入侵檢測(cè)與安全審計(jì)課件_第1頁(yè)
入侵檢測(cè)與安全審計(jì)課件_第2頁(yè)
入侵檢測(cè)與安全審計(jì)課件_第3頁(yè)
入侵檢測(cè)與安全審計(jì)課件_第4頁(yè)
入侵檢測(cè)與安全審計(jì)課件_第5頁(yè)
已閱讀5頁(yè),還剩71頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第四章入侵檢測(cè)與安全審計(jì)第四章入侵檢測(cè)與安全審計(jì)主要內(nèi)容入侵檢測(cè)系統(tǒng)基礎(chǔ)入侵檢測(cè)分析方法入侵檢測(cè)系統(tǒng)實(shí)例安全審計(jì)概念功能IDS的基本結(jié)構(gòu)分類(lèi)基于異常的檢測(cè)技術(shù)基于誤用的檢測(cè)技術(shù)分布式入侵檢測(cè)系統(tǒng)典型的入侵檢測(cè)系統(tǒng)——snortIDS的應(yīng)用主要內(nèi)容入侵檢測(cè)系統(tǒng)基礎(chǔ)概念基于異常的檢測(cè)技術(shù)分布式1.1入侵檢測(cè)基礎(chǔ)考慮:如何防火墻被攻破了,該怎么來(lái)保護(hù)系統(tǒng)的安全?×1.1入侵檢測(cè)基礎(chǔ)考慮:×入侵檢測(cè)(ID)是對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視,發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。通過(guò)對(duì)數(shù)據(jù)包的分析,從數(shù)據(jù)流中過(guò)濾出可疑數(shù)據(jù)包,通過(guò)與已知的入侵方式進(jìn)行比較,確定入侵是否發(fā)生以及入侵的類(lèi)型并進(jìn)行報(bào)警。

入侵檢測(cè)系統(tǒng)(IDS)為完成入侵檢測(cè)任務(wù)而設(shè)計(jì)的計(jì)算機(jī)系統(tǒng)稱(chēng)為入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem,IDS),這是防火墻之后的第二道安全閘門(mén)。入侵檢測(cè)(ID)功能

發(fā)現(xiàn)和制止來(lái)自系統(tǒng)內(nèi)部/外部的攻擊,迅速采取保護(hù)措施

記錄入侵行為的證據(jù),動(dòng)態(tài)調(diào)整安全策略

特點(diǎn)經(jīng)濟(jì)性:IDS不能妨礙系統(tǒng)的正常運(yùn)行。時(shí)效性:及時(shí)地發(fā)現(xiàn)入侵行為。安全性:保證自身安全??蓴U(kuò)展性:機(jī)制與數(shù)據(jù)分離;體系結(jié)構(gòu)的可擴(kuò)展性。

功能

工作流程工作流程數(shù)據(jù)提取模塊為系統(tǒng)提供數(shù)據(jù),經(jīng)過(guò)簡(jiǎn)單的處理后提交給數(shù)據(jù)分析模塊。數(shù)據(jù)分析模塊兩方面功能:一是分析數(shù)據(jù)提取模塊搜集到的數(shù)據(jù);二是對(duì)數(shù)據(jù)庫(kù)保存的數(shù)據(jù)做定期的統(tǒng)計(jì)分析。結(jié)果處理模塊作用在于告警與反應(yīng)。事件數(shù)據(jù)庫(kù)記錄分析結(jié)果,并記錄下所有的時(shí)間,用于以后的分析與檢查。數(shù)據(jù)提取模塊1.2IDS分類(lèi)基于主機(jī)的入侵檢測(cè)系統(tǒng)用于保護(hù)單臺(tái)主機(jī)不受網(wǎng)絡(luò)攻擊行為的侵害,需要安裝在被保護(hù)的主機(jī)上。1.2IDS分類(lèi)基于主機(jī)的入侵檢測(cè)系統(tǒng)根據(jù)檢測(cè)對(duì)象的不同,基于主機(jī)的IDS可分為:網(wǎng)絡(luò)連接檢測(cè)對(duì)試圖進(jìn)入該主機(jī)的數(shù)據(jù)流進(jìn)行檢測(cè),分析確定是否有入侵行為。主機(jī)文件檢測(cè)檢測(cè)主機(jī)上的各種相關(guān)文件,發(fā)現(xiàn)入侵行為或入侵企圖。根據(jù)檢測(cè)對(duì)象的不同,基于主機(jī)的IDS可分為:優(yōu)點(diǎn)檢測(cè)準(zhǔn)確度較高可以檢測(cè)到?jīng)]有明顯行為特征的入侵成本較低不會(huì)因網(wǎng)絡(luò)流量影響性能適合加密和交換環(huán)境缺點(diǎn)實(shí)時(shí)性較差無(wú)法檢測(cè)數(shù)據(jù)包的全部檢測(cè)效果取決于日志系統(tǒng)占用主機(jī)資源隱蔽性較差優(yōu)點(diǎn)缺點(diǎn)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)作為一個(gè)獨(dú)立的個(gè)體放置在被保護(hù)的網(wǎng)絡(luò)上,使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行攻擊分析的數(shù)據(jù)源?;诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)優(yōu)點(diǎn)

