入侵检测系统
入侵检测系统概述
PPDR安全模型:
- 安全策略(Policy)
- 防护(Protection):(1)访问控制、身份认证;(2)定期检测可能存在的系统脆弱性
- 检测(Detection):(1)动态响应、循环反馈;(2)持续检测网络和系统中的脆弱性
- 响应(Response)
PPDR安全模型数学法则:
- Pt=防护时间(有效防御的时间)
- Dt=检测时间(从开始到发现的时间)
- Rt=反应时间(从发现到响应完成的时间)
- Et=暴露时间
如果Pt>Dt+Rt,则系统是安全的;如果Pt<Dt+Rt,则系统暴露时间Et=(Dt+Rt)-Pt
入侵(Instrusion)的定义:
- 非法取得系统控制权
- 利用系统漏洞收集信息
- 破坏信息系统
入侵检测(Instrusion Detection)的定义:
- 检测对系统的非授权访问
- 监控系统运行状态,保证系统资源的保密性、完整性、可用性
- 识别针对计算机系统网络系统或广义信息系统的非法攻击
入侵检测系统发展历史
- 1980年4月,James P.Anderson第一次详细阐述了入侵检测的概念。
- 1984年~1986年, 乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究设计了入侵检测专家系统。
- 1988年,SRI/CSL的Teresa Lunt等人改进了Denning的入侵检测模型,并开发出了一个新型的IDES。
- 1990年,加州大学戴维斯分校的L.T. Heberlein等人开发出了网络安全监视器,成为分水岭。
入侵检测系统的通用模型
事件分析器:负责分析和检测入侵,并向控制器发出警报信号
事件产生器:负责收集来自目标系统的数据(包括系统日志、系统调用记录、网络协议数据包等)
响应单元:根据警报信号人工或自动地对入侵行为作出响应
事件数据库:为检测器和控制器提供必需的数据信息支持
数据包=包头信息+有效数据部分;检测内容:包头信息+有效数据部分。
通信安全:控制台和检测器之间采用TCP/IP通信,为了保护控制台和探测器之间的通信,可采用安全套接层(SSL)协议对传输的数据进行加密 。
入侵检测原理及主要方法
异常检测基本原理
异常检测技术又称为基于行为的入侵检测技术,用来识别主机和网络中的异常行为。该技术假设攻击与正常合法的活动有明显的差异。
事件提取:负责提取相关运行数据或记录,并对数据进行简单过滤。
入侵分析:找出入侵痕迹,发现异常行为,分析入侵行为并定位入侵者。
入侵响应:分析出入侵行为后被触发,根据入侵行为产生响应。
远程管理:在一台管理站上实现统一 的管理监控。
入侵检测方法:
- 统计异常检测方法
- 特征选择异常检测方法
- 基于贝叶斯推理异常检测方法
- 基于贝叶斯网络异常检测方法
- 基于模式预测异常检测方法
误用检测基本原理
误用检测技术又称为基于知识的入侵检测技术。该技术假设所有入侵行为和手段(及其变形)都能表达为一种模式或特征。
入侵检测方法:
- 基于条件的概率误用检测方法
- 基于专家系统误用检测方法
- 基于状态迁移分析误用检测方法
- 基于键盘监控误用检测方法
- 基于模型误用检测方法
IDS的结构与分类
IDS的结构
入侵分析:找出入侵痕迹,发现异常行为,分析入侵行为并定位入侵者。
入侵响应:分析出入侵行为后被触发,根据入侵行为产生响应。
远程管理:在一台管理站上实现统一 的管理监控。
IDS的分类
按照数据来源分类:基于网络的IDS、基于主机的IDS、分布式IDS
- NIDS:截获数据包,提取特征并与知识库中已知的攻击签名相比较
- HIDS:通过对日志和审计记录的监控分析来发现攻击后的误操作
