IDS技术原理解析.ppt

《IDS技术原理解析.ppt》由会员分享，可在线阅读，更多相关《IDS技术原理解析.ppt（62页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、l什么是入侵行为l入侵检测系统l防火墙的局限性lIDS技术lIDS规避lIDS结构lIDS的发展趋势入侵行为主要是指对系统资源的非授权使用，它可以造成系统数据的丢失和破坏、可以造成系统拒绝对合法用户服务等危害。 IDS（Intrusion Detection System）就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。 监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机摄像机=探测引擎探测引擎形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它

2、也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。 Firewall FirewallServersDMZDMZIDS AgentIntranetIntranet监控中心监控中心router攻击者攻击者发现攻击发现攻击发现攻击发现攻击发现攻击发现攻击报警报警报警报警IDS Agent 访问访问控制控制 认证认证 NAT 加密加密 防病毒、内容防病毒、内容过滤过滤 流量管理流量管理两个安全域之间通信流的唯一通道安全域

3、1Host A Host B 安全域2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防防 火火 墙墙防防 火火 墙的局限墙的局限%c1%1c%c1%1cDir c:l防火墙不能防止通向站点的后门。l防火墙一般不提供对内部的保护。l防火墙无法防范数据驱动型的攻击。l防火墙本身的防攻击能力不够，容易成为被攻击的首要目标l防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略时间在安全体系中，IDS是唯一一个通过数据和行为模式判断其是否有效的

4、系统，如下图所示，防火墙就象一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子；访问控制系统可以不让低级权限的人做越权工作，但无法保证高级权限的做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限 l实时检测 实时地监视、分析网络中所有的数据报文 发现并实时处理所捕获的数据报文l安全审计 对系统记录的网络事件进行统计分析 发现异常现象 得出系统的安全状态，找出所需要的证据l主动响应 主动切断连接或与防火墙联动，调用其他程序处理l实时检测网络系统的非法行为 l网络IDS系统不占用系统的任何资源l网络IDS系统是一个独立的网络设备，可以做到对黑客透明

5、，因此其本身的安全性高 l它既是实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证 l主机IDS系统运行于保护系统之上，可以直接保护、恢复系统l通过与防火墙的联动，可以更有效地阻止非法入侵和破坏主机IDS运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。其监测的资源主要包括：网络、文件、进程、系统日志等 基于网络的入侵检测系统的主要优点有：基于网络的入侵检测系统的主要优点有：（1）成本低。（2）攻击者转移证据很困难。（3）实时检测和应答。一旦发生恶意访问或攻击，基于网络的IDS检测可以随时发现它们，因此能够更

6、快地作出反应。从而将入侵活动对系统的破坏减到最低。（4）能够检测未成功的攻击企图。（5）操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源。而基于主机的系统需要特定的操作系统才能发挥作用。基于主机的基于主机的IDSIDS的主要优势有：的主要优势有：（1）非常适用于加密和交换环境。（2）实时的检测和应答。（3）不需要额外的硬件。异常发现技术（基于行为的检测 ）模式发现技术（基于知识的检测 ）l基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测，所以也被称为异常检测(Anomaly Detection)。 与系统相对无关，通用性强 能检测出

7、新的攻击方法 误检率较高 l操作密度l审计记录分布l范畴尺度l数值尺度记录的具体操作包括：CPU 的使用，I/O 的使用，使用地点及时间，邮件使用，编辑器使用，编译器使用，所创建、删除、访问或改变的目录及文件，网络上活动等。 基本思想是用一系列信息单元(命令)训练神经单元，这样在给定一组输入后，就可能预测出输出。当前命令和刚过去的w个命令组成了网络的输入，其中w是神经网络预测下一个命令时所包含的过去命令集的大小。根据用户的代表性命令序列训练网络后，该网络就形成了相应用户的特征表，于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。目前还不很成熟。 基于知识的检测指运用已知攻击方

8、法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性，通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。基于知识的检测也被称为违规检测(Misuse Detection)。这种方法由于依据具体特征库进行判断，所以检测准确度很高，并且因为检测结果有明确的参照，也为系统管理员做出相应措施提供了方便。 将有关入侵的知识转化成if-then结构的规则，即将构成入侵所要求的条件转化为if 部分，将发现入侵后采取的相应措施转化成then部分。当其中某个或某部分条件满足时，系统就判断为入侵行为发生。其中的if-then结构构成了描述

