《入侵检测技术》PPT课件

第 13讲 入 侵 检 测 技 术信 息 安 全 系 王 志 伟 对计算机系统或网络的入侵已成为计算机安全最严重的威胁之一。入侵检测系统可以提供早期的预警，从而避免或减轻入侵所造成的损失。入侵检测涉及对正常行为的模式检测和对于入侵相关的异常行动的模式检测。 1. 概 述2. 入 侵 检 测 的 分 类3. 入 侵 检 测 方 法4. 入 侵 检 测 响 应 机 制本 章 摘 要 概 述2. 入 侵 检 测 分 类3. 入 侵 检 测 方 法4. 入 侵 检 测 响 应 机 制 IDS存 在 与 发 展 的 必 然 性一 、 网 络 攻 击 的 破 坏 性 、 损 失 的 严 重 性二 、 日 益 增 长 的 网 络 安 全 威 胁三 、 单 纯 的 防 火 墙 无 法 防 范 复 杂 多 变 的 攻 击 网 络 安 全 工 具 的 特 点优 点 局 限 性防 火 墙 可 简 化 网 络 管 理 ， 产 品 成 熟 无 法 处 理 网 络 内 部 的 攻 击IDS 实 时 监 控 网 络 安 全 状 态 误 报 警 ， 缓 慢 攻 击 ， 新 的 攻击 模 式Scanner 简 单 可 操 作 ， 帮 助 系 统 管 理员 和 安 全 服 务 人 员 解 决 实 际问 题 并 不 能 真 正 扫 描 漏 洞VPN 保 护 公 网 上 的 内 部 通 信 可 视 为 防 火 墙 上 的 一 个 漏 洞 防 病 毒 针 对 文 件 与 邮 件 ， 产 品 成 熟 功 能 单 一 Intrusionn Intrusion : Attempting to break into or misuse your system.n Intruders may be from outside the network or legitimate users of the network.n Intrusion can be a physical, system or remote intrusion. n 传 统 的 信 息 安 全 方 法 采 用 严 格 的 访 问 控 制 和 数据 加 密 策 略 来 防 护 ， 但 在 复 杂 系 统 中 ， 这 些 策略 是 不 充 分 的 。 它 们 是 系 统 安 全 不 可 缺 的 部 分但 不 能 完 全 保 证 系 统 的 安 全 。n 入 侵 检 测 （ Intrusion Detection） 是 对 入 侵 行为 的 发 觉 。 它 通 过 从 计 算 机 网 络 或 计 算 机 系 统的 关 键 点 收 集 信 息 并 进 行 分 析 ， 从 中 发 现 网 络或 系 统 中 是 否 有 违 反 安 全 策 略 的 行 为 和 被 攻 击的 迹 象 。Intrusion Detection Intrusion Detection Systemn 进 行 入 侵 检 测 的 软 件 与 硬 件 的 组 合 便 是 入侵 检 测 系 统 （ IDS : Intrusion Detection System ）n 对 系 统 的 运 行 状 态 进 行 监 视 ， 发 现 各 种 攻击 企 图 、 攻 击 行 为 或 者 攻 击 结 果 ， 以 保 证系 统 资 源 的 机 密 性 、 完 整 性 和 可 用 性 。 IDS基 本 结 构入 侵 检 测 系 统 包 括 三 个 功 能 部 件（ 1） 信 息 收 集（ 2） 信 息 分 析（ 3） 结 果 处 理 信 息 收 集 信 息 收 集n 入 侵 检 测 的 第 一 步 是 信 息 收 集 ， 收 集 内 容 包 括 系统 、 网 络 、 数 据 及 用 户 活 动 的 状 态 和 行 为 。