入侵檢測與安全審計(jì)

1、第四章 入侵檢測與安全審計(jì)主要內(nèi)容q 入侵檢測系統(tǒng)基礎(chǔ)q 入侵檢測分析方法q 入侵檢測系統(tǒng)實(shí)例q 安全審計(jì)l 概念l 功能l IDS的基本結(jié)構(gòu)l 分類l 基于異常的檢測技術(shù)l 基于誤用的檢測技術(shù)l 分布式入侵檢測系統(tǒng)l 典型的入侵檢測系統(tǒng)snortl IDS的應(yīng)用1.1 入侵檢測基礎(chǔ)考慮：考慮：如何防火墻被攻破了，該怎么來保護(hù)系統(tǒng)的安全？q 入侵檢測（入侵檢測（ID）是對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。通過對(duì)數(shù)據(jù)包的分析，從數(shù)據(jù)流中過濾出可疑數(shù)據(jù)包，通過與已知的入侵方式進(jìn)行比較，確定入侵是否發(fā)生以及入侵的類型并進(jìn)行報(bào)警。q

2、 入侵檢測系統(tǒng)（入侵檢測系統(tǒng)（IDS）為完成入侵檢測任務(wù)而設(shè)計(jì)的計(jì)算機(jī)系統(tǒng)稱為入侵檢測系統(tǒng)（Intrusion Detection System, IDS），這是防火墻之后的第二道安全閘門。q 功能功能v 發(fā)現(xiàn)和制止來自系統(tǒng)內(nèi)部/外部的攻擊，迅速采取保護(hù)措施v 記錄入侵行為的證據(jù)，動(dòng)態(tài)調(diào)整安全策略q 特點(diǎn)特點(diǎn)v 經(jīng)濟(jì)性：IDS不能妨礙系統(tǒng)的正常運(yùn)行。v 時(shí)效性：及時(shí)地發(fā)現(xiàn)入侵行為。v 安全性：保證自身安全。v 可擴(kuò)展性：機(jī)制與數(shù)據(jù)分離；體系結(jié)構(gòu)的可擴(kuò)展性。 q 工作流程工作流程v數(shù)據(jù)提取模塊數(shù)據(jù)提取模塊為系統(tǒng)提供數(shù)據(jù)，經(jīng)過簡單的處理后提交給數(shù)據(jù)分析模塊。v數(shù)據(jù)分析模塊數(shù)據(jù)分析模塊兩方面功能：一

3、是分析數(shù)據(jù)提取模塊搜集到的數(shù)據(jù)；二是對(duì)數(shù)據(jù)庫保存的數(shù)據(jù)做定期的統(tǒng)計(jì)分析。v結(jié)果處理模塊結(jié)果處理模塊作用在于告警與反應(yīng)。v事件數(shù)據(jù)庫事件數(shù)據(jù)庫記錄分析結(jié)果，并記錄下所有的時(shí)間，用于以后的分析與檢查。1.2 IDS分類q 基于主機(jī)的入侵檢測系統(tǒng)基于主機(jī)的入侵檢測系統(tǒng)用于保護(hù)單臺(tái)主機(jī)不受網(wǎng)絡(luò)攻擊行為的侵害，需要安裝在被保護(hù)的主機(jī)上。根據(jù)檢測對(duì)象的不同，基于主機(jī)的IDS可分為：v 網(wǎng)絡(luò)連接檢測網(wǎng)絡(luò)連接檢測對(duì)試圖進(jìn)入該主機(jī)的數(shù)據(jù)流進(jìn)行檢測，分析確定是否有入侵行為。v 主機(jī)文件檢測主機(jī)文件檢測檢測主機(jī)上的各種相關(guān)文件，發(fā)現(xiàn)入侵行為或入侵企圖。q優(yōu)點(diǎn)v 檢測準(zhǔn)確度較高v 可以檢測到?jīng)]有明顯行為特征的入侵v

