云計(jì)算及安全-云計(jì)算及入侵檢測

云計(jì)算與入侵檢測

概述入侵檢測方法入侵檢測系統(tǒng)的設(shè)計(jì)原理入侵檢測響應(yīng)機(jī)制入侵檢測標(biāo)準(zhǔn)化工作

云計(jì)算分層安全和入侵檢測系統(tǒng)

概述入侵檢測方法入侵檢測系統(tǒng)的設(shè)計(jì)原理入侵檢測響應(yīng)機(jī)制入侵檢測標(biāo)準(zhǔn)化工作云計(jì)算分層安全和入侵檢測系統(tǒng)IDS存在與進(jìn)展的必定性一、網(wǎng)絡(luò)攻擊造成的破壞性和損失日益嚴(yán)峻二、網(wǎng)絡(luò)安全威逼日益增長三、單純的防火墻無法防范簡單多變的攻擊IDS的作用為什么需要IDS單一防護(hù)產(chǎn)品的弱點(diǎn)防范方法和防范策略的有限性動(dòng)態(tài)多變的網(wǎng)絡(luò)環(huán)境來自外部和內(nèi)部的威逼為什么需要IDS關(guān)于防火墻網(wǎng)絡(luò)邊界的設(shè)備，只能抵抗外部來的入侵行為自身存在弱點(diǎn)，也可能被攻破對(duì)某些攻擊愛護(hù)很弱即使透過防火墻的愛護(hù)，合法的使用者仍會(huì)非法地使用系統(tǒng)，甚至提升自己的權(quán)限僅能拒絕非法的連接請(qǐng)求，但是對(duì)于入侵者的攻擊行為仍一無所知為什么需要IDS入侵很簡潔入侵教程隨處可見各種工具唾手可得網(wǎng)絡(luò)安全工具的特點(diǎn)優(yōu)點(diǎn)局限性防火墻可簡化網(wǎng)絡(luò)管理，產(chǎn)品成熟無法處理網(wǎng)絡(luò)內(nèi)部的攻擊IDS實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)安全狀態(tài)誤警率高，緩慢攻擊，新的攻擊模式Scanner完全主動(dòng)式安全工具，能夠了解網(wǎng)絡(luò)現(xiàn)有的安全水平，簡單可操作，幫助系統(tǒng)管理員和安全服務(wù)人員解決實(shí)際問題，并不能真正了解網(wǎng)絡(luò)上即時(shí)發(fā)生的攻擊VPN保護(hù)公網(wǎng)上的內(nèi)部通信可視為防火墻上的一個(gè)漏洞防病毒針對(duì)文件與郵件，產(chǎn)品成熟功能單一傳統(tǒng)的信息安全方法承受嚴(yán)格的訪問掌握和數(shù)據(jù)加密策略來防護(hù)，但在簡單系統(tǒng)中，這些策略是不充分的。它們是系統(tǒng)安全不行缺的局部但不能完全保證系統(tǒng)的安全入侵檢測〔IntrusionDetection〕是對(duì)入侵行為的覺察。它通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)展分析，從中覺察網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象入侵檢測IntrusionDetection入侵檢測的定義對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)展監(jiān)視，覺察各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性入侵檢測系統(tǒng)：進(jìn)展入侵檢測的軟件與硬件的組合〔IDS:IntrusionDetectionSystem〕IDS根本構(gòu)造入侵檢測系統(tǒng)包括三個(gè)功能部件〔1〕信息收集〔2〕分析引擎〔3〕響應(yīng)部件信息搜集信息收集入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的假設(shè)干不同關(guān)鍵點(diǎn)〔不同網(wǎng)段和不同主機(jī)〕收集信息盡可能擴(kuò)大檢測范圍從一個(gè)源來的信息有可能看不出疑點(diǎn)信息收集入侵檢測的效果很大程度上依靠于收集信息的牢靠性和正確性要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性特殊是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的牢固性，防止被篡改而收集到錯(cuò)誤的信息信息收集的來源系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)名目和文件的特別變化程序執(zhí)行中的特別行為系統(tǒng)或網(wǎng)絡(luò)的日志文件攻擊者常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動(dòng)”類型的日志，就包含登錄、用戶ID轉(zhuǎn)變、用戶對(duì)文件的訪問、授權(quán)和認(rèn)證信息等內(nèi)容明顯，對(duì)用戶活動(dòng)來講，不正常的或不期望的行為就是:重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等系統(tǒng)名目和文件的特別變化網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件常常是黑客修改或破壞的目標(biāo)名目和文件中的不期望的轉(zhuǎn)變〔包括修改、創(chuàng)立和刪除〕，特殊是那些正常狀況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號(hào)入侵者常常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時(shí)為了隱蔽系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件分析引擎分析引擎

