CIDF
(The Common Intrusion Detection Framework)
/drafts
CIDF
CIDF早期由美国国防部高级研究计划局赞助研究, CIDF早期由美国国防部高级研究计划局赞助研究,现在由 早期由美国国防部高级研究计划局赞助研究 CIDF工作组负责,这是一个开放组织.实际上CIDF已经成 CIDF工作组负责,这是一个开放组织.实际上CIDF已经成 工作组负责 CIDF 为一个开放的共享的资源 CIDF是一套规范 它定义了IDS 是一套规范, IDS表达检测信息的标准语言以 CIDF是一套规范,它定义了IDS表达检测信息的标准语言以 IDS组件之间的通信协议 及IDS组件之间的通信协议 符合CIDF规范的IDS可以共享检测信息,相互通信, CIDF规范的IDS可以共享检测信息 符合CIDF规范的IDS可以共享检测信息,相互通信,协同工 作,还可以与其它系统配合实施统一的配置响应和恢复策 略 CIDF的主要作用在于集成各种IDS,使之协同工作, 的主要作用在于集成各种IDS CIDF的主要作用在于集成各种IDS,使之协同工作,实现各 IDS之间的组件重用 所以CIDF也是构建分布式IDS 之间的组件重用, CIDF也是构建分布式IDS的基础 IDS之间的组件重用,所以CIDF也是构建分布式IDS的基础
误报( 误报 false positive):如果系统错误地将异 如果系统错误地将异 常活动定义为入侵 漏报( 漏报 false negative):如果系统未能检测出 如果系统未能检测出 真正的入侵行为
入侵检测系统的分类(1) 入侵检测系统的分类( )
按照分析方法(检测方法) 按照分析方法(检测方法) 异常检测模型( 异常检测模型(Anomaly Detection ):首先总 首先总 结正常操作应该具有的特征(用户轮廓), ),当用 结正常操作应该具有的特征(用户轮廓),当用 户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型( 误用检测模型(Misuse Detection):收集非正 : 常操作的行为特征,建立相关的特征库, 常操作的行为特征,建立相关的特征库,当监测 的用户或系统行为与库中的记录相匹配时, 的用户或系统行为与库中的记录相匹配时,系统 就认为这种行为是入侵
IDS存在与发展的必然性 存在与发展的必然性
一,网络攻击造成的破坏性和损失日益严重 二,网络安全威胁日益增长 三,单纯的防火墙无法防范复杂多变的攻击
IDS的作用
为什么需要IDS 为什么需要
单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
为什么需要IDS 为什么需要
为什么需要IDS 为什么需要
入侵很容易
入侵教程随处可见 各种工具唾手可得
网络安全工具的特点
优点 防火墙 IDS Scanner 可简化网络管理, 可简化网络管理,产品成熟 实时监控网络安全状态 局限性 无法处理网络内部的攻击 误警率高,缓慢攻击, 误警率高,缓慢攻击,新 的攻击模式
完全主动式安全工具, 完全主动式安全工具,能够了 并不能真正了解网络上即 解网络现有的安全水平, 解网络现有的安全水平,简单 时发生的攻击 可操作, 可操作,帮助系统管理员和安 全服务人员解决实际问题, 全服务人员解决实际问题, 保护公网上的内部通信 针对文件与邮件, 针对文件与邮件,产品成熟 可视为防火墙上的一个漏 洞 功能单一
系统目录和文件的异常变化
网络环境中的文件系统包含很多软件和数据文件, 网络环境中的文件系统包含很多软件和数据文件,包 含重要信息的文件和私有数据文件经常是黑客修改或 破坏的目标 目录和文件中的不期望的改变(包括修改, 目录和文件中的不期望的改变(包括修改,创建和删 ),特别是那些正常情况下限制访问的 特别是那些正常情况下限制访问的, 除),特别是那些正常情况下限制访问的,很可能就 是一种入侵产生的指示和信号 入侵者经常替换, 入侵者经常替换,修改和破坏他们获得访问权的系统 上的文件, 上的文件,同时为了隐藏系统中他们的表现及活动痕 迹,都会尽力去替换系统程序或修改系统日志文件
完整性分析
完整性分析主要关注某个文件或对象是否被更改 完整性分析主要关注某个文件或对象是否被更改
包括文件和目录的内容及属性 在发现被更改的,被安装木马的应用程序方面特别有效 在发现被更改的,
响应部件
响应动作
简单报警 切断连接 封锁用户 改变文件属性 最强烈反应:回击攻击者
入侵检测系统性能关键参数
关于防火墙
网络边界的设备, 网络边界的设备,只能抵挡外部来的入侵行 为 自身存在弱点, 自身存在弱点,也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护, 即使透过防火墙的保护,合法的使用者仍会 非法地使用系统, 非法地使用系统,甚至提升自己的权限 仅能拒绝非法的连接请求, 仅能拒绝非法的连接请求,但是对于入侵者 的攻击行为仍一无所知
制订响应策略应考虑的要素
