搜索
网络与信息安全网络与信息安全网络与信息安全网络与信息安全教程教程教程教程网络与信息安全网络与信息安全网络与信息安全网络与信息安全教程教程教程教程第第第第第第第第九讲九讲九讲九讲九讲九讲九讲九讲入侵检测分析入侵检测分析入侵检测分析入侵检测分析入侵检测分析入侵检测分析入侵检测分析入侵检测分析主讲主讲主讲主讲主讲主讲主讲主讲段云所段云所段云所段云所段云所段云所段云所段云所副教授副教授副教授副教授副教授副教授副教授副教授北京大学计算机系北京大学计算机系北京大学计算机系北京大学计算机系北京大学计算机系北京大学计算机系北京大学计算机系北京大学计算机系doyes@pku.edu.cndoyes@pku.edu.cn入侵检测技术IDS1定义入侵检测是通过从计算机网络或系统中的若干关键点收集信息并对其进行分析从中发现网络或系统中是否有违反安全策略的行为和遭到入侵的迹象的一种安全技术入侵检测是防火墙的合理补充帮助系统对付网络攻击扩展了系统管理员的安全管理能力包括安全审计监视进攻识别和响应提高了信息安全基础结构的完整性入侵检测被认为是防火墙之后的第二道安全闸门在不影响网络性能的情况下能对网络进行监测从而提供对内部攻击外部攻击和误操作的实时保护入侵检测也是保障系统动态安全的核心技术之一IDS通常执行以下任务♦监视分析用户及系统活动♦系统构造和弱点的审计♦识别反映已知进攻的活动模式并报警♦异常行为模式的统计分析♦评估重要系统和数据文件的完整性♦操作系统的审计跟踪管理并识别用户违反安全策略的行为传统安全防范技术的不足♦传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术对网络环境下日新月异的攻击手段缺乏主动的反应♦入侵检测技术通过对入侵行为的过程与特征的研究使安全系统对入侵事件和入侵过程能做出实时响应2IDS的分类♦IDS一般从实现方式上分为两种基于主机的IDS和基于网络的IDS一个完备的入侵检测系统IDS一定是基于主机和基于网络两种方式兼备的分布式系统♦不管使用哪一种工作方式都用不同的方式使用了上述两种分析技术都需要查找攻击签名AttackSignature所谓攻击签名就是用一种特定的方式来表示已知的攻击方式2.1基于网络的IDS基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信一旦检测到攻击IDS应答模块通过通知报警以及中断连接等方式来对攻击作出反应基于网络的入侵检测系统的主要优点有1成本低2攻击者转移证据很困难(3)实时检测和应答一旦发生恶意访问或攻击基于网络的IDS检测可以随时发现它们因此能够更快地作出反应从而将入侵活动对系统的破坏减到最低(4)能够检测未成功的攻击企图♦(5)操作系统独立基于网络的IDS并不依赖主机的操作系统作为检测资源而基于主机的系统需要特定的操作系统才能发挥作用2.2.基于主机的IDS基于主机的IDS一般监视WindowsNT上的系统事件安全日志以及UNIX环境中的syslog文件一旦发现这些文件发生任何变化IDS将比较新的日志记录与攻击签名以发现它们是否匹配如果匹配的话检测系统就向管理员发出入侵报警并且发出采取相应的行动基于主机的IDS的主要优势有♦(1)非常适用于加密和交换环境♦(2)接近实时的检测和应答♦(3)不需要额外的硬件2.3两种入侵检测技术的比较♦如果攻击不经过网络基于网络的IDS无法检测到只能通过使用基于主机的IDS来检测♦基于网络的IDS通过检查所有的包首标header来进行检测而基于主机的IDS并不查看包首标许多基于IP的拒绝服务攻击和碎片攻击只能通过查看它们通过网络传输时的包首标才能识别♦基于网络的IDS可以研究负载的内容查找特定攻击中使用的命令或语法这类攻击可以被实时检查包序列的IDS迅速识别而基于主机的系统无法看到负载因此也无法识别嵌入式的负载攻击2.4两种类型IDS的结合♦在新一代的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来提供集成化的攻击签名检测报告和事件关联功能♦利用最新的可适应网络安全技术和P2DRPolicyProtectionDetectionResponse安全模型可以深入地研究入侵事件入侵手段本身及被入侵目标的漏洞等♦入侵检测技术从理论的分析方式上可分为两种相异的分析技术(1)异常发现技术(2)模式发现技术目前IDS主要以模式发现技术为主并结合异常发现技术3.深入了解入侵检测技术一个成功的入侵检测系统不但可使系统管理员时刻了解网络系统包括程序文件和硬件设备等的任何变更还能给网络安全策略的制订提供指南更为重要的一点是它应该管理配置简单从而使非专业人员非常容易地获得网络安全而且入侵检测的规模还应根据网络威胁系统构造和安全需求的改变而改变入侵检测系统在发现入侵后会及时作出响应包括切断网络连接记录事件和报警等3.1信息收集入侵检测的第一步是信息收集收集内容包括系统网络数据及用户活动的状态和行为而且需要在计算机网络系统中的若干不同关键点不同网段和不同主机收集信息这除了尽可能扩大检测范围的因素外还有一个重要的因素就是从一个源来的信息有可能看不出疑点但是从几个信息源的不一致性却是可疑行为或入侵的最好标识入侵检测很大程度上依赖于收集信息的可靠性和正确性因此很有必要只利用所知道的真正的和精确的软件来报告这些信息因为黑客经常替换软件以搞混和移走这些信息例如替换被程序调用的子程序库和其它工具黑客对系统的修改可能使系统功能失常并看起来跟正常的一样例如unix系统的PS指令可以被替换为一个不显示侵入过程的指令或者是编辑器被替换成一个读取不同于指定文件的文件这就需要保证用来检测网络系统的软件的完整性特别是入侵检测系统软件本身应具有相当强的坚固性防止被篡改而收集到错误的信息入侵检测利用的信息一般来自以下四个方面♦系统和网络日志文件♦目录和文件中的不期望的改变♦程序执行中的不期望行为♦物理形式的入侵信息3.1.1.