可以提供實(shí)時(shí)的網(wǎng)絡(luò)行為檢測(cè)可以同時(shí)保護(hù)多臺(tái)網(wǎng)絡(luò)主機(jī)具有良好的隱蔽性有效保護(hù)入侵證據(jù)不影響被保護(hù)主機(jī)的性能缺點(diǎn)

防止入侵欺騙的能力較差在交換式網(wǎng)絡(luò)環(huán)境中難以配置檢測(cè)性能受硬件條件限制不能處理加密后的數(shù)據(jù)優(yōu)點(diǎn)缺點(diǎn)1.4蜜罐技術(shù)原理蜜罐系統(tǒng)是一個(gè)包含漏洞的誘騙系統(tǒng),它通過(guò)模擬一個(gè)或多個(gè)易攻擊的主機(jī),給攻擊者提供一個(gè)容易攻擊的目標(biāo)。用來(lái)觀測(cè)黑客如何探測(cè)并最終入侵系統(tǒng);用于拖延攻擊者對(duì)真正目標(biāo)的攻擊。1.4蜜罐技術(shù)原理Honeypot模型關(guān)鍵應(yīng)用系統(tǒng)內(nèi)部網(wǎng)虛擬網(wǎng)絡(luò)主機(jī)防火墻高層交換可疑數(shù)據(jù)流InternetHoneypot模型關(guān)鍵內(nèi)部網(wǎng)虛擬網(wǎng)絡(luò)主機(jī)防火墻高層交換可疑2.1基于異常的入侵檢測(cè)也稱(chēng)為基于行為的檢測(cè)技術(shù),在總結(jié)出的正常行為規(guī)律基礎(chǔ)上,檢查入侵和濫用行為特征與其之間的差異,以此來(lái)判斷是否有入侵行為。

基于統(tǒng)計(jì)學(xué)方法的異常檢測(cè)系統(tǒng)使用統(tǒng)計(jì)學(xué)的方法來(lái)學(xué)習(xí)和檢測(cè)用戶(hù)的行為。

預(yù)測(cè)模式生成法利用動(dòng)態(tài)的規(guī)則集來(lái)檢測(cè)入侵。

神經(jīng)網(wǎng)絡(luò)方法將神經(jīng)網(wǎng)絡(luò)用于對(duì)系統(tǒng)和用戶(hù)行為的學(xué)習(xí)。2.1基于異常的入侵檢測(cè)也稱(chēng)為基于行為的檢測(cè)技術(shù),在總結(jié)出2.1.1基于統(tǒng)計(jì)學(xué)的異常檢測(cè)系統(tǒng)步驟:Step1:收集樣本對(duì)系統(tǒng)和用戶(hù)的行為按照一定的時(shí)間間隔進(jìn)行采樣,樣本的內(nèi)容包括每個(gè)會(huì)話(huà)的登錄、退出情況,CPU和內(nèi)存的占用情況,硬盤(pán)等存儲(chǔ)介質(zhì)的使用情況等。Step2:分析樣本對(duì)每次采集到的樣本進(jìn)行計(jì)算,得出一系列的參數(shù)變量來(lái)對(duì)這些行為進(jìn)行描述,從而產(chǎn)生行為輪廓,將每次采樣后得到的行為輪廓與以后輪廓進(jìn)行合并,最終得到系統(tǒng)和用戶(hù)的正常行為輪廓。2.1.1基于統(tǒng)計(jì)學(xué)的異常檢測(cè)系統(tǒng)步驟:Step3:檢查入侵行為通過(guò)將當(dāng)前采集到的行為輪廓與正常行為輪廓相比較,來(lái)檢測(cè)是否存在網(wǎng)絡(luò)入侵行為。算法:M1,M2,…,Mn表示行為輪廓中的特征變量,S1,S2,…,Sn分別表示各個(gè)變量的異常性測(cè)量值,Si的值越大就表示異常性越大。ai表示變量Mi的權(quán)重值。將各個(gè)異常性測(cè)量值的平均加權(quán)求和得出特征值然后選取閾值,例如選擇標(biāo)準(zhǔn)偏差其中均值取μ=M/n,如果S值超出了μ±dσ的范圍就認(rèn)為異常。Step3:檢查入侵行為2.1.2預(yù)測(cè)模式生成法利用動(dòng)態(tài)的規(guī)則集來(lái)檢測(cè)入侵,這些規(guī)則是由系統(tǒng)的歸納引擎,根據(jù)已發(fā)生的事件的情況來(lái)預(yù)測(cè)將來(lái)發(fā)生的事件的概率來(lái)產(chǎn)生的,歸納引擎為每一種事件設(shè)置可能發(fā)生的概率。歸納出來(lái)的規(guī)律一般為:E1,…,Ek:-(Ek+1,P(Ek+1)),…,(En,P(En))例如:規(guī)則A,B:-(C,50%),(D,30%),(E,15%),(F,5%),如果AB已經(jīng)發(fā)生,而F多次發(fā)生,遠(yuǎn)遠(yuǎn)大于5%,或者發(fā)生了事件G,都認(rèn)為是異常行為。2.1.2預(yù)測(cè)模式生成法利用動(dòng)態(tài)的規(guī)則集來(lái)檢測(cè)入侵,這些優(yōu)點(diǎn)

