入侵检测系统

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,入侵检测系统,2.1 入侵检测流程,简单地说，入侵检测系统包括三个功能部件：,1信息收集,2信息分析,3结果处理,1信息收集,入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为,需要在计算机网络系统中的假设干不同关键点不同网段和不同主机收集信息,尽可能扩大数据收集范围,从一个源来的信息有可能看不出疑点，进展多点收集。,信息收集,入侵检测很大程度上依赖于收集信息的可靠性和正确性,入侵检测系统软件本身应具有相当强的巩固性，防止被篡改而收集到错误的信息,信息收集的来源,数据来源可分为四类：,来自主机的,基于主机的监测收集通常在操作系统层的来自计算机内部的数据，包括操作系统审计跟踪信息和系统日志,来自网络的,检测收集网络的数据,来自应用程序的,监测收集来自运行着的应用程序的数据，包括应用程序事件日志和其它存储在应用程序内部的数据,来自目标机的,使用散列函数来检测对系统对象的修改。,2信息分析,模式匹配误用检测,统计分析异常检测,完整性分析，往往用于事后分析,模式匹配,模式匹配就是将收集到的信息与的网络入侵和系统误用模式数据库进展比较，从而发现违背平安策略的行为,一般来讲，一种攻击模式可以用一个过程如执行一条指令或一个输出如获得权限来表示。该过程可以很简单如通过字符串匹配以寻找一个简单的条目或指令，也可以很复杂如利用正规的数学表达式来表示平安状态的变化,统计分析,统计分析方法首先给系统对象如用户、文件、目录和设备等创立一个统计描述，统计正常使用时的一些测量属性如访问次数、操作失败次数和延时等,测量属性的平均值和方差将被用来与网络、系统的行为进展比较，任何观察值在正常值范围之外时，就认为有入侵发生,完整性分析,完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,在发现被更改的、被安装木马的应用程序方面特别有效,3结果处理,告警与响应,当一个攻击事件被检测出来以后，IDS就应该根据入侵事件的类型或性质做出相应的告警与响应。常见的方式有：,自动终止攻击过程；,终止用户连接；,制止用户账号；,重新配置防火墙阻塞攻击的源地址；,向管理控制平台发出警告指出事件的发生；,向网络管理平台发出SNMP TRAP;,记录事件的日志，包括日期、时间、源地址、目的地址、描述与事件相关的原始数据；,执行一个用户自定义程序,11,2.2 入侵检测的数据源,入侵检测的根本问题,如何充分、可靠地提取描述行为特征的数据；,如何根据特征数据，高效、准确地判断行为的性质；, ,12,数据源,主机信息源,网络信息源,13,操作系统审计记录Audit Trails,系统日志System Logs,应用程序日志Application Logs,目标信息Objects,主机信息源,14,审计记录,由审计子系统产生；,用于反映系统活动的信息集合；,遵循美国可信计算机平安评价标准TCSEC；,15,审计记录的优点,可信度高,得益于操作系统的保护,审计记录没有经过高层的抽象,最“原始的信息来源,了解系统事件的细节,实现准确的入侵匹配,不易被篡改和破坏,16,审计记录的问题,过于细节化的问题,缺乏足够细节的问题,缺乏说明文档,不同系统审计记录的不兼容,最让入侵检测系统头疼的问题！,17,审计记录内容,响应事件的主题和涉及事件的目标信息,主体,对象,进程,用户id,系统调用的参数,返回值,特定应用事件的数据, ,Windows日志监测,1Windows日志,Windows中也一样使用“事件查看器来管理日志系统，也同样需要用系统管理员身份进入系统前方可进展操作，如下图。,通常有应用程序日志，平安日志、系统日志、DNS效劳器日志、FTP日志、WWW日志等等，可能会根据效劳器所开启的效劳不同而略有变化。启动Windows时，事件日志效劳会自动启动，所有用户都可以查看“应用程序日志，但是只有系统管理员才能访问“平安日志和“系统日志。,应用程序日志、平安日志、系统日志、DNS日志默认位置：%systemroot%sys tem32config，默认文件大小512KB，但有经历的系统管理员往往都会改变这个默认大小。,平安日志文件：,系统日志文件：,应用程序日志文件：,Internet信息效劳FTP日志默认位置：c:systemrootsys tem32logfilesms。,Internet信息效劳WWW日志默认位置：c:systemrootsystem32logfilesw3svc1。,Windows 2000中提供了一个叫做平安日志分析器(CyberSafe Log Analyst，CLA)的工具，有很强的日志管理功能。,一旦黑客在获得效劳器的系统管理员权限之后就可以随意破坏系统上的文件了，包括日志文件，想要隐藏自己的入侵踪迹，就必须对日志进展修改。,对事件日志移位能做到很好的保护。移位虽是一种保护方法，但只要在命令行输入dir c:*.evt/s如系统安装在D盘，那么盘符为D，一下就可查找到事件日志位置。