《物聯(lián)網(wǎng)信息安全》課件第7章

7.1入侵檢測技術(shù)7.2入侵防御技術(shù)7.3容侵容錯技術(shù)7.4虛擬專用網(wǎng)絡(luò)第7章物聯(lián)網(wǎng)集成安全技術(shù)

7.1入侵檢測技術(shù)

7.1.1相關(guān)概念

入侵檢測(IntrusionDetection)是對入侵行為的檢測，它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、其他網(wǎng)絡(luò)上可以獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。7.1.2入侵檢測技術(shù)的分類

目前入侵檢測系統(tǒng)所采用的入侵檢測技術(shù)可分為特征檢測與異常檢測兩種，下面分別進行介紹。

特征檢測的主要優(yōu)點如下：

(1)實現(xiàn)容易。

(2)檢測精確。

(3)升級容易。

特征檢測的主要不足在于：它可以將已有的入侵方法檢測出來，但對新的入侵方法無能為力。異常檢測：異常檢測(AnomalyDetection)假設(shè)入侵者的活動異常于正常主體的活動，根據(jù)這一理念建立主體正常活動的“活動簡檔”，將當前主體的活動狀況與“活動簡檔”相比較，當違反其統(tǒng)計規(guī)律時，認為該活動可能是“網(wǎng)絡(luò)入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設(shè)計統(tǒng)計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。

1．基于主機的入侵檢測系統(tǒng)

基于主機的入侵檢測系統(tǒng)的主要特點如下：

(1)監(jiān)視特定的系統(tǒng)活動。

(2)能夠檢測到基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)檢測不出的攻擊。

(3)適用于采用了數(shù)據(jù)加密和交換式連接的子網(wǎng)環(huán)境。

(4)有較高的實時性。

(5)不需增加額外的硬件設(shè)備。

2．基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

NIDS有許多僅靠基于主機的入侵檢測方法無法提供的優(yōu)點，具體表現(xiàn)如下：

(1)擁有成本較低。

(2)檢測HIDS漏掉的攻擊。

(3)可以檢查有效負載的內(nèi)容。

(4)攻擊者不易轉(zhuǎn)移證據(jù)。

(5)實時檢測和響應(yīng)。

(6)檢測未成功的攻擊和不良意圖。

(7)操作系統(tǒng)無關(guān)性。

3．分布式的入侵檢測系統(tǒng)

分布式的入侵檢測系統(tǒng)一般為分布式結(jié)構(gòu)，由多個部件組成，在關(guān)鍵主機上采用主機入侵檢測，在網(wǎng)絡(luò)關(guān)鍵節(jié)點上采用網(wǎng)絡(luò)入侵檢測，同時分析來自主機系統(tǒng)的審計日志和來自網(wǎng)絡(luò)的數(shù)據(jù)流，判斷被保護的系統(tǒng)是否受到攻擊。7.1.3入侵檢測過程

(1)信息收集。

(2)信息分析。

(3)結(jié)果處理。7.1.4常見的入侵檢測方法

(1)模式匹配法：

(2)專家系統(tǒng)法：

(3)基于狀態(tài)轉(zhuǎn)移分析的檢測法：

1．人工神經(jīng)網(wǎng)絡(luò)

人工神經(jīng)網(wǎng)絡(luò)(ArtificialNeuralNetworks，ANNs)也稱為神經(jīng)網(wǎng)絡(luò)(NNs)或連接模型(ConnectionModel)，它是一種模仿動物神經(jīng)網(wǎng)絡(luò)行為特征，進行分布式并行信息處理的算法數(shù)學(xué)模型。這種網(wǎng)絡(luò)依靠系統(tǒng)的復(fù)雜程度，通過調(diào)整內(nèi)部大量節(jié)點之間相互連接的關(guān)系，從而達到處理信息的目的。

2．支持向量機

支持向量機(SupportVectorMachine，SVM)是由Vapnik領(lǐng)導(dǎo)的AT&TBell實驗室研究小組在1995年提出的一種新的非常有潛力的分類技術(shù)。

3．決策樹

決策樹算法是從機器學(xué)習(xí)領(lǐng)域逐漸發(fā)展起來的一種分類函數(shù)逼近方法，常用來分析數(shù)據(jù)或做預(yù)測，是一種常見的數(shù)據(jù)挖掘算法。決策樹分類方法包括兩個步驟：

