搜索
信息安全实验北京邮电大学信息安全中心武斌本次课程内容(入侵检测)入侵检测概述入侵检测系统的原理入侵检测系统的分类入侵检测系统的部署Snort简介本次课程内容(入侵检测)入侵检测概述入侵检测系统的原理入侵检测系统的分类入侵检测系统的部署Snort简介IDS的历史IDS:intrusiondetectionsystem,入侵检测系统:概念的诞生:1980年4月,JamesP.Anderson为美国空军做了题为《计算机安全威胁监控与监视》的技术报告,第一次详细阐述了入侵检测的概念,将威胁分为外部渗透、内部渗透和不法行为三种;模型的发展:1984-1986年,DorothyDenning和PeterNeumann研究出了一个实时入侵检测系统,取名为:IDES(入侵检测专家系统);里程碑的产生:1990年,加州大学的L.T.Heberlein等人开发出了NSM(networksecuritymonitor)。该系统第一次直接将网络流作为审计数据的来源;从此入侵检测系统发展史形成了两大阵营:基于网络的IDS和基于主机的IDS。入侵检测即是对入侵行为的发觉入侵检测系统是入侵检测的软件与硬件的有机组合入侵检测系统是处于防火墙之后对网络活动的实时监控入侵检测系统是不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动入侵检测的概念内网Internet入侵检测的定义实时监控非法入侵的过程示意图报警日志记录攻击检测记录入侵过程重新配置防火墙路由器内部入侵入侵检测记录终止入侵入侵检测系统的响应策略当事件出现时显示攻击的特征信息重新配置防火墙阻塞特定的TCP连接邮件,传真,电话提示管理员启动其它程序来阻止攻击SNMP陷阱生成报告入侵检测发挥的作用从不知到有知从被动到主动从事后到事前从预警到保障入侵检测发挥的作用从不知到有知9从不知到有知技术层面:对具体的安全技术人员,可以利用IDS做为工具来发现安全问题、解决问题。入侵检测发挥的作用从被动到主动10从被动到主动管理层面:对安全管理人员来说,是可以把IDS作为其日常管理上的有效手段。入侵检测发挥的作用从事后到事前11领导层面:对安全主管领导来说,是可以把IDS做为把握全局一种有效的方法,目的是提高安全效能。从事后到事前入侵检测发挥的作用从预警到保障12意识层面:对政府或者大的行业来说,是可以通过IDS来建立一套完善的网络预警与响应体系,减小安全风险。从预警到保障IDS&FIREWALL相辅相成,在网络安全解决方案中承担不同的角色。发现(detect)审计(audit)保护(Protect)FWIDS检测来自外部和内部的入侵行为和资源滥用在关键边界点进行访问控制攻击检测更新迅速,实时的发现和阻断IDS和扫描器的关系IDS和扫描器都是简化管理员的工作,发现网络中的问题扫描器是完全主动式安全工具,能够了解网络现有的安全水平IDS是相对被动式安全工具,能够了解网络中即时发生的攻击小结:入侵检测系统的功能监控用户和系统的活动查找非法用户和合法用户的越权操作检测系统配置的正确性和安全漏洞评估关键系统和数据的完整性识别攻击的活动模式并向网管人员报警对用户的非正常活动进行统计分析,发现入侵行为的规律操作系统审计跟踪管理,识别违反政策的用户活动检查系统程序和数据的一致性与正确性本次课程内容(入侵检测)入侵检测概述入侵检测系统的原理入侵检测系统的分类入侵检测系统的部署Snort简介IDS基本结构探测器控制台探测器简单地说,入侵检测系统包括三个功能部件:信息收集信息分析结果处理信息收集入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息尽可能扩大检测范围从一个源收集的信息有可能看不出疑点入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。信息收集的来源系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为系统或网络的日志文件黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。显然,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。系统目录和文件的异常变化网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。入侵者经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。信息分析模式匹配协议分析统计分析完整性分析(往往用于事后分析)模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。一般来讲,一种攻击模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。协议分析协议分析充分利用了网络协议的高度有序性,使用这些知识快速检测某个攻击特征的存在。因为系统在每一层上都沿着协议栈向上解码,因此可以使用所有当前已知的协议信息,来排除所有不属于这一个协议结构的攻击。协议分析FrameHeaderIPDatagramHeaderICMP/UDP/TCPHeaderFrameDataAreaIPDataProtocolDataInterfaceLayerInternetLayerTransportLayer命令解析解析器是一个命令解释程序,入侵检测引擎包括了多种不同的命令语法解析器,因此,它能对不同的高层协议——如Telnet、FTP、HTTP、SMTP、SNMP、DNS等的用户命令进行详细的分析。