1、计算机入侵检测系统(IDS)内容提要入侵检测的概念及功能入侵检测的构架原理入侵检测的分类入侵检测系统的评级标准入侵检测的响应与恢复 小结网络安全网络安全 计算机网络的安全是指计算机网络的机密性(Confidentiality)、完整性(Integrity)、可用性(Access)传统的安全保护主要从被动防御的角度出发,增加攻击者对网络系统破坏的难度,典型的如:利用访问控制机制防止未经许可的主体对对象的访问;利用认证机制防止未经授权的使用者登录用户系统;利用加密技术防止第三者获取机密信息。P2DR模型是在整体的安全策略(Policy)的控制和指导下,在综合运用防护工具(Protection,如防
2、火墙、身份认证系统、加密设备)的同时,利用检测工具(Detection,如漏洞评估、入侵检测系统)了解和判断系统的安全状态,通过适当响应(Response)措施将系统调整到最安全 和风险最低的状态。防护、检测和响应组成了一个 完整的、动态的安全循环。P2DR模型入侵检测的位置 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统的应用,能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。应用前景 各种基于网络
3、的信息系统已成为国民经济关键领域中的重要组成部分,如交通控制系统、国防信息系统、电力信息系统、气油运输和存储系统、金融服务系统、医疗卫生信息服务系统、电子商务信息系统等。然而,对网络的依赖性越大,面临网络入侵的威胁越大,产生的后果越严重。一、入侵检测的概念及功能概念的诞生概念的诞生 入侵检测研究发展入侵检测研究发展入侵检测的作用入侵检测的作用入侵检测系统的功能入侵检测系统的功能概念的诞生 入侵检测的开山之作19801980年年4 4月,月,James P.AndersonJames P.Anderson为美国空军做了一份题为为美国空军做了一份题为Computer Security Threat
4、 Monitoring and Computer Security Threat Monitoring and SurveillanceSurveillance(计算机安全威胁监控与监视)计算机安全威胁监控与监视)指出必须改变现有的系统审计机制,以便为专职系统安指出必须改变现有的系统审计机制,以便为专职系统安全人员提供安全信息全人员提供安全信息预警预警提出了对计算机系统风险和威胁的分类方法,将威胁分提出了对计算机系统风险和威胁的分类方法,将威胁分为外部渗透、内部渗透和不法行为三种,为外部渗透、内部渗透和不法行为三种,提出利用审计跟踪数据监视入侵活动的思想。提出利用审计跟踪数据监视入侵活动的思想
5、。入侵检测研究发展入侵检测研究发展 Denning于1986年发表的论文“入侵检测模型”被公认为是IDS领域的又一篇开山之作。1990年是入侵检测系统发展史上的一个分水岭。这一年,加州大学戴维斯分校的L.T.Heberlein等人开发出了一套网络入侵检测系统(Network Security Monitor)。从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展概念的诞生:入侵检测的概念内网内网Internetq 入侵检测即是对入侵行为的发觉 q 入侵检测系统是入侵检测的软件与硬件的有机组合q 入侵检测系统是处于防火墙之后对网络活动的
6、实时监控q 入侵检测系统是不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动 v入侵检测的定义实时监控非法入侵的过程示意图报警报警日志记录日志记录攻击检测攻击检测记录入侵记录入侵过程过程 重新配置重新配置防火墙防火墙路由器路由器内部入侵内部入侵入侵检测入侵检测记录记录终止入侵终止入侵IDS监控非法入侵的案例 q 2001 2001年年4 4月,广东某月,广东某ISP和某数据分局的网络系统受到入侵和某数据分局的网络系统受到入侵攻击。攻击。q 广东某市政府某局网站入侵报告广东某市政府某局网站入侵报告(2001(2001年年4 4月月1818日日)IDS监控非法入侵的案例 q 200120
7、01年年4 4月,广东某月,广东某ISP和某数据分局的网络系统受到入侵和某数据分局的网络系统受到入侵攻击。攻击。入侵检测发挥的作用入侵检测发挥的作用入侵检测发挥的作用入侵检测发挥的作用技术层面:技术层面:对具体的安全技术人员,可以利用对具体的安全技术人员,可以利用IDS做为工具来发现做为工具来发现安全问题、解决问题。安全问题、解决问题。入侵检测发挥的作用入侵检测发挥的作用管理层面:管理层面:对安全管理人员来说,是可以把对安全管理人员来说,是可以把IDSIDS做为其日常管理上做为其日常管理上的有效手段。的有效手段。入侵检测发挥的作用入侵检测发挥的作用领导层面:领导层面:对安全主管领导来说,是可以
