第七讲入侵检测基本知识.ppt

* 选择恰当的响应类型 2. 被动响应 被动响应指的是入侵检测系统仅仅报告和记录所检测到的异常活动信息。被动响应的手段通常包括如下类型。 警报窗口 远程告警 日志记录 发送网管信息 无论是主动响应，还是被动响应，对于入侵检测任务的完成都是非常重要的。其中的关键问题在于根据用户部署入侵检测系统的目的和实际的网络运行环境来选择恰当的响应手段。 Add your company slogan * * * * * * 图3-5 事件属性信息 日益复杂化的系统设计，使得单纯从内核底层级别的数据来源来分析判断当前整个系统活动的情况，变得越来越困难；同时，底层级别安全数据的规模也迅速膨胀，增加了分析的难度。此时，需要采用反映系统活动的较高层次信息，例如应用程序日志，作为分析检测的数据源。应用程序日志因为是用户级别的系统活动抽象信息，所以更加容易理解和处理。其次，网络化计算环境的普及，导致入侵攻击行为的目标越来越集中于提供网络服务的各种特定应用程序。 应用程序的日志信息 同样，采用应用程序日志作为入侵检测的输入数据源，也存在着问题和风险。首要的问题是应用程序的日志信息通常更易遭到恶意的攻击，包括篡改和删除等操作。其次，尽管很多操作系统提供应用程序级别的审计功能，但是很多特定的应用程序中并不包括这些审计特性，或者是审计功能并没有提供足够详细的信息。最后，特定应用程序同样存在是否值得信赖的问题。 下面以Web服务器为例来介绍应用程序产生的日志信息。 Web服务器通常支持两种标准格式的日志文件： ① 通用日志格式（CLF）。 ② 扩展日志文件格式（ELFF），除了CLF所定义的数据字段外，还扩展包含了其他的附加信息。 其他类型应用程序的日志信息，例如Sendmail邮件服务器、SQL Server数据库服务器等，也是进行入侵检测时所能采用的重要输入数据源。具体进行入侵检测工作时，必须具体分析各自的特定日志格式。 入侵检测系统的数据源 基于网络的数据源： SNMP信息 MIB：用于网络管理的信息库 网络配置信息（路由表、地址、域名等）以及性能/记帐数据 网络通信包 网络嗅探器是收集网络中事件信息的有效方法。 近年来流行的商用入侵检测系统大多采用了网络数据作为其主要的输入数据源。采用网络数据源具有以下优势： ⑴ 通过网络被动监听的方式来获取网络数据包，作为入侵检测系统输入信息源的工作过程，对目标监控系统的运行性能几乎没有任何影响，并且通常无须改变原有网络的结构和工作方式。 ⑵ 嗅探器（sniffer）模块在工作时，可以采用对网络用户透明的模式，因而降低了其本身遭到入侵者攻击的概率。 基于网络数据的信息源 ⑶基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现的攻击手段。 ⑷网络数据包的标准化程度，相对主机数据源而言要高许多。因此，采用网络数据作为输入信息源，有助于入侵检测系统在不同目标系统平台环境下的移植工作。 目前，大部分的网络环境都采用了标准的TCP/IP协议作为通信协议，因此大部分的入侵检测系统的数据分析的重点也放在了对TCP/IP协议数据包的截获和分析工作上。 入侵检测系统的数据源 其他入侵检测系统的报警信息 其他网络设备和安全产品的信息 （1） 来自其他安全产品的数据源 入侵检测只是整体安全防护模型中的一部分。在目标系统内部还可能存在许多其他独立运行的安全产品。无疑，来自安全产品的数据信息是进行更加有效的准确的入侵检测所必须考虑的输入数据源。 入侵检测系统采用其他安全产品的事件日志作为自己的输入数据源，可以凸现入侵检测在整个动态计算机安全模型中的关键角色和重要地位，显示出动态安全监控的能力在应付当前日益复杂的安全威胁模式中所发挥的不可或缺的作用。 其他的数据来源 （2） 来自网络设备的数据源 除了直接从网络截获数据包作为输入数据外，入侵检测系统还能够利用其他网络设备所提供的关于网络数据流量的各种信息数据。 通过采用网络管理系统提供的信息，入侵检测系统可以更好地确定输出的检测结果是与系统安全方面相关的问题，还是与其他方面相关的问题，从而有助于降低检测的误报概率。 另外一个有用的网络设备数据来源，是路由器或者交换机提供的数据信息。这些日志文件中的数据信息大多是反映了当前网络活动情况的统计数据，利用这些输入数据源，入侵检测同样可以提高自身检测结果的准确性和精确性。 （3） 带外（out of band）数据源 所谓“带外”数据源通常是指由人工方式提供的数据信息。带外数据源的例子还包括系统管理员对入侵检测系统所进行的各种管理控制操作。 目前的入侵检测技术对如何合理有效地利用这些“带外”数据源方面的研究还很不充分。 除了上面所述的全部数据源之外，还有一种特殊的数据源类型，即来自文件系统的信息源。