(1)學(xué)習(xí)(構(gòu)建決策樹)：

(2)分類(使用決策樹)：下面對各種實用的決策樹算法進行介紹。

1)?ID3算法

在20世紀70年代后期和80年代初期，機器學(xué)習(xí)研究者Quinlan開發(fā)了決策樹算法ID3，這項工作擴展了Hunt、Marin和Stone的概念學(xué)習(xí)系統(tǒng)(CLS，conceptlearningsystem)，是最有影響的決策樹方法，它是基于信息熵的一種歸納的學(xué)習(xí)方法，采用貪婪算法構(gòu)造決策樹。Quinlan在ID3算法中首次將信息論中的熵概念引入到?jīng)Q策樹的構(gòu)造中來，提出“信息增益”的概念來選擇需要檢驗的屬性，因此被看做是CLS算法的極大發(fā)展，大大地簡化了構(gòu)造后產(chǎn)生的決策樹的規(guī)模。

2)?C4.5算法

ID3算法用到的信息增益標準在進行決策樹構(gòu)造時會產(chǎn)生偏差，因為信息增益偏向于多值屬性。針對這種缺點，Quinlan提出了C4.5算法，該算法提出信息增益率概念。信息增益率在一定程度上克服了ID3算法的上述缺陷，并且可以有效地處理連續(xù)屬性。7.1.5KDDCUP99入侵檢測數(shù)據(jù)集介紹

1.?TCP連接的基本特征

(1)?duration.?連接持續(xù)時間，以秒為單位，連續(xù)類型，范圍是[0，58329]。

(2)?protocol_type.?協(xié)議類型，離散類型，共有三種：TCP、UDP和ICMP。

(3)?service.?目標主機的網(wǎng)絡(luò)服務(wù)類型，離散類型，共有70種：'aol'、'auth'、'bgp'、'courier'、'csnet_ns'、'ctf'、'daytime'、'discard'、'domain'、'domain_u'、'echo'、'eco_i'、'ecr_i'、'efs'、'exec'、'finger'、'ftp'、'ftp_data'、'gopher'、'harvest'、'hostnames'、'http'、'http_2784'、'http_443'、'http_8001'、'imap4'、'IRC'、'iso_tsap'、'klogin'、'kshell'、'ldap'、'link'、'login'、'mtp'、'name'、'netbios_dgm'、'netbios_ns'、'netbios_ssn'、'netstat'、'nnsp'、'nntp'、'ntp_u'、'other'、'pm_dump'、'pop_2'、'pop_3'、'printer'、'private'、'red_i'、'remote_job'、'rje'、'shell'、'smtp'、'sql_net'、'ssh'、'sunrpc'、'supdup'、'systat'、'telnet'、'tftp_u'、'tim_i'、'time'、'urh_i'、'urp_i'、'uucp'、'uucp_path'、'vmnet'、'whois'、'X11'、'Z39_50'。

(4)?flag.?連接正常或錯誤的狀態(tài)，離散類型，共11種。

(5)?src_bytes.?從源主機到目標主機的數(shù)據(jù)的字節(jié)數(shù)，連續(xù)類型，范圍是[0,1379963888]。

(6)?dst_bytes.?從目標主機到源主機的數(shù)據(jù)的字節(jié)數(shù)，連續(xù)類型，范圍是[0,1309937401]。

(7)?land.?若連接來自/送達同一個主機/端口則為1，否則為0，離散類型，0或1。

(8)?wrong_fragment.?錯誤分段的數(shù)量，連續(xù)類型，范圍是[0,3]。

(9)?urgent.?加急包的個數(shù)，連續(xù)類型，范圍是[0,14]。

2.?TCP連接的內(nèi)容特征

對于U2R和R2L之類的攻擊，由于它們不像Dos攻擊那樣在數(shù)據(jù)記錄中具有頻繁的序列模式，而是一般都嵌入在數(shù)據(jù)包的數(shù)據(jù)負載里面，單一的數(shù)據(jù)包和正常連接沒有什么區(qū)別。

3.基于時間的網(wǎng)絡(luò)流量的統(tǒng)計特征

(1)?count.過去兩秒內(nèi)，與當前連接具有相同的目標主機的連接數(shù)，連續(xù)類型，范圍是[0,511]。

(2)?srv_count.過去兩秒內(nèi)，與當前連接具有相同服務(wù)的連接數(shù)，連續(xù)類型，范圍是

[0，511]。

(3)?serror_rate.過去兩秒內(nèi)，在與當前連接具有相同目標主機的連接中，出現(xiàn)“SYN”錯誤的連接的百分比，連續(xù)類型，范圍是[0.00,1.00]。

