入侵檢測與安全審計
,單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,第四章 入侵檢測與安全審計,主要內(nèi)容,入侵檢測系統(tǒng)基礎(chǔ),入侵檢測分析方法,入侵檢測系統(tǒng)實例,安全審計,概念,功能,IDS,的基本結(jié)構(gòu),分類,基于異常的檢測技術(shù),基于誤用的檢測技術(shù),分布式入侵檢測系統(tǒng),典型的入侵檢測系統(tǒng),snort,IDS,的應(yīng)用,1.1,入侵檢測基礎(chǔ),考慮:,如何防火墻被攻破了,該怎么來保護系統(tǒng)的安全����?,入侵檢測(,ID,),是對系統(tǒng)的運行狀態(tài)進行,監(jiān)視,�,發(fā)現(xiàn)各種攻擊企圖��、攻擊行為或者攻擊結(jié)果�,以保證系統(tǒng)資源的機密性、完整性和可用性����。,通過對數(shù)據(jù)包的,分析,,從數(shù)據(jù)流中過濾出可疑數(shù)據(jù)包�����,通過與已知的入侵方式進行比較�����,,確定入侵是否發(fā)生,以及,入侵的類型,并進行,報警,��。,入侵檢測系統(tǒng)(,IDS,),為完成入侵檢測任務(wù)而設(shè)計的計算機系統(tǒng)稱為入侵檢測系統(tǒng)(,Intrusion Detection System,IDS,)���,這是防火墻之后的第二道安全閘門�。,功能,發(fā)現(xiàn),和,制止,來自系統(tǒng)內(nèi)部,/,外部的攻擊�,迅速采取保護措施,記錄,入侵行為的證據(jù)�����,,動態(tài)調(diào)整,安全策略,特點,經(jīng)濟性:,IDS,不能妨礙系統(tǒng)的正常運行�����。,時效性:及時地發(fā)現(xiàn)入侵行為����。,安全性:保證自身安全�。,可擴展性:機制與數(shù)據(jù)分離�����;體系結(jié)構(gòu)的可擴展性���。,工作流程,數(shù)據(jù)提取模塊,為系統(tǒng)提供數(shù)據(jù)��,經(jīng)過簡單的處理后提交給數(shù)據(jù)分析模塊�����。,數(shù)據(jù)分析模塊,兩方面功能:一是分析數(shù)據(jù)提取模塊搜集到的數(shù)據(jù)��;二是對數(shù)據(jù)庫保存的數(shù)據(jù)做定期的統(tǒng)計分析��。,結(jié)果處理模塊,作用在于告警與反應(yīng)�����。,事件數(shù)據(jù)庫,記錄分析結(jié)果���,并記錄下所有的時間�����,用于以后的分析與檢查�。,1.2 IDS,分類,基于主機的入侵檢測系統(tǒng),用于保護,單臺主機,不受網(wǎng)絡(luò)攻擊行為的侵害��,需要安裝在被保護的主機上��。,根據(jù)檢測對象的不同��,基于主機的,IDS,可分為:,網(wǎng)絡(luò)連接檢測,對試圖進入該主機的數(shù)據(jù)流進行檢測����,分析確定是否有入侵行為。,主機文件檢測,檢測主機上的各種相關(guān)文件����,發(fā)現(xiàn)入侵行為或入侵企圖���。,優(yōu)點,檢測準確度較高,可以檢測到?jīng)]有明顯行為特征的入侵,成本較低,不會因網(wǎng)絡(luò)流量影響性能,適合加密和交換環(huán)境,缺點,實時性較差,無法檢測數(shù)據(jù)包的全部,檢測效果取決于日志系統(tǒng),占用主機資源,隱蔽性較差,基于網(wǎng)絡(luò)的入侵檢測系統(tǒng),作為一個,獨立的個體,放置在被保護的網(wǎng)絡(luò)上,使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進行攻擊分析的數(shù)據(jù)源�����。,優(yōu)點,可以提供實時的網(wǎng)絡(luò)行為檢測,可以同時保護多臺網(wǎng)絡(luò)主機,具有良好的隱蔽性,有效保護入侵證據(jù),不影響被保護主機的性能,缺點,防止入侵欺騙的能力較差,在交換式網(wǎng)絡(luò)環(huán)境中難以配置,檢測性能受硬件條件限制,不能處理加密后的數(shù)據(jù),1.4,蜜罐技術(shù),原理,蜜罐系統(tǒng)是一個,包含漏洞的誘騙系統(tǒng),���,它通過,模擬,一個或多個易攻擊的主機�����,給攻擊者提供一個容易攻擊的目標。