BIT8-2信息系統(tǒng)安全防御-IDS

1、入侵檢測技術計算機網(wǎng)絡攻防對抗技術實驗室1內(nèi)容概要P2DR平安體系入侵檢測系統(tǒng)介紹入侵檢測系統(tǒng)分類入侵檢測系統(tǒng)用到的一些技術入侵檢測系統(tǒng)的研究和開展商用入侵檢測系統(tǒng)演示2網(wǎng)絡平安動態(tài)防護模型安全策略(policy)防護(protecttion) 檢 測(detection)響 應(response)3網(wǎng)絡平安：及時的檢測和處理時間PtDtRt新定義：Pt Dt + Rt4P2DR平安模型這是一個動態(tài)模型以平安策略為核心基于時間的模型可以量化可以計算P2DR平安的核心問題檢測檢測是靜態(tài)防護轉(zhuǎn)化為動態(tài)的關鍵檢測是動態(tài)響應的依據(jù)檢測是落實/強制執(zhí)行平安策略的有力工具5內(nèi)容概要P2DR平安體系入侵檢測

2、系統(tǒng)介紹入侵檢測系統(tǒng)分類入侵檢測系統(tǒng)用到的一些技術入侵檢測系統(tǒng)的研究和開展6IDS的用途攻擊工具攻擊命令攻擊機制目標網(wǎng)絡網(wǎng)絡漏洞目標系統(tǒng)系統(tǒng)漏洞攻擊者漏洞掃描評估加固攻擊過程實時入侵檢測7入侵檢測系統(tǒng)的實現(xiàn)過程信息收集,來源：網(wǎng)絡流量系統(tǒng)日志文件系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為信息分析模式匹配統(tǒng)計分析完整性分析,往往用于事后分析8入侵檢測系統(tǒng)的通用模型數(shù)據(jù)源模式匹配器系統(tǒng)輪廓分析引擎數(shù)據(jù)庫入侵模式庫異常檢測器響應和恢復機制9入侵檢測系統(tǒng)的種類基于主機平安操作系統(tǒng)必須具備一定的審計功能,并記錄相應的平安性日志基于網(wǎng)絡IDS可以放在防火墻或者網(wǎng)關的后面,以網(wǎng)絡嗅探器的形式捕獲所有的對內(nèi)

3、對外的數(shù)據(jù)包10IDS的部署和結(jié)構(gòu)入侵檢測系統(tǒng)的管理和部署多種IDS的協(xié)作管理平臺和sensor基于Agent的IDS系統(tǒng)Purdue大學研制了一種被稱為AAFID(Autonomous agents for intrusion detection)的IDS模型SRI的EMERALD(Event Monitoring Enabling Response to Anomalous Live Disturbances)11RealSecure ConsoleRealSecure OS SensorRealSecure Server Sensor商業(yè)IDS例子：ISS RealSecure結(jié)構(gòu)Rea

4、lSecure Network Sensor12內(nèi)容概要P2DR平安體系入侵檢測系統(tǒng)介紹入侵檢測系統(tǒng)用到的一些技術入侵檢測系統(tǒng)分類入侵檢測系統(tǒng)的研究和開展13IDS的技術異常檢測(anomaly detection)也稱為基于行為的檢測首先建立起用戶的正常使用模式,即知識庫標識出不符合正常模式的行為活動誤用檢測(misuse detection)也稱為基于特征的檢測建立起已知攻擊的知識庫判別當前行為活動是否符合已知的攻擊模式14異常檢測比較符合平安的概念,但是實現(xiàn)難度較大正常模式的知識庫難以建立難以明確劃分正常模式和異常模式常用技術統(tǒng)計方法預測模式神經(jīng)網(wǎng)絡15誤用檢測目前研究工作比較多,并且已

