网络安全(十一)

2019-12-31 Views 网络安全5460字19 min read
featureimg

本章要点:
入侵检测的概念;入侵检测系统分类;入侵检测系统分析方式;入侵检测系统的设置域部署;入侵检测系统的优缺点。

第十三章入侵检测 思维导图

第十三章 入侵检测

入侵检测概述

入侵检测的概念

  • 入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制
  • 入侵检测系统的英文缩写是IDS(Intrusion Detection System),它使用入侵检测技术对网络与其上的系统进行监视,并根据监视结果进行不同的安全动作,最大限度地降低可能的入侵危害
  • 入侵检测一般采用旁路侦听的机制,因此不会产生对网络带宽的大量占用,系统的使用对网内外的用户来说是透明的,不会有任何的影响
  • 入侵检测系统所扮演的是网络安全系统中侦察与预警的角色,协助网络管理员发现并处理任何已知的入侵。可以说,它是对其他安全系统有力的补充,弥补了防火墙在高层上的不足
  • 通过对入侵检测系统所发出警报的处理,网络管理员可以有效地配置其他的安全产品,以使整个网络安全系统达到最佳的工作状态,尽可能降低因攻击而带来的损失
  • 入侵防护以入侵检测技术为基础,依托高性能硬件,实现对数据包的高层应用分析,针对可能存在的应用攻击行为,实时进行阻断与数据丢弃,提高了网络对安全事件响应的实时性,更好地保护主机的安全

入侵检测系统的基本结构

  • CIDF(Common Intrusion Detection Framework,通用入侵检测框架)阐述了一个入侵检测系统的通用模型

  • 事件

    • 定义

      • 入侵检测系统需要分析的数据的统称
    • 分类

      • 网络中的数据包
      • 从系统日志等其他途径得到的信息
  • 基本结构

    • 事件产生器

      • 事件产生器采集和监视被保护系统的数据
    • 事件分析器

      • 功能

        • 实时:分析事件产生器搜集到的数据,区分数据的正确性,发现非法的或者具有潜在危险的、异常的数据现象,通知响应单元做出入侵防范
        • 事后:对数据库保存的数据做定期的统计分析,发现某段时期内的异常表现,进而对该时期内的异常数据进行详细分析
    • 响应单元

      • 协同事件分析器工作的重要组成部分
      • 一旦事件分析器发现具有入侵企图的异常数据,响应单元就要发挥作用,对具有入侵企图的攻击施以拦截、阻断、反追踪等手段,保护被保护系统免受攻击和破坏
    • 事件数据库

      • 事件数据库记录事件分析单元提供的分析结果,同时记录下所有来自于事件产生器的事件,用来进行以后的分析与检查

入侵检测系统分类

适用于加密和交换环境

根据入侵检测系统的检测对象分类

  • 基于主机的入侵检测系统HIDS

    • 用于保护单台主机不受网络攻击行为的侵害,需要安装在被保护的主机上

    • 根据检测对象不同分类

      • 网络连接检测

        • 网络连接检测是对试图进入该主机的数据流进行检测,分析确定是否有入侵行为,避免或减少这些数据流进入主机系统后造成损害
        • 网络连接检测可以有效地检测出是否存在攻击探测行为,攻击探测几乎是所有攻击行为的前奏
        • 系统管理员可以设置好访问控制表,其中包括容易受到攻击探测的网络服务,并且为它们设置好访问权限
        • 如果入侵检测系统发现有对未开放的服务端口进行网络连接,说明有人在寻找系统漏洞,这些探测行为就会被入侵检测系统记录下来,同时这种未经授权的连接也被拒绝
      • 主机文件检测

