[ 笔记 ] 计算机网络安全_6_入侵检测系统
[笔记] 计算机网络安全:(6)入侵检测系统
- 网络安全基础
- internet协议的安全性
- Web安全
- 网络扫描和网络监听
- 防火墙原理与设计
- 入侵检测系统
- VPN技术
目录
- [笔记] 计算机网络安全:(6)入侵检测系统
-
- 6.1 入侵检测系统概述
-
- 定义
- 功能
- 主要任务
- 发展
- 工作流程
-
- 信息收集
- 信息分析
- 安全响应
- 分类
- 评价标准
- 6.2 入侵检测系统原理及主要方法
-
- 异常检测
- 误用检测
- 6.3 入侵检测系统
-
- 基于网络的入侵检测系统(NIDS)
-
- 主要特点
- 关键技术
- 实例-SNORT
- NIDS优缺点
- NIDS的部署
- 基于主机的入侵检测系统(HIDS)
-
- 关键技术
- HIDS关键技术
- 优缺点
- 实例TripWire
- NIDS vs HIDS
- 分布式入侵检测系统(DIDS)
- 6.4 IDS设计重点和部署
-
- IDS的设计
- IDS的部署
- 6.5 IDS发展趋势和方向
-
- 面临问题
- 发展方向
- 入侵防御系统IPS
-
- IPS与IDS:技术同源
- 部署方式对比
- 设计出发点对比
- 解决的问题
传统的网络安全防护技术存在局限:被动防御的网络安全技术
- 无法防御来自内部的攻击
- 无法防范数据驱动型的攻击
- 自身存在弱点,可能成为攻击对象
- 安全策略不能充分保证系统安全
积极主动的网络安全防护技术
- 即时监控网络数据传输
- 实时报告网络异常
- 迅速、主动地采取反应措施
6.1 入侵检测系统概述
定义
入侵检测是一种网络入侵识别技术,入侵检测是防火墙之后的第一道网络安全闸门
- 事前预防:识别网络入侵企图
- 事中反制:正在发生的网络入侵行为
- 事后分析:网络入侵发生后搜集相关信息
功能
- 统计、分析攻击者的探测行为,发出警报
- 检测、记录网络中的攻击行为,采取阻断措施
- 提供攻击的详细信息,诊断和修补安全弱点
- 检测未授权操作或安全违规行为
- 识别、报告系统中存在的安全威胁
主要任务
- 监视、分析用户及系统的活动
- 跟踪、分析网络数据流量
- 实现数据文件的完整性检查
- 构建已知攻击特征库,识别已知攻击
- 构建正常行为模式,识别异常行为
发展
- 《Computer Security Threat Monitoring and Surveillance》
- 第一次详细阐述了入侵检测的概念
- 将安全威胁分类:内部、外部和不法行为
- 利用审计数据监视入侵活动
- IDES(入侵检测专家系统):入侵检测中最有影响的一个系统
- 统计学原理
- 基于规则
- NSM(Network Security Monitor)
- 直接将网络流作为审计数据来源
- 无需转换审计数据格式监控异种主机
- 两大阵营:NIDS vs HIDS
- CIDF(Common Intrusion Detection Framework)
- CIDF体系结构
- CIDF通信机制
- CIDF语言:公共入侵规范语言
- CIDF的应用程序接口
- 共享信息和资源 & 入侵检测组件再利用
工作流程
- 信息收集:用户活动状态和行为
- 网络
- 系统
- 数据库
- 应用系统
- 信息分析:对用户行为进行分析
- 模式匹配
- 统计分析
- 完整性分析
- 安全响应:对分析结果安全响应
- 主动响应
- 被动响应
信息收集
在网络上中若干不同关键点收集信息
入侵检测很大程度上以来收集信息的可靠性和正确性
- 系统和网络日志
- 网络流量
- IDS信息收集
- 非正常的目录和文件改变
- 非正常的程序执行
- …
信息分析
-
模式匹配:将收集到的信息与已知的入侵行为模式进行比较
-
网络入侵行为模式:
-
一个输出(例如获得某种权限)
-
一个过程(例如执行某一条指令)
- 可能很简单。(例如字符串匹配查找指定的条目获指令)
- 也可能很复杂。(例如利用数学方式表示安全状态的变化)
-
-
-
统计分析:将系统对象观测值与正常测量属性进行对比,发现偏差
- 入侵检测常用的异常发现方法:
- 构建系统对象正常情况下的统计测量属性
- 将当前观察值与统计测量属性进行比较
- 观测值无偏差——无入侵行为发生
- 观测值有偏差——存在入侵发生
- 入侵检测常用的异常发现方法:
-
