搜索
入侵检测技术原理•网络入侵的现状•IDS的概念和作用•IDS的分类方法学•IDS的结构和具体应用•入侵检测的困惑与反入侵检测技术•入侵检测的瓶颈和解决方法•入侵检测的标准化和最新发展内容提要什么是入侵?入侵行为主要是指对信息系统资源的非授权使用,它可以造成系统数据的丢失和破坏、可以造成系统拒绝对合法用户服务等危害。总体安全形势入侵来源分析内外勾结特殊身份人员外部个人和小组(所谓黑客)竞争对手和恐怖组织敌对国家和军事组织内部人员80%15%招致入侵的主要原因越来越多的安全漏洞为入侵提供了机会!网络入侵技术发展趋势•网络入侵的现状•IDS的概念和作用•IDS的分类方法学•IDS的结构和具体应用•入侵检测的困惑与反入侵检测技术•入侵检测的瓶颈和解决方法•入侵检测的标准化和最新发展内容提要IDS定义什么是入侵检测?对指向计算机网络资源的各种攻击企图、攻击行为或者攻击结果进行监视和识别的过程。IDS定义什么是入侵检测系统?IDS(IntrusionDetectionSystem),是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。(ICSA入侵检测系统论坛)是一套监控和识别计算机系统或网络系统中发生的事件,根据规则进行入侵检测和响应的软件系统或软件与硬件组合的系统。•1980年,JamesAnderson最早提出入侵检测和安全威胁的概念;•1984-1986年,Dorothy.E.Denning和PeterNeumann首次给出了一个实时入侵检测系统通用模型——IDES(入侵检测专家系统),并将入侵检测作为一种新的安全防御措施提出;•1988年,MorrisInternet蠕虫事件导致了许多基于主机的IDS的开发研制,如IDES、Haystack等;•1990年,L.T.Heberlein等人开发出了第一个基于网络的IDS——NSM(NetworkSecurityMonitor),宣告入侵检测系统两大阵营正式形成:基于网络的IDS和基于主机的IDS;•90年代以后,不断有新的思想提出,如将信息检索、人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS;•1999年,出现商业化产品,如CiscoSecureIDS(收购NetRanger),ISSRealSecure等;•2000年出现分布式入侵检测系统,是IDS发展史上的一个里程碑…IDS发展历史大事记IDS的基本原理活动被保护对象感应器分析器管理器操作员管理员事件警报通告查看安全策略入侵检测系统原理图安全策略应急处理IDS的工作机制网络数据包的获取——混杂模式网络数据包的解码——协议分析网络数据包的检查——特征(规则)匹配/误用检测网络数据包的统计——异常检测网络数据包的审查——事件生成网络数据包的处理——告警和响应入侵检测名词释义•Promiscuous混杂模式•把网卡设置为接收所有的网络数据包,而不管数据包的目的地址是否是自己•Misuse误用•基于误用检测的IDS会收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵•Signatures特征•基于误用检测的IDS的核心,用于描述攻击方法,IDS根据攻击特征产生事件触发•Anomaly异常•基于异常检测的IDS会构造一个正常活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时,IDS就会告警。已经安装了防火墙,为什么还需要IDS?防火墙的作用一种高级访问控制设备,置于不同网络安全域之间,它通过相关的安全策略来控制(允许、拒绝、监视、记录)进出网络的访问行为。两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙的局限(1)来自内部用户的攻击WEB服务器内部攻击者内部攻击者攻击者攻击包没有经过防火墙,防火墙无能为力AttackcodeAttackcodeInternetRouterFirewallInternetModem防火墙路由器内部网络ISPModemComputerComputerComputerMinicomputer防火墙的局限(2)绕过防火墙的攻击Attackcode攻击包没有经过防火墙,防火墙无能为力%c1%1c防火墙根据访问控制规则,判断为合法访问而将数据包放行低版本的IIS将%c1%1c解析为dirc:\并执行该命令unicodeattack数据驱动型攻击防火墙的局限(3)防火墙的局限(4)要确保网络的安全,就要对网络访问行为进行实时监控,这就需要IDS无时不在的保护!•防火墙不能防止通向站点的后门。•防火墙不能防范利用服务器漏洞或通信协议的缺陷进行的攻击。•防火墙一般不提供对网络滥用的防范。•防火墙不能防范内部用户主动泄密的行为。•防火墙策略配置不当或自身漏洞会导致安全隐患。防火墙就象一道门,它可以阻止一类人群的进入,但无法阻止混在同一类人群中的破坏分子,也不能阻止内部的破坏分子;访问控制系统可以不让低级权限的人做越权工作,但无法保证高级权限的做破坏工作,也无法保证低级权限的人通过非法行为获得高级权限;在安全体系中,IDS是唯一一个通过数据和行为模式判断其是否有效的系统,它是防火墙和访问控制机制的合理补充,可看作是防火墙之后的第二道安全闸门,实时收集和分析计算机系统和网络中的信息,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括监视、进攻识别、响应和安全审计),提高了信息安全基础结构的完整性。入侵检测系统的作用监控室=控制中心后门保安=防火墙摄像机=IDS探测引擎CardKey形象地说,IDS就是一台智能的X光摄像机,它能够捕获并记录网络上的所有数据,分析并提炼出可疑的、异常的内容,尤其是它能够洞察一些巧妙的伪装,抓住内容的实质,此外,它还能够对入侵行为自动地进行响应:报警、阻断连接、关闭道路(与防火墙联动)。