《信息安全原理》-第4章信息系統(tǒng)安全監(jiān)控.ppt

第4章信息系統(tǒng)安全監(jiān)控 從安全性的角度看 所有試圖破壞系統(tǒng)安全性的行為都稱為攻擊 入侵就是成功的攻擊 當一次入侵是成功的時候 一次入侵就發(fā)生了 或著說 系統(tǒng)藉以保障安全的第一道防線已經(jīng)被攻破了 所以 只從防御的角度被動地構筑安全系統(tǒng)是不夠的 安全監(jiān)控是從一種積極的防御措施 它通過對系統(tǒng)中所發(fā)生的現(xiàn)象的記錄 分析系統(tǒng)出現(xiàn)了什么異常 以便采取相應的對策 本章結構 4 1入侵檢測系統(tǒng)概述 4 2入侵檢測系統(tǒng)的基本結構 4 3入侵檢測系統(tǒng)的實現(xiàn) 4 4入侵檢測系統(tǒng)的標準化 4 5網(wǎng)絡誘騙 4 6安全審計 習題 4 1入侵檢測系統(tǒng)概述 入侵檢測 IntrusionDetectionSystem IDS 就是一種主動安全保護技術 入侵檢測像雷達警戒一樣 在不影響網(wǎng)絡性能的前提下 對網(wǎng)絡進行警戒 監(jiān)控 從計算機網(wǎng)絡的若干關鍵點收集信息 通過分析這些信息 看看網(wǎng)絡中是否有違反安全策略的行為和遭到攻擊的跡象 從而擴展了系統(tǒng)管理員的安全管理能力 提高了信息安全基礎結構的完整性 4 1 1入侵檢測與入侵檢測系統(tǒng) IDS是對計算機和網(wǎng)絡系統(tǒng)資源上的惡意使用行為進行識別和響應的處理 它最早于1980年4月由JamesP Anderson在為美國空軍起草的技術報告 ComputerSecurityThreatMonitoringandSurveillance 計算機安全威脅監(jiān)控與監(jiān)視 中提出 他提出了一種對計算機系統(tǒng)風險和威脅的分類方法 將威脅分為外部滲透 內部滲透和不法行為 提出了利用審計跟蹤數(shù)據(jù) 監(jiān)視入侵活動的思想 相關概念 入侵 Intrusion 是一個廣義的概念 不僅包括發(fā)起攻擊的人 包括黑客 取得超出合法權限的行為 也包括收集漏洞信息 造成拒絕訪問 DenialofService 等對系統(tǒng)造成危害的行為 入侵檢測 IntrusionDetection 就是對入侵行為的發(fā)覺 它通過對計算機網(wǎng)絡等信息系統(tǒng)中若干關鍵點的有關信息的收集和分析 從中發(fā)現(xiàn)系統(tǒng)中是否存在有違反安全規(guī)則的行為和被攻擊的跡象 入侵檢測系統(tǒng) IntrusionDetectionSystem IDS 就是進行入侵檢測的軟件和硬件的組合 入侵檢測作為一種積極主動的安全防護技術 提供了對內部攻擊 外部攻擊和誤操作的實時保護 被認為是防火墻后面的第二道安全防線 入侵檢測系統(tǒng)的主要功能 具體說來 入侵檢測系統(tǒng)的主要功能有 監(jiān)視并分析用戶和系統(tǒng)的行為 審計系統(tǒng)配置和漏洞 評估敏感系統(tǒng)和數(shù)據(jù)的完整性 識別攻擊行為 對異常行為進行統(tǒng)計 自動收集與系統(tǒng)相關的補丁 審計 識別 跟蹤違反安全法規(guī)的行為 使用誘騙服務器記錄黑客行為 4 1 2實時入侵檢測和事后入侵檢測 實時入侵檢測 實時入侵檢測在網(wǎng)絡的連接過程中進行 通過攻擊識別模塊對用戶當前的操作進行分析 一旦發(fā)現(xiàn)攻擊跡象就轉入攻擊處理模塊 如立即斷開攻擊者與主機的連接 收集證據(jù)或實施數(shù)據(jù)恢復等 如圖4 1所示 這個檢測過程是反復循環(huán)進行的 圖4 1實時入侵檢測過程 事后入侵檢測 事后入侵檢測是根據(jù)計算機系統(tǒng)對用戶操作所做的歷史審計記錄 判斷是否發(fā)生了攻擊行為 如果有 則轉入攻擊處理模塊處理 事后入侵檢測通常由網(wǎng)絡管理人員定期或不定期地進行的 圖4 2為事后入侵檢測的過程 圖4 2事后入侵檢測的過程 4 1 3入侵檢測系統(tǒng)模型 1 IDES模型 1980年JamesP Anderson為美國空軍起草的技術報告 ComputerSecurityThreatMonitoringandSurveillance 僅僅提出了關于入侵檢測一些概念 1984年到1986年間 喬治敦大學的DorothyDenning和SRI CSI SRI公司的計算機科學實驗室 的PeterNeumann研究出了一個如圖4 3所示的實時入侵檢測系統(tǒng)模型IDES 入侵檢測專家系統(tǒng) 圖4 3Denning的IDES模型 這個模型的結構特點 事件產(chǎn)生器從審計記錄 網(wǎng)絡數(shù)據(jù)包以及其他可視行為中獲取事件 構成檢測的基礎 行為特征表是整個檢測系統(tǒng)的核心 它包含了用于計算用戶行為特征的所有變量 這些變量可以根據(jù)具體采用的統(tǒng)計方法以及事件記錄中的具體動作模式定義 并根據(jù)匹配上的記錄數(shù)據(jù)進行變量值的更新 一旦有統(tǒng)計變量的值達到了異常程度 行為特征表即產(chǎn)生異常記錄 并采取相應的措施 規(guī)則模塊可以由系統(tǒng)安全策略 入侵模式等贊成 它一方面為判斷是否入侵提供參考標準 另一方面 可以根據(jù)事件記錄 異常記錄以及有效日期等控制并更新其他模塊的狀態(tài) 這個模型還獨立于特定的系統(tǒng)平臺 應用環(huán)境和入侵類型 為構建入侵檢測系統(tǒng)提供了一個通用框家 IDES模型的改進 1988年 SRI CSI的TeresaLuunt等人改進了Denning的模型 開發(fā)出了如圖4 4所示的IDES 該系統(tǒng)包括一個異常檢測器 用于統(tǒng)計異常模型建立 和一個策略規(guī)則專家系統(tǒng) 基于規(guī)則的特征分析檢測 審計數(shù)據(jù)源 模式匹配器 輪廓特征引擎 異常檢測器 策略規(guī)則 警告 報告產(chǎn)生器 圖4 4IDES結構框架 2 DIDS模型 1988年 莫里斯蠕蟲的爆發(fā) 引起了軍界 學者和企業(yè)界對網(wǎng)絡安全的高度重視 美國空軍 國家安全局和能源部共同資助空軍密碼支持中心 勞掄斯利弗摩爾國家實驗室 加州大學分校 