《信息安全技术第六章-入侵检测技术.ppt》由会员分享,可在线阅读,更多相关《信息安全技术第六章-入侵检测技术.ppt(132页珍藏版)》请在三一文库上搜索。
1、信息安全技术,许红星,概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望, 概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望,Intrusion,Intrusion : Attempting to break into or misuse your system. Intruders may be from outside the network or legitimate users of the network. Intrusion can be a physical, system or remote
2、intrusion.,传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全 入侵检测(Intrusion Detection)是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,Intrusion Detection,入侵检测的定义,对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性 进行入侵检测的软件与硬件的组合便是入侵检测系统 IDS : Intrusion D
3、etection System,入侵检测的特点,一个完善的入侵检测系统的特点: 经济性 时效性 安全性 可扩展性,网络安全工具的特点,1980年 Anderson提出:入侵检测概念,分类方法 1987年 Denning提出了一种通用的入侵检测模型 独立性 :系统、环境、脆弱性、入侵种类 系统框架:异常检测器,专家系统 90年初:CMDS、NetProwler、NetRanger ISS RealSecure,入侵检测起源,入侵检测的起源(1),审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程 审计的目标: 确定和保持系统活动中每个人的责任 重建事件 评估损失 监测系统的问题区 提供
4、有效的灾难恢复 阻止系统的不正当使用,入侵检测的起源(2),计算机安全和审计 美国国防部在70年代支持“可信信息系统”的研究,最终审计机制纳入可信计算机系统评估准则(TCSEC)C2级以上系统的要求的一部分 “褐皮书”理解可信系统中的审计指南,入侵检测的起源(3),1980年4月,James P. Anderson :Computer Security Threat Monitoring and Surveillance(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念 他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种 还提出了利用
5、审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作,入侵检测的起源(4),从1984年到1986年,乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系统),入侵检测的起源(5),1990,加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security Monitor) 该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机 入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基
6、于主机的IDS,入侵检测的起源(6),IDS存在与发展的必然性,一、网络攻击的破坏性、损失的严重性 二、日益增长的网络安全威胁 三、单纯的防火墙无法防范复杂多变的攻击,为什么需要IDS,关于防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 入侵很容易 入侵教程随处可见 各种工具唾手可得,IDS基本结构,入侵检测是监测计算机网络和系统,以发现违反安全策略事件的过程 简单地说,入侵检测系统包括三个功能部件: (1)信息收集 (2)信息分析 (3)结果处理,信息收集,入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。 需要在计算机
7、网络系统中的若干不同关键点(不同网段和不同主机)收集信息, 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点,信息收集,入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息,信息收集的来源,系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为,系统或网络的日志文件,黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件 日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,
