第十一章 入侵检测
朱天清
回顾:防火墙的缺点
不能防止来自内部网络的攻击
防火墙不能防范不经过防火墙的攻击,如
内部网用户通过 拨号 直接进入 Internet。
作为一种被动的防护手段,防火墙不能防
范因特网上不断出现的新的威胁和攻击。
……
IDS,Intrusion Detection System
入侵( Intrusion ):对信息系统的非授权访问
及(或)未经许可在信息系统中进行操作。
入侵检测( Intrusion Detection ):安装在关键
节点,对(网络)系统的运行状态进行监视,对
企图入侵、正在进行的入侵或已经发生的入侵进
行识别的过程。
入侵检测系统,入侵检测的软件与硬件的组合,
是防火墙的合理补充,是防火墙之后的第二道安
全闸门。
入侵检测的内容:试图闯入、成功闯入、冒充其
他用户、违反安全策略、合法用户的泄漏、独占
资源以及恶意使用。
典型的 IDS技术
攻击工具
攻击命令
攻击机制
攻击者
目标网络 网络漏洞
目标系统
系统漏洞
攻击过程
实
时
入
侵
检
测
漏洞扫描和评估
IDS起源与发展
审计技术:产生、记录并检查按时间顺序排列的
系统事件记录的过程。
审计的目标,
? – 确定和保持系统活动中每个人的责任
? – 重建事件
? – 评估损失
? – 监测系统的问题区
? – 提供有效的灾难恢复
? – 阻止系统的不正当使用
通常用审计日志的形式记录
典型的日志
但是大量的日志让管
理员无所适从,从中
找出需要的信息和安
全时间是一件非常繁
琐的事情。而且需要
管理员有大量的经验
IDS起源与发展
1980年 Anderson提出:提出了精简审计的
概念,风险和威胁分类方法
1987年 Denning研究发展了实时入侵检测
系统模型
IDES入侵检测专家系统,IDES提出了反常
活动与计算机不正当使用之间的相关性。
80年代,基于主机的入侵检测
90年代,基于主机和基于网络入侵检测的
集成
概念诞生
1980
产生模型
80年代中期
模型发展
80年代后期 -90年代初
网络 IDS
1990-现在
异常检测
90年代初 -现在
智能 IDS
目前
发展历史
基于主机
IDS基本结构
简单地说,入侵检测系统包括三个功能部
件,
? ( 1)信息收集
? ( 2)信息分析
? ( 3)结果处理
信
息
收
集
信
息
分
析
结
果
处
理
原始信息 分析信息 事件 响应
检测器 响应系统
分析系统 存储系统
控制台
入侵检测的设计原理
---------通用模型
采用异常检测或
者误用检测
来源于网络或者
主机的数据
利用数据库实现,
如 MySQL
产生警报提醒管
理员,或者通知
防火墙
用户方便管理,
可以用浏览器
信息收集
入侵检测的第一步是信息收集,收集内容
包括系统、网络、数据及用户活动的状态
和行为。
需要在计算机网络系统中的若干不同关键
点(不同网段和不同主机)收集信息,
? – 尽可能扩大检测范围
? – 从一个源来的信息有可能看不出疑点
信息收集
入侵检测很大程度上依赖于收集信息的可靠性和
正确性。
要保证用来检测网络系统的软件的完整性。特别
是入侵检测系统软件本身应具有相当强的坚固性,
防止被篡改而收集到错误的信息。
在一个环境中,审计信息必须与它要保护的系统
分开来存储和处理。因为
? 防止入侵者通过删除审计记录来使入侵检测系统失效
? 防止入侵者通过修改入侵检测器的结果来隐藏入侵的
存在
? 要减轻操作系统执行入侵检测任务带来的操作负载
信息收集的来源
进行入侵检测的系统叫做主机,被检测的系统或
网络叫做目标机。数据来源可分为四类,
来自主机的
? – 基于主机的监测收集通常在操作系统层的来自计算机
内部的数据,包括操作系统审计跟踪信息和系统日志
? 来自网络的
? – 检测收集网络的数据
来自应用程序的
? – 监测收集来自运行着的应用程序的数据,包括应用程
序事件日志和其它存储在应用程序内部的数据
来自目标机的
? 检测对系统对象的修改。
入侵检测的分类
按照数据来源,
– 基于主机:系统获取数据的依据是系统运
