网络安全22入侵检测系统方案.pptVIP

基于条件概率误用检测 基于专家系统误用检测 基于状态迁移误用检测 基于键盘监控误用检测 基于模型误用检测 误用入侵检测方法 snort介绍 snort是一个用C语言编写的开放源代码的跨平台、轻量级的网络入侵检测系统（NIDS）。本质上是一个基于libpcap的网络数据包嗅探器和日志记录工具 。 snort具有实时报警能力，还可以通过命令行进行交互，并对可选的BPF（Berkeley Packet Filter）命令进行配置。 可以安装在一台主机上对整个网络进行监视。 4 入侵检测系统模型 入侵检测系统是动态安全防御策略的核心技术，比较有影响的入侵检测系统模型有：CIDF模型；Denning的通用入侵检测系统模型。其中，CIDF模型是在对入侵检测系统进行规范化的进程中提出的，也是逐渐被入侵检测领域所采纳的模型；Denning的通用入侵检测系统模型作为入侵检测发展历程中颇具影响力的实例，给入侵检测领域的研究带来了相当重要的启示。现在，很多的入侵检测系统研究原型都是基于这两个模型的，所以有必要对其作一介绍。 4.1 入侵检测系统的CIDF模型 CIDF模型是由CIDF(Common Intrusion Detection Framework)工作组提出的。CIDF(/)工作组是由Teresa Lunt发起的，专门从事对入侵检测系统(IDS)进行标准化的研究机构。它主要研究的是入侵检测系统的通用结构、入侵检测系统各组件间的通信接口问题、通用入侵描述语言(Common Intrusion Specification Language，CISL)以及不同入侵检测系统间通信问题等关于入侵检测的规范化问题。 CIDF提出了一个入侵检测系统的通用模型(如图11-5所示)，它将入侵检测系统分为以下几个单元： ① 事件产生器(Event Generators) ② 事件分析器(Event Analyzers) ③ 响应单元(Response Units) ④ 事件数据库(Event Databases) 图11-5 简化的入侵检测系统CIDF模型 CIDF模型将入侵检测系统(IDS)需要分析的数据统称为事件(Event)，它可以是网络中的数据包，也可以是从系统日志等审计记录途径得到的信息。 事件产生器即检测器，它从整个计算环境中获得事件，并向系统的其它部分提供此事件；事件分析器分析得到的数据，并产生分析结果；响应单元则是对分析结果作出反应的功能单元，它可以是作出切断连接、改变文件属性等反应，甚至发动对攻击者的反击，也可以只是简单的报警；事件数据库是存放各种中间和最终数据的地方的总称，它可以是复杂的数据库，也可以是简单的文本文件。各功能单元间的数据交换采用的是CISL语言。 图11-5是入侵检测系统的一个简化模型，它给出了入侵检测系统的一个基本框架。一般地，入侵检测系统由这些功能模块组成。在具体实现上，由于各种网络环境的差异以及安全需求的不同，因而在实际的结构上就存在一定程度的差别。图11-6是互联网工程任务组(IETF)提出的对CIDF模型的一个更详细的描述。 图11-6 IETF的入侵检测模型实例 这里介绍的模型是IETF下的IDWG(入侵检测工作组) (/html.charters/idwg-charter.html)对入侵检测系统进行标准化的设计方案。目前，此模型还只是Internet草案，未形成正式的RFC文档，现有的各种入侵检测系统的研究原型还未采纳这种标准，但是，在不久的将来，随着行业的不断规范化，这一模型将会被投入到实际运用中。 11.4.2 Denning的通用入侵检测系统模型 Dorothy E.Denning于1987年提出了一个通用的入侵检测模型(如图11-7所示)。该模型由以下六个主要部分组成：主体(Subjects)、客体(Objects)、审计记录(Audit Records)、行为轮廓(Profiles)、异常记录(Anomaly Records)及活动规则(Activity Rules)。 图11-7 Denning 的通用入侵检测系统模型 在该模型中，主体是指目标系统上活动的实体，通常指的是用户，也可能是代表用户行为的系统进程，或者是系统自身。主体的所有行为都是通过命令来实现的。客体是指系统资源，如文件、命令、设备等。它是主体的行为的接受者。主体和客体没有明显的界限，往往在某一环境下的主体在另一环境下则会成为客体。 审计记录是指主体对客体进行操作