搜索
信息安全技术第5讲安全检测技术5.1入侵检测技术与网络入侵检测系统产品5.2漏洞检测技术和微软系统漏洞检测工具MBSA第5讲安全检测技术5.1入侵检测技术与网络入侵检测系统产品传统的操作系统加固技术和防火墙技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应;而入侵检测技术则是动态安全技术的核心技术之一,可以作为防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、安全检测、入侵识别、入侵取证和响应等),提高了信息安全基础结构的完整性。第5讲安全检测技术入侵检测系统(IntrusionDetectionSystem,IDS)是一类专门面向网络入侵的安全监测系统,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,查看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全防线,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。第5讲安全检测技术入侵检测系统主要执行以下任务:1)监视、分析用户及系统活动。2)系统构造和弱点的审计。3)识别反映已知进攻的活动模式并报警。4)异常行为模式的统计分析。5)评估重要系统和数据文件的完整性。6)对操作系统的审计追踪管理,并识别用户违反安全策略的行为。第5讲安全检测技术一个成功的入侵检测系统,不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。同时,它应该是管理和配置简单,使非专业人员能容易地获得网络安全。当然,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,应及时做出响应,包括切断网络连接、记录事件和报警等。第5讲安全检测技术目前,入侵检测系统主要以模式匹配技术为主,并结合异常匹配技术。从实现方式上一般分为两种:基于主机和基于网络,而一个完备的入侵检测系统则一定是基于主机和基于网络这两种方式兼备的分布式系统。另外,能够识别的入侵手段数量的多少、最新入侵手段的更新是否及时也是评价入侵检测系统的关键指标。第5讲安全检测技术利用最新的可适应网络安全技术和P2DR(Policy,Protection,Detection,Response,即策略、保护、探测、反应)安全模型,已经可以深入研究入侵事件、入侵手段本身及被入侵目标的漏洞等。随着P2DR安全模型被广泛认同,入侵检测系统在信息系统安全中占据越来越重要的地位。第5讲安全检测技术1.IDS分类根据检测方法不同分类根据数据源不同分类第5讲安全检测技术(1)根据检测方法不同分类按具体的检测方法,可将入侵检测系统分为基于行为和基于知识两类。第5讲安全检测技术1)基于行为的检测,也称为异常检测。是指根据使用者的行为或资源使用状况的正常程度来判断是否发生入侵,而不依赖具体行为是否出现,即建立被检测系统正常行为的参考库,并通过与当前行为进行比较来寻找偏离参考库的异常行为。对于异常阈值与特征的选择是异常发现技术的关键。例如,通过流量统计分析将异常时间的异常网络流量视为可疑。第5讲安全检测技术异常发现技术的局限是,并非所有的入侵都表现为异常,而且系统的轨迹也难以计算和更新。例如,一般在白天使用计算机的某用户,如果他突然在午夜注册登记,则有可能被认为是入侵者在使用。第5讲安全检测技术2)基于知识的检测,也被称为误用检测。是指运用已知攻击方法,根据已定义好的入侵模式,通过与这些入侵模式是否匹配来判断入侵。入侵模式是入侵过程的特征、条件、排列以及事件间的关系,即具体入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有警戒作用,因为只要部分满足这些入侵迹象就意味着可能有入侵发生。