第十一章入侵檢測課件

信息安全概論

第十一章入侵檢測11.5入侵檢測技術(shù)11.5.1為什么需要入侵檢測？黑客攻擊日益猖獗，防范問題日益嚴峻信息處理能力提高的同時，系統(tǒng)連接能力也在不斷的提高，基于網(wǎng)絡(luò)連接的安全問題也日益突出。0198919911199819901995199319911992199419961999100020003000400050006000110008000850019881988~1999年，攻擊事件增長圖入侵檢測技術(shù)是一種主動保護自己免受黑客攻擊的網(wǎng)絡(luò)安全技術(shù)傳統(tǒng)的安全產(chǎn)品存在著很多問題每一種安全機制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境；安全工具的使用受到人為因素的影響；系統(tǒng)的后門是傳統(tǒng)安全工具難以考慮的地方；只要有程序，就可能存在BUG，甚至連安全工具本身也可能存在安全漏洞；黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題的出現(xiàn)；入侵檢測正是根據(jù)網(wǎng)絡(luò)攻擊行為來進行設(shè)計的，它不僅能夠發(fā)現(xiàn)已知的入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過學習和分析入侵手段，及時調(diào)整系統(tǒng)策略以加強系統(tǒng)的安全性。

11.5.2黑客攻擊策略入侵步驟信息獲取實施攻擊掩蓋痕跡，預(yù)留后門入侵造成的破壞保密性：保密性的破壞指允許攻擊者非授權(quán)訪問數(shù)據(jù)；完整性：完整性的破壞指允許攻擊者非授權(quán)地改變系統(tǒng)狀態(tài)以及改變流經(jīng)或存儲在系統(tǒng)中的任何數(shù)據(jù)；可用性：可用性的破壞指使授權(quán)用戶無法訪問某一特定的系統(tǒng)資源；可控性：可控性的破壞指允許一個攻擊者有特權(quán)破壞系統(tǒng)的訪問控制策略。網(wǎng)絡(luò)入侵的防范技術(shù)單純的防火墻技術(shù)暴露出明顯的不足和弱點：無法解決后門安全問題；不能組織網(wǎng)絡(luò)內(nèi)部的攻擊；不能提供實時的入侵監(jiān)測能力；對于病毒等束手無策。入侵檢測系統(tǒng)可以彌補防火墻的不足，為網(wǎng)絡(luò)安全提供實時的入侵檢測及相應(yīng)的防護手段：記錄證據(jù)跟蹤入侵恢復(fù)和斷開網(wǎng)絡(luò)連接等11.5.3入侵檢測概念動態(tài)的安全模型P2DR模型：Policy（安全策略）、Protection（防護）、Detection（檢測）、Response（響應(yīng)）。響應(yīng)Response防護Protection檢測Detection策略PolicyP2DR在整體的安全策略的控制和指導(dǎo)下，綜合運用防護工具（如：防火墻、操作系統(tǒng)身份認證、加密手段等）的同時，利用檢測工具（如漏洞評估、入侵檢測系統(tǒng)）了解和評估系統(tǒng)的安全狀態(tài)，通過適當?shù)捻憫?yīng)將系統(tǒng)調(diào)整到“最安全”和“風險最低”的狀態(tài)。入侵檢測系統(tǒng)（IDS，IntrusionDetectionSystem）最早是由JamesAnderson于1980年提出來的；其定義是：對潛在的有預(yù)謀的未經(jīng)授權(quán)的訪問信息、操作信息以及致使系統(tǒng)不可靠、不穩(wěn)定或無法使用的企圖的檢測和監(jiān)視；ICSA(美國國際計算機安全協(xié)會)對入侵檢測的定義：通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。