《《入侵检测系统》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《入侵检测系统》PPT课件.ppt(75页珍藏版)》请在三一办公上搜索。
1、第11章 入侵检测系统,11.1 引言 11.2 入侵检测基本原理 11.3 入侵检测系统分类 11.4 入侵检测系统模型 11.5 分布式入侵检测系统 11.6 小结,11.1 引 言,计算机网络的迅猛发展给当今社会所带来的各种便利是毋庸置疑的,它把人们的工作、生活、学习紧密地联系在了一起,这使得人们对计算机网络的依赖性不断增强,所以我们必须确保计算机网络的安全。,图11-1 P2DR模型,计算机安全的三大中心目标是:保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。人们在实现这些目标的过程中不断进行着探索和研究。其中比较突出的技术有
2、:身份认证与识别、访问控制机制、加密技术、防火墙技术等。但是这些技术的一个共同特征就是集中在系统的自身加固和防护上,属于静态的安全防御技术,它对于网络环境下日新月异的攻击手段缺乏主动的反应。针对日益严重的网络安全问题和越来越突出的安全需求,自适应网络安全技术(动态安全技术)和动态安全模型应运而生。典型的就是P2DR模型(如图11-1所示)。,入侵检测作为动态安全技术的核心技术之一,是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性,是安全防御体系的一个重要组成部分。,入侵检测的诞生是网络安全需求发展的必
3、然,它的出现给计算机安全领域研究注入了新的活力。关于入侵检测的发展历史最早可追溯到1980年,当时James P.Anderson在一份技术报告中提出审计记录可用于检测计算机误用行为的思想,这可谓是入侵检测的开创性的先河。另一位对入侵检测同样起着开创作用的人就是Dorothy E.Denning,他在1987年的一篇论文3中提出了实时入侵检测系统模型,此模型成为后来的入侵检测研究和系统原型的基础。,早期的入侵检测系统是基于主机的系统,它是通过监视和分析主机的审计记录来检测入侵的。另外,入侵检测发展史上又一个具有重要意义的里程碑就是NSM(Network Security Monitor)的出现
4、,它是由L.Todd Heberlien在1990年提出的。NSM与此前的入侵检测系统相比,其最大的不同在于它并不检查主机系统的审计记录,而是通过监视网络的信息流量来跟踪可疑的入侵行为。,从此,入侵检测的研究和开发呈现一股热潮,而且多学科多领域之间知识的交互使得入侵检测的研究异彩纷呈。本章我们将对入侵检测的基本理论进行介绍,为大家深入学习和研究起到抛砖引玉的作用。,11.2 入侵检测基本原理,11.2.1 入侵检测的基本概念 从计算机安全的目标来看,入侵的定义是:企图破坏资源的完整性、保密性、可用性的任何行为,也指违背系统安全策略的任何事件。入侵行为不仅仅是指来自外部的攻击,同时内部用户的未授
5、权行为也是一个重要的方面,有时内部人员滥用他们特权的攻击是系统安全的最大隐患。从入侵策略的角度来看,入侵可分为企图进入、冒充其它合法用户、成功闯入、合法用户的泄漏、拒绝服务以及恶意使用等几个方面。,入侵检测(Intrusion Detection)就是通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应。从上述的定义可以看出,入侵检测的一般过程是:信息收集、信息(数据)预处理、数据的检测分析、根据安全策略做出响应(如图11-2所示)。,图11-2 入侵检测的一般过程,其中,信息源是指包含有最原始的入侵行为信息
6、的数据,主要是网络、系统的审计数据或原始的网络数据包。数据预处理是指对收集到的数据进行预处理,将其转化为检测模型所接受的数据格式,也包括对冗余信息的去除,即数据简约。这是入侵检测研究领域的关键,也是难点之一。检测模型是指根据各种检测算法建立起来的检测分析模型,它的输入一般是经过数据预处理后的数据,输出为对数据属性的判断结果,数据属性一般是针对数据中包含的入侵信息的断言。,检测结果即检测模型输出的结果,由于单一的检测模型的检测率不理想,往往需要利用多个检测模型进行并行分析处理,然后对这些检测结果进行数据融合处理,以达到满意的效果。安全策略是指根据安全需求设置的策略。响应处理主要是指综合安全策略和
