入侵检测系统

1. 入侵检测系统 Intrusion Detection System （IDS） 2007

2. 概述 • 入侵检测方法 • 入侵检测系统的设计原理 • 入侵检测响应机制 • 入侵检测标准化工作 • snort分析 • 展望

3. 概述 • 入侵检测方法 • 入侵检测系统的设计原理 • 入侵检测响应机制 • 入侵检测标准化工作 • 其它 • 展望

4. IDS存在与发展的必然性 一、网络攻击造成的破坏性和损失日益严重 二、网络安全威胁日益增长 三、单纯的防火墙无法防范复杂多变的攻击

5. IDS的作用

6. 为什么需要IDS • 单一防护产品的弱点 • 防御方法和防御策略的有限性 • 动态多变的网络环境 • 来自外部和内部的威胁

7. 为什么需要IDS • 关于防火墙 • 网络边界的设备，只能抵挡外部來的入侵行为 • 自身存在弱点，也可能被攻破 • 对某些攻击保护很弱 • 即使透过防火墙的保护，合法的使用者仍会非法地使用系统，甚至提升自己的权限 • 仅能拒绝非法的连接請求，但是对于入侵者的攻击行为仍一无所知

8. 为什么需要IDS • 入侵很容易 • 入侵教程随处可见 • 各种工具唾手可得

9. 网络安全工具的特点

10. 入侵检测Intrusion Detection • 传统的信息安全方法采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全 • 入侵检测（Intrusion Detection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象

11. 入侵检测的定义 • 对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性 • 入侵检测系统：进行入侵检测的软件与硬件的组合 （IDS : Intrusion Detection System）

12. IDS基本结构 入侵检测系统包括三个功能部件 （1）信息收集 （2）分析引擎 （3）响应部件

13. 信息搜集

14. 信息收集 • 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为 • 需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息 • 尽可能扩大检测范围 • 从一个源来的信息有可能看不出疑点

15. 信息收集 • 入侵检测的效果很大程度上依赖于收集信息的可靠性和正确性 • 要保证用来检测网络系统的软件的完整性 • 特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息

16. 信息收集的来源 • 系统或网络的日志文件 • 网络流量 • 系统目录和文件的异常变化 • 程序执行中的异常行为

17. 系统或网络的日志文件 • 攻击者常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件 • 日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容 • 显然，对用户活动来讲，不正常的或不期望的行为就是:重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等

18. 系统目录和文件的异常变化 • 网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标 • 目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号 • 入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件

19. 分析引擎

20. 分析引擎 • 模式匹配 • 统计分析 • 完整性分析，往往用于事后分析

21. 模式匹配 • 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 • 一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）

22. 统计分析 • 统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等） • 测量属性的平均值和偏差被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生

23. 完整性分析 • 完整性分析主要关注某个文件或对象是否被更改 • 包括文件和目录的内容及属性 • 在发现被更改的、被安装木马的应用程序方面特别有效

24. 响应部件

25. 响应动作 • 简单报警 • 切断连接 • 封锁用户 • 改变文件属性 • 最强烈反应：回击攻击者

26. 入侵检测系统性能关键参数 • 误报(false positive)：如果系统错误地将异常活动定义为入侵 • 漏报(false negative)：如果系统未能检测出真正的入侵行为

27. 入侵检测系统的分类（1） • 按照分析方法（检测方法） • 异常检测模型（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 • 误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵

28. 入侵检测系统的分类 • 主机IDS： • 主机入侵检测系统（HIDS）是一种用于监控单个主机上的活动的软件应用。监控方法包括验证操作系统与应用调用及检查日志文件、文件系统信息与网络连接。 • 网络IDS: • 网络IDS（NIDS）通常以非破坏方式使用。这种设备能够捕获LAN区域中的信息流并试着将实时信息流与已知的攻击签名进行对照。 • 混合型的

29. 网络IDS 侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少 主机IDS 视野集中 易于用户自定义 保护更加周密 对网络流量不敏感 两类IDS监测软件

30. 概述 • 入侵检测方法 •  入侵检测系统的设计原理 • 入侵检测响应机制 • 入侵检测标准化工作 • 其它 • 展望

32. 概述 • 入侵检测方法 • 入侵检测系统的设计原理 •  入侵检测响应机制 • 入侵检测标准化工作 • 其它 • 展望

33. 制订响应策略应考虑的要素 • 系统用户：入侵检测系统用户可以分为网络安全专家或管理员、系统管理员、安全调查员。这三类人员对系统的使用目的、方式和熟悉程度不同，必须区别对待 • 操作运行环境：入侵检测系统提供的信息形式依赖其运行环境 • 系统目标：为用户提供关键数据和业务的系统，需要部分地提供主动响应机制 • 规则或法令的需求：在某些军事环境里，允许采取主动防御甚至攻击技术来对付入侵行为

34. 响应策略 • 弹出窗口报警 • E-mail通知 • 切断TCP连接 • 执行自定义程序 • 与其他安全产品交互 • Firewall • SNMP Trap

35. 自动响应 • 压制调速 • 1、 撤消连接 • 2、 回避 • 3、 隔离 • SYN/ACK • RESETs

36. 蜜罐 • 一个高级的网络节点在使用“压制调速”技术的情况下，可以采用路由器把攻击者引导到一个经过特殊装备的系统上，这种系统被成为蜜罐 • 蜜罐是一种欺骗手段，它可以用于错误地诱导攻击者，也可以用于收集攻击信息，以改进防御能力 • 蜜罐能采集的信息量由自身能提供的手段以及攻击行为数量决定

