《物联网信息安全》课件第7章

7.1入侵检测技术7.2入侵防御技术7.3容侵容错技术7.4虚拟专用网络第7章物联网集成安全技术

7.1入侵检测技术

7.1.1相关概念

入侵检测(IntrusionDetection)是对入侵行为的检测，它通过收集和分析网络行为、安全日志、审计数据、其他网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。7.1.2入侵检测技术的分类

目前入侵检测系统所采用的入侵检测技术可分为特征检测与异常检测两种，下面分别进行介绍。

特征检测的主要优点如下：

(1)实现容易。

(2)检测精确。

(3)升级容易。

特征检测的主要不足在于：它可以将已有的入侵方法检测出来，但对新的入侵方法无能为力。异常检测：异常检测(AnomalyDetection)假设入侵者的活动异常于正常主体的活动，根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“网络入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

1．基于主机的入侵检测系统

基于主机的入侵检测系统的主要特点如下：

(1)监视特定的系统活动。

(2)能够检测到基于网络的入侵检测系统检测不出的攻击。

(3)适用于采用了数据加密和交换式连接的子网环境。

(4)有较高的实时性。

(5)不需增加额外的硬件设备。

2．基于网络的入侵检测系统

NIDS有许多仅靠基于主机的入侵检测方法无法提供的优点，具体表现如下：

(1)拥有成本较低。

(2)检测HIDS漏掉的攻击。

(3)可以检查有效负载的内容。

(4)攻击者不易转移证据。

(5)实时检测和响应。

(6)检测未成功的攻击和不良意图。

(7)操作系统无关性。

3．分布式的入侵检测系统

分布式的入侵检测系统一般为分布式结构，由多个部件组成，在关键主机上采用主机入侵检测，在网络关键节点上采用网络入侵检测，同时分析来自主机系统的审计日志和来自网络的数据流，判断被保护的系统是否受到攻击。7.1.3入侵检测过程

(1)信息收集。

(2)信息分析。

(3)结果处理。7.1.4常见的入侵检测方法

(1)模式匹配法：

(2)专家系统法：

(3)基于状态转移分析的检测法：

1．人工神经网络

人工神经网络(ArtificialNeuralNetworks，ANNs)也称为神经网络(NNs)或连接模型(ConnectionModel)，它是一种模仿动物神经网络行为特征，进行分布式并行信息处理的算法数学模型。这种网络依靠系统的复杂程度，通过调整内部大量节点之间相互连接的关系，从而达到处理信息的目的。

2．支持向量机

支持向量机(SupportVectorMachine，SVM)是由Vapnik领导的AT&TBell实验室研究小组在1995年提出的一种新的非常有潜力的分类技术。

3．决策树

决策树算法是从机器学习领域逐渐发展起来的一种分类函数逼近方法，常用来分析数据或做预测，是一种常见的数据挖掘算法。决策树分类方法包括两个步骤：

(1)学习(构建决策树)：

(2)分类(使用决策树)：下面对各种实用的决策树算法进行介绍。

1) ID3算法

在20世纪70年代后期和80年代初期，机器学习研究者Quinlan开发了决策树算法ID3，这项工作扩展了Hunt、Marin和Stone的概念学习系统(CLS，conceptlearningsystem)，是最有影响的决策树方法，它是基于信息熵的一种归纳的学习方法，采用贪婪算法构造决策树。Quinlan在ID3算法中首次将信息论中的熵概念引入到决策树的构造中来，提出“信息增益”的概念来选择需要检验的属性，因此被看做是CLS算法的极大发展，大大地简化了构造后产生的决策树的规模。

2) C4.5算法

ID3算法用到的信息增益标准在进行决策树构造时会产生偏差，因为信息增益偏向于多值属性。针对这种缺点，Quinlan提出了C4.5算法，该算法提出信息增益率概念。信息增益率在一定程度上克服了ID3算法的上述缺陷，并且可以有效地处理连续属性。7.1.5KDDCUP99入侵检测数据集介绍