        • 通常入侵行为会在主机的各种相关文件中留下痕迹,主机文件检测能够帮助系统管理员发现入侵行为或入侵企图,及时采取补救措施

        • 检测对象

          • 系统日志
          • 文件系统
          • 进程记录
          • 系统运行控制
  • 基于网络的入侵检测系统NIDS

    • 通常是作为一个独立的个体放置于被保护的网络上,它使用原始的网络分组数据包作为进行攻击分析的数据源

    • 一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信

    • 一旦检测到攻击,入侵检测系统应答模块通过通知、报警以及中断连接等方式来对攻击做出反应

    • 基于网络的入侵检测可以侦听某一个IP,保护特定服务器的安全,也可以侦听整个网段

    • 为了能够对整个网段进行侦听,系统会将本身的网卡设置为混杂模式以接收网段内的所有数据包

    • 通常系统会使用位于网络层和传输层的网络侦听底层实现对网络的侦听。它们的主要任务就是获取其所见到的所有包并传给上一层

    • 发展阶段

      • 包嗅探器和网络监视器

        • 可执行的任务

          • 对包进行统计
          • 详细地检查包
      • 基于网络的入侵检测

        • 可执行的任务

          • 检测端口扫描
          • 检测常见的攻击行为
          • 识别各种各样可能的欺骗攻击
          • 检测到一个不希望的活动时,基于网络的入侵检测系统将采取行动,包括干涉从入侵者处发来的通信,或重新配置附近的防火墙策略以封锁从入侵者的计算机或网络发来的所有通信
  • 入侵防护系统

    • 入侵防护系统(Intrusion Protection System,IPS)是网络入侵检测系统的一种特殊形式
    • 入侵防护系统主要采用入侵检测技术实现网络防护功能,在网络位置上,入侵防护系统位于网络主干位置,一般以透明网关形式存在
    • 所有进出网络的数据包均需要通过入侵防护系统。因此,入侵防护系统有时也被称为嵌入式IDS或网关IDS
    • 入侵防护系统通常是防火墙技术与入侵检测技术相结合的产物。通过防火墙技术过滤大部分数据,对于关键应用,如Web应用、邮件应用、文件共享应用等,根据应用端口选择性上传到入侵检测核心,根据分析结果,决定是否继续传送
    • 由于入侵检测技术对运算性能要求较高,目前成形的入侵防护产品以硬件形式的居多
  • 两种入侵检测系统的结合运用

    • 基于网络的入侵检测系统和基于主机的入侵检测系统都有各自的优势和不足,这两种方式各自都能发现对方无法检测到的一些网络入侵行为,如果同时使用互相弥补不足,会起到良好的检测效果
  • 分布式入侵检测系统

    • 目前的入侵检测系统一般采用集中式模式,在被保护网络的各个网段中分别放置检测器进行数据包搜集和分析,各个检测器将检测信息传送给中央控制台进行统一处理,中央控制台还会向各个检测器发送命令
    • 这种模式的缺点是难以及时对在复杂网络上发起的分布式攻击进行数据分析以至于无法完成检测任务,入侵检测系统本身所在的主机还可能面临因为负荷过重而崩溃的危险
    • 分布式结构的入侵检测模式是目前入侵检测技术的一个研究方向,这种模式的系统采用分布式智能代理的结构,由一个或者多个中央智能代理和大量分布在网络各处的本地代理组成
    • 本地代理负责处理本地事件,中央代理负责统一调控各个本地代理的工作以及从整体上完成对网络事件进行综合分析的工作
    • 检测工作通过全部代理互相协作共同完成

入侵检测系统的分析方式

异常检测技术——基于行为的检测

  • 基本原理

    • 是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵
    • 首先假设网络攻击行为是不常见的或是异常的,区别于所有的正常行为
    • 如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型,那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比,若入侵行为偏离了正常的行为轨迹,就可以被检测出来
    • 异常检测技术给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)
    • 测量属性的平均值将用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生
  • 评价

    • 优点

      • 能够检测出新的网络入侵方法的攻击
      • 较少依赖于特定主机操作系统
      • 对于内部合法用户的越权违法行为的检测能力较强
    • 不足

      • 误报率高
      • 行为模型建立困难
      • 难以对入侵行为进行分类和命名
  • 核心问题

    • 建立行为模型
  • 技术分类

    • 统计分析异常检测
    • 贝叶斯推理异常检测
    • 模式预测异常检测
    • 数据采掘异常检测
    • 机器学习异常检测

误用检测技术——基于知识的检测

  • 基本原理

    • 误用检测技术(Misuse Detection)也称为基于知识的检测技术或者模式匹配检测技术
    • 前提是假设所有的网络攻击行为和方法都具有一定的模式或特征
    • 如果把以往发现的所有网络攻击的特征总结出来并建立一个入侵信息库
    • 那么入侵检测系统可以将当前捕获到的网络行为特征与入侵信息库中的特征信息相比较,如果匹配,则当前行为就被认定为入侵行为
    • 误用检测就是将搜集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为
  • 评价

