第2章入侵檢測(cè)的相關(guān)概念

1、第2章 入侵檢測(cè)的相關(guān)概念 2.1 入侵的定義 2.2 什么是入侵檢測(cè) 2.3 入侵檢測(cè)與P2DR模型2.1 入侵的定義 通常，計(jì)算機(jī)安全的3個(gè)基本目標(biāo)是 機(jī)密性、完整性和可用性。安全的計(jì)算機(jī)系統(tǒng)應(yīng)該實(shí)現(xiàn)上述3個(gè)目標(biāo)，即保護(hù)自身的信息和資源不被非授權(quán)訪問(wèn)、修改和拒絕服務(wù)攻擊。 任何潛在的危害系統(tǒng)安全狀況的事件和情況都可稱為“威脅”。Anderson在其1980年的技術(shù)報(bào)告中，建立了關(guān)于威脅的早期模型，并按照威脅的來(lái)源，分為如下3類。 外部入侵者： 系統(tǒng)的非授權(quán)用戶。 內(nèi)部入侵者： 超越合法權(quán)限的系統(tǒng)授權(quán)用戶。其中，又可分為“偽裝者”和“秘密活動(dòng)者”。 違法者： 在計(jì)算機(jī)系統(tǒng)上執(zhí)行非法活動(dòng)的合法

2、用戶。 在入侵檢測(cè)中，術(shù)語(yǔ)“入侵”（intrusion）表示系統(tǒng)內(nèi)部發(fā)生的任何違反安全策略的事件，其中包括了上面Anderson模型中提到的所有威脅類型，同時(shí)還包括如下的威脅類型： 惡意程序的威脅，例如病毒、特洛伊木馬程序、惡意Java或ActiveX程序等； 探測(cè)和掃描系統(tǒng)配置信息和安全漏洞，為未來(lái)攻擊進(jìn)行準(zhǔn)備工作的活動(dòng)。美國(guó)國(guó)家安全通信委員會(huì)（NSTAC）下屬的入侵檢測(cè)小組（IDSG）在1997年給出的關(guān)于“入侵”的定義是：入侵是對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)以及（或者）未經(jīng)許可在信息系統(tǒng)中進(jìn)行的操作。2.2 什么是入侵檢測(cè) 美國(guó)國(guó)家安全通信委員會(huì)下屬的入侵檢測(cè)小組在1997年給出的關(guān)于“入侵檢測(cè)

3、”的定義如下： 入侵檢測(cè)是對(duì)企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過(guò)程。入侵檢測(cè)的概念入侵檢測(cè)的概念內(nèi)網(wǎng)內(nèi)網(wǎng)Internetq 入侵檢測(cè)即是對(duì)入侵行為的發(fā)覺(jué)入侵檢測(cè)即是對(duì)入侵行為的發(fā)覺(jué) q 入侵檢測(cè)系統(tǒng)是入侵檢測(cè)的軟件與硬件的有機(jī)組合入侵檢測(cè)系統(tǒng)是入侵檢測(cè)的軟件與硬件的有機(jī)組合q 入侵檢測(cè)系統(tǒng)是處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)的實(shí)時(shí)監(jiān)控入侵檢測(cè)系統(tǒng)是處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)的實(shí)時(shí)監(jiān)控q 入侵檢測(cè)系統(tǒng)是不僅能檢測(cè)來(lái)自外部的入侵行為，同時(shí)也監(jiān)入侵檢測(cè)系統(tǒng)是不僅能檢測(cè)來(lái)自外部的入侵行為，同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)督內(nèi)部用戶的未授權(quán)活動(dòng) v入侵檢測(cè)的定義IDS : Intrusion Det

4、ection System 圖2-1 通用入侵檢測(cè)系統(tǒng)模型常用術(shù)語(yǔ) Alert（警報(bào)） 當(dāng)一個(gè)入侵正在發(fā)生或者試圖發(fā)生時(shí)，IDS系統(tǒng)將發(fā)布一個(gè)alert信息通知系統(tǒng)管理員 如果控制臺(tái)與IDS系統(tǒng)同在一臺(tái)機(jī)器，alert信息將顯示在監(jiān)視器上，也可能伴隨著聲音提示 如果是遠(yuǎn)程控制臺(tái)，那么alert將通過(guò)IDS系統(tǒng)內(nèi)置方法（通常是加密的）、SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，通常不加密）、email、SMS（短信息）或者以上幾種方法的混合方式傳遞給管理員Anomaly（異常）（異常） n當(dāng)有某個(gè)事件與一個(gè)已知攻擊的信號(hào)相匹配時(shí)，多數(shù)當(dāng)有某個(gè)事件與一個(gè)已知攻擊的信號(hào)相匹配時(shí)，多數(shù)IDS都會(huì)告警都會(huì)告警n一個(gè)基

