1、5第五讲混合式入侵检测技第五讲混合式入侵检测技术术本本章章概概述述Zhang linlin混合型入侵检测技术,主要分为两种类型p 采用多种信息输入源的入侵检测采用多种信息输入源的入侵检测技术技术p 如同如同时采用网络数据包和主机审计数据作为数据时采用网络数据包和主机审计数据作为数据来源来源p 以以DIDS系统为典型系统为典型代表。代表。多种信息输入源多种信息输入源p 强调采用多种不同类型的入侵检测强调采用多种不同类型的入侵检测方法方法p 例如例如同时采用统计分析的异常检测和基于专家系统规则的滥用入侵同时采用统计分析的异常检测和基于专家系统规则的滥用入侵检测检测技术技术p 早期早期著名的著名的I
2、DES和和NIDES系统。系统。多种不同类型多种不同类型2Zhang linlinContents多种信息源的入侵检测技术多种信息源的入侵检测技术1多种检测多种检测方法的入侵检测技术方法的入侵检测技术2本章小结本章小结33Zhang linlinContents多种信息源的入侵检测技术多种信息源的入侵检测技术1多种检测多种检测方法的入侵检测技术方法的入侵检测技术2本章小结本章小结34采采用用多多种种信信息息源源的的入入侵侵检检测测技技术术教学目标n熟悉DIDS的架构及其各组成部分n理解DIDS实现对多种信息源进行检测的思想Zhang linlin5采采用用多多种种信信息息源源的的入入侵侵检检测
3、测技技术术以以DIDS为例为例Zhang linlin1991年,在年,在 USAF Cryptologic Support Center、Lawrence Livermore National Laboratory、UC Davis 和和 Haystack 实验室的的合作下,实验室的的合作下,Steve Smaha 领导了领导了 DIDS(Distributed Intrusion Detection System)项目的开发。)项目的开发。DIDS 第一次将第一次将基于主机的和基于网络的入侵检测基于主机的和基于网络的入侵检测方法结合起来,方法结合起来,由一个由一个中央控制单元中央控制单元把
4、各节点收集来的把各节点收集来的多个主机的审计记录多个主机的审计记录以及以及网络网络流量进行合并流量进行合并分析,从而能检测出更复杂的攻击行为。分析,从而能检测出更复杂的攻击行为。6补补充充Zhang linlin7采用多种信息源的入侵采用多种信息源的入侵检测检测-DIDSDIDS设计的目标环境和所要完成的任务Zhang linlinDIDS系统设计的系统设计的目标目标环境环境p 一一组经由以太局域网连接起来的组经由以太局域网连接起来的主机主机p 并且并且这些主机系统都满足这些主机系统都满足C2等级的安全审计功能等级的安全审计功能要求要求DIDS所要所要完成的完成的任务任务p 是是监控网络中各个
5、主机的安全监控网络中各个主机的安全状态状态p 同时同时检测针对局域网本身的攻击行为。检测针对局域网本身的攻击行为。8采用多种信息源的入侵检测采用多种信息源的入侵检测-DIDS系统设计架构Zhang linlin控制台控制台负责管理和控制主机负责管理和控制主机监控器和网络监控器监控器和网络监控器主机监控器:主机监控器:从从主机系统主机系统中中获取获取审计审计记录,经分析检测记录,经分析检测,生成异常,生成异常事件报告事件报告,送至,送至中央控制台中央控制台局域网监控器局域网监控器监控网监控网段段内的内的数据包数据包数据数据,将,将所发现的异所发现的异常事件发送到中央控制台常事件发送到中央控制台9
6、采用多种信息源的入侵检测采用多种信息源的入侵检测-DIDS主机监控器由两部分主机监控器由两部分组成组成Zhang linlinp 主机事件发生器主机事件发生器HEG组件负责从所在主机系组件负责从所在主机系统中收集审计记录,并对其进行统中收集审计记录,并对其进行安全分析安全分析p 主机主机代理代理则负责与中央控制台的通信联系。则负责与中央控制台的通信联系。10采用多种信息源的入侵检测采用多种信息源的入侵检测-DIDS主机监控器主机监控器的的工作机制工作机制Zhang linlin主机监控器主机监控器首先首先从主机系统从主机系统中中读取读取C2审计数据审计数据文件,获文件,获取审计记录,取审计记录