7、检测结果所作出的响应过程,包括产生检测报告、通知管理员、断开网络连接或更改防火墙的配置等积极的防御措施。,11.2.2 入侵检测系统 入侵检测系统(Intrusion Detection System,简称IDS)是实现入侵检测功能的一系列的软件、硬件的组合。它是入侵检测的具体实现。作为一种安全管理工具,它从不同的系统资源收集信息,分析反映误用或异常行为模式的信息,对检测的行为做出自动的反应,并报告检测过程的结果。简单地说,入侵检测系统至少包括这几个功能部件:,提供事件记录的信息源;发现入侵迹象的分析引擎;基于分析引擎的结果产生反应的响应部件。入侵检测系统就其最基本的形式来讲,可以说是一个分类
8、器,它是根据系统的安全策略来对收集到的事件或状态信息进行分类处理,从而判断出入侵和非入侵的行为的。,一般来说,入侵检测系统在功能结构上是基本一致的,均由数据采集、数据分析以及响应部件等几个功能模块组成,只是具体的入侵检测系统在采集数据、采集数据的类型以及分析数据的方法等方面有所不同而已。但是由于入侵技术手段的不断变化,使得入侵检测系统必须能够维护一些与检测系统的分析技术相关的信息,以使检测系统能够确保检测出对系统具有威胁的恶意事件。通常这类信息包括:,系统、用户以及进程行为的正常或异常的特征轮廓;标识可疑事件的字符串,包括关于已知攻击的特征签名;激活针对各种系统异常情况以及攻击行为采取响应所必
9、需的信息。作为新型的安全防御体系的一个重要组成部分,它的作用发挥的充分与否将在很大程度上影响整个安全策略的成败。其主要功能有:,用户和系统行为的监测和分析;系统配置和漏洞的审计检查;重要的系统和数据文件的完整性评估;已知的攻击行为模式的识别;异常行为模式的统计分析;操作系统的审计跟踪管理及违反安全策略的用户行为的识别。,显然,入侵检测系统完善了以前的静态安全防御技术的诸多不足,是对防火墙的合理补充,为计算机网络、系统的安全防护提供了新的解决方案。同样,入侵检测系统作为网络安全发展史上一个具有划时代意义的研究成果,要想真正成为一种成功的产品,至少要满足以下的功能要求:实时性、可扩展性、适应性、安
10、全性和可用性、有效性等。,11.3 入侵检测系统分类,入侵检测系统作为动态安全防御技术的应用实例,是继防火墙之后的第二道安全防线,它的运用将大大提高系统安全防护水平。入侵检测系统的分类有多种,这里主要介绍两种:一种是根据入侵检测系统的输入数据来源的分类;另一种是根据入侵检测系统所采用的技术的分类。,11.3.1 按数据来源的分类 由于入侵检测是个典型的数据处理过程,因而数据采集是其首当其冲的第一步。同时,针对不同的数据类型,所采用的分析机理也是不一样的。根据入侵检测系统输入数据的来源来看,它可分为:基于主机的入侵检测系统和基于网络的入侵检测系统。,1基于主机的(Host-Based)入侵检测系
11、统 基于主机的入侵检测系统(HIDS)通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名(Attack Signature,指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配,检测系统就向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件,并可对入侵事件作出立即反应。它还可针对不同操作系统的特点判断出应用层的入侵事件。,由于审计数据是收集系统用户行为信息的主要方法,因而必须保证系统的审计数据不被修改。但是,当系统遭到攻击时,这些数据很可能被修改。这就要求基于主机的入侵检测系统必须满足一个重要的实时性条
