,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,入侵检测技术,计算机网络攻防对抗技术实验室,1,内容概要,P2DR平安体系,入侵检测系统介绍,入侵检测系统分类,入侵检测系统用到的一些技术,入侵检测系统的研究和开展,商用入侵检测系统演示,2,网络平安动态防护模型,安全,策略,(,policy),防护,(,protecttion),检,测,(,detection),响,应,(,response),3,网络平安：及时的检测和处理,时间,Pt,Dt,Rt,新定义：,Pt Dt+Rt,4,P2DR平安模型,这是一个动态模型,以平安策略为核心,基于时间的模型,可以量化,可以计算,P2DR平安的核心问题检测,检测是静态防护转化为动态的关键,检测是动态响应的依据,检测是落实/强制执行平安策略的有力工具,5,内容概要,P2DR平安体系,入侵检测系统介绍,入侵检测系统分类,入侵检测系统用到的一些技术,入侵检测系统的研究和开展,6,IDS,的用途,攻击工具,攻击命令,攻击机制,目标网络,网络漏洞,目标系统,系统漏洞,攻击者,漏洞扫描,评估,加固,攻击过程,实时,入侵,检测,7,入侵检测系统的实现过程,信息收集,来源：,网络流量,系统日志文件,系统目录和文件的异常变化,程序执行中的异常行为,信息分析,模式匹配,统计分析,完整性分析,往往用于事后分析,8,入侵检测系统的通用模型,数据源,模式匹配器,系统轮廓分析引擎,数据库,入侵模式库,异常检测器,响应和恢复机制,9,入侵检测系统的种类,基于主机,平安操作系统必须具备一定的审计功能,并记录相应的平安性日志,基于网络,IDS可以放在防火墙或者网关的后面,以网络嗅探器的形式捕获所有的对内对外的数据包,10,IDS的部署和结构,入侵检测系统的管理和部署,多种,IDS,的协作,管理平台和,sensor,基于,Agent,的,IDS,系统,Purdue,大学研制了一种被称为,AAFID(Autonomous agents for intrusion detection),的,IDS,模型,SRI,的,EMERALD(Event Monitoring Enabling Response to Anomalous Live Disturbances),11,RealSecure Console,RealSecure,OS Sensor,RealSecure,Server Sensor,商业,IDS,例子：,ISS RealSecure,结构,RealSecure,Network Sensor,12,内容概要,P2DR平安体系,入侵检测系统介绍,入侵检测系统用到的一些技术,入侵检测系统分类,入侵检测系统的研究和开展,13,IDS的技术,异常检测(anomaly detection),也称为基于行为的检测,首先建立起用户的正常使用模式,即知识库,标识出不符合正常模式的行为活动,误用检测(misuse detection),也称为基于特征的检测,建立起已知攻击的知识库,判别当前行为活动是否符合已知的攻击模式,14,异常检测,比较符合平安的概念,但是实现难度较大,正常模式的知识库难以建立,难以明确划分正常模式和异常模式,常用技术,统计方法,预测模式,神经网络,15,误用检测,目前研究工作比较多,并且已经进入实用,建立起已有攻击的模式特征库,难点在于：如何做到动态更新,自适应,常用技术,基于简单规则的模式匹配技术,基于专家系统的检测技术,基于状态转换分析的检测技术,基于神经网络检测技术,其他技术,如数据挖掘、模糊数学等,16,IDS的两个指标,漏报率,指攻击事件没有被,IDS,检测到,误报率(,false alarm rate),把正常事件识别为攻击并报警,误报率与检出率成正比例关系,0 检出率(,detection