模式匹配統(tǒng)計(jì)分析完整性分析，往往用于事后分析模式匹配模式匹配就是將收集到的信息與的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)展比較，從而覺察違反安全策略的行為一般來講，一種攻擊模式可以用一個(gè)過程〔如執(zhí)行一條指令〕或一個(gè)輸出〔如獲得權(quán)限〕來表示。該過程可以很簡潔〔如通過字符串匹配以查找一個(gè)簡潔的條目或指令〕，也可以很簡單〔如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化〕統(tǒng)計(jì)分析統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象〔如用戶、文件、名目和設(shè)備等〕創(chuàng)立一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測量屬性〔如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等〕測量屬性的平均值和偏差被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)展比較，任何觀看值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生完整性分析完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓陌ㄎ募兔康膬?nèi)容及屬性在覺察被更改的、被安裝木馬的應(yīng)用程序方面特殊有效響應(yīng)部件響應(yīng)動(dòng)作簡潔報(bào)警切斷連接封鎖用戶轉(zhuǎn)變文件屬性最猛烈反響：回?fù)艄粽呷肭謾z測系統(tǒng)性能關(guān)鍵參數(shù)誤報(bào)(falsepositive)：假設(shè)系統(tǒng)錯(cuò)誤地將特別活動(dòng)定義為入侵漏報(bào)(falsenegative)：假設(shè)系統(tǒng)未能檢測出真正的入侵行為入侵檢測系統(tǒng)的分類〔1〕依據(jù)分析方法〔檢測方法〕特別檢測模型〔AnomalyDetection):首先總結(jié)正常操作應(yīng)當(dāng)具有的特征〔用戶輪廓〕，當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵誤用檢測模型〔MisuseDetection)：收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵入侵檢測系統(tǒng)的分類網(wǎng)絡(luò)IDS:網(wǎng)絡(luò)IDS〔NIDS〕通常以非破壞方式使用。這種設(shè)備能夠捕獲LAN區(qū)域中的信息流并試著將實(shí)時(shí)信息流與的攻擊簽名進(jìn)展比照。主機(jī)IDS：主機(jī)入侵檢測系統(tǒng)〔HIDS〕是一種用于監(jiān)控單個(gè)主機(jī)上的活動(dòng)的軟件應(yīng)用。監(jiān)控方法包括驗(yàn)證操作系統(tǒng)與應(yīng)用調(diào)用及檢查日志文件、文件系統(tǒng)信息與網(wǎng)絡(luò)連接?；旌闲偷膬深怚DS監(jiān)測軟件網(wǎng)絡(luò)IDS偵測速度快隱蔽性好視野更寬較少的監(jiān)測器占資源少主機(jī)IDS視野集中易于用戶自定義愛護(hù)更加周密對(duì)網(wǎng)絡(luò)流量不敏感

概述

入侵檢測方法

入侵檢測系統(tǒng)的設(shè)計(jì)原理入侵檢測響應(yīng)機(jī)制入侵檢測標(biāo)準(zhǔn)化工作云計(jì)算分層安全和入侵檢測系統(tǒng)