12、件:检测系统必须在攻击者完全控制系统并更改审计数据之前完成对审计数据的分析、产生报警并采取相应的措施。早期的入侵检测系统大多都是基于主机的IDS,作为入侵检测系统的一大重要类型,它具有着明显的优点:,1)能够确定攻击是否成功 由于基于主机的IDS使用包含有确实已经发生的事件信息的日志文件作为数据源,因而比基于网络的IDS更能准确地判断出攻击是否成功。在这一点上,基于主机的IDS可谓是基于网络的IDS的完美补充。,2)非常适合于加密和交换环境 由于基于网络的IDS是以网络数据包作为数据源,因而对于加密环境来讲,它是无能为力的,但对于基于主机的IDS就不同了,因为所有的加密数据在到达主机之前必须被
13、解密,这样才能被操作系统所解析。对于交换网络来讲,基于网络的IDS在获取网络流量上面临着很大的挑战,但基于主机的IDS就没有这方面的限制。,3)近实时的检测和响应 基于主机的IDS不能提供真正的实时响应,但是由于现有的基于主机的IDS大多采取的是在日志文件形成的同时获取审计数据信息,因而就为近实时的检测和响应提供了可能。4)不需要额外的硬件 基于主机的IDS是驻留在现有的网络基础设施之上的,包括文件服务器、Web服务器和其它的共享资源等,这样就减少了基于主机的IDS的实施成本。因为不再需要增加新的硬件,所以也就减少了以后维护和管理这些硬件设备的负担。,5)可监视特定的系统行为 基于主机的IDS
14、可以监视用户和文件的访问活动,这包括文件访问、文件权限的改变、试图建立新的可执行文件和试图访问特权服务等。例如,基于主机的IDS可以监视所有的用户登录及注销情况,以及每个用户连接到网络以后的行为。而基于网络的IDS就很难做到这一点。基于主机的IDS还可以监视通常只有管理员才能实施的行为,因为操作系统记录了任何有关用户账号的添加、删除、更改的情况,一旦发生了更改,基于主机的IDS就能检测到这种不适当的更改。基于主机的IDS还可以跟踪影响系统日志记录的策略的变化。,最后,基于主机的IDS可以监视关键系统文件和可执行文件的更改。试图对关键的系统文件进行覆盖或试图安装特洛伊木马或后门程序的操作都可被检
15、测出并被终止,而基于网络的IDS有时就做不到这一点。除了上述的优点外,基于主机的IDS也存在一些不足:会占用主机的系统资源,增加系统负荷,而且针对不同的操作系统必须开发出不同的应用程序,另外,所需配置的IDS数量众多。但是对系统内在的结构没有任何的约束,同时可以利用操作系统本身提供的功能,并结合异常检测分析,更能准确地报告攻击行为。,2.基于网络的(Network-Based)入侵检测系统 基于网络的入侵检测系统(NIDS)以原始的网络数据包作为数据源。它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的。其攻击识别模块在进行攻击签名识别时常用的技术有:模式、表达式或字节码的匹
16、配;频率或阈值的比较;事件相关性处理;异常统计检测。,一旦检测到攻击,IDS的响应模块通过通知、报警以及中断连接等方式来对攻击行为作出反应。作为入侵检测发展史上的一个里程碑,基于网络的IDS是网络迅速发展,攻击手段日趋复杂的新的历史条件下的产物,它以其独特的技术手段在入侵检测的舞台上扮演着不可或缺的角色。较之于基于主机的IDS,它有着自身明显的优势:,1)攻击者转移证据更困难 基于网络的IDS使用正在发生的网络通信进行实时攻击的检测,因此攻击者无法转移证据,被检测系统捕获到的数据不仅包括攻击方法,而且包括对识别和指控入侵者十分有用的信息。由于很多黑客对审计日志很了解,因而他们知道怎样更改这些文
17、件以藏匿他们的入侵踪迹,而基于主机的IDS往往需要这些原始的未被修改的信息来进行检测,在这一点上,基于网络的IDS有着明显的优势。,2)实时检测和应答 一旦发生恶意的访问或攻击,基于网络的IDS可以随时发现它们,以便能够更快地作出反应。这种实时性使得系统可以根据预先的设置迅速采取相应的行动,从而将入侵行为对系统的破坏减到最低,而基于主机的IDS只有在可疑的日志文件产生后才能判断攻击行为,这时往往对系统的破坏已经产生了。,3)能够检测到未成功的攻击企图 有些攻击行为是旨在针对防火墙后面的资源的攻击(防火墙本身可能会拒绝这些攻击企图),利用放置在防火墙外的基于网络的IDS就可以检测到这种企图,而基
