通过协作控制操作系统和应用程序中的信息流实现安全策略配置的入侵检测

通过协作控制操作系统和应用程序中的信息流实现安全策略配置的入侵检测纪尧姆·海特引用此版本：纪尧姆·海特。通过协作控制操作系统和应用程序中的信息流来检测安全策略参数化的入侵：在Linux上为Java程序实现。其他[cs.OH]。雷恩第一大学，2008年。法语。NNT：电话：00355089HAL ID：电话：00355089https://theses.hal.science/tel-003550892009年1月22日提交HAL是一个多学科的开放存取档案馆，用于存放和传播科学研究论文，无论它们是否被公开。论文可以来自法国或国外的教学和研究机构，也可以来自公共或私人研究中心。L’archive ouverte pluridisciplinaire论文标题：通过协作控制操作系统和应用程序中的信息流实现安全策略配置的入侵检测论文呈现在雷恩第一大学前以获得学位：雷恩第一大学博士提及：信息学通过纪尧姆·海特欢迎团队博士学校：马蒂斯大学部分（UFR）：SUPELEC2008年12月19日在审查委员会上答辩评审团组成：– ThomasJensen先生评审团– HervéDebar先生– MathieuJaume先生– Yves Correc先生评审团– JacobZimmermann先生陪审团– Valérie Viet TriemTong女士博士论文联合主任– LudovicMé博士生导师否第3829号命令从论文ii.目录1最新技术水平51.1入侵检测 . . . . . . . . . . . . . . . . . . . . . . . ...51.1.1 IDS的经典体系结构... ... ... ... ... ... ... ... ... ... ... ... ... ... ...61.1.1.1传感器 . . . . . . . . . . . . . . . . . . . . .71.1.1.2 . . . . . . . . . . . . . . . . . . . .81.1.1.3经理。 . . . . . . . . . . . . . . . . . . ...91.1.2行为方法 . . . . . . . . . . . . . . . . ...101.1.2.1通过学习生成的配置文件。 . . . . . . . . ...101.1.2.2通过行为规范建模方案. . . . . . . . . . . . . . . . . . . ...121.1.2.3安全策略设置方法121.2信息流的控制 . . . . . . . . . . . . . . . . . . ...161.2.1静态方法 . . . . . . . . . . . . . . . . . . . . ...161.2.1.1计划认证和网格策略 171.2.1.2无干扰 . . . . . . . . . . . . . . . . . ...201.2.1.3信息流控制系统类型。 . . . . . . . . . . . . . . . . . . . . . . .251.2.1.4将其付诸实践。 . . . . . . . . . . . . . . . . ...291.2.1.5关于信息流静态控制的报告 351.2动态方法。 . . . . . . . . . . . . . . . . . . ...371.2.2.1外部监视器控制 . . . . . . . . . ...411.2.2.2通过仪器进行控制。 . . . . . . . . . ...421.2.2.3关于信息流动态控制的报告白痴。 . . . . . . . . . . . . . . . . . . . . . .481.2.3信息流控制总体评估 . . ...491.3最新技术水平的评估。 . . . . . . . . . . . . . . . . . . . . . . ...512入侵检测模型的建议2.1内容、容器和信息流......................................................................................2.1.1信息容器.............................................................................................2.1.2内容552.1.3命令、跟踪和信息流.........................................................................2.1.3.1信息流.................................................................................2.1.3.2命令和基本信息流 .59iii.四目录2.1.3.3执行跟踪和复合信息流612.2信息流的政治。 . . . . . . . . . . . . . . . . . ...622.2.1定义 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...632.2.1.1信息流政策和CCAL。 . . ...632.2.1.2违反了信息流政策632.2.2创建和删除容器 . . . . . . . . . . ...652.2.3信息流策略的初始化 . . . ...652.2.4访问控制矩阵的解释。 . . . . ...662.2.5安全标签. . . . . . . . . . . . . . . . . . . . . . ...672.3检测系统的模型。 . . . . . . . . . . . . . . . . . ...692.3.1对象。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ...692.3.2过渡流. . . . . . . . . . . . . . . . . . . . . ...702.3.3系统和过渡 . . . . . . . . . . . . . . . . . . . ...712.3.4传播安全标签的规则 . . . . . . . . ...752.4入侵检测 . . . . . . . . . . . . . . . . . . . . . . . ...782.4.1入侵检测定理。 . . . . . . . . . . . ...782.4.2讨论。 . . . . . . . . . . . . . . . . . . . . . . . . . ...813实施和实验853.1通用体系结构。 . . . . . . . . . . . . . . . . . . . . . . ...863.1.1安全标签的管理。 . . . . . . . . . . . . . . . ...873.1.2观察信息流. . . . . . . . . . . ...903.1.3信息流的控制. . . . . . . . . . . . . ...913.1.4信息流的协作控制原则913.2砰的一声。. ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ... ... ... ... ... ... ...953.2.1建筑学。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...973.2.1.1调查。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...973.2.1.2分析器。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...983.2.1.3安全标签管理器 . . . . . . . . ...983.2.2其他服务 . . . . . . . . . . . . . . . . . . . . . . . ...993.2.3策略的初始化。 . . . . . . . . . . . . . . . ...1003.3Jblare . ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ... ... ... ... ... ... ...1003.3.1动机。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1003.3.2实施方案的选择 . . . . . . . . . . . . . . . . . . ...1043.3.3建筑学。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...3.3.3.1考虑的信息容器和 . . . . . . . . . . . . ...1111113.3.3.2对象和类字段的仪器化1133.3.3.3对象和类方法的仪器化3.3.3.4与Blare 116合作4实验结果4.1检测............................................................................................................4.1.1自动策略初始化和攻击玩具服务器4.1.2对phpwiki 124的攻击目录五4.1.3125号码头的袭击4.2分类1264.3协作检测4.4产生的额外费用的评估4.4.1Blare 129的影响4.4.2JBlare 130的影响4.5131号放款记录六目录图表1.1检测IDS 6时出错..........................................................................................1.2IDS 7的经典架构..........................................................................................1.3用于动态控制的不同类别的解决方案信息流..........................................................................................................2.1系统初始状态的建模示例..........................................................................2.2具有多个源的信息流示例602.3容器修改示例..............................................................................................2.4信息流示例..................................................................................................2.5系统状态的演化..........................................................................................3.1入侵检测机制的最低规范通过控制信息流..........................................................................................3.2集中式体系结构3.3协作体系结构933.4Blare/JBlare 