入侵檢測對安全保護采取的是一種積極、主動的防御策略；入侵檢測是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊、誤操作的實時保護。入侵檢測系統(tǒng)的組成事件產(chǎn)生器事件分析器事件數(shù)據(jù)庫響應(yīng)單元事件產(chǎn)生器響應(yīng)單元事件數(shù)據(jù)庫事件分析器入侵檢測系統(tǒng)的基本構(gòu)成圖入侵檢測系統(tǒng)中負責原始數(shù)據(jù)采集的部分，它對數(shù)據(jù)流、日至文件等進行追蹤，然后將搜集到的原始數(shù)據(jù)轉(zhuǎn)換成事件，并向系統(tǒng)的其他部分提供此事件接收事件信息，然后對它們進行分析，判斷是否為入侵行為或異?，F(xiàn)象，最后將判斷的結(jié)果轉(zhuǎn)變?yōu)榫嫘畔?。存放各種中間和最終數(shù)據(jù)的地方。它從事件發(fā)生器和時間分析器接收數(shù)據(jù)，一般會將數(shù)據(jù)進行較長時間的保存?？梢允菑?fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。根據(jù)報警信息做出反應(yīng)，可以做出切斷連接、改變文件屬性等強烈反應(yīng)，也可以只是簡單的報警，是IDS中的主動武器。11.5.4入侵檢測的功能監(jiān)控、分析用戶和系統(tǒng)的活動入侵檢測系統(tǒng)能夠完成入侵檢測任務(wù)的前提條件；IDS通過獲取進出某臺主機及整個網(wǎng)絡(luò)的數(shù)據(jù)，或者通過查看主機日志等信息來實現(xiàn)對用戶和系統(tǒng)活動的監(jiān)控。發(fā)現(xiàn)入侵企圖或異常現(xiàn)象IDS的核心功能；包括兩個方面：IDS對進出網(wǎng)絡(luò)或主機的數(shù)據(jù)流進行監(jiān)控，看是否存在對系統(tǒng)的入侵行為，作用是在入侵行為發(fā)生時及時發(fā)現(xiàn)，從而避免系統(tǒng)遭受攻擊；評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性，看系統(tǒng)是否已經(jīng)遭受了入侵，作用是通過攻擊行為留下的痕跡了解攻擊行為的一些情況，從而避免再次遭受攻擊。記錄、報警和響應(yīng)IDS首先記錄攻擊的基本情況，其次及時發(fā)出報警；好的IDS，不僅應(yīng)該能把相關(guān)的數(shù)據(jù)記錄在文件或數(shù)據(jù)庫中，還應(yīng)該能提供好的報表打印功能，還應(yīng)該采取必要的響應(yīng)行為；實現(xiàn)與防火墻等安全部件的響應(yīng)互動，是IDS需要研究和完善的功能之一。11.5.5入侵檢測的分類根據(jù)原始數(shù)據(jù)的來源基于主機的IDS主要用于保護運行關(guān)鍵應(yīng)用的服務(wù)器；通過監(jiān)視和分析主機的審計記錄和日志文件來檢測入侵；可監(jiān)測系統(tǒng)、事件、WinNT下的安全記錄以及Unix環(huán)境下的系統(tǒng)記錄，從中發(fā)現(xiàn)可疑行為；監(jiān)聽主機的端口的活動，并在特定端口被訪問時向管理員報警。基于網(wǎng)絡(luò)的IDS主要用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，偵聽網(wǎng)絡(luò)上的所有分組，采集數(shù)據(jù)，分析可疑對象；使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源；通過利用一個運行在混雜模式下的網(wǎng)絡(luò)適配器來實時監(jiān)視，并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)，也可能采用其他特殊硬件獲得原始網(wǎng)絡(luò)包；提供了許多基于主機的IDS無法提供的功能?