《信息安全原理》-第4章信息系統(tǒng)安全監(jiān)控.ppt

第4章信息系統(tǒng)安全監(jiān)控 從安全性的角度看 所有試圖破壞系統(tǒng)安全性的行為都稱為攻擊 入侵就是成功的攻擊 當(dāng)一次入侵是成功的時(shí)候 一次入侵就發(fā)生了 或著說(shuō) 系統(tǒng)藉以保障安全的第一道防線已經(jīng)被攻破了 所以 只從防御的角度被動(dòng)地構(gòu)筑安全系統(tǒng)是不夠的 安全監(jiān)控是從一種積極的防御措施 它通過(guò)對(duì)系統(tǒng)中所發(fā)生的現(xiàn)象的記錄 分析系統(tǒng)出現(xiàn)了什么異常 以便采取相應(yīng)的對(duì)策 本章結(jié)構(gòu) 4 1入侵檢測(cè)系統(tǒng)概述 4 2入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu) 4 3入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn) 4 4入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)化 4 5網(wǎng)絡(luò)誘騙 4 6安全審計(jì) 習(xí)題 4 1入侵檢測(cè)系統(tǒng)概述 入侵檢測(cè) IntrusionDetectionSystem IDS 就是一種主動(dòng)安全保護(hù)技術(shù) 入侵檢測(cè)像雷達(dá)警戒一樣 在不影響網(wǎng)絡(luò)性能的前提下 對(duì)網(wǎng)絡(luò)進(jìn)行警戒 監(jiān)控 從計(jì)算機(jī)網(wǎng)絡(luò)的若干關(guān)鍵點(diǎn)收集信息 通過(guò)分析這些信息 看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到攻擊的跡象 從而擴(kuò)展了系統(tǒng)管理員的安全管理能力 提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性 4 1 1入侵檢測(cè)與入侵檢測(cè)系統(tǒng) IDS是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)的處理 它最早于1980年4月由JamesP Anderson在為美國(guó)空軍起草的技術(shù)報(bào)告 ComputerSecurityThreatMonitoringandSurveillance 計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視 中提出 他提出了一種對(duì)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類方法 將威脅分為外部滲透 內(nèi)部滲透和不法行為 提出了利用審計(jì)跟蹤數(shù)據(jù) 監(jiān)視入侵活動(dòng)的思想 相關(guān)概念 入侵 Intrusion 是一個(gè)廣義的概念 不僅包括發(fā)起攻擊的人 包括黑客 取得超出合法權(quán)限的行為 也包括收集漏洞信息 造成拒絕訪問(wèn) DenialofService 等對(duì)系統(tǒng)造成危害的行為 入侵檢測(cè) IntrusionDetection 就是對(duì)入侵行為的發(fā)覺(jué) 它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)等信息系統(tǒng)中若干關(guān)鍵點(diǎn)的有關(guān)信息的收集和分析 從中發(fā)現(xiàn)系統(tǒng)中是否存在有違反安全規(guī)則的行為和被攻擊的跡象 入侵檢測(cè)系統(tǒng) IntrusionDetectionSystem IDS 就是進(jìn)行入侵檢測(cè)的軟件和硬件的組合 入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù) 提供了對(duì)內(nèi)部攻擊 外部攻擊和誤操作的實(shí)時(shí)保護(hù) 被認(rèn)為是防火墻后面的第二道安全防線 入侵檢測(cè)系統(tǒng)的主要功能 具體說(shuō)來(lái) 入侵檢測(cè)系統(tǒng)的主要功能有 監(jiān)視并分析用戶和系統(tǒng)的行為 審計(jì)系統(tǒng)配置和漏洞 評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性 識(shí)別攻擊行為 對(duì)異常行為進(jìn)行統(tǒng)計(jì) 自動(dòng)收集與系統(tǒng)相關(guān)的補(bǔ)丁 審計(jì) 識(shí)別 跟蹤違反安全法規(guī)的行為 使用誘騙服務(wù)器記錄黑客行為 4 1 2實(shí)時(shí)入侵檢測(cè)和事后入侵檢測(cè) 實(shí)時(shí)入侵檢測(cè) 實(shí)時(shí)入侵檢測(cè)在網(wǎng)絡(luò)的連接過(guò)程中進(jìn)行 通過(guò)攻擊識(shí)別模塊對(duì)用戶當(dāng)前的操作進(jìn)行分析 一旦發(fā)現(xiàn)攻擊跡象就轉(zhuǎn)入攻擊處理模塊 如立即斷開攻擊者與主機(jī)的連接 收集證據(jù)或?qū)嵤?shù)據(jù)恢復(fù)等 如圖4 1所示 這個(gè)檢測(cè)過(guò)程是反復(fù)循環(huán)進(jìn)行的 圖4 1實(shí)時(shí)入侵檢測(cè)過(guò)程 事后入侵檢測(cè) 事后入侵檢測(cè)是根據(jù)計(jì)算機(jī)系統(tǒng)對(duì)用戶操作所做的歷史審計(jì)記錄 判斷是否發(fā)生了攻擊行為 如果有 則轉(zhuǎn)入攻擊處理模塊處理 事后入侵檢測(cè)通常由網(wǎng)絡(luò)管理人員定期或不定期地進(jìn)行的 圖4 2為事后入侵檢測(cè)的過(guò)程 圖4 2事后入侵檢測(cè)的過(guò)程 4 1 3入侵檢測(cè)系統(tǒng)模型 1 IDES模型 1980年JamesP Anderson為美國(guó)空軍起草的技術(shù)報(bào)告 ComputerSecurityThreatMonitoringandSurveillance 僅僅提出了關(guān)于入侵檢測(cè)一些概念 1984年到1986年間 喬治敦大學(xué)的DorothyDenning和SRI CSI SRI公司的計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室 的PeterNeumann研究出了一個(gè)如圖4 3所示的實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型IDES 入侵檢測(cè)專家系統(tǒng) 圖4 3Denning的IDES模型 這個(gè)模型的結(jié)構(gòu)特點(diǎn) 事件產(chǎn)生器從審計(jì)記錄 網(wǎng)絡(luò)數(shù)據(jù)包以及其他可視行為中獲取事件 構(gòu)成檢測(cè)的基礎(chǔ) 行為特征表是整個(gè)檢測(cè)系統(tǒng)的核心 它包含了用于計(jì)算用戶行為特征的所有變量 這些變量可以根據(jù)具體采用的統(tǒng)計(jì)方法以及事件記錄中的具體動(dòng)作模式定義 并根據(jù)匹配上的記錄數(shù)據(jù)進(jìn)行變量值的更新 一旦有統(tǒng)計(jì)變量的值達(dá)到了異常程度 行為特征表即產(chǎn)生異常記錄 并采取相應(yīng)的措施 規(guī)則模塊可以由系統(tǒng)安全策略 入侵模式等贊成 它一方面為判斷是否入侵提供參考標(biāo)準(zhǔn) 另一方面 可以根據(jù)事件記錄 異常記錄以及有效日期等控制并更新其他模塊的狀態(tài) 這個(gè)模型還獨(dú)立于特定的系統(tǒng)平臺(tái) 應(yīng)用環(huán)境和入侵類型 為構(gòu)建入侵檢測(cè)系統(tǒng)提供了一個(gè)通用框家 IDES模型的改進(jìn) 1988年 SRI CSI的TeresaLuunt等人改進(jìn)了Denning的模型 開發(fā)出了如圖4 4所示的IDES 該系統(tǒng)包括一個(gè)異常檢測(cè)器 用于統(tǒng)計(jì)異常模型建立 和一個(gè)策略規(guī)則專家系統(tǒng) 基于規(guī)則的特征分析檢測(cè) 審計(jì)數(shù)據(jù)源 模式匹配器 輪廓特征引擎 異常檢測(cè)器 策略規(guī)則 警告 