行所在的主机,保护的目标也是系统运行
所在的主机。
– 基于网络:系统获取的数据是网络传输的
数据包,保护的是网络的运行。
– 混合型,
入侵检测的数据源
基于主机的入侵检测系统
? 系统分析主机产生的数据(应用程序及操作系
统的事件日志)
主机的数据源
操作系统事件日志
应用程序日志
? – 系统日志
? – 关系数据库
? – Web服务器
基于主机的检测威胁
特权滥用:当用户具有 root权限、管理员特权时,
该用户以非授权方式使用特权。
? – 具有提高特权的立约人
? – 前职员使用旧帐户
? – 管理员创建后门帐户
关键数据的访问及修改
? – 学生改变成绩、职员修改业绩、非授权泄露、修改
WEB站点
安全配置的变化
? – 用户没有激活屏保,
? – 激活 guest帐户
基于主机的入侵检测系统结构
基于主机的入侵检测系统通常是基于代理
的,代理是运行在目标系统上的可执行程
序,与中央控制计算机(命令控制台)通
信。
? – 集中式:原始数据在分析之前要先发送到中
央位置
? – 分布式:原始数据在目标系统上实时分析,
只有告警命令被发送给控制台。
Internet
Desktops
Web Servers
Telecommuters
Customers
Servers
Network
Branch Office
Partners
Host-based 入侵 检测
Hacker
Host-based IDS Host-based IDS
Internet
基于主机入侵检测系统工作原理
网络服务器 1
客户端
网络服务器 2
X
检测内容,
系统调用、端口调用、系统日志、
安全审记、应用日志
HIDS
HIDS
基于主机的入侵检测的好处
威慑内部人员
检测
通告及响应
毁坏情况评估
攻击预测
诉讼支持
行为数据辨析
基于主机的技术面临的问题
性能:降低是不可避免的
部署 /维护
损害
欺骗
二进制内核日志及 Windows NT安全事件
日志是两个不错的审计源
Syslog及 Windows NT应用程序事件日志
是两个糟糕的审计源
基于网络的入侵检测系统
入侵检测系统分析网络数据包
基于网络的检测威胁
非授权访问
? – 非授权登录( login)
? – 进行其它攻击的起始点
数据 /资源的窃取
? – 口令下载
? – 带宽窃取
拒绝服务
? – 畸形分组,land
? – 分组泛洪,packet flooding
? – 分布式拒绝服务
基于网络的入侵检测系统结构
基于网络的入侵检测系统由遍及网络的传
感器( Sensor)组成,传感器会向中央控制
台报告。
传感器通常是独立的检测引擎,能获得网
络分组、找寻误用模式,然后告警。
? – 传统的基于传感器的结构,(又被称为混杂
模式网络入侵检测系统,或网络分接器
( network tap)
? – 分布式网络节点结构 (network node)
网络信息源
商业 IDS最常用的信息来源
– RealSecure,NFR,NetRanger,Snort…
利用以太网协议( IEEE 802.3)的广播机
制
网络监听
在一个共享式网络,可以听取所有的流量
是一把双刃剑
? – 管理员可以用来监听网络的流量情况
? – 开发网络应用的程序员可以监视程序的网络
情况
? – 黑客可以用来刺探网络情报
目前有大量商业的、免费的监听工具,俗
称嗅探器 (sniffer)
检测器的位置
放在防火墙之外
? 无法检测到某些攻击,但可以看到自己的站点和防火墙暴露在多
少种攻击之下
检测器在防火墙内
? – 少一些干扰,减少误报警;减少对检测器的攻击;发现防火
? 墙的配置失误
防火墙内外都有检测器
? – 各有优势
检测器的其他位置
? – 与你有直接联系的合伙人和经常在防火墙内的供应商处
? – 高价值的地方
? – 有大量不稳定雇员的地方
? – 已被当作攻击目标的子网
基于网络的入侵检测的好处
威慑外部人员
检测
自动响应及报告
黑客入侵的过程和阶段
Phase 3,
Attack/Control
Resources
?