8、就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容 显然,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等,系统目录和文件的异常变化,网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号 入侵者经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件,信息分析,模式匹配 统计分析 完
9、整性分析,往往用于事后分析,模式匹配,模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为 一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化),统计分析,统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等) 测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生,完
10、整性分析,完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被安装木马的应用程序方面特别有效,入侵检测的分类(1),按照分析方法(检测方法) 异常检测模型(Anomaly Detection ):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,异常检测,前提:入侵是异常活动的子集 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集
11、合,用于描述正常行为范围 过程 监控 量化 比较 判定 修正 指标:漏报(false positive),错报(false negative),异常检测,异常检测,如果系统错误地将异常活动定义为入侵,称为误报(false positive) ;如果系统未能检测出真正的入侵行为则称为漏报(false negative)。 特点:异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源。,Anomaly Detection,activity
12、 measures,probable intrusion,Relatively high false positive rate - anomalies can just be new normal activities.,误用检测,前提:所有的入侵行为都有可被检测到的特征 攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵 过程 监控 特征提取 匹配 判定 指标 错报低 漏报高,误用检测,误用检测模型,如果入侵特征与正常的用户行能匹配,则系统会发生误报;如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报 特点:采用特征匹配,滥用模式能明显降低错报率,但漏报
13、率随之增加。攻击特征的细微变化,会使得滥用检测无能为力,Misuse Detection,Cant detect new attacks,Example: if (src_ip = dst_ip) then “land attack”,入侵检测的分类(2),按照数据来源: 基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机 基于网络:系统获取的数据是网络传输的数据包,保护的是网络的运行 混合型,监视与分析主机的审计记录 可以不运行在监控主机上 能否及时采集到审计记录? 如何保护作为攻击目标主机审计子系统?,基于主机,在共享网段上对通信数据进行侦听采集数据 主机资
14、源消耗少 提供对网络通用的保护 如何适应高速网络环境? 非共享网络上如何采集数据?,基于网络,两类IDS监测软件,网络IDS 侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少,主机IDS 视野集中 易于用户自定义 保护更加周密 对网络流量不敏感,入侵检测的分类(3),按系统各模块的运行方式 集中式:系统的各个模块包括数据的收集分析集中在一台主机上运行 分布式:系统的各个模块分布在不同的计算机和设备上,入侵检测的分类(4),根据时效性 脱机分析:行为发生后,对产生的数据进行分析 联机分析:在数据产生的同时或者发生改变时进行分析,常用术语,当一个入侵正在发生或者试图发生时,IDS系统将发布一
15、个alert信息通知系统管理员 如果控制台与IDS系统同在一台机器,alert信息将显示在监视器上,也可能伴随着声音提示 如果是远程控制台,那么alert将通过IDS系统内置方法(通常是加密的)、SNMP(简单网络管理协议,通常不加密)、email、SMS(短信息)或者以上几种方法的混合方式传递给管理员,Alert(警报),Anomaly(异常),当有某个事件与一个已知攻击的信号相匹配时,多数IDS都会告警 一个基于anomaly(异常)的IDS会构造一个当时活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时,IDS就会告警 有些IDS厂商将此方法看做启发式功能,但一个启发式的ID
