标准规范下载简介
GB/T 28454-2020 信息技术 安全技术 入侵检测和防御系统(IDPS)的选择、部署和操作.pdf由软硬件组成的IDPS通过自动监视、收集和分析信息系统或网络中的可凝事态来发现人侵。入 受检测和防御的通用模型主要包括的功能有:原始数据来源、事态检测、分析、数据存储和响应。这些功 能可以由单独的组件实现,也可作为更大系统一部分的软件包来实现。图A.1给出了这些功能之间相 互关联的方式。
GB/T284542020
图A,1入侵检测和防御的通用模型
入侵检测和防御过程的成功依赖于入侵信息的数据来源,主要包括: 来自不同系统资源的审计数据:审计数据记录包含了消息和状态信息,其范围涵盖了从高层次 的抽象数据到显示事态流时间顺序的详细数据。审计数据主要来源于操作系统目志文件(包 活由操作系统产生的系统事态日志和活动日志,如审计痕逐或日志)或文件系统、网络服务、访 问尝试等记录信息的应用。 操作系统系统资源的分配:系统监视的参数(例如,CPU工作负载、内存利用率、系统资源短 缺、I/O速率、活跃的网络连接数等)。 网络管理日志:网络管理目志主要提供网络设备的健康程度信息、状态信息和设备状态转换 信息。 网络流量:网络流量提供了与安全相关的参数(比如源地址、目的地址、源端口、目的端口等)。 此外还需收集通信协议的不同选项(如IP和TCP状态标记,表示源路由或连接的尝试与确 认)。数据收集前几乎不会受到攻击,因此可依据OSI模型在低层次上收集原始数据[如果仅 在OSI模型高层次(例如,一个代理服务器上)上收集原始数据DB34/T 3344-2019 建设项目使用林地现状调查技术规范,那么底层的信息将会丢失丁。 一其他的数据来源:包括防火墙、交换机、路由器以及IDPS特定的传感器或监视代理。 原始数据来源可分为两类:来自主机的数据和来自网络的数据。根据IDPS位置的不同,其也可同 分为两类:基于主机的IDPS和基于网络的IDPS。基于主机的IDPS能检查审计数据和其他来自主 成应用的数据。基于网络的IDPS能检查网络管理目志,以及来自防火墙、交换机、路由器和IDPS传 器代理的数据。
分析功能的目的是为了分析并处理由事态检测提供的事态数据,以发现正在尝试的、正在发生的
己经发生时人俊。 除了检测到的事态数据,分析还可以利用的信息或数据来源包括: 一先前分析的结果数据和存储的数据; 一从个体或系统如何表现的知识(如执行的已知任务和完成的已授权活动)中产生的信息或 数据; 一从个体或系统不被期望如何表现的知识(如已知攻击或已知损害行为)中产生的信息或数据: 一其他相关信息或数据,如可疑攻击源站点、个体或攻击者位置。 有两种通用的分析方法:基于误用的方法(也称作基于知识的方法)和基于异常的方法(也称作基于 行为的方法)。
A.3.4.2基于误用的方法
基于误用的方法主要以已知攻击和未授权活动的知识积累为基础,对检测到的事态数据进行分析, 从而寻找出攻击证据。 具体来说,此方法首先将信息系统的已知攻击以及先前被认为是恶意的或人侵性的行为和活动,建 莫、编码为特定的攻击特征,然后系统地扫描信息系统以发现这些攻击特征。由于已知攻击的模式或已 印攻击的细微变化被称作特征,因此基于误用的IDPS有时称作基于特征的IDPS。 在IDPS商用产品中,(最常见的)基于特征的攻击检测技术通常将与攻击或未授权活动相一致的 每个事态模式建模和编码为一个独立的攻击特征。然而,也存在一些更复杂的系统允许使用单一的攻 特征来检测一组已知攻击和未授权活动。 需要注意的是,基于误用的方法是基于如下假设,即事态数据与攻击特征不匹配时不代表有入侵或 击。由手某些人侵和攻击在攻击特征建模时还是未知的,因此不匹配的数据仍然可能包含入侵或攻 击的证据。 目前,基于误用的分析广泛使用的方法有攻击特征分析、专家系统、状态转换分析。
