第8章入侵檢測(cè)技術(shù)(new)

1、入侵檢測(cè)技術(shù) 1 1 入侵檢測(cè)概述入侵檢測(cè)概述 2 2 入侵檢測(cè)的分類(lèi)入侵檢測(cè)的分類(lèi) 3 3 入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù)入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù) 4 4 入侵檢測(cè)系統(tǒng)示例入侵檢測(cè)系統(tǒng)示例 1.1 1.1 安全現(xiàn)狀安全現(xiàn)狀日益頻繁的網(wǎng)絡(luò)攻擊 1.1 1.1 安全現(xiàn)狀安全現(xiàn)狀網(wǎng)絡(luò)攻擊者的目標(biāo) 1.2 IDS 1.2 IDS的產(chǎn)生的產(chǎn)生 1.3 1.3 入侵檢測(cè)的步驟入侵檢測(cè)的步驟l 信息收集l 數(shù)據(jù)分析l 響應(yīng)1.3 1.3 入侵檢測(cè)的步驟入侵檢測(cè)的步驟l 信息收集 系統(tǒng)日志 文件異常改變 程序執(zhí)行異常行為 物理形式入侵信息 日志文件中記錄了各種行為類(lèi)型及每種類(lèi)型的不同信息 包含很多具有重要信息的文件和

2、私有數(shù)據(jù)文件 包括OS、網(wǎng)絡(luò)服務(wù)用戶啟動(dòng)的程序等，每個(gè)執(zhí)行的程序由一個(gè)或多個(gè)進(jìn)程來(lái)實(shí)現(xiàn) 未授權(quán)的網(wǎng)絡(luò)硬件連接；對(duì)物理資源的未授權(quán)訪問(wèn)1.3 1.3 入侵檢測(cè)的入侵檢測(cè)的步驟步驟l 數(shù)據(jù)分析模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵，和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)異常行為。優(yōu)點(diǎn)：只收集相關(guān)數(shù)據(jù)集合，減少系統(tǒng)負(fù)擔(dān)，技術(shù)成熟，檢測(cè)準(zhǔn)確率高弱點(diǎn)：無(wú)法檢測(cè)到從未出現(xiàn)過(guò)的攻擊手段，需要不斷升級(jí)首先為系統(tǒng)對(duì)象創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性，測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，觀察值在正常值范圍之外時(shí)，則認(rèn)為有入侵行為優(yōu)點(diǎn)：可檢測(cè)到未知的入侵和更為復(fù)雜的入侵缺點(diǎn)：誤報(bào)、

3、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，包括文件和目錄的?nèi)容及屬性優(yōu)點(diǎn)：能發(fā)現(xiàn)攻擊導(dǎo)致文件或其他對(duì)象的改變?nèi)秉c(diǎn)：不能實(shí)時(shí)響應(yīng)，一般以批處理方式實(shí)現(xiàn) 模式匹配 統(tǒng)計(jì)分析 完整性分析1.3 1.3 入侵檢測(cè)的步驟入侵檢測(cè)的步驟l 響應(yīng) 將分析結(jié)果記錄在日志文件中，并產(chǎn)生相應(yīng)的報(bào)告 觸發(fā)警報(bào)，如在系統(tǒng)管理員的桌面上產(chǎn)生一個(gè)告警標(biāo)記位，向系統(tǒng)管理員發(fā)送傳呼或電子郵件等等 修改入侵檢測(cè)系統(tǒng)或目標(biāo)系統(tǒng)，如終止進(jìn)程、切斷攻擊者的網(wǎng)絡(luò)連接，或更改防火墻配置等 1.4 1.4 入侵檢測(cè)的原理入侵檢測(cè)的原理知識(shí)庫(kù)歷史行為特定行為模式 其它當(dāng)前系統(tǒng)/用戶行為入侵檢測(cè)分析引擎入侵？ 記錄

