入侵检测技术

云计算与入侵检测
1.
概述
2.
入侵检测方法
3.
入侵检测系统的设计原理
4.
入侵检测响应机制
5.
入侵检测标准化工作
6.
云计算分层安全和入侵检测系统

概述
•
入侵检测方法
•
入侵检测系统的设计原理
•
入侵检测响应机制
•
入侵检测标准化工作
•
云计算分层安全和入侵检测系统
IDS存在与发展的必然性
一、网络攻击造成的破坏性和损失日益严重
二、网络安全威胁日益增长
三、单纯的防火墙无法防范复杂多变的攻击
IDS的作用
为什么需要IDS

单一防护产品的弱点



防御方法和防御策略的有限性
动态多变的网络环境
来自外部和内部的威胁
为什么需要IDS

关于防火墙





网络边界的设备,只能抵挡外部來的入侵行
为
自身存在弱点,也可能被攻破
对某些攻击保护很弱
即使透过防火墙的保护,合法的使用者仍会
非法地使用系统,甚至提升自己的权限
仅能拒绝非法的连接請求,但是对于入侵者
的攻击行为仍一无所知
为什么需要IDS

入侵很容易


入侵教程随处可见
各种工具唾手可得
网络安全工具的特点
优点
防火墙
IDS
Scanner
VPN
防病毒
局限性
可简化网络管理,产品成熟
无法处理网络内部的攻击
实时监控网络安全状态
误警率高,缓慢攻击,新
的攻击模式
完全主动式安全工具,能够了 并不能真正了解网络上即
解网络现有的安全水平,简单 时发生的攻击
可操作,帮助系统管理员和安
全服务人员解决实际问题,
保护公网上的内部通信
可视为防火墙上的一个漏
洞
针对文件与邮件,产品成熟
功能单一
入侵检测Intrusion Detection


传统的信息安全方法采用严格的访问控制和数
据加密策略来防护,但在复杂系统中,这些策
略是不充分的。它们是系统安全不可缺的部分
但不能完全保证系统的安全
入侵检测(Intrusion Detection)是对入侵行
为的发觉。它通过从计算机网络或计算机系统
的关键点收集信息并进行分析,从中发现网络
或系统中是否有违反安全策略的行为和被攻击
的迹象
入侵检测的定义


对系统的运行状态进行监视,发现各种攻
击企图、攻击行为或者攻击结果,以保证
系统资源的机密性、完整性和可用性
入侵检测系统:进行入侵检测的软件与硬
件的组合
(IDS : Intrusion Detection System)
IDS基本结构
入侵检测系统包括三个功能部件
(1)信息收集
(2)分析引擎
(3)响应部件
信息搜集
信息收集


入侵检测的第一步是信息收集,收集内容包括系统、
网络、数据及用户活动的状态和行为
需要在计算机网络系统中的若干不同关键点(不同
网段和不同主机)收集信息

尽可能扩大检测范围

从一个源来的信息有可能看不出疑点
信息收集



入侵检测的效果很大程度上依赖于收集信息的
可靠性和正确性
要保证用来检测网络系统的软件的完整性
特别是入侵检测系统软件本身应具有相当强的
坚固性,防止被篡改而收集到错误的信息
信息收集的来源

系统或网络的日志文件

网络流量

系统目录和文件的异常变化

程序执行中的异常行为
系统或网络的日志文件



攻击者常在系统日志文件中留下他们的踪迹,因此,
充分利用系统和网络日志文件信息是检测入侵的必要
条件
日志文件中记录了各种行为类型,每种类型又包含不
同的信息,例如记录“用户活动”类型的日志,就包
含登录、用户ID改变、用户对文件的访问、授权和认
证信息等内容
显然,对用户活动来讲,不正常的或不期望的行为就
是:重复登录失败、登录到不期望的位置以及非授权的
企图访问重要文件等等
系统目录和文件的异常变化



网络环境中的文件系统包含很多软件和数据文件,包
含重要信息的文件和私有数据文件经常是黑客修改或
破坏的目标
目录和文件中的不期望的改变(包括修改、创建和删
除),特别是那些正常情况下限制访问的,很可能就
是一种入侵产生的指示和信号
入侵者经常替换、修改和破坏他们获得访问权的系统
上的文件,同时为了隐藏系统中他们的表现及活动痕
迹,都会尽力去替换系统程序或修改系统日志文件
分析引擎
分析引擎
 模式匹配
 统计分析
 完整性分析,往往用于事后分析
模式匹配