概述

入侵檢測方法入侵檢測系統(tǒng)的設(shè)計(jì)原理

入侵檢測響應(yīng)機(jī)制入侵檢測標(biāo)準(zhǔn)化工作云計(jì)算分層安全和入侵檢測系統(tǒng)制訂響應(yīng)策略應(yīng)考慮的要素系統(tǒng)用戶：入侵檢測系統(tǒng)用戶可以分為網(wǎng)絡(luò)安全專家或治理員、系統(tǒng)治理員、安全調(diào)查員。這三類人員對(duì)系統(tǒng)的使用目的、方式和生疏程度不同，必需區(qū)分對(duì)待操作運(yùn)行環(huán)境：入侵檢測系統(tǒng)供給的信息形式依靠其運(yùn)行環(huán)境系統(tǒng)目標(biāo)：為用戶供給關(guān)鍵數(shù)據(jù)和業(yè)務(wù)的系統(tǒng)，需要局部地供給主動(dòng)響應(yīng)機(jī)制規(guī)章或法令的需求：在某些軍事環(huán)境里，允許實(shí)行主動(dòng)防范甚至攻擊技術(shù)來應(yīng)付入侵行為響應(yīng)策略彈出窗口報(bào)警E-mail通知切斷TCP連接執(zhí)行自定義程序與其他安全產(chǎn)品交互FirewallSNMPTrap壓制調(diào)速

1、撤消連接

2、回避

3、隔離SYN/ACKRESETs自動(dòng)響應(yīng)一個(gè)高級(jí)的網(wǎng)絡(luò)節(jié)點(diǎn)在使用“壓制調(diào)速”技術(shù)的狀況下，可以承受路由器把攻擊者引導(dǎo)到一個(gè)經(jīng)過特殊裝備的系統(tǒng)上，這種系統(tǒng)被成為蜜罐蜜罐是一種哄騙手段，它可以用于錯(cuò)誤地誘導(dǎo)攻擊者，也可以用于收集攻擊信息，以改進(jìn)防范力量蜜罐能采集的信息量由自身能供給的手段以及攻擊行為數(shù)量打算蜜罐

概述

入侵檢測方法入侵檢測系統(tǒng)的設(shè)計(jì)原理入侵檢測響應(yīng)機(jī)制

入侵檢測標(biāo)準(zhǔn)化工作云計(jì)算分層安全和入侵檢測系統(tǒng)IDS標(biāo)準(zhǔn)化要求隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)入侵的方式、類型、特征各不一樣，入侵的活動(dòng)變得簡單而又難以捉摸網(wǎng)絡(luò)的安全要求IDS之間能夠相互協(xié)作，能夠與訪問掌握、應(yīng)急、入侵追蹤等系統(tǒng)交換信息，形成一個(gè)整體有效的安全保障系統(tǒng)需要一個(gè)標(biāo)準(zhǔn)來加以指導(dǎo)，系統(tǒng)之間要有一個(gè)商定CIDF

(TheCommonIntrusionDetectionFramework)CIDFCIDF早期由美國國防部高級(jí)爭論打算局贊助爭論，現(xiàn)在由CIDF工作組負(fù)責(zé)，這是一個(gè)開放組織。實(shí)際上CIDF已經(jīng)成為一個(gè)開放的共享的資源CIDF是一套標(biāo)準(zhǔn)，它定義了IDS表達(dá)檢測信息的標(biāo)準(zhǔn)語言以及IDS組件之間的通信協(xié)議符合CIDF標(biāo)準(zhǔn)的IDS可以共享檢測信息，相互通信，協(xié)同工作，還可以與其它系統(tǒng)協(xié)作實(shí)施統(tǒng)一的配置響應(yīng)和恢復(fù)策略CIDF的主要作用在于集成各種IDS，使之協(xié)同工作，實(shí)現(xiàn)各IDS之間的組件重用，所以CIDF也是構(gòu)建分布式IDS的根底CIDF規(guī)格文檔CIDF的規(guī)格文檔由四局部組成，分別為：體系構(gòu)造：闡述了一個(gè)標(biāo)準(zhǔn)的IDS的通用模型標(biāo)準(zhǔn)語言：定義了一個(gè)用來描述各種檢測信息的標(biāo)準(zhǔn)語言內(nèi)部通訊：定義了IDS組件之間進(jìn)展通信的標(biāo)準(zhǔn)協(xié)議程序接口：供給了一整套標(biāo)準(zhǔn)的應(yīng)用程序接口通信層次CIDF將各組件之間的通信劃分為三個(gè)層次構(gòu)造：GIDO層〔GIDOlayer〕、消息層〔Messagelayer〕和傳輸層〔NegotiatedTransportlayer〕其中傳輸層不屬于CIDF標(biāo)準(zhǔn)，它可以承受很多種現(xiàn)有的傳輸機(jī)制來實(shí)現(xiàn)消息層負(fù)責(zé)對(duì)傳輸?shù)男畔⑦M(jìn)展加密認(rèn)證，然后將其牢靠地從源傳輸?shù)侥康牡?，消息層不關(guān)心傳輸?shù)膬?nèi)容，它只負(fù)責(zé)建立一個(gè)牢靠的傳輸通道GIDO層負(fù)責(zé)對(duì)傳輸信息的格式化，正是由于有了GIDO這種統(tǒng)一的信息表達(dá)格式，才使得各個(gè)IDS之間的互操作成為可能CISL