8、把对安全主管领导来说,是可以把IDS做为把握全局一种做为把握全局一种有效的有效的方法方法,目的是提高安全效能。,目的是提高安全效能。入侵检测发挥的作用入侵检测发挥的作用意识层面:意识层面:对政府或者大的行业来说,是可以通过对政府或者大的行业来说,是可以通过IDS来建立一套来建立一套完善的网络预警与响应体系,减小安全风险。完善的网络预警与响应体系,减小安全风险。入侵检测系统的功能入侵检测系统的功能q监控用户和系统的活动监控用户和系统的活动q 查找非法用户和合法用户的越权操作查找非法用户和合法用户的越权操作q 检测系统配置的正确性和安全漏洞检测系统配置的正确性和安全漏洞q 评估关键系统和数据的完整
9、性评估关键系统和数据的完整性q 识别攻击的活动模式并向网管人员报警识别攻击的活动模式并向网管人员报警q 对用户的非正常活动进行统计分析,发现入侵行为对用户的非正常活动进行统计分析,发现入侵行为的规律的规律 q 操作系统审计跟踪管理,识别违反政策的用户活动操作系统审计跟踪管理,识别违反政策的用户活动q 检查系统程序和数据的一致性与正确性检查系统程序和数据的一致性与正确性vIETF(Internet Engineering Task Force)为入侵检测系统提出了一个总体框架(RFC4766)入侵检测系统(IDS):由一个或多个传感器、分析器、管理器所组成,可自动分析系统行为、检测安全事件的工具
10、。二、入侵检测系统的构架(1)图图 8-1 IETF/IDWG的总体框架模型的总体框架模型数据源数据源传感器传感器分析器分析器管理器管理器操作员操作员行为行为事件事件警报警报通知通知响应响应管理员管理员安全政策安全政策入侵检测系统的构架(2)q数据源(数据源(data source):入侵检测系统用来检测安全):入侵检测系统用来检测安全事件的原始信息,通常包括原始网络报文、操作系统审事件的原始信息,通常包括原始网络报文、操作系统审计日志、应用审计日志、系统产生的校验和数据等计日志、应用审计日志、系统产生的校验和数据等检测检测系统配置的正确性和安全漏洞系统配置的正确性和安全漏洞q行为(行为(ac
11、tivity):被传感器或分析器识别且为操作员):被传感器或分析器识别且为操作员感兴趣的数据源的实例,如网络会话、用户行为、应用感兴趣的数据源的实例,如网络会话、用户行为、应用事件等。行为既包括极其严重的事件(如明显的恶意攻事件等。行为既包括极其严重的事件(如明显的恶意攻击)也包括不太严重的事件(如值得深究的异常用户动击)也包括不太严重的事件(如值得深究的异常用户动作)。作)。q传感器(传感器(sensor):从数据源收集数据的入侵检测元):从数据源收集数据的入侵检测元件。件。入侵检测系统的构架(3)q事件(事件(event):在数据源中发生,被分析器检测到,):在数据源中发生,被分析器检测到
12、,可能导致警报传输的行为。可能导致警报传输的行为。q分析器(分析器(analyzer):入侵检测元件或进程,分析传):入侵检测元件或进程,分析传感器采集的数据,查找安全管理员感兴趣的安全事件的感器采集的数据,查找安全管理员感兴趣的安全事件的迹象。分析器在实现上又可称为检测引擎。迹象。分析器在实现上又可称为检测引擎。q特征特征签名(签名(signature):分析器用于识别安全管理员):分析器用于识别安全管理员感兴趣的行为的规则,签名刻画了对应行为的特征,其感兴趣的行为的规则,签名刻画了对应行为的特征,其形式与入侵检测系统的检测机制有关形式与入侵检测系统的检测机制有关入侵检测系统的构架(4)q警
13、报警报(alert):从分析器发往管理器的消息,报告一):从分析器发往管理器的消息,报告一条检测到的事件。警报通常包含被检测到的异常行为信条检测到的事件。警报通常包含被检测到的异常行为信息及事件细节。分析器(息及事件细节。分析器(analyzer):入侵检测元件或):入侵检测元件或进程,分析传感器采集的数据,查找安全管理员感兴趣进程,分析传感器采集的数据,查找安全管理员感兴趣的安全事件的迹象。分析器在实现上又可称为检测引擎。的安全事件的迹象。分析器在实现上又可称为检测引擎。q管理器管理器(manager):入侵检测元件或进程,安全管):入侵检测元件或进程,安全管理员通过它对入侵检测系统的各种元