報(bào)告產(chǎn)生器 圖4 4IDES結(jié)構(gòu)框架 2 DIDS模型 1988年 莫里斯蠕蟲的爆發(fā) 引起了軍界 學(xué)者和企業(yè)界對(duì)網(wǎng)絡(luò)安全的高度重視 美國(guó)空軍 國(guó)家安全局和能源部共同資助空軍密碼支持中心 勞掄斯利弗摩爾國(guó)家實(shí)驗(yàn)室 加州大學(xué)分校 Haystack實(shí)驗(yàn)室開展對(duì)分布式入侵檢測(cè)系統(tǒng) DIDS 的研究 DIDS將基于主機(jī)和基于網(wǎng)絡(luò)的檢測(cè)方法集成到一起 形成如圖4 5所示的模型 DIDS檢測(cè)模型采用了分層結(jié)構(gòu) 包括了數(shù)據(jù) 時(shí)間 主體 上下文 威脅 安全狀態(tài)等6層 成為分布式入侵檢測(cè)系統(tǒng)發(fā)展史上的一個(gè)里程碑 圖4 5DIDS結(jié)構(gòu)框架 4 1 4入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)及其局限 1 優(yōu)點(diǎn) 采用入侵檢測(cè)系統(tǒng)和漏洞評(píng)估工具帶來(lái)的好處有如下一些 提高了信息系統(tǒng)安全體系其他部分的完整性 提高了系統(tǒng)的監(jiān)察能力 可以跟蹤用戶從進(jìn)入到退出的所有活動(dòng)或影響 能夠識(shí)別并報(bào)告數(shù)據(jù)文件的改動(dòng) 可以發(fā)現(xiàn)系統(tǒng)配置的錯(cuò)誤 并能在必要時(shí)予以改正 可以識(shí)別特定類型的攻擊 并進(jìn)行報(bào)警 作出防御響應(yīng) 可以使管理人員最新的版本升級(jí)添加到程序中 允許非專業(yè)人員從事系統(tǒng)安全工作 可以為信息系統(tǒng)安全提供指導(dǎo) 2 局限 但是 與其他任何工具一樣 入侵檢測(cè)也不是萬(wàn)能的 它們的使用存在如下局限 在無(wú)人干預(yù)的情形下 無(wú)法執(zhí)行對(duì)攻擊的檢測(cè) 無(wú)法感知組織 公司 安全策略的內(nèi)容 不能彌補(bǔ)網(wǎng)絡(luò)協(xié)議的漏洞 不能彌補(bǔ)系統(tǒng)提供信息的質(zhì)量或完整性問(wèn)題 不能分析網(wǎng)絡(luò)繁忙時(shí)的所有事物 不能總是對(duì)數(shù)據(jù)包級(jí)的攻擊進(jìn)行處理 4 2入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu) 入侵檢測(cè)是防火墻的合理補(bǔ)充 幫助系統(tǒng)對(duì)付來(lái)自外部或內(nèi)部的攻擊 擴(kuò)展了系統(tǒng)管理員的安全管理能力 如安全審計(jì) 監(jiān)視 攻擊識(shí)別及其響應(yīng) 提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性 如圖4 6所示 入侵檢測(cè)系統(tǒng)的主要工作就是從信息系統(tǒng)的若干關(guān)鍵點(diǎn)上收集信息 然后分析這些信息 用來(lái)得到網(wǎng)絡(luò)中有無(wú)違反安全策略的行為和遭到襲擊的跡象 圖4 6入侵檢測(cè)系統(tǒng)的通用模型 入侵檢測(cè)系統(tǒng)這個(gè)模型比較粗略 但是它表明數(shù)據(jù)收集 數(shù)據(jù)分析和處理響應(yīng)是一個(gè)入侵檢測(cè)系統(tǒng)的最基本部件 4 2 1信息收集 1 數(shù)據(jù)收集的內(nèi)容 入侵檢測(cè)的第一步是在信息系統(tǒng)的一些關(guān)鍵點(diǎn)上收集信息 這些信息就是入侵檢測(cè)系統(tǒng)的輸入數(shù)據(jù) 入侵檢測(cè)系統(tǒng)收集的數(shù)據(jù)一般有如下4個(gè)方面 1 主機(jī)和網(wǎng)絡(luò)日志文件 2 目錄和文件中的不期望的改變 3 程序執(zhí)行中的不期望行為 4 物理形式的入侵信息 1 主機(jī)和網(wǎng)絡(luò)日志文件 主機(jī)和網(wǎng)絡(luò)日志文件中記錄了各種行為類型 每種行為類型又包含不同的信息 例如記錄 用戶活動(dòng) 類型的日志 就包含登錄 用戶ID改變 用戶對(duì)文件的訪問(wèn) 授權(quán)和認(rèn)證信息等內(nèi)容 這些信息包含了發(fā)生在主機(jī)和網(wǎng)絡(luò)上的不尋常和不期望活動(dòng)的證據(jù) 留下黑客的蹤跡 通過(guò)查看日志文件 能夠發(fā)現(xiàn)成功的入侵或入侵企圖 并很快地啟動(dòng)響應(yīng)的應(yīng)急響應(yīng)程序 因此 充分利用主機(jī)和網(wǎng)絡(luò)日志文件信息是檢測(cè)入侵的必要條件 2 目錄和文件中的不期望的改變 網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件 包含重要信息的文件和私密數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo) 黑客經(jīng)常替換 修改和破壞他們獲得訪問(wèn)權(quán)的系統(tǒng)上的文件 同時(shí)為了隱蔽系統(tǒng)中他們的活動(dòng)痕跡 還會(huì)盡力替換系統(tǒng)程序或修改系統(tǒng)日志文件 因此 目錄和文件中的不期望的改變 包括修改 創(chuàng)建和刪除 特別是那些正常情況下限制訪問(wèn)的對(duì)象 往往就是入侵產(chǎn)生的指示和信號(hào) 3 程序執(zhí)行中的不期望行為 每個(gè)在系統(tǒng)上執(zhí)行的程序由一到多個(gè)進(jìn)程來(lái)實(shí)現(xiàn) 每個(gè)進(jìn)程都運(yùn)行在特定權(quán)限的環(huán)境中 的行為由它運(yùn)行時(shí)執(zhí)行的操作來(lái)表現(xiàn) 這種環(huán)境控制著進(jìn)程可訪問(wèn)的系統(tǒng)資源 程序和數(shù)據(jù)文件等 操作執(zhí)行的方式不同 利用的系統(tǒng)資源也就不同 操作包括計(jì)算 文件傳輸 設(shè)備以及與網(wǎng)絡(luò)間其它進(jìn)程的通訊 黑客可能會(huì)將程序或服務(wù)的運(yùn)行分解 從而導(dǎo)致它的失敗 或者是以非用戶或管理員意圖的方式操作 因此 一個(gè)進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng) 4 物理形式的入侵信息 黑客總是想方設(shè)法 如通過(guò)網(wǎng)絡(luò)上的由用戶私自加上去的不安全 未授權(quán)設(shè)備 去突破網(wǎng)絡(luò)的周邊防衛(wèi) 以便能夠在物理上訪問(wèn)內(nèi)部網(wǎng) 在內(nèi)部網(wǎng)上安裝他們自己的設(shè)備和軟件 例如 用戶在家里可能安裝Modem以訪問(wèn)遠(yuǎn)程辦公室 那么這一撥號(hào)訪問(wèn)就成了威脅網(wǎng)絡(luò)安全的后門 黑客就會(huì)利用這個(gè)后門來(lái)訪問(wèn)內(nèi)部網(wǎng) 從而越過(guò)了內(nèi)部網(wǎng)絡(luò)原有的防護(hù)措施 然后捕獲網(wǎng)絡(luò)流量 進(jìn)而攻擊其它系統(tǒng) 并偷取敏感的私有信息等等 2 入侵檢測(cè)系統(tǒng)的數(shù)據(jù)收集機(jī)制 準(zhǔn)確性 可靠性和效率是入侵檢測(cè)系統(tǒng)數(shù)據(jù)收集機(jī)制基本指標(biāo) 在IDS中占據(jù)著舉足輕重的位置 如果收集的數(shù)據(jù)時(shí)延較大 檢測(cè)就會(huì)失去作用 如果數(shù)據(jù)不完整 系統(tǒng)的檢測(cè)能力就會(huì)下降 如果由于錯(cuò)誤或入侵者的行為致使收集的數(shù)據(jù)不正確 IDS就會(huì)無(wú)法檢測(cè)某些入侵 給用戶以安全的假象 1 基于主機(jī)的數(shù)據(jù)收集和基于網(wǎng)絡(luò)的數(shù)據(jù)收集 基于主機(jī)的IDS是在每臺(tái)要保護(hù)的主機(jī)后臺(tái)運(yùn)行一個(gè)代理程序 檢測(cè)主機(jī)運(yùn)行日志中記錄的未經(jīng)授權(quán)的可疑行徑 檢測(cè)正在運(yùn)行的進(jìn)程是否合法并及時(shí)做出響應(yīng) 