设为首页 | 加入收藏夹

八文网 - 汇聚八方文档 - 做最优秀的免费文档下载网站

信息安全概论

文档类型：

Microsoft PowerPoint PPT 演示文稿文档大小：921.5KB

段云所副教授信息安全概论北京大学信息学院软件研究所-信息安全研究室
第十一章入侵检测系统IDS(入侵检测系统)存在与发展的必然性
一、网络的破坏性,损失的严重性
二、日益增长的网络安全威胁
三、单纯的防火墙无法防范复杂多变的为什么需要IDS关于防火墙网络边界的设备自身可以被攻破对某些保护很弱不是所有的威胁来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得网络安全工具的特点功能单一针对文件与邮件,产品成熟防病毒可视为防火墙上的一个漏洞保护公网上的内部通信VPN并不能真正扫描漏洞简单可操作,帮助系统管理员和安全服务人员解决实际问题Scanner误报警,缓慢,新的模式实时监控网络安全状态IDS无法处理网络内部的可简化网络管理,产品成熟防火墙局限性优点Intrusion
Intrusion : Attempting to break into or misuse your system.
Intruders may be from outside the network or legitimate users of the network.
Intrusion can beaphysical, system or remote intrusion.
传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中、这些策略是不充分的.它们是系统安全不可缺的部分但不能完全保证系统的安全入侵检测(Intrusion Detection)是对入侵行为的发觉.它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被的迹象Intrusion Detection入侵检测的定义对系统的运行状态进行监视,发现各种,行为或者结果,以保证系统资源的机密性,完整性和可用性进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS : Intrusion Detection System)入侵检测的起源(1)
审计技术:产生,记录并检查按时间顺序排列的系统事件记录的过程
审计的目标:确定和保持系统活动中每个人的责任重建事件评估损失监测系统的问题区提供有效的灾难恢复阻止系统的使用
1980年Anderson提出:入侵检测概念,分类方法1987年Denning提出了一种通用的入侵检测模型
独立性:系统,环境、脆弱性,入侵种类
系统框架:异常检测器,专家系统90年初CMDS ,NetProwler ,NetRangerISS RealSecure入侵检测起源(2)入侵检测的起源(2)1980年4月《Computer Security Threat Monitoring and Surveillance》
(计算机安全威胁监控与监视)
第一次详细阐述了入侵检测的概念
计算机系统威胁分类: 外部渗透,内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开山之作入侵检测的起源(3)从1984年到1986年乔治敦大学的Dorothy DenningSRICSL的Peter Neumann研究出了一个实时入侵检测系统模型IDES(入侵检测专家系统)IDES原型系统入侵检测的起源(4)
1990,加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(Network Security Monitor)该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS入侵检测系统的需求特性(1)
一个成功的入侵检测系统至少要满足以下五个主要要求:
(1) 实时性要求如果或者的能够被尽快发现,就有可能查出者的位置,阻止进一步的活动,有可能把破坏控制在最小限度,并能够记录下过程,可作为回放.实时入侵检测可以避免管理员通过对系统日志进行审计以查找入侵者或入侵行为线索时的种种不便与技术限制.
入侵检测系统的需求特性(2)
(2) 可扩展性要求手段多而复杂,行为特征也各不相同.所以必须建立一种机制,把入侵检测系统的体系结构与使用策略区分开.入侵检测系统必须能够在新的类型出现时,可以通过某种机制在无需对入侵检测系统本身体系进行改动的情况下,使系统能够检测到新的行为.在入侵检测系统的整体功能设计上,也必须建立一种可以扩展的结构,以便适应扩展要求.
入侵检测系统的需求特性(3)
(3) 适应性要求入侵检测系统必须能够适用于多种不同的环境、比如高速大容量计算机网络环境.并且在系统环境发生改变,比如增加环境中的计算机系统数量,改变计算机系统类型时,入侵检测系统应当依然能够正常工作.适应性也包括入侵检测系统本身对其宿主平台的适应性,即:跨平台工作的能力、适应其宿主平台软,硬件配置的不同情况.
入侵检测系统的需求特性(4)
(4) 安全性与可用性要求入侵检测系统必须尽可能的完善与健壮,不能向其宿主计算机系统以及其所属的计算机环境中引入新的安全问题及安全隐患.并且入侵检测系统在设计和实现时,应该考虑可以预见的,针对该入侵检测系统的类型与工作原理的威胁、及其相应的抵御方法.确保该入侵检测系统的安全性与可用性.
入侵检测系统的需求特性(5)
(5) 有效性要求能够证明根据某一设计所建立的入侵检测系统是切实有效的.即:对于事件的错报与漏报能够控制在一定范围内.
