入侵检测与安全审计ppt课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,入侵检测与安全审计,*,第四章 入侵检测与安全审计,入侵检测与安全审计,主要内容,入侵检测系统基础,入侵检测分析方法,入侵检测系统实例,安全审计,概念,功能,IDS,的基本结构,分类,基于异常的检测技术,基于误用的检测技术,分布式入侵检测系统,典型的入侵检测系统,snort,IDS,的应用,入侵检测与安全审计,1.1 入侵检测基础,考虑：,如何防火墙被攻破了，该怎么来保护系统的安全？,入侵检测与安全审计,入侵检测（,ID,）,是对系统的运行状态进行,监视,，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。,通过对数据包的,分析,，从数据流中过滤出可疑数据包，通过与已知的入侵方式进行比较，,确定入侵是否发生,以及,入侵的类型,并进行,报警,。,入侵检测系统（,IDS,）,为完成入侵检测任务而设计的计算机系统称为入侵检测系统（,Intrusion Detection System, IDS,），这是防火墙之后的第二道安全闸门。,入侵检测与安全审计,功能,发现,和,制止,来自系统内部,/,外部的攻击，迅速采取保护措施,记录,入侵行为的证据，,动态调整,安全策略,特点,经济性：,IDS,不能妨碍系统的正常运行。,时效性：及时地发现入侵行为。,安全性：保证自身安全。,可扩展性：机制与数据分离；体系结构的可扩展性。,入侵检测与安全审计,工作流程,入侵检测与安全审计,数据提取模块,为系统提供数据，经过简单的处理后提交给数据分析模块。,数据分析模块,两方面功能：一是分析数据提取模块搜集到的数据；二是对数据库保存的数据做定期的统计分析。,结果处理模块,作用在于告警与反应。,事件数据库,记录分析结果，并记录下所有的时间，用于以后的分析与检查。,入侵检测与安全审计,1.2 IDS分类,基于主机的入侵检测系统,用于保护,单台主机,不受网络攻击行为的侵害，需要安装在被保护的主机上。,入侵检测与安全审计,根据检测对象的不同，基于主机的,IDS,可分为：,网络连接检测,对试图进入该主机的数据流进行检测，分析确定是否有入侵行为。,主机文件检测,检测主机上的各种相关文件，发现入侵行为或入侵企图。,入侵检测与安全审计,优点,检测准确度较高,可以检测到没有明显行为特征的入侵,成本较低,不会因网络流量影响性能,适合加密和交换环境,缺点,实时性较差,无法检测数据包的全部,检测效果取决于日志系统,占用主机资源,隐蔽性较差,入侵检测与安全审计,基于网络的入侵检测系统,作为一个,独立的个体,放置在被保护的网络上，使用原始的网络分组数据包作为进行攻击分析的数据源。,入侵检测与安全审计,优点,可以提供实时的网络行为检测,可以同时保护多台网络主机,具有良好的隐蔽性,有效保护入侵证据,不影响被保护主机的性能,缺点,防止入侵欺骗的能力较差,在交换式网络环境中难以配置,检测性能受硬件条件限制,不能处理加密后的数据,入侵检测与安全审计,1.4 蜜罐技术,原理,蜜罐系统是一个,包含漏洞的诱骗系统,，它通过,模拟,一个或多个易攻击的主机，给攻击者提供一个容易攻击的目标。,用来,观测,黑客如何探测并最终入侵系统；,用于,拖延,攻击者对真正目标的攻击。,入侵检测与安全审计,Honeypot,模型,关键,应用系统,内部网,虚拟网络主机,防火墙,高层交换,可疑数据流,Internet,入侵检测与安全审计,2.1 基于异常的入侵检测,也称为,基于行为,的检测技术，在总结出的正常行为规律基础上，检查入侵和滥用行为特征与其之间的差异，以此来判断是否有入侵行为。,基于统计学方法的异常检测系统,使用统计学的方法来学习和检测用户的行为。,预测模式生成法,利用动态的规则集来检测入侵。,神经网络方法,将神经网络用于对系统和用户行为的学习。,入侵检测与安全审计,2.1.1 基于统计学的异常检测系统,步骤：,Step1,：收集样本,对系统和用户的行为按照一定的时间间隔进行,采样,，样本的内容包括每个会话的登录、退出情况，,CPU,和内存的占用情况，硬盘等存储介质的使用情况等。,Step2,：分析样本,对每次采集到的样本进行,计算,，得出一系列的参数变量来对这些行为进行描述，从而产生,行为轮廓,，将每次采样后得到的行为轮廓与以后轮廓进行合并，最终得到系统和用户的正常行为轮廓。