網(wǎng)絡(luò)信息安全技術(shù)課件 第9章 入侵檢測與響應(yīng)_第1頁
網(wǎng)絡(luò)信息安全技術(shù)課件 第9章 入侵檢測與響應(yīng)_第2頁
網(wǎng)絡(luò)信息安全技術(shù)課件 第9章 入侵檢測與響應(yīng)_第3頁
網(wǎng)絡(luò)信息安全技術(shù)課件 第9章 入侵檢測與響應(yīng)_第4頁
網(wǎng)絡(luò)信息安全技術(shù)課件 第9章 入侵檢測與響應(yīng)_第5頁
已閱讀5頁,還剩25頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

第9章入侵檢測與響應(yīng)入侵檢測概述入侵檢測系統(tǒng)的基本概念入侵檢測系統(tǒng)入侵監(jiān)測系統(tǒng)原理入侵監(jiān)測系統(tǒng)性能關(guān)鍵參數(shù)入侵檢測系統(tǒng)分類入侵檢測中的響應(yīng)機制入侵檢測系統(tǒng)的部署入侵檢測的標(biāo)準(zhǔn)化入侵檢測系統(tǒng)的發(fā)展9.1入侵檢測概述計算機網(wǎng)絡(luò)中存在著可以被攻擊者所利用的安全弱點、漏洞及不安全的配置,主要表現(xiàn)在操作系統(tǒng)漏洞、TCP/IP協(xié)議設(shè)計缺陷、應(yīng)用程序(如數(shù)據(jù)庫、瀏覽器等)漏洞、網(wǎng)絡(luò)設(shè)備自身安全等幾個方面。另外,由于大部分網(wǎng)絡(luò)缺少預(yù)警防護機制,即使攻擊者已經(jīng)侵入到內(nèi)部網(wǎng)絡(luò),侵入到關(guān)鍵的主機,并從事非法的操作,網(wǎng)絡(luò)管理人員也很難察覺到。這樣,攻擊者就有足夠的時間來破壞計算機網(wǎng)絡(luò)系統(tǒng)。9.1入侵檢測概述如何防止和避免網(wǎng)絡(luò)系統(tǒng)遭受攻擊和入侵呢?首先要找出網(wǎng)絡(luò)中存在的安全弱點、漏洞和不安全的配置;然后采用相應(yīng)措施堵塞這些弱點、漏洞,對不安全的配置進行修正,最大限度地避免遭受攻擊和入侵;同時,對網(wǎng)絡(luò)活動進行實時監(jiān)測,一旦監(jiān)測到攻擊行為或違規(guī)操作,能夠及時做出反應(yīng),包括記錄日志、報警甚至阻擋非法連接。入侵檢測系統(tǒng)(IDS:IntrusionDetectionSystem)的出現(xiàn),解決了以上的問題。在計算機網(wǎng)絡(luò)中,通過硬件防火墻可以阻擋網(wǎng)絡(luò)中一般性的攻擊行為。而采用入侵檢測系統(tǒng),則可以對越過防火墻的攻擊行為以及來自網(wǎng)絡(luò)內(nèi)部的操作進行監(jiān)測和響應(yīng)。9.2入侵檢測系統(tǒng)的基本概念1.入侵行為“入侵”(Intrusion)是個廣義的概念,不僅包括被發(fā)起攻擊的人(如惡意的黑客)取得超出合法范圍的系統(tǒng)控制權(quán),也包括收集漏洞信息、拒絕服務(wù)(DenialofService)等對計算機系統(tǒng)造成危害的行為。入侵行為主要指對系統(tǒng)資源的非授權(quán)使用,它可以造成系統(tǒng)數(shù)據(jù)的丟失和破壞,甚至?xí)斐上到y(tǒng)拒絕對合法用戶服務(wù)等后果。2.入侵檢測入侵檢測(IntrusionDetection),顧名思義,便是對入侵行為的發(fā)覺。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測技術(shù)是一種網(wǎng)絡(luò)信息安全新技術(shù),它可以彌補防火墻的不足,對網(wǎng)絡(luò)進行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時的檢測以及采取相應(yīng)的防護手段,如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。入侵檢測技術(shù)是一種主動保護系統(tǒng)免受黑客攻擊的網(wǎng)絡(luò)安全技術(shù)。