1、入侵检测技术,设计:徐国庆 张瑞琪,前言,入侵检测(Intrusion Detection)是对入侵行为的发觉。它从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测的软/硬件组合体称为入侵监测系统(IDS)。,11.1 入侵检测原理与技术,入侵检测起源 入侵检测系统的需求特性 入侵检测原理 入侵检测分类 入侵检测现状,11.1.1 入侵检测起源,1980年,概念的诞生 19841986年,模型的发展 1990年,形成网络IDS和主机IDS两大阵营 九十年代后至今,百家争鸣、繁荣昌盛,IDES原型系统,学习,11.1.2 入侵
2、检测系统的需求特性,实时性 可扩展性 适应性 安全性与可用性 有效性,11.1.3 入侵检测原理,异常检测 误用检测 特征检测,异常检测,进行异常检测的前提是人为入侵时异常活动的子集。异常检测系统通过运行在系统或应用层的监控程序监控用户的行为,通过将当前主题的活动情况和用户轮廓进行比较。用户轮廓通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围。 当和用户活动与正常行为有重大偏离时即被认为是入侵。如果系统错误的将异常行为定义为入侵,称为错报;如果系统未能检测出真正的入侵行为则成为漏报。 异常监测系统的效率取决于用户轮廓的完备性和监控的频率。,异常检测,根据异常行为和使用计算机资源的情况
3、检测出入侵行为,试图用定量的方式描述可以接受的行为特征,以区分非正常的、潜在的入侵行为。 建立主体正常活动的“行为模型”或轮廓。进行检测时,将当前主体活动状况与“行为模型”比较,发生显著偏离时则认为该活动可能是入侵行为。,异常检测,异常检测,工作过程 首先收集一段时期正常操作活动的历史记录,再建立代表用户、主机或网络连接的正常行为轮廓; 然后收集事件数据并使用一些不同的方法来决定所检测到的事件活动是否偏离了正常行为模式 其难点在于如何建立“行为模型”以及如何设计统计方法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。,异常检测,常用的方法和技术 统计异常检测 基于特征选择异常检测 基
4、于贝叶斯推理异常检测 基于贝叶斯网络异常检测 基于模式预测异常检测 基于神经网络异常检测 基于贝叶斯聚类异常检测 基于机器学习异常检测,误用检测,进行误用检测的前提是所有的入侵行为都有可被检测到的特征。 误用检测系统提供攻击特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为时入侵。 如果入侵特征与正常的用户行为匹配,则系统会发生错报;如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报。,误用检测,误用检测,误用检测也被称为基于知识的检测或特征检测; 通过对比已知攻击手段及系统漏洞的模式特征来判断系统中是否有入侵发生。具体说,根据静态的、预先定义好的模式集合来过滤数据流,
5、一旦发现数据包特征与某个模式特征相匹配,则认为是一次入侵。 可以将已有的入侵方式检测出来,但对新的入侵方式无能为力。,误用检测,常用的检测方法和技术- 基于条件的概率误用检测方法- 基于专家系统的误用检测方法- 基于状态迁移分析误用检测方法- 基于键盘监控误用检测方法- 基于模型误用检测方法,特征检测,特征检测关注的是系统本身的行为。定义系统行为轮廓,并将系统行为与轮廓进行比较,对未指明为正常行为的事件定义为入侵。特征检测系统常采用某种特征语言定义系统的安全策略。 这种检测方法的错报与行为特征定义准确度有关,当系统特征不能囊括所有的状态时就会产生漏报。 特征检测最大的优点是可以通过提高行为特征
6、定义的准确度和覆盖范围,大幅度降级漏报和错报率;最大的不足是要求严格定义安全策略,这需要经验和技巧,另外为了维护动态系统的特征库通常是很耗时的事情。,11.1.4 入侵检测分类,基于主机的入侵检测系统 基于网络的入侵检测系统,基于主机的入侵检测系统,系统安装在主机上面,对本主机进行安全检测 通过监视与分析主机的审计记录检测入侵。这些系统的实现不全在目标主机上,有一些采用独立的外围处理机。另外NIDES使用网络将主机信息传到中央处理单元。但它们全部是根据目标系统的审计记录工作。能否及时采集到审计记录是这些系统的难点之一,从而有的入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。,基于主机的