能檢測(cè)出傳統(tǒng)方法難以檢測(cè)的異?;顒?dòng);具有很強(qiáng)的適應(yīng)變化的能力;容易檢測(cè)到企圖在學(xué)習(xí)階段訓(xùn)練系統(tǒng)中的入侵者;實(shí)時(shí)性高。缺點(diǎn)

對(duì)于不在規(guī)則庫(kù)中的入侵將會(huì)漏判。優(yōu)點(diǎn)缺點(diǎn)2.1.3神經(jīng)網(wǎng)絡(luò)方法

神經(jīng)網(wǎng)絡(luò)是一種算法,通過(guò)學(xué)習(xí)已有的輸入/輸出信息對(duì),抽象出其內(nèi)在的關(guān)系,然后通過(guò)歸納得到新的輸入/輸出對(duì)。在IDS中的應(yīng)用在IDS中,系統(tǒng)把用戶(hù)當(dāng)前輸入的命令和用戶(hù)已經(jīng)執(zhí)行的W個(gè)命令傳遞給神經(jīng)網(wǎng)絡(luò),如果神經(jīng)網(wǎng)絡(luò)通過(guò)預(yù)測(cè)得到的命令與該用戶(hù)隨后輸入的命令不一致,則在某種程度上表明用戶(hù)的行為與其輪廓框架產(chǎn)生了偏離,即說(shuō)明用戶(hù)行為異常。2.1.3神經(jīng)網(wǎng)絡(luò)方法神經(jīng)網(wǎng)絡(luò)優(yōu)點(diǎn)能更好的處理原始數(shù)據(jù)的隨即特性,不需要對(duì)原是數(shù)據(jù)做任何統(tǒng)計(jì)假設(shè);有較好的抗干擾能力。缺點(diǎn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及各元素的權(quán)重很難確定;命令窗口W的大小也難以選擇優(yōu)點(diǎn)缺點(diǎn)2.2基于誤用的入侵檢測(cè)也稱(chēng)為基于知識(shí)的檢測(cè)技術(shù)或者模式匹配檢測(cè)技術(shù),通過(guò)某種方式預(yù)先定義入侵行為,然后監(jiān)視系統(tǒng)的運(yùn)行,并從中找出符合預(yù)先定義規(guī)則的入侵行為。分類(lèi):專(zhuān)家系統(tǒng)模式匹配模型推理按鍵監(jiān)視2.2基于誤用的入侵檢測(cè)也稱(chēng)為基于知識(shí)的檢測(cè)技術(shù)或者模式匹2.2.1專(zhuān)家系統(tǒng)誤用檢測(cè)將安全專(zhuān)家的關(guān)于網(wǎng)絡(luò)入侵行為的知識(shí)表示成一些類(lèi)似If-Then的規(guī)則,并以這些規(guī)則為基礎(chǔ)建立專(zhuān)家知識(shí)庫(kù)。規(guī)則中If部分說(shuō)明形成網(wǎng)絡(luò)入侵的必需條件,Then部分說(shuō)明發(fā)現(xiàn)入侵后要實(shí)施的操作。缺點(diǎn):

全面性問(wèn)題效率問(wèn)題2.2.1專(zhuān)家系統(tǒng)誤用檢測(cè)將安全專(zhuān)家的關(guān)于網(wǎng)絡(luò)入侵行為的知2.2.2模式匹配誤用檢測(cè)也叫特征分析誤用檢測(cè),指將入侵行為表示成一個(gè)事件序列或者轉(zhuǎn)換成某種可以直接在網(wǎng)絡(luò)數(shù)據(jù)包審計(jì)記錄中找到的數(shù)據(jù)樣板,而不進(jìn)行規(guī)則轉(zhuǎn)換,這樣可以直接在審計(jì)記錄中尋找相匹配的已知入侵模式。缺點(diǎn):必須及時(shí)更新知識(shí)庫(kù)兼容性較差建立和維護(hù)知識(shí)庫(kù)的工作量都相當(dāng)大2.2.2模式匹配誤用檢測(cè)也叫特征分析誤用檢測(cè),指將入侵行2.2.3模型推理誤用檢測(cè)根據(jù)網(wǎng)絡(luò)入侵行為的特征建立起誤用證據(jù)模型,以此推理判斷當(dāng)前的用戶(hù)行為是否是誤用行為。這種檢測(cè)方法需要建立:

攻擊劇本數(shù)據(jù)庫(kù):每個(gè)攻擊劇本是一個(gè)攻擊行為序列,IDS根據(jù)攻擊劇本的子集來(lái)判斷系統(tǒng)當(dāng)前是否收到入侵。

