第4章 安全審計與入侵檢測.ppt

1、第 4 章 安全審計與入侵檢測,4.1 安全審計 4.1.1 安全審計概念 4.1.2 安全審計目的 4.1.3 安全審計內(nèi)容 4.1.4 安全審計分類和過程 4.1.5 審計日志管理 4.1.6 安全審計系統(tǒng)的組成、功能與特點 4.2 入侵檢測 4.2.1 入侵檢測概述 4.2.2 入侵檢測側(cè)方法 4.2.3 入侵檢測系統(tǒng)的部署 4.2.4 入侵檢測技術(shù)發(fā)展 4.2.5 與入侵檢測有關(guān)的新技術(shù),4.1 安全審計,安全審計即是對安全方案中的功能提供持續(xù)的評估。安全審計可以為安全官員提供一組可進(jìn)行分析的管理數(shù)據(jù)，以發(fā)現(xiàn)在何處發(fā)生了違反安全方案的事件。為了保證信息系統(tǒng)安全可靠的運(yùn)行，需加強(qiáng)信息安全

2、審計。,4.1.1 安全審計概念,從總體上說，安全審計是采用數(shù)據(jù)挖掘和數(shù)據(jù)倉庫技術(shù)，實現(xiàn)在不同網(wǎng)絡(luò)環(huán)境中終端對終端的監(jiān)控和管理，必要時通過多種途徑向管理員發(fā)出警告或自動采取排錯措施，能對歷史數(shù)據(jù)進(jìn)行分析、處理和追蹤。利用安全審計結(jié)果，可調(diào)整安全政策，堵住出現(xiàn)的漏洞。,安全審計日志,利用安全審計日志進(jìn)行監(jiān)控是一種更為主動的監(jiān)督管理形式，它也是一種檢測觸犯安全規(guī)定事件的手段。 出于它自身的重要性，安全審計日志和監(jiān)控功能本身給安全帶來了額外的威脅，因此必須加強(qiáng)對這類信息的保護(hù)。 對安全審計日志和監(jiān)控功能的使用也必須做審計記錄，否則蓄謀作案的內(nèi)部人員將有機(jī)可乘，逃脫審查。,安全審計和報警,安全報警的產(chǎn)

3、生是檢測到任何符合已定義報警條件的安全相關(guān)事件的結(jié)果。 安全審計和報警的實現(xiàn)，可能需要使用其他安全服務(wù)來支持安全審計和報警服務(wù)，并確保它們正確而有把握地運(yùn)行。 安全審計和報警服務(wù)與其他安全服務(wù)的不同之處在于沒有單個的特定安全機(jī)制可以用于提供這種服務(wù)。,安全審計跟蹤,安全審計跟蹤是一種很有價值的安全機(jī)制，可以通過事后的安全審計來檢測和調(diào)查安全策略執(zhí)行的情況以及安全遭到破壞的情況。 安全審計需要安全審計跟蹤與安全有關(guān)的記錄信息，以及從安全審計跟蹤中得到的分析和報告信息。 日志或記錄被視為一種安全機(jī)制，而分析和報告生成則被視為一種安全管理功能。,4.1.2 安全審計目的,安全審計與報警的目的是根據(jù)適

4、當(dāng)安全機(jī)構(gòu)的安全策略，確保與開放系統(tǒng)互聯(lián)的安全有關(guān)的事件得到處理，安全審計只在定義的安全策略范圍內(nèi)提供。 具體的目的主要有： 輔助辨識和分析來經(jīng)授權(quán)的活動或攻擊； 幫助保證那些實體響應(yīng)行動處理這些活動； 促進(jìn)開發(fā)改進(jìn)的損傷控制處理程序； 認(rèn)可與已建立的安全策略的一致性； 報告那些可能與系統(tǒng)控制不相適應(yīng)的信息； 辨識可能需要的對控制、策略和處理程序的改變。,4.1.3 安全審計內(nèi)容,個人職能（Individual Accountability）。審計跟蹤是管理人員用來維護(hù)個人職能的技術(shù)手段。 事件重建（Reconstruction of Events）。在發(fā)生故障后，審計跟蹤可以用于重建事件和數(shù)

5、據(jù)恢復(fù)。 入侵檢測（Intrusion Detection）。審計跟蹤記錄可以用來協(xié)助入侵檢測工作。 故障分析（Problem Analysis）。審計跟蹤可以用于實時審計或監(jiān)控。,4.1.4 安全審計分類和過程,安全審計分類 按照審計對象分類 ： 網(wǎng)絡(luò)審計； 主機(jī)審計； 應(yīng)用系統(tǒng)審計 。 按照審計方式分類： 人工審計；半自動審計；智能審計。 審計過程的實現(xiàn) ： 第一步，收集審計事件，產(chǎn)生審計記錄； 第二步，根據(jù)記錄進(jìn)行安全事件的分析； 第三步，采取處理措施。審計范圍包括操作系統(tǒng)和各種應(yīng)用程序。,審計的工作流程,根據(jù)相應(yīng)的審計條件判斷事件是否是審計事件。對審計事件的內(nèi)容按日志的模式記錄到審計日

6、志中。對滿足報警條件的事件向?qū)徲媶T發(fā)送報警信息并記錄其內(nèi)容。當(dāng)事件在一定時間內(nèi)頻繁發(fā)生，滿足逐出系統(tǒng)的條件值時，則將引起該事件的用戶逐出系統(tǒng)并記錄其內(nèi)容。審計員可以查詢、檢索審計日志以形成審計報告。,4.1.5 審計日志管理,審計日志是記錄信息系統(tǒng)安全狀態(tài)和問題的依據(jù)，各級信息系統(tǒng)必須制定保存和調(diào)閱審計日志的管理制度。 忽視日志管理很快會變成嚴(yán)重的問題，日志管理是確保記錄長期穩(wěn)定和有用的過程。,日志的內(nèi)容,基于安全觀點考慮，理想的日志應(yīng)該包括全部與數(shù)據(jù)、程序以及與系統(tǒng)資源相關(guān)事件的記錄。 實際上，這樣的日志只能適用于某些有特殊需要的系統(tǒng)，因為它所付出的代價太大，因此，最好根據(jù)系統(tǒng)的安全目標(biāo)和操

7、作環(huán)境單獨設(shè)計日志。 日志中的典型信息列舉如下： 事件的性質(zhì)； 全部相關(guān)組件的標(biāo)識； 有關(guān)事件的信息。,日志的作用,當(dāng)雇員涉嫌欺騙、貪污或有其他非法使用系統(tǒng)的行為時，日志可以為調(diào)查處理工作提供有效的證明。 日志還可以作為責(zé)任認(rèn)定的依據(jù)，當(dāng)發(fā)生責(zé)任糾紛時，查閱日志不失是一種好方法。 另外，日志作為系統(tǒng)運(yùn)行記錄集，對分析系統(tǒng)畫了情況、排除故障和提高效率都會起到很好的幫助作用。,日志的管理方法,日志管理最典型的方法是日志輪轉(zhuǎn)，即將舊的、已寫滿的日志文件移到一邊，新的空日志文件占用它們的位置。 正確輪轉(zhuǎn)日志以后，還必須注意備份。 經(jīng)常是已經(jīng)發(fā)現(xiàn)了攻擊，要回過頭來看看攻擊者還要試圖做什么。要完成這一點，

8、需要對日志做索引；需要滾動舊的日志以離線存儲；需要檢索離線日志，并盡可能快地找出合適的日志項。,4.1.6 安全審計系統(tǒng)的組成、功能與特點,1安全審計系統(tǒng)的組成 典型的安全審計系統(tǒng)包括： 事件辨別器：提供事件的初始分析，并決定是否把該事件傳送給審計記錄器或報警處理器； 事件記錄器：將接受來的消息生成審計記錄，并把此記錄存入一個安全審計跟蹤； 報警處理器：產(chǎn)生一個審計消息，同時產(chǎn)生合適的行動以響應(yīng)一個安全報警； 審計分析器：檢查安全審計跟蹤，生成安全報警和安全審計消息； 審計跟蹤驗證器：從安全審計跟蹤產(chǎn)生出安全審計報告； 審計提供器：按照某些準(zhǔn)則提供審計記錄； 審計歸檔器：將安全審計跟蹤歸檔；

