第八章 入侵检测系统
合集下载
151-第8章 入侵检测系统
Header,88,2,su,,Sun Oct 17 21:04:00
2019 +350001500 msec,subject,cxl,root, staff,cxl,staff,431,422,24 2 192.168.0.123,text,bad auth.for user root,return,failure,2
从上例的输出可以看到,用户mht从 192.168.0.9成功地远程登录到审计所在主 机;来自192.168.0.123的用户cxl试图将用 户更换为root,但没有成功。
事件类型、时间、用户组、有效的用户 身份号以及成功/出错信息也一目了然。
(2)系统日志
系统日志是反映各种系统事件和配置的 文件。
文件名
尽信书,则不如无书
入侵检测(Intrusion Detection),
顾名思义,就是对入侵行为的发觉,它通 过对计算机网络或计算机系统中的若干关 键点收集信息并对其进行分析,从中发现 网络或系统中是否有违反安全策略的行为 和被攻击的迹象。
进行入侵检测的软件与硬件的组合便
是入侵检测系统(IDS)。
事件时间
主体信息token
用户ID 用户有效ID
审计ID 进程ID 组ID
文件属性token 存取权限 文件属主 inode号 设备号
路径信息token 路径名 串长度
Solaris2.6给系统程序员提供了简单的编程接口,使之能够根据自己的需 要增加审计内容。auditsvc(2)指定当前的审计日志文件,audit(2)写入表 示一条审计记录。
Solaris2.6的审计事件涵盖系统调用和安全相关 命令,如下表所示。
审计事件类 fr nt ad lo ip …
描述 文件读取事件
2019 +350001500 msec,subject,cxl,root, staff,cxl,staff,431,422,24 2 192.168.0.123,text,bad auth.for user root,return,failure,2
从上例的输出可以看到,用户mht从 192.168.0.9成功地远程登录到审计所在主 机;来自192.168.0.123的用户cxl试图将用 户更换为root,但没有成功。
事件类型、时间、用户组、有效的用户 身份号以及成功/出错信息也一目了然。
(2)系统日志
系统日志是反映各种系统事件和配置的 文件。
文件名
尽信书,则不如无书
入侵检测(Intrusion Detection),
顾名思义,就是对入侵行为的发觉,它通 过对计算机网络或计算机系统中的若干关 键点收集信息并对其进行分析,从中发现 网络或系统中是否有违反安全策略的行为 和被攻击的迹象。
进行入侵检测的软件与硬件的组合便
是入侵检测系统(IDS)。
事件时间
主体信息token
用户ID 用户有效ID
审计ID 进程ID 组ID
文件属性token 存取权限 文件属主 inode号 设备号
路径信息token 路径名 串长度
Solaris2.6给系统程序员提供了简单的编程接口,使之能够根据自己的需 要增加审计内容。auditsvc(2)指定当前的审计日志文件,audit(2)写入表 示一条审计记录。
Solaris2.6的审计事件涵盖系统调用和安全相关 命令,如下表所示。
审计事件类 fr nt ad lo ip …
描述 文件读取事件
第8章 入侵检测系统
8.3.3 分布式入侵检测系统
❖ 基于网络与基于主机的IDS相比具有明显的优点, 如部署数量少,能实时监测、具有0S独立性等,但 同时也有较大的缺陷:只能检查一个广播型网段上 的通信、难以处理加密的会话过程。
❖ 由此看出,二者各有优势,且具有互补性,把二者 结合起来使用,有可能改善入侵检测系统的检测效 果,这就是分布式入侵检测系统(Distributed IDS,DIDS)形成的原因。
图8.5 CIDF定义的体系结构
输入:原始事件源
❖ 其次,探测代理认为可疑的数据包将被根据 其类型交给专用的分析层设备处理。
❖ 各探测代理不仅实现信息过滤,同时监视所 在系统;而分析层和管理层则可对全局的信 息进行关联性分析。
❖ 这样对网络信息进行分流,提高了检测速度, 解决了检测效率低的问题,使得DIDS本身抗 击拒绝服务攻击的能力也得到了增强。
❖ 目前,随着网络规模的发展,大部分入侵检 测系统都采用分布式结构。分布式结构采用 分级组织模型,网状组织模型,或者这两种 的混和组织模型。
❖ 分级体系结构采用树形结构,命令和控制组 件在上层,信息汇聚中间层,操作单元位于 叶节点。操作单元可以是基于网络的IDS、基 于主机IDS、防病毒以及攻击响应系统。
8.2.2入侵检测系统的现状
