基于主機的入侵檢測方法課件

2023/7/26基于主機的入侵檢測方法原理以操作系統(tǒng)的事件跟蹤記錄作為輸入檢測單個主機的審計記錄和日志檢測系統(tǒng)、程序的行為CPU利用率I/O調(diào)用系統(tǒng)調(diào)用

修改系統(tǒng)文件和目錄分組發(fā)送/接收速率檢測用戶的行為特征登錄時間次數(shù)擊鍵頻率和錯誤率命令序列2023/7/26基于主機的入侵檢測方法特點可監(jiān)測系統(tǒng)或用戶的行為無法檢測針對網(wǎng)絡(luò)協(xié)議及實現(xiàn)軟件的攻擊應(yīng)用層檢測只能監(jiān)視針對本機的入侵行為必須在每臺主機上運行日志信息需要占用大量的存儲空間

需要和操作系統(tǒng)緊密集成2023/7/26基于網(wǎng)絡(luò)的入侵檢測方法網(wǎng)絡(luò)監(jiān)聽對分組的內(nèi)容、流量進行分析與攻擊特征進行模式匹配特征檢測單個分組數(shù)據(jù)的分析分組重組分析分組載荷內(nèi)容分析統(tǒng)計分析網(wǎng)絡(luò)流量分布異常分組數(shù)量和頻率分布服務(wù)類型分布相關(guān)性分析分析多個網(wǎng)段的分組數(shù)據(jù)和網(wǎng)絡(luò)流量字符串特征流量特征協(xié)議特征2023/7/26基于網(wǎng)絡(luò)的入侵檢測方法特點在一個局域網(wǎng)中只需一臺機器運行檢測系統(tǒng)可確定入侵的來源難以分析被加密的分組在隧道外檢測不能檢測非可控網(wǎng)段的分組難以檢測高速網(wǎng)絡(luò)的分組難以檢測假冒等入侵行為2023/7/26分布式入侵檢測方法基本結(jié)構(gòu)中央管理單元每臺主機上的主機管理單元局域網(wǎng)管理單元各單元之間的信息傳遞機制2023/7/26入侵檢測方法分類分類二被動的入侵檢測系統(tǒng)只是發(fā)出報警不做出反應(yīng)動作主動的入侵檢測系統(tǒng)需要建立響應(yīng)策略2023/7/26入侵檢測方法分類分類三異常(Anomaly)檢測異常：與正常使用模式相偏離的操作現(xiàn)象將所有與正常行為不匹配的行為都看作入侵行為

產(chǎn)生誤報警（falsepositives）誤用(Misuse)檢測誤用：對系統(tǒng)系統(tǒng)弱點的攻擊只有與入侵特征模型匹配的行為才算是入侵行為

容易產(chǎn)生漏報警（falsenegatives）基于入侵特征和知識庫檢索分組中的特征串2023/7/26異常檢測依據(jù)：入侵行為是異常行為活動頻繁程度登錄的頻率擊鍵頻率分組發(fā)送頻率活動的分布情況用戶的登錄情況文件訪問相對分布情況I/O活動郵件發(fā)送情況網(wǎng)絡(luò)流量分布分類指標在每個物理位置上登錄的相對頻率編譯程序的使用shell和編輯器的使用通常指標如某個用戶使用的CPU和I/O的數(shù)量2023/7/26異常檢測問題入侵行為可以由多個正常的動作構(gòu)成非入侵行為也可能是異常的入侵的，異常的入侵的，非異常的非入侵的，異常的非入侵的，非異常的入侵者可以通過惡意訓練的方法改變監(jiān)測系統(tǒng)使系統(tǒng)將異常行為看作正常行為2023/7/26誤用檢測收集各種入侵的方法觀察系統(tǒng)中的各種行為和現(xiàn)象與入侵方法的特征進行比較（模式匹配）發(fā)現(xiàn)匹配的情況則認為是入侵實現(xiàn)簡單擴展性好效率高主要用于檢測已知的入侵手段不能檢測到未知的入侵手段2023/7/26入侵檢測方法分類分類四統(tǒng)計分析方法異常檢測基于規(guī)則的方法誤用檢測2023/7/26基于規(guī)則的入侵檢測方法常見的規(guī)則一個用戶不應(yīng)讀取其他用戶私有目錄下的文件一個用戶不應(yīng)改寫其他用戶的文件用戶登錄幾小時后通常使用以前使用的那些文件應(yīng)用程序通常不直接打開磁盤文件在同一個系統(tǒng)里同一個用戶只登錄一次用戶不應(yīng)復制系統(tǒng)程序和系統(tǒng)文件日志文件不得刪除2023/7/26基于規(guī)則的入侵檢測方法檢測方法專家系統(tǒng)將已有的入侵特征、已知的系統(tǒng)弱點、安全策略構(gòu)成知識轉(zhuǎn)化成if－then結(jié)構(gòu)的規(guī)則采用邏輯推理方式狀態(tài)轉(zhuǎn)換分析法利用有限狀態(tài)自動機模擬入侵將入侵描述為從初始狀態(tài)到入侵狀態(tài)的一系列動作組成與相應(yīng)的防火墻技術(shù)類似2023/7/26統(tǒng)計分析檢測方法通過事件統(tǒng)計進行異常行為的檢測閾值檢測為用戶的各種行為設(shè)置度量屬性對度量屬性設(shè)置閾值對不同的用戶需要設(shè)置不同的閾值用單一的度量值衡量a1S12+a2S22+…+anSn2

