入侵检测概述
2021-10-14 13:29:34 9 举报关于倒计时71天考研然后我还在啃专业书的思维笔记
作者其他创作
大纲/内容
网络安全的基本概念
计算机网络系统的安全威胁主要来自于黑客的攻击、计算机病毒感染和拒绝服务攻击3个方面
现代黑客的攻击从以针对系统为主的攻击转变到以针对网络为主的攻击
网络安全
网络安全的实质是要保障系统中的人、设备、软件、数据以及各种供给品等要素免受各种偶然的或人为的破坏和攻击,使它们功能正常,保障系统能安全可靠地工作
网络系统的安全应包含
网络系统受到的威胁及脆弱性
告诉人们怎样保护网络系统中的各种资源,避免或减少自然或人为的破坏
开发和实施卓有成效的安全策略,尽可能减少网络系统所面临的各种风险
准备适当的应急计划,使网络系统中的设备、设施、软件和数据在受到破坏和攻击时,能够尽快恢复工作
制定完备的安全管理措施,定期检测这些安全措施的实施情况和有效性
确保信息的安全,就是要保障信息的完整、可用和保密的特性
为了提高网络安全性,需要从多个层次和环节入手
分析应用系统、宿主机、操作系统、数据库管理系统、网络管理系统、子网、分布式计算机系统和全网中的弱点,采取及措施加以防范
网络系统的安全对策与入侵检测
安全漏洞主要来源于系统软件、应用软件设计上的缺陷或系统中安全策略规范设计与实现上的缺陷和不足
入侵检测
入侵检测是一种动态的监控、预防或抵御系统入侵行为的安全机制,主要通过监控网络、系统的状态、行为以及系统的使用情况,来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图
入侵检测具有智能监控、实时探测、动态响应、易于配置等特点
由于数据源仅是记录系统活动轨迹的审计数据,使其几乎适用于所有的计算机系统
建立完善的多层安全防御体系
由于现有各种安全防御机制都有自己的局限性
防火墙能够通过过滤和访问控制阻止多数对系统的非法访问,但不能抵御某些攻击
尤其在防火墙系统存在配置错误、没有定义或没有明确定义的系统安全策略时
对于恶意的移动代码攻击(病毒、木马、缓冲区溢出等)、来自内部的攻击等也无能为力
通过访问控制来实现系统内部与外部的隔离
针对网络的安全不能只依靠单一的安全防御技术和防御措施
在对网络安全防御体系和各种网络安全技术和工具的基础上
制定具体的系统安全策略
通过设立多道安全防线、集成各种可靠的安全机制
防火墙
存取控制和认证机制
安全监控工具
漏洞扫描工具
入侵检测系统
进行有效的安全管理、培训
等
建立完善的多层安全防御体系
安全模型
PDR模型
从之前的被动保护转到了现在的主动防御,强调整个生命周期的防御和恢复
PDR模型基于防护、检测、响应的安全模型
防护(Protection)
检测(Detection)
响应(Reaction)
自适应网络安全模型ANSM
试图建立网络安全的标准
该模型是可量化、可有数学证明、基于时间的、以PDR为核心的安全模型
也称为模型
安全策略(Policy)
防护(Protection)
检测(Detection)
响应(Reaction)
模型的体系结构
Policy(安全策略)
根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等
是模型的核心
所有的防护、检测和响应都是依据安全策略实施的,安全策略还为安全管理提供管理方向和支持手段
防护(protection)
通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;
通过定期检查来发现可能存在的系统脆弱性;
通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;
通过访问控制、监视等手段防止恶意威胁
检测(Detection)
重要环节
检测是动态响应和加强防护的依据,是强制落实安全策略的有力工具
