[网络安全三]入侵检测技术基础
2007-05-13 14:50
471 查看
1. IDS(入侵检测系统)存在与发展的必然性
(1)网络安全本身的复杂性,被动式的防御方式显得力不从心。
(2)有关防火墙:网络边界的设备;自身可以被攻破;对某些攻击保护很弱;并非所有威胁均来自防火墙外部。
(3)入侵很容易:入侵教程随处可见;各种工具唾手可得
2. 入侵检测(Intrusion Detection)
●定义:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
●起源:
(1)1980年,James P. Anderson的《计算机安全威胁监控与监视》(《Computer Security Threat Monitoring and Surveillance》)
第一次详细阐述了入侵检测的概念;提出计算机系统威胁分类;提出了利用审计跟踪数据监视入侵活动的思想;此报告被公认为是入侵检测的开山之作。
(2)1984年到1986年,乔治敦大学的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型--IDES(入侵检测专家系统)
(3)1990年,加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security Monitor)
-该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机
-入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS
(4)1988年之后,美国开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。
(5)从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。
3. IDS基本结构
●事件产生器:负责原始数据采集,并将收集到的原始数据转换为事件,向系统的其他部分提供此事件。
收集的信息包括:系统或网络的日志文件;网络流量;系统目录和文件的异常变化;程序执行中的异常行为。
注意:入侵检测很大程度上依赖于收集信息的可靠性和正确性。
●事件分析器[/u]:接收事件信息,对其进行分析,判断是否为入侵行为或异常现象,最后将判断的结果转变为告警信息。分析方法有如下三种(重点掌握):
(1)模式匹配:将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为
(2)统计分析:首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等);测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
(3)完整性分析(往往用于事后分析):主要关注某个文件或对象是否被更改。
●事件数据库:存放各种中间和最终数据的地方。
●响应单元:根据告警信息做出反应。(强烈反应:切断连接、改变文件属性等;简单的报警)
4. 入侵检测性能关键参数
(1)误报(false positive):实际无害的事件却被IDS检测为攻击事件。
(2)漏报(false negative):一个攻击事件未被IDS检测到或被分析人员认为是无害的。
5. 入侵检测的分类
(1)按照分析方法/检测原理分类
●异常检测(Anomaly Detection):基于统计分析原理。首先总结正常操作应该具有的特征(用户轮廓),试图用定量的方式加以描述,当用户活动与正常行为有重大偏离时即被认为是入侵。
前提:入侵是异常活动的子集。指标:漏报率低,误报率高。
用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围。
特点:异常检测系统的效率取决于用户轮廓的完备性和监控的频率;不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源
●误用检测(Misuse Detection):基于模式匹配原理。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
前提:所有的入侵行为都有可被检测到的特征。指标:误报低、漏报高。
攻击特征库:当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
特点:采用模式匹配,误用模式能明显降低误报率,但漏报率随之增加。攻击特征的细微变化,会使得误用检测无能为力。
(2)按照数据来源分类
●基于主机(HIDS):系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机。
视野集中;易于用户自定义;保护更加周密;对网络流量不敏感;
●基于网络(NIDS):系统获取的数据是网络传输的数据包,保护的是网络的正常运行。
侦测速度快;隐蔽性好;视野更宽;较少的监测器;占资源少
●混合型
(3)按照体系结构:集中式;分布式
(4)按照工作方式:离线检测;在线检测
6. 基本术语
●Alert(警报):当一个入侵正在发生或者试图发生时,IDS将发布一个alert信息通知系统管理员
●Signatures(特征):攻击特征是IDS的核心,它使IDS在事件发生时触发。
特征信息过短会经常触发IDS,导致误报或错报;过长则会影响IDS的工作速度。
●Promiscuous(混杂模式):如果网络接口是混杂模式,就可以“看到”网段中所有的网络通信量,不管其来源或目的地。这对于网络IDS是必要的
入侵检测技术(异常检测技术;误用/滥用检测技术;入侵诱骗技术;入侵响应技术)
7. 异常检测技术
●概率统计异常检测
