《《入侵检测流程》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《入侵检测流程》PPT课件.ppt(53页珍藏版)》请在三一办公上搜索。
1、第四章 入侵检测流程,4.1 入侵检测的过程,信息收集:从入侵检测系统的信息源中收集信息,内容包括系统、网络、数据以及用户活动的状态和行为等信息分析:是入侵检测过程的核心环节告警与响应:IDS根据攻击或事件的类型或性质,通知管理员或采取一定措施阻止入侵继续,信息收集,入侵检测利用的信息一般来自四个方面:1.系统和网络日志(重复登录失败,登录到不期望位置等),所有重要系统都应定期做日志2.目录和文件中的不期望的改变(修改,创建,删除等),特别是正常情况下限制访问的 3.程序执行中的不期望行为(一个进程出现了不期望的行为可能表明攻击者正在入侵系统)一个进程的执行行为由它运行时执行的操作来表现,操作
2、执行的方式不同,它利用的系统资源也就不同 4.物理形式的入侵信息.一是未授权的对网络硬件连接;二是对物理资源的未授权访问,信息分析,对上述四类信息收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析1.模式匹配:模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为 2.统计分析:首先给系统对象创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生3.完整性分析:主要关注某个文件或对象是否被
3、更改,包括文件和目录的内容及属性,它在发现被更改的、被特洛伊化的应用程序方面特别有效,告警与响应,分为主动响应和被动响应 被动响应型系统只会发出告警通知,将发生的不正常情况报告给管理员,本身并不试图降低所造成的破坏,更不会主动地对攻击者采取反击行动 主动响应系统可以分为对被攻击系统实施控制和对攻击系统实施控制的系统 对被攻击系统实施控制(防护):它通过调整被攻击系统的状态,阻止或减轻攻击影响,例如断开网络连接、增加安全日志、杀死可疑进程等 对攻击系统实施控制(反击):这种系统多被军方所重视和采用,4.2 入侵检测系统的数据源,基于主机的数据源基于网络的数据源应用程序日志文件其他IDS的报警信息
4、,基于主机的数据源,审计数据是收集一个给定机器用户活动信息的唯一方法系统运行状态信息:通过系统命令来获取系统运行情况(如ps,pstat,vmstat,getrlimit等)系统记账信息:一般只是作为审计数据的一个补充系统日志:指syslog守护程序提供的信息C2级安全性审计信息:记录系统中所有潜在的安全相关事件的信息,记账系统的优缺点,记账系统处理开销小,格式一致,能与OS很好的集成用户填充存放记账文件分区,使其使用率达到90%以上,记账会停止记账系统可打开或关闭,但不能只对指定用户记账记账信息缺乏精确的时间戳记账系统缺乏精确的命令识别记账系统缺乏系统守护程序的活动记录获取信息的时间太迟,C
5、2级安全性审计信息的优点,优点:1、可以对用户的登录身份、真实身份、有效身份及真实有效的所属组的标识进行强验证2、可以很容易地通过配置审计系统实现审计事件的分类3、审计系统遇到错误状态时机器会关闭4、可获取详细的参数化信息缺点1、需要详细监控时会消耗大量系统资源2、通过填充审计系统的磁盘空间可造成拒绝服务攻击3、记录格式和系统接口存在异构性,3.4 基于网络的数据源,优势:1、采用网络监听方式获取信息,受保护系统性能影响很小2、对网络中的用户是透明的,降低了监视器本身遭受攻击的可能性3、相对基于主机的IDS更容易检测到某些基于网络协议的攻击方法4、可针对网段的数据进行入侵分析,与受保护主机的操
6、作系统无关,SNMP信息,简单网络管理协议:指一系列网络管理规范的集合,包括协议本身,数据结构的定义和一些相关概念 SNMP中的管理操作:1、get操作用来提取特定的网络管理信息 2、get-next操作通过遍历活动来提供强大的管理信息提取能力 3、set操作用来对管理信息进行控制(修改、设置)4、trap操作用来报告重要的事件,网络通信包,网络通信包可以解决的相关问题1、能通过分析网络业务检测出网络攻击2、不存在审计记录的格式异构性问题3、不会影响整个网络的处理性能4、可通过签名分析报文载荷内容来检测攻击弱点1、当检测出入侵时,很难确定入侵者2、加密技术的应用使得不可能对报文载荷进行分析,从
