入侵检测系统概述

PPDR安全模型
  • 安全策略(Policy)
  • 防护(Protection):(1)访问控制、身份认证;(2)定期检测可能存在的系统脆弱性
  • 检测(Detection):(1)动态响应、循环反馈;(2)持续检测网络和系统中的脆弱性
  • 响应(Response)
PPDR安全模型数学法则
  • Pt=防护时间(有效防御的时间)
  • Dt=检测时间(从开始到发现的时间)
  • Rt=反应时间(从发现到响应完成的时间)
  • Et=暴露时间
如果Pt>Dt+Rt,则系统是安全的;如果Pt<Dt+Rt,则系统暴露时间Et=(Dt+Rt)-Pt
入侵(Instrusion)的定义
  1. 非法取得系统控制权
  2. 利用系统漏洞收集信息
  3. 破坏信息系统
入侵检测(Instrusion Detection)的定义
  1. 检测对系统的非授权访问
  2. 监控系统运行状态,保证系统资源的保密性、完整性、可用性
  3. 识别针对计算机系统网络系统或广义信息系统的非法攻击
入侵检测系统发展历史
  1. 1980年4月,James P.Anderson第一次详细阐述了入侵检测的概念。
  2. 1984年~1986年, 乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究设计了入侵检测专家系统。
  3. 1988年,SRI/CSL的Teresa Lunt等人改进了Denning的入侵检测模型,并开发出了一个新型的IDES。
  4. 1990年,加州大学戴维斯分校的L.T. Heberlein等人开发出了网络安全监视器,成为分水岭。
入侵检测系统的通用模型


事件分析器:负责分析和检测入侵,并向控制器发出警报信号
事件产生器:负责收集来自目标系统的数据(包括系统日志、系统调用记录、网络协议数据包等)
响应单元:根据警报信号人工或自动地对入侵行为作出响应
事件数据库:为检测器和控制器提供必需的数据信息支持

入侵检测原理及主要方法

异常检测基本原理

异常检测技术又称为基于行为的入侵检测技术,用来识别主机和网络中的异常行为。该技术假设攻击与正常合法的活动有明显的差异。

入侵检测方法:
  1. 统计异常检测方法
  2. 特征选择异常检测方法
  3. 基于贝叶斯推理异常检测方法
  4. 基于贝叶斯网络异常检测方法
  5. 基于模式预测异常检测方法

误用检测基本原理

误用检测技术又称为基于知识的入侵检测技术。该技术假设所有入侵行为和手段(及其变形)都能表达为一种模式或特征。

入侵检测方法:
  1. 基于条件的概率误用检测方法
  2. 基于专家系统误用检测方法
  3. 基于状态迁移分析误用检测方法
  4. 基于键盘监控误用检测方法
  5. 基于模型误用检测方法

IDS的结构与分类

IDS的结构


事件提取:负责提取相关运行数据或记录,并对数据进行简单过滤。
入侵分析:找出入侵痕迹,发现异常行为,分析入侵行为并定位入侵者。
入侵响应:分析出入侵行为后被触发,根据入侵行为产生响应。
远程管理:在一台管理站上实现统一 的管理监控。

IDS的分类

按照数据来源分类:基于网络的IDS、基于主机的IDS、分布式IDS
  • NIDS:截获数据包,提取特征并与知识库中已知的攻击签名相比较
  • HIDS:通过对日志和审计记录的监控分析来发现攻击后的误操作
  • DIDS:同时分析来自主机系统审计日志和网络数据流
按照检测技术分类:误用检测、异常检测、完整性检测
  • 误用检测:将收集的信息与数据库作比较
  • 异常检测:测量属性的平均值,并用来与系统行为较
  • 完整性检测:关注是否被更改
小结:
  • 入侵检测的意义:入侵检测是PPDR安全模型中不可或缺的角色;与***能力互补,具备应对未知威胁的检测能力,是安全保障体系中的重要一环;
  • 入侵检测系统的通用模型:事件产生器、事件分析器、事件数据库、响应单元和管理器。
  • 基础检测方法:异常检测和误用检测的原理和能力对比。

NIDS

基本概念

NIDS:
(1)根据网络流量、网络数据包和协议来分析入侵检测。
(2)通常利用一个网络适配器来监视并分析通过网络的所有通信业务。
常用技术:
(1)攻击模式、表达式或字节匹配。
(2)频率或穿越阈值。
(3)低级事件的相关性。
(4)统计学意义上的非常规现象检测。

具体部署位置


NIDS工作原理


数据包=包头信息+有效数据部分;检测内容:包头信息+有效数据部分。

HIDS

基本概念

HIDS是指:
  • 根据主机系统的系统日志和审计记录进行入侵检测。
    检测针对主机的攻击,通常被部署在关键服务器上,被认为是保护关键服务器的最后一道防线。
常用技术:
  • 文件和注册表保护技术。
  • IIS保护技术。
  • 网路安全防护技术。
  • 文件完整性分析技术。
主要优点:
  • 捕获应用层入侵。
  • 近实时的检测和应答。
  • 监视特定的系统活动。
  • 不需要额外的硬件。
  • 非常适应与加密和交换环境。

具体部署位置


工作原理

检测内容:
  • 系统调用
  • 系统日志
  • 端口调用
  • 安全审计
  • 应用日志

DIDS

基本概念

NIDS和HIDS的缺点:
  • 系统的弱点和漏洞分散在网络的各个主机上,这些弱点有可能被入侵者一起利用。
  • 入侵不再是单一的行为,表现出协作入侵的特点,如分布式拒绝服务攻击(DDoS)。
  • 入侵检测依靠的数据分散化,收集原始数据变得困难,如交换网络使得监听网络数据包受到限制。
  • 网络传输速度加快,网络的流量大,集中处理原始数据的方式往往造成检测瓶颈,从而导致漏检。
因此,DIDS应运而生。

DIDS结构


数据采集构件:收集检测使用的数据。
应急处理构件:对入侵行为进行响应。
入侵检测分析构件:分析数据,产生检测结果、报警和应急信号。
通信传输构件:传递加工、处理原始数据的控制命令。
用户管理构件:为检测器和控制器提供必需的数据信息支持。

IDS设计上的考虑

控制台的设计重点

  1. 日志检索:包括来源地址、目标地址、来源端口、目标端口、攻击特征、风险等级、时间段等。
  2. 探测器管理:控制台可以一次管理多个探测器,包括启动、停止、配置探测器和查看探测器运行状态等。
  3. 规则管理:为用户提供根据不同网段具体情况配置安全策略的工具,针对不同情况制定相应安全规则。
  4. 日志报表管理:至少需要提供多种文本和图形的报表模板,且报表格式可以导出WORD、HTML、 TXT、PDF等常用的格式。
  5. 用户管理:对用户权限进行严格的定义,提供口令修改、添加用户、删除用户、权限配置等功能,有效保护系统的安全性。

自身安全设计

认证和审计:为防止非法用户的使用,控制台管理程序的登录必须首先进行高强度的身份认证,并且对用户的登录事件和具体操作过程进行详细的审计。
通信安全:控制台和检测器之间采用TCP/IP通信,为了保护控制台和探测器之间的通信,可采用安全套接层(SSL)协议对传输的数据进行加密 。

IDS的发展方向

IDS的发展方向:宽带高速实时检测技术、大规模分布式检测技术、数据库入侵检测技术、无线入侵检测技术、更先进算法(神经网络技术、计算机免疫技术、遗传算法)。