第8章入侵檢測技術(shù)(new)

1、入侵檢測技術(shù) 1 1 入侵檢測概述入侵檢測概述 2 2 入侵檢測的分類入侵檢測的分類 3 3 入侵檢測系統(tǒng)的關(guān)鍵技術(shù)入侵檢測系統(tǒng)的關(guān)鍵技術(shù) 4 4 入侵檢測系統(tǒng)示例入侵檢測系統(tǒng)示例 1.1 1.1 安全現(xiàn)狀安全現(xiàn)狀日益頻繁的網(wǎng)絡(luò)攻擊 1.1 1.1 安全現(xiàn)狀安全現(xiàn)狀網(wǎng)絡(luò)攻擊者的目標(biāo) 1.2 IDS 1.2 IDS的產(chǎn)生的產(chǎn)生 1.3 1.3 入侵檢測的步驟入侵檢測的步驟l 信息收集l 數(shù)據(jù)分析l 響應(yīng)1.3 1.3 入侵檢測的步驟入侵檢測的步驟l 信息收集 系統(tǒng)日志 文件異常改變 程序執(zhí)行異常行為 物理形式入侵信息 日志文件中記錄了各種行為類型及每種類型的不同信息 包含很多具有重要信息的文件和

2、私有數(shù)據(jù)文件 包括OS、網(wǎng)絡(luò)服務(wù)用戶啟動的程序等，每個執(zhí)行的程序由一個或多個進(jìn)程來實(shí)現(xiàn) 未授權(quán)的網(wǎng)絡(luò)硬件連接；對物理資源的未授權(quán)訪問1.3 1.3 入侵檢測的入侵檢測的步驟步驟l 數(shù)據(jù)分析模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵，和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)異常行為。優(yōu)點(diǎn)：只收集相關(guān)數(shù)據(jù)集合，減少系統(tǒng)負(fù)擔(dān)，技術(shù)成熟，檢測準(zhǔn)確率高弱點(diǎn)：無法檢測到從未出現(xiàn)過的攻擊手段，需要不斷升級首先為系統(tǒng)對象創(chuàng)建一個統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時的一些測量屬性，測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，觀察值在正常值范圍之外時，則認(rèn)為有入侵行為優(yōu)點(diǎn)：可檢測到未知的入侵和更為復(fù)雜的入侵缺點(diǎn)：誤報(bào)、

3、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變關(guān)注某個文件或?qū)ο笫欠癖桓?，包括文件和目錄的?nèi)容及屬性優(yōu)點(diǎn)：能發(fā)現(xiàn)攻擊導(dǎo)致文件或其他對象的改變?nèi)秉c(diǎn)：不能實(shí)時響應(yīng)，一般以批處理方式實(shí)現(xiàn) 模式匹配 統(tǒng)計(jì)分析 完整性分析1.3 1.3 入侵檢測的步驟入侵檢測的步驟l 響應(yīng) 將分析結(jié)果記錄在日志文件中，并產(chǎn)生相應(yīng)的報(bào)告 觸發(fā)警報(bào)，如在系統(tǒng)管理員的桌面上產(chǎn)生一個告警標(biāo)記位，向系統(tǒng)管理員發(fā)送傳呼或電子郵件等等 修改入侵檢測系統(tǒng)或目標(biāo)系統(tǒng)，如終止進(jìn)程、切斷攻擊者的網(wǎng)絡(luò)連接，或更改防火墻配置等 1.4 1.4 入侵檢測的原理入侵檢測的原理知識庫歷史行為特定行為模式 其它當(dāng)前系統(tǒng)/用戶行為入侵檢測分析引擎入侵？ 記錄

