IDS(Intrusion Detection Systems)
计算机安全的三大中心目标是:保密性(Conf idential ity)、完整性(Integrity)、可用性(Availability)。 身份认证与识别、访问控制机制、加密技术、防火墙技术等技术共同特征就是集中在系统的自身加固和 防护上,属于静态的安全防御技术,缺乏主动的反应。
P2DR
P2DR模型是在整体安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等手段)的同时,利用检测工具(如漏洞评估、入侵检测等系统)评估系统的安全状态,使系统保持在最低风险的状态。安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)组成了一个完整动态的循环,在安全策略的指导下保证信息系统的安全。
P2DR模型提出了全新的安全概念,即安全不能依靠单纯的静态防护,也不能依靠单纯的技术手段来实现。
策略(P)信息系统的安全策略,包括访问控制策略、加密通信策略、身份认证策略、备份恢复策略等。策略体系的建立包括安全策略的制定、评估与执行等;
防护(P)通过部署和采用安全技术来提高网络的防护能力,如访问控制、防火墙、入侵检测、加密技术、身份认证等技术;
检测(D)利用信息安全检测工具,监视、分析、审计网络活动,了解判断网络系统的安全状态。使安全防护从被动防护演进到主动防御,整个模型动态性的体现。主要方法包括:实时监控、检测、报警等;
响应(R)检测到安全漏洞和安全事件时,通过及时的响应措施将网络系统的安全性调整到风险最低的状态,包括恢复系统功能和数据,启动备份系统等。其主要方法包括:关闭服务、跟踪、反击、消除影响等。
P2DR安全的核心问题一一检测
检测是静态防护转化为动态的关键
检测是动态响应的依据
检测是落实/强制执行安全策略的有力工具
从实验室原型研究到推出商业化产品、走向市场并获得广泛认同,入侵检测走过了20多年的历程。 1984年-1986年,乔治敦大学的Dorothy Denning和SRI/CSL(SRI公司计算机科学实验室)的PeterNeumann研究出了一种实时入侵检测系统模型,取名为IDES(入侵检测专家系统)。该模型独立于特定的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵系统提供了一个通用的框架。
1988年,SRI/CSL的Teresa Lunt等改进了Denning的入侵检测模型,并研发出了实际的IDES。
1990年时入侵检测系统发展史上十分重要的一年。这一年,加州大学戴维斯分校的L.T.Heberlein等开发出了NSM(Network Security Monitor)。该系统第一次直接将网络作为审计数据的来源,因而可以在不将审计数计转化成统一的格式情况下监控异种主机。同时两大阵营正式形成:基于网络的IDS和基于主机的IDS。
1988年的莫里斯蠕虫事件发生后,网络安全才真正引起各方重视。美国空军、国家安全局和能源部共同资助空军密码支持中心、劳伦斯利弗摩尔国家实验室、加州大学戴维斯分校、Haystack实验室,开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起。 从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。SRI/CSL、普渡大学、加州戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面代表了当前的最高水平。我国也有多家企业通过最初的技术引进,逐渐发展成自主研发。
入侵检测作用
入侵检测可以识别入侵者,识别入侵行为,监视和检测已成功的安全突破,为对抗入侵及时提供重要信息,以阻止事件的发生和事态的扩大,具有如下作用:
1.实时检测网络系统的非法行为,持续地监视、分析网络中所有的数据报文,发现并及时处理所捕获的数据报文;
2.安全审计,通过对入侵检测系统记录的网络事件进行统计分析,发现其中的异常现象,为评估系统的安全状态提供相关证据:
3.不占用被保护系统的任何资源,作为独立的网络设备,可以做到对黑客透明,本身的安全性较高;
4.主机入侵检测系统运行于被保护系统之上,可以直接保护、恢复系统。
入侵检测功能
入侵检测系统能主动发现网络中正在进行的针对被保护目标的恶意滥用或非法入侵,并能采取相应的措施及时中止这些危害,如提示报警、阻断连接、通知网管等。其主要功能是监测并分析用户和系统的活动、核查系统配置中的安全漏洞、评估系统关键资源与数据文件的完整性、识别现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统日志的管理维护。
入侵检测是防火墙的一个有力补充,形成防御闭环,可以及时、准确、全面的发现入侵
弥补防火墙对应用层检查的缺失。
| 优点 | 局限性 | |
| 防火墙 | 可简化网络管理,产品成熟 | 无法处理网络内部的攻击 |
| IDS | 实时监控网络安全状态 | 误报警,缓慢攻击,新的攻击模式 |
| Scanner | 简单可操作,帮助系统管理员和安全服务人员解决 | 并不能真正扫描漏洞 |
