第五讲混合式入侵检测技术
混合型的入侵检测技术
6.1 采用多种信息源
3.
局域网监控器 特点 ● LEG组件必须从当前网络数据包中构建所 需的网络审计记录(NAR)。 ● LEG组件采用多个简单分析手段来分析构 建好的NAR记录。 ● LEG还建立和维护当前网络行为的正常模 型,并检测当前网络使用情况与正常模型 的偏离情况。
6.1 采用多种信息源
6.2 采用多种检测方法
3、统计分析组件
IDES统计异常检测引擎 观测在所监控计算机系统上的活动行 为,自适应地学习主体的正常行为模式。 维护一个主体的统计知识库,其中包含 主体的档案。 IDES中所使用的用来确定一个行为是否 异常的推导进程是建立在统计数值的基 础上的。
6.2 采用多种检测方法
主机监控器首先从主机在系 统中读取C2审计数据文件,获取 审计记录,将这些审计记录映射 到DIDS系统定义的规范格式 HAR上,过滤冗余后,分析检测 数据,生成不同的异常事件报 告,交由主机代理发送到中央控 制台。同时控制台也可以通过主 机代理,对用于安全分析的模式 库进行修改和调整操作,以便更 好地执行分析逻辑。
6.1 采用多种信息源
DIDS中央控制台组件能够解决两个关键 的问题 ⑴网络环境下对特定用户和系统对象(例如 文件)的跟踪问题。为此,DIDS提出了 网络用户标识(NID)的概念。 ⑵不同层次的入侵数据抽象问题。DIDS系 统提出了一个6层的入侵检测模型,并以 此模型为基础和指导,构造了专家系统的 检测规则集合。
4、专家系统组件 IDES基于规则分析组件 采用一组规则来评价活动事件(即审计记 录流),从而对用户的当前行为是否正常 做出评价。 是一个基于规则的前向链系统,即系统是 由输入到知识库中的事实进行驱动的。 IDES系统采用PBEST专家系统工具来编 写检测规则库。
《入侵检测技术理论》课件
经过一段时间的实施,企业的网络安全得到了显著提升,未再发生数据 泄露和业务中断的情况。入侵检测系统成功地检测并阻止了多次恶意攻 击,保障了企业的正常运营。
云服务提供商安全防护案例
案例保障客户数据的安全,需要加强自身的安全防护能力。
解决方案
不足
依赖于特征库的完备性,对未知攻击的检测能力有限。
03
CATALOGUE
入侵检测技术应用
企业网络安全防护
企业网络安全防护是入侵检测技术应用的重要领域之一。通过部署入侵检测系统,企业可以实时监测 网络流量和异常行为,及时发现并应对潜在的安全威胁,保护关键业务和数据资产。
企业入侵检测系统需要具备高性能、高可用性和可扩展性,以满足企业不断增长的网络规模和安全需 求。同时,企业需要制定完善的安全策略和应急响应计划,确保在发生安全事件时能够迅速应对。
THANKS
感谢观看
政府机构网络安全防护
政府机构网络安全防护是另一个重要 的入侵检测技术应用领域。政府机构 需要保护敏感信息、维持政府职能的 正常运转,因此需要部署高效的入侵 检测系统来监测和防范网络攻击。
VS
政府机构入侵检测系统需要具备高度 的可靠性和稳定性,以满足政府机构 对安全性的高要求。同时,政府机构 需要加强与其他安全机构的合作,共 同应对网络安全威胁。
《入侵检测技术理论》 PPT课件
CATALOGUE
目 录
• 入侵检测技术概述 • 入侵检测技术原理 • 入侵检测技术应用 • 入侵检测技术挑战与展望 • 案例分析
01
CATALOGUE
入侵检测技术概述
入侵检测技术的定义
入侵检测技术
是一种用于检测、发现、记录和报告网 络系统中未授权或异常行为的安全技术 。
《入侵检测技术 》课件
能够应对复杂多变的网络威胁。
详细描述
基于统计、数据挖掘、机器学习等技术的入侵检测方法, 能够从大量数据中提取有用的信息,并自动学习攻击手段 的变化,从而更有效地应对复杂的网络威胁。
总结词
对资源要求较高。
详细描述
由于这些方法需要处理大量的网络流量数据,因此对系统 资源的要求较高,需要高性能的硬件和软件支持。
《入侵检测技术》 PPT课件
• 入侵检测技术概述 • 入侵检测技术分类 • 入侵检测技术原理 • 入侵检测技术应用场景 • 入侵检测技术面临的挑战与解决