7、入侵检测系统,审计记录 数据库,基于主机的入侵检测系统,优点 性能价格比高 细腻性,审计内容全面 视野集中 适用于加密及交换环境,基于主机的入侵检测系统,缺点 额外产生的安全问题 依赖性强 如果主机数目多,代价过大 不能监控网络上的情况,基于网络的入侵检测系统,系统安装在比较重要的网段内 通过在共享网段上那个对通信数据进行侦听采集数据,分析可疑现象。与主机系统相比,这类系统对入侵者而言是透明的。由于这类系统不需要主机提供严格的审计,因而对主机资源消耗少,而且由于网络协议是标准的,它可以提供对网络通用的保护,而无需顾及异构主机的的不同架构。基于网关的检测系统可以认为是这类系统的变种。,基于网络的
8、入侵检测系统,分析系统,管理/配置,分析结果,入侵分析引擎器,侦听器,侦听器,基于网络的入侵检测系统,优点 检测范围广 无需改变主机配置和性能 独立性和操作系统无关性 安装方便,基于网络的入侵检测系统,缺点 不能检测不同网段的网络包 很难检测复杂的需要大量计算的攻击 协同工作能力弱 难以处理加密的会话,11.1.5 入侵检测现状,传统入侵检测面临的的问题 目前入侵检测领域要解决的难点,11.2 入侵检测的数学模型,数学模型有助于更精确的描述入侵问题: 实验模型 平均值和标准差模型 多变量模型 马尔可夫过程模型 时序模型,11.2.1 实验模型,若变量x出现的次数超过某个预定的值,就有可能会出现
9、异常的情况 此模型最适用于入侵活动与随机变量相关的方面,如口令失效次数,11.2.2 平均值和标准差模型,根据已观测到随机变量x的样值Xi (i=1,2,,n)以及计算出这样值的平均值mean和标准方差stddev,若新的取样值Xn+1不在可信区间mean-d*stddev, m+d*stddev内时,则出现异常,其中d是标准偏移均值mean的参数 此模型适用于事件计数器、间隔计时器、资源计数器三种类型的随机变量处理 该模型的优点在于不需要为了设定限制值而掌握正常活动的知识,这个模型从观测中学习知识,可信区间的变动反映出知识的增长过程,11.2.3 多变量模型,基于两个或多个随机变量的相关性计
10、算,适合于根据多个随机变量的综合结果来识别入侵行为,而不仅仅是单个变量例如,一个程序的使用CPU时间,用户注册频度,通话时间等多个变量来检测入侵行为,11.2.4 马尔可夫过程模型,将离散的事件(审计记录)看作一个状态变量,然后用状态迁移矩阵刻画状态之间的迁移频度 若观察到一个新事件,而根据先前的状态和迁移检测矩阵得到的新的事件的出现频率太低,则表明出现异常状况。 对于通过寻找某些命令之间的转移而检测出入侵行为,这个模型比较合适,11.2.5 时序模型,通过间隔计时器和资源计数器两种类型的随机变量来描述入侵行为 根据x1,x2,xn之间的相隔时间和它们的值来判断入侵,若在某个时间内x出现的概率
11、太低,则表示出现异常情况 这个模型有利于描述行为随时间变化的趋势,缺点在于计算机开销大,11.3 入侵检测的特征分析和协议分析,特征分析协议分析,11.3.1 特征分析,特征的基本概念IDS中的特征是指用于识别攻击行为的数据摸板,常因系统而异。不同的IDS系统具有的特征功能也有所差异。 报头值特征报头值的结构比较简单,而且可以很清楚的识别出异常报头信息,因此,特征数据首先选择报头值。,11.3.1 特征分析,确定报头值特征Synscan是一个流行的用于扫描和探测系统的工具。 特征的广谱性以上创建的特征可以满足对普通Synscan软件的探测了。但Synscan可能存在多个变种,上述建立的特征很难
12、适用于这些变种的工具,只是就需要结合特殊特征和通用特征。,11.3.2 协议分析,FTP的协议解码FTP命令“SITE EXEC”用来在FTP服务器上执行命令,它被用于许多攻击中。 “SITE”是事实上的FTP命令,而“EXEC”是参数。 HTTP的协议解码许多攻击者使用的一种简单的IDS逃避方法是路径模糊。这种技术的中心思想是改变路径,使它可以在不同的出现方式下做同样的事情。这种技术在URL中频繁使用,用来隐藏基于HTTP的攻击。攻击者通常利用反斜线符号、单点顺序、双点顺序等来模糊路径。,11.4 入侵检测响应机制,对响应的要求 自动响应 蜜罐 主动攻击模型,11.4.1 对响应的需求,一次
