网络安全22入侵检测系统

入侵检测系统吕延庆mailto:yanqlv@yahoo.com.cn入侵检测系统入侵检测系统NetworkSecurity&Privacy入侵检测系统•计算机安全的三大中心目标是：保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)•其中比较突出的技术有：身份认证与识别，访问控制机制，加密技术，防火墙技术自适应网络安全技术(动态安全技术)和动态安全模型应运而生。典型的就是P2DR模型(如图11-1所示)。静态安全（防御）技术引言入侵检测系统图11-1P2DR模型Policy(策略)(响应)ResponseProtection(防护)(检测)Detection入侵检测系统•入侵检测是–动态安全技术的核心技术之一–是防火墙的合理补充–是安全防御体系的一个重要组成部分入侵检测系统属于比较新的技术，据专家预测，将来可能个人计算机上必备的三大安全软件将为：杀毒软件，防火墙，入侵检测系统。入侵检测系统入侵检测的发展简史最早可追溯到1980年，JamesP.Anderson在一份技术报告中提出审计记录可用于检测计算机误用行为的思想，这可谓是入侵检测的开创性的先河。DorothyE.Denning在1987年的一篇论文[3]中提出了实时入侵检测系统模型L.ToddHeberlien在1990年提出的NSM(NetworkSecurityMonitor)是入侵检测发展史上又一个具有重要意义的里程碑。监视主机监视网络入侵检测系统IDS的作用已知的网络安全系统(防火墙、安全评估系统、加密、身份认证)众多，为什么还要入侵检测系统？关于防火墙–网络边界的设备–自身可以被攻破–对某些攻击保护很弱–不是所有的威胁来自防火墙外部入侵很容易–入侵教程随处可见–各种工具唾手可得入侵检测系统IDS与Firewall联动通过在防火墙中驻留的一个IDSAgent对象，以接收来自IDS的控制消息，然后再增加防火墙的过滤规则，最终实现联动CiscoCIDF(CISL)ISSCheckpoint入侵检测系统一个国产入侵检测系统：系统规则库的选择界面入侵检测系统入侵检测基本原理入侵检测的基本概念入侵企图破坏资源的完整性、保密性、可用性的任何行为，也指违背系统安全策略的任何事件。–入侵行为不仅仅是指来自外部的攻击，同时内部用户的未授权行为也是一个重要的方面–从入侵策略的角度来看，入侵可分为企图进入、冒充其它合法用户、成功闯入、合法用户的泄漏、拒绝服务以及恶意使用等几个方面。检测通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时做出响应。入侵检测系统图11-2入侵检测的一般过程信息收集信息源安全策略数据预处理检测模型检测结果响应处理入侵检测系统信息源是指包含有最原始的入侵行为信息的数据主要是网络、系统的审计数据或原始的网络数据包数据预处理是指将其转化为检测模型所接受的数据格式包括对冗余信息的去除，即数据简约是入侵检测研究领域的关键，也是难点之一检测模型是指根据各种检测算法建立起来的检测分析模型它的输入一般是经过数据预处理后的数据，输出为对数据属性的判断结果数据属性一般是针对数据中包含的入侵信息的断言检测结果即检测模型输出的结果由于单一的检测模型的检测率不理想，往往需要利用多个检测模型进行并行分析处理，然后对这些检测结果进行数据融合处理，以达到满意的效果。安全策略是指根据安全需求设置的策略。响应处理主要是指综合安全策略和检测结果所作出的响应过程包括产生检测报告、通知管理员、断开网络连接或更改防火墙的配置等积极的防御措施入侵检测系统3入侵检测系统分类入侵检测系统的分类有多种，这里主要介绍两种：一种是根据入侵检测系统的输入数据来源的分类–基于主机的入侵检测系统（HIDS）–基于网络的入侵检测系统（NIDS）一种是根据入侵检测系统所采用的技术的分类–异常检测(AnomalyDetection)–误用检测(MisuseDetection)入侵检测系统3.1按数据来源的分类输入数据的来源来看，它可分为：基于主机的入侵检测系统基于网络的入侵检测系统。入侵检测系统1．基于主机的(Host-Based)入侵检测系统基于主机的入侵检测系统(HIDS)通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名(AttackSignature，指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配，检测系统就向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件，并可对入侵事件作出立即反应。它还可针对不同操作系统的特点判断出应用层的入侵事件。入侵检测系统HIDS的优点和不足早期的入侵检测系统大多都是基于主机的IDS，作为入侵检测系统的一大重要类型，它具有着明显的优点：1)能够确定攻击是否成功2)非常适合于加密和交换环境3)近实时的检测和响应4)不需要额外的硬件5)可监视特定的系统行为基于主机的IDS也存在一些不足：会占用主机的系统资源，增加系统负荷，而且针对不同的操作系统必须开发出不同的应用程序，另外，所需配置的IDS数量众多。但是对系统内在的结构没有任何的约束，同时可以利用操作系统本身提供的功能，并结合异常检测分析，更能准确地报告攻击行为。入侵检测系统2.基于网络的(Network-Based)入侵检测系统基于网络的入侵检测系统(NIDS)以原始的网络数据包作为数据源。它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的。其攻击识别模块在进行攻击签名识别时常用的技术有：●模式、表达式或字节码的匹配；●频率或阈值的比较；●事件相关性处理；●异常统计检测。