方案 • 未来入侵检测技术的发展趋势
目录
01
入侵检测技术概述
定义与目的
定义
入侵检测技术是一种用于检测、识别 和应对网络或系统上未经授权的访问 或异常行为的手段。
性能有一定影响。
混合型入侵检测技术
混合型入侵检测技术是指结合 基于主机和基于网络的入侵检 测技术的一种技术。
它通过综合分析主机系统和网 络流量数据,提高对攻击行为 的检测和识别的准确性。
混合型入侵检测技术可以提供 更全面的安全防护,但需要同 时考虑主机和网络的部署和管 理。
其他分类方法
基于时间的入侵检测技术
主机入侵检测技术可以提供更精确的攻击识别和更深入的攻击分析,但需要安装在 被保护的主机上,且对主机的性能有一定影响。
基于网络的入侵检测技术
网络入侵检测技术是指基于网络 流量数据来检测和识别恶意行为
的一种技术。
它通过分析网络流量数据,检测 和识别异常的网络行为,如未经 授权的访问、恶意代码传播等。
网络入侵检测技术可以提供实时 的攻击检测和预警,但需要部署 在网络的关键节点上,且对网络
通过检测和应对安全威胁,入侵检测 技术有助于提高网络和系统的安全性 ,保护组织的机密信息和资产。
网络攻防中的入侵检测技术
网络攻防中的入侵检测技术随着现代社会的发展,计算机网络已经成为了人们进行交流和传播信息的重要工具,同时也为恶意攻击者提供了更多的侵入渗透的机会。
为了保障网络的安全和稳定,入侵检测技术已经成为了网络安全领域内的重要组成部分。
一、入侵检测的概念和分类入侵检测是指通过对网络流量、系统和应用程序进行监测,发现和识别入侵行为,并及时采取防范措施的技术手段。
根据入侵检测系统的部署环境可以将其分为网络入侵检测系统(NIDS)和主机入侵检测系统(HIDS)。
NIDS主要用于监测网络中的流量、连接和协议等,能够快速识别和跟踪网络中的攻击行为。
HIDS则是指在主机层面对系统和应用程序进行监测和分析,能够有效地发现主机上的入侵行为。
二、入侵检测的技术原理和方法入侵检测系统主要依靠实现智能分析和监测网络流量、协议和应用程序等行为来识别和报告网络中的攻击活动。
(一)基于签名的检测方法该方法基于已知攻击特征的签名库,通过对网络流量和数据包进行比对,来识别出与已知攻击特征相符的攻击行为。
该方法优点是准确率高,缺点是需要事先知道已知攻击的特征,否则会较难进行攻击检测。
(二)基于异常检测的方法该方法主要是基于对系统和网络行为的监测和分析,发现和报告异常的行为或活动。
该方法的优点是可以发现未知攻击行为,缺点是误报率较高,需要对误报进行过滤和调整。
(三)基于机器学习的方法该方法利用机器学习算法对网络数据进行分类和模式识别,从而准确地识别和分析网络中的攻击行为。
该方法的优点是自动化程度高,适应性强,但是需要大量的教学样本来训练和验证模型,因此需要大量的时间和资源。
三、入侵检测系统的关键技术入侵检测技术在实际应用中还需要结合一些关键技术才能发挥出最大的效果。
(一)流量采集技术网络流量是入侵检测的源头数据,需要对网络中的流量进行采集和分析。
目前主要采用的流量采集技术有镜像端口采集、流量监测器和传感器等。
(二)数据挖掘技术数据挖掘技术可以从复杂的数据中挖掘出有价值的信息,通过对大量的流量数据进行分析和挖掘,可以有效地识别和发现网络攻击。
入侵检测技术ppt课件
监控 特征提取 匹配 判定
4. 指标 错报低 漏报高
误用检测模型
如果入侵特征与正常的用户行能匹配,则系统 会发生误报;如果没有特征能与某种新的攻击 行为匹配,则系统会发生漏报
特点:采用特征匹配,滥用模式能明显降低错 报率,但漏报率随之增加。攻击特征的细微变 化,会使得滥用检测无能为力
System Audit
Metrics
Pattern Matcher
Normal Activity No Signature Match
Signature Match Intrusion
误用检测模型
误用检测
1. 前提:所有的入侵行为都有可被检测到的特征 2. 攻击特征库: 当监测的用户或系统行为与库中的记录
