版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1
信息安全原理與應(yīng)用第十五章入侵檢測技術(shù)本章由王昭主寫2討論議題入侵檢測概述入侵檢測系統(tǒng)的功能組成基于主機(jī)及基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)異常檢測和誤用檢測入侵檢測的響應(yīng)入侵檢測標(biāo)準(zhǔn)化工作3主要的傳統(tǒng)安全技術(shù)加密消息摘要、數(shù)字簽名身份鑒別:口令、鑒別交換協(xié)議、生物特征訪問控制安全協(xié)議:IPsec、SSL網(wǎng)絡(luò)安全產(chǎn)品與技術(shù):防火墻、VPN內(nèi)容控制:防病毒、內(nèi)容過濾等預(yù)防(prevention)、防護(hù)(protection)4預(yù)防措施的局限性預(yù)防性安全措施采用嚴(yán)格的訪問控制和數(shù)據(jù)加密策略來防護(hù),但在復(fù)雜系統(tǒng)中,這些策略是不充分的。這些措施都是以減慢交易為代價(jià)的。大部分損失是由內(nèi)部引起的1999年CSI/FBI(Computersecurityinstitute/FederalBureauofInvestigation)指出,82%的損失是內(nèi)部威脅造成的。5信息安全兩態(tài)論6P2DR安全的關(guān)鍵檢測檢測是靜態(tài)防護(hù)轉(zhuǎn)化為動(dòng)態(tài)的關(guān)鍵檢測是動(dòng)態(tài)響應(yīng)的依據(jù)檢測是落實(shí)/強(qiáng)制執(zhí)行安全策略的有力工具7入侵檢測的定義NSTAC(NationalSecurityTelecommunicationsAdvisoryBoard,國家安全通信委員會(huì))的IDSG(IntrusionDetectionSub-Group)是一個(gè)由美國總統(tǒng)特許的保護(hù)國家關(guān)鍵基礎(chǔ)設(shè)施的小組。IDSG1997年給出了如下定義:入侵(Intrusion):對信息系統(tǒng)的非授權(quán)訪問及(或)未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作。入侵檢測(IntrusionDetection):對(網(wǎng)絡(luò))系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視,對企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過程。8入侵檢測的起源和發(fā)展-11980年4月,JamesP.Anderson《ComputerSecurityThreatMonitoringandSurveillance》(計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視)1980年Anderson提出:提出了精簡審計(jì)的概念,風(fēng)險(xiǎn)和威脅分類方法提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想這份報(bào)告被公認(rèn)為是入侵檢測的開創(chuàng)性工作。9入侵檢測的起源和發(fā)展-280年代,基于主機(jī)的入侵檢測1990,加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM(NetworkSecurityMonitor)該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來源,因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁,兩大陣營正式形成:基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS90年代,基于主機(jī)和基于網(wǎng)絡(luò)入侵檢測的集成10討論議題入侵檢測概述入侵檢測系統(tǒng)的功能組成基于主機(jī)及基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)異常檢測和誤用檢測入侵檢測的響應(yīng)入侵檢測標(biāo)準(zhǔn)化工作11IDS基本結(jié)構(gòu)進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)(IDS,IntrusionDetectionSystem)。入侵檢測是監(jiān)測計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反安全策略事件的過程。簡單地說,入侵檢測系統(tǒng)包括三個(gè)功能部件:(1)信息收集(2)信息分析(3)結(jié)果處理12信息收集入侵檢測的第一步是信息收集,收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息,盡可能擴(kuò)大檢測范圍從一個(gè)源來的信息有可能看不出疑點(diǎn)