；趹?yīng)用的IDS基于主機的IDS的一個特殊子集，是對基于主機IDS實現(xiàn)的進一步細化；主要特征：使用監(jiān)控傳感器在應(yīng)用層收集信息；可以更準確的監(jiān)控用戶某一應(yīng)用的行為；監(jiān)控某個軟件應(yīng)用程序中發(fā)生的活動，信息來源主要是應(yīng)用程序的日志。三種方法具有互補性基于網(wǎng)絡(luò)的IDS能夠客觀地反映網(wǎng)絡(luò)活動，特別是能夠監(jiān)視到系統(tǒng)審計的盲區(qū)；基于主機和基于應(yīng)用的IDS能夠更加精確地監(jiān)視系統(tǒng)中的各種活動。根據(jù)檢測原理異常入侵檢測也被稱為基于行為的檢測；試圖建立主體正?；顒拥摹靶袨槟Ｐ汀被蜉喞?。進行檢測時，將當前主體活動狀況與“行為模型”比較，發(fā)生顯著偏離時則認為該活動可能是入侵行為。其難點在于如何建立“行為模型”以及如何設(shè)計統(tǒng)計方法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。誤用入侵檢測也被稱為基于知識的檢測；通過對比已知攻擊手段及系統(tǒng)漏洞的模式特征來判斷系統(tǒng)中是否有入侵發(fā)生。具體說，根據(jù)靜態(tài)的、預(yù)先定義好的模式集合來過濾數(shù)據(jù)流，一旦發(fā)現(xiàn)數(shù)據(jù)包特征與某個模式特征相匹配，則認為是一次入侵?？梢詫⒁延械娜肭址绞綑z查出來,但對新的入侵方式無能為力。根據(jù)體系結(jié)構(gòu)集中式有多個分布于不同主機上的審計程序，只有一個中央入侵檢測服務(wù)器；審計程序把當?shù)厥占降臄?shù)據(jù)蹤跡發(fā)送給中央服務(wù)器進行分析處理；這種結(jié)構(gòu)的IDS在可伸縮性、可配置性方面存在致命缺陷。等級式（部分分布式）定義若干個分等級的監(jiān)控區(qū)域，每個IDS負責一個區(qū)域，每一級IDS只負責所監(jiān)控區(qū)的分析，然后將當?shù)氐姆治鼋Y(jié)果傳送給上一級IDS。存在的問題：當網(wǎng)絡(luò)拓撲結(jié)構(gòu)發(fā)生改變時，區(qū)域分析結(jié)果的匯總機制也需要做相應(yīng)的調(diào)整；這種結(jié)構(gòu)的IDS最后還是要把各地收集到的結(jié)果傳送到最高級的監(jiān)測服務(wù)器進行全局分析，系統(tǒng)的安全性沒有實質(zhì)性的改進。協(xié)作式（分布式）將中央檢測服務(wù)器的任務(wù)分配給多個基于主機的IDS，這些IDS不分等級，各司其職，負責監(jiān)控當?shù)刂鳈C的某些活動；可伸縮性、安全性得到了提高，維護成本也高了很多，主機的工作負荷也增加了。根據(jù)工作方式離線檢測非實時工作的系統(tǒng)，在事件發(fā)生后分析審計事件，從中檢查入侵事件；成本低，可分析大量的事件，調(diào)查長期的情況；由于在事后進行分析，不能對系統(tǒng)提供及時的保護。在線檢測對網(wǎng)絡(luò)數(shù)據(jù)包或主機的審計事件進行實時分析；可以快速反應(yīng)，保護系統(tǒng)的安全；系統(tǒng)規(guī)模較大時，難以保證實時性。11.5.6入侵檢測技術(shù)概率統(tǒng)計方法異常檢測技術(shù)中應(yīng)用最早、最多的方法；它對用戶歷史行為建立模型，根據(jù)該模型，當發(fā)現(xiàn)有可疑的用戶行為發(fā)生時保持跟蹤，并監(jiān)視和記錄該用戶的行為；實現(xiàn)方法：檢測器根據(jù)用戶對象的動作行為為每個用戶建立一個用戶特征表，通過比較當前的特征與已存儲定型的以前特征，從而判斷是否為異常行為；用戶特征表需要根據(jù)審計記錄情況不斷地加以更新。