基于主机的入侵检测方法课件

2023/7/26基于主机的入侵检测方法原理以操作系统的事件跟踪记录作为输入检测单个主机的审计记录和日志检测系统、程序的行为CPU利用率I/O调用系统调用

修改系统文件和目录分组发送/接收速率检测用户的行为特征登录时间次数击键频率和错误率命令序列2023/7/26基于主机的入侵检测方法特点可监测系统或用户的行为无法检测针对网络协议及实现软件的攻击应用层检测只能监视针对本机的入侵行为必须在每台主机上运行日志信息需要占用大量的存储空间

需要和操作系统紧密集成2023/7/26基于网络的入侵检测方法网络监听对分组的内容、流量进行分析与攻击特征进行模式匹配特征检测单个分组数据的分析分组重组分析分组载荷内容分析统计分析网络流量分布异常分组数量和频率分布服务类型分布相关性分析分析多个网段的分组数据和网络流量字符串特征流量特征协议特征2023/7/26基于网络的入侵检测方法特点在一个局域网中只需一台机器运行检测系统可确定入侵的来源难以分析被加密的分组在隧道外检测不能检测非可控网段的分组难以检测高速网络的分组难以检测假冒等入侵行为2023/7/26分布式入侵检测方法基本结构中央管理单元每台主机上的主机管理单元局域网管理单元各单元之间的信息传递机制2023/7/26入侵检测方法分类分类二被动的入侵检测系统只是发出报警不做出反应动作主动的入侵检测系统需要建立响应策略2023/7/26入侵检测方法分类分类三异常(Anomaly)检测异常：与正常使用模式相偏离的操作现象将所有与正常行为不匹配的行为都看作入侵行为

产生误报警（falsepositives）误用(Misuse)检测误用：对系统系统弱点的攻击只有与入侵特征模型匹配的行为才算是入侵行为

容易产生漏报警（falsenegatives）基于入侵特征和知识库检索分组中的特征串2023/7/26异常检测依据：入侵行为是异常行为活动频繁程度登录的频率击键频率分组发送频率活动的分布情况用户的登录情况文件访问相对分布情况I/O活动邮件发送情况网络流量分布分类指标在每个物理位置上登录的相对频率编译程序的使用shell和编辑器的使用通常指标如某个用户使用的CPU和I/O的数量2023/7/26异常检测问题入侵行为可以由多个正常的动作构成非入侵行为也可能是异常的入侵的，异常的入侵的，非异常的非入侵的，异常的非入侵的，非异常的入侵者可以通过恶意训练的方法改变监测系统使系统将异常行为看作正常行为2023/7/26误用检测收集各种入侵的方法观察系统中的各种行为和现象与入侵方法的特征进行比较（模式匹配）发现匹配的情况则认为是入侵实现简单扩展性好效率高主要用于检测已知的入侵手段不能检测到未知的入侵手段2023/7/26入侵检测方法分类分类四统计分析方法异常检测基于规则的方法误用检测2023/7/26基于规则的入侵检测方法常见的规则一个用户不应读取其他用户私有目录下的文件一个用户不应改写其他用户的文件用户登录几小时后通常使用以前使用的那些文件应用程序通常不直接打开磁盘文件在同一个系统里同一个用户只登录一次用户不应复制系统程序和系统文件日志文件不得删除2023/7/26基于规则的入侵检测方法检测方法专家系统将已有的入侵特征、已知的系统弱点、安全策略构成知识转化成if－then结构的规则采用逻辑推理方式状态转换分析法利用有限状态自动机模拟入侵将入侵描述为从初始状态到入侵状态的一系列动作组成与相应的防火墙技术类似2023/7/26统计分析检测方法通过事件统计进行异常行为的检测阈值检测为用户的各种行为设置度量属性对度量属性设置阈值对不同的用户需要设置不同的阈值用单一的度量值衡量a1S12+a2S22+…+anSn2

方差分析基于行为模式的检测为每个用户建立一个行为模式（轮廓）建立多个度量指标检测该用户行为模式的变化2023/7/26统计分析检测方法

——基于行为模式的检测基于特征选择从一组度量指标中挑选出能检测出入侵的度量子集来预测或分类入侵行为基于贝页斯推理通过测定一组选定的描述系统或用户行为特征的值A1，A2，A3，…，An推理判断基于机器学习通过对入侵行为的学习来改进分析的准确性2023/7/26特征选择对用户和系统行为进行计数描述不成功登录的次数网络连接数企图访问文件或目录次数企图访问网络系统次数2023/7/26贝页斯推理（BayesianInference）用户行为特征的值A1，A2，A3，…，AnAi=1表示异常，0表示正常I表示系统当前遭受的入侵攻击的假设即Ai之间相互独立，则有：2023/7/26机器学习监督学习supervisedlearning

