入侵檢測流程

入侵檢測流程

• 入侵檢測的過程
• 入侵檢測系統的數據源
• 入侵分析的概念
• 入侵分析的模型
• 入侵檢測的分析方法
• 告警與響應

入侵檢測系統的數據源

堪於主機的數據源:

• 系統運行狀態信息
• 系統記帳信息
• 系統日誌（Syslog）
• C2級安全性審計信息

基於網絡的數據源

• SNMP信息
• 網絡通信包

其他來源

• 應用程序日誌文件
• 其他入侵檢測系統的報警信息
• 其他網絡設備和安全產品的信息

入侵分析的概念

• 入侵檢測系統是一個複雜的數據處理系統，所涉及到的問題域中的各種關係也比較複雜。
• 從入侵檢測的角度來說，分析是指針對用戶和系統活動數據進行有效的組織、整理並提取特徵，以鑑別出感興趣的行爲。這種行爲的鑑別可以實時進行，也可以事後分析，在很多情況下，事後的進步分析是爲了尋找行爲的責任人。

入侵分析的目的

• 重要的威懾力:目標系統使用IDS進行入侵分析，對於入侵者來說具有很大的威懾力，因爲這意味着攻擊行爲可能會被發現或被追蹤。
• 安全規劃和管理:分析過程中可能會發現在系統安全規劃和管理中存在的漏洞，安全管理員可以根據分析結果對系統進行重新配置，避免被攻擊者用來竊取信息或破壞系統。
• 獲取入侵證據:入侵分析可以提供有關入侵行爲詳細的、可信的證據，這些證據可以用於事後追究入侵者的責任。

入侵分析應考慮的因素

• 需求
• 子目標
• 目標劃分
• 平衡

入侵分析的模型

入侵分析處理過程可分爲三個階段:

• 構建分析器
• 分析數據
• 反饋和更新

構建分析器

• 收集並生成事件信息
• 預處理信息
• 建立行爲分析引擎
• 將事件數據輸入引擎中
• 保存已輸入數據的模型

分析數據

• 輸入事件記錄
• 事件預處理
• 比較事件記錄和知識庫
• 產生響應

反饋和更新

• 反饋和更新是一個非常重要的過程。
• 在誤用檢測系統中，反映這個階段的主要功能是攻擊信息的特徵數據庫是否可以更新。每天都能夠根據新攻擊方式的出現來更新攻擊信息特徵數據庫是非常重要的。許多優化的信號引擎能夠在系統正在監控事件數據，沒有中斷分析過程的同時，由系統操作員來更新信號數據庫。
• 在異常檢測系統中，依靠執行異常檢測的類型，歷史統計特徵輪廓被定時更新。例如，在第1個入侵檢測系統IDES中，每天都進行特徵輪廓的更新。每個用戶的摘要資料被加入知識庫中，並且刪除最老的資料。

誤用入侵檢測模型

誤用檢測方法

• 模式匹配方法：基於模式匹配的誤用入侵檢測方法是最基本的誤用入侵檢測方法，該方法將已知的入侵特徵轉換成模式，存放於模式數據庫中，在檢測過程中，模式匹配模型將到來的事件與入侵模式數據庫中的入侵模式進行匹配，如果匹配成功，則認爲有入侵行爲發生。
• 專家系統方法：基於專家系統的誤用入侵檢測方法是最傳統、最通用的誤用入侵檢測方法。在諸如 MIDAS、IDES、下一代IDES（NIDES）、DIDS和CMDS中都使用了這種方法。在 MIDAS、IDES和 NIDES中，應用的產品系統是P-BEST，該產品由 Alan Whitehurst設計。而DIDS和CMDS，使用的是 CLIPS系統，是由美國國家航空和宇航局開發的系統。

狀態轉換方法

有色Petri網方法

異常入侵檢測模型

Denning的原始模型

• 可操作模型
• 平均和標準偏差模型
• 多變量模型
• Markov處理模型

量化分析

• 閾值檢測
• 啓發式閾值檢測
• 基於目標的集成檢查
• 量化分析和數據精簡

統計度量

• IDES/NIDES
• Haystack
• 統計分析的力度
• 統計分析的不足

非參統計度量

• 非參統計異常檢測的前提是根據用戶特性把表示的用戶活動數據分成兩個明顯區別的羣：一個指示異常活動，另一個指示正常活動。
• 各種羣集算法均可採用。這些算法包括利用簡單距離度量一個客體是否屬於一個羣，以及比較複雜的概念式度量；即，根據一個條件集合對客體記分，並用這個分數來決定它是否屬於某一個特定羣。不同的羣集算法通常服務於不同的數據集和分析目標。

基於規則的方法

• Wisdom and sense
• TIM

神經網絡方法

• 神經網絡使用可適應學習技術來描述異常行爲。這種非參分析技術運作在歷史訓練數據集上。歷史訓練數據集假定是不包含任何指示入侵或其它不希望的用戶行爲。
• 神經網絡由許多稱爲單元的簡單處理元素組成。這些單元通過使用加權的連接相互作用。一個神經網絡知識根據單元和它們權值間連接編碼成網絡機構。實際的學習過程是通過改變權值和加入或移去連接進行的。
• 使用神經網絡進行入侵檢測的主要不足是神經網絡不能爲它們找到的任何異常提供任何解釋。