9.2入侵檢測系統(tǒng)的基本概念9.3入侵檢測系統(tǒng)入侵檢測系統(tǒng)是從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息,并分析這些信息,檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。將入侵檢測的軟件與硬件進行組合便是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)需要更多的智能,它必須可以對得到的數(shù)據(jù)進行分析,并得出有用的結(jié)果。一個合格的入侵檢測系統(tǒng)能大大地簡化管理員的工作,保證網(wǎng)絡(luò)安全的運行。不同于防火墻,IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備其實,不能對其監(jiān)聽到的非法攻擊進行阻斷,但它可以查看網(wǎng)絡(luò)內(nèi)部人員所做的攻擊行為,在攻擊發(fā)生后,利用IDS保存的信息可以進行調(diào)查和取證。它不跨接多個物理網(wǎng)段(通常只有一個監(jiān)聽端口),無須轉(zhuǎn)發(fā)任何流量,而只需要在網(wǎng)絡(luò)上被動地、無聲息地收集它所關(guān)心的報文即可。因此,入侵檢測系統(tǒng)被認為是防火墻之后的第二道安全閘門。9.4入侵監(jiān)測系統(tǒng)原理9.4入侵監(jiān)測系統(tǒng)原理1.?dāng)?shù)據(jù)源入侵檢測系統(tǒng)用來檢測非授權(quán)或不希望的活動的原始信息。通常的數(shù)據(jù)源包括原始的網(wǎng)絡(luò)包,操作系統(tǒng)審計日志,應(yīng)用程序日志和系統(tǒng)生成的校驗和數(shù)據(jù)等。感應(yīng)器或分析器通過識別數(shù)據(jù)源感興趣的數(shù)據(jù)源的實例。例如網(wǎng)絡(luò)會話、用戶活動或者應(yīng)用程序事件?;顒訌挠脩粽;顒拥椒浅C黠@的惡意攻擊等。2.感應(yīng)器/分析器在很多現(xiàn)存的入侵檢測系統(tǒng)中,感應(yīng)器和分析器作為同一構(gòu)件的不同部分。感應(yīng)器負責(zé)從數(shù)據(jù)源搜集數(shù)據(jù)。數(shù)據(jù)搜集的顏率由具體操供的IDS決定。分析器負責(zé)分析感應(yīng)器搜集的數(shù)據(jù),這些數(shù)據(jù)則反映了非授權(quán)的或不希望有的話動,以及安全管理員可能關(guān)心的事件。9.4入侵監(jiān)測系統(tǒng)原理3.管理器分析器通過警報把一個被檢測到的事件發(fā)給管理器。管理器是入侵檢測的構(gòu)件或處理過程,通過它操作員可以管理入侵檢測系統(tǒng)的各種構(gòu)件。管理功能通常包括感應(yīng)器配置,分析器配置,事件通告管理,數(shù)據(jù)合并及報告。4.管理員全面負責(zé)一個組織的安全策略設(shè)置的人,進行入侵檢測系統(tǒng)的安裝和配置。管理員可以是IDS的操作員,也可以不是。在一些組織,管理員與網(wǎng)絡(luò)或系統(tǒng)管理組織相聯(lián)系。而在另一些組織中,管理員是一個獨立的職位。管理員通過事先定義的文檔,下發(fā)可以被監(jiān)控的網(wǎng)段所提供的服務(wù),以及哪些主機不允許被外部網(wǎng)絡(luò)訪問等策略。5.操作員IDS管理器的主要使用者。操作員經(jīng)常監(jiān)控入侵檢測系統(tǒng)的輸出,發(fā)起或建議進一步的行動。9.4入侵監(jiān)測系統(tǒng)原理一個入侵檢測系統(tǒng)主要包括信息收集模塊、信息分析模塊、報警與響應(yīng)模塊、管理配置模塊和相關(guān)的輔助模塊。信息收集模塊的功能是為入侵信息分析模塊提供分析用的數(shù)據(jù),一般的有操作系統(tǒng)的審計日志、應(yīng)用程序運行日志和網(wǎng)絡(luò)數(shù)據(jù)包等。