系统用户:入侵检测系统用户可以分为网络安全专家 安全专家或 系统用户:入侵检测系统用户可以分为网络安全专家或 管理员,系统管理员,安全调查员. 管理员,系统管理员,安全调查员.这三类人员对系统 的使用目的,方式和熟悉程度不同,必须区别对待 的使用目的,方式和熟悉程度不同, 操作运行环境: 操作运行环境:入侵检测系统提供的信息形式依赖其运 行环境 系统目标:为用户提供关键数据和业务的系统, 系统目标:为用户提供关键数据和业务的系统,需要部 分地提供主动响应机制 规则或法令的需求:在某些军事环境里, 规则或法令的需求:在某些军事环境里,允许采取主动 防御甚至攻击技术来对付入侵行为
响应策略
弹出窗口报警 E-mail通知 切断TCP连接 执行自定义程序 与其他安全产品交互
Firewall SNMP Trap
自动响应
压制调速 1, 撤消连接 2, 回避 3, 隔离 SYN/ACK RESETs
蜜罐
一个高级的网络节点在使用" 压制调速" 技术的情况 一个高级的网络节点在使用"压制调速" 一个高级的网络节点在使用 可以采用路由器把攻击者引导到一个经过特殊装备 下,可以采用路由器把攻击者引导到一个经过特殊装备 的系统上, 的系统上,这种系统被成为蜜罐 蜜罐是一种欺骗手段, 蜜罐是一种欺骗手段,它可以用于错误地诱导攻击 也可以用于收集攻击信息, 者,也可以用于收集攻击信息,以改进防御能力 蜜罐能采集的信息量由自身能提供的手段以及攻击 行为数量决定
入侵检测的定义
对系统的运行状态进行监视, 对系统的运行状态进行监视,发现各种攻 击企图,攻击行为或者攻击结果, 击企图,攻击行为或者攻击结果,以保证 系统资源的机密性, 系统资源的机密性,完整性和可用性 入侵检测系统: 入侵检测系统:进行入侵检测的软件与硬 件的组合 (IDS : Intrusion Detection System)
1. 2.
概述 入侵检测方法
3. 入侵检测系统的设计原理 4. 入侵检测响应机制 入侵检测标准化工作 6. 7. 其它 展望
IDS标准化要求 标准化要求
随着网络规模的扩大,网络入侵的方式, 随着网络规模的扩大,网络入侵的方式,类 特征各不相同, 型,特征各不相同,入侵的活动变得复杂而 又难以捉摸 网络的安全要求IDS之间能够相互协作,能 之间能够相互协作 网络的安全要求 之间能够相互协作, 够与访问控制,应急, 够与访问控制,应急,入侵追踪等系统交换 信息, 信息,形成一个整体有效的安全保障系统 需要一个标准来加以指导, 需要一个标准来加以指导,系统之间要有一 个约定
入侵检测系统的分类
主机IDS:
主机入侵检测系统( HIDS) 主机入侵检测系统 ( HIDS ) 是一种用于监控单个主机 上的活动的软件应用. 上的活动的软件应用.监控方法包括验证操作系统与应 用调用及检查日志文件,文件系统信息与网络连接. 用调用及检查日分析引擎
模式匹配 统计分析 完整性分析,往往用于事后分析 完整性分析,
模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系 统误用模式数据库进行比较, 模式数据库进行比较 统误用模式数据库进行比较,从而发现违背安全策略 的行为 一般来讲,一种攻击模式可以用一个过程( 一般来讲,一种攻击模式可以用一个过程(如执行一 条指令)或一个输出(如获得权限)来表示. 条指令)或一个输出(如获得权限)来表示.该过程 可以很简单( 可以很简单(如通过字符串匹配以寻找一个简单的条 目或指令),也可以很复杂( ),也可以很复杂 目或指令),也可以很复杂(如利用正规的数学表达 式来表示安全状态的变化) 式来表示安全状态的变化)
入侵检测系统
Intrusion Detection System (IDS) 2007
1. 2. 3. 4. 5. 6. 7.
概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 snort分析 分析 展望
概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望
统计分析
统计分析方法首先给系统对象(如用户,文件, 统计分析方法首先给系统对象(如用户,文件,目录 和设备等)创建一个统计描述, 和设备等)创建一个统计描述,统计正常使用时的一 些测量属性(如访问次数,操作失败次数和延时等) 些测量属性(如访问次数,操作失败次数和延时等) 测量属性的平均值和偏差被用来与网络, 测量属性的平均值和偏差被用来与网络,系统的行为 进行比较,任何观察值在正常值范围之外时, 进行比较,任何观察值在正常值范围之外时,就认为 有入侵发生
IDS基本结构 基本结构
入侵检测系统包括三个功能部件 (1)信息收集 (2)分析引擎 (3)响应部件
信息搜集
信息收集
入侵检测的第一步是信息收集,收集内容包括系统, 入侵检测的第一步是信息收集,收集内容包括系统, 网络, 网络,数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点(不同 需要在计算机网络系统中的若干不同关键点( 网段和不同主机) 网段和不同主机)收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点