《入侵檢測(cè)與安全審計(jì)》由會(huì)員分享��,可在線閱讀�����,更多相關(guān)《入侵檢測(cè)與安全審計(jì)(38頁珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索�。
1、,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),第四章 入侵檢測(cè)與安全審計(jì),主要內(nèi)容,入侵檢測(cè)系統(tǒng)基礎(chǔ),入侵檢測(cè)分析方法,入侵檢測(cè)系統(tǒng)實(shí)例,安全審計(jì),概念,功能,IDS,的基本結(jié)構(gòu),分類,基于異常的檢測(cè)技術(shù),基于誤用的檢測(cè)技術(shù),分布式入侵檢測(cè)系統(tǒng),典型的入侵檢測(cè)系統(tǒng),snort,IDS,的應(yīng)用,1.1,入侵檢測(cè)基礎(chǔ),考慮:,如何防火墻被攻破了��,該怎么來保護(hù)系統(tǒng)的安全�?,入侵檢測(cè)(,ID,),是對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行,監(jiān)視,,發(fā)現(xiàn)各種攻擊企圖�、攻擊行為或者攻擊結(jié)果,以保證系統(tǒng)資源的機(jī)密性��、完整性和可用性���。,通過對(duì)數(shù)據(jù)包的,分析,���,從數(shù)據(jù)流中過濾出可疑數(shù)據(jù)包,通
2��、過與已知的入侵方式進(jìn)行比較��,,確定入侵是否發(fā)生,以及,入侵的類型,并進(jìn)行,報(bào)警,�����。,入侵檢測(cè)系統(tǒng)(,IDS,),為完成入侵檢測(cè)任務(wù)而設(shè)計(jì)的計(jì)算機(jī)系統(tǒng)稱為入侵檢測(cè)系統(tǒng)(,Intrusion Detection System,IDS,)�����,這是防火墻之后的第二道安全閘門。,功能,發(fā)現(xiàn),和,制止,來自系統(tǒng)內(nèi)部,/,外部的攻擊����,迅速采取保護(hù)措施,記錄,入侵行為的證據(jù),,動(dòng)態(tài)調(diào)整,安全策略,特點(diǎn),經(jīng)濟(jì)性:,IDS,不能妨礙系統(tǒng)的正常運(yùn)行�����。,時(shí)效性:及時(shí)地發(fā)現(xiàn)入侵行為�����。,安全性:保證自身安全�����。,可擴(kuò)展性:機(jī)制與數(shù)據(jù)分離����;體系結(jié)構(gòu)的可擴(kuò)展性。,工作流程,數(shù)據(jù)提取模塊,為系統(tǒng)提供數(shù)據(jù)���,經(jīng)過簡(jiǎn)單的處理后提交給數(shù)據(jù)
3��、分析模塊����。,數(shù)據(jù)分析模塊,兩方面功能:一是分析數(shù)據(jù)提取模塊搜集到的數(shù)據(jù)�;二是對(duì)數(shù)據(jù)庫保存的數(shù)據(jù)做定期的統(tǒng)計(jì)分析。,結(jié)果處理模塊,作用在于告警與反應(yīng)����。,事件數(shù)據(jù)庫,記錄分析結(jié)果,并記錄下所有的時(shí)間��,用于以后的分析與檢查��。,1.2 IDS,分類,基于主機(jī)的入侵檢測(cè)系統(tǒng),用于保護(hù),單臺(tái)主機(jī),不受網(wǎng)絡(luò)攻擊行為的侵害��,需要安裝在被保護(hù)的主機(jī)上�����。,根據(jù)檢測(cè)對(duì)象的不同����,基于主機(jī)的,IDS,可分為:,網(wǎng)絡(luò)連接檢測(cè),對(duì)試圖進(jìn)入該主機(jī)的數(shù)據(jù)流進(jìn)行檢測(cè),分析確定是否有入侵行為���。,主機(jī)文件檢測(cè),檢測(cè)主機(jī)上的各種相關(guān)文件����,發(fā)現(xiàn)入侵行為或入侵企圖。,優(yōu)點(diǎn),檢測(cè)準(zhǔn)確度較高,可以檢測(cè)到?jīng)]有明顯行為特征的入侵,成本較低,不會(huì)因
