入侵检测技术ppt课件.ppt

《入侵检测技术ppt课件.ppt》由会员分享，可在线阅读，更多相关《入侵检测技术ppt课件.ppt（130页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、入侵检测技术入侵检测技术 惠惠 东东1. 概述概述2. 入侵检测方法入侵检测方法3. 入侵检测系统的设计原理入侵检测系统的设计原理4. 入侵检测响应机制入侵检测响应机制5. 其它其它6. 展望展望 概述概述2. 入侵检测方法入侵检测方法3. 入侵检测系统的设计原理入侵检测系统的设计原理4. 入侵检测响应机制入侵检测响应机制5. 其它其它6. 展望展望IntrusionnIntrusion : Attempting to break into or misuse your system.nIntruders may be from outside the network or legitimat

2、e users of the network.nIntrusion can be a physical, system or remote intrusion.n传统的信息安全方法采用严格的访问控制和数传统的信息安全方法采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策据加密策略来防护，但在复杂系统中，这些策略是不充分的。它们是系统安全不可缺的部分略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全但不能完全保证系统的安全n入侵检测（入侵检测（Intrusion Detection）是对入侵行）是对入侵行为的发觉。它通过从计算机网络或计算机系统为的发觉。它通过从计算机网

3、络或计算机系统的关键点收集信息并进行分析，从中发现网络的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击或系统中是否有违反安全策略的行为和被攻击的迹象的迹象Intrusion Detection入侵检测的定义入侵检测的定义n对系统的运行状态进行监视，发现各种攻对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性系统资源的机密性、完整性和可用性n进行入侵检测的软件与硬件的组合便是入进行入侵检测的软件与硬件的组合便是入侵检测系统侵检测系统nIDS : Intrusion Detec

4、tion System 入侵检测的特点入侵检测的特点 一个完善的入侵检测系统的特点：一个完善的入侵检测系统的特点：n经济性经济性n时效性时效性n安全性安全性n可扩展性可扩展性网络安全工具的特点网络安全工具的特点优点优点局限性局限性防火墙防火墙可简化网络管理，产品成熟可简化网络管理，产品成熟无法处理网络内部的攻击无法处理网络内部的攻击IDS实时监控网络安全状态实时监控网络安全状态误报警，缓慢攻击，新的攻误报警，缓慢攻击，新的攻击模式击模式Scanner简单可操作，帮助系统管理简单可操作，帮助系统管理员和安全服务人员解决实际员和安全服务人员解决实际问题问题并不能真正扫描漏洞并不能真正扫描漏洞VPN

5、保护公网上的内部通信保护公网上的内部通信可视为防火墙上的一个漏洞可视为防火墙上的一个漏洞防病毒防病毒针对文件与邮件，产品成熟针对文件与邮件，产品成熟功能单一功能单一1980年年 Anderson提出：入侵检测概念，分类方法提出：入侵检测概念，分类方法1987年年 Denning提出了一种通用的入侵检测模型提出了一种通用的入侵检测模型 独立性独立性 ：系统、环境、脆弱性、入侵种类：系统、环境、脆弱性、入侵种类 系统框架系统框架：异常检测器，专家系统：异常检测器，专家系统 9090年初：年初：CMDSCMDS、NetProwlerNetProwler、NetRangerNetRanger ISS

6、RealSecure ISS RealSecure入侵检测起源入侵检测起源入侵检测的起源（入侵检测的起源（1）n审计技术：产生、记录并检查按时间顺序排列审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程的系统事件记录的过程n审计的目标：审计的目标：n确定和保持系统活动中每个人的责任确定和保持系统活动中每个人的责任n重建事件重建事件n评估损失评估损失n监测系统的问题区监测系统的问题区n提供有效的灾难恢复提供有效的灾难恢复n阻止系统的不正当使用阻止系统的不正当使用入侵检测的起源（入侵检测的起源（2）n计算机安全和审计计算机安全和审计n美国国防部在美国国防部在70年代支持年代支持“可信信息