    • 优点

      • 检测准确度高
      • 技术相对成熟
      • 便于进行系统防护
    • 缺点

      • 不能检测出新的入侵检测行为
      • 完全依赖于入侵特征的有效性
      • 维护特征库的工作量巨大
      • 难以检测来自内部用户的攻击
  • 技术分类

    • 专家系统误用检测
    • 特征分析误用检测
    • 模型推理误用检测
    • 条件概率误用检测
    • 键盘监控误用检测

异常检测技术和误用检测技术的比较

  • 基于异常检测技术的入侵检测系统如果想检测到所有的网络入侵行为,必须掌握被保护系统已知行为和预期行为的所有信息,这一点实际上无法做到,因此入侵检测系统必须不断地学习并更新已有的行为轮廓
  • 对于基于误用检测技术的入侵检测系统而言,只有拥有所有可能的入侵行为的先验知识,而且必须能识别各种入侵行为的过程细节或者每种入侵行为的特征模式,才能检测到所有的入侵行为,而这种情况也是不存在的,该类入侵检测系统只能检测出已有的入侵模式,必须不断地对新出现的入侵行为进行总结和归纳

其他入侵检测技术的研究

  • 遗传算法
  • 免疫技术
  • 基于应用协议状态的跟踪型入侵检测技术

入侵检测系统的设置

网络安全的实际需求对于入侵检测的工作方式和检测位置都有十分重要的影响,只有在了解和掌握这些实际需求的情况下,才能正确地设计入侵检测系统的网络拓扑,并对入侵检测系统进行正确的配置

步骤

  • 确定入侵检测需求
  • 设计入侵检测系统在网络中的拓扑位置
  • 配置入侵检测系统
  • 入侵检测系统的磨合
  • 入侵检测系统的使用及自调节

入侵检测系统的设置需要经过多次的反复磨合,才能够将误报警率和漏报警率降到最低,实现对网络的有效监控和分析

入侵检测系统的部署

基于网络的入侵检测系统可以在网络的多个位置进行部署。这里的部署主要指对网络入侵检测器的部署

根据检测器部署位置的不同,入侵检测系统具有不同的工作特点。用户需要根据自己的网络环境以及安全需求进行网络部署,以达到预定的网络安全需求

基于网络入侵检测系统的部署

  • 入侵检测的部署点

    • DMZ区

      • DMZ区部署点在DMZ区的总口上,是入侵检测器最常见的部署位置

      • 可检测到所有针对用户对外提供服务的服务器进行攻击的行为

      • 由于DMZ区中的服务器是外网可见的,因此,在这里的入侵检测是最为需要的

      • 优点

        • 检测来自外部的攻击,这些攻击已经渗入过第一层防御体系
        • 易于检测网络防火墙性能并找到配置策略中的问题
        • DMZ区通常放置的是对内外提供服务的重要的服务设备,因此,所检测的对象集中于关键的服务设备
        • 即使进入的攻击行为不可识别,入侵检测系统经过正确的配置也可以从被攻击主机的反馈中获得受到攻击的信息
    • 外网入口