18、于主机的IDS并不能发现未能到达受防火墙保护的主机的攻击企图。通常,这些信息对于评估和改进系统的安全策略是十分重要的。4)操作系统无关性 基于网络的IDS并不依赖主机的操作系统作为检测资源,这样就与主机的操作系统无关,而基于主机的系统需要依赖特定的操作系统才能发挥作用。,5)较低的成本 基于网络的IDS允许部署在一个或多个关键访问点来检查所有经过的网络通信,因此,基于网络的IDS系统并不需要在各种各样的主机上进行安装,大大减少了安全和管理的复杂性,这样所需的成本费用也就相对较低。当然,对于基于网络的IDS来讲,同样有着一定的不足:它只能监视通过本网段的活动,并且精确度较差;在交换网络环境中难于
19、配置;防欺骗的能力比较差,对于加密环境它就更是无能为力了。,3分布式的入侵检测系统 从以上对基于主机的IDS和基于网络的IDS的分析可以看出:这两者各自都有着自身独到的优势,而且在某些方面是很好的互补。如果采用这两者结合的入侵检测系统,那将是汲取了各自的长处,又弥补了各自的不足的一种优化设计方案。通常,这样的系统一般为分布式结构,由多个部件组成,它能同时分析来自主机系统的审计数据及来自网络的数据通信流量信息。分布式的IDS将是今后人们研究的重点,它是一种相对完善的体系结构,为日趋复杂的网络环境下的安全策略的实现提供了最佳的解决对策。,11.3.2 按分析技术的分类 从入侵检测的典型实现过程可以
20、看出,数据分析是入侵检测系统的核心,它是关系到能否检测出入侵行为的关键。检测率是人们关注的焦点,不同的分析技术所体现的分析机制也是不一样的,从而对数据分析得到的结果当然也就大不相同,而且不同的分析技术对不同的数据环境的适用性也不一样。根据入侵检测系统所采用的分析技术来看,它可以分为采用异常检测的入侵检测系统和采用误用检测的入侵检测系统。,1异常检测(Anomaly Detection)异常检测也被称为基于行为的(Behavior-Based)检测。其基本前提是:假定所有的入侵行为都是异常的,即入侵行为是异常行为的子集。原理是:首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的
21、行为是否偏离正常的行为特征轮廓来判断是否发生了入侵行为,而不是依赖于具体行为是否出现来进行检测的。从这个意义上来讲,异常检测是一种间接的方法。图11-3是典型的异常检测系统示意图。,图11-3 典型的异常检测系统示意图,从异常检测的实现机理来看,异常检测所面临的关键问题有:1)特征量的选择 异常检测首先是要建立系统或用户的“正常”行为特征轮廓,这就要求在建立正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量涵盖系统或用户的行为特征。作为异常检测的最关键的第一步,它将直接影响检测性能的优劣。,2)阈值的选定 因为在实际的网络环境下,入侵行为和异常行为
22、往往不是一对一的等价关系(这样的情况是经常会有的:某一行为是异常行为,而它不一定是入侵行为;同样存在某一行为是入侵行为,而它却不一定是异常行为的情况),所以会导致检测结果的虚警(False Positives)和漏警(False Negatives)的产生。由于异常检测是先建立正常的特征轮廓并以此作为比较的基准,这个基准,即阈值的选定是非常关键的。,阈值选的过大,那漏警率就会很高,这对被保护的系统的危害会很大;相反,阈值选的过小,则虚警率就会提高,这会对入侵检测系统的正常工作带来很多的不便。总之,恰当地选取比较的阈值是异常检测的关键,是直接衡量这一检测方法准确率高低的至关重要的因素。,3)比较