第5讲安全检测技术入侵模式匹配的关键是如何表达入侵的模式,把入侵与正常行为区分开来。入侵模式匹配的优点是误报少,局限是它只能发现已知的攻击,对未知的攻击无能为力。第5讲安全检测技术(2)根据数据源不同分类根据检测系统所依据分析的原始数据不同,可将入侵检测分为来自系统日志和网络数据包两种。入侵检测的早期研究主要集中在对主机系统日志文件的分析上,因为当时的用户对象局限于本地用户。操作系统的日志文件中包含了详细的用户信息和系统调用数据,从中可以分析系统是否被侵入以及侵入者留下的痕迹等审计信息。第5讲安全检测技术随着因特网的普及,用户可随机地从不同客户机上登录,主机间也经常需要交换信息,网络数据包中同样也含有用户信息。这样,就使入侵检测的对象范围扩大至整个网络。此外,还可根据系统运行特性分为实时检测和周期性检测,以及根据检测到入侵行为后是否采取相应措施而分为主动型和被动型等。系统日志网络数据包异常检测误用检测报警报警并做出响应措施实时检测周期性检测检测原理原始数据图5.1两类检测的关系第5讲安全检测技术2.IDS的基本原理由于对安全事件的检测通常包括了大量复杂的步骤,涉及到很多方面,任何单一技术都很难提供完备的检测能力,需要综合多个检测系统以达到尽量完备的检测能力。在根据安全事件报警的标准格式所定义的安全模型中,对一些入侵检测术语进行了规范,包括:第5讲安全检测技术1)数据源(Datasource):入侵检测系统用来检测非授权或不希望的活动的原始信息。通常的数据源包括(但不限于)原始的网络包、操作系统审计日志、应用程序日志以及系统生成的校验和数据等。2)活动(Activity):由传感器或分析器识别出的数据源的实例。例如,网络会话、用户活动和应用事件等。活动既包括极其严重的事件(例如明显的恶意攻击),也包括不太严重的事件(如值得进一步深究的异常用户活动)。第5讲安全检测技术3)传感器(Sensor):从数据源搜集数据的入侵检测构件或模块。数据搜集的频率由具体提供的入侵检测系统决定。4)事件(Event):在数据源中发生且被分析器检测到的,可能导致警报传输的行为。例如,10s内的3次失败登录,可能表示强行登录尝试攻击。第5讲安全检测技术5)分析器(Analyzer):入侵检测的构件或进程,它分析传感器搜集的数据,这些数据反映了一些非授权的或不希望的活动,以及安全管理员感兴趣的安全事件的迹象。在很多现有的入侵检测系统中,将传感器和分析器作为同一构件的不同部分。6)安全策略(Securitypolicy):预定义的正式文档声明,定义哪些服务可以通过被监控的网段,还包括(但不限于)哪些主机不允许外部网络访问,从而支持组织的安全需求。第5讲安全检测技术7)报警(Alert):由分析器发给管理器的消息,表明一个事件被检测到。报警通常包含被检测到的异常活动的有关信息和事件细节。当一个入侵正在发生或者试图发生时,IDS系统将发布一个Alert信息通知系统管理员。如果控制台与IDS系统同在一台机器,Alert信息将显示在监视器上,也可能伴随着声音提示。如果是远程控制台,那么Alert将通过IDS系统内置方法(通常是加密的)、SNMP(简单网络管理协议,通常不加密)、E-mail、SMS(短信息)或者以上几种方法的混合方式传递给管理员。第5讲安全检测技术8)管理器(Manager):入侵检测的构件或进程,操作员通过它可以管理入侵检测系统的各种构件。典型管理功能通常包括:传感器配置、分析器配置、事件通告管理、数据合并及报告等。9)通告(Notification):入侵检测系统管理器用来使操作员知晓事件发生的方法。在很多入侵检测系统中,尽管有许多其他的通告技术可以采用,但通常是通过在入侵检测系统管理器屏幕上显示一个彩色图标、发送电子邮件或寻呼机消息,或者发送SNMP的陷门来实现。第5讲安全检测技术10)管理员(Administrator):负责维护和管理一个组织机构的网络信息系统安全的人员。管理员与负责安装配置入侵检测系统及监视入侵检测系统输出的人员,可能是一人也可能是多人;他可能属于网络/系统管理组,也可能是一个单独的职位。