      • 外网入口部署点位于防火墙之前,可检测所有进出防火墙外网口的数据,即所有进出数据

      • 可检测到所有来自外部网络的可能的攻击行为并进行记录,这些攻击包括对内部服务器的攻击、对防火墙本身的攻击以及内网机器不正常的数据通信行为

      • 这种方式虽然对整体入侵行为记录有帮助,但由于入侵检测器本身性能上的局限,该部署点的入侵检测器目前的效果并不理想

      • 同时对于进行NAT的内部网来说,入侵检测器不能定位攻击的源或目的地址,系统管理员在处理攻击行为上存在一定的难度

      • 优点

        • 可以对针对目标网络的攻击进行计数,并记录最为原始的攻击数据包
        • 可以记录针对目标网络的攻击类型
    • 内网主干

      • 内网主干部署点是最常用的部署位置,在这里入侵检测器主要检测内网流出和经过防火墙过滤后流入内网的网络数据

      • 可检测所有通过防火墙进入的攻击以及内部网向外部的不正常操作,并且可以准确地定位攻击的源和目的,方便系统管理员进行针对性的网络管理

      • 由于防火墙的过滤作用,降低了通过入侵检测器的数据流量,使得入侵检测器能够更有效地工作

      • 由于入侵检测器在防火墙的内部,防火墙已经根据规则要求阻断了部分攻击,所以入侵检测器并不能记录下所有可能的入侵行为

      • 优点

        • 检测大量的网络通信提高了检测攻击的识别可能
        • 检测内网可信用户的越权行为
        • 实现对内部网络信息的检测
    • 关键子网

      • 在内部网中,总有一些子网因为存在关键性数据和服务,需要更严格的管理,比如资产管理子网、财务子网等,这些子网是整个网络系统中的关键子网

      • 通过对这些子网进行安全检测,可以检测到来自内部以及外部的所有不正常的网络行为,这样可以有效地保护关键的网络不会被外部或没有权限的内部用户侵入,造成关键数据泄漏或丢失

      • 由于关键子网位于内网的内部,因此流量相对要小一些,可以保证入侵检测器的有效检测

      • 优点

        • 集中资源对于检测针对关键系统和资源的来自企业内外部的攻击
        • 将有限的资源进行有效部署,获取最高的使用价值

基于主机入侵检测系统的部署

  • 在基于网络的入侵检测系统部署并配置完成后,基于主机的入侵检测系统的部署可以给系统提供高级别的保护
  • 基于主机的入侵检测系统主要安装在关键主机上,这样可以减少规划部署的花费,使管理的精力集中在最重要最需要保护的主机上

报警策略

  • 入侵检测系统在检测到入侵行为的时候,需要报警并进行相应的反应。如何报警和选取什么样的报警,需要根据整个网络的环境和安全的需求进行确定
  • 由于报警的形式很多,大部分都需要其他网络设备和服务的协助,因此只有保证相关的设备和服务可以和入侵检测系统正确地通信,才可以保证报警信息的及时送达

入侵检测系统的优点与局限性

入侵检测系统的优点

  • 可以检测和分析系统事件以及用户的行为
  • 可以测试系统设置的安全状态
  • 以系统的安全状态为基础,跟踪任何对系统安全的修改操作
  • 通过模式识别等技术从通信行为中检测出已知的攻击行为
  • 可以对网络通信行为进行统计,并进行检测分析
  • 管理操作系统认证和日志机制并对产生的数据进行分析处理
  • 在检测到攻击的时候,通过适当的方式进行适当的报警处理
  • 通过对分析引擎的配置对网络的安全进行评估和监督
  • 允许非安全领域的管理人员对重要的安全事件进行有效的处理

入侵检测系统的局限性

  • 入侵检测系统无法弥补安全防御系统中的安全缺陷和漏洞
  • 对于高负载的网络或主机,很难实现对网络入侵的实时检测、报警和迅速地进行攻击响应
  • 基于知识的入侵检测系统很难检测到未知的攻击行为,而基于行为特征的入侵检测系统只能在一定程度上检测到新的攻击行为
  • 入侵检测系统的主动防御功能和联动防御功能会对网络的行为产生影响,同样也会成为攻击者的目标,实现以入侵检测系统过敏自主防御为基础的攻击
  • 入侵检测系统无法单独防止攻击行为的渗透,只能调整相关网络设备的参数或人为地进行处理
  • 网络入侵检测系统在纯交换环境下无法正常工作,只有对交换环境进行一定的处理,利用镜像等技术,网络入侵检测系统才能对镜像的数据进行分析处理
  • 入侵检测系统主要是对网络行为进行分析检测,不能修正信息资源中存在的安全问题
EOF