rate)100%,100%,误报率,17,内容概要,P2DR平安体系,入侵检测系统介绍,入侵检测系统用到的一些技术,入侵检测系统分类,入侵检测系统的研究和开展,18,入侵检测系统的种类,基于主机,平安操作系统必须具备一定的审计功能,并记录相应的平安性日志,基于网络,IDS可以放在防火墙或者网关的后面,以网络嗅探器的形式捕获所有的对内对外的数据包,19,基于网络的IDS系统,收集网络流量数据,利用sniff技术,把IDS配置在合理的流量集中点上,比方与防火墙或者网关配置在一个子网中,利用某些识别技术,基于模式匹配的专家系统,基于异常行为分析的检测手段,20,一个轻量的网络,IDS:snort,是一个基于简单模式匹配的IDS,源码开放,跨平台(C语言编写,可移植性好),利用libpcap作为捕获数据包的工具,特点,设计原则：性能、简单、灵活,包含三个子系统：网络包的解析器、检测引擎、日志和报警子系统,内置了一套插件子系统,作为系统扩展的手段,模式特征链规则链,命令行方式运行,也可以用作一个sniffer工具,21,网络数据包解析,结合网络协议栈的结构来设计,Snort支持链路层和TCP/IP的协议定义,每一层上的数据包都对应一个函数,按照协议层次的顺序依次调用就可以得到各个层上的数据包头,从链路层,到传输层,直到应用层,在解析的过程中,性能非常关键,在每一层传递过程中,只传递指针,不传实际的数据,支持链路层：以太网、令牌网、FDDI,22,Snort规则链处理过程,二维链表结构,匹配过程,首先匹配到适当的Chain Header,然后,匹配到适当的Chain Option,最后,满足条件的第一个规则指示相应的动作,23,Snort:日志和报警子系统,当匹配到特定的规则之后,检测引擎会触发相应的动作,日志记录动作,三种格式：,解码之后的二进制数据包,文本形式的IP结构,Tcpdump格式,如果考虑性能的话,应选择tcpdump格式,或者关闭logging功能,报警动作,包括,Syslog,记录到alert文本文件中,发送WinPopup消息,24,关于snort的规则,Snort的规则比较简单,规则结构：,规则头：alert tcp!10.1.1.0/24 any-10.1.1.0/24 any,规则选项：(flags:SF;msg:“SYN-FIN Scan;),针对已经发现的攻击类型,都可以编写出适当的规则来,规则与性能的关系,先后的顺序,Content option的讲究,许多cgi攻击和缓冲区溢出攻击都需要content option,现有大量的规则可供利用,25,Snort规则例子,规则例子,Option,类型,26,关于snort,开放性,源码开放,最新规则库的开放,作为商业IDS的有机补充,特别是对于最新攻击模式的知识共享,Snort的部署,作为分布式IDS的节点,为高级的IDS提供根本的事件报告,开展,数据库的支持,互操作性,规则库的标准化,二进制插件的支持,预处理器模块：TCP流重组、统计分析,等,27,异常检测的网络IDS,基于规则和特征匹配的NIDS的缺点,对于新的攻击不能正确识别,人工提取特征,把攻击转换成规则,参加到规则库中,异常检测的NIDS可以有一定的自适应能力,利用网络系统的已知流量模式进行学习,把正常流量模式的知识学习到IDS中,当出现新的攻击时,根据异常行为来识别,并且,对于新的攻击以及异常的模式可以反响到IDS系统中,28,异常检测的网络IDS,目前出现了专门流量异常检测设备,CiscoXT5600,流量异常检测器,专用于防,DDOS,攻击,29,基于主机的IDS系统,信息收集,系统日志,系统状态信息,特点：,OS,相关,常用的分析技术,统计分析,状态转移分析,关联分析,30,基于主机的IDS系统,在分布式入侵检测体系中,作为日志收集代理,主机防火墙逐步担当IDS的职责,瑞星,卡巴斯基,31,内容概要,P2DR平安体系,入侵检测系统介绍,入侵检测系统分类,入侵检测系统用到的一些技术,入侵检测系统的研究和开展,32,STAT,STAT:A