- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
检测原理是根据主机的审计数据和系统的日 志发现可疑事件,检测系统可以运行在被检 测的主机或单独的主机上
11
基于主机的入侵检测系统
攻击模式库
配置系统库
入侵检测器 报警 应急措施
主机系统
审计记 录
基于主机系统的结构
系统操 作
12
基于主机的入侵检测系统的弱点
(1)安装在需要保护的设备上。 (2)主机的审计信息弱点,如易受攻击,入
侵者可通过使用某些系统特权或调用比审计 本身更低级的操作来逃避审计。 (3)依赖于服务器固有的日志与监视能力, 所能检测到的攻击类型受到限制。 (4)除了监测自身的主机以外,根本不监测 网络上的情况。 (5)全面部署主机入侵检测系统代价较大
13
基于网络的入侵检测系统
随着计算机网络技术的发展,单独地依靠主 机审计信息进行入侵检测难以适应网络安全 的需求。
前更多意义上属-于研究型蜜罐技术 具有代表性的工具是“蜜网项目组”所推出
的第二代蜜网技术
低交互式蜜罐技术
交互性:攻击者在蜜罐中活动的交互性级别 低交互式蜜罐技术
具有与攻击源主动交互的能力 模拟网络服务响应,模拟漏洞 容易部署,容易控制攻击 低交互式-交互级别由于模拟能力而受限,数据获
保护公网上的内部通信
针对文件与邮件,产品成熟
局限性 无法处理网络内部的攻击 误报警,缓慢攻击,新的攻 击模式 并不能真正扫描漏洞
可视为防火墙上的一个漏洞 功能单一
5
入侵检测系统主要功能
(1)监视并分析用户和系统的活动。 (2)检查系统配置和漏洞。 (3)识别已知的攻击行为并报警。 (4)异常行为模式的统计分析。 (5)评估系统关键资源和数据文件的完整性。 (6)操作系统的审计跟踪管理,并识别用户
9
入侵检测性能关键参数
误报(false positive):如果系统错误地将异
常活动定义为入侵
漏报(false negative):如果系统未能检测出
真正的入侵行为
10
基于主机的入侵检测系统
基于主机的入侵检测系统(Host-based Intrusion Detection System)为早期的入 侵检测系统结构,其检测的目标主要是主机 系统和系统本地用户。
29
分布式的入侵检测系统
分布式IDS的目标是既能检测网络入侵行为, 又能检测主机的入侵行为。
系统通常由数据采集模块,通信传输模块、 入侵检测分析模块、响应处理模块、管理中 心模块和安全知识库组成。
30
其它类型的入侵检测系统
文件完整性检查系统 日志文件监视
31
蜜罐技术的提出
被动安全防护机制
违反安全策略的行为。
6
IDS基本结构
入侵检测系统包括三个功能部件 (1)信息收集 (2)信息分析 (3)结果处理
数据
数
数据
数
事件
据
据
收
分
集
析
结
结果
果
处
理
7
信息收集的来源
系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为
8
信息分析
▪ 模式匹配 ▪ 统计分析 ▪ 完整性分析,往往用于事后分析
系统中的任何不能确认是攻击的行为都被认 为是系统的正常行为。
26
入侵检测的分析技术--误用检测
基于误用的入侵检测技术具有良好的精确度, 误报率较低,但其检测依赖于对入侵攻击和 系统缺陷相关知识的不断更新和补充,因此 不能检测未知的入侵行为。
误用检测的主要实现技术有专家系统、状态 转换分析、模式匹配等。
加密、VPN 防火墙: 配置问题、针对开放业务端口的攻击、
内部攻击 入侵检测系统IDS: 已知攻击特征库、高误报率 反病毒软件: 病毒特征库在线升级,延迟
“主动”安全防护机制
漏洞扫描与补丁分发工具:扫描脚本、补丁延迟 入侵防御系统IPS: 已知攻击特征库、“傻瓜式”
蜜罐技术的提出
防御方尝试改变攻防博弈不对称性而提出的一 种 主动防护技术
为了克服两者的不足造成防御体系的不全面, 20世纪90年代以后,许多大型的分布式入侵 检测系统都是混合型的入侵检测系统。
19
入侵响应
被动响应入侵检测系统 只发出告警通知