7、系可信信息系统统”的研究，最终审计机制纳入的研究，最终审计机制纳入可信可信计算机系统评估准则计算机系统评估准则（TCSEC）C2级级以上系统的要求的一部分以上系统的要求的一部分n“褐皮书褐皮书”理解可信系统中的审计指理解可信系统中的审计指南南入侵检测的起源（入侵检测的起源（3）1980年年4月，James P. Anderson :Computer Security Threat Monitoring and Surveillance（计算机安全威胁监控与监视）的技术报告，第（计算机安全威胁监控与监视）的技术报告，第一次详细阐述了入侵检测的概念一次详细阐述了入侵检测的概念他提出了一种对计算机系

8、统风险和威胁的分类方他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行法，并将威胁分为外部渗透、内部渗透和不法行为三种为三种还提出了利用审计跟踪数据监视入侵活动的思想。还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作这份报告被公认为是入侵检测的开山之作入侵检测的起源（入侵检测的起源（4） 从从1984年到年到1986年，乔治敦大学的年，乔治敦大学的Dorothy Denning和和SRI/CSL的的Peter Neumann研究出了一个实时入侵检研究出了一个实时入侵检测系统模型，取名为测系统模型，取名为IDES（入侵检测专家系统

9、）（入侵检测专家系统）入侵检测的起源（入侵检测的起源（5）1990，加州大学戴维斯分校的，加州大学戴维斯分校的L. T. Heberlein等等人开发出了人开发出了NSM（Network Security Monitor）该系统第一次直接将网络流作为审计数据来源，该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况因而可以在不将审计数据转换成统一格式的情况下监控异种主机下监控异种主机入侵检测系统发展史翻开了新的一页，两大阵营入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的正式形成：基于网络的IDS和基于主机的和基于主机的IDS 入侵检测的起源（入侵

10、检测的起源（6）IDS存在与发展的必然性存在与发展的必然性一、网络攻击的破坏性、损失的严重性一、网络攻击的破坏性、损失的严重性二、日益增长的网络安全威胁二、日益增长的网络安全威胁三、单纯的防火墙无法防范复杂多变的攻击三、单纯的防火墙无法防范复杂多变的攻击为什么需要为什么需要IDSn关于防火墙关于防火墙n网络边界的设备网络边界的设备n自身可以被攻破自身可以被攻破n对某些攻击保护很弱对某些攻击保护很弱n不是所有的威胁来自防火墙外部不是所有的威胁来自防火墙外部n入侵很容易入侵很容易n入侵教程随处可见入侵教程随处可见n各种工具唾手可得各种工具唾手可得IDS基本结构基本结构n入侵检测是监测计算机网络和系

11、统入侵检测是监测计算机网络和系统, ,以发以发现违反安全策略事件的过程现违反安全策略事件的过程n简单地说，入侵检测系统包括三个功能简单地说，入侵检测系统包括三个功能部件：部件：（1 1）信息收集信息收集（2 2）信息分析信息分析（3 3）结果处理）结果处理信息收集信息收集n入侵检测的第一步是信息收集，收集内容入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态包括系统、网络、数据及用户活动的状态和行为。和行为。n需要在计算机网络系统中的若干不同关键需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，点（不同网段和不同主机）收集信息，n尽可能扩大检测范围尽可

12、能扩大检测范围n从一个源来的信息有可能看不出疑点从一个源来的信息有可能看不出疑点信息收集信息收集n入侵检测很大程度上依赖于收集信息的可入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，要保证用来检测网靠性和正确性，因此，要保证用来检测网络系统的软件的完整性，特别是入侵检测络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息止被篡改而收集到错误的信息 信息收集的来源信息收集的来源n系统或网络的日志文件系统或网络的日志文件n网络流量网络流量n系统目录和文件的异常变化系统目录和文件的异常变化n程序执行中的异常行为

13、程序执行中的异常行为系统或网络的日志文件系统或网络的日志文件n黑客经常在系统日志文件中留下他们的踪迹，黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检因此，充分利用系统和网络日志文件信息是检测入侵的必要条件测入侵的必要条件n日志文件中记录了各种行为类型，每种类型又日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录包含不同的信息，例如记录“用户活动用户活动”类型类型的日志，就包含登录、用户的日志，就包含登录、用户ID改变、用户对文改变、用户对文件的访问、授权和认证信息等内容件的访问、授权和认证信息等内容n显然，对用户活动来讲，不正常的或不期望的显然，