37. 概述 • 入侵检测方法 • 入侵检测系统的设计原理 • 入侵检测响应机制 •  入侵检测标准化工作 • 其它 • 展望

38. IDS标准化要求 • 随着网络规模的扩大，网络入侵的方式、类型、特征各不相同，入侵的活动变得复杂而又难以捉摸 • 网络的安全要求IDS之间能够相互协作，能够与访问控制、应急、入侵追踪等系统交换信息，形成一个整体有效的安全保障系统 • 需要一个标准来加以指导，系统之间要有一个约定

39. CIDF(The Common Intrusion Detection Framework) http://www.gidos.org/drafts

40. CIDF • CIDF早期由美国国防部高级研究计划局赞助研究，现在由CIDF工作组负责，这是一个开放组织。实际上CIDF已经成为一个开放的共享的资源 • CIDF是一套规范，它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议 • 符合CIDF规范的IDS可以共享检测信息，相互通信，协同工作，还可以与其它系统配合实施统一的配置响应和恢复策略 • CIDF的主要作用在于集成各种IDS，使之协同工作，实现各IDS之间的组件重用，所以CIDF也是构建分布式IDS的基础

41. CIDF规格文档 CIDF的规格文档由四部分组成，分别为： • 体系结构：阐述了一个标准的IDS的通用模型 • 规范语言：定义了一个用来描述各种检测信息的标准语言 • 内部通讯：定义了IDS组件之间进行通信的标准协议 • 程序接口：提供了一整套标准的应用程序接口

42. 通信层次 • CIDF将各组件之间的通信划分为三个层次结构：GIDO层（GIDO layer）、消息层（Message layer）和传输层（Negotiated Transport layer） • 其中传输层不属于CIDF规范，它可以采用很多种现有的传输机制来实现 • 消息层负责对传输的信息进行加密认证，然后将其可靠地从源传输到目的地，消息层不关心传输的内容，它只负责建立一个可靠的传输通道 • GIDO层负责对传输信息的格式化，正是因为有了GIDO这种统一的信息表达格式，才使得各个IDS之间的互操作成为可能

43. CISL(A Common Intrusion Specification Language ) • CIDF的规范语言文档定义了一个公共入侵标准语言CISL，各IDS使用统一的CISL来表示原始事件信息、分析结果和响应指令，从而建立了IDS之间信息共享的基础 • CISL是CIDF的最核心也是最重要的内容

44. 匹配服务法（匹配器） • CIDF的匹配服务为CIDF各组件之间的相互识别、定位和信息共享提供了一个标准的统一的机制 • 匹配器的实现是基于轻量目录访问协议（LDAP）的，每个组件通过目录服务注册，并公告它能够产生或能够处理的GIDO，这样组件就被分类存放，其它组件就可以方便地查找到那些它们需要通信的组件 • 目录中还可以存放组件的公共密钥，从而实现对组件接收和发送GIDO时的身份认证

45. 匹配器构成 • 通信模块：实现客户端（可为任何一个CIDF组件）与匹配代理之间的通信协议 • 匹配代理：一个任务是处理从远端组件到它的客户端的输入请求，另一个任务是处理从它的客户端到远端组件的输出请求 • 认证和授权模块：使一个组件能够鉴别其它组件，使客户端与匹配代理之间能够相互鉴别 • 客户端缓冲区：使客户端能够对最近建立的一些关联信息进行缓冲存储

46. CIDF程序接口 CIDF的程序接口文档描述了用于GIDO编解码以及传输的标准应用程序接口（以下简称为API），它包括以下几部分内容 • GIDO编码和解码API（GIDO Encoding/Decoding API Specification） • 消息层API（Message Layer API Specification） • GIDO动态追加API（GIDO Addendum API） • 签名API（Signature API） • 顶层CIDF的API（Top-Level CIDF API） 每类API均包含数据结构定义、函数定义和错误代码定义等

47. CIDF的应用 • 目前CIDF还没有成为正式的标准，也没有一个商业IDS产品完全遵循该规范，但各种IDS的结构模型具有很大的相似性，各厂商都在按照CIDF进行信息交换的标准化工作，有些产品已经可以部分地支持CIDF • 可以预测，随着分布式IDS的发展，各种IDS互操作和协同工作的迫切需要，各种IDS产品必须遵循统一的框架结构，CIDF将成为事实上的IDS的工业标准

48. 产品 • 免费 • Snort • http://www.snort.org • SHADOW • http://www.nswc.navy.mil/ISSEC/CID/

49. 产品 • 商业 • CyberCop Monitor, NAI • Dragon Sensor, Enterasys • eTrust ID, CA • NetProwler, Symantec • NetRanger, Cisco • NID-100/200, NFR Security • RealSecure, ISS • SecureNet Pro, Intrusion.com

50. 资源 • IDS FAQ • http://www.robertgraham.com/pubs/ • Focus-IDS Mailinglist • http://online.securityfocus.com/archive/96 • Yawl • http://www.docshow.net • OldHand • http://www.oldhand.org • Sinbad • http://sinbad.dhs.org/doc.html?board=IDS