❖ 入侵检测系统目前主要存在的问题有: ❖ (1)IDS产品的检测准确率比较低,漏报和
误报比较多。 ❖ (2)入侵检测系统不能对攻击做出响应 ❖ (3) IDS维护比较难 ❖ (4) 缺乏国际国内标准,IDS产品的测评缺
乏统一的标准和平台
8.2.3入侵检测系统的发展
❖ (1)体系结构的发展 ❖ 现有入侵检测系统多采用单一体系结构,即所
图8.4 混和体系结构
入侵检测系统
IDES是一个混合型的入侵检测系统,使用一个在当时来说是创新的统计分析算法来检测异常入侵行为,同时该系统还使用一个专家系统检测模块来对已知的入侵攻击模式进行检测。
DIDS系统设计的目标环境是一组经由以太局域网连接起来的主机,并且这些主机系统都满足C2等级的安全审计功能要求。
DIDS所要完成的任务是监控网络中各个主机的安全状态,同时检测针对局域网本身的攻击行为。
入侵检测是对企图入侵,正在进行的入侵或者已经发生的入侵检测系统,其中包括软件系统以及软硬件结合的系统。
审计数据的获取工作主要考虑下列问题:1.确定审计数据的来源和类型2.审计数据的预处理工作,其中包括记录标准格式的设计,过滤和映射操作等3.审计数据的获取方式包括审计数据获取模块的结果设计和传输协议等审计数据模块的主要作用是获取目标系统的审计数据,并经过预处理工作后,最终目标是为入侵检测的处理模块提供一条单一的审计记录块数据流,供其使用。
邻域接口包括两个主要部件:目标系统组建(Agen)和IDES组件(Arpool)。
是一个动态的计算机系统安全理论模型.P DR特点是动态性和基于时间的特性P2DR模型的内容包括如下。
⑴策略:P2DR模型的核心内容。
具体实施过程中,策略规定了系统所要达到的安全目标和为达到目标所采取的各种具体安全措施及其实施强度等。
⑵防护:具体包括制定安全管理规则、进行系统安全配置工作以及安装各种安全防护设备。
⑶检测:在采取各种安全措施后,根据系统运行情况的变化,对系统安全状态进行实时的动态监控。
⑷响应:当发现了入侵活动或入侵结果后,需要系统作出及时的反应并采取措施,其中包括记录入侵行为、通知管理员、阻断进一步的入侵活动以及恢复系统正常运行等。
STAT系统架构示意图基于状态转移分析的检测模型,将攻击者的入侵行为描绘为一系列的特征操作及其所引起的一系列系统状态转换过程,从而使得目标系统从初始状态转移到攻击者所期望的危害状态。
它所具有的优点如下:①直接采用审计记录序列来表示攻击行为的方法不具备直观性。
入侵检测系统
1)从数据来源角度分类
分基析于。主机和分布式入
侵检测系统。
2)从检测的策略角度分类
18:34:44
18:34:44
入侵检测系统
入侵检测系统构成 入侵检测系统的分类 基于主机的入侵检测系统 基于网络的入侵检测系统 分布式入侵检测系统
基于主机的入侵检测系统
基于主机的入侵检测系统(HIDS):其检 测的主要目标主要是主机系统和系统本地用户。 检测原理是根据主机的审计数据和系统日志发 现可疑事件,基本过程如图所示
基于网络的入侵检测系统使用原始网络包作为 数据源。基于网络的IDS通常利用一个运行在随机 模式下的网络适配器来实时监视并分析通过网络的 所有通信业务。它的攻击辨识模块通常采用四种常 用技术来识别攻击标志。
1)模式、表达式或字节匹配。 2)频率或穿越阈值。 3)低级事件的相关性。 4)统计学意义上的非常规现象检测。
18:34:45
分布式入侵检测系统
基于上述情况,分布式的入侵检测系统就应运 而生。分布式IDS系统通常由数据采集构件、通信 传输构件、入侵检测分析构件、应急处理构件和管 理构件组成,如图所示。
18:34:45
分布式入侵检测系统结构示意图
网络信息安全技术
网络信息安全技术
入侵检测系统
入侵检测通过对计算机网络或计算机系统中的若 干关键点收集信息并进行分析,从中发现网络或系统 中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统执行的主要任务包括:监视、 分析用户及系统活动;审计系统构造和弱点;识别、 反映已知进攻的活动模式,向相关人士报警;统计分 析异常行为模式;评估重要系统和数据文件的完整性; 审计、跟踪管理操作系统,识别用户违反安全策略的 行为。入侵检测一般分为三个步骤,依次为信息收集、 数据分析、响应(被动响应和主动响应)。
计算机网络安全第八章IDS
2 之 2
误用检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
误用检测
入侵行为
攻击模式描述库
规则匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
2 之 2
误报率低,漏报率高。攻击特征的细微变化,会使得误用检测无能为力。
