第四章入侵检测流程课件

1、第四章 入侵检测流程,4.1 入侵检测的过程,信息收集：从入侵检测系统的信息源中收集信息，内容包括系统、网络、数据以及用户活动的状态和行为等 信息分析：是入侵检测过程的核心环节 告警与响应：IDS根据攻击或事件的类型或性质，通知管理员或采取一定措施阻止入侵继续,信息收集,入侵检测利用的信息一般来自四个方面: 1.系统和网络日志 (重复登录失败,登录到不期望位置等),所有重要系统都应定期做日志 2.目录和文件中的不期望的改变 (修改,创建,删除等),特别是正常情况下限制访问的 3.程序执行中的不期望行为(一个进程出现了不期望的行为可能表明攻击者正在入侵系统 )一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同 4.物理形式的入侵信息.一是未授权的对网络硬件连接；二是对物理资源的未授权访问,信息分析,对上述四类信息收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析 1.模式匹配:模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 2.统计分析:首先给系统对象创建一个统

2、计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生 3.完整性分析:主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效,告警与响应,分为主动响应和被动响应 被动响应型系统只会发出告警通知，将发生的不正常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动 主动响应系统可以分为对被攻击系统实施控制和对攻击系统实施控制的系统 对被攻击系统实施控制（防护）:它通过调整被攻击系统的状态，阻止或减轻攻击影响，例如断开网络连接、增加安全日志、杀死可疑进程等 对攻击系统实施控制（反击）:这种系统多被军方所重视和采用,4.2 入侵检测系统的数据源,基于主机的数据源 基于网络的数据源 应用程序日志文件 其他IDS的报警信息,基于主机的数据源,审计数据是收集一个给定机器用户活动信息的唯一方法 系统运行状态信息：通过系统命令来获取系统运行情况（如ps, pstat, vmstat, getrlimi

3、t等） 系统记账信息：一般只是作为审计数据的一个补充 系统日志：指syslog守护程序提供的信息 C2级安全性审计信息：记录系统中所有潜在的安全相关事件的信息,记账系统的优缺点,记账系统处理开销小,格式一致,能与OS很好的集成 用户填充存放记账文件分区，使其使用率达到90%以上，记账会停止 记账系统可打开或关闭，但不能只对指定用户记账 记账信息缺乏精确的时间戳 记账系统缺乏精确的命令识别 记账系统缺乏系统守护程序的活动记录 获取信息的时间太迟,C2级安全性审计信息的优点,优点： 1、可以对用户的登录身份、真实身份、有效身份及真实有效的所属组的标识进行强验证 2、可以很容易地通过配置审计系统实现审计事件的分类 3、审计系统遇到错误状态时机器会关闭 4、可获取详细的参数化信息 缺点 1、需要详细监控时会消耗大量系统资源 2、通过填充审计系统的磁盘空间可造成拒绝服务攻击 3、记录格式和系统接口存在异构性,3.4 基于网络的数据源,优势： 1、采用网络监听方式获取信息，受保护系统性能影响很小 2、对网络中的用户是透明的，降低了监视器本身遭受攻击的可能性 3、相对基于主机的IDS更容易检测到某些

4、基于网络协议的攻击方法 4、可针对网段的数据进行入侵分析，与受保护主机的操作系统无关,SNMP信息,简单网络管理协议：指一系列网络管理规范的集合,包括协议本身,数据结构的定义和一些相关概念 SNMP中的管理操作： 1、get操作用来提取特定的网络管理信息 2、get-next操作通过遍历活动来提供强大的管理信息提取能力 3、set操作用来对管理信息进行控制(修改、设置) 4、trap操作用来报告重要的事件,网络通信包,网络通信包可以解决的相关问题 1、能通过分析网络业务检测出网络攻击 2、不存在审计记录的格式异构性问题 3、不会影响整个网络的处理性能 4、可通过签名分析报文载荷内容来检测攻击 弱点 1、当检测出入侵时，很难确定入侵者 2、加密技术的应用使得不可能对报文载荷进行分析，从而失去大量有用的信息,应用程序日志文件,优势 1、精确性：不会造成入侵检测系统对安全信息的理解偏差 2、完整性：日志文件能包含所有相关信息 3、性能：信息收集机制的开销小于安全审计 缺点 1、只有系统能够正常写日志文件才能检测出攻击 2、针对系统软件低层协议的攻击不利用应用程序代码，则攻击情况在日志中看不出