14、对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等以及非授权的企图访问重要文件等等 系统目录和文件的异常变化系统目录和文件的异常变化n网络环境中的文件系统包含很多软件和数据文网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不是黑客修改或破坏的目标。目录和文件中的不期望的改变（包括修改、创建和删除），特别期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一是那些正常

15、情况下限制访问的，很可能就是一种入侵产生的指示和信号种入侵产生的指示和信号n入侵者经常替换、修改和破坏他们获得访问权入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件修改系统日志文件 信息分析信息分析 模式匹配模式匹配 统计分析统计分析 完整性分析，往往用于事后分析完整性分析，往往用于事后分析模式匹配模式匹配n模式匹配就是将收集到的信息与已知的网络入侵模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现

16、违背和系统误用模式数据库进行比较，从而发现违背安全策略的行为安全策略的行为n一般来讲，一种进攻模式可以用一个过程（如执一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）正规的数学表达式来表示安全状态的变化）统计分析统计分析n统计分析方法首先给系统对象（如用户、文件、统计分析方法首先给系统对象（如用户、文件、目录和

17、设备等）创建一个统计描述，统计正常使目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次用时的一些测量属性（如访问次数、操作失败次数和延时等）数和延时等）n测量属性的平均值将被用来与网络、系统的行为测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就进行比较，任何观察值在正常值范围之外时，就认为有入侵发生认为有入侵发生完整性分析完整性分析n完整性分析主要关注某个文件或对象是完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被安装容及属性，它在发现被更改

18、的、被安装木马的应用程序方面特别有效木马的应用程序方面特别有效入侵检测的分类（入侵检测的分类（1）n按照分析方法（检测方法）按照分析方法（检测方法）n异常检测模型（异常检测模型（Anomaly Detection ):首先总首先总结正常操作应该具有的特征（用户轮廓），结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认当用户活动与正常行为有重大偏离时即被认为是入侵为是入侵 n误用检测模型（误用检测模型（Misuse Detection)：收集非收集非正常操作的行为特征，建立相关的特征库，正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹当监测的

19、用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵配时，系统就认为这种行为是入侵 异常检测异常检测Below Threshold levelsExceed Threshold LevelsSystem AuditMetricsProfilerIntrusionNormal Activity异常检测模型异常检测模型1.1. 前提：入侵是异常活动的子集前提：入侵是异常活动的子集 2.2. 用户轮廓用户轮廓(Profile): (Profile): 通常定义为各种行为参数及其通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围阀值的集合，用于描述正常行为范围3.3. 过程过程 监控监

20、控 量化量化 比较比较 判定判定 修正修正4.4. 指标指标: :漏报漏报( (false positivefalse positive) ), ,错报错报( (false negativefalse negative) )异常检测异常检测异常检测异常检测n如果系统错误地将异常活动定义为入侵，称为如果系统错误地将异常活动定义为入侵，称为误报误报(false positive) ；如果系统未能检测出真；如果系统未能检测出真正的入侵行为则称为正的入侵行为则称为漏报漏报(false negative)。 n特点：异常检测系统的效率取决于用户轮廓的特点：异常检测系统的效率取决于用户轮廓的完备性和监控的

21、频率。因为不需要对每种入侵完备性和监控的频率。因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵。行为进行定义，因此能有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整同时系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。测会消耗更多的系统资源。 Anomaly Detectionactivity measures0102030405060708090CPUProcessSizenormal profileabnormalprobable intrusionRelatively high

22、 false positive rate - anomalies can just be new normal activities.System AuditMetricsPattern MatcherIntrusionNormal ActivityNo Signature MatchSignature Match误用检测模型误用检测模型误用检测误用检测1.1. 前提：所有的入侵行为都有可被检测到的特征前提：所有的入侵行为都有可被检测到的特征 2.2. 攻击特征库攻击特征库: : 当监测的用户或系统行为与库中的记录当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵相匹配时，系

23、统就认为这种行为是入侵 3.3. 过程过程 监控监控 特征提取特征提取 匹配匹配 判定判定 4.4. 指标指标 错报低错报低 漏报高漏报高 误用检测误用检测误用检测模型误用检测模型n如果入侵特征与正常的用户行能匹配，则系统如果入侵特征与正常的用户行能匹配，则系统会发生会发生误报误报；如果没有特征能与某种新的攻击；如果没有特征能与某种新的攻击行为匹配，则系统会发生行为匹配，则系统会发生漏报漏报n特点：特点：采用特征匹配，滥用模式能明显降低错采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变报率，但漏报率随之增加。攻击特征的细微变化，会使得滥用检测无能为力化，会使得滥用检测