完整性分析:在发现被恶意代码感染的应用程序方面效果特别明显
- 关注文件或系统对象是否被非法更改
- 文件的内容和属性
- 目录的内容和属性
- 其他系统对象的内容和属性
- 关注文件或系统对象是否被非法更改
安全响应
-
安全响应分为被动响应和主动响应两种类型
-
入侵检测系统一般采取的响应措施
- 分析结果记录到日志
- 告警信息
- 阻断攻击
分类
- 依据入侵检测方法
- 异常检测模型(Anomaly Detection)
- 总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。
- 误用检测模型(Misuse Detection)
- 建立入侵行为特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵
- 异常检测模型(Anomaly Detection)
- 依据入侵检测信息来源
- 基于主机的入侵检测
- 检测系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机
- 基于网络的入侵检测
- 检测系统获取数据的依据是网络传输的数据包,保护的目标是网络的正常运行
- 混合型
- 检测系统获取数据的依据二者兼而有之
- 基于主机的入侵检测
- 依据体系结构和模块运行方式
- 集中式入侵检测系统
- 分布式入侵检测系统
- 依据时效性
- 脱机分析型入侵检测系统
- 联机分析型入侵检测系统
评价标准
- 功能
- 性能
- 可用性
- 误报 (false positive)——假阳性:误报率 = 误报事件数/事件数总量
- 漏报 (false negative)——假阴性:漏报率 = 漏报事件数/事件数总量
先进的检测能力和响应能力
不影响被保护网络正常运行
无人监管能正常运行
具有坚固的自身安全性
具有很好的可管理性
消耗系统资源较少
可扩展性好,能适应变化
支持IP碎片重组
支持TCP流重组
支持TCP状态检测
支持应用层协议解码
灵活的用户报告功能 安装、配置、调整简单易行
能与常用的其他安全产品集成
支持常用网络协议和拓扑结构 IDS评价标准
6.2 入侵检测系统原理及主要方法
异常检测
能检测未知入侵但误报率高
- 基于行为的入侵检测
- 识别主机或网络中的异常行为
假设前提:入侵行为是异常活动的子集
用户轮廓:各种行为参数及其阀值的集合
检测过程:监控、量化、比较、判定、修正
特点
- 效率取决于用户轮廓的完备性和监控的频率
- 能够有效地检测未知入侵
- 自我调整和优化
分类
-
统计信息异常检测
-
对用户行为按照一定地频率进行采样
-
依据样本计算得到参数变量描述用户轮廓
-
优点
- 统计学方法非常成熟
- 学习用户使用习惯
-
缺点
- 计算量巨大
- 可能被攻击者训练
- 对事件发生的顺序不敏感
-
-
神经网络异常检测
- 将神经网络用于对系统或用户行为的学习
- 根据用户已执行命令预测用户的下一条命令
- 优点
- 能处理原始数据的随机性和干扰性
- 能够自动学习
- 缺点
- “黑盒”建模
- 难以确定各元素的权重
- 无法利用已有的经验和知识
-
其它异常检测方法如下
-
模式预测异常检测
-
马尔可夫过程异常检测
-
数据挖掘异常检测
-
时间序列分析异常检测
优点
- 能检测新的网络入侵
- 较少依赖于特定的主机操作系统
- 内部合法用户的越权行为检测能力强
缺点
- 误报率高
- 行为模型建立困难
- 难以对入侵行为分类和命名
误用检测
不能检测未知入侵,准确检测已知入侵
- 基于知识的入侵检测
- 将系统当前行为状态与已知入侵特征进行比较
假设前提:入侵行为都有可被检测到的特征
入侵特征:检测用户或系统行为是否和特征库中记录匹配
检测过程:监控、提取特征、匹配、判定
特点
- 误报率低、漏报率高
攻击特征
- 误用检测的核心
- 过长的攻击特征降低系统效率
- 太短的攻击特征会导致误报
分类
- 专家系统误用检测
- 将已知网络入侵行为转成规则,建立专家库
- 网络行为的审计数据进行规则转换后再判定
- 优点:适合于有特征的入侵
- 缺点
- 处理大量的审计数据
- 攻击行为规则化描述精度不高
- 只能检测已知攻击,知识库维护
- 特征分析误用检测
- 将入侵行为表示成事件序列或数据样板
- 以行为的审计数据与事件序列进行匹配
- 优点:运行效率有所提高
- 缺点
- 需及时更新数据库
- 建立和维护知识库工作量大