A.3.4.2.2攻击特征分析
A.3.4.23专家系
基于误用的方法的专家系统包含了描述人侵的规则, 邮基于异第的方法的专家系统生成, 根据给定时间段内用户行为记录,统计用户的使用行为。所有规则都需要不断更新以适应新的)
GB/T284542020
或新的使用模式。 本方法主要将经过审计的事态转换为表达其语义的事实,输入专家系统,利用这些规则和事实得出 结论,以检测可疑人侵或不一致的行为。
A.3.4.2.4状态转换分析
该方法将带有一系列目标和转换的人侵表示成为状态转换图。借助状态转换图中与状态相关的 声明进行分析。
A.3.4.3基于异常的方法
基于异常的方法根据以往对正常系统行为的观察或者预先定义的配置文件(一个预先确定的事态 模式,通常与一系列的事态相关,存储在数据库中用于对比),从预期或预测的常规行为中发现异常 行为。 需要注意的是,基于异常的方法基于如下假设,即事态数据与攻击特征不匹配时,代表有入侵或攻 击。由于某些正常的证据或已授权行为在攻击特征建模时还是未知的,因此不匹配的数据仍然可能包 含正常的证据或已授权行为。 目前,广泛使用的基于异常的分析方法有识别异常行为、专家系统、统计方法和神经网络,
A.3.4.3.2识别异常行为
此方法主要匹配用户的正常活动模式,而攻击特征分析则匹配用户的异常活动模式。 此方法通过一系列的任务(这些任务由用户通过使用非统计技术在系统上执行,其表现为用户期望 或授权的活动模式,如访问特定文件或文件类型)对用户正常的或已授权的行为进行建模,并将审计 中发现的个人行为与预期的或授权的模式相比较,当行为模式与预期的或授权的模式不同时,将产生 报警
A.3.4.3.3专家系统
参见A.3.4.2.3
A.3.4.3.4统计方法
在基于异常的人侵检测方法中,最常用的是统计方法。 本方法通过随时间采样的多个变量来测量用户行为或系统行为,并将其存储在配置文件中。当前 配置文件定期与已存储的配置文件合并,并随着用卢行为的变化(如每次会话的登录和退出时间、资源 利用的持续时间,以及在会话或给定的时间内消耗的处理器内存磁盘资源量)而更新。 配置文件可以由不同类型的测量组成,主要包括: 一活动强度测量; 一审计记录分发测量; 一分类测量(如登录的相对频率); 一一计数测量(如特定用户的CPU或I/O的数值)。 异常行为主要通过检查当前配置文件和存储的配置文件来确定,即值是否超出了变量的标准 偏差。
A.3.4.3.5神经网络
神经网络是一种算法,用来学习输入一输出向量的关系并从中发现普遍规则,以获得新的输入一
学习系统内角色(如用户、后台程序)的行为。使用 神经网络的优势在于神经网络能够较为简单的表示变量之间的非线性关系,还能够自学习和再训练。
A.3.4.4结合方法
于已知攻击特征和未经确认的模式(如特定用户登录尝试的次数)来检测入侵。 此外检测人侵的其他方式或方法正在探索研究中。例如,Petri网的应用研究和计算机免疫学的 研究。
A.3.4.5分析频率
A.3.4.5.1总则
原始数据(如审计痕迹或日志)通常是连续产生的,但它们可能不会全部用于事态检测处理或事态 分析。因此,分析的频率可分为: 一连续的; 一周期性的; 一特定条件下的。
A.3.4.5.2 连续的或接近实时的
此种情况下,事态检测不断查找出现的特定数据、情况或活动并提供事态数据,分析也持续不断的 进行。 此时,需要注意在检测到并且报告人侵之前,人侵已经完成的情况。由于事态发生时间与检测并报 告它的时间之间存在时间差,因此导致了人侵开始和侵人目标系统之间存在时间差(这主要取决于事态 数据来源、检测方法或入侵性质等相关信息)