主动响应入侵检测系统 两类:对被攻击系统实施控制的系统和 对攻击系统实施控制的系统。 主动响应有两种形式,一种是由用户 驱动的,一种是由系统本身自动执行的。
取能力和伪装性较弱,一般仅能捕获已知攻击 例: Honeyd 商业产品: KFSensorKFSensor, Specter, ,
HoneyPointHoneyPoint…
高交互式蜜罐技术
高交互式蜜罐技术
使用真实的操作系统、网络服务与攻击源进行交互
高度的交互等级-对未知漏洞、安全威胁具有天然 的可适性,数据获取能力、伪装性均较强
蜜罐技术概念
定义:honeypot: “A security resource who’s value lies in being probed, attacked or compromised”——Lance Spitzner(The Honeynet Project 的创始 人)
蜜罐是一类安全资源,其价值就在于被 探测、被攻击及被攻陷。
20
入侵响应ຫໍສະໝຸດ Baidu
应急响应组 应急响应计划
应急响应计划(Emergency Response Plan)是指组织为了应对突发/重大信 息安全事件而编制的,对包括信息系统 运行在内的业务运行进行维持或恢复的 策略和规程。
21
入侵检测的分析技术--异常检测
异常检测技术也称为基于行为的检测技术, 是根据用户的行为和系统资源的使用状况判 断是否存在网络入侵。
入侵检测被认为是防火墙之后的第二道安全 闸门,在不影响网络性能的情况下能对网络 进行监测,从而提供对内部攻击、外部攻击 和误操作的实时保护。
4
网络安全工具的特点
防火墙 IDS
优点 可简化网络管理,产品成熟 实时监控网络安全状态
Scanner
VPN 防病毒
简单可操作,帮助系统管理 员和安全服务人员解决实际 问题
蜜罐的原理
(1)布置安全陷阱 (2)诱骗攻击 (3)记录攻击过程
36
蜜罐分类
(1)根据系统功能可以分为产品型蜜罐和研 究型蜜罐
(2)根据交互程度可将蜜罐系统分为低交互 蜜罐、中交互蜜罐和高交互蜜罐
(3)从具体实现的角度,可以分为物理蜜罐 和虚拟蜜罐。
37
产品型蜜罐
目标:有效防护业务网络
弱势-资源需求较大,可扩展性较弱,部署安全风 险较高
高交互式蜜罐工具
Honeynet ––蜜网项目组(The Honeynet Project)
虚拟机蜜罐 VS. 物理蜜罐
虚拟机(Virtual Machine)/仿真器(Emulator)技术 节省硬件资源、容易部署和控制、容易恢复、安全
蜜罐技术
1998年后,出现DTK、Honeyd等大量开源蜜罐工具 同期出现一些商业产品,但并未得到市场普及
蜜网技术
1999年由蜜网项目组(The Honeynet Project)提出并实 现
目前已发展到第三代蜜网技术
蜜场技术
2003年由Lance Spitzner首次提出Honeypot farms思想 目前仍未有实际的工具、产品和应用
子网1 子网2
子网3 内部网
基于网络的入侵检测系统的优点
(1)平台无关性。 (2)成本低、配置简单。 (3)检测的攻击标记标识较多。 (4)实时性的检测和响应。
17
基于网络入侵检测系统的缺点
(1)不适用于交换的网络环境。 (2)网络入侵检测系统不适用于加密的网络
环境。 (3)网络入侵检测系统为了性能目标通常采
用特征检测的方法,它可以检测出普通的一 些攻击,而很难实现一些复杂的需要大量计 算与分析时间的攻击检测。 (4)网络流量较大时,处理能力有限。
18
混合型入侵检测系统
基于网络的IDS能够独立于主机,不影响主 机性能,并且监控范围广,能够客观地反映 网络活动,特别是能够监视到系统审计的盲 区
基于主机的IDS能够更加精确地监视系统中 的各种活动,不会因为网络流量的增加而放 弃对网络行为的监视,并且可以用于加密环 境。
23
入侵检测的分析技术--异常检测
正常行为描述库
网络数据
动态产生新描述动态更新 描述
异常检测
匹配规则
入侵行为
日志数据
异常检测模型
24
入侵检测的分析技术--异常检测
