入侵檢測與安全審計

1、第四章 入侵檢測與安全審計,主要內(nèi)容,入侵檢測系統(tǒng)基礎(chǔ) 入侵檢測分析方法 入侵檢測系統(tǒng)實例 安全審計,概念 功能 IDS的基本結(jié)構(gòu) 分類,基于異常的檢測技術(shù) 基于誤用的檢測技術(shù),分布式入侵檢測系統(tǒng) 典型的入侵檢測系統(tǒng)snort IDS的應(yīng)用,1.1 入侵檢測基礎(chǔ),考慮： 如何防火墻被攻破了，該怎么來保護系統(tǒng)的安全？,入侵檢測（ID） 是對系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機密性、完整性和可用性。 通過對數(shù)據(jù)包的分析，從數(shù)據(jù)流中過濾出可疑數(shù)據(jù)包，通過與已知的入侵方式進行比較，確定入侵是否發(fā)生以及入侵的類型并進行報警。 入侵檢測系統(tǒng)（IDS） 為完成入

2、侵檢測任務(wù)而設(shè)計的計算機系統(tǒng)稱為入侵檢測系統(tǒng)（Intrusion Detection System, IDS），這是防火墻之后的第二道安全閘門。,功能 發(fā)現(xiàn)和制止來自系統(tǒng)內(nèi)部/外部的攻擊，迅速采取保護措施 記錄入侵行為的證據(jù)，動態(tài)調(diào)整安全策略 特點 經(jīng)濟性：IDS不能妨礙系統(tǒng)的正常運行。 時效性：及時地發(fā)現(xiàn)入侵行為。 安全性：保證自身安全。 可擴展性：機制與數(shù)據(jù)分離；體系結(jié)構(gòu)的可擴展性。,工作流程,數(shù)據(jù)提取模塊 為系統(tǒng)提供數(shù)據(jù)，經(jīng)過簡單的處理后提交給數(shù)據(jù)分析模塊。 數(shù)據(jù)分析模塊 兩方面功能：一是分析數(shù)據(jù)提取模塊搜集到的數(shù)據(jù)；二是對數(shù)據(jù)庫保存的數(shù)據(jù)做定期的統(tǒng)計分析。 結(jié)果處理模塊 作用在于告警與

3、反應(yīng)。 事件數(shù)據(jù)庫 記錄分析結(jié)果，并記錄下所有的時間，用于以后的分析與檢查。,1.2 IDS分類,基于主機的入侵檢測系統(tǒng) 用于保護單臺主機不受網(wǎng)絡(luò)攻擊行為的侵害，需要安裝在被保護的主機上。,根據(jù)檢測對象的不同，基于主機的IDS可分為： 網(wǎng)絡(luò)連接檢測 對試圖進入該主機的數(shù)據(jù)流進行檢測，分析確定是否有入侵行為。 主機文件檢測 檢測主機上的各種相關(guān)文件，發(fā)現(xiàn)入侵行為或入侵企圖。,優(yōu)點 檢測準確度較高 可以檢測到?jīng)]有明顯行為特征的入侵 成本較低 不會因網(wǎng)絡(luò)流量影響性能 適合加密和交換環(huán)境,缺點 實時性較差 無法檢測數(shù)據(jù)包的全部 檢測效果取決于日志系統(tǒng) 占用主機資源 隱蔽性較差,基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

4、作為一個獨立的個體放置在被保護的網(wǎng)絡(luò)上，使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進行攻擊分析的數(shù)據(jù)源。,優(yōu)點 可以提供實時的網(wǎng)絡(luò)行為檢測 可以同時保護多臺網(wǎng)絡(luò)主機 具有良好的隱蔽性 有效保護入侵證據(jù) 不影響被保護主機的性能,缺點 防止入侵欺騙的能力較差 在交換式網(wǎng)絡(luò)環(huán)境中難以配置 檢測性能受硬件條件限制 不能處理加密后的數(shù)據(jù),1.4 蜜罐技術(shù),原理 蜜罐系統(tǒng)是一個包含漏洞的誘騙系統(tǒng)，它通過模擬一個或多個易攻擊的主機，給攻擊者提供一個容易攻擊的目標。 用來觀測黑客如何探測并最終入侵系統(tǒng)； 用于拖延攻擊者對真正目標的攻擊。,Honeypot模型,2.1 基于異常的入侵檢測,也稱為基于行為的檢測技術(shù)，在總結(jié)出的

