1、入侵检测技术入侵检测技术孙建伟计算机网络攻防对抗技术实验室北京理工大学内容概要内容概要nP2DR安全体系n入侵检测系统介绍n入侵检测系统分类n入侵检测系统用到的一些技术n入侵检测系统的研究和发展n商用入侵检测系统演示网络安全动态防护模型网络安全:及时的检测和处理时间PtDtRt新定义:Pt Dt+RtP2DR安全模型n这是一个动态模型n以安全策略为核心n基于时间的模型n可以量化n可以计算nP2DR安全的核心问题检测n检测是静态防护转化为动态的关键n检测是动态响应的依据n检测是落实/强制执行安全策略的有力工具内容概要内容概要nP2DR安全体系n入侵检测系统介绍n入侵检测系统分类n入侵检测系统用到
2、的一些技术n入侵检测系统的研究和发展IDSIDS的用途的用途攻击工具攻击命令攻击机制目标网络网络漏洞目标系统系统漏洞攻击者漏洞扫描评估加固攻击过程攻击过程实时入侵检测入侵检测系统的实现过程n信息收集,来源:n网络流量n系统日志文件n系统目录和文件的异常变化n程序执行中的异常行为n信息分析n模式匹配n统计分析n完整性分析,往往用于事后分析入侵检测系统的通用模型数据源模式匹配器系统轮廓分析引擎数据库入侵模式库异常检测器响应和恢复机制入侵检测系统的种类n基于主机n安全操作系统必须具备一定的审计功能,并记录相应的安全性日志n基于网络nIDS可以放在防火墙或者网关的后面,以网络嗅探器的形式捕获所有的对内
3、对外的数据包IDS的部署和结构n入侵检测系统的管理和部署n多种IDS的协作n管理平台和sensorn基于Agent的IDS系统nPurdue大学研制了一种被称为AAFID(Autonomous agents for intrusion detection)的IDS模型nSRI的EMERALD(Event Monitoring Enabling Response to Anomalous Live Disturbances)RealSecure Console商业IDS例子:ISS RealSecure结构内容概要内容概要nP2DR安全体系n入侵检测系统介绍n入侵检测系统用到的一些技术n入侵检测
4、系统分类n入侵检测系统的研究和发展IDS的技术n异常检测(anomaly detection)n也称为基于行为的检测n首先建立起用户的正常使用模式,即知识库n标识出不符合正常模式的行为活动n误用检测(misuse detection)n也称为基于特征的检测n建立起已知攻击的知识库n判别当前行为活动是否符合已知的攻击模式异常检测n比较符合安全的概念,但是实现难度较大n正常模式的知识库难以建立n难以明确划分正常模式和异常模式n常用技术n统计方法n预测模式n神经网络误用检测n目前研究工作比较多,并且已经进入实用n建立起已有攻击的模式特征库n难点在于:如何做到动态更新,自适应n常用技术n基于简单规则的
5、模式匹配技术n基于专家系统的检测技术n基于状态转换分析的检测技术n基于神经网络检测技术n其他技术,如数据挖掘、模糊数学等IDS的两个指标n漏报率n指攻击事件没有被IDS检测到n误报率(false alarm rate)n把正常事件识别为攻击并报警n误报率与检出率成正比例关系0 检出率(detection rate)100%100%误报率内容概要内容概要nP2DR安全体系n入侵检测系统介绍n入侵检测系统用到的一些技术n入侵检测系统分类n入侵检测系统的研究和发展入侵检测系统的种类n基于主机n安全操作系统必须具备一定的审计功能,并记录相应的安全性日志n基于网络nIDS可以放在防火墙或者网关的后面,以
6、网络嗅探器的形式捕获所有的对内对外的数据包基于网络的IDS系统n收集网络流量数据n利用sniff技术n把IDS配置在合理的流量集中点上,比如与防火墙或者网关配置在一个子网中n利用某些识别技术n基于模式匹配的专家系统n基于异常行为分析的检测手段一个轻量的网络IDS:snortn是一个基于简单模式匹配的IDSn源码开放,跨平台(C语言编写,可移植性好)n利用libpcap作为捕获数据包的工具n特点n设计原则:性能、简单、灵活n包含三个子系统:网络包的解析器、检测引擎、日志和报警子系统n内置了一套插件子系统,作为系统扩展的手段n模式特征链规则链n命令行方式运行,也可以用作一个sniffer工具网络数