5、經(jīng)進入實用建立起已有攻擊的模式特征庫難點在于：如何做到動態(tài)更新,自適應常用技術基于簡單規(guī)則的模式匹配技術基于專家系統(tǒng)的檢測技術基于狀態(tài)轉(zhuǎn)換分析的檢測技術基于神經(jīng)網(wǎng)絡檢測技術其他技術,如數(shù)據(jù)挖掘、模糊數(shù)學等16IDS的兩個指標漏報率指攻擊事件沒有被IDS檢測到誤報率(false alarm rate)把正常事件識別為攻擊并報警誤報率與檢出率成正比例關系0 檢出率(detection rate) 100%100%誤報率17內(nèi)容概要P2DR平安體系入侵檢測系統(tǒng)介紹入侵檢測系統(tǒng)用到的一些技術入侵檢測系統(tǒng)分類入侵檢測系統(tǒng)的研究和開展18入侵檢測系統(tǒng)的種類基于主機平安操作系統(tǒng)必須具備一定的審計功能,并記錄

6、相應的平安性日志基于網(wǎng)絡IDS可以放在防火墻或者網(wǎng)關的后面,以網(wǎng)絡嗅探器的形式捕獲所有的對內(nèi)對外的數(shù)據(jù)包19基于網(wǎng)絡的IDS系統(tǒng)收集網(wǎng)絡流量數(shù)據(jù)利用sniff技術把IDS配置在合理的流量集中點上,比方與防火墻或者網(wǎng)關配置在一個子網(wǎng)中利用某些識別技術基于模式匹配的專家系統(tǒng)基于異常行為分析的檢測手段20一個輕量的網(wǎng)絡IDS: snort是一個基于簡單模式匹配的IDS源碼開放,跨平臺(C語言編寫,可移植性好)利用libpcap作為捕獲數(shù)據(jù)包的工具特點設計原則：性能、簡單、靈活包含三個子系統(tǒng)：網(wǎng)絡包的解析器、檢測引擎、日志和報警子系統(tǒng)內(nèi)置了一套插件子系統(tǒng),作為系統(tǒng)擴展的手段模式特征鏈規(guī)則鏈命令行方式運

7、行,也可以用作一個sniffer工具21網(wǎng)絡數(shù)據(jù)包解析結(jié)合網(wǎng)絡協(xié)議棧的結(jié)構(gòu)來設計Snort支持鏈路層和TCP/IP的協(xié)議定義每一層上的數(shù)據(jù)包都對應一個函數(shù)按照協(xié)議層次的順序依次調(diào)用就可以得到各個層上的數(shù)據(jù)包頭從鏈路層,到傳輸層,直到應用層在解析的過程中,性能非常關鍵,在每一層傳遞過程中,只傳遞指針,不傳實際的數(shù)據(jù)支持鏈路層：以太網(wǎng)、令牌網(wǎng)、FDDI22Snort規(guī)則鏈處理過程二維鏈表結(jié)構(gòu)匹配過程首先匹配到適當?shù)腃hain Header然后,匹配到適當?shù)腃hain Option最后,滿足條件的第一個規(guī)則指示相應的動作23Snort: 日志和報警子系統(tǒng)當匹配到特定的規(guī)則之后,檢測引擎會觸發(fā)相應的動

8、作日志記錄動作,三種格式：解碼之后的二進制數(shù)據(jù)包文本形式的IP結(jié)構(gòu)Tcpdump格式如果考慮性能的話,應選擇tcpdump格式,或者關閉logging功能報警動作,包括Syslog記錄到alert文本文件中發(fā)送WinPopup消息24關于snort的規(guī)則Snort的規(guī)則比較簡單規(guī)則結(jié)構(gòu)：規(guī)則頭： alert tcp !10.1.1.0/24 any - 10.1.1.0/24 any規(guī)則選項： (flags: SF; msg: “SYN-FIN Scan;)針對已經(jīng)發(fā)現(xiàn)的攻擊類型,都可以編寫出適當?shù)囊?guī)則來規(guī)則與性能的關系先后的順序Content option的講究許多cgi攻擊和緩沖區(qū)溢出攻擊

