入侵检测系统(IDS)
入侵检测系统IDS黑客攻击日益猖獗,防范问题日趋严峻:政府、军事、邮电和金融网络是黑客攻击的主要目 标。即便已经拥有高性能防火墙等安全产品,依然 抵挡不住这些黑客对网络和系统的破坏。据统计, 几乎每20秒全球就有一起黑客事件发生,仅美国每 年所造成的经济损失就超过100亿美元。网络入侵的特点网络入侵的特点心没有地域和时间的限制;冬通过网络的攻击往往混杂在大量正常的网络活动之间,隐蔽性强;心入侵手段更加隐蔽和复杂。为什么需要IDS?单一防护产品的弱点心防御方法和防御策略的有限性心动态多变的网络环境心来自外部和内部的威胁为什么需要IDS?关于防火墙心网络边界的设备,只能抵挡外部來的入侵行为心自身存在弱点,也可能被攻破心对某些攻击保护很弱心即使透过防火墙的保护,合法的使用者仍会非法地使用 系统,甚至提升自己的权限冬仅能拒绝非法的连接請求,但是对于入侵者的攻击行为 仍一无所知入侵很容易心入侵教程随处可见心各种工具唾手可得入侵检测的职责:入侵检测(Intrusion Detection):通过从计算机网 络或计算机系统的关键点收集信息并进行分析,从 中发现网络或系统中是否有违反安全策略的行为和 被攻击的迹象。(:入侵检测系统(IDS):入侵检测系统是软件与硬 件的组合,是防火墙的合理补充,是防火墙之后的 第二道安全闸门。:入侵检测的内容:试图闯入、成功闯入、冒充其他 用户、违反安全策略、合法用户的泄漏、独占资源 以及恶意使用。 IDS系统主要有两大职责:实时检测和安全审计, 具体包含4个方面的内容冬识别黑客常用入侵与攻击心监控网络异常通信心鉴别对系统漏洞和后门的利用心完善网络安全管理入侵检测系统的功能监控用户和系统的活动查找非法用户和合法用户的越权操作检测系统配置的正确性和安全漏洞评估关键系统和数据的完整性识别攻击的活动模式并向网管人员报警:对用户的非正常活动进行统计分析,发现入侵行为 的规律操作系统审计跟踪管理,识别违反政策的用户活动检查系统程序和数据的一致性与正确性入侵检测系统模型(Denning)入侵检测系统模型(CIDF)能入:原始事件源I入侵检测系统的组成特点入侵检测系统一般是由两部分组成:控制中心和探 测引擎。控制中心为一台装有控制软件的主机,负 责制定入侵监测的策略,收集来自多个探测引擎的 上报事件,综合进行事件分析,以多种方式对入侵 事件作岀快速响应。探测引擎负责收集数据,作处( 理后,上报控制中心。控制中心和探测引擎是通过 网络进行通讯的,这些通讯的数据一般经过数据加 密。!入侵检测的工作过程:信息收集心检测引擎从信息源收集系统、网络、状态和行为信息。信息分析心从信息中查找和分析表征入侵的异常和可疑信息。:告警与响应心根据入侵性质和类型,做出相应的告警和响应。信息收集入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为:需要在计算机网络系统中的若干不同关键点(不同 网段和不同主机)收集信息,这样做的理由就是从 一个来源的信息有可能看不岀疑点,但从几个来源 的信息的不一致性却是可疑行为或入侵的最好标识O信息收集入侵检测的效果很大程度上依赖于收集信息的可靠 性和正确性要保证用来检测网络系统的软件的完整性特别是入侵检测系统软件本身应具有相当强的坚固 性,防止被篡改而收集到错误的信息信息收集系统和网络日志文件目录和文件中的不期望的改变:程序执行中的不期望行为物理形式的入侵信息17信息分析模式匹配-误用检测(Misuse Detection)心维护一个入侵特征知识库心准确性高统计分析异常检测(Anomaly Detection)冬统计模型 心误报、漏报较多完整性分析心关注某个文件或对象是否被更改冬事后分析模式匹配模式匹配就是将收集到的信息与已知的网络入侵和 系统误用模式数据库进行比较,从而发现违背安全 策略的行为 一般来讲,一种攻击模式可以用一个过程(如执彳亍 一条指令)或一个输出(如获得权限)来表示。该 过程可以很简单(如通过字符串匹配以寻找一个简 单的条目或指令),也可以很复杂(如利用正规的 数学表达式来表示安全状态的变化)17统计分析:统计分析方法首先给系统对象(如用户、文件、目 录和设备等)创建一个统计描述,统计正常使用时 的一些测量属性(如访问次数、操作失败次数和延 时等)测量属性的平均值和偏差被用来与网络、系统的行 为进行比较,任何观察值在正常值范围之外时,就 认为有入侵发生完整性分析完整性分析主要关注某个文件或对象是否被更改 心包括文件和目录的内容及属性心在发现被更改的、被安装木马的应用程序方面特别有效响应动作主动响应被动响应入侵检测性能关键参数:误报(false positive):如果系统错误地将异常活动定义为入侵漏报(false negative):如果系统未能检测出真正的入侵行为23入侵检测系统分类(一)按照分析方法(检测方法)心异常检测模型(Anomaly Detection ):首先总结正常操作 应该具有的特征(用户轮廓),当用户活动与正常行为 有重大偏离时即被认为是入侵心误用检测模型(Misuse Detection):收集非正常操作的 行为特征,建立相关的特征库,当监测的用户或系统行 为与库中的记录相匹配时,系统就认为这种行为是入侵异常检测模型如果系统错误地将异常活动定义为入侵,称为误报 (false positive);如果系统未能检测出真正的入侵 行为贝ij称为漏狼(false negative)o特点:异常检测系统的效率取决于用户轮廓的完备 性和监控的频率。