14、件进行管理。典型理员通过它对入侵检测系统的各种元件进行管理。典型的管理功能包括:传感器配置、分析器配置、事件通知的管理功能包括:传感器配置、分析器配置、事件通知管理、数据合并、报告等。管理、数据合并、报告等。入侵检测系统的构架(5)q操操作员(作员(operator):入侵检测系统管理器的主要用):入侵检测系统管理器的主要用户,监视入侵检测系统的输出并发起或建议进一步的动户,监视入侵检测系统的输出并发起或建议进一步的动作作q通知通知(notification):入侵检测系统管理器使操作员):入侵检测系统管理器使操作员感知安全事件的发生的方法,包括屏幕显示、发送电子感知安全事件的发生的方法,包括
15、屏幕显示、发送电子邮件、拨打寻呼、传送邮件、拨打寻呼、传送SNMP TRAP等多种方式等多种方式q管理员管理员(administrator):负责维护和管理一个企业):负责维护和管理一个企业组织计算机系统安全的人员,他和负责部署入侵检测系组织计算机系统安全的人员,他和负责部署入侵检测系统及监视入侵检测系统输出的人员可能合并也可能分离,统及监视入侵检测系统输出的人员可能合并也可能分离,他可能属于网络他可能属于网络/系统管理组也可能是一个单独的职位。系统管理组也可能是一个单独的职位。入侵检测的一般过程入侵检测的一般过程q 信息收集信息收集q 数据预处理数据预处理q 检测检测/检测模型检测模型q 响
16、应处理响应处理图图 8-1 IETF/IDWG的总体框架模型的总体框架模型数据源数据源传感器传感器分析器分析器管理器管理器操作员操作员行为行为事件事件警报警报通知通知响应响应管理员管理员安全政策安全政策Internetv不同的分类标准不同的分类标准三、入侵检测系统的分类v基于主机的基于主机的IDSIDS的工作原理的工作原理q数据源:系统事件日志、应用程序事件日志、系统调用、端口调用、安全审计记录q配置审计信息q系统对审计数据进行分析(日志文件)基于主机的IDSv基于主机的基于主机的IDSIDS的优点的优点q能够确定攻击是否成功能够确定攻击是否成功 q非常适合于加密和交换环境非常适合于加密和交换
17、环境 q不需要额外的硬件不需要额外的硬件q可监视特定的系统行为可监视特定的系统行为q可监视关键系统文件和可执行文件的更可监视关键系统文件和可执行文件的更改改q可针对不同系统的特点判断出应用层入可针对不同系统的特点判断出应用层入侵事件侵事件基于主机的IDS(2)v基于主机的基于主机的IDSIDS的不足的不足q一定程度上依赖于系统可靠性,要求系一定程度上依赖于系统可靠性,要求系统本身应具备基本安全功能和合理设置,统本身应具备基本安全功能和合理设置,才能提取入侵信息才能提取入侵信息 q入侵者可能将日志抹去入侵者可能将日志抹去 q日志信息有限日志信息有限q数据提取的实时性、充分性和可靠性方数据提取的实
18、时性、充分性和可靠性方面不如基于网络的面不如基于网络的IDSIDSq对基于网络的攻击不敏感,如假冒对基于网络的攻击不敏感,如假冒IPIPq与与OSOS和应用层入侵事件结合过于紧密,和应用层入侵事件结合过于紧密,通用性差通用性差基于主机的IDS(3)平面v基于网络入侵检测系统的优点基于网络入侵检测系统的优点内网Internetq攻击者转移证据更难攻击者转移证据更难 q实时检测和应答实时检测和应答 q能检测到未成功的攻击企图能检测到未成功的攻击企图q操作系统无关性操作系统无关性q较低成本较低成本基于网络的IDSv基于网络的基于网络的IDSIDS的不足的不足q只能监视通过本网段的活动只能监视通过本网
19、段的活动q容易受到容易受到DDoSDDoS攻击攻击q精度不高精度不高q不适合加密环境不适合加密环境基于网络的IDS(2)v一款基于网络入侵检测系统一款基于网络入侵检测系统SessionWall(CA)SessionWall(CA)实例平面v开放源码软件开放源码软件内网InternetqSnortSnort、BroBro入侵检测软件等,入侵检测软件等,其中其中Snort Snort 的社区的社区(http:/www.snort.org)http:/www.snort.org)非非常活跃,其入侵特征更新速度与研发的进常活跃,其入侵特征更新速度与研发的进展已超过了大部分商品化产品展已超过了大部分商品
20、化产品 实例2qSnortSnort实例3(基于网络的IDS)主界面里显示的信息包括:q触发安全规则的网络流量中各种协议所占的比例q警报的数量q入侵主机q目标主机的IP地址q端口号等 qSnortSnort实例3(基于网络的IDS)一天之内的报警频率 一周报警频率 qSnortSnort实例3一天之内的报警频率 一周报警频率 v混合混合IDSIDS基于网络的入侵检测产品和基于主机的入侵检测产品都有不足基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处,单纯使用一类产品会造成主动防御体系不全面。但是,之处,单纯使用一类产品会造成主动防御体系不全面。但是,它们的缺憾是互补的。如果这两类产品