預(yù)警器:根據(jù)當(dāng)前的活動(dòng)模型,產(chǎn)生下一步行為。

規(guī)劃者:負(fù)責(zé)判斷所假設(shè)的行為如何反應(yīng)在審計(jì)追蹤數(shù)據(jù)上,以及如何將假設(shè)的行為與系統(tǒng)相關(guān)的審計(jì)追蹤相匹配。2.2.3模型推理誤用檢測(cè)根據(jù)網(wǎng)絡(luò)入侵行為的特征建立起誤用2.2.4按鍵監(jiān)視誤用檢測(cè)假設(shè)每種網(wǎng)絡(luò)入侵行為都具有特定的擊鍵序列模式,IDS監(jiān)視各個(gè)用戶(hù)的擊鍵模式,并將該模式與已有的入侵擊鍵模式相匹配,如果匹配成功就認(rèn)為是網(wǎng)絡(luò)入侵行為。缺點(diǎn):不能對(duì)擊鍵進(jìn)行語(yǔ)義分析,容易遭受欺騙;缺少可靠的方法來(lái)捕獲用戶(hù)的擊鍵行為;無(wú)法檢測(cè)利用程序進(jìn)行自動(dòng)攻擊的行為。2.2.4按鍵監(jiān)視誤用檢測(cè)假設(shè)每種網(wǎng)絡(luò)入侵行為都具有特定的2.3異常檢測(cè)與誤用檢測(cè)的對(duì)比收集先驗(yàn)知識(shí)系統(tǒng)配置檢測(cè)結(jié)果基于異常的入侵檢測(cè)基于誤用的入侵檢測(cè)需不斷的學(xué)習(xí)并更新已有的行為輪廓,進(jìn)而掌握被保護(hù)系統(tǒng)已知行為和預(yù)期行為的所有信息需不斷的對(duì)新出現(xiàn)的入侵行為進(jìn)行總結(jié)歸納,進(jìn)而擁有所有可能的入侵行為的先驗(yàn)知識(shí)基于異常的入侵檢測(cè)基于誤用的入侵檢測(cè)工作量少,但配置難度較大工作量非常大基于異常的入侵檢測(cè)基于誤用的入侵檢測(cè)結(jié)果相對(duì)具有更多的數(shù)據(jù)量,任何超出行為輪廓范圍的事件都將被檢測(cè)出來(lái)輸出內(nèi)容是列舉出入侵行為的類(lèi)型和名稱(chēng),以及提供相應(yīng)的處理建議2.3異常檢測(cè)與誤用檢測(cè)的對(duì)比收集先驗(yàn)知識(shí)基于異常的入侵3.1通用入侵檢測(cè)模型1987年,DenningD.E.提出了一個(gè)通用入侵檢測(cè)模型:新活動(dòng)檔案學(xué)習(xí)提取規(guī)則創(chuàng)建歷史檔案審計(jì)記錄更新時(shí)鐘主體活動(dòng)規(guī)則集處理引擎活動(dòng)檔案異常記錄3.1通用入侵檢測(cè)模型1987年,DenningD.E.3.2分布式入侵檢測(cè)系統(tǒng)系統(tǒng)的構(gòu)成是開(kāi)放的、分布式的,多個(gè)功能構(gòu)件分工合作能夠檢測(cè)分布式的攻擊3.2分布式入侵檢測(cè)系統(tǒng)系統(tǒng)的構(gòu)成是開(kāi)放的、分布式的,多個(gè)3.3典型入侵檢測(cè)系統(tǒng)——SnortSnort是一個(gè)強(qiáng)大的輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。它具有實(shí)時(shí)數(shù)據(jù)流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力,能夠進(jìn)行協(xié)議分析,對(duì)內(nèi)容進(jìn)行搜索/匹配。它能夠檢測(cè)各種不同的攻擊方式,對(duì)攻擊進(jìn)行實(shí)時(shí)報(bào)警。Snort可以運(yùn)行在*nix/Win32平臺(tái)上。3.3典型入侵檢測(cè)系統(tǒng)——SnortSnort是一個(gè)強(qiáng)大工作原理在基于共享網(wǎng)絡(luò)上檢測(cè)原始的網(wǎng)絡(luò)傳輸數(shù)據(jù),通過(guò)分析捕獲的數(shù)據(jù)包,匹配入侵行為的特征或者從網(wǎng)絡(luò)活動(dòng)的角度檢測(cè)異常行為,進(jìn)而采取入侵的預(yù)警或記錄。屬于基于誤用的檢測(cè)。工作原理初始化解析命令行解析規(guī)則庫(kù)打開(kāi)libpcap接口獲取數(shù)據(jù)包解析數(shù)據(jù)包生成二維鏈表與二維鏈表某節(jié)點(diǎn)匹配?響應(yīng)(報(bào)警、日志)是否Snort工作流程圖初始化解析命令行解析規(guī)則庫(kù)打開(kāi)libpcap接口獲取數(shù)據(jù)包解3.4入侵檢測(cè)系統(tǒng)的應(yīng)用實(shí)例3.4入侵檢測(cè)系統(tǒng)的應(yīng)用實(shí)例分支機(jī)構(gòu)2INTERNET分支機(jī)構(gòu)1NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源

內(nèi)部核心子網(wǎng)NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源交換機(jī)安全網(wǎng)關(guān)SG1安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)SG3路由器路由器路由器安全管理器安全認(rèn)證服務(wù)器網(wǎng)絡(luò)入侵檢測(cè)探頭網(wǎng)絡(luò)入侵策略管理器分支機(jī)構(gòu)2INTERNET分支機(jī)構(gòu)1NEsec300FW24.安全審計(jì)基礎(chǔ)為何我們需要安全審計(jì)?一旦我們采用的防御體系被突破怎么辦?至少我們必須知道系統(tǒng)是怎樣遭到攻擊的,這樣才能恢復(fù)系統(tǒng),此外我們還要知道系統(tǒng)存在什么漏洞,如何能使系統(tǒng)在受到攻擊時(shí)有所察覺(jué),如何獲取攻擊者留下的證據(jù)。網(wǎng)絡(luò)安全審計(jì)的概念就是在這樣的需求下被提出的,它相當(dāng)于飛機(jī)上使用的“黑匣子”。