7、而失去大量有用的信息,应用程序日志文件,优势1、精确性:不会造成入侵检测系统对安全信息的理解偏差2、完整性:日志文件能包含所有相关信息3、性能:信息收集机制的开销小于安全审计缺点1、只有系统能够正常写日志文件才能检测出攻击2、针对系统软件低层协议的攻击不利用应用程序代码,则攻击情况在日志中看不出来,只能看到攻击结果,其他,其他入侵检测系统的报警信息:DIDS,GrIDS DIDS:把基于主机系统的和基于网络的检测系统组合到一起进行检测 GrIDS:基于图形分析的入侵检测系统,能检测出跨越大型网络基础设施的入侵行为其他网络设备和安全产品的信息:安全产品包括防火墙、安全扫描系统、访问控制系统等,4
8、.3 入侵分析的概念,定义:针对用户和系统活动数据进行有效的组织、整理并提取特征,以鉴别出感兴趣的行为。目的 1、重要的威慑力 2、安全规划和管理 3、获取入侵证据应考虑的因素 1、需求:可说明性、实时检测和响应 2、子目标 3、目标划分 4、平衡,4.4 入侵分析的模型,入侵分析的处理过程:1、构建分析器 2、分析数据 3、反馈和更新,构建分析器,收集并生成事件信息 误用检测:收集入侵信息 异常检测:事件信息来自于系统本身或指定的 相似系统预处理信息 误用检测:转换收集在某种通常表格中的事件 信息 异常检测:事件数据可能被转换成数据表,构建分析器,建立行为分析引擎 误用检测:引擎建立在规则或
9、其他模式描述器 描绘的行为上 异常检测:区分模型通常由用户过去行为的统 计特征轮廓构成将事件数据输入引擎中 误用检测:将攻击数据输入到误用检测器中 异常检测:将参考事件数据输入到异常检测器中保存已输入数据的模型,分析数据,输入事件记录:收集信息源产生的事件记录事件预处理 误用检测:事件数据转换成典型表格 异常检测:事件数据被精简成一个轮廓向量比较事件记录和知识库 误用检测:预处理事件记录被提交给一个模式 匹配引擎 异常检测:比较用户行为轮廓,依靠分析方案 进行判定产生响应:响应性质依靠具体分析方法的性质,反馈和更新,误用检测系统中,主要功能是攻击信息的特征数据库的更新异常检测系统中,依靠执行异
10、常检测的类型,定时更新历史统计特征轮廓。,4.5 入侵检测的分析方法,误用检测:根据已知入侵模式来检测入侵,误用检测,模式匹配方法:将已知入侵特征转换成模式,存放于模式数据库中专家系统方法:首先使用类似于if-then的规则格式输入已有的知识(攻击模式),然后输入检测数据(审计事件记录),系统根据知识库中的内容对检测数据进行评估,判断是否存在入侵行为缺点:1、不适于处理大批量数据 2、没有提供对连续有序数据的任何处理 3、不能处理不确定性,状态转移法:使用系统状态和状态转换表达式来描述和检测已知入侵1、状态转换分析:使用高级状态转换图表来体现和检测已知的入侵攻击方式 基本思想:所有入侵者都是从
11、拥有有限的权限出发,并且利用系统脆弱性来获取一些成果,状态转换方法的优缺点,优点:1.状态转换图提供了一个直接的,高级的,与审计记录独立的概要描述2.转换允许一个人去描绘构成攻击概要的部分顺序信号动作3.攻击成功时,状态转换必须使用最小可能的信号动作子集4.系统保存的硬连接信息使它更容易表示攻击情景5.系统能检测出协同的缓慢攻击,状态转换方法的优缺点,缺点:1.状态声明和信号动作的列表是手工编码的2.状态声明和信号可能不能充分表达更复杂的攻击情景3.推论引擎从目标系统获取额外信息会导致性能下降4.系统不能检测出许多常见攻击5.原型系统与其他基于状态转换方法的系统相比效率较低,有色Petri网匹
