TCSP--入侵检测技术原理•网络入侵的现状•深层防御体系及IDS的作用•IDS的分类方法学•IDS的结构•入侵检测的困惑•第四代入侵检测技术•入侵检测的新发展内容提要网络安全网络安全对应的英文是NetworkSecurity。Security和safety都译为“安全”,但二者其实是有区别的,safety更侧重物理实体上的安全。网络安全领域的研究主要集中在计算机网络。网络安全基本上是一个实践性的技术领域。安全威胁来源内部人员特殊身份人员外部个人和小组(所谓黑客)竞争对手和恐怖组织敌对国家和军事组织自然和不可抗力网络安全范畴网络安全范畴包括的要素:数据:包括网络上传输的数据和端系统中的数据。关系:网络作为交流的重要手段,涉及到通信各方信赖关系的建立与维护,信赖关系就意味着能力和数据访问权力的获取。能力:包括网络系统的传输能力与端系统的能力。网络安全范畴网络安全包含基本方面:数据保护:包括数据的机密性保护和完整性保护,这方面的理论比较完备(加密体制和算法)实现手段也比较完备。(信赖)关系保护:包括身份鉴别与安全的建立、维护信赖关系。基本手段包括加密与协议的安全设计。理论比较完备,实现手段有一定漏洞。能力保护:包括对网络系统的传输功能与端系统的处理功能的保护。这方面的理论基础基本上是实践经验的总结,运用的手段也基本上是试验性的。能力保护相关的工作也是入侵检测系统发挥作用之处。PPDR模型PPDR模型:策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)这是一个螺旋上升的过程,如下图:图一、PPDR模型示意图PPDR模型策略是这个模型的核心,在制定好策略之后,网络安全的其他几个方面就要围绕策略进行。防护是第一步,它的基础是检测与响应的结果。具体包括:安全规章的制定:在安全策略的基础上制定安全细则。系统的安全配置:安装各种必要补丁,并进行仔细配置。安全措施的采用:安装防火墙、IDS、VPN软件或设备等。检测就是弥补防护对于攻击的滞后时间的必要手段。检测作用包括:异常监视:发现系统的异常情况。如不正常的登陆。模式发现:对已知的攻击模式进行发现。响应就是发现攻击企图或者攻击之后,需要系统及时进行反应报告:让管理员知道是否有入侵。记录:记录入侵的各个细节以及系统的反应。反应:进行相应的处理以阻止进一步的入侵。恢复:清除入造成的影响,使系统恢复正常。网络安全事件分类互联网安全事件分类:网页篡改网络蠕虫拒绝服务攻击特罗伊木马安全事件分类网页篡改非法篡改主页是指将网站中的主页更换为黑客所提供的网页。对计算机系统本身不会产生直接的损失,但对电子政务与电子商务等应用来说将被迫终止对外的服务。对政府网站而言,网页的篡改,尤其是含有政治攻击色彩的篡改,会对政府形象造成严重损害。针对网页的篡改,目前国内已有成熟的网页自动保护技术,使用网页自动恢复软件。安全事件分类网络蠕虫网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。它利用互联网上计算机系统的漏洞进入系统,自我复制,并继续向互联网上的其它系统进行传播。它的危害通常有两个方面:蠕虫在进入被攻击的系统后,一旦具有控制系统的能力,就可以使得该系统被他人远程操纵。其危害一是重要系统会出现失密现象,二是会被利用来对其他系统进行攻击。蠕虫的不断蜕变并在网络上的传播,可能导致网络被阻塞的现象发生,从而致使网络瘫痪。网络计算机病毒可以看作是网络蠕虫的特例,其差别仅是需要附着在其他程序上进行传播。安全事件分类拒绝服务攻击拒绝服务攻击是指在互联网上组织多台或大量的计算机针对某一个特定的计算机进行大规模的访问,使得被访问的计算机穷于应付来势凶猛的访问而不能再提供正常的服务。对拒绝服务攻击的处置方法只能通过网络管理部门逐一排查攻击源,并协调各攻击源所在运营商进行清理。安全事件分类特罗伊木马特罗伊木马(简称木马)是一种隐藏在计算机系统中不为用户所知的恶意程序,通常用于潜伏在计算机系统中来与外界连接,并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得,并且该系统也会被外界所控制,也可能会被利用作为攻击其它系统的攻击源。对这类问题的检查,通常需要非常有经验的技术人员才能胜任。我国互联网安全状况信息和网络的安全防护能力差我国现在许多应用网络系统处于不设防状态,存在极大的信息安全风险和隐患。基础信息产业严重依靠国外我国的信息化建设,基本上是依赖国外技术设备装备起来的。我们对其的研发、生产能力很弱,关键部位完全处于受制于人的地位。信息安全管理机构权威性不够国家在信息安全问题上缺乏一个专门的权威性机构。信息安全相关的民间管理机构与国家信息化领导机构之间还没有充分沟通协调。全社会的信息安全意识淡薄信息安全领域在研究开发、产业发展、人才培养、队伍建设等方面和迅速发展的形势极不适应,只是作为信息化的研究分支立项,投人很少,和国外差距越来越远。IDS定义IDS——入侵检测系统入侵检测:对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。入侵检测系统:进行入侵检测的软件与硬件的组合IDS属性经济性时效性安全性可扩展性IDS起源1980年4月,JamesP.Anderson《ComputerSecurityThreatMonitoringandSurveillance》(计算机安全威胁监控与监视)第一次详细阐述了入侵检测的概念计算机系统威胁分类:外部渗透、内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开山之作。