4、成本較低v 不會(huì)因網(wǎng)絡(luò)流量影響性能v 適合加密和交換環(huán)境q缺點(diǎn)v 實(shí)時(shí)性較差v 無法檢測數(shù)據(jù)包的全部v 檢測效果取決于日志系統(tǒng)v 占用主機(jī)資源v 隱蔽性較差q 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)作為一個(gè)獨(dú)立的個(gè)體放置在被保護(hù)的網(wǎng)絡(luò)上，使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行攻擊分析的數(shù)據(jù)源。q 優(yōu)點(diǎn)v 可以提供實(shí)時(shí)的網(wǎng)絡(luò)行為檢測v 可以同時(shí)保護(hù)多臺(tái)網(wǎng)絡(luò)主機(jī)v 具有良好的隱蔽性v 有效保護(hù)入侵證據(jù)v 不影響被保護(hù)主機(jī)的性能q 缺點(diǎn)v 防止入侵欺騙的能力較差v 在交換式網(wǎng)絡(luò)環(huán)境中難以配置v 檢測性能受硬件條件限制v 不能處理加密后的數(shù)據(jù)1.4 蜜罐技術(shù)q 原理原理蜜罐系統(tǒng)是一個(gè)包含漏洞的誘騙系統(tǒng)

5、，它通過模擬一個(gè)或多個(gè)易攻擊的主機(jī)，給攻擊者提供一個(gè)容易攻擊的目標(biāo)。 用來觀測黑客如何探測并最終入侵系統(tǒng)； 用于拖延攻擊者對(duì)真正目標(biāo)的攻擊。Honeypot模型關(guān)鍵應(yīng)用系統(tǒng)內(nèi)部網(wǎng)虛擬網(wǎng)絡(luò)主機(jī)防火墻高層交換可疑數(shù)據(jù)流Internet2.1 基于異常的入侵檢測也稱為基于行為的檢測技術(shù)，在總結(jié)出的正常行為規(guī)律基礎(chǔ)上，檢查入侵和濫用行為特征與其之間的差異，以此來判斷是否有入侵行為。q 基于統(tǒng)計(jì)學(xué)方法的異常檢測系統(tǒng)基于統(tǒng)計(jì)學(xué)方法的異常檢測系統(tǒng)使用統(tǒng)計(jì)學(xué)的方法來學(xué)習(xí)和檢測用戶的行為。q 預(yù)測模式生成法預(yù)測模式生成法利用動(dòng)態(tài)的規(guī)則集來檢測入侵。q 神經(jīng)網(wǎng)絡(luò)方法神經(jīng)網(wǎng)絡(luò)方法將神經(jīng)網(wǎng)絡(luò)用于對(duì)系統(tǒng)和用戶行為的學(xué)習(xí)

6、。2.1.1 基于統(tǒng)計(jì)學(xué)的異常檢測系統(tǒng)步驟：步驟：Step1：收集樣本對(duì)系統(tǒng)和用戶的行為按照一定的時(shí)間間隔進(jìn)行采樣，樣本的內(nèi)容包括每個(gè)會(huì)話的登錄、退出情況，CPU和內(nèi)存的占用情況，硬盤等存儲(chǔ)介質(zhì)的使用情況等。Step2：分析樣本對(duì)每次采集到的樣本進(jìn)行計(jì)算，得出一系列的參數(shù)變量來對(duì)這些行為進(jìn)行描述，從而產(chǎn)生行為輪廓，將每次采樣后得到的行為輪廓與以后輪廓進(jìn)行合并，最終得到系統(tǒng)和用戶的正常行為輪廓。Step3：檢查入侵行為通過將當(dāng)前采集到的行為輪廓與正常行為輪廓相比較，來檢測是否存在網(wǎng)絡(luò)入侵行為。算法：算法：M1,M2,Mn表示行為輪廓中的特征變量，S1,S2,Sn分別表示各個(gè)變量的異常性測量值，S

