基于主機(jī)的入侵檢測方法課件

2023/7/26基于主機(jī)的入侵檢測方法原理以操作系統(tǒng)的事件跟蹤記錄作為輸入檢測單個(gè)主機(jī)的審計(jì)記錄和日志檢測系統(tǒng)、程序的行為CPU利用率I/O調(diào)用系統(tǒng)調(diào)用

修改系統(tǒng)文件和目錄分組發(fā)送/接收速率檢測用戶的行為特征登錄時(shí)間次數(shù)擊鍵頻率和錯(cuò)誤率命令序列2023/7/26基于主機(jī)的入侵檢測方法特點(diǎn)可監(jiān)測系統(tǒng)或用戶的行為無法檢測針對(duì)網(wǎng)絡(luò)協(xié)議及實(shí)現(xiàn)軟件的攻擊應(yīng)用層檢測只能監(jiān)視針對(duì)本機(jī)的入侵行為必須在每臺(tái)主機(jī)上運(yùn)行日志信息需要占用大量的存儲(chǔ)空間

需要和操作系統(tǒng)緊密集成2023/7/26基于網(wǎng)絡(luò)的入侵檢測方法網(wǎng)絡(luò)監(jiān)聽對(duì)分組的內(nèi)容、流量進(jìn)行分析與攻擊特征進(jìn)行模式匹配特征檢測單個(gè)分組數(shù)據(jù)的分析分組重組分析分組載荷內(nèi)容分析統(tǒng)計(jì)分析網(wǎng)絡(luò)流量分布異常分組數(shù)量和頻率分布服務(wù)類型分布相關(guān)性分析分析多個(gè)網(wǎng)段的分組數(shù)據(jù)和網(wǎng)絡(luò)流量字符串特征流量特征協(xié)議特征2023/7/26基于網(wǎng)絡(luò)的入侵檢測方法特點(diǎn)在一個(gè)局域網(wǎng)中只需一臺(tái)機(jī)器運(yùn)行檢測系統(tǒng)可確定入侵的來源難以分析被加密的分組在隧道外檢測不能檢測非可控網(wǎng)段的分組難以檢測高速網(wǎng)絡(luò)的分組難以檢測假冒等入侵行為2023/7/26分布式入侵檢測方法基本結(jié)構(gòu)中央管理單元每臺(tái)主機(jī)上的主機(jī)管理單元局域網(wǎng)管理單元各單元之間的信息傳遞機(jī)制2023/7/26入侵檢測方法分類分類二被動(dòng)的入侵檢測系統(tǒng)只是發(fā)出報(bào)警不做出反應(yīng)動(dòng)作主動(dòng)的入侵檢測系統(tǒng)需要建立響應(yīng)策略2023/7/26入侵檢測方法分類分類三異常(Anomaly)檢測異常：與正常使用模式相偏離的操作現(xiàn)象將所有與正常行為不匹配的行為都看作入侵行為

產(chǎn)生誤報(bào)警（falsepositives）誤用(Misuse)檢測誤用：對(duì)系統(tǒng)系統(tǒng)弱點(diǎn)的攻擊只有與入侵特征模型匹配的行為才算是入侵行為

容易產(chǎn)生漏報(bào)警（falsenegatives）基于入侵特征和知識(shí)庫檢索分組中的特征串2023/7/26異常檢測依據(jù)：入侵行為是異常行為活動(dòng)頻繁程度登錄的頻率擊鍵頻率分組發(fā)送頻率活動(dòng)的分布情況用戶的登錄情況文件訪問相對(duì)分布情況I/O活動(dòng)郵件發(fā)送情況網(wǎng)絡(luò)流量分布分類指標(biāo)在每個(gè)物理位置上登錄的相對(duì)頻率編譯程序的使用shell和編輯器的使用通常指標(biāo)如某個(gè)用戶使用的CPU和I/O的數(shù)量2023/7/26異常檢測問題入侵行為可以由多個(gè)正常的動(dòng)作構(gòu)成非入侵行為也可能是異常的入侵的，異常的入侵的，非異常的非入侵的，異常的非入侵的，非異常的入侵者可以通過惡意訓(xùn)練的方法改變監(jiān)測系統(tǒng)使系統(tǒng)將異常行為看作正常行為2023/7/26誤用檢測收集各種入侵的方法觀察系統(tǒng)中的各種行為和現(xiàn)象與入侵方法的特征進(jìn)行比較（模式匹配）發(fā)現(xiàn)匹配的情況則認(rèn)為是入侵實(shí)現(xiàn)簡單擴(kuò)展性好效率高主要用于檢測已知的入侵手段不能檢測到未知的入侵手段2023/7/26入侵檢測方法分類分類四統(tǒng)計(jì)分析方法異常檢測基于規(guī)則的方法誤用檢測2023/7/26基于規(guī)則的入侵檢測方法常見的規(guī)則一個(gè)用戶不應(yīng)讀取其他用戶私有目錄下的文件一個(gè)用戶不應(yīng)改寫其他用戶的文件用戶登錄幾小時(shí)后通常使用以前使用的那些文件應(yīng)用程序通常不直接打開磁盤文件在同一個(gè)系統(tǒng)里同一個(gè)用戶只登錄一次用戶不應(yīng)復(fù)制系統(tǒng)程序和系統(tǒng)文件日志文件不得刪除2023/7/26基于規(guī)則的入侵檢測方法檢測方法專家系統(tǒng)將已有的入侵特征、已知的系統(tǒng)弱點(diǎn)、安全策略構(gòu)成知識(shí)轉(zhuǎn)化成if－then結(jié)構(gòu)的規(guī)則采用邏輯推理方式狀態(tài)轉(zhuǎn)換分析法利用有限狀態(tài)自動(dòng)機(jī)模擬入侵將入侵描述為從初始狀態(tài)到入侵狀態(tài)的一系列動(dòng)作組成與相應(yīng)的防火墻技術(shù)類似2023/7/26統(tǒng)計(jì)分析檢測方法通過事件統(tǒng)計(jì)進(jìn)行異常行為的檢測閾值檢測為用戶的各種行為設(shè)置度量屬性對(duì)度量屬性設(shè)置閾值對(duì)不同的用戶需要設(shè)置不同的閾值用單一的度量值衡量a1S12+a2S22+…+anSn2