優(yōu)越性：能應(yīng)用成熟的概率統(tǒng)計理論；不足之處：統(tǒng)計檢測對于事件發(fā)生的次序不敏感，完全依靠統(tǒng)計理論可能會漏掉那些利用彼此相關(guān)聯(lián)事件的入侵行為；定義判斷入侵的閾值比較困難，閾值太高則誤檢率提高，閾值太低則漏檢率增高。神經(jīng)網(wǎng)絡(luò)方法人工神經(jīng)網(wǎng)絡(luò)簡介人工神經(jīng)網(wǎng)絡(luò)（ANN，ArtificialNeuralNetwork）是從微觀結(jié)構(gòu)和功能上對人腦神經(jīng)系統(tǒng)的模擬而建立起來的一類模型，具有模擬人的部分形象思維的能力；特點：具有非線性特性、學習能力和自適應(yīng)能力；它是由簡單信息處理單元（人工神經(jīng)元，簡稱神經(jīng)元）胡連組成的網(wǎng)絡(luò)，能接受并處理信息；網(wǎng)絡(luò)的信息處理由處理單元之間的相互作用來實現(xiàn)，它通過把問題表達成處理單元之間的連接權(quán)來處理。yj：神經(jīng)元i的輸入值；wij：神經(jīng)元i與j的連接權(quán)值；z：神經(jīng)元的輸出；θ：神經(jīng)元的閾值。z=f(x)——激勵函數(shù)即：Σ。。。y1y2yjwi1wi2wijθf(x)zxynwin神經(jīng)網(wǎng)絡(luò)工作分兩個階段：學習期：神經(jīng)元之間的連接權(quán)值可由學習規(guī)則進行調(diào)整，搜索尋優(yōu)以示準則（或稱目標）函數(shù)達到最優(yōu)，從而改善網(wǎng)絡(luò)自身的性能；工作期：連接權(quán)值不便，由網(wǎng)絡(luò)的輸入得到輸出。。。。。。。輸入層隱含層輸出層x1xiwijwjkyi利用神經(jīng)網(wǎng)絡(luò)檢測入侵的基本思想：用一系列信息單元（命令）訓練神經(jīng)元，這樣在給定一組輸入后，就可能預(yù)測出輸出；是對基于概率統(tǒng)計方法的改進，克服了傳統(tǒng)的統(tǒng)計分析技術(shù)的一些問題：難以表達變量之間的非線性關(guān)系；難以確立確切的統(tǒng)計分布；難以實施方法的普遍性；實現(xiàn)方法比較昂貴；系統(tǒng)臃腫，難以剪裁。用于檢測的神經(jīng)網(wǎng)絡(luò)模塊結(jié)構(gòu)：當前命令和剛過去的w個命令組成了神經(jīng)網(wǎng)絡(luò)的輸入，其中w是神經(jīng)網(wǎng)絡(luò)預(yù)測下一個命令時所包含的過去命令集的大小；根據(jù)用戶的代表性命令序列訓練網(wǎng)絡(luò)后，該神經(jīng)網(wǎng)絡(luò)就形成了相應(yīng)用戶的特征表，于是網(wǎng)絡(luò)對下一事件的預(yù)測錯誤率在一定程度上反映了用戶行為的異常程度。。。。輸入層隱含層輸出層chmodwijwjkyilspwdvi優(yōu)點：能更好的處理原始數(shù)據(jù)的隨機特征，即不需要對這些數(shù)據(jù)作任何統(tǒng)計假設(shè)；具有較好的抗干擾能力。缺點：網(wǎng)絡(luò)的拓撲結(jié)構(gòu)以及各元素的權(quán)重很難確定；命令窗口w的大小難以選定，窗口太小，則網(wǎng)絡(luò)輸出不好，窗口太大，則網(wǎng)絡(luò)會因為大量無關(guān)數(shù)據(jù)而降低效率。專家系統(tǒng)專家系統(tǒng)是基于一套由專家經(jīng)驗事先定義的規(guī)則的推理系統(tǒng)。將有關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié)構(gòu)的規(guī)則，即將構(gòu)成入侵所要求的條件轉(zhuǎn)化為if部分，將發(fā)現(xiàn)入侵后采取的相應(yīng)措施轉(zhuǎn)化成then部分；當其中某個或部分條件滿足時，系統(tǒng)就判斷為入侵行為發(fā)生。if-then結(jié)構(gòu)構(gòu)成了描述具體攻擊的規(guī)則庫，推理機根據(jù)規(guī)則和行為完成判斷工作。

