CISP-2－入侵检测

null信息安全技术 入侵检测信息安全技术 入侵检测中国信息安全产品测评认证中心（CNITSEC） www.itsec.gov.cn CISP-2－入侵检测（样稿）内容提要内容提要深层防御体系及IDS的作用 IDS的实现方式 IDS的方式 IDS的结构 入侵检测的困惑 第四代入侵检测技术 入侵检测的新发展null深层防御体系及IDS的作用 IDS的实现方式 IDS的分析方式 IDS的结构 入侵检测的困惑 第四代入侵检测技术 入侵检测的新发展内容提要null一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 两个安全域之间通信流的唯一通道根据访问控制规则决定进出网络的行为防火墙的作用null防火墙的局限%c1%1c%c1%1cDir c:\null防火墙的局限防火墙不能防止通向站点的后门。 防火墙一般不提供对内部的保护。 防火墙无法防范数据驱动型的攻击。 防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。 确保网络的安全,就要对网络内部进行实时的检测 , 这就需要IDS无时不在的防护！什么是入侵行为什么是入侵行为 入侵行为主要是指对系统资源的非授权使用，它可以造成系统数据的丢失和破坏、可以造成系统拒绝对合法用户服务等危害。 什么是入侵检测系统什么是入侵检测系统IDS（Intrusion Detection System）就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。 null形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。入侵检测系统的作用在安全体系中，IDS是唯一一个通过数据和行为模式判断其是否有效的系统，如下图所示，防火墙就象一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子；访问控制系统可以不让低级权限的人做越权工作，但无法保证高级权限的做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限 入侵检测系统的作用入侵检测系统的职责入侵检测系统的职责IDS系统的两大职责：实时检测和安全审计。 实时监测——实时地监视、分析网络中所有的数据报文，发现并实时处理所捕获的数据报文；安全审计——通过对IDS系统记录的网络事件进行统计分析，发现其中的异常现象，得出系统的安全状态，找出所需要的证据。null深层次防御体系的组成 null入侵检测防火墙入侵检测在立体防御体系中的作用实时性层次应用层 表示层 会话层 传输层 IP层 数据链层 物理层 实时 准实时 事后实时分析所有的数据包，决定是否允许通过监控所有的数据包，判断是否非法，进行相应处理（如阻断或者报警）记录所有的操作以备事后查询为系统提供全方位的保护审计系统null深层次防御体系的特点深度防御可以对整个网络提供不同级别的保护 将网络系统划分安全级别并进行相应保护 深度防御可以对入侵破坏行为进行取证 IDS和审计系统可以进行电子取证 深度防御可以有效防止蠕虫、病毒的威胁 IDS是网络动态防病毒的核心组成 深度防御能够对系统提供最完备的保护 从物理层直至应用层都可以得到保护 深度防御不会破坏系统的效率和稳定性 针对不同实时和效率要求进行不同保护 深度防御可以识别、防范未知的新攻击方式 基于异常分析和行为分析的入侵检测null如何选择合适的入侵检测系统对入侵和攻击的全面检测能力 新漏洞及最新的入侵手段（本地化的研发和售后服务） 对抗欺骗的能力 防误报及漏报的能力（模式匹配、异常分析和智能分析） 对抗攻击的能力 对抗针对IDS的拒绝服务的能力（事件风暴的防御） 报警及阻断能力 多种类型的报警及阻断功能可以提供全方位的保护 本身的安全性 IDS自身的加密认证及安全措施，恶意代码或数据回传 人机界面 方便管理，降低管理人员的负担（多级控制，丰富报表等）null安全发展趋势 深层防御体系及IDS的作用 IDS的实现方式 IDS的分析方式 IDS的结构 入侵检测的困惑 第四代入侵检测技术 入侵检测的新发展内容提要IDS的实现方式-----网络IDSIDS的实现方式-----网络IDSIDS的实现方式-----主机IDS主机IDS运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。