模式匹配就是将收集到的信息与已知的网络入侵和系
统误用模式数据库进行比较,从而发现违背安全策略
的行为
一般来讲,一种攻击模式可以用一个过程(如执行一
条指令)或一个输出(如获得权限)来表示。该过程
可以很简单(如通过字符串匹配以寻找一个简单的条
目或指令),也可以很复杂(如利用正规的数学表达
式来表示安全状态的变化)
统计分析


统计分析方法首先给系统对象(如用户、文件、目录
和设备等)创建一个统计描述,统计正常使用时的一
些测量属性(如访问次数、操作失败次数和延时等)
测量属性的平均值和偏差被用来与网络、系统的行为
进行比较,任何观察值在正常值范围之外时,就认为
有入侵发生
完整性分析

完整性分析主要关注某个文件或对象是否被更改

包括文件和目录的内容及属性

在发现被更改的、被安装木马的应用程序方面特别有效
响应部件
响应动作

简单报警
切断连接
封锁用户
改变文件属性

最强烈反应:回击攻击者



入侵检测系统性能关键参数


误报(false positive):如果系统错误地将异
常活动定义为入侵
漏报(false negative):如果系统未能检测出
真正的入侵行为
入侵检测系统的分类(1)

按照分析方法(检测方法)


异常检测模型(Anomaly Detection ):首先总
结正常操作应该具有的特征(用户轮廓),当用
户活动与正常行为有重大偏离时即被认为是入侵
误用检测模型(Misuse Detection):收集非正
常操作的行为特征,建立相关的特征库,当监测
的用户或系统行为与库中的记录相匹配时,系统
就认为这种行为是入侵
入侵检测系统的分类

主机IDS:


主机入侵检测系统(HIDS)是一种用于监控单个主机
上的活动的软件应用。监控方法包括验证操作系统与应
用调用及检查日志文件、文件系统信息与网络连接。
网络IDS:

网络IDS(NIDS)通常以非破坏方式使用。这种
设备能够捕获LAN区域中的信息流并试着将实时信
息流与已知的攻击签名进行对照。
• 混合型的
两类IDS监测软件

网络IDS





侦测速度快
隐蔽性好
视野更宽
较少的监测器
占资源少

主机IDS




视野集中
易于用户自定义
保护更加周密
对网络流量不敏感
1.
概述
2.
入侵检测方法
 入侵检测系统的设计原理
4.
入侵检测响应机制
5.
入侵检测标准化工作
6.
云计算分层安全和入侵检测系统
1.
概述
2.
入侵检测方法
3. 入侵检测系统的设计原理
 入侵检测响应机制
5.
入侵检测标准化工作
6.
云计算分层安全和入侵检测系统
制订响应策略应考虑的要素




系统用户:入侵检测系统用户可以分为网络安全专家或
管理员、系统管理员、安全调查员。这三类人员对系统
的使用目的、方式和熟悉程度不同,必须区别对待
操作运行环境:入侵检测系统提供的信息形式依赖其运
行环境
系统目标:为用户提供关键数据和业务的系统,需要部
分地提供主动响应机制
规则或法令的需求:在某些军事环境里,允许采取主动
防御甚至攻击技术来对付入侵行为
响应策略





弹出窗口报警
E-mail通知
切断TCP连接
执行自定义程序
与其他安全产品交互


Firewall
SNMP Trap
自动响应
压制调速
1、 撤消连接
2、 回避
3、 隔离
SYN/ACK
RESETs
蜜罐
•一个高级的网络节点在使用“压制调速”技术的情况
下,可以采用路由器把攻击者引导到一个经过特殊装备
的系统上,这种系统被成为蜜罐

蜜罐是一种欺骗手段,它可以用于错误地诱导攻击
者,也可以用于收集攻击信息,以改进防御能力

蜜罐能采集的信息量由自身能提供的手段以及攻击
行为数量决定
1.
概述
2.
入侵检测方法
3. 入侵检测系统的设计原理
4.
入侵检测响应机制
 入侵检测标准化工作
6.
云计算分层安全和入侵检测系统
IDS标准化要求