12、配模型包括:1、一个上下文描述:允许匹配相关的构成入侵信号的各种事件2、语义学:容纳了几种混杂在同一事件流中的入侵模式的可能性3、一个动作规格:当模式匹配时,提供某种动作的执行优点:速度快;模式匹配引擎独立于审计格式;特征在跨越审计记录方面非常方便;模式能根据需要匹配;事件的顺序和其他排序约束条件可以直接体现出来,异常检测,异常检测是根据系统或用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为.异常检测的假定:用户表现为可预测的,一致的系统使用模式.Anderson威胁模型:1.外部闯入:未经授权计算机系统用户的入侵 2.内部渗透:指已授权的计算机系统用户访问未经授权的数据.3.不当行
13、为指的是用户虽经授权,但对授权数据和资源的使用不合法或滥用授权,入侵与异常,入侵性而非异常:漏检,IDS不报告入侵非入侵性而却异常:IDS报告入侵,误报非入侵性也非异常:IDS没报告,属于正确判断入侵且异常:有入侵且活动异常,IDS报告入侵 漏检对重要的安全系统非常危险,误报会增添安全管理员的负担,导致IDS异常检测器计算开销增大,Denning的原始模型,可操作模型:度量超出阈值时触发异常平均和标准偏差模型:行为观察落在信任间隔之外被定义为异常多变量模型:是平均和标准偏差模型的扩展Markov处理模型:事件记数器.如果事件的或然率太低,则被定义为异常.或然率:就是用来表示随机事件发生的可能性
14、大小的数值表征,量化分析,阈值检测:用户和系统行为根据某种属性计数进行描述启发式阈值检测:在简单阈值检测的基础上进一步使它适合于观察层次基于目标的集成检查(完整性检查):系统定时计算系统对象的密码校验值,如果有偏差,发出报警信息量化分析和数据精简:去除原始事件数据中所包含的冗余信息,减少对系统存储资源的占用,优化检测过程.,统计度量,IDES/NIDESHaystack统计分析的力度:可以发现违背安全策略的行为,且维护方便统计分析的不足:不能对入侵进行实时检测和自动响应,不能反应事件在时间顺序上的前后相关性,非参统计度量,早期统计分析利用了参量的方法,描述用户或其他系统实体的行为模式特征.其前
15、提条件是:所分析的数据满足某种特定的分布,高斯分布或正态分布不满足分布的数据会导致系统错误率的上升聚类分析:首先收集大量的历史数据,根据某种预先设定的评估准则,将数据组织到不同的类别中目的:1.同一类别中的对象之间的”距离”足够小 2.不同类别中的对象之间的”距离”足够大,基于规则的方法,Wisdom and sense(W&S)组装规则库的方法:手工输入或根据历史审计数据自动产生.通过对历史审计数据的类型检测,以规则的方式表示行为模式TIM(Time-Based Inductive Machine)基于时间的归纳推理机 对历史事件记录序列进行分析,提取出特定事件序列发生的概率,神经网络,非参
16、量化的分析技术处理阶段:1.构造入侵分析模型的检测器 2.网络接收输入的事件数据与参考的历史行为比较,判断两者的相似度或偏离度标识异常事件:1.改变单元的状态 2.改变连接的权值 3.添加连接或删除连接,其他检测方法,免疫系统方法遗传算法基于代理的检测数据挖掘,4.6 告警与响应,被动响应:系统仅仅简单地记录和报告所检测出的问题主动响应:系统要为阻塞或影响进程而采取行动,对响应的需求,入侵检测系统的用户:1.网络安全专家或管理员:安全专家并不总是熟悉正在监视测试的网络系统2.系统管理员:是IDS强有力的用户,也是对IDS要求最高的用户3.安全调查员:对调查问题的过程非常熟悉,并能给IDS设计者
17、提供知识来源,对响应的需求,操作环境:IDS的警报和通知,在大规模监控的控制台上使用与在基于家庭商务的IDS上使用的需求显然有很大区别系统目标和优先权:与被监控系统功能有关.对某些为用户提供关键数据服务的系统通常需要提供主动响应规则或法令的需求:在特定军事计算环境中,特定类型处理过程需要特定的入侵检测性能给用户传授专业技术:为提供安全指导,为持有不同级别安全需求的用户定制不同的结果表述,响应的类型,主动响应和被动响应两种类型主动响应和被动响应并不相互排斥入侵检测的一个关键部分就是确定使用哪一种入侵检测响应方式以及根据响应结果来决定应该采取哪一种行动,主动响应,检测到入侵后立即采取行动1.对入侵