4、證據(jù) 響應(yīng)處理 數(shù)據(jù)提取安全策略是否發(fā)現(xiàn)異常企圖或異?，F(xiàn)象監(jiān)控分析系統(tǒng)和用戶的活動記錄報(bào)警和 響應(yīng) 1.5 1.5 IDS的系統(tǒng)結(jié)構(gòu)1.6 1.6 入侵檢測系統(tǒng)功能結(jié)構(gòu)入侵檢測系統(tǒng)功能結(jié)構(gòu) 應(yīng)用于不同的網(wǎng)絡(luò)環(huán)境和不同的系統(tǒng)安全策略，入侵檢應(yīng)用于不同的網(wǎng)絡(luò)環(huán)境和不同的系統(tǒng)安全策略，入侵檢測系統(tǒng)在具體實(shí)現(xiàn)上也有所不同。從功能結(jié)構(gòu)上看，入侵測系統(tǒng)在具體實(shí)現(xiàn)上也有所不同。從功能結(jié)構(gòu)上看，入侵檢測系統(tǒng)主要有數(shù)據(jù)源、分析引擎和響應(yīng)三個功能模塊，檢測系統(tǒng)主要有數(shù)據(jù)源、分析引擎和響應(yīng)三個功能模塊，三者相輔相成。三者相輔相成。數(shù)據(jù)源分析引擎 響應(yīng) 1 1 入侵檢測概述入侵檢測概述 2 2 入侵檢測的分類入侵檢測

5、的分類 3 3 入侵檢測系統(tǒng)的關(guān)鍵技術(shù)入侵檢測系統(tǒng)的關(guān)鍵技術(shù) 4 4 入侵檢測系統(tǒng)示例入侵檢測系統(tǒng)示例2 2 入侵檢測的分類入侵檢測的分類一、什么是入侵檢測 由于功能和體系結(jié)構(gòu)的復(fù)雜性，入侵檢測按照不同的標(biāo)準(zhǔn)有多種分類方法?？煞謩e從所采用的技術(shù)、所監(jiān)測的對象、系統(tǒng)的工作方式三個方面來描述入侵檢測系統(tǒng)的類型。2 2 入侵檢測的分類入侵檢測的分類一、什么是入侵檢測根據(jù)所采用的技術(shù)可以分為：異常檢測和誤用檢測1）異常檢測：異常檢測的假設(shè)是入侵者活動異常于正常主體的活動，建立正常活動的“活動簡檔”，當(dāng)前主體的活動違反其統(tǒng)計(jì)規(guī)律時，認(rèn)為可能是“入侵”行為。優(yōu)點(diǎn) 可以檢測未知的攻擊缺點(diǎn) 適應(yīng)性不強(qiáng) 誤報(bào)較

6、多 系統(tǒng)審計(jì)用戶輪廓正常行為閾值入侵比較低于閾值超過閾值2 2 入侵檢測的分類入侵檢測的分類一、什么是入侵檢測2）誤用檢測：運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。攻擊模式庫正常行為判斷？入侵不匹配匹配優(yōu)點(diǎn) 算法簡單 系統(tǒng)開銷小 準(zhǔn)確率高 效率高缺點(diǎn) 只能檢測出已知攻擊 模式庫要不斷更新 2 2、入侵檢測的分類、入侵檢測的分類一、什么是入侵檢測根據(jù)所監(jiān)測的對象來分：1）基于主機(jī)的入侵檢測系統(tǒng)（HIDS）：安裝在主機(jī)上，監(jiān)視與分析主機(jī)的審計(jì)記錄，從而對可疑的主體活動采取相應(yīng)的措施。收集被監(jiān)控主機(jī)信息數(shù)據(jù)入侵響應(yīng)分析Agent收集的主機(jī)信息數(shù)據(jù)管理IDS規(guī)則庫