9、具体攻击的规则库，状态行为及其语义环境可根据审计事件得到，推理机根据规则和行为完成判断工作。 模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为：攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特殊使用等。根据这些知识建立攻击脚本库，每一脚本都由一系列攻击行为组成。 状态转换法将入侵过程看作一个行为序列，这个行为序列导致系统从初始状态转入被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的转换条件，即导致系统进入被入侵状态必须执行的操作(特征事件)。然后用状态转换图来表示每一个状态和特征事件，这些事件被集成于模型中，所

10、以检测时不需要一个个地查找审计记录。但是，状态转换是针对事件序列分析，所以不善于分析过分复杂的事件，而且不能检测与系统状态无关的入侵。 l检测要点 TCP协议：protocol:tcp 目地端口21：dst port:21 必须是已经建立的连接：conn_status:established（TCP层状态跟踪） 必须是FTP已经登录成功：ftp_login:success（应用层状态跟踪） 协议命令分析，把cd命令与后面的参数分开来，看cd后面是目录名是否为“.%20.”：ftpcomm_cd_para:” .%20.”（协议解码） 分析下一个服务器回应的包，是“250”（成功）还是“550”

11、（失败）： ftp_reply:”250”|”550” （应用层状态跟踪）l很难让这种分析产生误报和漏报，而且还能跟踪攻击是否成功。l基于网络层的规避及对策l基于应用层的规避及对策l理论 1998年1月Ptacek&Newsham论文：Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detectionl主要思想 一个网络上被动的设备很难只根据网络上的数据预计受保护的终端系统的行为，利用IDS对数据包的分析处理方式与终端服务器TCP/IP实现方式的不同，进行插入、逃避及拒绝服务攻击，使IDS无法正确地检测到

12、攻击。l当处理到重叠的TCP/IP分片时，有些系统保留新数据，有些系统保留老数据，IDS处理重叠时可能与终端系统不同 Windows NT 4.0保留老数据 Linux保留新数据l终端系统可能会丢弃某些带了不被支持或不寻常的TCP/IP选项的数据包，IDS则可能还会处理那些包 终端系统可能被配置成丢弃源路由的包 终端系统可能丢弃有老时间戳的包 终端系统可能丢弃某些带有特殊TCP/IP选项组合的包l因为网络拓扑与数据包TTL值的设置，IDS和终端系统可能收到不同的数据包l在进行TCP/IP分片的重组时，IDS与终端系统的所设定的超时可能不同，造成重组的结果不同lIDS与终端系统的硬件能力不同，导

13、致一方能够完成的重组对另一方来说不可能完成所有以上这些的不同，使下面的这几种攻击成为可能。 在数据流中插入多余的字符，而这些多余的字符会使IDS接受而被终端系统所丢弃。 想办法使数据流中的某些数据包造成终端系统会接受而IDS会丢弃局面。lIDS本身的资源也是有限的，攻击者可以想办法使其耗尽其中的某种资源而使之失去正常的功能 CPU，攻击者可以迫使IDS去执行一些特别耗费计算时间而又无意义的事 内存，连接状态的保留、数据包的重组都需要大量的内存，攻击者可以想办法使IDS不停的消耗内存 日志记录空间，攻击者可以不停地触发某个事件让IDS不停地记录，最终占满记录空间 IDS需要处理网络上所有的数据包

14、，如果攻击者能使IDS所在的网络达到很高的流量，IDS的检测能力将急剧下降l采用旁路方式全面侦听网上信息流，实时分析l将分析结果与探测器上运行的策略集相匹配l执行报警、阻断、日志等功能。l完成对控制中心指令的接收和响应工作。l探测器是由策略驱动的网络监听和分析系统。IDS系统结构系统结构-控制中心控制中心l提供报警显示提供报警显示l提供对预警信息的记录和检索、统计功能提供对预警信息的记录和检索、统计功能l制定入侵监测的策略；制定入侵监测的策略；l控制探测器系统的运行状态控制探测器系统的运行状态l收集来自多台引擎的上报事件，综合进行事件分析，收集来自多台引擎的上报事件，综合进行事件分析，以多种方

15、式对入侵事件作出快速响应。以多种方式对入侵事件作出快速响应。这种分布式结构有助于系统管理员的集中管理，全面搜这种分布式结构有助于系统管理员的集中管理，全面搜集多台探测引擎的信息，进行入侵行为的分析。集多台探测引擎的信息，进行入侵行为的分析。l单机结构单机结构 ：引擎和控制中心在一个系统之上，不能远距离操作，只能在现场进行操作。l优点优点是结构简单，不会因为通讯而影响网络带宽和泄密。l分布式结构分布式结构就是引擎和控制中心在2个系统之上，通过网络通讯，可以远距离查看和操作。目前的大多数IDS系统都是分布式的。 l优点优点不是必需在现场操作，可以用一个控制中心控制多个引擎，可以统一进行策略编辑和下

