入侵检测技术概论课件

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,入侵检测技术,孙建伟,计算机网络攻防对抗技术实验室,北京理工大学,入侵检测技术孙建伟,1,内容概要,P2DR,安全体系,入侵检测系统介绍,入侵检测系统分类,入侵检测系统用到的一些技术,入侵检测系统的研究和发展,商用入侵检测系统演示,内容概要P2DR安全体系,2,网络安全动态防护模型,安全,策略,(,policy),防护,(,protecttion),检,测,(,detection),响,应,(,response),网络安全动态防护模型安全防护(protecttion),3,网络安全：及时的检测和处理,时间,Pt,Dt,Rt,新定义：,Pt Dt+Rt,网络安全：及时的检测和处理时间PtDtRt新定义：Pt,4,P2DR安全模型,这是一个动态模型,以安全策略为核心,基于时间的模型,可以量化,可以计算,P2DR,安全的核心问题检测,检测是静态防护转化为动态的关键,检测是动态响应的依据,检测是落实/强制执行安全策略的有力工具,P2DR安全模型这是一个动态模型,5,内容概要,P2DR,安全体系,入侵检测系统介绍,入侵检测系统分类,入侵检测系统用到的一些技术,入侵检测系统的研究和发展,内容概要P2DR安全体系,6,IDS,的用途,攻击工具,攻击命令,攻击机制,目标网络,网络漏洞,目标系统,系统漏洞,攻击者,漏洞扫描,评估,加固,攻击过程,实时,入侵,检测,IDS的用途攻击工具攻击机制目标网络网络漏洞目标系统系统漏洞,7,入侵检测系统的实现过程,信息收集，来源：,网络流量,系统日志文件,系统目录和文件的异常变化,程序执行中的异常行为,信息分析,模式匹配,统计分析,完整性分析，往往用于事后分析,入侵检测系统的实现过程信息收集，来源：,8,入侵检测系统的通用模型,数据源,模式匹配器,系统轮廓分析引擎,数据库,入侵模式库,异常检测器,响应和恢复机制,入侵检测系统的通用模型数据源模式匹配器系统轮廓分析引擎数据库,9,入侵检测系统的种类,基于主机,安全操作系统必须具备一定的审计功能，并记录相应的安全性日志,基于网络,IDS,可以放在防火墙或者网关的后面，以网络嗅探器的形式捕获所有的对内对外的数据包,入侵检测系统的种类基于主机,10,IDS的部署和结构,入侵检测系统的管理和部署,多种,IDS,的协作,管理平台和,sensor,基于,Agent,的,IDS,系统,Purdue,大学研制了一种被称为,AAFID(Autonomous agents for intrusion detection),的,IDS,模型,SRI,的,EMERALD(Event Monitoring Enabling Response to Anomalous Live Disturbances),IDS的部署和结构入侵检测系统的管理和部署,11,RealSecure Console,RealSecure,OS Sensor,RealSecure,Server Sensor,商业,IDS,例子：,ISS RealSecure,结构,RealSecure,Network Sensor,RealSecure ConsoleRealSecure O,12,内容概要,P2DR,安全体系,入侵检测系统介绍,入侵检测系统用到的一些技术,入侵检测系统分类,入侵检测系统的研究和发展,内容概要P2DR安全体系,13,IDS的技术,异常检测(,anomaly detection,),也称为基于行为的检测,首先建立起用户的正常使用模式，即知识库,标识出不符合正常模式的行为活动,误用检测(,misuse detection,),也称为基于特征的检测,建立起已知攻击的知识库,判别当前行为活动是否符合已知的攻击模式,IDS的技术异常检测(anomaly detection),14,异常检测,比较符合安全的概念，但是实现难度较大,正常模式的知识库难以建立,难以明确划分正常模式和异常模式,常用技术,统计方法,预测模式,神经网络,异常检测比较符合安全的概念，但是实现难度较大,15,误用检测,目前研究工作比较多，并且已经进入实用,建立起已有攻击的模式特征库,难点在于：如何做到动态更新，自适应,常用技术,基于简单规则的模式匹配技术,基于专家系统的检测技术,基于状态转换分析的检测技术,基于神经网络检测技术,其他技术，如数据挖掘、模糊数学等,误用检测目前研究工作比较多，并且已经进入实用,16,IDS的两个指标,漏报率,指攻击事件没有被,IDS,检测到,误报率(,false alarm rate),把正常事件识别为攻击并报警,误报率与检出率成正比例关系,0 检出率(,detection rate)100%,100%,误报率,IDS的两个指标漏报率0 检出率(detectio,17,内容概要,P2DR,安全体系,入侵检测系统介绍,入侵检测系统用到的一些技术,入侵检测系统分类,入侵检测系统的研究和发展,内容概要P2DR安全体系,18,入侵检测系统的种类,基于主机,安全操作系统必须具备一定的审计功能，并记录相应的安全性日志,基于网络,IDS,可以放在防火墙或者网关的后面，以网络嗅探器的形式捕获所有的对内对外的数据包,入侵检测系统的种类基于主机,19,基于网络的IDS系统,收集网络流量数据,利用,sniff,技术,把,IDS,配置在合理的流量集中点上，比如与防火墙或者网关配置在一个子网中,利用某些识别技术,基于模式匹配的专家系统,基于异常行为分析的检测手段,基于网络的IDS系统收集网络流量数据,20,一个轻量的网络,IDS:snort,是一个基于简单模式匹配的,IDS,源码开放，跨平台(,C,语言编写，可移植性好),利用,libpcap,作为捕获数据包的工具,特点,设计原则：性能、简单、灵活,包含三个子系统：网络包的解析器、检测引擎、日志和报警子系统,内置了一套插件子系统，作为系统扩展的手段,模式特征链规则链,命令行方式运行，也可以用作一个,sniffer,工具,一个轻量的网络IDS:snort是一个基于简单模式匹配的I,21,网络数据包解析,结合网络协议栈的结构来设计,Snort,支持链路层和,TCP/IP,的协议定义,每一层上的数据包都对应一个函数,按照协议层次的顺序依次调用就可以得到各个层上的数据包头,从链路层，到传输层，直到应用层,在解析的过程中，性能非常关键，在每一层传递过程中，只传递指针，不传实际的数据,支持链路层：以太网、令牌网、,FDDI,网络数据包解析结合网络协议栈的结构来设计,22,Snort规则链处理过程,二维链表结构,匹配过程,首先匹配到适当的,Chain Header,然后，匹配到适当的,Chain Option,最后，满足条件的第一个规则指示相应的动作,Snort规则链处理过程二维链表结构,23,Snort:日志和报警子系统,当匹配到特定的规则之后，检测引擎会触发相应的动作,日志记录动作，三种格式：,解码之后的二进制数据包,文本形式的,IP,结构,Tcpdump,格式,如果考虑性能的话，应选择,tcpdump,格式，或者关闭,logging,功能,报警动作，包括,Syslog,记录到,alert,文本文件中,发送,WinPopup,消息,Snort:日志和报警子系统当匹配到特定的规则之后，检测引,24,关于snort的规则,Snort,的规则比较简单,规则结构：,规则头：,alert tcp!10.1.1.0/24 any-10.1.1.0/24 any,规则选项：,(flags:SF;msg:“SYN-FIN Scan”;),针对已经发现的攻击类型，都可以编写出适当的规则来,规则与性能的关系,先后的顺序,Content option,的讲究,许多,cgi,攻击和缓冲区溢出攻击都需要,content option,现有大量的规则可供利用,关于snort的规则Snort的规则比较简单,25,Snort规则示例,规则示例,Option,类型,Snort规则示例规则示例Option类型,26,关于snort,开放性,源码开放，最新规则库的开放,作为商业,IDS,的有机补充,特别是对于最新攻击模式的知识共享,Snort,的部署,作为分布式,IDS,的节点,为高级的,IDS,提供基本的事件报告,发展,数据库的支持,互操作性，规则库的标准化,二进制插件的支持,预处理器模块：,TCP,流重组、统计分析，等,关于snort开放性,27,异常检测的网络IDS,基于规则和特征匹配的,NIDS,的缺点,对于新的攻击不能正确识别,人工提取特征，把攻击转换成规则，加入到规则库中,异常检测的,NIDS,可以有一定的自适应能力,利用网络系统的已知流量模式进行学习，把正常流量模式的知识学习到,IDS,中,当出现新的攻击时，根据异常行为来识别,并且，对于新的攻击以及异常的模式可以反馈到,IDS,系统中,异常检测的网络IDS基于规则和特征匹配的NIDS的缺点,28,异常检测的网络IDS,目前出现了专门流量异常检测设备,CiscoXT5600,流量异常检测器,专用于防,DDOS,攻击,异常检测的网络IDS目前出现了专门流量异常检测设备,29,基于主机的IDS系统,信息收集,系统日志,系统状态信息,特点：,OS,相关,常用的分析技术,统计分析,状态转移分析,关联分析,基于主机的IDS系统信息收集,30,基于主机的IDS系统,在分布式入侵检测体系中，作为日志收集代理,主机防火墙逐步担当,IDS,的职责,瑞星,卡巴斯基,基于主机的IDS系统,31,内容概要,P2DR,安全体系,入侵检测系统介绍,入侵检测系统分类,入侵检测系统用到的一些技术,入侵检测系统的研究和发展,内容概要P2DR安全体系,32,STAT,STAT:A state transition analysis tool for intrusion detection,由美国加州大学,Santa Barbaba,分校开发,从初始状态到入侵状态的转移过程,用有限状态机来表示入侵过程,初始状态指入侵发生之前的状态,入侵状态指入侵发生之后系统所处的状态,系统状态通常用系统属性或者用户权限来描述,用户的行为和动作导致系统状态的转变,S1,S2,S3,Assertions,Assertions,Assertions,STATSTAT:A state transition a,33,STAT的优缺点,优点：,状态转移图提供了一种针对入侵渗透模式的直观的、高层次的、与审计记录无关的表示方法,用状态转移法，可以描述出构成特定攻击模式的特征行为序列,状态转移图给出了保证攻击成功的特征行为的最小子集，从而使得检测系统可以适应相同入侵模式的不同表现形式,可使攻击行为在到达入侵状态之前就被检测到，从而采取措施阻止攻击行为,可以检测协同攻击和慢速攻击,缺点：,状态(,assertions),和特征行为需要手工编码,Assertions,和特征用于表达复杂细致的入侵模式时可能无法表达,STAT,只是一个框架，需要具体的实现或者与其他系统协同工作,STAT,的速度相对比较慢,STAT的优缺点优点：,34,STATUSTAT,USTAT：,用于,UNIX,系统的,STAT,实现,包括四部分,预处理器：对数据进行过滤，并转换为与系统日志文件无关的格式,知识库：包括状态描述库和规则库。规则库用于存放已知攻击类型所对应的状态转移规则；状态描述库存