1、Intrusion Detection & Firewall主講教師：張亮主講教師：張亮Tel:-mail: 2010年年8月月入侵檢測與防火墻第七講 入侵檢測基本知識入侵檢測流程入侵檢測流程1入侵檢測數據源入侵檢測數據源2入侵檢測分析入侵檢測分析3 告警告警與響應與響應45第七講 入侵檢測基本知識入侵檢測流程入侵檢測流程1入侵檢測數據源入侵檢測數據源2入侵檢測分析入侵檢測分析3 告警告警與與響應響應45入侵檢測的過程信息收集信息分析告警與響應信息收集 從入侵檢測系統的信息源中收集信息 系統、網絡、數據以及用戶活動的狀態和行為 入侵檢測很大程度上依賴于所收集信息的可靠

2、性和正確性信息分析 信息分析入侵檢測的關鍵 所收集信息量龐大 大部分是正常信息 信息分析方法 模式匹配 統計分析 完整性分析告警與響應 常見告警方式如下 自動終止攻擊 終止用戶連接 禁止用戶帳號 重新配置防火墻阻塞攻擊的源地址 向管理控制臺發出警告指出事件的發生 向網絡管理平臺發出SNMP trap 記錄事件相關日志及其相關信息 向安全管理人員發送提示性電子郵件 執行一個用戶自定義的程序入侵檢測系統的數據源 基于主機的數據源： 系統運行狀態信息 所有系統都提供了一些系統命令來獲取系統運行狀況 信息精確，但是不能提供結構化信息 系統記帳信息 記帳系統的日志：用于提供給用戶服務收費的相關信息 系統

3、日志（Syslog） Syslog守護程序提供的信息 C2級安全性審計信息 系統的安全審計記錄了系統中所有潛在的安全相關事件的信息 識別用戶、組的詳細信息 系統調用執行的參數：文件名，命令行參數 系統執行的返回值和錯誤碼等系統使用日志機制記錄下主機上發生的事情，無論是對日常管理維護，還是對追蹤入侵者的痕跡都非常關鍵。日志可分為操作系統日志和應用程序日志兩部分。操作系統日志從不同的方面記錄了系統中發生的事情，對于入侵檢測而言具備重要的價值。系統日志的安全性與操作系統的審計記錄比較而言，要差一些，其原因如下： 產生系統日志的軟件通常是在內核外運行的應用程序，因而這些軟件容易受到惡意的修改或攻擊。

4、系統日志通常是存儲在普通的不受保護的文件目錄里，容易受到惡意的篡改和刪除等操作。系統日志盡管如此，系統日志仍然以其簡單易讀、容易處理等優勢成為入侵檢測的一個重要輸入數據源。UNIX操作系統提供門類齊全的系統日志文件，并且能夠通過通用日志服務后臺程序syslogd來提供標準化的日志服務。UNIX操作系統的主要日志文件可以分成3類： 二進制連接時間日志文件，由多個程序生成，消息寫入到/var/log/wtmp和/var/run/utmp，login等系統程序負責更新wtmp和utmp文件，使系統管理員能夠跟蹤誰在何時登錄到系統。進程日志，由系統內核生成。當一個進程終止時，系統內核為每個進程在進程日

5、志文件（pacct或acct）中寫入一條記錄。syslogd日志，由syslogd生成并維護。各種系統守護進程、內核、模塊使用syslogd記錄下自己發出的消息。另外還有許多UNIX程序創建日志，像http 或ftp這樣提供網絡服務的服務器也保持詳細的日志。常用的日志文件。在入侵檢測技術的發展歷史中，最早采用的用于入侵檢測任務的輸入數據源就是操作系統的審計記錄。操作系統的審計記錄是由操作系統軟件內部的專門審計子系統所產生的，其目的是記錄當前系統的活動信息，并將這些信息按照時間順序組織成為一個或多個審計文件。不同的系統在審計事件的選擇、審計記錄的選擇和內容組織等諸多方面都存在著兼容性的問題。另外

6、一個存在的問題是，操作系統審計機制的設計和開發的初始目標，并不是為了滿足后來才出現的入侵檢測技術的需求目的。操作系統的審計記錄操作系統審計記錄被認為是基于主機入侵檢測技術的首選數據源： 操作系統的審計系統在設計時，就考慮了審計記錄的結構化組織工作以及對審計記錄內容的保護機制，因此操作系統審計記錄的安全性得到了較好的保護。 操作系統審計記錄提供了在系統內核級的事件發生情況，反映的是系統底層的活動情況并提供了相關的詳盡信息，為發現潛在的異常行為特征奠定了良好的基礎。Windows 2000Windows 2000以事件日志機制形式提供數據源，使用事件查看器進行查看和管理。可以根據事件的日志記錄來識