其监测的资源主要包括：网络、文件、进程、系统日志等 IDS的实现方式-----主机IDS主机IDS和网络IDS的比较主机IDS和网络IDS的比较基于网络的入侵检测系统的主要优点有： （1）成本低。 （2）攻击者转移证据很困难。 （3）实时检测和应答。一旦发生恶意访问或攻击，基于网络的IDS检测可以随时发现它们，因此能够更快地作出反应。从而将入侵活动对系统的破坏减到最低。 （4）能够检测未成功的攻击企图。 （5）操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源。而基于主机的系统需要特定的操作系统才能发挥作用。 基于主机的IDS的主要优势有： （1）非常适用于加密和交换环境。 （2）实时的检测和应答。 （3）不需要额外的硬件。 null深层防御体系及IDS的作用 IDS的实现方式 IDS的分析方式 IDS的结构 入侵检测的困惑 第四代入侵检测技术 入侵检测的新发展内容提要IDS的分析方式IDS的分析方式异常发现技术（基于行为的检测 ） 模式发现技术（基于知识的检测 ）基于行为的检测基于行为的检测 基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测，所以也被称为异常检测(Anomaly Detection)。 与系统相对无关，通用性强 能检测出新的攻击方法 误检率较高 基于行为的检测------概率统计方法 基于行为的检测------概率统计方法 操作密度 审计记录分布 范畴尺度 数值尺度记录的具体操作包括：CPU 的使用，I/O 的使用，使用地点及时间，邮件使用，编辑器使用，编译器使用，所创建、删除、访问或改变的目录及文件，网络上活动等。 基于行为的检测------神经网络方法基于行为的检测------神经网络方法 基本思想是用一系列信息单元(命令)训练神经单元，这样在给定一组输入后，就可能预测出输出。当前命令和刚过去的w个命令组成了网络的输入，其中w是神经网络预测下一个命令时所包含的过去命令集的大小。根据用户的代表性命令序列训练网络后，该网络就形成了相应用户的特征表，于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。目前还不很成熟。 神经网络检测思想神经网络检测思想基于知识的检测基于知识的检测 基于知识的检测指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性，通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。基于知识的检测也被称为违规检测(Misuse Detection)。这种方法由于依据具体特征库进行判断，所以检测准确度很高，并且因为检测结果有明确的参照，也为系统管理员做出相应措施提供了方便。 基于知识的检测-----专家系统 基于知识的检测-----专家系统 将有关入侵的知识转化成if-then结构的规则，即将构成入侵所要求的条件转化为if 部分，将发现入侵后采取的相应措施转化成then部分。当其中某个或某部分条件满足时，系统就判断为入侵行为发生。其中的if-then结构构成了描述具体攻击的规则库，状态行为及其语义环境可根据审计事件得到，推理机根据规则和行为完成判断工作。 基于知识的检测-----模型推理 基于知识的检测-----模型推理 模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为：攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特殊使用等。