按照数据来源分
目录
10 之 8
建立预警机制采取灾备措施提高保障意识
从预警到保障
IDS发展过程
— 概念的诞生
目录
10 之 9
1980年4月,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视):
异常检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
异常检测
入侵行为
正常行为描述库
规则不匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
异常检测系统的效率取决于用户轮廓的完备性和监控的频率;因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源;漏报率低,误报率高。
统计分析
目录>>IDS的基本结构>>信息分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
误用检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
误用检测
入侵行为
攻击模式描述库
规则匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
2 之 2
误报率低,漏报率高。攻击特征的细微变化,会使得误用检测无能为力。
按照数据来源分
目录
10 之 8
建立预警机制采取灾备措施提高保障意识
从预警到保障
IDS发展过程
— 概念的诞生
目录
10 之 9
1980年4月,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视):
异常检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
异常检测
入侵行为
正常行为描述库
规则不匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
异常检测系统的效率取决于用户轮廓的完备性和监控的频率;因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源;漏报率低,误报率高。
统计分析
目录>>IDS的基本结构>>信息分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
第八章-入侵检测
2015/11/22
8.4 入侵检测系统实现
• 入侵检测系统对收集的数据进行分析并以此判断是否为入 侵行为,具体的实现方法有以下几种:特征检测、统计检 测和专家系统。 特征检测
特征检测对已知的攻击或入侵方式做确定性的描述,形成相 应的事件模式,当被审计的事件与已知的入侵事件模式相匹 配时即报警。
• 定义
– 误用检测在系统中建立异常行为的特征库,然后将 系统或用户的行为与特征库进行比较
• 存在问题
– 不能预知新的攻击,只能检测出已发生过的攻击。
2015/11/22
8.3 入侵检测系统
• 8.3.1 入侵检测系统的设计准则
• 8.3.2 基于网络的入侵检测系统(NIDS)
• 8.3.3 基于主机的入侵检测系统(HIDS)
2015/11/22
8.3.5 其它类型的入侵检测系统
• 系统完整性验证者(SIVs)
– 一直监测系统中的核心文件(例如系统文件或注册 表)来检测是否被入侵者更改
• 日志文件监督(LFM)
– 监测网络服务创建的日志记录,并将其与关键字进 行匹配来判断入侵者是否正在攻击
• 蜜罐
– 包含漏洞,诱使入侵者对其进行攻击从而获取攻击 者攻击工具和攻击方法的信息
2015/11/22
4. 哪种入侵者是最危险的,为什么? A. 外部入侵者,因为他们在攻击之前会大量的收集目标系统的信息。 B. 内部入侵者,因为他们掌握更多关于系统的信息。 C. 外部入侵者,因为大部分入侵者都在外部。 D. 内部入侵者,因为很多外部入侵者都是新手。 5. 对于有特征的入侵行为,哪种类型的入侵检测更适用: A. 误用检测 B. 异常检测 C. 恶意检测 D. 外部检测 6. IDS规则的目的是什么: A. 告诉IDS检测那些端口 B. 限制系统行为,如果违反了,就触发警报 C. 告诉IDS那些包需要被监测,并在包中检测什么内容 D. 告诉防火墙哪些数据包可以穿过IDS
8.4 入侵检测系统实现
• 入侵检测系统对收集的数据进行分析并以此判断是否为入 侵行为,具体的实现方法有以下几种:特征检测、统计检 测和专家系统。 特征检测
特征检测对已知的攻击或入侵方式做确定性的描述,形成相 应的事件模式,当被审计的事件与已知的入侵事件模式相匹 配时即报警。
