第八章防火墙概论.ppt

版权所有，盗版必纠 为了解决不同入侵检测系统之间的互操作性和共存性，DARPA和加洲大学Davis分校的安全实验室在1998年提出了CIDF（Common Intrusion Detection Framework）标准。其目的是为入侵检测系统定义一个通用的基础框架，使得不同部件（包括数据收集、分析和响应）能够共享信息。此外，还定义了CISL（Common Intrusion Specification Language），用于规范入侵的描述。 9.3.3 公共入侵检测框架 版权所有，盗版必纠 CIDF（公共入侵检测框架）阐述的是一个入侵检测系统（IDS）的通用模型。按功能，它把一个入侵检测系统分为四个组件，如图9.6所示。 事件产生器（Event generators）：从整个计算环境中获得事件，并向系统的其他部分提供此事件。 事件分析器（Event analyzers）：分析得到的数据，并产生分析结果。 响应单元（Response units）：对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。 事件数据库（Event databases）：是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。 9.3.3 公共入侵检测框架 版权所有，盗版必纠 9.3.3 公共入侵检测框架 版权所有，盗版必纠 CIDF将IDS需要分析的数据统称为事件，事件可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。在这个模型中，前三者以程序的形式出现，而最后一个则往往是文件或数据流的形式。以上四类组件以GIDOs(Generalized Intrusion Detection Objects，通用入侵检测对象)的形式交换数据，而GIODs通过一种用CISL（Common Intrusion Specification Language，通用入侵规范语言）定义的标准通用格式来表示。 9.3.3 公共入侵检测框架 版权所有，盗版必纠 入侵检测技术发展至今还不够成熟和完善，还有很大的研究、发展空间，而现存的问题就是今后入侵检测技术的主要研究方向。 9.4 入侵检测的发展 版权所有，盗版必纠 入侵检测系统经过这些年的发展，虽然取得了巨大进步，但是仍然存在许多有待解决的问题。 误警率高 入侵检测系统可能出现的错误类型有3种：误警（false positive）、漏报（falsr negative）、和颠覆（subversion）。误警是指入侵检测系统将一个合法的行为判断为一个异常或入侵行为；漏报是指当一个真正的入侵活动出现时，IDS把它当成一个合法的活动允许它通过；颠覆是指入侵者修改入侵检测器的操作致使出现漏报的情况。误警太多会降低入侵检测的效率，而且会增加安全管理员的负担，因为安全管理员必须调查每一个被报警的事件。消除误警可能会产生漏报，因为表面上看起来是误警的几个异常行为，综合起来可能就是一个真正的入侵行为。漏报会给人造成安全的错觉。 9.4.1 入侵检测系统存在的问题 版权所有，盗版必纠 检测速度慢 目前大多数IDS产品的检测速度比较慢，不能检测高于10Mb/s以太网的速度。因此，为了适应不断快速增长的网络速度，应用于网络入侵实时检测上的算法必须足够快，至少应能匹配目前一般的网络速度，从而提高检测率、降低漏报率。 9.4.1 入侵检测系统存在的问题 版权所有，盗版必纠 扩充性 从实用的角度看，检测算法应当易于扩充，使得新的攻击方法出现时，能够方便迅速地更新检测手段，从而检测到新的或未知形式的攻击。目前，入侵检测系统在检测算法的扩充性上还有待研究。 9.4.1 入侵检测系统存在的问题 版权所有，盗版必纠 随着网络技术的飞速发展，入侵技术也在日新月异地发展。交换技术的发展以及通过加密信道的数据通信使通过共享网段侦听的网络数据采集方法显得不足，而巨大的通信量对数据分析也提出了新的要求。总的来看，入侵检测技术的发展方向主要有以下几个： （1）分布式通用入侵检测架构：传统的IDS局限于单一的主机或网络架构，对异构系统及大规模的网络检测明显不足，并且不同的IDS系统之间不能协同工作。因此，有必要发展分布式通用入侵检测架构。 （2）应用层入侵检测：许多入侵检测的语义只有在应用层才能理解，而目前的IDS仅能检测如Web之类的通用协议，而不能处理如Lotus Notes、数据库系统等其他应用系统。 （3）智能入侵检测：入侵方法越来越多样化与综合化，尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究，但这只是一些尝试性的研究工作，仍需对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。 9.4.2 入侵检测技术的发展方向 版权所有，盗版必纠 （4）入侵检测系统