Password
attacks
? Privilege
grabbing
? Trojan Horse
? Vandalism
? Audit Trail
Tampering
? Admin Changes
? Theft
Internet
Network IDS
Host IDS
Phase 2,
Penetrate
Perimeter
? App,Attack
? Spoofing
? Protocol exploits
Denial of Service ?
Phase 1,
Discover &
Map
? Scanning &
probing
Automated
基于主机与基于网络 IDS
信息分析
– 异常检测模型( Anomaly Detection ):首
先总结正常操作应该具有的特征(用户轮
廓),当用户活动与正常行为有重大偏离
时即被认为是入侵。
– 误用检测模型( Misuse Detection):收
集非正常操作的行为特征,建立相关的特
征库,当监测的用户或系统行为与库中的
记录相匹配时,系统就认为这种行为是入
侵。
误用检测模型
收集非正常操作的行为特征,建立相关的特征库,
当监测的用户或系统行为与库中的记录相匹配时,
系统就认为这种行为是入侵
误用检测特点
前提:所有的入侵行为都有可被检测到的特征
攻击特征库, 当监测的用户或系统行为与库中的
记录相匹配时,系统就认为这种行为是入侵
过程
监控 ? 特征提取 ? 匹配 ? 判定
指标,误报低、漏报高
误用检测
如果入侵特征与正常的用户行能匹配, 则系
统会发生 误报 ;如果没有特征能与某种新的
攻击行为匹配, 则系统会发生 漏报
特点,采用特征匹配,滥用模式能明显降低
错报率,但漏报率随之增加。攻击特征的细
微变化,会使得滥用检测无能为力
异常检测
思想:任何正常人的行为有一定的规律。
? 需要考虑的问题,
? ( 1)选择哪些数据来表现用户的行为
? ( 2)通过以上数据如何有效地表示用户的行
为,主要在于学习和检测方法的不同
? ( 3)考虑学习过程的时间长短、用户行为的
时效性等问题
异常检测模型
首先总结正常操作应该具有的特
征(用户轮廓),当用户活动与
正常行为有重大偏离时即被认为
是入侵
异常检测
前提:入侵是异常活动的子集
用户轮廓 (Profile),通常定义为各种行为参数及
其阀值的集合,用于描述正常行为范围
过程
监控 ? 量化 ? 比较 ? 判定
?
修正
指标,漏报率低,误报率高
异常检测特点
异常检测系统的效率取决于用户轮廓的完备
性和监控的频率
因为不需要对每种入侵行为进行定义,因此
能有效检测未知的入侵
系统能针对用户行为的改变进行自我调整和
优化,但随着检测模型的逐步精确,异常检
测会消耗更多的系统资源
异常入侵检测方法
统计异常检测
基于特征选择异常检测
基于贝叶斯推理异常检测
基于贝叶斯网络异常检测
基于模式预测异常检测
基于神经网络异常检测
基于贝叶斯聚类异常检测
基于机器学习异常检测
基于数据挖掘异常检测
……
两种方式比较
误用检测( Misuse Detection)
? 建立起已知攻击的规则库
? 实时行为与规则匹配
? 优点:检测准确率高
? 缺点:无法检测未知入侵
异常检测( Anomaly Detection)
? 建立用户或系统的正常行为模式
? 不符合正常模式的行为活动为入侵
? 优点:能够检测出未知的入侵
? 缺点:难以建立正常行为模式
事件响应
可说明性
? – 是指从给定的活动或事件中,可以找到相关
责任方的能力。建立可说明性的目标是获得补
偿或针对责任方追究相关法律责任。
积极的反应
? – 报告
? – 警报
? – 修改目标机系统或入侵检测系统
人为措施
攻击行为的确认
遏制事态的进一步发展
保存攻击证据
系统的安全恢复
总结经验教训
—— 写份检查,开个总结大会什么的
……
与 IDS有关的标准
通用入侵检测框架
CIDF(TheCommonIntrusion Detection
Framework)
IETF入侵检测工作组 (IDWG)的入侵检测交
换格式 IDEF(Intrusion
DetectionExchangeFormat)
漏洞和风险的标准
CVE(CommonVulnerabilities and
Exposures)
