【正文】 信息安全技術(shù) 許紅星 1. 概述 2. 入侵檢測方法 3. 入侵檢測系統(tǒng)的設(shè)計原理 4. 入侵檢測響應機制 5. 入侵檢測標準化工作 6. 其它 7. 展望 ? 概述 2. 入侵檢測方法 3. 入侵檢測系統(tǒng)的設(shè)計原理 4. 入侵檢測響應機制 5. 入侵檢測標準化工作 6. 其它 7. 展望 Intrusion ?Intrusion : Attempting to break into or misuse your system. ?Intruders may be from outside the work or legitimate users of the work. ?Intrusion can be a physical, system or remote intrusion. ? 傳統(tǒng)的信息安全方法采用嚴格的訪問控制和數(shù)據(jù)加密策略來防護，但在復雜系統(tǒng)中，這些策略是不充分的。它們是系統(tǒng)安全不可缺的部分但不能完全保證系統(tǒng)的安全 ? 入侵檢測（ Intrusion Detection）是對入侵行為的發(fā)覺。它通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)的關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象 Intrusion Detection 入侵檢測的定義 ? 對系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機密性、完整性和可用性 ? 進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng) ? IDS : Intrusion Detection System 入侵檢測的特點 一個完善的入侵檢測系統(tǒng)的特點： ?經(jīng)濟性 ?時效性 ?安全性 ?可擴展性 網(wǎng)絡(luò)安全工具的特點 優(yōu)點 局限性 防火墻 可簡化網(wǎng)絡(luò)管理，產(chǎn)品成熟 無法處理網(wǎng)絡(luò)內(nèi)部的攻擊 IDS 實時監(jiān)控網(wǎng)絡(luò)安全狀態(tài) 誤報警，緩慢攻擊，新的攻擊模式 Scanner 簡單可操作，幫助系統(tǒng)管理員和安全服務人員解決實際問題 并不能真正掃描漏洞 VPN 保護公網(wǎng)上的內(nèi)部通信 可視為防火墻上的一個漏洞 防病毒 針對文件與郵件，產(chǎn)品成熟 功能單一 1980年 Anderson提出：入侵檢測概念，分類方法 1987年 Denning提出了一種通用的入侵檢測模型 獨立性 ：系統(tǒng)、環(huán)境、脆弱性、入侵種類 系統(tǒng)框架 ：異常檢測器，專家系統(tǒng) 90年初： CMDS? 、 NetProwler? 、 NetRanger? ISS RealSecure? 入侵檢測起源 入侵檢測的起源（ 1） ? 審計技術(shù)：產(chǎn)生、記錄并檢查按時間順序排列的系統(tǒng)事件記錄的過程 ? 審計的目標： ?確定和保持系統(tǒng)活動中每個人的責任 ?重建事件 ?評估損失 ?監(jiān)測系統(tǒng)的問題區(qū) ?提供有效的災難恢復 ?阻止系統(tǒng)的不正當使用 入侵檢測的起源（ 2） ? 計算機安全和審計 ? 美國國防部在 70年代支持“可信信息系統(tǒng)”的研究，最終審計機制納入 《 可信計算機系統(tǒng)評估準則 》 （ TCSEC） C2級以上系統(tǒng)的要求的一部分 ? “褐皮書” 《 理解可信系統(tǒng)中的審計指南 》 入侵檢測的起源（ 3） ?1980年 4月 ， James P. Anderson :《 Computer Security Threat Monitoring and Surveillance》（計算機安全威脅監(jiān)控與監(jiān)視）的技術(shù)報告，第一次詳細闡述了入侵檢測的概念 ?他提出了一種對計算機系統(tǒng)風險和威脅的分類方法，并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種 ?還提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。這份報告被公認為是入侵檢測的開山之作 入侵檢測的起源（ 4） 從 1984年到 1986年，喬治敦大學的 Dorothy Denning和SRI/CSL的 Peter Neumann研究出了一個實時入侵檢測系統(tǒng)模型，取名為 IDES（入侵檢測專家系統(tǒng)） 入侵檢測的起源（ 5） ?1990，加州大學戴維斯分校的 L. T. Heberlein等人開發(fā)出了 NSM（ Network Security Monitor） ?該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機 ?入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形成：基于網(wǎng)絡(luò)的 IDS和基于主機的 IDS 入侵檢測的起源（ 6） IDS存在與發(fā)展的必然性 一、網(wǎng)絡(luò)攻擊的破壞性、損失的嚴重性 二、日益增長的網(wǎng)絡(luò)安全威脅 三、單純的防火墻無法防范復雜多變的攻擊 為什么需要 IDS ? 