13信息分析模式匹配(誤用檢測):模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為。統(tǒng)計(jì)分析(異常檢測):統(tǒng)計(jì)分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述,統(tǒng)計(jì)正常使用時(shí)的一些測量屬性(如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等)。完整性分析,往往用于事后分析,主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓摹?4檢測目標(biāo)可說明性是指從給定的活動(dòng)或事件中,可以找到相關(guān)責(zé)任方的能力。建立可說明性的目標(biāo)是獲得補(bǔ)償或針對責(zé)任方 追究相關(guān)法律責(zé)任。積極的反應(yīng)報(bào)告警報(bào)修改目標(biāo)機(jī)系統(tǒng)或入侵檢測系統(tǒng)15入侵檢測的分類-1按照數(shù)據(jù)來源:基于主機(jī):系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī),保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)?;诰W(wǎng)絡(luò):系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包,保護(hù)的是網(wǎng)絡(luò)的運(yùn)行。混合型:16入侵檢測的分類-2按照分析方法(檢測方法)異常檢測模型(AnomalyDetection):首先總結(jié)正常操作應(yīng)該具有的特征(用戶輪廓),當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。誤用檢測模型(MisuseDetection):收集非正常操作的行為特征,建立相關(guān)的特征庫,當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí),系統(tǒng)就認(rèn)為這種行為是入侵。17入侵檢測的分類-3根據(jù)時(shí)效性:脫機(jī)分析:行為發(fā)生后,對產(chǎn)生的數(shù)據(jù)進(jìn)行分析。早期比較流行聯(lián)機(jī)分析:在數(shù)據(jù)產(chǎn)生的同時(shí)或者發(fā)生改變時(shí)進(jìn)行分析。18入侵檢測的分類-4按系統(tǒng)各模塊的運(yùn)行方式集中式:系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集分析集中在一臺(tái)主機(jī)上運(yùn)行。分布式:系統(tǒng)的各個(gè)模塊分布在不同的計(jì)算機(jī)和設(shè)備上。19討論議題入侵檢測概述入侵檢測系統(tǒng)的功能組成基于主機(jī)及基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)異常檢測和誤用檢測入侵檢測的響應(yīng)入侵檢測標(biāo)準(zhǔn)化工作20基于主機(jī)的入侵檢測系統(tǒng)系統(tǒng)分析主機(jī)產(chǎn)生的數(shù)據(jù)(應(yīng)用程序及操作系統(tǒng)的事件日志)由于內(nèi)部人員的威脅正變得更重要?;谥鳈C(jī)的檢測威脅基于主機(jī)的入侵檢測結(jié)構(gòu)優(yōu)點(diǎn)及問題21主機(jī)的數(shù)據(jù)源操作系統(tǒng)事件日志應(yīng)用程序日志系統(tǒng)日志關(guān)系數(shù)據(jù)庫Web服務(wù)器22基于主機(jī)的檢測威脅特權(quán)濫用前職員使用舊帳戶管理員創(chuàng)建后門帳戶關(guān)鍵數(shù)據(jù)的訪問及修改非授權(quán)泄露、修改WEB站點(diǎn)安全配置的變化用戶沒有激活屏保激活guest帳戶23基于主機(jī)的入侵檢測系統(tǒng)結(jié)構(gòu)基于主機(jī)的入侵檢測系統(tǒng)通常是基于代理的,代理是運(yùn)行在目標(biāo)系統(tǒng)上的可執(zhí)行程序,與中央控制計(jì)算機(jī)(命令控制臺(tái))通信。集中式分布式24集中式基于主機(jī)的入侵檢測結(jié)構(gòu)25集中式檢測的優(yōu)缺點(diǎn)優(yōu)點(diǎn):不會(huì)降低目標(biāo)機(jī)的性能統(tǒng)計(jì)行為信息多主機(jī)標(biāo)志、用于支持起訴的原始數(shù)據(jù)缺點(diǎn):不能進(jìn)行實(shí)時(shí)檢測不能實(shí)時(shí)響應(yīng)影響網(wǎng)絡(luò)通信量26
