网络安全第十一章

第十一章入侵检测技术11.1入侵检测分类与评估11.2入侵检测产品概况11.3入侵检测产品11.4入侵检测技术概述11入侵检测技术概述•入侵检测技术的起因–传统网络安全技术存在着与生俱来的缺陷•程序的错误•配置的错误–需求的变化决定网络不断发展•产品在设计阶段可能是基于一项较为安全的技术•但当产品成型后，网络的发展已经使得该技术不再安全–传统的网络安全技术是属于静态安全技术，无法解决动态发展网络中的安全问题。11.1入侵检测技术概述•JamesP.Anderson早在1980年4月为美国空军所作的著名研究报告“计算机安全威胁监测与监视”（computersecuritythreatmonitoringandsurveillance）。•1983年，斯坦福研究所SRI（Stanfordresearchinstitute）的DorothyE.Denning和PeterNeumann承担了美国空海作战系统指挥部资助的入侵检测系统研究课题。研究成果命名为入侵检测专家系统IDES（intrusiondetectionexpertsystem）。•1985年，美国国防部所属的国家计算机安全中心正式颁布了网络安全标准，既可信计算机系统评估准则TCSEC（trustedcomputersystemevalutioncriteria）。•1987年2月，DorothyE.Denning和PeterNeumann在总结几年研究工作的基础上，正式发表了入侵检测模型著名论文（anintrusiondetectionmodel）。11.1•1988年5月，加州大学戴维斯分校劳伦斯利弗莫尔（LawrenceLivermore）国家实验室承接了为美国空军基地开发新型IDSHaystack的科研课题。•1989年创建了以科研课题名称Haystack命名的商业公司，并将公司开发的IDS产品称为STALKER。•1990年5月是入侵检测发展史上的另一个里程碑，加州大学戴维斯分校的L.T.Heberlein等研究人员首次利用网络数据包作为安全审计数据源，通过监测网络流量来识别网络入侵行为。•1991年2月，Haystack公司与L.T.Heberlein等人共同展开了对分布式入侵检测系统DIDS（distributedintrusiondetectionsystem）的研究。•1992年，斯坦福研究所决定对早期的IDES进行改进，开发下一代入侵检测专家系统NIDES（next-generationintrusiondetectionexpertsystem）新产品。入侵检测技术概述•入侵检测的定义–入侵检测（IntrusionDetection）是用来发现外部攻击与内部合法用户滥用特权的一种方法。–它还是一种增强内部用户责任感及提供对攻击者的法律诉讼依据的机制。–IDS（IntrusionDetectionSystem）11.1系统动态安全模型入侵检测技术概述•入侵检测的特点–入侵检测是一种动态的网络安全技术。–它利用各种不同类型的引擎，实时地或定期地对网络中相关的数据源进行分析，依照引擎对特殊的数据或事件的认识，将其中具有威胁性的部分提取出来，并触发响应机制。–入侵检测的动态性•入侵检测的实时性•对网络环境的变化具有一定程度上的自适应性11.1入侵检测技术概述•入侵检测的内容–外部攻击检测–内部特权滥用检测11.1入侵检测技术概述•入侵检测的内容–外部攻击检测•外部攻击与入侵是指来自外部网络非法用户的威胁性访问或破坏。•外部攻击检测的重点在于检测来自于外部的攻击或入侵。11.1入侵检测技术概述•入侵检测的内容–内部特权滥用检测•内部特权滥用是指网络的合法用户在不正常的行为下获得了特殊的网络权限并实施威胁性访问或破坏。•内部特权滥用检测的重点集中于观察授权用户的活动。