7、別和跟蹤安全性事件、資源使用情況，以及系統和應用程序中發生的錯誤等。Windows 2000事件日志機制收集3種類型的系統事件： 應用程序日志、安全日志和系統日志。右擊某個記錄，在“屬性”中可以看到關于此記錄的詳細說明。記錄本身又分為幾種情況： “錯誤”是指比較嚴重的問題，通常是出現了數據丟失或功能丟失；“警告”則表明情況暫時不嚴重，但可能會在將來引起錯誤，比如磁盤空間太小等；“信息”是記錄運行成功的事件。 Windows 2000事件查看器 應用程序日志記載應用程序運行方面的錯誤。 安全日志記錄與安全性相關的事件，例如與資源使用有關的事件，還包括合法和非法的登錄企圖。管理員可以指定將哪些事件

8、記錄在安全日志中。安全性事件根據審計策略被記錄在安全性日志中。注意，Windows 2000的默認安裝是不打開任何安全日志審核的，需要在“本地安全設置”“本地策略”“審核策略”中打開相應的審核。 系統日志包括由Windows 2000系統組件記錄的事件，系統事件由Windows 2000自動配置，并記錄在系統日志中。所有用戶都能夠查看應用程序日志和系統日志，但安全性日志只能由系統管理員訪問。審核策略的指定Windows 2000的事件日志由多個事件記錄組成，如圖所示，事件查看器中的3種類型日志，其所包含的事件日志的格式統一如下所示。 類型： 事件查看器顯示以下5種事件類型。 錯誤： 重要的問題

9、，如數據丟失或功能喪失。 警告： 不是非常重要但將來可能出現的問題的事件。 信息： 描述應用程序、驅動程序或服務的成功操作的事件。 成功審核： 審核安全訪問嘗試成功。 失敗審核： 審核安全訪問嘗試失敗。 日期： 事件產生的詳細日期。 時間： 事件產生的詳細時間，精確到秒。 來源： 事件的生成者，有很多種類的來源。例如disk、Srv、SNMP、Windows File Protection等，這其中有來自操作系統內部程序的，也有來自應用程序的。 分類： 對事件的分類，如系統事件、特權使用、登錄/注銷、Firing Agent等。 事件： 事件ID。Windows 2000用不同的ID來表明惟一

10、的事件。 用戶： 用戶名稱。包括N/A、SYSTEM、Administrator等。 計算機： 計算機名稱?？梢允潜镜赜嬎銠C，也可以是遠程計算機。右擊每條日志，選擇屬性，可以看見對此日志條目的具體描述。描述信息清晰地說明了此事件相關的情況，如圖所示。利用事件查看器可以根據特定需求快速地查看和篩選事件日志。事件查看器還可以管理事件日志。通過查看和分析事件日志，可以檢測出需要系統管理員加以重點考慮的事件。根據對這些事件日志的分析，可能需要解決相關的安全問題、系統問題，或者對資源進行重新分配等。另外，可能還需要就審核策略、監視設置值、安全性設置值、應用程序配置，以及系統配置問題等提供改進建議。圖3-

11、5 事件屬性信息日益復雜化的系統設計，使得單純從內核底層級別的數據來源來分析判斷當前整個系統活動的情況，變得越來越困難；同時，底層級別安全數據的規模也迅速膨脹，增加了分析的難度。此時，需要采用反映系統活動的較高層次信息，例如應用程序日志，作為分析檢測的數據源。應用程序日志因為是用戶級別的系統活動抽象信息，所以更加容易理解和處理。其次，網絡化計算環境的普及，導致入侵攻擊行為的目標越來越集中于提供網絡服務的各種特定應用程序。應用程序的日志信息同樣，采用應用程序日志作為入侵檢測的輸入數據源，也存在著問題和風險。首要的問題是應用程序的日志信息通常更易遭到惡意的攻擊，包括篡改和刪除等操作。其次，盡管很多

12、操作系統提供應用程序級別的審計功能，但是很多特定的應用程序中并不包括這些審計特性，或者是審計功能并沒有提供足夠詳細的信息。最后，特定應用程序同樣存在是否值得信賴的問題。下面以Web服務器為例來介紹應用程序產生的日志信息。Web服務器通常支持兩種標準格式的日志文件： 通用日志格式（CLF）。 擴展日志文件格式（ELFF），除了CLF所定義的數據字段外，還擴展包含了其他的附加信息。其他類型應用程序的日志信息，例如Sendmail郵件服務器、SQL Server數據庫服務器等，也是進行入侵檢測時所能采用的重要輸入數據源。具體進行入侵檢測工作時，必須具體分析各自的特定日志格式。入侵檢測系統的數據源 基