n 需 要 在 计 算 机 网 络 系 统 中 的 若 干 不 同 关 键 点 （ 不同 网 段 和 不 同 主 机 ） 收 集 信 息n 尽 可 能 扩 大 检 测 范 围 n 从 一 个 源 来 的 信 息 有 可 能 看 不 出 疑 点 信 息 收 集n 入 侵 检 测 很 大 程 度 上 依 赖 于 收 集 信 息 的 可 靠 性和 正 确 性 。n 要 保 证 用 来 检 测 网 络 系 统 的 软 件 的 完 整 性 。n 特 别 是 入 侵 检 测 系 统 软 件 本 身 应 具 有 相 当 强 的坚 固 性 ， 防 止 被 篡 改 而 收 集 到 错 误 的 信 息 。 信 息 收 集 的 来 源n 系 统 或 网 络 的 日 志 文 件n 网 络 流 量n 系 统 目 录 和 文 件 的 异 常 变 化n 程 序 执 行 中 的 异 常 行 为 系 统 或 网 络 的 日 志 文 件n 攻 击 者 常 在 系 统 日 志 文 件 中 留 下 他 们 的 踪 迹 ， 因 此 ，充 分 利 用 系 统 和 网 络 日 志 文 件 信 息 是 检 测 入 侵 的 必 要条 件n 日 志 文 件 中 记 录 了 各 种 行 为 类 型 ， 每 种 类 型 又 包 含 不同 的 信 息 ， 例 如 记 录 “ 用 户 活 动 ” 类 型 的 日 志 ， 就 包含 登 录 、 用 户 ID改 变 、 用 户 对 文 件 的 访 问 、 授 权 和 认证 信 息 等 内 容 n 显 然 ， 对 用 户 活 动 来 讲 ， 不 正 常 的 或 不 期 望 的 行 为 就是 重 复 登 录 失 败 、 登 录 到 不 期 望 的 位 置 以 及 非 授 权 的企 图 访 问 重 要 文 件 等 等 系 统 目 录 和 文 件 的 异 常 变 化n 网 络 环 境 中 的 文 件 系 统 包 含 很 多 软 件 和 数 据 文 件 ， 包含 重 要 信 息 的 文 件 和 私 有 数 据 文 件 经 常 是 黑 客 修 改 或破 坏 的 目 标n 目 录 和 文 件 中 的 不 期 望 的 改 变 （ 包 括 修 改 、 创 建 和 删除 ） ， 特 别 是 那 些 正 常 情 况 下 限 制 访 问 的 ， 很 可 能 就是 一 种 入 侵 产 生 的 指 示 和 信 号 n 入 侵 者 经 常 替 换 、 修 改 和 破 坏 他 们 获 得 访 问 权 的 系 统上 的 文 件 ， 同 时 为 了 隐 藏 系 统 中 他 们 的 表 现 及 活 动 痕迹 ， 都 会 尽 力 去 替 换 系 统 程 序 或 修 改 系 统 日 志 文 件 信 息 分 析 信 息 分 析 模 式 匹 配 统 计 分 析 完 整 性 分 析 ， 往 往 用 于 事 后 分 析 模 式 匹 配n 模 式 匹 配 就 是 将 收 集 到 的 信 息 与 已 知 的 网 络 入 侵和 系 统 误 用 模 式 数 据 库 进 行 比 较 ， 从 而 发 现 违 背安 全 策 略 的 行 为n 一 般 来 讲 ， 一 种 攻 击 模 式 可 以 用 一 个 过 程 （ 如 执行 一 条 指 令 ） 或 一 个 输 出 （ 如 获 得 权 限 ） 来 表 示 。该 过 程 可 以 很 简 单 （ 如 通 过 字 符 串 匹 配 以 寻 找 一个 简 单 的 条 目 或 指 令 ） ， 也 可 以 很 复 杂 （ 如 利 用正 规 的 数 学 表 达 式 来 表 示 安 全 状 态 的 变 化 ） 统 计 分 析n 统 计 分 析 方 法 首 先 给 系 统 对 象 （ 如 用 户 、 文 件 、目 录 和 设 备 等 ） 创 建 一 个 统 计 描 述 ， 统 计 正 常 使用 时 的 一 些 测 量 属 性 （ 如 访 问 次 数 、 操 作 失 败 次数 和 延 时 等 ）n 测 量 属 性 的 平 均 值 和 偏 差 将 