state transition analysis tool for intrusion detection,由美国加州大学,Santa Barbaba,分校开发,从初始状态到入侵状态的转移过程,用有限状态机来表示入侵过程,初始状态指入侵发生之前的状态,入侵状态指入侵发生之后系统所处的状态,系统状态通常用系统属性或者用户权限来描述,用户的行为和动作导致系统状态的转变,S1,S2,S3,Assertions,Assertions,Assertions,33,STAT的优缺点,优点：,状态转移图提供了一种针对入侵渗透模式的直观的、高层次的、与审计记录无关的表示方法,用状态转移法,可以描述出构成特定攻击模式的特征行为序列,状态转移图给出了保证攻击成功的特征行为的最小子集,从而使得检测系统可以适应相同入侵模式的不同表现形式,可使攻击行为在到达入侵状态之前就被检测到,从而采取措施阻止攻击行为,可以检测协同攻击和慢速攻击,缺点：,状态(assertions)和特征行为需要手工编码,Assertions和特征用于表达复杂细致的入侵模式时可能无法表达,STAT只是一个框架,需要具体的实现或者与其他系统协同工作,STAT的速度相比照较慢,34,STATUSTAT,USTAT：用于UNIX系统的STAT实现,包括四局部,预处理器：对数据进行过滤,并转换为与系统日志文件无关的格式,知识库：包括状态描述库和规则库。规则库用于存放已知攻击类型所对应的状态转移规则；状态描述库存放系统在遭受不同类型攻击下所出现的状态,推理引擎：根据预处理器给出的信息和状态描述库中定义的系统状态,判断状态的变化并更新状态信息。一旦发现可疑的平安威胁,通知决策引擎,决策引擎：将平安事件通知管理员,或者采取预先定义的自动响应措施,35,基于,STAT,的,IDS,USTAT,NSTAT,把USTAT扩展到多台主机,从而可以检测到针对多台共享同一个网络文件系统的主机的攻击,NetSTAT,是一个基于网络的IDS,分析网络中的流量,找到代表恶意行为的数据包,WinSTAT,基于主机的IDS,分析Windows NT的事件日志,WebSTAT,基于应用的IDS,用Apache Web Server的日志作为输入,AlertSTAT,是一个高层的入侵关联器,以其他检测器的报警作为输入,以便检测出高层次、多步骤的攻击,36,IDS的困难,异常检测技术仍然需要研究和开展,NIDS的部署,交换式网络的普及,有些交换机提供了“把多个端口或者VLAN镜像到单个端口的能力,用于捕获数据包,应用系统的多样性,需要统一的标准交换信息,IPSec等一些加密或者隧道协议,37,IDS,与响应和恢复技术,IDS属于检测的环节,一旦检测到入侵或者攻击,必须尽快地做出响应,以保证信息系统的平安,IDS的响应机制,可以从根本的管理角度来考虑,也可以从技术角度来实施,包括与其他防护系统的互操作,比方防火墙,对于一个企业而言,IDS与DRP(Disaster Recovery Planning)需要一起来制订和实施,DRP包括,业务影响分析(BIA,Business Impact Analysis),数据必须定期备份,信息系统的根本目的是提供便利的效劳,灾难评估,明确责任人,38,IDS的研究与开展,IDS自身的开展,基于异常检测的技术,分布式IDS系统,引入生物学免疫系统的概念,与其他防护系统的集成,IDS与其他学科,IDS与模式识别、人工智能,IDS与数据挖掘,IDS与神经网络,IDS与,IDS之间的互操作,CIDF:由美国加州大学Davis分校提出的框架,试图标准一种通用的语言格式和编码方式来表示IDS组件边界传递的数据,IDEF:IETF IDWG提出的草案,标准了局部术语的使用,用XML来描述消息格式。,39,IDS的研究与开展,IDS自身的开展,基于异常检测的技术,分布式IDS系统,引入生物学免疫系统的概念,与其他防护系统的集成,IDS与其他学科,IDS与模式识