黑客经常在系统日志文件中留下他们的踪迹, 因此,充分利用系统和网络日志文件信息是检 测入侵的必要条件
日志文件中记录了各种行为类型,每种类型又 包含不同的信息,例如记录“用户活动”类型 的日志,就包含登录、用户ID改变、用户对文 件的访问、授权和认证信息等内容
显然,对用户活动来讲,不正常的或不期望的 行为就是重复登录失败、登录到不期望的位置 以及非授权的企图访问重要文件等等
30 20 10 0
CPU
Process Size
probable intrusion
normal profile abnormal
Relatively high false positive rate anomalies can just be new normal activities.
误用检测
简单地说,入侵检测系统包括三个功能 部件:
(1)信息收集 (2)信息分析 (3)结果处理
入侵检测技术
10
7.2 入侵检测的原理与技术
网络数据
读取网络数据 网络报文数据
协议分析
比较数据
事件数据库
上报事件
图7-1 网络IDS工作模型
11
7.2 入侵检测的原理与技术
网络IDS优势
22
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
2、异常检测技术 通过对系统审计数据的分析建立起系统主体(单个用户、 一组用户、主机,甚至是系统中的某个关键的程序和文件等) 的正常行为特征轮廓;检测时,如果系统中的审计数据与已建 立的主体的正常行为特征有较大出入就认为是一个入侵行为。 这一检测方法称“异常检测技术”。 一般采用统计或基于规则描述的方法建立系统主体的行 为特征轮廓,即统计性特征轮廓和基于规则描述的特征轮廓。
事件数据库
图7-4 控制中心的工作流程
21
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
入侵检测主要通过专家系统、模式匹配、协议分析 或状态转换等方法来确定入侵行为。入侵检测技术有:
➢静态配置分析技术 ➢异常检测技术 ➢误用检测技术
1.静态配置分析技术 静态配置分析是通过检查系统的当前系统配置,诸 如系统文件的内容或系统表,来检查系统是否已经或者 可能会遭到破坏。静态是指检查系统的静态特征(系统配 置信息),而不是系统中的活动。
6
7.1 入侵检测系统概述
7
7.1 入侵检测系统概述
7.1.4 入侵检测的发展历程
1980年,概念的诞生 1984~1986年,模型的发展 1990年,形成网络IDS和主机IDS两大阵营 九十年代后至今,百家争鸣、繁荣昌盛
第五讲 入侵检测技术讲解图示
返回本章首页
响应处理
知识库
入侵分析
数据存储
数据提取 原始数据流
图5-3 入侵检测系统结构
返回本章首页
入侵检测的思想源于传统的系统审计, 入侵检测的思想源于传统的系统审计,但拓 宽了传统审计的概念, 宽了传统审计的概念,它以近乎不间断的方式进 行安全检测,从而可形成一个连续的检测过程。 行安全检测,从而可形成一个连续的检测过程。 这通常是通过执行下列任务来实现的: 这通常是通过执行下列任务来实现的:
返回本章首页
知识库
专家系统
文件生成器 客户
安全报告
管理员 代理服务
中心检测平台 安全RPC
安全RPC
代理服务
采集审计数据
采集审计数据
目标系统
目标系统
图5-4 入侵检测系统的功能结构
• 代理服务器负责从各个目标系统中采集审计数据,并 代理服务器负责从各个目标系统中采集审计数据, 把审计数据转换为与平台无关的格式后传送到中心检 测平台, 测平台,同时把中心平台的审计数据要求传送到各个 目标系统 • 中心检测平台的功能是根据代理服务器采集来的审告。 • 管理员可向各个主机提供安全管理功能,根据专家系 管理员可向各个主机提供安全管理功能, 统分析结果向各个代理服务器发出审计数据的需求。 统分析结果向各个代理服务器发出审计数据的需求。 • 中心检测平台和代理服务器之间通过安全的远程过程 调用( 调用(RPC)进行通信。 )进行通信。
返回本章首页
5.1 入侵检测概述