24、无能为力Misuse DetectionIntrusion Patternsactivitiespattern matchingintrusionCant detect new attacksExample: if (src_ip = dst_ip) then “land attack”入侵检测的分类（入侵检测的分类（2）n按照数据来源：按照数据来源：n基于主机：系统获取数据的依据是系统基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机，保护的目标也是系统运行所在的主机运行所在的主机n基于网络：系统获取的数据是网络传输基于网络：系统获取的数据是网络传输的数据包，

25、保护的是网络的运行的数据包，保护的是网络的运行n混合型混合型n监视与分析主机的审计记录监视与分析主机的审计记录n可以不运行在监控主机上可以不运行在监控主机上n能否及时采集到审计记录？能否及时采集到审计记录？n如何保护作为攻击目标主机审计子系统？如何保护作为攻击目标主机审计子系统？基于主机基于主机n在共享网段上对通信数据进行侦听采集数据在共享网段上对通信数据进行侦听采集数据 n主机资源消耗少主机资源消耗少 n提供对网络通用的保护提供对网络通用的保护n如何适应高速网络环境？如何适应高速网络环境？n非共享网络上如何采集数据？非共享网络上如何采集数据？基于网络基于网络两类两类IDS监测软件监测软件n网

26、络网络IDSn侦测速度快侦测速度快 n隐蔽性好隐蔽性好 n视野更宽视野更宽 n较少的监测器较少的监测器 n占资源少占资源少 n主机主机IDSn视野集中视野集中 n易于用户自定义易于用户自定义n保护更加周密保护更加周密n对网络流量不敏感对网络流量不敏感 入侵检测的分类（入侵检测的分类（3）n按系统各模块的运行方式按系统各模块的运行方式n集中式：系统的各个模块包括数据的集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行收集分析集中在一台主机上运行n分布式：系统的各个模块分布在不同分布式：系统的各个模块分布在不同的计算机和设备上的计算机和设备上入侵检测的分类（入侵检测的分类（4）n根据时效

27、性根据时效性n脱机分析：行为发生后，对产生的数脱机分析：行为发生后，对产生的数据进行分析据进行分析n联机分析：在数据产生的同时或者发联机分析：在数据产生的同时或者发生改变时进行分析生改变时进行分析常用术语常用术语n当一个入侵正在发生或者试图发生时，当一个入侵正在发生或者试图发生时，IDSIDS系统将发系统将发布一个布一个alertalert信息通知系统管理员信息通知系统管理员n如果控制台与如果控制台与IDSIDS系统同在一台机器，系统同在一台机器，alertalert信息将信息将显示在监视器上，也可能伴随着声音提示显示在监视器上，也可能伴随着声音提示n如果是远程控制台，那么如果是远程控制台，那

28、么alertalert将通过将通过IDSIDS系统内置系统内置方法（通常是加密的）、方法（通常是加密的）、SNMPSNMP（简单网络管理协议，（简单网络管理协议，通常不加密）、通常不加密）、emailemail、SMSSMS（短信息）或者以上几（短信息）或者以上几种方法的混合方式传递给管理员种方法的混合方式传递给管理员Alert（警报）（警报） Anomaly（异常）（异常） n当有某个事件与一个已知攻击的信号相匹配时，多数当有某个事件与一个已知攻击的信号相匹配时，多数IDS都会告警都会告警n一个基于一个基于anomaly（异常）的（异常）的IDS会构造一个当时活动会构造一个当时活动的主机或网

29、络的大致轮廓，当有一个在这个轮廓以外的主机或网络的大致轮廓，当有一个在这个轮廓以外的事件发生时，的事件发生时，IDS就会告警就会告警n有些有些IDS厂商将此方法看做启发式功能，但一个启发厂商将此方法看做启发式功能，但一个启发式的式的IDS应该在其推理判断方面具有更多的智能应该在其推理判断方面具有更多的智能 n首先，可以通过重新配置路由器和防火墙，拒绝那些来首先，可以通过重新配置路由器和防火墙，拒绝那些来自同一地址的信息流自同一地址的信息流;其次，通过在网络上发送其次，通过在网络上发送reset包包切断连接切断连接n但是这两种方式都有问题，攻击者可以反过来利用重新但是这两种方式都有问题，攻击者可