5、正常行為規(guī)律基礎(chǔ)上，檢查入侵和濫用行為特征與其之間的差異，以此來判斷是否有入侵行為。 基于統(tǒng)計學方法的異常檢測系統(tǒng) 使用統(tǒng)計學的方法來學習和檢測用戶的行為。 預(yù)測模式生成法 利用動態(tài)的規(guī)則集來檢測入侵。 神經(jīng)網(wǎng)絡(luò)方法 將神經(jīng)網(wǎng)絡(luò)用于對系統(tǒng)和用戶行為的學習。,2.1.1 基于統(tǒng)計學的異常檢測系統(tǒng),步驟： Step1：收集樣本 對系統(tǒng)和用戶的行為按照一定的時間間隔進行采樣，樣本的內(nèi)容包括每個會話的登錄、退出情況，CPU和內(nèi)存的占用情況，硬盤等存儲介質(zhì)的使用情況等。 Step2：分析樣本 對每次采集到的樣本進行計算，得出一系列的參數(shù)變量來對這些行為進行描述，從而產(chǎn)生行為輪廓，將每次采樣后得到的行為輪

6、廓與以后輪廓進行合并，最終得到系統(tǒng)和用戶的正常行為輪廓。,Step3：檢查入侵行為 通過將當前采集到的行為輪廓與正常行為輪廓相比較，來檢測是否存在網(wǎng)絡(luò)入侵行為。 算法： M1,M2,Mn表示行為輪廓中的特征變量，S1,S2,Sn分別表示各個變量的異常性測量值，Si的值越大就表示異常性越大。ai表示變量Mi的權(quán)重值。將各個異常性測量值的平均加權(quán)求和得出特征值 然后選取閾值，例如選擇標準偏差 其中均值取=M/n，如果S值超出了d的范圍就認為異常。,2.1.2 預(yù)測模式生成法,利用動態(tài)的規(guī)則集來檢測入侵，這些規(guī)則是由系統(tǒng)的歸納引擎，根據(jù)已發(fā)生的事件的情況來預(yù)測將來發(fā)生的事件的概率來產(chǎn)生的，歸納引擎為

7、每一種事件設(shè)置可能發(fā)生的概率。 歸納出來的規(guī)律一般為： E1,Ek: -(Ek+1,P(Ek+1),(En,P(En) 例如： 規(guī)則A,B: -(C,50%),(D, 30%),(E,15%),(F,5%)，如果AB已經(jīng)發(fā)生，而F多次發(fā)生，遠遠大于5%，或者發(fā)生了事件G，都認為是異常行為。,優(yōu)點 能檢測出傳統(tǒng)方法難以檢測的異?；顒?； 具有很強的適應(yīng)變化的能力； 容易檢測到企圖在學習階段訓(xùn)練系統(tǒng)中的入侵者； 實時性高。,缺點 對于不在規(guī)則庫中的入侵將會漏判。,2.1.3 神經(jīng)網(wǎng)絡(luò)方法,神經(jīng)網(wǎng)絡(luò) 是一種算法，通過學習已有的輸入/輸出信息對，抽象出其內(nèi)在的關(guān)系，然后通過歸納得到新的輸入/輸出對。 在

8、IDS中的應(yīng)用 在IDS中，系統(tǒng)把用戶當前輸入的命令和用戶已經(jīng)執(zhí)行的W個命令傳遞給神經(jīng)網(wǎng)絡(luò)，如果神經(jīng)網(wǎng)絡(luò)通過預(yù)測得到的命令與該用戶隨后輸入的命令不一致，則在某種程度上表明用戶的行為與其輪廓框架產(chǎn)生了偏離，即說明用戶行為異常。,優(yōu)點 能更好的處理原始數(shù)據(jù)的隨即特性，不需要對原是數(shù)據(jù)做任何統(tǒng)計假設(shè)； 有較好的抗干擾能力。,缺點 網(wǎng)絡(luò)拓撲結(jié)構(gòu)以及各元素的權(quán)重很難確定； 命令窗口W的大小也難以選擇,2.2 基于誤用的入侵檢測,也稱為基于知識的檢測技術(shù)或者模式匹配檢測技術(shù)，通過某種方式預(yù)先定義入侵行為，然后監(jiān)視系統(tǒng)的運行，并從中找出符合預(yù)先定義規(guī)則的入侵行為。 分類： 專家系統(tǒng) 模式匹配 模型推理 按鍵

9、監(jiān)視,2.2.1 專家系統(tǒng)誤用檢測,將安全專家的關(guān)于網(wǎng)絡(luò)入侵行為的知識表示成一些類似If-Then的規(guī)則，并以這些規(guī)則為基礎(chǔ)建立專家知識庫。規(guī)則中If部分說明形成網(wǎng)絡(luò)入侵的必需條件，Then部分說明發(fā)現(xiàn)入侵后要實施的操作。 缺點： 全面性問題 效率問題,2.2.2 模式匹配誤用檢測,也叫特征分析誤用檢測，指將入侵行為表示成一個事件序列或者轉(zhuǎn)換成某種可以直接在網(wǎng)絡(luò)數(shù)據(jù)包審計記錄中找到的數(shù)據(jù)樣板，而不進行規(guī)則轉(zhuǎn)換，這樣可以直接在審計記錄中尋找相匹配的已知入侵模式。 缺點： 必須及時更新知識庫 兼容性較差 建立和維護知識庫的工作量都相當大,2.2.3 模型推理誤用檢測,根據(jù)網(wǎng)絡(luò)入侵行為的特征建立起誤