| VPN | 保护公网上的内部通信 | 可视为防火墙上的一个漏洞 |
| 防病毒 | 针对文件与邮件,产品成熟 | 功能单一 |
入侵检测系统模型
检测器
分析和检测入侵的任务并向控制器发出警报信号
数据收集器
主要负责收集数据
知识库
为检测器和控制器提供必需的数据信息支持
控制器
根据警报信号人工或自动地对入侵行为做出响应
IDS功能模块
信息收集
所收集的信息内容:
- 用户在网络、系统、数据库及应用系统中活动的状态和行为
- 系统和网络的日志文件
- 目录和文件中的异常改变
- 程序执行中的异常行为
- 物理形式的入侵信息
信息分析
①操作模型 ②方差 ③多元模型 ④马尔可夫过程模型 ⑤时间序列分析
- 模式匹配
- 统计分析
- 完整性分析
安全响应
流行的响应方式:记录日志、实时显示、E-mi报警、声音报警、SNMP报警、实时TCP阻断、防火墙联动、WinPop显示、手机短信报警
- 主动响应
- 被动响应
异常检测:当某个事件与一个已知的攻击特征(信号)相匹配时。一个基于异常的DS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警。
入侵检测原理及主要方法
攻击检测
入侵检测类似于治安巡逻队,专门注重发现形迹可疑者
- 被动、离线地发现计算机网络系统中的攻击者。
- 实时、在线地发现计算机网络系统中的攻击者。
异常检测
IDS通常使用的两种基本分析方法之一,又称为基于行动的入侵检测技术。
收集操作活动的历史数据,建立代表主机、用户或网络连接的正常行为描述,判断是否发生入侵。
误用检测
又称特征检测
IDS通常使用的两种基本分析方法之一,又称基于知识的检测技术。
对已知的入侵行为和手段进行分析,提取检测特征,构建攻击模式或攻击签名,判断入侵行为。
入侵检测系统的分类
HIDS 基于主机的入侵检测系统:
该系统通常是安装在被重点检测的主机上,其数据源来自主机,如日志文件、审计记录等。该系统通过监视与分析主机中的上述文件,就能够检测到入侵。能否及时采集到上述文件是这些系统的关键点之一。因为入侵者会将主机的审计子系统作为攻击目标以避开 IDS。
NIDS 基于网络的入侵检测系统:
此系统使用原始网络包作为数据源。通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务。它的攻击辩识模块通常使用四种常用技术来识别攻击标志:模式、表达式或字节匹配,频率或穿越阀值,次要事件的相关性,统计学意义上的非常规现象检测。一旦检测到了攻击行为,响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异,但通常都包括通知管理员、中断连接或为法庭分析和证据收集而作的会话记录。
混合检测系统:近几年来,混合检测日益受到人们的重视。这类检测在作出决策之前,既分析系统的正常行为,又观察可疑的入侵行为,所以判断更全面、准确、可靠。它通常根据系统的正常数据流背景来检测入侵行为,故而也有人称其为 “启发式特征检测”。
检测生命周期
- 信息收集:用数据来刻画系统和网络运行历史和现状
- 信息分析:用收集的数据去研判现状和预测未来
- 结果处理:记录、告警和视觉呈现
信息收集的方法
- 基于主机
- 基于网络
- 基于传感器
- 基于主机运行的软件
- 基于网络的数据捕获传感器
- 物联网中的各种传感器
信息分析
- 异常检测
- 例如:统计分析、完整性分析
- 误用检测
- 例如:模式匹配
- 融合使用异常检测和误用检测(实际系统的普遍做法)
异常检测之统计分析
- ·统计分析对象
- 如用户、文件、目录和设备等
- 统计分析方法
- 为统计分析对象创建一个统计描述,统计正常使用时的一些测量属性(如访问时间(工作时间/休息时间)、访问次数、操作失败次数和延时等)
- 统计匹配
- 测量属性的平均值将被用来与网络、系统的行为进行比较,任何观测/测量值在正常值范围之外时,就认为有入侵发生
异常检测之完整性分析
- 完整性分析对象
- 文件/目录/任意数字资源
- 例如:文件和目录的内容及属性
- 文件/目录/任意数字资源
- 完整性分析方法
- 建立完整性分析对象在正常状态时的完整性签名
- 完整性分析匹配
- 匹配签名值是否发生改变(若发生改变,则认定目标对象被入侵篡改)
常见异常检测算法
- 基于特征选择异常检测
- 基于贝叶斯推理异常检测
- 基于贝叶斯网络异常检测
- 基于神经网络异常检测
- 基于贝叶斯聚类异常检测
误用检测之模式匹配
- 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式规则集进行比较,从而发现违反安全策略的行为
- 入侵模式的表示方法
- 一个过程(如执行一条指令)
- 一个输出(如获得权限)
- 入侵模式的匹配过程
- 字符串匹配:精确匹配、模糊匹配
- 状态机迁移序列匹配
常用误用检测算法
- 基于条件概率误用检测
- 基于专家系统误用检测
- 基于状态迁移误用检测
结果处理
- 产生告警
- 记录告警日志
- 请求其他安全设备的协作联动
- 防火墙联动
- 视觉呈现
- 「态势感知」产品的原型