入侵检测系统
范技术。
入侵检测原理与结构
• 入侵是指系统发生了违反安全策略的事件,包括 对系统资源的非法访问、恶意攻击、探测系统漏 洞和攻击准备等对网络造成危害的各种行为。 • 入侵检测作为一种积极主动的网络安全防御技术, 通过监视系统的运行状态发现外部攻击、内部攻
击和各种越权操作等威胁,并在网络受到危害之
前拦截和阻断危害行为。
3.
基于应用的入侵检测
• 以应用程序日志作为入侵检测的数据源,一般就称为基于应用的 入侵检测系统。
• 基于应用的IDS是HIDS的一个特例。尽管应用日志的可信度不及 操作系统提供的审计记录和系统日志,但应用日志提供了系统层 次之外的应用与用户层次信息。由于监控的内容与对象视野集中, 更有利于准确检测应用程序和用户的非法行为。 (数据库管理系统日志和WWW服务器日志都是基于应用IDS常用的数 据源。基于应用IDS的特点与HIDS相似,目前在电子商务中得到广 泛关注。)
入侵检测技术
• 入侵检测技术的核心问题就是如何获取描述行为特 征的数据;如何利用特征数据精确地判断行为的性 质;如何按照预定策略实施响应。 • IDS至少应包括数据采集、入侵检测分析引擎和响应 处理三部分功能模块。
IDS的分类
• IDS正是根据数据采集的位置、入侵检测分析引擎采用的分析 方法、分析数据的时间和响应处理的方式进行分类的。 • 根据数据采集的位置,IDS分为基于主机(host-based)、 基于网络(network-based)、基于应用(applicationbased)和基于目标(target-based)等不同类型。 • 依据入侵检测分析引擎采用的分析方法,分为异常检测 (anomaly detection)和误用检测(misuse detection)。 • 按照分析数据的时间不同,又分为实时检测和离线检测。由 于数据采集、响应处理和误用检测在技术上相对比较成熟, 目前大多数研究人员主要针对异常入侵检测模型展开研究。
响应处理模型
• 响应处理模块根据预先设定的策略记录入侵过程、 采集入侵证据、追踪入侵源、执行入侵报警、恢复 受损系统或以自动或用户设置的方式阻断攻击过程。
• 响应处理模块同时也向数据采集模块、检测分析引 擎和模式知识库提交反馈信息。
(例如,要求数据采集模块提供更详细的审计数据或采集 其他类型的审计数据源;优化检测分析引擎的检测规则 或检测阈值;更新模式知识库中的正常或入侵行为模式 等。)
HIDS的缺点
• HIDS安装在需要保护的主机上,必然会占用主机系统资 源,额外负载将降低应用系统的效率。
• HIDS完全依赖操作系统固有的审计机制,所以必须与操 作系统紧密集成,导致平台的可移植性差。 • HIDS本身的健壮性也受到主机操作系统安全性的限制。 • HIDS只能检测针对本机的攻击,而不能检测基于网络协 议的攻击。
• 入侵监视范围大。由于每个网络传感器能够采集共享网段内的所 有数据包,一个网络传感器就可以保护一个网段。因此,只在网 络关键路径上安装网络传感器,就可以监视整个网络通信。 • 入侵取证可靠。NIDS通过捕获数据包收集入侵证据,攻击者无法 转移证据。
• 能够检测协议漏洞攻击。许多攻击程序是基于网络协议漏洞编写 的,诸如同步洪流(SYN flood)、Smurf攻击和泪滴攻击 (teardrop)等只有通过查看数据包头或有效负载才能识别。
入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩 展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别 和响应),提高了信息安全基础结构的完整性。
入侵检测系统
入侵检测系统(IDS)由入侵检测的软件与硬件组合而成, 被认为是防火墙之后的第二道安全闸门,在不影响网络性能的 情况下能对网络进行监测,提供对内部攻击、外部攻击和误操 作的实时保护。这些都通过它执行以下任务来实现:
数据采集模块
• 数据采集负责采集反映受保护系统运行状态的原始数据,为入 侵分析提供安全审计数据。 • 所采集的数据源可以是操作系统审计记录、系统日志、应用日 志和主机系统调用跟踪,也可以是网络数据包或来自其他安全 系统的日志信息。 • 数据采集模块在获得原始审计数据之后,还需要对原始审计数 据进行预处理,如审计日志精简、格式化、网络数据包协议解 析和连接记录属性精简等预处理工作,然后将能够反映系统或 网络行为事件的数据提交给入侵检测分析引擎。
Hash函数
• Hash函数有一个独特的特点,即使输入到Hash函数 的文件发生微小变化,其输出的文件消息摘要也会产 生很大变化,两个不同的文件不可能具有相同的消息 摘要。只要保护文件被修改,文件完整性检测系统就 可以检测出来。
• 典型的Hash函数有MD4、MD5和SHA等
(Tripwire是当前开放源代码软件中的最常用文件完整 性检测系统。)
根据检测分析方法分类
1 .异常检测