入侵信息分析模塊的功能是依據(jù)輔助模塊提供的信息如攻擊模式,并按照一定算法對收集到的數(shù)據(jù)進行分析,從中判斷是否有入侵行為出現(xiàn)和產(chǎn)生入侵報警。該模塊是入侵檢測系統(tǒng)的核心模塊。9.4入侵監(jiān)測系統(tǒng)原理管理配置模塊的功能是為其它的模塊提供配置服務(wù),是IDS系統(tǒng)中的模塊與用戶之間的接口。應(yīng)急措施模塊的功能在發(fā)生入侵后.預(yù)先為系統(tǒng)提供緊急的措施,例關(guān)閉網(wǎng)絡(luò)服務(wù)、中斷網(wǎng)絡(luò)連接、啟動備份系統(tǒng)等。輔助模塊的功能是協(xié)助入侵分析引擎模塊工作,為它提供相應(yīng)的信息。例如攻擊模式、網(wǎng)絡(luò)安全事實和網(wǎng)絡(luò)安全策略等。9.4入侵監(jiān)測系統(tǒng)原理圖給出了一個簡單的入侵檢測系統(tǒng)。圖中的系統(tǒng)主要是指產(chǎn)生數(shù)據(jù)的業(yè)務(wù)系統(tǒng)即數(shù)據(jù)源,比如工作站、網(wǎng)段,業(yè)務(wù)服務(wù)器、防火墻、web應(yīng)用服務(wù)器等。9.5入侵監(jiān)測系統(tǒng)性能關(guān)鍵參數(shù)入侵行為判斷的準(zhǔn)確性是衡量IDS是否高效的關(guān)鍵參數(shù),因此一般從誤報和漏報兩個方面對IDS系統(tǒng)的性能進行衡量。誤報(falsepositive)也就是IDS系統(tǒng)把一個合法的操作判斷為非法入侵行為,從而會導(dǎo)致用戶對IDS系統(tǒng)的報警不予處理,使得用戶逐漸疏于處理IDS系統(tǒng)的報警,當(dāng)真正的入侵行為發(fā)生時,用戶可能會也認為屬于IDS誤報,從而使得IDS系統(tǒng)形同虛設(shè)。漏報(falsenegative)就是IDS系統(tǒng)把一個攻擊行為判斷為非攻擊行為,并允許其通過系統(tǒng)監(jiān)測,如果系統(tǒng)未能檢測出真正的入侵行為,從而背離了安全防護的宗旨,IDS系統(tǒng)成為擺設(shè),當(dāng)真正的攻擊行為成功之后造成的后果十分嚴(yán)重。因此,為了提高IDS的性能,就要減少IDS的誤報率和漏報率,提高準(zhǔn)確率。9.6入侵檢測系統(tǒng)分類根據(jù)入侵監(jiān)測系統(tǒng)對數(shù)據(jù)的采集方式進行分類可以分為基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)和基于主機的入侵檢測系統(tǒng)(HIDS)?;诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)使用監(jiān)聽的方式,在網(wǎng)絡(luò)通信中尋找符合網(wǎng)絡(luò)入侵規(guī)則的數(shù)據(jù)包,這種方式的情況下,入侵檢測設(shè)備往往以硬件的方式部署于網(wǎng)絡(luò)中,獨立于被保護的機器之外。通過入侵數(shù)據(jù)包的特征進行檢測,可以針對網(wǎng)絡(luò)層、傳輸層和應(yīng)用層的入侵行為的全面檢測。9.6入侵檢測系統(tǒng)分類基于主機的入侵檢測系統(tǒng)運行在主機上,在主機系統(tǒng)中通過審計日志文件和文件完整性等操作中尋找攻擊特征,通常以軟件的形式部署于被保護的計算機中,為了能使基于主機的IDS完整地覆蓋受控站點,需要在每臺計算機上都安裝IDS系統(tǒng)。主機型IDS軟件被安裝于需要監(jiān)控的系統(tǒng)上。IDS軟件上的數(shù)據(jù)源是日志文件或系統(tǒng)審計代理。主機型IDS不僅著眼于計算機中通信流量的出入,同時也校驗用戶系統(tǒng)文件的完整性,并檢測可疑程序。為了能使基于主機的IDS完整地覆蓋受控站點,需要在每臺計算機上都安裝IDS系統(tǒng)。9.6入侵檢測系統(tǒng)分類根據(jù)檢測原理分類可以分為誤用檢測型入侵檢測系統(tǒng)和異常檢測型入侵檢測系統(tǒng)。