第六章入侵检测与安全审计系统.ppt

电子科技大学成都学院 第六章 入侵检测与安全审计系统 6.1 入侵检测系统 6.2 安全审计系统 6.1 入侵检测系统 6.1.1 入侵检测系统的概念 入侵(Intrusion)是指任何企图危及资源的完整性、机密性和可用性的活动。 入侵检测顾名思义，是指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测系统——Intrusion Detection System，简称IDS，入侵检测的软件与硬件的组合。 模型 最早的入侵检测模型是由Denning给出的，该模型主要根据主机系统审计记录数据，生成有关系统的若干轮廓，并监测轮廓的变化差异发现系统的入侵行为，如下图： CIDF(通用入侵检测框架)标准——入侵检测系统的通用模型，解决不同IDS之间的互操作和共存问题。 事件——IDS需要分析的数据，可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。 作用 是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。 是安防系统的重要组成部分。 以后台进程的形式运行，发现可疑情况，立即通知有关人员。 被认为是防火墙之后的第二道安全闸门。 如同大楼的监视系统。 6.1.2 入侵检测系统的特点 不需要人工干预即可不间断的运行 有容错能力 不需要占用大量的系统资源 能够发现异常的操作 能够适应系统行为的长期变化 判断正确 灵活定制 保持领先 6.1.3 入侵行为的误判 正误判——将一个合法操作判断为异常行为。 后果：导致用户不理会IDS的报警，使IDS形同虚设。 负误判——将一个攻击动作判断为非攻击行为，并允许其通过检测。 后果：背离了安全防护的宗旨，IDS系统成为例行公事。 失控误判——攻击者修改了IDS系统的操作，使它总出现负误判的情况。 后果：不易察觉，长此以往，IDS将不会报警。 6.1.4 入侵分析方法 签名分析法 统计分析法 数据完整性分析法 签名分析法 主要用来监测对系统的已知弱点进行攻击的行为。 方法：从攻击模式中归纳出它的签名，编写到IDS系统的代码里。 签名分析实际上是一种模板匹配操作： 一方是系统设置情况和用户操作动作 一方是已知攻击模式的签名数据库 统计分析法 以统计学为理论基础，以系统正常使用情况下观察到的动作模式为依据来判别某个动作是否偏离了正常轨道。 数据完整性分析法 以密码学为理论基础，可以查证文件或者对象是否被别人修改过。 工作流程 根据计算机审计记录文件产生代表用户会话行为的会话矢量，然后对这些会话矢量进行分析，计算出会话的异常值，当该值超过阈值便产生警告。 步骤1：产生会话矢量。 根据审计文件中的用户会话(如用户会话包括login和logout之间的所有行为)产生会话矢量。 会话矢量X=x1,x2,….,xn表示描述单一会话用户行为的各种属性的数量。会话开始于login，终止于logout，login和logout次数也作为会话矢量的一部分。可监视20多种属性，如：工作的时间、创建文件数、阅读文件数、打印页数和I/O失败次数等。 步骤2：产生伯努里矢量。 伯努里矢量B=b1,b2,…,bn是单一2值矢量，表示属性的数目是否在正常用户的阈值范围之外。阈值矢量T=t1,t2,…,tn表示每个属性的范围，其中ti是ti,min, ti,max形式的元组，代表第i个属性的范围。这样阈值矢量实际上构成了一张测量表。算法假设ti服从高斯分布(即：正态分布)。 产生伯努里矢量的方法就是用属性i的数值xi与测量表中相应的阈值范围比较，当超出范围时，bi被置1，否则bi置0。产生伯努里矢量的函数可描述为： 步骤3：产生加权入侵值。 加权入侵矢量W=w1,w2,…,wn中每个wi与检测入侵类型的第i个属性的重要性相关。即，wi对应第i个属性超过阈值ti的情况在整个入侵判定中的重要程度。加权入侵值由下式给出： 加权入侵值 步骤4：若加权入侵值大于预设的阈值，则给出报警。 模型应用实例 利用该模型设计一防止网站被黑客攻击的预警系统。考虑到一个黑客应该攻击他自己比较感兴趣的网站，因此可以在黑客最易发起攻击的时间段去统计各网页被访问的频率，当某一网页突然间被同一主机访问的频率剧增，那么可以判定该主机对某一网页发生了超乎寻常的兴趣，这时可以给管理员一个警报，以使其提高警惕。 借助该模型，可以根据某一时间段的Web日志信息产生会话矢量，该矢量描述在特定时间段同一请求主机访问各网页的频率，xi说明第i个网页被访问的频率；接着根据阈值矢量产生伯努里矢量，此处的阈值矢量定为各网页被访问的正常频率范围；然后计算加权入侵值，加权矢量中的wi与网页需受保护