IDS基本结构入侵检测系统包括三个功能部件(1)信息收集(2)信息分析(3)结果处理(1)信息搜集信息收集入侵检测的第一步是信息收集,收集内容包括系统,网络,数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息尽可能扩大检测范围从一个源来的信息有可能看不出疑点入侵检测很大程度上依赖于收集信息的可靠性和正确性要保证用来检测网络系统的软件的完整性特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息信息收集的来源系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为者常在系统日志文件中留下他们的踪迹、因此,充分利用系统和网络日志文件信息是检测入侵的必要条件日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录用户活动类型的日志,就包含登录,用户ID改变,用户对文件的访问,授权和认证信息等内容显然,对用户活动来讲,不正常的或不期望的行为就是重复登录失败,登录到不期望的位置以及非授权的访问重要文件等等网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号入侵者经常替换,修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹、都会尽力去替换系统程序或修改系统日志文件信息分析模式匹配统计分析完整性分析,往往用于事后分析模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较、从而发现违背安全策略的行为一般来讲,一种模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示.该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)
统计分析方法首先给系统对象(如用户,文件,目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数,操作失败次数和延时等)
测量属性的平均值和偏差将被用来与网络,系统的行为进行比较、任何观察值在正常值范围之外时,就认为有入侵发生完整性分析完整性分析主要关注某个文件或对象是否被更改这经常包括文件和目录的内容及属性在发现被更改的,被安装木马的应用程序方面特别有效结果处理入侵检测性能关键参数
误报(false positive):如果系统错误地将异常活动定义为入侵
漏报(false negative):如果系统未能检测出真正的入侵行为入侵检测的分类(1)按照分析方法(检测方法)
异常检测模型(Anomaly Detection ):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵误用检测模型(Misuse Detection):收集非正常操作的行为特征、建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵特征检测模型 Detection)关注的是系统本身的行为.定义系统行为轮廓,并将系统行为与轮廓进行比较、对未指明为正常行为的事件定义为入侵.特征检测系统常采用某种特征语言定义系统的安全策略.
异常检测模型
前提:入侵是异常活动的子集
用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围过程监控量化比较判定修正
指标:漏报率低,误报率高异常检测异常检测特点异常检测系统的效率取决于用户轮廓的完备性和监控的频率因为不需要对每种入侵行为进行定义、因此能有效检测未知的入侵系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源误用检测模型
前提:所有的入侵行为都有可被检测到的特征
特征库: 当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵监控特征提取匹配判定
指标:误报低,漏报高误用检测如果入侵特征与正常的用户行能匹配、则系统会发生误报;如果没有特征能与某种新的行为匹配、则系统会发生漏报
特点:采用特征匹配、滥用模式能明显降低错报率,但漏报率随之增加.特征的细微变化,会使得滥用检测无能为力特征检测模型这种检测方法的错报与行为特征定义准确度有关,当系统特征不能囊括所有的状态时就会产生漏报.
特征检测最大的优点是可以通过提高行为特征定义准确度和覆盖范围,大幅度降低漏报和错报率;最大的不足是要求严格定义安全策略,这需要经验和技巧,另外为了维护动态系统的特征库通常是很耗时的事情.
由于这些检测各有优缺点、许多实际入侵检测系统通常同时采用两种以上的方法实现.
入侵检测的分类(2)
按照数据来源:
基于主机:系统获取数据的依据是系统运行所在的主机、保护的目标也是系统运行所在的主机
基于网络:系统获取的数据是网络传输的数据包、保护的是网络的运行混合型基于主机的入侵检测系统入侵检测 IDS基于主机的入侵检测系统模型基于主机入侵检测系统工作原理网络服务器1客户端网络服务器2
X
检测内容: 系统调用,端口调用,系统日志,安全审记,应用日志HIDS监视与分析主机的审计记录可以不运行在监控主机上能否及时采集到审计记录如何保护作为目标主机审计子系统基于主机基于网络的入侵检测系统在共享网段上对通信数据进行侦听采集数据主机资源消耗少提供对网络通用的保护如何适应高速网络环境非共享网络上如何采集数据基于网络Network-based 入侵检测Network-based IDSNIDS基于网络入侵检测系统工作原理数据包=包头信息有效数据部分