1. TCP连接的基本特征

(1) duration. 连接持续时间，以秒为单位，连续类型，范围是[0，58329]。

(2) protocol_type. 协议类型，离散类型，共有三种：TCP、UDP和ICMP。

(3) service. 目标主机的网络服务类型，离散类型，共有70种：'aol'、'auth'、'bgp'、'courier'、'csnet_ns'、'ctf'、'daytime'、'discard'、'domain'、'domain_u'、'echo'、'eco_i'、'ecr_i'、'efs'、'exec'、'finger'、'ftp'、'ftp_data'、'gopher'、'harvest'、'hostnames'、'http'、'http_2784'、'http_443'、'http_8001'、'imap4'、'IRC'、'iso_tsap'、'klogin'、'kshell'、'ldap'、'link'、'login'、'mtp'、'name'、'netbios_dgm'、'netbios_ns'、'netbios_ssn'、'netstat'、'nnsp'、'nntp'、'ntp_u'、'other'、'pm_dump'、'pop_2'、'pop_3'、'printer'、'private'、'red_i'、'remote_job'、'rje'、'shell'、'smtp'、'sql_net'、'ssh'、'sunrpc'、'supdup'、'systat'、'telnet'、'tftp_u'、'tim_i'、'time'、'urh_i'、'urp_i'、'uucp'、'uucp_path'、'vmnet'、'whois'、'X11'、'Z39_50'。

(4) flag. 连接正常或错误的状态，离散类型，共11种。

(5) src_bytes. 从源主机到目标主机的数据的字节数，连续类型，范围是[0,1379963888]。

(6) dst_bytes. 从目标主机到源主机的数据的字节数，连续类型，范围是[0,1309937401]。

(7) land. 若连接来自/送达同一个主机/端口则为1，否则为0，离散类型，0或1。

(8) wrong_fragment. 错误分段的数量，连续类型，范围是[0,3]。

(9) urgent. 加急包的个数，连续类型，范围是[0,14]。

2. TCP连接的内容特征

对于U2R和R2L之类的攻击，由于它们不像Dos攻击那样在数据记录中具有频繁的序列模式，而是一般都嵌入在数据包的数据负载里面，单一的数据包和正常连接没有什么区别。

3.基于时间的网络流量的统计特征

(1) count.过去两秒内，与当前连接具有相同的目标主机的连接数，连续类型，范围是[0,511]。

(2) srv_count.过去两秒内，与当前连接具有相同服务的连接数，连续类型，范围是

[0，511]。

(3) serror_rate.过去两秒内，在与当前连接具有相同目标主机的连接中，出现“SYN”错误的连接的百分比，连续类型，范围是[0.00,1.00]。

(4) srv_serror_rate.过去两秒内，在与当前连接具有相同服务的连接中，出现“SYN”错误的连接的百分比，连续类型，范围是[0.00,1.00]。

(5) rerror_rate.过去两秒内，在与当前连接具有相同目标主机的连接中，出现“REJ”错误的连接的百分比，连续类型，范围是[0.00,1.00]。

(6) srv_rerror_rate.过去两秒内，在与当前连接具有相同服务的连接中，出现“REJ”错误的连接的百分比，连续类型，范围是[0.00,1.00]。

(7) same_srv_rate.过去两秒内，在与当前连接具有相同目标主机的连接中，与当前连接具有相同服务的连接的百分比，连续类型，范围是[0.00,1.00]。

(8) diff_srv_rate.过去两秒内，在与当前连接具有相同目标主机的连接中，与当前连接具有不同服务的连接的百分比，连续类型，范围是[0.00,1.00]。

(9) srv_diff_host_rate.过去两秒内，在与当前连接具有相同服务的连接中，与当前连接具有不同目标主机的连接的百分比，连续类型，范围是[0.00,1.00]。

4.基于主机的网络流量的统计特征

(1) dst_host_count.前100个连接中，与当前连接具有相同目标主机的连接数，连续类型，范围是[0,255]。

(2) dst_host_srv_count.前100个连接中，与当前连接具有相同目标主机相同服务的连接数，连续类型，范围是[0,255]。

(3) dst_host_same_srv_rate.前100个连接中，与当前连接具有相同目标主机相同服务的连接所占的百分比，连续类型，范围是[0.00,1.00]。

(4) dst_host_diff_srv_rate.前100个连接中，与当前连接具有相同目标主机不同服务的连接所占的百分比，连续类型，范围是[0.00,1.00]。

(5) dst_host_same_src_port_rate.前100个连接中，与当前连接具有相同目标主机、相同源端口的连接所占的百分比，连续类型，范围是[0.00,1.00]。

(6) dst_host_srv_diff_host_rate.前100个连接中，与当前连接具有相同目标主机、相同服务的连接中，与当前连接具有不同源主机的连接所占的百分比，连续类型，范围是[0.00,1.00]。

(7) dst_host_serror_rate.前100个连接中，与当前连接具有相同目标主机的连接中，出现“SYN”错误的连接所占的百分比，连续类型，范围是[0.00,1.00]。