7、統(tǒng)一管理Agentl 審計(jì)數(shù)據(jù)的獲取直接檢測：從數(shù)據(jù)產(chǎn)生或從屬的對象直接獲取數(shù)據(jù)例如：CPU負(fù)荷、網(wǎng)絡(luò)服務(wù)等間接檢測：從反應(yīng)被監(jiān)測對象行為的某個源獲得數(shù)據(jù)例如：系統(tǒng)日志、應(yīng)用程序日志等l 優(yōu)點(diǎn)確定攻擊是否成功監(jiān)測特定的系統(tǒng)活動比NIDS具有更低的誤報(bào)率不要求額外的硬件設(shè)備近于實(shí)時的檢測和響應(yīng)花費(fèi)更加低廉適用加密的和交換的環(huán)境l 缺點(diǎn)運(yùn)行占用被監(jiān)測系統(tǒng)的資源不能監(jiān)控網(wǎng)絡(luò)上的情況部署麻煩如果主機(jī)數(shù)目多，代價(jià)過大依賴于服務(wù)器固有的日志和監(jiān)視能力2 2、入侵檢測的分類、入侵檢測的分類一、什么是入侵檢測2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）：通過硬件或軟件對網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行實(shí)施檢查，并與系統(tǒng)的網(wǎng)路安全

8、數(shù)據(jù)庫的入侵特征進(jìn)行比較、分析，一旦發(fā)現(xiàn)有被攻擊的跡象，立刻作出響應(yīng)，如切斷網(wǎng)絡(luò)連接或?qū)⑷肭值臄?shù)據(jù)包過濾掉。利用交換機(jī)混雜模式監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包分析數(shù)據(jù)包，判斷是否存在入侵行為與防火墻、路由器聯(lián)動阻斷入侵行為告警顯示、日志分析管理IDS規(guī)則庫統(tǒng)一管理探測器l 優(yōu)點(diǎn)檢測范圍廣，檢測來自網(wǎng)絡(luò)的攻擊無需改變主機(jī)配置和性能獨(dú)立性和操作系統(tǒng)無關(guān)性系統(tǒng)容易部署l 缺點(diǎn)無法監(jiān)測系統(tǒng)信息對探測器要求較高難以處理加密的會話在網(wǎng)絡(luò)上旁路部署，響應(yīng)不夠及時價(jià)格相對昂貴2 2、入侵檢測的分類、入侵檢測的分類一、什么是入侵檢測根據(jù)系統(tǒng)的工作方式分為：1）離線檢測系統(tǒng)：離線檢測系統(tǒng)是非實(shí)時工作的系統(tǒng)，它在事后分析審計(jì)事件，從

9、中檢查入侵活動。用戶歷史記錄入侵檢測專家經(jīng)驗(yàn)斷開連接記錄證據(jù)數(shù)據(jù)恢復(fù)2 2、入侵檢測的分類、入侵檢測的分類一、什么是入侵檢測2）在線檢測系統(tǒng)：在線檢測系統(tǒng)是實(shí)時聯(lián)機(jī)的檢測系統(tǒng)，它包含對實(shí)時網(wǎng)絡(luò)數(shù)據(jù)包分析，實(shí)時主機(jī)審計(jì)分析。用戶的當(dāng)前操作入侵檢測監(jiān)測用戶歷史行為 專家經(jīng)驗(yàn)神經(jīng)網(wǎng)絡(luò)模型入侵？是否 1 1 入侵檢測概述入侵檢測概述 2 2 入侵檢測的分類入侵檢測的分類 3 3 入侵檢測系統(tǒng)的關(guān)鍵技術(shù)入侵檢測系統(tǒng)的關(guān)鍵技術(shù) 4 4 入侵檢測系統(tǒng)示例入侵檢測系統(tǒng)示例 3.1 3.1 多用于異常入侵檢測的技術(shù)多用于異常入侵檢測的技術(shù)1統(tǒng)計(jì)異常檢測方法 統(tǒng)計(jì)異常檢測方法根據(jù)異常檢測器觀察主體的活動，由此產(chǎn)生