检测内容: 包头信息有效数据部分两类IDS监测软件网络IDS侦测速度快隐蔽性好视野更宽较少的监测器占资源少主机IDS视野集中易于用户自定义保护更加周密对网络流量不敏感入侵检测的分类(3)按系统各模块的运行方式
集中式:系统的各个模块包括数据的收集分析集中在一台主机上运行
分布式:系统的各个模块分布在不同的计算机和设备上入侵检测的分类(4)根据时效性
脱机分析:行为发生后,对产生的数据进行分析
联机分析:在数据产生的同时或者发生改变时进行分析缩小匹配范围WIZ| DEBUG}入侵检测响应机制制订响应策略应考虑的要素
系统用户:入侵检测系统用户可以分为网络安全专家或管理员,系统管理员,安全调查员.这三类人员对系统的使用目的,方式和熟悉程度不同、必须区别对待
操作运行环境:入侵检测系统提供的信息形式依赖其运行环境
系统目标:为用户提供关键数据和业务的系统,需要部分地提供主动响应机制
规则或法令的需求:在某些军事环境里、允许采取主动防御甚至技术来对付入侵行为响应策略弹出窗口报警E-mail通知切断TCP连接执行自定义程序与其他安全产品交互FirewallSNMP Trap压制调速
1,撤消连接SYNACKRESETs自动响应一个高级的网络节点在使用压制调速技术的情况下,可以采用路由器把者引导到一个经过特殊装备的系统上,这种系统被成为蜜罐蜜罐是一种欺骗手段,它可以用于错误地诱导者、也可以用于收集信息,以改进防御能力蜜罐能采集的信息量由自身能提供的手段以及行为数量决定蜜罐IDS标准化IDS标准化要求随着网络规模的扩大,网络入侵的方式,类型,特征各不相同、入侵的活动变得复杂而又难以捉摸某些入侵的活动靠单一IDS不能检测出来,如分布式网络管理员常因缺少而无法追踪入侵者、入侵者仍然可以进行非法的活动不同的IDS之间没有协作,结果造成缺少某种入侵模式而导致IDS不能发现新的入侵活动目前网络的安全也要求IDS能够与访问控制,应急,入侵追踪等系统交换信息,相互协作,形成一个整体有效的安全保障系统然而、要达到这些要求,需要一个标准来加以指导,系统之间要有一个约定,如数据交换的格式,协作方式等基于上述的因素考虑,国际上的一些研究组织开展这方面的研究工作CIDFCIDF早期由美国国防部高级研究计划局赞助研究,现在由CIDF工作组负责,这是一个开放组织.实际上CIDF已经成为一个开放的共享的资源CIDF是一套规范、它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议符合CIDF规范的IDS可以共享检测信息,相互通信,协同工作,还可以与其它系统配合实施统一的配置响应和恢复策略CIDF的主要作用在于集成各种IDS使之协同工作,实现各IDS之间的组件重用,所以CIDF也是构建分布式IDS的基础CIDF规格文档
CIDF的规格文档由四部分组成,分别为:
体系结构:阐述了一个标准的IDS的通用模型
规范语言:定义了一个用来描述各种检测信息的标准语言
内部通讯:定义了IDS组件之间进行通信的标准协议
程序接口:提供了一整套标准的应用程序接口CIDF将IDS需要分析的数据统称为事件(event),它可以是基于网络的IDS从网络中提取的数据包、也可以是基于主机的IDS从系统日志等其它途径得到的数据信息CIDF组件之间是以通用入侵检测对象(generalized intrusion detection objects,以下简称为GIDO)的形式交换数据的,一个GIDO可以表示在一些特定时刻发生的一些特定事件,也可以表示从一系列事件中得出的一些结论、还可以表示执行某个行动的指令通用模型-四个组件事件产生器(Event generators)事件分析器(Event analyzers)事件数据库(Event databases)响应单元(Response units)
CIDF中的事件产生器负责从整个计算环境中获取事件,但它并不处理这些事件,而是将事件转化为GIDO标准格式提交给其它组件使用,显然事件产生器是所有IDS所需要的,同时也是可以重用的CIDF中的事件分析器接收GIDO,分析它们,然后以一个新的GIDO形式返回分析结果CIDF中的事件数据库负责GIDO的存贮,它可以是复杂的数据库,也可以是简单的文本文件CIDF中的响应单元根据GIDO做出反应、它可以是终止进程,切断连接,改变文件属性,也可以只是简单的报警CISL(A Common Intrusion Specification Language )
CIDF的规范语言文档定义了一个公共入侵标准语言CISL,各IDS使用统一的CISL来表示原始事件信息,分析结果和响应指令,从而建立了IDS之间信息共享的基础CISL是CIDF的最核心也是最重要的内容CISL使用了一种类似Lisp语言的S表达式,它的基本单位由语义标志符(Semantic IDentifiers,以下简称为SID),数据和圆括号组成.例如:
多个S表达式的基本单位递归组合在一起,构成整个CISL的S表达式.在CISL中、所有信息(原始事件,分析结果,响应指令等)均是用这种S表达式来表示的表示用户名为joe的用户在1998年6月14日16点40分32秒删除了主机名为的主机上的文件etcpasswd.
这是一个事件描述,其中的等均为SIDCIDF内部通信CIDF的内部通信文档描述了两种CIDF组件之间通信的机制匹配服务(Matchmaking Service)法消息层(Message Layer)法匹配服务法(匹配器)CIDF的匹配服务为CIDF各组件之间的相互识别、定位和信息共享提供了一个标准的统一的机制匹配器的实现是基于轻量目录访问协议(LDAP)的,每个组件通过目录服务注册、并公告它能够产生或能够处理的GIDO,这样组件就被分类存放,其它组件就可以方便地查找到那些它们需要通信的组件目录中还可以存放组件的公共密钥,从而实现对组件接收和发送GIDO时的身份认证匹配器构成