7、,然后然后将这些审将这些审计记录计记录映射到映射到DIDS系统定系统定义的规范格式义的规范格式HAR上。上。之后之后,将这些统一格式的记录进行将这些统一格式的记录进行必需的必需的过滤操作过滤操作以去除冗余以去除冗余后,再进行各种后,再进行各种分析检测分析检测工工作,生成不同的作,生成不同的异常事件报异常事件报告告,交由主机代理发送到,交由主机代理发送到中中央控制台。央控制台。11采用多种信息源的入侵检测采用多种信息源的入侵检测-DIDS局局域域网网监监控控器器n组组成成Zhang linlinp 局域网局域网代理代理将所发现的异常事件发送到中央将所发现的异常事件发送到中央控制台,同时接受控制台
8、的控制命令,负责控制台,同时接受控制台的控制命令,负责提供更进一步的详细信息提供更进一步的详细信息p 局域网局域网事件事件发生器发生器LEG负责负责观察网段内的所观察网段内的所有来往数据包数据,并检测主机间网络连接,有来往数据包数据,并检测主机间网络连接,以及服务访问情况的安全状态,包括每个连以及服务访问情况的安全状态,包括每个连接内的数据流量接内的数据流量等等12采用多种信息源的入侵检测采用多种信息源的入侵检测-DIDS局局域域网网监监控控器器n特特点点(与与主主机机监监控控器器不不同,同,没没有有现现成成的的审审计计记记录录可可用用)Zhang linlinp LEG组件组件必须从当前网络
9、数据包中构建所需的网络审计记必须从当前网络数据包中构建所需的网络审计记录(录(NAR,Network Audit Record)。)。p LEG组件组件主要审计主机之间的连接、所访问的服务类型以主要审计主机之间的连接、所访问的服务类型以及每个连接的数据流量情况及每个连接的数据流量情况。p LEG还建立和维护当前网络行为的正常模型,并检测当前还建立和维护当前网络行为的正常模型,并检测当前网络使用情况与正常模型的偏离情况网络使用情况与正常模型的偏离情况。13采用多种信息源的入侵检测采用多种信息源的入侵检测-DIDS控制台n组成Zhang linlinp 用户接口:用户接口:通过通信管理器查询特定主
10、机系通过通信管理器查询特定主机系统上某个特定用户的登录等活动情况。统上某个特定用户的登录等活动情况。p 是以友好的方式实时地提供用户关心的系统是以友好的方式实时地提供用户关心的系统信息,包括实时的异常事件显示、整个系统信息,包括实时的异常事件显示、整个系统的安全状态信息等;同时,它还提供用户进的安全状态信息等;同时,它还提供用户进行特定控制和查询功能的接口行特定控制和查询功能的接口p 专家系统:专家系统:在在收集来自各个监控器事件记录的基础上,执行关联分析和收集来自各个监控器事件记录的基础上,执行关联分析和安全状态评估的任务安全状态评估的任务。其核心。其核心部分是用于进行推理工作的规则库部分是
11、用于进行推理工作的规则库p 通信管理器:通信管理器:提供提供专家系统和用户接口与底专家系统和用户接口与底层各个监控器之间的层各个监控器之间的双向双向通信通道通信通道。14DIDS中中央央控控制制台台组组件件能能够够解解决决两两个个关关键键的的问问题题n网网络络环环境境下下对对特特定定用用户户和和系系统统对对象象(例例如如文文件)件)的的跟跟踪踪问问题题。DIDS提提出出了了网网络络用用户户标标识识(NID)的的概概念,念,目目的的是是惟惟一一标标识识在在目目标标网网络络环环境境中中多多台台主主机机间间不不断断移移动动的的用用户户。n不不同同层层次次的的入入侵侵数数据据抽抽象象问问题题。DIDS
12、系系统统提提出出了了一一个个6层层的的入入侵侵检检测测模模型,型,并并以以此此模模型型为为基基础础和和指指导,导,构构造造了了专专家家系系统统的的检检测测规规则则集集合。合。Zhang linlin采用多种信息源的入侵检测采用多种信息源的入侵检测-DIDS15采用多种信息源的入侵检测采用多种信息源的入侵检测-DIDSDIDS的的入入侵侵检检测测模模型型Zhang linlinp 原始的主机审计数据和网络原始的主机审计数据和网络数据包数据包p 标准主机审计记录(标准主机审计记录(HAR)和网络审)和网络审计记录(计记录(NAR)p 主体标识层,对每个事件都赋予一个惟主体标识层,对每个事件都赋予一
