BIT8-2信息系統(tǒng)安全防御-IDS

1、入侵檢測(cè)技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)攻防對(duì)抗技術(shù)實(shí)驗(yàn)室1內(nèi)容概要P2DR平安體系入侵檢測(cè)系統(tǒng)介紹入侵檢測(cè)系統(tǒng)分類(lèi)入侵檢測(cè)系統(tǒng)用到的一些技術(shù)入侵檢測(cè)系統(tǒng)的研究和開(kāi)展商用入侵檢測(cè)系統(tǒng)演示2網(wǎng)絡(luò)平安動(dòng)態(tài)防護(hù)模型安全策略(policy)防護(hù)(protecttion) 檢 測(cè)(detection)響 應(yīng)(response)3網(wǎng)絡(luò)平安：及時(shí)的檢測(cè)和處理時(shí)間PtDtRt新定義：Pt Dt + Rt4P2DR平安模型這是一個(gè)動(dòng)態(tài)模型以平安策略為核心基于時(shí)間的模型可以量化可以計(jì)算P2DR平安的核心問(wèn)題檢測(cè)檢測(cè)是靜態(tài)防護(hù)轉(zhuǎn)化為動(dòng)態(tài)的關(guān)鍵檢測(cè)是動(dòng)態(tài)響應(yīng)的依據(jù)檢測(cè)是落實(shí)/強(qiáng)制執(zhí)行平安策略的有力工具5內(nèi)容概要P2DR平安體系入侵檢測(cè)

2、系統(tǒng)介紹入侵檢測(cè)系統(tǒng)分類(lèi)入侵檢測(cè)系統(tǒng)用到的一些技術(shù)入侵檢測(cè)系統(tǒng)的研究和開(kāi)展6IDS的用途攻擊工具攻擊命令攻擊機(jī)制目標(biāo)網(wǎng)絡(luò)網(wǎng)絡(luò)漏洞目標(biāo)系統(tǒng)系統(tǒng)漏洞攻擊者漏洞掃描評(píng)估加固攻擊過(guò)程實(shí)時(shí)入侵檢測(cè)7入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)過(guò)程信息收集,來(lái)源：網(wǎng)絡(luò)流量系統(tǒng)日志文件系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為信息分析模式匹配統(tǒng)計(jì)分析完整性分析,往往用于事后分析8入侵檢測(cè)系統(tǒng)的通用模型數(shù)據(jù)源模式匹配器系統(tǒng)輪廓分析引擎數(shù)據(jù)庫(kù)入侵模式庫(kù)異常檢測(cè)器響應(yīng)和恢復(fù)機(jī)制9入侵檢測(cè)系統(tǒng)的種類(lèi)基于主機(jī)平安操作系統(tǒng)必須具備一定的審計(jì)功能,并記錄相應(yīng)的平安性日志基于網(wǎng)絡(luò)IDS可以放在防火墻或者網(wǎng)關(guān)的后面,以網(wǎng)絡(luò)嗅探器的形式捕獲所有的對(duì)內(nèi)

3、對(duì)外的數(shù)據(jù)包10IDS的部署和結(jié)構(gòu)入侵檢測(cè)系統(tǒng)的管理和部署多種IDS的協(xié)作管理平臺(tái)和sensor基于Agent的IDS系統(tǒng)Purdue大學(xué)研制了一種被稱(chēng)為AAFID(Autonomous agents for intrusion detection)的IDS模型SRI的EMERALD(Event Monitoring Enabling Response to Anomalous Live Disturbances)11RealSecure ConsoleRealSecure OS SensorRealSecure Server Sensor商業(yè)IDS例子：ISS RealSecure結(jié)構(gòu)Rea