通过不断地检测来监视网络和系统,发现新的威胁和弱点,通过循环反馈来及时做出有效的响应
响应(Reaction)
紧急响应在安全系统中占有重要地位,是解决潜在安全问题的最有效的办法
从某种意义上讲,安全问题就是解决如何进行紧急响应和异常问题处理
模型的特点
网络信息系统的安全是基于时间性的
动态性
基于时间的特性
攻击时间()
表示从入侵开始到入侵系统的时间
衡量两个方面
入侵能力
系统脆弱性
高水平的入侵及安全拨入的系统都增加攻击的有效性,使缩短
检测时间()
检测系统按计划完成所有检测的时间为一个检测周期
系统安全检测包括发现系统的安全隐患和潜在攻击的检测,以利于系统的安全评测
改进检测算法,可缩短,提高对抗攻击的效率
响应时间()
包括检测到系统漏洞或监控到非法攻击到系统启动处理措施的时间,安全事件的后处理(如恢复、总结)不纳入事件响应的范畴之内
系统暴露时间()
指系统处于不安全状况的时间
定义为:
系统检测时间和响应时间越长或对系统的攻击时间越短,则系统发的暴露时间越长,系统就越不安全
如果,那么基于模型,可以认为该系统是安全的
入侵检测系统
入侵检测技术是实施检测功能的最有效的技术
入侵检测系统具有一定的响应功能
从P^2DR模型来理解,入侵检测系统是一个具有检测功能,同时又兼备防护和响应功能的技术产品,是保护网络信息系统安全的强有力工具
入侵检测的产生与发展
早期研究(1980左右)
james Anderson
指出审计记录可以用于识别计算机误用
提出入侵尝试或威胁的概念
将其定义为:潜在、有预谋的未经授权访问信息、操作信息,致使系统不可靠或无法使用的企图
给威胁进行分类,并对审计子系统提出了改进意见,以便该系统可以用于检测
提出对不同渗透的检测方法
对于外部用户
授权:不存在授权给外部用户的
非授权:外部渗透
对于内部用户
有授权:不当行为
非授权:内部渗透
致力于解决“伪装者"的问题
建立通过对某些用户行为的一些统计分析应当具备判定系统不正常使用模式的能力
SRI(斯坦福研究机构)
用统计方法分析IBM大型机的SMF(系统管理设备)记录
总结:20世纪80年代初期网络没有现在普遍和复杂,网络之间也没有完全连通,因此关于入侵检测的研究主要是基于主机的事件日志分析,也没有受到重视
主机入侵检测系统的研究(1986到1990左右)
SRI
Dorothy E. Denning发表论文“An Instruction-Detection Model”(入侵检测模型)
深入探讨了入侵检测技术,探索了行为分析的基本机制
首次将入侵检测的概念作为一种计算机系统安全防御措施的提出
并建立了一个独立于系统、程序应用环境和系统脆弱性的通用检测入侵系统模型
也叫Denning模型
IDS的开山之作
IDS:入侵检测系统
SRI开发入侵检测专家系统(IDES)Instruction-Detection Expert System
实时入侵检测系统
采用统计技术来进行异常检测,用专家系统的规则进行误用检测
在实现双重分析和实时分析两个方面迈出关键的一步
双重分析
Signature分析(签名分析)
异常分析
被认为是入侵检测研究中最有影响力的一个系统
第一个在一个应用中运用了统计和基于规则两种技术的系统
(1992-1995)SRI得到NIDES(Next-Generation Instruction Detection Expert System)
强化IDES在以太网环境下实现了产品化的入侵检测系统NIDES
双重分析,采用的方式更加灵活、通用,对于目标系统和审计数据的类型没有限制,采用C/S模式
缺点:在规模化和针对网络环境使用方面还有所欠缺,并且缺少协同工作的能力
由于用户作为分析的目标,因此对多域联合攻击无能为力
(1988)Los Alamos国家实验室
Haystack系统
采用异常检测和基于Signature的检测开发的
主要用于检测Unisys大型主机
