入侵检测完整

入侵检测1安全入侵与入侵检测安全入侵：一个安全事件或多个安全事件的组合构成一个安全事故，在安全事故中，入侵者在未经授权的情况下获取或尝试获取一个系统的访问权入侵检测：一种监控并分析系统事件的安全服务，目标是发现未经授权而访问系统资源的尝试活动，并提供实时或近似实时的报警2IDS分类基于主机的IDS：监测一台主机的特征和该主机发生的与可疑活动相关的事件基于网络的IDS：监测特定的网段或设备的流量并分析网络、传输和应用协议，用以识别可疑的活动3IDS包括以下三个逻辑组件传感器：传感器负责收集数据，传感器的输入可以是包含入侵证据的系统的任何一部分。传感器输入的类型包括了网络数据包、日志文件和系统调用迹。传感器收集并向分析器转发这些信息分析器：分析器从一个或多个传感器或者其他分析器接收输入。分析器负责确定是否发生了入侵，此组件的输出表明是否发生了入侵。输出可以包含支持入侵发生结论的证据。分析器可以提供指导，用于判断什么活动是入侵导致的结果用户接口：利用IDS用户接口，可以查看系统输出或控制系统的行为4基本原理身份认证设备、访问控制设施和防火墙在阻断入侵方面都起到了一定作用。另一道防线是入侵检测，是近来研究热点1如果能快速检测到入侵，就可以在损害发生或者数据受到威胁前，将入侵者识别出来并将其逐出系统。即使不能非常即时地检测出入侵者，也是越早检测到入侵，对系统造成的损失越小2有效地IDS可以作为一个威慑，从而达到阻止入侵的目的3入侵检测可以收集关于入侵技术的信息，用于增强入侵防护系统的防护能力5入侵检测假设入侵者的行为和合法用户的行为之间存在可以量化的差别。可测行为参数概率密度函数入侵者合法用户6检测任务与入侵检测系统设计由于入侵者和正常合法用户行为有重叠，因此检测任务与入侵检测系统设计两者对立。如果入侵者行为定义过于宽松，能发现更多入侵者，也容易导致大量误报；如果对入侵者行为定义过于严格，将导致漏报，可能漏过真实的入侵者可以说，入侵检测是一门折中的艺术7理想IDS必须满足下列条件能够不间断运行，人的参与尽可能少具有容错功能，系统崩溃时，他必须能够很快恢复和重新初始化地狱破坏。IDS必须能够监测自身，检测是否已被攻击者修改对于正运行的系统增加最小的开销能够根据被监测系统的安全策略进行配置。能够自动适应系统和用户行为变化能够扩展以监测更多主机能够提供很好的服务降级。如果IDS某些组件停止工作，其余部分都应受到尽可能少的影响允许动态重新配置，重新配置IDS不必重启动8基于主机的入侵监测系统基于主机IDS向易受攻击或敏感的系统添加专用的安全软件层，例如数据库服务器和管理系统。基于主机的IDS以多种方式监测系统上的活动，目的是检测入侵、记录可疑事件并发送警报IDS优点：可以检测外部和内部入侵，而基于网络的IDS或防火墙无法做到9基于主机的IDS的入侵检测方法异常检测：采集有关的合法用户在某段时间内的行为数据，统计检验被监测的行为，以较高的置信度确定该行为是否不是合法用户的行为。阀值检测：设计各种事件发生的频率定义阀值基于配置文件的检测：为每个用户建立一个活动配置文件，用于检测单个账户行为的变化特征检测：视图定义一组规则或者攻击的模式，可以确定一个给定的行为是入侵者的行为。异常检测方法试图定义正常行为，而特征检测法试图定义入侵特有的行为。异常检测对假冒者有效，假冒者不可能完全正确模仿他们感兴趣的帐户行为模式；特征检测方法对违法者有效，通过上下文中识别事件和序列来发现渗透。两法结合10审计记录用户正在进行的活动的记录必须即使获取并作为IDS输入。原始审计记录：方便，不需要其他的收集工具。但可能不包含需要的信息或者不便于使用的格式检测专用审计记录：专门的采集工具专门生成审计记录，仅包含IDS所需信息。可以由厂商单独定制适用各种系统，缺点：需要额外的开销11检测专用审计记录例主体：动作发起者，终端用户或进程等动作：一个操作客体：动作的接收者异常条件：表示如果有异常发生，则返回异常条件资源使用：大量元素列表，给出某些资源使用量时间戳：标识动作发生时间日期12用户操作分解为基本动作的优势1客体是系统保护的实体，记录每一个影响客体的行为

