搜索
入侵检测系统IntrusionDetectionSystem(IDS)20071.概述2.入侵检测方法3.入侵检测系统的设计原理4.入侵检测响应机制5.入侵检测标准化工作6.snort分析7.展望概述•入侵检测方法•入侵检测系统的设计原理•入侵检测响应机制•入侵检测标准化工作•其它•展望IDS存在与发展的必然性一、网络攻击造成的破坏性和损失日益严重二、网络安全威胁日益增长三、单纯的防火墙无法防范复杂多变的攻击IDS的作用为什么需要IDS单一防护产品的弱点防御方法和防御策略的有限性动态多变的网络环境来自外部和内部的威胁为什么需要IDS关于防火墙网络边界的设备,只能抵挡外部來的入侵行为自身存在弱点,也可能被攻破对某些攻击保护很弱即使透过防火墙的保护,合法的使用者仍会非法地使用系统,甚至提升自己的权限仅能拒绝非法的连接請求,但是对于入侵者的攻击行为仍一无所知为什么需要IDS入侵很容易入侵教程随处可见各种工具唾手可得网络安全工具的特点优点局限性防火墙可简化网络管理,产品成熟无法处理网络内部的攻击IDS实时监控网络安全状态误警率高,缓慢攻击,新的攻击模式Scanner完全主动式安全工具,能够了解网络现有的安全水平,简单可操作,帮助系统管理员和安全服务人员解决实际问题,并不能真正了解网络上即时发生的攻击VPN保护公网上的内部通信可视为防火墙上的一个漏洞防病毒针对文件与邮件,产品成熟功能单一传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全入侵检测(IntrusionDetection)是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象入侵检测IntrusionDetection入侵检测的定义对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性入侵检测系统:进行入侵检测的软件与硬件的组合(IDS:IntrusionDetectionSystem)IDS基本结构入侵检测系统包括三个功能部件(1)信息收集(2)分析引擎(3)响应部件信息搜集信息收集入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息尽可能扩大检测范围从一个源来的信息有可能看不出疑点信息收集入侵检测的效果很大程度上依赖于收集信息的可靠性和正确性要保证用来检测网络系统的软件的完整性特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息信息收集的来源系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为系统或网络的日志文件攻击者常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容显然,对用户活动来讲,不正常的或不期望的行为就是:重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等系统目录和文件的异常变化网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号入侵者经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件分析引擎分析引擎模式匹配统计分析完整性分析,往往用于事后分析模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为一般来讲,一种攻击模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)统计分析统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)测量属性的平均值和偏差被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生完整性分析完整性分析主要关注某个文件或对象是否被更改包括文件和目录的内容及属性在发现被更改的、被安装木马的应用程序方面特别有效响应部件响应动作简单报警切断连接封锁用户改变文件属性最强烈反应:回击攻击者入侵检测系统性能关键参数误报(falsepositive):如果系统错误地将异常活动定义为入侵漏报(falsenegative):如果系统未能检测出真正的入侵行为入侵检测系统的分类(1)按照分析方法(检测方法)异常检测模型(AnomalyDetection):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵误用检测模型(MisuseDetection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵入侵检测系统的分类网络IDS:网络IDS(NIDS)通常以非破坏方式使用。这种设备能够捕获LAN区域中的信息流并试着将实时信息流与已知的攻击签名进行对照。主机IDS:主机入侵检测系统(HIDS)是一种用于监控单个主机上的活动的软件应用。监控方法包括验证操作系统与应用调用及检查日志文件、文件系统信息与网络连接。•混合型的两类IDS监测软件网络IDS侦测速度快隐蔽性好视野更宽较少的监测器占资源少主机IDS视野集中易于用户自定义保护更加周密对网络流量不敏感1.概述2.入侵检测方法入侵检测系统的设计原理4.