9、審計跟蹤收集器：將一個分布式安全審計跟蹤的記錄匯集成一個安全審計跟蹤； 審計調(diào)度器：將分布式安全審計跟蹤的某些部分或全部傳輸?shù)皆搶徲嬚{(diào)度器。,2安全審計系統(tǒng)的基本功能,內(nèi)容審計系統(tǒng)。內(nèi)容審計系統(tǒng)專用于防止非法信息惡意傳播，避免國家機(jī)密、商業(yè)信息、科研成果泄漏的產(chǎn)品；并可實時監(jiān)控網(wǎng)絡(luò)資源使用情況，提高整體工作效率。 該系統(tǒng)一般具有如下功能： 對用戶的網(wǎng)絡(luò)行為監(jiān)控、網(wǎng)絡(luò)傳輸內(nèi)容審計 掌握網(wǎng)絡(luò)使用情況，提高工作效率 網(wǎng)絡(luò)傳輸信息的實時采集、海量存儲、統(tǒng)計分析 網(wǎng)絡(luò)行為后期取證，對網(wǎng)絡(luò)潛在威脅者予以威懾,安全審計系統(tǒng)的基本功能（續(xù)）,日志審計系統(tǒng)。日志審計系統(tǒng)為不同的網(wǎng)設(shè)備及系統(tǒng)提供了統(tǒng)一的日志管理分

10、析平臺，打破了組織中不同設(shè)備及系統(tǒng)之間存在的信息鴻溝。 該系統(tǒng)一般具有如下功能： 全面支持安全設(shè)備（如防火墻，IDS、AV）、網(wǎng)絡(luò)設(shè)備（如Router、Switch）、應(yīng)用系統(tǒng)（如WEB、Mail、Ftp、Database）、操作系統(tǒng)（如Windows、Linux、Unix）等多種產(chǎn)品及系統(tǒng)日志數(shù)據(jù)的收集和分析。 幫助管理員對網(wǎng)絡(luò)事件進(jìn)行深度的挖掘分析，系統(tǒng)提供多達(dá)300多種的報表模板，支持管理員從不同角度進(jìn)行網(wǎng)絡(luò)事件的可視化分析。同時系統(tǒng)還支持對網(wǎng)絡(luò)設(shè)備、主機(jī)、系統(tǒng)應(yīng)用、多種網(wǎng)絡(luò)服務(wù)的全面監(jiān)視。 提供全局安全視圖，幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用中存在的安全漏洞和隱患，并進(jìn)行不斷改進(jìn)。 可自定

11、義安全事件的危險級別，并實現(xiàn)基于EMAIL，鈴聲、手機(jī)短信等多種響應(yīng)方式。,3安全審計系統(tǒng)的特點,具有Client/Server結(jié)構(gòu)，便于不同級別的管理員通過客戶端，針對不同的業(yè)務(wù)網(wǎng)段進(jìn)行審計工作。 力求得到被審計網(wǎng)絡(luò)中的硬/軟件資源的使用信息，使管理人員以最小的代價、最高的效率得到網(wǎng)絡(luò)中資源的使用情況，從而制定網(wǎng)絡(luò)維護(hù)和升級方案。 審計單元向?qū)徲嬛行膮R報工作以及審計中心向下一級部門索取審計數(shù)據(jù)。 提供實時監(jiān)控功能。 事后的取證、分析。使用歷史記錄可以取得特定工作站、時間段或基于其他特定系統(tǒng)參數(shù)下，主機(jī)、服務(wù)器和網(wǎng)絡(luò)的使用信息；基于這些歷史記錄可以進(jìn)行某些統(tǒng)計、分析操作。 可自動進(jìn)行審計工作，

12、降低管理員工作壓力。,4.2 入 侵 檢 測,入侵檢測是安全審計的重要內(nèi)容之一，是網(wǎng)絡(luò)安全防護(hù)的重要組成部分。入侵檢測技術(shù)是一種主動保護(hù)自己的網(wǎng)絡(luò)和系統(tǒng)免遭非法攻擊的網(wǎng)絡(luò)安全技術(shù)。它從計算機(jī)系統(tǒng)或者網(wǎng)絡(luò)中收集、分析信息，檢測任何企圖破壞計算機(jī)資源的完整性（Integrity）、機(jī)密性（Confidentiality）和可用性（ Availability ）的行為，即查看是否有違反安全策略的行為和遭到攻擊的跡象，并做出相應(yīng)的反應(yīng)。,4.2.1 入侵檢測概述,1入侵檢測概念 入侵是指任何企圖危機(jī)資源的完整性、機(jī)密性和可用性的活動，不僅包括發(fā)起攻擊的人取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息

13、，造成拒絕服務(wù)等對計算機(jī)系統(tǒng)產(chǎn)生危害的行為。 入侵檢測（Intrusion Detection）的定義是指通過從計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。,入侵檢測系統(tǒng),入侵檢測系統(tǒng)IDS（Intrusion Detection System）是試圖實現(xiàn)檢測入侵行為的計算機(jī)系統(tǒng)，包含計算機(jī)軟件和硬件的組合。 入侵檢測系統(tǒng)具有更多的智能，對系統(tǒng)進(jìn)行實時監(jiān)控，獲取系統(tǒng)的審計數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)包，然后將得到的數(shù)據(jù)進(jìn)行分析，并判斷系統(tǒng)或網(wǎng)絡(luò)是否出現(xiàn)異常或入侵行為，一旦發(fā)現(xiàn)異?；蛉肭智闆r，發(fā)出報警并采取相應(yīng)的保護(hù)措

14、施。,入侵檢測是一種動態(tài)的網(wǎng)絡(luò)安全技術(shù),它利用各種不同類型的引擎，實時或定期的對網(wǎng)絡(luò)中相關(guān)的數(shù)據(jù)源進(jìn)行分析，依照引擎對特殊的數(shù)據(jù)或事件的認(rèn)識，將其中具有威脅性的部分提取出來，并觸發(fā)響應(yīng)機(jī)制。 入侵檢測的動態(tài)性反映在入侵檢測的實時性，對網(wǎng)絡(luò)環(huán)境的變化具有一定程度上的自適應(yīng)性，這是以往靜態(tài)安全技術(shù)無法具有的。,2入侵檢測原理模型,Denning模型,圖4-1 Denning入侵檢測模型,上圖模型中包含6個主要部分： 實體（Subjects）：在目標(biāo)系統(tǒng)上活動的實體，如用戶。 對象（Objects）：指系統(tǒng)資源，如文件、設(shè)備、命令等。 審計記錄（Audit records）：由主體、活動（Actio

15、n）、異常條件（Exception-Condition）、資源使用狀況（Resource-Usage）和時間戳（Time-Stamp）等組成。 活動檔案（Active Profile）：即系統(tǒng)正常行為模型，保存系統(tǒng)正?；顒拥挠嘘P(guān)信息。 異常記錄（Anomaly Record）：由事件、時間戳和審計記錄組成，表示異常事件的發(fā)生情況。 活動規(guī)則（Active Rule）：判斷是否為入侵的準(zhǔn)則及相應(yīng)要采取的行動。,2入侵檢測原理模型(續(xù)),CIDF模型,圖4-2 CIDF入侵檢測模型,2入侵檢測原理模型(續(xù)),上圖所示的模型中，入侵檢測系統(tǒng)分為4個基本組件： 事件產(chǎn)生器的任務(wù)是從入侵檢測系統(tǒng)之外的計

16、算環(huán)境中收集事件，但并不分析它們，并將這些事件轉(zhuǎn)換成CIDF的GIDO格式傳送給其他組件； 事件分析器分析從其他組件收到的GIDO，并將產(chǎn)生的新的GIDO再傳送給其他組件； 事件數(shù)據(jù)庫用來存儲GIDO，以備系統(tǒng)需要的時候使用； 響應(yīng)單元處理收到的GIDO，并根據(jù)處理結(jié)果，采取相應(yīng)的措施，如殺死相關(guān)進(jìn)程、將連接復(fù)位、修改文件權(quán)限等。,2入侵檢測原理模型(續(xù)),3入侵響應(yīng)機(jī)制,入侵響應(yīng)是入侵檢測技術(shù)的配套技術(shù)，一般的入侵檢測系統(tǒng)會同時使用這兩種技術(shù)。 入侵響應(yīng)技術(shù)可分為主動響應(yīng)和被動響應(yīng)兩種類型。 主動響應(yīng)和被動響應(yīng)并不是相互排斥的。不管使用哪一種響應(yīng)機(jī)制，作為任務(wù)的一個重要部分，入侵檢測系統(tǒng)應(yīng)該

