【正文】 信息安全技術(shù) 許紅星 1. 概述 2. 入侵檢測(cè)方法 3. 入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理 4. 入侵檢測(cè)響應(yīng)機(jī)制 5. 入侵檢測(cè)標(biāo)準(zhǔn)化工作 6. 其它 7. 展望 ? 概述 2. 入侵檢測(cè)方法 3. 入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理 4. 入侵檢測(cè)響應(yīng)機(jī)制 5. 入侵檢測(cè)標(biāo)準(zhǔn)化工作 6. 其它 7. 展望 Intrusion ?Intrusion : Attempting to break into or misuse your system. ?Intruders may be from outside the work or legitimate users of the work. ?Intrusion can be a physical, system or remote intrusion. ? 傳統(tǒng)的信息安全方法采用嚴(yán)格的訪問控制和數(shù)據(jù)加密策略來防護(hù)，但在復(fù)雜系統(tǒng)中，這些策略是不充分的。它們是系統(tǒng)安全不可缺的部分但不能完全保證系統(tǒng)的安全 ? 入侵檢測(cè)（ Intrusion Detection）是對(duì)入侵行為的發(fā)覺。它通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象 Intrusion Detection 入侵檢測(cè)的定義 ? 對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性 ? 進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng) ? IDS : Intrusion Detection System 入侵檢測(cè)的特點(diǎn) 一個(gè)完善的入侵檢測(cè)系統(tǒng)的特點(diǎn)： ?經(jīng)濟(jì)性 ?時(shí)效性 ?安全性 ?可擴(kuò)展性 網(wǎng)絡(luò)安全工具的特點(diǎn) 優(yōu)點(diǎn) 局限性 防火墻 可簡(jiǎn)化網(wǎng)絡(luò)管理，產(chǎn)品成熟 無法處理網(wǎng)絡(luò)內(nèi)部的攻擊 IDS 實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)安全狀態(tài) 誤報(bào)警，緩慢攻擊，新的攻擊模式 Scanner 簡(jiǎn)單可操作，幫助系統(tǒng)管理員和安全服務(wù)人員解決實(shí)際問題 并不能真正掃描漏洞 VPN 保護(hù)公網(wǎng)上的內(nèi)部通信 可視為防火墻上的一個(gè)漏洞 防病毒 針對(duì)文件與郵件，產(chǎn)品成熟 功能單一 1980年 Anderson提出：入侵檢測(cè)概念，分類方法 1987年 Denning提出了一種通用的入侵檢測(cè)模型 獨(dú)立性 ：系統(tǒng)、環(huán)境、脆弱性、入侵種類 系統(tǒng)框架 ：異常檢測(cè)器，專家系統(tǒng) 90年初： CMDS? 、 NetProwler? 、 NetRanger? ISS RealSecure? 入侵檢測(cè)起源 入侵檢測(cè)的起源（ 1） ? 審計(jì)技術(shù)：產(chǎn)生、記錄并檢查按時(shí)間順序排列的系統(tǒng)事件記錄的過程 ? 審計(jì)的目標(biāo)： ?確定和保持系統(tǒng)活動(dòng)中每個(gè)人的責(zé)任 ?重建事件 ?評(píng)估損失 ?監(jiān)測(cè)系統(tǒng)的問題區(qū) ?提供有效的災(zāi)難恢復(fù) ?阻止系統(tǒng)的不正當(dāng)使用 入侵檢測(cè)的起源（ 2） ? 計(jì)算機(jī)安全和審計(jì) ? 美國(guó)國(guó)防部在 70年代支持“可信信息系統(tǒng)”的研究，最終審計(jì)機(jī)制納入 《 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則 》 （ TCSEC） C2級(jí)以上系統(tǒng)的要求的一部分 ? “褐皮書” 《 理解可信系統(tǒng)中的審計(jì)指南 》 入侵檢測(cè)的起源（ 3） ?1980年 4月 ， James P. Anderson :《 Computer Security Threat Monitoring and Surveillance》（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）的技術(shù)報(bào)告，第一次詳細(xì)闡述了入侵檢測(cè)的概念 ?他提出了一種對(duì)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類方法，并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種 ?還提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想。這份報(bào)告被公認(rèn)為是入侵檢測(cè)的開山之作 入侵檢測(cè)的起源（ 4） 從 1984年到 1986年，喬治敦大學(xué)的 Dorothy Denning和SRI/CSL的 Peter Neumann研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型，取名為 IDES（入侵檢測(cè)專家系統(tǒng)） 入侵檢測(cè)的起源（ 5） ?1990，加州大學(xué)戴維斯分校的 L. T. Heberlein等人開發(fā)出了 NSM（ Network Security Monitor） ?該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī) ?