第十一章入侵检测

信息安全概论第十一章入侵检测11.5入侵检测技术11.5.1为什么需要入侵检测？黑客攻击日益猖獗，防范问题日益严峻信息处理能力提高的同时，系统连接能力也在不断的提高，基于网络连接的安全问题也日益突出。0198919911199819901995199319911992199419961999100020003000400050006000110008000850019881988~1999年，攻击事件增长图入侵检测技术是一种主动保护自己免受黑客攻击的网络安全技术传统的安全产品存在着很多问题每一种安全机制都有一定的应用范围和应用环境；安全工具的使用受到人为因素的影响；系统的后门是传统安全工具难以考虑的地方；只要有程序，就可能存在BUG，甚至连安全工具本身也可能存在安全漏洞；黑客的攻击手段在不断地更新，几乎每天都有不同系统安全问题的出现；入侵检测正是根据网络攻击行为来进行设计的，它不仅能够发现已知的入侵行为，而且有能力发现未知的入侵行为，并可以通过学习和分析入侵手段，及时调整系统策略以加强系统的安全性。11.5.2黑客攻击策略入侵步骤信息获取实施攻击掩盖痕迹，预留后门入侵造成的破坏保密性：保密性的破坏指允许攻击者非授权访问数据；完整性：完整性的破坏指允许攻击者非授权地改变系统状态以及改变流经或存储在系统中的任何数据；可用性：可用性的破坏指使授权用户无法访问某一特定的系统资源；可控性：可控性的破坏指允许一个攻击者有特权破坏系统的访问控制策略。网络入侵的防范技术单纯的防火墙技术暴露出明显的不足和弱点：无法解决后门安全问题；不能组织网络内部的攻击；不能提供实时的入侵监测能力；对于病毒等束手无策。入侵检测系统可以弥补防火墙的不足，为网络安全提供实时的入侵检测及相应的防护手段：记录证据跟踪入侵恢复和断开网络连接等11.5.3入侵检测概念动态的安全模型P2DR模型：Policy（安全策略）、Protection（防护）、Detection（检测）、Response（响应）。响应Response防护Protection检测Detection策略PolicyP2DR在整体的安全策略的控制和指导下，综合运用防护工具（如：防火墙、操作系统身份认证、加密手段等）的同时，利用检测工具（如漏洞评估、入侵检测系统）了解和评估系统的安全状态，通过适当的响应将系统调整到“最安全”和“风险最低”的状态。入侵检测系统（IDS，IntrusionDetectionSystem）最早是由JamesAnderson于1980年提出来的；其定义是：对潜在的有预谋的未经授权的访问信息、操作信息以及致使系统不可靠、不稳定或无法使用的企图的检测和监视；ICSA(美国国际计算机安全协会)对入侵检测的定义：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测对安全保护采取的是一种积极、主动的防御策略；入侵检测是防火墙之后的第二道安全闸门，在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击、误操作的实时保护。入侵检测系统的组成事件产生器事件分析器事件数据库响应单元事件产生器响应单元事件数据库事件分析器入侵检测系统的基本构成图入侵检测系统中负责原始数据采集的部分，它对数据流、日至文件等进行追踪，然后将搜集到的原始数据转换成事件，并向系统的其他部分提供此事件接收事件信息，然后对它们进行分析，判断是否为入侵行为或异常现象，最后将判断的结果转变为警告信息。存放各种中间和最终数据的地方。它从事件发生器和时间分析器接收数据，一般会将数据进行较长时间的保存。可以是复杂的数据库，也可以是简单的文本文件。根据报警信息做出反应，可以做出切断连接、改变文件属性等强烈反应，也可以只是简单的报警，是IDS中的主动武器。11.5.4入侵检测的功能监控、分析用户和系统的活动入侵检测系统能够完成入侵检测任务的前提条件；IDS通过获取进出某台主机及整个网络的数据，或者通过查看主机日志等信息来实现对用户和系统活动的监控。发现入侵企图或异常现象IDS的核心功能；包括两个方面：IDS对进出网络或主机的数据流进行监控，看是否存在对系统的入侵行为，作用是在入侵行为发生时及时发现，从而避免系统遭受攻击；评估系统关键资源和数据文件的完整性，看系统是否已经遭受了入侵，作用是通过攻击行为留下的痕迹了解攻击行为的一些情况，从而避免再次遭受攻击。记录、报警和响应IDS首先记录攻击的基本情况，其次及时发出报警；好的IDS，不仅应该能把相关的数据记录在文件或数据库中，还应该能提供好的报表打印功能，还应该采取必要的响应行为；实现与防火墙等安全部件的响应互动，是IDS需要研究和完善的功能之一。11.5.5入侵检测的分类根据原始数据的来源基于主机的IDS主要用于保护运行关键应用的服务器；通过监视和分析主机的审计记录和日志文件来检测入侵；可监测系统、事件、WinNT下的安全记录以及Unix环境下的系统记录，从中发现可疑行为；监听主机的端口的活动，并在特定端口被访问时向管理员报警。基于网络的IDS主要用于实时监控网络关键路径的信息，侦听网络上的所有分组，采集数据，分析可疑对象；使用原始网络包作为数据源；通过利用一个运行在混杂模式下的网络适配器来实时监视，并分析通过网络的所有通信业务，也可能采用其他特殊硬件获得原始网络包；提供了许多基于主机的IDS无法提供的功能。基于应用的IDS基于主机的IDS的一个特殊子集，是对基于主机IDS实现的进一步细化；主要特征：使用监控传感器在应用层收集信息；可以更准确的监控用户某一应用的行为；监控某个软件应用程序中发生的活动，信息来源主要是应用程序的日志。三种方法具有互补性基于网络的IDS能够客观地反映网络活动，特别是能够监视到系统审计的盲区；基于主机和基于应用的IDS能够更加精确地监视系统中的各种活动。