4�����、網(wǎng)絡(luò)流量影響性能,適合加密和交換環(huán)境,缺點(diǎn),實(shí)時(shí)性較差,無法檢測(cè)數(shù)據(jù)包的全部,檢測(cè)效果取決于日志系統(tǒng),占用主機(jī)資源,隱蔽性較差,基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng),作為一個(gè),獨(dú)立的個(gè)體,放置在被保護(hù)的網(wǎng)絡(luò)上����,使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行攻擊分析的數(shù)據(jù)源。,優(yōu)點(diǎn),可以提供實(shí)時(shí)的網(wǎng)絡(luò)行為檢測(cè),可以同時(shí)保護(hù)多臺(tái)網(wǎng)絡(luò)主機(jī),具有良好的隱蔽性,有效保護(hù)入侵證據(jù),不影響被保護(hù)主機(jī)的性能,缺點(diǎn),防止入侵欺騙的能力較差,在交換式網(wǎng)絡(luò)環(huán)境中難以配置,檢測(cè)性能受硬件條件限制,不能處理加密后的數(shù)據(jù),1.4,蜜罐技術(shù),原理,蜜罐系統(tǒng)是一個(gè),包含漏洞的誘騙系統(tǒng),����,它通過,模擬,一個(gè)或多個(gè)易攻擊的主機(jī),給攻擊者提供一個(gè)容易攻擊的目
5��、標(biāo)���。,用來,觀測(cè),黑客如何探測(cè)并最終入侵系統(tǒng)��;,用于,拖延,攻擊者對(duì)真正目標(biāo)的攻擊���。,Honeypot,模型,關(guān)鍵,應(yīng)用系統(tǒng),內(nèi)部網(wǎng),虛擬網(wǎng)絡(luò)主機(jī),防火墻,高層交換,可疑數(shù)據(jù)流,Internet,2.1,基于異常的入侵檢測(cè),也稱為,基于行為,的檢測(cè)技術(shù),在總結(jié)出的正常行為規(guī)律基礎(chǔ)上,檢查入侵和濫用行為特征與其之間的差異��,以此來判斷是否有入侵行為��。,基于統(tǒng)計(jì)學(xué)方法的異常檢測(cè)系統(tǒng),使用統(tǒng)計(jì)學(xué)的方法來學(xué)習(xí)和檢測(cè)用戶的行為����。,預(yù)測(cè)模式生成法,利用動(dòng)態(tài)的規(guī)則集來檢測(cè)入侵�。,神經(jīng)網(wǎng)絡(luò)方法,將神經(jīng)網(wǎng)絡(luò)用于對(duì)系統(tǒng)和用戶行為的學(xué)習(xí)。,2.1.1,基于統(tǒng)計(jì)學(xué)的異常檢測(cè)系統(tǒng),步驟:,Step1,:收集樣本,對(duì)系統(tǒng)和
6����、用戶的行為按照一定的時(shí)間間隔進(jìn)行,采樣,,樣本的內(nèi)容包括每個(gè)會(huì)話的登錄���、退出情況����,,CPU,和內(nèi)存的占用情況����,硬盤等存儲(chǔ)介質(zhì)的使用情況等。,Step2,:分析樣本,對(duì)每次采集到的樣本進(jìn)行,計(jì)算,���,得出一系列的參數(shù)變量來對(duì)這些行為進(jìn)行描述�,從而產(chǎn)生,行為輪廓,,將每次采樣后得到的行為輪廓與以后輪廓進(jìn)行合并���,最終得到系統(tǒng)和用戶的正常行為輪廓���。,Step3,:檢查入侵行為,通過將當(dāng)前采集到的行為輪廓與正常行為輪廓相比較,來檢測(cè)是否存在網(wǎng)絡(luò)入侵行為���。,算法:,M,1,M,2,M,n,表示行為輪廓中的特征變量�,,S,1,S,2,S,n,分別表示各個(gè)變量的異常性測(cè)量值��,,S,i,的值越大就表示異常性越大���。