5、来，只能看到攻击结果,其他,其他入侵检测系统的报警信息：DIDS，GrIDS DIDS：把基于主机系统的和基于网络的检测系统组合到一起进行检测 GrIDS：基于图形分析的入侵检测系统，能检测出跨越大型网络基础设施的入侵行为 其他网络设备和安全产品的信息：安全产品包括防火墙、安全扫描系统、访问控制系统等,4.3 入侵分析的概念,定义：针对用户和系统活动数据进行有效的组织、整理并提取特征，以鉴别出感兴趣的行为。 目的 1、重要的威慑力 2、安全规划和管理 3、获取入侵证据 应考虑的因素 1、需求：可说明性、实时检测和响应 2、子目标 3、目标划分 4、平衡,4.4 入侵分析的模型,入侵分析的处理过程： 1、构建分析器 2、分析数据 3、反馈和更新,构建分析器,收集并生成事件信息 误用检测：收集入侵信息 异常检测：事件信息来自于系统本身或指定的 相似系统 预处理信息 误用检测：转换收集在某种通常表格中的事件 信息 异常检测：事件数据可能被转换成数据表,构建分析器,建立行为分析引擎 误用检测：引擎建立在规则或其他模式描述器 描绘的行为上 异常检测：区分模型通常由用户过去行为的统 计特征轮廓构成

6、 将事件数据输入引擎中 误用检测：将攻击数据输入到误用检测器中 异常检测：将参考事件数据输入到异常检测器中 保存已输入数据的模型,分析数据,输入事件记录：收集信息源产生的事件记录 事件预处理 误用检测：事件数据转换成典型表格 异常检测：事件数据被精简成一个轮廓向量 比较事件记录和知识库 误用检测：预处理事件记录被提交给一个模式 匹配引擎 异常检测：比较用户行为轮廓，依靠分析方案 进行判定 产生响应：响应性质依靠具体分析方法的性质,反馈和更新,误用检测系统中，主要功能是攻击信息的特征数据库的更新 异常检测系统中，依靠执行异常检测的类型，定时更新历史统计特征轮廓。,4.5 入侵检测的分析方法,误用检测：根据已知入侵模式来检测入侵,误用检测,模式匹配方法：将已知入侵特征转换成模式，存放于模式数据库中 专家系统方法：首先使用类似于if-then的规则格式输入已有的知识（攻击模式），然后输入检测数据（审计事件记录），系统根据知识库中的内容对检测数据进行评估，判断是否存在入侵行为 缺点：1、不适于处理大批量数据 2、没有提供对连续有序数据的任何处理 3、不能处理不确定性,状态转移法：使用系统状态和

7、状态转换表达式来描述和检测已知入侵 1、状态转换分析：使用高级状态转换图表来体现和检测已知的入侵攻击方式 基本思想：所有入侵者都是从拥有有限的权限出发，并且利用系统脆弱性来获取一些成果,状态转换方法的优缺点,优点: 1. 状态转换图提供了一个直接的,高级的,与审计记录独立的概要描述 2.转换允许一个人去描绘构成攻击概要的部分顺序信号动作 3.攻击成功时,状态转换必须使用最小可能的信号动作子集 4.系统保存的硬连接信息使它更容易表示攻击情景 5.系统能检测出协同的缓慢攻击,状态转换方法的优缺点,缺点: 1.状态声明和信号动作的列表是手工编码的 2.状态声明和信号可能不能充分表达更复杂的攻击情景 3.推论引擎从目标系统获取额外信息会导致性能下降 4.系统不能检测出许多常见攻击 5.原型系统与其他基于状态转换方法的系统相比效率较低,有色Petri网 匹配模型包括： 1、一个上下文描述：允许匹配相关的构成入侵信号的各种事件 2、语义学：容纳了几种混杂在同一事件流中的入侵模式的可能性 3、一个动作规格：当模式匹配时，提供某种动作的执行 优点：速度快；模式匹配引擎独立于审计格式；特征在跨越审计记录