11.1入侵检测技术概述•入侵检测的功能–检测和分析用户和系统的活动–识别反映已知攻击的活动模式–非正常活动模式的统计分析–通过对操作系统的审计，分析用户的活动、识别违规操作–审计系统配置和脆弱性、评估关键系统和数据文件的一致性11.1入侵检测技术概述•入侵检测技术原理与系统构成–原理图11.1入侵检测技术概述•IDS原理–入侵检测的技术的核心在于入侵检测过程–对行为与状态的综合分析是基于•模式匹配（误用检测）•异常统计•知识的智能推理•神经网络理论11.1入侵检测技术概述•IDS原理–技术分析的依据•历史知识•现有的行为状态–实时的监测是保证入侵检测具有实时性的主要手段–根据实时监测的记录不断修改历史知识保证了入侵检测具有自适应性11.1入侵检测技术概述•系统构成11.1入侵检测技术概述•IDS的构成–信息采集部件•对各类复杂、凌乱的信息进行格式化并交付于入侵分析部件–入侵分析部件•按照部件内部的分析引擎进行入侵分析，当信息满足了引擎的入侵标准时就触发了入侵响应机制。–入侵响应部件•当入侵分析部件发现入侵后，由入侵响应部件根据具体的情况做出响应。•响应部件同信息采集部件一样都是分布于网络中，甚至与信息采集部件集成在一起。11.1入侵检测分类与评估•IDS引擎分类–误用检测–异常检测11.2•入侵检测性能关键参数–误报(falsepositive)：系统错误地将“异常”活动定义为入侵。–漏报(falsenegative)：系统未能检测出真正的入侵行为。入侵检测分类与评估•IDS引擎分类–误用检测（MisuseDetection）•首先根据已知的入侵，定义由独立的事件、事件的序列、事件临界值等通用规则组成的入侵模式。•然后观察能与入侵模式相匹配的事件，达到发现入侵的目的（模式匹配）。•入侵模式需要定期更新11.2用户行为和入侵行为之间的差异来识别（通过“错误”操作）•前提：所有的入侵行为都有可被检测到的特征。•攻击特征库：当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。•过程–监控特征提取匹配判定•指标:误报低、漏报高入侵检测分类与评估•IDS引擎分类–异常检测（AnomalyDetection）•原理–通过检查统计量的偏差，从而检测出不正常的行为。•其实现的方法–将各个主体、对象的行为量化–以历史数据设定期望值–将与期望值有偏差的行为定义为入侵11.2通过用户行为和正常行为之间的差异来识别（通过异常）•前提：入侵是异常活动的子集。•用户轮廓(Profile)：通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围（统计模型）。•过程•监控量化比较判定••修正•指标：漏报率低,误报率高。IDS引擎对比—误用检测•缺点–可测量性与性能都和模式数据库的大小和体系结构有关–可扩展性差–通常不具备自学习能力，对新攻击的检测分析必须补充模式数据库–攻击行为难以模式化•优点–误用检测具有很强的可分割性、独立性，可缩小模式数据库规模。–具有很强的针对性，对已知的入侵方法检测效率很高。–有能力提供模糊入侵检测引擎11.2IDS引擎对比—异常检测•缺点–数据假设可能不合理，加权算法在统计意义上可能不准确–对突发性正常事件容易引起误判断–对长期、稳定的攻击方法灵敏度低•优点–符合数据的异常变化理论，适合事物的发展规律–检查算法比较普适化，对变量的跟踪不需要大量的内存–有能力检测与响应某些新的攻击11.2入侵检测分类与评估•实现方式分类–基于主机的IDS（HIDS）•安装在被重点检测的主机之上•对该主机的网络实时连接以及系统审计日志进行智能分析和判断。–基于网络的IDS（NIDS）•放置在比较重要的网段内•不停地监视网段中的各种数据包，对每一个数据包或可疑的数据包进行特征分析。11.2IDS实现方式—HIDS•优点–能够获得更详尽的信息–误报率低。