30、以反过来利用重新配置的设备，其方法是：通过伪装成一个友方的地址来配置的设备，其方法是：通过伪装成一个友方的地址来发动攻击，然后发动攻击，然后IDS就会配置路由器和防火墙来拒绝这就会配置路由器和防火墙来拒绝这些地址，这样实际上就是对些地址，这样实际上就是对“自己人自己人”拒绝服务了拒绝服务了n发送发送reset包的方法要求有一个活动的网络接口，这样它包的方法要求有一个活动的网络接口，这样它将置于攻击之下，一个补救的办法是：使活动网络接口将置于攻击之下，一个补救的办法是：使活动网络接口位于防火墙内，或者使用专门的发包程序，从而避开标位于防火墙内，或者使用专门的发包程序，从而避开标准准IP栈需求栈需

31、求 Automated ResponsenIDS的核心是攻击特征，它使的核心是攻击特征，它使IDS在事件发生时触发在事件发生时触发n特征信息过短会经常触发特征信息过短会经常触发IDS，导致误报或错报，过长，导致误报或错报，过长则会减慢则会减慢IDS的工作速度的工作速度n有人将有人将IDS所支持的特征数视为所支持的特征数视为IDS好坏的标准，但是好坏的标准，但是有的产商用一个特征涵盖许多攻击，而有些产商则会将有的产商用一个特征涵盖许多攻击，而有些产商则会将这些特征单独列出，这就会给人一种印象，好像它包含这些特征单独列出，这就会给人一种印象，好像它包含了更多的特征，是更好的了更多的特征，是更好的I

32、DSSignatures（特征）（特征） Promiscuous（混杂模式）（混杂模式） n默认状态下，默认状态下，IDS网络接口只能看到进出主机的信息，网络接口只能看到进出主机的信息，也就是所谓的也就是所谓的non-promiscuous（非混杂模式）（非混杂模式）n如果网络接口是混杂模式，就可以看到网段中所有的如果网络接口是混杂模式，就可以看到网段中所有的网络通信量，不管其来源或目的地网络通信量，不管其来源或目的地n这对于网络这对于网络IDS是必要的，但同时可能被信息包嗅探是必要的，但同时可能被信息包嗅探器所利用来监控网络通信量器所利用来监控网络通信量n交换型交换型HUB可以解决这个问题，

33、在能看到全面通信量可以解决这个问题，在能看到全面通信量的地方，会都许多跨越（的地方，会都许多跨越（span）端口）端口1. 概述概述 入侵检测方法入侵检测方法3. 入侵检测系统的设计原理入侵检测系统的设计原理4. 入侵检测响应机制入侵检测响应机制5. 其它其它6. 展望展望入侵检测相关的数学模入侵检测相关的数学模型型试验模型（试验模型（Operational ModelOperational Model）平均值和标准差模型（平均值和标准差模型（Mean and Standard Deviation ModelMean and Standard Deviation Model）: :多变量模型（

34、多变量模型（Multivariate ModelMultivariate Model）: : 多个随机变量的相关性多个随机变量的相关性计算，计算， 马尔可夫过程模型（马尔可夫过程模型（Markov Process ModelMarkov Process Model）：初始分布和概）：初始分布和概率转移矩阵；预测新的事件的出现频率太低，则表明出现异常情率转移矩阵；预测新的事件的出现频率太低，则表明出现异常情况。况。时序模型（时序模型（Time Series ModelTime Series Model）：该模型通过间隔计时器和资）：该模型通过间隔计时器和资源计数器两种类型随机变量参数之间的相隔时