通信模块:实现客户端(可为任何一个CIDF组件)与匹配代理之间的通信协议
匹配代理:一个任务是处理从远端组件到它的客户端的输入请求,另一个任务是处理从它的客户端到远端组件的输出请求
认证和授权模块:使一个组件能够鉴别其它组件,使客户端与匹配代理之间能够相互鉴别
客户端缓冲区:使客户端能够对最近建立的一些关联信息进行缓冲存储CIDF程序接口CIDF的程序接口文档描述了用于GIDO编解码以及传输的标准应用程序接口(以下简称为API),它包括以下几部分内容GIDO编码和解码API(GIDO API Specification)消息层API(Message Layer API 动态追加API(GIDO Addendum API)签名API(Signature API)顶层CIDF的API(Top-Level CIDF API)每类API均包含数据结构定义、函数定义和错误代码定义等CIDF的应用目前CIDF还没有成为正式的标准,也没有一个商业IDS产品完全遵循该规范、但各种IDS的结构模型具有很大的相似性,各厂商都在按照CIDF进行信息交换的标准化工作,有些产品已经可以部分地支持CIDF可以预测,随着分布式IDS的发展,各种IDS互操作和协同工作的迫切需要、各种IDS必须遵循统一的框架结构,CIDF将成为事实上的IDS的工业标准For companies who want to reduce the risk of information loss or misuse due to intrusion or unauthorized use, Intruder Alert is the most scalable intrusion detection solution offering cross-platform monitoring, alerting and automated Intruder Alert is more complete because it covers more operating systems, integrates more seamlessly with critical applications, supports custom policy development and immediate deployment of new policies. An Intrusion Detection System like AXENTs Intruder Alert is essential to identifying and responding to attacks. For instance ifahacker attacksaweb server and successfully modifiesaweb page, Intruder Alert can detect this immediately and take action. It can disconnect the hackers session and . even restore the web pages back to their original state.
network based intrusion detection solution, complements existing security and fortifies any companys e-business initiatives by offering dynamic network intrusion detection that transparently examines network traffic to instantly identify, log and terminate unauthorized use, misuse and abuse of computer systems by internal saboteurs and external hackers. Common attacks or even the most sophisticated assaults cant escape NetProwlers exclusive, patent-pending SDSI virtual processor. Addressing the needs of time-pressed network administrators or those with little security expertise, NetProwler streamlines installation and configuration by automatically discovering network host and applications, and then applying appropriate attack signatures.

ppt文档的标签：概论信息安全

更多推荐标签：学期总结作文青少年近视眼道路预算中草药彩图音像产品財務報告电会实习报告职丧驯准仍然不足够制药粉碎论文实工作鉴定中国哲学概论机构学工伤界定代理更改通知考试试卷历年工资代购协议环境与贸易厨师长月考核嘉奖通报电脑签收单港上市网站任务分解围棋论文开放经济农业总产值医疗改革责任第一如何学习护理