各IDS之间的组件重用，所以CIDF也是构建分布式IDS的基础CIDF规格文档CIDF的规格文档由四部分组成，分别为：体系结构：阐述了一个标准的IDS的通用模型规范语言：定义了一个用来描述各种检测信息的标准语言内部通讯：定义了IDS组件之间进行通信的标准协议程序接口：供应了一整套标准的应用程序接口通信层次CIDF将各组件之间的通信划分为三个层次结构：GIDO层（GIDOlayer）、消息层（Messagelayer）和传输层（NegotiatedTransportlayer）其中传输层不属于CIDF规范，它可以接受很多种现有的传输机制来实现消息层负责对传输的信息进行加密认证，然后将其牢靠地从源传输到目的地，消息层不关切传输的内容，它只负责建立一个牢靠的传输通道GIDO层负责对传输信息的格式化，正是因为有了GIDO这种统一的信息表达格式，才使得各个IDS之间的互操作成为可能CISL

(ACommonIntrusionSpecificationLanguage)CIDF的规范语言文档定义了一个公共入侵标准语言CISL，各IDS运用统一的CISL来表示原始事务信息、分析结果和响应指令，从而建立了IDS之间信息共享的基础CISL是CIDF的最核心也是最重要的内容匹配服务法（匹配器）CIDF的匹配服务为CIDF各组件之间的相互识别、定位和信息共享供应了一个标准的统一的机制匹配器的实现是基于轻量书目访问协议（LDAP）的，每个组件通过书目服务注册，并公告它能够产生或能够处理的GIDO，这样组件就被分类存放，其它组件就可以便利地查找到那些它们须要通信的组件书目中还可以存放组件的公共密钥，从而实现对组件接收和发送GIDO时的身份认证

匹配器构成通信模块：实现客户端（可为任何一个CIDF组件）与匹配代理之间的通信协议匹配代理：一个任务是处理从远端组件到它的客户端的输入恳求，另一个任务是处理从它的客户端到远端组件的输出恳求认证和授权模块：使一个组件能够鉴别其它组件，使客户端与匹配代理之间能够相互鉴别客户端缓冲区：使客户端能够对最近建立的一些关联信息进行缓冲存储CIDF程序接口CIDF的程序接口文档描述了用于GIDO编解码以及传输的标准应用程序接口（以下简称为API），它包括以下几部分内容GIDO编码和解码API（GIDOEncoding/DecodingAPISpecification）消息层API（MessageLayerAPISpecification）

GIDO动态追加API（GIDOAddendumAPI）签名API（SignatureAPI）顶层CIDF的API（Top-LevelCIDFAPI）每类API均包含数据结构定义、函数定义和错误代码定义等CIDF的应用目前CIDF还没有成为正式的标准，也没有一个商业IDS产品完全遵循该规范，但各种IDS的结构模型具有很大的相像性，各厂商都在依据CIDF进行信息交换的标准化工作，有些产品已经可以部分地支持CIDF可以预料，随着分布式IDS的发展，各种IDS互操作和协同工作的迫切须要，各种IDS产品必需遵循统一的框架结构，CIDF将成为事实上的IDS的工业标准概述入侵检测方法入侵检测系统的设计原理入侵检测响应机制入侵检测标准化工作云计算分层平安和入侵检测系统分层平安方法运用分层平安方法会最大化发挥入侵检测系统（IDS）的功效。分层平安机制意味着接受了多种措施来确保数据平安，因此增加了攻击者渗透到网络中所须要的工作负载和时间。对数据实施平安防护所运用的平安部件和平安层次越多，基础设施的平安性就越高。分层平安方法组成部分平安策略、平安过程、平安标准以及平安指南，包括一个顶层的平安策略；边界平安，例如路由器、防火墙和其他边界设备；硬件和软件的主机平安产品；审计、监控、入侵检测与响应。云平台入侵检测对网络流量进行监控，并/或对主机审计日志进行监控，确保能够检测到是否有违反组织平安策略的事务发生。入侵检测系统能够发觉那些规避或绕开防火墙的入侵行为，以及防火墙内部本地局域网正在发生的入侵行为。关键问题：对可能被攻击的资产进行疼惜；假如某个事故不须要应急响应服务，那就疼惜资源使其得到最大化利用；遵循政府或其他相关法律法规；防止你的系统被用于攻击其他系统；尽可能地降低潜在的负面影响。基于网络的入侵检测系统（NIDS）通常位于独立的网段，对该网络段的通信进行监控。网络数据包的签名匹配：字符串签名端口签名报头状态签名被动地获得数据，能够在不消耗网络或主机资源的状况下供应牢靠的实时信息。问题：无法检测到攻击者通过终端连接到主机上对主机的攻击。基于主机的入侵检测系统（HIDS）运用主机上的小程序监控操作系统的行为是否正常，并在检测到异样时写日志文件或触发警报。HIDS的特征：对系统关键文件的访问和变动进行监控，对用户权限的变动进行监控；发觉内部可信人员攻击的实力比NIDS强；检测源自外部的攻击实力相对较强；通过配置可以检测被监控主机上全部的网络数据包、连接尝试或登录尝试，包括拨号尝试或其他与网络无关的通信端口。基于网络的入侵检测系统（NIDS）通常位于独立的网段，对该网络段的通信进行监控。网络数据包的签名匹配：字符串签名端口签名报头状态签名被动地获得数据，能够在不消耗网络或主机资源的状况下供应牢靠的实时信息。问题：无法检测到攻击者通过终端连接到主机上对主机的攻击。基于签名的入侵检测系统系统中存储了用于刻画攻击的签名或属性以便参考。当从主