发展 一个阶段是安全审计
审计定义为对系统中发生事件的记录和分析处理过程。与系统日 志相比,审计更关注安全问题。根据美国国防部(DOD)“可信计算机系 统评估标准”(TCSEC)橘皮书规定,审计机制(auditmechanism)应作为 C2或C2以上安全级别的计算机系统必须具备的安全机制。其功能: • • • • 记录系统被访问的过程以及系统保护机制的运行; 发现试图绕过保护机制的行为; 及时发现用户身份的变化; 报告并阻碍绕过保护机制的行为并记录相关过程,为灾难恢复提供 信息。 1980年4月,James P.Aderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视 )的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机 系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为 三种,还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为 是入侵检测的开山之作。
网络安全中的入侵检测技术综述
网络安全中的入侵检测技术综述网络安全是当今社会中的一个重要议题,随着互联网的普及和信息技术的迅速发展,网络攻击和入侵事件屡见不鲜。
为了保护网络系统和用户的安全,研究人员和安全专家们积极探索各种入侵检测技术。
本文将综述几种常见的入侵检测技术,并分析它们的特点和应用。
一、入侵检测技术的概念入侵检测技术(Intrusion Detection Technology)是指通过对网络通信流量、系统日志、主机状态等进行监控和分析,及时发现和识别已发生或即将发生的入侵行为。
其目的是快速准确地发现并阻止潜在的安全威胁,保护网络系统和用户的数据安全。
二、基于签名的入侵检测技术基于签名的入侵检测技术(signature-based intrusion detection)是一种传统而有效的检测方法。
它通过预定义的规则集合,检测网络流量中是否存在已知的攻击模式。
这种技术的优点在于准确率高,适用于已知攻击的检测。
然而,缺点也显而易见,就是无法检测未知攻击和变异攻击。
三、基于异常行为的入侵检测技术基于异常行为的入侵检测技术(anomaly-based intrusion detection)通过建立正常行为模型,检测网络流量中的异常行为。
相比于基于签名的方法,这种技术更具有普遍性,能够发现未知攻击。
然而,误报率较高是其主要问题之一,因为正常行为的变化也会被误判为异常。
四、混合型入侵检测技术为了克服单一方法的局限性,许多研究者提出了混合型入侵检测技术。
这些方法综合了基于签名和基于异常行为的特点,在检测效果上有所提高。
其中,流量分析、机器学习、数据挖掘等技术的应用,使得混合型入侵检测技术更加精准和智能化。
五、网络入侵检测系统的架构网络入侵检测系统(Intrusion Detection System,简称IDS)是实现入侵检测的关键组件。
其整体架构包括数据采集、数据处理、检测分析、警报响应等模块。
数据采集模块负责收集网络流量、日志信息等数据;数据处理模块负责对采集到的数据进行预处理和分析;检测分析模块负责使用各种入侵检测技术进行实时监测和分析;警报响应模块负责生成报警信息并采取相应的应对措施。
基于混合入侵检测技术的网络入侵检测方法
基于混合入侵检测技术的网络入侵检测方法
尹才荣;叶震;单国华;赵晓峰
【期刊名称】《合肥工业大学学报(自然科学版)》
【年(卷),期】2009(032)001
【摘要】总结了异常检测和误用检测的优缺点,结合其优点,并克服其缺点,提出了基于混合入侵检测技术的网络入侵检测系统模型.对于同一行为,异常检测结果和误用检测结果不总是一样的,跟踪算法有效地解决了异常检测结果与误用检测结果不完全相同的问题;采用了数据挖掘方法建立正常行为轮廓库,并采用了全序列比较法和相关函数法实现异常检测引擎;提出的模型较基于单一入侵检测技术的模型相比,具有更好的检测效果.