96原型的架构3.5Blare 97的架构3.6Blare 102对内部流动的解释3.7有效实现的内部信息流............................................................................3.8JBlare 110的类图七八、图表图片列表4.1配置测试环境的DAC访问权限4.2观察到的策略1和2的警报九x表列表简介信息系统现在可供大多数个人和组织（经济、社会、政府等）使用。我们的社会。它们广泛利用信息处理系统提供的可能性，L’importance prise par lesdifférents outils permettant l’échange et le此外，这些系统的故障可能在经济、卫生、社会、军事等方面产生严重后果这些故障可能是意外的，也可能是由恶意人员的操作引起的。计算机安全通过定义保护系统安全的第一步是定义安全策略。它由规则组成，以确保安全属性应用于所D’après la– 保密性：不得将信息透露给未经授权的用户;– l’intégrité– 可用性：信息必须可供任何授权用户访问此属性也适用于系统元素。 以及向系统的用户提供服务的网络中的那些。第二步是实施此安全策略。 在系统中。可以考虑两种类型的– 预防性方法实施组织和技术措施，以确保政策的属性将得到有效验证例如，这包括12图片列表– 审核和检测方法试图确定入侵的发生，即违反安全策略定义的机密性、完整性或可用性属性因此，这些都通常采用各种预防性方法来保护系统的数据然而，经验表明，这些办法往往是不够的。因此，还需要使用审计和检测方法恶意用户的行为，其目的是导致系统故障，由术语攻击定义。成功的攻击会导致违反安全策略的入侵这些入侵可能是由于系统中存在的缺陷（称为漏洞）。这些可能出现在系统生命周期的不同阶段：设计阶段、实施阶段、部署和配置阶段，或者系统在这项工作中，我们只对安全策略的机密性和完整性方面感兴趣，而可用性被认为超出了本研究的范围这些性质的验证可能相当复杂。事实上，仅仅还必须确保合法用户（或更准确地说，代表这些合法用户运行的计算机程序）不会将受这需要跟踪系统内的信息流用于保护信息系统的方法和机制在本文中，我们对使用Web应用程序的信息系统感兴趣这种类型这一成功的原因之一是事实上，许多服务都可以使用Web客户端访问后者是一种轻量级且广泛的应用程序由于这种流行，针对这种类型系统的攻击数量在这些系统中实施隐私和完整性策略是一项复杂的– 这些系统包括在不同级别上协作的多个软件组件提供"端到端"安全性是困难的，因为这意味着– 大多数软件组件，尤其是服务器和操作系统从这些组件的设计开始，并不总是考虑IT安全性，组织表3列表部署这种类型系统的公司通常以有限的方式为了解决安全问题，这些组织通常满足于为这些组件实施安全修补程序管理。由于经济原因，完全重写– 一些软件组件可以专门在内部开发以满足其自身的需要，特别是在业务应用程序级别。虽然组织可以完全控制这些组件的开发，但实际上，这些组件往往比COTS更容易受到攻击。– 这些系统通常对应于商业应用。在这种情况下，拒绝合法用户的访问可能导致比系统攻击更大的经济损失。这一要求限制了安全系统的从我们的角度来看，系统的复杂性和多个应用程序协作产生的信息流的复杂性促进了对此类系统的攻击此外，现在的攻击以应用程序逻辑为目标这些攻击会导致入侵，其特征是应用程序内部的非法信息流因此，有时需要跟踪应用程序的内部信息容器（本地视图）之间的低粒度信息流此外，某些攻击场景因此，还需要跟踪系统中不同应用程序之间的信息流一些复杂的攻击会产生这两种类型的信息流因此，有必要将这两个级别的信息流监测结合起来为了– 安全策略的控制必须基于跟踪信息流的方法。这种方法必须考虑到信息流的不同粒度级别。特别是，它必须同时处理应用程序内部的流和应用程序之间的流。– 必须使用由流策略参数化的入侵检测机制来动态地执行对信息流的监视– l’implémentation 它应需要最少的修改，以确保与现有COTS应用程序的兼容性它还必须最大限度地减少后续行动的额外费用。4图片列表信息的流动为实现这些目标，我们建议采取以下方法：– 我们定义了一个正式的入侵检测模型，该模型由基于该模型的与作者的工作相比此模型将信息容器与其内容区分开来它模拟了在它验证了所– 我们定义了一个通用体系结构来实现所为了考虑不同级别的粒度，该体系结构定义了与相互协作的不同实现相对应的不同级别的跟踪和检测。– 我们提出了一个通用体系结构的实现，它基于现有的IDS Blare和新的原型JBlare，前者跟踪应用程序之间的信息流，后者跟踪Java应用程序– 我们通过进行实验来验证我们的方法，以评估我们的本备忘录的组织方式如下：第1章介绍了入侵检测和信息流控制领域的现有在第2章中，我们提出了一个由安全策略参数化的入侵检测模型然后，在第3章中，我们将介绍所选择在结束之前，我们将在第4章中介绍和分析我们的实验结果。第一章最新技术水平在这里，我们介绍了与我们的方法相关的先前工作。本文提出了一个安全机制的模型和实现，该安全机制– 检测入侵，即违反安全策略的情况。