分享
分享赚钱 收藏 举报 版权申诉 / 30

类型信息安全概论第19讲.ppt

  • 上传人:hskm5268
  • 文档编号:8139307
  • 上传时间:2019-06-10
  • 格式:PPT
  • 页数:30
  • 大小:283.50KB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    信息安全概论第19讲.ppt
    资源描述:

    1、信息安全概论,第19讲 2008年x月y日,6.5 入侵检测,如果攻击者成功地绕过防御措施,渗透到网络中,如何检测出攻击行为呢?包括内部和外部发动的攻击。这节将介绍在这些情况下的防御手段入侵检测系统(Intrusion Detection System,简称IDS)。,6.5.1入侵检测的基本原理,1980年J. Anderson在他的那篇被誉为入侵检测的开山之作的文章“Computer Security Threat Monitoring and Surveillance”中首次提出了创建安全审计纪录和在此基础上的计算机威胁监控系统的基本构想。把攻击分为假冒者(假冒他人的内部用户);误用者(

    2、合法用户误用了对系统或数据的访问);秘密用户(获取了对系统的管理控制)。至于来自外部的渗透者,当他们成功地突破了目标系统的访问控制后,相应的威胁就转变为内部的威胁。,1. 三类内部渗透者与入侵检测的分析模型,假冒者盗用他人账户信息。他对系统的访问行为轮廓应该和他所冒充的用户有所不同,因此一个自然的检测方法是在审计记录中为系统的每个合法用户建立一个正常行为轮廓,当检测系统发现当前用户的行为和他的正常行为轮廓有较大偏差时,就应该及时提醒系统安全管理员。这样的检测方法称为异常检测。 误用者是合法用户的越权访问。与授权用户的行为相比,可能在统计上没有显著的区别。这些越权举动,则可以通过事先刻画已知攻击

    3、的特征,将越权举动和这些特征相匹配,从而检测出攻击。这种方法称为误用检测。 秘密用户拥有对系统的管理控制权。可以利用他的权限来躲避审计记录,因此是很难通过安全审计记录来检测出所发生的攻击,除非他的秘密行动显示出上述两类攻击者的特征。 综上所述,异常检测和误用检测是入侵检测的两种主要分析模型,其中用户正常行为轮廓的建立主要是基于统计的方法,而攻击特征的刻画主要是基于规则。,2. 入侵检测的数据源,反映受保护系统运行状态的记录和动态数据。分为:基于主机的数据源 基于网络的数据源,基于主机的数据源,(1)操作系统审计记录由专门的操作系统机制产生的系统事件的记录; (2)系统日志由系统程序产生的用于记

    4、录系统或应用程序事件的文件。操作系统的审计记录是系统活动的信息集合,它按照时间顺序组成数个审计文件,每个文件由审计记录组成,每条记录描述了一次单独的系统事件,由若干个域(又称审计标记)组成。当系统中的用户采取动作或调用进程时,引起的系统调用或命令执行,此时审计系统就会产生对应的审计记录。大多数商用操作系统的审计记录是按照可信产品评估程序的标准设计和开发的,具有低层次和细节化的特征,因此成为基于主机的入侵检测系统首选数据源。系统日志是反映系统事件和设置的文件。例如Unix提供通用的服务syslog(用于支持产生和更新事件日志);Sun Solaris中的lastlog(记录用户最近的登陆,成功或

    5、不成功)、pacct(记录用户执行的命令和资源使用的情况)。,产生系统日志的软件通常作为应用程序而不是操作系统的子程序运行,易于遭到恶意的破坏和修改。系统日志通常存储在系统未经保护的目录中,而且以文本的形式存储,而审计记录则经过加密和校验处理,为防止篡改提供了保护机制。系统日志和审计记录相比,具有较强的可读性;在某些特殊的环境下,可能无法获得操作系统的审计记录或不能对审计记录进行正确的解释,此时系统日志就成为系统安全管理必不可少的信息来源。,网络数据来源,采用特殊的数据提取技术,收集网段中传播的数据,作为检测系统的数据来源。优势:网络数据是通过网络监听的方式获得的,由于网络嗅探器所做的工作仅仅