35、间和它们的值来判源计数器两种类型随机变量参数之间的相隔时间和它们的值来判断入侵断入侵 异常入侵检测方法异常入侵检测方法统计异常检测统计异常检测基于特征选择异常检测基于特征选择异常检测基于贝叶斯推理异常检测基于贝叶斯推理异常检测基于贝叶斯网络异常检测基于贝叶斯网络异常检测基于模式预测异常检测基于模式预测异常检测基于神经网络异常检测基于神经网络异常检测基于贝叶斯聚类异常检测基于贝叶斯聚类异常检测基于机器学习异常检测基于机器学习异常检测基于数据挖掘异常检测基于数据挖掘异常检测基于条件概率误用检测基于条件概率误用检测基于专家系统误用检测基于专家系统误用检测基于状态迁移误用检测基于状态迁移误用检测基于键

36、盘监控误用检测基于键盘监控误用检测基于模型误用检测基于模型误用检测 误用入侵检测方法误用入侵检测方法基于误用的入侵检测基于误用的入侵检测n思想：主要是通过某种方式预先定义入侵行为，思想：主要是通过某种方式预先定义入侵行为，然后监视系统，从中找出符合预先定义规则的然后监视系统，从中找出符合预先定义规则的入侵行为入侵行为n误用信号需要对入侵的特征、环境、次序以及误用信号需要对入侵的特征、环境、次序以及完成入侵的事件相互间的关系进行描述完成入侵的事件相互间的关系进行描述n重要问题重要问题n（1）如何全面的描述攻击的特征）如何全面的描述攻击的特征n（2）如何排除干扰，减小误报）如何排除干扰，减小误报n

37、（3）解决问题的方式）解决问题的方式 其它其它基于生物免疫检测基于生物免疫检测基于伪装检测基于伪装检测1. 概述概述2. 入侵检测方法入侵检测方法 入侵检测系统的设计原理入侵检测系统的设计原理4. 入侵检测响应机制入侵检测响应机制5. 其它其它6. 展望展望活动数据源感应器分析器管理器操作员管理员事件警报通告应急安全策略安全策略入侵检测系统原理图入侵检测系统原理图攻击模式库入侵检测器应急措施配置系统库数据采集安全控制系统审计记录/协议数据等系统操作简单的入侵检测示意图简单的入侵检测示意图基于主机的入侵检测系统基于主机的入侵检测系统n系统分析主机产生的数据（应用程系统分析主机产生的数据（应用程序

38、及操作系统的事件日志）序及操作系统的事件日志）n由于内部人员的威胁正变得更重要由于内部人员的威胁正变得更重要n基于主机的检测威胁基于主机的检测威胁n基于主机的结构基于主机的结构n优点及问题优点及问题基于主机的检测威胁基于主机的检测威胁n特权滥用特权滥用n关键数据的访问及修改关键数据的访问及修改n安全配置的变化安全配置的变化基于主机的入侵检测系统结构基于主机的入侵检测系统结构n基于主机的入侵检测系统通常是基基于主机的入侵检测系统通常是基于代理的，代理是运行在目标系统于代理的，代理是运行在目标系统上的可执行程序，与中央控制计算上的可执行程序，与中央控制计算机通信机通信n集中式：原始数据在分析之前要

39、先发集中式：原始数据在分析之前要先发送到中央位置送到中央位置n分布式：原始数据在目标系统上实时分布式：原始数据在目标系统上实时分析，只有告警命令被发送给控制台分析，只有告警命令被发送给控制台目标系统审计记录收集方法审计记录预处理异常检测误用检测安全管理员接口审计记录数据归档/查询审计记录数据库审计记录基于审计的入侵检测系统结构示意图基于审计的入侵检测系统结构示意图集中式检测的优缺点集中式检测的优缺点n优点：优点：n不会降低目标机的性能不会降低目标机的性能n统计行为信息统计行为信息n多主机标志、用于支持起诉的原始数据多主机标志、用于支持起诉的原始数据n缺点：缺点：n不能进行实时检测不能进行实时检

40、测n不能实时响应不能实时响应n影响网络通信量影响网络通信量分布式检测的优缺点分布式检测的优缺点n优点：优点：n实时告警实时告警n实时响应实时响应n缺点：缺点：n降低目标机的性能降低目标机的性能n没有统计行为信息没有统计行为信息n没有多主机标志没有多主机标志n没有用于支持起诉的原始数据没有用于支持起诉的原始数据n降低了数据的辨析能力降低了数据的辨析能力n系统离线时不能分析数据系统离线时不能分析数据操作模式操作模式n操作主机入侵检测系统的方式操作主机入侵检测系统的方式n警告警告n监视监视n毁坏情况评估毁坏情况评估n遵从性遵从性基于主机的技术面临的问题基于主机的技术面临的问题n性能：降低是不可避免的