16、S应该在其推理判断方面具有更多的智能,首先,可以通过重新配置路由器和防火墙,拒绝那些来自同一地址的信息流;其次,通过在网络上发送reset包切断连接 但是这两种方式都有问题,攻击者可以反过来利用重新配置的设备,其方法是:通过伪装成一个友方的地址来发动攻击,然后IDS就会配置路由器和防火墙来拒绝这些地址,这样实际上就是对“自己人”拒绝服务了 发送reset包的方法要求有一个活动的网络接口,这样它将置于攻击之下,一个补救的办法是:使活动网络接口位于防火墙内,或者使用专门的发包程序,从而避开标准IP栈需求,Automated Response,IDS的核心是攻击特征,它使IDS在事件发生时触发 特征
17、信息过短会经常触发IDS,导致误报或错报,过长则会减慢IDS的工作速度 有人将IDS所支持的特征数视为IDS好坏的标准,但是有的产商用一个特征涵盖许多攻击,而有些产商则会将这些特征单独列出,这就会给人一种印象,好像它包含了更多的特征,是更好的IDS,Signatures(特征),Promiscuous(混杂模式),默认状态下,IDS网络接口只能看到进出主机的信息,也就是所谓的non-promiscuous(非混杂模式) 如果网络接口是混杂模式,就可以看到网段中所有的网络通信量,不管其来源或目的地 这对于网络IDS是必要的,但同时可能被信息包嗅探器所利用来监控网络通信量 交换型HUB可以解决这个
18、问题,在能看到全面通信量的地方,会都许多跨越(span)端口,概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望,入侵检测相关的数学模型,试验模型(Operational Model) 平均值和标准差模型(Mean and Standard Deviation Model): 多变量模型(Multivariate Model): 多个随机变量的相关性计算, 马尔可夫过程模型(Markov Process Model):初始分布和概率转移矩阵;预测新的事件的出现频率太低,则表明出现异常情况。 时序模型(Time Series Model):该模型通过间隔
19、计时器和资源计数器两种类型随机变量参数之间的相隔时间和它们的值来判断入侵,异常入侵检测方法,统计异常检测 基于特征选择异常检测 基于贝叶斯推理异常检测 基于贝叶斯网络异常检测 基于模式预测异常检测 基于神经网络异常检测 基于贝叶斯聚类异常检测 基于机器学习异常检测 基于数据挖掘异常检测,基于条件概率误用检测 基于专家系统误用检测 基于状态迁移误用检测 基于键盘监控误用检测 基于模型误用检测,误用入侵检测方法,基于误用的入侵检测,思想:主要是通过某种方式预先定义入侵行为,然后监视系统,从中找出符合预先定义规则的入侵行为 误用信号需要对入侵的特征、环境、次序以及完成入侵的事件相互间的关系进行描述
20、重要问题 (1)如何全面的描述攻击的特征 (2)如何排除干扰,减小误报 (3)解决问题的方式,其它,基于生物免疫检测 基于伪装检测,概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望,基于主机的入侵检测系统,系统分析主机产生的数据(应用程序及操作系统的事件日志) 由于内部人员的威胁正变得更重要 基于主机的检测威胁 基于主机的结构 优点及问题,基于主机的检测威胁,特权滥用 关键数据的访问及修改 安全配置的变化,基于主机的入侵检测系统结构,基于主机的入侵检测系统通常是基于代理的,代理是运行在目标系统上的可执行程序,与中央控制计算机通信 集中式:原始数据在分
21、析之前要先发送到中央位置 分布式:原始数据在目标系统上实时分析,只有告警命令被发送给控制台,集中式检测的优缺点,优点: 不会降低目标机的性能 统计行为信息 多主机标志、用于支持起诉的原始数据 缺点: 不能进行实时检测 不能实时响应 影响网络通信量,分布式检测的优缺点,优点: 实时告警 实时响应 缺点: 降低目标机的性能 没有统计行为信息 没有多主机标志 没有用于支持起诉的原始数据 降低了数据的辨析能力 系统离线时不能分析数据,操作模式,操作主机入侵检测系统的方式 警告 监视 毁坏情况评估 遵从性,基于主机的技术面临的问题,性能:降低是不可避免的 部署/维护 损害 欺骗,基于网络的入侵检测系统,
22、入侵检测系统分析网络数据包 基于网络的检测威胁 基于网络的结构 优点及问题,基于网络的检测威胁,非授权访问 数据/资源的窃取 拒绝服务,基于网络的入侵检测系统结构,基于网络的入侵检测系统由遍及网络的传感器(Sensor)组成,传感器会向中央控制台报告。传感器通常是独立的检测引擎,能获得网络分组、找寻误用模式,然后告警。 传统的基于传感器的结构 分布式网络节点结构,传统的基于传感器的结构,传感器(通常设置为混杂模式)用于嗅探网络上的数据分组,并将分组送往检测引擎 检测引擎安装在传感器计算机本身 网络分接器分布在关键任务网段上,每个网段一个,分布式网络节点结构,为解决高速网络上的丢包问题,1999