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)是在連接過(guò)程中監(jiān)視特定網(wǎng)段的數(shù)據(jù)流 查找每一數(shù)據(jù)包內(nèi)隱藏的惡意入侵 對(duì)發(fā)現(xiàn)的入侵做出及時(shí)的響應(yīng) 在這種系統(tǒng)中 使用網(wǎng)絡(luò)引擎執(zhí)行監(jiān)控任務(wù) 如圖4 7所示 網(wǎng)絡(luò)引擎所處的位置決定了所監(jiān)控的網(wǎng)段 圖4 7基于網(wǎng)絡(luò)的IDS中網(wǎng)絡(luò)引擎的配置 如圖4 7所示 網(wǎng)絡(luò)引擎所處的位置決定了所監(jiān)控的網(wǎng)段 網(wǎng)絡(luò)引擎配置在防火墻內(nèi) 可以監(jiān)測(cè)滲透過(guò)防火墻的攻擊 網(wǎng)絡(luò)引擎配置在防火墻外的非軍事區(qū) 可以監(jiān)測(cè)對(duì)防火墻的攻擊 網(wǎng)絡(luò)引擎配置在內(nèi)部網(wǎng)絡(luò)的各臨界網(wǎng)段 可以監(jiān)測(cè)內(nèi)部的攻擊 控制臺(tái)用于監(jiān)控全網(wǎng)絡(luò)的網(wǎng)絡(luò)引擎 為了防止假扮控制臺(tái)入侵或攔截?cái)?shù)據(jù) 在控制臺(tái)與網(wǎng)絡(luò)引擎之間應(yīng)創(chuàng)建安全通道 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑 它的隱蔽性好 視野寬 偵測(cè)速度快 占用資源少 實(shí)施簡(jiǎn)便 并且還可以用單獨(dú)的計(jì)算機(jī)實(shí)現(xiàn) 不增加主機(jī)負(fù)擔(dān) 但難于發(fā)現(xiàn)所有數(shù)據(jù)包 對(duì)于加密環(huán)境無(wú)能為力 用在交換式以太網(wǎng)上比較困難 基于主機(jī)的IDS提供了基于網(wǎng)絡(luò)的IDS不能提供的一些功能 如二進(jìn)制完整性檢查 記錄分析和非法進(jìn)程關(guān)閉等 同時(shí)由于不受交換機(jī)隔離的影響 在交換網(wǎng)絡(luò)中非常有用 但是它對(duì)網(wǎng)絡(luò)流量不敏感 并且由于運(yùn)行在后臺(tái) 不能訪問(wèn)被保護(hù)系統(tǒng)的核心功能 不能將攻擊阻擋在協(xié)議層之外 它的內(nèi)在結(jié)構(gòu)沒(méi)有任何束縛 并可以利用操作系統(tǒng)提供的功能 結(jié)合異常分析 較準(zhǔn)確地報(bào)告攻擊行為 而不是根據(jù)網(wǎng)上收集到的數(shù)據(jù)包去猜測(cè)發(fā)生的事件 但是它們往往要求為不同的平臺(tái)開發(fā)不同的程序 從而增加了主機(jī)的負(fù)擔(dān) 總地看來(lái) 單純地使用基于主機(jī)的入侵檢測(cè)或基于網(wǎng)絡(luò)的入侵檢測(cè) 都會(huì)造成主動(dòng)防御體系的不全面 但是 由于它們具有互補(bǔ)性 所以將兩種產(chǎn)品結(jié)合起來(lái) 無(wú)縫地部署在網(wǎng)絡(luò)內(nèi) 就會(huì)構(gòu)架成綜合了兩者優(yōu)勢(shì)的主動(dòng)防御體系 即可以發(fā)現(xiàn)網(wǎng)段中的攻擊信息 又可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況 這種系統(tǒng)一般為分布式 由多個(gè)部件組成 基于主機(jī)和基于網(wǎng)絡(luò)的數(shù)據(jù)收集之間的比較 2 分布式與集中式數(shù)據(jù)收集機(jī)制 分布式IDS收集的數(shù)據(jù)來(lái)自一些固定位置 而與受監(jiān)視的網(wǎng)元數(shù)量無(wú)關(guān) 集中式IDS收集的數(shù)據(jù)來(lái)自一些與受監(jiān)視的網(wǎng)元數(shù)量有一定比例關(guān)系的位置 3 直接監(jiān)控和間接監(jiān)控 IDS從它所監(jiān)控的對(duì)象處直接獲得數(shù)據(jù) 則稱為直接監(jiān)控 反之 如果IDS依賴一個(gè)單獨(dú)的進(jìn)程或工具獲得數(shù)據(jù) 則稱為間接監(jiān)控 就檢測(cè)入侵行為而言 直接監(jiān)控要優(yōu)于間接監(jiān)控 因?yàn)?從非直接數(shù)據(jù)源獲取的數(shù)據(jù)在被IDS使用之前 入侵者還有進(jìn)行修改的潛在機(jī)會(huì) 非直接數(shù)據(jù)源可能無(wú)法記錄某些事件 例如它無(wú)法訪問(wèn)監(jiān)視對(duì)象的內(nèi)部信息 在間接監(jiān)控中 數(shù)據(jù)一般都是通過(guò)某種機(jī)制 如編寫審計(jì)代碼 生成的 但這些機(jī)制并不IDS的具體要求 因而從間接數(shù)據(jù)源獲得的數(shù)據(jù)量要比從直接數(shù)據(jù)源大得多 并且間接監(jiān)控機(jī)制的可伸縮性小 一旦主機(jī)及其內(nèi)部被監(jiān)控要素增加 過(guò)濾數(shù)據(jù)的開銷會(huì)降低監(jiān)控主機(jī)的性能 間接數(shù)據(jù)源的數(shù)據(jù)從產(chǎn)生到IDS訪問(wèn)之間有一個(gè)時(shí)延 但是由于直接監(jiān)控操作的復(fù)雜性 目前的IDS產(chǎn)品中只有不足20 使用了直接監(jiān)控機(jī)制 直接監(jiān)控和間接監(jiān)控之間的比較 4 外部探測(cè)器和內(nèi)部探測(cè)器 外部探測(cè)器的監(jiān)控組件 程序 獨(dú)立于被監(jiān)測(cè)個(gè)組件 硬件或軟件 實(shí)現(xiàn) 內(nèi)部探測(cè)器的監(jiān)控組件 程序 附加于被監(jiān)測(cè)個(gè)組件 硬件或軟件 實(shí)現(xiàn) 表4 1給出了它們的優(yōu)缺點(diǎn)比較 表4 1外部探測(cè)器和內(nèi)部探測(cè)器的優(yōu)缺點(diǎn) 4 2 2數(shù)據(jù)分析 數(shù)據(jù)分析是IDS的核心 它的功能就是對(duì)從數(shù)據(jù)源提供的系統(tǒng)運(yùn)行狀態(tài)和活動(dòng)記錄進(jìn)行同步 整理 組織 分類以及各種類型的細(xì)致分析 提取其中包含的系統(tǒng)活動(dòng)特征或模式 用于對(duì)正常和異常行為的判斷 入侵檢測(cè)系統(tǒng)的數(shù)據(jù)分析技術(shù)依檢測(cè)目標(biāo)和數(shù)據(jù)屬性 分為異常發(fā)現(xiàn)技術(shù)和模式發(fā)現(xiàn)技術(shù)兩大類 最近幾年還出現(xiàn)了一些通用的技術(shù) 下面分別介紹 1 異常發(fā)現(xiàn)技術(shù) 異常發(fā)現(xiàn)技術(shù)用在基于異常檢測(cè)的IDS中 如圖4 8所示 在這類系統(tǒng)中 觀測(cè)到的不是已知的的入侵行為 而是所監(jiān)視通信系統(tǒng)中的異?，F(xiàn)象 如果建立了系統(tǒng)的正常行為軌跡 則在理論上就可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖 由于正常情況具有一定的范圍 因此正確地選擇異常閾值和特征 決定何種程度才是異常 是異常發(fā)現(xiàn)技術(shù)的關(guān)鍵 異常檢測(cè)只能檢測(cè)出那些與正常過(guò)程具有較大偏差的行為 由于對(duì)各種網(wǎng)絡(luò)環(huán)境的適應(yīng)性較弱 且缺乏精確的判定準(zhǔn)則 異常檢測(cè)有可能出現(xiàn)虛報(bào)現(xiàn)象 圖4 8異常檢測(cè)模型 異常發(fā)現(xiàn)技術(shù)分類 異常發(fā)現(xiàn)技術(shù)包括表4 2所示的一些 其中 自學(xué)習(xí)系統(tǒng)通過(guò)學(xué)習(xí)事例構(gòu)建正常行為模型 又可分為時(shí)序和非時(shí)序兩種 可編程系統(tǒng)需要通過(guò)程序測(cè)定異常事件 讓用戶知道哪些是足以破壞系統(tǒng)安全的異常行為 又可分為描述統(tǒng)計(jì)和缺省否定兩類 表4 2異常發(fā)現(xiàn)技術(shù) 2 模式發(fā)現(xiàn)技術(shù) 