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)能幫助我們對(duì)網(wǎng)絡(luò)安全進(jìn)行實(shí)時(shí)監(jiān)控,及時(shí)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)上的動(dòng)態(tài),發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為,忠實(shí)記錄網(wǎng)絡(luò)上發(fā)生的一切,提供取證手段。它是保證網(wǎng)絡(luò)安全十分重要的一種手段。4.安全審計(jì)基礎(chǔ)為何我們需要安全審計(jì)?CC標(biāo)準(zhǔn)中的網(wǎng)絡(luò)安全審計(jì)功能定義網(wǎng)絡(luò)安全審計(jì)包括識(shí)別、記錄、存儲(chǔ)、分析與安全相關(guān)行為有關(guān)的信息。在CC標(biāo)準(zhǔn)中對(duì)網(wǎng)絡(luò)審計(jì)定義了一套完整的功能,有:安全審計(jì)自動(dòng)響應(yīng)安全審計(jì)數(shù)據(jù)生成安全審計(jì)分析安全審計(jì)瀏覽安全審計(jì)事件存儲(chǔ)安全審計(jì)事件選擇CC標(biāo)準(zhǔn)中的網(wǎng)絡(luò)安全審計(jì)功能定義4.1安全審計(jì)系統(tǒng)網(wǎng)絡(luò)層審計(jì)系統(tǒng)層審計(jì)應(yīng)用層審計(jì)TCP/IP、ATM…UNIX、Windows9x/NT、ODBC審計(jì)總控CA發(fā)證操作主頁(yè)更新監(jiān)視…網(wǎng)絡(luò)安全審計(jì)層次結(jié)構(gòu)圖4.1安全審計(jì)系統(tǒng)網(wǎng)絡(luò)層審計(jì)系統(tǒng)層審計(jì)應(yīng)用層審計(jì)TCP/I4.3參考標(biāo)準(zhǔn)4.3參考標(biāo)準(zhǔn)第四章入侵檢測(cè)與安全審計(jì)第四章入侵檢測(cè)與安全審計(jì)主要內(nèi)容入侵檢測(cè)系統(tǒng)基礎(chǔ)入侵檢測(cè)分析方法入侵檢測(cè)系統(tǒng)實(shí)例安全審計(jì)概念功能IDS的基本結(jié)構(gòu)分類(lèi)基于異常的檢測(cè)技術(shù)基于誤用的檢測(cè)技術(shù)分布式入侵檢測(cè)系統(tǒng)典型的入侵檢測(cè)系統(tǒng)——snortIDS的應(yīng)用主要內(nèi)容入侵檢測(cè)系統(tǒng)基礎(chǔ)概念基于異常的檢測(cè)技術(shù)分布式1.1入侵檢測(cè)基礎(chǔ)考慮:如何防火墻被攻破了,該怎么來(lái)保護(hù)系統(tǒng)的安全?×1.1入侵檢測(cè)基礎(chǔ)考慮:×入侵檢測(cè)(ID)是對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視,發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。通過(guò)對(duì)數(shù)據(jù)包的分析,從數(shù)據(jù)流中過(guò)濾出可疑數(shù)據(jù)包,通過(guò)與已知的入侵方式進(jìn)行比較,確定入侵是否發(fā)生以及入侵的類(lèi)型并進(jìn)行報(bào)警。

入侵檢測(cè)系統(tǒng)(IDS)為完成入侵檢測(cè)任務(wù)而設(shè)計(jì)的計(jì)算機(jī)系統(tǒng)稱(chēng)為入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem,IDS),這是防火墻之后的第二道安全閘門(mén)。入侵檢測(cè)(ID)功能

發(fā)現(xiàn)和制止來(lái)自系統(tǒng)內(nèi)部/外部的攻擊,迅速采取保護(hù)措施

記錄入侵行為的證據(jù),動(dòng)態(tài)調(diào)整安全策略

特點(diǎn)經(jīng)濟(jì)性:IDS不能妨礙系統(tǒng)的正常運(yùn)行。時(shí)效性:及時(shí)地發(fā)現(xiàn)入侵行為。安全性:保證自身安全??蓴U(kuò)展性:機(jī)制與數(shù)據(jù)分離;體系結(jié)構(gòu)的可擴(kuò)展性。