13、个惟一的主体一的主体标识。标识。p 处理各种事件在系统当前上下文中所呈处理各种事件在系统当前上下文中所呈现的状态现的状态p 计算出所有事件的威胁程度计算出所有事件的威胁程度p 经过函数经过函数计算计算,最终得出一,最终得出一个反映系统个反映系统当前安全状态的分数值当前安全状态的分数值16Zhang linlinContents多种信息源的入侵检测技术多种信息源的入侵检测技术1多种检测多种检测方法的入侵检测技术方法的入侵检测技术2本章小结本章小结317多种检测方法的多种检测方法的ID技术技术IDES及及NIDES教学目标n了解IDES和NIDES的总体结构及各组件情况n掌握多种检测方法混合式ID
14、架构设计的技术特点Zhang linlin18多种检测方法的多种检测方法的ID技术技术IDES及及NIDESIDES简介简介Zhang linlin1984年年1986年,乔治敦大学的年,乔治敦大学的Dorothy Denning和和SRI/CSL(SRI公司计算机科学实验室)的公司计算机科学实验室)的Peter Neumann研研究出了一个实时入侵检测系统模型,取名为究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系(入侵检测专家系统)统)。1988年,年,SRI/CSL的的Teresa Lunt等人改进了等人改进了Denning的入侵的入侵检测模型,并开发出了一个检测模型,并开
15、发出了一个IDES。该系统包括一个。该系统包括一个异常检测器和一异常检测器和一个专家系统个专家系统,分别用于,分别用于统计异常模型统计异常模型的建立和的建立和基于规则的特征分析基于规则的特征分析检检测。测。Dorothy Denning还有还有哪些贡献?哪些贡献?19多种检测方法的多种检测方法的ID技术技术IDES及及NIDESIDES简简介介Zhang linlin入侵检测专家系统(入侵检测专家系统(IDES)是一个混合型的入侵检测系统是一个混合型的入侵检测系统,使用专家,使用专家系统系统检测模块来对已知的入侵攻击模式进行检测。检测模块来对已知的入侵攻击模式进行检测。NIDES系统继承了系统
16、继承了IDES系统设计的基础思路,同时做出若干改进更系统设计的基础思路,同时做出若干改进更新,以适应更高的用户需求。新,以适应更高的用户需求。最初版本的最初版本的IDES系统系统仅仅仅仅支持支持一个单独的目标主机系统,一个单独的目标主机系统,后继版本扩后继版本扩充了系统设计架构,从而可以支持充了系统设计架构,从而可以支持任意数目的异构目标系统。任意数目的异构目标系统。20多种检测方法的多种检测方法的ID技术技术IDES及及NIDES系统架构设计Zhang linlinp 由四个部分组成由四个部分组成p IDES目标系统域目标系统域通常包含一组通常包含一组邻域,而每个邻域又包含多台邻域,而每个邻
17、域又包含多台目标目标主机主机p 邻域:邻域:一组具有类似特性的目标一组具有类似特性的目标主机系统。主机系统。p IDES处理引擎处理引擎负责处理从目标系统域中多个邻域内获得的审计数据负责处理从目标系统域中多个邻域内获得的审计数据信息信息。p 检测检测组件对每个审计数据进行分析组件对每个审计数据进行分析处理处理p 在在IDES系统中实现了系统中实现了两个检测组件两个检测组件:一个基于一个基于统计分析统计分析的方法,另的方法,另外一个外一个基于规则分析基于规则分析的方法。的方法。21多种检测方法的多种检测方法的ID技术技术IDES及及NIDES系统架构设计Zhang linlinp IDES的邻域
18、的邻域接口接口:连接连接IDES邻域和邻域和IDES检测组件的检测组件的桥梁桥梁p 由两部分由两部分组成。一部分组成。一部分驻留在驻留在目标主机系统上(邻域客户),目标主机系统上(邻域客户),另一部分位于另一部分位于IDES处理引擎所处理引擎所在的本地主机上(邻域服务器)在的本地主机上(邻域服务器)22多种检测方法的多种检测方法的ID技术技术IDES及及NIDES系统架构设计Zhang linlinIDES的用户的用户接口:接口:p 允许允许用户观察在系统中所产用户观察在系统中所产生和处理的任何信息,包括生和处理的任何信息,包括系统各个组件的状态和活动系统各个组件的状态和活动情况情况。p 用户