模式發(fā)現(xiàn)又稱特征檢測(cè)或?yàn)E用檢測(cè) 如圖4 9所示 它們是基于已知系統(tǒng)缺陷和入侵模式 即事先定義了一些非法行為 然后將觀察現(xiàn)象與之比較做出判斷 這種技術(shù)可以準(zhǔn)確地檢測(cè)具有某些特征的攻擊 但是由于過(guò)度依賴實(shí)現(xiàn)定義好的安全策略 而無(wú)法檢測(cè)系統(tǒng)未知的攻擊行為 因而可能產(chǎn)生漏報(bào) 模式發(fā)現(xiàn)技術(shù)通過(guò)對(duì)確知的決策規(guī)則編程實(shí)現(xiàn) 常用的技術(shù)有如下4種 圖4 9誤用檢測(cè)模型 常用的模式發(fā)現(xiàn)技術(shù) 模式發(fā)現(xiàn)技術(shù)通過(guò)對(duì)確知的決策規(guī)則編程實(shí)現(xiàn) 常用的技術(shù)有如下4種 1 狀態(tài)建模 狀態(tài)建模將入侵行為表示成許多個(gè)不同的狀態(tài) 如果在觀察某個(gè)可疑行為期間 所有狀態(tài)都存在 則判定為惡意入侵 狀態(tài)建模從本質(zhì)上來(lái)講是時(shí)間序列模型 可以再細(xì)分為狀態(tài)轉(zhuǎn)換和Petri網(wǎng) 前者將入侵行為的所有狀態(tài)形成一個(gè)簡(jiǎn)單的遍歷鏈 后者將所有的狀態(tài)構(gòu)成一個(gè)更廣義的樹形結(jié)構(gòu)的Petri網(wǎng) 2 串匹配 串匹配通過(guò)對(duì)系統(tǒng)之間傳輸?shù)幕蛳到y(tǒng)自身產(chǎn)生的文本進(jìn)行子串匹配實(shí)現(xiàn) 該方法靈活性欠差 但易于理解 目前有很多高效的算法 其執(zhí)行速度很快 3 專家系統(tǒng) 專家系統(tǒng)可以在給定入侵行為描述規(guī)則的情況下 對(duì)系統(tǒng)的安全狀態(tài)進(jìn)行推理 一般情況下 專家系統(tǒng)的檢測(cè)能力強(qiáng)大 靈活性也很高 但計(jì)算成本較高 通常以降低執(zhí)行速度為代價(jià) 4 基于簡(jiǎn)單規(guī)則 類似于專家系統(tǒng) 但相對(duì)簡(jiǎn)單一些 執(zhí)行速度快 3 混合檢測(cè) 近幾年來(lái) 混合檢測(cè)日益受到人們的重視 這類檢測(cè)在做出決策之前 既分析系統(tǒng)的正常行為 同時(shí)還觀察可疑的入侵行為 所以判斷更全面 準(zhǔn)確 可靠 它通常根據(jù)系統(tǒng)的正常數(shù)據(jù)流背景來(lái)檢測(cè)入侵行為 故也有人稱其為 啟發(fā)式特征檢測(cè) 屬于這類檢測(cè)的技術(shù)有 人工免疫方法 遺傳算法 數(shù)據(jù)挖掘 4 2 3入侵檢測(cè)系統(tǒng)的特征庫(kù) IDS要有效地捕捉入侵行為 必須擁有一貫強(qiáng)大的入侵特征 signature 數(shù)據(jù)庫(kù) 這就如同公安部門必須擁有健全的罪犯信息庫(kù)一樣 IDS中的特征就是指用于判別通訊信息種類的樣板數(shù)據(jù) 通常分為多種 以下是一些典型情況及其識(shí)別方法 IDS中特征的典型情況及其識(shí)別方法 來(lái)自保留IP地址的連接企圖 可通過(guò)檢查IP報(bào)頭 IPheader 的來(lái)源地址識(shí)別 帶有非法TCP標(biāo)志聯(lián)合物的數(shù)據(jù)包 可通過(guò)TCP報(bào)頭中的標(biāo)志集與已知正確和錯(cuò)誤標(biāo)記聯(lián)合物的不同點(diǎn)來(lái)識(shí)別 含有特殊病毒信息的Email 可通過(guò)對(duì)比每封Email的主題信息和病態(tài)Email的主題信息來(lái)識(shí)別 或者通過(guò)搜索特定名字的外延來(lái)識(shí)別 查詢負(fù)載中的DNS緩沖區(qū)溢出企圖 可通過(guò)解析DNS域及檢查每個(gè)域的長(zhǎng)度來(lái)識(shí)別 另外一個(gè)方法是在負(fù)載中搜索 殼代碼利用 exploitshellcode 的序列代碼組合 對(duì)POP3服務(wù)器大量發(fā)出同一命令而導(dǎo)致DoS攻擊 通過(guò)跟蹤記錄某個(gè)命令連續(xù)發(fā)出的次數(shù) 看看是否超過(guò)了預(yù)設(shè)上限 而發(fā)出報(bào)警信息 未登錄情況下使用文件和目錄命令對(duì)FTP服務(wù)器的文件訪問(wèn)攻擊 通過(guò)創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的FTP對(duì)話 發(fā)現(xiàn)未經(jīng)驗(yàn)證卻發(fā)命令的入侵企圖 顯然 特征的涵蓋范圍很廣 有簡(jiǎn)單的報(bào)頭域數(shù)值 有高度復(fù)雜的連接狀態(tài)跟蹤 有擴(kuò)展的協(xié)議分析 此外 不同的IDS產(chǎn)品具有的特征功能也有所差異 例如 有些網(wǎng)絡(luò)IDS系統(tǒng)只允許很少地定制存在的特征數(shù)據(jù)或者編寫需要的特征數(shù)據(jù) 另外一些則允許在很寬的范圍內(nèi)定制或編寫特征數(shù)據(jù) 甚至可以是任意一個(gè)特征 一些IDS系統(tǒng) 只能檢查確定的報(bào)頭或負(fù)載數(shù)值 另外一些則可以獲取任何信息包的任何位置的數(shù)據(jù) 4 2 4響應(yīng) 早期的入侵檢測(cè)系統(tǒng)的研究和設(shè)計(jì) 把主要精力放在對(duì)系統(tǒng)的監(jiān)控和分析上 而把響應(yīng)的工作交給用戶完成 現(xiàn)在的入侵檢測(cè)系統(tǒng)都提供有響應(yīng)模塊 并提供主動(dòng)響應(yīng)和被動(dòng)響應(yīng)兩種響應(yīng)方式 一個(gè)好的入侵檢測(cè)系統(tǒng)應(yīng)該讓用戶能夠裁減定制其響應(yīng)機(jī)制 以符合特定的需求環(huán)境 1 主動(dòng)響應(yīng) 在主動(dòng)響應(yīng)系統(tǒng)中 系統(tǒng)將自動(dòng)或以用戶設(shè)置的方式阻斷攻擊過(guò)程或以其他方式影響攻擊過(guò)程 通?？梢赃x擇的措施有 針對(duì)入侵者采取的措施 修正系統(tǒng) 收集更詳細(xì)的信息 2 被動(dòng)響應(yīng) 在被動(dòng)響應(yīng)系統(tǒng)中 系統(tǒng)只報(bào)告和記錄發(fā)生的事件 4 3入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn) 4 3 1入侵檢測(cè)系統(tǒng)的設(shè)置 網(wǎng)絡(luò)安全需要各個(gè)安全設(shè)備的協(xié)同工作和正確設(shè)置 由于入侵檢測(cè)系統(tǒng)位于網(wǎng)絡(luò)體系中的高層 高層應(yīng)用的多樣性導(dǎo)致了入侵檢測(cè)系統(tǒng)分析的復(fù)雜性和對(duì)計(jì)算資源的高需求 在這種情形下 對(duì)入侵檢測(cè)設(shè)備進(jìn)行合理的優(yōu)化設(shè)置 可以使入侵檢測(cè)系統(tǒng)更有效的運(yùn)行 圖4 10是入侵檢測(cè)系統(tǒng)設(shè)置的基本過(guò)程 可以看出 入侵檢測(cè)系統(tǒng)的設(shè)置需要經(jīng)過(guò)多次回溯 反復(fù)調(diào)整 4 3 2入侵檢測(cè)系統(tǒng)的部署 入侵檢測(cè)器是入侵檢測(cè)系統(tǒng)的核心 入侵檢測(cè)器部署的位置 直接影響入侵檢測(cè)系統(tǒng)的工作性能 在規(guī)劃一個(gè)入侵檢測(cè)系統(tǒng)時(shí) 首先要考慮入侵檢測(cè)器的部署位置 顯然 在基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)中和在基于主機(jī)的入侵檢測(cè)系統(tǒng)中 部署的策略不同 1 在基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)中部署入侵檢測(cè)器 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)主要檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)報(bào)文 因此一般將檢測(cè)器部署在靠近防火墻的地方 