誤用檢測型入侵檢測系統(tǒng)用于收集攻擊行為和非正常操作的行為特征,建立相關(guān)的特征庫,當(dāng)檢測到用戶的行為與特征庫中的行為匹配的時候,系統(tǒng)就會認為這是入侵,這樣對于已知攻擊類型的檢測非常有效,但是不能檢測新型變種的攻擊方式,誤用入侵檢測的關(guān)鍵在于特征信息庫的升級和特征的匹配搜索,需要不斷的更新特征庫。異常檢測型入侵檢測系統(tǒng)會總結(jié)正常的操作系統(tǒng)應(yīng)當(dāng)具有的特征,當(dāng)用戶的活動與正常的行為有較大的偏差的時候,系統(tǒng)就會認為這是入侵,通過利用統(tǒng)計的方法來檢測系統(tǒng)中的異常行為。9.6入侵檢測系統(tǒng)分類根據(jù)入侵檢測系統(tǒng)處理數(shù)據(jù)的方式,可以將入侵檢測系統(tǒng)分為分布式入侵檢測系統(tǒng)和集中式入侵檢測系統(tǒng)。分布式入侵檢測系統(tǒng)就是在一些與受監(jiān)視組件相應(yīng)的位置對數(shù)據(jù)進行分析的入侵檢測系統(tǒng)。集中式入侵檢測系統(tǒng)就是在一些固定且不受監(jiān)視組件數(shù)量限制的位置對數(shù)據(jù)進行分析的入侵檢測系統(tǒng)。9.7入侵檢測中的響應(yīng)機制9.7.1被動入侵響應(yīng)被動響應(yīng)只向用戶提供檢測結(jié)果,通知用戶是否發(fā)生了入侵行為,下一步采取的措施需要用戶來完成。被動響應(yīng)是入侵檢測系統(tǒng)中最基本的響應(yīng)方式,早期的入侵檢測系統(tǒng)中所有的響應(yīng)都是被動的。被動響應(yīng)有以下幾種方式:1)記錄安全事件。包括輸出到文件,可以是IDS(intruderdetectionsystem)自身的格式、tcpdump格式、xml和CSV格式等;輸出到數(shù)據(jù)庫,一般是各操作系統(tǒng)下主流數(shù)據(jù)庫;輸出到系統(tǒng),例如采用syslog機制。2)產(chǎn)生報警信息。包括顯示屏報警,遠程報警(呼機或手機等),使用SNMP陷阱通知網(wǎng)絡(luò)管理控制臺,使用smb報文進行局域網(wǎng)報警等。3)記錄附加日志。記錄系統(tǒng)當(dāng)時狀態(tài),例如流量、資源使用情況等。9.7.2主動入侵響應(yīng)主動響應(yīng)可以分為兩類:①用戶驅(qū)動的;②由系統(tǒng)本身自動執(zhí)行的。其要達到的目的有3類:①對入侵者采取反擊;②修正系統(tǒng)環(huán)境;⑧收集額外信息。在具體方法上,入侵隔離、入侵屏蔽、入侵追蹤、蜜罐、可信恢復(fù)、災(zāi)難控制、自適應(yīng)響應(yīng)等技術(shù)都屬于主動響應(yīng)的范疇。9.7.2主動入侵響應(yīng)1.入侵隔離在檢測到入侵發(fā)生后,往往希望阻止入侵的進一步進行,入侵隔離一般有兩種方式:會話阻斷和拒絕連接請求。會話阻斷是指IDS通過發(fā)送TCPReset或ICMP包來阻斷當(dāng)前的會話。對于TCP會話,IDS將會向通信的兩端各發(fā)送TCPRESET包,此時通信雙方的堆棧將會把這個RESET包解釋為另一端的回應(yīng),然后停止整個通信過程。對于UDP會話,IDS向源地址主機發(fā)送ICMP包,表示目的主機、端口或網(wǎng)絡(luò)不可到達。使用拒絕連接請求,入侵檢測系統(tǒng)將與防火墻聯(lián)動,通過修改防火墻的規(guī)則集來實現(xiàn)阻塞入侵地址。9.7.2主動入侵響應(yīng)2.入侵追蹤在諸如DOS這樣的攻擊方式中,攻擊者往往采用偽造源IP地址的方式來隱藏自己。入侵追蹤研究的重點在于發(fā)現(xiàn)攻擊者的真實地址和傳輸路徑,同時追蹤技術(shù)也有助于提高響應(yīng)的準(zhǔn)確性。常用的追蹤技術(shù)包括:鏈路測試、日志記錄、ICMP追蹤和報文標(biāo)記等。鏈路測試。日志記錄。ICMP追蹤。報文標(biāo)記。9.7.2主動入侵響應(yīng)3.蜜罐技術(shù)這種響應(yīng)方式能夠幫助用戶獲取更多關(guān)于入侵行為的信息,目前多采用的技術(shù)是建立“蜜罐”(honeypot)及“蜜網(wǎng)”(honeynet)。