–对分析“可能的攻击行为”非常有用–适用于不需要广泛的入侵检测、或者传感器与控制台之间的通信带宽不足的环境–风险较少•缺点–依赖于服务器的日志与监视功能，降低应用系统的效率，可能需要中断服务–全面布署HIDS代价较大–对入侵行为的分析的工作量将随着主机数目增加而增加–可能带来一些额外的安全问题11.2IDS实现方式—NIDS•优点–能够检测来自网络的攻击–能够检测到超过授权的非法访问–易于安装，不影响业务系统的性能，因此风险小。•缺点–监测范围受网段的限制，全网段部署传感器会使成本大大增加。–数据量大使得NIDS很难检测一些需要大量计算和分析才能检测的攻击–传感器的分析能力的增强常伴随着协同能力的减弱–难以处理复杂协议，如：加密、高层协议。11.2入侵检测分类与评估•技术路线分类–基于统计分析的入侵检测技术–基于神经网络的入侵检测技术–基于专家系统的入侵检测技术–基于模型推理的入侵检测技术11.2入侵检测分类与评估•技术路线分类–基于统计分析的入侵检测技术•基于对用户历史行为进行统计，同时实时地检测用户对系统的使用情况，根据用户行为的概率模型与当前用户的行为进行比较，一但发现可疑的情况与行为，就跟踪、监测并记录，适当时采用一定的响应手段。•有一定的自适应能力，稳定，但误警率高。11.2入侵检测分类与评估•技术路线分类–基于神经网络的入侵检测技术•将神经网络模型运用于入侵检测系统，可以解决基于统计数据的主观假设而导致的大量虚假警报问题，同时由于神经网络模型的自适应性，使得系统精简，成本较低。•但是不成熟11.2入侵检测分类与评估•技术路线分类–基于专家系统的入侵检测技术•根据专家对合法行为的分析经验来形成一套推理规则，然后在此基础上构成相应的专家系统，由此专家系统自动地进行攻击分析工作。•推理系统的效率较低11.2入侵检测分类与评估•技术路线分类–基于模型推理的入侵检测技术•对已知入侵行为建立特定的模型，监视具有特定行为特征的活动，一但发现与模型匹配的用户行为，就通过相关信息证实或否定攻击的真实性。•又称为模式匹配，是应用较多的入侵检测方法。11.2入侵检测分类与评估•评价标准–准确性•误警（误报）：IDS将用户正常的操作当作入侵行为，予以报警（1%~10%）•漏警（漏报）：IDS将入侵行为当作用户正常的操作，不予报警（10%~50%）–处理性能–完备性–容错性–及时性11.2入侵检测产品概况•产品实施层次–应用层–操作系统层–网络层•目前应用的产品–IDP(IntrusionDetectionandProtection):入侵检测和防护系统–IPS(IntrusionPreventionSystems):入侵防护系统–UnifiedThreatManagement(UTM):统一威胁管理11.3入侵检测产品概况11.3入侵检测产品概况•国外产品–AdaptiveIntrusionDetectionSystem：布兰登大学–AutonomousAgentsForIntrusionDetection：PurdueUniversity–IDES：SRI–WisdomandSense：LosAlamos–NSM：加里福利亚大学11.3入侵检测产品概况•国内产品–RIDS-100：瑞星–曙光GodEye-HIDS：曙光信息产业（北京）–天阗：启明星辰–天眼NPIDS：北京中科网威11.3补充：入侵检测的部署•基于主机的IDS–通过监视和分析主机的审计记录检测入侵。–难点：能否及时采集到审计记录。–特点：检测效率高、分析代价小、分析速度快–问题：•依赖系统的可靠性；•日志记录的完整性；•日志系统对一些入侵行为不能审计；•举例InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersHackerHost-basedIDSHost-basedIDS•基于网络的入侵检测系统–通过在共享网段（以太共享局域网）上的通信数据进行侦听采集数据，分析可疑现象。–难点：通信数据的侦听采集–特点：•对入侵者是透明的•主机资源消耗少•提供对网络通用的保护–问题：•如何适应高速网络环境•非共享网络上如何采集数据•加密通信数据的分析•举例InternetDe