19、用户接口独立于基本的接口独立于基本的IDES数据处理过程,其有数据处理过程,其有利于进行更好的利于进行更好的模块化模块化设计设计。23多种检测方法的多种检测方法的ID技术技术IDES及及NIDESIDES系系统统的的实实现现问问题题n高高度度模模块块化化n每每个个组组件件的的具具体体实实现现都都可可以以在在不不用用对对系系统统架架构构进进行行基基本本修修改改的的前前提提下下加加以以改改变,变,即即高高度度模模块块化化的的设设计计架架构构允允许许IDES系系统统的的底底层层实实现现结结构构与与上上层层的的内内核核功功能能实实现现分分隔隔开开来来。nIDES系系统统的的功功能能组组件件n实实际际由
20、由以以下下功功能能组组件件构构成成:邻邻域域接接口、口、统统计计异异常常检检测测器、器、专专家家系系统统异异常常检检测测器器和和用用户户接接口。口。Zhang linlin24多种检测方法的多种检测方法的ID技术技术IDES及及NIDESNIDES系统的架构设计n客户机和服务器模式Zhang linlinArpool服务器:服务器:负责管理来自负责管理来自目标主机的审计数据,并提供目标主机的审计数据,并提供给后继的检测组件客户给后继的检测组件客户进程进程分析分析服务器:服务器:负责接收统计分负责接收统计分析组件和规则分析组件的分析析组件和规则分析组件的分析结果,并负责通过特定代理向结果,并负责
21、通过特定代理向SOUI服务器提供警报信息。服务器提供警报信息。SOUI服务器:服务器:负责实现用户接负责实现用户接口功能口功能25多种检测方法的多种检测方法的ID技术技术IDES及及NIDES邻域接口Zhang linlinArpoolAgenAgen:留驻留驻在目标系统上的组件,在目标系统上的组件,通常它以通常它以离散的时间间隔离散的时间间隔对每一个审计对每一个审计文件进行轮询,以确定目标主机是否已经加入了新的审计数据文件进行轮询,以确定目标主机是否已经加入了新的审计数据。Arpool:留驻:留驻在邻域接口的服务器端在邻域接口的服务器端,接收,接收从多个目标机器发来的从多个目标机器发来的ID
22、ES格式的审计记录,并将它们序列化成一个单独的记录流,然后再对数据做进格式的审计记录,并将它们序列化成一个单独的记录流,然后再对数据做进一步的处理。同时也是一个用来存储等待一步的处理。同时也是一个用来存储等待IDES处理的审计记录的临时缓存,处理的审计记录的临时缓存,用来集中存放审计数据的地方称为用来集中存放审计数据的地方称为“审计数据池审计数据池”Agen和和Arpool组件之组件之间采用的是间采用的是RPC(远程过(远程过程调用)通信程调用)通信协议协议26多种检测方法的多种检测方法的ID技术技术IDES及及NIDES统计分析组件(IDES统统计计异异常常检检测测引引擎擎)Zhang li
23、nlinIDES统计异常检测统计异常检测引擎:引擎:p 观测观测在所监控计算机系统上的活动行为,在所监控计算机系统上的活动行为,自适应地学习自适应地学习主体的正主体的正常行为模式常行为模式。p 维护维护一个主体的一个主体的统计知识库统计知识库,其中包含主体的档案,其中包含主体的档案。p 使用使用特定的入侵检测测量值特定的入侵检测测量值来决定所观测到的审计记录中的来决定所观测到的审计记录中的行为行为,并与,并与过去或者可接受的过去或者可接受的行为行为对比是否异常对比是否异常。27回顾:用于回顾:用于入侵检测的入侵检测的统计模型统计模型示示例例IDESn采采用用入入侵侵检检测测向向量量:当当前前系
24、系统统的的活活动动状状态态采采用用一一组组测测量量值值参参数数变变量量来来表表示示n定定义义了了3种种不不同同类类型型的的测测量量值值:用用户户主主体、体、目目标标系系统统主主体体和和远远程程主主机机主主体体。n4个个类类别别的的单单独独测测量量值值n活活动动强强度度测测量量值值n审审计计记记录录分分布布测测量量值值n类类别别测测量量值值n序序数数测测量量值值Zhang linlin28回顾:用于入侵检测的统计模型回顾:用于入侵检测的统计模型示示例例IDES用户主体类型的测量值n序数测量值n类别测量值n审计记录分布测量值n活动强度测量值Zhang linlinl CPU使用情况使用情况l I/