第1.1节中介绍的这一领域侧重于– 对信息流的控制。第1.2节介绍的这一领域侧重于实现1.1入侵检测入侵检测诞生于20世纪80年代初，是由于需要将计算机系统审计任务自动化[And80，Den87，Lun88]。事实上，恶意用户有时有可能绕过预防机制，从而违反这些机制实施的安全策略这种违反策略的行为通常会对系统产生副作用。因此，系统管理员有责任定期分析系统的状态，并确保系统没有受到此审核任务入侵检测的目标是自动执行审核任务。从理论上讲，这是一个自动检测违反安全策略（称为入侵）的问题。然而，在实践中，当前的工具不是由策略直接配置的。此外，此外，检测算法的相对幼稚导致了大量56第一章最新技术水平伪造的否定的假阳性情景方法非法行为行为模式伪造的阳性法律行动行为方法假阴性F. IG. 1.1有意义的警报实际上是由假警报或误报组成的最后，某些入侵可能无法检测到。这就是所谓的假阴性。图1.1显示了两种入侵检测方法的误报和误报概念，这两种方法将在1.1.1.2节中为了使入侵检测器或IDS（入侵检测系统）合格，我们感兴趣的是其可靠性，即其对任何违反安全策略的行为发出警报的能力，以及其相关性，即其仅在违反安全策略的情况下发出警报的可靠的IDS具有低假阴性率（理想情况下应表征为无目前的IDS既不可靠也不相关。我们认为，造成这种情况的主要原因之一是主导这些工具设计的因此，我们的目标是提出一种形式化的方法，其中IDS中实现的检测模型1.1.1IDS的经典体系结构在本小节中，我们将介绍传统上构成入侵检测系统[DDW00]的三个组件图1.2显示了这三个组件之间的相互作用传感器负责基础签名71.1.入侵检测F. IG. 1.2收集有关系统状态变化的信息，分析器确定由传感器产生的事件的子集是否是恶意活动的特征。管理器收集传感器产生的警报，对其进行格式化，并将其呈现给操作员。最终，管理者负责采取的反应然后，我们将详细介绍这三个组件。1.1.1.1传感器传感器通过数据源观察系统活动，并向分析器提供事件序列，该事件序列传感器可以简单地直接传输该原始数据，但是通常执行预处理。例如，该处理允许过滤一定数量的被认为不相关的数据，以限制随后要分析的信息量此外，传感器通常对采集的原始数据进行格式化，以便使用特定的事件格式向分析器呈现数据例如，这些功能由SNORT 1开源IDS的预处理器和解码器模块执行根据用于观察系统活动的数据源，传统上有– 收集机器操作系统生成的数据的系统传感器1小时tt p：//www. S不RT. rr g/8第一章最新技术水平使用系统传感器的IDS称为HIDS– 网络传感器，通过特定接口侦听计算机之间的网络流量来收集数据这就是NIDS（基于网络的IDS）。– 收集由用户可能与之交互的特定应用程序（如Web服务器或数据库服务器）生成的数据的应用程序L’ap- plicationL’avantage 此功能简化了检测解决方案的部署和维护，以确保被监控网络的最佳覆盖范围 此外，通过这些传感器收集数据的成本会显著降低安装它们的系统的性能。然而，人们可能会首先，网络吞吐量的增加严重限制了收集所有流量的能力NIDS制造商使用特定的硬件传感器来加速攻击，但检测核心网络中的入侵可 能 是 一 个 问 题 ， L’inspection de la totalité des paquets n’étant pasenvisageable, les IDS pour les réseaux à haut débit doivent échantillonner lesdonnées et l’analyse ne porte souvent que sur l’entête 其次，网络传感器无法分析加密流量。然而，对安全问题的逐步考虑倾向于将加密的使用推广到pro-t-o-ole-s r-s e u，r e-n d a t e-r-m e-s c t e u r-s et 最后，仅分析网络流量通常不足以确保可靠和相关地检测违反安全策略的行为，IDS无法在安全的基础上进行操作或维护[ A C F + 00]1.1.1.2分析器L’objectif已经提出了两种主要的方法– 在行为方法中– 在基于特征的方法中L’analyse consiste91.1.入侵检测签名方法是目前最常见的方法。它依赖于攻击的签名数据库。然后，检测系统包括识别观察者提供的审计跟踪中签名的存在已经提出了几种通常基于模式识别或模式匹配机制的技术。模式匹配是一种易于实现的方法。然而，困难来自于动机的定义。事实上，它们必须足够精确，以便能够区分不同类型的攻击，但也必须足够通用，过于通用的签名将导致基于场景的检测技术还需要主动的系统维护以定期更新签名数据库实际上，系统只能检测先验已知的攻击：因此，我们必须能够更新这些知识。这尤其意味着显著的维护成本。此外，还有选择签名语言的问题，目前还没有真正的理论上，这种方法应该产生很少的误报，因为系统具有关于攻击的先验我们认为，签名方法的固有局限性证明了使用行为方法的合理性，详见第我们在第2章中介绍的检测模型实际上是然而，我们可以注意到，这两种检测方法并不是排他性的，因为同一个管理器可以由实现这两种方法的分析器提供，然后com-binerl lesrultatsàlai d d u n m e c an i s e de c c o r r l at i on al e r t e s[ M M M + 01]。然而，这种可能性1.1.1.3经理管理员负责向操作员显示警报它还可以执行警报的相关功能，只要最后，它可以确保事件的处理– 攻击的遏制– 攻击根除– 恢复，这是– 诊断，这是识别问题、其原因的阶段由于当今入侵检测系统的不可靠性