9、都需要content option現(xiàn)有大量的規(guī)則可供利用25Snort規(guī)則例子規(guī)則例子Option類型26關于snort開放性源碼開放,最新規(guī)則庫的開放作為商業(yè)IDS的有機補充特別是對于最新攻擊模式的知識共享Snort的部署作為分布式IDS的節(jié)點為高級的IDS提供根本的事件報告開展數(shù)據(jù)庫的支持互操作性,規(guī)則庫的標準化二進制插件的支持預處理器模塊：TCP流重組、統(tǒng)計分析,等27異常檢測的網(wǎng)絡IDS基于規(guī)則和特征匹配的NIDS的缺點對于新的攻擊不能正確識別人工提取特征,把攻擊轉(zhuǎn)換成規(guī)則,參加到規(guī)則庫中異常檢測的NIDS可以有一定的自適應能力利用網(wǎng)絡系統(tǒng)的已知流量模式進行學習,把正常流量模式的知識學

10、習到IDS中當出現(xiàn)新的攻擊時,根據(jù)異常行為來識別并且,對于新的攻擊以及異常的模式可以反響到IDS系統(tǒng)中28異常檢測的網(wǎng)絡IDS目前出現(xiàn)了專門流量異常檢測設備CiscoXT5600流量異常檢測器專用于防DDOS攻擊29基于主機的IDS系統(tǒng)信息收集系統(tǒng)日志系統(tǒng)狀態(tài)信息特點：OS相關常用的分析技術統(tǒng)計分析狀態(tài)轉(zhuǎn)移分析關聯(lián)分析30基于主機的IDS系統(tǒng)在分布式入侵檢測體系中,作為日志收集代理主機防火墻逐步擔當IDS的職責瑞星卡巴斯基31內(nèi)容概要P2DR平安體系入侵檢測系統(tǒng)介紹入侵檢測系統(tǒng)分類入侵檢測系統(tǒng)用到的一些技術入侵檢測系統(tǒng)的研究和開展32STATSTAT: A state transition a

11、nalysis tool for intrusion detection由美國加州大學Santa Barbaba分校開發(fā)從初始狀態(tài)到入侵狀態(tài)的轉(zhuǎn)移過程用有限狀態(tài)機來表示入侵過程初始狀態(tài)指入侵發(fā)生之前的狀態(tài)入侵狀態(tài)指入侵發(fā)生之后系統(tǒng)所處的狀態(tài)系統(tǒng)狀態(tài)通常用系統(tǒng)屬性或者用戶權限來描述用戶的行為和動作導致系統(tǒng)狀態(tài)的轉(zhuǎn)變S1S2S3AssertionsAssertionsAssertions33STAT的優(yōu)缺點優(yōu)點：狀態(tài)轉(zhuǎn)移圖提供了一種針對入侵滲透模式的直觀的、高層次的、與審計記錄無關的表示方法用狀態(tài)轉(zhuǎn)移法,可以描述出構(gòu)成特定攻擊模式的特征行為序列狀態(tài)轉(zhuǎn)移圖給出了保證攻擊成功的特征行為的最小子集,從而

12、使得檢測系統(tǒng)可以適應相同入侵模式的不同表現(xiàn)形式可使攻擊行為在到達入侵狀態(tài)之前就被檢測到,從而采取措施阻止攻擊行為可以檢測協(xié)同攻擊和慢速攻擊缺點：狀態(tài)(assertions)和特征行為需要手工編碼Assertions和特征用于表達復雜細致的入侵模式時可能無法表達STAT只是一個框架,需要具體的實現(xiàn)或者與其他系統(tǒng)協(xié)同工作STAT的速度相比照較慢34STATUSTATUSTAT：用于UNIX系統(tǒng)的STAT實現(xiàn)包括四局部預處理器：對數(shù)據(jù)進行過濾,并轉(zhuǎn)換為與系統(tǒng)日志文件無關的格式知識庫：包括狀態(tài)描述庫和規(guī)則庫。規(guī)則庫用于存放已知攻擊類型所對應的狀態(tài)轉(zhuǎn)移規(guī)則；狀態(tài)描述庫存放系統(tǒng)在遭受不同類型攻擊下所出現(xiàn)的