(4)?srv_serror_rate.過去兩秒內(nèi)，在與當前連接具有相同服務(wù)的連接中，出現(xiàn)“SYN”錯誤的連接的百分比，連續(xù)類型，范圍是[0.00,1.00]。

(5)?rerror_rate.過去兩秒內(nèi)，在與當前連接具有相同目標主機的連接中，出現(xiàn)“REJ”錯誤的連接的百分比，連續(xù)類型，范圍是[0.00,1.00]。

(6)?srv_rerror_rate.過去兩秒內(nèi)，在與當前連接具有相同服務(wù)的連接中，出現(xiàn)“REJ”錯誤的連接的百分比，連續(xù)類型，范圍是[0.00,1.00]。

(7)?same_srv_rate.過去兩秒內(nèi)，在與當前連接具有相同目標主機的連接中，與當前連接具有相同服務(wù)的連接的百分比，連續(xù)類型，范圍是[0.00,1.00]。

(8)?diff_srv_rate.過去兩秒內(nèi)，在與當前連接具有相同目標主機的連接中，與當前連接具有不同服務(wù)的連接的百分比，連續(xù)類型，范圍是[0.00,1.00]。

(9)?srv_diff_host_rate.過去兩秒內(nèi)，在與當前連接具有相同服務(wù)的連接中，與當前連接具有不同目標主機的連接的百分比，連續(xù)類型，范圍是[0.00,1.00]。

4.基于主機的網(wǎng)絡(luò)流量的統(tǒng)計特征

(1)?dst_host_count.前100個連接中，與當前連接具有相同目標主機的連接數(shù)，連續(xù)類型，范圍是[0,255]。

(2)?dst_host_srv_count.前100個連接中，與當前連接具有相同目標主機相同服務(wù)的連接數(shù)，連續(xù)類型，范圍是[0,255]。

(3)?dst_host_same_srv_rate.前100個連接中，與當前連接具有相同目標主機相同服務(wù)的連接所占的百分比，連續(xù)類型，范圍是[0.00,1.00]。

(4)?dst_host_diff_srv_rate.前100個連接中，與當前連接具有相同目標主機不同服務(wù)的連接所占的百分比，連續(xù)類型，范圍是[0.00,1.00]。

(5)?dst_host_same_src_port_rate.前100個連接中，與當前連接具有相同目標主機、相同源端口的連接所占的百分比，連續(xù)類型，范圍是[0.00,1.00]。

(6)?dst_host_srv_diff_host_rate.前100個連接中，與當前連接具有相同目標主機、相同服務(wù)的連接中，與當前連接具有不同源主機的連接所占的百分比，連續(xù)類型，范圍是[0.00,1.00]。

(7)?dst_host_serror_rate.前100個連接中，與當前連接具有相同目標主機的連接中，出現(xiàn)“SYN”錯誤的連接所占的百分比，連續(xù)類型，范圍是[0.00,1.00]。

(8)?dst_host_srv_serror_rate.前100個連接中，與當前連接具有相同目標主機、相同服務(wù)的連接中，出現(xiàn)“SYN”錯誤的連接所占的百分比，連續(xù)類型，范圍是[0.00,1.00]。

(9)?dst_host_rerror_rate.前100個連接中，與當前連接具有相同目標主機的連接中，出現(xiàn)“REJ”錯誤的連接所占的百分比，連續(xù)類型，范圍是[0.00,1.00]。

(10)?dst_host_srv_rerror_rate.前100個連接中，與當前連接具有相同目標主機、相同服務(wù)的連接中，出現(xiàn)“REJ”錯誤的連接所占的百分比，連續(xù)類型，范圍是[0.00,1.00]。7.1.6KDDCUP99數(shù)據(jù)集存在的問題與改進

KDDCUP99自公布以來，出現(xiàn)了許多基于此數(shù)據(jù)集的研究成果和研究論文，然而KDDCUP99數(shù)據(jù)集仍有一些缺點，或者說該數(shù)據(jù)集還有待改進與完善的方面：

(1)特征選擇缺陷，一些掃描主機或端口的時間間隔大于2秒(如每分鐘掃描一次)的攻擊不易識別。改進方法：連接記錄可以按目的主機分類，如特征的構(gòu)建使用100個有相同目的主機的連接作為檢查單元而不用時間單元，亦即采用“基于主機的流量特性集”。

(2)數(shù)據(jù)集缺少主機數(shù)據(jù)(主機日志)的信息，且由于網(wǎng)絡(luò)數(shù)據(jù)報文段的非結(jié)構(gòu)化信息中的特征不易提取，因此U2L和U2R類攻擊的識別效率比較低。