方差分析基于行為模式的檢測為每個用戶建立一個行為模式（輪廓）建立多個度量指標檢測該用戶行為模式的變化2023/7/26統(tǒng)計分析檢測方法

——基于行為模式的檢測基于特征選擇從一組度量指標中挑選出能檢測出入侵的度量子集來預(yù)測或分類入侵行為基于貝頁斯推理通過測定一組選定的描述系統(tǒng)或用戶行為特征的值A(chǔ)1，A2，A3，…，An推理判斷基于機器學習通過對入侵行為的學習來改進分析的準確性2023/7/26特征選擇對用戶和系統(tǒng)行為進行計數(shù)描述不成功登錄的次數(shù)網(wǎng)絡(luò)連接數(shù)企圖訪問文件或目錄次數(shù)企圖訪問網(wǎng)絡(luò)系統(tǒng)次數(shù)2023/7/26貝頁斯推理（BayesianInference）用戶行為特征的值A(chǔ)1，A2，A3，…，AnAi=1表示異常，0表示正常I表示系統(tǒng)當前遭受的入侵攻擊的假設(shè)即Ai之間相互獨立，則有：2023/7/26機器學習監(jiān)督學習supervisedlearning

系統(tǒng)在人員監(jiān)督下的學習歸納學習inductivelearning

從大量例子中找出共性類比學習learningbyanalogy

從類似的知識中獲得知識人工神經(jīng)網(wǎng)絡(luò)artificialneuralnetwork自適應(yīng)的學習方法

知識發(fā)現(xiàn)數(shù)據(jù)挖掘2023/7/26入侵檢測中的分組分析技術(shù)基于誤用檢測攻擊的特征攻擊簽名attacksignature已知的攻擊方式的不變特征類型特征串檢測協(xié)議分析和命令解析2023/7/26特征串檢測ID包抓取引擎從網(wǎng)絡(luò)上抓取數(shù)據(jù)包包分析引擎對數(shù)據(jù)包做簡單處理，如IP重組、TCP流重組，根據(jù)規(guī)則庫判斷規(guī)則庫（特征庫）入侵檢測系統(tǒng)的知識庫包分析引擎完成對入侵特征的檢測響應(yīng)模塊確定發(fā)現(xiàn)疑點時所采取的響應(yīng)手段2023/7/26特征串檢測ID計算模型比較容易實現(xiàn)匹配算法成熟需要收集特征串無法檢測到新的入侵類型檢測能力依賴于規(guī)則庫的廣度與精度規(guī)則庫的維護工作量較大2023/7/26協(xié)議分析和命令解析的ID協(xié)議分析ProtocolAnomaly協(xié)議解碼分組重裝協(xié)議校驗

利用了網(wǎng)絡(luò)協(xié)議的高度有序性快速檢測特征開銷狀態(tài)存儲分組配對協(xié)議校驗使用了保留的字段有非法的值異常的默認值不當?shù)倪x項序列號亂序序列號跳號序號重疊校驗和錯CRC校驗錯2023/7/26分組分析方法單個數(shù)據(jù)包的分析檢測偽造IP地址檢測源地址是否為廣播地址源地址和目的地址是否相等源地址和MAC地址是否匹配數(shù)據(jù)包重組分析將分片的分組重組后進行分析