23、年6月,出现的一种新的结构,将传感器分布到网络上的每台计算机上 每个传感器检查流经他的网络分组,然后传感器相互通信,主控制台将所有的告警聚集、关联起来,基于网络的入侵检测的好处,威慑外部人员 检测 自动响应及报告,基于网络的技术面临的问题,分组重组 高速网络 加密,基于异常的入侵检测,思想:任何正常人的行为有一定的规律 需要考虑的问题: (1)选择哪些数据来表现用户的行为 (2)通过以上数据如何有效地表示用户的行为,主要在于学习和检测方法的不同 (3)考虑学习过程的时间长短、用户行为的时效性等问题,数据选取的原则,(1)数据能充分反映用户行为特征的全貌 (2) 应使需要的数据量最小 (3) 数
24、据提取难度不应太大,NIDS抓包,PF_PACKET 从链路层抓包 libpcap 提供API函数 winpcap Windows下的抓包库,分析数据包,Ethernet,IP,TCP,模式匹配,Ethernet,IP,TCP,协议分析,HTTP,Unicode,XML,模式匹配,0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.ME. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:P. 30 16
25、d0 f6e5 0000 4745 5420 2f70 726f 6475 GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*Ref 80 6572 6572 3a
26、20 6874 7470 3a2f 2f77 7777 erer: http:/www 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/Accept- c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. d0 0a41 6363 6570 742d 456e 636f 6
27、469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible; MSIE 5.01; 120 2057 696e 646f 7773 204e 542
28、0 352e 3029 Windows NT 5.0) 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 Host: www.amer 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: Keep-Aliv 160 650d 0a0d 0a e,0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.ME. 10 0157 3105 4000 8006 0000 0a0a 0
29、231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 6475 GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1
30、.1 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: http:/www 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/Accept- c0 4c61 6e67 7561
31、6765 3a20 656e 2d75 730d Language: en-us. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 110 6962 6c65 3b2
32、0 4d53 4945 2035 2e30 313b ible; MSIE 5.01; 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 Host: www.amer 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: Keep-Aliv 160 650d 0a0d 0a e,协议分析,一个
33、攻击检测实例,老版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell!,简单的匹配,检查每个packet是否包含: “WIZ” | “DEBUG”,检查端口号,缩小匹配范围 Port 25: “WIZ” | “DEBUG” ,深入决策树,只判断客户端发送部分 Port 25: Client-sends: “WIZ” | Client-sends: “DEBUG” ,概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望,响应策略,弹出窗口报警 E-mail通知 切断TCP连接 执行自
34、定义程序 与其他安全产品交互 Firewall SNMP Trap,压制调速 1、 撤消连接 2、 回避 3、 隔离 SYN/ACK RESETs,自动响应,一个高级的网络节点在使用“压制调速”技术的情况下,可以采用路由器把攻击者引导到一个经过特殊装备的系统上,这种系统被成为蜜罐 蜜罐是一种欺骗手段,它可以用于错误地诱导攻击者,也可以用于收集攻击信息,以改进防御能力 蜜罐能采集的信息量由自身能提供的手段以及攻击行为数量决定,蜜罐,BOF: NFR Windows pecter是商业产品,运行在Windows平台上 Deception Toolkit : DTK是一个状态机,实际上它能虚拟任何服