系统在人员监督下的学习归纳学习inductivelearning

从大量例子中找出共性类比学习learningbyanalogy

从类似的知识中获得知识人工神经网络artificialneuralnetwork自适应的学习方法

知识发现数据挖掘2023/7/26入侵检测中的分组分析技术基于误用检测攻击的特征攻击签名attacksignature已知的攻击方式的不变特征类型特征串检测协议分析和命令解析2023/7/26特征串检测ID包抓取引擎从网络上抓取数据包包分析引擎对数据包做简单处理，如IP重组、TCP流重组，根据规则库判断规则库（特征库）入侵检测系统的知识库包分析引擎完成对入侵特征的检测响应模块确定发现疑点时所采取的响应手段2023/7/26特征串检测ID计算模型比较容易实现匹配算法成熟需要收集特征串无法检测到新的入侵类型检测能力依赖于规则库的广度与精度规则库的维护工作量较大2023/7/26协议分析和命令解析的ID协议分析ProtocolAnomaly协议解码分组重装协议校验

利用了网络协议的高度有序性快速检测特征开销状态存储分组配对协议校验使用了保留的字段有非法的值异常的默认值不当的选项序列号乱序序列号跳号序号重叠校验和错CRC校验错2023/7/26分组分析方法单个数据包的分析检测伪造IP地址检测源地址是否为广播地址源地址和目的地址是否相等源地址和MAC地址是否匹配数据包重组分析将分片的分组重组后进行分析

检测Pingofdeath、teardrop等数据分析对通信的内容进行分析检测堆栈溢出、特殊的命令组合等应用层协议分析DeepPacketInspection

2023/7/26入侵检测的流量分析基于流量和流量分布数据流相关分析针对分布式流量攻击的分析检测协同扫描（sweep）和协同的攻击网络流量统计分析根据各种类型的报文数量的流量模式ICMP，TCP，UDP如检测DoS和DDoS2023/7/264.3.4入侵检测的响应策略向管理员发送报警信息将报文内容记录到日志文件发送Reset报文断开TCP连接关闭路由器或者端口重新配置网络设备如配置防火墙(入侵防御系统IPS)关闭关键系统上的某些重要的账户运行某种日志程序或者应用程序增加对有关信息的收集2023/7/26入侵检测的响应策略跟踪攻击行为黑客追踪启动诱骗系统蜜罐Honeypot蜜网

调整系统结构重新分配资源调整带宽限制入侵入侵容忍系统2023/7/26蜜网ActiveIDCostmoreforblackhatsSebekVirtualhoneynet?GenIII(hosts,processes,files,networkflows)路由器主机蜜罐HoneyWall主机主机蜜罐蜜罐2023/7/26威胁度一级非常规的，具有恶意的分组，但不会对目前流行的操作系统造成显著的危害二级各种端口扫描行为三级可以对某些服务造成危害的攻击四级造成系统死机、蓝屏或网络不可用的攻击五级获取被攻击者root权限的攻击2023/7/26入侵防御系统IPSIntrusionPreventionSystem主动积极的入侵防范/阻止系统对入侵活动和攻击性网络流量进行拦截避免其造成任何损失入侵传播速度的加快留给人们响应的时间越来越短部署在网络的出口处和主机中

基于IDS2023/7/26IPS的分类基于主机的入侵防护(HIPS)在主机/服务器上安装软件代理

保护服务器的安全弱点不被不法分子所利用基于网络的入侵防护(NIPS)检测并限制流经的网络流量和连接数删除入侵行为的网络连接应用入侵防护(AIP)把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备2023/7/264.3.5入侵检测的标准化目的提高IDS产品、组件之间的互操作性标准入侵检测交换格式（IDEF）definedataformatsandexchangeproceduresworkinprogress

入侵检测消息交换格式（IDMEF）RFC4765入侵检测交换协议（IDXP)RFC4767入侵检测警告协议（IAP）facilitatetheubiquitousinteroperabilityofintrusiondetectioncomponentsacrossInternetenterprises

