第15章-入侵檢測技術(shù)

1

信息安全原理與應(yīng)用第十五章入侵檢測技術(shù)本章由王昭主寫2討論議題入侵檢測概述入侵檢測系統(tǒng)的功能組成基于主機及基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)異常檢測和誤用檢測入侵檢測的響應(yīng)入侵檢測標(biāo)準(zhǔn)化工作3主要的傳統(tǒng)安全技術(shù)加密消息摘要、數(shù)字簽名身份鑒別：口令、鑒別交換協(xié)議、生物特征訪問控制安全協(xié)議：IPsec、SSL網(wǎng)絡(luò)安全產(chǎn)品與技術(shù)：防火墻、VPN內(nèi)容控制:防病毒、內(nèi)容過濾等預(yù)防(prevention)、防護（protection)4預(yù)防措施的局限性預(yù)防性安全措施采用嚴(yán)格的訪問控制和數(shù)據(jù)加密策略來防護，但在復(fù)雜系統(tǒng)中，這些策略是不充分的。這些措施都是以減慢交易為代價的。大部分損失是由內(nèi)部引起的1999年CSI/FBI（Computersecurityinstitute/FederalBureauofInvestigation)指出，82%的損失是內(nèi)部威脅造成的。5信息安全兩態(tài)論6P2DR安全的關(guān)鍵檢測檢測是靜態(tài)防護轉(zhuǎn)化為動態(tài)的關(guān)鍵檢測是動態(tài)響應(yīng)的依據(jù)檢測是落實/強制執(zhí)行安全策略的有力工具7入侵檢測的定義NSTAC（NationalSecurityTelecommunicationsAdvisoryBoard，國家安全通信委員會）的IDSG（IntrusionDetectionSub-Group)是一個由美國總統(tǒng)特許的保護國家關(guān)鍵基礎(chǔ)設(shè)施的小組。IDSG1997年給出了如下定義：入侵（Intrusion）：對信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作。入侵檢測（IntrusionDetection）：對（網(wǎng)絡(luò)）系統(tǒng)的運行狀態(tài)進(jìn)行監(jiān)視，對企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識別的過程。8入侵檢測的起源和發(fā)展-11980年4月，JamesP.Anderson《ComputerSecurityThreatMonitoringandSurveillance》（計算機安全威脅監(jiān)控與監(jiān)視）1980年Anderson提出：提出了精簡審計的概念，風(fēng)險和威脅分類方法提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想這份報告被公認(rèn)為是入侵檢測的開創(chuàng)性工作。9入侵檢測的起源和發(fā)展-280年代，基于主機的入侵檢測1990，加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM（NetworkSecurityMonitor）該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形成：基于網(wǎng)絡(luò)的IDS和基于主機的IDS90年代，基于主機和基于網(wǎng)絡(luò)入侵檢測的集成10討論議題入侵檢測概述入侵檢測系統(tǒng)的功能組成基于主機及基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)異常檢測和誤用檢測入侵檢測的響應(yīng)入侵檢測標(biāo)準(zhǔn)化工作11IDS基本結(jié)構(gòu)進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（IDS，IntrusionDetectionSystem）。入侵檢測是監(jiān)測計算機網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反安全策略事件的過程。簡單地說，入侵檢測系統(tǒng)包括三個功能部件：（1）信息收集（2）信息分析（3）結(jié)果處理12信息收集入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息，盡可能擴大檢測范圍從一個源來的信息有可能看不出疑點