13、狀態(tài)推理引擎：根據(jù)預處理器給出的信息和狀態(tài)描述庫中定義的系統(tǒng)狀態(tài),判斷狀態(tài)的變化并更新狀態(tài)信息。一旦發(fā)現(xiàn)可疑的平安威脅,通知決策引擎決策引擎：將平安事件通知管理員,或者采取預先定義的自動響應措施35基于STAT的IDSUSTATNSTAT把USTAT擴展到多臺主機,從而可以檢測到針對多臺共享同一個網(wǎng)絡文件系統(tǒng)的主機的攻擊NetSTAT是一個基于網(wǎng)絡的IDS,分析網(wǎng)絡中的流量,找到代表惡意行為的數(shù)據(jù)包WinSTAT基于主機的IDS,分析Windows NT的事件日志W(wǎng)ebSTAT基于應用的IDS,用Apache Web Server的日志作為輸入AlertSTAT是一個高層的入侵關聯(lián)器,以其他檢

14、測器的報警作為輸入,以便檢測出高層次、多步驟的攻擊36IDS的困難異常檢測技術仍然需要研究和開展NIDS的部署交換式網(wǎng)絡的普及有些交換機提供了“把多個端口或者VLAN鏡像到單個端口的能力,用于捕獲數(shù)據(jù)包應用系統(tǒng)的多樣性需要統(tǒng)一的標準交換信息IPSec等一些加密或者隧道協(xié)議37IDS與響應和恢復技術IDS屬于檢測的環(huán)節(jié),一旦檢測到入侵或者攻擊,必須盡快地做出響應,以保證信息系統(tǒng)的平安IDS的響應機制,可以從根本的管理角度來考慮,也可以從技術角度來實施,包括與其他防護系統(tǒng)的互操作,比方防火墻對于一個企業(yè)而言,IDS與DRP(Disaster Recovery Planning)需要一起來制訂和實施

15、DRP包括業(yè)務影響分析(BIA, Business Impact Analysis)數(shù)據(jù)必須定期備份信息系統(tǒng)的根本目的是提供便利的效勞災難評估明確責任人38IDS的研究與開展IDS自身的開展基于異常檢測的技術分布式IDS系統(tǒng)引入生物學免疫系統(tǒng)的概念與其他防護系統(tǒng)的集成IDS與其他學科IDS與模式識別、人工智能IDS與數(shù)據(jù)挖掘IDS與神經(jīng)網(wǎng)絡IDS與IDS之間的互操作CIDF: 由美國加州大學Davis分校提出的框架,試圖標準一種通用的語言格式和編碼方式來表示IDS組件邊界傳遞的數(shù)據(jù)IDEF: IETF IDWG提出的草案,標準了局部術語的使用,用XML來描述消息格式。39IDS的研究與開展IDS自身的開展基于異常檢測的技術分布式IDS系統(tǒng)引入生物學免疫系統(tǒng)的概念與其他防護系統(tǒng)的集成IDS與其他學科IDS與模式識別、人工智能IDS與數(shù)據(jù)挖掘IDS與神經(jīng)網(wǎng)絡IDS與IDS之間的互操作CIDF: 由美國加州大學Davis分校提出的框架,試圖標準一種通用的語言格式和編碼方式來表示IDS組件邊界傳遞的數(shù)據(jù)IDEF: IETF IDWG提出的草案,標準了局部術語的使用,用XML來描述消息格式。40入侵檢測技術展望隨著攻擊技術的開展而開展Botnet如何檢測Botnet？蠕蟲攻擊如何檢測蠕蟲？會逐步納入信息系統(tǒng)審計體系中以網(wǎng)絡審計的形式出