[ 笔记 ] 计算机网络安全_6_入侵检测系统

[笔记] 计算机网络安全:(6)入侵检测系统

  1. 网络安全基础
  2. internet协议的安全性
  3. Web安全
  4. 网络扫描和网络监听
  5. 防火墙原理与设计
  6. 入侵检测系统
  7. VPN技术

目录

  • [笔记] 计算机网络安全:(6)入侵检测系统
    • 6.1 入侵检测系统概述
      • 定义
      • 功能
      • 主要任务
      • 发展
      • 工作流程
        • 信息收集
        • 信息分析
        • 安全响应
      • 分类
      • 评价标准
    • 6.2 入侵检测系统原理及主要方法
      • 异常检测
      • 误用检测
    • 6.3 入侵检测系统
      • 基于网络的入侵检测系统(NIDS)
        • 主要特点
        • 关键技术
        • 实例-SNORT
        • NIDS优缺点
        • NIDS的部署
      • 基于主机的入侵检测系统(HIDS)
        • 关键技术
        • HIDS关键技术
        • 优缺点
        • 实例TripWire
      • NIDS vs HIDS
      • 分布式入侵检测系统(DIDS)
    • 6.4 IDS设计重点和部署
      • IDS的设计
      • IDS的部署
    • 6.5 IDS发展趋势和方向
      • 面临问题
      • 发展方向
      • 入侵防御系统IPS
        • IPS与IDS:技术同源
        • 部署方式对比
        • 设计出发点对比
        • 解决的问题


传统的网络安全防护技术存在局限:被动防御的网络安全技术

  • 无法防御来自内部的攻击
  • 无法防范数据驱动型的攻击
  • 自身存在弱点,可能成为攻击对象
  • 安全策略不能充分保证系统安全

积极主动的网络安全防护技术

  • 即时监控网络数据传输
  • 实时报告网络异常
  • 迅速、主动地采取反应措施

6.1 入侵检测系统概述

定义

入侵检测是一种网络入侵识别技术,入侵检测是防火墙之后的第一道网络安全闸门

  • 事前预防:识别网络入侵企图
  • 事中反制:正在发生的网络入侵行为
  • 事后分析:网络入侵发生后搜集相关信息

功能

  • 统计、分析攻击者的探测行为,发出警报
  • 检测、记录网络中的攻击行为,采取阻断措施
  • 提供攻击的详细信息,诊断和修补安全弱点
  • 检测未授权操作或安全违规行为
  • 识别、报告系统中存在的安全威胁

主要任务

  • 监视、分析用户及系统的活动
  • 跟踪、分析网络数据流量
  • 实现数据文件的完整性检查
  • 构建已知攻击特征库,识别已知攻击
  • 构建正常行为模式,识别异常行为

发展

  1. 《Computer Security Threat Monitoring and Surveillance》
    • 第一次详细阐述了入侵检测的概念
    • 将安全威胁分类:内部、外部和不法行为
    • 利用审计数据监视入侵活动
  2. IDES(入侵检测专家系统):入侵检测中最有影响的一个系统
    • 统计学原理
    • 基于规则
  3. NSM(Network Security Monitor)
    • 直接将网络流作为审计数据来源
    • 无需转换审计数据格式监控异种主机
    • 两大阵营:NIDS vs HIDS
  4. CIDF(Common Intrusion Detection Framework)
    • CIDF体系结构
    • CIDF通信机制
    • CIDF语言:公共入侵规范语言
    • CIDF的应用程序接口
    • 共享信息和资源 & 入侵检测组件再利用

工作流程

  1. 信息收集:用户活动状态和行为
    • 网络
    • 系统
    • 数据库
    • 应用系统
  2. 信息分析:对用户行为进行分析
    • 模式匹配
    • 统计分析
    • 完整性分析
  3. 安全响应:对分析结果安全响应
    • 主动响应
    • 被动响应

信息收集

在网络上中若干不同关键点收集信息

入侵检测很大程度上以来收集信息的可靠性和正确性

  • 系统和网络日志
  • 网络流量
  • IDS信息收集
  • 非正常的目录和文件改变
  • 非正常的程序执行

信息分析

  1. 模式匹配:将收集到的信息与已知的入侵行为模式进行比较

    • 网络入侵行为模式:

      • 一个输出(例如获得某种权限)

      • 一个过程(例如执行某一条指令)

        • 可能很简单。(例如字符串匹配查找指定的条目获指令)
        • 也可能很复杂。(例如利用数学方式表示安全状态的变化)
  2. 统计分析:将系统对象观测值与正常测量属性进行对比,发现偏差

    • 入侵检测常用的异常发现方法:
      • 构建系统对象正常情况下的统计测量属性
      • 将当前观察值与统计测量属性进行比较
        • 观测值无偏差——无入侵行为发生
        • 观测值有偏差——存在入侵发生
  3. 完整性分析:在发现被恶意代码感染的应用程序方面效果特别明显