原理:每一个轮廓保存记录主体当前行为,并定时将当前轮廓与历史轮廓合并形成统计轮廓(更新),通过比较当前轮廓与统计轮廓来判定异常行为。
优点:可应用成熟的概率统计理论
缺点:①由于用户行为的复杂性,要想准确地匹配一个用户的历史行为非常困难,容易造成系统误报和漏报;
②定义入侵阈值比较困难,阈值高则误报率提高,阈值低则漏报率增高。
●神经网络异常检测
原理:对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。
优点:①更好地表达了变量间的非线性关系,能更好地处理原始数据的随机特征,即不需要对这些数据做任何统计假设,并且能自动学习和更新;②有较好的抗干扰能力
缺点:网络拓扑结构以及各元素的权重很难确定
8. 误用/滥用检测技术(专家系统滥用检测方法、状态转换分析滥用检测方法的原理和优缺点)
●专家系统滥用检测
原理:通过将安全专家的知识表示成If-Then结构的规则(if部分:构成入侵所要求的条件;then部分:发现入侵后采取的相应措施)形成专家知识库,然后运用推理算法检测入侵。
注意:需要解决的主要问题是处理序列数据和知识库的维护(只能检测已知弱点)
●状态转换分析滥用检测
原理:将入侵过程看作一个行为序列,该行为序列导致系统从初始状态转入被入侵状态。分析时,需要针对每一种入侵方法确定系统的初始状态和被入侵状态,以及导致状态转换的转换条件(导致系统进入被入侵状态必须执行的操作/特征事件);然后用状态转换图来表示每一个状态和特征事件。
缺点:不善于分析过分复杂的事件,也不能检测与系统状态无关的入侵
9. 入侵诱骗技术的定义、特点、设计目标;蜜罐技术
●定义:用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析,并进而找到有效的对付方法。
●特点:试图将攻击者从关键系统引诱开。是一种主动防御技术。
●设计目的:从现存的各种威胁中提取有用的信息,以发现新型的攻击工具、确定攻击的模式并研究攻击者的攻击动机。
●蜜罐技术(Honeypot):是一种被侦听、被攻击或已经被入侵的资源。注意:Honeypot并非一种安全解决方案,它只是一种工具,而且只有Honeypot受到攻击,它的作用才能发挥出来。
10. 入侵响应技术(主动响应和被动响应的形式、手段)
●主动响应:入侵检测系统在检测到入侵后能够阻断攻击、影响进而改变攻击的进程。
形式:由用户驱动;系统本身自动执行
基本手段:①对入侵者采取反击行动(严厉方式;温和方式;介于严厉和温和之间的方式) ②修正系统环境 ③收集额外信息
●被动响应:入侵检测系统仅仅简单地报告和记录所检测出的问题。
形式:只向用户提供信息而依靠用户去采取下一步行动的响应。
基本手段:①告警和通知 ②SNMP(简单网络管理协议),结合网络管理工具使用。
11. 入侵检测体系结构(主机入侵检测、网络入侵检测和分布式入侵检测的特点、优缺点)
●主机入侵检测(HIDS)
特点:对针对主机或服务器系统的入侵行为进行检测和响应。
主要优点:性价比高;更加细腻;误报率较低;适用于加密和交换的环境;对网络流量不敏感;确定攻击是否成功。
局限性:①它依赖于主机固有的日志与监视能力,而主机审计信息存在弱点:易受攻击,入侵者可设法逃避审计;
②IDS的运行或多或少影响主机的性能;
③HIDS只能对主机的特定用户、应用程序执行动作和日志进行检测,所能检测到的攻击类型受到限制;
④全面部署HIDS代价较大。
●网络入侵检测(NIDS)
特点:利用工作在混杂模式下的网卡来实时监听整个网段上的通信业务。
主要优点:隐蔽性好;实时检测和响应;攻击者不易转移证据;不影响业务系统;能够检测未成功的攻击企图.
局限性:①只检测直接连接网段的通信,不能检测在不同网段的网络包;
②交换以太网环境中会出现检测范围局限;
③很难实现一些复杂的、需要大量计算与分析时间的攻击检测;
④处理加密的会话过程比较困难
●分布式入侵检测(DIDS)
一般由多个协同工作的部件组成,分布在网络的各个部分,完成相应的功能,分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、对入侵行为进行响应。
[align=left] [/align]
[align=left]--本资料由heki总结整理[/align]
(1)网络安全本身的复杂性,被动式的防御方式显得力不从心。
(2)有关防火墙:网络边界的设备;自身可以被攻破;对某些攻击保护很弱;并非所有威胁均来自防火墙外部。
(3)入侵很容易:入侵教程随处可见;各种工具唾手可得
2. 入侵检测(Intrusion Detection)
●定义:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
●起源:
(1)1980年,James P. Anderson的《计算机安全威胁监控与监视》(《Computer Security Threat Monitoring and Surveillance》)
第一次详细阐述了入侵检测的概念;提出计算机系统威胁分类;提出了利用审计跟踪数据监视入侵活动的思想;此报告被公认为是入侵检测的开山之作。
(2)1984年到1986年,乔治敦大学的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型--IDES(入侵检测专家系统)
(3)1990年,加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security Monitor)
-该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机
-入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS
