安全11_1(原)

1、第十一章 入侵檢測回顧：防火墻的缺點 不能防止來自內(nèi)部網(wǎng)絡的攻擊 防火墻不能防范不經(jīng)過防火墻的攻擊，如內(nèi)部網(wǎng)用戶通過撥號直接進入Internet。 作為一種被動的防護手段，防火墻不能防范因特網(wǎng)上不斷出現(xiàn)的新的威脅和攻擊。 IDS: Intrusion Detection System 入侵（ Intrusion ）：對信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進行操作。 入侵檢測（Intrusion Detection ）：安裝在關(guān)鍵節(jié)點，對（網(wǎng)絡）系統(tǒng)的運行狀態(tài)進行監(jiān)視，對企圖入侵、正在進行的入侵或已經(jīng)發(fā)生的入侵進行識別的過程。 入侵檢測系統(tǒng)：入侵檢測的軟件與硬件的組合，是防火墻的合理

2、補充，是防火墻之后的第二道安全閘門。 入侵檢測的內(nèi)容：試圖闖入、成功闖入、冒充其他用戶、違反安全策略、合法用戶的泄漏、獨占資源以及惡意使用。典型的IDS技術(shù)攻擊工具攻擊命令攻擊機制攻擊者目標網(wǎng)絡網(wǎng)絡漏洞目標系統(tǒng)系統(tǒng)漏洞攻擊過程攻擊過程實時入侵檢測漏洞掃描和評估早期(1990),IDS主要是基于主機的：局限于本地操作系統(tǒng)的審計跟蹤數(shù)據(jù)等以主機為中心的信息源。IDS起源與發(fā)展 審計技術(shù)：產(chǎn)生、記錄并檢查按時間順序排列的系統(tǒng)事件記錄的過程。 審計的目標： 確定和保持系統(tǒng)活動中每個人的責任 重建事件 評估損失 監(jiān)測系統(tǒng)的問題區(qū) 提供有效的災難恢復 阻止系統(tǒng)的不正當使用 通常用審計日志的形式記錄典型的日

3、志但是大量的日志讓管理員無所適從，從中找出需要的信息和安全時間是一件非常繁瑣的事情。而且需要管理員有大量的經(jīng)驗IDS起源與發(fā)展 1980年Anderson提出：提出了精簡審計的概念，風險和威脅分類方法 1987年Denning研究發(fā)展了實時入侵檢測系統(tǒng)模型 IDES入侵檢測專家系統(tǒng)：IDES提出了反?；顒优c計算機不正當使用之間的相關(guān)性。 80年代，基于主機的入侵檢測 90年代，基于主機和基于網(wǎng)絡入侵檢測的集成發(fā)展歷史概念誕生1980產(chǎn)生模型80年代中期模型發(fā)展80年代后期-90年代初網(wǎng)絡IDS1990-現(xiàn)在異常檢測90年代初-現(xiàn)在智能IDS目前基于主機IDS基本結(jié)構(gòu) 簡單地說，入侵檢測系統(tǒng)包括

4、三個功能部件： （1）信息收集 （2）信息分析 （3）結(jié)果處理信息收集信息分析結(jié)果處理原始信息分析信息事件響應檢測器響應系統(tǒng)分析系統(tǒng)存儲系統(tǒng)控制臺入侵檢測的設計原理-通用模型采用異常檢測或者誤用檢測來源于網(wǎng)絡或者主機的數(shù)據(jù)利用數(shù)據(jù)庫實現(xiàn)，如MySQL產(chǎn)生警報提醒管理員，或者通知防火墻用戶方便管理，可以用瀏覽器信息收集 入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為。 需要在計算機網(wǎng)絡系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息， 盡可能擴大檢測范圍 從一個源來的信息有可能看不出疑點 入侵檢測很大程度上依賴于收集信息的可靠性和正確性。 要保證用來檢測網(wǎng)絡系

5、統(tǒng)的軟件的完整性。特別是入侵檢測系統(tǒng)軟件本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息。 在一個環(huán)境中，審計信息必須與它要保護的系統(tǒng)分開來存儲和處理。因為 防止入侵者通過刪除審計記錄來使入侵檢測系統(tǒng)失效 防止入侵者通過修改入侵檢測器的結(jié)果來隱藏入侵的存在 要減輕操作系統(tǒng)執(zhí)行入侵檢測任務帶來的操作負載信息收集的來源 進行入侵檢測的系統(tǒng)叫做主機，被檢測的系統(tǒng)或網(wǎng)絡叫做目標機。數(shù)據(jù)來源可分為四類： 來自主機的 基于主機的監(jiān)測收集通常在操作系統(tǒng)層的來自計算機內(nèi)部的數(shù)據(jù)，包括操作系統(tǒng)審計跟蹤信息和系統(tǒng)日志 來自網(wǎng)絡的 檢測收集網(wǎng)絡的數(shù)據(jù) 來自應用程序的 監(jiān)測收集來自運行著的應用程序的數(shù)據(jù)，包括應