分布式基于主機(jī)的入侵檢測結(jié)構(gòu)
27分布式檢測的優(yōu)缺點(diǎn)優(yōu)點(diǎn):實(shí)時(shí)告警實(shí)時(shí)響應(yīng)缺點(diǎn):降低目標(biāo)機(jī)的性能沒有統(tǒng)計(jì)行為信息沒有多主機(jī)標(biāo)志沒有用于支持起訴的原始數(shù)據(jù)降低了數(shù)據(jù)的辨析能力系統(tǒng)離線時(shí)不能分析數(shù)據(jù)28基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)入侵檢測系統(tǒng)分析網(wǎng)絡(luò)數(shù)據(jù)包基于網(wǎng)絡(luò)的檢測威脅基于網(wǎng)絡(luò)的入侵檢測結(jié)構(gòu)優(yōu)點(diǎn)及問題29基于網(wǎng)絡(luò)的檢測威脅非授權(quán)訪問非授權(quán)登錄(login)進(jìn)行其它攻擊的起始點(diǎn)數(shù)據(jù)/資源的竊取口令下載帶寬竊取拒絕服務(wù)畸形分組:land分組泛洪:packetflooding分布式拒絕服務(wù)30基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)結(jié)構(gòu)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器(Sensor)組成,傳感器會(huì)向中央控制臺(tái)報(bào)告。傳感器通常是獨(dú)立的檢測引擎,能獲得網(wǎng)絡(luò)分組、找尋誤用模式,然后告警。傳統(tǒng)的基于傳感器的結(jié)構(gòu)分布式網(wǎng)絡(luò)節(jié)點(diǎn)結(jié)構(gòu)(networknode)31檢測器的位置放在防火墻之外檢測器在防火墻內(nèi)防火墻內(nèi)外都有檢測器檢測器的其他位置32基于網(wǎng)絡(luò)的入侵檢測的好處威懾外部人員檢測自動(dòng)響應(yīng)及報(bào)告33討論議題入侵檢測概述入侵檢測系統(tǒng)的功能組成基于主機(jī)及基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)異常檢測和誤用檢測入侵檢測的響應(yīng)入侵檢測標(biāo)準(zhǔn)化工作34誤用檢測模型如果入侵特征與正常的用戶行為能匹配,則系統(tǒng)會(huì)發(fā)生誤報(bào);如果沒有特征能與某種新的攻擊行為匹配,則系統(tǒng)會(huì)發(fā)生漏報(bào)。特點(diǎn):能明顯降低錯(cuò)報(bào)率,但漏報(bào)率隨之增加。攻擊特征的細(xì)微變化,會(huì)使得誤用檢測無能為力。
35誤用入侵檢測方法模式匹配專家系統(tǒng)誤用檢測36模式匹配技術(shù)特點(diǎn)原理簡單擴(kuò)展性好檢測效率高實(shí)時(shí)性好技術(shù)缺陷僅適用簡單攻擊模式檢測的準(zhǔn)確性檢測速度37基于專家系統(tǒng)誤用入侵檢測方法通過將安全專家的知識(shí)表示成IF-THEN規(guī)則形成專家知識(shí)庫,然后,運(yùn)用推理算法進(jìn)行檢測入侵Snapp和Smaha給出了在入侵檢測中使用這樣的系統(tǒng)的實(shí)例CLIPS38異常檢測模型如果系統(tǒng)錯(cuò)誤地將異常活動(dòng)定義為入侵,稱為誤報(bào)(falsepositive)
