《信息安全原理》-第4章信息系统安全监控.ppt

第4章信息系统安全监控 从安全性的角度看 所有试图破坏系统安全性的行为都称为攻击 入侵就是成功的攻击 当一次入侵是成功的时候 一次入侵就发生了 或着说 系统藉以保障安全的第一道防线已经被攻破了 所以 只从防御的角度被动地构筑安全系统是不够的 安全监控是从一种积极的防御措施 它通过对系统中所发生的现象的记录 分析系统出现了什么异常 以便采取相应的对策 本章结构 4 1入侵检测系统概述 4 2入侵检测系统的基本结构 4 3入侵检测系统的实现 4 4入侵检测系统的标准化 4 5网络诱骗 4 6安全审计 习题 4 1入侵检测系统概述 入侵检测 IntrusionDetectionSystem IDS 就是一种主动安全保护技术 入侵检测像雷达警戒一样 在不影响网络性能的前提下 对网络进行警戒 监控 从计算机网络的若干关键点收集信息 通过分析这些信息 看看网络中是否有违反安全策略的行为和遭到攻击的迹象 从而扩展了系统管理员的安全管理能力 提高了信息安全基础结构的完整性 4 1 1入侵检测与入侵检测系统 IDS是对计算机和网络系统资源上的恶意使用行为进行识别和响应的处理 它最早于1980年4月由JamesP Anderson在为美国空军起草的技术报告 ComputerSecurityThreatMonitoringandSurveillance 计算机安全威胁监控与监视 中提出 他提出了一种对计算机系统风险和威胁的分类方法 将威胁分为外部渗透 内部渗透和不法行为 提出了利用审计跟踪数据 监视入侵活动的思想 相关概念 入侵 Intrusion 是一个广义的概念 不仅包括发起攻击的人 包括黑客 取得超出合法权限的行为 也包括收集漏洞信息 造成拒绝访问 DenialofService 等对系统造成危害的行为 入侵检测 IntrusionDetection 就是对入侵行为的发觉 它通过对计算机网络等信息系统中若干关键点的有关信息的收集和分析 从中发现系统中是否存在有违反安全规则的行为和被攻击的迹象 入侵检测系统 IntrusionDetectionSystem IDS 就是进行入侵检测的软件和硬件的组合 入侵检测作为一种积极主动的安全防护技术 提供了对内部攻击 外部攻击和误操作的实时保护 被认为是防火墙后面的第二道安全防线 入侵检测系统的主要功能 具体说来 入侵检测系统的主要功能有 监视并分析用户和系统的行为 审计系统配置和漏洞 评估敏感系统和数据的完整性 识别攻击行为 对异常行为进行统计 自动收集与系统相关的补丁 审计 识别 跟踪违反安全法规的行为 使用诱骗服务器记录黑客行为 4 1 2实时入侵检测和事后入侵检测 实时入侵检测 实时入侵检测在网络的连接过程中进行 通过攻击识别模块对用户当前的操作进行分析 一旦发现攻击迹象就转入攻击处理模块 如立即断开攻击者与主机的连接 收集证据或实施数据恢复等 如图4 1所示 这个检测过程是反复循环进行的 图4 1实时入侵检测过程 事后入侵检测 事后入侵检测是根据计算机系统对用户操作所做的历史审计记录 判断是否发生了攻击行为 如果有 则转入攻击处理模块处理 事后入侵检测通常由网络管理人员定期或不定期地进行的 图4 2为事后入侵检测的过程 图4 2事后入侵检测的过程 4 1 3入侵检测系统模型 1 IDES模型 1980年JamesP Anderson为美国空军起草的技术报告 ComputerSecurityThreatMonitoringandSurveillance 仅仅提出了关于入侵检测一些概念 1984年到1986年间 乔治敦大学的DorothyDenning和SRI CSI SRI公司的计算机科学实验室 的PeterNeumann研究出了一个如图4 3所示的实时入侵检测系统模型IDES 入侵检测专家系统 图4 3Denning的IDES模型 这个模型的结构特点 事件产生器从审计记录 网络数据包以及其他可视行为中获取事件 构成检测的基础 行为特征表是整个检测系统的核心 它包含了用于计算用户行为特征的所有变量 这些变量可以根据具体采用的统计方法以及事件记录中的具体动作模式定义 并根据匹配上的记录数据进行变量值的更新 一旦有统计变量的值达到了异常程度 行为特征表即产生异常记录 并采取相应的措施 规则模块可以由系统安全策略 入侵模式等赞成 它一方面为判断是否入侵提供参考标准 另一方面 可以根据事件记录 异常记录以及有效日期等控制并更新其他模块的状态 这个模型还独立于特定的系统平台 应用环境和入侵类型 为构建入侵检测系统提供了一个通用框家 IDES模型的改进 1988年 SRI CSI的TeresaLuunt等人改进了Denning的模型 开发出了如图4 4所示的IDES 该系统包括一个异常检测器 用于统计异常模型建立 和一个策略规则专家系统 基于规则的特征分析检测 审计数据源 模式匹配器 轮廓特征引擎 异常检测器 策略规则 警告 报告产生器 图4 4IDES结构框架 2 DIDS模型 1988年 莫里斯蠕虫的爆发 引起了军界 学者和企业界对网络安全的高度重视 