,23,NT审计机制,Windows NT的审计机制,以事件日志event-logging的形式提供数据源,融合了从操作系统和其它系统数据源处收集到的事件信息,由操作系统内部的平安参考监视器SRM、本地平安中心LSA和事件记录器Event Logger共同完成,24,NT审计事件,NT包含7,种类型的审计事件组：,系统,登录,/,退出,对象访问,特权使用,细节跟踪,策略更改,帐号管理,25,系统事件,类别,事件类型,来源,系统,（System）,系统重启,SRM,系统关机,SRM,认证包载入,LSA,注册登录进程,LSA,审计日志清除,SRM,审计数据丢弃（内部队列满）,SRM,26,登录/退出事件,登录/退出（Logon/Logoff）,登录成功,LSA,未知用户或密码,LSA,超时登录失败,LSA,帐号禁用,LSA,帐号过期,LSA,无效工作站,LSA,登录类型限制,LSA,密码过期,LSA,登录失败,LSA,退出,LSA,27,对象访问,对象访问,（Object Access）,打开对象,SRM,关闭句柄,SRM,28,特权使用,特权使用,（Privilege Use）,分配特权,SRM,特权服务,SRM,特权对象访问,SRM,29,细节跟踪,细节跟踪,（Detailed Tracking）,进程创建,SRM,进程终止,SRM,复制句柄,SRM,间接参考,SRM,30,策略更改,策略更改,（Policy Changes）,特权已分配,LSA,特权已取消,LSA,审计策略改变,LSA,31,帐号管理,帐号管理,（Account Management）,改变域,LSA,更改用户,LSA,创建用户,LSA,删除用户,LSA,删除全局组成员,LSA,添加全局组成员,LSA,更改本地组,LSA,创建本地组,LSA,删除本地组成员,LSA,添加本地组成员,LSA,删除本地组,LSA,32,NT审计内容,NT的事件日志机制,系统日志,记录操作系统事件,应用日志,记录应用程序事件,平安日志,记录与平安相关的事件,33,NT审计记录,NT事件记录构造,34,系统日志,系统日志是反映各种系统事件和设置的文件；,Unix系统提供了分类齐全的系统日志，如登录日志、进程统计日志；,Unix提供通用的效劳syslog，几乎所有的UNIX和Linux操作系统都是采用syslog进展系统日志的管理和配置 用于支持产生和更新事件日志，任何程序都可以通过syslog记录事件；,默认配置,syslog,日志,36,系统日志的平安性,系统日志的来源：产生日志的软件作为一个应用程序,系统日志的存储方式：存储在不受保护的目录里,提高系统日志的平安性,加密和校验机制,日志重定向,37,系统日志的优点,面向管理员而非面向计算机,与审计记录相比，更为人性化,易于浏览、便于理解,38,平安性比照,39,应用日志,应用日志通常代表了系统活动的用户级抽象信息，相对于系统级的平安数据来说，去除了大量的冗余信息，更易于管理员浏览和理解。,典型的有：,日志,数据库系统日志,40,日志,通用日志格式CLF, -user1 27/Nov/2000:10:00:00 +0600 “GET /page1/HTTP 1.0 200 1893,字段,格式,访问者主机名,“H”,rfc931,由identd返回的该用户信息,用户名（如果用户提交了用于认证的ID）,UserID,请求日期及时间（包括时区信息）,DD/MMM/YYYY:HH:MM:SS+TimeZone,请求的页面及服务器使用的页面通信协议,“GET ”,请求的返回码（200代表成功）,NNN，如果没有则以“-”表示,返回的字节数,NNNNN，如果没有则以“-”表示,41,日志,扩展日志文件格式,字段,格式,访问者主机名,“H”,rfc931,由identd返回的该用户信息,用户名（如果用户提交了用于认证的ID）,UserID,请求日期及时间（包括时区信息）,DD/MMM/YYYY:HH:MM:SS+TimeZone,请求的页面及服务器使用的页面通信协议,“GET ”,请求的返回码（200代表成功）,NNN，如果没有则以“-”表示,返回的字节数,NNNNN，如果没有则以“-”表示,请求的URL的地址,访问者使用的浏览器及其版本,“browser/version”（操作系统）,WWW日志,#Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 20040419 03:091 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 20040419 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 20040419 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt),FTP日志,FTP日志每天生成一个日志文件，包含了该日的一切记录，文件名通常为ex年份月份日期。