Haystack實驗室開展對分布式入侵檢測系統(tǒng) DIDS 的研究 DIDS將基于主機和基于網(wǎng)絡的檢測方法集成到一起 形成如圖4 5所示的模型 DIDS檢測模型采用了分層結構 包括了數(shù)據(jù) 時間 主體 上下文 威脅 安全狀態(tài)等6層 成為分布式入侵檢測系統(tǒng)發(fā)展史上的一個里程碑 圖4 5DIDS結構框架 4 1 4入侵檢測系統(tǒng)的優(yōu)點及其局限 1 優(yōu)點 采用入侵檢測系統(tǒng)和漏洞評估工具帶來的好處有如下一些 提高了信息系統(tǒng)安全體系其他部分的完整性 提高了系統(tǒng)的監(jiān)察能力 可以跟蹤用戶從進入到退出的所有活動或影響 能夠識別并報告數(shù)據(jù)文件的改動 可以發(fā)現(xiàn)系統(tǒng)配置的錯誤 并能在必要時予以改正 可以識別特定類型的攻擊 并進行報警 作出防御響應 可以使管理人員最新的版本升級添加到程序中 允許非專業(yè)人員從事系統(tǒng)安全工作 可以為信息系統(tǒng)安全提供指導 2 局限 但是 與其他任何工具一樣 入侵檢測也不是萬能的 它們的使用存在如下局限 在無人干預的情形下 無法執(zhí)行對攻擊的檢測 無法感知組織 公司 安全策略的內容 不能彌補網(wǎng)絡協(xié)議的漏洞 不能彌補系統(tǒng)提供信息的質量或完整性問題 不能分析網(wǎng)絡繁忙時的所有事物 不能總是對數(shù)據(jù)包級的攻擊進行處理 4 2入侵檢測系統(tǒng)的基本結構 入侵檢測是防火墻的合理補充 幫助系統(tǒng)對付來自外部或內部的攻擊 擴展了系統(tǒng)管理員的安全管理能力 如安全審計 監(jiān)視 攻擊識別及其響應 提高了信息安全基礎結構的完整性 如圖4 6所示 入侵檢測系統(tǒng)的主要工作就是從信息系統(tǒng)的若干關鍵點上收集信息 然后分析這些信息 用來得到網(wǎng)絡中有無違反安全策略的行為和遭到襲擊的跡象 圖4 6入侵檢測系統(tǒng)的通用模型 入侵檢測系統(tǒng)這個模型比較粗略 但是它表明數(shù)據(jù)收集 數(shù)據(jù)分析和處理響應是一個入侵檢測系統(tǒng)的最基本部件 4 2 1信息收集 1 數(shù)據(jù)收集的內容 入侵檢測的第一步是在信息系統(tǒng)的一些關鍵點上收集信息 這些信息就是入侵檢測系統(tǒng)的輸入數(shù)據(jù) 入侵檢測系統(tǒng)收集的數(shù)據(jù)一般有如下4個方面 1 主機和網(wǎng)絡日志文件 2 目錄和文件中的不期望的改變 3 程序執(zhí)行中的不期望行為 4 物理形式的入侵信息 1 主機和網(wǎng)絡日志文件 主機和網(wǎng)絡日志文件中記錄了各種行為類型 每種行為類型又包含不同的信息 例如記錄 用戶活動 類型的日志 就包含登錄 用戶ID改變 用戶對文件的訪問 授權和認證信息等內容 這些信息包含了發(fā)生在主機和網(wǎng)絡上的不尋常和不期望活動的證據(jù) 留下黑客的蹤跡 通過查看日志文件 能夠發(fā)現(xiàn)成功的入侵或入侵企圖 并很快地啟動響應的應急響應程序 因此 充分利用主機和網(wǎng)絡日志文件信息是檢測入侵的必要條件 2 目錄和文件中的不期望的改變 網(wǎng)絡環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件 包含重要信息的文件和私密數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標 黑客經(jīng)常替換 修改和破壞他們獲得訪問權的系統(tǒng)上的文件 同時為了隱蔽系統(tǒng)中他們的活動痕跡 還會盡力替換系統(tǒng)程序或修改系統(tǒng)日志文件 因此 目錄和文件中的不期望的改變 包括修改 創(chuàng)建和刪除 特別是那些正常情況下限制訪問的對象 往往就是入侵產(chǎn)生的指示和信號 3 程序執(zhí)行中的不期望行為 每個在系統(tǒng)上執(zhí)行的程序由一到多個進程來實現(xiàn) 每個進程都運行在特定權限的環(huán)境中 的行為由它運行時執(zhí)行的操作來表現(xiàn) 這種環(huán)境控制著進程可訪問的系統(tǒng)資源 程序和數(shù)據(jù)文件等 操作執(zhí)行的方式不同 利用的系統(tǒng)資源也就不同 操作包括計算 文件傳輸 設備以及與網(wǎng)絡間其它進程的通訊 黑客可能會將程序或服務的運行分解 從而導致它的失敗 或者是以非用戶或管理員意圖的方式操作 因此 一個進程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng) 4 物理形式的入侵信息 黑客總是想方設法 如通過網(wǎng)絡上的由用戶私自加上去的不安全 未授權設備 去突破網(wǎng)絡的周邊防衛(wèi) 以便能夠在物理上訪問內部網(wǎng) 在內部網(wǎng)上安裝他們自己的設備和軟件 例如 用戶在家里可能安裝Modem以訪問遠程辦公室 那么這一撥號訪問就成了威脅網(wǎng)絡安全的后門 黑客就會利用這個后門來訪問內部網(wǎng) 從而越過了內部網(wǎng)絡原有的防護措施 然后捕獲網(wǎng)絡流量 進而攻擊其它系統(tǒng) 并偷取敏感的私有信息等等 2 入侵檢測系統(tǒng)的數(shù)據(jù)收集機制 準確性 可靠性和效率是入侵檢測系統(tǒng)數(shù)據(jù)收集機制基本指標 在IDS中占據(jù)著舉足輕重的位置 如果收集的數(shù)據(jù)時延較大 檢測就會失去作用 如果數(shù)據(jù)不完整 系統(tǒng)的檢測能力就會下降 如果由于錯誤或入侵者的行為致使收集的數(shù)據(jù)不正確 IDS就會無法檢測某些入侵 給用戶以安全的假象 1 基于主機的數(shù)據(jù)收集和基于網(wǎng)絡的數(shù)據(jù)收集 基于主機的IDS是在每臺要保護的主機后臺運行一個代理程序 檢測主機運行日志中記錄的未經(jīng)授權的可疑行徑 檢測正在運行的進程是否合法并及時做出響應 基于網(wǎng)絡的入侵檢測系統(tǒng)是在連接過程中監(jiān)視特定網(wǎng)段的數(shù)據(jù)流 查找每一數(shù)據(jù)包內隱藏的惡意入侵 對發(fā)現(xiàn)的入侵做出及時的響應 