入侵检测技术ppt课件

入侵检测技术惠东1.概述2.入侵检测方法3.入侵检测系统的设计原理4.入侵检测响应机制5.其它6.展望概述2.入侵检测方法3.入侵检测系统的设计原理4.入侵检测响应机制5.其它6.展望IntrusionIntrusion:Attemptingtobreakintoormisuseyoursystem.Intrudersmaybefromoutsidethenetworkorlegitimateusersofthenetwork.Intrusioncanbeaphysical,systemorremoteintrusion.传统的信息安全方法采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全入侵检测（IntrusionDetection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象IntrusionDetection入侵检测的定义对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性进行入侵检测的软件与硬件的组合便是入侵检测系统IDS:IntrusionDetectionSystem入侵检测的特点一个完善的入侵检测系统的特点：经济性时效性安全性可扩展性网络安全工具的特点优点局限性防火墙可简化网络管理，产品成熟无法处理网络内部的攻击IDS实时监控网络安全状态误报警，缓慢攻击，新的攻击模式Scanner简单可操作，帮助系统管理员和安全服务人员解决实际问题并不能真正扫描漏洞VPN保护公网上的内部通信可视为防火墙上的一个漏洞防病毒针对文件与邮件，产品成熟功能单一1980年Anderson提出：入侵检测概念，分类方法1987年Denning提出了一种通用的入侵检测模型独立性：系统、环境、脆弱性、入侵种类系统框架：异常检测器，专家系统90年初：CMDS™、NetProwler™、NetRanger™ISSRealSecure™入侵检测起源入侵检测的起源（1）审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程审计的目标：确定和保持系统活动中每个人的责任重建事件评估损失监测系统的问题区提供有效的灾难恢复阻止系统的不正当使用入侵检测的起源（2）计算机安全和审计美国国防部在70年代支持“可信信息系统”的研究，最终审计机制纳入《可信计算机系统评估准则》（TCSEC）C2级以上系统的要求的一部分“褐皮书”《理解可信系统中的审计指南》入侵检测的起源（3）1980年4月，JamesP.Anderson:《ComputerSecurityThreatMonitoringandSurveillance》（计算机安全威胁监控与监视）的技术报告，第一次详细阐述了入侵检测的概念他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作入侵检测的起源（4）从1984年到1986年，乔治敦大学的DorothyDenning和SRI/CSL的PeterNeumann研究出了一个实时入侵检测系统模型，取名为IDES（入侵检测专家系统）入侵检测的起源（5）1990，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM（NetworkSecurityMonitor）该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS入侵检测的起源（6）IDS存在与发展的必然性一、网络攻击的破坏性、损失的严重性二、日益增长的网络安全威胁三、单纯的防火墙无法防范复杂多变的攻击为什么需要IDS关于防火墙网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得IDS基本结构入侵检测是监测计算机网络和系统,以发现违反安全策略事件的过程简单地说，入侵检测系统包括三个功能部件：（1）信息收集（2）信息分析（3）结果处理信息收集入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，尽可能扩大检测范围从一个源来的信息有可能看不出疑点信息收集入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息信息收集的来源系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为系统或网络的日志文件黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容显然，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等系统目录和文件的异常变化网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件信息分析模式匹配统计分析完整性分析，往往用于事后分析模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）统计分析统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生完整性分析完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被安装木马的应用程序方面特别有效入侵检测的分类（1）按照分析方法（检测方法）异常检测模型（AnomalyDetection):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵误用检测模型（MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵异常检测BelowThresholdlevelsExceedThresholdLevelsSystemAuditMetricsProfilerIntrusionNormalActivity异常检测模型1.前提：入侵是异常活动的子集2.用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围3.过程监控量化比较判定修正4.指标:漏报(falsepositive),错报(falsenegative)异常检测异常检测如果系统错误地将异常活动定义为入侵，称为误报(falsepositive)；如果系统未能检测出真正的入侵行为则称为漏报(falsenegative)。特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。AnomalyDetectionactivitymeasures0102030405060708090CPUProcessSizenormalprofileabnormalprobableintrusionRelativelyhighfalsepositiverate-anomaliescanjustbenewnormalactivities.SystemAuditMetricsPatternMatcherIntrusionNormalActivityNoSignatureMatchSignatureMatch误用检测模型误用检测1.前提：所有的入侵行为都有可被检测到的特征2.攻击特征库:当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵3.过程监控特征提取匹配判定4.指标错报低漏报高误用检测误用检测模型如果入侵特征与正常的用户行能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报特点：采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得滥用检测无能为力MisuseDetectionIntrusionPatternsactivitiespatternmatchingintrusionCan’tdetectnewattacksExample:if(src_ip==dst_ip)then“landattack”入侵检测的分类（2）按照数据来源：基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行混合型监视与分析主机的审计记录可以不运行在监控主机上能否及时采集到审计记录？如何保护作为攻击目标主机审计子系统？基于主机在共享网段上对通信数据进行侦听采集数据主机资源消耗少提供对网络通用的保护如何适应高速网络环境？非共享网络上如何采集数据？基于网络两类IDS监测软件网络IDS侦测速度快隐蔽性好视野更宽较少的监测器占资源少主机IDS视野集中易于用户自定义保护更加周密对网络流量不敏感入侵检测的分类（3）按系统各模块的运行方式集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行分布式：系统的各个模块分布在不同的计算机和设备上入侵检测的分类（4）根据时效性脱机分析：行为发生后，对产生的数据进行分析联机分析：在数据产生的同时或者发生改变时进行分析常用术语当一个入侵正在发生或者试图发生时，IDS系统将发布一个alert信息通知系统管理员如果控制台与IDS系统同在一台机器，alert信息将显示在监视器上，也可能伴随着声音提示如果是远程控制台，那么alert将通过IDS系统内置方法（通常是加密的）、SNMP（简单网络管理协议，通常不加密）、email、SMS（短信息）或者以上几种方法的混合方式传递给管理员Alert（警报）Anomaly（异常）当有某个事件与一个已知攻击的信号相匹配时，多数IDS都会告警一个基于anomaly（异常）的IDS会构造一个当时活动的主机或网络的大致轮廓，当有一个在这个轮廓以外的事件发生时，IDS就会告警有些IDS厂商将此方法看做启发式功能，但一个启发式的IDS应该在其推理判断方面具有更多的智能首先，可以通过重新配置路由器和防火墙，拒绝那些来自同一地址的信息流;其次，通过在网络上发送reset包切断连接但是这两种方式都有问题，攻击者可以反过来利用重新配置的设备，其方法是：通过伪装成一个友方的地址来发动攻击，然后IDS就会配置路由器和防火墙来拒绝这些地址，这样实际上就是对“自己人”拒绝服务了发送reset包的方法要求有一个活动的网络接口，这样它将置于攻击之下，一个补