13、于網絡的數據源： SNMP信息 MIB：用于網絡管理的信息庫 網絡配置信息（路由表、地址、域名等）以及性能/記帳數據 網絡通信包 網絡嗅探器是收集網絡中事件信息的有效方法。近年來流行的商用入侵檢測系統大多采用了網絡數據作為其主要的輸入數據源。采用網絡數據源具有以下優勢： 通過網絡被動監聽的方式來獲取網絡數據包，作為入侵檢測系統輸入信息源的工作過程，對目標監控系統的運行性能幾乎沒有任何影響，并且通常無須改變原有網絡的結構和工作方式。 嗅探器（sniffer）模塊在工作時，可以采用對網絡用戶透明的模式，因而降低了其本身遭到入侵者攻擊的概率?；诰W絡數據的信息源基于網絡數據的輸入信息源，可以發現許多

14、基于主機數據源所無法發現的攻擊手段。網絡數據包的標準化程度，相對主機數據源而言要高許多。因此，采用網絡數據作為輸入信息源，有助于入侵檢測系統在不同目標系統平臺環境下的移植工作。目前，大部分的網絡環境都采用了標準的TCP/IP協議作為通信協議，因此大部分的入侵檢測系統的數據分析的重點也放在了對TCP/IP協議數據包的截獲和分析工作上。入侵檢測系統的數據源 其他入侵檢測系統的報警信息 其他網絡設備和安全產品的信息 （1） 來自其他安全產品的數據源入侵檢測只是整體安全防護模型中的一部分。在目標系統內部還可能存在許多其他獨立運行的安全產品。無疑，來自安全產品的數據信息是進行更加有效的準確的入侵檢測所必

15、須考慮的輸入數據源。入侵檢測系統采用其他安全產品的事件日志作為自己的輸入數據源，可以凸現入侵檢測在整個動態計算機安全模型中的關鍵角色和重要地位，顯示出動態安全監控的能力在應付當前日益復雜的安全威脅模式中所發揮的不可或缺的作用。其他的數據來源（2） 來自網絡設備的數據源除了直接從網絡截獲數據包作為輸入數據外，入侵檢測系統還能夠利用其他網絡設備所提供的關于網絡數據流量的各種信息數據。通過采用網絡管理系統提供的信息，入侵檢測系統可以更好地確定輸出的檢測結果是與系統安全方面相關的問題，還是與其他方面相關的問題，從而有助于降低檢測的誤報概率。另外一個有用的網絡設備數據來源，是路由器或者交換機提供的數據信

16、息。這些日志文件中的數據信息大多是反映了當前網絡活動情況的統計數據，利用這些輸入數據源，入侵檢測同樣可以提高自身檢測結果的準確性和精確性。（3） 帶外（out of band）數據源所謂“帶外”數據源通常是指由人工方式提供的數據信息。帶外數據源的例子還包括系統管理員對入侵檢測系統所進行的各種管理控制操作。目前的入侵檢測技術對如何合理有效地利用這些“帶外”數據源方面的研究還很不充分。除了上面所述的全部數據源之外，還有一種特殊的數據源類型，即來自文件系統的信息源?；镜脑瓌t是根據入侵檢測系統設計的檢測目標來選擇所需的輸入數據源。如果設計要求檢測主機用戶的異?；顒?，或者是特定應用程序的運行情況等，采

17、用主機數據源是比較合適的；如果需要發現通過網絡協議發動的入侵攻擊就要采用來自網絡數據的輸入信息。如果系統設計要求監控整個目標系統內的總體安全狀況等，此時就需要同時采用來自主機和網絡的數據源；在分布式的環境下，或許還要考慮到包括帶外數據在內的其他類型數據源。另外需要考慮的一個問題是，在不影響目標系統運行性能和實現安全檢測目標的前提下，最少需要多少信息，或者是采用最少數目的輸入數據源。信息源的選擇問題第七講 入侵檢測基本知識入侵檢測流程入侵檢測流程1入侵檢測數據源入侵檢測數據源2入侵檢測分析入侵檢測分析3 告警告警與與響應響應45入侵分析的定義 從入侵檢測的角度講，分析是指針對用戶和系統活動數據進

18、行有效的組織、整理并提取特征，以鑒別出感興趣的行為。入侵分析的目的 入侵檢測的主要目的是提高信息系統的安全性。 目標 檢測入侵行為（基本目標） 重要的威懾力 安全規劃和管理 獲取入侵證據入侵分析的模型 可以把入侵分析處理過程分為3個階段 （1）構建分析器 收集并生成事件信息 預處理信息 建立行為分析引擎 輸入引擎 保存輸入數據的模型入侵分析的模型 可以把入侵分析處理過程分為3個階段 （2）分析數據 輸入事件記錄 事件預處理 比較事件記錄和知識庫 產生響應 （3）反饋和更新入侵檢測的分析方法 入侵檢測的分析方法主要有兩種 誤用檢測 根據已知的入侵模式來檢測入侵。 異常檢測 建立正常用戶的行為特征