【总页数】4页(P69-72)
【作者】尹才荣;叶震;单国华;赵晓峰
【作者单位】合肥工业大学,计算机与信息学院,安徽,合肥,230009;合肥工业大学,计算机与信息学院,安徽,合肥,230009;合肥工业大学,计算机与信息学院,安徽,合肥,230009;合肥工业大学,计算机与信息学院,安徽,合肥,230009
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.基于机器学习的舰艇网络入侵检测技术 [J], 徐文良;张永胜;程健庆
2.基于人工智能的网络入侵检测技术研究 [J], 蒋玉婷
3.基于人工智能的通信网络入侵检测技术研究与设计 [J], 黎日文
4.基于大数据聚类的网络入侵检测技术研究 [J], 郑美容
5.基于Boosting集成学习算法的网络入侵检测技术研究 [J], 易琳;王欣
因版权原因,仅展示原文概要,查看原文内容请购买。
08周课题:混合型的入侵检测技术2
课题:混合型的入侵检测技术
图6-4 IDES系统结构
所示,从中可以看出各个组件之间的关系。
每个组件的具体实现都可以在不用对系统架构进行基
即高度模块化的设计架构允许IDES系统的底层实现结构与上层
系统实际由以下功能组件构成:邻域接口、统计异常检测器、专家系统异常检测器和用户接口。
系统中,分析处理单元被视为Arpool组件的客户。
二者之间的通信都是基于机制。
每个客户组件(统计分析组件和专家系统组件)都可以使用RPC过程从Arpool 中获取审计数据,然后处理它们,最后将其从Arpool中删除。
统计异常检测引擎观测在所监控计算机系统上的活动行为,自适应地学习主体的
统计异常检测引擎维护一个主体的统计知识库,其中包含主体的档案。
中所使用的用来确定一个行为是否异常的推导进程是建立在统计数值的基础上这些统计值由动态调节的参数来控制,其中的许多参数是针对特定主体类型的。
被审计的活动用一个经计算所得的入侵检测变量向量来描述,对应于在档案中记录的测量值。
IDES 评价整个使用行为模式,而不是仅仅考虑主体行为的单个测量值的情况。
系统的基于规则分析组件采用一组规则来评价活动事件(即审计记录流),从而对
包含了大量已知的系统脆弱性知识、已知入侵模式的信。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Z21hang linlin
多种检测方法的ID技术—IDES及 N▪ I系D统E架S构设计
由四个部分组成
IDES目标系统域通常包含一组 邻域,而每个邻域又包含多台 目标主机
邻域:一组具有类似特性的目标 主机系统。
解析器组件分析由统计分析组件和基于规则分析组件所各自发出的警报信 号,并报告去除冗余后的警报信号。
Z32hang linlin
多种检测方法的ID技术—IDES及
N▪ID解E析S器的数据结构
typedef enum { SAFE, /* Everything is okay */ CRITICAL, /* Critical Alert */ } ia_result_code;
专家系统:在收集来自各个监控器事件记录的基础上,执行关联分析和 安全状态评估的任务。其核心部分是用于进行推理工作的规则库
Z15hang linlin
采用多种信息源的入侵检测-DIDS
Z16hang linlin
采用多种信息源的入侵检测-DIDS
经过函数计算,最终得出一个反映系统 当前安全状态的分数值
typedef struct audit_record_info { … } audit_record_info;
typedef struct Rulebase_Analysis { … } Rulebase_Analysis;
typedef struct Stats_result { … } Stats_result;