6、用程序事件日志和其它存儲在應用程序內(nèi)部的數(shù)據(jù) 來自目標機的 檢測對系統(tǒng)對象的修改。入侵檢測的分類 按照數(shù)據(jù)來源： 基于主機：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機，保護的目標也是系統(tǒng)運行所在的主機。 基于網(wǎng)絡：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡傳輸?shù)臄?shù)據(jù)包，保護的是網(wǎng)絡的運行。 混合型：入侵檢測的數(shù)據(jù)源 基于主機的入侵檢測系統(tǒng) 系統(tǒng)分析主機產(chǎn)生的數(shù)據(jù)（應用程序及操作系統(tǒng)的事件日志）主機的數(shù)據(jù)源 操作系統(tǒng)事件日志 應用程序日志 系統(tǒng)日志 關(guān)系數(shù)據(jù)庫 Web服務器基于主機的檢測威脅 特權(quán)濫用：當用戶具有root權(quán)限、管理員特權(quán)時，該用戶以非授權(quán)方式使用特權(quán)。 具有提高特權(quán)的立約人 前職員使用舊帳戶 管理員創(chuàng)建后

7、門帳戶 關(guān)鍵數(shù)據(jù)的訪問及修改 學生改變成績、職員修改業(yè)績、非授權(quán)泄露、修改WEB站點 安全配置的變化 用戶沒有激活屏保、 激活guest帳戶基于主機的入侵檢測系統(tǒng)結(jié)構(gòu) 基于主機的入侵檢測系統(tǒng)通常是基于代理的，代理是運行在目標系統(tǒng)上的可執(zhí)行程序，與中央控制計算機（命令控制臺）通信。 集中式：原始數(shù)據(jù)在分析之前要先發(fā)送到中央位置 分布式：原始數(shù)據(jù)在目標系統(tǒng)上實時分析，只有告警命令被發(fā)送給控制臺。Host-based Host-based 入侵檢測入侵檢測基于主機入侵檢測系統(tǒng)工作原理基于主機入侵檢測系統(tǒng)工作原理網(wǎng)絡服務器網(wǎng)絡服務器1客戶端網(wǎng)絡服務器網(wǎng)絡服務器2X檢測內(nèi)容： 系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日

8、志、安全審記、應用日志X基于主機的入侵檢測的好處 威懾內(nèi)部人員 檢測 通告及響應 毀壞情況評估 攻擊預測 訴訟支持 行為數(shù)據(jù)辨析基于主機的技術(shù)面臨的問題 性能：降低是不可避免的 部署/維護 損害 欺騙 二進制內(nèi)核日志及Windows NT安全事件日志是兩個不錯的審計源 Syslog及Windows NT應用程序事件日志是兩個糟糕的審計源基于網(wǎng)絡的入侵檢測系統(tǒng) 入侵檢測系統(tǒng)分析網(wǎng)絡數(shù)據(jù)包基于網(wǎng)絡的檢測威脅 非授權(quán)訪問 非授權(quán)登錄（login) 進行其它攻擊的起始點 數(shù)據(jù)/資源的竊取 口令下載 帶寬竊取 拒絕服務 畸形分組：land 分組泛洪：packet flooding 分布式拒絕服務基于網(wǎng)絡

9、的入侵檢測系統(tǒng)結(jié)構(gòu) 基于網(wǎng)絡的入侵檢測系統(tǒng)由遍及網(wǎng)絡的傳感器（Sensor)組成，傳感器會向中央控制臺報告。 傳感器通常是獨立的檢測引擎，能獲得網(wǎng)絡分組、找尋誤用模式，然后告警。 傳統(tǒng)的基于傳感器的結(jié)構(gòu)，（又被稱為混雜模式網(wǎng)絡入侵檢測系統(tǒng)，或網(wǎng)絡分接器（network tap） 分布式網(wǎng)絡節(jié)點結(jié)構(gòu)(network node)網(wǎng)絡信息源 商業(yè)IDS最常用的信息來源 RealSecure,NFR,NetRanger,Snort 利用以太網(wǎng)協(xié)議（IEEE 802.3）的廣播機制網(wǎng)絡監(jiān)聽 在一個共享式網(wǎng)絡，可以聽取所有的流量是一把雙刃劍 管理員可以用來監(jiān)聽網(wǎng)絡的流量情況 開發(fā)網(wǎng)絡應用的程序員可以監(jiān)視程

10、序的網(wǎng)絡情況 黑客可以用來刺探網(wǎng)絡情報 目前有大量商業(yè)的、免費的監(jiān)聽工具，俗稱嗅探器(sniffer)檢測器的位置 放在防火墻之外 無法檢測到某些攻擊，但可以看到自己的站點和防火墻暴露在多少種攻擊之下 檢測器在防火墻內(nèi) 少一些干擾，減少誤報警；減少對檢測器的攻擊；發(fā)現(xiàn)防火 墻的配置失誤 防火墻內(nèi)外都有檢測器 各有優(yōu)勢 檢測器的其他位置 與你有直接聯(lián)系的合伙人和經(jīng)常在防火墻內(nèi)的供應商處 高價值的地方 有大量不穩(wěn)定雇員的地方 已被當作攻擊目標的子網(wǎng)基于網(wǎng)絡的入侵檢測的好處 威懾外部人員 檢測 自動響應及報告信息分析 異常檢測模型（Anomaly Detection ):首先總結(jié)正常操作應該具有的特

