第3章 入侵检测系统模型
IDS3
常用术语
Alert(警报) (警报)
当一个入侵正在发生或者试图发生时,IDS系统将 当一个入侵正在发生或者试图发生时, 系统将 发布一个alert信息通知系统管理员 发布一个 信息通知系统管理员 r 如果控制台与 如果控制台与IDS系统同在一台机器,alert信息将 系统同在一台机器, 系统同在一台机器 信息将 显示在监视器上, 显示在监视器上,也可能伴随着声音提示 r 如果是远程控制台,那么 如果是远程控制台,那么alert将通过 将通过IDS系统内置 将通过 系统内置 方法(通常是加密的)、 )、SNMP(简单网络管理协 方法(通常是加密的)、 ( 通常不加密)、 )、email、SMS(短信息)或者 议,通常不加密)、 、 (短信息) 以上几种方法的混合方式传递给管理员
入侵检测系统 20
Promiscuous(混杂模式) (混杂模式)
默认状态下, 网络接口只能看到进出主机的信息, 默认状态下,IDS网络接口只能看到进出主机的信息, 网络接口只能看到进出主机的信息 也就是所谓的non-promiscuous(非混杂模式) 也就是所谓的 (非混杂模式) 如果网络接口是混杂模式, 如果网络接口是混杂模式,就可以看到网段中所有的 网络通信量, 网络通信量,不管其来源或目的地 这对于网络IDS是必要的,但同时可能被信息包嗅探 是必要的, 这对于网络 是必要的 器所利用来监控网络通信量
入侵检测系统
12
入侵检测性能关键参数
误报(false positive): 如果系统错误地将异常活动定义为入侵 漏报(false negative): 如果系统未能检测出真正的入侵行为
入侵检测系统
13
评估IDS的其它性能指标
入侵检测系统本身的抗攻击能力 延迟时间 资源的占用情况 系统的可用性。系统使用的友好程度。 日志、报警、报告以及响应能力
入侵检测系统模型的设计与实现
入侵检测系统模型的设计与实现作者:杨立扬来源:《电脑知识与技术》2012年第22期摘要:入侵检测系统是一种对网络进行动态监测,在发现入侵行为时发布预警的主动网络安全技术,该文首先介绍了通用入侵检测系统的组成架构,然后介绍了两种常用的入侵检测分析技术,最后设计并实现一个具有实际应用价值的入侵检测系统模型。
关键词:入侵检测系统;IDS中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)22-5318-03The Design and Implementation of Intrusion Detection System ModelYANG Li-yang(Motorola Mobility Nanjing Software Center, Najing 211102,China)Abstract:As a proactive network security technology, Intrusion Detection System dynamically monitor network state and send out alert once find intrusion behavior. This paper first introduce common architecture of Intrusion Detection System, then introduce two major intrusion detection analysis technology, finally design and implement a full Intrusion Detection System mode which can be actually applied.Key words: intrusion detection system; IDS网络安全日益成为人们关注的焦点,而构建一个安全的网络系统却十分困难,首先,操作系统和网络系统软件越来越复杂,导致软件设计者无法预测程序实际运行中的全部状态,系统漏洞是难以完全避免的;其次,目前网络上的主要安全控制方法是身份认证和访问控制等,然而,木马程序可以轻易地窃取用户的身份认证信息,黑客可以利用系统漏洞提升权限而绕过访问控制,这些攻击都会使得精心构建的网路安全防御体系失效,所以一个完善的网络安全体系,仅仅防御是不够的,入侵检测系统(IDS)因此被提出。