Arpool:留驻在邻域接口的服务器端,接收从多个目标机器发来的IDES格 式的审计记录,并将它们序列化成一个单独的记录流,然后再对数据做进一 步的处理。同时也是一个用来存储等待IDES处理的审计记录的临时缓存, 用来集中存放审计数据的地方称为“审计数据池”
Z27hang linlin
多种检测方法的ID技术—IDES及 NIDES
▪ 主机监控器由两部分组成
主机事件发生器HEG组件负责从所在主机系 统中收集审计记录,并对其进行安全分析
主机代理则负责与中央控制台的通信联系。
Z11hang linlin
采用多种信息源的入侵检测-DIDS
▪ 主机监控器的工作机制
主机监控器首先从主机系统 中读取C2审计数据文件,获 取审计记录,然后将这些审 计记录映射到DIDS系统定 义的规范格式HAR上。之后, 将这些统一格式的记录进行 必需的过滤操作以去除冗余 后,再进行各种分析检测工 作,生成不同的异常事件报 告,交由主机代理发送到中 央控制台。
0
使用物理位置 ● 邮件程序使用 ● 编辑器使用 ● 编译器使用 ● 外壳使用 ● 窗口命令使用 ● 通用程序使用 ● 通用系统调用使用 ● 文件活动 ● 文件使用 ● 所访问用户的ID号
…
对于用户所生成的每一个审计记录,IDES系统经计算生成一个单独的测试统计值( IDES分数值,表示为T2),用来综合表明最近用户行为的异常程度。统计值T2本 身是一个对多个测量值异常度的综合评价。因而IDES很好地体现了模型2和3.
由两部分组成。一部分驻留在目 标主机系统上(邻域客户),另 一部分位于IDES处理引擎所在 的本地主机上(邻域服务器)
Z23hang linlin
多种检测方法的ID技术—IDES及 NIDES
IDES的用户接口: 允许用户观察在系统中所产
生和处理的任何信息,包括 系统各个组件的状态和活动 情况。 用户接口独立于基本的 IDES数据处理过程,其有 利于进行更好的模块化设计。
PBEST编译器将用户编写的规则库转换为C语言代码,进一步 编译后就可构建一个实用的可执行程序。
Z31hang linlin
多种检测方法的ID技术—IDES及 NIDES
在IDES系统中,规则分析组件和统计分析组件是独立并行工作的。它们 共享相同的审计记录来源,并生成各自的分析报告;在后继的NIDES系 统中,引入一个解析器组件来合并分析这两个组件的输出结果。
IDES统计异常检测引擎: 观测在所监控计算机系统上的活动行为,自适应地学习主体的正
常行为模式。 维护一个主体的统计知识库,其中包含主体的档案。 使用特定的入侵检测测量值来决定所观测到的审计记录中的行为,
并与过去或者可接受的行为对比是否异常。
Z28hang linlin
回顾:用于入侵检测的统计模型—示例
Z29hang linlin
回顾:用于入侵检测的统计模型—示例
▪ IDES用户主体类型的测量值
序数测量值 类别测量值
CPU使用情况 I/O使用情况
审计记录分布测量值
活动强度测量值
每分钟的流量 ● 每10分钟的流量 ● 每小时的流量
对于以上的每个测量 值,在审计记录分布 测量值中都有一个对 应的类别。 如:CPU测量的类型 为:审计记录指示 CPU使用的增量大于
Z13hang linlin
采用多种信息源的入侵检测-DIDS
LEG组件必须从当前网络数据包中构建所需的网络审计记 录(NAR, Network Audit Record)。
LEG组件主要审计主机之间的连接、所访问的服务类型以 及每个连接的数据流量情况。
LEG还建立和维护当前网络行为的正常模型,并检测当前 网络使用情况与正常模型的偏离情况。
SOUI服务器:负责实现用户接 口功能
Z26hang linlin
多种检测方法的ID技术—IDES及 NIDES
Arpool Agen
Agen和 Arpool组件之 间采用的是 RPC(远程过 程调用)通信 协议
Agen:留驻在目标系统上的组件,通常它以离散的时间间隔对每一个审计 文件进行轮询,以确定目标主机是否已经加入了新的审计数据。
Dorothy Denning还有 哪些贡献?
