《精编》入侵检测与安全审计

第四章入侵检测与安全审计主要内容入侵检测系统基础入侵检测分析方法入侵检测系统实例安全审计概念功能IDS的基本结构分类基于异常的检测技术基于误用的检测技术分布式入侵检测系统典型的入侵检测系统 snortIDS的应用 1 1入侵检测基础考虑如何防火墙被攻破了该怎么来保护系统的安全入侵检测 ID 是对系统的运行状态进行监视发现各种攻击企图攻击行为或者攻击结果以保证系统资源的机密性完整性和可用性通过对数据包的分析从数据流中过滤出可疑数据包通过与已知的入侵方式进行比较确定入侵是否发生以及入侵的类型并进行报警入侵检测系统 IDS 为完成入侵检测任务而设计的计算机系统称为入侵检测系统 IntrusionDetectionSystem IDS 这是防火墙之后的第二道安全闸门功能发现和制止来自系统内部外部的攻击迅速采取保护措施记录入侵行为的证据动态调整安全策略特点经济性 IDS不能妨碍系统的正常运行时效性及时地发现入侵行为安全性保证自身安全可扩展性机制与数据分离体系结构的可扩展性工作流程数据提取模块为系统提供数据经过简单的处理后提交给数据分析模块数据分析模块两方面功能一是分析数据提取模块搜集到的数据二是对数据库保存的数据做定期的统计分析结果处理模块作用在于告警与反应事件数据库记录分析结果并记录下所有的时间用于以后的分析与检查 1 2IDS分类基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害需要安装在被保护的主机上根据检测对象的不同基于主机的IDS可分为网络连接检测对试图进入该主机的数据流进行检测分析确定是否有入侵行为主机文件检测检测主机上的各种相关文件发现入侵行为或入侵企图优点检测准确度较高可以检测到没有明显行为特征的入侵成本较低不会因网络流量影响性能适合加密和交换环境缺点实时性较差无法检测数据包的全部检测效果取决于日志系统占用主机资源隐蔽性较差基于网络的入侵检测系统作为一个独立的个体放置在被保护的网络上使用原始的网络分组数据包作为进行攻击分析的数据源优点可以提供实时的网络行为检测可以同时保护多台网络主机具有良好的隐蔽性有效保护入侵证据不影响被保护主机的性能缺点防止入侵欺骗的能力较差在交换式网络环境中难以配置检测性能受硬件条件限制不能处理加密后的数据 1 4蜜罐技术原理蜜罐系统是一个包含漏洞的诱骗系统它通过模拟一个或多个易攻击的主机给攻击者提供一个容易攻击的目标用来观测黑客如何探测并最终入侵系统用于拖延攻击者对真正目标的攻击 Honeypot模型 2 1基于异常的入侵检测也称为基于行为的检测技术在总结出的正常行为规律基础上检查入侵和滥用行为特征与其之间的差异以此来判断是否有入侵行为基于统计学方法的异常检测系统使用统计学的方法来学习和检测用户的行为预测模式生成法利用动态的规则集来检测入侵神经网络方法将神经网络用于对系统和用户行为的学习 2 1 1基于统计学的异常检测系统步骤 Step1 收集样本对系统和用户的行为按照一定的时间间隔进行采样样本的内容包括每个会话的登录退出情况 CPU和内存的占用情况硬盘等存储介质的使用情况等 Step2 分析样本对每次采集到的样本进行计算得出一系列的参数变量来对这些行为进行描述从而产生行为轮廓将每次采样后得到的行为轮廓与以后轮廓进行合并最终得到系统和用户的正常行为轮廓 Step3 检查入侵行为通过将当前采集到的行为轮廓与正常行为轮廓相比较来检测是否存在网络入侵行为算法 M1 M2 Mn表示行为轮廓中的特征变量 S1 S2 Sn分别表示各个变量的异常性测量值 Si的值越大就表示异常性越大 ai表示变量Mi的权重值将各个异常性测量值的平均加权求和得出特征值然后选取阈值例如选择标准偏差其中均值取 M n 如果S值超出了 d 的范围就认为异常 2 1 2预测模式生成法利用动态的规则集来检测入侵这些规则是由系统的归纳引擎根据已发生的事件的情况来预测将来发生的事件的概率来产生的归纳引擎为每一种事件设置可能发生的概率归纳出来的规律一般为 E1 Ek Ek 1 P Ek 1 En P En 例如规则A B C 50 D 30 E 15 F 5 如果AB已经发生而F多次发生远远大于5 或者发生了事件G 都认为是异常行为优点能检测出传统方法难以检测的异常活动具有很强的适应变化的能力容易检测到企图在学习阶段训练系统中的入侵者实时性高缺点对于不在规则库中的入侵将会漏判 2 1 