网络空间安全——网络安全与密码参考书目《网络安全》学习笔记（七）

《网络安全》徐国爱

序

• 书中已经熟知的概念不再记录，只建立一个框架。
• 删除线标记的是未弄懂的概念

第七章 入侵检测

• 入侵检测技术是安全审计中的核心技术之一, 是网络安全防护的重要组成部分。通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析, 从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。违反安全策略的行为有:入侵———非法用户的违规行为; 滥用———用户的违规行为。是一种主动保护自己的网络和系统免遭非法攻击的网络安全技术。

• 加载入侵检测技术的系统被称之为入侵检测系统(I DS ,Intrusion Detection System)，一般情况下两个概念不作严格区分。

• 入侵检测系统组成：从具体实现的角度看, 入侵检测系统一般包括硬件和软件两部分。硬件设备主要完成数据的采集和响应的实施; 软件部分主要完成数据的处理、入侵的判断、响应的决策等功能。
  

• 入侵检测分类：对于入侵检测系统要考虑的因素(分类依据) 主要的有: 信息源、入侵、事件生成、事件处理、检测方法等。
  ①根据原始数据来源：基于主机、网络、应用的入侵检测系统。基于网络的入侵检测能够客观地反映网络活动,特别是能够监视到系统审计的盲区; 而基于主机和基于应用的入侵检测能够更加精确地监视系统中的各种活动。
  ②根据检测原理：异常检测模型和误用检测模型。
  ③根据体系结构：集中式、等级式、协作式(分布式)。
  ④根据工作方式：离线检测（成本低, 可以分析大量事件, 调查长期的情况）、在线检测（系统规模较大时, 难以保证实时性）

• 入侵检测技术

• 滥用检测技术：专家系统、模型推理和状态转换分析

• 专家系统：将有关入侵的知识转化为if-then结构的规则，if-t hen 结构构成了描述具体攻击的规则库, 状态行为及其语义环境可根据审计事件得到, 推理机根据规则和行为完成判断工作。专家系统主要面临全面性、效率等问题。因为这些问题， 商业产品较多的使用特征分析系统， 特征分析也需要知道攻击行为的具体知识。但是, 攻击方法的语义描述不是被转化为检测规则, 而是在审计记录中能直接找到的信息形式。但这种方法也要为新发现更新知识库，不同操作系统和平台审计方法也不同，都会造成系统构成和维护的工作量较大。

• 模型推理：模型推理是指结合攻击脚本推理出入侵行为是否出现。检测时将这些攻击脚本的子集看作系统正面临的攻击。然后通过一个称为预测器的程序模块根据当前行为模式, 产生下一个需要验证的攻击脚本子集, 并将它传给决策器。决策器收到信息后，在审计记录中寻找相应信息来确认或否认这些攻击。

• 状态转换分析：状态转换法将入侵过程看作一个行为序列, 这个行为序列导致系统从初始状态转入被入侵状态。分析时, 首先针对每一种入侵方法确定系统的初始状态和被入侵状态, 以及导致状态转换的转换条件, 即导致系统进入被入侵状态必须执行的操作( 特征事件) 。然后用状态转换图来表示每一个状态和特征事件, 这些事件被集成于模型中, 所以检测时不需要一个个地查找审计记录。

• 异常检测技术：概率统计方法和神经网络方法

• 概率统计方法：检测器根据用户对象的动作为每个用户建立一个用户特征表, 通过比较当前特征与已存储定型的以前特征, 从而判断是否为异常行为。用户特征表需要根据审计记录情况不断加以更新。用于描述特征的变量类型有操作密度、审计记录分布、范畴尺度、数值尺度。可以用某些方法是计算所有用户特征异常程度值，通过设置一个阈值判断是否入侵。

• 神经网络方法：用神经网络检测入侵的基本思想是用一系列信息单元( 命令) 训练神经元, 这样在给定一组输入后, 就可能预测出输出。用于检测的神经网络模块结构大致是这样的: 当前命令和刚过去的 w 个命令组成了神经网络的输入, 其中 w 是神经网络预测下一个命令时所包含的过去命令集的大小。根据用户的代表性命令序列训练网络后, 该网络就形成了相应用户的特征表, 于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。

• 高级检测技术

• 文件完整性检查：件完整性检查系统检查计算机中自上次检查后文件的变化情况。文件完整性检查系统保存每个文件的数字文摘数据库, 每次检查时, 它重新计算文件的数字文摘, 并将它与数据库中的值相比较。文件的数字文摘通过 Hash 函数计算得到。弱点: 其依赖于本地的文摘数据库。与日志文件一样,这些数据可能被入侵者修改。

• 计算机免疫技术：通过正常行为的学习来识别不符合常态的行为序列。利用系统进程正常执行轨迹中的系统调用短序列集, 来构建系统进程正常执行活动的特征轮廓。

• 遗传算法、模糊证据理论、数据挖掘

• 入侵诱骗技术：入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术，是用特有的特征吸引攻击者, 同时对攻击者的各种攻击行为进行分析, 并找到有效的对付方法这里介绍的入侵诱骗技术包括蜜罐( Honeypot) 和蜜网( Honeynet ) 两种。