在這種系統(tǒng)中 使用網(wǎng)絡引擎執(zhí)行監(jiān)控任務 如圖4 7所示 網(wǎng)絡引擎所處的位置決定了所監(jiān)控的網(wǎng)段 圖4 7基于網(wǎng)絡的IDS中網(wǎng)絡引擎的配置 如圖4 7所示 網(wǎng)絡引擎所處的位置決定了所監(jiān)控的網(wǎng)段 網(wǎng)絡引擎配置在防火墻內 可以監(jiān)測滲透過防火墻的攻擊 網(wǎng)絡引擎配置在防火墻外的非軍事區(qū) 可以監(jiān)測對防火墻的攻擊 網(wǎng)絡引擎配置在內部網(wǎng)絡的各臨界網(wǎng)段 可以監(jiān)測內部的攻擊 控制臺用于監(jiān)控全網(wǎng)絡的網(wǎng)絡引擎 為了防止假扮控制臺入侵或攔截數(shù)據(jù) 在控制臺與網(wǎng)絡引擎之間應創(chuàng)建安全通道 基于網(wǎng)絡的入侵檢測系統(tǒng)主要用于實時監(jiān)控網(wǎng)絡關鍵路徑 它的隱蔽性好 視野寬 偵測速度快 占用資源少 實施簡便 并且還可以用單獨的計算機實現(xiàn) 不增加主機負擔 但難于發(fā)現(xiàn)所有數(shù)據(jù)包 對于加密環(huán)境無能為力 用在交換式以太網(wǎng)上比較困難 基于主機的IDS提供了基于網(wǎng)絡的IDS不能提供的一些功能 如二進制完整性檢查 記錄分析和非法進程關閉等 同時由于不受交換機隔離的影響 在交換網(wǎng)絡中非常有用 但是它對網(wǎng)絡流量不敏感 并且由于運行在后臺 不能訪問被保護系統(tǒng)的核心功能 不能將攻擊阻擋在協(xié)議層之外 它的內在結構沒有任何束縛 并可以利用操作系統(tǒng)提供的功能 結合異常分析 較準確地報告攻擊行為 而不是根據(jù)網(wǎng)上收集到的數(shù)據(jù)包去猜測發(fā)生的事件 但是它們往往要求為不同的平臺開發(fā)不同的程序 從而增加了主機的負擔 總地看來 單純地使用基于主機的入侵檢測或基于網(wǎng)絡的入侵檢測 都會造成主動防御體系的不全面 但是 由于它們具有互補性 所以將兩種產(chǎn)品結合起來 無縫地部署在網(wǎng)絡內 就會構架成綜合了兩者優(yōu)勢的主動防御體系 即可以發(fā)現(xiàn)網(wǎng)段中的攻擊信息 又可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況 這種系統(tǒng)一般為分布式 由多個部件組成 基于主機和基于網(wǎng)絡的數(shù)據(jù)收集之間的比較 2 分布式與集中式數(shù)據(jù)收集機制 分布式IDS收集的數(shù)據(jù)來自一些固定位置 而與受監(jiān)視的網(wǎng)元數(shù)量無關 集中式IDS收集的數(shù)據(jù)來自一些與受監(jiān)視的網(wǎng)元數(shù)量有一定比例關系的位置 3 直接監(jiān)控和間接監(jiān)控 IDS從它所監(jiān)控的對象處直接獲得數(shù)據(jù) 則稱為直接監(jiān)控 反之 如果IDS依賴一個單獨的進程或工具獲得數(shù)據(jù) 則稱為間接監(jiān)控 就檢測入侵行為而言 直接監(jiān)控要優(yōu)于間接監(jiān)控 因為 從非直接數(shù)據(jù)源獲取的數(shù)據(jù)在被IDS使用之前 入侵者還有進行修改的潛在機會 非直接數(shù)據(jù)源可能無法記錄某些事件 例如它無法訪問監(jiān)視對象的內部信息 在間接監(jiān)控中 數(shù)據(jù)一般都是通過某種機制 如編寫審計代碼 生成的 但這些機制并不IDS的具體要求 因而從間接數(shù)據(jù)源獲得的數(shù)據(jù)量要比從直接數(shù)據(jù)源大得多 并且間接監(jiān)控機制的可伸縮性小 一旦主機及其內部被監(jiān)控要素增加 過濾數(shù)據(jù)的開銷會降低監(jiān)控主機的性能 間接數(shù)據(jù)源的數(shù)據(jù)從產(chǎn)生到IDS訪問之間有一個時延 但是由于直接監(jiān)控操作的復雜性 目前的IDS產(chǎn)品中只有不足20 使用了直接監(jiān)控機制 直接監(jiān)控和間接監(jiān)控之間的比較 4 外部探測器和內部探測器 外部探測器的監(jiān)控組件 程序 獨立于被監(jiān)測個組件 硬件或軟件 實現(xiàn) 內部探測器的監(jiān)控組件 程序 附加于被監(jiān)測個組件 硬件或軟件 實現(xiàn) 表4 1給出了它們的優(yōu)缺點比較 表4 1外部探測器和內部探測器的優(yōu)缺點 4 2 2數(shù)據(jù)分析 數(shù)據(jù)分析是IDS的核心 它的功能就是對從數(shù)據(jù)源提供的系統(tǒng)運行狀態(tài)和活動記錄進行同步 整理 組織 分類以及各種類型的細致分析 提取其中包含的系統(tǒng)活動特征或模式 用于對正常和異常行為的判斷 入侵檢測系統(tǒng)的數(shù)據(jù)分析技術依檢測目標和數(shù)據(jù)屬性 分為異常發(fā)現(xiàn)技術和模式發(fā)現(xiàn)技術兩大類 最近幾年還出現(xiàn)了一些通用的技術 下面分別介紹 1 異常發(fā)現(xiàn)技術 異常發(fā)現(xiàn)技術用在基于異常檢測的IDS中 如圖4 8所示 在這類系統(tǒng)中 觀測到的不是已知的的入侵行為 而是所監(jiān)視通信系統(tǒng)中的異?