(4)1988年之后,美国开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。
(5)从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。
3. IDS基本结构
●事件产生器:负责原始数据采集,并将收集到的原始数据转换为事件,向系统的其他部分提供此事件。
收集的信息包括:系统或网络的日志文件;网络流量;系统目录和文件的异常变化;程序执行中的异常行为。
注意:入侵检测很大程度上依赖于收集信息的可靠性和正确性。
●事件分析器[/u]:接收事件信息,对其进行分析,判断是否为入侵行为或异常现象,最后将判断的结果转变为告警信息。分析方法有如下三种(重点掌握):
(1)模式匹配:将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为
(2)统计分析:首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等);测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
(3)完整性分析(往往用于事后分析):主要关注某个文件或对象是否被更改。
●事件数据库:存放各种中间和最终数据的地方。
●响应单元:根据告警信息做出反应。(强烈反应:切断连接、改变文件属性等;简单的报警)
4. 入侵检测性能关键参数
(1)误报(false positive):实际无害的事件却被IDS检测为攻击事件。
(2)漏报(false negative):一个攻击事件未被IDS检测到或被分析人员认为是无害的。
5. 入侵检测的分类
(1)按照分析方法/检测原理分类
●异常检测(Anomaly Detection):基于统计分析原理。首先总结正常操作应该具有的特征(用户轮廓),试图用定量的方式加以描述,当用户活动与正常行为有重大偏离时即被认为是入侵。
前提:入侵是异常活动的子集。指标:漏报率低,误报率高。
用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围。
特点:异常检测系统的效率取决于用户轮廓的完备性和监控的频率;不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源
●误用检测(Misuse Detection):基于模式匹配原理。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
前提:所有的入侵行为都有可被检测到的特征。指标:误报低、漏报高。
攻击特征库:当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
特点:采用模式匹配,误用模式能明显降低误报率,但漏报率随之增加。攻击特征的细微变化,会使得误用检测无能为力。
(2)按照数据来源分类
●基于主机(HIDS):系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机。
视野集中;易于用户自定义;保护更加周密;对网络流量不敏感;
●基于网络(NIDS):系统获取的数据是网络传输的数据包,保护的是网络的正常运行。
侦测速度快;隐蔽性好;视野更宽;较少的监测器;占资源少
●混合型
(3)按照体系结构:集中式;分布式
(4)按照工作方式:离线检测;在线检测
6. 基本术语
●Alert(警报):当一个入侵正在发生或者试图发生时,IDS将发布一个alert信息通知系统管理员
●Signatures(特征):攻击特征是IDS的核心,它使IDS在事件发生时触发。
特征信息过短会经常触发IDS,导致误报或错报;过长则会影响IDS的工作速度。
●Promiscuous(混杂模式):如果网络接口是混杂模式,就可以“看到”网段中所有的网络通信量,不管其来源或目的地。这对于网络IDS是必要的
入侵检测技术(异常检测技术;误用/滥用检测技术;入侵诱骗技术;入侵响应技术)
7. 异常检测技术
●概率统计异常检测
原理:每一个轮廓保存记录主体当前行为,并定时将当前轮廓与历史轮廓合并形成统计轮廓(更新),通过比较当前轮廓与统计轮廓来判定异常行为。
优点:可应用成熟的概率统计理论
缺点:①由于用户行为的复杂性,要想准确地匹配一个用户的历史行为非常困难,容易造成系统误报和漏报;
②定义入侵阈值比较困难,阈值高则误报率提高,阈值低则漏报率增高。
●神经网络异常检测
原理:对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。
优点:①更好地表达了变量间的非线性关系,能更好地处理原始数据的随机特征,即不需要对这些数据做任何统计假设,并且能自动学习和更新;②有较好的抗干扰能力
缺点:网络拓扑结构以及各元素的权重很难确定
8. 误用/滥用检测技术(专家系统滥用检测方法、状态转换分析滥用检测方法的原理和优缺点)
●专家系统滥用检测
原理:通过将安全专家的知识表示成If-Then结构的规则(if部分:构成入侵所要求的条件;then部分:发现入侵后采取的相应措施)形成专家知识库,然后运用推理算法检测入侵。
注意:需要解决的主要问题是处理序列数据和知识库的维护(只能检测已知弱点)
●状态转换分析滥用检测
原理:将入侵过程看作一个行为序列,该行为序列导致系统从初始状态转入被入侵状态。分析时,需要针对每一种入侵方法确定系统的初始状态和被入侵状态,以及导致状态转换的转换条件(导致系统进入被入侵状态必须执行的操作/特征事件);然后用状态转换图来表示每一个状态和特征事件。
缺点:不善于分析过分复杂的事件,也不能检测与系统状态无关的入侵