,用來,觀測,黑客如何探測并最終入侵系統(tǒng)���;,用于,拖延,攻擊者對真正目標的攻擊�����。,Honeypot,模型,關(guān)鍵,應(yīng)用系統(tǒng),內(nèi)部網(wǎng),虛擬網(wǎng)絡(luò)主機,防火墻,高層交換,可疑數(shù)據(jù)流,Internet,2.1,基于異常的入侵檢測,也稱為,基于行為,的檢測技術(shù)�,在總結(jié)出的正常行為規(guī)律基礎(chǔ)上�����,檢查入侵和濫用行為特征與其之間的差異,以此來判斷是否有入侵行為�����。,基于統(tǒng)計學方法的異常檢測系統(tǒng),使用統(tǒng)計學的方法來學習和檢測用戶的行為����。,預(yù)測模式生成法,利用動態(tài)的規(guī)則集來檢測入侵。,神經(jīng)網(wǎng)絡(luò)方法,將神經(jīng)網(wǎng)絡(luò)用于對系統(tǒng)和用戶行為的學習��。,2.1.1,基于統(tǒng)計學的異常檢測系統(tǒng),步驟:,Step1,:收集樣本,對系統(tǒng)和用戶的行為按照一定的時間間隔進行,采樣,��,樣本的內(nèi)容包括每個會話的登錄��、退出情況�,,CPU,和內(nèi)存的占用情況,硬盤等存儲介質(zhì)的使用情況等����。,Step2,:分析樣本,對每次采集到的樣本進行,計算,,得出一系列的參數(shù)變量來對這些行為進行描述�����,從而產(chǎn)生,行為輪廓,,將每次采樣后得到的行為輪廓與以后輪廓進行合并����,最終得到系統(tǒng)和用戶的正常行為輪廓。,Step3,:檢查入侵行為,通過將當前采集到的行為輪廓與正常行為輪廓相比較�����,來檢測是否存在網(wǎng)絡(luò)入侵行為��。,算法:,M,1,M,2,M,n,表示行為輪廓中的特征變量����,,S,1,S,2,S,n,分別表示各個變量的異常性測量值,,S,i,的值越大就表示異常性越大���。,a,i,表示變量,M,i,的權(quán)重值�。將各個異常性測量值的平均加權(quán)求和得出特征值,然后,選取閾值,����,例如選擇標準偏差,其中均值取,=M/n,��,如果,S,值超出了,d,的范圍就認為異常���。,2.1.2,預(yù)測模式生成法,利用,動態(tài)的規(guī)則集,來檢測入侵��,這些規(guī)則是由系統(tǒng)的歸納引擎��,根據(jù)已發(fā)生的事件的情況來預(yù)測將來發(fā)生的事件的概率來產(chǎn)生的�,歸納引擎為每一種事件設(shè)置可能發(fā)生的概率。,歸納出來的規(guī)律一般為:,E,1,E,k,:-(E,k+1,P(E,k+1,),(,E,n,P(E,n,),例如:,規(guī)則,A,B:-(C,50%),(D,30%),(E,15%),(F,5%),�����,如果,AB,已經(jīng)發(fā)生����,而,F,多次發(fā)生,遠遠大于,5%,�,或者發(fā)生了事件,G,,都認為是異常行為���。,優(yōu)點,能檢測出傳統(tǒng)方法難以檢測的異?���;顒?;,具有很強的適應(yīng)變化的能力;,容易檢測到企圖在學習階段訓練系統(tǒng)中的入侵者;,實時性高�����。,缺點,對于不在規(guī)則庫中的入侵將會漏判��。,2.1.3,神經(jīng)網(wǎng)絡(luò)方法,神經(jīng)網(wǎng)絡(luò),是一種,算法,�����,通過,學習,已有的輸入,/,輸出信息對���,,抽象,出其內(nèi)在的關(guān)系��,然后通過,歸納,得到新的輸入,/,輸出對�����。,在,IDS,中的應(yīng)用,在,IDS,中�,系統(tǒng)把用戶當前輸入的命令和用戶已經(jīng)執(zhí)行的,W,個命令傳遞給神經(jīng)網(wǎng)絡(luò)����,如果神經(jīng)網(wǎng)絡(luò)通過預(yù)測得到的命令與該用戶隨后輸入的命令不一致,則在某種程度上表明用戶的行為與其輪廓框架產(chǎn)生了偏離�����,即說明用戶行為異常�����。,優(yōu)點,能更好的處理原始數(shù)據(jù)的隨即特性�����,不需要對原是數(shù)據(jù)做任何統(tǒng)計假設(shè)�;,有較好的抗干擾能力。