專家系統(tǒng)面臨的問題全面性問題：很難從各種入侵手段中抽象出全面的規(guī)則化知識；效率問題：需要處理的數(shù)據(jù)量很大，而且在大型系統(tǒng)上，很難獲得實時連續(xù)的審計數(shù)據(jù)。

模型推理模型推理是指結(jié)合攻擊腳本推理出入侵行為是否出現(xiàn)；攻擊者在攻擊一個系統(tǒng)時采用一定的行為程序，這些行為程序構(gòu)成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可實時地檢測出攻擊；用基于模型的推理方法，可為某些行為建立特定的模型，從而能夠監(jiān)視具有特定行為特征的某些活動。根據(jù)假設(shè)的攻擊腳本，系統(tǒng)可檢測出非法的用戶行為。文件完整性檢查文件完整性檢查系統(tǒng)檢查計算機中自上次檢查后文件的變化情況；文件完整性檢查系統(tǒng)檢查系統(tǒng)保存每個文件的數(shù)字文摘數(shù)據(jù)庫，每次檢查時，它重新計算文件的數(shù)字文摘，將它與數(shù)據(jù)庫中得值相比較，如不同，則說明文件被修改，若相同，則說明文件未發(fā)生變化。文件的數(shù)字文摘通過Hash函數(shù)計算得到，不管文件長短，它的Hash函數(shù)計算結(jié)果是一個固定長度的數(shù)字；Hash函數(shù)是一個不可逆的單向函數(shù)。采用安全性高的Hash寒暑，兩個不同的文件幾乎不可能得到相同的Hash結(jié)果。優(yōu)點：從數(shù)學上分析，攻克文件完整性檢查系統(tǒng)，無論從時間上還是空間上都是不可能的；弱點：依賴于本地的文摘數(shù)據(jù)庫計算機免疫技術(shù)人類的自然免疫系統(tǒng)的作用是保護人類免遭病菌的侵害，而計算機安全系統(tǒng)的作用是防止計算機網(wǎng)絡(luò)免遭病毒、蠕蟲和入侵者的攻擊，兩個系統(tǒng)有很明顯的相似之處；Forrest等人提出計算機免疫技術(shù)，應(yīng)用于信息安全。遺傳算法遺傳算法簡介基本思想是基于Darwin進化論和Mendel遺傳學說；遺傳算法在入侵檢測中的應(yīng)用利用若干字符串序列來定義用于分析檢測的指令組，用以識別正?；蛘弋惓Ｐ袨榈倪@些指令在初始訓練階段中不斷進化，提高分析能力；將遺傳算法和神經(jīng)網(wǎng)絡(luò)相結(jié)合，將GA應(yīng)用于ANN的學習，網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計和網(wǎng)絡(luò)的分析等方面，然后應(yīng)用到入侵檢測領(lǐng)域。數(shù)據(jù)挖掘技術(shù)數(shù)據(jù)挖掘（DataMining）也稱數(shù)據(jù)庫中的知識發(fā)現(xiàn)；數(shù)據(jù)挖掘是指從大型數(shù)據(jù)庫或數(shù)據(jù)倉庫中提取人們感興趣的知識，這些知識是隱藏的、事先未知的潛在有用信息，提取的知識一般可表示為概念、規(guī)則、規(guī)律、模式等形式；數(shù)據(jù)挖掘是一門交叉性學科，涉及到機器學習、模式識別、歸納推理、統(tǒng)計學、數(shù)據(jù)庫、數(shù)據(jù)可視化、高性能計算等多個領(lǐng)域。