13、完整的入侵检测包括准备,检测和响应三个阶段,其中响应是必须的部分 在设计响应机制时,必须综合考虑以下几个要素:()系统用户()操作运行环境()系统目标()规则或法令的需求,11.4.2 自动响应,- 自动响应是最便宜最方便的响应方式,这种事故处理形式广泛实行。但它存在两个问题,一个是错误的警报导致的错误响应;二是如何判定系统有自动响应。- 几种常见的自动响应方式:压制调速SYN|ACK 响应 RESETs,11.4.3 蜜罐,蜜罐是一种欺骗手段,可以诱导攻击者,也可以收集攻击信息,改进防御能力 几种常见的蜜罐BOFDeception Toolkit Specter Mantrap Honeyn
14、ets,11.5 绕过入侵检测的若干技术,目前市场上的网络入侵检测场频,按所采用的检测技术可分为两大类:- 特征分析法:系统捕获网络数据包,并将这 些包和特征库中的攻击特征进行匹配,从而确定潜在的攻击行为。- 协议分析法:系统同样捕获和分析网络数据包,但具有一定的协议理解能力,能通过模拟主机和应用环境的协议转换流程来进行检测。,11.5.1 对入侵监测系统的攻击,1 直接攻击:网络入侵检测系统通常运行在一定的操作系统之上,其本身也是一个复杂的协议栈实现,这意味着NID本省可能受到smurf、synflood或jolt2等攻击。如果安装IDS的操作系统本身存在漏洞或IDS自身防御力差,此类攻击很
15、有可能造成IDS的探测器对保、失效或不能正常工作。 2 间接攻击:一般的NIDS都有入侵响应的能力,攻击者可以利用其响应进行间接攻击,如使入侵次数迅速增多,发送大量的报警信息,并占用大量的CPU资源;或使防火墙错误配置,造成一些正常的IP无法访问。,11.5.2 对入侵监测系统的逃避,针对HTTP请求- URL编码:将URL进行编码,可以避开一些采用规则配置的NIDS。- 会话组合:如果将请求放在不同的报文中发出,IDS就可能不会匹配出攻击了,但这种攻击行为无法逃避采用协议分析和会话重组技术的NIDS。- 大小写敏感:DOS/Windows和Unix不同,它对大小写不敏感。这种手段可能造成一些
16、老式的IDS匹配失败。,11.5.2 对入侵监测系统的逃避,针对缓冲区溢出一些NIDS 检测远程缓冲区溢出的主要方式是通过检测数据载荷里是否包含“/bin/sh”或是否含有大量的NOP。针对这种识别方法,某些溢出程序的NOP考虑用“eb 02”代替。另外,目前出现了一种多形态代码技术,是攻击者能潜在的改变代码结构来欺骗许多NIDS,但它不会破坏最初的攻击程序。经过伪装的溢出程序,每次攻击所采用的shellcode都不相同,这样降级了被检测到的可能。有些NIDS能根据长度、可打印字符等判断这种入侵,但会造成大量的错报。,11.5.2 对入侵监测系统的逃避,针对木马IDS对木马和后门程序一般是通过
17、端口来判断的。如果按照木马的默认端口进行连接,很容易就能识别。目前大部分木马都是用浮动端口,且采用加密方式传输数据,这样NIDS就很难检测。,11.5.3 其他方法,慢扫描 分片 地址欺骗 利用LLKM处理网络通信,11.6 入侵检测标准化工作,CIDF模型(Common Intrusion Detection Framework)阐述了一个入侵检测系统的通用模型,内容包括IDS的体系结构、通信机制、描述语言和应用编程接口(API)等4个方面。 CIDF体系结构 CIDF规范语言 CIDF的通信机制 CIDF程序接口,入侵检测标准化工作,输入:原始事件源,输出:事件的存储信息,输出:原始或低级
18、事件,输出:高级中断事件,输出:反应或事件,11.6.1 CIDF体系结构,事件产生器(Event generators) 事件分析器(Event analyzers) 事件数据库(Event databases) 响应单元(Response units)CIDF将各组件之间的通信划分为三个层次结构:GIDO层,消息层,传输层,11.6.1 CIDF体系结构,CIDF的互操作: 配置互操作,可相互发现并交换数据; 语法互操作,可正确识别交换的数据; 语法互操作,可相互正确理解交换的数据;,11.6.2 CIDF规范语言,使用统一的CISL来表示原始事件信息、分析结果和响应指令,从而建立了IDS之间信息共享的基础。 设计目标: 表达能力 精确性 层次化 自定义,11.6.2 CIDF规范语言,效率 扩展性 简单 可移植性 容易实现,11.6.3 CIDF的通信机制,Matchmaker通信机制 CIDF匹配器: 通信模块 匹配代理 认证和授权模块 客户端缓冲区,11.6.3 CIDF的通信机制,目的: 使通信与阻塞和非阻塞处理无关; 是通信与数据格式无关; 是通信与操作系统无关; 是通信与编程语言无关;,11.6.4 CIDF程序接口,内容: GIDO编码和解码API 消息层 GIDO动态追加API 签名API 顶层CIDF的API,谢谢,