入侵检测响应机制5.入侵检测标准化工作6.其它7.展望1.概述2.入侵检测方法3.入侵检测系统的设计原理入侵检测响应机制5.入侵检测标准化工作6.其它7.展望制订响应策略应考虑的要素系统用户:入侵检测系统用户可以分为网络安全专家或管理员、系统管理员、安全调查员。这三类人员对系统的使用目的、方式和熟悉程度不同,必须区别对待操作运行环境:入侵检测系统提供的信息形式依赖其运行环境系统目标:为用户提供关键数据和业务的系统,需要部分地提供主动响应机制规则或法令的需求:在某些军事环境里,允许采取主动防御甚至攻击技术来对付入侵行为响应策略弹出窗口报警E-mail通知切断TCP连接执行自定义程序与其他安全产品交互FirewallSNMPTrap压制调速1、撤消连接2、回避3、隔离SYN/ACKRESETs自动响应•一个高级的网络节点在使用“压制调速”技术的情况下,可以采用路由器把攻击者引导到一个经过特殊装备的系统上,这种系统被成为蜜罐蜜罐是一种欺骗手段,它可以用于错误地诱导攻击者,也可以用于收集攻击信息,以改进防御能力蜜罐能采集的信息量由自身能提供的手段以及攻击行为数量决定蜜罐1.概述2.入侵检测方法3.入侵检测系统的设计原理4.入侵检测响应机制入侵检测标准化工作6.其它7.展望IDS标准化要求随着网络规模的扩大,网络入侵的方式、类型、特征各不相同,入侵的活动变得复杂而又难以捉摸网络的安全要求IDS之间能够相互协作,能够与访问控制、应急、入侵追踪等系统交换信息,形成一个整体有效的安全保障系统需要一个标准来加以指导,系统之间要有一个约定CIDF(TheCommonIntrusionDetectionFramework)CIDF早期由美国国防部高级研究计划局赞助研究,现在由CIDF工作组负责,这是一个开放组织。实际上CIDF已经成为一个开放的共享的资源CIDF是一套规范,它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议符合CIDF规范的IDS可以共享检测信息,相互通信,协同工作,还可以与其它系统配合实施统一的配置响应和恢复策略CIDF的主要作用在于集成各种IDS,使之协同工作,实现各IDS之间的组件重用,所以CIDF也是构建分布式IDS的基础CIDF规格文档CIDF的规格文档由四部分组成,分别为:体系结构:阐述了一个标准的IDS的通用模型规范语言:定义了一个用来描述各种检测信息的标准语言内部通讯:定义了IDS组件之间进行通信的标准协议程序接口:提供了一整套标准的应用程序接口通信层次CIDF将各组件之间的通信划分为三个层次结构:GIDO层(GIDOlayer)、消息层(Messagelayer)和传输层(NegotiatedTransportlayer)其中传输层不属于CIDF规范,它可以采用很多种现有的传输机制来实现消息层负责对传输的信息进行加密认证,然后将其可靠地从源传输到目的地,消息层不关心传输的内容,它只负责建立一个可靠的传输通道GIDO层负责对传输信息的格式化,正是因为有了GIDO这种统一的信息表达格式,才使得各个IDS之间的互操作成为可能CISL(ACommonIntrusionSpecificationLanguage)CIDF的规范语言文档定义了一个公共入侵标准语言CISL,各IDS使用统一的CISL来表示原始事件信息、分析结果和响应指令,从而建立了IDS之间信息共享的基础CISL是CIDF的最核心也是最重要的内容匹配服务法(匹配器)CIDF的匹配服务为CIDF各组件之间的相互识别、定位和信息共享提供了一个标准的统一的机制匹配器的实现是基于轻量目录访问协议(LDAP)的,每个组件通过目录服务注册,并公告它能够产生或能够处理的GIDO,这样组件就被分类存放,其它组件就可以方便地查找到那些它们需要通信的组件目录中还可以存放组件的公共密钥,从而实现对组件接收和发送GIDO时的身份认证匹配器构成通信模块:实现客户端(可为任何一个CIDF组件)与匹配代理之间的通信协议匹配代理:一个任务是处理从远端组件到它的客户端的输入请求,另一个任务是处理从它的客户端到远端组件的输出请求认证和授权模块:使一个组件能够鉴别其它组件,使客户端与匹配代理之间能够相互鉴别客户端缓冲区:使客户端能够对最近建立的一些关联信息进行缓冲存储CIDF程序接口CIDF的程序接口文档描述了用于GIDO编解码以及传输的标准应用程序接口(以下简称为API),它包括以下几部分内容GIDO编码和解码API(GIDOEncoding/DecodingAPISpecification)消息层API(MessageLayerAPISpecification)GIDO动态追加API(GIDOAddendumAPI)签名API(SignatureAPI)顶层CIDF的API(Top-LevelCIDFAPI)每类API均包含数据结构定义、函数定义和错误代码定义等CIDF的应用目前CIDF还没有成为正式的标准,也没有一个商业IDS产品完全遵循该规范,但各种IDS的结构模型具有很大的相似性,各厂商都在按照CIDF进行信息交换的标准化工作,有些产品已经可以部分地支持CIDF可以预测,随着分布式IDS的发展,各种IDS互操作和协同工作的迫切需要,各种IDS产品必须遵循统一的框架结构,CIDF将成为事实上的IDS的工业标准产品免费SnortSHADOW产品商业CyberCopMonitor,NAIDragonSensor,EnterasyseTrustID,CANetProwler,SymantecN