• 定义
– 误用检测在系统中建立异常行为的特征库,然后将 系统或用户的行为与特征库进行比较
• 存在问题
– 不能预知新的攻击,只能检测出已发生过的攻击。
2015/11/22
8.3 入侵检测系统
• 8.3.1 入侵检测系统的设计准则
• 8.3.2 基于网络的入侵检测系统(NIDS)
• 8.3.3 基于主机的入侵检测系统(HIDS)
2015/11/22
8.3.5 其它类型的入侵检测系统
• 系统完整性验证者(SIVs)
– 一直监测系统中的核心文件(例如系统文件或注册 表)来检测是否被入侵者更改
• 日志文件监督(LFM)
– 监测网络服务创建的日志记录,并将其与关键字进 行匹配来判断入侵者是否正在攻击
• 蜜罐
– 包含漏洞,诱使入侵者对其进行攻击从而获取攻击 者攻击工具和攻击方法的信息
2015/11/22
4. 哪种入侵者是最危险的,为什么? A. 外部入侵者,因为他们在攻击之前会大量的收集目标系统的信息。 B. 内部入侵者,因为他们掌握更多关于系统的信息。 C. 外部入侵者,因为大部分入侵者都在外部。 D. 内部入侵者,因为很多外部入侵者都是新手。 5. 对于有特征的入侵行为,哪种类型的入侵检测更适用: A. 误用检测 B. 异常检测 C. 恶意检测 D. 外部检测 6. IDS规则的目的是什么: A. 告诉IDS检测那些端口 B. 限制系统行为,如果违反了,就触发警报 C. 告诉IDS那些包需要被监测,并在包中检测什么内容 D. 告诉防火墙哪些数据包可以穿过IDS
第8章 入侵检测系统(IDS)及应用 网络维护与安全技术教程与实训电子教案
入侵检测过程示意图
报警 日志记录
入侵检测
记录
内部入侵
终止入侵
重新配置 防火墙 路由器
入侵检测
记录入侵 过程
3、入侵检测的发展
❖ 入侵检测技术的发展过程: ❖概念诞生阶段:1980年 James P. Anderson第一
次详细阐述了入侵检测的概念。《Computer Security Threat Monitoring and Surveillance》。 ❖模型产生阶段:1986年 Denning提出了一种通 用的入侵检测模型。研究出了一个实时入侵检测 系统模型—IDES(入侵检测专家系统)。 ❖ 百家争鸣阶段:90年初-至今(基于数据挖掘、 基于神经网络的入侵检测等)。
4.入侵检测系统的工作过程
❖ IDS处理过程分为四个阶段。 ❖ 数据采集阶段:数据采集是入侵检测的基础。在
数据采集阶段,入侵检测系统主要收集目标系统 中引擎提供的主机通信数据包和系统使用等情况。
❖ 数据处理及过滤阶段:把采集到的数据进行处理, 转换为可以识别是否发生入侵的形式。
❖ 分析及检测入侵阶段:通过分析上一阶段提供的 数据来判断是否发生入侵。这一阶段是整个入侵 检测系统的核心阶段。
入侵过程示意图
入侵:是指试图破坏计
算机系统的完整性、机 密性和可用性的行为
➢入侵者取得超出合 法身份的系统控制 权 ➢ 收集漏洞信息和拒 绝服务攻击
互联网
防火墙
入侵者进入用户系统的方式
❖ 入侵者进入用户系统主要有以下三种方式: ❖ 物理入侵:在未授权的情况对网络硬件的连接,
或对系统物理资源的直接破坏等。
它的特点是实时入侵检测 在网络连接过程中进行。系统对 实时网络数据包分析,对实时主机审计分析,一旦发现入 侵迹象立即断开入侵者与主机的连接,并收集证据和实施数 据恢复。
第8章 入侵检测系统(IDS)及应用习题答案
习题答案一、填空题1. 入侵者进入我们的系统主要有三种方式:物理入侵、系统入侵、远程入侵。
2. 入侵检测系统是进行入侵检测的软件与硬件的组合。
3. 入侵检测系统由三个功能部分组成,它们分别是感应器(Sensor)、分析器(Analyzer)和管理器(Manager)。
4. 入侵检测系统根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。
5.入侵检测系统根据工作方式分为在线检测系统和离线检测系统。
6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。
二、选择题1.IDS产品相关的等级主要有(BCD)等三个等级:A: EAL0 B: EAL1 C: EAL2 D: EAL32. IDS处理过程分为(ABCD )等四个阶段。
A: 数据采集阶段B: 数据处理及过滤阶段C: 入侵分析及检测阶段D: 报告以及响应阶段3. 入侵检测系统的主要功能有(ABCD ):A: 监测并分析系统和用户的活动B: 核查系统配置和漏洞C: 评估系统关键资源和数据文件的完整性。