其他檢測方法

• 免疫系統方法
• 遺傳算法
• 基於代理的檢測
• 數據挖掘方法

告警與響應

• 在完成系統安全狀況分析並確定系統所存在的問題之後，就要讓人們知道這些問題的存在，在某些情況下，還要另外採取行動。在入侵檢測處理過程模型中，這個階段稱之爲響應期。
• 理想的情況下，系統的這一部分應該具有豐富的響應功能特性，並且這些響應特性在針對安全管理小組中的每一位成員進行裁剪後，能夠爲他們都提供服務。
• 被動響應是系統僅僅簡單地記錄和報告所檢測出的問題。
• 主動響應則是系統要爲阻塞或影響進程而採取行動。

對響應的需求

• 操作環境
• 系統目標和優先權
• 規則或法令的需求
• 給用戶傳授專業技術

響應的類型

主動響應：

• 入侵者採取反擊行動
• 修正系統環境
• 收集額外信息

被動響應：

• 告警和通知
• SNMP Trap和插件
  • 基於 SNMP Trap方式可以使得被管理設備主動向管理端報送告警信息或者其他錯誤信息。

按策略配置響應

• 立即行動
• 適時行動
• 本地的長期行動
• 全局的長期行動

聯動響應機制

誤用檢測

• 假設前提：入侵行爲和手段能夠表達爲種模式或者特徵。（也就是可以用某種模式或者特徵編碼來描述或者指示該攻擊手段）
• 優點：誤報少；
• 缺點：只能發現已知的攻擊，對未知攻擊無能爲力。

誤用檢測的常用方法

• 1、模式匹配方法；
• 2、專家系統方法；
• 3、狀態轉換方法；

模式匹配

• 首先將已知的入侵特徵轉換成模式，存儲在模式數據庫中。

• 檢測過程中，把進來的事件與模式數據庫中的入侵模式進行匹配，如果匹配成功，則認爲入侵行爲發生

snort檢測規則示例

專家系統的架構和組成

狀態轉移方法

基於狀態轉移分析的檢測模型，將攻擊者的入侵行爲描繪爲一系列的特徵操作及其所引起的一系列系統狀態轉換過程，從而使得目標系統從初始狀態轉移到攻擊者所期望的危害狀態

• 思想

  • 採用“狀態轉移圖”來表示一個具體的入侵攻擊過程

• 優點

  • 更直觀
  • 更細微
  • 更強大（可檢測到協同攻擊）

• 缺點

  • STAT屬於基於規則分析的濫用入侵檢測系統，因此只能檢則到已知的攻擊類型

狀態轉移圖來表示縣體的攻擊行爲

• 狀態轉移圖
  • 兩個基本組件

• 狀態轉移圖的示意

每個狀態結點，都對應着一組狀態斷言。當滿足該組斷言後，本次從上個狀態到本狀態的轉移過程才成功發生。

狀態圖的構建

• 只選取那些最能代表攻擊過程並同時引起系統狀態改變的關鍵操作。即，找到狀態和引起狀態發生變化的斷言

  • 說明：對於每個具體的攻擊行爲，都可能存在不同的狀態轉移圖的表示方法。

• S1確定關鍵行爲操作

  • 用戶創建一個文件
  • 執行這個文件

• S2確定這些關鍵操作所引起的狀態變化
  • 從初始狀態和最終狀態入手
  • 分析中間狀態

---

構建狀態轉移圖的步驟：

①分析具體的攻擊行爲，理解內在機理。

⑦確定攻擊過程中的關鍵行爲點。

③確定初始狀態和最終狀態。

④從最終狀態出發，逐步確定所需的各個中間狀態及其應該滿足的狀態斷言組。

異常入侵檢測模型

• 假設前提：所有的入侵行爲都是與正常行爲不同的。（用戶表現爲可預測的、一直的系統使用模式）

• 優點：對未知入侵行爲具有發現可能

• 缺點：誤報多，檢測準確性差

• 三種類型的威脅

  • 外部闖入：未經授權的用戶的入侵；
  • 內部滲透：已授權用戶訪問未經授權的數據；
  • 不當行爲：已授權用戶在訪問授權數據時方式不合規或濫用授權。

Denning的原始模型

（1）可操作模型

用變量或者計數器等對用戶系統使用模式進行度量，該模型將度量數據直接與設定的閾值進行比較當度量值超出設定過的閾值時觸發一個異常。

（2）平均和標準偏差模型

• 均值
• 標準偏差

（3）多變量模型

多變量模型是對平均和標準偏差模型的擴展。該模型是基於2個或多個度量參數的基礎上進行的偏差分析，以此來識別出異常。

（4）Markov處理模型

使用狀態轉換矩陣來描述系統在不同狀態間的轉換頻率。對於一個新觀察事件，如果其發生的概率太低，則將其視爲異常。