入侵检测技术第3章.ppt

3.1 入侵检测的信息源3.2 分类方法3.3 具体的入侵检测系统,第3章 入侵检测技术的分类,对于入侵检测系统而言，输入数据的选择是首先需要解决的问题：入侵检测的输出结果，首先取决于所能获得的输入数据的数量和质量。具体采用的入侵检测技术类型，也常常因为所选择的输入数据的类型不同而各不相同。,3.1 入侵检测的信息源,在入侵检测技术的发展历史中，最早采用的用于入侵检测任务的输入数据源就是操作系统的审计记录。操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的，其目的是记录当前系统的活动信息，并将这些信息按照时间顺序组织成为一个或多个审计文件。不同的系统在审计事件的选择、审计记录的选择和内容组织等诸多方面都存在着兼容性的问题。另外一个存在的问题是，操作系统审计机制的设计和开发的初始目标，并不是为了满足后来才出现的入侵检测技术的需求目的。,3.1.1 操作系统的审计记录,操作系统审计记录被认为是基于主机入侵检测技术的首选数据源：操作系统的审计系统在设计时，就考虑了审计记录的结构化组织工作以及对审计记录内容的保护机制，因此操作系统审计记录的安全性得到了较好的保护。操作系统审计记录提供了在系统内核级的事件发生情况，反映的是系统底层的活动情况并提供了相关的详尽信息，为发现潜在的异常行为特征奠定了良好的基础。下面分别介绍两种流行的操作系统Sun Solaris和Windows 2000的审计系统机制及审计记录格式。,1.Sun Solaris BSMSun公司的Solaris操作系统是目前流行的服务器UNIX操作系统，其中包含的BSM安全模块使得Solaris系统满足TCSEC标准的C2级审计功能要求。BSM安全审计子系统的主要概念包括审计日志、审计文件、审计记录和审计令牌等，其中审计日志由一个或多个审计文件组成，每个审计文件包含多个审计记录，而每个审计记录则由一组审计令牌（audit token）构成。图3-1所示为BSM审计记录的格式。每个审计令牌包括若干字段，如图3-2所示。,图3-1 BSM审计记录格式,图3-2 BSM审计令牌格式,每个BSM审计记录都揭示了一次审计事件（audit event）的发生。BSM审计机制中定义了若干审计事件类型，而通常的入侵检测系统仅使用了其中部分事件类型，其他则丢弃。不同的审计事件类型所生成的审计记录，都会包含不同的审计令牌组合。一般而言，Header、Process、Return和Trailer令牌字段是固定字段。BSM审计记录以二进制的形式进行存储，其字段结构和数据结构大小都实现了预先定义，从而提供了在不同平台系统间进行移植的兼容性。,2.Windows 2000Windows 2000以事件日志机制形式提供数据源，使用事件查看器进行查看和管理。可以根据事件的日志记录来识别和跟踪安全性事件、资源使用情况，以及系统和应用程序中发生的错误等。Windows 2000事件日志机制收集3种类型的系统事件：应用程序日志、安全日志和系统日志，如图3-3所示。右击某个记录，在“属性”中可以看到关于此记录的详细说明。记录本身又分为几种情况：“错误”是指比较严重的问题，通常是出现了数据丢失或功能丢失；“警告”则表明情况暂时不严重，但可能会在将来引起错误，比如磁盘空间太小等；“信息”是记录运行成功的事件。,图3-3 Windows 2000事件查看器,应用程序日志记载应用程序运行方面的错误。安全日志记录与安全性相关的事件，例如与资源使用有关的事件，还包括合法和非法的登录企图。管理员可以指定将哪些事件记录在安全日志中。安全性事件根据审计策略被记录在安全性日志中。注意，Windows 2000的默认安装是不打开任何安全日志审核的，需要在“本地安全设置”“本地策略”“审核策略”中打开相应的审核，如图3-4所示。系统日志包括由Windows 2000系统组件记录的事件，系统事件由Windows 2000自动配置，并记录在系统日志中。所有用户都能够查看应用程序日志和系统日志，但安全性日志只能由系统管理员访问。,图3-4 审核策略的指定,Windows 2000的事件日志由多个事件记录组成，如图3-3所示，事件查看器中的3种类型日志，其所包含的事件日志的格式统一如下所示。类型：事件查看器显示以下5种事件类型。错误：重要的问题，如数据丢失或功能丧失。警告：不是非常重要但将来可能出现的问题的事件。信息：描述应用程序、驱动程序或服务的成功操作的事件。