21、能够无缝结合起来部署它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内,则会构架成一套完整立体的主动防御体系,综合了在网络内,则会构架成一套完整立体的主动防御体系,综合了基于网络和基于主机两种结构特点的入侵检测系统,既可发现基于网络和基于主机两种结构特点的入侵检测系统,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。网络中的攻击信息,也可从系统日志中发现异常情况。v异常检测(异常检测(anomaly Detectionanomaly Detection)异常检测总结正常操作具有的特征(正常轮廓)2。用户活动与正常行为有重大偏离时报警 特征量的选择 阈值的选择 比较频率的选择
22、异常检测关键问题异常检测关键问题v误用检测(误用检测(Misuse DetectionMisuse Detection)1误用检测总结非正常行为特征(攻击特征库)2用户活动与攻击特征匹配报警v误用检测优缺点误用检测优缺点 准确率高 技术成熟 不能检测未知的入侵行为 特征库必须不断更新 价格高 误检、漏检难以克服混合入侵检测分布式IDS分布式入侵检测系统框架Internet三、三、IDS评价标准评价标准q网络行为正常,系统没有检测到入侵;q网络行为正常,系统检测到入侵(误报)q网络行为异常,系统没有检测入侵(漏报)q网络行为异常,系统检测入侵;三、三、IDS评价标准评价标准q性能q故障容忍性q自
23、身抵抗攻击能力q及时性Internetv特征检测特征检测v统计检测统计检测v专家系统专家系统v特征检测特征检测q特征检测对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。q其检测方法上与计算机病毒的检测方式类似。q目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。基于基于统计检测统计检测主要是通过主要是通过统计统计模型对审计事件的数量、模型对审计事件的数量、间隔时间、资源消耗情况等统计量进行统计间隔时间、资源消耗情况等统计量进行统计,如果出现异常如果出现异常,即报警。
24、即报警。v统计检测模型为统计检测模型为:v统计检测统计检测 1、操作模型、操作模型:该模型假设异常可通过测量结果与一些固定该模型假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内的多次失败的登录很统计平均得到,举例来说,在短时间内的多次失败的登录很有可能是口令尝试攻击;有可能是口令尝试攻击;2、方差模型,计算参数的方差,设定其置信区间,当测量、方差模型,计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常;值超过置信区间的范围时表明有可能是异常;v统计
25、检测模型统计检测模型 3、多元模型,操作模型的扩展,通过同时分析多个参数、多元模型,操作模型的扩展,通过同时分析多个参数实现检测;实现检测;4、马尔柯夫过程模型,将每种类型的事件定义为系统状、马尔柯夫过程模型,将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,当一个事件发生态,用状态转移矩阵来表示状态的变化,当一个事件发生时,或状态矩阵该转移的概率较小则可能是异常事件;时,或状态矩阵该转移的概率较小则可能是异常事件;5、时间序列分析,将事件计数与资源耗用根据时间排成、时间序列分析,将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事序列,如果一个新事
26、件在该时间发生的概率较低,则该事件可能是入侵。件可能是入侵。v专家系统专家系统q 规则,不同的系统与设置具有不同的规则,且规则之间往规则,不同的系统与设置具有不同的规则,且规则之间往往无通用性。往无通用性。q 专家系统的建立依赖于知识库的完备性,知识库的完备性专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。又取决于审计记录的完备性与实时性。q 入侵的特征抽取与表达,是入侵检测专家系统的关键。入侵的特征抽取与表达,是入侵检测专家系统的关键。q 在系统实现中,将有关入侵的知识转化为在系统实现中,将有关入侵的知识转化为if-then结构(也结构(也可以是复合结构)