网络安全中的入侵检测模型的解释和可靠性评估
网络安全中的入侵检测模型的解释和可靠性评估第一章:引言随着信息技术的快速发展,网络安全成为了日益重要的话题。
入侵检测系统作为网络安全的重要组成部分,被广泛应用于各种网络环境中。
本章将介绍网络安全中的入侵检测模型的概念,并探讨其可靠性评估的重要性。
第二章:入侵检测模型的解释入侵检测模型是一种用于检测网络中的恶意活动和未经授权访问的系统。
该模型基于对已知攻击模式和行为的分析,以识别和响应威胁。
入侵检测模型主要分为两种类型:基于签名的入侵检测模型和基于异常行为的入侵检测模型。
2.1 基于签名的入侵检测模型基于签名的入侵检测模型使用已知攻击模式的签名进行检测。
其基本原理是对传入或传出网络的流量进行特征匹配,以确定是否存在已知的攻击模式。
这种模型的优势是准确性高,能够及时发现已知攻击。
然而,由于需要更新攻击模式的签名库,这种模型对于未知攻击的检测能力较弱。
2.2 基于异常行为的入侵检测模型基于异常行为的入侵检测模型使用对正常网络流量和行为的分析,通过比较现有网络流量和已知行为模式的差异来检测异常的行为。
这种模型的优势是能够检测未知攻击和零日攻击,但其准确性可能较低,容易误报和漏报。
第三章:入侵检测模型的可靠性评估入侵检测模型的可靠性评估是评估模型的准确性、鲁棒性和可用性的过程。
在进行可靠性评估时,可以使用以下几种方法:3.1 实验评估实验评估是通过构建仿真环境或真实网络环境,在不同的攻击场景下评估入侵检测模型的性能。
通过模拟各种攻击和正常行为,可以评估模型的检测能力、误报率和漏报率等指标。
3.2 基准测试基准测试是使用已知的攻击和正常行为作为标准数据集,评估入侵检测模型的性能。
通过与已知攻击模式的准确匹配和与已知正常行为的相似度比较,可以评估模型的可靠性和准确性。
3.3 交叉验证交叉验证是使用不同的数据集和算法参数,对入侵检测模型进行多次训练和评估的方法。
通过交叉验证,可以评估模型在不同数据集和参数组合下的性能稳定性和可靠性。
网络入侵检测中的异常检测模型的解释和可靠性评估
网络入侵检测中的异常检测模型的解释和可靠性评估第一章引言网络入侵是指通过网络入侵他人计算机系统的行为,是当前互联网环境下必须要应对的一项重大挑战。
为了保护网络系统的安全,网络入侵检测技术应运而生。
异常检测作为网络入侵检测中的一种重要方法,通过分析网络流量的特征来识别异常行为。
本文将解释异常检测模型在网络入侵检测中的作用,并对其可靠性进行评估。
第二章网络入侵检测方法概述网络入侵检测方法可分为基于特征的检测和基于行为的检测两类。
其中,基于特征的检测方法依赖于已知的攻击特征,如特定的攻击签名。
而基于行为的检测方法则通过对网络流量的分析,识别异常行为。
在基于行为的检测方法中,异常检测模型是一种常用的技术手段。
第三章异常检测模型的原理和实现异常检测模型是一种监督学习模型,它通过学习网络流量的正常行为,来判断某个行为是否是异常。
其基本原理是构建一个正常行为的统计模型,并将新的流量数据与该模型进行匹配,如果匹配度低于阈值,则判断为异常。
异常检测模型的实现通常包括特征选择、模型训练和异常判断三个步骤。
第四章异常检测模型的优缺点分析异常检测模型在网络入侵检测中具有一定的优势和局限性。
其优点包括可以识别未知攻击行为,不依赖于特定的攻击特征,以及适应性强等。
然而,由于异常检测模型对正常行为的学习过程比较困难,以及存在误报和漏报的问题,其可靠性还有待提高。
第五章异常检测模型的可靠性评估方法为了评估异常检测模型的可靠性,可以采用多种评估方法。
常用的方法包括离线评估和在线评估两种。