，F(xiàn)象 如果建立了系統(tǒng)的正常行為軌跡 則在理論上就可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖 由于正常情況具有一定的范圍 因此正確地選擇異常閾值和特征 決定何種程度才是異常 是異常發(fā)現(xiàn)技術的關鍵 異常檢測只能檢測出那些與正常過程具有較大偏差的行為 由于對各種網(wǎng)絡環(huán)境的適應性較弱 且缺乏精確的判定準則 異常檢測有可能出現(xiàn)虛報現(xiàn)象 圖4 8異常檢測模型 異常發(fā)現(xiàn)技術分類 異常發(fā)現(xiàn)技術包括表4 2所示的一些 其中 自學習系統(tǒng)通過學習事例構建正常行為模型 又可分為時序和非時序兩種 可編程系統(tǒng)需要通過程序測定異常事件 讓用戶知道哪些是足以破壞系統(tǒng)安全的異常行為 又可分為描述統(tǒng)計和缺省否定兩類 表4 2異常發(fā)現(xiàn)技術 2 模式發(fā)現(xiàn)技術 模式發(fā)現(xiàn)又稱特征檢測或濫用檢測 如圖4 9所示 它們是基于已知系統(tǒng)缺陷和入侵模式 即事先定義了一些非法行為 然后將觀察現(xiàn)象與之比較做出判斷 這種技術可以準確地檢測具有某些特征的攻擊 但是由于過度依賴實現(xiàn)定義好的安全策略 而無法檢測系統(tǒng)未知的攻擊行為 因而可能產(chǎn)生漏報 模式發(fā)現(xiàn)技術通過對確知的決策規(guī)則編程實現(xiàn) 常用的技術有如下4種 圖4 9誤用檢測模型 常用的模式發(fā)現(xiàn)技術 模式發(fā)現(xiàn)技術通過對確知的決策規(guī)則編程實現(xiàn) 常用的技術有如下4種 1 狀態(tài)建模 狀態(tài)建模將入侵行為表示成許多個不同的狀態(tài) 如果在觀察某個可疑行為期間 所有狀態(tài)都存在 則判定為惡意入侵 狀態(tài)建模從本質上來講是時間序列模型 可以再細分為狀態(tài)轉換和Petri網(wǎng) 前者將入侵行為的所有狀態(tài)形成一個簡單的遍歷鏈 后者將所有的狀態(tài)構成一個更廣義的樹形結構的Petri網(wǎng) 2 串匹配 串匹配通過對系統(tǒng)之間傳輸?shù)幕蛳到y(tǒng)自身產(chǎn)生的文本進行子串匹配實現(xiàn) 該方法靈活性欠差 但易于理解 目前有很多高效的算法 其執(zhí)行速度很快 3 專家系統(tǒng) 專家系統(tǒng)可以在給定入侵行為描述規(guī)則的情況下 對系統(tǒng)的安全狀態(tài)進行推理 一般情況下 專家系統(tǒng)的檢測能力強大 靈活性也很高 但計算成本較高 通常以降低執(zhí)行速度為代價 4 基于簡單規(guī)則 類似于專家系統(tǒng) 但相對簡單一些 執(zhí)行速度快 3 混合檢測 近幾年來 混合檢測日益受到人們的重視 這類檢測在做出決策之前 既分析系統(tǒng)的正常行為 同時還觀察可疑的入侵行為 所以判斷更全面 準確 可靠 它通常根據(jù)系統(tǒng)的正常數(shù)據(jù)流背景來檢測入侵行為 故也有人稱其為 啟發(fā)式特征檢測 屬于這類檢測的技術有 人工免疫方法 遺傳算法 數(shù)據(jù)挖掘 4 2 3入侵檢測系統(tǒng)的特征庫 IDS要有效地捕捉入侵行為 必須擁有一貫強大的入侵特征 signature 數(shù)據(jù)庫 這就如同公安部門必須擁有健全的罪犯信息庫一樣 IDS中的特征就是指用于判別通訊信息種類的樣板數(shù)據(jù) 通常分為多種 以下是一些典型情況及其識別方法 IDS中特征的典型情況及其識別方法 來自保留IP地址的連接企圖 可通過檢查IP報頭 IPheader 的來源地址識別 帶有非法TCP標志聯(lián)合物的數(shù)據(jù)包 可通過TCP報頭中的標志集與已知正確和錯誤標記聯(lián)合物的不同點來識別 含有特殊病毒信息的Email 可通過對比每封Email的主題信息和病態(tài)Email的主題信息來識別 或者通過搜索特定名字的外延來識別 查詢負載中的DNS緩沖區(qū)溢出企圖 可通過解析DNS域及檢查每個域的長度來識別 另外一個方法是在負載中搜索 殼代碼利用 exploitshellcode 的序列代碼組合 對POP3服務器大量發(fā)出同一命令而導致DoS攻擊 通過跟蹤記錄某個命令連續(xù)發(fā)出的次數(shù) 看看是否超過了預設上限 而發(fā)出報警信息 未登錄情況下使用文件和目錄命令對FTP服務器的文件訪問攻擊 通過創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的FTP對話 發(fā)現(xiàn)未經(jīng)驗證卻發(fā)命令的入侵企圖 顯然 特征的涵蓋范圍很廣 有簡單的報頭域數(shù)值 有高度復雜的連接狀態(tài)跟蹤 有擴展的協(xié)議分析 此外 不同的IDS產(chǎn)品具有的特征功能也有所差異 例如 有些網(wǎng)絡IDS系統(tǒng)只允許很少地定制存在的特征數(shù)據(jù)或者編寫需要的特征數(shù)據(jù) 另外一些則允許在很寬的范圍內定制或編寫特征數(shù)據(jù) 甚至可以是任意一個特征 一些IDS系統(tǒng) 只能檢查確定的報頭或負載數(shù)值 另外一些則可以獲取任何信息包的任何位置的數(shù)據(jù) 4 2 4響應 早期的入侵檢測系統(tǒng)的研究和設計 把主要精力放在對系統(tǒng)的監(jiān)控和分析上 而把響應的工作交給用戶完成 現(xiàn)在的入侵檢測系統(tǒng)都提供有響應模塊 并提供主動響應和被動響應兩種響應方式 一個好的入侵檢測系統(tǒng)應該讓用戶能夠裁減定制其響應機制 以符合特定的需求環(huán)境 1 主動響應 在主動響應系統(tǒng)中 系統(tǒng)將自動或以用戶設置的方式阻斷攻擊過程或以其他方式影響攻擊過程 通?？梢赃x擇的措施有 針對入侵者采取的措施 修正系統(tǒng) 收集更詳細的信息 2 被動響應 在被動響應系統(tǒng)中 系統(tǒng)只報告和記錄發(fā)生的事件 4 3入侵檢測系統(tǒng)的實現(xiàn) 4 3 1入侵檢測系統(tǒng)的設置 網(wǎng)絡安全需要各個安全設備的協(xié)同工作和正確設置 由于入侵檢測系統(tǒng)位于網(wǎng)絡體系中的高層 高層應用的多樣性導致了入侵檢測系統(tǒng)分析的復雜性和對計算資源的高需求 在這種情形下 對入侵檢測設備進行合理的優(yōu)化設置 可以使入侵檢測系統(tǒng)更有效的運行 圖4 10是入侵檢測系統(tǒng)設置的基本過程 可以看出 入侵檢測系統(tǒng)的設置需要經(jīng)過多次回溯 反復調整 4 3 2入侵檢測系統(tǒng)的部署 入侵檢測器是入侵檢測系統(tǒng)的核心 入侵檢測器部署的位置 直接影響入侵檢測系統(tǒng)的工作性能 在規(guī)劃一個入侵檢測系統(tǒng)時 首先要考慮入侵檢測器的部署位置 顯然 在基于網(wǎng)絡的入侵檢測系統(tǒng)中和在基于主機的入侵檢測系統(tǒng)中 部署的策略不同 1 在基于網(wǎng)絡的入侵檢測系統(tǒng)中部署入侵檢測器 