美国空军 国家安全局和能源部共同资助空军密码支持中心 劳抡斯利弗摩尔国家实验室 加州大学分校 Haystack实验室开展对分布式入侵检测系统 DIDS 的研究 DIDS将基于主机和基于网络的检测方法集成到一起 形成如图4 5所示的模型 DIDS检测模型采用了分层结构 包括了数据 时间 主体 上下文 威胁 安全状态等6层 成为分布式入侵检测系统发展史上的一个里程碑 图4 5DIDS结构框架 4 1 4入侵检测系统的优点及其局限 1 优点 采用入侵检测系统和漏洞评估工具带来的好处有如下一些 提高了信息系统安全体系其他部分的完整性 提高了系统的监察能力 可以跟踪用户从进入到退出的所有活动或影响 能够识别并报告数据文件的改动 可以发现系统配置的错误 并能在必要时予以改正 可以识别特定类型的攻击 并进行报警 作出防御响应 可以使管理人员最新的版本升级添加到程序中 允许非专业人员从事系统安全工作 可以为信息系统安全提供指导 2 局限 但是 与其他任何工具一样 入侵检测也不是万能的 它们的使用存在如下局限 在无人干预的情形下 无法执行对攻击的检测 无法感知组织 公司 安全策略的内容 不能弥补网络协议的漏洞 不能弥补系统提供信息的质量或完整性问题 不能分析网络繁忙时的所有事物 不能总是对数据包级的攻击进行处理 4 2入侵检测系统的基本结构 入侵检测是防火墙的合理补充 帮助系统对付来自外部或内部的攻击 扩展了系统管理员的安全管理能力 如安全审计 监视 攻击识别及其响应 提高了信息安全基础结构的完整性 如图4 6所示 入侵检测系统的主要工作就是从信息系统的若干关键点上收集信息 然后分析这些信息 用来得到网络中有无违反安全策略的行为和遭到袭击的迹象 图4 6入侵检测系统的通用模型 入侵检测系统这个模型比较粗略 但是它表明数据收集 数据分析和处理响应是一个入侵检测系统的最基本部件 4 2 1信息收集 1 数据收集的内容 入侵检测的第一步是在信息系统的一些关键点上收集信息 这些信息就是入侵检测系统的输入数据 入侵检测系统收集的数据一般有如下4个方面 1 主机和网络日志文件 2 目录和文件中的不期望的改变 3 程序执行中的不期望行为 4 物理形式的入侵信息 1 主机和网络日志文件 主机和网络日志文件中记录了各种行为类型 每种行为类型又包含不同的信息 例如记录 用户活动 类型的日志 就包含登录 用户ID改变 用户对文件的访问 授权和认证信息等内容 这些信息包含了发生在主机和网络上的不寻常和不期望活动的证据 留下黑客的踪迹 通过查看日志文件 能够发现成功的入侵或入侵企图 并很快地启动响应的应急响应程序 因此 充分利用主机和网络日志文件信息是检测入侵的必要条件 2 目录和文件中的不期望的改变 网络环境中的文件系统包含很多软件和数据文件 包含重要信息的文件和私密数据文件经常是黑客修改或破坏的目标 黑客经常替换 修改和破坏他们获得访问权的系统上的文件 同时为了隐蔽系统中他们的活动痕迹 还会尽力替换系统程序或修改系统日志文件 因此 目录和文件中的不期望的改变 包括修改 创建和删除 特别是那些正常情况下限制访问的对象 往往就是入侵产生的指示和信号 3 程序执行中的不期望行为 每个在系统上执行的程序由一到多个进程来实现 每个进程都运行在特定权限的环境中 的行为由它运行时执行的操作来表现 这种环境控制着进程可访问的系统资源 程序和数据文件等 操作执行的方式不同 利用的系统资源也就不同 操作包括计算 文件传输 设备以及与网络间其它进程的通讯 黑客可能会将程序或服务的运行分解 从而导致它的失败 或者是以非用户或管理员意图的方式操作 因此 一个进程出现了不期望的行为可能表明黑客正在入侵你的系统 4 物理形式的入侵信息 黑客总是想方设法 如通过网络上的由用户私自加上去的不安全 未授权设备 去突破网络的周边防卫 以便能够在物理上访问内部网 在内部网上安装他们自己的设备和软件 例如 用户在家里可能安装Modem以访问远程办公室 那么这一拨号访问就成了威胁网络安全的后门 黑客就会利用这个后门来访问内部网 从而越过了内部网络原有的防护措施 然后捕获网络流量 进而攻击其它系统 并偷取敏感的私有信息等等 2 入侵检测系统的数据收集机制 准确性 可靠性和效率是入侵检测系统数据收集机制基本指标 在IDS中占据着举足轻重的位置 如果收集的数据时延较大 检测就会失去作用 如果数据不完整 系统的检测能力就会下降 如果由于错误或入侵者的行为致使收集的数据不正确 IDS就会无法检测某些入侵 给用户以安全的假象 1 基于主机的数据收集和基于网络的数据收集 基于主机的IDS是在每台要保护的主机后台运行一个代理程序 检测主机运行日志中记录的未经授权的可疑行径 检测正在运行的进程是否合法并及时做出响应 基于网络的入侵检测系统是在连接过程中监视特定网段的数据流 查找每一数据包内隐藏的恶意入侵 对发现的入侵做出及时的响应 在这种系统中 使用网络引擎执行监控任务 如图4 7所示 网络引擎所处的位置决定了所监控的网段 图4 7基于网络的IDS中网络引擎的配置 如图4 7所示 网络引擎所处的位置决定了所监控的网段 