13信息分析模式匹配（誤用檢測）:模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。統(tǒng)計分析（異常檢測）:統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。完整性分析，往往用于事后分析，主要關(guān)注某個文件或?qū)ο笫欠癖桓摹?4檢測目標(biāo)可說明性是指從給定的活動或事件中，可以找到相關(guān)責(zé)任方的能力。建立可說明性的目標(biāo)是獲得補償或針對責(zé)任方 追究相關(guān)法律責(zé)任。積極的反應(yīng)報告警報修改目標(biāo)機系統(tǒng)或入侵檢測系統(tǒng)15入侵檢測的分類-1按照數(shù)據(jù)來源：基于主機：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機，保護的目標(biāo)也是系統(tǒng)運行所在的主機?；诰W(wǎng)絡(luò)：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護的是網(wǎng)絡(luò)的運行?；旌闲停?6入侵檢測的分類-2按照分析方法（檢測方法）異常檢測模型（AnomalyDetection):首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵。誤用檢測模型（MisuseDetection)：收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵。17入侵檢測的分類-3根據(jù)時效性：脫機分析：行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進(jìn)行分析。早期比較流行聯(lián)機分析：在數(shù)據(jù)產(chǎn)生的同時或者發(fā)生改變時進(jìn)行分析。18入侵檢測的分類-4按系統(tǒng)各模塊的運行方式集中式：系統(tǒng)的各個模塊包括數(shù)據(jù)的收集分析集中在一臺主機上運行。分布式：系統(tǒng)的各個模塊分布在不同的計算機和設(shè)備上。19討論議題入侵檢測概述入侵檢測系統(tǒng)的功能組成基于主機及基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)異常檢測和誤用檢測入侵檢測的響應(yīng)入侵檢測標(biāo)準(zhǔn)化工作20基于主機的入侵檢測系統(tǒng)系統(tǒng)分析主機產(chǎn)生的數(shù)據(jù)（應(yīng)用程序及操作系統(tǒng)的事件日志）由于內(nèi)部人員的威脅正變得更重要?；谥鳈C的檢測威脅基于主機的入侵檢測結(jié)構(gòu)優(yōu)點及問題21主機的數(shù)據(jù)源操作系統(tǒng)事件日志應(yīng)用程序日志系統(tǒng)日志關(guān)系數(shù)據(jù)庫Web服務(wù)器22基于主機的檢測威脅特權(quán)濫用前職員使用舊帳戶管理員創(chuàng)建后門帳戶關(guān)鍵數(shù)據(jù)的訪問及修改非授權(quán)泄露、修改WEB站點安全配置的變化用戶沒有激活屏保激活guest帳戶23基于主機的入侵檢測系統(tǒng)結(jié)構(gòu)基于主機的入侵檢測系統(tǒng)通常是基于代理的，代理是運行在目標(biāo)系統(tǒng)上的可執(zhí)行程序，與中央控制計算機（命令控制臺）通信。集中式分布式24集中式基于主機的入侵檢測結(jié)構(gòu)25集中式檢測的優(yōu)缺點優(yōu)點：不會降低目標(biāo)機的性能統(tǒng)計行為信息多主機標(biāo)志、用于支持起訴的原始數(shù)據(jù)缺點：不能進(jìn)行實時檢測不能實時響應(yīng)影響網(wǎng)絡(luò)通信量26

分布式基于主機的入侵檢測結(jié)構(gòu)

27分布式檢測的優(yōu)缺點優(yōu)點：實時告警實時響應(yīng)缺點：降低目標(biāo)機的性能沒有統(tǒng)計行為信息沒有多主機標(biāo)志沒有用于支持起訴的原始數(shù)據(jù)降低了數(shù)據(jù)的辨析能力系統(tǒng)離線時不能分析數(shù)據(jù)28基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)入侵檢測系統(tǒng)分析網(wǎng)絡(luò)數(shù)據(jù)包基于網(wǎng)絡(luò)的檢測威脅基于網(wǎng)絡(luò)的入侵檢測結(jié)構(gòu)優(yōu)點及問題29基于網(wǎng)絡(luò)的檢測威脅非授權(quán)訪問非授權(quán)登錄（login)進(jìn)行其它攻擊的起始點數(shù)據(jù)/資源的竊取口令下載帶寬竊取拒絕服務(wù)畸形分組：land分組泛洪：packetflooding分布式拒絕服務(wù)30基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)結(jié)構(gòu)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器（Sensor)組成，傳感器會向中央控制臺報告。傳感器通常是獨立的檢測引擎，能獲得網(wǎng)絡(luò)分組、找尋誤用模式，然后告警。傳統(tǒng)的基于傳感器的結(jié)構(gòu)分布式網(wǎng)絡(luò)節(jié)點結(jié)構(gòu)(networknode)31檢測器的位置放在防火墻之外檢測器在防火墻內(nèi)防火墻內(nèi)外都有檢測器檢測器的其他位置32基于網(wǎng)絡(luò)的入侵檢測的好處威懾外部人員檢測自動響應(yīng)及報告33討論議題入侵檢測概述入侵檢測系統(tǒng)的功能組成基于主機及基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)異常檢測和誤用檢測入侵檢測的響應(yīng)入侵檢測標(biāo)準(zhǔn)化工作34誤用檢測模型如果入侵特征與正常的用戶行為能匹配，則系統(tǒng)會發(fā)生誤報；如果沒有特征能與某種新的攻擊行為匹配，則系統(tǒng)會發(fā)生漏報。特點：能明顯降低錯報率，但漏報率隨之增加。攻擊特征的細(xì)微變化，會使得誤用檢測無能為力。

