信息安全原理与技术ch10-入侵检测

信息安全原理与技术郭亚军宋建华李莉清华大学出版社2011-7-20Ch10-入侵检测2第10章入侵检测•主要知识点：--入侵检测概述--入侵检测系统分类--入侵检测系统分析技术2011-7-20Ch10-入侵检测310.1入侵检测概述安全研究的历史给了我们一个有价值的教训——没有100%的安全方案，无论多么安全的方案都可能存在这样或那样的漏洞，不管在网络中加入多少入侵预防措施（如加密、防火墙和认证），通常还是会有一些被人利用而入侵的薄弱环节。2011-7-20Ch10-入侵检测4IDS的用途攻击工具攻击命令攻击机制目标网络网络漏洞目标系统系统漏洞攻击者漏洞扫描评估加固攻击过程实时入侵检测2011-7-20Ch10-入侵检测5•入侵一些试图损害一个资源的完整性、有效性的行为集合。•入侵检测（IntrusionDetection）是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。10.1.1入侵检测基本概念2011-7-20Ch10-入侵检测6•入侵检测系统（IDS）的主要任务–监视、分析用户及系统活动；–系统构造和弱点的审计；–识别反映已知进攻的活动模式并向相关人士报警；–异常行为模式的统计分析；–评估重要系统和数据文件的完整性；–操作系统的审计跟踪管理，并识别用户违反安全策略的行为。2011-7-20Ch10-入侵检测7•入侵检测系统的三个组成部分–提供事件记录流的信息资源–发现入侵事件的分析引擎–对分析引擎的输出做出反应的响应组件2011-7-20Ch10-入侵检测810.1.2入侵检测系统基本模型•IDES模型•IDM模型•公共入侵检测框架CIDF2011-7-20Ch10-入侵检测9IDES模型主体安全监控器对象审计数据系统轮廓攻击状态添加新规则实时信息规则匹配2011-7-20Ch10-入侵检测10改进的IDES模型审计数据源模式匹配器轮廓特征引擎异常检测器策略规则警告/报告产生器2011-7-20Ch10-入侵检测11层次化入侵检测模型（IDM）层次名称解释说明6安全状态（securitystate）网络整体安全情况5威胁（thread）动作产生的结果种类4上下文（context）事件发生所处的环境3主体（subject）事件的发起者2事件（event）日志记录特征性质和表示动作描述1数据（data）操作系统或网络访问日志记录2011-7-20Ch10-入侵检测12公共入侵检测框架CIDF原始事件原始事件原始事件存储事件高级事件响应事件响应单元事件分析器事件数据库事件产生器2011-7-20Ch10-入侵检测1310.2入侵检测系统分类•根据数据源分类–基于主机的入侵检测系统–基于网络的入侵检测系统–分布式入侵检测系统•根据分析引擎分类–异常入侵检测–误用入侵检测2011-7-20Ch10-入侵检测14•从响应的角度分类–报警响应–手工响应–主动响应•根据检测速度分类–实时检测–离线检测2011-7-20Ch10-入侵检测1510.2.1基于主机的入侵检测系统（HIDS）•数据来源–操作系统审计记录（由专门的操作系统机制产生的系统事件记录）–系统日志（由系统程序产生的用于记录系统或应用程序事件的文件，通常以文本文件的方式存放）–基于应用的日志信息–基于目标的对象信息2011-7-20Ch10-入侵检测16•基于主机的IDS的优点–能更准确地确定出攻击是否成功。–能监视特定的系统活动。–基于主机的IDS可以检测到那些基于网络的系统察觉不到的攻击。–由于基于主机的IDS系统安装在企业的各种主机上，它们更加适合于交换的环境和加密的环境。–检测和响应速度接近实时。–花费更加低廉。2011-7-20Ch10-入侵检测1710.2.2基于网络的入侵检测系统（NIDS）•数据来源利用网卡的杂收模式，获得经过本网段的所有数据信息，从而实现获取网络数据的功能。2011-7-20Ch10-入侵检测18•基于网络的IDS的优点–能检测基于主机的系统漏掉的攻击。–攻击者不易转移证据。–实时检测和响应。–可检测未成功的攻击和不良意图。2011-7-20Ch10-入侵检测1910.2.3分布式入侵检测系统（DIDS）•传统的IDS普遍存在的问题–系统的弱点或漏洞分散在网络中各个主机上，这些弱点有可能被入侵者一起用来攻击网络，而仅依靠HIDS或NIDS不能发现更多的入侵行为。–现在的入侵行为表现出相互协作入侵的特点，例如分布式拒绝服务攻击（DDoS）。–入侵检测所需要的数据来源分散化，收集原始的检测数据变得困难，如交换型网络使得监听网络数据包受到限制。–由于网络传输速度加快，网络流量不断增大，所以集中处理原始数据的方式往往造成检测的实时性和有效性大打折扣。2011-7-20Ch10-入侵检测20•DIDS的分布性–数据包过滤的工作由分布在各网络设备（包括联网主机）上的探测代理完成；–探测代理认为可疑的数据包将根据其类型交给专用的分析层设备处理。2011-7-20Ch10-入侵检测21DIDS结构框图DIDSDIDS控制器主机代理主机事件发生器主机监视器LAN代理LAN事件发生器LAN监视器2011-7-20Ch10-入侵检测2210.3入侵检测系统分析技术•异常检测技术•误用检测技术2011-7-20Ch10-入侵检测2310.3.1异常检测技术•也称为基于行为的检测•首先建立起用户的正常使用模式，即知识库•标识出不符合正常模式的行为活动2011-7-20Ch10-入侵检测24•常用的异常检测方法–统计异常检测–基于神经网络的异常检测–基于数据挖掘的异常检测2011-7-20Ch10-入侵检测2510.3.2误用检测技术–也称为基于特征的检测–建立起已知攻击的知识库–判别当前行为活动是否符合已知的攻击模式2011-7-20Ch10-入侵检测26•常用的误用检测方法–基于串匹配的误用检测技术–基于专家系统的误用检测技术–基于状态转换分析的误用检测技术–基于着色Petri网的误用检测技术–其他技术，如生物免疫、基于代理等