具體做法有如圖4 11所示的幾個(gè)位置 1 DMZ區(qū) 在這里 可以檢測(cè)到的攻擊行為是 所有針對(duì)向外提供服務(wù)的服務(wù)器的攻擊 由于DMZ中的服務(wù)器是外部可見(jiàn)的 因此在這里檢測(cè)最為需要 同時(shí) 由于DMZ中的服務(wù)器有限 所以針對(duì)這些服務(wù)器的檢測(cè) 可以使入侵檢測(cè)器發(fā)揮最大優(yōu)勢(shì) 但是 在DNZ中 檢測(cè)器會(huì)暴露在外部 而失去保護(hù) 遭受攻擊 導(dǎo)致無(wú)法工作 2 內(nèi)網(wǎng)主干 防火墻內(nèi)側(cè) 將檢測(cè)器放到防火墻的內(nèi)側(cè) 有如下幾點(diǎn)好處 檢測(cè)器比放在DMZ中安全 所檢測(cè)到的都是已經(jīng)滲透過(guò)防火墻的攻擊行為 從中可以有效地發(fā)現(xiàn)防火墻配置的失誤 可以檢測(cè)到內(nèi)部可信用戶的越權(quán)行為 由于受干擾的機(jī)會(huì)少 報(bào)警幾率也少 3 外網(wǎng)入口 防火墻外側(cè) 優(yōu)勢(shì)是 可以對(duì)針對(duì)目標(biāo)網(wǎng)絡(luò)的攻擊進(jìn)行計(jì)數(shù) 并記錄最為原始的數(shù)據(jù)包 可以記錄針對(duì)目標(biāo)網(wǎng)絡(luò)的攻擊類型 但是 不能定位攻擊的源和目的地址 系統(tǒng)管理員在處理攻擊行為上也有難度 4 在防火墻的內(nèi)外都放置 這種位一置可以檢測(cè)到內(nèi)部攻擊 又可以檢測(cè)到外部攻擊 并且無(wú)需猜測(cè)攻擊是否穿越防火墻 但是 開銷較大 在經(jīng)費(fèi)充足的情況下是最理想的選擇 5 關(guān)鍵子網(wǎng) 這個(gè)位置可以檢測(cè)到對(duì)系統(tǒng)關(guān)鍵部位的攻擊 將有限的資源用在最值得保護(hù)的地方 獲得最大效益 投資比 2 在基于主機(jī)的入侵檢測(cè)系統(tǒng)中部署入侵檢測(cè)器 基于主機(jī)的入侵檢測(cè)系統(tǒng)通常是一個(gè)程序 在基于網(wǎng)絡(luò)的入侵檢測(cè)器的部署和配置完成后 基于主機(jī)的入侵檢測(cè)將部署在最重要 最需要保護(hù)的主機(jī)上 4 3 3報(bào)警策略 檢測(cè)到入侵行為需要報(bào)警 具體報(bào)警的內(nèi)容和方式 需要根據(jù)整個(gè)網(wǎng)絡(luò)的環(huán)境和安全需要確定 例如 對(duì)一般性服務(wù)企業(yè) 報(bào)警集中在已知的有威脅的攻擊行為上 對(duì)關(guān)鍵性服務(wù)企業(yè) 需要盡將可能多的報(bào)警記錄并對(duì)部分認(rèn)定的報(bào)警進(jìn)行實(shí)時(shí)反饋 4 3 4入侵檢測(cè)產(chǎn)品的選擇 1 購(gòu)買入侵檢測(cè)系統(tǒng)考慮的基本因素 實(shí)時(shí)性 自動(dòng)反應(yīng)能力 能檢測(cè)到所有事件 不會(huì)發(fā)生遺漏警報(bào) 跨平臺(tái)性好 能在多種平臺(tái)上運(yùn)行 2 理想的入侵檢測(cè)系統(tǒng)的幾個(gè)特點(diǎn) 快速控制 良好的誤報(bào)警管理 顯示過(guò)濾器 標(biāo)志已經(jīng)分析過(guò)的事件 層層探究的能力 關(guān)聯(lián)分析能力 報(bào)告能力 4 4入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)化 為了提高IDS產(chǎn)品 組件及與其他安全產(chǎn)品之間的互操作性和互用性 美國(guó)國(guó)防高級(jí)研究計(jì)劃暑 DARPA 和互聯(lián)網(wǎng)工程任務(wù)組 IETF 的入侵檢測(cè)工作組 IDWG 發(fā)起制定了一系列建議草案 從體系結(jié)構(gòu) API 通訊機(jī)制 語(yǔ)言格式等方面規(guī)范IDS的標(biāo)準(zhǔn) 4 4 1公共入侵檢測(cè)框架 CIDF CommonIntrusionDetectionFramework 公共入侵檢測(cè)框架 是DARPA從1997年3月就開始制定的一套規(guī)范 最早由加州大學(xué)戴維斯分校安全實(shí)驗(yàn)室主持起草工作 它定義了IDS表達(dá)檢測(cè)信息的標(biāo)準(zhǔn)語(yǔ)言以及IDS組件之間的通信協(xié)議 使各種IDS可以協(xié)同工作 實(shí)現(xiàn)各IDS之間的組件重用 被作為構(gòu)建分布式IDS的基礎(chǔ) CIDF的規(guī)格文檔主要包括四部分 IDS的通信機(jī)制 體系結(jié)構(gòu) CISL CommonIntrusionSpecificationLanguage 通用入侵描述語(yǔ)言 和應(yīng)用編程接口API 1 CIDF的通信機(jī)制 CIDF將通信機(jī)制構(gòu)成一個(gè)三層模型 GIDO GeneralizedIntrusionDetectionObject 通用入侵檢測(cè)對(duì)象 層 它把部件間交換的數(shù)據(jù)形式都做了詳細(xì)的定義 統(tǒng)稱為Gidos并用CISL描述 以使IDS理解 消息層 負(fù)責(zé)對(duì)信息加密認(rèn)證 不關(guān)心傳輸?shù)膬?nèi)容 只負(fù)責(zé)建立一個(gè)可靠的傳輸通道 確保被加密認(rèn)證消息在防火墻或NAT等設(shè)備之間傳輸過(guò)程中的可靠性 同樣 GIDO層也只考慮所傳遞信息的語(yǔ)義 而不關(guān)心這些消息怎樣被傳遞 協(xié)商傳輸層 協(xié)商傳輸層不屬于CIDF規(guī)范 可以采用多種現(xiàn)有的傳輸機(jī)制實(shí)現(xiàn) 但是 單一的傳輸協(xié)議無(wú)法滿足CIDF各種各樣的應(yīng)用需求 只有當(dāng)兩個(gè)特定的組件對(duì)信道使用達(dá)成一致認(rèn)識(shí)時(shí) 才能進(jìn)行通信 協(xié)商傳輸層規(guī)定GIDO在各個(gè)組件之間的傳輸機(jī)制 1 CIDF組件間的通信結(jié)構(gòu) 2 CIDF的通信機(jī)制的功能及其實(shí)現(xiàn) CIDF的通信機(jī)制主要解決兩個(gè)問(wèn)題 保證CIDFD的組件能安全 正確地與其他組件建立連接 包括定位和鑒別 連接建立后 組件能有效地進(jìn)行通信 這兩個(gè)功能通過(guò)中介服務(wù)和消息層法實(shí)現(xiàn) 中介服務(wù) 中介服務(wù) MatchmakingService 通過(guò)中介代理專門負(fù)責(zé)提供查詢其他CIDF組件集的服務(wù) 這是為CIDF各組件之間的相互識(shí)別 定位和信息共享提供了一個(gè)統(tǒng)一的標(biāo)準(zhǔn)機(jī)制 它大大提高了組件的互操作性 降低了開發(fā)多組件入侵檢測(cè)與響應(yīng)系統(tǒng)的難度 通常是基于一個(gè)大型目錄服務(wù)LDAP LightweightDirectoryProtocol 輕量級(jí)目錄訪問(wèn)協(xié)議 每個(gè)組件都要通過(guò)該目錄服務(wù)進(jìn)行注冊(cè) 并通告其他組件它所使用或產(chǎn)生的GIDO類型 在此基礎(chǔ)上 組件才能被歸入它所屬的類別中 組件之間才能互相通信 目錄中還可以存放組件的公共密鑰 實(shí)現(xiàn)對(duì)組件接收和發(fā)送GIDO時(shí)的身份認(rèn)證 消息層法 消息層法 消息層利用消息格式中的選項(xiàng) 在客戶端與服務(wù)器端握手階段就可以完成提供路由信息追蹤 數(shù)據(jù)加密和認(rèn)證等功能 從而在易受攻擊的環(huán)境中實(shí)現(xiàn)了一種安全 保密 可信 完整 并可靠的信息交互機(jī)制 具體地說(shuō) 消息層可以做到 使通信與阻塞和非阻塞處理無(wú)關(guān) 使通信與數(shù)據(jù)格式無(wú)關(guān) 使通信與操作系統(tǒng)無(wú)關(guān) 使通信與編程語(yǔ)言無(wú)關(guān) 2 CIDF的體系結(jié)構(gòu) CIDF在IDES和NIDES的基礎(chǔ)上提出了一個(gè)通用模型 將入侵檢測(cè)系統(tǒng)分為圖4 12所示的4個(gè)基本組件 事件產(chǎn)生器 事件分析器 響應(yīng)單元和事件數(shù)據(jù)庫(kù) 