系统建立了两种模型
为每个用户建立的用户模型
通用模型
美国国家安全中心Multics主机开发的
多入侵检测及告警系统(MIDAS)Multics ID and Altering System
该系统是在国家计算机安全中心的公共信息系统Dockmaster上应用的第一个人入侵系统
(1989)Los Alamos国家实验室
W&S系统(Widsom and Sence)
基于主机的异常检测系统
系统处理一个训练用的数据集,并产生用于描述数据特征的元规则(metarule),随后当应用于新的数据集时,该系统就用这些规则来检测异常
最开始用于监测存储核材料的数据记录中的异常,后被修改为检测VMS操作系统的审计记录
还应用于检测人为的误操作
缺点:由于检测到的异常和人为的误操作混合在一起,所以W&S系统永远不能应用于生产环境中
因为构造、修剪元规则树的方式使其很难解释得到的结果
PRC公司
ISOA(information Security Officers Assistant)(“信息管理专员助手”)
它是由一套统计工具、一个专家系统和一套分级的"利害关系级别"组成
其技术是基于一种称为迹象与警告的模型(I&W模型)(Indications and Warnings)
可以对即将发生的攻击预先告警
引入的审计数据与一组期望的迹象相比较,并按层次排列以反映利害关系级别
异常用三类参数来检测:用户、节点及整个系统
后来用在了RDP模型入侵检测系统PreCis中
总结:虽然有的是在局域网环境下展开的,但仍是检测对主机的攻击,对于协同攻击和多域联合攻击没有检测能力
网络入侵检测系统的研究(1990开始)
UCD设计的面向局域网的IDS
网络安全监控器(NSM:Network Security Monitor)
用来分析来自以太局域网的数据及连接到该网的数据
首次提出使用网络数据包作为审计数据源,提出基于网络的IDS的概念
(1991)
NADIR(Network Anomaly Detection and Intrusion Reporter)网络异常检测和入侵报告
DIDS(Distribute IDS)分布式入侵检测系统
以上两个模型
提出收集和合并来自多个主机的审计信息来检测对多个主机的协同攻击
网络IDS的研究方法有两种:
一是分析各主机的审计数据,并分析各主机审计数据之间的关系
二是分析网络数据包
(1944)美国空军密码支持中心(Cryptological Support Center)
网络入侵检测系统(ASIM)
UCD的计算机安全实验室
GrIDS
以开发广域网上的入侵检测系统为目的
Ciso公司
开始将网络入侵检测整合到Ciso路由器中
ISS
发布RealSecure
这是一个被广泛使用的、用于Windows NT的网络入侵检测系统
SRI(1996-1999)
EMERALD
具有分布式可升级的特点
用于大型网络中探测恶意入侵活动(包括对网站的入侵),高度分布,自动响应
进行了扩展:可以基于网络的分析;增强互操作性;与分布式计算环境的集成更容易
主机和网络入侵检测的集成
(最早的)
DIDS分布式入侵检测系统
最早试图把基于主机的方法和网络监控方法集成在一起
最初的概念是采用集中式控制技术,向DIDS中心控制器发送报告
DIDS的结构
流程图
DIDS解决的问题
在网络环境下跟踪网络用户和文件
是关键问题,原因在于
网络入侵者通常会利用不同计算机系统的互联性来隐藏自己的真实身份和地址
实际上,一些入侵者发起的分布式攻击是在每个阶段从不同系统发起攻击的组合结果
对付网络入侵者最有效的方式是发现堆攻击负责任的人,收集他进行攻击的证据,然后借助法律的力量
系统允许用户在该环境下中通过自动跨越被监视的网络跟踪和得到用户身份的想过信息来处理这个入侵
为调查员提供网络跟踪得到的路径和用户信息来帮助追查
解决了如何从发生在系统不同的抽象层次的实践中发现相关数据或事件
