入侵检测系统基本知识

第11讲IDS技术一一入侵知识简介 1 入侵 Intrusion 2 漏洞3 主要漏洞4 入侵者5 侵入系统的主要途径 1 入侵 Intrusion 入侵是指未经授权蓄意尝试访问信息窜改信息使系统不可靠或不能使用的行为它企图破坏计算机资源的完整性 Integrity 指数据未经授权不能被改变机密性 Confidentiality 指只有合法的授权用户才能对机密的或受限的数据进行存取可用性 Availability 是指计算机资源在系统合法用户需要使用时必须是可用的可控性 Controliability 是指可以控制授权范围内的信息流向及行为方式有的也称不可否认性 Non repudiation 2 漏洞入侵要利用漏洞漏洞是指系统硬件操作系统软件网络协议等在设计上实现上出现的可以被攻击者利用的错误缺陷和疏漏 3 主要漏洞按照漏洞的性质现有的漏洞主要有 l缓冲区溢出l拒绝服务攻击漏洞l代码泄漏信息泄漏漏洞l配置修改系统修改漏洞l脚本执行漏洞l远程命令执行漏洞l其它类型的漏洞 4 入侵者入侵者可以是一个手工发出命令的人也可是一个基于入侵脚本或程序的自动发布命令的计算机入侵者一般可以分为两类内部的一般指系统中的合法用户但违规或者越权操作和外部的一般指系统中的非法用户 5 侵入系统的主要途径入侵者进入系统的主要途径有 l物理侵入指一个入侵者对主机有物理进入权限比如他们能使用键盘有权移走硬盘等 l本地侵入这类侵入表现为入侵者已经拥有在系统用户的较低权限如果系统没有打最新的漏洞补丁就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会 l远程侵入这类入侵指入侵者通过网络远程进入系统比如通过植入木马实现对目标主机的控制从远程发起对目标主机的攻击等 6 攻击的一般步骤进行网络攻击是一件系统性很强的工作其主要工作流程是收集情报远程攻击清除日志留下后门 6 攻击一般步骤总览二入侵检测系统基本知识 1 入侵检测与入侵检测系统2 入侵检测系统在系统安全中的地位3 IDS能做什么 4 为什么需要IDS 5 IDS的优点6 IDS的缺点7 入侵检测的发展历史 1 入侵检测与入侵检测系统入侵检测顾名思义是指对入侵行为的发觉它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象入侵检测系统 IntrusionDetectionSystem 是完成入侵检测功能的软件硬件及其组合它试图检测识别和隔离入侵企图或计算机的不恰当未授权使用 2 入侵检测系统在系统安全中的地位 3 IDS能做什么监控分析用户和系统的活动发现入侵企图或异常现象审计系统的配置和弱点评估关键系统和数据文件的完整性对异常活动的统计分析识别攻击的活动模式实时报警和主动响应 4 为什么需要IDS 入侵很容易入侵教程随处可见各种工具唾手可得防火墙不能保证绝对的安全网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部防火墙是锁入侵检测系统是监视器 5 IDS的优点提高信息安全构造的其他部分的完整性提高系统的监控能力从入口点到出口点跟踪用户的活动识别和汇报数据文件的变化侦测系统配置错误并纠正识别特殊攻击类型并向管理人员发出警报 6 IDS的缺点不能弥补差的认证机制需要过多的人为干预不知道安全策略的内容不能弥补网络协议上的弱点不能分析一个堵塞的网络不能分析加密的数据 7 入侵检测的发展历史 1 1980年 JamesAnderson最早提出入侵检测概念1987年 D E Denning首次给出了一个入侵检测的抽象模型并将入侵检测作为一种新的安全防御措施提出 1988年 Morris蠕虫事件直接刺激了IDS的研究1988年创建了基于主机的系统有 IDES