- 模型推理误用检测
- 根据网络入侵行为特征建立误用证据模型
- 需建立攻击场景数据库、预警器和规划者
- 优点
- 未确定推理理论为基础,模型证据推理中间结论
- 减少审计数据量
- 缺点
- 建模开销
- 需对数据库不断扩充
优点
- 检测准确度高
- 技术相对成熟
- 便于系统维护
缺点
- 不能检测新的入侵
- 依赖于入侵特征的有效性
- 维护特征库的工作量巨大
6.3 入侵检测系统
基于网络的入侵检测系统(NIDS)
- 分析网络流量、网络数据包和协议
- 使用原始网络包作为数据包
- 运行在随机模式下的网络适配器监听通信
主要特点
- 成本低
- 攻击者很难转移/消除证据
- 能够进行实时检测和响应
- 能够检测未成功的攻击企图
- 独立于操作系统
关键技术
- IP碎片重组技术
- 针对IP碎片攻击
- 碎片覆盖
- 碎片重写
- 碎片超时
- 针对网络拓扑的碎片技术
- 模拟目标主机对缓存的IP碎片进行重组
- 然后进行入侵检测分析
- 针对IP碎片攻击
- TCP流重组技术
- IDS无法使用TCP重传机制
- 传输中出现报文丢失或者失序,将增加检测难度
- 报文丢失或者失序,还将导致IDS无法进行序列号追踪
- TCP状态检测组技术
- 网络协议分析技术
- 协议分析技术特点
- 根据现有协议模式,到固定位置取值
- 根据取得的值,分析协议的流量,寻找可疑或不正常的行为
- 加入状态特性分析,将会话流量作为整体来考虑
- 当流量不是期望值时,IDS就发出告警
- 协议分析技术优点
- 性能提高
- 准确性提高
- 基于状态的分析
- 反规避能力大大增强
- 系统资源开销小。
- 协议分析技术特点
- 零复制技术
- 减少数据复制和系统调用,实现CPU零参与
- DMA数据传输
- 内存区域映射
- 蜜罐/蜜网技术
- 蜜罐/蜜网是吸引攻击者的陷阱
- 收集和分析威胁信息
- 发现攻击工具、确定攻击模式、研究攻击动机
- 优势
- 大大减少了需要分析的数据
- 蜜网计划已收集了大量信息,黑客很少采用新的攻击方法
- 蜜罐不仅是一种研究工具,还具有真正的商业应用价值
- 虚拟蜜网的出现降低了蜜罐的成本和管理难度
实例-SNORT
SNORT是一个强大的轻量级网络入侵检测系统
- 具备实时数据流量分析能力,能够进行协议分析和内容搜索/匹配
- 具有很好的扩展性和可移植性
- 遵循通用公共许可证GPL,任何组织和个人都可以自由使用
- 入侵检测规则是完全开放的
NIDS优缺点
优点
- 可提供实时的网络行为检测
- 可保护多态网络主机
- 具有良好的隐蔽性
- 有效保护入侵证据
- 不影响被保护主机的性能
缺点
- 在交换式网络环境难以配置
- 检测性能受硬件限制
- 不能处理加密后的数据
NIDS的部署
- DMZ区
- 最常见的部署位置,可检测到所有针对服务器的攻击行为
- 优点
- 检测已经渗入过第一层防御体系的来自外部的攻击
- 容易检测网络防火墙的性能并找到配置策略中的问题
- 所检测的对象集中于关键的服务设备
- 即使进入的攻击行为不可识别,也可以从被攻击主机的反馈中获得受到攻击的信息
- 外网入口
- 检测所有进出防火墙外网口的数据
- 优点
- 可以记录最为原始的攻击数据包
- 可以记录针对目标网络的攻击类型
- 缺点
- 性能不理想
- 对进行NAT的访问来说不易定位源或目的地址
- 内网主干
- 最常用的部署位置,主要检测内网流出和经过防火墙过滤后流入内网的网络数据
- 优点
- 提高了检测攻击的识别可能
- 检测内网可信用户的越权行为
- 实现对内部网络信息的检测
- 缺点
- 由于防火墙的过滤作用,入侵检测器并不能记录下所有可能的入侵行为
- 关键子网
- 通过对关键子网进行安全检测,检测到来自内部以及外部 的所有不正常的网络行为
- 优点
- 流量相对要小一些,可保证入侵检测器的有效检测
- 集中资源检测针对关键系统和资源的来自企业内外部的攻击
- 将有限的资源进行有效部署,获取最高的使用价值
基于主机的入侵检测系统(HIDS)
用于保护单台主机不受网络攻击行为的侵害,需要安装在被保护的主机上
- 网络连接检测
- 对试图进入该主机的数据流进行检测
- 分析确定是否有入侵行为
- 避免或减少这些数据流进入主机系统后造成损害
- 主机系统检测
- 检测入侵行为在主机相关文件中留下的痕迹
- 帮助系统管理员发现入侵行为或入侵企图
- 主机系统检测的对象
- 日志系统