4、lSecure Network Sensor12內(nèi)容概要P2DR平安體系入侵檢測(cè)系統(tǒng)介紹入侵檢測(cè)系統(tǒng)用到的一些技術(shù)入侵檢測(cè)系統(tǒng)分類(lèi)入侵檢測(cè)系統(tǒng)的研究和開(kāi)展13IDS的技術(shù)異常檢測(cè)(anomaly detection)也稱(chēng)為基于行為的檢測(cè)首先建立起用戶的正常使用模式,即知識(shí)庫(kù)標(biāo)識(shí)出不符合正常模式的行為活動(dòng)誤用檢測(cè)(misuse detection)也稱(chēng)為基于特征的檢測(cè)建立起已知攻擊的知識(shí)庫(kù)判別當(dāng)前行為活動(dòng)是否符合已知的攻擊模式14異常檢測(cè)比較符合平安的概念,但是實(shí)現(xiàn)難度較大正常模式的知識(shí)庫(kù)難以建立難以明確劃分正常模式和異常模式常用技術(shù)統(tǒng)計(jì)方法預(yù)測(cè)模式神經(jīng)網(wǎng)絡(luò)15誤用檢測(cè)目前研究工作比較多,并且已

5、經(jīng)進(jìn)入實(shí)用建立起已有攻擊的模式特征庫(kù)難點(diǎn)在于：如何做到動(dòng)態(tài)更新,自適應(yīng)常用技術(shù)基于簡(jiǎn)單規(guī)則的模式匹配技術(shù)基于專(zhuān)家系統(tǒng)的檢測(cè)技術(shù)基于狀態(tài)轉(zhuǎn)換分析的檢測(cè)技術(shù)基于神經(jīng)網(wǎng)絡(luò)檢測(cè)技術(shù)其他技術(shù),如數(shù)據(jù)挖掘、模糊數(shù)學(xué)等16IDS的兩個(gè)指標(biāo)漏報(bào)率指攻擊事件沒(méi)有被IDS檢測(cè)到誤報(bào)率(false alarm rate)把正常事件識(shí)別為攻擊并報(bào)警誤報(bào)率與檢出率成正比例關(guān)系0 檢出率(detection rate) 100%100%誤報(bào)率17內(nèi)容概要P2DR平安體系入侵檢測(cè)系統(tǒng)介紹入侵檢測(cè)系統(tǒng)用到的一些技術(shù)入侵檢測(cè)系統(tǒng)分類(lèi)入侵檢測(cè)系統(tǒng)的研究和開(kāi)展18入侵檢測(cè)系統(tǒng)的種類(lèi)基于主機(jī)平安操作系統(tǒng)必須具備一定的審計(jì)功能,并記錄

6、相應(yīng)的平安性日志基于網(wǎng)絡(luò)IDS可以放在防火墻或者網(wǎng)關(guān)的后面,以網(wǎng)絡(luò)嗅探器的形式捕獲所有的對(duì)內(nèi)對(duì)外的數(shù)據(jù)包19基于網(wǎng)絡(luò)的IDS系統(tǒng)收集網(wǎng)絡(luò)流量數(shù)據(jù)利用sniff技術(shù)把IDS配置在合理的流量集中點(diǎn)上,比方與防火墻或者網(wǎng)關(guān)配置在一個(gè)子網(wǎng)中利用某些識(shí)別技術(shù)基于模式匹配的專(zhuān)家系統(tǒng)基于異常行為分析的檢測(cè)手段20一個(gè)輕量的網(wǎng)絡(luò)IDS: snort是一個(gè)基于簡(jiǎn)單模式匹配的IDS源碼開(kāi)放,跨平臺(tái)(C語(yǔ)言編寫(xiě),可移植性好)利用libpcap作為捕獲數(shù)據(jù)包的工具特點(diǎn)設(shè)計(jì)原則：性能、簡(jiǎn)單、靈活包含三個(gè)子系統(tǒng)：網(wǎng)絡(luò)包的解析器、檢測(cè)引擎、日志和報(bào)警子系統(tǒng)內(nèi)置了一套插件子系統(tǒng),作為系統(tǒng)擴(kuò)展的手段模式特征鏈規(guī)則鏈命令行方式運(yùn)