7、i的值越大就表示異常性越大。ai表示變量Mi的權(quán)重值。將各個(gè)異常性測量值的平均加權(quán)求和得出特征值然后選取閾值，例如選擇標(biāo)準(zhǔn)偏差其中均值取=M/n，如果S值超出了d的范圍就認(rèn)為異常。)1 , 0(.2222211niaSaSaSaMinn2)1(nM2.1.2 預(yù)測模式生成法利用動(dòng)態(tài)的規(guī)則集來檢測入侵，這些規(guī)則是由系統(tǒng)的歸納引擎，根據(jù)已發(fā)生的事件的情況來預(yù)測將來發(fā)生的事件的概率來產(chǎn)生的，歸納引擎為每一種事件設(shè)置可能發(fā)生的概率。歸納出來的規(guī)律一般為：E1,Ek: -(Ek+1,P(Ek+1),(En,P(En)例如：規(guī)則A,B: -(C,50%),(D, 30%),(E,15%),(F,5%)，如

8、果AB已經(jīng)發(fā)生，而F多次發(fā)生，遠(yuǎn)遠(yuǎn)大于5%，或者發(fā)生了事件G，都認(rèn)為是異常行為。q 優(yōu)點(diǎn)v 能檢測出傳統(tǒng)方法難以檢測的異?；顒?dòng)；v 具有很強(qiáng)的適應(yīng)變化的能力；v 容易檢測到企圖在學(xué)習(xí)階段訓(xùn)練系統(tǒng)中的入侵者；v 實(shí)時(shí)性高。q 缺點(diǎn)v 對(duì)于不在規(guī)則庫中的入侵將會(huì)漏判。2.1.3 神經(jīng)網(wǎng)絡(luò)方法q 神經(jīng)網(wǎng)絡(luò)神經(jīng)網(wǎng)絡(luò)是一種算法，通過學(xué)習(xí)已有的輸入/輸出信息對(duì)，抽象出其內(nèi)在的關(guān)系，然后通過歸納得到新的輸入/輸出對(duì)。q 在在IDS中的應(yīng)用中的應(yīng)用在IDS中，系統(tǒng)把用戶當(dāng)前輸入的命令和用戶已經(jīng)執(zhí)行的W個(gè)命令傳遞給神經(jīng)網(wǎng)絡(luò)，如果神經(jīng)網(wǎng)絡(luò)通過預(yù)測得到的命令與該用戶隨后輸入的命令不一致，則在某種程度上表明用戶的行為

9、與其輪廓框架產(chǎn)生了偏離，即說明用戶行為異常。q 優(yōu)點(diǎn)優(yōu)點(diǎn)v能更好的處理原始數(shù)據(jù)的隨即特性，不需要對(duì)原是數(shù)據(jù)做任何統(tǒng)計(jì)假設(shè)；v有較好的抗干擾能力。q 缺點(diǎn)缺點(diǎn)v網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及各元素的權(quán)重很難確定；v命令窗口W的大小也難以選擇2.2 基于誤用的入侵檢測也稱為基于知識(shí)的檢測技術(shù)或者模式匹配檢測技術(shù)，通過某種方式預(yù)先定義入侵行為，然后監(jiān)視系統(tǒng)的運(yùn)行，并從中找出符合預(yù)先定義規(guī)則的入侵行為。分類：分類： 專家系統(tǒng) 模式匹配 模型推理 按鍵監(jiān)視2.2.1 專家系統(tǒng)誤用檢測將安全專家的關(guān)于網(wǎng)絡(luò)入侵行為的知識(shí)表示成一些類似If-Then的規(guī)則，并以這些規(guī)則為基礎(chǔ)建立專家知識(shí)庫。規(guī)則中If部分說明形成網(wǎng)絡(luò)入侵的

10、必需條件，Then部分說明發(fā)現(xiàn)入侵后要實(shí)施的操作。缺點(diǎn)：缺點(diǎn)： 全面性問題 效率問題2.2.2 模式匹配誤用檢測也叫特征分析誤用檢測，指將入侵行為表示成一個(gè)事件序列或者轉(zhuǎn)換成某種可以直接在網(wǎng)絡(luò)數(shù)據(jù)包審計(jì)記錄中找到的數(shù)據(jù)樣板，而不進(jìn)行規(guī)則轉(zhuǎn)換，這樣可以直接在審計(jì)記錄中尋找相匹配的已知入侵模式。缺點(diǎn)：缺點(diǎn)： 必須及時(shí)更新知識(shí)庫 兼容性較差 建立和維護(hù)知識(shí)庫的工作量都相當(dāng)大2.2.3 模型推理誤用檢測根據(jù)網(wǎng)絡(luò)入侵行為的特征建立起誤用證據(jù)模型，以此推理判斷當(dāng)前的用戶行為是否是誤用行為。這種檢測方法需要建立： 攻擊劇本數(shù)據(jù)庫：每個(gè)攻擊劇本是一個(gè)攻擊行為序 列，IDS根據(jù)攻擊劇本的子集來判斷系統(tǒng)當(dāng)前是否收