7、据包解析n结合网络协议栈的结构来设计nSnort支持链路层和TCP/IP的协议定义n每一层上的数据包都对应一个函数n按照协议层次的顺序依次调用就可以得到各个层上的数据包头n从链路层,到传输层,直到应用层n在解析的过程中,性能非常关键,在每一层传递过程中,只传递指针,不传实际的数据n支持链路层:以太网、令牌网、FDDISnort规则链处理过程n二维链表结构n匹配过程n首先匹配到适当的Chain Headern然后,匹配到适当的Chain Optionn最后,满足条件的第一个规则指示相应的动作Snort:日志和报警子系统n当匹配到特定的规则之后,检测引擎会触发相应的动作n日志记录动作,三种格式:n
8、解码之后的二进制数据包n文本形式的IP结构nTcpdump格式n如果考虑性能的话,应选择tcpdump格式,或者关闭logging功能n报警动作,包括nSyslogn记录到alert文本文件中n发送WinPopup消息关于snort的规则nSnort的规则比较简单n规则结构:n规则头:alert tcp!10.1.1.0/24 any-10.1.1.0/24 anyn规则选项:(flags:SF;msg:“SYN-FIN Scan”;)n针对已经发现的攻击类型,都可以编写出适当的规则来n规则与性能的关系n先后的顺序nContent option的讲究n许多cgi攻击和缓冲区溢出攻击都需要con
9、tent optionn现有大量的规则可供利用Snort规则示例n规则示例Option类型关于snortn开放性n源码开放,最新规则库的开放n作为商业IDS的有机补充n特别是对于最新攻击模式的知识共享nSnort的部署n作为分布式IDS的节点n为高级的IDS提供基本的事件报告n发展n数据库的支持n互操作性,规则库的标准化n二进制插件的支持n预处理器模块:TCP流重组、统计分析,等n异常检测的网络IDSn基于规则和特征匹配的NIDS的缺点n对于新的攻击不能正确识别n人工提取特征,把攻击转换成规则,加入到规则库中n异常检测的NIDS可以有一定的自适应能力n利用网络系统的已知流量模式进行学习,把正常
10、流量模式的知识学习到IDS中n当出现新的攻击时,根据异常行为来识别n并且,对于新的攻击以及异常的模式可以反馈到IDS系统中异常检测的网络IDSn目前出现了专门流量异常检测设备nCiscoXT5600流量异常检测器n专用于防DDOS攻击基于主机的IDS系统n信息收集n系统日志n系统状态信息n特点:OS相关n常用的分析技术n统计分析n状态转移分析n关联分析n基于主机的IDS系统n在分布式入侵检测体系中,作为日志收集代理n主机防火墙逐步担当IDS的职责n瑞星n卡巴斯基内容概要内容概要nP2DR安全体系n入侵检测系统介绍n入侵检测系统分类n入侵检测系统用到的一些技术n入侵检测系统的研究和发展STATn
11、STAT:A state transition analysis tool for intrusion detectionn由美国加州大学Santa Barbaba分校开发n从初始状态到入侵状态的转移过程n用有限状态机来表示入侵过程n初始状态指入侵发生之前的状态n入侵状态指入侵发生之后系统所处的状态n系统状态通常用系统属性或者用户权限来描述n用户的行为和动作导致系统状态的转变S1S2S3AssertionsAssertionsAssertionsSTAT的优缺点n优点:n状态转移图提供了一种针对入侵渗透模式的直观的、高层次的、与审计记录无关的表示方法n用状态转移法,可以描述出构成特定攻击模式的
12、特征行为序列n状态转移图给出了保证攻击成功的特征行为的最小子集,从而使得检测系统可以适应相同入侵模式的不同表现形式n可使攻击行为在到达入侵状态之前就被检测到,从而采取措施阻止攻击行为n可以检测协同攻击和慢速攻击n缺点:n状态(assertions)和特征行为需要手工编码nAssertions和特征用于表达复杂细致的入侵模式时可能无法表达nSTAT只是一个框架,需要具体的实现或者与其他系统协同工作nSTAT的速度相对比较慢STATUSTATnUSTAT:用于UNIX系统的STAT实现n包括四部分n预处理器:对数据进行过滤,并转换为与系统日志文件无关的格式n知识库:包括状态描述库和规则库。规则库用