(8) dst_host_srv_serror_rate.前100个连接中，与当前连接具有相同目标主机、相同服务的连接中，出现“SYN”错误的连接所占的百分比，连续类型，范围是[0.00,1.00]。

(9) dst_host_rerror_rate.前100个连接中，与当前连接具有相同目标主机的连接中，出现“REJ”错误的连接所占的百分比，连续类型，范围是[0.00,1.00]。

(10) dst_host_srv_rerror_rate.前100个连接中，与当前连接具有相同目标主机、相同服务的连接中，出现“REJ”错误的连接所占的百分比，连续类型，范围是[0.00,1.00]。7.1.6KDDCUP99数据集存在的问题与改进

KDDCUP99自公布以来，出现了许多基于此数据集的研究成果和研究论文，然而KDDCUP99数据集仍有一些缺点，或者说该数据集还有待改进与完善的方面：

(1)特征选择缺陷，一些扫描主机或端口的时间间隔大于2秒(如每分钟扫描一次)的攻击不易识别。改进方法：连接记录可以按目的主机分类，如特征的构建使用100个有相同目的主机的连接作为检查单元而不用时间单元，亦即采用“基于主机的流量特性集”。

(2)数据集缺少主机数据(主机日志)的信息，且由于网络数据报文段的非结构化信息中的特征不易提取，因此U2L和U2R类攻击的识别效率比较低。

(3)随着时间的发展和新应用的出现，新的攻击以及变体不断涌现，原先数据集中的攻击样本显得陈旧。

(4)数据集的网络应用环境是10M以太网，而根据目前网络的实际应用环境，100M/1000M以太网环境才能符合当前的应用需求。

(5)不能反映网络节点被入侵后的丢包行为，不适用于如Adhoc网络的入侵检测系统，需要改进，添加相应的特征。

7.2入侵防御技术

7.2.1入侵防御技术的提出

随着网络入侵事件的不断增加和黑客攻击水平的不断提高，一方面企业网络感染病毒、遭受攻击的速度日益加快，另一方面企业网络受到攻击时做出响应的时间却越来越滞后。解决这一矛盾，传统的防火墙或入侵检测技术(IDS)显得力不从心，这就需要引入一种全新的技术—入侵防御(IntrusionPreventionSystem，IPS)。7.2.2IPS的技术特点及种类

1．IPS的技术特点

(1)嵌入式运行。

(2)深入分析和控制。

(3)入侵特征库。

(4)高效处理能力。

(5)协议分析是IPS技术的一个里程碑。

2．IPS的种类

1)基于主机的入侵防御(HIPS)系统

2)基于网络的入侵防御(NIPS)

3)基于应用的入侵防御系统(AIPS)

7.2.3IPS面临的问题及发展趋势

IPS面临的问题主要有以下几个方面：

(1)漏报、误报率问题。

(2)性能问题。

(3)扩大规则库的障碍。

(4)性能消耗。

7.2.4理想的IPS应具有的特点

一个理想的入侵防护解决方案应该包括以下特点：

(1)主动、实时地预防攻击。

(2)补丁等待保护。

(3)保护每个重要的服务器。

(4)特征和行为规则。

(5)深层防护。

(6)可管理性。

(7)可扩展性。

(8)经验证的防护技术。

7.3容侵容错技术

7.3.1容侵技术的基本概念

容侵就是指在网络中存在恶意入侵的情况下，网络仍然能够正常地运行。基于容侵技术设计的系统必须能够避免由入侵所导致的失效，在面对攻击的情况下仍能提供正常的服务，所以容侵技术必须具备以下三个特点：

(1)消除单点失效。

(2)抵制内部犯罪。

(3)消除权利集中。

7.3.2常见的容侵技术

1．秘密共享与门限密码技术

2．冗余技术

3．表决技术

4．对象复制技术7.3.3无线传感器网络中的容侵框架

NASSER和CHEN提出了一种无线传感器网络中的容侵框架，该框架包括三个部分：

(1)判定恶意节点。

(2)启动容侵机制。

(3)通过节点之间的协作，对恶意节点做出处理决定(排除或是恢复)。7.3.4容错技术的基本概念

无线传感器网络可用性的另一个要求是网络的容错性。

目前相关领域的研究内容主要集中在：

(1)网络拓扑中的容错。

(2)网络覆盖中的容错。

(3)数据检测中的容错。7.3.5容侵与容错和入侵检测