产品
免费
? – Snort
http://www.snort.org
? – SHADOW
http://www.nswc.navy.mil/ISSEC/CID/
产品
商业
? – RealSecure,ISS
? – CyberCop Monitor,NAI
? – Dragon Sensor,Enterasys
? – eTrust ID,CA
? – NetProwler,Symantec
? – NetRanger,Cisco
? – NID-100/200,NFR Security
? – SecureNet Pro,Intrusion.com
? – Session Wall
入侵检测系统实例
Realsecure:是一种混合入侵检测系统
使用 IDS的理由( 1)
弥补其它安全产品或措施的缺陷
传统安全产品的出发点
? – 认证机制防止未经授权的使用者登录用户的
系统
? – 加密技术防止第三者接触到机密的文件
? – 防火墙防止未经许可的数据流进入用户内部
网络
使用 IDS的理由( 2)
帮助发现和处理攻击的企图
网络或系统探查( Probe)
? – 主机探测、信息收集
? – 端口扫描
? – 漏洞扫描
使用 IDS的理由( 3)
提供已发生入侵过程的详细信息
帮助确定系统存在的问题
为系统恢复和修正提供参考
使用 IDS的理由( 4)
提供攻击行为的证据
追查入侵的来源
稻草人的故事 —— 心理威慑力
使用 IDS的理由( 5)
被动的, 防护, 仅仅是安全的一个方面,
而且是相当薄弱的一环,行之有效的安全
策略还应该包括实时的检测和响应,它们
是主动的和积极的。
不使用 IDS的理由( 1)
影响网络或主机系统的效率
? – 交换环境下的网络型 IDS
? – 主机型 IDS
检测能力与检测效率的矛盾
? – 虚警( False Positive)
? – 漏警( False Negative)
不使用 IDS的理由( 2)
入侵的实时检测、报告及响应
如何看待入侵检测的实时性问题
?,入侵检测的一个最大商业谎言是实时性”?
? 实时性是一个相对的概念
? 实时性与系统效率的矛盾
入侵检测与防火墙的合并?
结论
现有技术仍有很多不足之处
入侵检测不是万能的
没有入侵检测也不是万万不能的 ?
前途是光明的
道路是曲折的 ?
朱天清
回顾:防火墙的缺点
不能防止来自内部网络的攻击
防火墙不能防范不经过防火墙的攻击,如
内部网用户通过 拨号 直接进入 Internet。
作为一种被动的防护手段,防火墙不能防
范因特网上不断出现的新的威胁和攻击。
……
IDS,Intrusion Detection System
入侵( Intrusion ):对信息系统的非授权访问
及(或)未经许可在信息系统中进行操作。
入侵检测( Intrusion Detection ):安装在关键
节点,对(网络)系统的运行状态进行监视,对
企图入侵、正在进行的入侵或已经发生的入侵进
行识别的过程。
入侵检测系统,入侵检测的软件与硬件的组合,
是防火墙的合理补充,是防火墙之后的第二道安
全闸门。
入侵检测的内容:试图闯入、成功闯入、冒充其
他用户、违反安全策略、合法用户的泄漏、独占
资源以及恶意使用。
典型的 IDS技术
攻击工具
攻击命令
攻击机制
攻击者
目标网络 网络漏洞
目标系统
系统漏洞
攻击过程
实
时
入
侵
检
测
漏洞扫描和评估
IDS起源与发展
审计技术:产生、记录并检查按时间顺序排列的
系统事件记录的过程。
审计的目标,
? – 确定和保持系统活动中每个人的责任
? – 重建事件
? – 评估损失
? – 监测系统的问题区
? – 提供有效的灾难恢复
? – 阻止系统的不正当使用
通常用审计日志的形式记录
典型的日志
但是大量的日志让管
理员无所适从,从中
找出需要的信息和安
全时间是一件非常繁
琐的事情。而且需要
管理员有大量的经验
IDS起源与发展
1980年 Anderson提出:提出了精简审计的
概念,风险和威胁分类方法
1987年 Denning研究发展了实时入侵检测
系统模型
IDES入侵检测专家系统,IDES提出了反常
活动与计算机不正当使用之间的相关性。
80年代,基于主机的入侵检测
90年代,基于主机和基于网络入侵检测的
集成
概念诞生
1980