23、频率的选取 由于异常检测是通过比较当前的行为和已建立的正常行为特征轮廓来判断入侵的发生与否的,因而比较的频率,即经过多长时间进行比较的问题也是一个重要因素。经过的时间过长,检测结果的漏警率会很高,因为攻击者往往能通过逐渐改变攻击的模式使之训练成系统所接受的行为特征,从而使攻击无法被检测出来;如果经过的时间过短,就存在虚警率提高的问题,因为有的正常的进程在短时间内的资源消耗会很大,这样检测系统就会误认为有入侵行为的发生。另外,正常的行为特征轮廓存在更新的问题,这也是在选取比较的频率时必须考虑的因素。,从异常检测的原理我们可以看出,该方法的技术难点在于:“正常”行为特征轮廓的确定;特征量的选取;特
24、征轮廓的更新。由于这几个因素的制约,异常检测的虚警率会很高,但对于未知的入侵行为的检测非常有效,同时它也是检测冒充合法用户的入侵行为的有效方法。此外,由于需要实时地建立和更新系统或用户的特征轮廓,因而所需的计算量很大,对系统的处理性能要求也很高。,2.误用检测(Misuse Detection)误用检测也被称为基于知识的(Knowledge-Based)检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。原理是:首先对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这
25、种方法是通过直接判断攻击签名的出现与否来判断入侵行为的,从这一点来看,它是一种直接的方法。图11-4是典型的误用检测系统示意图。,图11-4 典型的误用检测系统示意图,同样,误用检测也存在着影响检测性能的关键问题:攻击签名的正确表示。误用检测是根据攻击签名来判断入侵的,那么如何有效地根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,即攻击签名的表示将是该方法的关键所在,尤其是攻击签名必须能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。,由于很大一部分的入侵行为利用的是系统的漏洞和应用程序的缺陷,因而通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体
26、描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵行为也有预警作用,因为只要部分满足这些入侵迹象就意味着可能有入侵行为的发生。,误用检测是通过将收集到的信息与已知的攻击签名模式库进行比较,从而发现违背安全策略的行为的。因此,它只需收集相关的数据,这样系统的负担就明显减少了。该方法类似于病毒检测系统,其检测的准确率和效率都比较高,而且这种技术比较成熟,国际上一些顶尖的入侵检测系统都采用的该方法,如Cisco的NetRanger、IIS的Real Secure以及Axent公司的IntruderAlert等。但是其检测的完备性则依赖于攻击签名知识库的不断更新和补充
27、。另外,误用检测是通过匹配模式库来完成检测过程的,所以在计算处理上对系统的要求不是很高。,通常,这里所能检测到的入侵行为往往是利用操作系统的缺陷、应用软件的缺陷或网络协议实现上的缺陷等来实施的。误用检测通过检测那些与已知的入侵行为模式类似的行为或间接地违背系统安全策略的行为,来识别系统中的入侵活动。使用这种技术的入侵检测系统,可以避免系统以后再次遭受同样的入侵攻击行为,而且系统安全管理员能够很容易地知道系统遭受到了哪种攻击,并采取相应的行动。但是,知识库的维护需要对系统中的每一个缺陷都要进行详细的分析,这不仅是一个耗时的工作,而且关于攻击的知识依赖于操作系统、软件的版本、硬件平台以及系统中运行
28、的应用程序等。,误用检测的主要局限性表现在:(1)它只能根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为,而面对新的入侵攻击行为以及那些利用系统中未知或潜在缺陷的越权行为则无能为力。也就是说,不能检测未知的入侵行为。由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法由于缺乏先验知识就不能进行有效的检测,因而在新的网络环境下漏警率会比较高。,(2)与系统的相关性很强,即检测系统知识库中的入侵攻击知识与系统的运行环境有关。对于不同的操作系统,由于其实现机制不同,对其攻击的方法也不尽相同,因而很难定义出统一的模式库。(3)对于系统内部攻击者的越权行为,由于他们没有利用系统的缺陷
