入侵检测系统--8指南.docVIP

中国人民解放军信息工程大学教案 （ 200—20010学年学期） 主讲教员： 所在单位： 电子技术学院303教研室 课程性质： 课程学时： 0 授课对象： 使用教材： 《》 著 信息工程大学训练部制表 第次课 章节名称 目的要求 主 要 内 容 与 时 间 概 算 序号 主要内容 时间概算 1 3 40分 4 小结 5分 共计 100分 重点 难点 重点： 难点： 方法 手段 讲解、图示、启发 课 堂 提 问 本 次 课 内 容 总 结 主机入侵检测方法 基于网络的数据源的获取 思 考 题 作 业 题 课后思考： 课后作业： 参考 资料 参考教材《》清华大学出版社 填表说明：1.该表供主讲教员备课使用，每次课均应按表中所列内容填写，各次课构成一门课教案的整体；2.表中相关项目内容的详略程度由主讲教员酌情掌握；3.该表可书写或电脑录入，书写字迹应工整，电脑录入应按格式中显示的字体、字号（仿宋GB2312小四）填写，外语可用Times New Roman字体。 授　课　内　容 幻灯[DIDS系统设计的目标环境是一组经由以太网连接起来的主机，并且这些主机系统都满足C2等级安全审计功能要求。DIDS所要完成的任务是监控网络中各个主机的安全状态，同时检测针对局域网本身的攻击行为。] DIDS的系统设计架构如图所示。因为DIDS要同时完成检测主机和网络安全状态的任务，所以，系统同时采用了网络数据和主机审计数据两种数据来源。 幻灯[DIDS系统主要包括3种类型的组件：主机监控器、局域网监控器和中央控制台。] 主机监控器位于每个需要进行安全监控的主机系统上。 而局域网监控器负责分析网络上发生的主机活动信息，整个局域网环境中只需要一台局域网监控器。主机和局域网监控器各自独立地与中央控制台进行通信联系。 幻灯[DIDS早期系统中采用的通信协议是ISO通用管理信息协议（Common Management Information Protocol,CMIP），该协议允许控制台与各个监控器组件之间进行双向的通信过程，即控制台既可以发送查询命令（如GET），来获取监控器的相关详细信息，又可以发送控制命令(如SET)，来设置监控器的配置信息等。]介绍各组件。 主机监控器 幻灯[主机监控器由主机事件发生器(Host Event Generator,HEG)和主机代理组成。HEG组件负责从所在主机系统中收集审计记录，并对其进行安全分析。而主机代理则负责与中央控制台的通信联系。] 主机监控器的结构如图。监控器包括事件发生器，首先负责从主机系统中读取C2审计数据文件，获取审计记录，然后将这些审计记录映射到DIDS系统定义的规范格式HAR（Host Audit Record）上。之后，将这些统一格式的记录进行必须的过滤操作以去除冗余后，再进行各种分析检测工作，生成不同的异常事件报告。再交由主机代理发送到中央控制台。 同时，控制台也可以通过主机代理，对用于安全分析的模式库进行修改和调整操作，一边更好地执行分析逻辑。 局域网监控器 与主机监控器类似，幻灯[局域网监控器由局域网事件发生器(LAN Event Generator ，LEG)和局域网代理组成。局域网事件发生器LEG负责观察网段内的所有来往数据包数据，并检测主机间网络连接，以及服务访问情况的安全状态，包括每个连接内的数据流量等。局域网代理将所发现的异常事件发送到中央控制台，同时接受控制台的控制命令，负责提供更进一步的详细信息。] 幻灯[与主机检测组件不同的是，对于LEG组件而言，并没有现成的审计记录可用，因此LEG组件必须从当前网络数据包中构建所需的网络审计记录（Network Audit Record,NAR）。LEG组件主要审计主机之间的连接、所访问的服务类型以及每个连接的数据流量情况。] 【LEG组件采用多个简单分析手段来分析构建好的NAR记录，包括检测敏感的服务访问情况，以及未安装安全检测组件的主机活动情况等。同时。LEG还建立和维护当前网络行为的正常模型，并检测当前网络使用情况与正常模型的偏离情况。】 控制台 幻灯[控制体主要包括各部分：通信管理器（Communication Manager）、专家系统、用户接口。] 幻灯[通信管理器：主要任务是提供专家系统和用户接口与底层各个监控器之间的双向通信通道。]具体来说，专家系统可以通过通信管理器要求底层监控器提供更多的事件记录信息。同时，通信管理器负责将返回的记录提交给专家系