产生模型
80年代中期
模型发展
80年代后期 -90年代初
网络 IDS
1990-现在
异常检测
90年代初 -现在
智能 IDS
目前
发展历史
基于主机
IDS基本结构
简单地说,入侵检测系统包括三个功能部
件,
? ( 1)信息收集
? ( 2)信息分析
? ( 3)结果处理
信
息
收
集
信
息
分
析
结
果
处
理
原始信息 分析信息 事件 响应
检测器 响应系统
分析系统 存储系统
控制台
入侵检测的设计原理
---------通用模型
采用异常检测或
者误用检测
来源于网络或者
主机的数据
利用数据库实现,
如 MySQL
产生警报提醒管
理员,或者通知
防火墙
用户方便管理,
可以用浏览器
信息收集
入侵检测的第一步是信息收集,收集内容
包括系统、网络、数据及用户活动的状态
和行为。
需要在计算机网络系统中的若干不同关键
点(不同网段和不同主机)收集信息,
? – 尽可能扩大检测范围
? – 从一个源来的信息有可能看不出疑点
信息收集
入侵检测很大程度上依赖于收集信息的可靠性和
正确性。
要保证用来检测网络系统的软件的完整性。特别
是入侵检测系统软件本身应具有相当强的坚固性,
防止被篡改而收集到错误的信息。
在一个环境中,审计信息必须与它要保护的系统
分开来存储和处理。因为
? 防止入侵者通过删除审计记录来使入侵检测系统失效
? 防止入侵者通过修改入侵检测器的结果来隐藏入侵的
存在
? 要减轻操作系统执行入侵检测任务带来的操作负载
信息收集的来源
进行入侵检测的系统叫做主机,被检测的系统或
网络叫做目标机。数据来源可分为四类,
来自主机的
? – 基于主机的监测收集通常在操作系统层的来自计算机
内部的数据,包括操作系统审计跟踪信息和系统日志
? 来自网络的
? – 检测收集网络的数据
来自应用程序的
? – 监测收集来自运行着的应用程序的数据,包括应用程
序事件日志和其它存储在应用程序内部的数据
来自目标机的
? 检测对系统对象的修改。
入侵检测的分类
按照数据来源,
– 基于主机:系统获取数据的依据是系统运
行所在的主机,保护的目标也是系统运行
所在的主机。
– 基于网络:系统获取的数据是网络传输的
数据包,保护的是网络的运行。
– 混合型,
入侵检测的数据源
基于主机的入侵检测系统
? 系统分析主机产生的数据(应用程序及操作系
统的事件日志)
主机的数据源
操作系统事件日志
应用程序日志
? – 系统日志
? – 关系数据库
? – Web服务器
基于主机的检测威胁
特权滥用:当用户具有 root权限、管理员特权时,
该用户以非授权方式使用特权。
? – 具有提高特权的立约人
? – 前职员使用旧帐户
? – 管理员创建后门帐户
关键数据的访问及修改
? – 学生改变成绩、职员修改业绩、非授权泄露、修改
WEB站点
安全配置的变化
? – 用户没有激活屏保,
? – 激活 guest帐户
基于主机的入侵检测系统结构
基于主机的入侵检测系统通常是基于代理
的,代理是运行在目标系统上的可执行程
序,与中央控制计算机(命令控制台)通
信。
? – 集中式:原始数据在分析之前要先发送到中
央位置
? – 分布式:原始数据在目标系统上实时分析,
只有告警命令被发送给控制台。
Internet
Desktops
Web Servers
Telecommuters
Customers
Servers
Network
Branch Office
Partners
Host-based 入侵 检测
Hacker
Host-based IDS Host-based IDS
Internet
基于主机入侵检测系统工作原理
网络服务器 1
客户端
网络服务器 2
X
检测内容,
系统调用、端口调用、系统日志、
安全审记、应用日志
HIDS
HIDS
基于主机的入侵检测的好处
威慑内部人员
检测
通告及响应
毁坏情况评估
攻击预测
诉讼支持
行为数据辨析
基于主机的技术面临的问题
性能:降低是不可避免的
部署 /维护
损害
欺骗
二进制内核日志及 Windows NT安全事件
日志是两个不错的审计源
Syslog及 Windows NT应用程序事件日志
是两个糟糕的审计源
基于网络的入侵检测系统
入侵检测系统分析网络数据包
基于网络的检测威胁
非授权访问
? – 非授权登录( login)