• 异常检测(anomaly detection)根据用户行为或资源使用的 正常模式来判定当前活动是否偏离了正常或期望的活动规律, 如 果 发 现 用 户 或 系 统 状 态 偏 离 了 正 常 行 为 模 式 ( normal behavior profile),就表示有攻击或企图攻击行为发生,系 统将产生入侵警戒信号。 • 异常检测的核心问题是正常使用模式的建立以及如何利用该模 式对当前的系统或用户行为进行比较,以便判断出与正常模式 的偏离程度。任何不符合历史活动规律的行为都被认为是入侵 行为,所以能够发现未知的攻击模式。
入侵检测模型
• 入侵检测是基于审计数据分析来判断事件的性质。数据源的可靠性、 数据质量、数据数量和数据预处理的效率都会直接影响IDS的检测
性能,所以数据采集是整个IDS的基础工作。(数据源) • 入侵检测分析引擎也称为入侵检测模型,是IDS的核心模块,负责 对采集模块提交的数据进行分析。(检测模型) • 通过从审计数据中抽取出当前系统或网络行为模式,与模式知识库 中的入侵和正常行为模式比较,按照预先配置的安全策略执行实际 的入侵或异常行为检测,然后将检测结果传递给响应模块进行处理。 IDS对入侵和可疑行为的鉴别能力直接取决于分析引擎的检测精度。
通用入侵检测系统体系结构
事件发生器
GIDO
事件分析器 事件分析器 事件数据库
GIDO
响应单元 响应单元
GIDO
图6.1
•组件之间交换的数据统称为通用入侵检测对象GIDO (general intrusion detection object)。
入侵检测原理与系统结构
• 入侵检测技术从本质上可以归结为安全审计数据的分析与处
入侵检测系统基本工作原理
当前系统或 网络行为
模式知识库 入侵行为模式
入侵检测 分析引擎 安全策略
入侵 ? 是 证据记录
数据采集
否
正常行为模式
响应处理
入侵检测分类方法
1.根据数据采集位置分类 2.根据检测分析方法分类 3.根据检测时间分类
根据数据采集位置分类
1. 主机入侵检测系统
• 当入侵检测监视的对象为主机审计数据源时,称为主
理过程。通过监视系统的活动状态,发现任何损害或企图损 害系统保密性、完整性和可用性的非法行为,并根据事先设
定的安全策略激活对应的响应措施。
• 入侵检测之所以能够发现非授权或恶意的系统与网络行为, 重要的前提是非法行为与合法行为是可以区分的,也就是说,
可以通过提取行为的模式特征来分析判断该行为的性质。
HIDS的优点
• 检测精度高。 HIDS针对用户和系统活动进行 检测,更适用于检测内部用户攻击或越权行为。
• 不受加密和交换设备影响。HIDS只关注主机本身发生
的事件,并不关心主机之外的网络事件,所以检测性 能不受数据加密、隧道和交换设备影响。
• 不受网络流量影响。 HIDS并不采集网络数据包,不 会因为网络流量增加而丢失对系统行为的监视,故其 检测性能与网络流量无关。
4. 文件完整性检测系统
• 文件完整性检测系统(file integrity checker)也称为基于目 标的入侵检测系统,可以看作是HIDS的另一个特例。 • 基本方法是使用单向杂凑函数Hash计算保护文件的消息摘要 (message digest),并将文件的消息摘要存储在安全区域。 • 文件完整性检测系统完全依赖消息摘要数据库,一旦消息摘要 数据库被恶意攻击者修改,关键文件将失去保护作用。因此, 文件的消息摘要必须存放在安全区域。
第六章 入侵检测系统
入侵检测系统概述
防火墙是所有保护网络的方法中最能普遍接受的方法,能 阻挡外部入侵者,但对内部攻击无能为力;同时,防火墙绝对 不是坚不可摧的,即使是某些防火墙本身也会引起一些安全问 题。防火墙不能防止通向站点的后门,不提供对内部的保护, 不能防止用户由Internet上下载被病毒感染的计算机程序或 将该类程序附在电子采用的分析技术主要有模式匹配(pattern matching)、专家系统、状态转移(state transition )、着色 Petri网(colored Petri nets)、语言和应用程序接口(language and API)、Denning模型、量化分析(quantitative analysis)、 统计分析、聚类分析(clustering analysis)、基于规则检测(rulebased detection)、神经网络(neural networks)等各种不同分 析方法。在近期IDS研究中,研究人员又提出了免疫系统(immune system)、遗传算法(genetic algorithm)、基于Agent的检测 (agent-based detection)、基于内核检测(kernel-based detection)、隐含马尔科夫模型(Hidden Markov model)、支持 向量机模型(support vector machine)和数据挖掘模型(data mining)等新型入侵检测分析方法。