其中 事件產(chǎn)生器 事件分析器和響應(yīng)單元通常表現(xiàn)為應(yīng)用程序的形式 而事件數(shù)據(jù)庫(kù)則往往是文件或數(shù)據(jù)流的形式 許多IDS廠商則以數(shù)據(jù)收集器 數(shù)據(jù)分析器和控制臺(tái)三個(gè)術(shù)語(yǔ)來(lái)分別代替事件產(chǎn)生器 事件分析器和響應(yīng)單元 CIDF將IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件 它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包 也可以是從系統(tǒng)日志或其他途徑得到的信息 圖4 12CIDF的體系結(jié)構(gòu) 1 事件產(chǎn)生器 事件產(chǎn)生器的任務(wù)是從入侵檢測(cè)系統(tǒng)之外的整個(gè)計(jì)算環(huán)境中收集事件 并將這些事件轉(zhuǎn)換成CIDF的GIDO格式傳送給其他組件 例如 事件產(chǎn)生器可以是讀取C2級(jí)審計(jì)蹤跡并將其轉(zhuǎn)換為GIDO格式的過(guò)濾器 也可以是被動(dòng)地監(jiān)視網(wǎng)絡(luò)并根據(jù)網(wǎng)絡(luò)數(shù)據(jù)流產(chǎn)生事件的另一種過(guò)濾器 還可以是SQL數(shù)據(jù)庫(kù)中產(chǎn)生描述事務(wù)的事件的應(yīng)用代碼 2 事件分析器 事件分析器分析從其他組件收到的GIDO 分析它們 并將產(chǎn)生的新GIDO返回給其他組件 分析器可以是一個(gè)輪廓描述工具 統(tǒng)計(jì)性地檢查當(dāng)前事件是否可能與以前某個(gè)事件來(lái)自同一個(gè)時(shí)間序列 也可以是一個(gè)特征檢測(cè)工具 在一個(gè)事件序列中檢查是否有已知的濫用攻擊特征 還可以是一個(gè)相關(guān)器 將有聯(lián)系的事件放到一起 以便以后進(jìn)一步分析 3 事件數(shù)據(jù)庫(kù) 用來(lái)存儲(chǔ)GIDO 以備系統(tǒng)需要的時(shí)候使用 它可以是復(fù)雜的數(shù)據(jù)庫(kù) 也可以是簡(jiǎn)單的文件 4 響應(yīng)單元 響應(yīng)單元根據(jù)收到的GIDO做出反應(yīng) 如殺死相關(guān)進(jìn)程 將連接復(fù)位 修改文件權(quán)限等 由于CIDF有一個(gè)標(biāo)準(zhǔn)格式GIDO 所以這些組件也適用于其他環(huán)境 只需要將典型的環(huán)境特征轉(zhuǎn)換成GIDO格式 這樣就提高了組件之間的消息共享和互通 3 CISL CIDF的總體目標(biāo)是實(shí)現(xiàn)軟件的復(fù)用和IDR 入侵檢測(cè)與響應(yīng) 組件之間的互操作性 首先 IDR組件基礎(chǔ)結(jié)構(gòu)必須是安全 健壯 可伸縮的 CIDF的工作重點(diǎn)是定義了一種應(yīng)用層的語(yǔ)言CISL CommonIntrusionSpecificationLanguage 公共入侵規(guī)范語(yǔ)言 用來(lái)描述IDR組件之間傳送的信息 以及制定一套對(duì)這些信息進(jìn)行編碼的協(xié)議 CISL可以表示CIDF中的各種信息 如原始事件信息 審計(jì)蹤跡記錄和網(wǎng)絡(luò)數(shù)據(jù)流信息 分析結(jié)果 系統(tǒng)異常和攻擊特征描述 響應(yīng)提示 停止某些特定的活動(dòng)或修改組件的安全參數(shù) 等 CISL使用了一種被稱為S表達(dá)式的通用語(yǔ)言構(gòu)建方法 S表達(dá)式可以對(duì)標(biāo)記和數(shù)據(jù)進(jìn)行簡(jiǎn)單的遞歸編組 即對(duì)標(biāo)記加上數(shù)據(jù) 然后封裝在括號(hào)內(nèi)完成編組 這跟LISP有些類似 S表達(dá)式的最開頭是語(yǔ)義標(biāo)識(shí)符 簡(jiǎn)稱為SID 用于顯示編組列表的語(yǔ)義 例如下面的S表達(dá)式 HostName 該編組列表的SID是HostName 它說(shuō)明后面的字符串 將被解釋為一個(gè)主機(jī)的名字 有時(shí)侯 只有使用很復(fù)雜的S表達(dá)式才能描述出某些事件的詳細(xì)情況 這就需要使用大量的SID SID在CISL中起著非常重要的作用 用來(lái)表示時(shí)間 定位 動(dòng)作 角色 屬性等 只有使用大量的SID 才能構(gòu)造出合適的句子 CISL使用范例對(duì)各種事件和分析結(jié)果進(jìn)行編碼 把編碼的句子進(jìn)行適當(dāng)?shù)姆庋b 就得到了GIDO GIDO的構(gòu)建與編碼是CISL的重點(diǎn) 4 CIDF的程序接口 CIDF的API負(fù)責(zé)GIDO的編碼 解碼和傳遞 它提供的調(diào)用功能使程序員可以在不了解編碼和傳遞過(guò)程具體細(xì)節(jié)的情況下 以一種很簡(jiǎn)單的方式構(gòu)建和傳遞GIDO GIDOD生成分為兩個(gè)步驟 在構(gòu)造樹形結(jié)構(gòu)時(shí) SID分為兩組 一組把S表達(dá)式作為參數(shù) 即動(dòng)詞 副詞 角色 連接詞等 另一組把單個(gè)數(shù)據(jù)或一個(gè)數(shù)據(jù)陣列作為參數(shù) 即原子 這樣就可以把一個(gè)完整的句子表示成一棵樹 每個(gè)SID表示成一個(gè)節(jié)點(diǎn) 最高層的SID是樹根 因?yàn)槊總€(gè)S表達(dá)式都包含一定的數(shù)據(jù) 所以 樹的每個(gè)分支末端都有表示原子SID的葉子 1 構(gòu)造表示GIDO的樹形結(jié)構(gòu) 2 將此結(jié)構(gòu)編成字節(jié)碼 將字節(jié)碼進(jìn)行解碼跟上面的過(guò)程正好相反 CIDF的API為實(shí)現(xiàn)者和應(yīng)用開發(fā)者都提供了很多的方便 并分為兩類 GIDO編碼 解碼API和消息層API 4 4 2IDWG的標(biāo)準(zhǔn)化工作 1999年6月 IDWG就入侵檢測(cè)出臺(tái)了一系列草案 它定義了數(shù)據(jù)格式和交換規(guī)程 用于入侵檢測(cè)與響應(yīng) IDR 系統(tǒng)之間與需要交互的管理系統(tǒng)之間的信息共享 包括三部分內(nèi)容 入侵檢測(cè)消息交換格式 IDMEF 入侵檢測(cè)交換協(xié)議 IDXP 以及隧道輪廓 TunnelProfile 1 IDMEF IDMEF描述了入侵檢測(cè)系統(tǒng)輸出信息的數(shù)據(jù)模型 并解釋了使用此模型的基本原理 該數(shù)據(jù)模型用XML實(shí)現(xiàn) 并設(shè)計(jì)了一個(gè)XML文檔類型定義 自動(dòng)入侵檢測(cè)系統(tǒng)可以使用IDMEF提供的標(biāo)準(zhǔn)數(shù)據(jù)格式對(duì)可疑事件發(fā)出警報(bào) 提高商業(yè) 開放資源和研究系統(tǒng)之間的互操作性 IDMEF最適用于入侵檢測(cè)分析器 或稱為 探測(cè)器 和接收警報(bào)的管理器 或稱為 控制臺(tái) 之間的數(shù)據(jù)信道 1 IDME的數(shù)據(jù)模型 IDMEF數(shù)據(jù)模型以面向?qū)ο蟮男问奖硎咎綔y(cè)器傳遞給控制臺(tái)的警報(bào)數(shù)據(jù) 設(shè)計(jì)數(shù)據(jù)模型的目標(biāo)是為警報(bào)提供確定的標(biāo)準(zhǔn)表達(dá)方式 并描述簡(jiǎn)單警報(bào)和復(fù)雜警報(bào)之間的關(guān)系 IDMEF數(shù)據(jù)模型各個(gè)主要部分之間的關(guān)系如圖4 13所示 圖4 13IDME數(shù)據(jù)模型各個(gè)主要部分之間的關(guān)系 IDMEF數(shù)據(jù)模型是用統(tǒng)一建模語(yǔ)言 UML 描述的 UML用一個(gè)簡(jiǎn)單的框架表示實(shí)體以及它們之間的關(guān)系 并將實(shí)體定義為類 IDMEF包括的主要類有IDMEF Message類 Alert類 Heartbeat類 Core類 Time類Support類 這些類還可以再細(xì)分為許多子類 所有IDMEF消息的最高層是IDMEF Message 每一種類型的消息都是該類的子類 需要注意的是 