根据这些知识建立攻击脚本库，每一脚本都由一系列攻击行为组成。 基于知识的检测-----状态转换分析 基于知识的检测-----状态转换分析 状态转换法将入侵过程看作一个行为序列，这个行为序列导致系统从初始状态转入被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的转换条件，即导致系统进入被入侵状态必须执行的操作(特征事件)。然后用状态转换图来表示每一个状态和特征事件，这些事件被集成于模型中，所以检测时不需要一个个地查找审计记录。但是，状态转换是针对事件序列分析，所以不善于分析过分复杂的事件，而且不能检测与系统状态无关的入侵。 null深层防御体系及IDS的作用 IDS的实现方式 IDS的分析方式 IDS的结构 入侵检测的困惑 第四代入侵检测技术 入侵检测的新发展内容提要IDS的基本结构 IDS的基本结构 IDS系统结构---探测引擎IDS系统结构---探测引擎 采用旁路方式全面侦听网上信息流，实时分析 将分析结果与探测器上运行的策略集相匹配 执行报警、阻断、日志等功能。 完成对控制中心指令的接收和响应工作。 探测器是由策略驱动的网络监听和分析系统。 IDS的基本结构 ----引擎的功能结构IDS的基本结构 ----引擎的功能结构nullIDS系统结构-----控制中心 提供报警显示 提供对预警信息的记录和检索、统计功能 制定入侵监测的策略； 控制探测器系统的运行状态 收集来自多台引擎的上报事件，综合进行事件分析，以多种方式对入侵事件作出快速响应。 这种分布式结构有助于系统管理员的集中管理，全面搜集多台探测引擎的信息，进行入侵行为的分析。 IDS的基本结构-----控制中心的功能结构IDS的基本结构-----控制中心的功能结构IDS的系统结构 IDS的系统结构 单机结构 ：引擎和控制中心在一个系统之上，不能远距离操作，只能在现场进行操作。 优点是结构简单，不会因为通讯而影响网络带宽和泄密。 分布式结构就是引擎和控制中心在2个系统之上，通过网络通讯，可以远距离查看和操作。目前的大多数IDS系统都是分布式的。 优点不是必需在现场操作，可以用一个控制中心控制多个引擎，可以统一进行策略编辑和下发，可以统一查看申报的事件，可以通过分开事件显示和查看的功能提高处理速度等等。 IDS的系统结构----分布式结构图IDS的系统结构----分布式结构图null安全发展趋势 深层防御体系及IDS的作用 IDS的实现方式 IDS的分析方式 IDS的结构 入侵检测的困惑 第四代入侵检测技术 入侵检测的新发展内容提要null入侵检测——没有用的技术？ 入侵检测——一种被提及太多的技术 ——一种容易引起误解的技术 那么，入侵检测是不是没有用了？ null管理人员需要了解网络中正在发生的各种活动 管理人员需要在攻击到来之前发现攻击行为 管理人员需要识别异常行为 需要有效的工具进行针对攻击行为以及异常的实时和事后分析 null入侵检测系统逐渐成为安全防护体系中不可缺少的一部分 Awareness is the key to security 入侵检测是审计的基础 入侵检测是网管的基础 null深层防御体系及IDS的作用 IDS的实现方式 IDS的分析方式 IDS的结构 入侵检测的困惑 第四代入侵检测技术 入侵检测的新发展内容提要第四代入侵管理技术第四代入侵管理技术 现代入侵攻击技术:新一代主动式恶意代码 极短时间内（Flash worms---30s），利用优化扫描 的方法，感染近十万个有漏洞的系统,可以确定并记 录是否被击中（4-5分钟，感染近百万台系统）。被感染的机器 有漏洞的机器第四代入侵管理技术第四代入侵管理技术入侵发展（目标、入侵者攻击能力、传播速度、工具数量、复杂、隐蔽）   利用加密传播恶意代码   各种技术和策略间的互操作及关联分析   日益增长的网络流量  抵御入侵面临的挑战第四代入侵管理技术第四代入侵管理技术入侵检测术语未统一   入侵检测系统维护非常困难   在采取不适当的自动响应行为中存在风险   入侵检测系统可能自己攻击自己  抵御入侵面临的挑战第四代入侵管理技术第四代入侵管理技术误报漏报使得系统准确性大大折扣   客观性的测评信息缺乏（如何选择和评价）  高速网络与实时分析   直观的事件分析报告 抵御入侵面临的挑战第四代入侵管理技术第四代入侵管理技术合理的配备，最大的发挥 对自己的风险无法把握（网络中在干什么？） 