网络引擎配置在防火墙内 可以监测渗透过防火墙的攻击 网络引擎配置在防火墙外的非军事区 可以监测对防火墙的攻击 网络引擎配置在内部网络的各临界网段 可以监测内部的攻击 控制台用于监控全网络的网络引擎 为了防止假扮控制台入侵或拦截数据 在控制台与网络引擎之间应创建安全通道 基于网络的入侵检测系统主要用于实时监控网络关键路径 它的隐蔽性好 视野宽 侦测速度快 占用资源少 实施简便 并且还可以用单独的计算机实现 不增加主机负担 但难于发现所有数据包 对于加密环境无能为力 用在交换式以太网上比较困难 基于主机的IDS提供了基于网络的IDS不能提供的一些功能 如二进制完整性检查 记录分析和非法进程关闭等 同时由于不受交换机隔离的影响 在交换网络中非常有用 但是它对网络流量不敏感 并且由于运行在后台 不能访问被保护系统的核心功能 不能将攻击阻挡在协议层之外 它的内在结构没有任何束缚 并可以利用操作系统提供的功能 结合异常分析 较准确地报告攻击行为 而不是根据网上收集到的数据包去猜测发生的事件 但是它们往往要求为不同的平台开发不同的程序 从而增加了主机的负担 总地看来 单纯地使用基于主机的入侵检测或基于网络的入侵检测 都会造成主动防御体系的不全面 但是 由于它们具有互补性 所以将两种产品结合起来 无缝地部署在网络内 就会构架成综合了两者优势的主动防御体系 即可以发现网段中的攻击信息 又可以从系统日志中发现异常情况 这种系统一般为分布式 由多个部件组成 基于主机和基于网络的数据收集之间的比较 2 分布式与集中式数据收集机制 分布式IDS收集的数据来自一些固定位置 而与受监视的网元数量无关 集中式IDS收集的数据来自一些与受监视的网元数量有一定比例关系的位置 3 直接监控和间接监控 IDS从它所监控的对象处直接获得数据 则称为直接监控 反之 如果IDS依赖一个单独的进程或工具获得数据 则称为间接监控 就检测入侵行为而言 直接监控要优于间接监控 因为 从非直接数据源获取的数据在被IDS使用之前 入侵者还有进行修改的潜在机会 非直接数据源可能无法记录某些事件 例如它无法访问监视对象的内部信息 在间接监控中 数据一般都是通过某种机制 如编写审计代码 生成的 但这些机制并不IDS的具体要求 因而从间接数据源获得的数据量要比从直接数据源大得多 并且间接监控机制的可伸缩性小 一旦主机及其内部被监控要素增加 过滤数据的开销会降低监控主机的性能 间接数据源的数据从产生到IDS访问之间有一个时延 但是由于直接监控操作的复杂性 目前的IDS产品中只有不足20 使用了直接监控机制 直接监控和间接监控之间的比较 4 外部探测器和内部探测器 外部探测器的监控组件 程序 独立于被监测个组件 硬件或软件 实现 内部探测器的监控组件 程序 附加于被监测个组件 硬件或软件 实现 表4 1给出了它们的优缺点比较 表4 1外部探测器和内部探测器的优缺点 4 2 2数据分析 数据分析是IDS的核心 它的功能就是对从数据源提供的系统运行状态和活动记录进行同步 整理 组织 分类以及各种类型的细致分析 提取其中包含的系统活动特征或模式 用于对正常和异常行为的判断 入侵检测系统的数据分析技术依检测目标和数据属性 分为异常发现技术和模式发现技术两大类 最近几年还出现了一些通用的技术 下面分别介绍 1 异常发现技术 异常发现技术用在基于异常检测的IDS中 如图4 8所示 在这类系统中 观测到的不是已知的的入侵行为 而是所监视通信系统中的异常现象 如果建立了系统的正常行为轨迹 则在理论上就可以把所有与正常轨迹不同的系统状态视为可疑企图 由于正常情况具有一定的范围 因此正确地选择异常阈值和特征 决定何种程度才是异常 是异常发现技术的关键 异常检测只能检测出那些与正常过程具有较大偏差的行为 由于对各种网络环境的适应性较弱 且缺乏精确的判定准则 异常检测有可能出现虚报现象 图4 8异常检测模型 异常发现技术分类 异常发现技术包括表4 2所示的一些 其中 自学习系统通过学习事例构建正常行为模型 又可分为时序和非时序两种 可编程系统需要通过程序测定异常事件 让用户知道哪些是足以破坏系统安全的异常行为 又可分为描述统计和缺省否定两类 表4 2异常发现技术 2 模式发现技术 模式发现又称特征检测或滥用检测 如图4 9所示 它们是基于已知系统缺陷和入侵模式 即事先定义了一些非法行为 然后将观察现象与之比较做出判断 这种技术可以准确地检测具有某些特征的攻击 但是由于过度依赖实现定义好的安全策略 而无法检测系统未知的攻击行为 因而可能产生漏报 模式发现技术通过对确知的决策规则编程实现 常用的技术有如下4种 图4 9误用检测模型 常用的模式发现技术 模式发现技术通过对确知的决策规则编程实现 常用的技术有如下4种 1 状态建模 状态建模将入侵行为表示成许多个不同的状态 如果在观察某个可疑行为期间 所有状态都存在 则判定为恶意入侵 状态建模从本质上来讲是时间序列模型 可以再细分为状态转换和Petri网 前者将入侵行为的所有状态形成一个简单的遍历链 后者将所有的状态构成一个更广义的树形结构的Petri网 