• 蜜网技术：它并不是一种比传统的 Honeypot 更好的解决方案, 只是其侧重点不同而已。它所进行的工作实质是在各种网络迹象中获取所需的信息, 而不是对攻击进行诱骗或检测。Honeynet 是一种特殊类型的 Honeypot，Honeynet 不是一个单独的系统, 而是由多个系统和多个攻击检测应用组成的网络。

• 入侵响应技术：入侵响应技术是入侵检测技术的配套技术，有时也称以实施入侵响应技术为主的系统为入侵响应系统。分为主动响应和被动响应两种类型。主动响应里, 入侵检测系统应能阻塞攻击或影响进而改变攻击的进程; 在被动攻击里, 入侵检测系统仅仅简单地报告和记录所检测出的问题。主动响应和被动响应并不是相互排斥的。不管使用哪一种响应机制, 作为任务的一个重要部分, 入侵检测系统应该总能以日志的形式记录下结果。

• 主动响应：
  ①对入侵者采取反击行动：警告攻击者、跟踪攻击者、断开危险连接和对攻击者的攻击。但也有一定风险，因为攻击源头可能是黑客控制的一个跳板，对对方的攻击可能会冒违法犯罪的风险，可以采取隔离入侵者IP 、禁止被攻击对象的特定端口和服务以及隔离被攻击对象，向入侵者可能来自的系统的管理员发 E- mail , 并且请求协助确认入侵者和处理相关问题等方法。
  ②修正系统环境
  ③收集额外信息

• 被动响应：被动响应就是那些只向用户提供信息而依靠用户去采取下一步行动的响应。

• 入侵检测体系

• 入侵检测模型：通用的模型有Denning 模型和CIDF 模型。

• Denning 模型：包含6 个主要部分。①主体( Subjects) : 在目标系统上活动的实体, 如用户，②对象( Objects) : 指系统资源, 如文件、设备、命令等，③审计记录( Audit records) : 由主体、活动( Action) 、异常条件( Exception- Condition) 、资源使用状况( Resource- Usage) 和时间戳( Ti me-Stamp) 等组成。④活动档案( Active Profile) : 即系统正常行为模型, 保存系统正常活动的有关信息，⑤异常记录( Anomaly Record) : 由事件、时间戳和审计记录组成, 表示异常事件的发生情况。⑥活动规则( Active Rule) : 判断是否为入侵的准则及相应要采取的行动。

• 

• CIDF 模型：CIDF( Common Intrusion Detection Framework) 阐述了一个入侵检测系统的通用模型, 内容包括IDS 的体系结构、通信机制、描述语言和应用编程接口( API) 等4个方面。这种划分体现了入侵检测系统所必须具有的体系结构: 数据获取、数据分析、行为响应和数据管理, 因此具有通用性。

• 入侵检测体系结构：主机入侵检测、网络入侵检测、混合入侵检测、分布式入侵检测

• 分布式入侵检测：传统的集中式入侵检测技术的基本模型是在网络的不同网段中放置多个传感器或探测器, 用来收集当前网络状态的信息, 然后这些信息被传送到中央控制台进行处理和分析。更进一步的情况是, 这些传感器具有某种主动性, 能够接收中央控制台的某些命令和下载某些识别模板等。

• 分布式智能代理的结构方式, 由几个中央智能代理和大量分布的本地代理组成, 其中本地代理负责处理本地事件, 而中央代理负责整体的分析工作。与集中式模型不同的是, 它强调的是通过全体智能代理协同工作来分析入侵者的攻击策略

• 入侵检测技术的不足
  ① IDS 系统本身还在迅速发展和变化, 尚未成熟：特征模式库的提取和更新依赖于手工方式, 维护不易; 具有自适应能力、能自我学习的IDS 系统还尚未成熟。
  ②现有的IDS 系统错报率( 或称为虚警率) 偏高, 严重干扰了检测结果。
  ③事件响应与恢复机制不完善。这一部分对IDS 非常重要, 但目前几乎都被忽略,并没有一个完善的响应恢复体系
  ④ IDS 与其他安全技术的协作性不够。如防火墙、身份认证系统、网络管理系统。
  ⑤IDS 缺少对检测结果做进一步说明和分析的辅助工具, 这防碍了用户进一步理解看到的数据或图表。
  ⑥IDS 缺乏国际统一的标准：没有关于描述入侵过程和提取攻击模式的统一规范;没有关于检测和响应模型的统一描述语言；检测引擎的定制处理没有标准化。

• 测试评估IDS 性能的标准
  ①准确性
  ②处理性能：指一个IDS 处理源数据的速度
  ③完备性( Completeness) 指IDS 能够检测出所有攻击行为的能力
  ④容错性：自身必须能够抵御对它自身的攻击
  ⑤及时性：要求IDS 必须尽快地分析数据, 并把分析结果传播出去, 以使系
  统安全管理者能够在入侵攻击尚未造成更大危害以前做出反应, 阻止入侵者进一步的破
  坏活动。与“处理性能”相比，及时性要求更高。

• 入侵检测技术发展的几个重要方向
  ①功能与性能提高
  ②检测和防范分布式攻击和拒绝服务攻击
  ③实现入侵检测系统与其他安全部件的互动
  ④入侵检测系统的标准化工作
  ⑤入侵检测系统的测试和评估