9. 入侵诱骗技术的定义、特点、设计目标;蜜罐技术
●定义:用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析,并进而找到有效的对付方法。
●特点:试图将攻击者从关键系统引诱开。是一种主动防御技术。
●设计目的:从现存的各种威胁中提取有用的信息,以发现新型的攻击工具、确定攻击的模式并研究攻击者的攻击动机。
●蜜罐技术(Honeypot):是一种被侦听、被攻击或已经被入侵的资源。注意:Honeypot并非一种安全解决方案,它只是一种工具,而且只有Honeypot受到攻击,它的作用才能发挥出来。
10. 入侵响应技术(主动响应和被动响应的形式、手段)
●主动响应:入侵检测系统在检测到入侵后能够阻断攻击、影响进而改变攻击的进程。
形式:由用户驱动;系统本身自动执行
基本手段:①对入侵者采取反击行动(严厉方式;温和方式;介于严厉和温和之间的方式) ②修正系统环境 ③收集额外信息
●被动响应:入侵检测系统仅仅简单地报告和记录所检测出的问题。
形式:只向用户提供信息而依靠用户去采取下一步行动的响应。
基本手段:①告警和通知 ②SNMP(简单网络管理协议),结合网络管理工具使用。
11. 入侵检测体系结构(主机入侵检测、网络入侵检测和分布式入侵检测的特点、优缺点)
●主机入侵检测(HIDS)
特点:对针对主机或服务器系统的入侵行为进行检测和响应。
主要优点:性价比高;更加细腻;误报率较低;适用于加密和交换的环境;对网络流量不敏感;确定攻击是否成功。
局限性:①它依赖于主机固有的日志与监视能力,而主机审计信息存在弱点:易受攻击,入侵者可设法逃避审计;
②IDS的运行或多或少影响主机的性能;
③HIDS只能对主机的特定用户、应用程序执行动作和日志进行检测,所能检测到的攻击类型受到限制;
④全面部署HIDS代价较大。
●网络入侵检测(NIDS)
| [align=left]项目[/align] | [align=left]HIDS[/align] | [align=left]NIDS[/align] |
| [align=left]误报[/align] | [align=left]少[/align] | [align=left]一定量[/align] |
| [align=left]漏报[/align] | [align=left]与技术水平相关[/align] | [align=left]与数据处理能力有关(不可避免)[/align] |
| [align=left]系统部署与维护[/align] | [align=left]与网络拓扑无关[/align] | [align=left]与网络拓扑相关[/align] |
| [align=left]检测规则[/align] | [align=left]少量[/align] | [align=left]大量[/align] |
| [align=left]检测特征[/align] | [align=left]事件与信号分析[/align] | [align=left]特征代码分析[/align] |
| [align=left]安全策略[/align] | [align=left]基本安全策略(点策略)[/align] | [align=left]运行安全策略(线策略)[/align] |
| [align=left]安全局限[/align] | [align=left]到达主机的所有事件[/align] | [align=left]传输中的非加密、非保密信息[/align] |
| [align=left]安全隐患[/align] | [align=left]违规事件[/align] | [align=left]攻击方法或手段[/align] |
主要优点:隐蔽性好;实时检测和响应;攻击者不易转移证据;不影响业务系统;能够检测未成功的攻击企图.
局限性:①只检测直接连接网段的通信,不能检测在不同网段的网络包;
②交换以太网环境中会出现检测范围局限;
③很难实现一些复杂的、需要大量计算与分析时间的攻击检测;
④处理加密的会话过程比较困难
●分布式入侵检测(DIDS)
一般由多个协同工作的部件组成,分布在网络的各个部分,完成相应的功能,分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、对入侵行为进行响应。
[align=left] [/align]
[align=left]--本资料由heki总结整理[/align]
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 入侵检测及网络安全发展技术探讨
- 计算机学科技术前沿:网络安全基础应用与标准
- 20145203盖泽双 《网络对抗技术》实践九:Web安全基础实践
- Snort 网络入侵检测系统(四)之构建安全图形分析引擎
- 网络安全之---数据库入侵与防范技术
- 网络入侵检测系统的主动响应技术
- 入侵防御技术(IPS)保4-7层网络安全
- 【网络安全】802.1X技术基础
- ***检测及网络安全发展技术探讨
- [网络安全五]PKI技术基础II
- 信息安全系统设计基础课外之: 网络攻防技术 20155202 张旭
- Libnids库-网络入侵检测的基础框架
- 入侵检测技术的基础
- [网络安全六]防火墙技术基础
- 【安全】Snort 2.9.5.5 网络入侵检测系统
- 入侵检测技术的基础
- 浅谈学习网络安全技术必备的一些网络基础知识
- [网络安全二]病毒防护技术基础
- 换句话说 SEO优化、HTML、PhotoShop、CSS层叠样式表、ASP、JavaScript、PHP、网络安全,入侵检测,服务器安全设置搞定这些都不在话下
- 网络安全热门话题——如何对被(已经/正在)入侵网站进行检测和防范