7、行,也可以用作一個(gè)sniffer工具21網(wǎng)絡(luò)數(shù)據(jù)包解析結(jié)合網(wǎng)絡(luò)協(xié)議棧的結(jié)構(gòu)來(lái)設(shè)計(jì)Snort支持鏈路層和TCP/IP的協(xié)議定義每一層上的數(shù)據(jù)包都對(duì)應(yīng)一個(gè)函數(shù)按照協(xié)議層次的順序依次調(diào)用就可以得到各個(gè)層上的數(shù)據(jù)包頭從鏈路層,到傳輸層,直到應(yīng)用層在解析的過(guò)程中,性能非常關(guān)鍵,在每一層傳遞過(guò)程中,只傳遞指針,不傳實(shí)際的數(shù)據(jù)支持鏈路層：以太網(wǎng)、令牌網(wǎng)、FDDI22Snort規(guī)則鏈處理過(guò)程二維鏈表結(jié)構(gòu)匹配過(guò)程首先匹配到適當(dāng)?shù)腃hain Header然后,匹配到適當(dāng)?shù)腃hain Option最后,滿足條件的第一個(gè)規(guī)則指示相應(yīng)的動(dòng)作23Snort: 日志和報(bào)警子系統(tǒng)當(dāng)匹配到特定的規(guī)則之后,檢測(cè)引擎會(huì)觸發(fā)相應(yīng)的動(dòng)

8、作日志記錄動(dòng)作,三種格式：解碼之后的二進(jìn)制數(shù)據(jù)包文本形式的IP結(jié)構(gòu)Tcpdump格式如果考慮性能的話,應(yīng)選擇tcpdump格式,或者關(guān)閉logging功能報(bào)警動(dòng)作,包括Syslog記錄到alert文本文件中發(fā)送WinPopup消息24關(guān)于snort的規(guī)則Snort的規(guī)則比較簡(jiǎn)單規(guī)則結(jié)構(gòu)：規(guī)則頭： alert tcp !10.1.1.0/24 any - 10.1.1.0/24 any規(guī)則選項(xiàng)： (flags: SF; msg: “SYN-FIN Scan;)針對(duì)已經(jīng)發(fā)現(xiàn)的攻擊類(lèi)型,都可以編寫(xiě)出適當(dāng)?shù)囊?guī)則來(lái)規(guī)則與性能的關(guān)系先后的順序Content option的講究許多cgi攻擊和緩沖區(qū)溢出攻擊

9、都需要content option現(xiàn)有大量的規(guī)則可供利用25Snort規(guī)則例子規(guī)則例子Option類(lèi)型26關(guān)于snort開(kāi)放性源碼開(kāi)放,最新規(guī)則庫(kù)的開(kāi)放作為商業(yè)IDS的有機(jī)補(bǔ)充特別是對(duì)于最新攻擊模式的知識(shí)共享Snort的部署作為分布式IDS的節(jié)點(diǎn)為高級(jí)的IDS提供根本的事件報(bào)告開(kāi)展數(shù)據(jù)庫(kù)的支持互操作性,規(guī)則庫(kù)的標(biāo)準(zhǔn)化二進(jìn)制插件的支持預(yù)處理器模塊：TCP流重組、統(tǒng)計(jì)分析,等27異常檢測(cè)的網(wǎng)絡(luò)IDS基于規(guī)則和特征匹配的NIDS的缺點(diǎn)對(duì)于新的攻擊不能正確識(shí)別人工提取特征,把攻擊轉(zhuǎn)換成規(guī)則,參加到規(guī)則庫(kù)中異常檢測(cè)的NIDS可以有一定的自適應(yīng)能力利用網(wǎng)絡(luò)系統(tǒng)的已知流量模式進(jìn)行學(xué)習(xí),把正常流量模式的知識(shí)學(xué)