因为不需要对每种入侵行为进行 定义,因此能有效检测未知的入侵。同时系统能针 对用户行为的改变进行自我调整和优化,但随着检 测模型的逐步精确,异常检测会消耗更多的系统资 源。23误用检测模型如果入侵特征与正常的用户行为能匹配,则系统会) 发生误报;如果没有特征能与某种新的攻击行为匹 配,则系统会发生漏报。:特点:采用特征匹配,误用检测能明显降低错报率 ,但漏报率随之增加。攻击特征的细微变化,会使 得误用检测无能为力。入侵检测系统分类(二)根据检测对象分类心基于主机的IDS (Host-Based IDS) HIDS般主要使用操作系统的审计日志作为主要数据源输入,试 图从日志判断滥用和入侵事件的线索。心基于网络的IDS (Network-Based IDS) NIDS在计算机网络中的关键点被动地监听网络上传输的原始流量 ,对获取的网络数据进行分析处理,从中获取有用的信息,以识 别、判定攻击事件。心混合型IDS基于网络的IDS (NIDS)是网络上的一个监听设备通过网络适配器捕获数据包并分析数据包根据判断方法分为基于知识的数据模式判断和基于 行为的行为判断方法:能够检测超过授权的非法访问 IDS发生故障不会影响正常业务的运行配置简单NIDS和HI DS比较基于主机的IDS (HIDS) HIDS是配置在被保护的主机上的,用来检测针对主 机的入侵和攻击:主要分析的数据包括主机的网络连接状态、审计日 志、系统日志。实现原理心配置审计信息心系统对审计数据进行分析(日志文件)NIDS和HI DS比较项目HIDSNIDS误报少一定量漏报9技术水平相关与数据处理能丿J有关 (不可避免)系统部署与维护与网络拓扑无关与网络拓扑相关检测规则少量1 旦 入里检测特征事件与信号分析1特征代码分析i安金策略勒本安全策略(点策略)运行安全策略(线策略)安全局限到达上机的所有事件传输中的非加密、非保密信息安全隐患违规市件攻山方法或干段:基于网络的入侵检测产品和基于王机的入侵检测产 品都有不足之处,单纯使用一类产品会造成主动防 御体系不全面。但是,它们的缺憾是互补的。如果 这两类产品能够无缝结合起来部署在网络内,则会 构架成一套完整立体的主动防御体系,综合了基于 网络和基于主机两种结构特点的入侵检测系统,既 可发现网络中的攻击信息,也可从系统日志中发现 异常情况。(入侵检测系统分类(三)根据系统工作方式来分:心在线入侵检测(IPS), 一旦发现入侵迹象立即断开入侵者 与主机的连接,并收集证据和实施数据恢复。这个检测 过程是不断循环进行的。心离线入侵检测,根据计算机系统对用户操作所做的历史 审计记录判断用户是否具有入侵行为,如果有就断开连 接,并记录入侵证据和进行数据恢复。入侵检测的部署:IDS的部署模式:心共享媒介HUB心交换环境心隐蔽模式心Tap模式冬In-line模式检测器部署位置心放在边界防火墙之内冬放在边界防火墙之外心放在主要的网络中枢心放在一些安全级别需求高的子网入侵检测的部署入侵检测的部署BBInternet一一CiBSEiBF入侵检测的部署检测器放置于防火墙的DMZ区域心可以查看受保护区域主机被攻击状态心可以看出防火墙系统的策略是否合理 心可以看出DMZ区域被黑客攻击的重点入侵检测的部署检测器放置于路由器和边界防火墙之间心可以审计所有来自lnternet±面对保护网络的攻 击数目心可以审计所有来自lnternet±面对保护网络的攻 击类型检测器放在主要的网络中枢心监控大量的网络数据,可提高检测黑客攻击的可 能性心可通过授权用户的权利周界来发现未授权用户的 行为当前主流产品介绍 Computer Associates公司心SessionWall-3/eTrust Intrusion Detection Cisco公司NetRanger心IDS Intrusion Detection公司心Kane Security Monitor Axent Tech no logies 公司心 Omn iGuard/l ntruder Alert Internet Security System公司心 RealSecureNFR公司心 Intrusion Detection Applicanee 4.0中科网威« “天眼”入侵检测系统启明星辰心SkyBell(天圍)免费开源软件心 snort入侵测系统的优点入侵检测系统能够增强网络的安全性,它的优点: 心能够使现有的安防体系更完善; 金能够更好地掌握系统的情况; 心能够追踪攻击者的