基于網(wǎng)絡的入侵檢測系統(tǒng)主要檢測網(wǎng)絡數(shù)據(jù)報文 因此一般將檢測器部署在靠近防火墻的地方 具體做法有如圖4 11所示的幾個位置 1 DMZ區(qū) 在這里 可以檢測到的攻擊行為是 所有針對向外提供服務的服務器的攻擊 由于DMZ中的服務器是外部可見的 因此在這里檢測最為需要 同時 由于DMZ中的服務器有限 所以針對這些服務器的檢測 可以使入侵檢測器發(fā)揮最大優(yōu)勢 但是 在DNZ中 檢測器會暴露在外部 而失去保護 遭受攻擊 導致無法工作 2 內網(wǎng)主干 防火墻內側 將檢測器放到防火墻的內側 有如下幾點好處 檢測器比放在DMZ中安全 所檢測到的都是已經(jīng)滲透過防火墻的攻擊行為 從中可以有效地發(fā)現(xiàn)防火墻配置的失誤 可以檢測到內部可信用戶的越權行為 由于受干擾的機會少 報警幾率也少 3 外網(wǎng)入口 防火墻外側 優(yōu)勢是 可以對針對目標網(wǎng)絡的攻擊進行計數(shù) 并記錄最為原始的數(shù)據(jù)包 可以記錄針對目標網(wǎng)絡的攻擊類型 但是 不能定位攻擊的源和目的地址 系統(tǒng)管理員在處理攻擊行為上也有難度 4 在防火墻的內外都放置 這種位一置可以檢測到內部攻擊 又可以檢測到外部攻擊 并且無需猜測攻擊是否穿越防火墻 但是 開銷較大 在經(jīng)費充足的情況下是最理想的選擇 5 關鍵子網(wǎng) 這個位置可以檢測到對系統(tǒng)關鍵部位的攻擊 將有限的資源用在最值得保護的地方 獲得最大效益 投資比 2 在基于主機的入侵檢測系統(tǒng)中部署入侵檢測器 基于主機的入侵檢測系統(tǒng)通常是一個程序 在基于網(wǎng)絡的入侵檢測器的部署和配置完成后 基于主機的入侵檢測將部署在最重要 最需要保護的主機上 4 3 3報警策略 檢測到入侵行為需要報警 具體報警的內容和方式 需要根據(jù)整個網(wǎng)絡的環(huán)境和安全需要確定 例如 對一般性服務企業(yè) 報警集中在已知的有威脅的攻擊行為上 對關鍵性服務企業(yè) 需要盡將可能多的報警記錄并對部分認定的報警進行實時反饋 4 3 4入侵檢測產(chǎn)品的選擇 1 購買入侵檢測系統(tǒng)考慮的基本因素 實時性 自動反應能力 能檢測到所有事件 不會發(fā)生遺漏警報 跨平臺性好 能在多種平臺上運行 2 理想的入侵檢測系統(tǒng)的幾個特點 快速控制 良好的誤報警管理 顯示過濾器 標志已經(jīng)分析過的事件 層層探究的能力 關聯(lián)分析能力 報告能力 4 4入侵檢測系統(tǒng)的標準化 為了提高IDS產(chǎn)品 組件及與其他安全產(chǎn)品之間的互操作性和互用性 美國國防高級研究計劃暑 DARPA 和互聯(lián)網(wǎng)工程任務組 IETF 的入侵檢測工作組 IDWG 發(fā)起制定了一系列建議草案 從體系結構 API 通訊機制 語言格式等方面規(guī)范IDS的標準 4 4 1公共入侵檢測框架 CIDF CommonIntrusionDetectionFramework 公共入侵檢測框架 是DARPA從1997年3月就開始制定的一套規(guī)范 最早由加州大學戴維斯分校安全實驗室主持起草工作 它定義了IDS表達檢測信息的標準語言以及IDS組件之間的通信協(xié)議 使各種IDS可以協(xié)同工作 實現(xiàn)各IDS之間的組件重用 被作為構建分布式IDS的基礎 CIDF的規(guī)格文檔主要包括四部分 IDS的通信機制 體系結構 CISL CommonIntrusionSpecificationLanguage 通用入侵描述語言 和應用編程接口API 1 CIDF的通信機制 CIDF將通信機制構成一個三層模型 GIDO GeneralizedIntrusionDetectionObject 通用入侵檢測對象 層 它把部件間交換的數(shù)據(jù)形式都做了詳細的定義 統(tǒng)稱為Gidos并用CISL描述 以使IDS理解 消息層 負責對信息加密認證 不關心傳輸?shù)膬热?只負責建立一個可靠的傳輸通道 確保被加密認證消息在防火墻或NAT等設備之間傳輸過程中的可靠性 同樣 GIDO層也只考慮所傳遞信息的語義 而不關心這些消息怎樣被傳遞 協(xié)商傳輸層 協(xié)商傳輸層不屬于CIDF規(guī)范 可以采用多種現(xiàn)有的傳輸機制實現(xiàn) 但是 單一的傳輸協(xié)議無法滿足CIDF各種各樣的應用需求 只有當兩個特定的組件對信道使用達成一致認識時 才能進行通信 協(xié)商傳輸層規(guī)定GIDO在各個組件之間的傳輸機制 1 CIDF組件間的通信結構 2 CIDF的通信機制的功能及其實現(xiàn) CIDF的通信機制主要解決兩個問題 保證CIDFD的組件能安全 正確地與其他組件建立連接 包括定位和鑒別 連接建立后 組件能有效地進行通信 這兩個功能通過中介服務和消息層法實現(xiàn) 中介服務 中介服務 MatchmakingService 通過中介代理專門負責提供查詢其他CIDF組件集的服務 這是為CIDF各組件之間的相互識別 定位和信息共享提供了一個統(tǒng)一的標準機制 它大大提高了組件的互操作性 降低了開發(fā)多組件入侵檢測與響應系統(tǒng)的難度 通常是基于一個大型目錄服務LDAP LightweightDirectoryProtocol 輕量級目錄訪問協(xié)議 每個組件都要通過該目錄服務進行注冊 并通告其他組件它所使用或產(chǎn)生的GIDO類型 在此基礎上 組件才能被歸入它所屬的類別中 組件之間才能互相通信 目錄中還可以存放組件的公共密鑰 實現(xiàn)對組件接收和發(fā)送GIDO時的身份認證 消息層法 消息層法 消息層利用消息格式中的選項 在客戶端與服務器端握手階段就可以完成提供路由信息追蹤 數(shù)據(jù)加密和認證等功能 從而在易受攻擊的環(huán)境中實現(xiàn)了一種安全 保密 可信 完整 并可靠的信息交互機制 具體地說 消息層可以做到 使通信與阻塞和非阻塞處理無關 使通信與數(shù)據(jù)格式無關 使通信與操作系統(tǒng)無關 使通信與編程語言無關 2 CIDF的體系結構 CIDF在IDES和NIDES的基礎上提出了一個通用模型 將入侵檢測系統(tǒng)分為圖4 12所示的4個基本組件 事件產(chǎn)生器 