4入侵检测原理与模型.pptVIP

内容 入侵检测原理 入侵检测模型 入侵检测系统工作流程 内容 入侵检测原理 入侵检测模型 入侵检测系统工作流程 内容 入侵检测原理 入侵检测模型 入侵检测系统工作流程 第四章 入侵检测原理与模型 基于主机型的入侵检测系统 检测原理是根据主机的审计数据和系统日志发现可疑事件。 基于网络型的入侵检测系统 通过分析主机之间网线上传输的信息来工作的。它通常利用一个工作在混杂模式（Promiscuous Mode）下的网卡来实时监视并分析通过网络的数据流。 混合入侵检测系统 主机型和网络型入侵检测系统都有各自的优缺点，混和入侵检测系统是基于主机和基于网络的入侵检测系统的结合，许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统，因为这两种系统在很大程度上互补，两种技术结合能大幅度提升网络和系统面对攻击和错误使用时的抵抗力，使安全实施更加有效。 通用入侵检测模型（Denning模型） 假设：异常使用系统的入侵行为可以通过检查一个系统的审计记录来识别。 可检测的异常使用系统的行为： – 黑客入侵 – 越权操作 – 其他 Denning模型实际上是一个基于规则的模式匹配系统 该模型未包含已知系统漏洞或攻击方法方面的知识 Denning模型图示 主体：系统操作的主动发起者，如进程、连接 对象：系统所管理的资源 审计记录：主体对对象实施操作时系统所产生的数据 活动剖面/简档：保存活动剖面/ 主体正常活动的有关信息 异常记录：记录异常事件的发生情况 规则集处理引擎 ：结合活动剖面分析接收到的审计记录，调整内部规则或统计信息，在有入侵时采取措施 Denning模型：审计记录 事件：用户注册、命令执行、文件访问等 格式：Subject, Action, Object, Exception-Condition, Resource-Usage, Time-Stamp Subject：活动的发起者 Action：主体对目标实施的操作 Object：活动的承受者 Exception-Condition：系统对主体活动的异常报告 Resource-Usage：系统的资源消耗情况 Time-Stamp：活动的发生时间 Denning模型：活动剖面 具体实现依赖于检测方法；如采用统计方法，则可以从事件数量、频度、资源消耗等方面度量 定义了三种类型的随机变量 事件计数器：记录特定事件的发生次数 间隔计时器：记录两次连续发生事件之间的时间间隔 资源计量器：记录某个时间段特定动作所消耗的资源量 Denning模型：活动剖面 格式：Variable-name, Action-pattern, Exception-pattern, Resource-usage-pattern, Period, Variable-type, Threshold, Subject-pattern, Object-pattern, Value Variable-name：识别活动剖面的标志 Action-pattern ：用来匹配审计记录中的活动模式 Exception-pattern ：用来匹配审计记录中的异常情况模式 Resource-usage-pattern ：用来匹配审计记录中的资源使用模式 Period：测量的间隔时间或采样时间 Variable-type：用来定义一种特定的变量和统计模型 Threshold：统计测试中一种表示异常的参数值 Subject-pattern：用来匹配审计记录中主体的模式 Object-pattern ：用来匹配审计记录中对象的模式 Value：当前观测值和统计模型所用的参数值 Denning模型：异常记录和活动规则 异常记录格式：Event, Time-stamp, Profile Event：导致异常的事件 Time-stamp：产生异常事件的时间戳 Profile：检测到异常事件的活动剖面 活动规则：当一个审计记录或异常记录产生时应采取的动作，类型包括 审计记录规则：触发新生成审计记录和动态的活动剖面之间匹配，以及更新活动剖面和检测异常行为 异常记录规则：触发异常事件的产生，并将异常事件报告给安全管理员 定期异常分析规则：定期触发产生当前的安全状态报告 层次化入侵检测模型IDM IDM将IDS分为六个层次（由低至高）： 数据(data)层 事件(event)层 主体(subject)层 上下文(context)层 威胁(thread)层 安全状态(security state)层 IDM通过把收集到的分散数据进行加工抽象和数据关联操作，简化了对跨越单机的入侵行为的识别 IDM模型：数据层和事件层 数据层： 主机操作系统的审计记录 局域网