35、务,并可方便地利用其中的功能直接模仿许多服务程序 Mantrap : Recourse 最多达四种操作系统 运行在Solaris 平台 Honeynets : 它是一个专门设计来让人“攻陷”的网络,一旦被入侵者所攻破,入侵者的一切信息、工具等都将被用来分析学习,主动攻击模型,概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望,CIDF,概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望,IDS现状,基于主机和基于网络的入侵检测系统采集、分析的数据不全面 入侵检测由各个检测引擎独立完成,中心管理控制平台并不具备检
36、测入侵的功能,缺乏综合分析 在响应上,除了日志和告警,检测引擎只能通过发送RST包切断网络连接,或向攻击源发送目标不可达信息来实现安全控制,协同,协同,目前IDS实现的功能是相对初级的 IDS也需要充分利用数据信息的相关性 IDS作为网络安全整体解决方案的重要部分,与其他安全设备之间应该有着紧密的联系 IDS需要一种新的系统体系来克服自身的不足,并将IDS的各个功能模块与其他安全产品有机地融合起来, 这就需要引入协同的概念,数据采集协同,基于网络的IDS需要采集动态数据(网络数据包) 基于主机的IDS需要采集静态数据(日志文件等) 目前的IDS将网络数据包的采集、分析与日志文件的采集、分析割裂
37、开来,没有在这两类原始数据的相关性上作考虑。 在数据采集上进行协同并充分利用各层次的数据,是提高入侵检测能力的首要条件,数据分析协同,入侵检测不仅需要利用模式匹配和异常检测技术来分析某个检测引擎所采集的数据,以发现一些简单的入侵行为,还需要在此基础上利用数据挖掘技术,分析多个检测引擎提交的审计数据以发现更为复杂的入侵行为。,两个层面上进行,单个检测引擎采集的数据:综合使用检测技术,以发现较为常见的、典型的攻击行为 本地引擎 多个检测引擎的审计数据:利用数据挖掘技术进行分析,以发现较为复杂的攻击行为 中心管理控制平台,数据挖掘,数据挖掘技术是一种决策支持过程,它主要基于AI,机器学习统计等技术,
38、能高度自动化地分析原有数据,做出归纳性推理,从中挖掘出潜在的模式,预测出客户的行为 运用关联分析,能够提取入侵行为在时间和空间上的关联,可以进行的关联包括源IP关联、目标IP关联、数据包特征关联、时间周期关联、网络流量关联等; 运用序列模式分析可以进行入侵行为的时间序列特征分析; 利用以上的分析结构,可以制订入侵行为的分类标准,并进行形式化的描述,通过一定的训练数据集来构造检测模型; 运用聚类分析,能优化或完全抛弃既有的模型,对入侵行为重新划分并用显示或隐式的方法进行描述,数据挖掘过程,数据准备 数据清理和集成 数据挖掘 知识表示 模式评估,数据挖掘,从审计数据中提取特征,以帮助区分正常数据和
39、攻击行为 将这些特征用于模式匹配或异常检测模型 描述一种人工异常产生方法,来降低异常检测算法的误报率 提供一种结合模式匹配和异常检测模型的方法,基本框架,引擎观察原始数据并计算用于模型评估的特征 检测器获取引擎的数据并利用检测模型来评估它是否是一个攻击 数据仓库被用作数据和模型的中心存储地; 模型产生的主要目的是为了加快开发以及分发新的入侵检测模型的速度,响应协同,理想的情况是,建立相关安全产品能够相互通信并协同工作的安全体系,实现防火墙、IDS、病毒防护系统和审计系统等的互通与联动,以实现整体安全防护,响应协同:当IDS检测到需要阻断的入侵行为时,立即迅速启动联动机制,自动通知防火墙或其他安
40、全控制设备对攻击源进行封堵,达到整体安全控制的效果。,IDS与防火墙的联动,可封堵源自外部网络的攻击 IDS与网络管理系统的联动,可封堵被利用的网络设备和主机 IDS与操作系统的联动,可封堵有恶意的用户账号 IDS与内网监控管理系统的联动,可封堵内部网络上恶意的主机,IDS与Firewall联动,通过在防火墙中驻留的一个IDS Agent对象,以接收来自IDS的控制消息,然后再增加防火墙的过滤规则,最终实现联动,Cisco CIDF(CISL) ISS Checkpoint,模式匹配是第一代(10M)和第二代(100M)入侵检测系统在网络数据包里检查某个攻击特征存在性的一种技术 模式匹配就是将
41、收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为 一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示,模式匹配,只需收集相关的数据集合,显著减少系统负担 技术已相当成熟 检测准确率和效率都相当高,优点,1计算负荷大:支撑这一算法所需的计算量非常惊人,对一个满负荷的100兆以太网而言,所需的计算量是每秒720亿次计算。这一计算速度要求大大超出了现有的技术条件。同时,这种办法虽然可以把系统构建为部分覆盖的功能,但是这样的系统有严重的性能问题,并容易被黑客规避 2检测准确率低:第二个根本弱点是使用固定的特征模式来检测入侵只能检测特