A.3.4.5.3定期或批量处理
将原始数据和检测到的事态数据放置到存储介质时,可选择定期或在合适的时间检测分析这些数 据。例如,可在IT系统负荷较低时(如晚上或通过一个辅助的旁路子系统),对事态数据进行检测和 分析。
A.3.4.5.4仅在特定条件下发起
取证分价是一种议任 量对攻击相关方面和产生的后果进 因此需要循相天的证据规
数据存储的目的是存储安全相关信息,并用于后续的分析和报告中。 存储的数据主要包括: 一已检测到的事态数据和其他的必要数据; 一分析的结果,包括已检测到的入侵和可疑事态(后续用于可疑事态分析); 一收集已知攻击和正常行为的配置文件; 一安全报警响起时,收集和保存的详细原始数据(作为证据,如为了可追溯性)。 需要提供数据保留和数据保护策略,用于处理各种后续事项,如完成分析、数据取证、证据保存,以 交防止对安全相关信息的窃听。
GB/T284542020
A.4.2基于网络的IDPS(NIDPS)
NIDPS主要监视网络中发送给主机系统的流量,其由一系列单用途传感器或位手网络中不同位置 主机组成。这些单元首先对流量进行分析,然后将分析结果汇总到中央管理控制台,以此来蓝视网络 流量。传感器作为IDPS的专用部件,应加强对其保护。同时,为使攻击者难以感知传感器的存在并确 定其位置,大部分传感器对网络层之上是不可见的(即运行在“隐身”模式下)。 目前,通过提供可以入侵(如DoS)信息,NIDPS可以达到实时或近实时的检测和响应,而HIDPS 的响应时间与间隔频率有关。 除了IDPS通用功能外,NIDPS特有的功能包括: 在“隐身模式”下操作,并将传感器对更高级别的网络协议(通常第3层及以上)隐藏; 一使用单一的传感器监视同一网络段上多个主机的流量: 一识别影响多主机的分布式攻击。 NIDPS特有的局限性包括: 一无法很好地处理加密网络通信: 需要比HIDPS更大的带宽和更快的处理能力(因为NIDPS的性能容量与部署性能最大化的 网络段的流量是一致的); NIDPS的许多功能需要特殊的技术设置才能在现有交换网络中使用(如网络传感器,它需要 连接到映射所有其他端口数据的网络交换机特定端口):
GB/T284542020
由于解码应用层协议(如HTTP,SMTP)的有关向题,=些NIDPS可能在处理网络层(IP)或 传输层(TCP/UDP)分段数据包攻击时存在问题: 一通常无法监测攻击是否成功。
A.4.3基于主机的IDPS(HIDPS)
HIDPS位手一台计算机内井为其提供保护,其可检查计算机操作系统目志数据(如审计痕迹/日 志)、本地数据、操作系统或应用目志数据等,以此分析相关应用程序发生的事态。 操作系统审计日志由操作系统内核产生,其比系统日志详细,但系统日志比其简短更易于理解。 需注意,当HIDPS旨在支持IDPS集中管理和报告时,可通过个控制台管理多台主机。HIDPS 生成消息的格式需与网络管理系统相兼容。 与NIDPS不同,HIDPS能监测到攻击企图(因为它能直接访问和监视攻击针对的数据文件和系统 进程),例如,HIDPS可检测来自关键任务服务器键盘的攻击。 除了IDPS通用功能外,HIDPS特有的功能包括 一将用户身份与可疑活动关联起来; 一观察并追踪用户行为的变化: 一建立系统安全状态的基线,并跟踪基线的变化; 管理操作系统审计机制、日志机制和生成的数据: 当数据以加密或者非加密形式传输和存储时,提供应用层的日志记录和监视; 监测攻击引起的数据算改: 监视处于高速网络和加密网络中的系统; 检测NIDPS无法发现的攻击。 HIDPS特有的局限性包括: 某些DoS攻击会使HIDPS失效; HIDPS将占用大量主机资源,包括主机审计日志所需的数据存储: 由于需要安装的HIDPS数量较大(至少每台主机按照一个HIDPS),安装和维护过程较为 复杂; 由于主机通常可通过更高的网络层分配地址,因此无法在“隐身模式”下使用; 无法识别针对其他主机或网络的攻击