17、總能以日志的形式記錄下檢測結(jié)果。,（1）主動響應(yīng),主動響應(yīng)，即檢測到入侵后立即采取行動。 主動響應(yīng)有兩種形式：一種是由用戶驅(qū)動的，一種是由系統(tǒng)本身自動執(zhí)行的。 對入侵者采取反擊行動、修正系統(tǒng)環(huán)境和收集盡可能多的信息是主動響應(yīng)的基本手段。,對入侵者采取反擊行動,警告攻擊者、跟蹤攻擊者、斷開危險連接和對攻擊者的攻擊是最嚴(yán)厲的一種主動反擊手段。 這種響應(yīng)方法有一定的風(fēng)險： 被確認(rèn)為攻擊你的系統(tǒng)的源頭系統(tǒng)很可能是黑客的另一個犧牲品。 攻擊源的IP地址欺騙也是常有的事。 簡單的反擊可能會惹起對手更大的攻擊。 反擊會使你自己冒違法犯罪的風(fēng)險。,修正系統(tǒng)環(huán)境,修正系統(tǒng)環(huán)境較直接采取反擊的主動性要差一些，當(dāng)與

18、提供調(diào)查支持的響應(yīng)結(jié)合在一起的時候，卻往往是一種更好的響應(yīng)方案。 修正系統(tǒng)環(huán)境以堵住導(dǎo)致入侵發(fā)生的漏洞的概念與許多研究者所提出的關(guān)鍵系統(tǒng)耦合的觀點是相一致的。 這種策略類似于實時過程控制系統(tǒng)的反饋機(jī)制，即目前系統(tǒng)處理過程的輸出將用來調(diào)整和優(yōu)化下一個處理過程。,收集額外信息,當(dāng)被保護(hù)的系統(tǒng)非常重要并且系統(tǒng)的主人想進(jìn)行配置改進(jìn)時，收集額外信息特別有用。 以這種方式收集的信息對那些從事網(wǎng)絡(luò)安全威脅的趨勢分析的人來說也是有價值的。 這種信息對那些必須在有敵意威脅的環(huán)境里運(yùn)行或易遭受大量攻擊的系是特別重要的。,（2）被動響應(yīng),被動響應(yīng)就是那些只向用戶提供信息而依靠用戶去采取下一步行動的響應(yīng)。 被動響應(yīng)是

19、很重要的，在一些情形下是系統(tǒng)惟一的響應(yīng)形式。以下列舉兩種常用的被動響應(yīng)技術(shù)： 告警和通知 ：告警顯示屏；告警和警報的遠(yuǎn)程通知。 SNMP陷阱和插件,（3）響應(yīng)報警策略,如何報警和選取什么樣的報警，需要根據(jù)整個網(wǎng)絡(luò)的環(huán)境和安全的需求進(jìn)行確定。 不同的報警方式對網(wǎng)絡(luò)相關(guān)的設(shè)備有著不同的要求。 由于報警的形式很多，大部分都需要其他網(wǎng)絡(luò)設(shè)備和服務(wù)的協(xié)助，因此只有保證相關(guān)的設(shè)備和服務(wù)可以和入侵檢測系統(tǒng)正確地通信，才可以保證報警信息的及時送達(dá)。這就要求入侵檢測系統(tǒng)存在與其他設(shè)備互動的接口。,4入侵檢測系統(tǒng)的基本結(jié)構(gòu),圖4-3 入侵檢測系統(tǒng)的基本結(jié)構(gòu),入侵檢測系統(tǒng)的基本結(jié)構(gòu)通常由事件產(chǎn)生器、事件分析器、事件

20、數(shù)據(jù)庫和響應(yīng)單元四個基本組件組成。 從具體實現(xiàn)的角度看，入侵檢測系統(tǒng)一般包括硬件和軟件兩部分。,5入侵檢測系統(tǒng)的功能,檢測和分析用戶與系統(tǒng)的活動； 審計系統(tǒng)配置和脆弱性； 評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的一致性； 識別反映已知攻擊的活動模式； 非正?；顒幽Ｊ降慕y(tǒng)計分析； 操作系統(tǒng)的審計跟蹤管理，通過用戶活動的識別違規(guī)操作。,6入侵檢測系統(tǒng)的分類,異常檢測和誤用檢測。根據(jù)入侵檢測所采用的技術(shù)，可以分為異常檢測和誤用檢測。 異常檢測（Abnormal Detection）。異常入侵檢測是指能夠根據(jù)異常行為和使用計算機(jī)資源的情況檢測出來的入侵。 誤用檢測（Misuse Detection）。誤用入侵檢測（也

21、稱濫用入侵檢測）是指利用已知系統(tǒng)和應(yīng)用軟件的弱點攻擊模式來檢測入侵。,6入侵檢測系統(tǒng)的分類（續(xù)）,基于主機(jī)和網(wǎng)絡(luò)的檢測。按照入侵檢測輸入數(shù)據(jù)的來源和系統(tǒng)結(jié)構(gòu)，可以分為： 基于主機(jī)的入侵檢測系統(tǒng)（HIDS）。該系統(tǒng)通過監(jiān)視和分析主機(jī)上的審計日志，來檢測主機(jī)上是否發(fā)生入侵行為。,圖4-4 基于主機(jī)的入侵檢測系統(tǒng),HIDS的優(yōu)點是可精確判斷入侵事件，并及時進(jìn)行反應(yīng)。缺點是會占用寶貴的主機(jī)資源。,6入侵檢測系統(tǒng)的分類（續(xù)）,基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）。該系統(tǒng)一般被動地在共享網(wǎng)段上進(jìn)行偵聽，通過對捕獲網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析，能夠檢測該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵。,圖4-5 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng),這類系統(tǒng)

22、的優(yōu)點是檢測速度快、隱蔽性好，不那么容易遭受攻擊，對主機(jī)資源消耗少，并且由于網(wǎng)絡(luò)協(xié)議是標(biāo)準(zhǔn)的，可以對網(wǎng)絡(luò)提供通用的保護(hù)而無須顧及異構(gòu)主機(jī)的不同架構(gòu)。但它只能監(jiān)視經(jīng)過本網(wǎng)段的活動，且精確度較差，在交換網(wǎng)絡(luò)環(huán)境下難以配置，防欺騙能力也較弱。,6入侵檢測系統(tǒng)的分類（續(xù)）,混合型入侵檢測系統(tǒng)。聯(lián)合使用基于主機(jī)和基于網(wǎng)絡(luò)這兩種方式能夠達(dá)到更好的檢測效果。 分布式入侵檢測系統(tǒng)（DIDS）是一種典型的混合型入侵檢測系統(tǒng)，也可以僅僅是網(wǎng)絡(luò)入侵檢測系統(tǒng)的分布式整合。,圖4-6 分布式入侵檢測系統(tǒng)框圖,6入侵檢測系統(tǒng)的分類（續(xù)）,離線檢測和在線檢測。根據(jù)入侵檢測系統(tǒng)的工作方式分為離線檢測系統(tǒng)和在線檢測系統(tǒng)。 離線

23、檢測系統(tǒng)。在事后分析審計事件，從中檢查入侵活動，是一種非實時工作的系統(tǒng)。 在線檢測。實施聯(lián)機(jī)的檢測系統(tǒng)，它包含對實時網(wǎng)絡(luò)數(shù)據(jù)包分析，對實時主機(jī)審計分析。,6入侵檢測系統(tǒng)的分類（續(xù)）,集中式、等級式和協(xié)作式。按照體系結(jié)構(gòu)，IDS可分為集中式、等級式和協(xié)作式3種。 集中式。 等級式。 協(xié)作式。,7入侵檢測系統(tǒng)性能,準(zhǔn)確性：檢測系統(tǒng)具有低的假報警率和漏警率。 執(zhí)行性：入侵檢測系統(tǒng)處理審計事件的比率。如果執(zhí)行性很低，則無法實現(xiàn)入侵檢測系統(tǒng)的實時檢測。 完整性：如果一個入侵檢測系統(tǒng)不能檢測一個攻擊則認(rèn)為是不完整的。 容錯性：入侵檢測系統(tǒng)本身應(yīng)具備抵抗攻擊的能力。 實時性：系統(tǒng)能盡快地察覺入侵企圖，以便制