35誤用入侵檢測方法模式匹配專家系統(tǒng)誤用檢測36模式匹配技術(shù)特點原理簡單擴展性好檢測效率高實時性好技術(shù)缺陷僅適用簡單攻擊模式檢測的準(zhǔn)確性檢測速度37基于專家系統(tǒng)誤用入侵檢測方法通過將安全專家的知識表示成IF-THEN規(guī)則形成專家知識庫，然后，運用推理算法進(jìn)行檢測入侵Snapp和Smaha給出了在入侵檢測中使用這樣的系統(tǒng)的實例CLIPS38異常檢測模型如果系統(tǒng)錯誤地將異?；顒佣x為入侵，稱為誤報(falsepositive)

；如果系統(tǒng)未能檢測出真正的入侵行為則稱為漏報(falsenegative)。特點：異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率。能有效檢測未知的入侵。異常檢測方法統(tǒng)計學(xué)的方法 基于神經(jīng)網(wǎng)絡(luò)的異常檢測 基于數(shù)據(jù)挖掘的異常檢測 39入侵檢測相關(guān)的數(shù)學(xué)模型試驗?zāi)Ｐ停∣perationalModel）平均值和標(biāo)準(zhǔn)差模型（MeanandStandardDeviationModel）多變量模型（MultivariateModel）馬爾可夫過程模型（MarkovProcessModel）時序模型（TimeSeriesModel）4041討論議題入侵檢測概述入侵檢測系統(tǒng)的功能組成基于主機及基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)異常檢測和誤用檢測入侵檢測的響應(yīng)入侵檢測標(biāo)準(zhǔn)化工作42制訂響應(yīng)策略應(yīng)考慮的要素系統(tǒng)用戶操作運行環(huán)境系統(tǒng)目標(biāo)規(guī)則或法令的需求43響應(yīng)選項主動響應(yīng)針對入侵者的措施——自動響應(yīng)系統(tǒng)修正——彌補缺陷收集更詳細(xì)的信息——HoneyPot被動響應(yīng)警報顯示遠(yuǎn)程通報：尋呼機、移動電話、電子郵件與其它網(wǎng)管工具結(jié)合：SNMPTrap44討論議題入侵檢測概述入侵檢測系統(tǒng)的功能組成基于主機及基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)異常檢測和誤用檢測入侵檢測的響應(yīng)入侵檢測標(biāo)準(zhǔn)化工作45與IDS有關(guān)的標(biāo)準(zhǔn)通用入侵檢測框架CIDF(TheCommonIntrusionDetectionFramework)IETF入侵檢測工作組(IDWG)的入侵檢測交換格式IDEF(IntrusionDetectionExchangeFormat)漏洞和風(fēng)險的標(biāo)準(zhǔn)CVE(CommonVulnerabilitiesandExposures)46CIDF規(guī)格文檔CIDF是一套規(guī)范，它定義了IDS表達(dá)檢測信息的標(biāo)準(zhǔn)語言以及IDS組件之間的通信協(xié)議。CIDF的規(guī)格文檔由四部分組成，分別為：體系結(jié)構(gòu)：闡述了一個標(biāo)準(zhǔn)的IDS的通用模型規(guī)范語言：定義了一個用來描述各種檢測信息的標(biāo)準(zhǔn)語言內(nèi)部通訊：定義了IDS組件之間進(jìn)行通信的標(biāo)準(zhǔn)協(xié)議程序接口：提供了一整套標(biāo)準(zhǔn)的應(yīng)用程序接口47CIDF中的術(shù)語CIDF將