1、入侵检测与安全审计第四章 入侵检测与安全审计入侵检测与安全审计主要内容 入侵检测系统基础 入侵检测分析方法 入侵检测系统实例 安全审计l 概念l 功能l IDS的基本结构l 分类l 基于异常的检测技术l 基于误用的检测技术l 分布式入侵检测系统l 典型的入侵检测系统snortl IDS的应用入侵检测与安全审计1.1 入侵检测基础考虑:考虑:如何防火墙被攻破了,该怎么来保护系统的安全?入侵检测与安全审计 入侵检测(入侵检测(IDID)是对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。通过对数据包的分析,从数据流中过滤出可疑数据包,通过与已
2、知的入侵方式进行比较,确定入侵是否发生以及入侵的类型并进行报警。入侵检测系统(入侵检测系统(IDSIDS)为完成入侵检测任务而设计的计算机系统称为入侵检测系统(Intrusion Detection System,IDS),这是防火墙之后的第二道安全闸门。入侵检测与安全审计 功能功能 发现和制止来自系统内部/外部的攻击,迅速采取保护措施 记录入侵行为的证据,动态调整安全策略 特点特点 经济性:IDS不能妨碍系统的正常运行。时效性:及时地发现入侵行为。安全性:保证自身安全。可扩展性:机制与数据分离;体系结构的可扩展性。入侵检测与安全审计 工作流程工作流程入侵检测与安全审计v数据提取模块数据提取模
3、块为系统提供数据,经过简单的处理后提交给数据分析模块。v数据分析模块数据分析模块两方面功能:一是分析数据提取模块搜集到的数据;二是对数据库保存的数据做定期的统计分析。v结果处理模块结果处理模块作用在于告警与反应。v事件数据库事件数据库记录分析结果,并记录下所有的时间,用于以后的分析与检查。入侵检测与安全审计1.2 IDS分类 基于主机的入侵检测系统基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害,需要安装在被保护的主机上。入侵检测与安全审计根据检测对象的不同,基于主机的IDS可分为:v 网络连接检测网络连接检测对试图进入该主机的数据流进行检测,分析确定是否有入侵行为。v 主机文件检
4、测主机文件检测检测主机上的各种相关文件,发现入侵行为或入侵企图。入侵检测与安全审计 优点 检测准确度较高 可以检测到没有明显行为特征的入侵 成本较低 不会因网络流量影响性能 适合加密和交换环境 缺点 实时性较差 无法检测数据包的全部 检测效果取决于日志系统 占用主机资源 隐蔽性较差入侵检测与安全审计 基于网络的入侵检测系统基于网络的入侵检测系统作为一个独立的个体放置在被保护的网络上,使用原始的网络分组数据包作为进行攻击分析的数据源。入侵检测与安全审计 优点 可以提供实时的网络行为检测 可以同时保护多台网络主机 具有良好的隐蔽性 有效保护入侵证据 不影响被保护主机的性能 缺点 防止入侵欺骗的能力
5、较差 在交换式网络环境中难以配置 检测性能受硬件条件限制 不能处理加密后的数据入侵检测与安全审计1.4 蜜罐技术 原理原理蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易攻击的主机,给攻击者提供一个容易攻击的目标。用来观测黑客如何探测并最终入侵系统;用于拖延攻击者对真正目标的攻击。入侵检测与安全审计Honeypot模型关键应用系统内部网虚拟网络主机防火墙高层交换可疑数据流Internet入侵检测与安全审计2.1 基于异常的入侵检测也称为基于行为的检测技术,在总结出的正常行为规律基础上,检查入侵和滥用行为特征与其之间的差异,以此来判断是否有入侵行为。基于统计学方法的异常检测系统基于统计学
6、方法的异常检测系统使用统计学的方法来学习和检测用户的行为。预测模式生成法预测模式生成法利用动态的规则集来检测入侵。神经网络方法神经网络方法将神经网络用于对系统和用户行为的学习。入侵检测与安全审计2.1.1 基于统计学的异常检测系统步骤:步骤:Step1:收集样本对系统和用户的行为按照一定的时间间隔进行采样,样本的内容包括每个会话的登录、退出情况,CPU和内存的占用情况,硬盘等存储介质的使用情况等。Step2:分析样本对每次采集到的样本进行计算,得出一系列的参数变量来对这些行为进行描述,从而产生行为轮廓,将每次采样后得到的行为轮廓与以后轮廓进行合并,最终得到系统和用户的正常行为轮廓。入侵检测与安