2 串匹配 串匹配通过对系统之间传输的或系统自身产生的文本进行子串匹配实现 该方法灵活性欠差 但易于理解 目前有很多高效的算法 其执行速度很快 3 专家系统 专家系统可以在给定入侵行为描述规则的情况下 对系统的安全状态进行推理 一般情况下 专家系统的检测能力强大 灵活性也很高 但计算成本较高 通常以降低执行速度为代价 4 基于简单规则 类似于专家系统 但相对简单一些 执行速度快 3 混合检测 近几年来 混合检测日益受到人们的重视 这类检测在做出决策之前 既分析系统的正常行为 同时还观察可疑的入侵行为 所以判断更全面 准确 可靠 它通常根据系统的正常数据流背景来检测入侵行为 故也有人称其为 启发式特征检测 属于这类检测的技术有 人工免疫方法 遗传算法 数据挖掘 4 2 3入侵检测系统的特征库 IDS要有效地捕捉入侵行为 必须拥有一贯强大的入侵特征 signature 数据库 这就如同公安部门必须拥有健全的罪犯信息库一样 IDS中的特征就是指用于判别通讯信息种类的样板数据 通常分为多种 以下是一些典型情况及其识别方法 IDS中特征的典型情况及其识别方法 来自保留IP地址的连接企图 可通过检查IP报头 IPheader 的来源地址识别 带有非法TCP标志联合物的数据包 可通过TCP报头中的标志集与已知正确和错误标记联合物的不同点来识别 含有特殊病毒信息的Email 可通过对比每封Email的主题信息和病态Email的主题信息来识别 或者通过搜索特定名字的外延来识别 查询负载中的DNS缓冲区溢出企图 可通过解析DNS域及检查每个域的长度来识别 另外一个方法是在负载中搜索 壳代码利用 exploitshellcode 的序列代码组合 对POP3服务器大量发出同一命令而导致DoS攻击 通过跟踪记录某个命令连续发出的次数 看看是否超过了预设上限 而发出报警信息 未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击 通过创建具备状态跟踪的特征样板以监视成功登录的FTP对话 发现未经验证却发命令的入侵企图 显然 特征的涵盖范围很广 有简单的报头域数值 有高度复杂的连接状态跟踪 有扩展的协议分析 此外 不同的IDS产品具有的特征功能也有所差异 例如 有些网络IDS系统只允许很少地定制存在的特征数据或者编写需要的特征数据 另外一些则允许在很宽的范围内定制或编写特征数据 甚至可以是任意一个特征 一些IDS系统 只能检查确定的报头或负载数值 另外一些则可以获取任何信息包的任何位置的数据 4 2 4响应 早期的入侵检测系统的研究和设计 把主要精力放在对系统的监控和分析上 而把响应的工作交给用户完成 现在的入侵检测系统都提供有响应模块 并提供主动响应和被动响应两种响应方式 一个好的入侵检测系统应该让用户能够裁减定制其响应机制 以符合特定的需求环境 1 主动响应 在主动响应系统中 系统将自动或以用户设置的方式阻断攻击过程或以其他方式影响攻击过程 通常可以选择的措施有 针对入侵者采取的措施 修正系统 收集更详细的信息 2 被动响应 在被动响应系统中 系统只报告和记录发生的事件 4 3入侵检测系统的实现 4 3 1入侵检测系统的设置 网络安全需要各个安全设备的协同工作和正确设置 由于入侵检测系统位于网络体系中的高层 高层应用的多样性导致了入侵检测系统分析的复杂性和对计算资源的高需求 在这种情形下 对入侵检测设备进行合理的优化设置 可以使入侵检测系统更有效的运行 图4 10是入侵检测系统设置的基本过程 可以看出 入侵检测系统的设置需要经过多次回溯 反复调整 4 3 2入侵检测系统的部署 入侵检测器是入侵检测系统的核心 入侵检测器部署的位置 直接影响入侵检测系统的工作性能 在规划一个入侵检测系统时 首先要考虑入侵检测器的部署位置 显然 在基于网络的入侵检测系统中和在基于主机的入侵检测系统中 部署的策略不同 1 在基于网络的入侵检测系统中部署入侵检测器 基于网络的入侵检测系统主要检测网络数据报文 因此一般将检测器部署在靠近防火墙的地方 具体做法有如图4 11所示的几个位置 1 DMZ区 在这里 可以检测到的攻击行为是 所有针对向外提供服务的服务器的攻击 由于DMZ中的服务器是外部可见的 因此在这里检测最为需要 同时 由于DMZ中的服务器有限 所以针对这些服务器的检测 可以使入侵检测器发挥最大优势 但是 在DNZ中 检测器会暴露在外部 而失去保护 遭受攻击 导致无法工作 2 内网主干 防火墙内侧 将检测器放到防火墙的内侧 有如下几点好处 检测器比放在DMZ中安全 所检测到的都是已经渗透过防火墙的攻击行为 从中可以有效地发现防火墙配置的失误 可以检测到内部可信用户的越权行为 由于受干扰的机会少 报警几率也少 3 外网入口 防火墙外侧 优势是 可以对针对目标网络的攻击进行计数 并记录最为原始的数据包 可以记录针对目标网络的攻击类型 但是 不能定位攻击的源和目的地址 系统管理员在处理攻击行为上也有难度 4 在防火墙的内外都放置 这种位一置可以检测到内部攻击 又可以检测到外部攻击 并且无需猜测攻击是否穿越防火墙 