5、于一個(gè)基于anomaly（異常）的（異常）的IDS會(huì)構(gòu)造一個(gè)當(dāng)時(shí)活動(dòng)會(huì)構(gòu)造一個(gè)當(dāng)時(shí)活動(dòng)的主機(jī)或網(wǎng)絡(luò)的大致輪廓，當(dāng)有一個(gè)在這個(gè)輪廓以外的主機(jī)或網(wǎng)絡(luò)的大致輪廓，當(dāng)有一個(gè)在這個(gè)輪廓以外的事件發(fā)生時(shí)，的事件發(fā)生時(shí)，IDS就會(huì)告警就會(huì)告警n有些有些IDS廠商將此方法看做啟發(fā)式功能，但一個(gè)啟發(fā)廠商將此方法看做啟發(fā)式功能，但一個(gè)啟發(fā)式的式的IDS應(yīng)該在其推理判斷方面具有更多的智能應(yīng)該在其推理判斷方面具有更多的智能 攻擊(Attacks)攻擊可以定義為試圖滲透系統(tǒng)或者繞過(guò)系統(tǒng)安全策略獲取信息，更改信息或者中斷目標(biāo)網(wǎng)絡(luò)或者系統(tǒng)的正常運(yùn)行的活動(dòng)。下面是一些IDS可以檢測(cè)的常見(jiàn)攻擊DOS、DDOS、Smurf、 T

6、rojansn首先，可以通過(guò)重新配置路由器和防火墻，拒絕那些來(lái)首先，可以通過(guò)重新配置路由器和防火墻，拒絕那些來(lái)自同一地址的信息流自同一地址的信息流;其次，通過(guò)在網(wǎng)絡(luò)上發(fā)送其次，通過(guò)在網(wǎng)絡(luò)上發(fā)送reset包包切斷連接切斷連接n但是這兩種方式都有問(wèn)題，攻擊者可以反過(guò)來(lái)利用重新但是這兩種方式都有問(wèn)題，攻擊者可以反過(guò)來(lái)利用重新配置的設(shè)備，其方法是：通過(guò)偽裝成一個(gè)友方的地址來(lái)配置的設(shè)備，其方法是：通過(guò)偽裝成一個(gè)友方的地址來(lái)發(fā)動(dòng)攻擊，然后發(fā)動(dòng)攻擊，然后IDS就會(huì)配置路由器和防火墻來(lái)拒絕這就會(huì)配置路由器和防火墻來(lái)拒絕這些地址，這樣實(shí)際上就是對(duì)些地址，這樣實(shí)際上就是對(duì)“自己人自己人”拒絕服務(wù)了拒絕服務(wù)了Aut

7、omated Response（自動(dòng)響應(yīng)）（自動(dòng)響應(yīng)）nIDS的核心是攻擊特征，它使的核心是攻擊特征，它使IDS在事件發(fā)生時(shí)觸發(fā)在事件發(fā)生時(shí)觸發(fā)n特征信息過(guò)短會(huì)經(jīng)常觸發(fā)特征信息過(guò)短會(huì)經(jīng)常觸發(fā)IDS，導(dǎo)致誤報(bào)或錯(cuò)報(bào)，過(guò)長(zhǎng)，導(dǎo)致誤報(bào)或錯(cuò)報(bào)，過(guò)長(zhǎng)則會(huì)減慢則會(huì)減慢IDS的工作速度的工作速度n有人將有人將IDS所支持的特征數(shù)視為所支持的特征數(shù)視為IDS好壞的標(biāo)準(zhǔn)，但是好壞的標(biāo)準(zhǔn)，但是有的產(chǎn)商用一個(gè)特征涵蓋許多攻擊，而有些產(chǎn)商則會(huì)將有的產(chǎn)商用一個(gè)特征涵蓋許多攻擊，而有些產(chǎn)商則會(huì)將這些特征單獨(dú)列出，這就會(huì)給人一種印象，好像它包含這些特征單獨(dú)列出，這就會(huì)給人一種印象，好像它包含了更多的特征，是更好的了更多的特