2单客体、单动作审计记录简化了模型，也易于实现3用于检测专用的审计记录结构简单，格式统一13异常检测阀值分析效率较为低下。阀值和时间间隔必须是确定的，而用户不断变化，因此阀值会造成大量的误报和漏报。阀值和更复杂的技术结合起来使用会有更好的效果。基于配置文件的异常检测归纳出单个用户或相关用户组的历史行为特征，用于发现有重大偏差的行为。配置文件包括一组参数，单个参数的偏差可能无法引发警报此法基于审计记录的分析。分为一段时间和当前的审计记录两种情况14基于配置文件的入侵检测度量标准计数器：一段时间内某些事件发生的次数计量器：某些实体的当前值间隔计时器：两个相关事件的时间间隔资源利用：一定时间内消耗的资源数量根据这些通用的度量标准，可以用多种方法确定当前活动是否在可接受的限度。列出几种方法：15列出几种可行方法均值和标准差：反映平均行为及行为的变化幅度。多变量：基于两个或多个变量之间的相关性。马尔科夫过程：建立各种状态的转移概率时间序列：以时间间隔为基础，查找事件发生太快或太慢的序列操作：定义一个固定界限，观测值超出此界限的行为则被怀疑为入侵。比如很短时间内的大量登录尝试表明有人试图入侵。使用统计配置文件的主要优点是不需要有关安全缺陷的先验知识。检测程序学习什么是正常行为，然后找出偏差。和系统特征、漏洞无关16特征检测-基于规则的异常检测和统计异常检测很相似。在基于规则的方法中，对历史审计记录的分析用来识别用公式并自动生成描述这些模式的规则集。规则用来表示用户、程序、特权、时隙、终端等过去行为的模式。然后，观测当前行为，将其与规则集进行匹配，来确定每个行为是否与某个历史行为模式相匹配。不需要具备系统安全漏洞的知识。检测方案基于对过去行为的观察，假定将来的行为和过去的行为类似。为了使这个方法更有效，需要一个更大的规则库。17特征检测-基于规则的渗透识别主要功能是使用规则来识别已知的渗透或将利用已知弱点的渗透。还可用来识别可疑行为，即使该行为并未超出已建立的可用模式范围。通常规则和特定机器有关，开发的有效方法是分析从Internet上收集到的工具和脚本，作为有经验的知识渊博的安全员制定规则的补充。18例子-NIDX系统1用户不能读取其他用户的个人目录下的文件2用户不能改写其他用户的文件3几个小时后再次登录的用户通常会访问他们以前访问过的文件。4用户通常不能直接访问磁盘设备，只能接着呼吁高级的操作系统实用程序6用户不能复制系统程序19例子-IDES方法审计记录一旦生成就与规则集进行匹配，如果吵到匹配项，则用户的可疑度增加，如果有足够的匹配规则，可疑度会超过一个阀值，导致系统报告异常。20例子-USTAT处理通用动作，在对239个事件进行审计记录的SunOs系统上实现利用动作和每个动作调用的参数，建立状态转换图来描述可疑的活动。由于大量不同的可审计事件映射到少数几个动作中，创建规则的过程更简单21几率谬误IDS应该能检测到绝大多数的入侵，同时保持可接受级别的误报率。如果只检测到有限比例的入侵，则系统给人以安全的假象。另一方面，如果系统没有入侵时频繁报警，则系统管理员要么开始忽略报警，要么浪费很多时间分析此次误报。如果实际入侵数比系统的合法使用数低，则误报率将很高。基率谬误22分布式基于主机的入侵检测典型的大型企业需要保护有局域网或互联网连接的分布式主机集合的安全，网络上IDS之间的协作可以实现更有效的防范。分布式IDS设计中有以下主要问题：分布式IDS需要处理不同格式的审计记录网络中的一个或多个节点负责收集和分析网络中个系统的数据。各种数据将通过网络传输，要确保数据的完整性、机密性。集中或非集中式体系结构都是可用的。集中式由一个中心节点采集和分析所有审计数据；非集中多个分中心，必须协调23分布式IDS实例主机代理模块：收集主机上与安全相关事件的数据并传输这些数据到中央管理器局域网监测器代理模块：分析局域网流量并向中央管理器发送报告结果中央管理器模块：接收报告，进行关联分析以检测入侵24分布式入侵检测体系Internet路由器局域网检测器主机主机中央管理器代理模块管理器模块25代理体系结构OS审计信息过滤器逻辑模板中央管理器代理协议机显著活动特征显著会话主机审计记录报警询问应答26基于网络的入侵检测NIDS监控的是一个网络或多个相互连接的网络上选定位置的网络流量。NIDS实时地或接近于实时地分析数据包，以试图发现入侵模式。NIDS可以检测网络层、传输层或应用层协议的活动NIDS检测网络上流向潜在的易受攻击的计算机系统的数据包流量，而基于主机的IDS系统检测的是主机上用户和软件活动典型NIDS：大量传感器监控数据包流量、一个或多个服务器负责NIDS管理功能，一个或多个管理控制台提供人机交互的接口。分析流量模式从而检测入侵可以在传感器、服务器或二者上完成27网络传感器类型内嵌传感器：插入网络段，监控的流量必经。