08网络信息安全技术第5章分析.ppt

图5.9 分布式入侵检测系统结构示意图 （1） 数据采集构件 收集检测使用的数据，可驻留在网络中的主机上或安装在网络中的监测点。数据采集构件需要通信传输构件的协作， 将收集的信息传送到入侵检测分析构件去处理。  （2） 通信传输构件 传递检测的结果、 处理原始的数据和控制命令，一般需要和其它构件协作完成通信功能。  （3）入侵检测分析构件 依据检测的数据，采用检测算法， 对数据进行误用分析和异常分析，产生检测结果、报警和应急信号。 （4） 应急处理构件 按入侵检测的结果和主机、网络的实际情况，作出决策判断，对入侵行为进行响应。  （5）用户管理构件 管理其它构件的配置，产生入侵总体报告，提供用户和其它构件的管理接口，图形化工具或者可视化的界面， 供用户查询、 配置入侵检测系统情况等。 采用分布式结构的IDS目前成为研究的热点，较早系统有DIDS和CSM。 DIDS（Distributed Intrusion Detection System）是典型的分布式结构。其目标是既能检测网络入侵行为，又能检测主机的入侵行为。 5.5 入侵检测系统的测试评估 5.5.1测试评估概述 入侵检测系统的测试评估非常困难，涉及到操作系统、网络环境、工具、软件、硬件和数据库等技术方面的问题。由于入侵检测技术太新，因此，商业的IDS新产品周期更新非常快。 市场化的IDS产品很少去说明如何发现入侵者和日常运行所需要的工作及维护量。同时，IDS厂商考虑到商业利益， 也会隐藏检测算法、签名的工作机制，因此，判断IDS检测的准确性只有依靠黑箱法测试。另外，测试需要构建复杂的网络环境和测试用例。由于入侵情况的不断变化，IDS系统也需要维护多种不同类型的信息（如正常和异常的用户、系统和进程行为、可疑的通信量模式字符串、对各种攻击行为的响应信息等），才能保证系统在一定时期内发挥有效的作用。 5.5.2 测试评估的内容 (1) 能保证自身的安全 和其它系统一样，入侵检测系统本身也往往存在安全漏洞。 如果查询bugtraq的邮件列表，诸如Axent NetProwler， NFR，ISS Realsecure等知名产品都有漏洞被发觉出来。若对入侵检测系统攻击成功， 则直接导致其报警失灵， 入侵者在其后所作的行为将无法被记录。因此入侵检测系统必须首先保证自己的安全性。 (2) 运行与维护系统的开销 较少的资源消耗， 不影响被保护主机或网络的正常运行。  (3) 入侵检测系统报警准确率 误报和漏报的情况尽量少。 5.3.6 入侵检测的新技术 数据挖掘技术被Wenke.lee用在了入侵检测中。用数据挖掘程序处理搜集到的审计数据，为各种入侵行为和正常操作建立精确的行为模式，这个过程是一个自动的过程，不需要人工分析和编码入侵模式。移动代理用于入侵检测中， 具有能在主机间动态迁移、一定的智能性、 与平台无关性、分布的灵活性、低网络数据流量和多代理合作特性。移动代理技术适用于大规模信息搜集和动态处理，在入侵检测系统中采用该技术，可以提高入侵检测系统的性能和整体功能。 5.3.7 其它相关问题 为了防止过多的不相干信息的干扰，用于安全目的的攻击检测系统在审计系统之外，还要配备适合系统安全策略的信息采集器或过滤器。 同时，除了依靠来自审计子系统的信息，还应当充分利用来自其它信息源的信息。在某些系统内可以在不同的层次进行审计跟踪。如有些系统的安全机制中采用三级审计跟踪，包括审计操作系统核心调用行为的、审计用户和操作系统界面级行为的和审计应用程序内部行为的。 另一个重要问题是决定攻击检测系统的运行场所。为了提高攻击检测系统的运行效率，可以安排在与被监视系统独立的计算机上执行审计跟踪分析和攻击性检测，这样做既有效率方面的优点， 也有安全方面的优点。因为监视系统的响应时间对被监测系统的运行完全没有负面影响，也不会因为其它安全有关的因素而受到影响。 总之，为了有效地利用审计系统提供的信息，通过攻击检测措施防范攻击威胁，计算机安全系统应当根据系统的具体条件选择适用的主要攻击检测方法并且有机地融合其它可选用的攻击检测方法。同时应当清醒地认识到，任何一种攻击检测措施都不能视之为一劳永逸的，必须配备有效的管理和组织措施。 对于安全技术和机制的要求将越来越高。这种需求也刺激着攻击检测技术和其理论研究的进展，还将促进实际安全产品的进一步发展。 5.4 入侵检测系统 入侵检测通过对计算机网络或计算机