随着网络规模的扩大,网络入侵的方式、类
型、特征各不相同,入侵的活动变得复杂而
又难以捉摸
网络的安全要求IDS之间能够相互协作,能
够与访问控制、应急、入侵追踪等系统交换
信息,形成一个整体有效的安全保障系统
需要一个标准来加以指导,系统之间要有一
个约定
CIDF
(The Common Intrusion Detection Framework)
http://www.gidos.org/drafts
CIDF




CIDF早期由美国国防部高级研究计划局赞助研究,现在由
CIDF工作组负责,这是一个开放组织。实际上CIDF已经成
为一个开放的共享的资源
CIDF是一套规范,它定义了IDS表达检测信息的标准语言以
及IDS组件之间的通信协议
符合CIDF规范的IDS可以共享检测信息,相互通信,协同工
作,还可以与其它系统配合实施统一的配置响应和恢复策
略
CIDF的主要作用在于集成各种IDS,使之协同工作,实现各
IDS之间的组件重用,所以CIDF也是构建分布式IDS的基础
CIDF规格文档
CIDF的规格文档由四部分组成,分别为:

体系结构:阐述了一个标准的IDS的通用模型

规范语言:定义了一个用来描述各种检测信息的标准语言

内部通讯:定义了IDS组件之间进行通信的标准协议

程序接口:提供了一整套标准的应用程序接口
通信层次
 CIDF将各组件之间的通信划分为三个层次结构:GIDO层(GIDO
layer)、消息层(Message layer)和传输层(Negotiated
Transport layer)
 其中传输层不属于CIDF规范,它可以采用很多种现有的传输机制
来实现
 消息层负责对传输的信息进行加密认证,然后将其可靠地从源传
输到目的地,消息层不关心传输的内容,它只负责建立一个可靠
的传输通道
 GIDO层负责对传输信息的格式化,正是因为有了GIDO这种统一的
信息表达格式,才使得各个IDS之间的互操作成为可能
CISL
(A Common Intrusion Specification Language )

CIDF的规范语言文档定义了一个公共入侵标准语言
CISL,各IDS使用统一的CISL来表示原始事件信息、
分析结果和响应指令,从而建立了IDS之间信息共享
的基础

CISL是CIDF的最核心也是最重要的内容
匹配服务法(匹配器)



CIDF的匹配服务为CIDF各组件之间的相互识别、定位和
信息共享提供了一个标准的统一的机制
匹配器的实现是基于轻量目录访问协议(LDAP)的,每
个组件通过目录服务注册,并公告它能够产生或能够处理
的GIDO,这样组件就被分类存放,其它组件就可以方便
地查找到那些它们需要通信的组件
目录中还可以存放组件的公共密钥,从而实现对组件接收
和发送GIDO时的身份认证
匹配器构成




通信模块:实现客户端(可为任何一个CIDF组件)与匹配
代理之间的通信协议
匹配代理:一个任务是处理从远端组件到它的客户端的输入
请求,另一个任务是处理从它的客户端到远端组件的输出请
求
认证和授权模块:使一个组件能够鉴别其它组件,使客户端
与匹配代理之间能够相互鉴别
客户端缓冲区:使客户端能够对最近建立的一些关联信息
进行缓冲存储
CIDF程序接口
CIDF的程序接口文档描述了用于GIDO编解码以及传输的标准
应用程序接口(以下简称为API),它包括以下几部分内容

GIDO编码和解码API(GIDO Encoding/Decoding API
Specification)

消息层API(Message Layer API Specification)

GIDO动态追加API(GIDO Addendum API)

签名API(Signature API)

顶层CIDF的API(Top-Level CIDF API)
每类API均包含数据结构定义、函数定义和错误代码定义等
CIDF的应用


目前CIDF还没有成为正式的标准,也没有一个商业IDS产品完
全遵循该规范,但各种IDS的结构模型具有很大的相似性,各
厂商都在按照CIDF进行信息交换的标准化工作,有些产品已
经可以部分地支持CIDF
可以预测,随着分布式IDS的发展,各种IDS互操作和协同工
作的迫切需要,各种IDS产品必须遵循统一的框架结构,CIDF
将成为事实上的IDS的工业标准
1.
概述
2.
入侵检测方法
3. 入侵检测系统的设计原理
4.
入侵检测响应机制
5.
入侵检测标准化工作
 云计算分层安全和入侵检测系统
分层安全方法