功能

工作流程工作流程數(shù)據(jù)提取模塊為系統(tǒng)提供數(shù)據(jù),經(jīng)過(guò)簡(jiǎn)單的處理后提交給數(shù)據(jù)分析模塊。數(shù)據(jù)分析模塊兩方面功能:一是分析數(shù)據(jù)提取模塊搜集到的數(shù)據(jù);二是對(duì)數(shù)據(jù)庫(kù)保存的數(shù)據(jù)做定期的統(tǒng)計(jì)分析。結(jié)果處理模塊作用在于告警與反應(yīng)。事件數(shù)據(jù)庫(kù)記錄分析結(jié)果,并記錄下所有的時(shí)間,用于以后的分析與檢查。數(shù)據(jù)提取模塊1.2IDS分類(lèi)基于主機(jī)的入侵檢測(cè)系統(tǒng)用于保護(hù)單臺(tái)主機(jī)不受網(wǎng)絡(luò)攻擊行為的侵害,需要安裝在被保護(hù)的主機(jī)上。1.2IDS分類(lèi)基于主機(jī)的入侵檢測(cè)系統(tǒng)根據(jù)檢測(cè)對(duì)象的不同,基于主機(jī)的IDS可分為:網(wǎng)絡(luò)連接檢測(cè)對(duì)試圖進(jìn)入該主機(jī)的數(shù)據(jù)流進(jìn)行檢測(cè),分析確定是否有入侵行為。主機(jī)文件檢測(cè)檢測(cè)主機(jī)上的各種相關(guān)文件,發(fā)現(xiàn)入侵行為或入侵企圖。根據(jù)檢測(cè)對(duì)象的不同,基于主機(jī)的IDS可分為:優(yōu)點(diǎn)檢測(cè)準(zhǔn)確度較高可以檢測(cè)到?jīng)]有明顯行為特征的入侵成本較低不會(huì)因網(wǎng)絡(luò)流量影響性能適合加密和交換環(huán)境缺點(diǎn)實(shí)時(shí)性較差無(wú)法檢測(cè)數(shù)據(jù)包的全部檢測(cè)效果取決于日志系統(tǒng)占用主機(jī)資源隱蔽性較差優(yōu)點(diǎn)缺點(diǎn)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)作為一個(gè)獨(dú)立的個(gè)體放置在被保護(hù)的網(wǎng)絡(luò)上,使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行攻擊分析的數(shù)據(jù)源?;诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)優(yōu)點(diǎn)

可以提供實(shí)時(shí)的網(wǎng)絡(luò)行為檢測(cè)可以同時(shí)保護(hù)多臺(tái)網(wǎng)絡(luò)主機(jī)具有良好的隱蔽性有效保護(hù)入侵證據(jù)不影響被保護(hù)主機(jī)的性能缺點(diǎn)

防止入侵欺騙的能力較差在交換式網(wǎng)絡(luò)環(huán)境中難以配置檢測(cè)性能受硬件條件限制不能處理加密后的數(shù)據(jù)優(yōu)點(diǎn)缺點(diǎn)1.4蜜罐技術(shù)原理蜜罐系統(tǒng)是一個(gè)包含漏洞的誘騙系統(tǒng),它通過(guò)模擬一個(gè)或多個(gè)易攻擊的主機(jī),給攻擊者提供一個(gè)容易攻擊的目標(biāo)。用來(lái)觀測(cè)黑客如何探測(cè)并最終入侵系統(tǒng);用于拖延攻擊者對(duì)真正目標(biāo)的攻擊。1.4蜜罐技術(shù)原理Honeypot模型關(guān)鍵應(yīng)用系統(tǒng)內(nèi)部網(wǎng)虛擬網(wǎng)絡(luò)主機(jī)防火墻高層交換可疑數(shù)據(jù)流InternetHoneypot模型關(guān)鍵內(nèi)部網(wǎng)虛擬網(wǎng)絡(luò)主機(jī)防火墻高層交換可疑2.1基于異常的入侵檢測(cè)也稱(chēng)為基于行為的檢測(cè)技術(shù),在總結(jié)出的正常行為規(guī)律基礎(chǔ)上,檢查入侵和濫用行為特征與其之間的差異,以此來(lái)判斷是否有入侵行為。

基于統(tǒng)計(jì)學(xué)方法的異常檢測(cè)系統(tǒng)使用統(tǒng)計(jì)學(xué)的方法來(lái)學(xué)習(xí)和檢測(cè)用戶(hù)的行為。