D: 识别已知和未知的攻击行为4. IDS产品性能指标有(ABCD ):A:每秒数据流量B: 每秒抓包数C: 每秒能监控的网络连接数D:每秒能够处理的事件数5. 入侵检测产品所面临的挑战主要有(ABCD ):A:黑客的入侵手段多样化B:大量的误报和漏报C:恶意信息采用加密的方法传输D:客观的评估与测试信息的缺乏三、判断题1. 有了入侵检测系统以后,我们可以彻底获得网络的安全。
(F )2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。
( T )3. 基于网络的入侵检测系统比基于主机的入侵检测系统性能优秀一些。
( F )4. 现在市场上比较多的入侵检测产品是基于网络的入侵检测系统。
( T )四、简答题1. 什么是入侵检测系统?简述入侵检测系统的作用?答:入侵检测系统(Intrusion Detection System,简称IDS)是进行入侵检测的软件与硬件的组合,事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
入侵检测的起源
1988年之后,美国开展对分布式入侵检测系统 (DIDS)的研究,将基于主机和基于网络的检测 方法集成到一起。
DIDS是分布式入侵检测系统历史上的一个里程碑式 的产品。
从20世纪90年代到现在,入侵检测系统的研发 呈现出百家争鸣的繁荣局面,并在智能化和分 布式两个方向取得了长足的进展。
IDS的基本工作原理 当前系统或 网络行为
入侵检测 分析引擎
模式知识库
入侵行为模式 安全策略
入侵
否
正常行为模式
是
证据记录
数据采集
响应处理
8.1 概 述
检测IDS性能的两个关键参数
误报(false positive)
实际无害的事件却被IDS检测为攻击事件
漏报(false negative)
修正
异常检测
特点
异常检测系统的效率取决于用户轮廓的完备性 和监控的频率
不需要对每种入侵行为进行定义,因此能有效 检测未知的入侵
系统能针对用户行为的改变进行自我调整和优 化,但随着检测模型的逐步精确,异常检测会 消耗更多的系统资源
误用检测
前提
所有的入侵行为都有可以被检测到的特征
攻击特征库
模式匹配(与已知的攻击进行比较)
统计分析(确定对象的异常行为)
完整性分析(常用于事后分析)
8.1 概 述 警报信息 事件分析器
IDS的通用模型
事件数据库
存放各种中间和最终数据的地方 从事件产生器或事件分析器接收
数据,一般会将数据进行较长时 间的保存,以便于今后的关联分 析等。
响应单元
IDS
IDS
NIDS
Internet
IDS
IDS
IDS
检测内容:数据包
DMZ
(包头信息+有效数
据部分)
两类IDS的比较
HIDS
视野集中 易于用户自定义 保护更加周密 对网络流量不敏感
NIDS
侦测速度快 隐藏性好 视野更宽 较少的监测器 占资源少
8.1 概 述
入侵检测系统分类
➢模型推理滥用检测
8.2 入侵检测技术
高级检测技术
➢文件完整性检查
➢计算
➢数据融合
8.2 入侵检测技术
入侵诱骗技术
用特有的特征吸引攻击者,同时对攻击者的各 种攻击进行分析,并进而找到有效地对付方法
试图将攻击者从关键系统引诱开的诱骗系统 蜜罐技术(Honepot)
8.1 概 述
IDS的工作模式
从系统的不同环节收集信息 分析该信息,试图寻找入侵活动的特征 自动对检测到的行为作出响应 记录并报告检测过程及结果
8.1 概 述
IDS的通用模型
事件产生器 事件分析器
警报信息
事件数据库 事件分析器 响应单元
响应单元
响应动作
事件 数据库
事件产生器
审计数据等
当检测的用户或系统行为与库中的记录相匹配 时,系统就认为这种行为是入侵
过程
监控
特征提取
匹配
判定
指标
误报率低、漏报率高
误用检测
特点
采用模式匹配,误用模式能明显降低误报率, 但漏报率随之增加,攻击特征的细微变化,会 使得误用检测无能为力。
8.1 概 述
入侵检测系统分类
根据数据来源可分为
基本术语
Signatures (特征)
攻击特征是IDS的核心,它使IDS在事件发生时 触发
特征信息过短会经常触发IDS,导致误报或错 报;过长则会影响IDS的工作速度
有人将IDS所支持的特征数视为IDS好坏的标准, 但是有的厂商用一个特征涵盖许多攻击,而有 些厂商则会将这些特征单独列出,这就会给人 一种印象:好像它包含了更多的特征,是更好 的IDS
根据系统的工作方式可分为
离线检测系统 非实时工作,在行为发生后,对产生的数据进行 分析(事后分析) 成本低,可分析大量事件,分析长期情况;但无 法提供及时保护
在线检测系统 实时工作,在数据产生的同时或者发生改变时进 行分析 反应迅速,及时保护系统;但系统规模较大时, 实时性难以得到实际保证
知识回顾
防火墙的局限性?