42、定的特征,这将会错过通过对原始攻击串做对攻击效果无影响的微小变形而衍生所得的攻击 3. 没有理解能力:模式匹配系统没有判别模式的真实含义和实际效果的能力,因此,所有的变形都将成为攻击特征库里一个不同的特征,这就是模式匹配系统有一个庞大的特征库的原因,缺点,新技术的出现,高速网络的出现 基于模式匹配的入侵检测系统在一个满负荷的100兆以太网上,将不得不丢弃30%75%的数据流量 某些系统,即使在利用率为20%的100兆以太网上也已经开始漏掉某些攻击行为 攻击技术的提高 降低错报率和漏报率的要求,协议分析加命令解析技术是一种新的入侵检测技术,它结合高速数据包捕捉、协议分析和命令解析来进行入侵检测,
43、给入侵检测战场带来了许多决定性的优势,由于有了协议分析加命令解析的高效技术,基于运行在单个Intel架构计算机上的入侵检测系统的千兆网络警戒系统,就能分析一个高负载的千兆以太网上同时存在的超过300万个连接,而不错漏一个包,协议分析 命令解析,协议分析充分利用了网络协议的高度有序性,使用这些知识快速检测某个攻击特征的存在,协议分析,因为系统在每一层上都沿着协议栈向上解码,因此可以使用所有当前已知的协议信息,来排除所有不属于这一个协议结构的攻击。,协议解码,Protocol Analysis Ether、IP、ARP TCP、UDP、ICMP HTTP、Telnet、DNS、FTP、IRC、Ne
44、tBIOS、SMB、SMTP、SNMP、TFTP、RPC、POP3、Finger、rlogin、MIME、IMAP4、VNC、RealAudio、NetGames、MS SQL,协议分析的优势,效率高 检测0-day漏洞脚本 例如大量的90字符可能是ShellCode中的NOOP操作。 依据RFC,执行协议异常分析,解析器是一个命令解释程序,入侵检测引擎包括了多种不同的命令语法解析器,因此,它能对不同的高层协议如Telnet、FTP、HTTP、SMTP、SNMP、DNS等的用户命令进行详细的分析。 命令解析器具有读取攻击串及其所有可能的变形,并发掘其本质含义的能力。这样,在攻击特征库中只需要一
45、个特征,就能检测这一攻击所有可能的变形。 解析器在发掘出命令的真实含义后将给恶意命令做好标记,主机将会在这些包到达操作系统、应用程序之前丢弃它们。,命令解析,第一步直接跳到第13个字节,并读取2个字节的协议标识。如果值是0800,则说明这个以太网帧的数据域携带的是IP包,基于协议解码的入侵检测利用这一信息指示第二步的检测工作。 第二步跳到第24个字节处读取1字节的第四层协议标识。如果读取到的值是06,则说明这个IP帧的数据域携带的是TCP包,入侵检测利用这一信息指示第三步的检测工作。 第三步跳到第35个字节处读取一对端口号。如果有一个端口号是0080,则说明这个TCP帧的数据域携带的是HTTP
46、包,基于协议解码的入侵检测利用这一信息指示第四步的检测工作。 第四步让解析器从第55个字节开始读取URL。 URL串将被提交给HTTP解析器,在它被允许提交给Web服务器前,由HTTP解析器来分析它是否可能会做攻击行为。,典型例子, 提高了性能:协议分析利用已知结构的通信协议,与模式匹配系统中传统的穷举分析方法相比,在处理数据帧和连接时更迅速、有效。 提高了准确性:与非智能化的模式匹配相比,协议分析减少了虚警和误判的可能性,命令解析(语法分析)和协议解码技术的结合,在命令字符串到达操作系统或应用程序之前,模拟它的执行,以确定它是否具有恶意。 基于状态的分析:当协议分析入侵检测系统引擎评估某个包
47、时,它考虑了在这之前相关的数据包内容,以及接下来可能出现的数据包。与此相反,模式匹配入侵检测系统孤立地考察每个数据包。 反规避能力:因为协议分析入侵检测系统具有判别通信行为真实意图的能力,它较少地受到黑客所用的像URL编码、干扰信息、TCP/IP分片等入侵检测系统规避技术的影响。 系统资源开销小:协议分析入侵检测系统的高效性降低了在网络和主机探测中的资源开销,而模式匹配技术却是个可怕的系统资源消费者。,优点,部署,NIDS的位置必须要看到所有数据包 共享媒介HUB 交换环境 隐蔽模式 千兆网 分布式结构 Sensor Console,共享媒介,HUB,IDS Sensor,Monitored
48、Servers,Console,交换环境,Switch,IDS Sensor,Monitored Servers,Console,通过端口镜像实现 (SPAN / Port Monitor),隐蔽模式,Switch,IDS Sensor,Monitored Servers,不设IP,千兆网络,IDS Sensors,L4或L7 交换设备,Advanced 1 Gb to many 100Mb Sensors (Advanced concept),Deployment of IDS,Internet,FireWall,IDS #1,IDS #2,IDS #3,IDS#1 Monitor of External Traffic IDS#2 Monitor of Internal Traffic IDS#3 Monitor of Firewalls,External,性能测试,实际生产环境 模拟流量 硬件:SmartBits 人为构造一定大小的数据报,从64bytes到1500bytes,衡量不同pps(packets per second)下IDS对攻击的检测情况。 软件:tcpdump & tcpreplay 对流量的回放,IDS躲避测试,URL编