10、用證據(jù)模型，以此推理判斷當前的用戶行為是否是誤用行為。 這種檢測方法需要建立： 攻擊劇本數(shù)據(jù)庫：每個攻擊劇本是一個攻擊行為序 列，IDS根據(jù)攻擊劇本的子集來判斷系統(tǒng)當前是否收 到入侵。 預(yù)警器：根據(jù)當前的活動模型，產(chǎn)生下一步行為。 規(guī)劃者：負責判斷所假設(shè)的行為如何反應(yīng)在審計追 蹤數(shù)據(jù)上，以及如何將假設(shè)的行為與系統(tǒng)相關(guān)的審 計追蹤相匹配。,2.2.4 按鍵監(jiān)視誤用檢測,假設(shè)每種網(wǎng)絡(luò)入侵行為都具有特定的擊鍵序列模式，IDS監(jiān)視各個用戶的擊鍵模式，并將該模式與已有的入侵擊鍵模式相匹配，如果匹配成功就認為是網(wǎng)絡(luò)入侵行為。 缺點： 不能對擊鍵進行語義分析，容易遭受欺騙； 缺少可靠的方法來捕獲用戶的擊鍵行

11、為； 無法檢測利用程序進行自動攻擊的行為。,2.3 異常檢測與誤用檢測的對比,收集先驗知識 系統(tǒng)配置 檢測結(jié)果,3.1 通用入侵檢測模型,1987年，Denning D.E.提出了一個通用入侵檢測模型：,3.2 分布式入侵檢測系統(tǒng),系統(tǒng)的構(gòu)成是開放的、分布式的，多個功能構(gòu)件分工合作 能夠檢測分布式的攻擊,3.3 典型入侵檢測系統(tǒng)Snort,Snort 是一個強大的輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)。 它具有實時數(shù)據(jù)流量分析和日志IP 網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進行協(xié)議分析，對內(nèi)容進行搜索/匹配。 它能夠檢測各種不同的攻擊方式，對攻擊進行實時報警。 Snort 可以運行在*nix/Win32 平臺上。,工作原

12、理 在基于共享網(wǎng)絡(luò)上檢測原始的網(wǎng)絡(luò)傳輸數(shù)據(jù)，通過分析捕獲的數(shù)據(jù)包，匹配入侵行為的特征或者從網(wǎng)絡(luò)活動的角度檢測異常行為，進而采取入侵的預(yù)警或記錄。屬于基于誤用的檢測。,初始化,解析命令行,解析規(guī)則庫,打開libpcap接口,獲取數(shù)據(jù)包,解析數(shù)據(jù)包,生成二維鏈表,與二維鏈表某 節(jié)點匹配？,響應(yīng) （報警、日志）,是,否,Snort工作流程圖,3.4 入侵檢測系統(tǒng)的應(yīng)用,實例,4. 安全審計基礎(chǔ),為何我們需要安全審計？ 一旦我們采用的防御體系被突破怎么辦？至少我們必須知道系統(tǒng)是怎樣遭到攻擊的，這樣才能恢復(fù)系統(tǒng)，此外我們還要知道系統(tǒng)存在什么漏洞，如何能使系統(tǒng)在受到攻擊時有所察覺，如何獲取攻擊者留下的證據(jù)

13、。網(wǎng)絡(luò)安全審計的概念就是在這樣的需求下被提出的，它相當于飛機上使用的“黑匣子”。 網(wǎng)絡(luò)安全審計系統(tǒng)能幫助我們對網(wǎng)絡(luò)安全進行實時監(jiān)控，及時發(fā)現(xiàn)整個網(wǎng)絡(luò)上的動態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為，忠實記錄網(wǎng)絡(luò)上發(fā)生的一切，提供取證手段。它是保證網(wǎng)絡(luò)安全十分重要的一種手段。,CC標準中的網(wǎng)絡(luò)安全審計功能定義 網(wǎng)絡(luò)安全審計包括識別、記錄、存儲、分析與安全相關(guān)行為有關(guān)的信息。在CC標準中對網(wǎng)絡(luò)審計定義了一套完整的功能，有： 安全審計自動響應(yīng) 安全審計數(shù)據(jù)生成 安全審計分析 安全審計瀏覽 安全審計事件存儲 安全審計事件選擇,4.1 安全審計系統(tǒng),網(wǎng)絡(luò)安全審計層次結(jié)構(gòu)圖,4.3 參考標準,ISO 7498-2 ISO7498-2描述了如何確保站點安全和實施有效的審計計劃。它是第一篇論述如何系統(tǒng)的達到網(wǎng)絡(luò)安全的文章，大家可以從：WWW.ISO.CH獲得更多的ISO標準的消息。 英國標準7799（BS 7799） BS 7799文檔的標題是A Code of Practice For