方差分析基于行為模式的檢測為每個(gè)用戶建立一個(gè)行為模式（輪廓）建立多個(gè)度量指標(biāo)檢測該用戶行為模式的變化2023/7/26統(tǒng)計(jì)分析檢測方法

——基于行為模式的檢測基于特征選擇從一組度量指標(biāo)中挑選出能檢測出入侵的度量子集來預(yù)測或分類入侵行為基于貝頁斯推理通過測定一組選定的描述系統(tǒng)或用戶行為特征的值A(chǔ)1，A2，A3，…，An推理判斷基于機(jī)器學(xué)習(xí)通過對(duì)入侵行為的學(xué)習(xí)來改進(jìn)分析的準(zhǔn)確性2023/7/26特征選擇對(duì)用戶和系統(tǒng)行為進(jìn)行計(jì)數(shù)描述不成功登錄的次數(shù)網(wǎng)絡(luò)連接數(shù)企圖訪問文件或目錄次數(shù)企圖訪問網(wǎng)絡(luò)系統(tǒng)次數(shù)2023/7/26貝頁斯推理（BayesianInference）用戶行為特征的值A(chǔ)1，A2，A3，…，AnAi=1表示異常，0表示正常I表示系統(tǒng)當(dāng)前遭受的入侵攻擊的假設(shè)即Ai之間相互獨(dú)立，則有：2023/7/26機(jī)器學(xué)習(xí)監(jiān)督學(xué)習(xí)supervisedlearning

系統(tǒng)在人員監(jiān)督下的學(xué)習(xí)歸納學(xué)習(xí)inductivelearning

從大量例子中找出共性類比學(xué)習(xí)learningbyanalogy

從類似的知識(shí)中獲得知識(shí)人工神經(jīng)網(wǎng)絡(luò)artificialneuralnetwork自適應(yīng)的學(xué)習(xí)方法

知識(shí)發(fā)現(xiàn)數(shù)據(jù)挖掘2023/7/26入侵檢測中的分組分析技術(shù)基于誤用檢測攻擊的特征攻擊簽名attacksignature已知的攻擊方式的不變特征類型特征串檢測協(xié)議分析和命令解析2023/7/26特征串檢測ID包抓取引擎從網(wǎng)絡(luò)上抓取數(shù)據(jù)包包分析引擎對(duì)數(shù)據(jù)包做簡單處理，如IP重組、TCP流重組，根據(jù)規(guī)則庫判斷規(guī)則庫（特征庫）入侵檢測系統(tǒng)的知識(shí)庫包分析引擎完成對(duì)入侵特征的檢測響應(yīng)模塊確定發(fā)現(xiàn)疑點(diǎn)時(shí)所采取的響應(yīng)手段2023/7/26特征串檢測ID計(jì)算模型比較容易實(shí)現(xiàn)匹配算法成熟需要收集特征串無法檢測到新的入侵類型檢測能力依賴于規(guī)則庫的廣度與精度規(guī)則庫的維護(hù)工作量較大2023/7/26協(xié)議分析和命令解析的ID協(xié)議分析ProtocolAnomaly協(xié)議解碼分組重裝協(xié)議校驗(yàn)