,入侵检测与安全审计,Step3,：检查入侵行为,通过将当前采集到的行为轮廓与正常行为轮廓相比较，来检测是否存在网络入侵行为。,算法：,M,1,M,2,M,n,表示行为轮廓中的特征变量，,S,1,S,2,S,n,分别表示各个变量的异常性测量值，,S,i,的值越大就表示异常性越大。,a,i,表示变量,M,i,的权重值。将各个异常性测量值的平均加权求和得出特征值,然后,选取阈值,，例如选择标准偏差,其中均值取,=M/n,，如果,S,值超出了,d,的范围就认为异常。,入侵检测与安全审计,2.1.2 预测模式生成法,利用,动态的规则集,来检测入侵，这些规则是由系统的归纳引擎，根据已发生的事件的情况来预测将来发生的事件的概率来产生的，归纳引擎为每一种事件设置可能发生的概率。,归纳出来的规律一般为：,E,1,E,k,: -(E,k+1,P(E,k+1,),(E,n,P(E,n,),例如：,规则,A,B: -(C,50%),(D, 30%),(E,15%),(F,5%),，如果,AB,已经发生，而,F,多次发生，远远大于,5%,，或者发生了事件,G,，都认为是异常行为。,入侵检测与安全审计,优点,能检测出传统方法难以检测的异常活动；,具有很强的适应变化的能力；,容易检测到企图在学习阶段训练系统中的入侵者；,实时性高。,缺点,对于不在规则库中的入侵将会漏判。,入侵检测与安全审计,2.1.3 神经网络方法,神经网络,是一种,算法,，通过,学习,已有的输入,/,输出信息对，,抽象,出其内在的关系，然后通过,归纳,得到新的输入,/,输出对。,在,IDS,中的应用,在,IDS,中，系统把用户当前输入的命令和用户已经执行的,W,个命令传递给神经网络，如果神经网络通过预测得到的命令与该用户随后输入的命令不一致，则在某种程度上表明用户的行为与其轮廓框架产生了偏离，即说明用户行为异常。,入侵检测与安全审计,优点,能更好的处理原始数据的随即特性，不需要对原是数据做任何统计假设；,有较好的抗干扰能力。,缺点,网络拓扑结构以及各元素的权重很难确定；,命令窗口,W,的大小也难以选择,入侵检测与安全审计,2.2 基于误用的入侵检测,也称为,基于知识,的检测技术或者,模式匹配,检测技术，通过某种方式预先定义入侵行为，然后监视系统的运行，并从中找出符合预先定义规则的入侵行为。,分类：,专家系统,模式匹配,模型推理,按键监视,入侵检测与安全审计,2.2.1 专家系统误用检测,将安全专家的关于网络入侵行为的知识表示成一些类似,If-Then,的规则，并以这些规则为基础建立,专家知识库,。规则中,If,部分说明形成网络入侵的必需条件，,Then,部分说明发现入侵后要实施的操作。,缺点：,全面性问题,效率问题,入侵检测与安全审计,2.2.2 模式匹配误用检测,也叫特征分析误用检测，指将入侵行为表示成一个事件序列或者转换成某种可以直接在网络数据包审计记录中找到的数据样板，而,不进行规则转换,，这样可以直接在审计记录中寻找相匹配的已知入侵模式。,缺点：,必须及时更新知识库,兼容性较差,建立和维护知识库的工作量都相当大,入侵检测与安全审计,2.2.3 模型推理误用检测,根据网络入侵行为的特征建立起,误用证据模型,，以此推理判断当前的用户行为是否是误用行为。,这种检测方法需要建立：,攻击剧本数据库,：每个攻击剧本是一个攻击行为序,列，,IDS,根据攻击剧本的子集来判断系统当前是否收,到入侵。,预警器,：根据当前的活动模型，产生下一步行为。,规划者,：负责判断所假设的行为如何反应在审计追,踪数据上，以及如何将假设的行为与系统相关的审,计追踪相匹配。,入侵检测与安全审计,2.2.4 按键监视误用检测,假设每种网络入侵行为都具有特定的,击键序列模式,，,IDS,监视各个用户的击键模式，并将该模式与已有的入侵击键模式相匹配，如果匹配成功就认为是网络入侵行为。,缺点：,不能对击键进行语义分析，容易遭受欺骗；,缺少可靠的方法来捕获用户的击键行为；,无法检测利用程序进行自动攻击的行为。