使用和维护非常困难 安全的效果不明显（发现、抵御入侵？）抵御入侵面临的挑战第四代入侵管理技术第四代入侵管理技术第一代：协议解码+模式匹配 优点：对已知攻击，极其有效，误报率低 缺点：极其容易躲避，漏报率高 第四代入侵管理技术第四代入侵管理技术第二代：模式匹配+简单协议分析+异常统计 优点：能够分析处理一部分协议，重组 缺点：匹配效率较低，管理功能较弱 第四代入侵管理技术第四代入侵管理技术第三代：完全协议分析+模式匹配+异常统计 优点：误报、漏报、滥报率低，效率高，可管理性强 缺点：可视化程度不够，防范及管理功能较弱第四代入侵管理技术第四代入侵管理技术第四代：安全管理+协议分析+模式匹配+异常统计 优点：入侵管理、多项技术协同、安全保障 缺点：专业化程度较高，成本较高 null安全发展趋势 深层防御体系及IDS的作用 IDS的实现方式 IDS的分析方式 IDS的结构 入侵检测的困惑 第四代入侵检测技术 入侵检测的新发展内容提要null入侵检测的新时代行业化时代 客户化时代 大规模应用时代 三个标志：null行业化时代针对不同行业的定制 自适应、自学习能力 抽象出针对行业的模板null客户化时代 即“系列化”时代。仅凭单一产品服务天下所有用户的时代早已尘封，取而代之的是根据用户需求，将产品细分并不断为之注入新的技术活力的“客户化”产品，使得不同用户可以根据自身网络环境需求来挑选真正满足自身安全需要的防御系统。 百兆入侵检测系统 千兆入侵检测系统 专用检测系统——为中小型企业用户专门打造 主机入侵检测系统——多平台需要系列化入侵检测需要系列化入侵检测从不知到有知从被动到主动需要系列化入侵检测需要系列化入侵检测从事后到事前从预警到保障DNS$$$$需要系列化入侵检测需要系列化入侵检测不同网络环境 不同物理位置 不同客户群体 不同应用 不同的组织形式 不同的风险 不同技术要求 需要系列化入侵检测需要系列化入侵检测不同入侵管理系统 不同类型（主机、网络、综合） 不同技术（管理、协议分析、模式匹配、异常统计） 不同部件（扫描、恶意代码检测、蜜网、结构分析） 不同性能（百兆、千兆、2.5G Pos） 不同服务（分析、综合） 低端入侵检测低端入侵检测清晰的界面 只针对网络事件 无需多级控制 用户审计简便 无需了解事件细节（原始报文） 简便的设置 鲜明的报表（事件库） 与防火墙联动 与Scanner联动 ——低端入侵检测是无需现场服务的产品null中端入侵检测多级管理、控制 集多种主机代理与网络引擎于一起 可自定义事件 可自定义窗口 可自动定义协议 可自定义显示内容 与防火墙联动 用户审计手段 可观察事件细节 远程升级综合型事件库 ——中端入侵检测必须是体现专业化的产品高端入侵检测产品高端入侵检测产品综合分析能力 全局预警能力 动态策略调整功能 攻击关联分析功能 协同工作能力 远程分布式能力 ——高端入侵检测具有综合分析能力和全局预警能力null大规模应用时代大规模不是简单的重叠 大规模入侵监测的发展和应用 和IP定位的结合 和网络拓扑发现的结合 入侵监测的新发展入侵监测的新发展可扩展性 网络规模迅速发展的要求数据获取和分析能力的加强 模式匹配算法 对数据库技术的应用 和网络管理系统的相互融合 形成全网监控的管理平台的主要部分 远程管理和远程服务 可用性的提高 和其他技术的相互融合 事件响应机制 入侵监测的新发展（续）入侵监测的新发展（续）入侵监测数据分析新方向 对攻击和威胁进行更加详细的分类 最大限度地降低误报和漏报率 事件相关性分析 时间相关性分析 入侵监测专用技术的逐步形成 黑客事件的描述语言 探测引擎所使用的实时OS 芯片技术 null中国信息安全产品 测评认证中心 对外办公地点： 北京西三环北路27号 互联网址： www.itsec.gov.cn 电话：68428899 传真：68462942问题？问题？