    6、是从网络中读取传输的数据包,因此对被保护系统的性能影响很小,而且无需改变原有的系统和网络结构。 网络监视器与受保护主机的操作系统无关。相应的两类入侵检测系统分别称为基于主机和基于网络的入侵检测系统。,3. 入侵检测系统的一般框架,审计数据收集:数据源主要是上节所讨论的基于主机和基于网络两个来源。数据处理(检测):主要的检测模型是前文所介绍的误用检测和异常检测,它们所采用的主要分析方法分别是基于规则和基于统计。在应用这些方法之前,常常对审计数据进行预处理。参考数据:主要包括已知攻击的特征和用户正常行为的轮廓,而检测引擎会不断地更新这些数据。 报警:该模块处理由整个系统产生的所有输出,结果可以是对

    7、怀疑行动的自动相应,但最为普遍的是通知系统安全管理员。配置数据:主要指影响检测系统操作的状态,例如审计数据的来源和收集方法,如何响应入侵等。系统安全管理员是通过配置数据来控制入侵检测系统的运行。审计数据存储与预处理:是为后期数据处理提供方便的数据检索和状态保存而设置的,可以看成数据处理的一部分。,入侵检测系统参考图,6.5.2 入侵检测的主要分析模型和方法,1. 异常检测假设:不同用户之间的正常行为轮廓是可以区分开来的异常检测的两个步骤:(1)建立正常行为轮廓; (2)比较当前行为和正常行为轮廓,从而估计当前行为偏离正常行为的程度。,图6.26 实时入侵检测系统,Denning模型,Denni

    8、ng首次提出一个实时入侵检测专家系统的模型,并根据该模型开发出世界上第一个入侵检测系统原型IDES(Intrusion Detection Expert System)。该模型由个部分组成: (1)主体:行为的发起者,通常为终端用户。 (2)客体:由系统管理的资源,如文件、命令、装置等。 (3)审计记录:目标系统生成的,对主体在客体上执行或尝试的动作的反映,这些动作包括用户登录、命令执行、文件访问等。 (4)轮廓:刻画主体对客体行为的结构,这些结构由观察到的行为的统计度量和模型所描述。 (5)异常记录:观察到异常行为时产生。 (6)动作规则:当某些条件满足时采取的动作,包括更新轮廓、检测异常行

    9、为、把异常和怀疑的入侵相关联,以及生成报告。安全管理员帮助建立所要监测的活动的轮廓模板,但规则和轮廓的结构在很大程度上与系统无关的。,在轮廓部分使用种统计度量:事件计数器 区间计数器 资源测度,(1)操作模型。在检测时把(随机变量的)一个观察值和预先确定的门限值相比较,以确定是否异常。例如,在短时间内口令错误的次数。 (2)均值和标准差模型。对于上述介绍的随机变量,如果在检测时发现它们的观察值落在由均值和标准差决定的置信区间之外,就认为它们是异常的。 (3)多变量模型。它是基于对两个或多个随机变量的相关分析,例如考虑它们的协方差矩阵。对于多个随机变量,如果实验表明,将它们结合在一起考虑,会比把

    10、它们一一分别考虑获得更强的判别能力,该模型就是恰当的。例如一个程序所占用的CPU时间和I/O单位。 (4)马尔可夫过程模型。该模型只适用于事件计数器每种不同的事件看成是一个状态变量,利用状态转换矩阵来刻画状态之间的转移概率。当一个命令序列,而不是单独一个个命令,作为检测的对象时,该模型可被用来描述某些命令之间的转换。 (5)时间序列模型。模型考虑一系列观察发生的顺序、到达时间和取值。它的优点在于能够测量行为的趋势和检测行为的逐渐但显著的转变。不难看到,在特定场合下,模型都比均值和标准差模型精确,但所付出的计算代价都大。,新思路 Ko等人为特权程序的预期行为的建模,提供了一种调整特权用户的行为轮