Z20hang linlin
多种检测方法的ID技术—IDES及 NIDES
入侵检测专家系统(IDES)是一个混合型的入侵检测系统,使用专家 系统检测模块来对已知的入侵攻击模式进行检测。
NIDES系统继承了IDES系统设计的基础思路,同时做出若干改进更 新,以适应更高的用户需求。
采用多种信息源的入侵检测-DIDS
控制台负责管理和控制主机 监控器和网络监控器
主机监控器:从主机系统中 获取审计记录,经分析检测 ,生成异常事件报告,送至 中央控制台
局域网监控器监控网段内的 数据包数据,将所发现的异 常事件发送到中央控制台
Z10hang linlin
采用多种信息源的入侵检测-DIDS
Z30hang linlin
多种检测方法的ID技术—IDES及 NIDES
IDES系统的基于规则分析组件 采用一组规则来评价活动事件(即审计记录流),从而对用户
的当前行为是否正常做出评价。 是一个基于规则的前向链系统,即系统是由输入到知识库中的
事实进行驱动的,而非用户设定的目标驱动 IDES系统采用PBEST专家系统工具来编写检测规则库。
Z7hang linlin
Z8hang linlin
采用多种信息源的入侵检测-DIDS
DIDS系统设计的目标环境 一组经由以太局域网连接起来的主机 并且这些主机系统都满足C2等级的安全审计功能要求
DIDS所要完成的任务 是监控网络中各个主机的安全状态 同时检测针对局域网本身的攻击行为。
Z9hang linlin
3
本章小结
Z18hang linlin
多种检测方法的ID技术—IDES及 NIDES
Z19hang linlin
多种检测方法的ID技术—IDES及 N▪ IIDDEESS简介
1984年—1986年,乔治敦大学的Dorothy Denning和 SRI/CSL(SRI公司计算机科学实验室)的Peter Neumann研 究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系 统)。 1988年,SRI/CSL的Teresa Lunt等人改进了Denning的入侵 检测模型,并开发出了一个IDES。该系统包括一个异常检测器和一 个专家系统,分别用于统计异常模型的建立和基于规则的特征分析检 测。
Z24hang linlin
多种检测方法的ID技术—IDES及 NIDES
Z25hang linlin
多种检测方法的ID技术—IDES及 ▪NNIDIDEESS系统的架构设计
客户机和服务器模式
Arpool服务器:负责管理来自 目标主机的审计数据,并提供给 后继的检测组件客户进程
分析服务器:负责接收统计分 析组件和规则分析组件的分析 结果,并负责通过特定代理向 SOUI服务器提供警报信息。
typedef struct Rulebase_result { … } Rulebase_result;
typedef struct Alert { … } Alert;
typedef struct Stats_Anals;
Z14hang linlin
采用多种信息源的入侵检测-DIDS
通信管理器:提供专家系统和用户接口与底 层各个监控器之间的双向通信通道。
用户接口:通过通信管理器查询特定主机系 统上某个特定用户的登录等活动情况。
是以友好的方式实时地提供用户关心的系统 信息,包括实时的异常事件显示、整个系统 的安全状态信息等;同时,它还提供用户进 行特定控制和查询功能的接口
Z12hang linlin
采用多种信息源的入侵检测-DIDS
局域网事件发生器LEG负责观察网段内的所 有来往数据包数据,并检测主机间网络连接, 以及服务访问情况的安全状态,包括每个连 接内的数据流量等
局域网代理将所发现的异常事件发送到中央 控制台,同时接受控制台的控制命令,负责 提供更进一步的详细信息