;如果系統(tǒng)未能檢測出真正的入侵行為則稱為漏報(bào)(falsenegative)。特點(diǎn):異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率。能有效檢測未知的入侵。異常檢測方法統(tǒng)計(jì)學(xué)的方法 基于神經(jīng)網(wǎng)絡(luò)的異常檢測 基于數(shù)據(jù)挖掘的異常檢測 39入侵檢測相關(guān)的數(shù)學(xué)模型試驗(yàn)?zāi)P停∣perationalModel)平均值和標(biāo)準(zhǔn)差模型(MeanandStandardDeviationModel)多變量模型(MultivariateModel)馬爾可夫過程模型(MarkovProcessModel)時(shí)序模型(TimeSeriesModel)4041討論議題入侵檢測概述入侵檢測系統(tǒng)的功能組成基于主機(jī)及基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)異常檢測和誤用檢測入侵檢測的響應(yīng)入侵檢測標(biāo)準(zhǔn)化工作42制訂響應(yīng)策略應(yīng)考慮的要素系統(tǒng)用戶操作運(yùn)行環(huán)境系統(tǒng)目標(biāo)規(guī)則或法令的需求43響應(yīng)選項(xiàng)主動(dòng)響應(yīng)針對入侵者的措施——自動(dòng)響應(yīng)系統(tǒng)修正——彌補(bǔ)缺陷收集更詳細(xì)的信息——HoneyPot被動(dòng)響應(yīng)警報(bào)顯示遠(yuǎn)程通報(bào):尋呼機(jī)、移動(dòng)電話、電子郵件與其它網(wǎng)管工具結(jié)合:SNMPTrap44討論議題入侵檢測概述入侵檢測系統(tǒng)的功能組成基于主機(jī)及基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)異常檢測和誤用檢測入侵檢測的響應(yīng)入侵檢測標(biāo)準(zhǔn)化工作45與IDS有關(guān)的標(biāo)準(zhǔn)通用入侵檢測框架CIDF(TheCommonIntrusionDetectionFramework)IETF入侵檢測工作組(IDWG)的入侵檢測交換格式IDEF(IntrusionDetectionExchangeFormat)漏洞和風(fēng)險(xiǎn)的標(biāo)準(zhǔn)CVE(CommonVulnerabilitiesandExposures)46CIDF規(guī)格文檔CIDF是一套規(guī)范,它定義了IDS表達(dá)檢測信息的標(biāo)準(zhǔn)語言以及IDS組件之間的通信協(xié)議。CIDF的規(guī)格文檔由四部分組成,分別為:體系結(jié)構(gòu):闡述了一個(gè)標(biāo)準(zhǔn)的IDS的通用模型規(guī)范語言:定義了一個(gè)用來描述各種檢測信息的標(biāo)準(zhǔn)語言內(nèi)部通訊:定義了IDS組件之間進(jìn)行通信的標(biāo)準(zhǔn)協(xié)議程序接口:提供了一整套標(biāo)準(zhǔn)的應(yīng)用程序接口47CIDF中的術(shù)語CIDF將
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 《HTML5+CSS3+JavaScript網(wǎng)頁設(shè)計(jì)基礎(chǔ)與實(shí)戰(zhàn)》課程大綱(42學(xué)時(shí))
- 弘揚(yáng)民族文化:《創(chuàng)意美術(shù)字》與少數(shù)民族文字設(shè)計(jì)的融合
- 2020年全國企業(yè)員工全面質(zhì)量管理知識(shí)競賽題庫及答案
- 小數(shù)加減法教學(xué)新策略:2024年課件設(shè)計(jì)展望
- 護(hù)理倫理與衛(wèi)生法律法規(guī)-第四章-護(hù)理人際關(guān)系倫理
- 大數(shù)據(jù)數(shù)據(jù)挖掘案例
- 2024-2025學(xué)年高中物理第5章磁場第2節(jié)用磁感線描述磁場作業(yè)含解析魯科版選修3-1
- 高中英語新教材選擇性必修一Unit-3-Faster-higher-stronger-Starting-out
- AE軟件快速入門:2024年基礎(chǔ)教程全攻略
- 2024班主任培訓(xùn):心得體會(huì)的新啟示
- 2022中小學(xué)高級(jí)教師任職資格評審講課答辯題目及答案
- 針刺傷標(biāo)準(zhǔn)預(yù)防
- 團(tuán)播主持人協(xié)議
- 《急救藥品》課件
- 氯酸鹽行業(yè)分析
- 國開電大 可編程控制器應(yīng)用實(shí)訓(xùn) 形考任務(wù)6實(shí)訓(xùn)報(bào)告
- GB/T 34120-2023電化學(xué)儲(chǔ)能系統(tǒng)儲(chǔ)能變流器技術(shù)要求
- 跨國企業(yè)中方外派人員的跨文化適應(yīng)
- 《道路交叉設(shè)計(jì)》課件
- 《活著》讀后感-課件
- 體檢報(bào)告匯總分析中風(fēng)險(xiǎn)的防范
評論
0/150
提交評論