离线评估通过使用已知的攻击数据集和正常数据集进行实验,计算模型的准确率、召回率和F1值等指标来评估模型的性能。
在线评估则是将训练好的模型部署到实际网络环境中,观察模型在实际场景下的检测效果。
第六章异常检测模型的可靠性提升方法为了提升异常检测模型的可靠性,可以采用以下方法。
首先,优化特征选择过程,选择能够更好地描述网络行为的特征。
其次,改进模型的训练算法,提高对正常行为的学习效果。
《入侵检测系统》课件
如何维护和管理入侵检测系统
定期更新系统:确保系统始终处于最新状态,以应对不断变化的威胁 监控系统运行状态:实时监控系统运行状态,及时发现并解决异常情况 定期备份数据:定期备份系统数据,以防数据丢失或损坏 培训员工:对员工进行系统使用和维护的培训,提高员工的安全意识和操作技能
THANKS
汇报人:
基于网络的入侵检测系统
基于主机的入侵检测系统
基于代理的入侵检测系统
基于蜜罐的入侵检测系统
入侵检测系统的重要性
保护网络安全: 及时发现并阻 止网络攻击, 保护网络和数
据安全
提高系统稳定 性:及时发现 并修复系统漏 洞,提高系统 稳定性和可靠
性
降低损失:及 时发现并阻止 网络攻击,降 低经济损失和
声誉损失
如何评估入侵检测系统的性能
检测率:评估系统对入侵行为的检测能 力
误报率:评估系统对正常行为的误报情 况
响应时间:评估系统对入侵行为的响应 速度
兼容性:评估系统与其他安全设备的兼 容性
易用性:评估系统的操作简便性和用户 友好性
成本:评估系统的购买和维护成本
如何部署和配置入侵检测系统
选择合适的入侵 检测系统:根据 企业需求、网络 环境、安全策略 等因素选择合适 的入侵检测系统。
法规政策:政 府对网络安全 的重视将推动 入侵检测系统 的发展和应用
Part Six
如何选择合适的入 侵检测系统
选择入侵检测速度和准确性
功能:系统的检测范围和功能是否满 足需求
兼容性:系统与其他安全设备的兼容 性
价格:系统的价格是否在预算范围内 易用性:系统的操作是否简单易用 售后服务:系统的售后服务是否完善
实时监控:能够实时监控网络流量,及时发现异常行为 智能分析:利用机器学习和人工智能技术,提高检测精度 自动响应:能够自动响应入侵行为,如阻断攻击、报警等 降低风险:减少网络攻击带来的损失,提高网络安全性
入侵检测技术-课后答案
. ..页脚第1章入侵检测概述思考题:(1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。
这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。
(2)入侵检测作用体现在哪些方面?答:一般来说,入侵检测系统的作用体现在以下几个方面:●监控、分析用户和系统的活动;●审计系统的配置和弱点;●评估关键系统和数据文件的完整性;●识别攻击的活动模式;●对异常活动进行统计分析;●对操作系统进行审计跟踪管理,识别违反政策的用户活动。
(3)为什么说研究入侵检测非常必要?答:计算机网络安全应提供性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。
为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。
另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。
但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。
而从实际上看,这根本是不可能的。
因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。
入侵检测系统及应用 PPT课件
除了以上两类主要数据分析技术外,研究人员还提出了 一些新的分析技术,如免疫系统、基因算法、数据挖掘、 基于代理的检测等。本节详细内容参见书本P126~P129页。
2020/3/31
3
4.1.3 主要入侵检测模型