成功审核：审核安全访问尝试成功。失败审核：审核安全访问尝试失败。日期：事件产生的详细日期。,时间：事件产生的详细时间，精确到秒。来源：事件的生成者，有很多种类的来源。例如disk、Srv、SNMP、Windows File Protection等，这其中有来自操作系统内部程序的，也有来自应用程序的。分类：对事件的分类，如系统事件、特权使用、登录/注销、Firing Agent等。事件：事件ID。Windows 2000用不同的ID来表明惟一的事件。用户：用户名称。包括N/A、SYSTEM、Administrator等。计算机：计算机名称。可以是本地计算机，也可以是远程计算机。,右击每条日志，选择属性，可以看见对此日志条目的具体描述。描述信息清晰地说明了此事件相关的情况，如图3-5所示。利用事件查看器可以根据特定需求快速地查看和筛选事件日志。事件查看器还可以管理事件日志。通过查看和分析事件日志，可以检测出需要系统管理员加以重点考虑的事件。根据对这些事件日志的分析，可能需要解决相关的安全问题、系统问题，或者对资源进行重新分配等。另外，可能还需要就审核策略、监视设置值、安全性设置值、应用程序配置，以及系统配置问题等提供改进建议。,图3-5 事件属性信息,系统使用日志机制记录下主机上发生的事情，无论是对日常管理维护，还是对追踪入侵者的痕迹都非常关键。日志可分为操作系统日志和应用程序日志两部分。操作系统日志从不同的方面记录了系统中发生的事情，对于入侵检测而言具备重要的价值。系统日志的安全性与操作系统的审计记录比较而言，要差一些，其原因如下：产生系统日志的软件通常是在内核外运行的应用程序，因而这些软件容易受到恶意的修改或攻击。系统日志通常是存储在普通的不受保护的文件目录里，容易受到恶意的篡改和删除等操作。,3.1.2 系统日志,尽管如此，系统日志仍然以其简单易读、容易处理等优势成为入侵检测的一个重要输入数据源。UNIX操作系统提供门类齐全的系统日志文件，并且能够通过通用日志服务后台程序syslogd来提供标准化的日志服务。UNIX操作系统的主要日志文件可以分成3类：二进制连接时间日志文件，由多个程序生成，消息写入到/var/log/wtmp和/var/run/utmp，login等系统程序负责更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。进程日志，由系统内核生成。当一个进程终止时，系统内核为每个进程在进程日志文件（pacct或acct）中写入一条记录。,syslogd日志，由syslogd生成并维护。各种系统守护进程、内核、模块使用syslogd记录下自己发出的消息。另外还有许多UNIX程序创建日志，像http 或ftp这样提供网络服务的服务器也保持详细的日志。常用的日志文件如表3-1所示。utmp、wtmp和lastlog日志文件是多数主要UNIX日志子系统的关键保持用户登录进入和退出的记录。数据交换、关机和重启也记录在wtmp文件中。所有的记录都包含时间戳。这些文件的规模（除了lastlog）在拥有大量用户的繁忙系统中，将会增长得非常迅速。许多系统以天或周为单位把wtmp配置成循环使用。,utmp、wtmp和lastlog是二进制文件，不能用普通文本查看器查看，只能通过系统命令来查看，主要包括用户名、终端、登录ip、CPU使用时间、正在运行的进程、登录时间和退出时间等内容。UNIX可以跟踪每个用户运行的每条命令。该功能（称为进程日志）对于跟踪系统问题十分有用。它还对跟踪特定入侵者（或恶意用户）的活动很有帮助，但它的缺点是不能记录命令的参数。进程日志文件的名称和位置在不同UNIX 版本中有所不同。与连接日志不同，进程日志默认时并不激活，它必须显式地启动。lastcomm命令报告以前执行的命令。sa命令报告、清理并维护进程日志文件。,syslog可以记录系统事件，可以写消息到一个文件或设备，或是直接给用户发送一个信息。它能记录本地日志或通过网络记录另一个主机上的日志。syslog设备包括两个重要元素：/etc/syslogd（守护程序）和/etc/syslog.conf 配置文件。syslogd可以处理的消息类型在/usr/include/sys/syslog.h中进行定义。一个消息可以分成两个部分：“设备”和“优先级”。“设备”标识发出消息的子系统，这是内核定义的所有的设备，如表3-2所示。下面是在内核头文件中定义的所有消息优先级。“优先级”表示消息的重要性，其范围从7（最低）到0（最高）。