? – 进行其它攻击的起始点
数据 /资源的窃取
? – 口令下载
? – 带宽窃取
拒绝服务
? – 畸形分组,land
? – 分组泛洪,packet flooding
? – 分布式拒绝服务
基于网络的入侵检测系统结构
基于网络的入侵检测系统由遍及网络的传
感器( Sensor)组成,传感器会向中央控制
台报告。
传感器通常是独立的检测引擎,能获得网
络分组、找寻误用模式,然后告警。
? – 传统的基于传感器的结构,(又被称为混杂
模式网络入侵检测系统,或网络分接器
( network tap)
? – 分布式网络节点结构 (network node)
网络信息源
商业 IDS最常用的信息来源
– RealSecure,NFR,NetRanger,Snort…
利用以太网协议( IEEE 802.3)的广播机
制
网络监听
在一个共享式网络,可以听取所有的流量
是一把双刃剑
? – 管理员可以用来监听网络的流量情况
? – 开发网络应用的程序员可以监视程序的网络
情况
? – 黑客可以用来刺探网络情报
目前有大量商业的、免费的监听工具,俗
称嗅探器 (sniffer)
检测器的位置
放在防火墙之外
? 无法检测到某些攻击,但可以看到自己的站点和防火墙暴露在多
少种攻击之下
检测器在防火墙内
? – 少一些干扰,减少误报警;减少对检测器的攻击;发现防火
? 墙的配置失误
防火墙内外都有检测器
? – 各有优势
检测器的其他位置
? – 与你有直接联系的合伙人和经常在防火墙内的供应商处
? – 高价值的地方
? – 有大量不稳定雇员的地方
? – 已被当作攻击目标的子网
基于网络的入侵检测的好处
威慑外部人员
检测
自动响应及报告
黑客入侵的过程和阶段
Phase 3,
Attack/Control
Resources
?
Password
attacks
? Privilege
grabbing
? Trojan Horse
? Vandalism
? Audit Trail
Tampering
? Admin Changes
? Theft
Internet
Network IDS
Host IDS
Phase 2,
Penetrate
Perimeter
? App,Attack
? Spoofing
? Protocol exploits
Denial of Service ?
Phase 1,
Discover &
Map
? Scanning &
probing
Automated
基于主机与基于网络 IDS
信息分析
– 异常检测模型( Anomaly Detection ):首
先总结正常操作应该具有的特征(用户轮
廓),当用户活动与正常行为有重大偏离
时即被认为是入侵。
– 误用检测模型( Misuse Detection):收
集非正常操作的行为特征,建立相关的特
征库,当监测的用户或系统行为与库中的
记录相匹配时,系统就认为这种行为是入
侵。
误用检测模型
收集非正常操作的行为特征,建立相关的特征库,
当监测的用户或系统行为与库中的记录相匹配时,
系统就认为这种行为是入侵
误用检测特点
前提:所有的入侵行为都有可被检测到的特征
攻击特征库, 当监测的用户或系统行为与库中的
记录相匹配时,系统就认为这种行为是入侵
过程
监控 ? 特征提取 ? 匹配 ? 判定
指标,误报低、漏报高
误用检测
如果入侵特征与正常的用户行能匹配, 则系
统会发生 误报 ;如果没有特征能与某种新的
攻击行为匹配, 则系统会发生 漏报
特点,采用特征匹配,滥用模式能明显降低
错报率,但漏报率随之增加。攻击特征的细
微变化,会使得滥用检测无能为力
异常检测
思想:任何正常人的行为有一定的规律。
? 需要考虑的问题,
? ( 1)选择哪些数据来表现用户的行为
? ( 2)通过以上数据如何有效地表示用户的行
为,主要在于学习和检测方法的不同
? ( 3)考虑学习过程的时间长短、用户行为的
时效性等问题
异常检测模型
首先总结正常操作应该具有的特
征(用户轮廓),当用户活动与
正常行为有重大偏离时即被认为
是入侵
异常检测
前提:入侵是异常活动的子集
用户轮廓 (Profile),通常定义为各种行为参数及
其阀值的集合,用于描述正常行为范围
过程
监控 ? 量化 ? 比较 ? 判定
?
