10.1.2 入侵检测模型
入侵检测框架模型简称为 CIDF。该模型认为入侵检测系统由事件产生器 generators )、事件分析器(event analyzers)、响应单元(response units)和事件数据库 even databases)组成。
10.1.3 入侵检测作用
入侵检测系统在网络安全保障过程中扮演类似“预警机”或“安全巡逻人员”的角色,入侵检测系统的直接目的不是阻止入侵事件的发生,而是通过检测技术来发现系统中企图或己经违背安全策略的行为。
作用表现为以下几个方面:
(1)发现受保护系统中的入侵行为或异常行为;
(2)检验安全保护措施的有效性;
(3)分析受保护系统所面临的威胁;
(4)有利于阻止安全事件扩大,及时报警触发网络安全应急响应;
(5)可以为网络安全策略的制定提供重要指导;
(6)报警信息可用作网络犯罪取证。
10.2.1 基于误用的入侵检测技术
误用入侵检测通常称为基于特征的入侵检测方法,是指根据己知的入侵模式检测入侵行为。攻击者常常利用系统和应用软件中的漏洞技术进行攻击,而这些基于漏洞的攻击方法具有某种特征模式。如果入侵者的攻击方法恰好匹配上检测系统中的特征模式,则入侵行为立即被检测到。
1. 基于条件概率的误用检测方法
基于条件概率的误用检测方法,是将入侵方式对应一个事件序列,然后观测事件发生序列,应用贝叶斯定理进行推理,推测入侵行为。
误用入侵检测依赖于攻击模式库。因此,这种采用误用入侵检测技术的 IDS 产品的检测能力就取决于攻击模式库的大小以及攻击方法的覆盖面。如果攻击模式库太小,则 IDS 的有效性就大打折扣。而如果攻击模式库过大,则 IDS 的性能会受到影响。
2.基于状态迁移的误用检测方法
状态迁移方法利用状态图表示攻击特征,不同状态刻画了系统某一时刻的特征。初始状态对应于入侵开始前的系统状态,危害状态对应于已成功入侵时刻的系统状态。初始状态与危害状态之间的迁移可能有一个或多个中间状态。攻击者的操作将导致状态发生迁移,使系统从初始状态迁移到危害状态。基于状态迁移的误用检测方法通过检查系统的状态变化发现系统中的入侵行为。采用该方法的 IDS 有 STAT ( StateTransition Analysis Technique)和 USTAT ( StateTransition Analysis Tool for UNIX )。
3.基于键盘监控的误用检测方法
基于键盘监控的误用检测方法,是假设入侵行为对应特定的击键序列模式,然后监测用户的击键模式,并将这一模式与入侵模式匹配,从而发现入侵行为。这种方法的缺点是,在没有操作系统支持的情况下,缺少捕获用户击键的可靠方法。此外,也可能存在多种击键方式表示同一种攻击。
4.基于规则的误用检测方法
基于规则的误用检测方法是将攻击行为或入侵模式表示成一种规则,只要符合规则就认定它是一种入侵行为。这种方法的优点是,检测起来比较简单,但是也存在缺点,即检测受到规则库限制,无法发现新的攻击,并且容易受干扰。目前,大部分 IDS 采用的是这种方法。Snort 是典型的基于规则的误用检测方法的应用实例。
10.2.2 基于异常的入侵检测技术
1.基于统计的异常检测方法
基于统计的异常检测方法就是利用数学统计理论技术,通过构建用户或系统正常行为的特征轮廓。其中统计性特征轮廓通常由主体特征变量的频度、均值、方差、被监控行为的属性变量的统计概率分布以及偏差等统计量来描述。典型的系统主体特征有:系统的登录与注销时间,资源被占用的时间以及处理机、内存和外设的使用情况等。至于统计的抽样周期可以从短到几分钟到长达几个月甚至更长。基于统计性特征轮廓的异常性检测器,对收集到的数据进行统计处理,并与描述主体正常行为的统计性特征轮廓进行比较,然后根据二者的偏差是否超过指定的门限来进一步判断、处理。许多入侵检测系统或系统原型都采用了这种统计模型。
2.基于条件概率的误用检测方法
基于条件概率的误用检测方法,是将入侵方式对应一个事件序列,然后观测事件发生序列,应用贝叶斯定理进行推理,推测入侵行为。
3.基于模式预测的异常检测方法
基于模式预测的异常检测方法的前提条件是:事件序列不是随机发生的而是服从某种可辨别的模式,其特点是考虑了事件序列之间的相互联系。