(ACommonIntrusionSpecificationLanguage)CIDF的標(biāo)準(zhǔn)語言文檔定義了一個(gè)公共入侵標(biāo)準(zhǔn)語言CISL，各IDS使用統(tǒng)一的CISL來表示原始大事信息、分析結(jié)果和響應(yīng)指令，從而建立了IDS之間信息共享的根底CISL是CIDF的最核心也是最重要的內(nèi)容匹配效勞法〔匹配器〕CIDF的匹配效勞為CIDF各組件之間的相互識(shí)別、定位和信息共享供給了一個(gè)標(biāo)準(zhǔn)的統(tǒng)一的機(jī)制匹配器的實(shí)現(xiàn)是基于輕量名目訪問協(xié)議〔LDAP〕的，每個(gè)組件通過名目效勞注冊(cè)，并公告它能夠產(chǎn)生或能夠處理的GIDO，這樣組件就被分類存放，其它組件就可以便利地查找到那些它們需要通信的組件名目中還可以存放組件的公共密鑰，從而實(shí)現(xiàn)對(duì)組件接收和發(fā)送GIDO時(shí)的身份認(rèn)證

匹配器構(gòu)成通信模塊：實(shí)現(xiàn)客戶端〔可為任何一個(gè)CIDF組件〕與匹配代理之間的通信協(xié)議匹配代理：一個(gè)任務(wù)是處理從遠(yuǎn)端組件到它的客戶端的輸入懇求，另一個(gè)任務(wù)是處理從它的客戶端到遠(yuǎn)端組件的輸出懇求認(rèn)證和授權(quán)模塊：使一個(gè)組件能夠鑒別其它組件，使客戶端與匹配代理之間能夠相互鑒別客戶端緩沖區(qū)：使客戶端能夠?qū)ψ罱⒌囊恍╆P(guān)聯(lián)信息進(jìn)展緩沖存儲(chǔ)CIDF程序接口CIDF的程序接口文檔描述了用于GIDO編解碼以及傳輸?shù)臉?biāo)準(zhǔn)應(yīng)用程序接口〔以下簡稱為API〕，它包括以下幾局部內(nèi)容GIDO編碼和解碼API〔GIDOEncoding/DecodingAPISpecification〕消息層API〔MessageLayerAPISpecification〕GIDO動(dòng)態(tài)追加API〔GIDOAddendumAPI〕簽名API〔SignatureAPI〕頂層CIDF的API〔Top-LevelCIDFAPI〕每類API均包含數(shù)據(jù)構(gòu)造定義、函數(shù)定義和錯(cuò)誤代碼定義等CIDF的應(yīng)用目前CIDF還沒有成為正式的標(biāo)準(zhǔn)，也沒有一個(gè)商業(yè)IDS產(chǎn)品完全遵循該標(biāo)準(zhǔn)，但各種IDS的構(gòu)造模型具有很大的相像性，各廠商都在依據(jù)CIDF進(jìn)展信息交換的標(biāo)準(zhǔn)化工作，有些產(chǎn)品已經(jīng)可以局部地支持CIDF可以猜測，隨著分布式IDS的進(jìn)展，各種IDS互操作和協(xié)同工作的迫切需要，各種IDS產(chǎn)品必需遵循統(tǒng)一的框架構(gòu)造，CIDF將成為事實(shí)上的IDS的工業(yè)標(biāo)準(zhǔn)

