《入侵检测技术概论课件.ppt》由会员分享,可在线阅读,更多相关《入侵检测技术概论课件.ppt(46页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、入侵检测技术孙建伟计算机网络攻防对抗技术实验室北京理工大学内容概要n P2DR 安全体系n 入侵检测系统介绍n 入侵检测系统分类n 入侵检测系统用到的一些技术n 入侵检测系统的研究和发展n 商用入侵检测系统演示网络安全动态防护模型安全安全策略策略(policy)policy)防护 防护(protecttio protecttion)n)检 检 测 测(detection detection)响 响 应 应(response response)网络安全:及时的检测和处理时间PtDtRt新定义:Pt Dt+RtP2DR 安全模型n 这是一个动态模型n 以安全策略为核心n 基于时间的模型n 可以量化
2、n 可以计算n P2DR 安全的核心问题 检测n 检测是静态防护转化为动态的关键n 检测是动态响应的依据n 检测是落实/强制执行安全策略的有力工具内容概要n P2DR 安全体系n 入侵检测系统介绍n 入侵检测系统分类n 入侵检测系统用到的一些技术n 入侵检测系统的研究和发展IDS 的用途攻击工具攻击命令攻击机制目标网络网络漏洞目标系统系统漏洞攻击者漏洞扫描评估加固攻击过程实时入侵检测入侵检测系统的实现过程n 信息收集,来源:n 网络流量n 系统日志文件n 系统目录和文件的异常变化n 程序执行中的异常行为n 信息分析n 模式匹配n 统计分析n 完整性分析,往往用于事后分析入侵检测系统的通用模型数
3、据源模式匹配器 系统轮廓分析引擎数据库入侵模式库异常检测器响应和恢复机制入侵检测系统的种类n 基于主机n 安全操作系统必须具备一定的审计功能,并记录相应的安全性日志n 基于网络n IDS 可以放在防火墙或者网关的后面,以网络嗅探器的形式捕获所有的对内对外的数据包IDS 的部署和结构n 入侵检测系统的管理和部署n 多种IDS 的协作n 管理平台和sensorn 基于Agent 的IDS 系统n Purdue 大学研制了一种被称为AAFID(Autonomous agents for intrusion detection)的IDS 模型n SRI 的EMERALD(Event Monitorin
4、g Enabling Response to Anomalous Live Disturbances)RealSecure ConsoleRealSecure RealSecure OS Sensor OS SensorRealSecure RealSecure Server Sensor Server Sensor商业IDS 例子:ISS RealSecure 结构RealSecure RealSecure Network Sensor Network Sensor内容概要n P2DR 安全体系n 入侵检测系统介绍n 入侵检测系统用到的一些技术n 入侵检测系统分类n 入侵检测系统的研究和发展
5、IDS 的技术n 异常检测(anomaly detection)n 也称为基于行为的检测n 首先建立起用户的正常使用模式,即知识库n 标识出不符合正常模式的行为活动n 误用检测(misuse detection)n 也称为基于特征的检测n 建立起已知攻击的知识库n 判别当前行为活动是否符合已知的攻击模式异常检测n 比较符合安全的概念,但是实现难度较大n 正常模式的知识库难以建立n 难以明确划分正常模式和异常模式n 常用技术n 统计方法n 预测模式n 神经网络误用检测n 目前研究工作比较多,并且已经进入实用n 建立起已有攻击的模式特征库n 难点在于:如何做到动态更新,自适应n 常用技术n 基于简
6、单规则的模式匹配技术n 基于专家系统的检测技术n 基于状态转换分析的检测技术n 基于神经网络检测技术n 其他技术,如数据挖掘、模糊数学等IDS 的两个指标n 漏报率n 指攻击事件没有被IDS 检测到n 误报率(false alarm rate)n 把正常事件识别为攻击并报警n 误报率与检出率成正比例关系0 检出率(detection rate)100%100%误报率内容概要n P2DR 安全体系n 入侵检测系统介绍n 入侵检测系统用到的一些技术n 入侵检测系统分类n 入侵检测系统的研究和发展入侵检测系统的种类n 基于主机n 安全操作系统必须具备一定的审计功能,并记录相应的安全性日志n 基于网络