25、O使用情况使用情况l 使用物理位置使用物理位置 邮件程序使用邮件程序使用 编辑器使用编辑器使用 编译器使用编译器使用 外壳使用外壳使用 窗口命令使用窗口命令使用 通用程序使用通用程序使用 通用系统调用使用通用系统调用使用 文件文件活动活动 文件使用文件使用 所访问用户的所访问用户的ID号号对于以上的每个测量对于以上的每个测量值,在审计记录分布值,在审计记录分布测量值中都有一个对测量值中都有一个对应的类别应的类别。如:如:CPU测量的类型测量的类型为:审计记录指示为:审计记录指示CPU使用的增量大于使用的增量大于0l每分钟的流量每分钟的流量 每每10分钟的流量分钟的流量 每小时的流量每小时的流量
26、对于用户所生成的每一个审计记录,对于用户所生成的每一个审计记录,IDES系统经计算生成一个单独的测试统计值系统经计算生成一个单独的测试统计值(IDES分数值,表示为分数值,表示为T2),用来综合表明最近用户行为的异常程度。统计值),用来综合表明最近用户行为的异常程度。统计值T2本身是一个对多个测量值异常度的综合评价本身是一个对多个测量值异常度的综合评价。因而。因而IDES很好地体现了模型很好地体现了模型2和和3.29多种检测方法的多种检测方法的ID技术技术IDES及及NIDESZhang linlin专家系统组件nIDES系统的基于规则分析组件IDES系统的基于规则分析组件系统的基于规则分析组
27、件p 采用采用一组规则一组规则来评价活动事件(即审计记录流),从而对用户来评价活动事件(即审计记录流),从而对用户的当前行为是否正常做出评价。的当前行为是否正常做出评价。p 是一个基于规则的是一个基于规则的前向链系前向链系统,即系统是由输入到知识库中的统,即系统是由输入到知识库中的事实进行驱动的,而非用户设定的事实进行驱动的,而非用户设定的目标驱动目标驱动p IDES系统采用系统采用PBEST专家系统工具专家系统工具来编写检测规则库来编写检测规则库。PBEST编译器将用户编写的规则库转换为编译器将用户编写的规则库转换为C语言代码,进一步语言代码,进一步编译后就可构建一个实用的可执行程序。编译后
28、就可构建一个实用的可执行程序。30多种检测方法的多种检测方法的ID技术技术IDES及及NIDES解析器Zhang linlin在在IDES系统系统中,规则分析组件和统计分析组件是独立并行工作的。它们中,规则分析组件和统计分析组件是独立并行工作的。它们共享相同的审计记录来源,并生成各自的分析报告;共享相同的审计记录来源,并生成各自的分析报告;在后继的在后继的NIDES系系统中统中,引入一个解析器组件来,引入一个解析器组件来合并分析这两个组件的输出结果合并分析这两个组件的输出结果。解析器组件解析器组件分析由分析由统计统计分析组件和基于分析组件和基于规则规则分析组件所各自发出的警报信分析组件所各自发
29、出的警报信号,并报告去除冗余后的警报信号。号,并报告去除冗余后的警报信号。31多种检测方法的多种检测方法的ID技术技术IDES及及NIDES解析器的数据结构Zhang linlintypedef enum SAFE,/*Everything is okay*/CRITICAL,/*Critical Alert*/ia_result_code;typedef struct audit_record_info audit_record_info;typedef struct Rulebase_Analysis Rulebase_Analysis;typedef struct Stats_Analysis Stats_Analysis;typedef struct Stats_result Stats_result;typedef struct Rulebase_result Rulebase_result;typedef struct Alert Alert;32