如果按照检测对象划分,入侵检测技术又可分为“基于 主机的检测”、“基于网络的检测”和“混合型检测”三 大类。
本节详细内容参见书本P132~P134页。
2020/3/31
7
4.2 入侵检测原理和应用
4.2.1 入侵检测原理 从总体来说,入侵检测系统可以分为两个部分:收集系 统和非系统中的信息然后对收集到的数据进行分析,并采 取相应措施。 1. 信息收集 信息收集包括收集系统、网络、数据及用户活动的状态 和行为。入侵检测利用的信息一般来自:系统和网络日志 文件、非正常的目录和文件改变、非正常的程序执行这三 个方面。 2. 信号分析 对收集到的有关系统、网络、数据及用户活动的状态和 行为等信息,是通过模式匹配、统计分析和完整性分析这 三种手段进行分析的。前两种用于实时入侵检测,完整性 分析用于事后分析。
4.3 分布式入侵检测系统
由于传统入侵检测技术的种种不足,加上新型的分布式 入侵和攻击行为的频繁出现,所以一种新型的入侵检测技 术就诞生了,那就是分布式入侵检测系统(DIDS)。它包 括两方面的含义:首先它是针对分布式网络攻击的检测方 法;其次使用分布式方法检测分布式的攻击,其中的关键 技术为检测信息的协同处理与入侵攻击的全局信息提取。
入侵检测系统模型的设计与实践
入侵检测系统模型的设计与实践【文章摘要】该课题论述了网络安全的必要性,设计并实现了入侵检测系统模型。
入侵检测系统的实现可以对网络安全进行检测,及时发现入侵行为并发出警报,采取有效措施进行处理。
该课题论述了网络入侵检测系统的组成模块及入侵信息检测技术,设计并实现了入侵检测系统模型。
【关键词】入侵检测系统;网络;网络监测1 入侵及入侵检测的定义1.1入侵定义入侵定义:在未经授权的情况下,通过网络蓄意访问信息、篡改信息等不良行为使资源的完整性、可用性、机密性遭到破坏。
入侵检测:入侵检测是针对入侵行为的一种检测手段。
入侵检测主要是针对计算机系统、网络中的某些关键点而言的,通过收集并分析所获得的信息来判断是否存在非法入侵现象。
入侵检测系统能够有效地发现对信息系统的恶意攻击、试图篡改信息等非法行为,并采取措施阻止这种非法攻击,有效地防止恶意攻击的发生和扩大。
2 网络安全发展现状随着网络技术的发展,它早已渗透到生活、军事、政治等多种领域。
Internet的开放性、跨国性给人们带来便利的同时,也存在很大的安全隐患。
网络安全对银行、军事等重要环节尤为重要。
ISO对计算机系统安全做了如下定义:保护计算机的软、硬件及其数据,即使遭到偶然和蓄意攻击时,系统也不会遭到破坏、泄露、更改,以此来确保网络数据保密性、完整性。
现如今,常用的网络安全技术包括:访问控制、防火墙、数据加密、VPN 虚拟专用网等。
其中防火墙技术使用最为广泛,计算机互联网有三分之一受其保护,防火墙是Internet与内部网络之间的屏障,它起到过滤作用,只有合法的数据流才能通过防火墙,以此来确保系统的安权。
网络管理者通过监管、控制网络访问者来进行网络访问。
针对用户采用不同级别的系统访问权限,防治用户访问非法信息、网站等,确保信息、资源的安全性。
数据加密技术可以将需要保密的重要信息通过加密转换成一些在外人看来没有意义的数据,想要得到原始数据只能用密码打开。
VPN虚拟专用网是在两个通信点之间建立通道,将加密的传输数据封装在IP包中,数据不会被窃取盗用,适合用于远程操作。
入侵检测技术
作者
唐正军,现在上海交通大学信息与通信工程流动站从事博士后研究工作。近5年来发表学术论文20篇,出版网络安全相关技术著作3部,并参加国家自然科学基金儿863计划等国家重大项目多项。同时,申请技术专利和软件版权各1项。
(2)误用检测模型(MisuseDetection):检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
(2)信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。
(3)结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