但是 开销较大 在经费充足的情况下是最理想的选择 5 关键子网 这个位置可以检测到对系统关键部位的攻击 将有限的资源用在最值得保护的地方 获得最大效益 投资比 2 在基于主机的入侵检测系统中部署入侵检测器 基于主机的入侵检测系统通常是一个程序 在基于网络的入侵检测器的部署和配置完成后 基于主机的入侵检测将部署在最重要 最需要保护的主机上 4 3 3报警策略 检测到入侵行为需要报警 具体报警的内容和方式 需要根据整个网络的环境和安全需要确定 例如 对一般性服务企业 报警集中在已知的有威胁的攻击行为上 对关键性服务企业 需要尽将可能多的报警记录并对部分认定的报警进行实时反馈 4 3 4入侵检测产品的选择 1 购买入侵检测系统考虑的基本因素 实时性 自动反应能力 能检测到所有事件 不会发生遗漏警报 跨平台性好 能在多种平台上运行 2 理想的入侵检测系统的几个特点 快速控制 良好的误报警管理 显示过滤器 标志已经分析过的事件 层层探究的能力 关联分析能力 报告能力 4 4入侵检测系统的标准化 为了提高IDS产品 组件及与其他安全产品之间的互操作性和互用性 美国国防高级研究计划暑 DARPA 和互联网工程任务组 IETF 的入侵检测工作组 IDWG 发起制定了一系列建议草案 从体系结构 API 通讯机制 语言格式等方面规范IDS的标准 4 4 1公共入侵检测框架 CIDF CommonIntrusionDetectionFramework 公共入侵检测框架 是DARPA从1997年3月就开始制定的一套规范 最早由加州大学戴维斯分校安全实验室主持起草工作 它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议 使各种IDS可以协同工作 实现各IDS之间的组件重用 被作为构建分布式IDS的基础 CIDF的规格文档主要包括四部分 IDS的通信机制 体系结构 CISL CommonIntrusionSpecificationLanguage 通用入侵描述语言 和应用编程接口API 1 CIDF的通信机制 CIDF将通信机制构成一个三层模型 GIDO GeneralizedIntrusionDetectionObject 通用入侵检测对象 层 它把部件间交换的数据形式都做了详细的定义 统称为Gidos并用CISL描述 以使IDS理解 消息层 负责对信息加密认证 不关心传输的内容 只负责建立一个可靠的传输通道 确保被加密认证消息在防火墙或NAT等设备之间传输过程中的可靠性 同样 GIDO层也只考虑所传递信息的语义 而不关心这些消息怎样被传递 协商传输层 协商传输层不属于CIDF规范 可以采用多种现有的传输机制实现 但是 单一的传输协议无法满足CIDF各种各样的应用需求 只有当两个特定的组件对信道使用达成一致认识时 才能进行通信 协商传输层规定GIDO在各个组件之间的传输机制 1 CIDF组件间的通信结构 2 CIDF的通信机制的功能及其实现 CIDF的通信机制主要解决两个问题 保证CIDFD的组件能安全 正确地与其他组件建立连接 包括定位和鉴别 连接建立后 组件能有效地进行通信 这两个功能通过中介服务和消息层法实现 中介服务 中介服务 MatchmakingService 通过中介代理专门负责提供查询其他CIDF组件集的服务 这是为CIDF各组件之间的相互识别 定位和信息共享提供了一个统一的标准机制 它大大提高了组件的互操作性 降低了开发多组件入侵检测与响应系统的难度 通常是基于一个大型目录服务LDAP LightweightDirectoryProtocol 轻量级目录访问协议 每个组件都要通过该目录服务进行注册 并通告其他组件它所使用或产生的GIDO类型 在此基础上 组件才能被归入它所属的类别中 组件之间才能互相通信 目录中还可以存放组件的公共密钥 实现对组件接收和发送GIDO时的身份认证 消息层法 消息层法 消息层利用消息格式中的选项 在客户端与服务器端握手阶段就可以完成提供路由信息追踪 数据加密和认证等功能 从而在易受攻击的环境中实现了一种安全 保密 可信 完整 并可靠的信息交互机制 具体地说 消息层可以做到 使通信与阻塞和非阻塞处理无关 使通信与数据格式无关 使通信与操作系统无关 使通信与编程语言无关 2 CIDF的体系结构 CIDF在IDES和NIDES的基础上提出了一个通用模型 将入侵检测系统分为图4 12所示的4个基本组件 事件产生器 事件分析器 响应单元和事件数据库 其中 事件产生器 事件分析器和响应单元通常表现为应用程序的形式 而事件数据库则往往是文件或数据流的形式 许多IDS厂商则以数据收集器 数据分析器和控制台三个术语来分别代替事件产生器 事件分析器和响应单元 CIDF将IDS需要分析的数据统称为事件 它可以是网络中的数据包 也可以是从系统日志或其他途径得到的信息 图4 12CIDF的体系结构 1 事件产生器 事件产生器的任务是从入侵检测系统之外的整个计算环境中收集事件 并将这些事件转换成CIDF的GIDO格式传送给其他组件 例如 