41、n部署/维护n损害n欺骗基于网络的入侵检测系统基于网络的入侵检测系统n入侵检测系统分析网络数据包入侵检测系统分析网络数据包n基于网络的检测威胁基于网络的检测威胁n基于网络的结构基于网络的结构n优点及问题优点及问题基于网络的检测威胁基于网络的检测威胁n非授权访问非授权访问n数据数据/资源的窃取资源的窃取n拒绝服务拒绝服务基于网络的入侵检测系统结构基于网络的入侵检测系统结构n基于网络的入侵检测系统由遍及网络的基于网络的入侵检测系统由遍及网络的传感器（传感器（Sensor)组成，传感器会向中组成，传感器会向中央控制台报告。传感器通常是独立的检央控制台报告。传感器通常是独立的检测引擎，能获得网络分组、

42、找寻误用模测引擎，能获得网络分组、找寻误用模式，然后告警。式，然后告警。n传统的基于传感器的结构传统的基于传感器的结构n分布式网络节点结构分布式网络节点结构传统的基于传感器的结构传统的基于传感器的结构n传感器（通常设置为混杂模式）用传感器（通常设置为混杂模式）用于嗅探网络上的数据分组，并将分于嗅探网络上的数据分组，并将分组送往检测引擎组送往检测引擎n检测引擎安装在传感器计算机本身检测引擎安装在传感器计算机本身n网络分接器分布在关键任务网段上，网络分接器分布在关键任务网段上，每个网段一个每个网段一个管理/配置入侵分析引擎器网络安全数据库嗅探器嗅探器分析结果基于网络的入侵检测系统模型基于网络的入侵

43、检测系统模型分布式网络节点结构分布式网络节点结构n为解决高速网络上的丢包问题，为解决高速网络上的丢包问题，1999年年6月，出现的一种新的结构，将传感器分布月，出现的一种新的结构，将传感器分布到网络上的每台计算机上到网络上的每台计算机上n每个传感器检查流经他的网络分组，然后每个传感器检查流经他的网络分组，然后传感器相互通信，主控制台将所有的告警传感器相互通信，主控制台将所有的告警聚集、关联起来聚集、关联起来数据采集构件应急处理构件通信传输构件检测分析构件管理构件安全知识库分布式入侵检测系统结构示意图分布式入侵检测系统结构示意图基于网络的入侵检测的好处基于网络的入侵检测的好处n威慑外部人员n检测

44、n自动响应及报告基于网络的技术面临的问题基于网络的技术面临的问题n分组重组n高速网络n加密基于异常的入侵检测基于异常的入侵检测n思想：任何正常人的行为有一定的规律思想：任何正常人的行为有一定的规律n需要考虑的问题：需要考虑的问题：（1）选择哪些数据来表现用户的行为）选择哪些数据来表现用户的行为（2）通过以上数据如何有效地表示用户的行为，）通过以上数据如何有效地表示用户的行为，主要在于学习和检测方法的不同主要在于学习和检测方法的不同（3）考虑学习过程的时间长短、用户行为的时）考虑学习过程的时间长短、用户行为的时效性等问题效性等问题数据选取的原则数据选取的原则（1）数据能充分反映用户行为特征的全貌

45、数据能充分反映用户行为特征的全貌（2） 应使需要的数据量最小应使需要的数据量最小（3） 数据提取难度不应太大数据提取难度不应太大NIDS抓包抓包nPF_PACKETn从链路层抓包nlibpcapn提供API函数nwinpcapnWindows下的抓包库分析数据包分析数据包EthernetIPTCP模式匹配EthernetIPTCP协议分析HTTPUnicodeXML模式匹配模式匹配 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.M.E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 111

46、1 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:.P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 64754745 5420 2f70 726f 6475 .GET /produ GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 676

47、5 ges/home_collage 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1. 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1. 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: *

48、 */ /* *.Ref .Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: http:/www 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: http:/www 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless a0 726f 6475 6374

49、732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. d0 0a41 6363 6570 74

50、2d 456e 636f 6469 6e67 .Accept-Encoding d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz f0 0a55 7365 722d 41