削弱了网络的功能
信息受阻 增大了网络开销
并非万无一失
防外不防内
第八章 入侵检测系统
8.1 概 述
IDS存在与发展的必然性
网络安全本身的复杂性,被动式的防御方式显 得力不从心。
有关防火墙
网络边界的设备 自身可以被攻破 对某些攻击保护很弱 并非所有威胁均来自防火墙外部
基本术语
Promiscuous (混杂模式)
默认状态下,IDS网络接口只能“看到”进出 主机的信息,也就是所谓的non-promiscuous (非混杂模式)
如果网络接口是混杂模式,就可以“看到”网 段中所有的网络通信量,不管其来源或目的地
这对于网络IDS是必要的
本章学习目标
了解IDS存在和发展的必然性 掌握入侵检测的相关概念 掌握IDS的工作模式及其通用模型 掌握IDS的分类 了解各种入侵检测技术 了解IDS的发展方向
误用检测(Misuse Detection) 假设所有入侵行为和手段都能表达为一种模式或 特征,又称特征检测 利用特征匹配的方法
异常检测
前提
入侵是异常活动的子集
用户轮廓(Profile)
通常定义为各种行为参数及其阈值的集合,用 于描述正常行为范围
过程
监控
量化
比较
判定
指标
漏报率低,误报率高
8.1 概 述
入侵检测系统的功能
监控、分析用户和系统的活动 发现入侵企图或异常现象 审计系统的配置和弱点 评估关键系统和数据文件的完整性 对异常活动的统计分析 识别攻击的活动模式 实时报警和主动响应 审计跟踪
8.2 入侵检测技术
异常检测技术 误用/滥用检测技术 高级检测技术 入侵诱骗技术 入侵响应技术
基本术语
Alert (警报)
当一个入侵正在发生或者试图发生时,IDS将 发布一个alert信息通知系统管理员
如果控制台与IDS同在一台机器,alert信息将 显示在监视器上,也可能伴随有声音提示
如果是远程控制台,那么alert将通过IDS的内 置方法(通常是加密的),SNMP(简单网络 管理协议,通常不加密),email,SMS(短信 息)或者以上几种方法的混合方式传递给管理 员
目标系统
8.1 概 述 警报信息 事件分析器
IDS的通用模型
响应单元
响应动作
事件 数据库
事件产生器
事件产生器
负责收集、采集各种原始数据, 且将其转换为事件,向系统的其
审计数据等
目标系统
他部分提供此事件。
收集内容:系统、网络数据及用户活动的状态和行 为。
不同关键点的信息:系统或网络的日志文件、网络 流量、系统目录和文件的异常变化、程序执行中的 异常行为
1990年,加州大学戴维斯分校的L. T. Heberlein 等人开发出了NSM (Network Security Monitor)
第一次直接将网络数据流作为审计数据来源,因而 可以在不将审计数据转换成统一格式的情况下监控 异种主机。
两大阵营正式形成:基于网络的IDS和基于主机的 IDS
8.1 概 述
一个攻击事件未被IDS检测到或被分析人员认为是 无害的
8.1 概 述
入侵检测系统分类
根据其采用的分析方法(检测原理) 根据数据来源 根据体系结构 根据系统的工作方式
8.1 概 述
入侵检测系统分类
根据其采用的分析方法(检测原理)可分为
异常检测(Anomaly Detection) 假设入侵行为与正常行为不同 对正常行为用定量的方式加以描述,当用户活动 与正常行为有重大偏离时即被认为是入侵。 利用统计的分析方法
响应动作
事件 数据库
事件产生器
审计数据等
目标系统
8.1 概 述 警报信息 事件分析器
IDS的通用模型
响应单元
响应动作
事件 数据库
响应单元
事件产生器
根据告警信息作出反应, 是IDS中的主动武器
审计数据等
目标系统
可作出
强烈反应:切断连接、改变文件属性等
简单的报警:给管理员发送短信等。
8.1 概 述
功能与性能提高 检测和防范分布式攻击和拒绝服务攻击 应用层入侵检测 响应策略与恢复研究 入侵检测评测方法 全面的安全防御
入侵检测系统实例
入侵检测系统Snort
免费、开放源代码的基于网络的入侵检测 系统
下载网址 提供抓包、记录包、入侵检测三个功能 可运行于Linux/Unix、Windows操作系统
诱饵:留有安全后门或是有用的信息 记录:攻击者的所有操作。 地位:本身并不是一种安全解决方案,它只是一种
工具,而且只有Honeypot受到攻击,它的作用才能 发挥出来。
蜜网技术(Honeynet)
8.2 入侵检测技术
入侵响应技术
主动响应