檢測Pingofdeath、teardrop等數(shù)據(jù)分析對通信的內(nèi)容進行分析檢測堆棧溢出、特殊的命令組合等應(yīng)用層協(xié)議分析DeepPacketInspection

2023/7/26入侵檢測的流量分析基于流量和流量分布數(shù)據(jù)流相關(guān)分析針對分布式流量攻擊的分析檢測協(xié)同掃描（sweep）和協(xié)同的攻擊網(wǎng)絡(luò)流量統(tǒng)計分析根據(jù)各種類型的報文數(shù)量的流量模式ICMP，TCP，UDP如檢測DoS和DDoS2023/7/264.3.4入侵檢測的響應(yīng)策略向管理員發(fā)送報警信息將報文內(nèi)容記錄到日志文件發(fā)送Reset報文斷開TCP連接關(guān)閉路由器或者端口重新配置網(wǎng)絡(luò)設(shè)備如配置防火墻(入侵防御系統(tǒng)IPS)關(guān)閉關(guān)鍵系統(tǒng)上的某些重要的賬戶運行某種日志程序或者應(yīng)用程序增加對有關(guān)信息的收集2023/7/26入侵檢測的響應(yīng)策略跟蹤攻擊行為黑客追蹤啟動誘騙系統(tǒng)蜜罐Honeypot蜜網(wǎng)

調(diào)整系統(tǒng)結(jié)構(gòu)重新分配資源調(diào)整帶寬限制入侵入侵容忍系統(tǒng)2023/7/26蜜網(wǎng)ActiveIDCostmoreforblackhatsSebekVirtualhoneynet?GenIII(hosts,processes,files,networkflows)路由器主機蜜罐HoneyWall主機主機蜜罐蜜罐2023/7/26威脅度一級非常規(guī)的，具有惡意的分組，但不會對目前流行的操作系統(tǒng)造成顯著的危害二級各種端口掃描行為三級可以對某些服務(wù)造成危害的攻擊四級造成系統(tǒng)死機、藍屏或網(wǎng)絡(luò)不可用的攻擊五級獲取被攻擊者root權(quán)限的攻擊2023/7/26入侵防御系統(tǒng)IPSIntrusionPreventionSystem主動積極的入侵防范/阻止系統(tǒng)對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截避免其造成任何損失入侵傳播速度的加快留給人們響應(yīng)的時間越來越短部署在網(wǎng)絡(luò)的出口處和主機中

基于IDS2023/7/26IPS的分類基于主機的入侵防護(HIPS)在主機/服務(wù)器上安裝軟件代理

保護服務(wù)器的安全弱點不被不法分子所利用基于網(wǎng)絡(luò)的入侵防護(NIPS)檢測并限制流經(jīng)的網(wǎng)絡(luò)流量和連接數(shù)刪除入侵行為的網(wǎng)絡(luò)連接應(yīng)用入侵防護(AIP)把基于主機的入侵防護擴展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備2023/7/264.3.5入侵檢測的標準化目的提高IDS產(chǎn)品、組件之間的互操作性標準入侵檢測交換格式（IDEF）definedataformatsandexchangeproceduresworkinprogress

入侵檢測消息交換格式（IDMEF）RFC4765入侵檢測交換協(xié)議（IDXP)RFC4767入侵檢測警告協(xié)議（IAP）facilitatetheubiquitousinteroperabilityofintrusiondetectioncomponentsacrossInternetenterprises

保證大型網(wǎng)絡(luò)中協(xié)議數(shù)據(jù)傳輸?shù)耐暾院桶踩詗orkinprogress/html/draft-ietf-idwg-iap-002023/7/26IDMEFDataTypesIntegers"123","-456"RealNumbers123.45e02CharactersandStringsBYTEEnumeratedTypesDate-TimeStringsYYYY-MM-DDThh:mm:ssNTPTimestampsa64-bitunsignedfixed-pointnumber0x12345678.0x87654321