4.基于文本分类的异常检测方法
基于文本分类的异常检测方法的基本原理是将程序的系统调用视为某个文档中的“字”,而进程运行
所产生的系统调用集合就产生一个“文档”。对于每个进程所产生的“文档”,利用 K-最近邻聚类(K-Nearest Neighbor)文本分类算法,分析文档的相似性,发现异常的系统调用,从而检测入侵行为。
5.基于贝叶斯推理的异常检测方法
基于贝叶斯推理的异常检测方法,是指在任意给定的时刻,测量 A1 A2,…AN 从而推理判断系统是否发生入侵行为。
10.3.1 入侵检测系统组成
一个入侵检测系统主要由以下功能模块组成:
数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块和相关的辅助模块。
数据采集模块的功能是为入侵分析引擎模块提供分析用的数据,包括操作系统的审计日志、应用程序的运行日志和网络数据包等。
入侵分析引擎模块的功能是依据辅助模块提供的信息(如攻击模式),根据一定的算法对收集到的数据进行分析,从中判断是否有入侵行为出现,并产生入侵报警。该模块是入侵检测系统的核心模块。
管理配置模块的功能是为其他模块提供配置服务,是 IDS 系统中的模块与用户的接口。应急处理模块的功能是发生入侵后,提供紧急响应服务,例如关闭网络服务、中断网络连接、启动备份系统等。辅助模块的功能是协助入侵分析引擎模块工作,为它提供相应的信息,例如攻击特征库、漏洞信息等。
几个例子来说明:
1. SWATCH
SWATCH (The Simple WATCHer and filer)是 Todd Atkins 开发的用于实时监视日志的 PERL 程序。SWATCH利用指定的触发器监视日志记录,当日志记录符合触发器条件时,SWATCH 会按预先定义好的方式通知系统管理员。
2. Tripwire
是一个文件和目录完整性检测工具软件包,用于协助管理员和用户监测特定文件的变化。Tripwire 根据系统文件的规则设置,将已破坏或被篡改的文件通知系统管理员,因而常作为损害控制测量工具。
3.网页防篡改系统
网页防篡改系统的基本作用是防止网页文件被入侵者非法修改,即在页面文件被篡改后,能够及时发现、产生报警、通知管理员、自动恢复。其工作原理是将所要监测的网页文件生成完整性标记,一旦发现网页文件的完整性受到破坏,则启动网页备份系统,恢复正常的网页。
10.3.3 基于网络的入侵检测系统
基于网络的入侵检测系统,简称为 NIDS. NIDS 通过侦听网络系统,捕获网络数据包,并依据网络包是否包含攻击特征,或者网络通信流是否异常来识别入侵行为。NIDS 通常由一组用途单一的计算机组成,其构成多分为两部分:探测器和管理控制器。
探测器分布在网络中的不同区域,通过侦听(嗅探)方式获取网络包,探测器将检测到攻击行为形成报警事件,向管理控制器发送报警信息,报告发生入侵行为。
管理控制器可监控不同网络区域的探测器,接收来自探测器的报警信息。一般说来,NIDS 能够检测到以下入侵行为:
10.3.4 分布式入侵检测系统
网络系统结构的复杂化和大型化,带来许多新的入侵检测问题。
(1)系统的漏洞分散在网络中的各个主机上,这些弱点有可能被攻击者一起用来攻击网络,仅依靠基于主机或网络的 IDS 不会发现入侵行为。
(2)入侵行为不再是单一的行为,而是相互协作的入侵行为。
(3)入侵检测所依靠的数据来源分散化,收集原始的检测数据变得困难。
(4)网络传输速度加快,网络的流量增大,集中处理原始数据的方式往往造成检测瓶颈,从而导致漏检。
10.5.3 基于 HIDS 的主机威胁检测
HIDS 一般用于检测针对单台主机的入侵行为,其主要应用方式如下:
(1)单机应用。在这种应用方式下,把 HIDS 系统直接安装在受监测的主机上即可。
(2)分布式应用。这种应用方式需要安装管理器和多个主机探测器(Sensor)。管理器控制多个主机探
测器(Sensor),从而可以远程监控多台主机的安全状况。
10.5.4 基于 NIDS 的内网威胁检测
将网络 IDS 的探测器接在内部网的广播式 Hub 或交换机的 Probe 端口.