11、征（用戶輪廓），當用戶活動與正常行為有重大偏離時即被認為是入侵。 誤用檢測模型（Misuse Detection)：收集非正常操作的行為特征，建立相關(guān)的特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵。誤用檢測模型 誤用檢測特點前提：所有的入侵行為都有可被檢測到的特征前提：所有的入侵行為都有可被檢測到的特征 攻擊特征庫攻擊特征庫: 當監(jiān)測的用戶或系統(tǒng)行為與庫中的當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵記錄相匹配時，系統(tǒng)就認為這種行為是入侵 過程過程 監(jiān)控監(jiān)控 特征提取特征提取 匹配匹配 判定判定 指標指標:誤報低、漏報高誤報低、漏報高誤用

12、檢測 如果入侵特征與正常的用戶行能匹配，則系統(tǒng)會發(fā)生誤報；如果沒有特征能與某種新的攻擊行為匹配，則系統(tǒng)會發(fā)生漏報 特點：采用特征匹配，濫用模式能明顯降低錯報率，但漏報率隨之增加。攻擊特征的細微變化，會使得濫用檢測無能為力異常檢測 思想：任何正常人的行為有一定的規(guī)律。 需要考慮的問題： （1）選擇哪些數(shù)據(jù)來表現(xiàn)用戶的行為 （2）通過以上數(shù)據(jù)如何有效地表示用戶的行為，主要在于學習和檢測方法的不同 （3）考慮學習過程的時間長短、用戶行為的時效性等問題異常檢測模型 異常檢測前提：入侵是異常活動的子集 用戶輪廓(Profile): 通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍過程 監(jiān)控 量

13、化 比較 判定 修正指標:漏報率低,誤報率高異常檢測特點 異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率 因為不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵 系統(tǒng)能針對用戶行為的改變進行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源異常入侵檢測方法 統(tǒng)計異常檢測 基于特征選擇異常檢測 基于貝葉斯推理異常檢測 基于貝葉斯網(wǎng)絡異常檢測 基于模式預測異常檢測 基于神經(jīng)網(wǎng)絡異常檢測 基于貝葉斯聚類異常檢測 基于機器學習異常檢測 基于數(shù)據(jù)挖掘異常檢測 兩種方式比較 誤用檢測（Misuse Detection） 建立起已知攻擊的規(guī)則庫 實時行為與規(guī)則匹配 優(yōu)點：檢測準

14、確率高 缺點：無法檢測未知入侵 異常檢測（Anomaly Detection） 建立用戶或系統(tǒng)的正常行為模式 不符合正常模式的行為活動為入侵 優(yōu)點：能夠檢測出未知的入侵 缺點：難以建立正常行為模式事件響應 可說明性 是指從給定的活動或事件中，可以找到相關(guān)責任方的能力。建立可說明性的目標是獲得補償或針對責任方追究相關(guān)法律責任。 積極的反應 報告 警報 修改目標機系統(tǒng)或入侵檢測系統(tǒng)人為措施 攻擊行為的確認 遏制事態(tài)的進一步發(fā)展 保存攻擊證據(jù) 系統(tǒng)的安全恢復 總結(jié)經(jīng)驗教訓寫份檢查，開個總結(jié)大會什么的 與IDS有關(guān)的標準 通用入侵檢測框架CIDF(The Common Intrusion Detect

15、ion Framework) IETF入侵檢測工作組(IDWG)的入侵檢測交換格式IDEF(Intrusion Detection Exchange Format) 漏洞和風險的標準CVE(Common Vulnerabilities and Exposures)使用IDS的理由（1） 彌補其它安全產(chǎn)品或措施的缺陷 傳統(tǒng)安全產(chǎn)品的出發(fā)點 認證機制防止未經(jīng)授權(quán)的使用者登錄用戶的系統(tǒng) 加密技術(shù)防止第三者接觸到機密的文件 防火墻防止未經(jīng)許可的數(shù)據(jù)流進入用戶內(nèi)部網(wǎng)絡 幫助發(fā)現(xiàn)和處理攻擊的企圖 網(wǎng)絡或系統(tǒng)探查（Probe） 主機探測、信息收集 端口掃描 漏洞掃描使用IDS的理由（2） 提供已發(fā)生入侵過程的詳細信息 幫助確定系統(tǒng)存在的問題 為系統(tǒng)恢復和修正提供參考 提供攻擊行為的證據(jù) 追查入侵的來源 稻草人的故事心理威懾力 被動的“防護”僅僅是安全的一個方面，而且是相當薄弱的一環(huán)，行之有效的安全策略還應該包括實時的檢測和響應，它們是