29、,因而很难检测出来。,3采用两种技术混合的入侵检测 入侵检测的两种最常用技术在实现机理、处理机制上存在明显的不同,而且各自都有着自身无法逾越的障碍,使得各自都有着某种不足。但是采用这两种技术混合的方案,将是一种理想的选择,这样可以做到优势互补。,11.3.3 其它的分类 除了上述对入侵检测系统的基本分类外,还有其它不同形式的分类方法,如按照入侵检测系统的响应方式来划分,可分为主动的入侵检测系统和被动的入侵检测系统。主动的入侵检测系统对检测到的入侵行为进行主动响应、处理,而被动的入侵检测系统则对检测到的入侵行为仅进行报警。这里就不再作过多的介绍了。,11.4 入侵检测系统模型,入侵检测系统是动态
30、安全防御策略的核心技术,比较有影响的入侵检测系统模型有:CIDF模型;Denning的通用入侵检测系统模型。其中,CIDF模型是在对入侵检测系统进行规范化的进程中提出的,也是逐渐被入侵检测领域所采纳的模型;Denning的通用入侵检测系统模型作为入侵检测发展历程中颇具影响力的实例,给入侵检测领域的研究带来了相当重要的启示。现在,很多的入侵检测系统研究原型都是基于这两个模型的,所以有必要对其作一介绍。,11.4.1 入侵检测系统的CIDF模型 CIDF模型是由CIDF(Common Intrusion Detection Framework)工作组提出的。CIDF(http:/www.gidos
31、.org/)工作组是由Teresa Lunt发起的,专门从事对入侵检测系统(IDS)进行标准化的研究机构。它主要研究的是入侵检测系统的通用结构、入侵检测系统各组件间的通信接口问题、通用入侵描述语言(Common Intrusion Specification Language,CISL)以及不同入侵检测系统间通信问题等关于入侵检测的规范化问题。,CIDF提出了一个入侵检测系统的通用模型(如图11-5所示),它将入侵检测系统分为以下几个单元:事件产生器(Event Generators)事件分析器(Event Analyzers)响应单元(Response Units)事件数据库(Event D
32、atabases),图11-5 简化的入侵检测系统CIDF模型,CIDF模型将入侵检测系统(IDS)需要分析的数据统称为事件(Event),它可以是网络中的数据包,也可以是从系统日志等审计记录途径得到的信息。事件产生器即检测器,它从整个计算环境中获得事件,并向系统的其它部分提供此事件;事件分析器分析得到的数据,并产生分析结果;响应单元则是对分析结果作出反应的功能单元,它可以是作出切断连接、改变文件属性等反应,甚至发动对攻击者的反击,也可以只是简单的报警;事件数据库是存放各种中间和最终数据的地方的总称,它可以是复杂的数据库,也可以是简单的文本文件。各功能单元间的数据交换采用的是CISL语言。,图
33、11-5是入侵检测系统的一个简化模型,它给出了入侵检测系统的一个基本框架。一般地,入侵检测系统由这些功能模块组成。在具体实现上,由于各种网络环境的差异以及安全需求的不同,因而在实际的结构上就存在一定程度的差别。图11-6是互联网工程任务组(IETF)提出的对CIDF模型的一个更详细的描述。,图11-6 IETF的入侵检测模型实例,这里介绍的模型是IETF下的IDWG(入侵检测工作组)(http:/www.ietf.org/html.charters/idwg-charter.html)对入侵检测系统进行标准化的设计方案。目前,此模型还只是Internet草案,未形成正式的RFC文档,现有的各种
34、入侵检测系统的研究原型还未采纳这种标准,但是,在不久的将来,随着行业的不断规范化,这一模型将会被投入到实际运用中。,11.4.2 Denning的通用入侵检测系统模型 Dorothy E.Denning于1987年提出了一个通用的入侵检测模型(如图11-7所示)。该模型由以下六个主要部分组成:主体(Subjects)、客体(Objects)、审计记录(Audit Records)、行为轮廓(Profiles)、异常记录(Anomaly Records)及活动规则(Activity Rules)。,图11-7 Denning 的通用入侵检测系统模型,在该模型中,主体是指目标系统上活动的实体,通常