事件分析器 響應單元和事件數(shù)據(jù)庫 其中 事件產(chǎn)生器 事件分析器和響應單元通常表現(xiàn)為應用程序的形式 而事件數(shù)據(jù)庫則往往是文件或數(shù)據(jù)流的形式 許多IDS廠商則以數(shù)據(jù)收集器 數(shù)據(jù)分析器和控制臺三個術語來分別代替事件產(chǎn)生器 事件分析器和響應單元 CIDF將IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件 它可以是網(wǎng)絡中的數(shù)據(jù)包 也可以是從系統(tǒng)日志或其他途徑得到的信息 圖4 12CIDF的體系結構 1 事件產(chǎn)生器 事件產(chǎn)生器的任務是從入侵檢測系統(tǒng)之外的整個計算環(huán)境中收集事件 并將這些事件轉換成CIDF的GIDO格式傳送給其他組件 例如 事件產(chǎn)生器可以是讀取C2級審計蹤跡并將其轉換為GIDO格式的過濾器 也可以是被動地監(jiān)視網(wǎng)絡并根據(jù)網(wǎng)絡數(shù)據(jù)流產(chǎn)生事件的另一種過濾器 還可以是SQL數(shù)據(jù)庫中產(chǎn)生描述事務的事件的應用代碼 2 事件分析器 事件分析器分析從其他組件收到的GIDO 分析它們 并將產(chǎn)生的新GIDO返回給其他組件 分析器可以是一個輪廓描述工具 統(tǒng)計性地檢查當前事件是否可能與以前某個事件來自同一個時間序列 也可以是一個特征檢測工具 在一個事件序列中檢查是否有已知的濫用攻擊特征 還可以是一個相關器 將有聯(lián)系的事件放到一起 以便以后進一步分析 3 事件數(shù)據(jù)庫 用來存儲GIDO 以備系統(tǒng)需要的時候使用 它可以是復雜的數(shù)據(jù)庫 也可以是簡單的文件 4 響應單元 響應單元根據(jù)收到的GIDO做出反應 如殺死相關進程 將連接復位 修改文件權限等 由于CIDF有一個標準格式GIDO 所以這些組件也適用于其他環(huán)境 只需要將典型的環(huán)境特征轉換成GIDO格式 這樣就提高了組件之間的消息共享和互通 3 CISL CIDF的總體目標是實現(xiàn)軟件的復用和IDR 入侵檢測與響應 組件之間的互操作性 首先 IDR組件基礎結構必須是安全 健壯 可伸縮的 CIDF的工作重點是定義了一種應用層的語言CISL CommonIntrusionSpecificationLanguage 公共入侵規(guī)范語言 用來描述IDR組件之間傳送的信息 以及制定一套對這些信息進行編碼的協(xié)議 CISL可以表示CIDF中的各種信息 如原始事件信息 審計蹤跡記錄和網(wǎng)絡數(shù)據(jù)流信息 分析結果 系統(tǒng)異常和攻擊特征描述 響應提示 停止某些特定的活動或修改組件的安全參數(shù) 等 CISL使用了一種被稱為S表達式的通用語言構建方法 S表達式可以對標記和數(shù)據(jù)進行簡單的遞歸編組 即對標記加上數(shù)據(jù) 然后封裝在括號內完成編組 這跟LISP有些類似 S表達式的最開頭是語義標識符 簡稱為SID 用于顯示編組列表的語義 例如下面的S表達式 HostName 該編組列表的SID是HostName 它說明后面的字符串 將被解釋為一個主機的名字 有時侯 只有使用很復雜的S表達式才能描述出某些事件的詳細情況 這就需要使用大量的SID SID在CISL中起著非常重要的作用 用來表示時間 定位 動作 角色 屬性等 只有使用大量的SID 才能構造出合適的句子 CISL使用范例對各種事件和分析結果進行編碼 把編碼的句子進行適當?shù)姆庋b 就得到了GIDO GIDO的構建與編碼是CISL的重點 4 CIDF的程序接口 CIDF的API負責GIDO的編碼 解碼和傳遞 它提供的調用功能使程序員可以在不了解編碼和傳遞過程具體細節(jié)的情況下 以一種很簡單的方式構建和傳遞GIDO GIDOD生成分為兩個步驟 在構造樹形結構時 SID分為兩組 一組把S表達式作為參數(shù) 即動詞 副詞 角色 連接詞等 另一組把單個數(shù)據(jù)或一個數(shù)據(jù)陣列作為參數(shù) 即原子 這樣就可以把一個完整的句子表示成一棵樹 每個SID表示成一個節(jié)點 最高層的SID是樹根 因為每個S表達式都包含一定的數(shù)據(jù) 所以 樹的每個分支末端都有表示原子SID的葉子 1 構造表示GIDO的樹形結構 2 將此結構編成字節(jié)碼 將字節(jié)碼進行解碼跟上面的過程正好相反 CIDF的API為實現(xiàn)者和應用開發(fā)者都提供了很多的方便 并分為兩類 GIDO編碼 解碼API和消息層API 4 4 2IDWG的標準化工作 1999年6月 IDWG就入侵檢測出臺了一系列草案 它定義了數(shù)據(jù)格式和交換規(guī)程 用于入侵檢測與響應 IDR 系統(tǒng)之間與需要交互的管理系統(tǒng)之間的信息共享 包括三部分內容 入侵檢測消息交換格式 IDMEF 入侵檢測交換協(xié)議 IDXP 以及隧道輪廓 TunnelProfile 1 IDMEF IDMEF描述了入侵檢測系統(tǒng)輸出信息的數(shù)據(jù)模型 并解釋了使用此模型的基本原理 該數(shù)據(jù)模型用XML實現(xiàn) 并設計了一個XML文檔類型定義 自動入侵檢測系統(tǒng)可以使用IDMEF提供的標準數(shù)據(jù)格式對可疑事件發(fā)出警報 提高商業(yè) 開放資源和研究系統(tǒng)之間的互操作性 IDMEF最適用于入侵檢測分析器 或稱為 探測器 和接收警報的管理器 或稱為 控制臺 之間的數(shù)據(jù)信道 1 IDME的數(shù)據(jù)模型 IDMEF數(shù)據(jù)模型以面向對象的形式表示探測器傳遞給控制臺的警報數(shù)據(jù) 設計數(shù)據(jù)模型的目標是為警報提供確定的標準表達方式 并描述簡單警報和復雜警報之間的關系 IDMEF數(shù)據(jù)模型各個主要部分之間的關系如圖4 13所示 圖4 13IDME數(shù)據(jù)模型各個主要部分之間的關系 IDMEF數(shù)據(jù)模型是用統(tǒng)一建模語言 UML 描述的 UML用一個簡單的框架表示實體以及它們之間的關系 并將實體定義為類 IDMEF包括的主要類有IDMEF