入侵檢測(cè)系統(tǒng)發(fā)展史翻開了新的一頁(yè)，兩大陣營(yíng)正式形成：基于網(wǎng)絡(luò)的 IDS和基于主機(jī)的 IDS 入侵檢測(cè)的起源（ 6） IDS存在與發(fā)展的必然性 一、網(wǎng)絡(luò)攻擊的破壞性、損失的嚴(yán)重性 二、日益增長(zhǎng)的網(wǎng)絡(luò)安全威脅 三、單純的防火墻無法防范復(fù)雜多變的攻擊 為什么需要 IDS ? 關(guān)于防火墻 ?網(wǎng)絡(luò)邊界的設(shè)備 ?自身可以被攻破 ?對(duì)某些攻擊保護(hù)很弱 ?不是所有的威脅來自防火墻外部 ? 入侵很容易 ?入侵教程隨處可見 ?各種工具唾手可得 IDS基本結(jié)構(gòu) ? 入侵檢測(cè)是監(jiān)測(cè)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng) ,以發(fā)現(xiàn)違反安全策略事件的過程 ? 簡(jiǎn)單地說 ， 入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件： （ 1） 信息收集 （ 2） 信息分析 （ 3） 結(jié)果處理 信息收集 ? 入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。 ? 需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息， ?盡可能擴(kuò)大檢測(cè)范圍 ?從一個(gè)源來的信息有可能看不出疑點(diǎn) 信息收集 ? 入侵檢測(cè)很大程度上依賴于收集信息的可靠性和正確性，因此，要保證用來檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息 信息收集的來源 ?系統(tǒng)或網(wǎng)絡(luò)的日志文件 ?網(wǎng)絡(luò)流量 ?系統(tǒng)目錄和文件的異常變化 ?程序執(zhí)行中的異常行為 系統(tǒng)或網(wǎng)絡(luò)的日志文件 ? 黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡 ，因此 ， 充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測(cè)入侵的必要條件 ? 日志文件中記錄了各種行為類型 ， 每種類型又包含不同的信息 ， 例如記錄 “ 用戶活動(dòng) ” 類型的日志 ， 就包含登錄 、 用戶 ID改變 、 用戶對(duì)文件的訪問 、 授權(quán)和認(rèn)證信息等內(nèi)容 ? 顯然 ， 對(duì)用戶活動(dòng)來講 ， 不正常的或不期望的行為就是重復(fù)登錄失敗 、 登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等 系統(tǒng)目錄和文件的異常變化 ? 網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件 ， 包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo) 。 目錄和文件中的不期望的改變 （ 包括修改 、 創(chuàng)建和刪除 ） ， 特別是那些正常情況下限制訪問的 ， 很可能就是一種入侵產(chǎn)生的指示和信號(hào) ? 入侵者經(jīng)常替換 、 修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件 ， 同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡 ， 都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件 信息分析 ? 模式匹配 ? 統(tǒng)計(jì)分析 ? 完整性分析，往往用于事后分析 模式匹配 ? 模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較 ， 從而發(fā)現(xiàn)違背安全策略的行為 ? 一般來講 ， 一種進(jìn)攻模式可以用一個(gè)過程 （ 如執(zhí)行一條指令 ） 或一個(gè)輸出 （ 如獲得權(quán)限 ） 來表示 。該過程可以很簡(jiǎn)單 （ 如通過字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令 ） ， 也可以很復(fù)雜 （ 如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化 ） 統(tǒng)計(jì)分析 ? 統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等） ? 測(cè)量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生 完整性分析 ? 完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效 入侵檢測(cè)的分類（ 1） ? 按照分析方法（檢測(cè)方法） ?異常檢測(cè)模型（ Anomaly Detection ):首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵 ?誤用檢測(cè)模型（ Misuse Detection)： 收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵 異常檢測(cè) Below Threshold levels Exceed Threshold Levels System Audit Metrics Profiler Intrusion Normal Activity 異常檢測(cè)模型 1. 前提：入侵是異常活動(dòng)的子集 2. 用戶輪廓 (Profile): 通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍 3. 過程 監(jiān)控 ? 量化 ? 比較 ? 判定