使用分层安全方法会最大化发挥入侵检测系统(IDS)的功效。
分层安全机制意味着采用了多种措施来确保数据安全,因此增
加了攻击者渗透到网络中所需要的工作负载和时间。
对数据实施安全防护所使用的安全部件和安全层次越多,基础
设施的安全性就越高。
分层安全方法组成部分

安全策略、安全过程、安全标准以及安全指南,包括一个顶层
的安全策略;

边界安全,例如路由器、防火墙和其他边界设备;

硬件和软件的主机安全产品;

审计、监控、入侵检测与响应。
云平台入侵检测



对网络流量进行监控,并/或对主机审计日志进行监控,确保
能够检测到是否有违背组织安全策略的事件发生。
入侵检测系统能够发现那些规避或绕开防火墙的入侵行为,以
及防火墙内部本地局域网正在发生的入侵行为。
关键问题:

对可能被攻击的资产进行保护;

如果某个事故不需要应急响应服务,那就保护资源使其得到最大化利用;

遵循政府或其他相关法律法规;

防止你的系统被用于攻击其他系统;

尽可能地降低潜在的负面影响。
基于网络的入侵检测系统(NIDS)

通常位于独立的网段,对该网络段的通信进行监控。

网络数据包的签名匹配:



字符串签名

端口签名

报头状态签名
被动地获取数据,能够在不消耗网络或主机资源的情况下提供
可靠的实时信息。
问题:无法检测到攻击者通过终端连接到主机上对主机的攻击。
基于主机的入侵检测系统(HIDS)


使用主机上的小程序监控操作系统的行为是否正常,并在检测
到异常时写日志文件或触发警报。
HIDS的特征:

对系统关键文件的访问和变动进行监控,对用户权限的变动进行监控;

发现内部可信人员攻击的能力比NIDS强;

检测源自外部的攻击能力相对较强;

通过配置可以检测被监控主机上所有的网络数据包、连接尝试或登录尝
试,包括拨号尝试或其他与网络无关的通信端口。
基于网络的入侵检测系统(NIDS)

通常位于独立的网段,对该网络段的通信进行监控。

网络数据包的签名匹配:



字符串签名

端口签名

报头状态签名
被动地获取数据,能够在不消耗网络或主机资源的情况下提供
可靠的实时信息。
问题:无法检测到攻击者通过终端连接到主机上对主机的攻击。
基于签名的入侵检测系统


系统中存储了用于刻画攻击的签名或属性以便参考。当从主机
审计日志或网络数据包监控获取到事件的相关数据时,这些数
据会与攻击签名数据库进行对比。
基于签名的入侵检测系统的优势:

误报率低;

警报格式是标准化的,安全人员容易理解;

系统是资源密集型的;

由于有关攻击的知识非常集中,因此那些新的、特殊的原始攻击往往无
法被发现。
基于异常统计的入侵检测系统



异常统计或基于行为的入侵检测系统基于已经获取的用户行为
模式,动态地检测异常行为,并在异常行为发生时触发报警。
使用基于异常的检测方法,入侵检测系统可对正在被监控的主
机或网络的正常使用情况进行定义并获取数据。使用这种方法
能够检测到新的攻击,因为它们导致了异常的系统统计。
基于异常统计的入侵检测系统的优势:



系统可以动态地适应新的、特殊的原始攻击;
相对于基于知识的入侵检测系统而言,基于行为的入侵检测系统不依赖
具体的操作系统;
能够帮助检测那些实际上没有利用任何安全漏洞的特权滥用攻击。
入侵检测系统有效利用面临的挑战

入侵者目标类型增多,入侵者能力提高,工具复杂度提高,攻击类型增多,使
用更加复杂、精细和创新的攻击场景;

使用加密消息传输恶意消息;

需要跨基础设施环境内部的各种技术与各种策略进行数据的协同与交互;

日益增加的网络流量;

缺乏被广泛接受的入侵检测术语和概念结构;

入侵检测系统市场的波动性导致对入侵检测系统的购买和维护难度增大;

在采用不正确的自动化响应操作时所带来的固有风险;

针对入侵检测系统自身的攻击;

难以接受的高误报率和高漏报率,难以判断准确的攻击行为;

缺少客观的入侵检测系统评估指标与测试信息;

绝大多数计算基础设施并不是为了安全运行而设计的。