探测器通过采集内部网络流量数据,然后基于网络流量分析监测内部网的网络活动,从而可以发现内部网络的入侵行为。
分布式入侵检测系统可以分成两种类型,即基于主机检测的分布式入侵检测系统和基于网络的分布式入侵检测系统。
1.基于主机检测的分布式入侵检测系统
基于主机检测的分布式入侵检测系统,简称为 HDIDS,其结构分为两个部分:主机探测器和入侵管理控制器。HDIDS 将主机探测器按层次、分区域地配置、管理,把它们集成为一个可用于监控、保护分布在网络区域中的主机系统。
在实际工作过程中,主机探测器多以安全代理(Agent 的形式直接安装在每个被保护的主机系统上,并通过网络中的系统管理控制台进行远程控制。这种集中式的控制方式,便于对系统进行状态监控、管理以及对检测模块的软件进行更新。HDIDS 的典型配置如图所示。
2.基于网络的分布式入侵检测系统
HDIDS 只能保护主机的安全,而且要在每个受保护主机系统上配置一个主机的探测器,如果当网络中需要保护的主机系统比较多时,其安装配置的工作量非常大。此外,对于一些复杂攻击,主机探测器无能为力。因此,需要使用基于网络的分布式入侵检测系统,简称为 NDIDS 。
3.统一威胁管理
统一威胁管理(简称为 UTM)通常会集成入侵检测系统相关的功能模块,是入侵检测技术产品的表现形态之一。统一威胁管理是由硬件、软件和网络技术组成的具有专门用途的设备,该设备主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。其通过统一部署的安全策略,融合多种安全功能,是针对网络及应用系统的安全威胁进行综合防御的网关型设备或系统。UTM 通常部署在内部网络与外部网络的边界,对流出和进入内部网络的数据进行保护和控制。UTM 在实际网络中的部署方式通常包括透明网桥、路由转发和 NAT 网关。
4.高级持续威胁检测
高级持续威胁(简称为 APT)是复杂性攻击技术,通常将恶意代码嵌入 Word 文档、Excel 文档、PPT 文档、PDF 文档或电子邮件中,以实现更隐蔽的网络攻击,以逃避普通的网络安全检查。
例如,肚脑虫(Donot )组织以“克什米尔问题”命名的诱饵漏洞文档,该文档利用了 CVE-2017-8570 漏洞。
10.5.6 网络安全态势感知应用参考
网络安全态势感知通过汇聚 IDS 报警信息、系统日志,然后利用大数据分析技术对网络系统的安全状况进行分析,监测网络安全态势。
10.5.7 开源网络人侵检测系统
【注意 snort 的命令规则】
1. Nmap 扫描检测规则
alert icmp any any 一>192.168.X.Y any (msg:"NMAP ping sweep Scan";dsize:0;sid:10000004;rev:1;)
alert tcp any any 一>192.168.X.Y 22 (msg:"NMAP TCP Scan";sid:10000005; rev:2;
alert udp any any 一>192.168.X.Y any(msg:"Nmap UDP Scan";sid:1000010;rev:1;
alert tcp any any 一>192.168.X.Y 22 (msg:"Nmap XMAS Tree Scan";flags:FPU;
sid:1000006; rev:1;)
注:192.168.X.Y 为目标 IP 地址。
2. SQL 注入攻击检测规则
Alert tcp any any 一>any 80 (msg:"Error Based SQL Injection Detected";content:" 027”;sid:100000011;
alert tcp any any 一>any 80 (msg:"Error Based SQL Injection Detected";content:
"22”;sid:1000)
alert tcp any any 一>any 80 (msg:"AND SQL Injection Detected";content:"and";
nocase; sid:100000060;)
alert tcp any any 一>any 80 (msg:"OR SQL Injection Detected";content:"or";
nocase; sid:100000061;
alert tcp any any 一>any 80 (msg:"UNION SELECT SQL Injection";content:"union";
sid:1000006;)
扫一扫
449
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
