2022年第二讲入侵检测技术的分类 .pdf

《2022年第二讲入侵检测技术的分类 .pdf》由会员分享，可在线阅读，更多相关《2022年第二讲入侵检测技术的分类 .pdf（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第二讲入侵检测技术的分类第一节入侵检测的信息源对于入侵检测系统而言，输入数据的选择是首要解决的问题：入侵检测的输出结果，取决于所能获得的输入数据的数量和质量。具体采用的入侵检测技术类型，也常常因为所选择的输入数据的类型不同而各不相同。几种常用输入数据来源操作系统的审计记录系统日志应用程序的日志信息基于网络数据的信息源其它的数据来源操作系统的审计记录在入侵检测技术的发展历史中，最早采用的用于入侵检测任务的输入数据源操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的，其目的是记录当前系统的活动信息，并将这些信息按照时间顺序组织成为一个或多个审计文件。不同的系统在审计事件的选择、审计记录

2、的选择和内容组织等诸多方面都存在着兼容性的问题。操作系统审计机制的设计和开发的初始目标，并不是为了满足后来才出现的入侵检测技术的需求目的，因此无法提供所需的关键事件信息（不足），或者是提供了冗余的记录信息（过） 。操作系统审计记录做为是基于主机入侵检测技术的首选数据源的原因：安全性有保障。操作系统的审计系统在设计时，就考虑了审计记录的结构化组织工作以及对审计记录内容的保护机制，因此操作系统审计记录的安全性得到了较好的保护。没有经过高层抽象、 详尽。操作系统审计记录提供了在系统内核级的事件发生情况，反映的是系统底层的活动情况并提供了相关的详尽信息，为发现潜在的异常行为特征奠定了良好的基础。审计记

3、录的优点可信度高得益于操作系统的保护审计记录没有经过高层的抽象最“原始”的信息来源了解系统事件的细节实现准确的入侵匹配不易被篡改和破坏审计记录的问题过于细节化的问题精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 1 页，共 9 页缺乏足够细节的问题缺乏说明文档不同系统审计记录的不兼容审计记录级别审计记录内容响应事件的主题和涉及事件的目标信息主体对象进程用户 id 系统调用的参数返回值特定应用事件的数据. OS审计纪录示例之一Sun Solaris BSM BSM 安全审计子系统的主要概念包括审计日志、审计文件、审计记录和审计令牌等信息其中审计日志由

4、一个或多个审计文件组成，每个审计文件包含多个审计记录，而每个审计记录则由一组审计令牌（audit token ）构成。系统级（ Kernel level）?从系统调用（ system call）的角度用户级（ User level ）?从应用事件的角度审计日志11.*审计文件审计记录审计令牌1*1*精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 2 页，共 9 页Windows 的系统事件事件日志的格式类型：事件查看器显示5 种事件类型。错误、警告、信息、成功审核、失败审核日期：事件产生的详细日期。时间：事件产生的详细时间，精确到秒。来源：事件的生

5、成者。分类：对事件的分类，如系统事件、特权使用、登录/注销等事件：事件 ID。用户：用户名称。计算机：计算机名称。可以是本地计算机，也可以是远程计算机。应用程序日志?包含由应用程序或程序记录的事件。例如，数据库程序可在应用程序日志中记录文件错误。?程序开发人员 决定记录哪些事件。安全日志?安全日志包含诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，如创建、打开或删除文件或其他对象。管理员 可以指定在安全日志中记录什么事件。例如，如果已启用登录审核，则对系统的登录尝试将记录在安全日志中。系统日志?系统日志包含 Windows 系统组件记录的事件。例如，在启动过程中加载驱动程序或其他系统

6、组件失败将记录在系统日志中。?系统组件所记录的事件类型由 Windows 预先确定。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 3 页，共 9 页事件类型审计记录Windows 审计管理错误： 重要的问题，如数据丢失或功能丧失信息： 描述应用程序、驱动程序或服务的成功操作的事件警告： 不是很重要但将来可能出现的问题的事件成功审核： 审核安全访问尝试成功失败审核： 审核安全访问尝试失败精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 4 页，共 9 页审计数据的提炼操作系统的复杂化审计数据量的庞大审计数

7、据的提炼、过滤、去冗余可信进程的审计记录精简系统日志和应用程序日志系统日志是反映各种系统事件和设置的文件系统使用日志机制记录下主机上发生的事情，无论是对日常管理维护，还是对追踪入侵者的痕迹都非常关键。日志可分为操作系统日志和应用程序日志两部分。系统日志的安全性系统日志的来源产生系统日志的软件是在内核外运行的应用程序，易受到恶意的修改或攻击而操作系统审计记录是由系统内核模块生成的系统日志的存储方式存储在不受保护的文件目录里审计记录以二进制文件形式存放，具备较强的保护机制提高系统日志的安全性：加密和校验机制事件日志管理?日志大小、日志文件达到上限时的处理方式. 安全日志和审计策略?指定审计的事件类

8、型，记录内容审计机制的调整?安全性和系统效率的矛盾精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 5 页，共 9 页应用程序日志应用程序日志通常代表了系统活动的用户级抽象信息，相对于系统级的安全数据来说，去除了大量的冗余信息，更易于管理员浏览和理解。典型的有Web 服务器日志数据库系统日志Web 服务器通常支持两种标准格式的日志文件：通用日志格式（CLF ）扩展日志文件格式（ELFF ） ，除了CLF 所定义的数据字段外，还扩展包含了其他的附加信息。扩展日志文件格式（ELFF ）基于网络数据的信息源近年来流行的商用入侵检测系统大多采用了网络数据作为