Message類 Alert類 Heartbeat類 Core類 Time類Support類 這些類還可以再細分為許多子類 所有IDMEF消息的最高層是IDMEF Message 每一種類型的消息都是該類的子類 需要注意的是 IDMEF數(shù)據(jù)模型并沒有對警報的分類和鑒別進行說明 例如 對一個端口的掃描 一個分析器可能將其確定為一個多目標的單一攻擊 而另一個分析器可能將其確定為來自同一個源的多次攻擊 只有一個分析器決定了發(fā)送的警報類型 數(shù)據(jù)模型才能規(guī)定怎樣對這個警報進行格式化 2 使用XML描述IDMEF文檔標記 XML是一種元語言 它允許應用程序定義自己的標記 還可以為不同類型的文檔和應用程序定義定制化的標記語言 XMLDTD 文檔類型定義 可用來聲明文檔所用的標記 它包括元素 文檔包括的不同信息部分 屬性 信息的特征 和內容模型 各部分之間的關系 2 IDXP IDXP 入侵檢測交換協(xié)議 是一個用于入侵檢測實體之間交換數(shù)據(jù)的應用層協(xié)議 能夠實現(xiàn)IDMEF消息 非結構文本和二進制數(shù)據(jù)之間的交換 并提供面向連接協(xié)議之上的雙向認證 完整性和保密性等安全特征 IDMEF是BEEP的一部分 后者是一個用于面向連接異步交互通用應用協(xié)議 IDXP的許多特色功能 如認證 保密性等 都是由BEEP框架提供的 IDXP模型如下 1 建立連接 入侵檢測實體之間的IDXP通信在BEEP信道上完成 兩個希望建立IDXP通信的入侵檢測實體在打開BEEP信道之前 首先要進行一次BEEP會話 然后就有關的安全特性問題進行協(xié)商 協(xié)商好BEEP安全輪廓之后 互致問候 然后開始IDXP交換 圖4 14是兩個入侵檢測實體A和B之間建立IDXP通信的過程 圖4 14兩個入侵檢測實體 Alice 和 Bob 之間建立IDXP通信的過程 使用IDXP傳送數(shù)據(jù)的入侵檢測實體被稱為IDXP的對等體 對等體只能成對地出現(xiàn) 在BEEP會話上進行通信的對等體可以使用一個或多個BEEP信道傳輸數(shù)據(jù) 對等體可以是管理器 也可以是分析器 分析器和管理器之間是多對多的關系 即一個分析器可以與多個管理器通信 同樣 一個管理器也可以與多個分析器通信 管理器與管理器之間也是多對多的關系 所以 一個管理器可以通過多個中間管理器接收來自多哥分析器的大量警報 但是 IDXP規(guī)定 分析器之間不可以建立交換 2 傳輸數(shù)據(jù) 在每個信道上 對等體都以客戶機 服務器模式進行通信 BEEP會話發(fā)起者為客戶機 而收聽者則為服務器 圖4 15描述了一個分析器將數(shù)據(jù)傳輸給一個管理器的簡單過程 圖4 15一個分析器將數(shù)據(jù)傳輸給一個管理器的簡單過程 在一次BEEP會話時 使用多個BEEP信道有利于對在IDXP對等體之間傳輸?shù)臄?shù)據(jù)進行分類和優(yōu)先權設置 例如 一個管理器M1在向另一個管理器M2傳送警報數(shù)據(jù)時 可以用不同的信道傳送不同類型的警報數(shù)據(jù) 在每個信道上管理器M1的作用都相當于一個客戶器 而M2則對不同信道上的數(shù)據(jù)作出相應的處理 如圖4 16所示 圖4 16多個BEEP信道有利于對在IDXP對等體之間傳輸?shù)臄?shù)據(jù)進行分類和優(yōu)先權設置 3 斷開連接 在有些情況下 一個IDXP對等體可以選擇關閉某個信道 在關閉一個信道時 對等體在0信道上發(fā)送一個 關閉 元素指明要關閉哪一個信道 IDXP對等體也可以通過在0信道上發(fā)送一個指明要 關閉 0信道的元素 來關閉整個BEEP會話 在上面這個模型中 IDXP對等實體之間采用了BEEP安全輪廓實現(xiàn)端到端的安全 而無需通過中間的代理建立安全信任 因此只有IDXP對等體之間是相互信任的 而代理是不可信的 4 5網(wǎng)絡誘騙 防火墻以及入侵檢測都是被動防御技術 而網(wǎng)絡誘騙是一種主動防御技術 表4 3主動防御與被動防御的比較 4 5 1蜜罐主機技術 網(wǎng)絡誘騙技術的核心是蜜罐 HoneyPot 它是運行在Internet上的充滿誘惑力的計算機系統(tǒng) 這種計算機系統(tǒng)有如下一些特點 蜜罐是一個包含有漏洞的誘騙系統(tǒng) 它通過模擬一個或多個易受攻擊的主機 給攻擊者提供一個容易攻擊的目標 蜜罐不向外界提供真正有價值的服務 所有與蜜罐的連接嘗試都被視為可疑的連接 這樣 蜜罐就可以實現(xiàn)如下目的 引誘攻擊 拖延對真正有價值目標的攻擊 消耗攻擊者的時間 以便收集信息 獲取證據(jù) 下面介紹蜜罐的三種主要形式 1 空系統(tǒng) 空系統(tǒng)是一種沒有任何虛假和模擬的環(huán)境的完全真實的計算機系統(tǒng) 但是有真實的操作系統(tǒng)和應用程序 也有真實的漏洞 這是一種簡單的蜜罐主機 但是 空系統(tǒng) 以及模擬系統(tǒng) 會很快被攻擊者發(fā)現(xiàn) 因為他們會發(fā)現(xiàn)這不是期待的目標 2 鏡像系統(tǒng) 建立一些提供Internet服務的服務器鏡像系統(tǒng) 會對攻擊者感到真實 也就更具有欺騙性 另一方面 由于是鏡像系統(tǒng) 所以比較安全 3 虛擬系統(tǒng) 虛擬系統(tǒng)是在一臺真實的物理機器上運行一些仿真軟件 模擬出多臺虛擬機 構建多個蜜罐主機 這種虛擬系統(tǒng)不但逼真 而且成本較低 資源利用率較高 此外 即使攻擊成功 也不會威脅宿主操作系統(tǒng)安全 4 5 2蜜網(wǎng)技術 蜜網(wǎng) HoneyNet 技術也稱陷阱網(wǎng)絡技術 它由多個蜜罐主機 路由器 防火墻 IDS 審計系統(tǒng)等組成 為攻擊者制造一個攻擊環(huán)境 供防御者研究攻擊者的攻擊行為 1 第一代蜜網(wǎng) 圖4 17為第一代蜜網(wǎng)結構圖 圖4 17第一代蜜網(wǎng)結構 1 防火墻 防火墻隔離內網(wǎng)和外網(wǎng) 防止入侵者以蜜網(wǎng)作為跳板攻擊其他系統(tǒng) 其配置規(guī)則為 不限制外網(wǎng)對蜜網(wǎng)的訪問 但需要對蜜罐主機對外的連接予以控制 包括 限制對外連接的目的地 限制蜜罐主機主動對外連接 限制對外連接的協(xié)議 2 路由器 