被 用 来 与 网 络 、 系 统的 行 为 进 行 比 较 ， 任 何 观 察 值 在 正 常 值 范 围 之 外时 ， 就 认 为 有 入 侵 发 生 完 整 性 分 析n 完 整 性 分 析 主 要 关 注 某 个 文 件 或 对 象 是 否 被 更 改n 这 经 常 包 括 文 件 和 目 录 的 内 容 及 属 性n 在 发 现 被 更 改 的 、 被 安 装 木 马 的 应 用 程 序 方 面 特别 有 效 结 果 处 理 入 侵 检 测 性 能 关 键 参 数n 误 报 (false positive)： 如 果 系 统 错 误 地 将 异常 活 动 定 义 为 入 侵n 漏 报 (false negative)： 如 果 系 统 未 能 检 测 出真 正 的 入 侵 行 为 1. 概 述 入 侵 检 测 分 类3. 入 侵 检 测 方 法4. 入 侵 检 测 响 应 机 制 入 侵 检 测 的 分 类 （ 1）n 按 照 分 析 方 法 （ 检 测 方 法 ）n 异 常 检 测 模 型 （ Anomaly Detection ):首 先 总结 正 常 操 作 应 该 具 有 的 特 征 （ 用 户 轮 廓 ） ， 当 用户 活 动 与 正 常 行 为 有 重 大 偏 离 时 即 被 认 为 是 入 侵 n 误 用 检 测 模 型 （ Misuse Detection)： 收 集 非 正常 操 作 的 行 为 特 征 ， 建 立 相 关 的 特 征 库 ， 当 监 测的 用 户 或 系 统 行 为 与 库 中 的 记 录 相 匹 配 时 ， 系 统就 认 为 这 种 行 为 是 入 侵 异 常 检 测 模 型 1. 前 提 ： 入 侵 是 异 常 活 动 的 子 集 2. 用 户 轮 廓 (Profile): 通 常 定 义 为 各 种 行 为 参 数 及 其阀 值 的 集 合 ， 用 于 描 述 正 常 行 为 范 围3. 过 程 监 控 量 化 比 较 判 定 修 正4. 指 标 :漏 报 率 低 ,误 报 率 高异 常 检 测 异 常 检 测 特 点n 异 常 检 测 系 统 的 效 率 取 决 于 用 户 轮 廓 的 完 备 性 和监 控 的 频 率 .n 因 为 不 需 要 对 每 种 入 侵 行 为 进 行 定 义 ， 因 此 能 有效 检 测 未 知 的 入 侵 .n 系 统 能 针 对 用 户 行 为 的 改 变 进 行 自 我 调 整 和 优 化 ，但 随 着 检 测 模 型 的 逐 步 精 确 ， 异 常 检 测 会 消 耗 更多 的 系 统 资 源 . Anomaly Detectionactivity measures 010 2030 4050 6070 8090 CPU ProcessSize normal profileabnormal probable intrusion 误 用 检 测 模 型 1. 前 提 ： 所 有 的 入 侵 行 为 都 有 可 被 检 测 到 的 特征 2. 攻 击 特 征 库 : 当 监 测 的 用 户 或 系 统 行 为 与 库中 的 记 录 相 匹 配 时 ， 系 统 就 认 为 这 种 行 为 是入 侵 3. 过 程 监 控 特 征 提 取 匹 配 判 定 4. 指 标 :误 报 低 、 漏 报 高 误 用 检 测 误 用 检 测 模 型n 如 果 入 侵 特 征 与 正 常 的 用 户 行 能 匹 配 ， 则 系 统会 发 生 误 报 ； 如 果 没 有 特 征 能 与 某 种 新 的 攻 击行 为 匹 配 ， 则 系 统 会 发 生 漏 报 。n 特 点 ： 采 用 特 征 匹 配 ， 滥 用 模 式 能 明 显 降 低 误报 率 ， 但 漏 报 率 随 之 增 加 。 攻 击 特 征 的 细 微 变化 ， 会 使 得 滥 用 检 测 无 能 为 力 。 