11)操作员(Operator):入侵检测系统管理器的主要使用者。操作员监视入侵检测系统的输出,并负责发起或建议进一步的行动。第5讲安全检测技术12)响应(Response):对一个事件所采取的响应动作。响应可以由入侵检测系统体系结构中的一些实体自动执行,也可由人工发起。基本的响应包括:向操作员发送通告、将活动记入日志、记录描述事件特征的原始数据、中断网络连接或用户应用程序会话过程,或者改变网络或系统的访问控制等。13)特征表示(Signature):分析器用于标识安全管理员感兴趣的活动的规则。表示符代表了入侵检测系统的检测机制。第5讲安全检测技术14)入侵检测系统(IDS):由一个或多个传感器、分析器、管理器组成,可自动分析系统活动,是检测安全事件的工具或系统。第5讲安全检测技术一个简单的入侵检测系统的示意图如图5.2所示。攻击模式库配置系统库入侵分析引擎响应处理安全控制主机系统数据采集系统操作审计记录/协议数据报警图5.2简单的入侵检测系统示意图第5讲安全检测技术系统可以分成数据采集、入侵分析引擎、管理配置、响应处理和相关的辅助模块等。1)数据采集模块:为入侵分析引擎模块提供分析用的数据。一股有操作系统的审计日志、应用程序日志、系统生成的校验和数据,以及网络数据包等。2)入侵分析引擎模块:依据辅助模块提供的信息(如攻击模式),按照一定的算法对收集到的数据进行分析,从中判断是否有入侵行为出现并产生入侵报警。该模块是入侵检测系统的核心模块。第5讲安全检测技术3)管理配置模块:它的功能是为其他模块提供配置服务,是入侵检测系统中模块与用户的接口。4)响应处理模块:当发生入侵后,预先为系统提供紧急的措施,如关闭网络服务、中断网络连接及启动备份系统等。5)辅助模块:协助入侵分析引擎模块工作,为它提供相应的信息,如攻击模式库、系统配置库和安全控制策略等。第5讲安全检测技术3.入侵检测系统的结构由于IDS的物理实现方式不同,即系统组成的结构不同,按检测的监控位置划分,入侵检测系统可分为基于主机、基于网络和分布式三类。第5讲安全检测技术(1)基于主机的入侵检测系统这是早期的入侵检测系统结构,系统(如图5.2所示)的检测目标主要是主机系统和系统本地用户。检测原理是在每一个需要保护的主机上运行一个代理程序,根据主机的审计数据和系统的日志发现可疑事件。检测系统可以运行在被检测的主机或单独的主机上,从而实现监控。第5讲安全检测技术这种类型的系统依赖于审计数据或系统日志的准确性和完整性,以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵,就会出现问题。特别是在网络环境下,单独依靠主机审计信息进行入侵检测,将难以适应网络安全的需求。第5讲安全检测技术基于主机的入侵检测系统可以精确地判断入侵事件,并可对入侵事件立即进行反应;还可针对不同操作系统的特点来判断应用层的入侵事件。但一般与操作系统和应用层入侵事件的结合过于紧密,通用性较差,并且IDS的分析过程会占用宝贵的主机资源。另外,对基于网络的攻击不敏感,特别是假冒IP的入侵。第5讲安全检测技术由于服务器需要与因特网交互作用,因此在各服务器上应当安装基于主机的入侵检测软件,并将检测结果及时向管理员报告。基于主机的入侵检测系统没有带宽的限制,它们密切监视系统日志,能识别运行代理程序的机器上受到的攻击。基于主机的入侵检测系统提供了基于网络系统不能提供的精细功能,包括二进制完整性检查、系统日志分析和非法进程关闭等功能,并能根据受保护站点的实际情况进行针对性的定制,使其工作效果明显,误警率相当低。第5讲安全检测技术(2)基于网络的入侵检测系统随着计算机网络技术的发展,单独依靠主机审计信息进行入侵检测将难以适应网络安全的需求。因此,人们提出了基于网络的入侵检测系统体系结构。这种检测系统使用原始的网络分组数据包作为进行攻击分析的数据源,通常利用一个网络适配器来实时监视和分析所有通过网络进行传输的通