IDS在检测到入侵后能够阻断攻击、影响进而改变 攻击的进程
入侵检测系统(IDS)
用于进行入侵检测的自动化工具,是入侵检测的软 件与硬件的组合。
8.1 概 述
入侵检测的起源
从审计技术发展而来 1980年,James P. Anderson的《计算机安全威
胁监控与监视》
第一次详细阐述了入侵检测的概念 计算机系统威胁分类:外部渗透、内部渗透和不法
被动响应
IDS仅仅简单地报告和记录所检测出的问题
二者并不互斥,无论采用哪种响应机制,IDS 均应以日志的形式记录下检测结果。
8.3 入侵检测的发展与演化
入侵和攻击的复杂化与综合化 入侵主体的间接化 入侵和攻击的规模扩大化 入侵和攻击技术的分布化 攻击对象的转移
1988年之后,美国开展对分布式入侵检测系统 (DIDS)的研究,将基于主机和基于网络的检测 方法集成到一起。
DIDS是分布式入侵检测系统历史上的一个里程碑式 的产品。
从20世纪90年代到现在,入侵检测系统的研发 呈现出百家争鸣的繁荣局面,并在智能化和分 布式两个方向取得了长足的进展。
IDS的基本工作原理 当前系统或 网络行为
入侵检测 分析引擎
模式知识库
入侵行为模式 安全策略
入侵
否
正常行为模式
是
证据记录
数据采集
响应处理
8.1 概 述
检测IDS性能的两个关键参数
误报(false positive)
实际无害的事件却被IDS检测为攻击事件
漏报(false negative)
修正
异常检测
特点
异常检测系统的效率取决于用户轮廓的完备性 和监控的频率
不需要对每种入侵行为进行定义,因此能有效 检测未知的入侵
系统能针对用户行为的改变进行自我调整和优 化,但随着检测模型的逐步精确,异常检测会 消耗更多的系统资源
误用检测
前提
所有的入侵行为都有可以被检测到的特征
攻击特征库
模式匹配(与已知的攻击进行比较)
统计分析(确定对象的异常行为)
完整性分析(常用于事后分析)
8.1 概 述 警报信息 事件分析器
IDS的通用模型
事件数据库
存放各种中间和最终数据的地方 从事件产生器或事件分析器接收
数据,一般会将数据进行较长时 间的保存,以便于今后的关联分 析等。
响应单元
IDS
IDS
NIDS
Internet
IDS
IDS
IDS
检测内容:数据包
DMZ
(包头信息+有效数
据部分)
两类IDS的比较
HIDS
视野集中 易于用户自定义 保护更加周密 对网络流量不敏感
NIDS
侦测速度快 隐藏性好 视野更宽 较少的监测器 占资源少
8.1 概 述
入侵检测系统分类
➢模型推理滥用检测
8.2 入侵检测技术
高级检测技术
➢文件完整性检查
➢计算
➢数据融合
8.2 入侵检测技术
入侵诱骗技术
用特有的特征吸引攻击者,同时对攻击者的各 种攻击进行分析,并进而找到有效地对付方法
试图将攻击者从关键系统引诱开的诱骗系统 蜜罐技术(Honepot)
8.1 概 述
IDS的工作模式
从系统的不同环节收集信息 分析该信息,试图寻找入侵活动的特征 自动对检测到的行为作出响应 记录并报告检测过程及结果
8.1 概 述
IDS的通用模型
事件产生器 事件分析器
警报信息
事件数据库 事件分析器 响应单元
响应单元
响应动作
事件 数据库
事件产生器
审计数据等
当检测的用户或系统行为与库中的记录相匹配 时,系统就认为这种行为是入侵
过程
监控
特征提取
匹配
判定
指标
误报率低、漏报率高
误用检测
特点
采用模式匹配,误用模式能明显降低误报率, 但漏报率随之增加,攻击特征的细微变化,会 使得误用检测无能为力。
8.1 概 述
入侵检测系统分类
根据数据来源可分为
基本术语
Signatures (特征)
攻击特征是IDS的核心,它使IDS在事件发生时 触发
特征信息过短会经常触发IDS,导致误报或错 报;过长则会影响IDS的工作速度
有人将IDS所支持的特征数视为IDS好坏的标准, 但是有的厂商用一个特征涵盖许多攻击,而有 些厂商则会将这些特征单独列出,这就会给人 一种印象:好像它包含了更多的特征,是更好 的IDS
根据系统的工作方式可分为
离线检测系统 非实时工作,在行为发生后,对产生的数据进行 分析(事后分析) 成本低,可分析大量事件,分析长期情况;但无 法提供及时保护
在线检测系统 实时工作,在数据产生的同时或者发生改变时进 行分析 反应迅速,及时保护系统;但系统规模较大时, 实时性难以得到实际保证
知识回顾
防火墙的局限性?