10、一個能夠描述這些活動的輪廓。每一個輪廓都保存記錄主體的當(dāng)前行為，并定時地將當(dāng)前的輪廓合并到已存儲的輪廓中。通過比較當(dāng)前的輪廓與已存儲的輪廓來判斷主體的行為是否異常，從而來檢測網(wǎng)絡(luò)是否被入侵。 3.1 3.1 多用于異常入侵檢測的技術(shù)多用于異常入侵檢測的技術(shù)2基于特征選擇異常檢測方法 基于特征選擇異常檢測方法是通過從一組度量中挑選能檢測出入侵的度量構(gòu)成子集來準(zhǔn)確地預(yù)測或分類已檢測到的入侵。 3基于貝葉斯推理異常檢測方法 基于貝葉斯推理異常檢測方法是通過在任意給定的時刻，測量A1，A，A變量值推理判斷系統(tǒng)是否有入侵事件發(fā)生。 3.1 3.1 多用于異常入侵檢測的技術(shù)多用于異常入侵檢測的技術(shù)4基于貝

11、葉斯網(wǎng)絡(luò)異常檢測方法 基于貝葉斯網(wǎng)絡(luò)的異常檢測方法是通過建立異常入侵檢測貝葉斯網(wǎng)絡(luò)，然后用其分析測量結(jié)果。 關(guān)于一組變量x= x1，x，xn，的貝葉斯網(wǎng)絡(luò)由以下兩部分組成： 一個表示X中變量的條件獨(dú)立斷言的網(wǎng)絡(luò)結(jié)構(gòu)S； 與每一個變量相聯(lián)系的局部概率分布集合P。5基于模式預(yù)測異常檢測方法 基于模式預(yù)測異常檢測方法的假設(shè)條件是事件序列不是隨機(jī)的而是遵循可辨別的模式。6基于神經(jīng)網(wǎng)絡(luò)異常檢測方法7基于貝葉斯聚類異常檢測方法8基于機(jī)器學(xué)習(xí)異常檢測方法9基于數(shù)據(jù)采掘異常檢測方法 3.2 3.2 多用于誤用入侵檢測的技術(shù)多用于誤用入侵檢測的技術(shù) 誤用入侵檢測技術(shù)的前提是假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定

12、的模式或特征，如果把以往發(fā)現(xiàn)的所有網(wǎng)絡(luò)攻擊的特征總結(jié)出來并建立一個入侵信息庫，那么將當(dāng)前捕獲到的網(wǎng)絡(luò)行為特征與入侵信息庫中的特征信息比較，如果匹配，則當(dāng)前行為就被認(rèn)定是入侵行為。 3.2 3.2 多用于誤用入侵檢測的技術(shù)多用于誤用入侵檢測的技術(shù) 2基于專家系統(tǒng)誤用入侵檢測方法 基于專家系統(tǒng)誤用入侵檢測模型是通過將安全專家的經(jīng)驗(yàn)知識表示成if-then規(guī)則而形成的專家知識庫，然后，運(yùn)用推理算法進(jìn)行入侵行為的檢測。 在基于專家系統(tǒng)誤用入侵檢測模型中，要處理大量的數(shù)據(jù)和依賴于審計(jì)跟蹤的次序。其推理方法有兩種：l 根據(jù)給定的數(shù)據(jù)，應(yīng)用符號推理出入侵行為的發(fā)生；l 根據(jù)其他的入侵證據(jù)，進(jìn)行不確定的推理。

13、 3.2 3.2 多用于誤用入侵檢測的技術(shù)多用于誤用入侵檢測的技術(shù) 3基于狀態(tài)遷移分析誤用入侵檢測方法 狀態(tài)遷移分析方法是將攻擊表示成一系列被監(jiān)控的系統(tǒng)狀態(tài)遷移。攻擊模式的狀態(tài)對應(yīng)于系統(tǒng)的狀態(tài)，并且具有遷移到另外狀態(tài)的特性，然后通過弧線連續(xù)的狀態(tài)連接起來表示狀態(tài)改變所需要的事件。 3.2 3.2 多用于誤用入侵檢測的技術(shù)多用于誤用入侵檢測的技術(shù) 4基于鍵盤監(jiān)控誤用入侵檢測方法 基于鍵盤監(jiān)控誤用入侵檢測方法是假設(shè)入侵者對應(yīng)的擊鍵序列模式，然后監(jiān)測用戶的擊鍵模式，并將這一擊鍵模式與入侵檢測模式相匹配，以檢測入侵行為。5基于模型誤用入侵檢測方法 基于模型誤用入侵檢測方法是通過建立誤用證據(jù)模型，根據(jù)證