保证大型网络中协议数据传输的完整性和安全性workinprogress/html/draft-ietf-idwg-iap-002023/7/26IDMEFDataTypesIntegers"123","-456"RealNumbers123.45e02CharactersandStringsBYTEEnumeratedTypesDate-TimeStringsYYYY-MM-DDThh:mm:ssNTPTimestampsa64-bitunsignedfixed-pointnumber0x12345678.0x87654321

PortLists5-25,37,42,43,53,69-119,123-514UniqueIdentifiersrepresentedbySTRINGdatatypes2023/7/26IDMEFDataModeltop-levelclassIDMEF-Messagetwotypesofmessagesdefined

AlertsHeartbeats2023/7/26Alert类每当分析器监测到一个事件，它发送一个Alert消息给管理员Analyzer分析器的标识符CreateTime消息建立时间，ntpstamp

DetectTime事件检测到的时间，ntpstamp

Source事件来源Target事件去向Classification事件类型Assessment事件的影响程度low|medium|high

2023/7/26Heartbeats类防止入侵检测消息被阻断对DoS攻击免疫简单的消息格式保持不断的联系2023/7/26ExampleThe"teardrop"Attack

<?xmlversion="1.0"encoding="UTF-8"?><!DOCTYPEIDMEF-MessagePUBLIC"-//IETF//DTDRFCXXXXIDMEFv1.0//EN""idmef-message.dtd"><IDMEF-Messageversion="1.0"><Alertident="abc123456789">

<Analyzeranalyzerid="hq-dmz-analyzer01"><Nodecategory="dns"><location>HeadquartersDMZNetwork</location><name></name></Node></Analyzer>

<CreateTimentpstamp="0xbc723b45.0xef449129">2000-03-09T10:01:25.93464-05:00</CreateTime>

<Sourceident="a1b2c3d4"><Nodeident="a1b2c3d4-001"category="dns"><name></name><Addressident="a1b2c3d4-002"category="ipv4-net-mask"><address>0</address><netmask>55</netmask></Address></Node></Source>

<Targetident="d1c2b3a4"><Nodeident="d1c2b3a4-001"category="dns"><Addresscategory="ipv4-addr-hex"><address>0xde796f70</address></Address></Node></Target>

<Classificationorigin="bugtraqid"><name>124</name><url>/bid/124</url></Classification></Alert></IDMEF-Message>2023/7/26入侵检测交换协议（IDXP)AsaBEEP"profile"BlocksExtensibleExchangeProtocol一个通用的应用层协议用于面向连接的异步交互用于建立应用层安全隧道提供加密的认证rfc3080IDXP为交换IDMEF消息提供支持无结构的文本二进制数据2023/7/26ExampleofBEEPmessageAmessagecontainedinasingleframethatcontainsapayloadof120octetsspreadover5linesChannel0Messagenumber1FinalframeofthemessageSequencenumber52Payloadsize120C:MSG01.52120C:Content-Type:application/beep+xmlC:C:<startnumber='1'>C:<profileuri='/beep/profile'/>C:</start>C:END2023/7/26IDXPcommunicationOpeningaBEEPchannelinitiatingaBEEPsessionNegotiateaBEEPsecurityprofileExchangeIDXPgreetings甲方乙方transportconnectiongreetingStartsecurityprofilegreetingStartIDXP2023/7/26IDXPProfileProvidesamechanismforexchanginginformationbetweenintrusiondetectionentitiesusedtocreateanapplication-layertunnelIdentifiedas/beep/profileIDXP-GreetingElementidentifytheanalyzerormanageratoneendoftheBEEPchannelUniformResourceIdentifier(URI)includetheroleofthepeeronthechannelclientorserver2023/7/26IDXP-Greetingexample

I:MSG010.1592187I:Content-Type:application/beep+xmlI:I:<startnumber='1'>I:<profileuri='/beep/profile'>I:<![CDATA[<IDXP-Greetinguri='/alice'I:role='client'/>]]>I:</profile>I:</start>I:END

L:RPY010.186591L:Content-Type:application/beep+xmlL:L:<profileuri='/beep/profile'>L:<![CDATA[<ok/>]]>L:</profile>L:ENDL:MSG011.195661L:Content-Type:text/xmlL:L:<IDXP-Greetinguri='/bob'role='server'/>L:ENDI:RPY011.17797I:Content-Type:application/beep+xmlI:I:<ok/>I:END2023/7/26BEEPsecurityprofileUsedtoestablishend-to-endsecuritybetweenpairsofIDXPpeersMutualAuthenticationMessageConfidentialitysupportingavarietyofencryptionalgorithmsMessageInte