4、證據(jù) 響應(yīng)處理 數(shù)據(jù)提取安全策略是否發(fā)現(xiàn)異常企圖或異?，F(xiàn)象監(jiān)控分析系統(tǒng)和用戶的活動(dòng)記錄報(bào)警和 響應(yīng) 1.5 1.5 IDS的系統(tǒng)結(jié)構(gòu)1.6 1.6 入侵檢測(cè)系統(tǒng)功能結(jié)構(gòu)入侵檢測(cè)系統(tǒng)功能結(jié)構(gòu) 應(yīng)用于不同的網(wǎng)絡(luò)環(huán)境和不同的系統(tǒng)安全策略，入侵檢應(yīng)用于不同的網(wǎng)絡(luò)環(huán)境和不同的系統(tǒng)安全策略，入侵檢測(cè)系統(tǒng)在具體實(shí)現(xiàn)上也有所不同。從功能結(jié)構(gòu)上看，入侵測(cè)系統(tǒng)在具體實(shí)現(xiàn)上也有所不同。從功能結(jié)構(gòu)上看，入侵檢測(cè)系統(tǒng)主要有數(shù)據(jù)源、分析引擎和響應(yīng)三個(gè)功能模塊，檢測(cè)系統(tǒng)主要有數(shù)據(jù)源、分析引擎和響應(yīng)三個(gè)功能模塊，三者相輔相成。三者相輔相成。數(shù)據(jù)源分析引擎 響應(yīng) 1 1 入侵檢測(cè)概述入侵檢測(cè)概述 2 2 入侵檢測(cè)的分類(lèi)入侵檢測(cè)

5、的分類(lèi) 3 3 入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù)入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù) 4 4 入侵檢測(cè)系統(tǒng)示例入侵檢測(cè)系統(tǒng)示例2 2 入侵檢測(cè)的分類(lèi)入侵檢測(cè)的分類(lèi)一、什么是入侵檢測(cè) 由于功能和體系結(jié)構(gòu)的復(fù)雜性，入侵檢測(cè)按照不同的標(biāo)準(zhǔn)有多種分類(lèi)方法?？煞謩e從所采用的技術(shù)、所監(jiān)測(cè)的對(duì)象、系統(tǒng)的工作方式三個(gè)方面來(lái)描述入侵檢測(cè)系統(tǒng)的類(lèi)型。2 2 入侵檢測(cè)的分類(lèi)入侵檢測(cè)的分類(lèi)一、什么是入侵檢測(cè)根據(jù)所采用的技術(shù)可以分為：異常檢測(cè)和誤用檢測(cè)1）異常檢測(cè)：異常檢測(cè)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)，建立正?；顒?dòng)的“活動(dòng)簡(jiǎn)檔”，當(dāng)前主體的活動(dòng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為可能是“入侵”行為。優(yōu)點(diǎn) 可以檢測(cè)未知的攻擊缺點(diǎn) 適應(yīng)性不強(qiáng) 誤報(bào)較

6、多 系統(tǒng)審計(jì)用戶輪廓正常行為閾值入侵比較低于閾值超過(guò)閾值2 2 入侵檢測(cè)的分類(lèi)入侵檢測(cè)的分類(lèi)一、什么是入侵檢測(cè)2）誤用檢測(cè)：運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過(guò)判斷這些入侵模式是否出現(xiàn)來(lái)檢測(cè)。攻擊模式庫(kù)正常行為判斷？入侵不匹配匹配優(yōu)點(diǎn) 算法簡(jiǎn)單 系統(tǒng)開(kāi)銷(xiāo)小 準(zhǔn)確率高 效率高缺點(diǎn) 只能檢測(cè)出已知攻擊 模式庫(kù)要不斷更新 2 2、入侵檢測(cè)的分類(lèi)、入侵檢測(cè)的分類(lèi)一、什么是入侵檢測(cè)根據(jù)所監(jiān)測(cè)的對(duì)象來(lái)分：1）基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）：安裝在主機(jī)上，監(jiān)視與分析主機(jī)的審計(jì)記錄，從而對(duì)可疑的主體活動(dòng)采取相應(yīng)的措施。收集被監(jiān)控主機(jī)信息數(shù)據(jù)入侵響應(yīng)分析Agent收集的主機(jī)信息數(shù)據(jù)管理IDS規(guī)則庫(kù)

7、統(tǒng)一管理Agentl 審計(jì)數(shù)據(jù)的獲取直接檢測(cè)：從數(shù)據(jù)產(chǎn)生或從屬的對(duì)象直接獲取數(shù)據(jù)例如：CPU負(fù)荷、網(wǎng)絡(luò)服務(wù)等間接檢測(cè)：從反應(yīng)被監(jiān)測(cè)對(duì)象行為的某個(gè)源獲得數(shù)據(jù)例如：系統(tǒng)日志、應(yīng)用程序日志等l 優(yōu)點(diǎn)確定攻擊是否成功監(jiān)測(cè)特定的系統(tǒng)活動(dòng)比NIDS具有更低的誤報(bào)率不要求額外的硬件設(shè)備近于實(shí)時(shí)的檢測(cè)和響應(yīng)花費(fèi)更加低廉適用加密的和交換的環(huán)境l 缺點(diǎn)運(yùn)行占用被監(jiān)測(cè)系統(tǒng)的資源不能監(jiān)控網(wǎng)絡(luò)上的情況部署麻煩如果主機(jī)數(shù)目多，代價(jià)過(guò)大依賴(lài)于服務(wù)器固有的日志和監(jiān)視能力2 2、入侵檢測(cè)的分類(lèi)、入侵檢測(cè)的分類(lèi)一、什么是入侵檢測(cè)2）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）：通過(guò)硬件或軟件對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行實(shí)施檢查，并與系統(tǒng)的網(wǎng)路安全