關(guān)于防火墻 ?網(wǎng)絡(luò)邊界的設(shè)備 ?自身可以被攻破 ?對某些攻擊保護很弱 ?不是所有的威脅來自防火墻外部 ? 入侵很容易 ?入侵教程隨處可見 ?各種工具唾手可得 IDS基本結(jié)構(gòu) ? 入侵檢測是監(jiān)測計算機網(wǎng)絡(luò)和系統(tǒng) ,以發(fā)現(xiàn)違反安全策略事件的過程 ? 簡單地說 ， 入侵檢測系統(tǒng)包括三個功能部件： （ 1） 信息收集 （ 2） 信息分析 （ 3） 結(jié)果處理 信息收集 ? 入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。 ? 需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息， ?盡可能擴大檢測范圍 ?從一個源來的信息有可能看不出疑點 信息收集 ? 入侵檢測很大程度上依賴于收集信息的可靠性和正確性，因此，要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測系統(tǒng)軟件本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息 信息收集的來源 ?系統(tǒng)或網(wǎng)絡(luò)的日志文件 ?網(wǎng)絡(luò)流量 ?系統(tǒng)目錄和文件的異常變化 ?程序執(zhí)行中的異常行為 系統(tǒng)或網(wǎng)絡(luò)的日志文件 ? 黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡 ，因此 ， 充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件 ? 日志文件中記錄了各種行為類型 ， 每種類型又包含不同的信息 ， 例如記錄 “ 用戶活動 ” 類型的日志 ， 就包含登錄 、 用戶 ID改變 、 用戶對文件的訪問 、 授權(quán)和認證信息等內(nèi)容 ? 顯然 ， 對用戶活動來講 ， 不正常的或不期望的行為就是重復登錄失敗 、 登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等 系統(tǒng)目錄和文件的異常變化 ? 網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件 ， 包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標 。 目錄和文件中的不期望的改變 （ 包括修改 、 創(chuàng)建和刪除 ） ， 特別是那些正常情況下限制訪問的 ， 很可能就是一種入侵產(chǎn)生的指示和信號 ? 入侵者經(jīng)常替換 、 修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件 ， 同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡 ， 都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件 信息分析 ? 模式匹配 ? 統(tǒng)計分析 ? 完整性分析，往往用于事后分析 模式匹配 ? 模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較 ， 從而發(fā)現(xiàn)違背安全策略的行為 ? 一般來講 ， 一種進攻模式可以用一個過程 （ 如執(zhí)行一條指令 ） 或一個輸出 （ 如獲得權(quán)限 ） 來表示 。該過程可以很簡單 （ 如通過字符串匹配以尋找一個簡單的條目或指令 ） ， 也可以很復雜 （ 如利用正規(guī)的數(shù)學表達式來表示安全狀態(tài)的變化 ） 統(tǒng)計分析 ? 統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等） ? 測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生 完整性分析 ? 完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被安裝木馬的應用程序方面特別有效 入侵檢測的分類（ 1） ? 按照分析方法（檢測方法） ?異常檢測模型（ Anomaly Detection ):首先總結(jié)正常操作應該具有的特征（用戶輪廓），當用戶活動與正常行為有重大偏離時即被認為是入侵 ?誤用檢測模型（ Misuse Detection)： 收集非正常操作的行為特征，建立相關(guān)的特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵 異常檢測 Below Threshold levels Exceed Threshold Levels System Audit Metrics Profiler Intrusion Normal Activity 異常檢測模型 1. 前提：入侵是異常活動的子集 2. 用戶輪廓 (Profile): 通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍 3. 過程 監(jiān)控 ? 量化 ? 比較 ? 判定