19、輪廓，將實際用戶行為和這些輪廓相比較。入侵檢測流程 39誤用入侵檢測模型模式庫攻擊者匹配報警入侵檢測流程 40誤用檢測方法 模式匹配方法：基于模式匹配的誤用入侵檢測方法是最基本的誤用入侵檢測方法，該方法將已知的入侵特征轉換成模式，存放于模式數據庫中，在檢測過程中，模式匹配模型將到來的事件與入侵模式數據庫中的入侵模式進行匹配，如果匹配成功，則認為有入侵行為發生。 專家系統方法：基于專家系統的誤用入侵檢測方法是最傳統、最通用的誤用入侵檢測方法。在最早期的若干入侵檢測系統中就已經開始使用專家系統了。專家系統在知識庫的基礎上，根據所獲得的事實和已知的規則進行推導，并得出結論。使用專家系統的好處是用戶無

20、須了解具體系統內部的工作原理，只需要解決對問題的描述過程即可。但是，知識庫的構建是一個耗時費力的艱苦過程。入侵檢測流程 41狀態轉換方法S2狀態聲明狀態聲明狀態聲明S1S3 狀態轉換方法： 基于狀態轉移分析的入侵檢測模型，最初的明確概念是在20世紀90年代初由美國加州大學圣巴巴拉分校的Porras和Ilgun提出并實現的。基于狀態轉移分析的檢測模型，將攻擊者的入侵行為描繪為一系列的特征操作及其所引起的一系列系統狀態轉換過程，從而使得目標系統從初始狀態轉移到攻擊者所期望的危害狀態。入侵檢測流程 42異常入侵檢測模型異常行為正常 行為命令系統調用活動度量CPU使用網絡連接 入侵檢測流程 43異常入

21、侵檢測模型 Denning的原始模型 量化分析 統計度量 基于規則的方法 神經網絡入侵檢測流程 44其他檢測方法 免疫系統方法 遺傳算法 基于代理的檢測 數據挖掘方法第七講 入侵檢測基本知識入侵檢測流程入侵檢測流程1入侵檢測數據源入侵檢測數據源2入侵檢測分析入侵檢測分析3 告警告警與響應與響應45入侵檢測流程 46告警與響應 在完成系統安全狀況分析并確定系統所存在的問題之后，就要讓人們知道這些問題的存在，在某些情況下，還要另外采取行動。在入侵檢測處理過程模型中，這個階段稱之為響應期。 理想的情況下，系統的這一部分應該具有豐富的響應功能特性，并且這些響應特性在針對安全管理小組中的每一位成員進行裁

22、剪后，能夠為他們都提供服務。 響應策略的確定 入侵檢測的響應策略應該與當前目標組織內的總體安全策略協調一致。在目標組織的安全策略中，一般都會規定在檢測到入侵攻擊行為或者安全威脅事件時，應該采取哪些行動或者措施來做出恰當的響應。這些行動措施按照響應發生的時間和緊急程度可分為下列4類： 緊急行動、及時行動、本地的長期行動和全局的長期行動。響應策略的確定 1. 緊急行動 緊急行動通常要求系統管理員立即跟蹤當前正在發生的入侵攻擊行為。這類措施包括以下方面： 啟動安全事件處理程序； 盡可能控制損害發生的范圍并阻止后繼攻擊的進一步進行； 通知負責信息安全執法的職能部門或者其他相關組織 恢復遭到攻擊而停頓的

23、關鍵任務服務系統。 緊急行動所需的響應時間長短一般取決于本地安全管理策略的具體要求。根據所要執行具體措施的不同以及所遭受攻擊行為的危害程度等因素，響應時間的長短需求可以變化。響應策略的確定 2. 及時行動 及時行動要求系統管理員對已經確認檢測到的攻擊行為，采取相應的響應措施。這些措施通常是緊隨在緊急行動之后進行，距離安全事件發生的響應時間間隔可以從幾小時到數天之間。這類措施包括： 手工檢查系統中的異?；顒幽Ｊ剑?調查安全事件發生的根源并對其實施安全隔離操作；響應策略的確定 3. 本地的長期行動 本地的長期行動涉及那些緊急程度不如緊急行動和及時行動的響應措施，但是這些響應措施對于本地的安全管理過程而言卻是不可或缺的。這些措施的影響雖然是本地范圍內的，但是對于本地系統內的安全管理體系具有長遠的影響力。這類措施包括： 編制安全事件的統計報表并適時進行數據的趨勢分析工作； 追蹤歷史上出現過的入侵攻擊模式。 本地的長期行動通過對歷史上出現的入侵攻擊模式進行統計分析和評估后，能夠確定本地安全策略中需要進行改進和修改的地方。響應策略的確定 4. 全局的長期行動 全局的長期行動通常超越了目標組織的安全管理范圍，而是對整個社會的安