預(yù)測(cè)模式生成法利用動(dòng)態(tài)的規(guī)則集來(lái)檢測(cè)入侵。

神經(jīng)網(wǎng)絡(luò)方法將神經(jīng)網(wǎng)絡(luò)用于對(duì)系統(tǒng)和用戶(hù)行為的學(xué)習(xí)。2.1基于異常的入侵檢測(cè)也稱(chēng)為基于行為的檢測(cè)技術(shù),在總結(jié)出2.1.1基于統(tǒng)計(jì)學(xué)的異常檢測(cè)系統(tǒng)步驟:Step1:收集樣本對(duì)系統(tǒng)和用戶(hù)的行為按照一定的時(shí)間間隔進(jìn)行采樣,樣本的內(nèi)容包括每個(gè)會(huì)話(huà)的登錄、退出情況,CPU和內(nèi)存的占用情況,硬盤(pán)等存儲(chǔ)介質(zhì)的使用情況等。Step2:分析樣本對(duì)每次采集到的樣本進(jìn)行計(jì)算,得出一系列的參數(shù)變量來(lái)對(duì)這些行為進(jìn)行描述,從而產(chǎn)生行為輪廓,將每次采樣后得到的行為輪廓與以后輪廓進(jìn)行合并,最終得到系統(tǒng)和用戶(hù)的正常行為輪廓。2.1.1基于統(tǒng)計(jì)學(xué)的異常檢測(cè)系統(tǒng)步驟:Step3:檢查入侵行為通過(guò)將當(dāng)前采集到的行為輪廓與正常行為輪廓相比較,來(lái)檢測(cè)是否存在網(wǎng)絡(luò)入侵行為。算法:M1,M2,…,Mn表示行為輪廓中的特征變量,S1,S2,…,Sn分別表示各個(gè)變量的異常性測(cè)量值,Si的值越大就表示異常性越大。ai表示變量Mi的權(quán)重值。將各個(gè)異常性測(cè)量值的平均加權(quán)求和得出特征值然后選取閾值,例如選擇標(biāo)準(zhǔn)偏差其中均值取μ=M/n,如果S值超出了μ±dσ的范圍就認(rèn)為異常。Step3:檢查入侵行為2.1.2預(yù)測(cè)模式生成法利用動(dòng)態(tài)的規(guī)則集來(lái)檢測(cè)入侵,這些規(guī)則是由系統(tǒng)的歸納引擎,根據(jù)已發(fā)生的事件的情況來(lái)預(yù)測(cè)將來(lái)發(fā)生的事件的概率來(lái)產(chǎn)生的,歸納引擎為每一種事件設(shè)置可能發(fā)生的概率。歸納出來(lái)的規(guī)律一般為:E1,…,Ek:-(Ek+1,P(Ek+1)),…,(En,P(En))例如:規(guī)則A,B:-(C,50%),(D,30%),(E,15%),(F,5%),如果AB已經(jīng)發(fā)生,而F多次發(fā)生,遠(yuǎn)遠(yuǎn)大于5%,或者發(fā)生了事件G,都認(rèn)為是異常行為。2.1.2預(yù)測(cè)模式生成法利用動(dòng)態(tài)的規(guī)則集來(lái)檢測(cè)入侵,這些優(yōu)點(diǎn)

能檢測(cè)出傳統(tǒng)方法難以檢測(cè)的異?;顒?dòng);具有很強(qiáng)的適應(yīng)變化的能力;容易檢測(cè)到企圖在學(xué)習(xí)階段訓(xùn)練系統(tǒng)中的入侵者;實(shí)時(shí)性高。缺點(diǎn)

對(duì)于不在規(guī)則庫(kù)中的入侵將會(huì)漏判。優(yōu)點(diǎn)缺點(diǎn)2.1.3神經(jīng)網(wǎng)絡(luò)方法

神經(jīng)網(wǎng)絡(luò)是一種算法,通過(guò)學(xué)習(xí)已有的輸入/輸出信息對(duì),抽象出其內(nèi)在的關(guān)系,然后通過(guò)歸納得到新的輸入/輸出對(duì)。在IDS中的應(yīng)用在IDS中,系統(tǒng)把用戶(hù)當(dāng)前輸入的命令和用戶(hù)已經(jīng)執(zhí)行的W個(gè)命令傳遞給神經(jīng)網(wǎng)絡(luò),如果神經(jīng)網(wǎng)絡(luò)通過(guò)預(yù)測(cè)得到的命令與該用戶(hù)隨后輸入的命令不一致,則在某種程度上表明用戶(hù)的行為與其輪廓框架產(chǎn)生了偏離,即說(shuō)明用戶(hù)行為異常。2.1.3神經(jīng)網(wǎng)絡(luò)方法神經(jīng)網(wǎng)絡(luò)優(yōu)點(diǎn)能更好的處理原始數(shù)據(jù)的隨即特性,不需要對(duì)原是數(shù)據(jù)做任何統(tǒng)計(jì)假設(shè);有較好的抗干擾能力。缺點(diǎn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及各元素的權(quán)重很難確定;命令窗口W的大小也難以選擇優(yōu)點(diǎn)缺點(diǎn)2.2基于誤用的入侵檢測(cè)也稱(chēng)為基于知識(shí)的檢測(cè)技術(shù)或者模式匹配檢測(cè)技術(shù),通過(guò)某種方式預(yù)先定義入侵行為,然后監(jiān)視系統(tǒng)的運(yùn)行,并從中找出符合預(yù)先定義規(guī)則的入侵行為。分類(lèi):專(zhuān)家系統(tǒng)模式匹配模型推理按鍵監(jiān)視2.2基于誤用的入侵檢測(cè)也稱(chēng)為基于知識(shí)的檢測(cè)技術(shù)或者模式匹2.2.1專(zhuān)家系統(tǒng)誤用檢測(cè)將安全專(zhuān)家的關(guān)于網(wǎng)絡(luò)入侵行為的知識(shí)表示成一些類(lèi)似If-Then的規(guī)則,并以這些規(guī)則為基礎(chǔ)建立專(zhuān)家知識(shí)庫(kù)。規(guī)則中If部分說(shuō)明形成網(wǎng)絡(luò)入侵的必需條件,Then部分說(shuō)明發(fā)現(xiàn)入侵后要實(shí)施的操作。缺點(diǎn):

