入侵检测技术讲解.pptVIP

2．Agent-Based基于Agent的IDS由于其良好的灵活性和扩展性，是分布式入侵检测的一个重要研究方向。国外一些研究机构在这方面已经做了大量工作，其中Purdue大学的入侵检测自治代理（AAFID）和SRI的EMERALD最具代表性。AAFID的体系结构如图5-10所示，其特点是形成了一个基于代理的分层顺序控制和报告结构。返回本章首页返回本章首页3．DIDSDIDS（DistributedIntrusionDetectionSystem）是由UCDavis的SecurityLab完成的，它集成了两种已有的入侵检测系统，Haystack和NSM。前者由TracorAppliedSciencesandHaystack实验室针对多用户主机的检测任务而开发，数据源来自主机的系统日志。NSM则是由UCDavis开发的网络安全监视器，通过对数据包、连接记录、应用层会话的分析，结合入侵特征库和正常的网络流或会话记录的模式库，判断当前的网络行为是否包含入侵或异常。返回本章首页4．GrIDSGrIDS（Graph-basedIntrusionDetectionSystem）同样由UCDavis提出并实现，该系统实现了一种在大规模网络中使用图形化表示的方法来描述网络行为的途径，其设计目标主要针对大范围的网络攻击，例如扫描、协同攻击、网络蠕虫等。GrIDS的缺陷在于只是给出了网络连接的图形化表示，具体的入侵判断仍然需要人工完成，而且系统的有效性和效率都有待验证和提高。返回本章首页IntrusionStrategyBoeing公司的Ming-YuhHuang从另一个角度对入侵检测系统进行了研究，针对分布式入侵检测所存在的问题，他认为可以从入侵者的目的（IntrusionIntention），或者是入侵策略（IntrusionStrategy）入手，帮助我们确定如何在不同的IDS组件之间进行协作检测。对入侵策略的分析可以帮助我们调整审计策略和参数，构成自适应的审计检测系统。返回本章首页6．数据融合（DataFusion）TimmBass提出将数据融合（DataFusion）的概念应用到入侵检测中，从而将分布式入侵检测任务理解为在层次化模型下对多个感应器的数据综合问题。在这个层次化模型中，入侵检测的数据源经历了从数据（Data）到信息（Information）再到知识（Knowledge）三个逻辑抽象层次。返回本章首页基于抽象（Abstraction-based）的方法GMU的PengNing在其博士论文中提出了一种基于抽象（Abstraction-based）的分布式入侵检测系统，基本思想是设立中间层（systemview），提供与具体系统无关的抽象信息，用于分布式检测系统中的信息共享，抽象信息的内容包括事件信息（event）以及系统实体间的断言（dynamicpredicate）。中间层用于表示IDS间的共享信息时使用的对应关系为：IDS检测到的攻击或者IDS无法处理的事件信息作为event，IDS或受IDS监控的系统的状态则作为dynamicpredicates。返回本章首页0102基于数据源的分类基于主机:安装在主机上，监视和分析主机的审计记录，从而对可疑的主体活动采取相应的措施。缺点是系统自身安全和入侵检测系统的性能之间无法统一（系统特权或逃过审计）；再则依赖系统的日志和监视能力，使得能否及时采集获得审计数据成为问题。返回本章首页0102基于数据源的分类基于网络:放在共享网段的重要位置，依据规则对监听到的每个数据包进行特征分析，并做出响应。优点是具有平台无关性，影响很小，系统不可见性使其不易受攻击；缺点是性能受限于交换网络环境，特征检测法很难检测存在大量复杂计算和分析的攻击方法，受网段协调能力制约，网络流量回传和攻击告警延迟较大。返回本章首页基于数据源的分类混合入侵检测:综合基于网络和基于主机两种结构优势的入侵检测系统。其特点是形成一套完整的、立体式的主动防御体系，既可发现网络中的攻击信息，也可从系统日志中发现异常。基于网关:由新一代的高速网络结合路由与高速交换技术构成的，它从网关中提取信息来提供对整个信息基础设施的保护措施。文件完整性检查系统:检查计算机中自上次检查后文件系统的变化情况，从而发现其中异常现象。缺点是此系统依赖本地的文摘数据库，与日志文件一样，存在被入侵者修改的可能。返回本章首页0102返回本章首页基于检测理论的分类从具体的检测理论上来说，入侵检测又可分为异