对象划分
基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理(agent)来实现的,代理是运行在目标主机上的小的可执行程序,它们与命令控制台(console)通信。
基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。
《入侵检测》课件
实时性
系统对入侵事件的响应速度, 快速响应能够减少损失。
可扩展性
系统能够随着网络规模和安全 需求的变化进行扩展的能力。
04 入侵检测面临的挑战与解 决方案
高性能计算环境的挑战与解决方案
挑战
随着高性能计算环境的普及,入侵检测系统需要处理的数据量急剧增加,对数据处理速 度的要求也越来越高。
解决方案
采用分布式计算技术,将数据分散到多个节点进行处理,提高数据处理速度。同时,利 用GPU加速技术,提高算法的并行处理能力,进一步提高数据处理速度。
网络型
部署在网络中的关键节点,实时监测网络流量和数据 包内容。
主机型
安装在目标主机上,监测主机的系统日志、进程等信 息。
混合型
结合网络型和主机型的特点,同时监测网络和主机环 境。
入侵检测系统的性能指标
检测率
能够检测到的入侵事件的比例 ,是衡量入侵检测系统性能的
重要指标。
误报率
将正常行为误判为入侵事件的 比例,低误报率可以提高系统 的可信度。
要点二
面临的挑战
利用量子计算的并行性和量子纠缠等特性,可以加速加密 和解密等计算密集型任务,提高入侵检测的性能和安全性 。
目前量子计算仍处于发展初期,技术尚未成熟,且量子计 算在入侵检测中的应用仍面临许多挑战和限制。
THANKS FOR WATCHING
感谢您的观看
02 入侵检测技术
基于异常的入侵检测技术
总结词
基于异常的入侵检测技术通过监测系统中的异常行为或流量模式来识别入侵行 为。
详细描述
该技术通过建立正常行为模式,并将实际行为与该模式进行比较,以检测异常 行为。如果发现异常行为,则触发警报。
基于误用的入侵检测技术
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3.2 信息收集
• 3.2.2 信息源的获取 • 入侵检测利用的信息源一般来自以下四个方面: • 1. 系统和网络日志文件 黑客经常在系统日志文件中留下他们的踪迹,因此,充分利 用系统和网络日志文件信息是检测入侵的必要条件。日志中包 含发生在系统和网络上的不寻常和不期望活动的证据,这些证 据可以指出有人正在入侵或已成功入侵了系统。通过查看日志 文件,能够发现成功的入侵或入侵企图,并很快地启动相应的 应急响应程序。日志文件中记录了各种行为类型,每种类型又 包含不同的信息,例如记录“用户活动”类型的日志,就包含 登录、用户ID改变、用户对文件的访问、授权和认证信息等内 容。很显然地,对用户活动来讲,不正常的或不期望的行为就 是重复登录失败、登录到不期望的位置以及非授权的企图访问 重要文件等等。
3.1 入侵检测系统模型概述
• 图:
3.2 信息收集
入侵检测的第一步是信息收集,内容包括系统、网络、 数据及用户活动的状态和行为。而且,需要在计算机网络 系统中的若干不同关键点(不同网段和不同主机)收集信 息,这除了尽可能扩大检测范围的因素外,还有一个重要 的因素就是从一个源来的信息有可能看不出疑点,但从几 个源来的信息的不一致性却是可疑行为或入侵的最好标识。
3.1 入侵检测系统模型概述
美中不足的是, IDS 普遍存在误报问题,导致入侵检 测的实用性大打折扣,采用智能处理模块解决这个问题, 智能处理模块包括下面功能: • 1. 全面集成入侵检测技术,将多个代理传送到管理器的数 据整合起来,经过智能处理,将小比例的多个事件整合形 成一个放大的全面事件图。 • 2. 对于一个特定的漏洞和攻击方法, IDS 先分析系统是 否会因为这个缺陷而被入侵,然后再考虑与入侵检测的关 联(报警)。
3.2 信息收集