例如ex040419，就是2004年4月19日产生的日志，用记事本可直接翻开，普通的有入侵行为的日志一般是这样的： #Software: Microsoft Internet Information Services 5.0微软IIS5.0 #Version: 1.0 版本1.0 #Date: 20040419 0315 效劳启动时间日期 #Fields: time cip csmethod csuristem scstatus 0315 127.0.0.1 1USER administator 331IP地址为127.0.0.1用户名为administator试图登录 0318 127.0.0.1 1PASS 530登录失败 032:04 127.0.0.1 1USER nt 331IP地址为127.0.0.1用户名为nt的用户试图登录 032:06 127.0.0.1 1PASS 530登录失败 032:09 127.0.0.1 1USER cyz 331IP地址为127.0.0.1用户名为cyz的用户试图登录 0322 127.0.0.1 1PASS 530登录失败 0322 127.0.0.1 1USER administrator 331IP地址为127.0.0.1用户名为administrator试图登录 0324 127.0.0.1 1PASS 230登录成功 0321 127.0.0.1 1MKD nt 550新建目录失败 0325 127.0.0.1 1QUIT 550退出FTP程序 从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统，换了四次用户名和密码才成功，管理员立即就可以得知这个IP至少有入侵企图！而他的入侵时间、IP地址以及探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用 Administrator用户名进入的，那么就要考虑此用户名是不是密码失窃？还是被别人利用？接下来就要想想系统出什么问题了。,44,应用日志的关键问题,日志信息的组织,审计事件的时间顺序,日志信息的综合分析,组合：数据流的合并,聚合：数据流的高层抽象,45,主机数据源的优点,可利用操作系统本身提供的功能，因此检测效率高，速度快,可结合操作系统和应用程序的行为特征，得出更为准确的报告,可检测针对本机的入侵行为,46,主机数据源的缺点,依赖于系统的可靠性,主机提供的信息有限,对网络层的入侵无能为力,必须为不同操作系统开发不同的程序,增加系统负荷,47,商业IDS最常用的信息来源,RealSecure,NFR,NetRanger,Snort,利用以太网协议IEEE 802.3的播送机制,网络信息源,48,网络监听,在一个共享式网络，可以听取所有的流量,是一把双刃剑,管理员可以用来监听网络的流量情况,开发网络应用的程序员可以监视程序的网络情况,黑客可以用来刺探网络情报,目前有大量商业的、免费的监听工具，俗称嗅探器(sniffer),49,以太网络的工作原理,载波侦听/冲突检测(CSMA/CD, carrier sense multiple access with collision detection)技术,载波侦听：是指在网络中的每个站点都具有同等的权利，在传输自己的数据时，首先监听信道是否空闲,如果空闲，就传输自己的数据,如果信道被占用，就等待信道空闲,而冲突检测那么是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突,以太网采用了CSMA/CD技术，由于使用了播送机制，所以，所有与网络连接的工作站都可以看到网络上传递的数据,50,以太网卡的工作模式,网卡的MAC地址(48位),通过ARP来解析MAC与IP地址的转换,用ipconfig/ifconfig可以查看MAC地址,正常情况下，网卡应该只接收这样的包,MAC地址与自己相匹配的数据帧,播送包,网卡完成收发数据包的工作，两种接收模式,混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来,非混杂模式：只接收目的地址相匹配的数据帧，以及播送数据包(和组播数据包),为了监听网络上的流量，必须设置为混杂模式,51,共享网络和交换网络,共享式网络,通过网络的所有数据包发往每一个主机,最常见的是通过HUB连接起来的子网,交换式网络,通过交换机连接网络,由交换机构造一个“MAC地址-端口映射表,发送包的时候，只发到特定的端口上,52,应用程序抓包的技术,UNIX系统提供了标准的API支持,Packet socket,BPF,Windows平台上通过驱动程序来获取数据包,驱动程序,WinPcap,53,BPF(Berkeley Packet Filter),BSD抓包法,BPF是一个核心态的组件，也是一个过滤器,Network Tap接收所有的数据包,Kernel Buffer，保存过滤器送过来的数据包,User buffer，用户态上的数据包缓冲区,Libpcap(一个抓包工具库)支持BPF,Libpcap是用户态的一个抓包工具,Libpcap几乎是系统无关的,BPF是一种比较理想的抓包方案,在核心态，所以效率比较高，,但是，只有少数OS支持(主要是一些BSD操作系统),54,Windows平台下的抓包技术,内核本身没有提供标准的接口,通过增加一个驱动程序或者网络组件来访问内核网卡驱动提供的数据包,在Windows不同操作系统平台下有所不同,不同sniffer采用的技术不同,WinPcap是一个重要的抓包工具，它是libpcap的Windows版本,55,网络信息源的优势,可以对整个子网进展检测,不影响现存的数据源，不改变系统和网络的工作模式,不影响主机性能和网络性能,被动接收方式，隐蔽性好,对基于网络协议的入侵手段有较强的分析能力,56,网络信息源的缺陷,检测效率,网络流量日益增大的挑战,虚警和漏警的平衡,应用于交换环境出现的问题,57,来自其它平安产品的信息,防火墙,认证系统,访问控制系统,其它平安设备,提高分析的准确性和全面性,谢谢观赏！,2020/11/5,58,