3神经网络方法神经网络是一种算法通过学习已有的输入输出信息对抽象出其内在的关系然后通过归纳得到新的输入输出对在IDS中的应用在IDS中系统把用户当前输入的命令和用户已经执行的W个命令传递给神经网络如果神经网络通过预测得到的命令与该用户随后输入的命令不一致则在某种程度上表明用户的行为与其轮廓框架产生了偏离即说明用户行为异常优点能更好的处理原始数据的随即特性不需要对原是数据做任何统计假设有较好的抗干扰能力缺点网络拓扑结构以及各元素的权重很难确定命令窗口W的大小也难以选择 2 2基于误用的入侵检测也称为基于知识的检测技术或者模式匹配检测技术通过某种方式预先定义入侵行为然后监视系统的运行并从中找出符合预先定义规则的入侵行为分类专家系统模式匹配模型推理按键监视 2 2 1专家系统误用检测将安全专家的关于网络入侵行为的知识表示成一些类似If Then的规则并以这些规则为基础建立专家知识库规则中If部分说明形成网络入侵的必需条件 Then部分说明发现入侵后要实施的操作缺点全面性问题效率问题 2 2 2模式匹配误用检测也叫特征分析误用检测指将入侵行为表示成一个事件序列或者转换成某种可以直接在网络数据包审计记录中找到的数据样板而不进行规则转换这样可以直接在审计记录中寻找相匹配的已知入侵模式缺点必须及时更新知识库兼容性较差建立和维护知识库的工作量都相当大 2 2 3模型推理误用检测根据网络入侵行为的特征建立起误用证据模型以此推理判断当前的用户行为是否是误用行为这种检测方法需要建立攻击剧本数据库每个攻击剧本是一个攻击行为序列 IDS根据攻击剧本的子集来判断系统当前是否收到入侵预警器根据当前的活动模型产生下一步行为规划者负责判断所假设的行为如何反应在审计追踪数据上以及如何将假设的行为与系统相关的审计追踪相匹配 2 2 4按键监视误用检测假设每种网络入侵行为都具有特定的击键序列模式 IDS监视各个用户的击键模式并将该模式与已有的入侵击键模式相匹配如果匹配成功就认为是网络入侵行为缺点不能对击键进行语义分析容易遭受欺骗缺少可靠的方法来捕获用户的击键行为无法检测利用程序进行自动攻击的行为 2 3异常检测与误用检测的对比收集先验知识系统配置检测结果 3 1通用入侵检测模型 1987年 DenningD E 提出了一个通用入侵检测模型 3 2分布式入侵检测系统系统的构成是开放的分布式的多个功能构件分工合作能够检测分布式的攻击 3 3典型入侵检测系统 Snort Snort是一个强大的轻量级的网络入侵检测系统它具有实时数据流量分析和日志IP网络数据包的能力能够进行协议分析对内容进行搜索匹配它能够检测各种不同的攻击方式对攻击进行实时报警 Snort可以运行在 nix Win32平台上工作原理在基于共享网络上检测原始的网络传输数据通过分析捕获的数据包匹配入侵行为的特征或者从网络活动的角度检测异常行为进而采取入侵的预警或记录属于基于误用的检测初始化解析命令行解析规则库打开libpcap接口获取数据包解析数据包生成二维链表与二维链表某节点匹配响应报警日志是否 Snort工作流程图 3 4入侵检测系统的应用实例 4 安全审计基础为何我们需要安全审计一旦我们采用的防御体系被突破怎么办至少我们必须知道系统是怎样遭到攻击的这样才能恢复系统此外我们还要知道系统存在什么漏洞如何能使系统在受到攻击时有所察觉如何获取攻击者留下的证据网络安全审计的概念就是在这样的需求下被提出的它相当于飞机上使用的黑匣子网络安全审计系统能帮助我们对网络安全进行实时监控及时发现整个网络上的动态发现网络入侵和违规行为忠实记录网络上发生的一切提供取证手段它是保证网络安全十分重要的一种手段 CC标准中的网络安全审计功能定义网络安全审计包括识别记录存储分析与安全相关行为有关的信息在CC标准中对网络审计定义了一套完整的功能有安全审计自动响应安全审计数据生成安全审计分析安全审计浏览安全审计事件存储安全审计事件选择 4 1安全审计系统网络安全审计层次结构图 4 3参考标准 ISO7498 2ISO7498 2描述了如何确保站点安全和实施有效的审计计划它是第一篇论述如何系统的达到网络安全的文章大家可以从 WWW ISO CH获得更多的ISO标准的消息英国标准7799 BS7799 BS7799文档的标题是 ACodeofPracticeForInationSecurityManagement 论述了如何确保网络系统安全 BS7799 1论述了确保网络安全所采取的步骤 BS7799 2讨论了在实施信息安全管理系统 ISMS 是应采取的步骤 ISO15408 CommonCriteria CC CC提供了有助于你选择和发展网络安全解决方案的全球统一标准 CC出现实际上是为了统一ITSEC和TCSEC 并取代 OrangeBook