• 3.2.1 信息收集概述 数据收集机制在IDS中占据着举足轻重的位置。如果收 集的数据时延较大,检测就会失去作用;如果数据不完整, 系统的检测能力就会下降;如果由于错误或入侵者的行为 致使收集的数据不正确,IDS就会无法检测某些入侵,给 用户以安全的假象。 • 1.分布式与集中式数据收集机制 • (1) 分布式数据收集:检测系统收集的数据来自一些固定 位置而且与受监视的网元数量无关。 • (2) 集中式数据收集:检测系统收集的数据来自一些与受 监视的网元数量有一定比例关系的位置。
3.2 信息收集
• 当然,入侵检测很大程度上依赖于收集信息的可靠性 和正确性,因此,很有必要只利用所知道的真正的和精确 的软件来报告这些信息。因为黑客经常替换软件以搞混和 移走这些信息,例如替换被程序调用的子程序、库和其它 工具。黑客对系统的修改可能使系统功能失常并看起来跟 正常的一样,而实际上不是。例如,UNIX系统的PS指令 可以被替换为一个不显示侵入过程的指令,或者是编辑器 被替换成一个读取不同于指定文件的文件(黑客隐藏了初 试文件并用另一版本代替)。这需要保证用来检测网络系 统的软件的完整性,特别是入侵检测系统软件本身应具有 相当强的坚固性,防止被篡改而收集到错误的信息。
3.1 入侵检测系统模型概述
IDS 发展到目前,按照不同的角度区分,已经出现了主 机基和网络基的入侵检测系统;基于模式匹配、异常行为、 协议分析等检测技术的系统。第四代入侵检测技术是主机基 + 网络基+ 安全管理+ 协议分析+ 模式匹配+异常统计, 它的优点在于入侵检测和多项技术协同工作,建立全局的主 动保障体系,误报率、漏报率、滥报率较低,效率高,可管 理性强,并实现了多级的分布式的检测管理,网络基和主机 基入侵检测,协议分析和模式匹配以及异常统计相结合,取 长补短,可以进行更有效的检测。
3.2 信息收集
• IDMEF数据模型是一种面向对象的入侵检测告警信息和 设备心跳信息描述模型。如图3.4所示,在IDMEFMessage根类中包含两个了类:Alert和HeartBeat。它 们和IDMEF-Message之间是继承关系,它继承了 IDMEF-Message的所有属性。Alert和HeartBeat分别用 于对安全告警信息和设备心跳信息进行描述。
3.2 信息收集
• IDMEF
3.2 信息收集
• 4. IDS中基于OWL的安全消息通信机制 • 在图3.2基于OWL信息描述的IDS模型当中,多个感应 器可以和事件分析器之间可以采用基于OWL的消息机制进 行通信。考虑到感知器的异构性、通信的安全性、系统的 效率等问题,通信机制主要要求以下两点:(1) 将异构的 感知检测到的信息采用统一的数据格式,这里采用基于 OWL的信息描述。(2) 保证通信的安全性。其通信模型如 图3.5所示:
3.2 信息收集
• 2.直接监控和间接监控 • 如果IDS从它所监控的对象处直接获得数据,则称为直接 监控;反之,如果IDS依赖一个单独的进程或工具获得数 据,则称为间接监控。 • 就检测入侵行为而言,直接监控要优于间接监控,由于直 接监控操作的复杂性,目前的IDS产品中只有不足20%使 用了直接监控机制。
3.2 信息收集
• 3.基于主机的数据收集和基于网络的数据收集 • 基于主机的数据收集是从所监控的主机上获取的数据;基 于网络的数据收集是通过被监视网络中的数据流获得数据。 • 总体而言,基于主机的数据收集要优于基于网络的数据收 集。
3.2 信息收集
4. 外部探测器和内部探测器 • (1) 外部探测器是负责监测主机中某个组件(硬件或软件) 的软件。它将向IDS提供所需的数据,这些操作是通过独 立于系统的其他代码来实施的。 • (2) 内部探测器是负责监测主机中某个组件(硬件或软件) 的软件。它将向IDS提供所需的数据,这些操作是通过该 组件的代码来实施的。 • 外部探测器和内部探测器在用于数据收集时各有利弊, 可以综合使用。由于内部探测器实现起来的难度较大,所 以在现有的IDS产品中,只有很少的一部分采用它。
3.2 信息收集