IDS起源从1984年到1986年乔治敦大学的DorothyDenningSRI/CSL的PeterNeumann研究出了一个实时入侵检测系统模型—IDES(入侵检测专家系统)。IDS起源1990,加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(NetworkSecurityMonitor)该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS。1994年提出自治代理,以提高IDS的可伸缩性、可维护性、效率与容错性。1998年将信息检索技术应用到入侵检测系统。2000年出现分布式入侵检测系统,是IDS发展史上的一个里程碑。IDS起源IDS的基本原理活动数据源感应器分析器管理器操作员管理员事件警报通告应急安全策略安全策略入侵检测系统原理图•网络入侵的现状•深层防御体系及IDS的作用•IDS的分类方法学•IDS的结构•入侵检测的困惑•第四代入侵检测技术•入侵检测的新发展内容提要一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙的作用防火墙的局限%c1%1c%c1%1cDirc:\InternetRouterFirewallInternetModem防火墙路由器内部网络ISPModemComputerComputerComputerMinicomputer防火墙的局限防火墙的局限据统计,80%的成功攻击来自于防火墙内部!防火墙的局限防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。确保网络的安全,就要对网络内部进行实时的检测,这就需要IDS无时不在的防护!什么是入侵行为入侵行为主要是指对系统资源的非授权使用,它可以造成系统数据的丢失和破坏、可以造成系统拒绝对合法用户服务等危害。什么是入侵检测系统IDS(IntrusionDetectionSystem)就是入侵检测系统,它通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏。什么是入侵检测系统入侵检测系统网络数据包的获取——混杂模式网络数据包的解码——协议分析网络数据包的检查——规则匹配网络数据包的统计——异常检测网络数据包的审查——事件生成监控室=控制中心后门保安=防火墙摄像机=探测引擎CardKey形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断连接、关闭道路(与防火墙联动)。在安全体系中,IDS是唯一一个通过数据和行为模式判断其是否有效的系统,防火墙就象一道门,它可以阻止一类人群的进入,但无法阻止同一类人群中的破坏分子,也不能阻止内部的破坏分子;访问控制系统可以不让低级权限的人做越权工作,但无法保证高级权限的做破坏工作,也无法保证低级权限的人通过非法行为获得高级权限入侵检测系统的作用入侵检测系统的职责IDS系统的两大职责:实时检测和安全审计。实时监测——实时地监视、分析网络中所有的数据报文,发现并实时处理所捕获的数据报文;安全审计——通过对IDS系统记录的网络事件进行统计分析,发现其中的异常现象,得出系统的安全状态,找出所需要的证据。入侵检测系统的具体工作监控网络和系统发现入侵企图或异常现象实时报警主动响应与其它设备联动(防火墙、风险评估系统等)深层次防御体系的组成联动入侵检测防火墙入侵检测防御体系中的作用实时性协议层次应用层表示层会话层传输层IP层数据链层物理层实时准实时事后实时分析所有的数据包,决定是否允许通过监控所有的数据包,判断是否非法,进行相应处理(如阻断或者报警)记录所有的操作以备事后查询为系统提供全方位的保护审计系统深层次防御体系的特点•深度防御可以对整个网络提供不同级别的保护将网络系统划分安全级别并进行相应保护•深度防御可以对入侵破坏行为进行取证IDS和审计系统可以进行电子取证•深度防御可以有效防止蠕虫、病毒的威胁IDS是网络动态防病毒的核心组成•深度防御能够对系统提供最完备的保护从物理层直至应用层都可以得到保护•深度防御不会破坏系统的效率和稳定性针对不同实时和效率要求进行不同保护•深度防御可以识别、防范未知的新攻击方式基于异常分析和行为分析的入侵检测如何选择合适的入侵检测系统•对入侵和攻击的全面检测能力新漏洞及最新的入侵手段(本地化的研发和售后服务)•对抗欺骗的能力防误报及漏报的能力(模式匹配、异常分析和智能分析)•对抗攻击的能力对抗针对IDS的拒绝服务的能力(事件风暴的防御)•报警及阻断能力多种类型的报警及阻断功能可以提供全方位的保护•本身的安全性IDS自身的加密认证及安全措施,恶意代码或数据回传•人机界面方便管理,降低管理人员的负担(多级控制,丰富报表等)•网络入侵的现状•深层防御体系及IDS的作用•IDS的分类方法学•IDS的结构•入侵检测的困惑•第四代入侵检测技术•入侵检测的新发展内容提要IDS分类方法学根据体系结构进行分类根据检测原理进行分类根据系统特征进行分类根据体系结构进行分类集中式:这种结构的IDS可能有多个分布在不同主机上的审计程序,但只有一个中央入侵检测服务器。等级式:定义了若干个分等级的监控区,每个IDS负责一个区,每一级IDS只负责所控区的分析,然后将当地的分析结果传送给上一级。协作式:将中央检测服务器的任务分佩给多个基于主机的IDS,这些IDS不分等级,各司其职,负责监控当地主机的某些活动。根