简单实现：传感器与网络设备进行逻辑组合，如交换机、防火墙，只需要NIDS传感器软件。另一方法：独立的内嵌，检测到一个攻击时能进行阻止，这时同时具有入侵防护功能被动传感器：监控网络流量的备份，实际上流量没有通过这个设备。此种方法不会导致数据的延迟。28被动NIDS传感器NIDS传感器管理接口，有IP，NIC2监控接口，无IP，混杂模式流量29NIDS传感器部署的几种情况Internet外部防火墙对外服务器局域网交换机路由器内部防火墙局域网交换机路由器内部服务器和数据资源网络内部防火墙局域网交换机路由器工作站网络123430入侵检测技术特征检测应用层侦察和攻击传输层侦察和攻击网络层侦察和攻击以外应用服务策略违背异常检测技术拒绝服务攻击扫描蠕虫31警报日志记录NIDS传感器记录的典型信息：时间戳连接或会话ID事件或警报类型分级网络层、传输层和应用层协议源和目的IP地址源和目的TCP或UDP端口，或者ICMP类型和代码通过连接传输的字节数已解码的有效在和数据状态相关信息32分布式自适应入侵检测三种IDS的特点：主机、分布式主机、网络IDS趋势面临的关键问题/Article/CDMD-80150-2005075009.htm一种基于移动代理的自适应的分布式入侵检测系统的架构与实施33分布式自适应入侵检测概念开发合作系统以识别基于多个细微的线索的攻击，然后快速适应。例如，某计算机突然高速连接，则怀疑之，防止误报和漏报：以概率形式告知其他计算机网络正在受到攻击。具体的计算机根据阀值进行处理34一个自治的企业安全系统的整体体系结构intel公司开发这种方法不单纯依赖外围防范机制，如防火墙或单独的机遇主机的防护，每个终端主机和每个网络设备都被认为是潜在的传感器并且能够安装传感器软件模块，这种分布式配置的传感器可以交换信息以确定网络的状态。35此方案优点假定一台主机受到延长攻击并且主机配置为最大限度地减小误报。前期：误报风险高，没有报警；随着时间推移，误报降低，然而已经过去了很长时间多个本地传感器，将他们每个怀疑的攻击协作处理，多个系统看到相同证据，所以可以以低误报风险发布报警。因此，不是使用长时间而是使用大量传感器做到减少误报36此方法主要元素中央系统配置一组默认的安全策略，这些策略根据分布式传感器的输入进行自适应，将具体动作传递给分布式系统中的各种策略，设备的特定策略包括立即采取的动作或对参数设置进行调整。中央系统也能与所有平台交流协作策略。三种类型输入知道中央系统的动作：摘要事件DDI事件PEP事件37入侵检测交换格式IETF下属的入侵检测工作小组负责制定，旨在为入侵检测和响应系统以及需要与其他机器交互的管理系统的共享信息定义数据格式和交换过程。工作成果：1需求文档：IDS之间以及IDS与管理系统之间通信时的高层功能需求，包括这些需求的基本原则2通用的入侵语言规范：满足需求的数据格式3框架文档：IDS之间通信的最佳协议原则：不对应任何特定产品和实现38功能组件数据源datasource:原始数据，包括网络数据包，日志，系统生成的校验和数据传感器sensor：数据源采集数据分析器analyzer：分析活动或数据的ID组件或进程管理员administrator:设置企业安全策略、部署决策和配置IDS负全部责任的人管理员manager:操作员用来管理ID斯通各种组件的ID组件或进程操作员：IDS管理器的主要用户39入侵检测消息交换模型数据源传感器操作员活动传感器管理员管理器响应通知分析器安全策略警报事件事件安全策略40蜜罐蜜罐是障人耳目的系统，为阴有潜在的攻击者原理关键系统而设计的。蜜罐的功能包括：转移攻击者对重要系统的访问收集有关攻击者活动的信息鼓励攻击者在系统逗留足够长的时间，以便于管理员对此攻击做出响应41蜜罐这些系统填满了看起来有价值但系统的合法用户不会访问的伪造信息。任何对蜜罐的访问都是可疑的，蜜罐系统装备了敏感的监控器和事件记录器，用于检测这些访问并收集有关攻击者的活动信息。最初的工作是使用具有IP地址的单个蜜罐计算机引诱黑客。现在用来构建整个蜜罐网络，模拟一个企业，包括通信量和数据。一旦黑客进入这个网络，管理员可以详细观察他们的行为，做出防范方案42蜜罐的部署局域网交换机或路由器主机蜜罐蜜罐Internet外部防火墙交换机或路由器Web服务器蜜罐12343实例系统：SnortSnort开源、高度可配置且可移植的基于主机或基于网络的IDS，Snort被称为轻量级的IDS，具有特点：