7、全审计Step3:检查入侵行为通过将当前采集到的行为轮廓与正常行为轮廓相比较,来检测是否存在网络入侵行为。算法:算法:M1,M2,Mn表示行为轮廓中的特征变量,S1,S2,Sn分别表示各个变量的异常性测量值,Si的值越大就表示异常性越大。ai表示变量Mi的权重值。将各个异常性测量值的平均加权求和得出特征值然后选取阈值,例如选择标准偏差其中均值取=M/n,如果S值超出了d的范围就认为异常。)1,0(.2222211niaSaSaSaMinn2)1(nM入侵检测与安全审计2.1.2 预测模式生成法利用动态的规则集来检测入侵,这些规则是由系统的归纳引擎,根据已发生的事件的情况来预测将来发生的事件的概
8、率来产生的,归纳引擎为每一种事件设置可能发生的概率。归纳出来的规律一般为:E1,Ek:-(Ek+1,P(Ek+1),(En,P(En)例如:规则A,B:-(C,50%),(D,30%),(E,15%),(F,5%),如果AB已经发生,而F多次发生,远远大于5%,或者发生了事件G,都认为是异常行为。入侵检测与安全审计 优点 能检测出传统方法难以检测的异常活动;具有很强的适应变化的能力;容易检测到企图在学习阶段训练系统中的入侵者;实时性高。缺点 对于不在规则库中的入侵将会漏判。入侵检测与安全审计2.1.3 神经网络方法 神经网络神经网络是一种算法,通过学习已有的输入/输出信息对,抽象出其内在的关系
9、,然后通过归纳得到新的输入/输出对。在在IDSIDS中的应用中的应用在IDS中,系统把用户当前输入的命令和用户已经执行的W个命令传递给神经网络,如果神经网络通过预测得到的命令与该用户随后输入的命令不一致,则在某种程度上表明用户的行为与其轮廓框架产生了偏离,即说明用户行为异常。入侵检测与安全审计 优点优点 能更好的处理原始数据的随即特性,不需要对原是数据做任何统计假设;有较好的抗干扰能力。缺点缺点 网络拓扑结构以及各元素的权重很难确定;命令窗口W的大小也难以选择入侵检测与安全审计2.2 基于误用的入侵检测也称为基于知识的检测技术或者模式匹配检测技术,通过某种方式预先定义入侵行为,然后监视系统的运
10、行,并从中找出符合预先定义规则的入侵行为。分类:分类:专家系统 模式匹配 模型推理 按键监视入侵检测与安全审计2.2.1 专家系统误用检测将安全专家的关于网络入侵行为的知识表示成一些类似If-Then的规则,并以这些规则为基础建立专家知识库。规则中If部分说明形成网络入侵的必需条件,Then部分说明发现入侵后要实施的操作。缺点:缺点:全面性问题 效率问题入侵检测与安全审计2.2.2 模式匹配误用检测也叫特征分析误用检测,指将入侵行为表示成一个事件序列或者转换成某种可以直接在网络数据包审计记录中找到的数据样板,而不进行规则转换,这样可以直接在审计记录中寻找相匹配的已知入侵模式。缺点:缺点:必须及
11、时更新知识库 兼容性较差 建立和维护知识库的工作量都相当大入侵检测与安全审计2.2.3 模型推理误用检测根据网络入侵行为的特征建立起误用证据模型,以此推理判断当前的用户行为是否是误用行为。这种检测方法需要建立:攻击剧本数据库:每个攻击剧本是一个攻击行为序 列,IDS根据攻击剧本的子集来判断系统当前是否收 到入侵。预警器:根据当前的活动模型,产生下一步行为。规划者:负责判断所假设的行为如何反应在审计追 踪数据上,以及如何将假设的行为与系统相关的审 计追踪相匹配。入侵检测与安全审计2.2.4 按键监视误用检测假设每种网络入侵行为都具有特定的击键序列模式,IDS监视各个用户的击键模式,并将该模式与已
12、有的入侵击键模式相匹配,如果匹配成功就认为是网络入侵行为。缺点:缺点:不能对击键进行语义分析,容易遭受欺骗;缺少可靠的方法来捕获用户的击键行为;无法检测利用程序进行自动攻击的行为。入侵检测与安全审计2.3 异常检测与误用检测的对比 收集先验知识 系统配置 检测结果基于异常的入侵检测基于误用的入侵检测需不断的学习并更新已有的行为轮廓,进而掌握被保护系统已知行为和预期行为的所有信息需不断的对新出现的入侵行为进行总结归纳,进而拥有所有可能的入侵行为的先验知识基于异常的入侵检测基于误用的入侵检测工作量少,但配置难度较大工作量非常大基于异常的入侵检测基于误用的入侵检测结果相对具有更多的数据量,任何超出行