入侵检测系统NIDS的优势和不足基于网络的IDS是目前随网络迅速发展，较之于基于主机的IDS，它有着自身明显的优势：1)攻击者转移证据更困难2)实时检测和应答3)能够检测到未成功的攻击企图4)操作系统无关性5)较低的成本NIDS同样有着一定的不足：它只能监视通过本网段的活动，并且精确度较差；在交换网络环境中难于配置；防欺骗的能力比较差，对于加密环境它就更是无能为力了。入侵检测系统入侵检测系统入侵检测系统3．分布式的入侵检测系统HIDS和NIDS各自都有着自身独到的优势，而且在某些方面是很好的互补。采用这两者结合的入侵检测系统，那将是汲取了各自的长处，又弥补了各自的不足的一种优化设计方案。通常，这样的系统一般为分布式结构，由多个部件组成，它能同时分析来自主机系统的审计数据及来自网络的数据通信流量信息。分布式的IDS将是今后人们研究的重点，它是一种相对完善的体系结构，为日趋复杂的网络环境下的安全策略的实现提供了最佳的解决对策。入侵检测系统入侵检测的分类（2）按照分析方法（检测方法）–异常检测模型（AnomalyDetection):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵–误用检测模型（MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵入侵检测系统异常检测BelowThresholdlevelsExceedThresholdLevelsSystemAuditMetricsProfilerIntrusionNormalActivity异常检测模型入侵检测系统1.前提：入侵是异常活动的子集2.用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围3.过程监控量化比较判定修正4.指标:漏报(falsepositive),错报(falsenegative)异常检测入侵检测系统异常检测如果系统错误地将异常活动定义为入侵，称为误报(falsepositive)；如果系统未能检测出真正的入侵行为则称为漏报(falsenegative)。特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。入侵检测系统AnomalyDetectionactivitymeasures0102030405060708090CPUProcessSizenormalprofileabnormalprobableintrusionRelativelyhighfalsepositiverate-anomaliescanjustbenewnormalactivities.入侵检测系统异常入侵检测方法•统计异常检测•基于特征选择异常检测•基于贝叶斯推理异常检测•基于贝叶斯网络异常检测•基于模式预测异常检测•基于神经网络异常检测•基于贝叶斯聚类异常检测•基于机器学习异常检测•基于数据挖掘异常检测入侵检测系统SystemAuditMetricsPatternMatcherIntrusionNormalActivityNoSignatureMatchSignatureMatch误用检测模型误用检测入侵检测系统1.前提：所有的入侵行为都有可被检测到的特征2.攻击特征库:当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵3.过程监控特征提取匹配判定4.指标错报低漏报高误用检测入侵检测系统误用检测模型如果入侵特征与正常的用户行能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报特点：采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得滥用检测无能为力入侵检测系统MisuseDetectionIntrusionPatternsactivitiespatternmatchingintrusionCan’tdetectnewattacksExample:if(src_ip==dst_ip)then“landattack”入侵检测系统•基于条件概率误用检测•基于专家系统误用检测•基于状态迁移误用检测•基于键盘监控误用检测•基于模型误用检测误用入侵检测方法入侵检测系统snort介绍snort是一个用C语言编写的开放源代码的跨平台、轻量级的网络入侵检测系统（NIDS）。本质上是一个基于libpcap的网络数据包嗅探器和日志记录工具。snort具有实时报警能力，还可以通过命令行进行交互，并对可选的BPF（BerkeleyPacketFilter）命令进行配置。可以安装在一台主机上对整个网络进行监视。入侵检测系统4入侵检测系统模型入侵检测系统是动态安全防御策略的核心技术，比较有影响的入侵检测系统模型有：CIDF模型；Denning的通用入侵检测系统模型。其中，CIDF模型是在对入侵检测系统进行规范化的进程中提出的，也是逐渐被入侵检测领域所采纳的模型；Denning的通用入侵检测系统模型作为入侵检测发展历程中颇具影响力的实例，给入侵检测领域的研究带来了相当重要的启示。现在，很多的入侵检测系统研究原型都是基于这两个模型的，所以有必要对其作一介绍。入侵检测系统4.1入侵检测系统的CIDF模型CIDF模型是由CIDF(CommonIntrusionDetectionFramework)工作组提出的。CIDF()工作组是由TeresaLunt发起的，专门从事对入侵检测系统(IDS)进行标准化的研究机构。它主要研究的是入侵检测系统的通用结构、入侵检测系统各组件间的通信接口问题、通用入侵描述语言(CommonIntrusionSpecificationLanguage，CISL)以及不同入侵检测系统间通信问题等关于入侵检测的规范化问题。入侵检测系统CIDF提出了一个入侵检测系统的通用模型(如图11-5所示)，它将入侵检测系统分为以下几个单元：①事件产生器(EventGenerat