,LOG_EMERG 0/*system is unusable*/LOG_ALERT 1/*action must be taken immediately*/LOG_CRIT 2/*critical conditions*/LOG_ERR 3/*error conditions*/LOG_WARNING 4/*warning conditions*/LOG_NOTICE 5/*normal but significant condition*/LOG_INFO 6/*informational*/LOG_DEBUG 7/*debug-level messages*/syslogd的配置文件syslog.conf定义了根据设备和优先级，消息应该发到哪个日志文件中。在图3-6中可以看到在Slackware 4.0中命令运行的结果。图3-6/etc/syslog.conf内容,#/etc/syslog.conf#For info about the format of this file,see man syslog.conf(the BSD man#page),and/usr/doc/sysklogd/README.linux.*.=info;*.=notice/usr/adm/messages*.=debug/usr/adm/debug*.=err/usr/adm/syslog,编辑完/etc/syslog.conf文件后，还必须执行以下命令：#killall-HUP syslogd这样所做的改变才会生效。这个命令发送HUP信号给syslogd守护进程，通知守护进程重新读取配置文件。通过syslogd生成的文件有着如下的统一格式：时间戳：主机名：消息发送者：消息描述。例如下面一行，名为Invent的主机收到来自passwd的消息，描述用户guest的口令被root改变了。Jun 12 110611 Invent passwd337:password for progs changed by root,日益复杂化的系统设计，使得单纯从内核底层级别的数据来源来分析判断当前整个系统活动的情况，变得越来越困难；同时，底层级别安全数据的规模也迅速膨胀，增加了分析的难度。此时，需要采用反映系统活动的较高层次信息，例如应用程序日志，作为分析检测的数据源。应用程序日志因为是用户级别的系统活动抽象信息，所以更加容易理解和处理。其次，网络化计算环境的普及，导致入侵攻击行为的目标越来越集中于提供网络服务的各种特定应用程序。,3.1.3 应用程序的日志信息,同样，采用应用程序日志作为入侵检测的输入数据源，也存在着问题和风险。首要的问题是应用程序的日志信息通常更易遭到恶意的攻击，包括篡改和删除等操作。其次，尽管很多操作系统提供应用程序级别的审计功能，但是很多特定的应用程序中并不包括这些审计特性，或者是审计功能并没有提供足够详细的信息。最后，特定应用程序同样存在是否值得信赖的问题。下面以Web服务器为例来介绍应用程序产生的日志信息。Web服务器通常支持两种标准格式的日志文件：通用日志格式（CLF）。CLF日志包含的字段定义及内容如表3-3所示。,典型的CLF日志记录举例如下：alice 10/Aug/2003:20:10:10+0800 GET/docs/HTTP/1.0 200 2049 扩展日志文件格式（ELFF），除了CLF所定义的数据字段外，还扩展包含了其他的附加信息。ELFF日志包含的附加信息如表3-4所示。其他类型应用程序的日志信息，例如Sendmail邮件服务器、SQL Server数据库服务器等，也是进行入侵检测时所能采用的重要输入数据源。具体进行入侵检测工作时，必须具体分析各自的特定日志格式。,近年来流行的商用入侵检测系统大多采用了网络数据作为其主要的输入数据源。采用网络数据源具有以下优势：通过网络被动监听的方式来获取网络数据包，作为入侵检测系统输入信息源的工作过程，对目标监控系统的运行性能几乎没有任何影响，并且通常无须改变原有网络的结构和工作方式。嗅探器（sniffer）模块在工作时，可以采用对网络用户透明的模式，因而降低了其本身遭到入侵者攻击的概率。,3.1.4 基于网络数据的信息源,基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现的攻击手段。网络数据包的标准化程度，相对主机数据源而言要高许多。因此，采用网络数据作为输入信息源，有助于入侵检测系统在不同目标系统平台环境下的移植工作。