,缺點,網(wǎng)絡(luò)拓撲結(jié)構(gòu)以及各元素的權(quán)重很難確定�;,命令窗口,W,的大小也難以選擇,2.2,基于誤用的入侵檢測,也稱為,基于知識,的檢測技術(shù)或者,模式匹配,檢測技術(shù),通過某種方式預(yù)先定義入侵行為��,然后監(jiān)視系統(tǒng)的運行�,并從中找出符合預(yù)先定義規(guī)則的入侵行為。,分類:,專家系統(tǒng),模式匹配,模型推理,按鍵監(jiān)視,2.2.1,專家系統(tǒng)誤用檢測,將安全專家的關(guān)于網(wǎng)絡(luò)入侵行為的知識表示成一些類似,If-Then,的規(guī)則���,并以這些規(guī)則為基礎(chǔ)建立,專家知識庫,���。規(guī)則中,If,部分說明形成網(wǎng)絡(luò)入侵的必需條件,,Then,部分說明發(fā)現(xiàn)入侵后要實施的操作��。,缺點:,全面性問題,效率問題,2.2.2,模式匹配誤用檢測,也叫特征分析誤用檢測,指將入侵行為表示成一個事件序列或者轉(zhuǎn)換成某種可以直接在網(wǎng)絡(luò)數(shù)據(jù)包審計記錄中找到的數(shù)據(jù)樣板��,而,不進行規(guī)則轉(zhuǎn)換,����,這樣可以直接在審計記錄中尋找相匹配的已知入侵模式。,缺點:,必須及時更新知識庫,兼容性較差,建立和維護知識庫的工作量都相當大,2.2.3,模型推理誤用檢測,根據(jù)網(wǎng)絡(luò)入侵行為的特征建立起,誤用證據(jù)模型,���,以此推理判斷當前的用戶行為是否是誤用行為��。,這種檢測方法需要建立:,攻擊劇本數(shù)據(jù)庫,:每個攻擊劇本是一個攻擊行為序,列���,,IDS,根據(jù)攻擊劇本的子集來判斷系統(tǒng)當前是否收,到入侵。,預(yù)警器,:根據(jù)當前的活動模型��,產(chǎn)生下一步行為�。,規(guī)劃者,:負責判斷所假設(shè)的行為如何反應(yīng)在審計追,蹤數(shù)據(jù)上,以及如何將假設(shè)的行為與系統(tǒng)相關(guān)的審,計追蹤相匹配���。,2.2.4,按鍵監(jiān)視誤用檢測,假設(shè)每種網(wǎng)絡(luò)入侵行為都具有特定的,擊鍵序列模式,���,,IDS,監(jiān)視各個用戶的擊鍵模式,并將該模式與已有的入侵擊鍵模式相匹配���,如果匹配成功就認為是網(wǎng)絡(luò)入侵行為��。,缺點:,不能對擊鍵進行語義分析�����,容易遭受欺騙�;,缺少可靠的方法來捕獲用戶的擊鍵行為����;,無法檢測利用程序進行自動攻擊的行為。,2.3,異常檢測與誤用檢測的對比,收集先驗知識,系統(tǒng)配置,檢測結(jié)果,基于異常的入侵檢測,基于誤用的入侵檢測,需不斷的學習并更新已有的行為輪廓����,進而掌握被保護系統(tǒng)已知行為和預(yù)期行為的所有信息,需不斷的對新出現(xiàn)的入侵行為進行總結(jié)歸納,進而擁有所有可能的入侵行為的先驗知識,基于異常的入侵檢測,基于誤用的入侵檢測,工作量少��,但配置難度較大,工作量非常大,基于異常的入侵檢測,基于誤用的入侵檢測,結(jié)果相對具有更多的數(shù)據(jù)量�����,任何超出行為輪廓范圍的事件都將被檢測出來,輸出內(nèi)容是列舉出入侵行為的類型和名稱�,以及提供相應(yīng)的處理建議,3.1,通用入侵檢測模型,1987,年,,Denning D.E.,提出了一個通用入侵檢測模型:,新活動檔案,學習,提取規(guī)則,創(chuàng)建,歷史檔案,審計記錄,更新,時鐘,主體活動,規(guī)則集處理引擎,活動,檔案,異常,記錄,3.2,分布式入侵檢測系統(tǒng),系統(tǒng)的構(gòu)成是開放的����、分布式的���,多個功能構(gòu)件分工合作,能夠檢測分布式的攻擊,3.3,典型入侵檢測系統(tǒng),Snort,Snort,是一個強大的輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)。,它具有實時數(shù)據(jù)流量分析和日志,IP,網(wǎng)絡(luò)數(shù)據(jù)包的能力�����,能夠進行協(xié)議分析�,對內(nèi)容進行搜索,/,匹配。