11、 到入侵。 預(yù)警器：根據(jù)當(dāng)前的活動(dòng)模型，產(chǎn)生下一步行為。 規(guī)劃者：負(fù)責(zé)判斷所假設(shè)的行為如何反應(yīng)在審計(jì)追 蹤數(shù)據(jù)上，以及如何將假設(shè)的行為與系統(tǒng)相關(guān)的審 計(jì)追蹤相匹配。2.2.4 按鍵監(jiān)視誤用檢測假設(shè)每種網(wǎng)絡(luò)入侵行為都具有特定的擊鍵序列模式，IDS監(jiān)視各個(gè)用戶的擊鍵模式，并將該模式與已有的入侵擊鍵模式相匹配，如果匹配成功就認(rèn)為是網(wǎng)絡(luò)入侵行為。缺點(diǎn)：缺點(diǎn)： 不能對(duì)擊鍵進(jìn)行語義分析，容易遭受欺騙； 缺少可靠的方法來捕獲用戶的擊鍵行為； 無法檢測利用程序進(jìn)行自動(dòng)攻擊的行為。2.3 異常檢測與誤用檢測的對(duì)比 收集先驗(yàn)知識(shí) 系統(tǒng)配置 檢測結(jié)果基于異常的入侵檢測基于誤用的入侵檢測需不斷的學(xué)習(xí)并更新已有的行為輪

12、廓，進(jìn)而掌握被保護(hù)系統(tǒng)已知行為和預(yù)期行為的所有信息需不斷的對(duì)新出現(xiàn)的入侵行為進(jìn)行總結(jié)歸納，進(jìn)而擁有所有可能的入侵行為的先驗(yàn)知識(shí)基于異常的入侵檢測基于誤用的入侵檢測工作量少，但配置難度較大工作量非常大基于異常的入侵檢測基于誤用的入侵檢測結(jié)果相對(duì)具有更多的數(shù)據(jù)量，任何超出行為輪廓范圍的事件都將被檢測出來輸出內(nèi)容是列舉出入侵行為的類型和名稱，以及提供相應(yīng)的處理建議3.1 通用入侵檢測模型1987年，Denning D.E.提出了一個(gè)通用入侵檢測模型：新活動(dòng)檔案學(xué)習(xí)提取規(guī)則創(chuàng)建歷史檔案審計(jì)記錄更新時(shí)鐘主體活動(dòng)規(guī)則集處理引擎活動(dòng)檔案異常記錄3.2 分布式入侵檢測系統(tǒng)系統(tǒng)的構(gòu)成是開放的、分布式的，多個(gè)功能

13、構(gòu)件分工合作能夠檢測分布式的攻擊3.3 典型入侵檢測系統(tǒng)SnortSnort 是一個(gè)強(qiáng)大的輕量級(jí)的網(wǎng)絡(luò)入侵檢測系統(tǒng)。它具有實(shí)時(shí)數(shù)據(jù)流量分析和日志IP 網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對(duì)內(nèi)容進(jìn)行搜索/匹配。它能夠檢測各種不同的攻擊方式，對(duì)攻擊進(jìn)行實(shí)時(shí)報(bào)警。Snort 可以運(yùn)行在*nix/Win32 平臺(tái)上。q 工作原理在基于共享網(wǎng)絡(luò)上檢測原始的網(wǎng)絡(luò)傳輸數(shù)據(jù)，通過分析捕獲的數(shù)據(jù)包，匹配入侵行為的特征或者從網(wǎng)絡(luò)活動(dòng)的角度檢測異常行為，進(jìn)而采取入侵的預(yù)警或記錄。屬于基于誤用的檢測。初始化解析命令行解析規(guī)則庫打開libpcap接口獲取數(shù)據(jù)包解析數(shù)據(jù)包生成二維鏈表與二維鏈表某節(jié)點(diǎn)匹配？響應(yīng)（報(bào)警、日志

