入侵检测技术课件文本.pptVIP

入侵检测技术 入侵检测系统的实现过程 信息收集，来源： 网络流量 系统日志文件 系统目录和文件的异常变化 程序执行中的异常行为 信息分析 模式匹配 统计分析 完整性分析，往往用于事后分析 入侵检测系统的通用模型 入侵检测系统的种类 基于主机 安全操作系统必须具备一定的审计功能，并记录相应的安全性日志 基于网络 IDS可以放在防火墙或者网关的后面，以网络嗅探器的形式捕获所有的对内对外的数据包 基于内核 从操作系统的内核接收数据，比如LIDS 基于应用 从正在运行的应用程序中收集数据 IDS的技术 异常检测(anomaly detection) 也称为基于行为的检测 首先建立起用户的正常使用模式，即知识库 标识出不符合正常模式的行为活动 误用检测(misuse detection) 也称为基于特征的检测 建立起已知攻击的知识库 判别当前行为活动是否符合已知的攻击模式 异常检测 比较符合安全的概念，但是实现难度较大 正常模式的知识库难以建立 难以明确划分正常模式和异常模式 常用技术 统计方法 预测模式 神经网络 误用检测 目前研究工作比较多，并且已经进入实用 建立起已有攻击的模式特征库 难点在于：如何做到动态更新，自适应 常用技术 基于简单规则的模式匹配技术 基于专家系统的检测技术 基于状态转换分析的检测技术 基于神经网络检测技术 其他技术，如数据挖掘、模糊数学等 IDS的两个指标 漏报率 指攻击事件没有被IDS检测到 误报率(false alarm rate) 把正常事件识别为攻击并报警 误报率与检出率成正比例关系 基于网络的IDS系统 收集网络流量数据 利用sniff技术 把IDS配置在合理的流量集中点上，比如与防火墙或者网关配置在一个子网中 利用某些识别技术 基于模式匹配的专家系统 基于异常行为分析的检测手段 一个轻量的网络IDS: snort 是一个基于简单模式匹配的IDS 源码开放，跨平台(C语言编写，可移植性好) 利用libpcap作为捕获数据包的工具 特点 设计原则：性能、简单、灵活 包含三个子系统：网络包的解析器、检测引擎、日志和报警子系统 内置了一套插件子系统，作为系统扩展的手段 模式特征链——规则链 命令行方式运行，也可以用作一个sniffer工具 网络数据包解析 结合网络协议栈的结构来设计 Snort支持链路层和TCP/IP的协议定义 每一层上的数据包都对应一个函数 按照协议层次的顺序依次调用就可以得到各个层上的数据包头 从链路层，到传输层，直到应用层 在解析的过程中，性能非常关键，在每一层传递过程中，只传递指针，不传实际的数据 支持链路层：以太网、令牌网、FDDI Snort规则链处理过程 二维链表结构 匹配过程 首先匹配到适当的Chain Header 然后，匹配到适当的Chain Option 最后，满足条件的第一个规则指示相应的动作 Snort: 日志和报警子系统 当匹配到特定的规则之后，检测引擎会触发相应的动作 日志记录动作，三种格式： 解码之后的二进制数据包 文本形式的IP结构 Tcpdump格式 如果考虑性能的话，应选择tcpdump格式，或者关闭logging功能 报警动作，包括 Syslog 记录到alert文本文件中 发送WinPopup消息 关于snort的规则 Snort的规则比较简单 规则结构： 规则头： alert tcp !/24 any - /24 any 规则选项： (flags: SF; msg: “SYN-FIN Scan”;) 针对已经发现的攻击类型，都可以编写出适当的规则来 规则与性能的关系 先后的顺序 Content option的讲究 许多cgi攻击和缓冲区溢出攻击都需要content option 现有大量的规则可供利用 Snort规则示例 规则示例 关于snort 开放性 源码开放，最新规则库的开放 作为商业IDS的有机补充 特别是对于最新攻击模式的知识共享 Snort的部署 作为分布式IDS的节点 为高级的IDS提供基本的事件报告 发展 数据库的支持 互操作性，规则库的标准化 二进制插件的支持 预处理器模块：TCP流重组、统计分析，等 …… 异常检测的网络IDS 基于规则和特征匹配的NIDS的缺点 对于新的攻击不能正确识别 人工提取特征，把攻击转换成规则，加入到规则库中 异常检测的NIDS可以有一定的自适应能力 利用网络系统的已知流量模式进行学习，把正常流量模式的知识学习到IDS中 当出现新的攻击时，根据异常行为来识别 并且，对于新的攻击以及异常的模式可以反馈到IDS系统中 人工神经网络(ANN)用于异常检测 ANN有比较好的非线性分析能力 一定程度上可以代替统计检测技术 通过历史数据学习用户的典型特征 难点： 采集好的学习样本并量化表达 如何获得