命令解析器具有读取攻击串及其所有可能的变形,并发掘其本质含义的能力。这样,在攻击特征库中只需要一个特征,就能检测这一攻击所有可能的变形。解析器在发掘出命令的真实含义后,将给恶意命令做好标记,主机将会在这些包到达操作系统、应用程序之前丢弃它们。命令解析的典型例子第一步——直接跳到第13个字节,并读取2个字节的协议标识。如果值是0800,则说明这个以太网帧的数据域携带的是IP包,基于协议解码的入侵检测利用这一信息指示第二步的检测工作。第二步——跳到第24个字节处读取1字节的第四层协议标识。如果读取到的值是06,则说明这个IP帧的数据域携带的是TCP包,入侵检测利用这一信息指示第三步的检测工作。第三步——跳到第35个字节处读取一对端口号。如果有一个端口号是0080,则说明这个TCP帧的数据域携带的是HTTP包,基于协议解码的入侵检测利用这一信息指示第四步的检测工作。第四步——让解析器从第55个字节开始读取URL。URL串将被提交给HTTP解析器,在它被允许提交给Web服务器前,由HTTP解析器来分析它是否可能会做攻击行为。统计分析统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。一个攻击检测实例老版本的Sendmail漏洞利用$telnetmail.victim.com25WIZshell或者DEBUG#直接获得rootshell!简单的匹配检查每个packet是否包含:“WIZ”|“DEBUG”检查端口号缩小匹配范围Port25:{“WIZ”|“DEBUG”}深入决策树只判断客户端发送部分Port25:{Client-sends:“WIZ”|Client-sends:“DEBUG”}本次课程内容(入侵检测)入侵检测概述入侵检测系统的原理入侵检测系统的分类入侵检测系统的部署Snort简介入侵检测的分类1按照分析方法(检测方法)异常检测模型(AnomalyDetection):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时,即被认为是入侵。误用检测模型(MisuseDetection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。基于异常的入侵检测异常检测,也称为基于行为的入侵检测,以系统、网络、用户或进程的正常行为建立轮廓模型(即正常行为模式),将与之偏离较大的行为解释成入侵。该方法基于如下的假设:入侵会引起用户或系统行为的异常。异常检测方法具有检测系统中未知攻击的能力,由于新攻击方法总是不断出现,因此异常检测技术一直较受重视,产生了大量的异常检测技术。基于异常的入侵检测(1)统计分析:依据系统中特征变量的历史数据建立统计模型,并运用该模型对特征变量未来的取值进行预测和检测偏离。系统中的特征变量有用户登录失败次数、CPU和I/O利用率、文件访问数及访问出错率、网络连接数、击键频率、事件间的时间间隔等。(a)均值与标准偏差模型以单个特征变量为检测对象,假定特征变量满足正态分布,根据该特征变量的历史数据统计出分布参数(均值、标准偏差),并依此设定信任区间。在检测过程中,若特征变量的取值超出信任区间,则认为发生异常。(b)多元模型以多个特征变量为检测对象,分析多个特征变量间的相关性,是均值与标准偏差模型的扩展,不仅能检测到单个特征变量值的偏离,还能检测到特征变量间关系的偏离。(c)Markov过程模型将每种类型的事件定义为系统的一个状态,用状态转换矩阵来表示状态的变化,若对应于所发生事件的状态转移概率较小,则该事件可能为异常事件。(d)时间序列模型。将事件计数与资源消耗根据时间排列成序列,如果某一新事件在相应时间发生的概率较低,则该事件可能为入侵。基于异常的入侵检测(2)基于数据挖掘的检测方法数据挖掘是一种利用数学算法,在大量数据中提取隐含在其中且潜在有用的信息和知识的过程。入侵检测过程也是利用所采集的大量数据信息,如主机系统日志、审计记录和网络数据包等,对其进行分析以发现入侵或异常的过程。数据挖掘算法有多种:关联分析方法主要分析事件记录中数据项间隐含的关联关系,形成关联规则;序列分析方法主要分析事件记录间的相关性,形成事件记录的序列模式;聚类分析识别事件记录的内在特性,将事件记录分组以构成相似类,并导出事件记录的分布规律。(3)其他检测方法其他的异常检测方法有基于规则的方法、人工免疫法、基于机器学习的检测方法和基于神经网络的检测方法等。基于异常的入侵检测思想:任何正常人的行为有一定的规律需要考虑的问题:选择哪些数据来表现用户的行为;通过以上数据如何有效地表示用户的行为,主要在于学习和检测方法的不同;考虑学习过程的时间长短、用户行为的时效性等问题。异常检测的性能如果系统错误地将正常活动定义为入侵,称为误报(falsepositive);如果系统未能检测出真正的入侵行为则称为漏报(falsenegative)。特点:异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵。同时,系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源。基于误用的入侵检测思想:主要是通过某种方式预先定义入侵行为,然后监视系统,从中找出符合预先定义规则的入侵行为。误用信号需要对入侵的特征、环境