8、征，是更好的IDSSignatures（特征）（特征） 漏報(bào)(False Negatives) 漏報(bào)：攻擊事件沒(méi)有被IDS檢測(cè)到或者逃過(guò)分析員的眼睛。 誤報(bào)(False Positives) 誤報(bào)：IDS對(duì)正常事件識(shí)別為攻擊并進(jìn)行報(bào)警。Promiscuous（混雜模式）（混雜模式） n默認(rèn)狀態(tài)下，默認(rèn)狀態(tài)下，IDS網(wǎng)絡(luò)接口只能看到進(jìn)出主機(jī)的信息，網(wǎng)絡(luò)接口只能看到進(jìn)出主機(jī)的信息，也就是所謂的也就是所謂的non-promiscuous（非混雜模式）（非混雜模式）n如果網(wǎng)絡(luò)接口是混雜模式，就可以看到網(wǎng)段中所有的如果網(wǎng)絡(luò)接口是混雜模式，就可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量，不管其來(lái)源或目的地網(wǎng)絡(luò)通信量，不

9、管其來(lái)源或目的地n這對(duì)于網(wǎng)絡(luò)這對(duì)于網(wǎng)絡(luò)IDS是必要的，但同時(shí)可能被信息包嗅探是必要的，但同時(shí)可能被信息包嗅探器所利用來(lái)監(jiān)控網(wǎng)絡(luò)通信量器所利用來(lái)監(jiān)控網(wǎng)絡(luò)通信量評(píng)估IDS的性能指標(biāo) 入侵檢測(cè)系統(tǒng)本身的抗攻擊能力 延遲時(shí)間 資源的占用情況 系統(tǒng)的可用性。系統(tǒng)使用的友好程度。 日志、報(bào)警、報(bào)告以及響應(yīng)能力性能指標(biāo)（ROC）曲線 虛警率 100%檢測(cè)率 100%ABC0 圖 3-4 表示不同檢測(cè)系統(tǒng)性能的 ROC 曲線簇 誤報(bào)率 ROC曲線是平面直角坐標(biāo)曲線，其縱軸表示IDS的檢測(cè)率，橫軸表示IDS的誤報(bào)率。 通過(guò)改變算法的閾值，將檢測(cè)算法在同一數(shù)據(jù)集上多次運(yùn)行，就可以得到一系列（TP，F(xiàn)P）坐標(biāo)點(diǎn)，將

10、這些點(diǎn)連接成線，就得到ROC曲線。 容易看出，ROC曲線越靠近坐標(biāo)平面的左上方的檢測(cè)方法，其準(zhǔn)確率越高，誤報(bào)率越低，性能越好。 ROC曲線從DARPA 1998離線檢測(cè)評(píng)估（1998年，在DARPA（美國(guó)國(guó)防部高級(jí)研究計(jì)劃署）資助下，麻省理工學(xué)院Lincoln實(shí)驗(yàn)室開(kāi)展了計(jì)算機(jī)入侵檢測(cè)系統(tǒng)評(píng)估的研究成果）被用來(lái)度量檢測(cè)能力，后來(lái)一直被研究者廣泛采用。 2.3 入侵檢測(cè)與P2DR模型 P2DR模型是一個(gè)動(dòng)態(tài)的計(jì)算機(jī)系統(tǒng)安全理論模型。P2DR特點(diǎn)是動(dòng)態(tài)性和基于時(shí)間的特性。 圖2-2 P2DR安全模型具體而言，P2DR模型的內(nèi)容包括如下。策略： P2DR模型的核心內(nèi)容。具體實(shí)施過(guò)程中，策略規(guī)定了系統(tǒng)

11、所要達(dá)到的安全目標(biāo)和為達(dá)到目標(biāo)所采取的各種具體安全措施及其實(shí)施強(qiáng)度等。 防護(hù)： 具體包括制定安全管理規(guī)則、進(jìn)行系統(tǒng)安全配置工作以及安裝各種安全防護(hù)設(shè)備。 檢測(cè)： 在采取各種安全措施后，根據(jù)系統(tǒng)運(yùn)行情況的變化，對(duì)系統(tǒng)安全狀態(tài)進(jìn)行實(shí)時(shí)的動(dòng)態(tài)監(jiān)控。 響應(yīng)： 當(dāng)發(fā)現(xiàn)了入侵活動(dòng)或入侵結(jié)果后，需要系統(tǒng)作出及時(shí)的反應(yīng)并采取措施，其中包括記錄入侵行為、通知管理員、阻斷進(jìn)一步的入侵活動(dòng)以及恢復(fù)系統(tǒng)正常運(yùn)行等。P2DR模型闡述了如下結(jié)論： 安全的目標(biāo)實(shí)際上就是盡可能地增大保護(hù)時(shí)間，盡量減少檢測(cè)時(shí)間和響應(yīng)時(shí)間。 入侵檢測(cè)技術(shù)（intrusion detection）就是實(shí)現(xiàn)P2DR模型中“Detection”部分的主要技術(shù)手段。安全策略處于中心