入侵检测流程

入侵检测流程

• 入侵检测的过程
• 入侵检测系统的数据源
• 入侵分析的概念
• 入侵分析的模型
• 入侵检测的分析方法
• 告警与响应

入侵检测系统的数据源

堪于主机的数据源:

• 系统运行状态信息
• 系统记帐信息
• 系统日志（Syslog）
• C2级安全性审计信息

基于网络的数据源

• SNMP信息
• 网络通信包

其他来源

• 应用程序日志文件
• 其他入侵检测系统的报警信息
• 其他网络设备和安全产品的信息

入侵分析的概念

• 入侵检测系统是一个复杂的数据处理系统，所涉及到的问题域中的各种关系也比较复杂。
• 从入侵检测的角度来说，分析是指针对用户和系统活动数据进行有效的组织、整理并提取特征，以鉴别出感兴趣的行为。这种行为的鉴别可以实时进行，也可以事后分析，在很多情况下，事后的进步分析是为了寻找行为的责任人。

入侵分析的目的

• 重要的威慑力:目标系统使用IDS进行入侵分析，对于入侵者来说具有很大的威慑力，因为这意味着攻击行为可能会被发现或被追踪。
• 安全规划和管理:分析过程中可能会发现在系统安全规划和管理中存在的漏洞，安全管理员可以根据分析结果对系统进行重新配置，避免被攻击者用来窃取信息或破坏系统。
• 获取入侵证据:入侵分析可以提供有关入侵行为详细的、可信的证据，这些证据可以用于事后追究入侵者的责任。

入侵分析应考虑的因素

• 需求
• 子目标
• 目标划分
• 平衡

入侵分析的模型

入侵分析处理过程可分为三个阶段:

• 构建分析器
• 分析数据
• 反馈和更新

构建分析器

• 收集并生成事件信息
• 预处理信息
• 建立行为分析引擎
• 将事件数据输入引擎中
• 保存已输入数据的模型

分析数据

• 输入事件记录
• 事件预处理
• 比较事件记录和知识库
• 产生响应

反馈和更新

• 反馈和更新是一个非常重要的过程。
• 在误用检测系统中，反映这个阶段的主要功能是攻击信息的特征数据库是否可以更新。每天都能够根据新攻击方式的出现来更新攻击信息特征数据库是非常重要的。许多优化的信号引擎能够在系统正在监控事件数据，没有中断分析过程的同时，由系统操作员来更新信号数据库。
• 在异常检测系统中，依靠执行异常检测的类型，历史统计特征轮廓被定时更新。例如，在第1个入侵检测系统IDES中，每天都进行特征轮廓的更新。每个用户的摘要资料被加入知识库中，并且删除最老的资料。

误用入侵检测模型

误用检测方法

• 模式匹配方法：基于模式匹配的误用入侵检测方法是最基本的误用入侵检测方法，该方法将已知的入侵特征转换成模式，存放于模式数据库中，在检测过程中，模式匹配模型将到来的事件与入侵模式数据库中的入侵模式进行匹配，如果匹配成功，则认为有入侵行为发生。
• 专家系统方法：基于专家系统的误用入侵检测方法是最传统、最通用的误用入侵检测方法。在诸如 MIDAS、IDES、下一代IDES（NIDES）、DIDS和CMDS中都使用了这种方法。在 MIDAS、IDES和 NIDES中，应用的产品系统是P-BEST，该产品由 Alan Whitehurst设计。而DIDS和CMDS，使用的是 CLIPS系统，是由美国国家航空和宇航局开发的系统。

状态转换方法

有色Petri网方法

异常入侵检测模型

Denning的原始模型

• 可操作模型
• 平均和标准偏差模型
• 多变量模型
• Markov处理模型

量化分析

• 阈值检测
• 启发式阈值检测
• 基于目标的集成检查
• 量化分析和数据精简

统计度量

• IDES/NIDES
• Haystack
• 统计分析的力度
• 统计分析的不足

非参统计度量

• 非参统计异常检测的前提是根据用户特性把表示的用户活动数据分成两个明显区别的群：一个指示异常活动，另一个指示正常活动。
• 各种群集算法均可采用。这些算法包括利用简单距离度量一个客体是否属于一个群，以及比较复杂的概念式度量；即，根据一个条件集合对客体记分，并用这个分数来决定它是否属于某一个特定群。不同的群集算法通常服务于不同的数据集和分析目标。

基于规则的方法

• Wisdom and sense
• TIM

神经网络方法

• 神经网络使用可适应学习技术来描述异常行为。这种非参分析技术运作在历史训练数据集上。历史训练数据集假定是不包含任何指示入侵或其它不希望的用户行为。
• 神经网络由许多称为单元的简单处理元素组成。这些单元通过使用加权的连接相互作用。一个神经网络知识根据单元和它们权值间连接编码成网络机构。实际的学习过程是通过改变权值和加入或移去连接进行的。
• 使用神经网络进行入侵检测的主要不足是神经网络不能为它们找到的任何异常提供任何解释。