IDMEF數(shù)據(jù)模型并沒(méi)有對(duì)警報(bào)的分類和鑒別進(jìn)行說(shuō)明 例如 對(duì)一個(gè)端口的掃描 一個(gè)分析器可能將其確定為一個(gè)多目標(biāo)的單一攻擊 而另一個(gè)分析器可能將其確定為來(lái)自同一個(gè)源的多次攻擊 只有一個(gè)分析器決定了發(fā)送的警報(bào)類型 數(shù)據(jù)模型才能規(guī)定怎樣對(duì)這個(gè)警報(bào)進(jìn)行格式化 2 使用XML描述IDMEF文檔標(biāo)記 XML是一種元語(yǔ)言 它允許應(yīng)用程序定義自己的標(biāo)記 還可以為不同類型的文檔和應(yīng)用程序定義定制化的標(biāo)記語(yǔ)言 XMLDTD 文檔類型定義 可用來(lái)聲明文檔所用的標(biāo)記 它包括元素 文檔包括的不同信息部分 屬性 信息的特征 和內(nèi)容模型 各部分之間的關(guān)系 2 IDXP IDXP 入侵檢測(cè)交換協(xié)議 是一個(gè)用于入侵檢測(cè)實(shí)體之間交換數(shù)據(jù)的應(yīng)用層協(xié)議 能夠?qū)崿F(xiàn)IDMEF消息 非結(jié)構(gòu)文本和二進(jìn)制數(shù)據(jù)之間的交換 并提供面向連接協(xié)議之上的雙向認(rèn)證 完整性和保密性等安全特征 IDMEF是BEEP的一部分 后者是一個(gè)用于面向連接異步交互通用應(yīng)用協(xié)議 IDXP的許多特色功能 如認(rèn)證 保密性等 都是由BEEP框架提供的 IDXP模型如下 1 建立連接 入侵檢測(cè)實(shí)體之間的IDXP通信在BEEP信道上完成 兩個(gè)希望建立IDXP通信的入侵檢測(cè)實(shí)體在打開BEEP信道之前 首先要進(jìn)行一次BEEP會(huì)話 然后就有關(guān)的安全特性問(wèn)題進(jìn)行協(xié)商 協(xié)商好BEEP安全輪廓之后 互致問(wèn)候 然后開始IDXP交換 圖4 14是兩個(gè)入侵檢測(cè)實(shí)體A和B之間建立IDXP通信的過(guò)程 圖4 14兩個(gè)入侵檢測(cè)實(shí)體 Alice 和 Bob 之間建立IDXP通信的過(guò)程 使用IDXP傳送數(shù)據(jù)的入侵檢測(cè)實(shí)體被稱為IDXP的對(duì)等體 對(duì)等體只能成對(duì)地出現(xiàn) 在BEEP會(huì)話上進(jìn)行通信的對(duì)等體可以使用一個(gè)或多個(gè)BEEP信道傳輸數(shù)據(jù) 對(duì)等體可以是管理器 也可以是分析器 分析器和管理器之間是多對(duì)多的關(guān)系 即一個(gè)分析器可以與多個(gè)管理器通信 同樣 一個(gè)管理器也可以與多個(gè)分析器通信 管理器與管理器之間也是多對(duì)多的關(guān)系 所以 一個(gè)管理器可以通過(guò)多個(gè)中間管理器接收來(lái)自多哥分析器的大量警報(bào) 但是 IDXP規(guī)定 分析器之間不可以建立交換 2 傳輸數(shù)據(jù) 在每個(gè)信道上 對(duì)等體都以客戶機(jī) 服務(wù)器模式進(jìn)行通信 BEEP會(huì)話發(fā)起者為客戶機(jī) 而收聽者則為服務(wù)器 圖4 15描述了一個(gè)分析器將數(shù)據(jù)傳輸給一個(gè)管理器的簡(jiǎn)單過(guò)程 圖4 15一個(gè)分析器將數(shù)據(jù)傳輸給一個(gè)管理器的簡(jiǎn)單過(guò)程 在一次BEEP會(huì)話時(shí) 使用多個(gè)BEEP信道有利于對(duì)在IDXP對(duì)等體之間傳輸?shù)臄?shù)據(jù)進(jìn)行分類和優(yōu)先權(quán)設(shè)置 例如 一個(gè)管理器M1在向另一個(gè)管理器M2傳送警報(bào)數(shù)據(jù)時(shí) 可以用不同的信道傳送不同類型的警報(bào)數(shù)據(jù) 在每個(gè)信道上管理器M1的作用都相當(dāng)于一個(gè)客戶器 而M2則對(duì)不同信道上的數(shù)據(jù)作出相應(yīng)的處理 如圖4 16所示 圖4 16多個(gè)BEEP信道有利于對(duì)在IDXP對(duì)等體之間傳輸?shù)臄?shù)據(jù)進(jìn)行分類和優(yōu)先權(quán)設(shè)置 3 斷開連接 在有些情況下 一個(gè)IDXP對(duì)等體可以選擇關(guān)閉某個(gè)信道 在關(guān)閉一個(gè)信道時(shí) 對(duì)等體在0信道上發(fā)送一個(gè) 關(guān)閉 元素指明要關(guān)閉哪一個(gè)信道 IDXP對(duì)等體也可以通過(guò)在0信道上發(fā)送一個(gè)指明要 關(guān)閉 0信道的元素 來(lái)關(guān)閉整個(gè)BEEP會(huì)話 在上面這個(gè)模型中 IDXP對(duì)等實(shí)體之間采用了BEEP安全輪廓實(shí)現(xiàn)端到端的安全 而無(wú)需通過(guò)中間的代理建立安全信任 因此只有IDXP對(duì)等體之間是相互信任的 而代理是不可信的 4 5網(wǎng)絡(luò)誘騙 防火墻以及入侵檢測(cè)都是被動(dòng)防御技術(shù) 而網(wǎng)絡(luò)誘騙是一種主動(dòng)防御技術(shù) 表4 3主動(dòng)防御與被動(dòng)防御的比較 4 5 1蜜罐主機(jī)技術(shù) 網(wǎng)絡(luò)誘騙技術(shù)的核心是蜜罐 HoneyPot 它是運(yùn)行在Internet上的充滿誘惑力的計(jì)算機(jī)系統(tǒng) 這種計(jì)算機(jī)系統(tǒng)有如下一些特點(diǎn) 蜜罐是一個(gè)包含有漏洞的誘騙系統(tǒng) 它通過(guò)模擬一個(gè)或多個(gè)易受攻擊的主機(jī) 給攻擊者提供一個(gè)容易攻擊的目標(biāo) 蜜罐不向外界提供真正有價(jià)值的服務(wù) 所有與蜜罐的連接嘗試都被視為可疑的連接 這樣 蜜罐就可以實(shí)現(xiàn)如下目的 引誘攻擊 拖延對(duì)真正有價(jià)值目標(biāo)的攻擊 消耗攻擊者的時(shí)間 以便收集信息 獲取證據(jù) 下面介紹蜜罐的三種主要形式 1 空系統(tǒng) 空系統(tǒng)是一種沒(méi)有任何虛假和模擬的環(huán)境的完全真實(shí)的計(jì)算機(jī)系統(tǒng) 但是有真實(shí)的操作系統(tǒng)和應(yīng)用程序 也有真實(shí)的漏洞 這是一種簡(jiǎn)單的蜜罐主機(jī) 但是 空系統(tǒng) 以及模擬系統(tǒng) 會(huì)很快被攻擊者發(fā)現(xiàn) 因?yàn)樗麄儠?huì)發(fā)現(xiàn)這不是期待的目標(biāo) 2 鏡像系統(tǒng) 建立一些提供Internet服務(wù)的服務(wù)器鏡像系統(tǒng) 會(huì)對(duì)攻擊者感到真實(shí) 也就更具有欺騙性 另一方面 由于是鏡像系統(tǒng) 所以比較安全 3 虛擬系統(tǒng) 虛擬系統(tǒng)是在一臺(tái)真實(shí)的物理機(jī)器上運(yùn)行一些仿真軟件 模擬出多臺(tái)虛擬機(jī) 構(gòu)建多個(gè)蜜罐主機(jī) 這種虛擬系統(tǒng)不但逼真 而且成本較低 資源利用率較高 此外 即使攻擊成功 也不會(huì)威脅宿主操作系統(tǒng)安全 4 5 2蜜網(wǎng)技術(shù) 蜜網(wǎng) HoneyNet 技術(shù)也稱陷阱網(wǎng)絡(luò)技術(shù) 它由多個(gè)蜜罐主機(jī) 路由器 防火墻 IDS 審計(jì)系統(tǒng)等組成 為攻擊者制造一個(gè)攻擊環(huán)境 供防御者研究攻擊者的攻擊行為 1 第一代蜜網(wǎng) 圖4 17為第一代蜜網(wǎng)結(jié)構(gòu)圖 圖4 17第一代蜜網(wǎng)結(jié)構(gòu) 1 防火墻 防火墻隔離內(nèi)網(wǎng)和外網(wǎng) 防止入侵者以蜜網(wǎng)作為跳板攻擊其他系統(tǒng) 其配置規(guī)則為 不限制外網(wǎng)對(duì)蜜網(wǎng)的訪問(wèn) 但需要對(duì)蜜罐主機(jī)對(duì)外的連接予以控制 包括 限制對(duì)外連接的目的地 限制蜜罐主機(jī)主動(dòng)對(duì)外連接 限制對(duì)外連接的協(xié)議 2 路由器 路由器放在防火墻與蜜網(wǎng)之間 利用路由器具有控制功能來(lái)彌補(bǔ)防火墻的不足 例如防止地址欺騙攻擊 DoS攻擊等 3 IDS IDS是蜜網(wǎng)中的數(shù)據(jù)捕獲設(shè)備 