根据检测原理异常入侵检测也被称为基于行为的检测；试图建立主体正常活动的“行为模型”或轮廓。进行检测时，将当前主体活动状况与“行为模型”比较，发生显著偏离时则认为该活动可能是入侵行为。其难点在于如何建立“行为模型”以及如何设计统计方法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。误用入侵检测也被称为基于知识的检测；通过对比已知攻击手段及系统漏洞的模式特征来判断系统中是否有入侵发生。具体说，根据静态的、预先定义好的模式集合来过滤数据流，一旦发现数据包特征与某个模式特征相匹配，则认为是一次入侵。可以将已有的入侵方式检查出来,但对新的入侵方式无能为力。根据体系结构集中式有多个分布于不同主机上的审计程序，只有一个中央入侵检测服务器；审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理；这种结构的IDS在可伸缩性、可配置性方面存在致命缺陷。等级式（部分分布式）定义若干个分等级的监控区域，每个IDS负责一个区域，每一级IDS只负责所监控区的分析，然后将当地的分析结果传送给上一级IDS。存在的问题：当网络拓扑结构发生改变时，区域分析结果的汇总机制也需要做相应的调整；这种结构的IDS最后还是要把各地收集到的结果传送到最高级的监测服务器进行全局分析，系统的安全性没有实质性的改进。协作式（分布式）将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当地主机的某些活动；可伸缩性、安全性得到了提高，维护成本也高了很多，主机的工作负荷也增加了。根据工作方式离线检测非实时工作的系统，在事件发生后分析审计事件，从中检查入侵事件；成本低，可分析大量的事件，调查长期的情况；由于在事后进行分析，不能对系统提供及时的保护。在线检测对网络数据包或主机的审计事件进行实时分析；可以快速反应，保护系统的安全；系统规模较大时，难以保证实时性。11.5.6入侵检测技术概率统计方法异常检测技术中应用最早、最多的方法；它对用户历史行为建立模型，根据该模型，当发现有可疑的用户行为发生时保持跟踪，并监视和记录该用户的行为；实现方法：检测器根据用户对象的动作行为为每个用户建立一个用户特征表，通过比较当前的特征与已存储定型的以前特征，从而判断是否为异常行为；用户特征表需要根据审计记录情况不断地加以更新。优越性：能应用成熟的概率统计理论；不足之处：统计检测对于事件发生的次序不敏感，完全依靠统计理论可能会漏掉那些利用彼此相关联事件的入侵行为；定义判断入侵的阈值比较困难，阈值太高则误检率提高，阈值太低则漏检率增高。神经网络方法人工神经网络简介人工神经网络（ANN，ArtificialNeuralNetwork）是从微观结构和功能上对人脑神经系统的模拟而建立起来的一类模型，具有模拟人的部分形象思维的能力；特点：具有非线性特性、学习能力和自适应能力；它是由简单信息处理单元（人工神经元，简称神经元）胡连组成的网络，能接受并处理信息；网络的信息处理由处理单元之间的相互作用来实现，它通过把问题表达成处理单元之间的连接权来处理。yj：神经元i的输入值；wij：神经元i与j的连接权值；z：神经元的输出；θ：神经元的阈值。z=f(x)——激励函数即：Σ。。。y1y2yjwi1wi2wijθf(x)zxynwin1njijjxwy1()njijjzfwy神经网络工作分两个阶段：学习期：神经元之间的连接权值可由学习规则进行调整，搜索寻优以示准则（或称目标）函数达到最优，从而改善网络自身的性能；工作期：连接权值不便，由网络的输入得到输出。。。。。。。输入层隐含层输出层x1xiwijwjkyi利用神经网络检测入侵的基本思想：用一系列信息单元（命令）训练神经元，这样在给定一组输入后，就可能预测出输出；是对基于概率统计方法的改进，克服了传统的统计分析技术的一些问题：难以表达变量之间的非线性关系；难以确立确切的统计分布；难以实施方法的普遍性；实现方法比较昂贵；系统臃肿，难以剪裁。用于检测的神经网络模块结构：当前命令和刚过去的w个命令组成了神经网络的输入，其中w是神经网络预测下一个命令时所包含的过去命令集的大小；根据用户的代表性命令序列训练网络后，该神经网络就形成了相应用户的特征表，于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。。。。输入层隐含层输出层chmodwijwjkyilspwdvi优点：能更好的处理原始数据的随机特征，即不需要对这些数据作任何统计假设；具有较好的抗干扰能力。缺点：网络的拓扑结构以及各元素的权重很难确定；命令窗口w的大小难以选定，窗口太小，则网络输出不好，窗口太大，则网络会因为大量无关数据而降低效率。专家系统专家系统是基于一套由专家经验事先定义的规则的推理系统。将有关入侵的知识转化为if-then结构的规则，即将构成入侵所要求的条件转化为if部分，将发现入侵后采取的相应措施转化成then部分；当其中某个或部分条件满足时，系统就判断为入侵行为发生。if-then结构构成了描述具体攻击的规则库，推理机根据规则和行为完成判断工作。专家系统面临的问题全面性问题：很难从各种入侵手段中抽象出全面的规则化知识；效率问题：需要处理的数据量很大，而且在大型系统上，很难获得实时连续的审计数据。模型推理模型推理是指结合攻击脚本推理出入侵行为是否出现；攻击者在攻击一个系统时采用一定的行为程序，这些行为程序构成了某种具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可实时地检测出攻击；用基于模型的推理方法，可为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，系统可检测出非法的用户行为。文件完整性检查文件完整性检查系统检查计算机中自上次检查后文件的变化情况