• 3. 程序执行中的不期望行为 网络系统上的程序执行一般包括操作系统、网络服务、 用户起动的程序和特定目的的应用,例如数据库服务器。 每个在系统上执行的程序由一到。每个进程执行在具有不 同权限的环境中,这种环境控制着进程可访问的系统资源、 程序和数据文件等。一个进程的执行行为由它运行时执行 的操作来表现,操作执行的方式不同,它利用的系统资源 也就不同。操作包括计算、文件传输、设备和其它进程, 以及与网络间其它进程的通讯。
3.1 入侵检测系统模型概述
• 3. 用户自定义规则:用户可以根据漏洞扫描系统评估自己 的系统,根据服务器操作系统类型,所提供的服务以及根 据漏洞扫描结果制定属于自己的规则文件。这对管理员提 出了更高的要求。 • 4. 采用先进的协议分析+ 模式匹配(滥用检测和异常检测 结合使用) + 异常统计的检测分析方法。
3.2 信息收集
• 3.2.3 信息的标准化 • 不同的入侵检测产品(如Snort,Real Secure等)之间 或同一个入侵检测产品内部各个模块之间通常使用各自定 义的信息描述语言和格式,没有一个统一的标准接口,从 而使得它们之间不能很好地沟通与协作。目前,OWL (Web Ontology Language)已经逐渐成为语义信息描述 的事实标准,正在为越来越多的系统所应用。这里将介绍 入侵检测系统中一套完整的基于OWL的信息描述机制。
3.2 信息收集
• 在IDS的消息描述方面最出名的是入侵检测工作组 IDWG提出的入侵检测交换格式IDMEF(Intrusion Detection Message Exchange Format)。它是一种基 于XML的网络入侵检测告警信息描述标准,它针对IDS而 设计,具有良好的开放性、可扩展性和商业互操作性。 IDMEF仅仅对网络安全告警信息和设备心跳信息进行了描 述,并且采用DTD (Document Type Definition)作为对 XML数据的约束。
3.2 信息收集
• 4. 物理形式的入侵信息 • 这包括两个方面的内容,一是未授权的对网络硬件连接; 二是对物理资源的未授权访问。黑客会想方设法去突破网 络的周边防卫,如果他们能够在物理上访问内部网,就能 安装他们自己的设备和软件。依此,黑客就可以知道网上 的由用户加上去的不安全(未授权)设备,然后利用这些 设备访问网络。例如,用户在家里可能安装Modem以访问 远程办公室,与此同时黑客正在利用自动工具来识别在公 共电话线上的Modem,如果拨号访问流量经过了这些自动 工具,那么这一拨号访问就成为了威胁网络安全的后门。 黑客就会利用这个后门来访问内部网,从而越过了内部网 络原有的防护措施,然后捕获网络流量,进而攻击其它系 统,并偷取敏感的私有信息等等。
3.2 信息收集
• 3.2.3 信息的标准化 • RDF是一种简单的Ontology表示语言。但是RDF的缺点是 其表达能力差,例如,它没有变量,它只支持字符型,不 支持整型、实型等其它简单数据类型。它只有属性的 Domain和range约束,没有否定,没有传递属性 transitive、互反属性 inverse,不能表示等价性和不相 交性、没有类成员的充分必要条件,不能描述等价性等。 • OIL以RDF为起点,用更为丰富的Ontology建模原语对 RDF Scheme进行扩充。OIL的缺点是它不能表达类或属 性的等价性。
3.2 信息收集
• 3.2.3 信息的标准化 • 1. 相关研究 目前的知识描述语言有许多种,如XML,RDF,DAML, DAML+OIL和OWL等。XML是Web上数据交换的标准, 它可以表达任意结构的数据,但是它在表示数据的语义方 面不是很强。 • Ontology本体可以较为有效地解决信息之间的语义不 确定等问题。目前语义Web上的Ontology表示语言主要 有RDF、OIL (Ontology Interchange Language)、 DAML (Darpa Agent Markup Language)、DAML与 OIL结合起来而产生的DAML+OIL、OWL。