第五节入侵检测.ppt

Denning 模型 （1）主体（Subjects）：在目标系统上活动的实体，如用户；（2）对象（Objects）：系统资源，如文件、设备、命令等；（3）审计记录（Auditrecords）：由如下的一个六元组构成Subject，Action，Object，Exception-Condition，Resource-Usage，Time-Stamp。活动（Action）是主体对目标的操作，对操作系统而言，这些操作包括读、写、登录、退出等；异常条件（Exception-Condition）是指系统对主体的该活动的异常报告，如违反系统读写权限；资源使用状况（Resource-Usage）是系统的资源消耗情况，如CPU、内存使用率等；时间戳（Time-Stamp）是活动发生时间；（4）活动简档（ActivityProfile）：用以保存主体正常活动的有关信息，具体实现依赖于检测方法，在统计方法中从事件数量、频度、资源消耗等方面度量，可以使用方差、马尔可夫模型等方法实现；（5）异常记录（AnomalyRecord）：由Event，Time-stamp，Profile组成。用以表示异常事件的发生情况；（6）活动规则：规则集是检查入侵是否发生的处理引擎，结合活动简档用专家系统或统计方法等分析接收到的审计记录，调整内部规则或统计信息，在判断有入侵发生时采取相应的措施。 Denning 模型 Denning模型基于这样一个假设：由于袭击者使用系统的模式不同于正常用户的使用模式，通过监控系统的跟踪记录，可以识别袭击者异常使用系统的模式，从而检测出袭击者违反系统安全性的情况。 Denning模型独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。 CIDF 为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化工作，目前对IDS进行标准化工作的有两个组织：IETF的Intrusion Detection Working Group（IDWG）和Common Intrusion Detection Framework（CIDF）。CIDF早期由美国国防部高级研究计划局赞助研究，现在由CIDF工作组负责，是一个开放组织。 CIDF CIDF阐述了一个入侵检测系统（IDS）的通用模型。它将一个入侵检测系统分为以下组件：事件产生器（Event generators），用E盒表示；事件分析器（Event analyzers），用A盒表示；响应单元（Response units），用R盒表示；事件数据库（Event databases），用D盒表示。 CIDF模型的结构如下：E盒通过传感器收集事件数据，并将信息传送给A盒，A盒检测误用模式；D盒存储来自A、E盒的数据，并为额外的分析提供信息；R盒从A、E盒中提取数据，D盒启动适当的响应。A、E、D及R盒之间的通信都基于GIDO（generalized Intrusion detection objects，通用入侵检测对象）和CISL（common intrusion specification language，通用入侵规范语言）。如果想在不同种类的A、E、D及R盒之间实现互操作，需要对GIDO实现标准化并使用CISL。 入侵检测体系结构 主机入侵检测 网络入侵检测 混合入侵检测 分布式入侵检测 主机入侵检测 主机入侵检测系统：安装在单个主机或服务器系统上，对针对主机或服务器系统的入侵行为进行检测和响应，对主机系统进行全面保护的系统。 主要优点： 性价比高 更加细腻 误报率较低 适用于加密和交换的环境 对网络流量不敏感 确定攻击是否成功 主机入侵检测 局限性： 它依赖于主机固有的日志与监视能力，而主机审计信息存在弱点：易受攻击，入侵者可设法逃避审计； IDS的运行或多或少影响主机的性能； HIDS只能对主机的特定用户、应用程序执行动作和日志进行检测，所能检测到的攻击类型受到限制； 全面部署HIDS代价较大。 网络入侵检测 网络入侵检测系统：使用原始的网络分组数据包作为攻击分析的数据源，通常利用工作在混杂模式下的网卡来实时监听整个网段上的通信业务，通过实时捕获网络数据包，进行分析，能够检测该网段上发生的网络入侵。 主要优点： 隐蔽性好 实时检测和响应 攻击者不易转移证据 不影响业务系统 能够检测未成功的攻击企图 HIDS与NIDS的主要差别 分布式入侵检测系统（DIDS） 传统的集中式入侵检测模型的缺陷： 系统的弱点或漏洞分散在网络的各个主机上，这些弱点有可能被入侵者一起用来攻击网络。 入侵行为不再是单一的行为，而是表现出相互协作入侵的特点。 入侵检测所依靠的数据来源分散化，收集原始检测数据变得困难。 网络传输速度加快，网络的流量大，集中