ch5_入侵检测技术.ppt

(1)主体(subjects)；在目标系统上活动的实体，如用户。 (2)对象(objects)：指系统资源，如文件、设备、命令等。 (3)审计记录(Audit records)：内主体、活动(Action)、异常条件(Exception—Condition)、资源使用状况(Resource—Usage)和时间戳(Time Stamp)等组成。其中活动是指主体对目标的操作。异常条件是指系统对主体该活动的异常情况的报告。资源使用状况是指系统的资源消耗情况。 (4)活动档案(Active Profile)：即系统正常行为模型，保存系统正常活动的有关信息。在各种检测方法中其实现各不相同。在统计方法巾可以从事件数量、频度、资源消耗等方面度量。 (5)异常记录(Anomaly Record)：由事件、时间戳和审计记录组成，表示异常事件的发生情况。 (6)活动规则(Active Rule)：判断是否为入侵的推则及相应要采取的行动。 一般采用系统正常活动模型为准则，根据专家系统或统计方法对审计记录进行分析处理，在发现入侵时采取相应的对策。 基于主机型（HIDS） 早期入侵检测系统结构，检测的目标是主机系统和系统本地用户， 检测原理是根据主机的审计数据和系统日志文件发现可疑事件。检测 系统运行在被检测的主机上。 基于主机型（HIDS） 主要优点： 既可以检测到远程入侵，也可以检测到本地入侵。 可以看到基于网络的IDS看不到的、发生在主机上的事件。 只要信息源生成于数据加密之前或者数据解密之后，就可以在网络流量加密的环境下正常工作。 不受交换式网络的影响。 通过处理操作系统的审计记录，可以检测出特洛伊木马或者其它有关软件完整性破坏的攻击。 主要缺点： 可以使用系统特权或调用比审计本身更低级的操作来逃避审计。 检测范围只限于主机。 或多或少影响服务器的性能。 只能对服务器的特定用户、特定应用程序执行操作，能检测到的攻击类型受限制。 可管理性差，因为不同的系统使用不同的操作系统。 它和应用程序共用系统资源，其自身也可能被攻击而瘫痪。 基于网络型（NIDS） 单独依靠主机审计信息进行入侵检测难以适应网络安全的需求，从 而提出了基于网络的结构，根据网络流量、单台或多台主机的审计数 据检测入侵。 基于网络型（NIDS） 主要优点： 可以监控多台主机。 对现有网络的影响比较小。基于网络的入侵检测系统只是被动地监听网络流量，不妨碍网络的正常运行。 基于网络的入侵检测系统可以设计成非常健壮，有时攻击者根本看不到它的存在。 服务器平台相对独立，配置简单，能适应众多的攻击模式。 主要缺点： 在高速网络上，可能会处理不了所有的数据包，从而有的攻击可能会检测不到。 在交换式网络中，交换机把网络分成多个小片段，一般不提供通用的监控端口，从而限制了传感器的监控范围。 不能分析加密信息。 多数系统不能确定一次攻击是否成功，只能检测出攻击者使用某种方法进行攻击。 一些系统在处理碎片包的网络攻击时可能会导致入侵检测系统运行不稳定，甚至崩溃。 基于应用型 是基于主机的入侵检测系统的一个特殊子集。它分析由应用程序生成的事件，常用信息源是应用程序生成的记录文件。由于具有对特定应用程序的知识，还与应用程序有直接接口，因此可以发现用户超越自己的权限的可疑行为。 主要优点 可以监控应用程序和用户之间的操作，有能力检测出哪个用户超越自己的权限。 一般可以在加密环境下运行。因为它和应用程序的接口一般是数据传输处理过程的终点，提交用户的数据必须是非加密的。 主要缺点 由于应用程序的记录文件受到的保护没有操作系统的审计记录受到的保护紧密。所以，该系统比基于主机的系统更容易受到攻击。 由于系统只监控应用层和用户层的事件，所以它不能检测出特洛伊木马。 因此，它一般是与基于主机或者网络的入侵检测系统相结合。 分布式IDS（DIDS） 美国普度大学安全研究小组首先提出了基于主体的入侵检测系统软件结构，其主要方法是采用相互独立并独立于系统而运行的进程组，这些进程被称为自治主体。通过训练这些主体，并观察系统行为，然后将这些主体认为是异常的行为标记出来。 基于状态迁移分析的误用检测 简单示例——在一分钟内如果登录失败的次数超过4次，系统便发出 警报。 其中竖线代表状态转换，如果在状态S1发生登录失败，则产生一个标 志变量，并存储事件发生时间T1，同时转入状态S2。如果在状态S4时 又有登录失败，而且这时的时间T2-T160秒，则系统转入状态S5，即 为入侵状态，系统报警。 （1）检测大范围的攻击行为 传统的基于主机的IDS只能对单个主机的行为或状态进行监测，基 于网络的IDS也仅在单个网段内有效，无法应对一些针对多主机、多 网段、多管理