第六章入侵检测与安全审计系统.pptx

第六章 入侵检测与安全审计系统;;6.1 入侵检测系统;模型 最早的入侵检测模型是由Denning给出的，该模型主要根据主机系统审计记录数据，生成有关系统的若干轮廓，并监测轮廓的变化差异发现系统的入侵行为，如下图：; CIDF(通用入侵检测框架)标准——入侵检测系统的通用模型，解决不同IDS之间的互操作和共存问题。 事件——IDS需要分析的数据，可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。;;6.1.2 入侵检测系统的特点 不需要人工干预即可不间断的运行 有容错能力 不需要占用大量的系统资源 能够发现异常的操作 能够适应系统行为的长期变化 判断正确 灵活定制 保持领先 ;;;;; 工作流程 根据计算机审计记录文件产生代表用户会话行为的会话矢量，然后对这些会话矢量进行分析，计算出会话的异常值，当该值超过阈值便产生警告。;;步骤2：产生伯努里矢量。 伯努里矢量B=b1,b2,…,bn是单一2值矢量，表示属性的数目是否在正常用户的阈值范围之外。阈值矢量T=t1,t2,…,tn表示每个属性的范围，其中ti是ti,min, ti,max形式的元组，代表第i个属性的范围。这样阈值矢量实际上构成了一张测量表。算法假设ti服从高斯分布(即：正态分布)。 产生伯努里矢量的方法就是用属性i的数值xi与测量表中相应的阈值范围比较，当超出范围时，bi被置1，否则bi置0。产生伯努里矢量的函数可描述为： ;;;;该模型存在的缺陷和问题，如： 大量审计日志的实时处理问题。尽管审计日志能提供大量信息，但它们可能遭受数据崩溃、修改和删除。并且在许多情况下，只有在发生入侵行为后才产生相应的审计记录，因此该模型在实时监控性能方面较差。 检测属性的选择问题，即如何选择与入侵判定相关度高的、有限的一些检测属性。 阈值矢量的设置存在缺陷。由于模型依赖于用户正常行为的规范性，因此用户行为变化越快，误警率也越高。 预设入侵阈值的选择问题，即如何更加科学地设置入侵阈值，以降低误报率、漏报率。;6.1.5 入侵检测系统的主要类型 分类 根据其采用的分析方法可分为 异常检测 误用检测 根据系统的工作方式可分为 离线检测 在线检测 根据系统所检测的对象可分为 基于主机的 基于网络的 ;;;;;;优点： 监视所有系统行为 有些攻击在网络的数据流中很难发现，或根本没有通过网络在本地进行，此时基于网络的IDS系统将无能为力 适应交换和加密 不要求额外的硬件 缺点： 看不到网络活动的状况 运行审计功能要占用额外系统资源 主机监视感应器对不同的平台不能通用 管理和实施比较复杂;基于网络的入侵检测 概念 在网络通信中寻找符合网络入侵模板的数据包，并立即做出相应反应，如发生电子邮件、记录日志、切断网络连接等。 优点 花费低 检查所有的包头来识别恶意和可疑行为 处于比较隐蔽的位置，基本上不对外提供服务，比较坚固。 具有更好的实时性 检测不成功的攻击和恶意企图 基于网路的IDS不依赖于被保护主机的操作系统;;集成入侵检测 概念：综合前几种技术的入侵检测方法 优点 具有每一种检测技术的优点，并试图弥补各自的不足 趋势分析 稳定性好 节约成本 缺点 在安防问题上不思进取 把不同供应商的组件集成在一起较困难 ;;;6.1.7 入侵检测体系结构 集中式结构 IDS发展初期，大都采用单一的体系结构，即所有的工作包括数据的采集、分析都由单一主机上的单一程序来完成。 注意：一些所谓的分布式IDS只是在数据采集上实现了分布式，数据的分析、入侵的发现和识别还是由单一程序来完成。 优点：数据的集中处理可以更加准确地分析可能的入侵行为;缺点： 可扩展性差。在单一主机上处理所有的信息限制了受监视网络的规模；分布式的数据收集常会引起网络数据过载问题。 难于重新配置和添加新功能。要使新的设置和功能生效，IDS通常要重新启动。 中央分析器是个单一失效点。数据的集中处理使检测主机成了网络安全的瓶颈，若它出现故障或受到攻击，则整个网络的安全将无从保障。 ;分布式结构 采用多个代理在网络各部分分别进行入侵检测，并且协同处理可能的入侵行为。 优点:能够较好地实现数据的监听，可以检测内部和外部的入侵行为。 缺点：不能完全解决集中式结构的缺点。 因为当前的网络普遍是分层的结构，而纯分布式的入侵检测要求代理分布在同一个层次，若代理所处的层次太低，则无法检测针对网络上层的入侵；反之，则无法检测针对网络下层的入侵。 同时，由于每个代理都没有针对网络数据的整体认识，所以无法准确地判断跨一定时间和空间的攻击，容易受到IP分段等针对IDS的攻击。;分层结构 在树形分层结构中，最底层的代理负责收集所有的基本信息，然后对这些信息进行简单的处理，并完成简单的判断和处理。特点：所处理的数据量大、速度快、效率高，但只能坚持某些简