[第五讲入侵检测技术讲解图示.pptVIP

5.4.1 IETF/IDWG IDWG定义了用于入侵检测与响应（IDR）系统之间或与需要交互的管理系统之间的信息共享所需要的数据格式和交换规程。 IDWG提出了三项建议草案：入侵检测消息交换格式（IDMEF）、入侵检测交换协议（IDXP）以及隧道轮廓（Tunnel Profile）。 返回本章首页 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 5.4.2 CIDF CIDF的工作集中体现在四个方面：IDS的体系结构、通信机制、描述语言和应用编程接口API。 CIDF在IDES和NIDES的基础上提出了一个通用模型，将入侵检测系统分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库。其结构如图5-15所示。 返回本章首页 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 返回本章首页 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 5.5 入侵检测系统示例 为了直观地理解入侵检测的使用、配置等情况，这里我们以Snort为例，对构建以Snort为基础的入侵检测系统做概要介绍。 返回本章首页 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 5.5.1 Snort简介 Snort 是一个开放源代码的免费软件，它基于libpcap 的数据包嗅探器，并可以作为一个轻量级的网络入侵检测系统（NIDS）。 Snort具有很多优势： 代码短小、易于安装、便于配置。 功能十分强大和丰富 集成了多种告警机制支持实时告警功能 具有非常好扩展能力 遵循GPL，可以免费使用 返回本章首页 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 5.5.2 Snort的体系结构 Snort在结构上可分为数据包捕获和解码子系统、检测引擎，以及日志及报警子系统三个部分。 1．数据包捕获和解码子系统 该子系统的功能是捕获共享网络的传输数据，并按照TCP/ IP协议的不同层次将数据包解析。 2．检测引擎 检测引擎是NIDS实现的核心，准确性和快速性是衡量其性能的重要指标。 返回本章首页 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 5.2 入侵检测的技术实现 对于入侵检测的研究，从早期的审计跟踪数据分析，到实时入侵检测系统，到目前应用于大型网络的分布式检测系统，基本上已发展成为具有一定规模和相应理论的研究领域。入侵检测的核心问题在于如何对安全审计数据进行分析，以检测其中是否包含入侵或异常行为的迹象。这里，我们先从误用检测和异常检测两个方面介绍当前关于入侵检测技术的主流技术实现，然后对其它类型的检测技术作简要介绍。 返回本章首页 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 5.2.1 入侵检测分析模型 分析是入侵检测的核心功能，它既能简单到像一个已熟悉日志情况的管理员去建立决策表，也能复杂得像一个集成了几百万个处理的非参数系统。入侵检测的分析处理过程可分为三个阶段：构建分析器，对实际现场数据进行分析，反馈和提炼过程。其中，前两个阶段都包含三个功能：数据处理、数据分类（数据可分为入侵指示、非入侵指示或不确定）和后处理。 返回本章首页 Evaluation