修正
指标,漏报率低,误报率高
异常检测特点
异常检测系统的效率取决于用户轮廓的完备
性和监控的频率
因为不需要对每种入侵行为进行定义,因此
能有效检测未知的入侵
系统能针对用户行为的改变进行自我调整和
优化,但随着检测模型的逐步精确,异常检
测会消耗更多的系统资源
异常入侵检测方法
统计异常检测
基于特征选择异常检测
基于贝叶斯推理异常检测
基于贝叶斯网络异常检测
基于模式预测异常检测
基于神经网络异常检测
基于贝叶斯聚类异常检测
基于机器学习异常检测
基于数据挖掘异常检测
……
两种方式比较
误用检测( Misuse Detection)
? 建立起已知攻击的规则库
? 实时行为与规则匹配
? 优点:检测准确率高
? 缺点:无法检测未知入侵
异常检测( Anomaly Detection)
? 建立用户或系统的正常行为模式
? 不符合正常模式的行为活动为入侵
? 优点:能够检测出未知的入侵
? 缺点:难以建立正常行为模式
事件响应
可说明性
? – 是指从给定的活动或事件中,可以找到相关
责任方的能力。建立可说明性的目标是获得补
偿或针对责任方追究相关法律责任。
积极的反应
? – 报告
? – 警报
? – 修改目标机系统或入侵检测系统
人为措施
攻击行为的确认
遏制事态的进一步发展
保存攻击证据
系统的安全恢复
总结经验教训
—— 写份检查,开个总结大会什么的
……
与 IDS有关的标准
通用入侵检测框架
CIDF(TheCommonIntrusion Detection
Framework)
IETF入侵检测工作组 (IDWG)的入侵检测交
换格式 IDEF(Intrusion
DetectionExchangeFormat)
漏洞和风险的标准
CVE(CommonVulnerabilities and
Exposures)
产品
免费
? – Snort
http://www.snort.org
? – SHADOW
http://www.nswc.navy.mil/ISSEC/CID/
产品
商业
? – RealSecure,ISS
? – CyberCop Monitor,NAI
? – Dragon Sensor,Enterasys
? – eTrust ID,CA
? – NetProwler,Symantec
? – NetRanger,Cisco
? – NID-100/200,NFR Security
? – SecureNet Pro,Intrusion.com
? – Session Wall
入侵检测系统实例
Realsecure:是一种混合入侵检测系统
使用 IDS的理由( 1)
弥补其它安全产品或措施的缺陷
传统安全产品的出发点
? – 认证机制防止未经授权的使用者登录用户的
系统
? – 加密技术防止第三者接触到机密的文件
? – 防火墙防止未经许可的数据流进入用户内部
网络
使用 IDS的理由( 2)
帮助发现和处理攻击的企图
网络或系统探查( Probe)
? – 主机探测、信息收集
? – 端口扫描
? – 漏洞扫描
使用 IDS的理由( 3)
提供已发生入侵过程的详细信息
帮助确定系统存在的问题
为系统恢复和修正提供参考
使用 IDS的理由( 4)
提供攻击行为的证据
追查入侵的来源
稻草人的故事 —— 心理威慑力
使用 IDS的理由( 5)
被动的, 防护, 仅仅是安全的一个方面,
而且是相当薄弱的一环,行之有效的安全
策略还应该包括实时的检测和响应,它们
是主动的和积极的。
不使用 IDS的理由( 1)
影响网络或主机系统的效率
? – 交换环境下的网络型 IDS
? – 主机型 IDS
检测能力与检测效率的矛盾
? – 虚警( False Positive)
? – 漏警( False Negative)
不使用 IDS的理由( 2)
入侵的实时检测、报告及响应
如何看待入侵检测的实时性问题
?,入侵检测的一个最大商业谎言是实时性”?
? 实时性是一个相对的概念
? 实时性与系统效率的矛盾
入侵检测与防火墙的合并?
结论
现有技术仍有很多不足之处
入侵检测不是万能的
没有入侵检测也不是万万不能的 ?
前途是光明的
道路是曲折的 ?