Misuse DetectionIntrusion Patterns activities pattern matchingintrusion无 法 检 测 新 的 攻 击例 如 : if (src_ip = dst_ip) then “land attack” 异 常 检 测 与 正 常 检 测 入 侵 检 测 的 分 类 （ 2）n 按 照 数 据 来 源 ：n 基 于 主 机 ： 系 统 获 取 数 据 的 依 据 是 系 统 运 行所 在 的 主 机 ， 保 护 的 目 标 也 是 系 统 运 行 所 在的 主 机n 基 于 网 络 ： 系 统 获 取 的 数 据 是 网 络 传 输 的 数据 包 ， 保 护 的 是 网 络 的 运 行 n 混 合 型 基 于 主 机 的 入 侵 检 测 系 统 基 于 主 机 入 侵 检 测 系 统 工 作 原 理网 络 服 务 器 1客 户 端 网 络 服 务 器 2X检 测 内 容 ： 系 统 调 用 、 端 口 调 用 、 系 统 日 志 、安 全 审 记 、 应 用 日 志 n 监 视 与 分 析 主 机 的 审 计 记 录n 可 以 不 运 行 在 监 控 主 机 上n 能 否 及 时 采 集 到 审 计 记 录n 如 何 保 护 作 为 攻 击 目 标 主 机 审 计 子 系 统基 于 主 机 基 于 网 络 的 入 侵 检 测 系 统 n 在 共 享 网 段 上 对 通 信 数 据 进 行 侦 听 采 集 数 据 n 主 机 资 源 消 耗 少 n 提 供 对 网 络 通 用 的 保 护n 如 何 适 应 高 速 网 络 环 境n 非 共 享 网 络 上 如 何 采 集 数 据基 于 网 络 Network-based 入 侵 检 测 基 于 网 络 入 侵 检 测 系 统 工 作 原 理网 络 服 务 器 1 数 据 包 =包 头 信 息 +有 效 数 据 部 分客 户 端 网 络 服 务 器 2X 检 测 内 容 ： 包 头 信 息 +有 效 数 据 部 分 两 类 IDS监 测 软 件n 网 络 IDSn 侦 测 速 度 快 n 隐 蔽 性 好 n 视 野 更 宽 n 较 少 的 监 测 器 n 占 资 源 少 n 主 机 IDSn 视 野 集 中 n 易 于 用 户 自 定 义n 保 护 更 加 周 密n 对 网 络 流 量 不 敏 感 入 侵 检 测 的 分 类 （ 3）n 按 系 统 各 模 块 的 运 行 方 式n 集 中 式 ： 系 统 的 各 个 模 块 包 括 数 据 的收 集 分 析 集 中 在 一 台 主 机 上 运 行n 分 布 式 ： 系 统 的 各 个 模 块 分 布 在 不 同的 计 算 机 和 设 备 上 分 布 式 入 侵 检 测 系 统DIDS的 体 系 结 构（ 分 布 式 入 侵 检 测 系 统 ） 入 侵 检 测 的 分 类 （ 4）n 根 据 时 效 性n 脱 机 分 析 ： 行 为 发 生 后 ， 对 产 生 的 数据 进 行 分 析n 联 机 分 析 ： 在 数 据 产 生 的 同 时 或 者 发生 改 变 时 进 行 分 析 常 用 术 语 n 当 一 个 入 侵 正 在 发 生 或 者 试 图 发 生 时 ， IDS系 统 将 发布 一 个 alert信 息 通 知 系 统 管 理 员n 如 果 控 制 台 与 IDS系 统 同 在 一 台 机 器 ， alert信 息 将显 示 在 监 视 器 上 ， 也 可 能 伴 随 着 声 音 提 示n 如 果 是 远 程 控 制 台 ， 那 么 alert将 通 过 IDS系 统 内 置方 法 （ 通 常 是 加 密 的 ） 、 SNMP（ 简 单 网 络 管 理 协 议 ，通 常 不 加 密 ） 、 email、 