事件产生器可以是读取C2级审计踪迹并将其转换为GIDO格式的过滤器 也可以是被动地监视网络并根据网络数据流产生事件的另一种过滤器 还可以是SQL数据库中产生描述事务的事件的应用代码 2 事件分析器 事件分析器分析从其他组件收到的GIDO 分析它们 并将产生的新GIDO返回给其他组件 分析器可以是一个轮廓描述工具 统计性地检查当前事件是否可能与以前某个事件来自同一个时间序列 也可以是一个特征检测工具 在一个事件序列中检查是否有已知的滥用攻击特征 还可以是一个相关器 将有联系的事件放到一起 以便以后进一步分析 3 事件数据库 用来存储GIDO 以备系统需要的时候使用 它可以是复杂的数据库 也可以是简单的文件 4 响应单元 响应单元根据收到的GIDO做出反应 如杀死相关进程 将连接复位 修改文件权限等 由于CIDF有一个标准格式GIDO 所以这些组件也适用于其他环境 只需要将典型的环境特征转换成GIDO格式 这样就提高了组件之间的消息共享和互通 3 CISL CIDF的总体目标是实现软件的复用和IDR 入侵检测与响应 组件之间的互操作性 首先 IDR组件基础结构必须是安全 健壮 可伸缩的 CIDF的工作重点是定义了一种应用层的语言CISL CommonIntrusionSpecificationLanguage 公共入侵规范语言 用来描述IDR组件之间传送的信息 以及制定一套对这些信息进行编码的协议 CISL可以表示CIDF中的各种信息 如原始事件信息 审计踪迹记录和网络数据流信息 分析结果 系统异常和攻击特征描述 响应提示 停止某些特定的活动或修改组件的安全参数 等 CISL使用了一种被称为S表达式的通用语言构建方法 S表达式可以对标记和数据进行简单的递归编组 即对标记加上数据 然后封装在括号内完成编组 这跟LISP有些类似 S表达式的最开头是语义标识符 简称为SID 用于显示编组列表的语义 例如下面的S表达式 HostName 该编组列表的SID是HostName 它说明后面的字符串 将被解释为一个主机的名字 有时侯 只有使用很复杂的S表达式才能描述出某些事件的详细情况 这就需要使用大量的SID SID在CISL中起着非常重要的作用 用来表示时间 定位 动作 角色 属性等 只有使用大量的SID 才能构造出合适的句子 CISL使用范例对各种事件和分析结果进行编码 把编码的句子进行适当的封装 就得到了GIDO GIDO的构建与编码是CISL的重点 4 CIDF的程序接口 CIDF的API负责GIDO的编码 解码和传递 它提供的调用功能使程序员可以在不了解编码和传递过程具体细节的情况下 以一种很简单的方式构建和传递GIDO GIDOD生成分为两个步骤 在构造树形结构时 SID分为两组 一组把S表达式作为参数 即动词 副词 角色 连接词等 另一组把单个数据或一个数据阵列作为参数 即原子 这样就可以把一个完整的句子表示成一棵树 每个SID表示成一个节点 最高层的SID是树根 因为每个S表达式都包含一定的数据 所以 树的每个分支末端都有表示原子SID的叶子 1 构造表示GIDO的树形结构 2 将此结构编成字节码 将字节码进行解码跟上面的过程正好相反 CIDF的API为实现者和应用开发者都提供了很多的方便 并分为两类 GIDO编码 解码API和消息层API 4 4 2IDWG的标准化工作 1999年6月 IDWG就入侵检测出台了一系列草案 它定义了数据格式和交换规程 用于入侵检测与响应 IDR 系统之间与需要交互的管理系统之间的信息共享 包括三部分内容 入侵检测消息交换格式 IDMEF 入侵检测交换协议 IDXP 以及隧道轮廓 TunnelProfile 1 IDMEF IDMEF描述了入侵检测系统输出信息的数据模型 并解释了使用此模型的基本原理 该数据模型用XML实现 并设计了一个XML文档类型定义 自动入侵检测系统可以使用IDMEF提供的标准数据格式对可疑事件发出警报 提高商业 开放资源和研究系统之间的互操作性 IDMEF最适用于入侵检测分析器 或称为 探测器 和接收警报的管理器 或称为 控制台 之间的数据信道 1 IDME的数据模型 IDMEF数据模型以面向对象的形式表示探测器传递给控制台的警报数据 设计数据模型的目标是为警报提供确定的标准表达方式 并描述简单警报和复杂警报之间的关系 IDMEF数据模型各个主要部分之间的关系如图4 13所示 图4 13IDME数据模型各个主要部分之间的关系 IDMEF数据模型是用统一建模语言 UML 描述的 UML用一个简单的框架表示实体以及它们之间的关系 并将实体定义为类 IDMEF包括的主要类有IDMEF Message类 Alert类 Heartbeat类 Core类 Time类Support类 这些类还可以再细分为许多子类 所有IDMEF消息的最高层是IDMEF Message 每一种类型的消息都是该类的子类 需要注意的是 IDMEF数据模型并没有对警报的分类和鉴别进行说明 例如 对一个端口的扫描 一个分析器可能将其确定为一个多目标的单一攻击 而另一个分析器可能将其确定为来自同一个源的多次攻击 