7、n IDS 可以放在防火墙或者网关的后面,以网络嗅探器的形式捕获所有的对内对外的数据包基于网络的IDS 系统n 收集网络流量数据n 利用sniff 技术n 把IDS 配置在合理的流量集中点上,比如与防火墙或者网关配置在一个子网中n 利用某些识别技术n 基于模式匹配的专家系统n 基于异常行为分析的检测手段一个轻量的网络IDS:snortn 是一个基于简单模式匹配的IDSn 源码开放,跨平台(C 语言编写,可移植性好)n 利用libpcap 作为捕获数据包的工具n 特点n 设计原则:性能、简单、灵活n 包含三个子系统:网络包的解析器、检测引擎、日志和报警子系统n 内置了一套插件子系统,作为系统扩展
8、的手段n 模式特征链 规则链n 命令行方式运行,也可以用作一个sniffer 工具网络数据包解析n 结合网络协议栈的结构来设计n Snort 支持链路层和TCP/IP 的协议定义n 每一层上的数据包都对应一个函数n 按照协议层次的顺序依次调用就可以得到各个层上的数据包头n 从链路层,到传输层,直到应用层n 在解析的过程中,性能非常关键,在每一层传递过程中,只传递指针,不传实际的数据n 支持链路层:以太网、令牌网、FDDISnort 规则链处理过程n 二维链表结构n 匹配过程n 首先匹配到适当的Chain Headern 然后,匹配到适当的Chain Optionn 最后,满足条件的第一个规则指
9、示相应的动作Snort:日志和报警子系统n 当匹配到特定的规则之后,检测引擎会触发相应的动作n 日志记录动作,三种格式:n 解码之后的二进制数据包n 文本形式的IP 结构n Tcpdump 格式n 如果考虑性能的话,应选择tcpdump 格式,或者关闭logging 功能n 报警动作,包括n Syslogn 记录到alert 文本文件中n 发送WinPopup 消息关于snort 的规则n Snort 的规则比较简单n 规则结构:n 规则头:alert tcp!10.1.1.0/24 any-10.1.1.0/24 anyn 规则选项:(flags:SF;msg:“SYN-FIN Scan”;
10、)n 针对已经发现的攻击类型,都可以编写出适当的规则来n 规则与性能的关系n 先后的顺序n Content option 的讲究n 许多cgi 攻击和缓冲区溢出攻击都需要content optionn 现有大量的规则可供利用Snort 规则示例n 规则示例Option 类型关于snortn 开放性n 源码开放,最新规则库的开放n 作为商业IDS 的有机补充n 特别是对于最新攻击模式的知识共享n Snort 的部署n 作为分布式IDS 的节点n 为高级的IDS 提供基本的事件报告n 发展n 数据库的支持n 互操作性,规则库的标准化n 二进制插件的支持n 预处理器模块:TCP 流重组、统计分析,等
11、n 异常检测的网络IDSn 基于规则和特征匹配的NIDS 的缺点n 对于新的攻击不能正确识别n 人工提取特征,把攻击转换成规则,加入到规则库中n 异常检测的NIDS 可以有一定的自适应能力n 利用网络系统的已知流量模式进行学习,把正常流量模式的知识学习到IDS 中n 当出现新的攻击时,根据异常行为来识别n 并且,对于新的攻击以及异常的模式可以反馈到IDS系统中异常检测的网络IDSn 目前出现了专门流量异常检测设备n CiscoXT5600 流量异常检测器n 专用于防DDOS 攻击基于主机的IDS 系统n 信息收集n 系统日志n 系统状态信息n 特点:OS 相关n 常用的分析技术n 统计分析n
12、状态转移分析n 关联分析n 基于主机的IDS 系统n 在分布式入侵检测体系中,作为日志收集代理n 主机防火墙逐步担当IDS 的职责n 瑞星n 卡巴斯基内容概要n P2DR 安全体系n 入侵检测系统介绍n 入侵检测系统分类n 入侵检测系统用到的一些技术n 入侵检测系统的研究和发展STATn STAT:A state transition analysis tool for intrusion detectionn 由美国加州大学Santa Barbaba 分校开发n 从初始状态到入侵状态的转移过程n 用有限状态机来表示入侵过程n 初始状态指入侵发生之前的状态n 入侵状态指入侵发生之后系统所处的状