24、止和限制破壞。,8入侵檢測系統(tǒng)的優(yōu)點,可以檢測和分析系統(tǒng)事件以及用戶的行為； 可以測試系統(tǒng)設(shè)置的安全狀態(tài)； 以系統(tǒng)的安全狀態(tài)為基礎(chǔ)，跟蹤任何對系統(tǒng)安全的修改操作； 通過模式識別等技術(shù)從通信行為中檢測出已知的攻擊行為； 可以對網(wǎng)絡(luò)通信行為進(jìn)行統(tǒng)計，并進(jìn)行檢測分析； 管理操作系統(tǒng)認(rèn)證和日志機(jī)制并對產(chǎn)生的數(shù)據(jù)進(jìn)行分析處理； 在檢測到攻擊的時候，通過適當(dāng)?shù)姆绞竭M(jìn)行適當(dāng)?shù)膱缶幚恚?通過對分析引擎的配置對網(wǎng)絡(luò)的安全進(jìn)行評估和監(jiān)督； 允許非安全領(lǐng)域的管理人員對重要的安全事件進(jìn)行有效的處理。,9入侵檢測系統(tǒng)的局限性,入侵檢測系統(tǒng)無法彌補(bǔ)安全防御系統(tǒng)中的安全缺陷和漏洞。 對于高負(fù)載的網(wǎng)絡(luò)或主機(jī)，很難實現(xiàn)對網(wǎng)絡(luò)

25、入侵的實時檢測、報警和迅速地進(jìn)行攻擊響應(yīng)。 檢測具有一定的后滯性，而對于已知的報警，一些沒有明顯特征的攻擊行為也很難檢測到，或需要付出提高誤報警率的代價才能夠正確檢測。 入侵檢測系統(tǒng)的主動防御功能和聯(lián)動防御功能會對網(wǎng)絡(luò)的行為產(chǎn)生影響，同樣也會成為攻擊者的目標(biāo)，實現(xiàn)以入侵檢測系統(tǒng)過敏自主防御為基礎(chǔ)的攻擊。,9入侵檢測系統(tǒng)的局限性（續(xù)）,入侵檢測系統(tǒng)無法單獨防止攻擊行為的滲透，只能調(diào)整相關(guān)網(wǎng)絡(luò)設(shè)備的參數(shù)或人為地進(jìn)行處理。 網(wǎng)絡(luò)入侵檢測系統(tǒng)在純交換環(huán)境下無法正常工作，只有對交換環(huán)境進(jìn)行一定的處理。 入侵檢測系統(tǒng)主要是對網(wǎng)絡(luò)行為進(jìn)行分析檢測，不能修正信息資源中存在的安全問題。 IDS系統(tǒng)本身還在迅速發(fā)

26、展和變化，尚未成熟。,9入侵檢測系統(tǒng)的局限性（續(xù)）,現(xiàn)有的IDS系統(tǒng)錯報率（或稱為虛警率）偏高，嚴(yán)重干擾了檢測結(jié)果。 事件響應(yīng)與恢復(fù)機(jī)制不完善。 IDS與其他安全技術(shù)的協(xié)作性不夠。 IDS缺少對檢測結(jié)果做進(jìn)一步說明和分析的輔助工具，這妨礙了用戶進(jìn)一步理解看到的數(shù)據(jù)或圖表。 缺少防御功能檢測，作為一種被動且功能有限的技術(shù)，缺乏主動防御功能。 IDS缺乏國際統(tǒng)一的標(biāo)準(zhǔn),9入侵檢測系統(tǒng)的局限性（續(xù)）,產(chǎn)品適應(yīng)能力低 大型網(wǎng)絡(luò)的管理問題 處理速度上的瓶頸 拒絕服務(wù)攻擊 插入和規(guī)避,10入侵檢測系統(tǒng)與防火墻的區(qū)別,“防火墻”是在被保護(hù)網(wǎng)絡(luò)周邊建立的、分隔被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的系統(tǒng)。 采用防火墻技術(shù)的前提

27、條件是：被保護(hù)的網(wǎng)絡(luò)具有明確定義的邊界和服務(wù)；網(wǎng)絡(luò)安全的威脅僅來自外部網(wǎng)絡(luò)。 但僅僅使用防火墻保障網(wǎng)絡(luò)安全是遠(yuǎn)遠(yuǎn)不夠的。,10.入侵檢測系統(tǒng)與防火墻的區(qū)別（續(xù)）,入侵檢測是防火墻的合理補(bǔ)充，為網(wǎng)絡(luò)安全提供實時的入侵檢測并采取相應(yīng)的防護(hù)手段。 入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下，能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。 IDS一般不是采取預(yù)防的措施以防止入侵事件的發(fā)生，入侵檢測作為安全技術(shù)其主要目的在于：識別入侵者；識別入侵行為；檢測和監(jiān)視已成功的安全突破；為對抗入侵，及時提供重要信息，阻止事件的發(fā)生和事態(tài)的擴(kuò)大。,4.2.2 侵檢測方

28、法,1異常檢測 異常檢測指根據(jù)使用者的行為或資源使用狀況來判斷是否發(fā)生入侵事件，而不依賴于具體行為是否出現(xiàn)來檢測，所以也被稱為基于行為的檢測。 異常檢測的主要思想是：根據(jù)系統(tǒng)的正?；顒咏⒁粋€特征文件，通過統(tǒng)計那些不同于我們已建立的特征文件的所有系統(tǒng)狀態(tài)來識別入侵。,異常活動和入侵活動,圖4-7 異?；顒蛹腿肭只顒蛹g的關(guān)系,從圖中可以看出，異常檢測的關(guān)鍵問題是如何選擇合適的域值，使得誤報和漏報減少，以及如何選擇選擇所要監(jiān)視的衡量特征。,（1）概率統(tǒng)計方法,該方法是根據(jù)異常檢測器觀察主體的活動，產(chǎn)生描述這些活動行為的參數(shù)。通過比較當(dāng)前的參數(shù)與已存儲的參數(shù)判斷異常行為，并且已存儲的參數(shù)需要根

29、據(jù)審計記錄情況不斷地加以更新。 設(shè)M1，M2，Mn為參數(shù)集的特征變量，這些變量可以是CPU的使用、I/O的使用、使用的地點及時間、郵件使用、文件訪問數(shù)量、網(wǎng)絡(luò)會話時間等。用S1，S2，Sn分別表示參數(shù)集中變量M1，M2，Mn的異常測量值。 這些異常測量值的平方后加權(quán)計算得出參數(shù)異常值： ai0,概率統(tǒng)計的特點,概率統(tǒng)計的優(yōu)越性在于所應(yīng)用的技術(shù)方法成熟。 但其也有一些不足： 統(tǒng)計測量對事件的發(fā)生的次序不敏感，單純的統(tǒng)計入侵檢測系統(tǒng)可能不會發(fā)覺事件當(dāng)中互相依次相連的入侵行為； 單純的統(tǒng)計入侵檢測系統(tǒng)將逐漸的訓(xùn)練成單一點，要么行為是異常的，要么是正常的； 難以確定異常閾值，閾值設(shè)置偏低或偏高均會導(dǎo)致

30、誤報； 統(tǒng)計異常檢測行為類型模型是有限的。,（2）預(yù)測模式生成方法,該方法的假設(shè)條件是事件序列不是隨機(jī)的而是遵循可辨別的模式，它的特點是考慮了事件的序列及相互聯(lián)系。 它利用動態(tài)的規(guī)則集來檢測入侵。這些規(guī)則由系統(tǒng)的歸納引擎根據(jù)已發(fā)生事件的情況產(chǎn)生，然后得到預(yù)測將要發(fā)生的事件的概率，歸納引擎為每一種事件設(shè)置可能發(fā)生的概率。其歸納出來的規(guī)則一般可寫成如下形式： E1，Ek: (Ek+1,P(Ek+1), ,( En,P(En) 如果后來發(fā)生的事件Ek+1，En的統(tǒng)計結(jié)果與預(yù)測相比很不正常，則該事件便被標(biāo)志為異常行為。,預(yù)測模式生成方法的特點,預(yù)測模式生成方法的主要優(yōu)點是： 基于規(guī)則的順序模式能夠檢測

31、出傳統(tǒng)方法所難以檢測的異常活動； 用該方法建立起來的系統(tǒng)，具有很強(qiáng)的適應(yīng)變化能力，這是由于低質(zhì)量的模式不斷被刪除，最終留下來的是高質(zhì)量的模式； 可以容易檢測到企圖在學(xué)習(xí)階段訓(xùn)練系統(tǒng)的入侵者； 實時性高，可以在收到審計事件幾秒鐘內(nèi)對異?；顒幼鞒鰴z測并產(chǎn)生報警。 該方法的不足之處在于不在規(guī)則庫中的入侵將會漏報。,（3）神經(jīng)網(wǎng)絡(luò)方法,神經(jīng)網(wǎng)絡(luò)方法的基本思想就是用一系列信息單元訓(xùn)練神經(jīng)網(wǎng)絡(luò)中的神經(jīng)單元，該信息單元指的是命令。若神經(jīng)網(wǎng)絡(luò)被訓(xùn)練成能預(yù)測用戶輸入命令序列集合，則神經(jīng)網(wǎng)絡(luò)就構(gòu)成用戶的輪廓框架。 當(dāng)用這個神經(jīng)網(wǎng)絡(luò)預(yù)測不出某用戶正確的后繼命令，即在某種程度上表明了用戶行為與其輪廓框架的偏離，這是由