只有一个分析器决定了发送的警报类型 数据模型才能规定怎样对这个警报进行格式化 2 使用XML描述IDMEF文档标记 XML是一种元语言 它允许应用程序定义自己的标记 还可以为不同类型的文档和应用程序定义定制化的标记语言 XMLDTD 文档类型定义 可用来声明文档所用的标记 它包括元素 文档包括的不同信息部分 属性 信息的特征 和内容模型 各部分之间的关系 2 IDXP IDXP 入侵检测交换协议 是一个用于入侵检测实体之间交换数据的应用层协议 能够实现IDMEF消息 非结构文本和二进制数据之间的交换 并提供面向连接协议之上的双向认证 完整性和保密性等安全特征 IDMEF是BEEP的一部分 后者是一个用于面向连接异步交互通用应用协议 IDXP的许多特色功能 如认证 保密性等 都是由BEEP框架提供的 IDXP模型如下 1 建立连接 入侵检测实体之间的IDXP通信在BEEP信道上完成 两个希望建立IDXP通信的入侵检测实体在打开BEEP信道之前 首先要进行一次BEEP会话 然后就有关的安全特性问题进行协商 协商好BEEP安全轮廓之后 互致问候 然后开始IDXP交换 图4 14是两个入侵检测实体A和B之间建立IDXP通信的过程 图4 14两个入侵检测实体 Alice 和 Bob 之间建立IDXP通信的过程 使用IDXP传送数据的入侵检测实体被称为IDXP的对等体 对等体只能成对地出现 在BEEP会话上进行通信的对等体可以使用一个或多个BEEP信道传输数据 对等体可以是管理器 也可以是分析器 分析器和管理器之间是多对多的关系 即一个分析器可以与多个管理器通信 同样 一个管理器也可以与多个分析器通信 管理器与管理器之间也是多对多的关系 所以 一个管理器可以通过多个中间管理器接收来自多哥分析器的大量警报 但是 IDXP规定 分析器之间不可以建立交换 2 传输数据 在每个信道上 对等体都以客户机 服务器模式进行通信 BEEP会话发起者为客户机 而收听者则为服务器 图4 15描述了一个分析器将数据传输给一个管理器的简单过程 图4 15一个分析器将数据传输给一个管理器的简单过程 在一次BEEP会话时 使用多个BEEP信道有利于对在IDXP对等体之间传输的数据进行分类和优先权设置 例如 一个管理器M1在向另一个管理器M2传送警报数据时 可以用不同的信道传送不同类型的警报数据 在每个信道上管理器M1的作用都相当于一个客户器 而M2则对不同信道上的数据作出相应的处理 如图4 16所示 图4 16多个BEEP信道有利于对在IDXP对等体之间传输的数据进行分类和优先权设置 3 断开连接 在有些情况下 一个IDXP对等体可以选择关闭某个信道 在关闭一个信道时 对等体在0信道上发送一个 关闭 元素指明要关闭哪一个信道 IDXP对等体也可以通过在0信道上发送一个指明要 关闭 0信道的元素 来关闭整个BEEP会话 在上面这个模型中 IDXP对等实体之间采用了BEEP安全轮廓实现端到端的安全 而无需通过中间的代理建立安全信任 因此只有IDXP对等体之间是相互信任的 而代理是不可信的 4 5网络诱骗 防火墙以及入侵检测都是被动防御技术 而网络诱骗是一种主动防御技术 表4 3主动防御与被动防御的比较 4 5 1蜜罐主机技术 网络诱骗技术的核心是蜜罐 HoneyPot 它是运行在Internet上的充满诱惑力的计算机系统 这种计算机系统有如下一些特点 蜜罐是一个包含有漏洞的诱骗系统 它通过模拟一个或多个易受攻击的主机 给攻击者提供一个容易攻击的目标 蜜罐不向外界提供真正有价值的服务 所有与蜜罐的连接尝试都被视为可疑的连接 这样 蜜罐就可以实现如下目的 引诱攻击 拖延对真正有价值目标的攻击 消耗攻击者的时间 以便收集信息 获取证据 下面介绍蜜罐的三种主要形式 1 空系统 空系统是一种没有任何虚假和模拟的环境的完全真实的计算机系统 但是有真实的操作系统和应用程序 也有真实的漏洞 这是一种简单的蜜罐主机 但是 空系统 以及模拟系统 会很快被攻击者发现 因为他们会发现这不是期待的目标 2 镜像系统 建立一些提供Internet服务的服务器镜像系统 会对攻击者感到真实 也就更具有欺骗性 另一方面 由于是镜像系统 所以比较安全 3 虚拟系统 虚拟系统是在一台真实的物理机器上运行一些仿真软件 模拟出多台虚拟机 构建多个蜜罐主机 这种虚拟系统不但逼真 而且成本较低 资源利用率较高 此外 即使攻击成功 也不会威胁宿主操作系统安全 4 5 2蜜网技术 蜜网 HoneyNet 技术也称陷阱网络技术 它由多个蜜罐主机 路由器 防火墙 IDS 审计系统等组成 为攻击者制造一个攻击环境 供防御者研究攻击者的攻击行为 1 第一代蜜网 图4 17为第一代蜜网结构图 图4 17第一代蜜网结构 1 防火墙 防火墙隔离内网和外网 防止入侵者以蜜网作为跳板攻击其他系统 其配置规则为 不限制外网对蜜网的访问 但需要对蜜罐主机对外的连接予以控制 包括 限制对外连接的目的地 限制蜜罐主机主动对外连接 限制对外连接的协议 2 路由器 路由器放在防火墙与蜜网之间 利用路由器具有控制功能来弥补防火墙的不足 例如防止地址欺骗攻击 