SMS（ 短 信 息 ） 或 者 以 上 几种 方 法 的 混 合 方 式 传 递 给 管 理 员Alert（ 警 报 ） Anomaly（ 异 常 ） n 当 有 某 个 事 件 与 一 个 已 知 攻 击 的 信 号 相 匹 配 时 ，多 数 IDS都 会 告 警n 一 个 基 于 anomaly（ 异 常 ） 的 IDS会 构 造 一 个当 时 活 动 的 主 机 或 网 络 的 大 致 轮 廓 ， 当 有 一 个在 这 个 轮 廓 以 外 的 事 件 发 生 时 ， IDS就 会 告 警 n 首 先 ， 可 以 通 过 重 新 配 置 路 由 器 和 防 火 墙 ， 拒 绝 那 些 来自 同 一 地 址 的 信 息 流 ;其 次 ， 通 过 在 网 络 上 发 送 reset包切 断 连 接n 但 是 这 两 种 方 式 都 有 问 题 ， 攻 击 者 可 以 反 过 来 利 用 重 新配 置 的 设 备 ， 其 方 法 是 ： 通 过 伪 装 成 一 个 友 方 的 地 址 来发 动 攻 击 ， 然 后 IDS就 会 配 置 路 由 器 和 防 火 墙 来 拒 绝 这些 地 址 ， 这 样 实 际 上 就 是 对 “ 自 己 人 ” 拒 绝 服 务 了n 发 送 reset包 的 方 法 要 求 有 一 个 活 动 的 网 络 接 口 ， 这 样 它将 置 于 攻 击 之 下 ， 一 个 补 救 的 办 法 是 ： 使 活 动 网 络 接 口位 于 防 火 墙 内 ， 或 者 使 用 专 门 的 发 包 程 序 ， 从 而 避 开 标准 IP栈 需 求 Automated Response（ 自 动 响 应 ） n IDS的 核 心 是 攻 击 特 征 ， 它 使 IDS在 事 件 发 生 时 触 发n 特 征 信 息 过 短 会 经 常 触 发 IDS， 导 致 误 报 或 错 报 ， 过 长则 会 减 慢 IDS的 工 作 速 度n 有 人 将 IDS所 支 持 的 特 征 数 视 为 IDS好 坏 的 标 准 ， 但 是有 的 厂 商 用 一 个 特 征 涵 盖 许 多 攻 击 ， 而 有 些 厂 商 则 会 将这 些 特 征 单 独 列 出 ， 这 就 会 给 人 一 种 印 象 ， 好 像 它 包 含了 更 多 的 特 征 ， 是 更 好 的 IDSSignatures（ 特 征 ） Promiscuous（ 混 杂 模 式 ） n 默 认 状 态 下 ， IDS网 络 接 口 只 能 看 到 进 出 主 机的 信 息 ， 也 就 是 所 谓 的 non-promiscuous（ 非混 杂 模 式 ）n 如 果 网 络 接 口 是 混 杂 模 式 ， 就 可 以 看 到 网 段 中所 有 的 网 络 通 信 量 ， 不 管 其 来 源 或 目 的 地n 这 对 于 网 络 IDS是 必 要 的 ， 但 同 时 可 能 被 信 息包 嗅 探 器 所 利 用 来 监 控 网 络 通 信 量 1. 概 述2. 入 侵 检 测 分 类 入 侵 检 测 方 法4. 入 侵 检 测 响 应 机 制 异 常 入 侵 检 测 方 法 统 计 异 常 检 测 基 于 特 征 选 择 异 常 检 测 基 于 贝 叶 斯 推 理 异 常 检 测 基 于 贝 叶 斯 网 络 异 常 检 测 基 于 模 式 预 测 异 常 检 测 基 于 神 经 网 络 异 常 检 测 基 于 贝 叶 斯 聚 类 异 常 检 测 基 于 机 器 学 习 异 常 检 测 基 于 数 据 挖 掘 异 常 检 测详 见 课 本 P328-330 误 用 入 侵 检 测 方 法 误 用 入 侵 检 测 的 主 要 假 设 是 具 有 能 够 被 精 确 地 按 某 种 方式 编 码 的 攻 击 ， 并 可 以 通 过 捕 获 攻 击 及 重 新 整 理 ， 确 认入 侵 活 动 是 基 于 同 一 弱 点 进 行 攻 击 的 入 侵 方 法 的 变 种 误 用 入 侵 检 测 指 的 是 通 过 按 预 先 定 义 好 的 入 侵 模 式 以 及观 察 到 入 侵 发 生 情 况 进 行 模 式 匹 配 来 检 测 入 侵 模 式 说 明 了 那 些 导 致 安 全 突 破 或 其 它 误 用 的 事 件 中的 特 征 、 条 件 、 排 列 和 关 系 。 