混合型的入侵檢测技术.docVIP

课题名称：采用多种检测方法 的混合型入侵检测技术 课的类型：授新课 教学目标：学习多种检测方法 的混合型入侵检测技术 教学重点：多种检测方法 的混合型入侵检测技术 教学难点：多种检测方法 的混合型入侵检测技术 课时安排：2课时 教学方法：多媒体原理分析、讲授 教学过程： 一、序言 本节主要介绍IDES和NIDES系统的总体结构及各个组件的情况，重点关注两者实现多种检测方法的混合式架构设计的技术特点。 二、引入新课：采用多种检测方法 的混合型检测技术 1 系统设计架构 入侵检测专家系统（IDES）是一个混合型的入侵检测系统，使用一个在当时来说是创新的统计分析算法来检测异常入侵行为，该系统还使用一个专家系统检测模块来对已知的入侵攻击模式进行检测。 NIDES系统继承了IDES系统设计的基础思路，同时做出若干改进更新，以适应更高的用户需求。 图6－3 IDES系统设计模型 最初版本的IDES系统仅仅支持一个单独的目标主机系统，后继版本扩充了系统设计架构，从而可以支持任意数目的异构目标系统。IDES的系统设计模型如图6-3所示，可分为4个部分： 目标系统域、邻域接口、处理引擎和用户接口。 在如图6-3所示的设计模型中，IDES目标系统域通常包含一组邻域，而每个邻域又包含多台目标主机。 IDES处理引擎负责处理从目标系统域中多个邻域内获得的审计数据信息。处理引擎将接收到的审计数据分发给多个分析检测组件，并由这些检测组件对每个审计数据进行分析处理。这些检测组件又可称为“事件子系统”（Event System）。在IDES系统中实现了两个检测组件： 一个基于统计分析的方法，另外一个基于规则分析的方法。后面将对这两个检测组件加以介绍。 IDES的邻域接口是连接IDES邻域和IDES检测组件的桥梁，该接口由两部分组成： 一部分驻留在目标主机系统上（邻域客户），另一部分位于IDES处理引擎所在的本地主机上（邻域服务器）。 IDES的用户接口允许用户观察在系统中所产生和处理的任何信息，包括系统各个组件的状态和活动情况。这里用户接口独立于基本的IDES数据处理过程，其有利于进行更好的模块化设计。 图6-4 IDES系统结构 IDES系统功能结构如图6-4所示，从中可以看出各个组件之间的关系。 从IDES系统设计模型可以看出，每个组件的具体实现都可以在不用对系统架构进行基本修改的前提下加以改变，即高度模块化的设计架构允许IDES系统的底层实现结构与上层的内核功能实现分隔开来。IDES系统实际由以下功能组件构成： 邻域接口、统计异常检测器、专家系统异常检测器和用户接口。 以上的每个组件都实现为一个独立的进程，以便使用分布式并行计算技术来提供尽可能实时的入侵检测能力。 NIDES系统在总体设计上具备自己的独到特点，整个系统被设计成为一组客户机和服务器的集合，如图6-5所示。其中包括3种服务器： SOUI服务器、Analysis服务器和Arpool服务器。 其中，SOUI服务器负责实现用户接口功能，并由与之相关的7个客户机代理执行各种具体的接口功能，包括管理目标监控主机、发送警报信息等。分析服务器负责接收统计分析组件和规则分析组件的分析结果，并负责通过特定代理向SOUI服务器提供警报信息。 Arpool服务器则负责管理来自目标主机的审计数据，并提供给后继的检测组件客户进程。 图6-5 客户机/服务器模型 2 邻域接口 IDES的邻域接口定义了IDES系统与目标监控系统之间的交互接口。邻域接口包括两个主要部件： 目标系统中的客户组件（Agen）和IDES系统中的服务器组件（Arpool）。 在IDES系统中，分析处理单元被视为Arpool组件的客户。二者之间的通信都是基于RPC机制。每个客户组件（统计分析组件和专家系统组件）都可以使用RPC过程从Arpool中获取审计数据，然后处理它们，最后将其从Arpool中删除。 3 统计分析组件 IDES统计异常检测引擎观测在所监控计算机系统上的活动行为，自适应地学习主体的正常行为模式。 IDES统计异常检测引擎维护一个主体的统计知识库，其中包含主体的档案。 IDES中所使用的用来确定一个行为是否异常的推导进程是建立在统计数值的基础上的，这些统计值由动态调节的参数来控制，其中的许多参数是针对特定主体类型的。被审计的活动用一个经计算所得的入侵检测变量向量来描述，对应于在档案中记录的测量值。IDES评价整个使用行为模式，而不是仅仅