    11、廓新的解决问题的思路。研究动态 统计方法机器学习方法 如神经网络、决策树、马尔可夫链、RIPPER(数据挖掘中的一种规则学习算法)等应用于基于用户正常轮廓的异常检测,和隐马尔可夫模型、有限状态分析等用于基于特权进程的系统调用序列的正常轮廓的异常检测。存在的问题 误报率很高,实践中异常检测还只能作为误用检测的补充。,2、误用检测,假设:合法用户的越权访问举动,可以通过事先刻画已知攻击的特征进行判定。误用检测的两个步骤:(1)建立建立专家特征库; (2)比较当前行为和已知渗透行为特征,从而估计当前行为接近特定攻击行为的程度。例如端口扫描的一种典型特征是在短时间内目标主机收到发往不同端口的TCP S

    12、YN包,如果涉及到不开放的端口,那么攻击的可能性就更大了。基于特征的误用检测模型的一个主要问题是特征选择上的局限性。首先,该技术不能检测出未知的攻击;其次,攻击者将想方设法修改攻击实现手段以绕过检测器的特征库。这两个问题导致了基于特征的误用检测模型的高漏报率。,发展趋势,著名开源网络入侵检测系统Snort和目前大部分商业入侵检测产品均以此为最重要的检测方法。为了提高对包含多个攻击步骤的复杂攻击的特征描述的准确性,降低检测的误报率,人们在多事件复杂特征检测领域进行了大量的研究工作,代表性的研究成果包括应用于SRI International的EMERALD系统的P-BEST特征描述语言、美国UC

    13、SB开发的STAT系列原型系统、Purdue大学COAST实验室的IDIOT项目等。,6.5.3入侵检测系统的体系结构,1. 主机型入侵检测系统对抗如缓冲区溢出等.2. 网络型入侵检测系统网络型入侵检测系统监控整个网段的网络数据流,因此与主机型入侵检测系统相比,需要复杂的配置和维护,同时,网络型入侵检测系统也比主机型入侵检测系统更容易产生误报,但网络型入侵检测系统擅长对付基于网络协议的攻击手段。如SYN Flood, Ping of death等3. 分布式入侵检测系统美国加州大学戴维斯分校研制的DIDS(Distributed Intrusion Detection Prototype)是最

    14、早开发的分布式入侵检测系统,同时也是一个很好的例子。图6.27是它的整体结构,主要有3个部分:,主机代理模块:搜集有关主机安全事件的数据,并将数据传递给中心管理员。局域网监视代理模块:运作方式和主机相同,但它分析局域网的流量,然后将结果报告给中心管理员。中心管理员模块:接收上述两个模块送来的报告,对它们进行综合处理,以判断是否存在入侵。,可以看出DIDS的结构非常通用和灵活,可以将检测系统从单机推广到一个可以协作的系统,从而对许多站点和网络的活动进行综合处理。对抗如分布式拒绝服务攻击等。,6.5.4 入侵检测的发展趋势,1. 高性能避开某些性能瓶颈;尽量缩小特征字符串匹配的范围;通过优化算法提

    15、高处理性能;通过引入计算集群和负载均衡算法提升整体性能。2. 报警信息后处理解决弱语义解决高漏报率解决高误报率关联分析(报警聚类、机器学习、知识库)3. 与其他安全工具联动与防火墙联动与VPN联动与访问控制系统联动与备份、恢复系统的联动,第7章 计算机系统安全,7.1 可信计算基7.2 操作系统安全7.3 数据库安全7.4 计算机病毒防护7.5 备份与恢复7.6 可信计算平台,7.1 可信计算基,可信计算基(TCB: Trusted Computing Base)的概念于1979年由G. H. Nibaldi提出,其思想是将计算机系统中所有与安全保护有关的功能提取出来,并把它们与系统中的其他功

    16、能分离开,然后将它们独立加以保护,防止受到破坏,这样独立出来得到的结果就称为可信计算基。,图 7.1 访问监视器模型,7.1.1访问监视器,访问监视器(reference monitor)于1972年由J.P.Anderson首次提出,D. B. Baker于1996年再次强调了它的重要性。访问监视器是监督主体和客体之间授权访问关系的部件。主体(subject) 客体(object)J.P.Anderson把访问监视器的具体实现称为访问验证机制(reference validation mechanism)。访问监视器的关键是控制从主体到客体的每一次访问,并将重要的安全事件存入审计文件中。访问