13、为轮廓范围的事件都将被检测出来输出内容是列举出入侵行为的类型和名称,以及提供相应的处理建议入侵检测与安全审计3.1 通用入侵检测模型1987年,Denning D.E.提出了一个通用入侵检测模型:新活动档案学习提取规则创建历史档案审计记录更新时钟主体活动规则集处理引擎活动档案异常记录入侵检测与安全审计3.2 分布式入侵检测系统系统的构成是开放的、分布式的,多个功能构件分工合作能够检测分布式的攻击入侵检测与安全审计3.3 典型入侵检测系统SnortSnort 是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP 网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检
14、测各种不同的攻击方式,对攻击进行实时报警。Snort 可以运行在*nix/Win32 平台上。入侵检测与安全审计 工作原理在基于共享网络上检测原始的网络传输数据,通过分析捕获的数据包,匹配入侵行为的特征或者从网络活动的角度检测异常行为,进而采取入侵的预警或记录。属于基于误用的检测。入侵检测与安全审计初始化解析命令行解析规则库打开libpcap接口获取数据包解析数据包生成二维链表与二维链表某节点匹配?响应(报警、日志)是否SnortSnort工作流程图工作流程图入侵检测与安全审计3.4 入侵检测系统的应用 实例入侵检测与安全审计分支机构2INTERNET分支机构1NEsec300 FW20359
15、68?告警内网接口外网接口电源 内部核心子网内部核心子网NEsec300 FW2035968?告 警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网接口外网接口电源交换机交换机安全网关安全网关SG1安全网关安全网关SG2安全网关安全网关SG3路由器路由器路由器路由器路由器路由器安全管理器安全管理器安全认证服务器安全认证服务器网络入侵检测探头网络入侵检测探头网络入侵策略管理器网络入侵策略管理器入侵检测与安全审计4.安全审计基础 为何我们需要安全审计?一旦我们采用的防御体系被突破怎么办?至少我们必须知道系统是怎样遭到
16、攻击的,这样才能恢复系统,此外我们还要知道系统存在什么漏洞,如何能使系统在受到攻击时有所察觉,如何获取攻击者留下的证据。网络安全审计的概念就是在这样的需求下被提出的,它相当于飞机上使用的“黑匣子”。网络安全审计系统能帮助我们对网络安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,忠实记录网络上发生的一切,提供取证手段。它是保证网络安全十分重要的一种手段。入侵检测与安全审计 CC标准中的网络安全审计功能定义网络安全审计包括识别、记录、存储、分析与安全相关行为有关的信息。在CC标准中对网络审计定义了一套完整的功能,有:安全审计自动响应安全审计数据生成安全审计分析安全审计浏览安全审
17、计事件存储安全审计事件选择入侵检测与安全审计4.1 安全审计系统网络网络层审层审计计系统系统层审层审计计应用应用层审层审计计TCP/IP、ATMUNIX、Windows 9x/NT、ODBC 审计总控审计总控CA发证发证操作操作主页更主页更新监视新监视网络安全审计层次结构图网络安全审计层次结构图入侵检测与安全审计4.3 参考标准ISO 7498-2ISO7498-2描述了如何确保站点安全和实施有效的审计计划。它是第一篇论述如何系统的达到网络安全的文章,大家可以从:获得更多的ISO标准的消息。英国标准英国标准7799(BS 7799)BS 7799文档的标题是A Code of Practice For Information Security Management,论述了如何确保网络系统安全。BS 7799-1论述了确保网络安全所采取的步骤;BS 7799-2讨论了在实施信息安全管理系统(ISMS)是应采取的步骤。ISO 15408(Common Criteria,CC)CC提供了有助于你选择和发展网络安全解决方案的全球统一标准;CC出现实际上是为了统一ITSEC和TCSEC,并取代“Orange Book”。