削弱了网络的功能
信息受阻 增大了网络开销
并非万无一失
防外不防内
第八章 入侵检测系统
8.1 概 述
IDS存在与发展的必然性
网络安全本身的复杂性,被动式的防御方式显 得力不从心。
有关防火墙
网络边界的设备 自身可以被攻破 对某些攻击保护很弱 并非所有威胁均来自防火墙外部
基本术语
Promiscuous (混杂模式)
默认状态下,IDS网络接口只能“看到”进出 主机的信息,也就是所谓的non-promiscuous (非混杂模式)
如果网络接口是混杂模式,就可以“看到”网 段中所有的网络通信量,不管其来源或目的地
这对于网络IDS是必要的
本章学习目标
了解IDS存在和发展的必然性 掌握入侵检测的相关概念 掌握IDS的工作模式及其通用模型 掌握IDS的分类 了解各种入侵检测技术 了解IDS的发展方向
误用检测(Misuse Detection) 假设所有入侵行为和手段都能表达为一种模式或 特征,又称特征检测 利用特征匹配的方法
异常检测
前提
入侵是异常活动的子集
用户轮廓(Profile)
通常定义为各种行为参数及其阈值的集合,用 于描述正常行为范围
过程
监控
量化
比较
判定
指标
漏报率低,误报率高
8.1 概 述
入侵检测系统的功能
监控、分析用户和系统的活动 发现入侵企图或异常现象 审计系统的配置和弱点 评估关键系统和数据文件的完整性 对异常活动的统计分析 识别攻击的活动模式 实时报警和主动响应 审计跟踪
8.2 入侵检测技术
异常检测技术 误用/滥用检测技术 高级检测技术 入侵诱骗技术 入侵响应技术
基本术语
Alert (警报)
当一个入侵正在发生或者试图发生时,IDS将 发布一个alert信息通知系统管理员
如果控制台与IDS同在一台机器,alert信息将 显示在监视器上,也可能伴随有声音提示
如果是远程控制台,那么alert将通过IDS的内 置方法(通常是加密的),SNMP(简单网络 管理协议,通常不加密),email,SMS(短信 息)或者以上几种方法的混合方式传递给管理 员
目标系统
8.1 概 述 警报信息 事件分析器
IDS的通用模型
响应单元
响应动作
事件 数据库
事件产生器
事件产生器
负责收集、采集各种原始数据, 且将其转换为事件,向系统的其
审计数据等
目标系统
他部分提供此事件。
收集内容:系统、网络数据及用户活动的状态和行 为。
不同关键点的信息:系统或网络的日志文件、网络 流量、系统目录和文件的异常变化、程序执行中的 异常行为
1990年,加州大学戴维斯分校的L. T. Heberlein 等人开发出了NSM (Network Security Monitor)
第一次直接将网络数据流作为审计数据来源,因而 可以在不将审计数据转换成统一格式的情况下监控 异种主机。
两大阵营正式形成:基于网络的IDS和基于主机的 IDS
8.1 概 述
一个攻击事件未被IDS检测到或被分析人员认为是 无害的
8.1 概 述
入侵检测系统分类
根据其采用的分析方法(检测原理) 根据数据来源 根据体系结构 根据系统的工作方式
8.1 概 述
入侵检测系统分类
根据其采用的分析方法(检测原理)可分为
异常检测(Anomaly Detection) 假设入侵行为与正常行为不同 对正常行为用定量的方式加以描述,当用户活动 与正常行为有重大偏离时即被认为是入侵。 利用统计的分析方法
响应动作
事件 数据库
事件产生器
审计数据等
目标系统
8.1 概 述 警报信息 事件分析器
IDS的通用模型
响应单元
响应动作
事件 数据库
响应单元
事件产生器
根据告警信息作出反应, 是IDS中的主动武器
审计数据等
目标系统
可作出
强烈反应:切断连接、改变文件属性等
简单的报警:给管理员发送短信等。
8.1 概 述
功能与性能提高 检测和防范分布式攻击和拒绝服务攻击 应用层入侵检测 响应策略与恢复研究 入侵检测评测方法 全面的安全防御
入侵检测系统实例
入侵检测系统Snort
免费、开放源代码的基于网络的入侵检测 系统
下载网址 提供抓包、记录包、入侵检测三个功能 可运行于Linux/Unix、Windows操作系统
诱饵:留有安全后门或是有用的信息 记录:攻击者的所有操作。 地位:本身并不是一种安全解决方案,它只是一种
工具,而且只有Honeypot受到攻击,它的作用才能 发挥出来。
蜜网技术(Honeynet)
8.2 入侵检测技术
入侵响应技术
主动响应
IDS在检测到入侵后能够阻断攻击、影响进而改变 攻击的进程
入侵检测系统(IDS)
用于进行入侵检测的自动化工具,是入侵检测的软 件与硬件的组合。
8.1 概 述
入侵检测的起源
从审计技术发展而来 1980年,James P. Anderson的《计算机安全威
胁监控与监视》
第一次详细阐述了入侵检测的概念 计算机系统威胁分类:外部渗透、内部渗透和不法
被动响应
IDS仅仅简单地报告和记录所检测出的问题
二者并不互斥,无论采用哪种响应机制,IDS 均应以日志的形式记录下检测结果。
8.3 入侵检测的发展与演化
入侵和攻击的复杂化与综合化 入侵主体的间接化 入侵和攻击的规模扩大化 入侵和攻击技术的分布化 攻击对象的转移