,入侵检测与安全审计,2.3 异常检测与误用检测的对比,收集先验知识,系统配置,检测结果,基于异常的入侵检测,基于误用的入侵检测,需不断的学习并更新已有的行为轮廓，进而掌握被保护系统已知行为和预期行为的所有信息,需不断的对新出现的入侵行为进行总结归纳，进而拥有所有可能的入侵行为的先验知识,基于异常的入侵检测,基于误用的入侵检测,工作量少，但配置难度较大,工作量非常大,基于异常的入侵检测,基于误用的入侵检测,结果相对具有更多的数据量，任何超出行为轮廓范围的事件都将被检测出来,输出内容是列举出入侵行为的类型和名称，以及提供相应的处理建议,入侵检测与安全审计,3.1 通用入侵检测模型,1987,年，,Denning D.E.,提出了一个通用入侵检测模型：,新活动档案,学习,提取规则,创建,历史档案,审计记录,更新,时钟,主体活动,规则集处理引擎,活动,档案,异常,记录,入侵检测与安全审计,3.2 分布式入侵检测系统,系统的构成是开放的、分布式的，多个功能构件分工合作,能够检测分布式的攻击,入侵检测与安全审计,3.3 典型入侵检测系统Snort,Snort,是一个强大的轻量级的网络入侵检测系统。,它具有实时数据流量分析和日志,IP,网络数据包的能力，能够进行协议分析，对内容进行搜索,/,匹配。,它能够检测各种不同的攻击方式，对攻击进行实时报警。,Snort,可以运行在*,nix/Win32,平台上。,入侵检测与安全审计,工作原理,在基于,共享网络,上检测原始的网络传输数据，通过,分析,捕获的数据包，,匹配,入侵行为的特征或者从网络活动的角度,检测,异常行为，进而采取入侵的,预警,或,记录,。属于,基于误用,的检测。,入侵检测与安全审计,初始化,解析命令行,解析规则库,打开,libpcap,接口,获取数据包,解析数据包,生成二维链表,与二维链表某,节点匹配？,响应,（报警、日志）,是,否,Snort,工作流程图,入侵检测与安全审计,3.4 入侵检测系统的应用,实例,入侵检测与安全审计,分支机构,2,INTERNET,分支机构,1,NEsec300 FW,2,0,3,5,9,6,8,?,告,警,内网接口,外网接口,电,源,内部核心子网,NEsec300 FW,2,0,3,5,9,6,8,?,告,警,内网接口,外网接口,电,源,NEsec300 FW,2,0,3,5,9,6,8,?,告,警,内网接口,外网接口,电,源,NEsec300 FW,2,0,3,5,9,6,8,?,告,警,内网接口,外网接口,电,源,交换机,安全网关,SG1,安全网关,SG2,安全网关,SG3,路由器,路由器,路由器,安全管理器,安全认证服务器,网络入侵检测探头,网络入侵策略管理器,入侵检测与安全审计,4. 安全审计基础,为何我们需要安全审计？,一旦我们采用的防御体系被突破怎么办？至少我们必须知道系统是怎样遭到攻击的，这样才能恢复系统，此外我们还要知道系统存在什么漏洞，如何能使系统在受到攻击时有所察觉，如何获取攻击者留下的证据。网络安全审计的概念就是在这样的需求下被提出的，它相当于飞机上使用的“黑匣子”。,网络安全审计系统能帮助我们对网络安全进行,实时监控,，及时发现整个网络上的动态，发现网络入侵和违规行为，忠实,记录,网络上发生的一切，提供取证手段。它是保证网络安全十分重要的一种手段。,入侵检测与安全审计,CC,标准中的网络安全审计功能定义,网络安全审计包括识别、记录、存储、分析与安全相关行为有关的信息。在,CC,标准中对网络审计定义了一套完整的功能，有：,安全审计自动响应,安全审计数据生成,安全审计分析,安全审计浏览,安全审计事件存储,安全审计事件选择,入侵检测与安全审计,4.1 安全审计系统,网络层审计,系统层审计,应用层审计,TCP/IP,、,ATM,UNIX,、,Windows 9x/NT,、,ODBC,审计总控,CA,发证操作,主页更新监视,网络安全审计层次结构图,入侵检测与安全审计,4.3 参考标准,ISO 7498-2,ISO7498-2,描述了如何确保站点安全和实施有效的审计计划。它是第一篇论述如何系统的达到网络安全的文章，大家可以从：获得更多的,ISO,标准的消息。,英国标准,7799,（,BS 7799,）,BS 7799,文档的标题是,A Code of Practice For Information Security Management,，论述了如何确保网络系统安全。,BS 7799-1,论述了确保网络安全所采取的步骤；,BS 7799-2,讨论了在实施信息安全管理系统（,ISMS,）是应采取的步骤。,ISO 15408,（,Common Criteria,，,CC,）,CC,提供了有助于你选择和发展网络安全解决方案的全球统一标准；,CC,出现实际上是为了统一,ITSEC,和,TCSEC,，并取代“,Orange Book”,。,入侵检测与安全审计,