用于檢測(cè)和記錄網(wǎng)絡(luò)中可疑的通信連接 報(bào)警可疑的網(wǎng)絡(luò)活動(dòng) 2 第二代蜜網(wǎng) 圖4 18為第二代蜜網(wǎng)結(jié)構(gòu)圖 圖4 18第二代蜜網(wǎng)結(jié)構(gòu) 第二代蜜網(wǎng)技術(shù)將數(shù)據(jù)控制和數(shù)據(jù)捕獲集中到蜜網(wǎng)探測(cè)器中進(jìn)行 這樣 帶來(lái)的好處是 便于安裝和管理 隱蔽性更強(qiáng) 可以監(jiān)控非授權(quán)活動(dòng) 可以采取積極的響應(yīng)方法限制非法活動(dòng)的效果 如修改攻擊代碼字節(jié) 使攻擊失效等 3 第三代蜜網(wǎng) 第三代密網(wǎng)是目前正在開發(fā)的密網(wǎng)技術(shù) 它是建立在一個(gè)物理的設(shè)備上的分布式虛擬系統(tǒng) 如圖4 19所示 這樣就把蜜罐 數(shù)據(jù)控制 數(shù)據(jù)捕獲 數(shù)據(jù)記錄等 都集中到一臺(tái)物理的設(shè)備上 圖4 19第三代蜜網(wǎng)結(jié)構(gòu) 4 5 3常見(jiàn)網(wǎng)絡(luò)誘騙工具及產(chǎn)品 1 蜜罐實(shí)現(xiàn)工具 1 winetd winetd是一個(gè)在Windows上實(shí)現(xiàn)蜜罐的簡(jiǎn)單工具 它安裝簡(jiǎn)單 界面友好 適合初學(xué)者使用 確定是過(guò)于簡(jiǎn)單 并不能真正誘騙攻擊者進(jìn)入 2 DTK DTK DeceptionToolKit 可以從 3 honeyd Honeyd 可以從http www citi umich edu u provos honeyd網(wǎng)站下載 是一個(gè)專用的蜜罐構(gòu)建軟件 可以虛擬多種主機(jī) 配置運(yùn)行不同的服務(wù)和操作系統(tǒng) 2 蜜網(wǎng)實(shí)現(xiàn)工具 1 數(shù)據(jù)控制 Jptable snort inline 2 數(shù)據(jù)捕獲 Termlog Sebek2 snort Comlog 3 數(shù)據(jù)收集 Obfugator 4 數(shù)據(jù)分析 Privmsg TASK WinInterrogate 以上工具可以從下面的網(wǎng)址下載 http project honeynet org 4 6安全審計(jì) 4 6 1安全審計(jì)及其功能 虛擬的數(shù)字世界是十分脆弱的 隨著對(duì)它們的依賴程度的增加 不安全感也隨之增加 信息被篡改 信息被泄漏 身份被偽冒 的頻繁報(bào)道 要求對(duì)系統(tǒng)安全方案中的功能提供持續(xù)的評(píng)估 這就是安全審計(jì) 據(jù)專家的預(yù)測(cè) 安全審計(jì)技術(shù)將成為與防火墻技術(shù) IDS技術(shù)一樣的網(wǎng)絡(luò)安全工具之一 安全審計(jì)的功能 具體來(lái)說(shuō) 安全審計(jì)應(yīng)當(dāng)具有下面的功能 1 記錄關(guān)鍵事件 關(guān)于關(guān)鍵事件的界定由安全官員決定 2 對(duì)潛在的攻擊者進(jìn)行威懾或警告 3 為系安全管理員提供有價(jià)值的系統(tǒng)使用日志 幫助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)入侵行為和系統(tǒng)漏洞 使安全管理人員可以知道如何對(duì)系統(tǒng)安全進(jìn)行加強(qiáng)和改進(jìn) 4 為安全官員提供一組可供分析的管理數(shù)據(jù) 用于發(fā)現(xiàn)何處有違反安全方案的事件 并可以根據(jù)實(shí)際情形調(diào)整安全政策 美國(guó)國(guó)家標(biāo)準(zhǔn) 可信計(jì)算機(jī)系統(tǒng)評(píng)估超標(biāo)準(zhǔn) TrustedComputerSystemEvaluationCriteria 給出的定義是 一個(gè)安全的系統(tǒng)中的安全審計(jì)系統(tǒng) 是對(duì)系統(tǒng)中任一或所有安全相關(guān)事件進(jìn)行記錄 分析和再現(xiàn)的處理系統(tǒng) 它通過(guò)對(duì)一些重要的事件進(jìn)行記錄 從而在系統(tǒng)發(fā)現(xiàn)錯(cuò)誤或受到攻擊時(shí)能定位錯(cuò)誤和找到攻擊成功的原因 并且是事故后調(diào)查取證的基礎(chǔ) 當(dāng)然也是對(duì)信息系統(tǒng)的信心保證 可以看出 安全審計(jì)和報(bào)警是不可分割的 安全審計(jì)由各級(jí)安全管理機(jī)構(gòu)實(shí)施并管理 并只在定義的安全策略范圍內(nèi)提供 它允許對(duì)安全策略的充分性進(jìn)行評(píng)價(jià) 幫助檢測(cè)安全違規(guī) 對(duì)潛在的攻擊者產(chǎn)生威懾 但是 安全審計(jì)不直接阻止安全違規(guī) 安全報(bào)警是由個(gè)人或進(jìn)程發(fā)出的 一般在安全相關(guān)事件達(dá)到某一或一些預(yù)定義閾值時(shí)發(fā)出 這些事件中 一些是需要立即采取矯正行動(dòng) 另一些有進(jìn)一步研究?jī)r(jià)值的事件 4 6 2安全審計(jì)日志 審計(jì)日志是記錄信息系統(tǒng)安全狀態(tài)和問(wèn)題的原始數(shù)據(jù) 理想的日志應(yīng)當(dāng)包括全部與數(shù)據(jù)以及系統(tǒng)資源相關(guān)事件的記錄 但這樣付出的代價(jià)太大 為此 日志的內(nèi)容應(yīng)當(dāng)根據(jù)安全目標(biāo)和操作環(huán)境單獨(dú)設(shè)計(jì) 典型的日志內(nèi)容有 事件的性質(zhì) 數(shù)據(jù)的輸入和輸出 文件的更新 改變或修改 系統(tǒng)的用途或期望 全部相關(guān)標(biāo)識(shí) 人 設(shè)備和程序 有關(guān)事件的信息 日期和時(shí)間 成功或失敗 涉及因素的授權(quán)狀態(tài) 轉(zhuǎn)換次數(shù) 系統(tǒng)響應(yīng) 項(xiàng)目更新地址 建立 更新或刪除信息的內(nèi)容 使用的程序 兼容結(jié)果和參數(shù)檢測(cè) 侵權(quán)步驟等 對(duì)大量生成的日志要適當(dāng)考慮數(shù)據(jù)的保存期限 4 6 3安全審計(jì)的類型 1 根據(jù)審計(jì)的對(duì)象分類 根據(jù)審計(jì)的對(duì)象安全審計(jì)可以分為以下一些類型 操作系統(tǒng)的審計(jì) 應(yīng)用系統(tǒng)的審計(jì) 設(shè)備的審計(jì) 網(wǎng)絡(luò)應(yīng)用的審計(jì) 2 審計(jì)的關(guān)鍵部位 通常審計(jì)的關(guān)鍵部位有 1 對(duì)來(lái)自外部攻擊的審計(jì) 2 對(duì)來(lái)自內(nèi)部攻擊的審計(jì) 3 對(duì)電子數(shù)據(jù)的安全審計(jì) 習(xí)題 1 審計(jì)與入侵檢測(cè)技術(shù)有什么關(guān)系 2 綜述入侵檢測(cè)技術(shù)的發(fā)展過(guò)程 并提出自己的思路 3 綜述有關(guān)入侵檢測(cè)技術(shù)的各種定義 4 入侵檢測(cè)系統(tǒng)有哪些可以利用的數(shù)據(jù)源 5 試構(gòu)造一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的截獲程序 6 試述入侵檢測(cè)系統(tǒng)的工作原理 7 收集資料 對(duì)國(guó)內(nèi)外主要基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品進(jìn)行比較 8 收集資料 對(duì)國(guó)內(nèi)外主要基于主機(jī)的入侵檢測(cè)產(chǎn)品進(jìn)行比較 9 分析入侵檢測(cè)系統(tǒng)的不足和發(fā)展趨勢(shì) 10 入侵檢測(cè)技術(shù)與法律有什么關(guān)系 11 簡(jiǎn)述蜜罐技術(shù)的特殊用途 12 用下載的蜜罐工具 構(gòu)造一個(gè)簡(jiǎn)單的蜜罐系統(tǒng) 13 簡(jiǎn)述安全審計(jì)的作用 14 簡(jiǎn)述日志的作用和記錄內(nèi)容 15 審計(jì)與入侵檢測(cè)有什么關(guān)聯(lián)