用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果
结构6层:主机/LAN监控器-》主机/LAN事件发生器-》主机/LAN代理-》通信管理器-》专家系统和用户管理系统-》DIDS主管
IDS的简单分类
根据判断异常的方式
以自学习的方式检测异常
非时间序列
规则模型
W&S
基于统计
IDES,NIDES,EMERALD,Haystack
时间序列
ANN(人工神经网络)
Haperview
以预编程的方式(编程好检测类型的方式)
描述统计(统计的方法对数据进行一定的汇总)
简单统计
MIDAS,NADIR,Haystack
基于规则
NSM
门限
ComputerWatch
Default deny
状态序列模式
DPEM,JANUS,Bro
跟据特征
以预编程的方式
状态模式
状态转换
USTAT
Petri网
IDIOT
专家系统
NIDES,EMERALD,MIDAS-direct,DIDS,MIDAS
字符串匹配的
NSM
基于规则的
NADIR,ASAX,Bro,Haystack
以自学习的方式
自动特征选取
Ripper
入侵检测的基本概念
基本概念
入侵
是指任何试图危及计算机资源的完整性、机密性或可用性的行为
入侵检测
是对入侵行为的发觉,通过对计算机网络或系统中的若干关键点收集信息,并对这些信息进行分析,从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象
入侵检测系统(IDS)
进行入侵检测的软件与硬件的组合
IDS收集计算机系统和网络的信息,并对这些信息加以分析,对保护的系统进行安全审计、监控、攻击识别以及作出实时的反应
入侵检测
是防火墙的合理补充,帮助系统对付网络攻击,拓展了系统管理员的安全管理能力
入侵检测的作用
IDS是唯一一个通过数据和行为模式判断网络安全体系是否有效的系统
IDS的作用和功能
监控、分析用户和系统的活动
审计系统的配置和弱点
评估关键系统和数据文件的完整性
识别攻击的活动模式
对异常活动进行统计分析
对操作系统进行审计跟踪管理,识别违反政策的用户活动
IDS的优点
提高信息安全体系中其他部分的完整性
提高系统的监控能力
从入口点到出口点跟踪用户的活动
识别和汇报数据文件的变化
侦测系统配置错误并纠正它们
识别特殊攻击类型,并向管理员发出警报,进行防御
IDS的缺点
不能弥补差的认证机制
如果没有人的干预,不能管理攻击调查
不能知道安全策略的内容
不能弥补网络协议上的弱点
不能弥补系统服务质量或完整性的缺陷
不能分析一个堵塞的网络
不能处理有关Pakage-Level的攻击
一个成功的IDS
不但可以使系统管理员时刻了解网络系统的任何变更,还能给网络安全策略的制定提供指南
它应该易于管理、配置简单,从而使非专业人员非常容易地实现网络完全
IDS的适用的规模还应根据网络威胁、系统构造和安全需求的改变而改变
IDS在发现入侵之后会及时作出响应,包括切断网络连接、记录事件和报警等
研究入侵检测的必要性
计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力
建立一个完全安全的系统是不可能的
软件中不可能没有缺陷
将所有已安装的带有安全缺陷的系统转换成安全系统需要相当长的时间
如果口令是弱口令并且已经被破解,那么访问控制措施不能够阻止受到危害的授权用户的信息丢失或破坏
静态安全措施不足以保护安全对象属性
加密技术本身存在着一定的问题
安全系统易受到内部用户滥用特权的攻击
安全访问控制等级和用户的使用效率成反比
基于上述问题,使用的方式是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统
IDS一般不是采取预防的措施来防止入侵事件的发生
入侵检测技术作为安全技术的主要目的是
识别入侵者