利用了網(wǎng)絡(luò)協(xié)議的高度有序性快速檢測特征開銷狀態(tài)存儲(chǔ)分組配對(duì)協(xié)議校驗(yàn)使用了保留的字段有非法的值異常的默認(rèn)值不當(dāng)?shù)倪x項(xiàng)序列號(hào)亂序序列號(hào)跳號(hào)序號(hào)重疊校驗(yàn)和錯(cuò)CRC校驗(yàn)錯(cuò)2023/7/26分組分析方法單個(gè)數(shù)據(jù)包的分析檢測偽造IP地址檢測源地址是否為廣播地址源地址和目的地址是否相等源地址和MAC地址是否匹配數(shù)據(jù)包重組分析將分片的分組重組后進(jìn)行分析

檢測Pingofdeath、teardrop等數(shù)據(jù)分析對(duì)通信的內(nèi)容進(jìn)行分析檢測堆棧溢出、特殊的命令組合等應(yīng)用層協(xié)議分析DeepPacketInspection

2023/7/26入侵檢測的流量分析基于流量和流量分布數(shù)據(jù)流相關(guān)分析針對(duì)分布式流量攻擊的分析檢測協(xié)同掃描（sweep）和協(xié)同的攻擊網(wǎng)絡(luò)流量統(tǒng)計(jì)分析根據(jù)各種類型的報(bào)文數(shù)量的流量模式ICMP，TCP，UDP如檢測DoS和DDoS2023/7/264.3.4入侵檢測的響應(yīng)策略向管理員發(fā)送報(bào)警信息將報(bào)文內(nèi)容記錄到日志文件發(fā)送Reset報(bào)文斷開TCP連接關(guān)閉路由器或者端口重新配置網(wǎng)絡(luò)設(shè)備如配置防火墻(入侵防御系統(tǒng)IPS)關(guān)閉關(guān)鍵系統(tǒng)上的某些重要的賬戶運(yùn)行某種日志程序或者應(yīng)用程序增加對(duì)有關(guān)信息的收集2023/7/26入侵檢測的響應(yīng)策略跟蹤攻擊行為黑客追蹤啟動(dòng)誘騙系統(tǒng)蜜罐Honeypot蜜網(wǎng)

調(diào)整系統(tǒng)結(jié)構(gòu)重新分配資源調(diào)整帶寬限制入侵入侵容忍系統(tǒng)2023/7/26蜜網(wǎng)ActiveIDCostmoreforblackhatsSebekVirtualhoneynet?GenIII(hosts,processes,files,networkflows)路由器主機(jī)蜜罐HoneyWall主機(jī)主機(jī)蜜罐蜜罐2023/7/26威脅度一級(jí)非常規(guī)的，具有惡意的分組，但不會(huì)對(duì)目前流行的操作系統(tǒng)造成顯著的危害二級(jí)各種端口掃描行為三級(jí)可以對(duì)某些服務(wù)造成危害的攻擊四級(jí)造成系統(tǒng)死機(jī)、藍(lán)屏或網(wǎng)絡(luò)不可用的攻擊五級(jí)獲取被攻擊者root權(quán)限的攻擊2023/7/26入侵防御系統(tǒng)IPSIntrusionPreventionSystem主動(dòng)積極的入侵防范/阻止系統(tǒng)對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截避免其造成任何損失入侵傳播速度的加快留給人們響應(yīng)的時(shí)間越來越短部署在網(wǎng)絡(luò)的出口處和主機(jī)中

基于IDS2023/7/26IPS的分類基于主機(jī)的入侵防護(hù)(HIPS)在主機(jī)/服務(wù)器上安裝軟件代理

保護(hù)服務(wù)器的安全弱點(diǎn)不被不法分子所利用基于網(wǎng)絡(luò)的入侵防護(hù)(NIPS)檢測并限制流經(jīng)的網(wǎng)絡(luò)流量和連接數(shù)刪除入侵行為的網(wǎng)絡(luò)連接應(yīng)用入侵防護(hù)(AIP)把基于主機(jī)的入侵防護(hù)擴(kuò)展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備2023/7/264.3.5入侵檢測的標(biāo)準(zhǔn)化目的提高IDS產(chǎn)品、組件之間的互操作性標(biāo)準(zhǔn)入侵檢測交換格式（IDEF）definedataformatsandexchangeproceduresworkinprogress

入侵檢測消息交換格式（IDMEF）RFC4765入侵檢測交換協(xié)議（IDXP)RFC4767入侵檢測警告協(xié)議（IAP）facilitatetheubiquitousinteroperabilityofintrusiondetectioncomponentsacrossInternetenterprises