    • 关注文件或系统对象是否被非法更改
      • 文件的内容和属性
      • 目录的内容和属性
      • 其他系统对象的内容和属性

安全响应

  • 安全响应分为被动响应和主动响应两种类型

  • 入侵检测系统一般采取的响应措施

    • 分析结果记录到日志
    • 告警信息
    • 阻断攻击

分类

  • 依据入侵检测方法
    • 异常检测模型(Anomaly Detection)
      • 总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。
    • 误用检测模型(Misuse Detection)
      • 建立入侵行为特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵
  • 依据入侵检测信息来源
    • 基于主机的入侵检测
      • 检测系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机
    • 基于网络的入侵检测
      • 检测系统获取数据的依据是网络传输的数据包,保护的目标是网络的正常运行
    • 混合型
      • 检测系统获取数据的依据二者兼而有之
  • 依据体系结构和模块运行方式
    • 集中式入侵检测系统
    • 分布式入侵检测系统
  • 依据时效性
    • 脱机分析型入侵检测系统
    • 联机分析型入侵检测系统

评价标准

  • 功能
  • 性能
  • 可用性
  • 误报 (false positive)——假阳性:误报率 = 误报事件数/事件数总量
  • 漏报 (false negative)——假阴性:漏报率 = 漏报事件数/事件数总量

先进的检测能力和响应能力

不影响被保护网络正常运行

无人监管能正常运行

具有坚固的自身安全性

具有很好的可管理性

消耗系统资源较少

可扩展性好,能适应变化

支持IP碎片重组

支持TCP流重组

支持TCP状态检测

支持应用层协议解码

灵活的用户报告功能 安装、配置、调整简单易行

能与常用的其他安全产品集成

支持常用网络协议和拓扑结构 IDS评价标准

6.2 入侵检测系统原理及主要方法

异常检测

能检测未知入侵但误报率高

  • 基于行为的入侵检测
  • 识别主机或网络中的异常行为

假设前提:入侵行为是异常活动的子集

用户轮廓:各种行为参数及其阀值的集合

检测过程:监控、量化、比较、判定、修正

特点

  • 效率取决于用户轮廓的完备性和监控的频率
  • 能够有效地检测未知入侵
  • 自我调整和优化

分类

  • 统计信息异常检测

    • 对用户行为按照一定地频率进行采样

    • 依据样本计算得到参数变量描述用户轮廓

    • 优点

      • 统计学方法非常成熟
      • 学习用户使用习惯
    • 缺点

      • 计算量巨大
      • 可能被攻击者训练
      • 对事件发生的顺序不敏感
  • 神经网络异常检测

    • 将神经网络用于对系统或用户行为的学习
    • 根据用户已执行命令预测用户的下一条命令
    • 优点
      • 能处理原始数据的随机性和干扰性
      • 能够自动学习
    • 缺点
      • “黑盒”建模
      • 难以确定各元素的权重
      • 无法利用已有的经验和知识
  • 其它异常检测方法如下

  • 模式预测异常检测

  • 马尔可夫过程异常检测

  • 数据挖掘异常检测

  • 时间序列分析异常检测

优点

  • 能检测新的网络入侵
  • 较少依赖于特定的主机操作系统
  • 内部合法用户的越权行为检测能力强

缺点

  • 误报率高
  • 行为模型建立困难
  • 难以对入侵行为分类和命名

误用检测

不能检测未知入侵,准确检测已知入侵

  • 基于知识的入侵检测
  • 将系统当前行为状态与已知入侵特征进行比较

假设前提:入侵行为都有可被检测到的特征

入侵特征:检测用户或系统行为是否和特征库中记录匹配

检测过程:监控、提取特征、匹配、判定

特点

  • 误报率低、漏报率高

攻击特征

  • 误用检测的核心
  • 过长的攻击特征降低系统效率
  • 太短的攻击特征会导致误报

分类

  • 专家系统误用检测
    • 将已知网络入侵行为转成规则,建立专家库
    • 网络行为的审计数据进行规则转换后再判定
    • 优点:适合于有特征的入侵
    • 缺点
      • 处理大量的审计数据
      • 攻击行为规则化描述精度不高
      • 只能检测已知攻击,知识库维护
  • 特征分析误用检测
    • 将入侵行为表示成事件序列或数据样板
    • 以行为的审计数据与事件序列进行匹配
    • 优点:运行效率有所提高
    • 缺点
      • 需及时更新数据库
      • 建立和维护知识库工作量大
  • 模型推理误用检测
    • 根据网络入侵行为特征建立误用证据模型
    • 需建立攻击场景数据库、预警器和规划者
    • 优点
      • 未确定推理理论为基础,模型证据推理中间结论
      • 减少审计数据量
    • 缺点
      • 建模开销
      • 需对数据库不断扩充