GB/T 284542020
图A.2分层入侵检测和防御架构
在图A.2中,将低层级的分析和关联组件的输出汇总后,输入更高层级的组件中进行更高层级的 分析和关联。参考其他多层应用程序基础设施,可在多个位置执行所需的相关功能。 与分层架构不同,集中式架构将收集的原始数据发送到单个组件进行分析和关联。此方法设计简 单,但可扩展性差,只适用于小规模网络中。 更多可扩展的架构如下:尽早减少原始数据,在分散的组件中执行某些IDPS任务后,将相关事态 专输到下层组件,形成组件链,以此类推,最终仅将相关事态或报警传递到核心部件。此类架构中间 等涉及一些非常复杂的任务(例如,此类可扩展架构就需要配置过滤器以及相关的分析和关联组件,并 通过攻击指示找到到达核心部件的方法,从而发出报警)
IDPS的有效管理有助于组织有效和高效的部署网络基础设施。为使IDPS有效运行,需注 6.2中IDPS管理的各个方面
则和防御的目的,其主要包括检测功能的配置管理和响应功能的配置管理,
A.6.2.2检测功解
直协、通还误用模式和正带用 行为。
A.6.2.3响应功解
响应功能的配置管理主要是安全报警时系统采取的措施,包括控制各种响应机制(如声音报警
GB/T284542020
A.6.2.4安全服务管理
要根据用户证书来设定用户对IDPS的访问(包括对配置参数、审计日志以及与安全事态相关信息 河)权限。
A.6.2.5与其他管理系统的集成
IDPS管理不可孤立的去进行,需要融人到组织的IT环境中,与其他管理如网络管理、系统管理和 安全管理结合起来使用如通过与网络管理、系统管理和(或)安全管理系统的安全接口,或与其他管理 系统集成成为管理系统不可或缺的一部分」。此时,需实施部分检测功能(如访问目志)和部分响应功 能,以便更好的与其他管理相结合
A.6.2.6管理操作的安全
A.6.2.6.1总则
为防止入侵者访向同IDPS的信息或控制IDPS的资源,需要保护IDPS管理操作的安全,主要包括管 理服务的鉴别、完整性、机密性和可用性。 需要根据所要求的高安全级别安全策略(与其他管理系统所要求的安全策略相比较)对拥有IDPS 管理特权的系统进行配置。同时需注意HIDPS的管理特权蒲洞: HIDPS传感器拥有的主机操作系统特权洞,可产生更为产重的安全痛洞并损害运行IDPS 代理的主机; 一HIDPS的管理特权安全漏洞(易被忽略),在监视主机上执行攻击响应选项。 需保持对事态检测器和传感器的持续监视,以确保事态检测器和传感器的正确操作和运行(事态检 则器将来自传感器的信息发送到检测分析部分),不会导致误报(如错误的安全感应)或涌报(如传感器 失效,中央系统未发现此故障故中央系统将不会向中央管理员发送报警)等情况的发生
A.6.2.6.2鉴别
A.6.2.63完整性
A.6.2.6.4机密性
需保护管理操作以避免机密性攻击
A.6.2.6.5可用性
管理服务的可用性不可受相关攻击(针对网络基础设施、IDPS或监视目标)的影响。例如,当发生 拒绝服务攻击时,即使IDPS发生故障,也可对IDPS进行管理。IDPS及其管理需纳入业务连续性 管理。