27、,条件部分为入侵特征,可以是复合结构),条件部分为入侵特征,then部分是系统部分是系统防范措施。防范措施。q 运用专家系统防范有特征入侵行为的有效性完全取决于专运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性家系统知识库的完备性Internet入侵检测的归宿应是入侵检测的归宿应是有效反击有效反击v实时响应实时响应q当事件出现时显示攻击的特征信息当事件出现时显示攻击的特征信息q重新配置防火墙重新配置防火墙 q阻塞特定的阻塞特定的TCP连接连接q邮件,传真,电话提示管理员邮件,传真,电话提示管理员 q启动其它程序来阻止攻击启动其它程序来阻止攻击 qSNMP陷阱陷阱q生成报告
28、生成报告v应急响应案例应急响应案例q q 2003年年1月月25日中午日中午12点,全国各点,全国各ISP遭到攻击遭到攻击q q 接到接到ISP的报告的报告q q 分析确认是一种新型的蠕虫攻击分析确认是一种新型的蠕虫攻击q q 进入应急响应状态进入应急响应状态q q 国内第一个抓到该蠕虫的特征,升级入侵检测事件库国内第一个抓到该蠕虫的特征,升级入侵检测事件库q q 马上通知马上通知CNCERT,在国际出入口进行封堵在国际出入口进行封堵q q 通过信息产业部通知大家进行查杀,并在入侵检测产品上通过信息产业部通知大家进行查杀,并在入侵检测产品上监测其事件变化。监测其事件变化。q q 最后,韩国、美
29、国遭受很大损失,而我国各大最后,韩国、美国遭受很大损失,而我国各大ISP基本运基本运行正常行正常v静态响应静态响应q模式匹配模式匹配q统计分析统计分析q文件对象完整性分析文件对象完整性分析q系统的全面扫描系统的全面扫描 q证据搜寻证据搜寻v文件完整性检查系统的优点文件完整性检查系统的优点q从数学上分析,攻克文件完整性检查系统,无论是时间上从数学上分析,攻克文件完整性检查系统,无论是时间上还是空间上都是不可能的。文件完整性检查系统是一个检测还是空间上都是不可能的。文件完整性检查系统是一个检测系统被非法使用的最重要的工具之一。系统被非法使用的最重要的工具之一。q 文件完整性检查系统具有相当大的灵活
30、性,可以配置成文件完整性检查系统具有相当大的灵活性,可以配置成为监测系统中所有文件或某些重要文件。为监测系统中所有文件或某些重要文件。q 当一个入侵者攻击系统时,他会干两件事,首先,他要当一个入侵者攻击系统时,他会干两件事,首先,他要掩盖他的踪迹,即他要通过更改系统中的可执行文件、库文掩盖他的踪迹,即他要通过更改系统中的可执行文件、库文件或日志文件来隐藏他的活动;其次,他要作一些改动保证件或日志文件来隐藏他的活动;其次,他要作一些改动保证下次能够继续入侵。这两种活动都能够被文件完整性检查系下次能够继续入侵。这两种活动都能够被文件完整性检查系统检测出。统检测出。v文件完整性检查系统的弱点文件完整
31、性检查系统的弱点q文件完整性检查系统依赖于本地的文摘数据库。与日志文件一样,这些数据可能被入侵者修改。当一个入侵者取得管理员当一个入侵者取得管理员权限后,在完成破坏活动后,可以运行文件完整性检查系统更权限后,在完成破坏活动后,可以运行文件完整性检查系统更新数据库,从而瞒过系统管理员。新数据库,从而瞒过系统管理员。当然,可以将文摘数据库放在只读的介质上,但这样的配置不够灵活性。q 做一次完整的文件完整性检查是一个非常耗时的工作,在Tripwire中,在需要时可选择检查某些系统特性而不是完全的摘要,从而加快检查速度。q 系统有些正常的更新操作可能会带来大量的文件更新,从而产生比较繁杂的检查与分析工
32、作,如,在Windows NT系统中升级MS-Outlook将会带来1800多个文件变化。五、入侵检测技术发展方向五、入侵检测技术发展方向 q 入侵或攻击的综合化与复杂化q 入侵主体对象的间接化 q 入侵或攻击的规模扩大 q 入侵或攻击技术的分布化 q 攻击对象的转移q分布式入侵检测分布式入侵检测q智能化入侵检测智能化入侵检测 q全面的安全防御方案全面的安全防御方案常见的IDS Computer Associates SessionWall Snort()ISS RealSecure()Symantec Intrusion Alert()NetWork Assoxiates CyberCop Monitor(workassociates,com)Cisco Secure IDS (www.cisco,com)