    17、验证机制的设计和实现需要满足以下3个原则:1、必须具有自我保护能力。2、必须总是处于活跃状态。3、必须设计的足够小,以利于分析和测试。,7.1.2安全内核方法,可信计算基的设计通常基于安全内核方法。安全内核(Security Kernel)方法指的是通过控制对系统资源的访问来实现基本安全规程的计算机系统的中心部分,包括访问验证机制、访问控制机制、授权机制和授权管理机制等。安全内核为操作系统提供服务,同时也对操作系统施加限制。TCSEC标准中给出了对安全内核的权威定义:“安全内核是一个可信计算基中实现访问监视器思想的硬件、固件和软件成分;它必须仲裁所有访问,必须保护自身免受篡改,必须能被验证是正

    18、确的”。安全周界(Security Perimeter)是指用半径来标识的空间。该空间包围着用于处理敏感信息的设备,并在有效的物理和技术控制之下,防止未授权的进入或敏感信息的泄漏。,安全内核作为可信计算基的设计和实现方式,同样必须遵从访问验证机制的3条基本原则:1、防篡改原则2、完备性原则3、可验证性原则安全内核方法以指导设计和开发的一系列严格的安全原则为基础,能够极大地提高用户对系统安全控制的信任度,是一种最常用的构建可信计算基的设计方法。,图 7.2 安全内核,7.1.3可信计算基,可信计算基的定义可信计算基(TCB:Trusted Computing Base):“可信计算基是可信计算系

    19、统的核心,它包含了系统中所有实施安全策略及对象(代码和数据)隔离保护的机制,为了使得保护机制更容易被理解和验证,可信计算基应尽量简单,并与安全策略具有一致性”。(1985年美国DoD可信计算机系统评估准则(TCSEC)的定义),2. 可信计算基的组成计算机实施安全策略的可信的软件、硬件、负责系统安全的管理人员一起组成了系统的可信计算基。(1)操作系统的安全内核;具有特权的程序和命令;处理敏感信息的软件,如系统管理命令;与TCB实施安全策略有关的文件; (2)其他有关的固件、硬件和设备; (3)负责系统管理的人员; (4)保障固件和硬件正确的程序和诊断软件。功能是:内核的良好定义和安全运行方式;

    20、标识系统中的每个用户;保持用户到可信计算基登录的可信路径;实施主体对客体的访问控制;维持可信计算基功能的正确性;监视和记录系统中的相关安全事件,进行安全审计。,3. 可信计算基安全功能可信计算基安全功能(TSF:TCB Security Function):三个方面:物理安全包括硬件系统及其环境的安全,安全目标为包括环境安全、设备安全、记录介质安全及安全管理等方面内容。运行安全包括系统层面、网络层面和应用层面所涉及的操作系统、数据库系统、网络系统和应用系统的运行安全。安全目标为身份识别、访问控制和可用性。 数据安全包括系统层面、网络层面和应用层面所涉及的操作系统、数据库系统、网络系统和应用系统的数据安全。安全目标为数据的机密性和完整性。,4. 可信计算基安全保证安全保证(Security Assurance)是为确保安全功能达到要求的安全性目标所采取的方法和措施。主要包括:可信计算基自身安全可信计算基设计与实现可信计算基安全管理,作业,1. 入侵检测系统的分析模型有几种,试简述其原理。 2. 请说出入侵检测系统的三种体系结构名称。 3. 什么是访问监视器?它的实现原则是什么? 4. 可信计算基的安全功能包括哪些?为了使得这些安全功能达到安全目标,需要采用哪些技术进行保证?,

    展开阅读全文
    提示  道客多多所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:信息安全概论第19讲.ppt
    链接地址:https://www.docduoduo.com/p-8139307.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    道客多多用户QQ群:832276834  微博官方号:道客多多官方   知乎号:道客多多

    Copyright© 2025 道客多多 docduoduo.com 网站版权所有世界地图

    经营许可证编号:粤ICP备2021046453号    营业执照商标

    1.png 2.png 3.png 4.png 5.png 6.png 7.png 8.png 9.png 10.png



    收起
    展开