13、态n 系统状态通常用系统属性或者用户权限来描述n 用户的行为和动作导致系统状态的转变S1 S2S3Assertions Assertions AssertionsSTAT 的优缺点n 优点:n 状态转移图提供了一种针对入侵渗透模式的直观的、高层次的、与审计记录无关的表示方法n 用状态转移法,可以描述出构成特定攻击模式的特征行为序列n 状态转移图给出了保证攻击成功的特征行为的最小子集,从而使得检测系统可以适应相同入侵模式的不同表现形式n 可使攻击行为在到达入侵状态之前就被检测到,从而采取措施阻止攻击行为n 可以检测协同攻击和慢速攻击n 缺点:n 状态(assertions)和特征行为需要手工编码
14、n Assertions 和特征用于表达复杂细致的入侵模式时可能无法表达n STAT 只是一个框架,需要具体的实现或者与其他系统协同工作n STAT 的速度相对比较慢STATUSTATn USTAT:用于UNIX 系统的STAT 实现n 包括四部分n 预处理器:对数据进行过滤,并转换为与系统日志文件无关的格式n 知识库:包括状态描述库和规则库。规则库用于存放已知攻击类型所对应的状态转移规则;状态描述库存放系统在遭受不同类型攻击下所出现的状态n 推理引擎:根据预处理器给出的信息和状态描述库中定义的系统状态,判断状态的变化并更新状态信息。一旦发现可疑的安全威胁,通知决策引擎n 决策引擎:将安全事件
15、通知管理员,或者采取预先定义的自动响应措施基于STAT 的IDSn USTATn NSTATn 把USTAT 扩展到多台主机,从而可以检测到针对多台共享同一个网络文件系统的主机的攻击n NetSTATn 是一个基于网络的IDS,分析网络中的流量,找到代表恶意行为的数据包n WinSTATn 基于主机的IDS,分析Windows NT 的事件日志n WebSTATn 基于应用的IDS,用Apache Web Server 的日志作为输入n AlertSTATn 是一个高层的入侵关联器,以其他检测器的报警作为输入,以便检测出高层次、多步骤的攻击IDS 的困难n 异常检测技术仍然需要研究和发展n N
16、IDS 的部署n 交换式网络的普及n 有些交换机提供了“把多个端口或者VLAN 镜像到单个端口”的能力,用于捕获数据包n 应用系统的多样性n 需要统一的规范交换信息n IPSec 等一些加密或者隧道协议n IDS 与响应和恢复技术n IDS 属于检测的环节,一旦检测到入侵或者攻击,必须尽快地做出响应,以保证信息系统的安全n IDS 的响应机制,可以从基本的管理角度来考虑,也可以从技术角度来实施,包括与其他防护系统的互操作,比如防火墙n 对于一个企业而言,IDS 与DRP(Disaster Recovery Planning)需要一起来制订和实施n DRP 包括n 业务影响分析(BIA,Busi
17、ness Impact Analysis)n 数据必须定期备份n 信息系统的根本目的是提供便利的服务n 灾难评估n 明确责任人IDS 的研究与发展n IDS 自身的发展n 基于异常检测的技术n 分布式IDS 系统n 引入生物学免疫系统的概念n 与其他防护系统的集成n IDS 与其他学科n IDS 与模式识别、人工智能n IDS 与数据挖掘n IDS 与神经网络n IDS 与n IDS 之间的互操作n CIDF:由美国加州大学Davis 分校提出的框架,试图规范一种通用的语言格式和编码方式来表示IDS 组件边界传递的数据n IDEF:IETF IDWG 提出的草案,规范了部分术语的使用,用XML
18、来描述消息格式。IDS 的研究与发展n IDS 自身的发展n 基于异常检测的技术n 分布式IDS 系统n 引入生物学免疫系统的概念n 与其他防护系统的集成n IDS 与其他学科n IDS 与模式识别、人工智能n IDS 与数据挖掘n IDS 与神经网络n IDS 与n IDS 之间的互操作n CIDF:由美国加州大学Davis 分校提出的框架,试图规范一种通用的语言格式和编码方式来表示IDS 组件边界传递的数据n IDEF:IETF IDWG 提出的草案,规范了部分术语的使用,用XML来描述消息格式。入侵检测技术展望n 随着攻击技术的发展而发展n Botnetn 如何检测Botnet?n 蠕虫
19、攻击n 如何检测蠕虫?n 会逐步纳入信息系统审计体系中n 以网络审计的形式出现n 再现安全事件n 再现运维操作行为内容概要n P2DR 安全体系n 入侵检测系统介绍n 入侵检测系统分类n 入侵检测系统用到的一些技术n 入侵检测系统的研究和发展n 商用入侵检测系统演示商用入侵检测系统演示n 绿盟的“冰之眼”入侵检测系统n 重点理解n 检测规则n 事件处理参考资料n 书n 戴英侠等,系统安全与入侵检测,清华大学出版社,2002n Web 站点n STAT,http:/www.cs.ucsb.edu/rsg/STATn Snort,http:/www.snort.org/练习题n 建立Snort+A