7�����、,a,i,表示變量,M,i,的權(quán)重值�。將各個(gè)異常性測(cè)量值的平均加權(quán)求和得出特征值,然后,選取閾值,�����,例如選擇標(biāo)準(zhǔn)偏差,其中均值取,=M/n,,如果,S,值超出了,d,的范圍就認(rèn)為異常�。,2.1.2,預(yù)測(cè)模式生成法,利用,動(dòng)態(tài)的規(guī)則集,來檢測(cè)入侵,這些規(guī)則是由系統(tǒng)的歸納引擎���,根據(jù)已發(fā)生的事件的情況來預(yù)測(cè)將來發(fā)生的事件的概率來產(chǎn)生的���,歸納引擎為每一種事件設(shè)置可能發(fā)生的概率。,歸納出來的規(guī)律一般為:,E,1,E,k,:-(E,k+1,P(E,k+1,),(,E,n,P(E,n,),例如:,規(guī)則,A,B:-(C,50%),(D,30%),(E,15%),(F,5%),�,如果,AB,已經(jīng)發(fā)生,而,F,多
8��、次發(fā)生�,遠(yuǎn)遠(yuǎn)大于,5%,��,或者發(fā)生了事件,G,��,都認(rèn)為是異常行為���。,優(yōu)點(diǎn),能檢測(cè)出傳統(tǒng)方法難以檢測(cè)的異?���;顒?dòng)��;,具有很強(qiáng)的適應(yīng)變化的能力;,容易檢測(cè)到企圖在學(xué)習(xí)階段訓(xùn)練系統(tǒng)中的入侵者�����;,實(shí)時(shí)性高��。,缺點(diǎn),對(duì)于不在規(guī)則庫中的入侵將會(huì)漏判�。,2.1.3,神經(jīng)網(wǎng)絡(luò)方法,神經(jīng)網(wǎng)絡(luò),是一種,算法,,通過,學(xué)習(xí),已有的輸入,/,輸出信息對(duì)���,,抽象,出其內(nèi)在的關(guān)系���,然后通過,歸納,得到新的輸入,/,輸出對(duì)。,在,IDS,中的應(yīng)用,在,IDS,中��,系統(tǒng)把用戶當(dāng)前輸入的命令和用戶已經(jīng)執(zhí)行的,W,個(gè)命令傳遞給神經(jīng)網(wǎng)絡(luò)��,如果神經(jīng)網(wǎng)絡(luò)通過預(yù)測(cè)得到的命令與該用戶隨后輸入的命令不一致����,則在某種程度上表明用戶的行為與其輪廓
9、框架產(chǎn)生了偏離�����,即說明用戶行為異常。,優(yōu)點(diǎn),能更好的處理原始數(shù)據(jù)的隨即特性�,不需要對(duì)原是數(shù)據(jù)做任何統(tǒng)計(jì)假設(shè);,有較好的抗干擾能力����。,缺點(diǎn),網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及各元素的權(quán)重很難確定;,命令窗口,W,的大小也難以選擇,2.2,基于誤用的入侵檢測(cè),也稱為,基于知識(shí),的檢測(cè)技術(shù)或者,模式匹配,檢測(cè)技術(shù)���,通過某種方式預(yù)先定義入侵行為�����,然后監(jiān)視系統(tǒng)的運(yùn)行��,并從中找出符合預(yù)先定義規(guī)則的入侵行為����。,分類:,專家系統(tǒng),模式匹配,模型推理,按鍵監(jiān)視,2.2.1,專家系統(tǒng)誤用檢測(cè),將安全專家的關(guān)于網(wǎng)絡(luò)入侵行為的知識(shí)表示成一些類似,If-Then,的規(guī)則��,并以這些規(guī)則為基礎(chǔ)建立,專家知識(shí)庫,��。規(guī)則中,If,部分說明形成網(wǎng)
10�、絡(luò)入侵的必需條件���,,Then,部分說明發(fā)現(xiàn)入侵后要實(shí)施的操作�。,缺點(diǎn):,全面性問題,效率問題,2.2.2,模式匹配誤用檢測(cè),也叫特征分析誤用檢測(cè),指將入侵行為表示成一個(gè)事件序列或者轉(zhuǎn)換成某種可以直接在網(wǎng)絡(luò)數(shù)據(jù)包審計(jì)記錄中找到的數(shù)據(jù)樣板�����,而,不進(jìn)行規(guī)則轉(zhuǎn)換,���,這樣可以直接在審計(jì)記錄中尋找相匹配的已知入侵模式���。,缺點(diǎn):,必須及時(shí)更新知識(shí)庫,兼容性較差,建立和維護(hù)知識(shí)庫的工作量都相當(dāng)大,2.2.3,模型推理誤用檢測(cè),根據(jù)網(wǎng)絡(luò)入侵行為的特征建立起,誤用證據(jù)模型,,以此推理判斷當(dāng)前的用戶行為是否是誤用行為����。,這種檢測(cè)方法需要建立:,攻擊劇本數(shù)據(jù)庫,:每個(gè)攻擊劇本是一個(gè)攻擊行為序,列,,IDS,根據(jù)攻擊劇