14、據(jù)推理來作出誤用發(fā)生判斷結(jié)論。 33.3 3 入侵檢測的新技術(shù)入侵檢測的新技術(shù)1基于生物免疫的入侵檢測 基于生物免疫的入侵檢測方法是通過模仿生物有機(jī)體的免疫系統(tǒng)工作機(jī)制，使得受保護(hù)的系統(tǒng)能夠?qū)⒎亲晕遥╪on self）的非法行為與自我（self）的合法行為區(qū)分開來。 2基因算法 基因算法是進(jìn)化算法的一種，引入了達(dá)爾文在進(jìn)化論中提出的自然選擇的概念（優(yōu)勝劣汰、適者生存）對系統(tǒng)進(jìn)行優(yōu)化。該算法對于處理多維系統(tǒng)的優(yōu)化是非常有效的。在基因算法的研究人員看來，入侵檢測的過程可以抽象為：為審計(jì)事件記錄定義一種向量表示形式，這種向量或者對應(yīng)于攻擊行為，或者代表正常行為。 33.3 3 入侵檢測的新技術(shù)入侵檢

15、測的新技術(shù)3數(shù)據(jù)挖掘 數(shù)據(jù)挖掘指從大量實(shí)體數(shù)據(jù)中抽出模型的處理。具體的工作包括利用數(shù)據(jù)挖掘中的關(guān)聯(lián)算法和序列挖掘算法提取用戶的行為模式，利用分類算法對用戶行為和特權(quán)程序的系統(tǒng)調(diào)用進(jìn)行分類預(yù)測。 33.3 3 入侵檢測的新技術(shù)入侵檢測的新技術(shù)4密罐技術(shù) 密罐技術(shù)就是建立一個虛假的網(wǎng)絡(luò)，誘惑黑客攻擊這個虛假的網(wǎng)絡(luò)，從而達(dá)到保護(hù)真正網(wǎng)絡(luò)的目的。蜜罐是一種欺騙手段，可以誘導(dǎo)攻擊者，也可以收集攻擊信息，改進(jìn)防御能力。 33.3 3 入侵檢測的新技術(shù)入侵檢測的新技術(shù) 3.4 入侵檢測技術(shù)的發(fā)展趨勢入侵檢測系統(tǒng)的發(fā)展方向有以下幾個方面：入侵檢測系統(tǒng)的發(fā)展方向有以下幾個方面：1標(biāo)準(zhǔn)化的入侵檢測標(biāo)準(zhǔn)化的入侵檢測

16、2高速入侵檢測高速入侵檢測3大規(guī)模、分布式的入侵檢測大規(guī)模、分布式的入侵檢測4多種技術(shù)的融合多種技術(shù)的融合5實(shí)時入侵響應(yīng)實(shí)時入侵響應(yīng)入侵檢測的評測入侵檢測的評測6. 與其它安全技術(shù)的聯(lián)動與其它安全技術(shù)的聯(lián)動 1 1 入侵檢測概述入侵檢測概述 2 2 入侵檢測的分類入侵檢測的分類 3 3 入侵檢測系統(tǒng)的關(guān)鍵技術(shù)入侵檢測系統(tǒng)的關(guān)鍵技術(shù) 4 4 入侵檢測系統(tǒng)示例入侵檢測系統(tǒng)示例使用使用SnortSnort搭建搭建NIDSNIDS 一個基于Snort的網(wǎng)絡(luò)入侵檢測系統(tǒng)由以下5個部分組成： 解碼器、預(yù)處理器、檢測引擎、輸出插件、日志/報(bào)警子系統(tǒng)解碼器預(yù)處理器檢測引擎日志/報(bào)警子系統(tǒng)輸出插件使用使用SnortSnort搭建搭建NIDSNIDS 為了能夠快速準(zhǔn)確地檢測和處理，Snort在檢測規(guī)則方面做了較