數(shù)據(jù)挖掘在入侵檢測中應(yīng)用發(fā)現(xiàn)入侵的規(guī)則、模式，與模式匹配檢測方法相結(jié)合；用于異常檢測，找出用戶正常行為，創(chuàng)建用戶的正常行為庫。數(shù)據(jù)挖掘能解決的問題可以彌補模式匹配技術(shù)對未知攻擊無能為力的弱點；使檢測模型的構(gòu)建自動化，發(fā)展異常檢測方法。其他的檢測技術(shù)狀態(tài)轉(zhuǎn)換分析模糊證據(jù)理論數(shù)據(jù)融合移動代理技術(shù)等等11.5.11入侵誘騙技術(shù)概念入侵誘騙技術(shù)是較傳統(tǒng)入侵檢測技術(shù)更為主動的一種安全技術(shù)。包括蜜罐（Honeypot）和密網(wǎng)（Honeynet）技術(shù)，加載它們的系統(tǒng)分別稱為蜜罐系統(tǒng)和密網(wǎng)系統(tǒng)；原理：用特有的特征吸引攻擊者，同時對攻擊者的各種攻擊行為進行分析，并找到有效的對付方法。為了吸引攻擊者，網(wǎng)絡(luò)安全專家通常在Honeypot上故意留下一些安全后門來吸引攻擊者上鉤，或者放置一些網(wǎng)絡(luò)攻擊者希望得到的敏感信息；當攻擊者攻入目標系統(tǒng)時，它在目標系統(tǒng)中的所有行為都被Honeypot所記錄。蜜罐技術(shù)Honeypot是一種被偵聽、被攻擊或已經(jīng)被入侵的資源；無論如何對Honeypot進行配置，最終目的就是使得整個系統(tǒng)處于被偵聽、被攻擊的狀態(tài)；Honeypot是試圖將攻擊者從關(guān)鍵系統(tǒng)引誘開的誘騙系統(tǒng)，系統(tǒng)充滿了入侵這看來很有用的信息，但這些信息實際上是“誘餌”；Honeypot不是一種安全解決方案，因為Honeypot并不會“修理”任何錯誤Honeypot不會直接提高計算機網(wǎng)路的安全，但它卻是其他安全策略所不能替代的一種主動攻擊防御技術(shù)；為了方便攻擊者攻擊，最好將Honeypot設(shè)置成域名服務(wù)器、Web或電子郵件轉(zhuǎn)發(fā)等流行應(yīng)用中某一種。互聯(lián)網(wǎng)軟件Honeypot硬件Honeypot攻擊行為嗅探通信入侵檢測系統(tǒng)防火墻防火墻日至經(jīng)過處理的數(shù)據(jù)分析員工作站Honeypot系統(tǒng)在安全工作中的地位蜜網(wǎng)技術(shù)Honeynet設(shè)計的目的就是從現(xiàn)存的各種威脅中提取有用的信息，發(fā)現(xiàn)新型的攻擊工具，確定攻擊的模式并研究攻擊者的攻擊動機。Honeynet是研究性Honeypot；Honeynet并不是一種比傳統(tǒng)的Honeypot更好的解決方案，只是側(cè)重點不同；Honeynet工作的實質(zhì)是在各種網(wǎng)絡(luò)跡象中獲取所需的信息，而不是對攻擊進行誘騙或檢測。Honeynet是一種特殊的Honeypot，在設(shè)計上與Honeypot有兩點不同：Honeynet不是一種單獨的系統(tǒng)，而是由多個系統(tǒng)和多個攻擊檢測應(yīng)用組成的網(wǎng)絡(luò)。Honeynet放置在防火墻的后面，所有進出網(wǎng)絡(luò)的數(shù)據(jù)都會通過這里，并可以捕獲并控制這些數(shù)據(jù)，根據(jù)捕獲的數(shù)據(jù)信息分析的結(jié)果就可以得到攻擊組織所使用的工具，策略和動機；所有放置在Honeynet中的系統(tǒng)都是標準的產(chǎn)品系統(tǒng)。這些系統(tǒng)和應(yīng)用都是用戶可以在互聯(lián)網(wǎng)上找到的真實系統(tǒng)和應(yīng)用。11.5.8入侵檢測體系入侵檢測模型Denning模型主體活