8、方面非常方便；模式能根据需要匹配；事件的顺序和其他排序约束条件可以直接体现出来,异常检测,异常检测是根据系统或用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为. 异常检测的假定:用户表现为可预测的,一致的系统使用模式. Anderson威胁模型: 1. 外部闯入:未经授权计算机系统用户的入侵 2. 内部渗透:指已授权的计算机系统用户访问未经授权的数据. 3. 不当行为指的是用户虽经授权,但对授权数据和资源的使用不合法或滥用授权,入侵与异常,入侵性而非异常:漏检,IDS不报告入侵 非入侵性而却异常: IDS报告入侵,误报 非入侵性也非异常: IDS没报告,属于正确判断 入侵且异常: 有入侵且活动异常,IDS报告入侵 漏检对重要的安全系统非常危险,误报会增添安全管理员的负担,导致IDS异常检测器计算开销增大,Denning的原始模型,可操作模型: 度量超出阈值时触发异常 平均和标准偏差模型:行为观察落在信任间隔之外被定义为异常 多变量模型:是平均和标准偏差模型的扩展 Markov处理模型:事件记数器.如果事件的或然率太低,则被定义为异常. 或然率:就是用来表示随机事件发生的可能性

9、大小的数值表征,量化分析,阈值检测:用户和系统行为根据某种属性计数进行描述 启发式阈值检测: 在简单阈值检测的基础上进一步使它适合于观察层次 基于目标的集成检查(完整性检查):系统定时计算系统对象的密码校验值,如果有偏差,发出报警信息 量化分析和数据精简:去除原始事件数据中所包含的冗余信息,减少对系统存储资源的占用,优化检测过程.,统计度量,IDES/NIDES Haystack 统计分析的力度:可以发现违背安全策略的行为,且维护方便 统计分析的不足:不能对入侵进行实时检测和自动响应,不能反应事件在时间顺序上的前后相关性,非参统计度量,早期统计分析利用了参量的方法,描述用户或其他系统实体的行为模式特征. 其前提条件是:所分析的数据满足某种特定的分布,高斯分布或正态分布 不满足分布的数据会导致系统错误率的上升 聚类分析:首先收集大量的历史数据,根据某种预先设定的评估准则,将数据组织到不同的类别中 目的:1.同一类别中的对象之间的”距离”足够小 2.不同类别中的对象之间的”距离”足够大,基于规则的方法,Wisdom and sense (W或向入侵者可能来自的系统管理员发E-mail,请求协助,主动采取反击行动的形式,基于用户驱动的响应 许多主动响应功能源自手工执行的时期 自动执行响应 1. 攻击速度快 2. 攻击在进行过程中禁止手工干涉,修正系统,与其他方法相比这种对入侵的响应更为缓和,但却是最佳的响应配置 修正系统以弥补引起攻击的系统缺陷,这个观点与许多研究者对关键系统持有的看法是一致的 为保护自身安全而装备的”自疗”系统可以辩认出问题所在并将引起问题的部分隔离起来.,收集额外信息,当被保护的系统关系重大而且当事人要求法律赔偿时,收集更详细的信息是一种很有价值的措施 记录日志的响应与专用的服务器结合起来使用,作为可以将入侵者转移的环境来安置. 专用服务器是指诱骗系统,可以模拟关键系统的文件系统和其他系统特征,引诱攻击者进入,记录攻击者的行为,从而获得关于攻击者的详细信息.,被动响应,被动响应是指为用户提供信息,由用户决定接下来应该采取什么措施. 早期IDS中所有响应都属于被动响应 被动响应根据危险程序高低的次序提交给用户,危险程序是警报机制与问题汇报是主要的区别,警报和通知,告警

《第四章入侵检测流程课件》由会员我***分享，可在线阅读，更多相关《第四章入侵检测流程课件》请在金锄头文库上搜索。