全面性問(wèn)題效率問(wèn)題2.2.1專(zhuān)家系統(tǒng)誤用檢測(cè)將安全專(zhuān)家的關(guān)于網(wǎng)絡(luò)入侵行為的知2.2.2模式匹配誤用檢測(cè)也叫特征分析誤用檢測(cè),指將入侵行為表示成一個(gè)事件序列或者轉(zhuǎn)換成某種可以直接在網(wǎng)絡(luò)數(shù)據(jù)包審計(jì)記錄中找到的數(shù)據(jù)樣板,而不進(jìn)行規(guī)則轉(zhuǎn)換,這樣可以直接在審計(jì)記錄中尋找相匹配的已知入侵模式。缺點(diǎn):必須及時(shí)更新知識(shí)庫(kù)兼容性較差建立和維護(hù)知識(shí)庫(kù)的工作量都相當(dāng)大2.2.2模式匹配誤用檢測(cè)也叫特征分析誤用檢測(cè),指將入侵行2.2.3模型推理誤用檢測(cè)根據(jù)網(wǎng)絡(luò)入侵行為的特征建立起誤用證據(jù)模型,以此推理判斷當(dāng)前的用戶(hù)行為是否是誤用行為。這種檢測(cè)方法需要建立:

攻擊劇本數(shù)據(jù)庫(kù):每個(gè)攻擊劇本是一個(gè)攻擊行為序列,IDS根據(jù)攻擊劇本的子集來(lái)判斷系統(tǒng)當(dāng)前是否收到入侵。

預(yù)警器:根據(jù)當(dāng)前的活動(dòng)模型,產(chǎn)生下一步行為。

規(guī)劃者:負(fù)責(zé)判斷所假設(shè)的行為如何反應(yīng)在審計(jì)追蹤數(shù)據(jù)上,以及如何將假設(shè)的行為與系統(tǒng)相關(guān)的審計(jì)追蹤相匹配。2.2.3模型推理誤用檢測(cè)根據(jù)網(wǎng)絡(luò)入侵行為的特征建立起誤用2.2.4按鍵監(jiān)視誤用檢測(cè)假設(shè)每種網(wǎng)絡(luò)入侵行為都具有特定的擊鍵序列模式,IDS監(jiān)視各個(gè)用戶(hù)的擊鍵模式,并將該模式與已有的入侵擊鍵模式相匹配,如果匹配成功就認(rèn)為是網(wǎng)絡(luò)入侵行為。缺點(diǎn):不能對(duì)擊鍵進(jìn)行語(yǔ)義分析,容易遭受欺騙;缺少可靠的方法來(lái)捕獲用戶(hù)的擊鍵行為;無(wú)法檢測(cè)利用程序進(jìn)行自動(dòng)攻擊的行為。2.2.4按鍵監(jiān)視誤用檢測(cè)假設(shè)每種網(wǎng)絡(luò)入侵行為都具有特定的2.3異常檢測(cè)與誤用檢測(cè)的對(duì)比收集先驗(yàn)知識(shí)系統(tǒng)配置檢測(cè)結(jié)果基于異常的入侵檢測(cè)基于誤用的入侵檢測(cè)需不斷的學(xué)習(xí)并更新已有的行為輪廓,進(jìn)而掌握被保護(hù)系統(tǒng)已知行為和預(yù)期行為的所有信息需不斷的對(duì)新出現(xiàn)的入侵行為進(jìn)行總結(jié)歸納,進(jìn)而擁有所有可能的入侵行為的先驗(yàn)知識(shí)基于異常的入侵檢測(cè)基于誤用的入侵檢測(cè)工作量少,但配置難度較大工作量非常大基于異常的入侵檢測(cè)基于誤用的入侵檢測(cè)結(jié)果相對(duì)具有更多的數(shù)據(jù)量,任何超出行為輪廓范圍的事件都將被檢測(cè)出來(lái)輸出內(nèi)容是列舉出入侵行為的類(lèi)型和名稱(chēng),以及提供相應(yīng)的處理建議2.3異常檢測(cè)與誤用檢測(cè)的對(duì)比收集先驗(yàn)知識(shí)基于異常的入侵3.1通用入侵檢測(cè)模型1987年,DenningD.E.提出了一個(gè)通用入侵檢測(cè)模型:新活動(dòng)檔案學(xué)習(xí)提取規(guī)則創(chuàng)建歷史檔案審計(jì)記錄更新時(shí)鐘主體活動(dòng)規(guī)則集處理引擎活動(dòng)檔案異常記錄3.1通用入侵檢測(cè)模型1987年,DenningD.E.3.2分布式入侵檢測(cè)系統(tǒng)系統(tǒng)的構(gòu)成是開(kāi)放的、分布式的,多個(gè)功能構(gòu)件分工合作能夠檢測(cè)分布式的攻擊3.2分布式入侵檢測(cè)系統(tǒng)系統(tǒng)的構(gòu)成是開(kāi)放的、分布式的,多個(gè)3.3典型入侵檢測(cè)系統(tǒng)——SnortSnort是一個(gè)強(qiáng)大的輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。它具有實(shí)時(shí)數(shù)據(jù)流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力,能夠進(jìn)行協(xié)議分析,對(duì)內(nèi)容進(jìn)行搜索/匹配。它能夠檢測(cè)各種不同的攻擊方式,對(duì)攻擊進(jìn)行實(shí)時(shí)報(bào)警。Snort可以運(yùn)行在*nix/Win32平臺(tái)上。3.3典型入侵檢測(cè)系統(tǒng)——SnortSnort是一個(gè)強(qiáng)大工作原理在基于共享網(wǎng)絡(luò)上檢測(cè)原始的網(wǎng)絡(luò)傳輸數(shù)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論