- 文件系统
- 进程记录
关键技术
HIDS关键技术
- 文件和注册表保护技术
- 网络安全防护技术
- WEB保护技术
- HTTP请求类型
- 缓冲区溢出
- 关键字
- 物理目录
- 文件完整性分析技术
优缺点
优点
- 检测准确度高
- 可以检测没有明显特征的入侵
- 针对性的检测
- 成本低
- 对网络性能影响小
- 适用加密、交换环境
缺点
- 实时性较差
- 无法检测数据包的全部内容
- 占用主机资源
- 隐蔽性较差
- 无法检测某些网络攻击
实例TripWire
基于主机文件的入侵检测系统
- 为主机系统的一些关键文件建立校验和,维护文件正常变化
- 通过校验和检测文件及其属性的异常修改,从而发现入侵行为
- 能够在一定程度上恢复修改前的系统文件
- 遵循通用公共许可证GPL
NIDS vs HIDS
| NIDS | HIDS |
|---|---|
| 侦测速度快 | 视野更集中 |
| 隐蔽性好 | 易于用户自定义 |
| 视野更宽 | 保护更加周密 |
| 较少的检测器 | 对网络流量不敏感 |
| 占用资源少 |
分布式入侵检测系统(DIDS)
- 数据采集 收集检测使用的数据。可驻留在主机上,或者安装在网络检测点上。
- 通信传输 传递加工、处理原始数据。需和其他构件协作完成通信功能
- 入侵检测分析 采用检测算法对数据进行分析,产生检测结果、报警和应急信号
- 应急处理 按入侵检测的结果做出决策判断,对入侵行为进行响应
- 用户管理 管理构件配置,产生总体报告,提供管理接口等。
6.4 IDS设计重点和部署
IDS的设计
- 日志检索 至少包括:来源地址、目标地址、来源端口、目标端口、攻击特征、风险等级、时间段等
- 探测器管理 控制台可以一次管理多个探测器,包括启动、停止、配置探测器和查看探测器运行状态等。
- 规则管理 为用户提供根据不同网段具体情况配置安全策略的工具,针对不同情况制定相应安全规则。
- 日志报表 至少需要提供多种文本和图形的报表模板,且报表格式可以导出WORD、HTML、TXT、EXCEL、PDF等常用的格式
- 用户管理 对用户权限进行严格的定义,提供口令修改、添加用户、删除用户、用户权限配置等功能,有效保护系统使用的安全性。
IDS的部署
![[ 笔记 ] 计算机网络安全_6_入侵检测系统_第1张图片](http://img.e-com-net.com/image/info8/ca078a52e2804bd7be3feb6b3c6121c4.jpg)
6.5 IDS发展趋势和方向
面临问题
- 攻击手段更为复杂精致,攻击目标更大范围
- 入侵者采用加密手段传输攻击信息
- 日益增长的网络流量导致检测分析难度加大
- 不适当的自动响应机制
- 存在对入侵检测系统自身的攻击
- 交换方法限制了网络数据的可见性
发展方向
- 宽带高速实时检测技术
- 大规模分布式检测技术
- 数据挖掘技术
- 更先进的检测算法
- 计算机免疫技术
- 神经网络技术
- 遗传算法
- 入侵响应技术
入侵防御系统IPS
IPS是深层防御的最优方案
IPS与IDS:技术同源
- 核心技术基础一致
- 名称非常接近
- 通常厂商同时推出两类产品
部署方式对比
| IPS | IDS |
|---|---|
| 在线,流量必须通过IPS | 旁路,通过镜像获得数据 |
| 实时,其时延必须满足业务要求 | 准实时,可接受秒级时延 |
| 立刻影响网络报文 | 对网络及业务无直接影响 |
| 作用范围有限制 | 监控范围广 |
设计出发点对比
| IPS | IDS |
|---|---|
| 无误报 | 无漏报 |
| 满足峰值流量和时延要求 | 满足平均流量,可接受秒级时延 |
| 不能影响业务系统可用性 | 只需关注自身功能实现 |
解决的问题
IPS
- IPS可提供有效的、防火墙无法提供的应用层安全防护功能。
- 但为了避免误报,IPS对未知攻击的防御能力几乎没有
IDS
- IDS从总体和趋势上的分析能力是其他安全设备难以实现的
- 同时,通过基于流量、统计等方面的分析,IDS理论上拥有在未知攻击特别是蠕虫 类攻击爆发时进行预警的能力
| IPS | IDS |
|---|---|
| 阻拦已知攻击(重点) | 总体威胁趋势分析(重点) |
| 为已知漏洞提供虚拟补丁(重点) | 流量及连接分析(重点) |
| 速率或流量控制 | 安全事件分析(重点) |
| 行为管理 | 无漏报 |