入侵检测系统的数据源.ppt

* * * * * * 事件日志格式： 1．类型： 1）错误：重要问题，如数据丢失或功能丧失。 2）警告：不是非常重要但将来可能出现问题的事件。如磁盘空间较小，则会记录一个警告。 3）信息：描述应用程序、驱动程序或服务的成功操作事件。例如当成功地加载网络驱动程序时会记录一个信息事件。 4）成功审核：审核安全访问尝试成功。例如，将用户成功登录到系统上的尝试作为“成功审核”事件记录下来。 5）失败审核：审核安全访问尝试失败。例如，如果用户试图访问网络驱动器失败，该尝试就会作为“失败审核”事件进行纪录。 2．日期： 3．时间： 4．来源：事件的生成者。 5．分类：对事件的分类，如系统事件、特权使用、登录/注销等 6．事件：事件ID，表示事件唯一。 7．用户：用户名称。 8．计算机：计算机名称。 对事件日志的保存： 如果以日志文件格式存档日志，则可以在事件查看器中重新打开它； 另存为事件日志文件（*.evt）的日志将保留所记录的每个事件的二进制数据； 如果把日志存档为文本或逗号分隔的格式（分别为*.txt和*.csv），则可以在文字处理或电子表格之类的其他程序中重新打开日志； 以文本或逗点分隔的格式存储的日志文件不保留二进制数据。 将日志文件存档时，不管筛选选项如何，整个日志都被保存。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 入侵检测流程 * 构建分析器 保存已输入数据的模型 无论采用哪种方法，输入数据的模型都应该被存储到预定的位置 输入数据的模型包含了所有的分析标准，事实上也包含了分析引擎的实际核心。 入侵检测流程 * 分析数据 ????? 输入事件记录 ??????事件预处理 ??????比较事件记录和知识库 产生响应 入侵检测流程 * 分析数据 输入事件记录：收集信息源产生的事件记录，这样的信息源可能是网络数据包、操作系统审计记录或应用日志文件，并且这些信息源都必须是可靠的。 事件预处理 对于误用检测，事件数据通常都转换成典型的表格，表格相当于攻击信号的结构。 在异常检测中，事件数据通常被精简成一个轮廓向量，行为属性用标识来表示。 入侵检测流程 * 分析数据 比较事件记录和知识库:对格式化的事件记录和知识库的内容进行比较。如果记录指示一次入侵，那么就可以记入日志；如果记录没有指示，分析器就简单地接受下一个记录。 在误用检测中，预处理事件记录被提交给一个模式匹配引擎。如果模式匹配器在攻击信号和事件记录中找到一个匹配，则返回一个警告；如果找到一个部分匹配，则可能被记录或缓存在内存中，等待进一步的信息以便做出更明确的决定。 在异常检测中，比较用户会话行为轮廓内容与其历史轮廓，依靠分析方案进行判定。如果用户行为与历史行为是足够相关的，则指示不是一次攻击；如果判断用户行为是异常的，则返回一个警告。 入侵检测流程 * 分析数据 产生响应 如果事件记录是相应于入侵或其他重要行为的，则需要返回一个响应。 响应的性质依靠具体分析方法的性质。 响应可以是一个警报、日志条目，或者是被入侵检测系统管理员指定的一些其他行为。 入侵检测流程 * 反馈和更新 反馈和更新是一个非常重要的过程。 在误用检测系统中，反映这个阶段的主要功能是攻击信息的特征数据库是否可以更新。每天都能够根据新攻击方式的出现来更新攻击信息特征数据库是非常重要的。许多优化的信号引擎能够在系统正在监控事件数据，没有中断分析过程的同时，由系统操作员来更新信号数据库。 在异常检测系统中，依靠执行异常检测的类型，历史统计特征轮廓被定时更新。例如，在第1个入侵检测系统IDES中，每天都进行特征轮廓的更新。每个用户的摘要资料被加入知识库中，并且删除最老的资料。 入侵检测流程 * 告警与响应 在完成系统安全状况分析并确定系统所存在的问题之后，就要让人们知道这些问题的存在，在某些情况下，还要另外采取行动。在入侵检测处理过程模型中，这个阶段称之为响应期。 理想的情况下，系统的这一部分应该具有丰富的响应功能特性，并且这些响应特性在针对安全管理小组中的每一位成员进行裁剪后，能够为他们都提供服务。 被动响应是系统仅仅简单地记录和报告所检测出的问题。 主动响应则是系统要为阻塞或影响进程而采取行动。 入侵检测流程 * 对响应的需求 用户依靠入侵检测系统对海量的系统事件记录数据进行复杂而准确的分析。最终，他们希望系统可靠而精确地运行，并且在相应的时刻直接将分析的结果以易于理解的术语形式传送给最需要它的有关人员。 入侵检测系统的用户分成三类 网络安全专家或管理员 系统管理员 安全调查员 入侵检测流程 * 对响应的需求 操作环境：入侵检测系统所提供的信息形式依赖其运行环境