(3)隨著時間的發(fā)展和新應(yīng)用的出現(xiàn)，新的攻擊以及變體不斷涌現(xiàn)，原先數(shù)據(jù)集中的攻擊樣本顯得陳舊。

(4)數(shù)據(jù)集的網(wǎng)絡(luò)應(yīng)用環(huán)境是10M以太網(wǎng)，而根據(jù)目前網(wǎng)絡(luò)的實際應(yīng)用環(huán)境，100M/1000M以太網(wǎng)環(huán)境才能符合當前的應(yīng)用需求。

(5)不能反映網(wǎng)絡(luò)節(jié)點被入侵后的丟包行為，不適用于如Adhoc網(wǎng)絡(luò)的入侵檢測系統(tǒng)，需要改進，添加相應(yīng)的特征。

7.2入侵防御技術(shù)

7.2.1入侵防御技術(shù)的提出

隨著網(wǎng)絡(luò)入侵事件的不斷增加和黑客攻擊水平的不斷提高，一方面企業(yè)網(wǎng)絡(luò)感染病毒、遭受攻擊的速度日益加快，另一方面企業(yè)網(wǎng)絡(luò)受到攻擊時做出響應(yīng)的時間卻越來越滯后。解決這一矛盾，傳統(tǒng)的防火墻或入侵檢測技術(shù)(IDS)顯得力不從心，這就需要引入一種全新的技術(shù)—入侵防御(IntrusionPreventionSystem，IPS)。7.2.2IPS的技術(shù)特點及種類

1．IPS的技術(shù)特點

(1)嵌入式運行。

(2)深入分析和控制。

(3)入侵特征庫。

(4)高效處理能力。

(5)協(xié)議分析是IPS技術(shù)的一個里程碑。

2．IPS的種類

1)基于主機的入侵防御(HIPS)系統(tǒng)

2)基于網(wǎng)絡(luò)的入侵防御(NIPS)

3)基于應(yīng)用的入侵防御系統(tǒng)(AIPS)

7.2.3IPS面臨的問題及發(fā)展趨勢

IPS面臨的問題主要有以下幾個方面：

(1)漏報、誤報率問題。

(2)性能問題。

(3)擴大規(guī)則庫的障礙。

(4)性能消耗。

7.2.4理想的IPS應(yīng)具有的特點

一個理想的入侵防護解決方案應(yīng)該包括以下特點：

(1)主動、實時地預(yù)防攻擊。

(2)補丁等待保護。

(3)保護每個重要的服務(wù)器。

(4)特征和行為規(guī)則。

(5)深層防護。

(6)可管理性。

(7)可擴展性。

(8)經(jīng)驗證的防護技術(shù)。

7.3容侵容錯技術(shù)

7.3.1容侵技術(shù)的基本概念

容侵就是指在網(wǎng)絡(luò)中存在惡意入侵的情況下，網(wǎng)絡(luò)仍然能夠正常地運行?；谌萸旨夹g(shù)設(shè)計的系統(tǒng)必須能夠避免由入侵所導(dǎo)致的失效，在面對攻擊的情況下仍能提供正常的服務(wù)，所以容侵技術(shù)必須具備以下三個特點：

(1)消除單點失效。

(2)抵制內(nèi)部犯罪。

(3)消除權(quán)利集中。

7.3.2常見的容侵技術(shù)

1．秘密共享與門限密碼技術(shù)

2．冗余技術(shù)

3．表決技術(shù)

4．對象復(fù)制技術(shù)7.3.3無線傳感器網(wǎng)絡(luò)中的容侵框架

NASSER和CHEN提出了一種無線傳感器網(wǎng)絡(luò)中的容侵框架，該框架包括三個部分：

(1)判定惡意節(jié)點。

(2)啟動容侵機制。

(3)通過節(jié)點之間的協(xié)作，對惡意節(jié)點做出處理決定(排除或是恢復(fù))。7.3.4容錯技術(shù)的基本概念

無線傳感器網(wǎng)絡(luò)可用性的另一個要求是網(wǎng)絡(luò)的容錯性。

目前相關(guān)領(lǐng)域的研究內(nèi)容主要集中在：

(1)網(wǎng)絡(luò)拓撲中的容錯。

(2)網(wǎng)絡(luò)覆蓋中的容錯。

(3)數(shù)據(jù)檢測中的容錯。7.3.5容侵與容錯和入侵檢測