在包含天量IDPS部件的分布式环境中,IDPS部件的有效控制和管理对实现人侵检测和防御的至 关重要。图A.3提供了一个实现分层管理模型的示例,该模型主要适用于具有较大规模网络的组织。 此模型主要缺点在于集中控制会导致单点失效(某些环境中可能无法接受)。同时,其也向攻击者提供 了一个单一的攻击点,使得攻击者可延迟IDPS对攻击的检测,并阻止IDPS响应
在分层模型中除了使用一对多,还可使用如下管理关系集合: 一多对多:多个管理控制台能管理多个分布式代理: 一一对一:一个管理控制台能管理一个代理。
图 A.3入侵检测管理模型
部署IDPS时,效率是需要考虑的要素之一。评价IDPS效率的相关指标有: 准确性:当IDPS把活动误认为攻击(如误报)或者IDPS把攻击误认为合法的活动(如漏报) 时,就会出现误差。具体来说,准确性主要通过IDPS误报和漏报的数量与事态总数的比率来 表示,其是重要的安全策略参数,表示分析执行情况的偏差。 性能:主要是指收集、存储和处理审计事态的速度,只有性能较好时IDPS才可做到的实时检 测。但需注意,IDPS本身也会增加网络的负载。 “全面性:当IDPS无法检测到攻击时就会出现不全面性。具体的,全面性主要通过IDPS可检 测攻击的种类多少表示,因为无法列出所有攻击,所以此项指标比其他几项指标难以评估。 容错性:主要是指IDPS自身抵抗攻击尤其是拒绝服务攻击的能力。IDPS运行于商用操作系 统或硬件之上,因此易受到攻击。 及时性:主要是指IDPS分发分析报告的速度,及时性越好,IDPS响应速度就越快,从而使安
GB/T284542020
全负责人可在遭受重大损害前做出响应CECS 538-2018-T 建筑用找平腻子应用技术规程,并阻止攻击者破坏数据、数据源或IDPS。
功能是部署IDPS时另一个需要考虑的要素,主要包括: 在加密或交换环境中使用:HIDPS主要部署在主机上,可以避免在加密和交换环境中部署 NIDPS面临的挑战,从而较好的适应加密和交换环境。 检测攻击:NIDPS在攻击发生时通过提供数据来检测恶意和可疑的攻击(如拒绝服务攻击), 并实时检测以提供更快速的通知和响应。其主要检测基于主机未发现的相关攻击(如基于IP 的拒绝服务攻击和分段包攻击,其仅可通过查找包头识别)。 综合分析基于主机和基于网络的数据:IDPS通过集成主机和网络组件,可综合利用基于主机 和网络的数据源。正如8.1中的讨论,NIDPS和HIDPS各自有其优缺点,可以相互补充。因 此,基于主机的和基于网络的人侵检测和防御技术可结合起来分析,以增强信息系统防御。
A.7.4IDPS部署和操作人员
A.7.5实施中其他考虑
考虑实施、操作、集成和选择IDPS时,需要考虑的其他因素包括 用户接口。 网络传感器的布局,即网络传感器需灵活放置以支持检测和响应策略(如检测攻击的外部防火 墙)。 系统故障容错,主要考系统完整性和防范可能的攻击,从而提高安全性和可用性。同时,建
A.8.1入侵检测和隐私
A.8.2入侵数据的共享
人侵数据和IDPS使用经验的共享对IDPS所有使用组织都是非常有用的,可帮助相关使用组织对 入侵的早期进行预警、了解新型人侵的信息以及改进其IDPS操作。 目前,人侵公共知识的重要性已不言而,为有效利用与共享人侵公共知识,净化侵的信息来源 和IDPS的使用信息(即使信息暨名),可在收集相关匿名知识和信息的基础上,参与合作构建人侵数据 军,用于: 一整合有关脆弱性配置、入侵类型和如何利用这些配置等相关信息: 一处理关于入侵样本的信息,以便在先决条件、影响、踪迹、困难、补救措施等方面对入侵类型做 出正确的说明: 一存储不同入侵类型的数据,共享不同入侵类型之间的差异; 一确保支持新的入侵描述的结构化格式:
GB-T 18362 直燃型溴化锂机组GB/T284542020