PortLists5-25,37,42,43,53,69-119,123-514UniqueIdentifiersrepresentedbySTRINGdatatypes2023/7/26IDMEFDataModeltop-levelclassIDMEF-Messagetwotypesofmessagesdefined

AlertsHeartbeats2023/7/26Alert類每當分析器監(jiān)測到一個事件，它發(fā)送一個Alert消息給管理員Analyzer分析器的標識符CreateTime消息建立時間，ntpstamp

DetectTime事件檢測到的時間，ntpstamp

Source事件來源Target事件去向Classification事件類型Assessment事件的影響程度low|medium|high

2023/7/26Heartbeats類防止入侵檢測消息被阻斷對DoS攻擊免疫簡單的消息格式保持不斷的聯(lián)系2023/7/26ExampleThe"teardrop"Attack

<?xmlversion="1.0"encoding="UTF-8"?><!DOCTYPEIDMEF-MessagePUBLIC"-//IETF//DTDRFCXXXXIDMEFv1.0//EN""idmef-message.dtd"><IDMEF-Messageversion="1.0"><Alertident="abc123456789">

<Analyzeranalyzerid="hq-dmz-analyzer01"><Nodecategory="dns"><location>HeadquartersDMZNetwork</location><name></name></Node></Analyzer>

<CreateTimentpstamp="0xbc723b45.0xef449129">2000-03-09T10:01:25.93464-05:00</CreateTime>

<Sourceident="a1b2c3d4"><Nodeident="a1b2c3d4-001"category="dns"><name></name><Addressident="a1b2c3d4-002"category="ipv4-net-mask"><address>0</address><netmask>55</netmask></Address></Node></Source>

<Targetident="d1c2b3a4"><Nodeident="d1c2b3a4-001"category="dns"><Addresscategory="ipv4-addr-hex"><address>0xde796f70</address></Address></Node></Target>

<Classificationorigin="bugtraqid"><name>124</name><url>/bid/124</url></Classification></Alert></IDMEF-Message>2023/7/26入侵檢測交換協(xié)議（IDXP)AsaBEEP"profile"BlocksExtensibleExchangeProtocol一個通用的應(yīng)用層協(xié)議用于面向連接的異步交互用于建立應(yīng)用層安全隧道提供加密的認證rfc3080IDXP為交換IDMEF消息提供支持無結(jié)構(gòu)的文本二進制數(shù)據(jù)2023/7/26ExampleofBEEPmessageAmessagecontainedinasingleframethatcontainsapayloadof120octetsspreadover5linesChannel0Messagenumber1FinalframeofthemessageSequencenumber52Payloadsize120C:MSG01.52120C:Content-Type:application/beep+xmlC:C:<startnumber='1'>C:<profileuri='/beep/profile'/>C:</start>C:END2023/7/26IDXPcommunicationOpeningaBEEPchannelinitiatingaBEEPsessionNegotiateaBEEPsecurityprofileExchangeIDXPgreetings甲方乙方transportconnectiongreetingStartsecurityprofilegreetingStartIDXP2023/7/26IDXPProfileProvidesamechanismforexchanginginformationbetweenintrusiondetectionentitiesusedtocreateanapplication-layertunnelIdentifiedas/beep/profileIDXP-GreetingElementidentifytheanalyzerormanageratoneendoftheBEEPchannelUniformResourceIdentifier(URI)includetheroleofthepeeronthechannelclientorserver2023/7/26IDXP-Greetingexample

I:MSG010.1592187I:Content-Type:application/beep+xmlI:I:<startnumber='1'>I:<profileuri='/beep/profile'>I:<![CDATA[<IDXP-Greetinguri='/alice'I:role='client'/>]]>I:</profile>I:</start>I:END

L:RPY010.186591L:Content-Type:application/beep+xmlL:L:<profileuri='/beep/profile'>L:<![CDATA[<ok/>]]>L:</profile>L:ENDL:MSG011.195661L:Content-Type:text/xmlL:L:<IDXP-Greetinguri='/bob'role='server'/>L:ENDI:RPY011.17797I:Content-Type:application/beep+xmlI:I:<ok/>I:END2023/7/26BEEPsecurityprofileUsedtoestablishend-to-endsecuritybetweenpairsofIDXPpeersMutualAuthenticationMessageConfidentialitysupportingavarietyofencryptionalgorithmsMessageInte