13、于存放已知攻击类型所对应的状态转移规则;状态描述库存放系统在遭受不同类型攻击下所出现的状态n推理引擎:根据预处理器给出的信息和状态描述库中定义的系统状态,判断状态的变化并更新状态信息。一旦发现可疑的安全威胁,通知决策引擎n决策引擎:将安全事件通知管理员,或者采取预先定义的自动响应措施基于STAT的IDSnUSTATnNSTATn把USTAT扩展到多台主机,从而可以检测到针对多台共享同一个网络文件系统的主机的攻击nNetSTATn是一个基于网络的IDS,分析网络中的流量,找到代表恶意行为的数据包nWinSTATn基于主机的IDS,分析Windows NT的事件日志nWebSTATn基于应用的ID
14、S,用Apache Web Server的日志作为输入nAlertSTATn是一个高层的入侵关联器,以其他检测器的报警作为输入,以便检测出高层次、多步骤的攻击IDS的困难n异常检测技术仍然需要研究和发展nNIDS的部署n交换式网络的普及n有些交换机提供了“把多个端口或者VLAN镜像到单个端口”的能力,用于捕获数据包n应用系统的多样性n需要统一的规范交换信息nIPSec等一些加密或者隧道协议nIDS与响应和恢复技术nIDS属于检测的环节,一旦检测到入侵或者攻击,必须尽快地做出响应,以保证信息系统的安全nIDS的响应机制,可以从基本的管理角度来考虑,也可以从技术角度来实施,包括与其他防护系统的互操
15、作,比如防火墙n对于一个企业而言,IDS与DRP(Disaster Recovery Planning)需要一起来制订和实施nDRP包括n业务影响分析(BIA,Business Impact Analysis)n数据必须定期备份n信息系统的根本目的是提供便利的服务n灾难评估n明确责任人IDS的研究与发展nIDS自身的发展n基于异常检测的技术n分布式IDS系统n引入生物学免疫系统的概念n与其他防护系统的集成nIDS与其他学科nIDS与模式识别、人工智能nIDS与数据挖掘nIDS与神经网络nIDS与nIDS之间的互操作nCIDF:由美国加州大学Davis分校提出的框架,试图规范一种通用的语言格式和
16、编码方式来表示IDS组件边界传递的数据nIDEF:IETF IDWG提出的草案,规范了部分术语的使用,用XML来描述消息格式。IDS的研究与发展nIDS自身的发展n基于异常检测的技术n分布式IDS系统n引入生物学免疫系统的概念n与其他防护系统的集成nIDS与其他学科nIDS与模式识别、人工智能nIDS与数据挖掘nIDS与神经网络nIDS与nIDS之间的互操作nCIDF:由美国加州大学Davis分校提出的框架,试图规范一种通用的语言格式和编码方式来表示IDS组件边界传递的数据nIDEF:IETF IDWG提出的草案,规范了部分术语的使用,用XML来描述消息格式。入侵检测技术展望n随着攻击技术的发
17、展而发展nBotnetn如何检测Botnet?n蠕虫攻击n如何检测蠕虫?n会逐步纳入信息系统审计体系中n以网络审计的形式出现n再现安全事件n再现运维操作行为内容概要内容概要nP2DR安全体系n入侵检测系统介绍n入侵检测系统分类n入侵检测系统用到的一些技术n入侵检测系统的研究和发展n商用入侵检测系统演示商用入侵检测系统演示n绿盟的“冰之眼”入侵检测系统n重点理解n检测规则n事件处理参考资料n书书n戴英侠等,系统安全与入侵检测,清华大学出版社,2002nWeb站点站点nSTAT,http:/www.cs.ucsb.edu/rsg/STATnSnort,http:/www.snort.org/练习题n建立Snort+Acid的简单入侵检测系统nSnort安装在linux上,两个网卡;nAcid(基于php)安装在winxp上;n了解检测规则配置及日志记录。