信息安全概论第19讲.pptVIP

信息安全概论 6.5 入侵检测 如果攻击者成功地绕过防御措施，渗透到网络中，如何检测出攻击行为呢？包括内部和外部发动的攻击。这节将介绍在这些情况下的防御手段—入侵检测系统（Intrusion Detection System，简称IDS）。 6.5.1入侵检测的基本原理 1980年J. Anderson在他的那篇被誉为入侵检测的开山之作的文章??“Computer Security Threat Monitoring and Surveillance”中首次提出了创建安全审计纪录和在此基础上的计算机威胁监控系统的基本构想。把攻击分为假冒者（假冒他人的内部用户）；误用者（合法用户误用了对系统或数据的访问）；秘密用户（获取了对系统的管理控制）。至于来自外部的渗透者，当他们成功地突破了目标系统的访问控制后，相应的威胁就转变为内部的威胁。 1. 三类内部渗透者与入侵检测的分析模型 假冒者盗用他人账户信息。他对系统的访问行为轮廓应该和他所冒充的用户有所不同，因此一个自然的检测方法是在审计记录中为系统的每个合法用户建立一个正常行为轮廓，当检测系统发现当前用户的行为和他的正常行为轮廓有较大偏差时，就应该及时提醒系统安全管理员。这样的检测方法称为异常检测。 误用者是合法用户的越权访问。与授权用户的行为相比，可能在统计上没有显著的区别。这些越权举动，则可以通过事先刻画已知攻击的特征，将越权举动和这些特征相匹配，从而检测出攻击。这种方法称为误用检测。 秘密用户拥有对系统的管理控制权。可以利用他的权限来躲避审计记录，因此是很难通过安全审计记录来检测出所发生的攻击，除非他的秘密行动显示出上述两类攻击者的特征。 综上所述，异常检测和误用检测是入侵检测的两种主要分析模型，其中用户正常行为轮廓的建立主要是基于统计的方法，而攻击特征的刻画主要是基于规则。 2. 入侵检测的数据源 反映受保护系统运行状态的记录和动态数据。分为： 基于主机的数据源 基于网络的数据源 基于主机的数据源 （1）操作系统审计记录—由专门的操作系统机制产生的系统事件的记录； （2）系统日志—由系统程序产生的用于记录系统或应用程序事件的文件。 操作系统的审计记录是系统活动的信息集合，它按照时间顺序组成数个审计文件，每个文件由审计记录组成，每条记录描述了一次单独的系统事件，由若干个域（又称审计标记）组成。当系统中的用户采取动作或调用进程时，引起的系统调用或命令执行，此时审计系统就会产生对应的审计记录。大多数商用操作系统的审计记录是按照可信产品评估程序的标准设计和开发的，具有低层次和细节化的特征，因此成为基于主机的入侵检测系统首选数据源。 系统日志是反映系统事件和设置的文件。例如Unix提供通用的服务syslog（用于支持产生和更新事件日志）；Sun Solaris中的lastlog（记录用户最近的登陆，成功或不成功）、pacct（记录用户执行的命令和资源使用的情况）。 产生系统日志的软件通常作为应用程序而不是操作系统的子程序运行，易于遭到恶意的破坏和修改。 系统日志通常存储在系统未经保护的目录中，而且以文本的形式存储，而审计记录则经过加密和校验处理，为防止篡改提供了保护机制。 系统日志和审计记录相比，具有较强的可读性； 在某些特殊的环境下，可能无法获得操作系统的审计记录或不能对审计记录进行正确的解释，此时系统日志就成为系统安全管理必不可少的信息来源。 网络数据来源 采用特殊的数据提取技术，收集网段中传播的数据，作为检测系统的数据来源。优势： 网络数据是通过网络监听的方式获得的，由于网络嗅探器所做的工作仅仅是从网络中读取传输的数据包，因此对被保护系统的性能影响很小，而且无需改变原有的系统和网络结构。 网络监视器与受保护主机的操作系统无关。 相应的两类入侵检测系统分别称为基于主机和基于网络的入侵检测系统。 3. 入侵检测系统的一般框架 审计数据收集：数据源主要是上节所讨论的基于主机和基于网络两个来源。 数据处理（检测）：主要的检测模型是前文所介绍的误用检测和异常检测，它们所采用的主要分析方法分别是基于规则和基于统计。在应用这些方法之前，常常对审计数据进行预处理。 参考数据：主要包括已知攻击的特征和用户正常行为的轮廓，而检测引擎会不断地更新这些数据。 报警：该模块处理由整个系统产生的所有输出，结果可以是对怀疑行动的自动相应，但最为普遍的是通知系统安全管理员。 配置数据：主要指影响检测系统操作的状态，例如审计数据的来源和收集方法，如何响应入侵等。系统安全管理员是通过配置数据来控制入侵检测系统的运行。 审计数据存储与预处理：是为后期数据处理提供方便的数据检索和状态保存而设置的，可以看成数据处理的一部分