入侵检测系统的作用入侵检测系统的主要职责IDS系统的两大职责:实时监测和安全审计。实时监测——实时地监视网络中所有的数据报文以及系统中的访问行为,识别已知的攻击行为,分析异常访问行为,发现并实时处理来自内部和外部的攻击事件和越权访问;安全审计——通过对IDS系统记录的违反安全策略的用户活动进行统计分析,并得出网络系统的安全状态,并对重要事件进行记录和还原,为事后追查提供必要的证据。入侵检测在安全防御体系中的地位监测系统访问联动入侵检测防火墙入侵检测在安全防御体系中的地位实时性协议层次应用层表示层会话层传输层IP层数据链层物理层实时准实时事后实时分析所有的数据包,决定是否允许通过监控所有的数据包,判断是否非法,进行相应处理(如阻断或者报警)记录所有的操作以备事后查询为系统提供全方位的保护安全审计提交事件信息提交事件信息入侵检测与P2DR模型安全目标:防护时间检测时间+响应时间在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证、加密等手段)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的响应及更新策略,然后循环(螺旋式上升过程),逐渐将系统调整到“最安全”和“风险最低”的状态。策略是这个模型的核心,在制定好策略之后,网络安全的其他几个方面就要围绕策略进行。防护是第一步,目的在于阻止侵入系统或延迟侵入系统的时间,为检测和反应提供更多的时间,它也是检测与响应的结果。主要包括:安全规章的制定:在安全策略的基础上制定安全细则。系统的安全配置:安装各种必要补丁,并进行仔细配置。安全措施的采用:安装防火墙、IDS、VPN软件或设备等。检测就是弥补防护对于攻击的滞后时间的必要手段。主要包括:异常监视:发现系统的异常情况。如不正常的登陆。模式发现:对已知的攻击模式进行发现。响应就是发现安全隐患或者攻击企图之后,及时作出反应。主要包括:报告:让管理员知道是否有危险。记录:记录入侵的各个细节以及系统的反应。反应:进行相应的处理以阻止进一步的入侵,如修复漏洞,增加防护措施。恢复:清除入造成的影响,使系统恢复正常。入侵检测与P2DR模型如何选择合适的入侵检测系统•对入侵和攻击的全面检测能力新漏洞及最新的入侵手段(本地化的研发和售后服务)•对抗欺骗的能力防误报及漏报的能力(模式匹配、异常分析和智能分析)•对抗攻击的能力对抗针对IDS的拒绝服务的能力(事件风暴的防御)•报警及阻断能力多种类型的报警及阻断功能可以提供全方位的保护•本身的安全性IDS自身的加密认证及安全措施,恶意代码或数据回传•人机界面方便管理,降低管理人员的负担(多级控制,丰富报表等)•网络入侵的现状•IDS的概念和作用•IDS的分类方法学•IDS的结构和具体应用•入侵检测的困惑与反入侵检测技术•入侵检测的瓶颈和解决方法•入侵检测的标准化和最新发展内容提要IDS分类方法学•根据体系结构进行分类•根据检测原理进行分类•根据实现方式进行分类根据体系结构进行分类•集中式IDS引擎和控制中心在一个系统之上,不能远距离操作,只能在现场进行操作。优点是结构简单,不会因为通讯而影响网络带宽和泄密。•分布式IDS引擎和控制中心在两个系统之上,通过网络通讯,可以远距离查看和操作。目前的大多数IDS系统都是分布式的。优点不是必需在现场操作,可以用一个控制中心管理多个引擎,可以统一进行策略编辑和下发,可以统一查看和集中分析上报的事件,可以通过分开事件显示和查看的功能提高处理速度等等。根据体系结构进行分类分布式IDS:集权式:这种结构的IDS可能有多个分布在不同主机上的审计程序,但只有一个中央入侵检测服务器。等级式:定义了若干个分等级的监控区,每个IDS负责一个区,每一级IDS只负责所控区的分析,然后将当地的分析结果传送给上一级。协作式:将中央检测服务器的任务分配给多个基于主机的IDS,这些IDS不分等级,各司其职,负责监控当地主机的某些活动。根据检测原理进行分类误用检测(MisuseDetection):这种检测方法是收集非正常操作(入侵)行为的特征,建立相关的特征库;在后续的检测过程中,将收集到的数据与特征库中的特征代码进行比较,得出是否有入侵行为。异常检测(AnomalyDetection):这种检测方法是首先总结正常操作应该具有的特征;在得出正常操作的模型之后,对后续的操作进行监视,一旦发现偏离正常统计学意义上的操作模式,即进行报警。误用检测1.前提:所有的入侵行为都有可被检测到的特征2.攻击特征库:当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵3.过程监控特征提取匹配判定4.指标:误报低、漏报高用户行为模式匹配入侵特征知识库发现入侵!误用检测特点如果入侵特征与正常的用户行为匹配,则系统会发生误报;如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报;攻击特征的细微变化,会使得误用检测无能为力。误用检测实例入侵检测引擎捕获到一个协议数据包,提交给协议分析模块,发现这是一个IP-TCP-Http的协议数据,将其提交给HTTP协议的数据分析模块。1.Http请求如下Get/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir+C:2.入侵检测系统存在如下特征条件alerttcp$EXTERNAL_NETany-$HTTP_SERVERS80(msg:WEB-IISscriptsaccess;flow:to_server;flags:A+;urlcontent:/scripts/;nocase;classtype:web-application-activity;sid:1287;rev:3;)3.匹配成功,表明这是一个攻击数据包。4.数据分析模块很快通知引擎管理模块,引擎管理模块根据用户的配置作出相应的策略