- DIDS:同时分析来自主机系统审计日志和网络数据流
按照检测技术分类:误用检测、异常检测、完整性检测
- 误用检测:将收集的信息与数据库作比较
- 异常检测:测量属性的平均值,并用来与系统行为较
- 完整性检测:关注是否被更改
小结:
- 入侵检测的意义:入侵检测是PPDR安全模型中不可或缺的角色;与***能力互补,具备应对未知威胁的检测能力,是安全保障体系中的重要一环;
- 入侵检测系统的通用模型:事件产生器、事件分析器、事件数据库、响应单元和管理器。
- 基础检测方法:异常检测和误用检测的原理和能力对比。
NIDS
基本概念
NIDS:
(1)根据网络流量、网络数据包和协议来分析入侵检测。
(2)通常利用一个网络适配器来监视并分析通过网络的所有通信业务。
(2)通常利用一个网络适配器来监视并分析通过网络的所有通信业务。
常用技术:
(1)攻击模式、表达式或字节匹配。
(2)频率或穿越阈值。
(3)低级事件的相关性。
(4)统计学意义上的非常规现象检测。
具体部署位置
NIDS工作原理
HIDS
基本概念
HIDS是指:-
根据主机系统的系统日志和审计记录进行入侵检测。
检测针对主机的攻击,通常被部署在关键服务器上,被认为是保护关键服务器的最后一道防线。
常用技术:
- 文件和注册表保护技术。
- IIS保护技术。
- 网路安全防护技术。
- 文件完整性分析技术。
主要优点:
- 捕获应用层入侵。
- 近实时的检测和应答。
- 监视特定的系统活动。
- 不需要额外的硬件。
- 非常适应与加密和交换环境。
具体部署位置
工作原理
检测内容:
- 系统调用
- 系统日志
- 端口调用
- 安全审计
- 应用日志
DIDS
基本概念
NIDS和HIDS的缺点:
- 系统的弱点和漏洞分散在网络的各个主机上,这些弱点有可能被入侵者一起利用。
- 入侵不再是单一的行为,表现出协作入侵的特点,如分布式拒绝服务攻击(DDoS)。
- 入侵检测依靠的数据分散化,收集原始数据变得困难,如交换网络使得监听网络数据包受到限制。
- 网络传输速度加快,网络的流量大,集中处理原始数据的方式往往造成检测瓶颈,从而导致漏检。
因此,DIDS应运而生。
DIDS结构
数据采集构件:收集检测使用的数据。
应急处理构件:对入侵行为进行响应。
入侵检测分析构件:分析数据,产生检测结果、报警和应急信号。
入侵检测分析构件:分析数据,产生检测结果、报警和应急信号。
通信传输构件:传递加工、处理原始数据的控制命令。
用户管理构件:为检测器和控制器提供必需的数据信息支持。
IDS设计上的考虑
控制台的设计重点
- 日志检索:包括来源地址、目标地址、来源端口、目标端口、攻击特征、风险等级、时间段等。
- 探测器管理:控制台可以一次管理多个探测器,包括启动、停止、配置探测器和查看探测器运行状态等。
- 规则管理:为用户提供根据不同网段具体情况配置安全策略的工具,针对不同情况制定相应安全规则。
- 日志报表管理:至少需要提供多种文本和图形的报表模板,且报表格式可以导出WORD、HTML、 TXT、PDF等常用的格式。
- 用户管理:对用户权限进行严格的定义,提供口令修改、添加用户、删除用户、权限配置等功能,有效保护系统的安全性。
自身安全设计
认证和审计:为防止非法用户的使用,控制台管理程序的登录必须首先进行高强度的身份认证,并且对用户的登录事件和具体操作过程进行详细的审计。通信安全:控制台和检测器之间采用TCP/IP通信,为了保护控制台和探测器之间的通信,可采用安全套接层(SSL)协议对传输的数据进行加密 。
IDS的发展方向
IDS的发展方向:宽带高速实时检测技术、大规模分布式检测技术、数据库入侵检测技术、无线入侵检测技术、更先进算法(神经网络技术、计算机免疫技术、遗传算法)。