概述

入侵檢測方法入侵檢測系統(tǒng)的設(shè)計(jì)原理入侵檢測響應(yīng)機(jī)制

入侵檢測標(biāo)準(zhǔn)化工作

云計(jì)算分層安全和入侵檢測系統(tǒng)分層安全方法使用分層安全方法會(huì)最大化發(fā)揮入侵檢測系統(tǒng)〔IDS〕的成效。分層安全機(jī)制意味著承受了多種措施來確保數(shù)據(jù)安全，因此增加了攻擊者滲透到網(wǎng)絡(luò)中所需要的工作負(fù)載和時(shí)間。對(duì)數(shù)據(jù)實(shí)施安全防護(hù)所使用的安全部件和安全層次越多，根底設(shè)施的安全性就越高。分層安全方法組成局部安全策略、安全過程、安全標(biāo)準(zhǔn)以及安全指南，包括一個(gè)頂層的安全策略；邊界安全，例如路由器、防火墻和其他邊界設(shè)備；硬件和軟件的主機(jī)安全產(chǎn)品；審計(jì)、監(jiān)控、入侵檢測與響應(yīng)。云平臺(tái)入侵檢測對(duì)網(wǎng)絡(luò)流量進(jìn)展監(jiān)控，并/或?qū)χ鳈C(jī)審計(jì)日志進(jìn)展監(jiān)控，確保能夠檢測到是否有違反組織安全策略的大事發(fā)生。入侵檢測系統(tǒng)能夠覺察那些躲避或繞開防火墻的入侵行為，以及防火墻內(nèi)部本地局域網(wǎng)正在發(fā)生的入侵行為。關(guān)鍵問題：對(duì)可能被攻擊的資產(chǎn)進(jìn)展愛護(hù)；假設(shè)某個(gè)事故不需要應(yīng)急響應(yīng)效勞，那就愛護(hù)資源使其得到最大化利用；遵循政府或其他相關(guān)法律法規(guī)；防止你的系統(tǒng)被用于攻擊其他系統(tǒng)；盡可能地降低潛在的負(fù)面影響?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)〔NIDS〕通常位于獨(dú)立的網(wǎng)段，對(duì)該網(wǎng)絡(luò)段的通信進(jìn)展監(jiān)控。網(wǎng)絡(luò)數(shù)據(jù)包的簽名匹配：字符串簽名端口簽名報(bào)頭狀態(tài)簽名被動(dòng)地獵取數(shù)據(jù)，能夠在不消耗網(wǎng)絡(luò)或主機(jī)資源的狀況下供給牢靠的實(shí)時(shí)信息。問題：無法檢測到攻擊者通過終端連接到主機(jī)上對(duì)主機(jī)的攻擊?；谥鳈C(jī)的入侵檢測系統(tǒng)〔HIDS〕使用主機(jī)上的小程序監(jiān)控操作系統(tǒng)的行為是否正常，并在檢測到特別時(shí)寫日志文件或觸發(fā)警報(bào)。HIDS的特征：對(duì)系統(tǒng)關(guān)鍵文件的訪問和變動(dòng)進(jìn)展監(jiān)控，對(duì)用戶權(quán)限的變動(dòng)進(jìn)展監(jiān)控；覺察內(nèi)部可信人員攻擊的力量比NIDS強(qiáng)；檢測源自外部的攻擊力量相對(duì)較強(qiáng)；通過配置可以檢測被監(jiān)控主機(jī)上全部的網(wǎng)絡(luò)數(shù)據(jù)包、連接嘗試或登錄嘗試，包括撥號(hào)嘗試或其他與網(wǎng)絡(luò)無關(guān)的通信端口?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)〔NIDS〕通常位于獨(dú)立的網(wǎng)段，對(duì)該網(wǎng)絡(luò)段的通信進(jìn)展監(jiān)控。網(wǎng)絡(luò)數(shù)據(jù)包的簽名匹配：字符串簽名端口簽名報(bào)頭狀態(tài)簽名被動(dòng)地獵取數(shù)據(jù)，能夠在不消耗網(wǎng)絡(luò)或主機(jī)資源的狀況下供給牢靠的實(shí)時(shí)信息。問題：無法檢測到攻擊者通過終端連接到主機(jī)上對(duì)主機(jī)的攻擊?；诤灻娜肭謾z測系統(tǒng)系統(tǒng)中存儲(chǔ)了用于刻畫攻擊的簽名或?qū)傩砸员銋⒖肌．?dāng)從主機(jī)審計(jì)日志或