优点

  • 检测准确度高
  • 技术相对成熟
  • 便于系统维护

缺点

  • 不能检测新的入侵
  • 依赖于入侵特征的有效性
  • 维护特征库的工作量巨大

6.3 入侵检测系统

基于网络的入侵检测系统(NIDS)

  • 分析网络流量、网络数据包和协议
  • 使用原始网络包作为数据包
  • 运行在随机模式下的网络适配器监听通信

主要特点

  • 成本低
  • 攻击者很难转移/消除证据
  • 能够进行实时检测和响应
  • 能够检测未成功的攻击企图
  • 独立于操作系统

关键技术

  • IP碎片重组技术
    • 针对IP碎片攻击
      • 碎片覆盖
      • 碎片重写
      • 碎片超时
      • 针对网络拓扑的碎片技术
    • 模拟目标主机对缓存的IP碎片进行重组
    • 然后进行入侵检测分析
  • TCP流重组技术
    • IDS无法使用TCP重传机制
    • 传输中出现报文丢失或者失序,将增加检测难度
    • 报文丢失或者失序,还将导致IDS无法进行序列号追踪
  • TCP状态检测组技术
  • 网络协议分析技术
    • 协议分析技术特点
      • 根据现有协议模式,到固定位置取值
      • 根据取得的值,分析协议的流量,寻找可疑或不正常的行为
      • 加入状态特性分析,将会话流量作为整体来考虑
      • 当流量不是期望值时,IDS就发出告警
    • 协议分析技术优点
      • 性能提高
      • 准确性提高
      • 基于状态的分析
      • 反规避能力大大增强
      • 系统资源开销小。
  • 零复制技术
    • 减少数据复制和系统调用,实现CPU零参与
    • DMA数据传输
    • 内存区域映射
  • 蜜罐/蜜网技术
    • 蜜罐/蜜网是吸引攻击者的陷阱
    • 收集和分析威胁信息
    • 发现攻击工具、确定攻击模式、研究攻击动机
    • 优势
      • 大大减少了需要分析的数据
      • 蜜网计划已收集了大量信息,黑客很少采用新的攻击方法
      • 蜜罐不仅是一种研究工具,还具有真正的商业应用价值
      • 虚拟蜜网的出现降低了蜜罐的成本和管理难度

实例-SNORT

SNORT是一个强大的轻量级网络入侵检测系统

  • 具备实时数据流量分析能力,能够进行协议分析和内容搜索/匹配
  • 具有很好的扩展性和可移植性
  • 遵循通用公共许可证GPL,任何组织和个人都可以自由使用
  • 入侵检测规则是完全开放的

NIDS优缺点

优点

  • 可提供实时的网络行为检测
  • 可保护多态网络主机
  • 具有良好的隐蔽性
  • 有效保护入侵证据
  • 不影响被保护主机的性能

缺点

  • 在交换式网络环境难以配置
  • 检测性能受硬件限制
  • 不能处理加密后的数据

NIDS的部署

  • DMZ区
    • 最常见的部署位置,可检测到所有针对服务器的攻击行为
    • 优点
      • 检测已经渗入过第一层防御体系的来自外部的攻击
      • 容易检测网络防火墙的性能并找到配置策略中的问题
      • 所检测的对象集中于关键的服务设备
      • 即使进入的攻击行为不可识别,也可以从被攻击主机的反馈中获得受到攻击的信息
  • 外网入口
    • 检测所有进出防火墙外网口的数据
    • 优点
      • 可以记录最为原始的攻击数据包
      • 可以记录针对目标网络的攻击类型
    • 缺点
      • 性能不理想
      • 对进行NAT的访问来说不易定位源或目的地址
  • 内网主干
    • 最常用的部署位置,主要检测内网流出和经过防火墙过滤后流入内网的网络数据
    • 优点
      • 提高了检测攻击的识别可能
      • 检测内网可信用户的越权行为
      • 实现对内部网络信息的检测
    • 缺点
      • 由于防火墙的过滤作用,入侵检测器并不能记录下所有可能的入侵行为
  • 关键子网
    • 通过对关键子网进行安全检测,检测到来自内部以及外部 的所有不正常的网络行为
    • 优点
      • 流量相对要小一些,可保证入侵检测器的有效检测
      • 集中资源检测针对关键系统和资源的来自企业内外部的攻击
      • 将有限的资源进行有效部署,获取最高的使用价值

基于主机的入侵检测系统(HIDS)

