第6章入侵检测技术6.pptVIP

第6章 混合型的入侵检测技术 6.1 采用多种信息源 6.2 采用多种检测方法 本章所指的混合型入侵检测技术，主要分为两种类型： 第一种类型是指采用多种信息输入源的入侵检测技术，例如同时采用网络数据包和主机审计数据作为数据来源，其中以DIDS系统为典型代表加以介绍；第二种类型则强调采用多种不同类型的入侵检测方法，例如同时采用统计分析的异常检测和基于专家系统规则的滥用入侵检测技术，其中以早期著名的IDES和NIDES系统为代表。 6.1 采用多种信息源 DIDS系统的开发始于20世纪90年代初期，在技术发展历程中，它是将网络入侵检测与主机入侵检测技术进行集成的首次尝试。 6.1.1 总体设计 DIDS系统设计的目标环境是一组经由以太局域网连接起来的主机，并且这些主机系统都满足C2等级的安全审计功能要求。DIDS所要完成的任务是监控网络中各个主机的安全状态，同时检测针对局域网本身的攻击行为。DIDS的系统设计架构如图6-1所示。 图6-1 DIDS系统架构 如图6-1所示，因为DIDS要完成同时检测主机和网络安全状态的任务，所以，系统同时采用了网络数据和主机审计数据两种数据来源。 DIDS系统主要包括3种类型的组件： 主机监控器（host monitor）、局域网监控器（LAN monitor）和中央控制台（director）。 DIDS早期系统中采用的通信协议是ISO通用管理信息协议（CMIP），该协议允许控制台与各个监控器组件之间进行双向的通信过程，即控制台既可以发送查询命令（如“GET”）来获取监控器的相关详细信息，又可以发送控制命令（如“SET”）来设置监控器的配置信息等。 6.1.2 主机监控器 如图6-1所示，主机监控器由主机事件发生器（HEG）和主机代理组成。HEG组件负责从所在主机系统中收集审计记录，并对其进行安全分析，而主机代理则负责与中央控制台的通信联系。 主机监控器首先从主机系统中读取C2审计数据文件，获取审计记录，然后将这些审计记录映射到DIDS系统定义的规范格式HAR上。之后，将这些统一格式的记录进行必需的过滤操作以去除冗余后，再进行各种分析检测工作，生成不同的异常事件报告，交由主机代理发送到中央控制台。 同时，控制台也可以通过主机代理，对用于安全分析的模式库进行修改和调整操作，以便更好地执行分析逻辑。 图6-2 主机监控器的结构 6.1.3 局域网监控器 与主机监控器类似，局域网监控器由局域网事件发生器（LEG）和局域网代理组成。局域网事件发生器负责观察网段内的所有来往数据包数据，并检测主机间网络连接，以及服务访问情况的安全状态，包括每个连接内的数据流量等。局域网代理将所发现的异常事件发送到中央控制台，同时接受控制台的控制命令，负责提供更进一步的详细信息。 LEG组件必须从当前网络数据包中构建所需的网络审计记录（NAR）。LEG组件主要审计主机之间的连接、所访问的服务类型以及每个连接的数据流量情况。 LEG组件采用多个简单分析手段来分析构建好的NAR记录，包括检测敏感的服务访问情况（例如rlogin等），以及未安装检测组件的主机活动情况等。同时，LEG还建立和维护当前网络行为的正常模型，并检测当前网络使用情况与正常模型的偏离情况。 6.1.4 控制台 控制台主要包括3个部分： 通信管理器、专家系统和用户接口。通信管理器的主要任务是提供专家系统和用户接口与底层各个监控器之间的双向通信通道。具体说来，专家系统可以通过通信管理器要求底层监控器提供更多的事件记录信息，同时，通信管理器负责将返回的记录提交给专家系统。同样，用户接口也可以通过通信管理器查询特定主机系统上某个特定用户的登录等活动情况。 控制台的专家系统，在收集来自各个监控器事件记录的基础上，执行关联分析和安全状态评估的任务。专家系统的核心部分是用于进行推理工作的规则库，DIDS专家系统用Prolog语言编写所有的检测规则。 用户接口的主要任务是以友好的方式实时地提供用户关心的系统信息，包括实时的异常事件显示、整个系统的安全状态信息等；同时，它还提供用户进行特定控制和查询功能的接口。 DIDS中央控制台组件能够解决两个关键的问题： ⑴网络环境下对特定用户和系统对象（例如文件）的跟踪问题。为此，DIDS提出了网络用户标识（NID）的概念，目的是惟一标识在目标网络环境中多台主机间不断移动的用户。 ⑵不同层次的入侵数据抽象问题。DIDS系统提出了一个6层的入侵检测模型，并以此模型为基础和指导，构造了专家系统的检测规则集合。DIDS的入侵检测模型如表6-1所示。 如表6-1所示的入侵检测模型中，最底层的是原始的主机审计数据和网络数据包；往上一层就是经过变换后的标准主机审计记录（HAR）和网络审计记录（NAR）；再上一