35、指的是用户,也可能是代表用户行为的系统进程,或者是系统自身。主体的所有行为都是通过命令来实现的。客体是指系统资源,如文件、命令、设备等。它是主体的行为的接受者。主体和客体没有明显的界限,往往在某一环境下的主体在另一环境下则会成为客体。,审计记录是指主体对客体进行操作而在目标系统上产生的记录,如用户的登录、命令的执行、文件的访问等都会在系统中产生相应的记录。它是由构成的六元组。其中,活动是指主体对客体的操作,如登录、退出、读、写等;异常条件是指主体活动出现异常情况时系统的状态;资源使用状况是指系统的资源消耗情况;时间戳是指活动发生的时间。,行为轮廓是描述主体对客体正常行为的模型,它包含有系统正常
36、活动的各种相关信息。异常记录是指当系统检测到异常行为时产生的记录,由事件、时间戳、行为轮廓组成。活动规则是指系统判断是否是入侵的准则,以及当满足入侵条件时,系统所采取的相应的对策。这个模型是个典型的异常检测的实现原型,对入侵检测的研究起着相当重要的推动作用。SRI的NIDES(http:/,11.5 分布式入侵检测系统,一方面,由于网络环境的分布性和开放性,使得我们要保护的目标主机和网络在数量和层次上将不再局限在很有限的范围内,而且不断发展的网络技术使得攻击手段也在不断推陈出新,这样,对入侵行为的检测将面临更大的挑战。另一方面,单一机制的入侵检测系统存在着自身难以克服的缺陷,无法满足日益苛刻的
37、安全需求。这使得人们在深入研究的同时不得不另辟蹊径。分布式入侵检测系统就是这一时期的产物,它的出现为人们提供了新的安全解决方案。,分布式入侵检测系统是采用基于主机的和基于网络的入侵检测系统相结合的综合方案,这样既可以克服基于主机的入侵检测系统和基于网络的入侵检测系统的各自不足,又可以充分发挥它们各自的优势,从而实现对被保护目标的最佳防护。图11-8是分布式入侵检测系统的组成框图。,图11-8 分布式入侵检测系统设计框图,由图可以看出,该系统的主要功能部件有网络引擎、主机代理、分析系统、管理控制系统、存储系统、响应系统等。网络引擎主要是从网络流量中获取原始数据包,并对其进行预处理,并将预处理后的
38、数据发送给分析系统;主机代理则是从受保护的主机系统获取审计数据,并对其进行预处理,将处理过的数据送往分析系统;分析系统对预处理后的数据进行分析,根据不同的数据特点建立相应的检测模型,即采用不同的检测算法对数据进行分析处理,并将分析结果送到管理控制系统;,管理控制系统是整个系统同用户交互的窗口,它提供各种管理控制信息,并协调其它部件的工作;存储系统是用来对各种结果进行存储的地方,并提供灵活的数据维护、处理和查询服务,同时也是一个安全的日志系统;响应系统则是对确认的入侵行为采取相应措施的子系统。从所采用的技术角度来看,分布式入侵检测系统的检测机制是误用检测和异常检测并举的方案。具体的工作模式如图1
39、1-9所示。,图11-9 分布式入侵检测系统的检测机制示意图,图11-10给出了一个典型的分布式入侵检测系统在实际网络环境下的部署图。在本图中,我们在防火墙内外都设置了网络引擎,这样我们就可以充分利用基于网络的IDS的优点,实时地进行攻击企图的识别,并可将其阻断在防火墙之外。同时,还可监控透过防火墙的攻击行为,为我们及时地更新防火墙的配置提供依据。对于主机代理的设置则是要根据具体的安全防护策略来进行。这样,我们就可以最大限度地发挥不同类型的IDS的优势,实现对被保护网络的最大安全化。,图11-10 典型的分布式入侵检测系统部署图,11.6 小 结,入侵检测是信息时代网络技术蓬勃发展的必然产物,它的出现给从事信息安全研究的人们一个全新的遐想空间,而且关于入侵检测的研究涉及到多学科的知识的交互。这里只是对入侵检测基本理论的阐述,很多问题还不是很深入,目的是能给大家在从事这方面研究时有所启示。,