路由器放在防火墻與蜜網(wǎng)之間 利用路由器具有控制功能來彌補防火墻的不足 例如防止地址欺騙攻擊 DoS攻擊等 3 IDS IDS是蜜網(wǎng)中的數(shù)據(jù)捕獲設備 用于檢測和記錄網(wǎng)絡中可疑的通信連接 報警可疑的網(wǎng)絡活動 2 第二代蜜網(wǎng) 圖4 18為第二代蜜網(wǎng)結構圖 圖4 18第二代蜜網(wǎng)結構 第二代蜜網(wǎng)技術將數(shù)據(jù)控制和數(shù)據(jù)捕獲集中到蜜網(wǎng)探測器中進行 這樣 帶來的好處是 便于安裝和管理 隱蔽性更強 可以監(jiān)控非授權活動 可以采取積極的響應方法限制非法活動的效果 如修改攻擊代碼字節(jié) 使攻擊失效等 3 第三代蜜網(wǎng) 第三代密網(wǎng)是目前正在開發(fā)的密網(wǎng)技術 它是建立在一個物理的設備上的分布式虛擬系統(tǒng) 如圖4 19所示 這樣就把蜜罐 數(shù)據(jù)控制 數(shù)據(jù)捕獲 數(shù)據(jù)記錄等 都集中到一臺物理的設備上 圖4 19第三代蜜網(wǎng)結構 4 5 3常見網(wǎng)絡誘騙工具及產(chǎn)品 1 蜜罐實現(xiàn)工具 1 winetd winetd是一個在Windows上實現(xiàn)蜜罐的簡單工具 它安裝簡單 界面友好 適合初學者使用 確定是過于簡單 并不能真正誘騙攻擊者進入 2 DTK DTK DeceptionToolKit 可以從 3 honeyd Honeyd 可以從http www citi umich edu u provos honeyd網(wǎng)站下載 是一個專用的蜜罐構建軟件 可以虛擬多種主機 配置運行不同的服務和操作系統(tǒng) 2 蜜網(wǎng)實現(xiàn)工具 1 數(shù)據(jù)控制 Jptable snort inline 2 數(shù)據(jù)捕獲 Termlog Sebek2 snort Comlog 3 數(shù)據(jù)收集 Obfugator 4 數(shù)據(jù)分析 Privmsg TASK WinInterrogate 以上工具可以從下面的網(wǎng)址下載 http project honeynet org 4 6安全審計 4 6 1安全審計及其功能 虛擬的數(shù)字世界是十分脆弱的 隨著對它們的依賴程度的增加 不安全感也隨之增加 信息被篡改 信息被泄漏 身份被偽冒 的頻繁報道 要求對系統(tǒng)安全方案中的功能提供持續(xù)的評估 這就是安全審計 據(jù)專家的預測 安全審計技術將成為與防火墻技術 IDS技術一樣的網(wǎng)絡安全工具之一 安全審計的功能 具體來說 安全審計應當具有下面的功能 1 記錄關鍵事件 關于關鍵事件的界定由安全官員決定 2 對潛在的攻擊者進行威懾或警告 3 為系安全管理員提供有價值的系統(tǒng)使用日志 幫助系統(tǒng)管理員及時發(fā)現(xiàn)入侵行為和系統(tǒng)漏洞 使安全管理人員可以知道如何對系統(tǒng)安全進行加強和改進 4 為安全官員提供一組可供分析的管理數(shù)據(jù) 用于發(fā)現(xiàn)何處有違反安全方案的事件 并可以根據(jù)實際情形調整安全政策 美國國家標準 可信計算機系統(tǒng)評估超標準 TrustedComputerSystemEvaluationCriteria 給出的定義是 一個安全的系統(tǒng)中的安全審計系統(tǒng) 是對系統(tǒng)中任一或所有安全相關事件進行記錄 分析和再現(xiàn)的處理系統(tǒng) 它通過對一些重要的事件進行記錄 從而在系統(tǒng)發(fā)現(xiàn)錯誤或受到攻擊時能定位錯誤和找到攻擊成功的原因 并且是事故后調查取證的基礎 當然也是對信息系統(tǒng)的信心保證 可以看出 安全審計和報警是不可分割的 安全審計由各級安全管理機構實施并管理 并只在定義的安全策略范圍內提供 它允許對安全策略的充分性進行評價 幫助檢測安全違規(guī) 對潛在的攻擊者產(chǎn)生威懾 但是 安全審計不直接阻止安全違規(guī) 安全報警是由個人或進程發(fā)出的 一般在安全相關事件達到某一或一些預定義閾值時發(fā)出 這些事件中 一些是需要立即采取矯正行動 另一些有進一步研究價值的事件 4 6 2安全審計日志 審計日志是記錄信息系統(tǒng)安全狀態(tài)和問題的原始數(shù)據(jù) 理想的日志應當包括全部與數(shù)據(jù)以及系統(tǒng)資源相關事件的記錄 但這樣付出的代價太大 為此 日志的內容應當根據(jù)安全目標和操作環(huán)境單獨設計 典型的日志內容有 事件的性質 數(shù)據(jù)的輸入和輸出 文件的更新 改變或修改 系統(tǒng)的用途或期望 全部相關標識 人 設備和程序 有關事件的信息 日期和時間 成功或失敗 涉及因素的授權狀態(tài) 轉換次數(shù) 系統(tǒng)響應 項目更新地址 建立 更新或刪除信息的內容 使用的程序 兼容結果和參數(shù)檢測 侵權步驟等 對大量生成的日志要適當考慮數(shù)據(jù)的保存期限 4 6 3安全審計的類型 1 根據(jù)審計的對象分類 根據(jù)審計的對象安全審計可以分為以下一些類型 操作系統(tǒng)的審計 應用系統(tǒng)的審計 設備的審計 網(wǎng)絡應用的審計 2 審計的關鍵部位 通常審計的關鍵部位有 1 對來自外部攻擊的審計 2 對來自內部攻擊的審計 3 對電子數(shù)據(jù)的安全審計 習題 1 審計與入侵檢測技術有什么關系 2 綜述入侵檢測技術的發(fā)展過程 并提出自己的思路 3 綜述有關入侵檢測技術的各種定義 4 入侵檢測系統(tǒng)有哪些可以利用的數(shù)據(jù)源 5 試構造一個網(wǎng)絡數(shù)據(jù)包的截獲程序 6 試述入侵檢測系統(tǒng)的工作原理 7 收集資料 對國內外主要基于網(wǎng)絡的入侵檢測產(chǎn)品進行比較 8 收集資料 對國內外主要基于主機的入侵檢測產(chǎn)品進行比較 9 分析入侵檢測系統(tǒng)的不足和發(fā)展趨勢 10 入侵檢測技術與法律有什么關系 11 簡述蜜罐技術的特殊用途 12 用下載的蜜罐工具 構造一個簡單的蜜罐系統(tǒng) 13 簡述安全審計的作用 14 簡述日志的作用和記錄內容 15 審計與入侵檢測有什么關聯(lián)