Haystack等等1989年提出基于网络的IDS系统有 NSM NADIR DIDS等等 7 入侵检测的发展历史 2 90年代不断有新的思想提出如将人工智能神经网络模糊理论证据理论分布计算技术等引入IDS系统2000年2月对Yahoo Amazon CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮2001年今 RedCode 求职信等新型病毒的不断出现进一步促进了IDS的发展三入侵检测系统构件 1 IDS框架介绍2 入侵检测系统构件3 事件产生器4 事件分析器5 响应单元6 事件数据库7 管理器 1 IDS框架介绍 1 理论界 CIDFCommonIntrusionDetectionFramework由DARPA于1997年3月开始着手制定为了解决不同入侵检测系统互操作性共存问题 1 IDS框架介绍 2 工业界 IDWGIntrusionDetectionWorkGroupIDS系统之间 IDS和网管系统之间共享的数据格式统一的通信规程草案IDMEF 入侵检测消息交换格式 IDXP 入侵检测交换协议最终成为RFC 尚需时日 2 入侵检测系统构件 1 CIDF根据IDS系统的通用需求以及现有IDS的系统结构将IDS系统构成划分如下部分事件产生器 EventGenerators 事件分析器 Eventanalyzers 响应单元 Responseunits 事件数据库 Eventdatabases 2 入侵检测系统构件 2 3 事件产生器事件产生器的目的是从整个计算环境中获得事件并向系统的其他部分提供此事件入侵检测的第一步采集内容系统日志应用程序日志系统调用网络数据用户行为其他IDS的信息 4 事件分析器事件分析器分析得到的数据并产生分析结果分析是核心效率高低直接决定整个IDS性能 5 响应单元响应单元则是对分析结果作出作出反应的功能单元功能包括告警和事件报告终止进程强制用户退出切断网络连接修改防火墙设置灾难评估自动恢复查找定位攻击者 6 事件数据库事件数据库是存放各种中间和最终数据的地方的统称它可以是复杂的数据库也可以是简单的文本文件 7 管理器常规的管理功能定位控制ConsoleGUI命令行客户程序Web方式Database日志规则库行为模式库四入侵检测系统的分类 1 入侵检测系统的分类2 根据原始数据的来源3 根据检测技术进行分类4 根据体系结构分类5 根据响应方式分类 1 入侵检测系统的分类随着入侵检测技术的发展到目前为止出现了很多入侵检测系统不同的入侵检测系统具有不同的特征根据不同的分类标准入侵检测系统可分为不同的类别对于入侵检测系统要考虑的因素分类依据主要的有信息源入侵事件生成事件处理检测方法等 2 根据原始数据的来源基于主机的入侵检测系统监控粒度更细配置灵活可用于加密的以及交换的环境基于网络的入侵检测系统视野更宽隐蔽性好攻击者不易转移证据 3 根据检测技术进行分类异常入侵检测根据异常行为和使用计算机资源的情况检测出来的入侵误用入侵检测利用已知系统和应用软件的弱点攻击模式来检测入侵 4 根据体系结构分类集中式多个分布于不同主机上的审计程序但只有一个中央入侵检测服务器等级式定义了若干个分等级的监控区域每个IDS负责一个区域每一级IDS只负责所监控区的分析然后将当地的分析结果传送给上一级IDS 协作式将中央检测服务器的任务分配给多个基于主机的IDS 这些IDS不分等级各司其职负责监控当地主机的某些活动 5 根据响应方式分类主动响应对被攻击系统实施控制和对攻击系统实施控制被动响应只会发出告警通知将发生的不正常情况报告给管理员本身并不试图降低所造成的破坏更不会主动地对攻击者采取反击行动五入侵检测的分析方式 1 入侵检测的分析方式2 异常检测3 误用检测4 完整性分析5 入侵检测的过程 1 入侵检测的分析方式异常检测 