32、異常事件發(fā)生，以此就能檢測異常入侵。,神經(jīng)網(wǎng)絡(luò)方法的特點,這種方法的優(yōu)點是： 不依賴于任何有關(guān)數(shù)據(jù)種類的統(tǒng)計假設(shè)； 具有較好的抗干擾能力； 能自然的說明各種影響輸出結(jié)果測量的相互關(guān)系。 其缺點是： 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及各元素的權(quán)重很難確定； 在設(shè)計網(wǎng)絡(luò)的過程中，輸入層輸入的命令個數(shù)的大小難以選取。若設(shè)置太小，則工作就差；若設(shè)置太高，網(wǎng)絡(luò)中需要處理的數(shù)據(jù)就會太多，降低了網(wǎng)絡(luò)的效率。,2誤用檢測,誤用檢測技術(shù)（Misuse Detection）也稱為基于知識的檢測技術(shù)或者模式匹配檢測技術(shù)。 它的前提是假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定的模式或特征，如果把以前發(fā)現(xiàn)的所有網(wǎng)絡(luò)攻擊的特征總結(jié)出來并建立一

33、個入侵信息庫，那么入侵檢測系統(tǒng)可以將當(dāng)前捕獲到的網(wǎng)絡(luò)行為特征與入侵信息庫中的特征信息相比較，如果匹配，則當(dāng)前行為利被認(rèn)定為入侵行為。 可以看出，如果說異常檢測是量化的入侵檢測分析手段，那么模式匹配就是一種質(zhì)化的入侵檢測手段。,（1）專家系統(tǒng),它將有關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié)構(gòu)的規(guī)則，即將構(gòu)成入侵所要求的條件轉(zhuǎn)化為if部分，將發(fā)現(xiàn)入侵后采取的相應(yīng)措施轉(zhuǎn)化成then部分。 在具體實現(xiàn)中，專家系統(tǒng)主要面臨以下問題：全面性問題；效率問題。,特征分析系統(tǒng),同專家系統(tǒng)一樣，特征分析也需要知道攻擊行為的具體知識。但是，攻擊方法的語義描述不是被轉(zhuǎn)化為檢測規(guī)則，而是在審計記錄中能直接找到的信息形式。 這

34、種方法的缺陷也和所有其他的濫用檢測方法一樣，即需要經(jīng)常為新發(fā)現(xiàn)的系統(tǒng)漏洞更新知識庫；另外，由于對不同操作系統(tǒng)平臺的具體攻擊方法可能不同，以及不同平臺的審計方式也可能不同，所以對特征分析檢測系統(tǒng)進(jìn)行構(gòu)造和維護(hù)的工作量都較大。,（2）模型推理,模型推理是指結(jié)合攻擊腳本推理出入侵行為是否出現(xiàn)。 其中有關(guān)攻擊者行為的知識被描述為：攻擊者目的，攻擊者達(dá)到此目的的可能行為步驟，以及對系統(tǒng)的特殊使用等。根據(jù)這些知識建立攻擊腳本庫，每一腳本都由一系列攻擊行為組成。,模型推理的檢測原理,檢測時先將這些攻擊腳本的子集看作系統(tǒng)正面臨的攻擊。 然后通過一個稱為預(yù)測器的程序模塊根據(jù)當(dāng)前行為模式產(chǎn)生下一個需要驗證的攻擊腳

35、本子集，并將它傳給決策器。 決策器收到信息后，根據(jù)這些假設(shè)的攻擊行為在審計記錄中可能出現(xiàn)的方式，將它們翻譯成與特定系統(tǒng)匹配的審計記錄格式。然后在審計記錄中尋找相應(yīng)信息來確認(rèn)或否認(rèn)這些攻擊,模型推理的特點,模型推理方法的優(yōu)越性有：對不確定性的推理有合理的數(shù)學(xué)理論基礎(chǔ)，同時決策器使得攻擊腳本可以與審計記錄的上下文無關(guān)。另外，這種檢測方法也減少了需要處理的數(shù)據(jù)量。 但是創(chuàng)建入侵檢測模型的工作量比別的方法要大，在系統(tǒng)實現(xiàn)時，決策器如何有效地翻譯攻擊腳本也是一個問題。,（3）狀態(tài)轉(zhuǎn)換分析,狀態(tài)轉(zhuǎn)換法將入侵過程看作一個行為序列，這個行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。 分析時，首先針對每一種入侵方法

36、確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件。然后用狀態(tài)轉(zhuǎn)換圖來表示每一個狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測時不需要一個個地查找審計記錄。 但是，狀態(tài)轉(zhuǎn)換是針對事件序列分析，所以不善于分析過分復(fù)雜的事件，而且不能檢測與系統(tǒng)狀態(tài)無關(guān)的入侵。,Petri網(wǎng),Petri網(wǎng)用于入侵行為分析是一種類似于狀態(tài)轉(zhuǎn)換圖分析的方法。利用Petri網(wǎng)的有利之處在于它能一般化、圖形化地表達(dá)狀態(tài)，并且簡潔明了。,圖4-8 Petri網(wǎng)分析一分鐘4次登錄失敗,（4）特征分析,特征分析誤用檢測與專家系統(tǒng)誤用檢測一樣，也需要搜集關(guān)于網(wǎng)絡(luò)入侵行為的各種知識。 特征分析誤用檢測將入侵行為表示成一個事

37、件序列或者轉(zhuǎn)換成某種可以直接在網(wǎng)絡(luò)數(shù)據(jù)包審計記錄中找到的數(shù)據(jù)樣板，而不進(jìn)行規(guī)則轉(zhuǎn)換，這樣可以直接從審計數(shù)據(jù)中提取相應(yīng)的數(shù)據(jù)與之匹配，因此不需要處理大量的數(shù)據(jù)，從而提高了運(yùn)行效率。,（5）條件概率,條件概率誤用檢測方法將網(wǎng)絡(luò)入侵方式看作一個事件序列，根據(jù)所觀測到的各種網(wǎng)絡(luò)事件的發(fā)生情況來推測入侵行為的發(fā)生。 條件概率誤用檢測方法應(yīng)用貝葉斯定理對入侵進(jìn)行推理檢測，原理如下： 事件序列表示為ES，先驗概率為P（Intrusion），后驗概率為P（ESIntrusion），事件出現(xiàn)的概率為P（ES），則 P（Intrusion | ES）=P（ES | Intrusion）P（Intrusion）/P

38、（ES） 可以計算出 P（ES）（P（ES | Intrusion）-P（ES | Intrusson）P（Intrusion）+P（ES | Intrusson）,（6）鍵盤監(jiān)控,鍵盤監(jiān)控誤用檢測方法假設(shè)每種網(wǎng)絡(luò)入侵行為都具有特定的擊鍵序列模式，入侵檢測系統(tǒng)監(jiān)視各個用戶的擊鍵模式，并將該模式與已有的入侵擊鍵模式相匹配，如果匹配成功就認(rèn)為是網(wǎng)絡(luò)入侵行為。 這種方法的不足之處是如果操作系統(tǒng)沒有提供相應(yīng)的支持，則缺少可靠的方法來捕獲用戶的擊鍵行為，可能存在多種擊鍵方式表示同一種攻擊的情況，而且不能對擊鍵進(jìn)行語義分析，攻擊者使用命令的各種別名就很容易欺騙這種技術(shù)。此外，因為這種技術(shù)僅分析擊鍵行為，所