,它能夠檢測各種不同的攻擊方式����,對攻擊進行實時報警。,Snort,可以運行在*,nix/Win32,平臺上����。,工作原理,在基于,共享網(wǎng)絡(luò),上檢測原始的網(wǎng)絡(luò)傳輸數(shù)據(jù),通過,分析,捕獲的數(shù)據(jù)包�����,,匹配,入侵行為的特征或者從網(wǎng)絡(luò)活動的角度,檢測,異常行為����,進而采取入侵的,預(yù)警,或,記錄,���。屬于,基于誤用,的檢測。,初始化,解析命令行,解析規(guī)則庫,打開,libpcap,接口,獲取數(shù)據(jù)包,解析數(shù)據(jù)包,生成二維鏈表,與二維鏈表某,節(jié)點匹配����?,響應(yīng),(報警、日志),是,否,Snort,工作流程圖,3.4,入侵檢測系統(tǒng)的應(yīng)用,實例,分支機構(gòu),2,INTERNET,分支機構(gòu),1,NEsec300 FW,2,0,3,5,9,6,8,?,告,警,內(nèi)網(wǎng)接口,外網(wǎng)接口,電,源,內(nèi)部核心子網(wǎng),NEsec300 FW,2,0,3,5,9,6,8,?,告,警,內(nèi)網(wǎng)接口,外網(wǎng)接口,電,源,NEsec300 FW,2,0,3,5,9,6,8,?,告,警,內(nèi)網(wǎng)接口,外網(wǎng)接口,電,源,NEsec300 FW,2,0,3,5,9,6,8,?,告,警,內(nèi)網(wǎng)接口,外網(wǎng)接口,電,源,交換機,安全網(wǎng)關(guān),SG1,安全網(wǎng)關(guān),SG2,安全網(wǎng)關(guān),SG3,路由器,路由器,路由器,安全管理器,安全認證服務(wù)器,網(wǎng)絡(luò)入侵檢測探頭,網(wǎng)絡(luò)入侵策略管理器,4.,安全審計基礎(chǔ),為何我們需要安全審計���?,一旦我們采用的防御體系被突破怎么辦?至少我們必須知道系統(tǒng)是怎樣遭到攻擊的�,這樣才能恢復(fù)系統(tǒng),此外我們還要知道系統(tǒng)存在什么漏洞�,如何能使系統(tǒng)在受到攻擊時有所察覺,如何獲取攻擊者留下的證據(jù)�。網(wǎng)絡(luò)安全審計的概念就是在這樣的需求下被提出的,它相當于飛機上使用的“黑匣子”��。,網(wǎng)絡(luò)安全審計系統(tǒng)能幫助我們對網(wǎng)絡(luò)安全進行,實時監(jiān)控,�,及時發(fā)現(xiàn)整個網(wǎng)絡(luò)上的動態(tài),發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為���,忠實,記錄,網(wǎng)絡(luò)上發(fā)生的一切���,提供取證手段���。它是保證網(wǎng)絡(luò)安全十分重要的一種手段。,CC,標準中的網(wǎng)絡(luò)安全審計功能定義,網(wǎng)絡(luò)安全審計包括識別�����、記錄����、存儲、分析與安全相關(guān)行為有關(guān)的信息��。在,CC,標準中對網(wǎng)絡(luò)審計定義了一套完整的功能���,有:,安全審計自動響應(yīng),安全審計數(shù)據(jù)生成,安全審計分析,安全審計瀏覽,安全審計事件存儲,安全審計事件選擇,4.1,安全審計系統(tǒng),網(wǎng)絡(luò)層審計,系統(tǒng)層審計,應(yīng)用層審計,TCP/IP�����、ATM,UNIX����、Windows 9x/NT��、ODBC,審計總控,CA,發(fā)證操作,主頁更新監(jiān)視,網(wǎng)絡(luò)安全審計層次結(jié)構(gòu)圖,4.3,參考標準,ISO 7498-2,ISO7498-2,描述了如何確保站點安全和實施有效的審計計劃�����。它是第一篇論述如何系統(tǒng)的達到網(wǎng)絡(luò)安全的文章,大家可以從:,WWW.ISO.CH,獲得更多的,ISO,標準的消息�。,英國標準,7799,(,BS 7799,),BS 7799,文檔的標題是,A Code of Practice For Information Security Management,,論述了如何確保網(wǎng)絡(luò)系
個人主頁