10、習(xí)到IDS中當(dāng)出現(xiàn)新的攻擊時(shí),根據(jù)異常行為來(lái)識(shí)別并且,對(duì)于新的攻擊以及異常的模式可以反響到IDS系統(tǒng)中28異常檢測(cè)的網(wǎng)絡(luò)IDS目前出現(xiàn)了專(zhuān)門(mén)流量異常檢測(cè)設(shè)備CiscoXT5600流量異常檢測(cè)器專(zhuān)用于防DDOS攻擊29基于主機(jī)的IDS系統(tǒng)信息收集系統(tǒng)日志系統(tǒng)狀態(tài)信息特點(diǎn)：OS相關(guān)常用的分析技術(shù)統(tǒng)計(jì)分析狀態(tài)轉(zhuǎn)移分析關(guān)聯(lián)分析30基于主機(jī)的IDS系統(tǒng)在分布式入侵檢測(cè)體系中,作為日志收集代理主機(jī)防火墻逐步擔(dān)當(dāng)IDS的職責(zé)瑞星卡巴斯基31內(nèi)容概要P2DR平安體系入侵檢測(cè)系統(tǒng)介紹入侵檢測(cè)系統(tǒng)分類(lèi)入侵檢測(cè)系統(tǒng)用到的一些技術(shù)入侵檢測(cè)系統(tǒng)的研究和開(kāi)展32STATSTAT: A state transition a

11、nalysis tool for intrusion detection由美國(guó)加州大學(xué)Santa Barbaba分校開(kāi)發(fā)從初始狀態(tài)到入侵狀態(tài)的轉(zhuǎn)移過(guò)程用有限狀態(tài)機(jī)來(lái)表示入侵過(guò)程初始狀態(tài)指入侵發(fā)生之前的狀態(tài)入侵狀態(tài)指入侵發(fā)生之后系統(tǒng)所處的狀態(tài)系統(tǒng)狀態(tài)通常用系統(tǒng)屬性或者用戶權(quán)限來(lái)描述用戶的行為和動(dòng)作導(dǎo)致系統(tǒng)狀態(tài)的轉(zhuǎn)變S1S2S3AssertionsAssertionsAssertions33STAT的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：狀態(tài)轉(zhuǎn)移圖提供了一種針對(duì)入侵滲透模式的直觀的、高層次的、與審計(jì)記錄無(wú)關(guān)的表示方法用狀態(tài)轉(zhuǎn)移法,可以描述出構(gòu)成特定攻擊模式的特征行為序列狀態(tài)轉(zhuǎn)移圖給出了保證攻擊成功的特征行為的最小子集,從而

12、使得檢測(cè)系統(tǒng)可以適應(yīng)相同入侵模式的不同表現(xiàn)形式可使攻擊行為在到達(dá)入侵狀態(tài)之前就被檢測(cè)到,從而采取措施阻止攻擊行為可以檢測(cè)協(xié)同攻擊和慢速攻擊缺點(diǎn)：狀態(tài)(assertions)和特征行為需要手工編碼Assertions和特征用于表達(dá)復(fù)雜細(xì)致的入侵模式時(shí)可能無(wú)法表達(dá)STAT只是一個(gè)框架,需要具體的實(shí)現(xiàn)或者與其他系統(tǒng)協(xié)同工作STAT的速度相比照較慢34STATUSTATUSTAT：用于UNIX系統(tǒng)的STAT實(shí)現(xiàn)包括四局部預(yù)處理器：對(duì)數(shù)據(jù)進(jìn)行過(guò)濾,并轉(zhuǎn)換為與系統(tǒng)日志文件無(wú)關(guān)的格式知識(shí)庫(kù)：包括狀態(tài)描述庫(kù)和規(guī)則庫(kù)。規(guī)則庫(kù)用于存放已知攻擊類(lèi)型所對(duì)應(yīng)的狀態(tài)轉(zhuǎn)移規(guī)則；狀態(tài)描述庫(kù)存放系統(tǒng)在遭受不同類(lèi)型攻擊下所出現(xiàn)的

13、狀態(tài)推理引擎：根據(jù)預(yù)處理器給出的信息和狀態(tài)描述庫(kù)中定義的系統(tǒng)狀態(tài),判斷狀態(tài)的變化并更新?tīng)顟B(tài)信息。一旦發(fā)現(xiàn)可疑的平安威脅,通知決策引擎決策引擎：將平安事件通知管理員,或者采取預(yù)先定義的自動(dòng)響應(yīng)措施35基于STAT的IDSUSTATNSTAT把USTAT擴(kuò)展到多臺(tái)主機(jī),從而可以檢測(cè)到針對(duì)多臺(tái)共享同一個(gè)網(wǎng)絡(luò)文件系統(tǒng)的主機(jī)的攻擊NetSTAT是一個(gè)基于網(wǎng)絡(luò)的IDS,分析網(wǎng)絡(luò)中的流量,找到代表惡意行為的數(shù)據(jù)包WinSTAT基于主機(jī)的IDS,分析Windows NT的事件日志W(wǎng)ebSTAT基于應(yīng)用的IDS,用Apache Web Server的日志作為輸入AlertSTAT是一個(gè)高層的入侵關(guān)聯(lián)器,以其他檢