11����、本的子集來判斷系統(tǒng)當(dāng)前是否收,到入侵。,預(yù)警器,:根據(jù)當(dāng)前的活動(dòng)模型����,產(chǎn)生下一步行為。,規(guī)劃者,:負(fù)責(zé)判斷所假設(shè)的行為如何反應(yīng)在審計(jì)追,蹤數(shù)據(jù)上��,以及如何將假設(shè)的行為與系統(tǒng)相關(guān)的審,計(jì)追蹤相匹配。,2.2.4,按鍵監(jiān)視誤用檢測(cè),假設(shè)每種網(wǎng)絡(luò)入侵行為都具有特定的,擊鍵序列模式,����,,IDS,監(jiān)視各個(gè)用戶的擊鍵模式,并將該模式與已有的入侵擊鍵模式相匹配�,如果匹配成功就認(rèn)為是網(wǎng)絡(luò)入侵行為。,缺點(diǎn):,不能對(duì)擊鍵進(jìn)行語義分析�,容易遭受欺騙;,缺少可靠的方法來捕獲用戶的擊鍵行為���;,無法檢測(cè)利用程序進(jìn)行自動(dòng)攻擊的行為����。,2.3,異常檢測(cè)與誤用檢測(cè)的對(duì)比,收集先驗(yàn)知識(shí),系統(tǒng)配置,檢測(cè)結(jié)果,基于異常的入侵檢測(cè),基
12��、于誤用的入侵檢測(cè),需不斷的學(xué)習(xí)并更新已有的行為輪廓�,進(jìn)而掌握被保護(hù)系統(tǒng)已知行為和預(yù)期行為的所有信息,需不斷的對(duì)新出現(xiàn)的入侵行為進(jìn)行總結(jié)歸納,進(jìn)而擁有所有可能的入侵行為的先驗(yàn)知識(shí),基于異常的入侵檢測(cè),基于誤用的入侵檢測(cè),工作量少����,但配置難度較大,工作量非常大,基于異常的入侵檢測(cè),基于誤用的入侵檢測(cè),結(jié)果相對(duì)具有更多的數(shù)據(jù)量����,任何超出行為輪廓范圍的事件都將被檢測(cè)出來,輸出內(nèi)容是列舉出入侵行為的類型和名稱��,以及提供相應(yīng)的處理建議,3.1,通用入侵檢測(cè)模型,1987,年����,,Denning D.E.,提出了一個(gè)通用入侵檢測(cè)模型:,新活動(dòng)檔案,學(xué)習(xí),提取規(guī)則,創(chuàng)建,歷史檔案,審計(jì)記錄,更新,時(shí)鐘,主體活動(dòng)
13����、,規(guī)則集處理引擎,活動(dòng),檔案,異常,記錄,3.2,分布式入侵檢測(cè)系統(tǒng),系統(tǒng)的構(gòu)成是開放的、分布式的���,多個(gè)功能構(gòu)件分工合作,能夠檢測(cè)分布式的攻擊,3.3,典型入侵檢測(cè)系統(tǒng),Snort,Snort,是一個(gè)強(qiáng)大的輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)���。,它具有實(shí)時(shí)數(shù)據(jù)流量分析和日志,IP,網(wǎng)絡(luò)數(shù)據(jù)包的能力,能夠進(jìn)行協(xié)議分析��,對(duì)內(nèi)容進(jìn)行搜索,/,匹配�����。,它能夠檢測(cè)各種不同的攻擊方式�,對(duì)攻擊進(jìn)行實(shí)時(shí)報(bào)警。,Snort,可以運(yùn)行在*,nix/Win32,平臺(tái)上��。,工作原理,在基于,共享網(wǎng)絡(luò),上檢測(cè)原始的網(wǎng)絡(luò)傳輸數(shù)據(jù)���,通過,分析,捕獲的數(shù)據(jù)包�,,匹配,入侵行為的特征或者從網(wǎng)絡(luò)活動(dòng)的角度,檢測(cè),異常行為,進(jìn)而采取入侵的,預(yù)