這實際上是一種欺騙網(wǎng)技術(shù),通過故意設(shè)置專門的服務(wù)器或局域網(wǎng)來誘使入侵者相信信息系統(tǒng)中存在有價值的、可利用的安全弱點,并具有一些重要的資源,并將入侵者引向這些錯誤的資源。當(dāng)入侵者認為成功進入系統(tǒng)并竊取資源的時候,用戶則可以監(jiān)視入侵者的行為,得到關(guān)于入侵者的第一手資料。蜜罐技術(shù)包括操作系統(tǒng)欺騙、目錄系統(tǒng)欺騙、數(shù)據(jù)及文件欺騙、應(yīng)用程序及服務(wù)欺騙等。由于分散了入侵者的注意力,在收集、分析入侵者行為的同時,蜜罐也充當(dāng)了主動防御的角色。Honeyd是一個輕量級的蜜罐系統(tǒng),它通過模擬各操作系統(tǒng)網(wǎng)絡(luò)層的實現(xiàn)來達到欺騙入侵者的目的,且可同時模擬多臺主機及相關(guān)網(wǎng)絡(luò)服務(wù)程序,大大節(jié)省了建立及管理蜜罐系統(tǒng)的成本。9.8入侵檢測系統(tǒng)的部署9.9入侵檢測的標(biāo)準(zhǔn)化隨著網(wǎng)絡(luò)規(guī)模的擴大,網(wǎng)絡(luò)入侵的方式、類型、特征各不相同,入侵的活動變得復(fù)雜而又難以捉摸。某些入侵的活動靠單一IDS不能檢測出來,如分布式攻擊。網(wǎng)絡(luò)管理員常因缺少證據(jù)而無法追蹤入侵者,入侵者仍然可以進行非法的活動。不同的IDS之間設(shè)有協(xié)作,結(jié)果造成缺少某種入侵模式而導(dǎo)致IDS不能發(fā)現(xiàn)新的入侵活動。目前,網(wǎng)絡(luò)的安全也要求IDS能夠與訪問控制、應(yīng)急、入侵追蹤等系統(tǒng)交換情息,相互協(xié)作,形成一個整體有效的安全保障系統(tǒng)。然而,要達到達些要求,需要一個標(biāo)準(zhǔn)來加以指導(dǎo),系統(tǒng)之間要有一個約定,如數(shù)據(jù)交換的格式、協(xié)作方式等?;谏鲜龅囊蛩乜紤],國際上的一些研究組織開展這方面的研究工作。下面概述一下目前的入侵檢測的標(biāo)準(zhǔn)化制定工作進展?fàn)顩r。9.9.1通用入侵檢測框架(CIDF)通用入侵檢測框架(CIDF,CommonIntrusionDetectionFramework),定義了檢測體系結(jié)構(gòu)、入侵描述語言規(guī)范和應(yīng)用程序接口規(guī)范。CIDF定義了IDS系統(tǒng)和應(yīng)急系統(tǒng)之間通過交換數(shù)據(jù)方式,協(xié)作而實現(xiàn)入侵檢測和應(yīng)急響應(yīng)。CIDF將軟件構(gòu)件理論應(yīng)用到入侵檢測系統(tǒng)中,定義構(gòu)件之間接口方法,從而使得不同的構(gòu)件能夠互相通信和協(xié)作。(CIDF)闡述了一個入侵檢測系統(tǒng)(IDS)的通用模型。它將一個入侵檢測系統(tǒng)分為事件產(chǎn)生器(Eventgenerators)、事件分析器(Eventanalyzers)、響應(yīng)單元(Responseunits)、事件數(shù)據(jù)庫(Eventdatabases)四個組件。CIDF將IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件(event),它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包,也可以是從系統(tǒng)日志等其他途徑得到的信息。9.9.2入侵檢測工作組(IDWG)為了適應(yīng)網(wǎng)絡(luò)安全發(fā)展的需要,Intenet網(wǎng)絡(luò)工程部IETF的入侵檢測工作組(IntrusionDetectionWorkingGroup,簡稱IDWG)負責(zé)制定入侵檢測響應(yīng)系統(tǒng)之間的共享信息的數(shù)據(jù)格式和交換信息的方式,以及滿足系統(tǒng)管理的需要。IDWG主要的工作圍繞下面的三點。(1)制定入侵檢測消息交換需求

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論