目前，大部分的网络环境都采用了标准的TCP/IP协议作为通信协议，因此大部分的入侵检测系统的数据分析的重点也放在了对TCP/IP协议数据包的截获和分析工作上。,（1）来自其他安全产品的数据源入侵检测只是整体安全防护模型中的一部分。在目标系统内部还可能存在许多其他独立运行的安全产品。无疑，来自安全产品的数据信息是进行更加有效的准确的入侵检测所必须考虑的输入数据源。入侵检测系统采用其他安全产品的事件日志作为自己的输入数据源，可以凸现入侵检测在整个动态计算机安全模型中的关键角色和重要地位，显示出动态安全监控的能力在应付当前日益复杂的安全威胁模式中所发挥的不可或缺的作用。表3-5为Firewall-I防火墙日志记录的内容格式信息。,3.1.5 其他的数据来源,（2）来自网络设备的数据源除了直接从网络截获数据包作为输入数据外，入侵检测系统还能够利用其他网络设备所提供的关于网络数据流量的各种信息数据。通过采用网络管理系统提供的信息，入侵检测系统可以更好地确定输出的检测结果是与系统安全方面相关的问题，还是与其他方面相关的问题，从而有助于降低检测的误报概率。另外一个有用的网络设备数据来源，是路由器或者交换机提供的数据信息。这些日志文件中的数据信息大多是反映了当前网络活动情况的统计数据，利用这些输入数据源，入侵检测同样可以提高自身检测结果的准确性和精确性。,（3）带外（out of band）数据源所谓“带外”数据源通常是指由人工方式提供的数据信息。带外数据源的例子还包括系统管理员对入侵检测系统所进行的各种管理控制操作。目前的入侵检测技术对如何合理有效地利用这些“带外”数据源方面的研究还很不充分。除了上面所述的全部数据源之外，还有一种特殊的数据源类型，即来自文件系统的信息源。,基本的原则是根据入侵检测系统设计的检测目标来选择所需的输入数据源。如果设计要求检测主机用户的异常活动，或者是特定应用程序的运行情况等，采用主机数据源是比较合适的；如果需要发现通过网络协议发动的入侵攻击就要采用来自网络数据的输入信息。如果系统设计要求监控整个目标系统内的总体安全状况等，此时就需要同时采用来自主机和网络的数据源；在分布式的环境下，或许还要考虑到包括带外数据在内的其他类型数据源。另外需要考虑的一个问题是，在不影响目标系统运行性能和实现安全检测目标的前提下，最少需要多少信息，或者是采用最少数目的输入数据源。,3.1.6 信息源的选择问题,从数据来源看，入侵检测通常可以分为两类：基于主机的入侵检测和基于网络的入侵检测。基于主机的入侵检测通常从主机的审计记录和日志文件中获得所需的主要数据源，并辅之以主机上的其他信息，在此基础上完成检测攻击行为的任务。特别的，从主机入侵检测技术中还可以单独分离出基于应用的入侵检测类型，这是特别针对于某个特定任务的应用程序而设计的入侵检测技术，采用的输入数据源是应用程序的日志信息。,3.2 分类方法 3.2.1 按照信息源的分类,基于网络的入侵检测通过监听网络中的数据包来获得必要的数据来源，并通过协议分析、特征匹配、统计分析等手段发现当前发生的攻击行为。网络入侵检测技术也有一种特殊的情况，即所谓基于网络结点的入侵检测，其输入数据来源仅为检测模块所在主机的网络进出流量信息。结点入侵检测技术的目的在于减轻数据处理的负担，将计算量分散在各个网络结点主机之上。基于主机的入侵检测能够较为准确地监测到发生在主机系统高层的复杂攻击行为。其中，许多发生在应用进程级别的攻击行为是无法依靠基于网络的入侵检测来完成的。同时，基于主机的入侵检测系统也有若干显而易见的缺点：首先，由于它严重,依赖于特定的操作系统平台。其次，它在所保护主机上运行，这影响宿主机的运行性能。另外，它通常无法对网络环境下发生的大量攻击行为作出及时的反应。基于网络的入侵检测能够实时监控网络中的数据流量，并发现潜在的攻击行为和作出迅速的响应。另外，它的分析对象是网络协议，一般没有移植性的问题。同时，它的运行丝毫不影响主机或服务器的自身运行，因为基于网络的入侵检测系统通常采取独立主机和被动监听的工作模式。进入20世纪90年代后，出现了把基于主机和基于网络的入侵检测结合起来的早期尝试。,从数据分析手段看，入侵检测通常可以分为滥用（misuse）入侵检测和异常（anomaly）入侵检测。滥用入侵检测的技术基础是分析各种类型的攻击手段，并找出可能的“攻击特征”集合。滥用入侵检测利用这些特征集合或者是对应的规则集合，对当前的数据来源进行各种处理后，再进行特征匹配或者规则匹配工作，如果发现满足条件的匹配，则指示发生了一次攻击行为。