39、以對于那些利用程序進(jìn)行自動攻擊的行為無法檢測。,誤用檢測技術(shù)的優(yōu)點,檢測準(zhǔn)確度高； 技術(shù)相對成熟； 便于進(jìn)行系統(tǒng)防護(hù)； 可以按功能劃分，縮小模式數(shù)據(jù)庫所涉及的模式量大小，也就是說模式匹配具有很強(qiáng)的可分割性、獨立性。 模式匹配具有很強(qiáng)的針對性，對已知的入侵方法檢測效率很高。,誤用檢測技術(shù)的缺點,不能檢測出新的入侵行為； 完全依賴于入侵特征的有效性； 通常不具備自學(xué)習(xí)能力，對新攻擊的檢測分析必須補(bǔ)充模式數(shù)據(jù)庫，維護(hù)特征庫的工作量巨大； 難以檢測來自內(nèi)部用戶的攻擊； 可測量性與性能都和模式數(shù)據(jù)庫的大小、體系結(jié)構(gòu)有關(guān)； 可擴(kuò)展性差，沒有通用的模式規(guī)格說明語言； 攻擊行為轉(zhuǎn)化為模式比較困難，并且不具備統(tǒng)

40、一性。,3異常檢測技術(shù)和誤用檢測技術(shù)的比較,基于異常檢測技術(shù)的入侵檢測系統(tǒng)如果想檢測到所有的網(wǎng)絡(luò)入侵行為，必須掌握被保護(hù)系統(tǒng)已知行為和預(yù)期行為的所有信息。 基于誤用檢測技術(shù)的入侵檢測系統(tǒng)只有擁有所有可能的入侵行為的先驗知識，而且必須能識別各種入侵行為的過程細(xì)節(jié)或者每種入侵行為的特征模式，才能檢測到所有的入侵行為，該類入侵檢測系統(tǒng)只能檢測出已有的入侵模式，必須不斷地對新出現(xiàn)的入侵行為進(jìn)行總結(jié)和歸納。,3異常檢測技術(shù)和誤用檢測技術(shù)的比較（續(xù)）,基于異常檢測技術(shù)的入侵檢測系統(tǒng)通常比基于誤用檢測技術(shù)的入侵檢測系統(tǒng)所做的工作要少很多，要求管理員能夠總結(jié)出被保護(hù)系統(tǒng)的所有正常行為狀態(tài)，對系統(tǒng)的已知和期望行

41、為進(jìn)行全面的分析，因此配置難度相對較大。 有些基于誤用檢測技術(shù)的入侵檢測系統(tǒng)允許管理員對入侵特征數(shù)據(jù)庫進(jìn)行修改，甚至允許管理員自己根據(jù)所發(fā)現(xiàn)的攻擊行為創(chuàng)建新的網(wǎng)絡(luò)入侵特征規(guī)則記錄，這種入侵檢測系統(tǒng)在系統(tǒng)配置方面的工作量會顯著增加。,3異常檢測技術(shù)和誤用檢測技術(shù)的比較（續(xù)）,基于異常檢測技術(shù)的入侵檢測系統(tǒng)所輸出的檢測結(jié)果，通常是在對實際行為與行為輪廓進(jìn)行異常分析等相關(guān)處理后得出的，這類入侵檢測系統(tǒng)的檢測報告通常會比基于誤用檢測技術(shù)的入侵檢測系統(tǒng)具有更多的數(shù)據(jù)量。 大多數(shù)基于誤用檢測技術(shù)的入侵檢測系統(tǒng)，是將當(dāng)前行為模式與已有行為模式進(jìn)行匹配后產(chǎn)生檢測結(jié)論，其輸出內(nèi)容是列舉出入侵行為的類型和名稱，以

42、及提供相應(yīng)的處理建議。,4入侵檢測新技術(shù),遺傳算法 遺傳算法的基本原理是首先定義一組入侵檢測指令集，這些指令用于檢測出正?；蛘弋惓５男袨?。指令中包含若干字符串，所有的指令在定義初期的檢測能力都很有限，入侵檢測系統(tǒng)對這些指令逐步地進(jìn)行訓(xùn)練，促使指令中的字符串片段發(fā)生重組，以生成新的字符串指令。再從新的指令中經(jīng)過測試篩選出檢測能力最強(qiáng)的部分指令，對它們進(jìn)行下一輪的訓(xùn)練。如此反復(fù)，使檢測指令的檢測能力不斷提高。直到指令的檢測能力不會有明顯的提高，訓(xùn)練過程即可結(jié)束，此時這些指令已經(jīng)具有一定的檢測能力，入侵檢測系統(tǒng)可以使用它們進(jìn)行網(wǎng)絡(luò)入侵檢測。,4入侵檢測新技術(shù)（續(xù)）,免疫技術(shù) 計算機(jī)免疫技術(shù)為入侵檢測

43、提供了一個思路，即通過正常行為的學(xué)習(xí)來識別不符合常態(tài)的行為序列。 當(dāng)系統(tǒng)的一個關(guān)鍵程序投入使用后，它的運(yùn)行情況一般變化不大，具有相對的穩(wěn)定性。因而可以利用系統(tǒng)進(jìn)程正常執(zhí)行軌跡中的系統(tǒng)調(diào)用短序列集，來構(gòu)建系統(tǒng)進(jìn)程正常執(zhí)行活動的特征輪廓。由于利用這些關(guān)鍵程序的缺陷進(jìn)行攻擊時，對應(yīng)的進(jìn)程必然執(zhí)行一些不同于正常執(zhí)行時的代碼分支，因而就會出現(xiàn)關(guān)鍵程序特征輪廓中沒有的系統(tǒng)調(diào)用短序列。當(dāng)檢測到特征輪廓中不存在的系統(tǒng)調(diào)用序列的量達(dá)到某一條件后，就認(rèn)為被監(jiān)控的進(jìn)程正企圖攻擊系統(tǒng)。,4入侵檢測新技術(shù)（續(xù)）,數(shù)據(jù)挖掘方法 數(shù)據(jù)挖掘是指從大型數(shù)據(jù)庫或數(shù)據(jù)倉庫中提取人們感興趣的知識，這些知識是隱含的、事先未知的潛在有用

44、信息。 數(shù)據(jù)挖掘技術(shù)在入侵檢測中主要有兩個方向，一是發(fā)現(xiàn)入侵的規(guī)則、模式，與誤用檢測（或模式匹配）檢測方法相結(jié)合；二是用于異常檢測，找出用戶正常行為，創(chuàng)建用戶的正常行為庫。 將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測是因為其具有處理大量數(shù)據(jù)記錄的能力。 數(shù)據(jù)采掘異常檢測方法的優(yōu)勢在于處理數(shù)據(jù)的能力，缺點是系統(tǒng)整體運(yùn)行效率較低。,4.2.3 入侵檢測系統(tǒng)的部署,根據(jù)所掌握的網(wǎng)絡(luò)檢測技術(shù)和安全需求，選取各種類型的入侵檢測系統(tǒng)。 將多種入侵檢測系統(tǒng)按照預(yù)定的計劃進(jìn)行部署，確保每個入侵檢測系統(tǒng)都能夠在相應(yīng)部署點上發(fā)揮作用，共同防護(hù)，保障網(wǎng)絡(luò)的安全運(yùn)行。,1安全區(qū)域,安全區(qū)域（zone）是防火墻產(chǎn)品所引入的一個安全概

45、念，是防火墻產(chǎn)品區(qū)別于路由器的主要特征。 當(dāng)一個數(shù)據(jù)流通過防火墻設(shè)備的時候，根據(jù)其發(fā)起方向的不同，所引起的操作是截然不同的。由于這種安全級別上的差別，再采用在接口上檢查安全策略的方式已經(jīng)不適用，將造成用戶在配置上的混亂。因此，防火墻提出了安全區(qū)域的概念。 一個安全區(qū)域包括一個或多個接口的組合，具有一個安全級別。數(shù)據(jù)在屬于同一個安全區(qū)域的不同接口間流動時不會引起任何檢查。,安全區(qū)域劃分,如圖4-9所示，一般防火墻上保留四個安全區(qū)域：,圖4-9 安全區(qū)域劃分,接口、網(wǎng)絡(luò)、安全區(qū)域,除了Local區(qū)域以外，在使用其他所有安全區(qū)域時，需要將安全區(qū)域分別與防火墻的特定接口相關(guān)聯(lián)，即將接口加人到區(qū)域。 另