用于保护单台主机不受网络攻击行为的侵害,需要安装在被保护的主机上

  • 网络连接检测
    • 对试图进入该主机的数据流进行检测
    • 分析确定是否有入侵行为
    • 避免或减少这些数据流进入主机系统后造成损害
  • 主机系统检测
    • 检测入侵行为在主机相关文件中留下的痕迹
    • 帮助系统管理员发现入侵行为或入侵企图
    • 主机系统检测的对象
      • 日志系统
      • 文件系统
      • 进程记录

关键技术

HIDS关键技术

  • 文件和注册表保护技术
  • 网络安全防护技术
  • WEB保护技术
    • HTTP请求类型
    • 缓冲区溢出
    • 关键字
    • 物理目录
  • 文件完整性分析技术

优缺点

优点

  • 检测准确度高
  • 可以检测没有明显特征的入侵
  • 针对性的检测
  • 成本低
  • 对网络性能影响小
  • 适用加密、交换环境

缺点

  • 实时性较差
  • 无法检测数据包的全部内容
  • 占用主机资源
  • 隐蔽性较差
  • 无法检测某些网络攻击

实例TripWire

基于主机文件的入侵检测系统

  • 为主机系统的一些关键文件建立校验和,维护文件正常变化
  • 通过校验和检测文件及其属性的异常修改,从而发现入侵行为
  • 能够在一定程度上恢复修改前的系统文件
  • 遵循通用公共许可证GPL

NIDS vs HIDS

NIDS HIDS
侦测速度快 视野更集中
隐蔽性好 易于用户自定义
视野更宽 保护更加周密
较少的检测器 对网络流量不敏感
占用资源少

分布式入侵检测系统(DIDS)

  • 数据采集 收集检测使用的数据。可驻留在主机上,或者安装在网络检测点上。
  • 通信传输 传递加工、处理原始数据。需和其他构件协作完成通信功能
  • 入侵检测分析 采用检测算法对数据进行分析,产生检测结果、报警和应急信号
  • 应急处理 按入侵检测的结果做出决策判断,对入侵行为进行响应
  • 用户管理 管理构件配置,产生总体报告,提供管理接口等。

6.4 IDS设计重点和部署

IDS的设计

  • 日志检索 至少包括:来源地址、目标地址、来源端口、目标端口、攻击特征、风险等级、时间段等
  • 探测器管理 控制台可以一次管理多个探测器,包括启动、停止、配置探测器和查看探测器运行状态等。
  • 规则管理 为用户提供根据不同网段具体情况配置安全策略的工具,针对不同情况制定相应安全规则。
  • 日志报表 至少需要提供多种文本和图形的报表模板,且报表格式可以导出WORD、HTML、TXT、EXCEL、PDF等常用的格式
  • 用户管理 对用户权限进行严格的定义,提供口令修改、添加用户、删除用户、用户权限配置等功能,有效保护系统使用的安全性。

IDS的部署

[ 笔记 ] 计算机网络安全_6_入侵检测系统_第1张图片

6.5 IDS发展趋势和方向

面临问题

  • 攻击手段更为复杂精致,攻击目标更大范围
  • 入侵者采用加密手段传输攻击信息
  • 日益增长的网络流量导致检测分析难度加大
  • 不适当的自动响应机制
  • 存在对入侵检测系统自身的攻击
  • 交换方法限制了网络数据的可见性

发展方向

  • 宽带高速实时检测技术
  • 大规模分布式检测技术
  • 数据挖掘技术
  • 更先进的检测算法
    • 计算机免疫技术
    • 神经网络技术
    • 遗传算法
  • 入侵响应技术

入侵防御系统IPS

IPS是深层防御的最优方案

IPS与IDS:技术同源

  • 核心技术基础一致
  • 名称非常接近
  • 通常厂商同时推出两类产品

部署方式对比

IPS IDS
在线,流量必须通过IPS 旁路,通过镜像获得数据
实时,其时延必须满足业务要求 准实时,可接受秒级时延
立刻影响网络报文 对网络及业务无直接影响
作用范围有限制 监控范围广

设计出发点对比

IPS IDS
无误报 无漏报
满足峰值流量和时延要求 满足平均流量,可接受秒级时延
不能影响业务系统可用性 只需关注自身功能实现

解决的问题

IPS

  • IPS可提供有效的、防火墙无法提供的应用层安全防护功能。
  • 但为了避免误报,IPS对未知攻击的防御能力几乎没有

IDS

  • IDS从总体和趋势上的分析能力是其他安全设备难以实现的
  • 同时,通过基于流量、统计等方面的分析,IDS理论上拥有在未知攻击特别是蠕虫 类攻击爆发时进行预警的能力
IPS IDS
阻拦已知攻击(重点) 总体威胁趋势分析(重点)
为已知漏洞提供虚拟补丁(重点) 流量及连接分析(重点)
速率或流量控制 安全事件分析(重点)
行为管理 无漏报

你可能感兴趣的