9、其主要的输入数据源。优势占用资源少。在被保护的设备上不用几乎占用任何资源。通过网络被动监听的方式来获取网络数据包，作为入侵检测系统输入信息源的工作过程，对目标监控系统的运行性能几乎没有任何影响，并且通常无须改变。隐蔽性好一个网络上的监测器不像一个主机那样显眼和易被存取，因而也不精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 6 页，共 9 页那么容易遭受攻击。由于不是主机，因此一个基于网络的监视器不用去响应ping，不允许别人存取其本地存储器，不能让别人运行程序，而且不让多个用户使用它。其它的数据来源安全产品提供的数据源网络设备提供的数据带外的信息

10、源安全产品提供的数据源入侵检测系统采用其他安全产品的事件日志作为自己的输入数据源，可以凸现入侵检测在整个动态计算机安全模型中的关键角色和重要地位，显示出动态安全监控的能力在应付当前日益复杂的安全威胁模式中所发挥的不可或缺的作用。以 win7 自带的防火墙为例网络设备提供的数据采用网络管理系统提供的信息SNMP 主要的数据源。标准网管协议，其中的管理信息库是专门用于存放网络管理目的信息的地方，包含网络的配置信息（路由表、地址、名称等），以及大量关于网络系统性能和活动记账方面的信息（如用来记录在各个网络接口和各协议层上的网络流量的统计信息）路由器交换机带外的信息源“带外”（ out of band

11、 ）数据源通常是指由人工方式提供的数据信息。例如，系统管理员对入侵检测系统所进行的各种管理控制操作。除了上面所述的全部数据源之外，还有一种特殊的数据源类型，即来自文件系统的信息源。信息源的选择问题根据入侵检测系统设计的检测目标来选择所需的输入数据源。如果设计要求检测主机用户的异常活动，或者是特定应用程序的运行情况等，采用主机数据源是比较合适的；如果需要发现通过网络协议发动的入侵攻击就要采用来自网络数据的输入信息。如果系统设计要求监控整个目标系统内的总体安全状况等，此时就需要同时采用来自主机和网络的数据源在不影响目标系统运行性能和实现安全检测目标的前提下，最少需要多少信息，或者是采用最少数目的输

12、入数据源。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 7 页，共 9 页第二节入侵检测技术的分类第三节按照信息源的分类，分为两类：a)基于主机的入侵检测b)基于网络的入侵检测第四节按照检测方法的分类a)滥用（ misuse）入侵检测，又称为特征检测(Signature-based detection) i.分析各种类型的攻击手段，并找出可能的“ 攻击特征 ” 集合。ii.滥用入侵检测利用这些特征集合或者是对应的规则集合，对当前的数据来源进行各种处理后， 再进行特征匹配或者规则匹配工作，如果发现满足条件的匹配，则指示发生了一次攻击行为。b)异常（

13、 anomaly）入侵检测i.对攻击行为的检测可以通过观察当前活动与系统历史正常活动情况之间的差异来实现。滥用入侵检测滥用入侵检测的优点与异常入侵检测相比，滥用入侵检测具备更好的确定解释能力，即明确指示当前发生的攻击手段类型，因而在诸多商用系统中得到广泛应用。滥用入侵检测具备较高的检测率和较低的虚警率，开发规则库和特征集合相对于建立系统正常模型而言，也要更方便、更容易。滥用入侵检测的主要缺点一般情况下，只能检测到已知的攻击模式异常入侵检测异常检测的优点可以检测到未知的入侵行为大多数的正常行为的模型使用一种矩阵的数学模型，矩阵的数量来自于系统的各种指标。 比如 CPU使用率、内存使用率、 登录的

14、时间和次数、 网络活动、文件的改动等。异常检测的缺点若入侵者了解到检测规律，就可以小心的避免系统指标的突变，而使用逐渐改变系统指标的方法逃避检测。另外检测效率也不高，检测时间较长。最重要的是，这是一种“事后”的检测，当检测到入侵行为时，破坏早已经发生了。入侵检测技术的分类实时和非实时处理系统非实时的检测系统通常在事后收集的审计日志文件基础上，进行离线分析处理，并找出可能的攻击行为踪迹，目的是进行系统配置的修补工作，防范以后的攻击。实时处理系统实时监控，并在出现异常活动时及时做出反应。实时是一个根据用户需求而定的变量的概念， 当系统分析和处理的速度处于用户需求范围内时，就可以称为实时入侵检测系统

15、。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 8 页，共 9 页第三节具体的入侵检测系统NFR NID 200 ISS公司的 RealSecure 是一种混合入侵检测系统1996 年， RealSecure首先被作为一种传统的基于传感器的网络入侵检测系统来开发1998 年成为一种混合入侵检测系统多种响应方式RealSecure基本结构小结入侵检测的信息源：五种OS 的审计记录（BSM、Windows） 、系统日志、应用程序日志、网络数据、带外数据入侵检测技术的分类：两种数据源：基于主机和基于网络检测方法：滥用和异常具体的入侵检测系统NFR NID, ISS RealSecure 工作组管理器是入侵检测系统的中央控制点，负责配置、管理Sensor以及 Sensor所产生的事件数据的处理等工作。对Sensor的管理是通过安全加密通道进行的。包括：控制台、企业数据库、事件收集器。传感器是具体负责执行入侵检测任务的部件精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 9 页，共 9 页