18、者采取反击行动2.修正系统环境3.收集尽可能多的信息,对入侵者采取反击行动,追踪入侵者的攻击来源,然后采取行动切断入侵者的机器或网络的连接.对攻击者的反击带来的危险性:1.源头系统可能是黑客的另一个牺牲品2.攻击源的IP地址欺骗3.简单的反击可能会引起对手更大的攻击4.反击会使自己冒违法犯罪的风险 可以使用温和的方式采取反击行动,如IDS重新安排TCP连接来终止网络会话;或向入侵者可能来自的系统管理员发E-mail,请求协助,主动采取反击行动的形式,基于用户驱动的响应 许多主动响应功能源自手工执行的时期自动执行响应 1.攻击速度快 2.攻击在进行过程中禁止手工干涉,修正系统,与其他方法相比这种
19、对入侵的响应更为缓和,但却是最佳的响应配置修正系统以弥补引起攻击的系统缺陷,这个观点与许多研究者对关键系统持有的看法是一致的为保护自身安全而装备的”自疗”系统可以辩认出问题所在并将引起问题的部分隔离起来.,收集额外信息,当被保护的系统关系重大而且当事人要求法律赔偿时,收集更详细的信息是一种很有价值的措施记录日志的响应与专用的服务器结合起来使用,作为可以将入侵者转移的环境来安置.专用服务器是指诱骗系统,可以模拟关键系统的文件系统和其他系统特征,引诱攻击者进入,记录攻击者的行为,从而获得关于攻击者的详细信息.,被动响应,被动响应是指为用户提供信息,由用户决定接下来应该采取什么措施.早期IDS中所有
20、响应都属于被动响应被动响应根据危险程序高低的次序提交给用户,危险程序是警报机制与问题汇报是主要的区别,警报和通知,告警显示屏:IDS提供的最常见的警报和通知是显示在屏幕上的警告信息或窗口.这个消息出现在IDS的控制台上,或根据用户在IDS安装时的定义而出现在其他部件上告警和警报的远程通报:24小时监视系统的机构使用另一种方法,IDS通过寻呼机或移动电话给系统管理员和安全人员发送警报和告警消息 另一种通报方式是电子邮件消息,持续攻击情况下不推荐使用,SNMP陷阱和插件,与网络管理工具协同动作的IDS可以更好地利用网络管理的基础设备,在网络管理控制台上发送和显示警报警告.利用简单网络管理协议(SN
21、MP)的消息或陷阱作为一种警报方式,按策略配置响应,IDS必须包括在一个机构制订的安全策略和准则中在安全防护策略中规定以怎样的措施来对检测到的入侵或安全侵害行为作出响应.按照措施的时间和紧急程度排列为:1.立即行动 2.适时行动 3.本地的长期行动 4.全局的长期行动,立即行动,初始化事件处理过程执行损失控制和侵入围堵通知执法部门或其他组织恢复受害系统服务 即时措施在入侵或攻击发生时需要系统立刻作出响应 即时措施的时间间隔由本机构的安全策略决定.缩减时间间隔意味着降低攻击引起的严重程度.,适时行动,人工调查非常规的系统使用模式调查和隔离检测到的问题的根源若有可能,通过向开发商申请补丁或重新配置
22、系统来改正或纠正这些问题向适当的权威组织报告事故的详细细节在入侵检测系统中改变或修正检测信号通过法律手段对付入侵者处理与攻击相关的公共问题,并且把此事通知股东,规则制订者和其他有合法报告需求的人员 适时行动在攻击或安全侵害被完全检测出来时起作用.它花费的时间可以以小时或天数来计算,通常在立即行动之后,本地长期行动,编制统计报表并进行趋势分析追踪发生过的入侵模式 本地长期措施的危急程度比立即行动和适时行动类别低,但对安全管理过程仍然重要 应该对入侵模式和安全侵害作出评估,以隔绝需要修改或改进的区域,全局的长期行动,要让商家知道由于他们产品中的安全问题而使本组织遭受该问题的困扰与立法者和政府部门沟
23、通使之对系统安全威胁进行附加的法律修补向执行部门或其他维护统计资料的组织报告关于安全事故的统计报表 全局长期行动是指那些不危急的但对于社会级别的安全状况很重要的系统管理,联动响应机制,在响应机制中,需要发挥各种不同网络安全技术的特点可与IDS联动进行响应的安全技术包括防火墙,安全扫描器,防病毒系统,安全加密系统等从联动角度出发,将安全设备分为两大类:1.IDS,具有发现能力的设备,从网络中若干关键点收集信息,进行分析,检测网络流量中违反安全策略的行为.通过报警通知管理人员,产生的事件称为报警事件2.防火墙,具有响应能力的设备,提供静态防御,通过实现设置规则防范可能的攻击.通过更改配置来阻止攻击流量,对应的操作事件称为响应事件,