14����、警,或,記錄,。屬于,基于誤用,的檢測(cè)��。,初始化,解析命令行,解析規(guī)則庫,打開,libpcap,接口,獲取數(shù)據(jù)包,解析數(shù)據(jù)包,生成二維鏈表,與二維鏈表某,節(jié)點(diǎn)匹配���?,響應(yīng),(報(bào)警�����、日志),是,否,Snort,工作流程圖,3.4,入侵檢測(cè)系統(tǒng)的應(yīng)用,實(shí)例,分支機(jī)構(gòu),2,INTERNET,分支機(jī)構(gòu),1,NEsec300 FW,2,0,3,5,9,6,8,?,告,警,內(nèi)網(wǎng)接口,外網(wǎng)接口,電,源,內(nèi)部核心子網(wǎng),NEsec300 FW,2,0,3,5,9,6,8,?,告,警,內(nèi)網(wǎng)接口,外網(wǎng)接口,電,源,NEsec300 FW,2,0,3,5,9,6,8,?,告,警,內(nèi)網(wǎng)接口,外網(wǎng)接口,電,源,NEsec
15����、300 FW,2,0,3,5,9,6,8,?,告,警,內(nèi)網(wǎng)接口,外網(wǎng)接口,電,源,交換機(jī),安全網(wǎng)關(guān),SG1,安全網(wǎng)關(guān),SG2,安全網(wǎng)關(guān),SG3,路由器,路由器,路由器,安全管理器,安全認(rèn)證服務(wù)器,網(wǎng)絡(luò)入侵檢測(cè)探頭,網(wǎng)絡(luò)入侵策略管理器,4.,安全審計(jì)基礎(chǔ),為何我們需要安全審計(jì)�?,一旦我們采用的防御體系被突破怎么辦?至少我們必須知道系統(tǒng)是怎樣遭到攻擊的��,這樣才能恢復(fù)系統(tǒng)����,此外我們還要知道系統(tǒng)存在什么漏洞,如何能使系統(tǒng)在受到攻擊時(shí)有所察覺��,如何獲取攻擊者留下的證據(jù)���。網(wǎng)絡(luò)安全審計(jì)的概念就是在這樣的需求下被提出的�����,它相當(dāng)于飛機(jī)上使用的“黑匣子”��。,網(wǎng)絡(luò)安全審計(jì)系統(tǒng)能幫助我們對(duì)網(wǎng)絡(luò)安全進(jìn)行,實(shí)時(shí)監(jiān)控,��,及
16��、時(shí)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)上的動(dòng)態(tài)�����,發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為�����,忠實(shí),記錄,網(wǎng)絡(luò)上發(fā)生的一切����,提供取證手段。它是保證網(wǎng)絡(luò)安全十分重要的一種手段����。,CC,標(biāo)準(zhǔn)中的網(wǎng)絡(luò)安全審計(jì)功能定義,網(wǎng)絡(luò)安全審計(jì)包括識(shí)別、記錄�、存儲(chǔ)、分析與安全相關(guān)行為有關(guān)的信息����。在,CC,標(biāo)準(zhǔn)中對(duì)網(wǎng)絡(luò)審計(jì)定義了一套完整的功能,有:,安全審計(jì)自動(dòng)響應(yīng),安全審計(jì)數(shù)據(jù)生成,安全審計(jì)分析,安全審計(jì)瀏覽,安全審計(jì)事件存儲(chǔ),安全審計(jì)事件選擇,4.1,安全審計(jì)系統(tǒng),網(wǎng)絡(luò)層審計(jì),系統(tǒng)層審計(jì),應(yīng)用層審計(jì),TCP/IP���、ATM,UNIX���、Windows 9x/NT、ODBC,審計(jì)總控,CA,發(fā)證操作,主頁更新監(jiān)視,網(wǎng)絡(luò)安全審計(jì)層次結(jié)構(gòu)圖,4.3,參考標(biāo)準(zhǔn),ISO 7498-2,ISO7498-2,描述了如何確保站點(diǎn)安全和實(shí)施有效的審計(jì)計(jì)劃����。它是第一篇論述如何系統(tǒng)的達(dá)到網(wǎng)絡(luò)安全的文章,大家可以從:,WWW.ISO.CH,獲得更多的,ISO,標(biāo)準(zhǔn)的消息�。,英國(guó)標(biāo)準(zhǔn),7799,(,BS 7799,),BS 7799,文檔的標(biāo)題是,A Code of Practice For Information Security Management,,論述了如何確保網(wǎng)絡(luò)系
入侵檢測(cè)與安全審計(jì)