异常入侵检测的假设条件是对攻击行为的检测可以通过观察当前活动与系统历史正常活动情况之间的差异来实现。,3.2.2 按照检测方法的分类,比较而言，滥用入侵检测比异常入侵检测具备更好的确定解释能力，即明确指示当前发生的攻击手段类型，因而在诸多商用系统中得到广泛应用。另一方面，滥用入侵检测具备较高的检测率和较低的虚警率，开发规则库和特征集合相对于建立系统正常模型而言，也要更方便、更容易。滥用检测的主要缺点在于一般只能检测到已知的攻击模式。而异常检测的优点是可以检测到未知的入侵行为。从现有的实际商用系统来看，大多数都是基于滥用入侵检测技术。不过，在若干种优秀的入侵检测系统中，也采用了不同形式的异常入侵检测技术和对应的检测模块。联合使用这两种检测技术势在必行。,入侵检测的分类标准还可以列举其他，例如实时和非实时处理系统。非实时的检测系统通常在事后收集的审计日志文件基础上，进行离线分析处理，并找出可能的攻击行为踪迹，目的是进行系统配置的修补工作，防范以后的攻击。实时处理系统实时监控，并在出现异常活动时及时做出反应。实时的概念是一个根据用户需求而定的变量，当系统分析和处理的速度处于用户需求范围内时，就可以称为实时入侵检测系统。,3.2.3 另外的分类标准,NFR公司的NID系统，基本上是一种基于规则检测的网络入侵检测系统，同时具备一些异常入侵检测功能。NFR公司的入侵检测产品，其最大特点体现在独一无二的设计架构上，它设计了一套用于网络管理和安全检测的脚本语言N-Code，可以用来创建入侵检测的检测特征库。NFR公司联合其他公司创建大量的N-Code语言编写的检测组件程序。大部分N-Code组件是公开的。,3.3 具体的入侵检测系统 3.3.1 NFR公司的NID系统,RealSecure入侵检测系统采用了分布式体系结构，系统包含以下组件。1.工作组管理器工作组管理器是入侵检测系统的中央控制点，负责配置、管理Sensor以及Sensor所产生的事件数据的处理等工作。对Sensor的管理是通过安全加密通道进行的。工作组管理器又包含以下几个模块。（1）控制台（2）企业数据库（3）事件收集器,3.3.2 ISS公司的RealSecure,2.传感器传感器是具体负责执行入侵检测任务的部件，RealSecure传感器包括3种类型：（1）RealSecure Network Sensor 网络传感器（2）RealSecure OS Sensor 操作系统传感器（3）RealSecure Server Sensor 服务器传感器RealSecure系统可以运行在Windows NT/2000或者Solaris系统平台之上，近来又扩展到Linux、IBM AIX和HP-UX等系统平台。,CyberCop Monitor是混合型的入侵检测系统，通过单一控制台提供基于网络和主机的入侵检测功能。值得注意的是，CyberCop Monitor的设计从一开始就是定位于混合型的结点检测架构，即它由两个主要组件组成：控制台和代理，其中，代理在目标结点主机上执行基于网络或主机的检测任务。检测引擎的网络检测部分基于网络结点的检测技术，即仅仅分析该结点发送和接收的网络分组，而不关心其他不发往所在结点的网络分组。控制台采取远程的安全集中管理的模式，支持对多主机代理的安装和配置，并负责产生用户报告。,3.3.3 NAI公司的CyberCop Monitor,CyberCop Monitor的检测代理中还包含了异常检测组件，用来识别当前用户行为与历史活动的偏差情况。同时，CyberCop Monitor的网络检测代理还声称具备检测长时间跨度端口扫描过程的能力。除此之外，CyberCop Monitor的控制台部分支持对警报事件加以过滤分析，以减少告警数量和简化报告的特性。,Cisco公司的Secure IDS是传统的网络入侵检测系统，通常与硬件平台捆绑销售。Secure IDS系统分为3个基本组件：传感器、控制台和入侵检测系统模块。其中，最后的IDSM组件主要是指嵌入到各种Cisco网络硬件中的检测模块。一般的IDS组件是控制台和传感器，其中传感器又可分为主机和网络两种类型，控制台负责汇集各个传感器的报告，并对各个传感器进行配置和管理工作等。Cisco的产品能方便有效地嵌入现有的路由器或者交换机平台中。另外，Cisco的IDS产品还能够很好地与HP公司的OpenView安全管理产品很好地结合，从而提供与SNMP协议兼容的管理特性和规范接口。,3.3.4 Cisco公司的Cisco Secure IDS,