一 个 不 完 整 的 模 式 可 能 表明 存 在 入 侵 的 企 图 模 式 构 造 也 有 多 种 方 式 基 于 条 件 概 率 误 用 检 测 基 于 专 家 系 统 误 用 检 测 基 于 状 态 迁 移 误 用 检 测 基 于 键 盘 监 控 误 用 检 测 基 于 模 型 误 用 检 测误 用 入 侵 检 测 方 法详 见 课 本 P330-334 1. 概 述2. 入 侵 检 测 分 类3. 入 侵 检 测 方 法 入 侵 检 测 响 应 机 制 制 订 响 应 策 略 应 考 虑 的 要 素n 系 统 用 户 ： 入 侵 检 测 系 统 用 户 可 以 分 为 网 络 安 全 专 家 或管 理 员 、 系 统 管 理 员 、 安 全 调 查 员 。 这 三 类 人 员 对 系 统的 使 用 目 的 、 方 式 和 熟 悉 程 度 不 同 ， 必 须 区 别 对 待n 操 作 运 行 环 境 ： 入 侵 检 测 系 统 提 供 的 信 息 形 式 依 赖 其 运行 环 境n 系 统 目 标 ： 为 用 户 提 供 关 键 数 据 和 业 务 的 系 统 ， 需 要 部分 地 提 供 主 动 响 应 机 制 n 规 则 或 法 令 的 需 求 ： 在 某 些 军 事 环 境 里 ， 允 许 采 取 主 动防 御 甚 至 攻 击 技 术 来 对 付 入 侵 行 为 响 应 策 略n 弹 出 窗 口 报 警n E-mail通 知n 切 断 TCP连 接n 执 行 自 定 义 程 序n 与 其 他 安 全 产 品 交 互 n Firewalln SNMP Trap 一 个 高 级 的 网 络 节 点 在 使 用 “ 压 制 调 速 ” 技 术的 情 况 下 ， 可 以 采 用 路 由 器 把 攻 击 者 引 导 到 一 个 经过 特 殊 装 备 的 系 统 上 ， 这 种 系 统 被 成 为 蜜 罐 蜜 罐 是 一 种 欺 骗 手 段 ， 它 可 以 用 于 错 误 地 诱 导攻 击 者 ， 也 可 以 用 于 收 集 攻 击 信 息 ， 以 改 进 防 御 能力 蜜 罐 能 采 集 的 信 息 量 由 自 身 能 提 供 的 手 段 以 及攻 击 行 为 数 量 决 定 蜜 罐 面 临 的 问 题(1) 随 着 能 力 的 提 高 ， 入 侵 者 会 研 制 更 多 的 攻 击 工 具 ， 以 及 使用 更 为 复 杂 精 致 的 攻 击 手 段 ， 对 更 大 范 围 的 目 标 类 型 实 施 攻 击 ；(2) 入 侵 者 采 用 加 密 手 段 传 输 攻 击 信 息 ；(3) 日 益 增 长 的 网 络 流 量 导 致 检 测 分 析 难 度 加 大 ；(4) 缺 乏 统 一 的 入 侵 检 测 术 语 和 概 念 框 架 ；(5) 不 适 当 的 自 动 响 应 机 制 存 在 着 巨 大 的 安 全 风 险 ；(6) 存 在 对 入 侵 检 测 系 统 自 身 的 攻 击 ；(7) 过 高 的 错 报 率 和 误 报 率 ， 导 致 很 难 确 定 真 正 的 入 侵 行 为 ；(8) 采 用 交 换 方 法 限 制 了 网 络 数 据 的 可 见 性 ； (9) 高 速 网 络 环 境 导 致 很 难 对 所 有 数 据 进 行 高 效 实 时 分 析