20、cid 的简单入侵检测系统n Snort 安装在linux 上,两个网卡;n Acid(基于php)安装在winxp 上;n 了解检测规则配置及日志记录。11、人生的某些障碍,你是逃不掉的。与其费尽周折绕过去,不如勇敢地攀登,或许这会铸就你人生的高点。12、有些压力总是得自己扛过去,说出来就成了充满负能量的抱怨。寻求安慰也无济于事,还徒增了别人的烦恼。13、认识到我们的所见所闻都是假象,认识到此生都是虚幻,我们才能真正认识到佛法的真相。钱多了会压死你,你承受得了吗?带,带不走,放,放不下。时时刻刻发悲心,饶益众生为他人。14、梦想总是跑在我的前面。努力追寻它们,为了那一瞬间的同步,这就是动人的
21、生命奇迹。15、懒惰不会让你一下子跌倒,但会在不知不觉中减少你的收获;勤奋也不会让你一夜成功,但会在不知不觉中积累你的成果。人生需要挑战,更需要坚持和勤奋!16、人生在世:可以缺钱,但不能缺德;可以失言,但不能失信;可以倒下,但不能跪下;可以求名,但不能盗名;可以低落,但不能堕落;可以放松,但不能放纵;可以虚荣,但不能虚伪;可以平凡,但不能平庸;可以浪漫,但不能浪荡;可以生气,但不能生事。17、人生没有笔直路,当你感到迷茫、失落时,找几部这种充满正能量的电影,坐下来静静欣赏,去发现生命中真正重要的东西。18、在人生的舞台上,当有人愿意在台下陪你度过无数个没有未来的夜时,你就更想展现精彩绝伦的自
22、己。但愿每个被努力支撑的灵魂能吸引更多的人同行。19、积极的人在每一次忧患中都看到一个机会,而消极的人则在每个机会中看到了某种忧患。莫找借口失败,只找理由成功。20、每一个成就和长进,都蕴含着曾经受过的寂寞、洒过的汗水、流过的眼泪。许多时候不是看到希望才去坚持,而是坚持了才能看到希望。1、有时候,我们活得累,并非生活过于刻薄,而是我们太容易被外界的氛围所感染,被他人的情绪所左右。2、身材不好就去锻炼,没钱就努力去赚。别把窘境迁怒于别人,唯一可以抱怨的,只是不够努力的自己。3、大概是没有了当初那种毫无顾虑的勇气,才变成现在所谓成熟稳重的样子。4、世界上只有想不通的人,没有走不通的路。将帅的坚强意
23、志,就像城市主要街道汇集点上的方尖碑一样,在军事艺术中占有十分突出的地位。5、世上最美好的事是:我已经长大,父母还未老;我有能力报答,父母仍然健康。6、没什么可怕的,大家都一样,在试探中不断前行。7、时间就像一张网,你撒在哪里,你的收获就在哪里。纽扣第一颗就扣错了,可你扣到最后一颗才发现。有些事一开始就是错的,可只有到最后才不得不承认。8、世上的事,只要肯用心去学,没有一件是太晚的。要始终保持敬畏之心,对阳光,对美,对痛楚。9、别再去抱怨身边人善变,多懂一些道理,明白一些事理,毕竟每个人都是越活越现实。10、山有封顶,还有彼岸,慢慢长途,终有回转,余味苦涩,终有回甘。11、失败不可怕,可怕的是
24、从来没有努力过,还怡然自得地安慰自己,连一点点的懊悔都被麻木所掩盖下去。不能怕,没什么比自己背叛自己更可怕。12、跌倒了,一定要爬起来。不爬起来,别人会看不起你,你自己也会失去机会。在人前微笑,在人后落泪,可这是每个人都要学会的成长。13、要相信,这个世界上永远能够依靠的只有你自己。所以,管别人怎么看,坚持自己的坚持,直到坚持不下去为止。14、也许你想要的未来在别人眼里不值一提,也许你已经很努力了可还是有人不满意,也许你的理想离你的距离从来没有拉近过.但请你继续向前走,因为别人看不到你的努力,你却始终看得见自己。15、所有的辉煌和伟大,一定伴随着挫折和跌倒;所有的风光背后,一定都是一串串揉和着
25、泪水和汗水的脚印。16、成功的反义词不是失败,而是从未行动。有一天你总会明白,遗憾比失败更让你难以面对。17、没有一件事情可以一下子把你打垮,也不会有一件事情可以让你一步登天,慢慢走,慢慢看,生命是一个慢慢累积的过程。18、努力也许不等于成功,可是那段追逐梦想的努力,会让你找到一个更好的自己,一个沉默努力充实安静的自己。19、你相信梦想,梦想才会相信你。有一种落差是,你配不上自己的野心,也辜负了所受的苦难。20、生活不会按你想要的方式进行,它会给你一段时间,让你孤独、迷茫又沉默忧郁。但如果靠这段时间跟自己独处,多看一本书,去做可以做的事,放下过去的人,等你度过低潮,那些独处的时光必定能照亮你的路,也是这些不堪陪你成熟。所以,现在没那么糟,看似生活对你的亏欠,其实都是祝愿。