8、數(shù)據(jù)庫(kù)的入侵特征進(jìn)行比較、分析，一旦發(fā)現(xiàn)有被攻擊的跡象，立刻作出響應(yīng)，如切斷網(wǎng)絡(luò)連接或?qū)⑷肭值臄?shù)據(jù)包過(guò)濾掉。利用交換機(jī)混雜模式監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)包分析數(shù)據(jù)包，判斷是否存在入侵行為與防火墻、路由器聯(lián)動(dòng)阻斷入侵行為告警顯示、日志分析管理IDS規(guī)則庫(kù)統(tǒng)一管理探測(cè)器l 優(yōu)點(diǎn)檢測(cè)范圍廣，檢測(cè)來(lái)自網(wǎng)絡(luò)的攻擊無(wú)需改變主機(jī)配置和性能獨(dú)立性和操作系統(tǒng)無(wú)關(guān)性系統(tǒng)容易部署l 缺點(diǎn)無(wú)法監(jiān)測(cè)系統(tǒng)信息對(duì)探測(cè)器要求較高難以處理加密的會(huì)話在網(wǎng)絡(luò)上旁路部署，響應(yīng)不夠及時(shí)價(jià)格相對(duì)昂貴2 2、入侵檢測(cè)的分類(lèi)、入侵檢測(cè)的分類(lèi)一、什么是入侵檢測(cè)根據(jù)系統(tǒng)的工作方式分為：1）離線檢測(cè)系統(tǒng)：離線檢測(cè)系統(tǒng)是非實(shí)時(shí)工作的系統(tǒng)，它在事后分析審計(jì)事件，從

9、中檢查入侵活動(dòng)。用戶歷史記錄入侵檢測(cè)專(zhuān)家經(jīng)驗(yàn)斷開(kāi)連接記錄證據(jù)數(shù)據(jù)恢復(fù)2 2、入侵檢測(cè)的分類(lèi)、入侵檢測(cè)的分類(lèi)一、什么是入侵檢測(cè)2）在線檢測(cè)系統(tǒng)：在線檢測(cè)系統(tǒng)是實(shí)時(shí)聯(lián)機(jī)的檢測(cè)系統(tǒng)，它包含對(duì)實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)包分析，實(shí)時(shí)主機(jī)審計(jì)分析。用戶的當(dāng)前操作入侵檢測(cè)監(jiān)測(cè)用戶歷史行為 專(zhuān)家經(jīng)驗(yàn)神經(jīng)網(wǎng)絡(luò)模型入侵？是否 1 1 入侵檢測(cè)概述入侵檢測(cè)概述 2 2 入侵檢測(cè)的分類(lèi)入侵檢測(cè)的分類(lèi) 3 3 入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù)入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù) 4 4 入侵檢測(cè)系統(tǒng)示例入侵檢測(cè)系統(tǒng)示例 3.1 3.1 多用于異常入侵檢測(cè)的技術(shù)多用于異常入侵檢測(cè)的技術(shù)1統(tǒng)計(jì)異常檢測(cè)方法 統(tǒng)計(jì)異常檢測(cè)方法根據(jù)異常檢測(cè)器觀察主體的活動(dòng)，由此產(chǎn)生

10、一個(gè)能夠描述這些活動(dòng)的輪廓。每一個(gè)輪廓都保存記錄主體的當(dāng)前行為，并定時(shí)地將當(dāng)前的輪廓合并到已存儲(chǔ)的輪廓中。通過(guò)比較當(dāng)前的輪廓與已存儲(chǔ)的輪廓來(lái)判斷主體的行為是否異常，從而來(lái)檢測(cè)網(wǎng)絡(luò)是否被入侵。 3.1 3.1 多用于異常入侵檢測(cè)的技術(shù)多用于異常入侵檢測(cè)的技術(shù)2基于特征選擇異常檢測(cè)方法 基于特征選擇異常檢測(cè)方法是通過(guò)從一組度量中挑選能檢測(cè)出入侵的度量構(gòu)成子集來(lái)準(zhǔn)確地預(yù)測(cè)或分類(lèi)已檢測(cè)到的入侵。 3基于貝葉斯推理異常檢測(cè)方法 基于貝葉斯推理異常檢測(cè)方法是通過(guò)在任意給定的時(shí)刻，測(cè)量A1，A，A變量值推理判斷系統(tǒng)是否有入侵事件發(fā)生。 3.1 3.1 多用于異常入侵檢測(cè)的技術(shù)多用于異常入侵檢測(cè)的技術(shù)4基于貝