16、发，可以统一查看申报的事件，可以通过分开事件显示和查看的功能提高处理速度等等。l系统结构系统结构l事件数量事件数量 l处理带宽处理带宽 l定义事件定义事件 l事件响应事件响应 l自身安全自身安全 l多级管理多级管理l事件库更新事件库更新 l友好界面友好界面 l日志分析日志分析 l资源占用率资源占用率 l抗打击能力抗打击能力 所谓日志分析，就是按照事件的各种属性、源、目的地址分布等信息进行统计分析、数据检索等操作，提供各种分析的图形、表格信息，使用户十分清楚地了解所发生地总体态势，并方便地查找出所需要地事件。IDS的事件按照类型一般分为3大类：记录事件、可疑事件、非法事件。当IDS系统产生了一个

17、事件后，不仅仅是报告显示该事件，还可以进行一系列操作对该事件进行实时处理。按照处理方法的不同，一般分为基本（被动）响应和积极（主动）响应2种。 基本响应是IDS所产生的响应只是为了更好地通知安全人员，并不对该网络行为进行进行自动的阻断行为。 基本响应主要由下面几种：l事件上报：l事件日志：lEmail通知：l手机短信息：l呼机信息：lWindows消息：通过IDS的事件积极响应，IDS系统可以直接阻止网络非法行为，保障被保护系统的安全。l阻断：通过发送扰乱报文，IDS系统破坏正常的网络连接，使非法行为无法继续进行。 l源阻断：通过记忆网络非法行为的源IP地址，在一段时间内阻断所有该地址的网络连

18、接，使网络非法行为在其行动的初期就被有效地组织。 l联动：通过防火墙的联动，IDS系统可以彻底阻止网络非法行为 考察IDS系统的一个关键性指标是报警事件的多少。一般而言，事件越多，表明IDS系统能够处理的能力越强。一般而言，这个数量在5001000之间，应该与流行系统的漏洞数目相关。 事件数量事件数量作为分布式结构的IDS系统，通讯是其自身安全的关键因素。这包含2个部分：一是身份认证，一是数据加密。身份认证是要保证一个引擎，或者子控制中心只能由固定的上级进行控制，任何非法的控制行为将予以阻止，如下图所示：通通 讯讯探测引擎控制中心探测引擎控制中心非法控制中心l基本（被动）响应l积极（主动）响应

19、连接申请方连接申请方 被连接方被连接方 连接申请报文 连接确认报文 数据通讯报文 通讯结束申请报文 确认报文 发送确认和连接报文 数据通讯报文 确认报文 通讯结束申请报 TCPTCP连接是经过连接是经过3 3次握手建立连接、次握手建立连接、4 4次握手中断连接而完成的次握手中断连接而完成的 IDS设备开始报文 后续报文 防火墙监测网络报文设置命令l隐蔽性：在作为一个安全的网络设备，IDS是不希望被网络上的其他系统发现，尤其不能让其他网络系统所访问。l关闭所有可能的端口 、修改系统的设置，阻止一切没有必要的网络行为 、关闭所有网络行为，进行无IP地址抓 包。l定制操作系统 自身安全自身安全多级管

20、理多级管理 l分级管理的主要指标是管理层数目，至少具有主控、子控2级控制中心 l分级管理的另一个指标是各级系统的处理能力是否分档次 事件库更新IDS的一个主要特点，就是更新快，否则就会失去作用。目前由于internet网络的发展，一个蠕虫病毒可能一天就流行与全世界因此IDS事件的增加速度，必须能够跟上需要的发展 抗打击能力抗打击能力 l好的IDS系统必须有能力抵抗黑客的恶意信息的破坏lIDS杀手：在短时间内发送大量的具有黑客特征的报文信息，使一个报文至少产生1个以上的IDS事件，造成IDS系统在1秒内生成成百上千的事件，最终“累死”IDS系统，同时掩护真正地黑客行为。 lIDS欺骗：目前地IDS系统主要使基于数据的模式匹配，因此，不少黑客程序通过把黑客特征信息分开，改变形式等措施，使IDS系统的数据匹配失效，从而躲过IDS的监控。如碎包 入侵检测的发展入侵检测的发展l 入侵监测的挑战：准确性、更新速度l 设计完善的入侵监测模型，以便可用最小代价及时地更新追加攻击方法l 共享和智能分析相关信息，准确锁定入侵行为l 构建自适应的入侵监测体系入侵检测的发展入侵检测的发展l 利用新的设计思路提高系统性能l 利用新技术增强入侵监测的功能l 利用新的策略创建系统的特色新一代入侵监测系统