DoS攻击等 3 IDS IDS是蜜网中的数据捕获设备 用于检测和记录网络中可疑的通信连接 报警可疑的网络活动 2 第二代蜜网 图4 18为第二代蜜网结构图 图4 18第二代蜜网结构 第二代蜜网技术将数据控制和数据捕获集中到蜜网探测器中进行 这样 带来的好处是 便于安装和管理 隐蔽性更强 可以监控非授权活动 可以采取积极的响应方法限制非法活动的效果 如修改攻击代码字节 使攻击失效等 3 第三代蜜网 第三代密网是目前正在开发的密网技术 它是建立在一个物理的设备上的分布式虚拟系统 如图4 19所示 这样就把蜜罐 数据控制 数据捕获 数据记录等 都集中到一台物理的设备上 图4 19第三代蜜网结构 4 5 3常见网络诱骗工具及产品 1 蜜罐实现工具 1 winetd winetd是一个在Windows上实现蜜罐的简单工具 它安装简单 界面友好 适合初学者使用 确定是过于简单 并不能真正诱骗攻击者进入 2 DTK DTK DeceptionToolKit 可以从 3 honeyd Honeyd 可以从http www citi umich edu u provos honeyd网站下载 是一个专用的蜜罐构建软件 可以虚拟多种主机 配置运行不同的服务和操作系统 2 蜜网实现工具 1 数据控制 Jptable snort inline 2 数据捕获 Termlog Sebek2 snort Comlog 3 数据收集 Obfugator 4 数据分析 Privmsg TASK WinInterrogate 以上工具可以从下面的网址下载 http project honeynet org 4 6安全审计 4 6 1安全审计及其功能 虚拟的数字世界是十分脆弱的 随着对它们的依赖程度的增加 不安全感也随之增加 信息被篡改 信息被泄漏 身份被伪冒 的频繁报道 要求对系统安全方案中的功能提供持续的评估 这就是安全审计 据专家的预测 安全审计技术将成为与防火墙技术 IDS技术一样的网络安全工具之一 安全审计的功能 具体来说 安全审计应当具有下面的功能 1 记录关键事件 关于关键事件的界定由安全官员决定 2 对潜在的攻击者进行威慑或警告 3 为系安全管理员提供有价值的系统使用日志 帮助系统管理员及时发现入侵行为和系统漏洞 使安全管理人员可以知道如何对系统安全进行加强和改进 4 为安全官员提供一组可供分析的管理数据 用于发现何处有违反安全方案的事件 并可以根据实际情形调整安全政策 美国国家标准 可信计算机系统评估超标准 TrustedComputerSystemEvaluationCriteria 给出的定义是 一个安全的系统中的安全审计系统 是对系统中任一或所有安全相关事件进行记录 分析和再现的处理系统 它通过对一些重要的事件进行记录 从而在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因 并且是事故后调查取证的基础 当然也是对信息系统的信心保证 可以看出 安全审计和报警是不可分割的 安全审计由各级安全管理机构实施并管理 并只在定义的安全策略范围内提供 它允许对安全策略的充分性进行评价 帮助检测安全违规 对潜在的攻击者产生威慑 但是 安全审计不直接阻止安全违规 安全报警是由个人或进程发出的 一般在安全相关事件达到某一或一些预定义阈值时发出 这些事件中 一些是需要立即采取矫正行动 另一些有进一步研究价值的事件 4 6 2安全审计日志 审计日志是记录信息系统安全状态和问题的原始数据 理想的日志应当包括全部与数据以及系统资源相关事件的记录 但这样付出的代价太大 为此 日志的内容应当根据安全目标和操作环境单独设计 典型的日志内容有 事件的性质 数据的输入和输出 文件的更新 改变或修改 系统的用途或期望 全部相关标识 人 设备和程序 有关事件的信息 日期和时间 成功或失败 涉及因素的授权状态 转换次数 系统响应 项目更新地址 建立 更新或删除信息的内容 使用的程序 兼容结果和参数检测 侵权步骤等 对大量生成的日志要适当考虑数据的保存期限 4 6 3安全审计的类型 1 根据审计的对象分类 根据审计的对象安全审计可以分为以下一些类型 操作系统的审计 应用系统的审计 设备的审计 网络应用的审计 2 审计的关键部位 通常审计的关键部位有 1 对来自外部攻击的审计 2 对来自内部攻击的审计 3 对电子数据的安全审计 习题 1 审计与入侵检测技术有什么关系 2 综述入侵检测技术的发展过程 并提出自己的思路 3 综述有关入侵检测技术的各种定义 4 入侵检测系统有哪些可以利用的数据源 5 试构造一个网络数据包的截获程序 6 试述入侵检测系统的工作原理 7 收集资料 对国内外主要基于网络的入侵检测产品进行比较 8 收集资料 对国内外主要基于主机的入侵检测产品进行比较 9 分析入侵检测系统的不足和发展趋势 10 入侵检测技术与法律有什么关系 11 简述蜜罐技术的特殊用途 12 用下载的蜜罐工具 构造一个简单的蜜罐系统 13 简述安全审计的作用 14 简述日志的作用和记录内容 15 审计与入侵检测有什么关联