识别入侵行为
检测和监视已成功的安全突破
为对抗入侵检测及时提供重要信息,防止事件的发生和事态的扩大
入侵检测面临的问题
高速网络环境的性能提高问题
在高速网络环境下,网络吞吐量不断增大,如何快速准确地检测出网络入侵的具体类别,解决好检测速度和检测准确性的矛盾
目前很多研究成果都是关于二分类入侵检测的,而针对具体类别的入侵攻击不多,与大类检测性比,其难度更大,检测方法更复杂。
为了提高高速网络环境下多分类检测的性能,需要在提高多分类检测系统的学习能力、实时检测能力、响应能力和检测未知攻击能力等方面作出进一步的研究
IDS主动防御能力不足的问题
多数入侵检测系统以检测漏洞为主,很难发现新的攻击方式,一般只有在攻击发生一次以后,才将新的攻击规则添加到系统中
对攻击不能做到提前预防,系统的检测规则更新比较落后
进一步研究高性能自适应的入侵检测功能
IDS体系结构问题
随着网络攻击手段向分布式方向发展,攻击的破坏性和隐蔽性也越来越强。
集中式的IDS体系结构不能适应分布式攻击的检测
对分布式攻击的入侵攻击需要采用中央代理和大量分布在各处的本地代理组成分布式IDS进行检测,本地事件由本地代理负责处理,而中央代理负责整体分析工作
应对分布式攻击,需要解决数据集收集、入侵检测和响应的分布化,通过分布式系统的协同合作提高系统的可靠性
IDS自身的健壮性问题
入侵者对入侵检测系统的了解日益增多,入侵攻击也不仅限于网络主体,入侵检测系统也逐渐成为他们的目标
云环境下的入侵检测问题
云计算是一种崭新的服务模式,它影响着传统的安全信息领域
如何利用云计算平台,尽可能多地收集关于入侵的知识,并基于云计算平台提供更为方便和准确的入侵检测服务,有吸引力的课题
入侵检测技术的发展趋势
智能化入侵检测
发展方向是发展出具有自学能力的算法,可以实现知识库的不断更新和扩展,是入侵检测系统的防范能力不断增强
研究最常用的多科学交叉研究、遗传算法、模糊技术、免疫原理等类人工智能方法
分布式入侵检测
传统的入侵检测系统是运行在网络中或主机上的软硬件系统,对于运行在异构系统上的较大规模的探测攻击行为,其检测和防范能力稍显不足
、应进行分布式入侵检测技术及分布式入侵检测系统架构的设计与开发,即发展针对于分布式供给的检测方法和手段,以及通过分布式的架构来检测分布式供给的工作模式
入侵检测系统的标准化
在大规模网络中,各个独立的区域可能使用了多种类型的入侵检测类型。
如何是这些部署在相同或不同区域内部的安全设备很好地协同工作,特别是关联入侵检测系统的统一协同处理能力
集成网络分析和管理能力
入侵检测集成网络管理功能、扫描器、嗅探器等功能将是未来的发展方向
高速网络中的入侵检测
截获网络中的数据包并对之分析、匹配原则需要消耗大量的时间,消耗大量的系统资源,大部分入侵检测系统的端口速率和检测速度已经不能适应当前的网络速度,特别是内部高速主干网络
数据库入侵检测
将入侵检测技术用于数据库本身,可以提高数据系统的安全性,弥补操作系统和网络入侵的不足,提升系统的整体安全性
数据库入侵检测技术主要有对数据推理的检测、对存储篡改的检测、基于数据挖掘的监测和基于数据库事务级的检测等
无线网络入侵检测
随着无线网络的发展,其安全问题逐渐暴露出来,如无线电信号干扰、WEP缺陷和虚假访问点等,这些对无线网络的安全造成了严重威胁
因为无线网络与有线网络的主要区别在通信链路上,也就是网络层以下,所以无线网络入侵检测技术研究的检测的侧重点将放在物理层和数据链路层上
针对无线传输链路的特点,增强对无线链路数据包的捕获、无线协议的分析以及某系主要针对无线网络入侵的检测
入侵检测技术是随着网络攻防及安全技术的逐步完善而发展起来的一种积极主动的安全技术。它能够提供实施网络安全防护,可以是现在网络系统被攻破之前拦截和相应入侵检测与网络攻击行为等诸多功能
虽然在网络安全防护中有着重要作用,但不能替代其他安全系统,如防火墙、杀毒软件等
0 条评论
下一页