AnomalyDetection 统计模型误报较多误用检测 MisuseDetection 维护一个入侵特征知识库 CVE 准确性高完整性分析 2 异常检测 1 基本原理正常行为的特征轮廓检查系统的运行情况是否偏离预设的门限举例多次错误登录午夜登录 2 异常检测 2 实现技术和研究重点实现技术统计神经网络研究重点如何定义描述和获取系统的行为知识如何提高可信度检测率降低报警的虚警率 2 异常检测 3 优点可以检测到未知的入侵可以检测冒用他人帐号的行为具有自适应自学习功能不需要系统先验知识 2 异常检测 4 缺点漏报误报率高入侵者可以逐渐改变自己的行为模式来逃避检测合法用户正常行为的突然改变也会造成误警统计算法的计算量庞大效率很低统计点的选取和参考库的建立比较困难 3 误用检测 1 检测已知攻击匹配建立已出现的入侵行为特征当前用户行为特征举例Land攻击源地址目标地址 3 误用检测 2 优点算法简单系统开销小准确率高效率高 3 误用检测 3 缺点被动只能检测出已知攻击新类型的攻击会对系统造成很大的威胁模式库的建立和维护难模式库要不断更新知识依赖于硬件平台操作系统系统中运行的应用程序 4 完整性分析通过检查系统的当前系统配置诸如系统文件的内容或者系统表来检查系统是否已经或者可能会遭到破坏其优点是不管模式匹配方法和统计分析方法能否发现入侵只要是成功的攻击导致了文件或其它对象的任何改变它都能够发现缺点是一般以批处理方式实现不用于实时响应 5 入侵检测的过程信息收集包括系统网络数据及用户活动的状态和行为信息分析分析收集到的信息发现违背安全策略的行为响应根据攻击或事件的类型或性质做出相应的响应六异常检测技术 1 异常检测技术概念2 异常检测技术的优势3 主要方法4 统计学5 典型系统6 数据挖掘技术7 异常检测技术的缺陷8 异常检测技术的发展趋势 1 异常检测技术概念异常检测就是为系统中的用户程序或资源建立正常行为模式然后通过比较用户行为与正常行为模式之间的差异进行检测 1 异常检测技术概念 Denning在1987年提出的基于系统行为检测的入侵检测系统模型通过对系统审计数据的分析建立起系统主体的正常行为特征轮廓 Profile 检测时如果系统中的审计迹数据与已建立的主体正常行为特征有较大出入就认为系统遭到入侵特征轮廓是借助主体登录的时刻位置 CPU的使用时间以及文件的存取属性等来描述主体的正常行为特征当主体的行为特征改变时对应的特征轮廓也相应改变 1 异常检测技术概念 DenningIDS模型主体用户主机关键的程序文件等对象系统资源审计记录活动简档异常记录活动规则 1 异常检测技术概念 2 异常检测技术的优势入侵检测技术分为滥用检测和异常检测两种滥用检测技术的局限性不能检测未知攻击和新的攻击特征库需要不断升级更新检测系统知识库中的入侵攻击知识与系统的运行环境有关对于系统内部攻击者的越权行为由于他们没有利用系统的缺陷因而很难检测出来 2 异常检测技术的优势不需要操作系统协议等安全性缺陷专门知识检测冒充合法用户入侵的有效方法智能技术的引进使其能够检测未知攻击 3 主要方法基于统计的方法专家系统神经网络数据挖掘遗传算法计算机免疫技术等等 4 统计学通过对系统审计迹中的数据进行统计处理并与描述主体正常行为的统计性特征轮廓进行比较然后根据二者的偏差是否超过指定的门限来进一步判断处理利用统计理论提取用户或系统正常行为的特征轮廓 4 统计学统计性特征轮廓由主体特征变量的频度均值方差被监控行为的属性变量的统计概率分布以及偏差等统计量来描述典型的系统主体特征有系统的登录与注销时间资源被占用的时间以及处理机内存和外设的使用情况等 4 统计学优点缺点1 未考虑事件的发生顺序所以对利用事件顺序关系的攻击难以检测 2 利用统计轮廓的动态自适应性通过缓慢改变其行为来训练正常特征轮廓最终使检测系统将其异常活动判为正常 3 难以确定