保證大型網(wǎng)絡(luò)中協(xié)議數(shù)據(jù)傳輸?shù)耐暾院桶踩詗orkinprogress/html/draft-ietf-idwg-iap-002023/7/26IDMEFDataTypesIntegers"123","-456"RealNumbers123.45e02CharactersandStringsBYTEEnumeratedTypesDate-TimeStringsYYYY-MM-DDThh:mm:ssNTPTimestampsa64-bitunsignedfixed-pointnumber0x12345678.0x87654321

PortLists5-25,37,42,43,53,69-119,123-514UniqueIdentifiersrepresentedbySTRINGdatatypes2023/7/26IDMEFDataModeltop-levelclassIDMEF-Messagetwotypesofmessagesdefined

AlertsHeartbeats2023/7/26Alert類每當(dāng)分析器監(jiān)測到一個(gè)事件，它發(fā)送一個(gè)Alert消息給管理員Analyzer分析器的標(biāo)識(shí)符CreateTime消息建立時(shí)間，ntpstamp

DetectTime事件檢測到的時(shí)間，ntpstamp

Source事件來源Target事件去向Classification事件類型Assessment事件的影響程度low|medium|high

2023/7/26Heartbeats類防止入侵檢測消息被阻斷對(duì)DoS攻擊免疫簡單的消息格式保持不斷的聯(lián)系2023/7/26ExampleThe"teardrop"Attack

<?xmlversion="1.0"encoding="UTF-8"?><!DOCTYPEIDMEF-MessagePUBLIC"-//IETF//DTDRFCXXXXIDMEFv1.0//EN""idmef-message.dtd"><IDMEF-Messageversion="1.0"><Alertident="abc123456789">

<Analyzeranalyzerid="hq-dmz-analyzer01"><Nodecategory="dns"><location>HeadquartersDMZNetwork</location><name></name></Node></Analyzer>

<CreateTimentpstamp="0xbc723b45.0xef449129">2000-03-09T10:01:25.93464-05:00</CreateTime>

<Sourceident="a1b2c3d4"><Nodeident="a1b2c3d4-001"category="dns"><name></name><Addressident="a1b2c3d4-002"category="ipv4-net-mask"><address>0</address><netmask>55</netmask></Address></Node></Source>

<Targetident="d1c2b3a4"><Nodeident="d1c2b3a4-001"category="dns"><Addresscategory="ipv4-addr-hex"><address>0xde796f70</address></Address></Node></Target>

<Classificationorigin="bugtraqid"><name>124</name><url>/bid/124</url></Classification></Alert></IDMEF-Message>2023/7/26入侵檢測交換協(xié)議（IDXP)AsaBEEP"profile"BlocksExtensibleExchangeProtocol一個(gè)通用的應(yīng)用層協(xié)議用于面向連接的異步交互用于建立應(yīng)用層安全隧道提供加密的認(rèn)證rfc3080IDXP為交換IDMEF消息提供支持無結(jié)構(gòu)的文本二進(jìn)制數(shù)據(jù)2023/7/26ExampleofBEEPmessageAmessagecontainedinasingleframethatcontainsapayloadof120octetsspreadover5linesChannel0Messagenumber1FinalframeofthemessageSequencenumber52Payloadsize120C:MSG01.52120C:Content-Type:application/beep+xmlC:C:<startnumber='1'>C:<profileuri='/beep/profile'/>C:</start>C:END2023/7/26IDXPcommunicationOpeningaBEEPchannelinitiatingaBEEPsessionNegotiateaBEEPsecurityprofileExchangeIDXPgreetings甲方乙方transportconnectiongreetingStartsecurityprofilegreetingStartIDXP2023/7/26IDXPProfileProvidesamechanismforexchanginginformationbetweenintrusiondetectionentitiesusedtocreateanapplication-layertunnelIdentifiedas/beep/profileIDXP-GreetingElementidentifytheanalyzerormanageratoneendoftheBEEPchannelUniformResourceIdentifier(URI)includetheroleofthepeeronthechannelclientorserver2023/7/26IDXP-Greetingexample

I:MSG010.1592187I:Content-Type:application/beep+xmlI:I:<startnumber='1'>I:<profileuri='/beep/profile'>I:<![CDATA[<IDXP-Greetinguri='/alice'I:role='client'/>]]>I:</profile>I:</start>I:END

L:RPY010.186591L:Content-Type:application/beep+xmlL:L:<profileuri='/beep/profile'>L:<![CDATA[<ok/>]]>L:</profile>L:ENDL:MSG011.195661L:Content-Type:text/xmlL:L:<IDXP-Greetinguri='/bob'role='server'/>L:ENDI:RPY011.17797I:Content-Type:application/beep+xmlI:I:<ok/>I:END2023/7/26BEEPsecurityprofileUsedtoestablishend-to-endsecuritybetweenpairsofIDXPpeersMutualAuthenticationMessageConfidentialitysupportingavarietyofencryptionalgorithmsMessageInte