14、測(cè)器的報(bào)警作為輸入,以便檢測(cè)出高層次、多步驟的攻擊36IDS的困難異常檢測(cè)技術(shù)仍然需要研究和開(kāi)展NIDS的部署交換式網(wǎng)絡(luò)的普及有些交換機(jī)提供了“把多個(gè)端口或者VLAN鏡像到單個(gè)端口的能力,用于捕獲數(shù)據(jù)包應(yīng)用系統(tǒng)的多樣性需要統(tǒng)一的標(biāo)準(zhǔn)交換信息IPSec等一些加密或者隧道協(xié)議37IDS與響應(yīng)和恢復(fù)技術(shù)IDS屬于檢測(cè)的環(huán)節(jié),一旦檢測(cè)到入侵或者攻擊,必須盡快地做出響應(yīng),以保證信息系統(tǒng)的平安IDS的響應(yīng)機(jī)制,可以從根本的管理角度來(lái)考慮,也可以從技術(shù)角度來(lái)實(shí)施,包括與其他防護(hù)系統(tǒng)的互操作,比方防火墻對(duì)于一個(gè)企業(yè)而言,IDS與DRP(Disaster Recovery Planning)需要一起來(lái)制訂和實(shí)施

15、DRP包括業(yè)務(wù)影響分析(BIA, Business Impact Analysis)數(shù)據(jù)必須定期備份信息系統(tǒng)的根本目的是提供便利的效勞災(zāi)難評(píng)估明確責(zé)任人38IDS的研究與開(kāi)展IDS自身的開(kāi)展基于異常檢測(cè)的技術(shù)分布式IDS系統(tǒng)引入生物學(xué)免疫系統(tǒng)的概念與其他防護(hù)系統(tǒng)的集成IDS與其他學(xué)科IDS與模式識(shí)別、人工智能IDS與數(shù)據(jù)挖掘IDS與神經(jīng)網(wǎng)絡(luò)IDS與IDS之間的互操作CIDF: 由美國(guó)加州大學(xué)Davis分校提出的框架,試圖標(biāo)準(zhǔn)一種通用的語(yǔ)言格式和編碼方式來(lái)表示IDS組件邊界傳遞的數(shù)據(jù)IDEF: IETF IDWG提出的草案,標(biāo)準(zhǔn)了局部術(shù)語(yǔ)的使用,用XML來(lái)描述消息格式。39IDS的研究與開(kāi)展IDS自身的開(kāi)展基于異常檢測(cè)的技術(shù)分布式IDS系統(tǒng)引入生物學(xué)免疫系統(tǒng)的概念與其他防護(hù)系統(tǒng)的集成IDS與其他學(xué)科IDS與模式識(shí)別、人工智能IDS與數(shù)據(jù)挖掘IDS與神經(jīng)網(wǎng)絡(luò)IDS與IDS之間的互操作CIDF: 由美國(guó)加州大學(xué)Davis分校提出的框架,試圖標(biāo)準(zhǔn)一種通用的語(yǔ)言格式和編碼方式來(lái)表示IDS組件邊界傳遞的數(shù)據(jù)IDEF: IETF IDWG提出的草案,標(biāo)準(zhǔn)了局部術(shù)語(yǔ)的使用,用XML來(lái)描述消息格式。40入侵檢測(cè)技術(shù)展望隨著攻擊技術(shù)的開(kāi)展而開(kāi)展Botnet如何檢測(cè)Botnet？蠕蟲(chóng)攻擊如何檢測(cè)蠕蟲(chóng)？會(huì)逐步納入信息系統(tǒng)審計(jì)體系中以網(wǎng)絡(luò)審計(jì)的形式出