系统和网络日志文件黑客经常在系统日志文件中留下他们的踪迹因此充分利用系统和网络日志文件信息是检测入侵的必要条件日志中包含发生在系统和网络上的不寻常和不期望活动的证据这些证据可以指出有人正在入侵或已成功入侵了系统通过查看日志文件能够发现成功的入侵或入侵企图并很快地启动相应的应急响应程序日志文件中记录了各种行为类型每种类型又包含不同的信息例如记录“用户活动”类型的日志就包含登录用户ID改变用户对文件的访问授权和认证信息等内容显然对用户活动来讲不正常的或不期望的行为就是重复登录失败登录到不期望的位置以及非授权的企图访问重要文件等等3.1.2.目录和文件中非正常的改变网络环境中的文件系统包含很多软件和数据文件包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标目录和文件中的不期望的改变包括修改创建和删除特别是那些正常情况下限制访问的很可能就是一种入侵产生的指示和信号入侵者经常替换修改和破坏他们获得访问权的系统上的文件同时为了隐藏系统中他们的表现及活动痕迹都会尽力去替换系统程序或修改系统日志文件3.1.3.程序执行中的不期望行为网络系统上的程序执行一般包括操作系统网络服务用户起动的程序和特定目的的应用例如数据库服务器每个在系统上执行的程序由一到多个进程来实现每个进程执行在具有不同权限的环境中这种环境控制着进程可访问的系统资源程序和数据文件等一个进程的执行行为由它运行时执行的操作来表现操作执行的方式不同它利用的系统资源也就不同操作包括计算文件传输设备和其它进程以及与网络间其它进程的通讯一个进程出现了不期望的行为可能表明黑客正在入侵你的系统黑客可能会将程序或服务的运行分解从而导致它失败或者是以非用户或管理员意图的方式操作3.1.4.物理形式的入侵信息物理入侵包括两个方面的内容一是未授权的对网络硬件连接二是对物理资源的未授权访问黑客会想方设法去突破网络的周边防卫如果他们能够在物理上访问内部网就能安装他们自己的设备和软件依此黑客就可以知道网上的由用户加上去的不安全未授权设备然后利用这些设备访问网络例如用户在家里可能安装Modem以访问远程办公室与此同时黑客正在利用自动工具来识别在公共电话线上的Modem如果一拨号访问流量经过了这些自动工具那么这一拨号访问就成为了威胁网络安全的后门黑客就会利用这个后门来访问内部网从而越过了内部网络原有的防护措施然后捕获网络流量进而攻击其它系统并偷取敏感的私有信息等等3.2信号分析对上述四类收集到的有关系统网络数据及用户活动的状态和行为等信息一般通过三种技术手段进行分析模式匹配统计分析和完整性分析其中前两种方法用于实时的入侵检测而完整性分析则用于事后分析3.2.1.模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较从而发现违背安全策略的行为该过程可以很简单如通过字符串匹配以寻找一个简单的条目或指令也可以很复杂如利用正规的数学表达式来表示安全状态的变化一般来讲一种进攻模式可以用一个过程如执行一条指令或一个输出如获得权限来表示该方法的一大优点是只需收集相关的数据集合显著减少系统负担且技术已相当成熟它与病毒防火墙采用的方法一样检测准确率和效率都相当高但是该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法不能检测到从未出现过的黑客攻击手段3.2.2.统计分析统计分析方法首先给系统对象如用户文件目录和设备等创建一个统计描述统计正常使用时的一些测量属性如访问次数操作失败次数和延时等测量属性的平均值将被用来与网络系统的行为进行比较任何观察值在正常值范围之外时就认为有入侵发生例如统计分析可能标识一个不正常行为因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录其优点是可检测到未知的入侵和更为复杂的入侵.该法的缺点是误报漏报率高且不适应用户正常行为的突然改变具体的统计分析方法如基于专家系统的基于模型推理的和基于神经网络的分析方法目前正处于研究热点和迅速发展之中3.2.3完整性分析完整性分析主要关注某个文件或对象是否被更改这经常包括文件和目录的内容及属性它在发现被更改的被特络伊化的应用程序方面特别有效完整性分析利用强有力的加密机制称为消息摘要函数例如MD5它能识别哪怕是微小的变化其优点是不管模式匹配方法和统计分析方法能否发现入侵只要是成功的攻击导致了文件或其它对象的任何改变它都能够发现缺点是一般以批处理方式实现不用于实时响应尽管如此完整性检测方法还应该是网络安全产品的必要手段之一例如可以在每一天的某个特定时间内开启完整性分析模块对网络系统进行全面地扫描检查典型产品ISSRealSecure(WinNT)AxentNetproler(WinNT)CiscoNetRanger(Unix)DOENFR(Unix)作业1.基于主机和基于网络的入侵检测个有何优缺点如何应用2试述入侵检测信号分析的原理