14、）是否Snort工作流程圖工作流程圖3.4 入侵檢測系統(tǒng)的應(yīng)用q 實(shí)例分支機(jī)構(gòu)2INTERNET分支機(jī)構(gòu)1NEsec300 FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源 內(nèi)部核心子網(wǎng)內(nèi)部核心子網(wǎng)NEsec300 FW2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源NEsec300 FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300 FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源交換機(jī)交換機(jī)安全網(wǎng)關(guān)安全網(wǎng)關(guān)SG1安全網(wǎng)關(guān)安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)安全網(wǎng)關(guān)SG3路由器路由器路由器路由器路由器路由器安全管理器安全管理器安全認(rèn)證服務(wù)器安全認(rèn)證服務(wù)器網(wǎng)絡(luò)入侵檢測探頭網(wǎng)絡(luò)入侵檢測探頭網(wǎng)絡(luò)入侵策略管理器網(wǎng)絡(luò)

15、入侵策略管理器4. 安全審計(jì)基礎(chǔ)q 為何我們需要安全審計(jì)？一旦我們采用的防御體系被突破怎么辦？至少我們必須知道系統(tǒng)是怎樣遭到攻擊的，這樣才能恢復(fù)系統(tǒng)，此外我們還要知道系統(tǒng)存在什么漏洞，如何能使系統(tǒng)在受到攻擊時(shí)有所察覺，如何獲取攻擊者留下的證據(jù)。網(wǎng)絡(luò)安全審計(jì)的概念就是在這樣的需求下被提出的，它相當(dāng)于飛機(jī)上使用的“黑匣子”。 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)能幫助我們對(duì)網(wǎng)絡(luò)安全進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)上的動(dòng)態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為，忠實(shí)記錄網(wǎng)絡(luò)上發(fā)生的一切，提供取證手段。它是保證網(wǎng)絡(luò)安全十分重要的一種手段。q CC標(biāo)準(zhǔn)中的網(wǎng)絡(luò)安全審計(jì)功能定義網(wǎng)絡(luò)安全審計(jì)包括識(shí)別、記錄、存儲(chǔ)、分析與安全相關(guān)行為有關(guān)的信息。

16、在CC標(biāo)準(zhǔn)中對(duì)網(wǎng)絡(luò)審計(jì)定義了一套完整的功能，有：v安全審計(jì)自動(dòng)響應(yīng)v安全審計(jì)數(shù)據(jù)生成v安全審計(jì)分析v安全審計(jì)瀏覽v安全審計(jì)事件存儲(chǔ)v安全審計(jì)事件選擇4.1 安全審計(jì)系統(tǒng)網(wǎng)絡(luò)網(wǎng)絡(luò)層審層審計(jì)計(jì)系統(tǒng)系統(tǒng)層審層審計(jì)計(jì)應(yīng)用應(yīng)用層審層審計(jì)計(jì)TCP/IP、ATMUNIX、Windows 9x/NT、ODBC 審計(jì)總控審計(jì)總控CA發(fā)證發(fā)證操作操作主頁更主頁更新監(jiān)視新監(jiān)視網(wǎng)絡(luò)安全審計(jì)層次結(jié)構(gòu)圖網(wǎng)絡(luò)安全審計(jì)層次結(jié)構(gòu)圖4.3 參考標(biāo)準(zhǔn)qISO 7498-2ISO7498-2描述了如何確保站點(diǎn)安全和實(shí)施有效的審計(jì)計(jì)劃。它是第一篇論述如何系統(tǒng)的達(dá)到網(wǎng)絡(luò)安全的文章，大家可以從：WWW.ISO.CH獲得更多的ISO標(biāo)準(zhǔn)的消息。q英國標(biāo)準(zhǔn)英國標(biāo)準(zhǔn)7799（