46、外安全區(qū)域與各網(wǎng)絡(luò)的關(guān)聯(lián)遵循一些原則： 內(nèi)部網(wǎng)絡(luò)應(yīng)安排在安全級別較高的區(qū)域； 外部網(wǎng)絡(luò)應(yīng)安排在安全級別最低的區(qū)域； 一些可對外部提供有條件服務(wù)的網(wǎng)絡(luò)應(yīng)安排在安全級別中等的DMZ區(qū)。,入方向與出方向,如圖4-10所示，不同級別的安全區(qū)域間的數(shù)據(jù)流動都將激發(fā)防火墻進(jìn)行安全策略的檢查，并且可以為不同流動方向設(shè)置不同的安全策略。域間的數(shù)據(jù)流分兩個方向：,入方向（inbound）：數(shù)據(jù)由低級別的安全區(qū)域向高級別的安全區(qū)域傳輸?shù)姆较颍?出方向（outbound）；數(shù)據(jù)由高級別的安全區(qū)域向低級別的安全區(qū)域傳輸?shù)姆较颉?2入侵檢測系統(tǒng)的部署,基于網(wǎng)絡(luò)入侵檢測系統(tǒng)的部署。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以在網(wǎng)絡(luò)的多個位

47、置進(jìn)行部署。總體來說，入侵檢測的部署點可以劃分為4個位置：DMZ區(qū)、外網(wǎng)入口、內(nèi)網(wǎng)主干、關(guān)鍵子網(wǎng)，如圖4-11所示。,圖4-11 入侵檢測系統(tǒng)部署位置圖,DMZ區(qū),DMZ區(qū)部署點在DMZ區(qū)的總口上，這是入侵檢測器最常見的部署位置。 在這里入侵檢測器可以檢測到所有針對用戶向外提供服務(wù)的服務(wù)器進(jìn)行攻擊的行為。 在該部署點進(jìn)行入侵檢測有以下優(yōu)點： 檢測來自外部的攻擊，這些攻擊已經(jīng)滲入過第一層防御體系； 可以容易地檢測網(wǎng)絡(luò)防火墻的性能并找到配置策略中的問題； DMZ區(qū)通常放置的是對內(nèi)外提供服務(wù)的重要的服務(wù)設(shè)備，因此，所檢測的對象集中于關(guān)鍵的服務(wù)設(shè)備；,外網(wǎng)入口,外網(wǎng)入口部署點位于防火墻之前，入侵檢測器

48、在這個部署點可以檢測所有進(jìn)出防火墻外網(wǎng)口的數(shù)據(jù)。 在這個位置上，入侵檢測器可以檢測到所有來自外部網(wǎng)絡(luò)的攻擊行為并進(jìn)行記錄，這些攻擊包括對內(nèi)部服務(wù)器的攻擊、對防火墻本身的攻擊以及內(nèi)網(wǎng)機(jī)器不正常的數(shù)據(jù)通信行為。 在該部署點進(jìn)行入侵檢測有以下優(yōu)點： 可以對針對目標(biāo)網(wǎng)絡(luò)的攻擊進(jìn)行計數(shù)、并記錄最為原始的攻擊數(shù)據(jù)包； 可以記錄針對目標(biāo)網(wǎng)絡(luò)的攻擊類型。,內(nèi)網(wǎng)主干,內(nèi)網(wǎng)主干部署點是最常用的部署位置，在這里入侵檢測器主要檢測內(nèi)網(wǎng)流出和經(jīng)過防火墻過濾后流入內(nèi)網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)。 在這個位置，入侵檢測器可以檢測所有通過防火墻進(jìn)入的攻擊以及內(nèi)部網(wǎng)向外部的不正常操作，并且可以準(zhǔn)確地定位攻擊的源和目的，方便系統(tǒng)管理員進(jìn)行針對性

49、的網(wǎng)絡(luò)管理。 在該部署點進(jìn)行入侵檢測有以下優(yōu)點： 檢測大量的網(wǎng)絡(luò)通信提高了檢測攻擊的識別可能； 檢測內(nèi)網(wǎng)可信用戶的越權(quán)行為； 實現(xiàn)對內(nèi)部網(wǎng)絡(luò)信息的檢測。,關(guān)鍵子網(wǎng),通過對這些子網(wǎng)進(jìn)行安全檢測，可以檢測到來自內(nèi)部以及外部的所有不正常的網(wǎng)絡(luò)行為，這樣可以有效地保護(hù)關(guān)鍵的網(wǎng)絡(luò)不會被外部或沒有權(quán)限的內(nèi)部用戶侵入，造成關(guān)鍵數(shù)據(jù)泄漏或丟失。 在該部署點進(jìn)行入侵檢測具有以下優(yōu)點： 集中資源用于檢測針對關(guān)鍵系統(tǒng)和資源的來自企業(yè)內(nèi)外部的攻擊； 將有限的資源進(jìn)行有效部署，獲取最高的使用價值。,（2）基于主機(jī)入侵檢測系統(tǒng)的部署,在基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)部署并配置完成后，基于主機(jī)的入侵檢測系統(tǒng)的部署可以給系統(tǒng)提供高級

50、別的保護(hù)。 基于主機(jī)的入侵檢測系統(tǒng)主要安裝在關(guān)鍵主機(jī)上，這樣可以減少規(guī)劃部署的花費(fèi)，使管理的精力集中在最重要最需要保護(hù)的主機(jī)上。 為了便于對基于主機(jī)的入侵檢測系統(tǒng)的檢測結(jié)果進(jìn)行及時檢查，需要對系統(tǒng)產(chǎn)生的日志進(jìn)行集中。通過進(jìn)行集中的分析、整理和顯示，可以大大減少對網(wǎng)絡(luò)安全系統(tǒng)日常維護(hù)的復(fù)雜性和難度。,4.2.4 入侵檢測技術(shù)發(fā)展,1入侵技術(shù)的發(fā)展 從最近幾年的發(fā)展趨勢看，入侵技術(shù)的發(fā)展與演化主要反映在下面幾個方面： （1）入侵和攻擊的復(fù)雜化與綜合化 （2）入侵主體的間接化 （3）入侵和攻擊的規(guī)模擴(kuò)大 （4）入侵和攻擊技術(shù)的分布化 （5）攻擊對象的轉(zhuǎn)移,2入侵檢測技術(shù)的發(fā)展方向,功能與性能提高 改

51、進(jìn)檢測方法，提高檢測準(zhǔn)確率，減少漏報和誤報 檢測和防范分布式攻擊和拒絕服務(wù)攻擊 實現(xiàn)入侵檢測系統(tǒng)與其他安全部件的互動 入侵檢測系統(tǒng)的標(biāo)準(zhǔn)化工作 入侵檢測系統(tǒng)的測試和評,3下一代IDS關(guān)鍵技術(shù),（1）智能關(guān)聯(lián) 智能關(guān)聯(lián)是將企業(yè)相關(guān)系統(tǒng)的信息(如主機(jī)特征信息)與網(wǎng)絡(luò)IDS檢測結(jié)構(gòu)相融合，從而減少誤警。 智能關(guān)聯(lián)包括主動關(guān)聯(lián)和被動關(guān)聯(lián)。主動關(guān)聯(lián)是通過掃描確定主機(jī)漏洞；被動關(guān)聯(lián)是借助操作系統(tǒng)的指紋識別技術(shù)，即通過分析IP、TCP報頭信息識別主機(jī)上的操作系統(tǒng)。,指紋識別技術(shù),IDS有時會出現(xiàn)誤報造成這種現(xiàn)象的原因是當(dāng)IDS檢測系統(tǒng)是否受到基于某種漏洞的攻擊時，沒有考慮主機(jī)的脆弱性信息。 因此新一代IDS

52、產(chǎn)品利用被動指紋識別技術(shù)構(gòu)造一個主機(jī)信息庫，該技術(shù)通過對TCP、IP報頭中相關(guān)字段進(jìn)行識別來確定操作系統(tǒng)(OS)類型。,被動指紋識別技術(shù)的工作原理,被動指紋識別技術(shù)的實質(zhì)是匹配分析法。 匹配雙方一個是來自源主機(jī)數(shù)據(jù)流中的TCP、IP報頭信息，另一個是特征數(shù)據(jù)庫中的目標(biāo)主機(jī)信息，通過將兩者做匹配來識別源主機(jī)發(fā)送的數(shù)據(jù)流中是否含有惡意信息。,被動指紋識別技術(shù)的工作流程,指紋識別引擎檢查SYN報頭，提取特定標(biāo)識符； 從特征庫中提取目標(biāo)主機(jī)上的操作系統(tǒng)信息； 更新主機(jī)信息表； 傳感器檢測到帶有惡意信息的數(shù)據(jù)報，在發(fā)出警告前先與主機(jī)信息表中的內(nèi)容進(jìn)行比較； 傳感器發(fā)現(xiàn)該惡意數(shù)據(jù)報是針對Windows服務(wù)