优点是,与系统相对无关,通用性比较强,易 于实现,易于自动更新,可以发现未知的入侵 行为,同时有一定的学习能力。
缺点是单纯的统计异常检测方法对时间发生的 次序不够敏感,误报、虚报率较高,对没有统 计特征的攻击方法难以检测。
系统入侵检测与防御
1
1. 入侵检测系统 2. 入侵响应 3. 入侵检测的分析技术 4. 入侵检测系统的结构与部署 5. 入侵检测系统SNORT 6. 其它类型的入侵检测系统 7. 蜜罐 8. 入侵防御系统
网络攻防的非对称博弈
工作量不对称
攻击方:夜深人静, 攻其弱点 防守方:24*7, 全面防护
信息不对称
攻击方:通过网络扫描、探测、踩点对攻击目 标全面了解
防守方:对攻击方一无所知
后果不对称
攻击方:任务失败,极少受到损失 防守方:安全策略被破坏,利益受损
攻击方掌握主动权
入侵检测的定义
防护是必要的,但仅有防护是不够的,入侵检 测是防火墙的合理补充
入侵检测的概念最早由Anderson在1980年提 出,是指对入侵行为的发觉,并对此做出反 应的过程。
响应单元
事件数据库
28
分布式的入侵检测系统
新的入侵检测问题: 首先,系统的弱点或漏洞分散在网络中的各个主
机上,这些弱点问题可能被入侵者一起用来攻击 网络,而仅依靠一个主机或网络入侵检测系统难 以发现入侵行为; 第二,网络入侵行为不再是单一的行为,而是表 现出相互协作的入侵特点; 第三,数据来源分散化,使得收集原始的检测数 据变得比较困难; 第四,网络速度传输加快,网络的流量大,原始 数据的集中处理方式造成检测瓶颈,导致漏检。
间接性防护-通过诱骗增大攻击者代价,混 淆关键业务资源,了解并规避安全威胁
直接性防护-蜜场技术 较具代表性的产品型蜜罐包括DTK、honeyd
等开源工具和KFSensor、ManTrap 等一系 列的商业产品。
研究型蜜罐
目标:研究对手,了解自身面临的安全威 胁
知己知彼、百战不殆 蜜网技术(Know Your Enemy)(Enemy)-目
人们提出了基于网络入侵检测系统体系结构, 这种检测系统根据网络流量、单台或多台主 机的审计数据检测入侵。
14
基于网络的入侵检测系统
基于网络系统的结构
安全配置构造器
网络安全数据库
分析结 果
分析引擎
探测器
探测器
网络接口
15
Internet
Web 服务器 域名 服务器
防
火
墙
控制台
探测器
基于网络的IDS配置
异常检测原则是任何与已知行为模型不符合 的行为都认为是入侵行为。
22
入侵检测的分析技术--异常检测
异常检测的假设是入侵者活动异常于正 常主体的活动。
入侵性而非异常 非入侵性且异常 非入侵性且非异常 入侵且异常 异常检测一般先建立用户正常行为的模型,
再将实际观察到的行为与之相比较,检测 与正常行为偏差较大的行为。
27
入侵检测系统的结构
为了提高IDS产品、组件以及与其他安全产品之间的 互操作性,美国国防高级研究计划署与Internet工 程任务组的入侵检测工程组(IDWG)发起制定了一 系列建议草案,从体系结构、API、通信机制、语言 格式等方面规范IDS的标准,提出了通用入侵检测框 架。
事件产生器
事件分析器
难题在于如何建立系统正常行为的“活动轮廓” 以及如何设计统计算法
采用的技术有统计分析、贝叶斯推理、神经网 络和数据挖掘等方法。
25
入侵检测的分析技术--误用检测
误用检测检测技术也称为基于知识的检测或 基于特征的检测。误用检测假设所有入侵的 行为或手段及其变种都能表达为一种模式或 特征。误用检测技术通过对已知道的入侵行 为和手段进行分析,提取检测特征,构建攻 击模式或攻击签名。检测时,主要判别主机 或者网络中所搜集到的数据特征是否匹配所 收集的特征库中的一种,以此判断是否有入 侵行为。
对攻击者的欺骗技术-增加攻击代价、减少对实际 系统的安全威胁
了解攻击者所使用的攻击工具和攻击方法 追踪攻击源、攻击行为审计取证
蜜罐技术的提出
Honeypot: 首次出现在Cliff Stoll的小说“The Cuckoo’s Egg” (1990)
著名计算机安全专家Fred Cohen
蜜罐技术发展历程