11、葉斯網(wǎng)絡(luò)異常檢測(cè)方法 基于貝葉斯網(wǎng)絡(luò)的異常檢測(cè)方法是通過(guò)建立異常入侵檢測(cè)貝葉斯網(wǎng)絡(luò)，然后用其分析測(cè)量結(jié)果。 關(guān)于一組變量x= x1，x，xn，的貝葉斯網(wǎng)絡(luò)由以下兩部分組成： 一個(gè)表示X中變量的條件獨(dú)立斷言的網(wǎng)絡(luò)結(jié)構(gòu)S； 與每一個(gè)變量相聯(lián)系的局部概率分布集合P。5基于模式預(yù)測(cè)異常檢測(cè)方法 基于模式預(yù)測(cè)異常檢測(cè)方法的假設(shè)條件是事件序列不是隨機(jī)的而是遵循可辨別的模式。6基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)方法7基于貝葉斯聚類(lèi)異常檢測(cè)方法8基于機(jī)器學(xué)習(xí)異常檢測(cè)方法9基于數(shù)據(jù)采掘異常檢測(cè)方法 3.2 3.2 多用于誤用入侵檢測(cè)的技術(shù)多用于誤用入侵檢測(cè)的技術(shù) 誤用入侵檢測(cè)技術(shù)的前提是假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定

12、的模式或特征，如果把以往發(fā)現(xiàn)的所有網(wǎng)絡(luò)攻擊的特征總結(jié)出來(lái)并建立一個(gè)入侵信息庫(kù)，那么將當(dāng)前捕獲到的網(wǎng)絡(luò)行為特征與入侵信息庫(kù)中的特征信息比較，如果匹配，則當(dāng)前行為就被認(rèn)定是入侵行為。 3.2 3.2 多用于誤用入侵檢測(cè)的技術(shù)多用于誤用入侵檢測(cè)的技術(shù) 2基于專(zhuān)家系統(tǒng)誤用入侵檢測(cè)方法 基于專(zhuān)家系統(tǒng)誤用入侵檢測(cè)模型是通過(guò)將安全專(zhuān)家的經(jīng)驗(yàn)知識(shí)表示成if-then規(guī)則而形成的專(zhuān)家知識(shí)庫(kù)，然后，運(yùn)用推理算法進(jìn)行入侵行為的檢測(cè)。 在基于專(zhuān)家系統(tǒng)誤用入侵檢測(cè)模型中，要處理大量的數(shù)據(jù)和依賴(lài)于審計(jì)跟蹤的次序。其推理方法有兩種：l 根據(jù)給定的數(shù)據(jù)，應(yīng)用符號(hào)推理出入侵行為的發(fā)生；l 根據(jù)其他的入侵證據(jù)，進(jìn)行不確定的推理。

13、 3.2 3.2 多用于誤用入侵檢測(cè)的技術(shù)多用于誤用入侵檢測(cè)的技術(shù) 3基于狀態(tài)遷移分析誤用入侵檢測(cè)方法 狀態(tài)遷移分析方法是將攻擊表示成一系列被監(jiān)控的系統(tǒng)狀態(tài)遷移。攻擊模式的狀態(tài)對(duì)應(yīng)于系統(tǒng)的狀態(tài)，并且具有遷移到另外狀態(tài)的特性，然后通過(guò)弧線連續(xù)的狀態(tài)連接起來(lái)表示狀態(tài)改變所需要的事件。 3.2 3.2 多用于誤用入侵檢測(cè)的技術(shù)多用于誤用入侵檢測(cè)的技術(shù) 4基于鍵盤(pán)監(jiān)控誤用入侵檢測(cè)方法 基于鍵盤(pán)監(jiān)控誤用入侵檢測(cè)方法是假設(shè)入侵者對(duì)應(yīng)的擊鍵序列模式，然后監(jiān)測(cè)用戶的擊鍵模式，并將這一擊鍵模式與入侵檢測(cè)模式相匹配，以檢測(cè)入侵行為。5基于模型誤用入侵檢測(cè)方法 基于模型誤用入侵檢測(cè)方法是通過(guò)建立誤用證據(jù)模型，根據(jù)證