其他检测方法

• 免疫系统方法
• 遗传算法
• 基于代理的检测
• 数据挖掘方法

告警与响应

• 在完成系统安全状况分析并确定系统所存在的问题之后，就要让人们知道这些问题的存在，在某些情况下，还要另外采取行动。在入侵检测处理过程模型中，这个阶段称之为响应期。
• 理想的情况下，系统的这一部分应该具有丰富的响应功能特性，并且这些响应特性在针对安全管理小组中的每一位成员进行裁剪后，能够为他们都提供服务。
• 被动响应是系统仅仅简单地记录和报告所检测出的问题。
• 主动响应则是系统要为阻塞或影响进程而采取行动。

对响应的需求

• 操作环境
• 系统目标和优先权
• 规则或法令的需求
• 给用户传授专业技术

响应的类型

主动响应：

• 入侵者采取反击行动
• 修正系统环境
• 收集额外信息

被动响应：

• 告警和通知
• SNMP Trap和插件
  • 基于 SNMP Trap方式可以使得被管理设备主动向管理端报送告警信息或者其他错误信息。

按策略配置响应

• 立即行动
• 适时行动
• 本地的长期行动
• 全局的长期行动

联动响应机制

误用检测

• 假设前提：入侵行为和手段能够表达为种模式或者特征。（也就是可以用某种模式或者特征编码来描述或者指示该攻击手段）
• 优点：误报少；
• 缺点：只能发现已知的攻击，对未知攻击无能为力。

误用检测的常用方法

• 1、模式匹配方法；
• 2、专家系统方法；
• 3、状态转换方法；

模式匹配

• 首先将已知的入侵特征转换成模式，存储在模式数据库中。

• 检测过程中，把进来的事件与模式数据库中的入侵模式进行匹配，如果匹配成功，则认为入侵行为发生

snort检测规则示例

专家系统的架构和组成

状态转移方法

基于状态转移分析的检测模型，将攻击者的入侵行为描绘为一系列的特征操作及其所引起的一系列系统状态转换过程，从而使得目标系统从初始状态转移到攻击者所期望的危害状态

• 思想

  • 采用“状态转移图”来表示一个具体的入侵攻击过程

• 优点

  • 更直观
  • 更细微
  • 更强大（可检测到协同攻击）

• 缺点

  • STAT属于基于规则分析的滥用入侵检测系统，因此只能检则到已知的攻击类型

状态转移图来表示县体的攻击行为

• 状态转移图
  • 两个基本组件

• 状态转移图的示意

每个状态结点，都对应着一组状态断言。当满足该组断言后，本次从上个状态到本状态的转移过程才成功发生。

状态图的构建

• 只选取那些最能代表攻击过程并同时引起系统状态改变的关键操作。即，找到状态和引起状态发生变化的断言

  • 说明：对于每个具体的攻击行为，都可能存在不同的状态转移图的表示方法。

• S1确定关键行为操作

  • 用户创建一个文件
  • 执行这个文件

• S2确定这些关键操作所引起的状态变化
  • 从初始状态和最终状态入手
  • 分析中间状态

---

构建状态转移图的步骤：

①分析具体的攻击行为，理解内在机理。

⑦确定攻击过程中的关键行为点。

③确定初始状态和最终状态。

④从最终状态出发，逐步确定所需的各个中间状态及其应该满足的状态断言组。

异常入侵检测模型

• 假设前提：所有的入侵行为都是与正常行为不同的。（用户表现为可预测的、一直的系统使用模式）

• 优点：对未知入侵行为具有发现可能

• 缺点：误报多，检测准确性差

• 三种类型的威胁

  • 外部闯入：未经授权的用户的入侵；
  • 内部渗透：已授权用户访问未经授权的数据；
  • 不当行为：已授权用户在访问授权数据时方式不合规或滥用授权。

Denning的原始模型

（1）可操作模型

用变量或者计数器等对用户系统使用模式进行度量，该模型将度量数据直接与设定的阈值进行比较当度量值超出设定过的阈值时触发一个异常。

（2）平均和标准偏差模型

• 均值
• 标准偏差

（3）多变量模型

多变量模型是对平均和标准偏差模型的扩展。该模型是基于2个或多个度量参数的基础上进行的偏差分析，以此来识别出异常。

（4）Markov处理模型

使用状态转换矩阵来描述系统在不同状态间的转换频率。对于一个新观察事件，如果其发生的概率太低，则将其视为异常。