53、器的，而目標(biāo)主機(jī)是Linux服務(wù)器，所以IDS將抑制該告警的產(chǎn)生。,被動指紋識別技術(shù)的工作流程（續(xù)）,圖4-12 被動指紋識別技術(shù)工作流程,（2）告警泛濫抑制,IDS產(chǎn)品使用告警泛濫抑制技術(shù)可以降低誤警率。 所謂“告警泛濫”是指短時間內(nèi)產(chǎn)生的關(guān)于同一攻擊的告警。 告警泛濫抑制技術(shù)是將一些規(guī)則或參數(shù)(包括警告類型、源IP、目的IP以及時間窗大小)融入到IDS傳感器中，使傳感器能夠識別告警飽和現(xiàn)象并實施抑制操作。,（3）告警融合,該技術(shù)是將不同傳感器產(chǎn)生的、具有相關(guān)性的低級別告警融合成更高級別的警告信息，這有助于解決誤報和漏報問題。 當(dāng)與低級別警告有關(guān)的條件或規(guī)則滿足時，安全管理員在IDS上定義的

54、元告警相關(guān)性規(guī)則就會促使高級別警告產(chǎn)生。 與警告相關(guān)性規(guī)則中定義的參數(shù)包括時間窗、事件數(shù)量、事件類型IP地址、端口號、事件順序。,（4）可信任防御模型,下一代IDS產(chǎn)品中，融入可信任防御模型后，將會對第一代IPS產(chǎn)品遇到的問題(誤報導(dǎo)致合法數(shù)據(jù)被阻塞、丟棄；自身原因造成的拒絕服務(wù)攻擊泛濫；應(yīng)用級防御)有個圓滿的解決。 可信任防御模型中采用的機(jī)制： 信任指數(shù) 拒絕服務(wù)攻擊（DoS） 應(yīng)用級攻擊,4IDS發(fā)展趨勢,在安全漏洞被發(fā)現(xiàn)與被攻擊之間的時間差不斷縮小的情況下，基于特征檢測匹配技術(shù)的IDS已經(jīng)力不從心。 IDS出現(xiàn)了銷售停滯，但I(xiàn)DS不會立刻消失，而是將IDS將成為安全信息管理（SIM）框架

55、的組成部分。在SIM框架中，IDS的作用可以通過檢測和報告技術(shù)得到加強(qiáng)。 一些廠商通過將IDS報警與安全漏洞信息進(jìn)行關(guān)聯(lián)分析，著手解決IDS的缺陷。,4.2.5 與入侵檢測有關(guān)的新技術(shù),1入侵容忍系統(tǒng) 目前入侵檢測系統(tǒng)的性能（誤警率和檢測率）沒有得到大的提高，這主要是因為現(xiàn)有的檢測技術(shù)和響應(yīng)策略有根本的限制。 我們的網(wǎng)絡(luò)系統(tǒng)也應(yīng)像人體一樣具有入侵容忍能力，成為入侵容忍系統(tǒng)（Intrusion Tolerant System，簡稱ITS）。,（1）入侵容忍概述,入侵容忍概念 入侵容忍系統(tǒng)（也稱為容侵系統(tǒng)）是指網(wǎng)絡(luò)系統(tǒng)在遭受一定的入侵或攻擊的情況下，仍然能夠提供所希望的服務(wù)。 網(wǎng)絡(luò)入侵容忍的主要研

56、究內(nèi)容有三點：第一是研究專注于對服務(wù)產(chǎn)生威脅的事件的入侵觸發(fā)器；第二是充分利用容錯理論研究中的優(yōu)秀成果；第三是利用研究所得的入侵容忍理論和技術(shù)最終能構(gòu)建一個新的網(wǎng)絡(luò)安全信息系統(tǒng)。,入侵容忍概念（續(xù)）,所謂入侵容忍，就是入侵容忍（Intrusfon Tolerance），也就是當(dāng)一個網(wǎng)絡(luò)系統(tǒng)遭受入侵，而一些安全技術(shù)都失效或者不能完全排除入侵所造成的影響時，入侵容忍就可以作為系統(tǒng)的最后一道防線，即使系統(tǒng)的某些組件遭受攻擊者的破壞，但整個系統(tǒng)仍能提供全部或者提供降級的服務(wù)。 之所以把這種方案稱做入侵容忍，是因為它是基于入侵檢測和容錯已做的工作的基礎(chǔ)之上的。,入侵容忍概念（續(xù)）,如圖4-13所示，它形

57、象地說明了保護(hù)、檢測、入侵容忍三者之間的關(guān)系。,圖4-13 入侵容忍示意圖,容侵與容錯的比較,在一個先進(jìn)的容錯系統(tǒng)中，處理某個錯誤可能包含以下四個步驟：錯誤檢測、破壞情況估計、重新配置和恢復(fù)。 但是當(dāng)前的入侵檢測系統(tǒng)卻遠(yuǎn)遠(yuǎn)達(dá)不到這個程度，所以必須依靠入侵容忍系統(tǒng)來解決這個問題。 從上面的討論可以看出，入侵容忍（Intrusion Tolerance，簡稱容侵）是容錯（Fault Tolerance）的一種延伸。 所以很多容錯的方法都可以應(yīng)用到容侵中來。冗余是計算機(jī)容錯中一個有效的方法。,容侵與容錯的比較（續(xù)）,由于容錯技術(shù)發(fā)展得很成熟，怎么將容錯方法應(yīng)用到我們的入侵容忍中來，將是一個很大的挑戰(zhàn)

58、。其難點主要表現(xiàn)在： 容錯技術(shù)大多著眼于植根在設(shè)計或?qū)崿F(xiàn)階段的意外故障或者惡意故障。這個著眼點允許對可預(yù)言的故障行為進(jìn)行一些合理的假設(shè)。而表現(xiàn)為受到安全威脅的系統(tǒng)組件的主動入侵，它的行為完全是受到惡意控制，使得故障行為不可預(yù)知。 主動入侵也包括來自于系統(tǒng)組件外部的入侵，而在傳統(tǒng)的容錯系統(tǒng)中根本就沒有考慮到。 現(xiàn)成的容錯大多著眼于明確定義的硬軟件模塊，它們的故障模式相對容易定義。而考慮到大的分布式服務(wù)設(shè)施，每個組件具有復(fù)雜的功能，所以使得定義它們的故障模式更加困難。,（2）入侵容忍體系結(jié)構(gòu),圖4-14 入侵容忍體系結(jié)構(gòu),（2）入侵容忍體系結(jié)構(gòu)（續(xù)）,代理服務(wù)器 對正在進(jìn)行的請求，維持最新的和一致

59、的狀態(tài)； 服務(wù)環(huán)境的有效遷移； IDS和請求的負(fù)載控制。 接收監(jiān)視器 檢查結(jié)果的合理性； COTS服務(wù)器的可信狀態(tài)的監(jiān)視。 投票監(jiān)視器 在投票/裁決之前進(jìn)行復(fù)雜結(jié)果的轉(zhuǎn)換； 決定結(jié)果的發(fā)布者（可以固定指定，也可以動態(tài)選擇）。,（2）入侵容忍體系結(jié)構(gòu)（續(xù)）,審計控制 進(jìn)行周期性診斷測試：驗證審計記錄來檢測組件中的異常行為； 維護(hù)所有系統(tǒng)組件的審計日志。 自適應(yīng)性重新配置 當(dāng)出現(xiàn)意外的或者惡意的故障時，通過重新配置系統(tǒng)來自動執(zhí)行安全策略。 此種體系結(jié)構(gòu)的缺陷。首先此種體系結(jié)構(gòu)中對于提供不同類型服務(wù)的服務(wù)器，沒有必要全互聯(lián)，因為使得系統(tǒng)的代價較高，并且實現(xiàn)復(fù)雜，卻沒有什么實際用途。,（3）基于狀態(tài)遷移的入侵容忍模型,圖4-15 入侵容忍系統(tǒng)的狀態(tài)遷移圖,（3）基于狀態(tài)遷移的入侵容忍模型（續(xù)）,建立在此模型上的系統(tǒng)允許多個入侵容忍策略存在并且支持不同級別的安全需求，因為此狀態(tài)轉(zhuǎn)換模型主要著眼于攻擊對系統(tǒng)服務(wù)所造成的影響，而不是攻擊過程本身。所以能夠處理以前未知的攻擊，只要這種攻擊對我們的服務(wù)所造成的影響與已知攻擊相似。 此種模型存在一定的缺陷。首先，此模型只是一個靜態(tài)轉(zhuǎn)換，而不