14、據(jù)推理來(lái)作出誤用發(fā)生判斷結(jié)論。 33.3 3 入侵檢測(cè)的新技術(shù)入侵檢測(cè)的新技術(shù)1基于生物免疫的入侵檢測(cè) 基于生物免疫的入侵檢測(cè)方法是通過(guò)模仿生物有機(jī)體的免疫系統(tǒng)工作機(jī)制，使得受保護(hù)的系統(tǒng)能夠?qū)⒎亲晕遥╪on self）的非法行為與自我（self）的合法行為區(qū)分開(kāi)來(lái)。 2基因算法 基因算法是進(jìn)化算法的一種，引入了達(dá)爾文在進(jìn)化論中提出的自然選擇的概念（優(yōu)勝劣汰、適者生存）對(duì)系統(tǒng)進(jìn)行優(yōu)化。該算法對(duì)于處理多維系統(tǒng)的優(yōu)化是非常有效的。在基因算法的研究人員看來(lái)，入侵檢測(cè)的過(guò)程可以抽象為：為審計(jì)事件記錄定義一種向量表示形式，這種向量或者對(duì)應(yīng)于攻擊行為，或者代表正常行為。 33.3 3 入侵檢測(cè)的新技術(shù)入侵檢

15、測(cè)的新技術(shù)3數(shù)據(jù)挖掘 數(shù)據(jù)挖掘指從大量實(shí)體數(shù)據(jù)中抽出模型的處理。具體的工作包括利用數(shù)據(jù)挖掘中的關(guān)聯(lián)算法和序列挖掘算法提取用戶的行為模式，利用分類(lèi)算法對(duì)用戶行為和特權(quán)程序的系統(tǒng)調(diào)用進(jìn)行分類(lèi)預(yù)測(cè)。 33.3 3 入侵檢測(cè)的新技術(shù)入侵檢測(cè)的新技術(shù)4密罐技術(shù) 密罐技術(shù)就是建立一個(gè)虛假的網(wǎng)絡(luò)，誘惑黑客攻擊這個(gè)虛假的網(wǎng)絡(luò)，從而達(dá)到保護(hù)真正網(wǎng)絡(luò)的目的。蜜罐是一種欺騙手段，可以誘導(dǎo)攻擊者，也可以收集攻擊信息，改進(jìn)防御能力。 33.3 3 入侵檢測(cè)的新技術(shù)入侵檢測(cè)的新技術(shù) 3.4 入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)入侵檢測(cè)系統(tǒng)的發(fā)展方向有以下幾個(gè)方面：入侵檢測(cè)系統(tǒng)的發(fā)展方向有以下幾個(gè)方面：1標(biāo)準(zhǔn)化的入侵檢測(cè)標(biāo)準(zhǔn)化的入侵檢測(cè)

16、2高速入侵檢測(cè)高速入侵檢測(cè)3大規(guī)模、分布式的入侵檢測(cè)大規(guī)模、分布式的入侵檢測(cè)4多種技術(shù)的融合多種技術(shù)的融合5實(shí)時(shí)入侵響應(yīng)實(shí)時(shí)入侵響應(yīng)入侵檢測(cè)的評(píng)測(cè)入侵檢測(cè)的評(píng)測(cè)6. 與其它安全技術(shù)的聯(lián)動(dòng)與其它安全技術(shù)的聯(lián)動(dòng) 1 1 入侵檢測(cè)概述入侵檢測(cè)概述 2 2 入侵檢測(cè)的分類(lèi)入侵檢測(cè)的分類(lèi) 3 3 入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù)入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù) 4 4 入侵檢測(cè)系統(tǒng)示例入侵檢測(cè)系統(tǒng)示例使用使用SnortSnort搭建搭建NIDSNIDS 一個(gè)基于Snort的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)由以下5個(gè)部分組成： 解碼器、預(yù)處理器、檢測(cè)引擎、輸出插件、日志/報(bào)警子系統(tǒng)解碼器預(yù)處理器檢測(cè)引擎日志/報(bào)警子系統(tǒng)輸出插件使用使用SnortSnort搭建搭建NIDSNIDS 為了能夠快速準(zhǔn)確地檢測(cè)和處理，Snort在檢測(cè)規(guī)則方面做了較