一,入侵检测概述
- 1980年James P. Aderson首先提出入侵检测概念,将入侵尝试或威胁定义为:潜在的,有预谋的,未经授权的访问信息和操作信息,致使系统不可靠或无法使用的企图。
- 1987年,Dorothy Denning提出了入侵检测系统(Intrusion Detection System,IDS)的抽象模型,首次提出了入侵检测可作为一种计算机系统安全防御措施的概念,与传统的加密和访问控制技术相比,IDS是全新的计算机安全措施。
- 1988年,Teresa Lunt等人进一步改进了Denning提出的入侵检测模型,创建了IDES(Intrusion Detection Expert System),该系统用于检测单一主机的入侵尝试,提出了与系统平台无关的实时检测思想。
- 1995年开发的NIDES(Next-Generation Intrusion Detection Expert System)作为IDES完善后的版本可以检测出多个主机上的入侵。
- 1990年,Heberlein等人提出基于网络的入侵检测—网络安全监视器(Network Security Monitor,NSM)。NSM与IDS系统的最大区别在于,它并不检查主机系统的审计记录,而是通过主动地监视局域网上的网络信息流量来追踪可疑的行为。
- 1991年,NADIR(Network Anomaly Detection and Intrusion Reporter)与DIDS(Distribute Intrusion Detection System)提出了通过收集和合并处理来自多个主机的审计信息可以检测出一系列针对主机的协同攻击。
- 1994年,Mark Crosbie和Gene Spafford建议使用自治代理(autonomous agents)以提高IDS的可伸缩性,可维护性,效率和容错性。
- 1996年提出的GrIDS(Graph-based Intrusion Detection System),该系统可以方便地检测大规模自动或协同方式的网络攻击。
1,入侵检测原理
- 入侵检测是用于检测任何损害或企图损害系统的保密性,完整性或可用性的一种网络安全技术。通过监视受保护系统的状态和活动,采用误用检测(Misuse Detection)或异常检测(Anomaly Detection)的方式,发现非授权或恶意的系统及网络行为,为防范入侵行为提供有效的手段。
- 入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法,应用前提是:入侵行为和合法行为是可区分的,即可以通过提取行为的模式特征来判断该行为的性质。
- 入侵检测系统需要解决两个问题:
- 如何充分并可靠地提取描述行为特征的数据。
- 如何根据特征数据,高效并准确地判定行为的性质。
2,系统结构
- 从系统构成上看,入侵检测系统应包括数据提取,入侵分析,响应处理和远程管理四大部分,另外还可能结合安全知识库,数据存储等功能模块,提供更为完善的安全检测及数据分析功能。
- 数据提取
- 负责提取与被保护系统相关的运行数据或记录,并对数据进行简单的过滤。
- 入侵分析
- 在提取到的数据中找出入侵的痕迹,将授权的正常访问行为和非授权的异常访问行为区分开,分析出入侵行为并对入侵者进行定位。
- 响应处理
- 在发现入侵行为后被触发,执行响应措施。
- 远程管理
- 由于单个入侵检测系统的检测能力和检测范围的限制,入侵检测系统一般采用分布监视,集中管理的结构,多个检测单元运行于不同的网段或系统中,通过远程管理功能在一台管理站点上实现统一的管理和监控。
- 数据提取
- 根据任务属性的不同,入侵检测系统的功能结构可分为两个部分:中心检测平台和代理服务器。中心检测平台和代理服务器之间通过安全的远程过程调用(Remote Procedure Call,RPC)进行通信。
- 中心检测平台
- 由专家系统,知识库和管理员组成,其功能是根据代理服务器采集来的审计数据由专家系统进行分析,产生系统安全报告。
- 代理服务器
- 负责从各个目标系统中采集审计数据,并把审计数据转换为平台无关的格式后传送到中心检测平台。
- 中心检测平台
3,系统分类
1,基于数据源的分类
- 数据源可以使用多种方式进行分类。从入侵检测的角度看,最为直观的分类方法是按照数据源所处的位置。基于此方法,通常可以把入侵检测系统分为五类,即基于主机,基于网络,混合入侵检测,基于网关的入侵检测系统及文件完整性检查系统。
- 基于主机
- 系统安装在需要重点检测的主机之上,监视与分析主机的审计记录时,如果发现主体的活动十分可疑,入侵检测系统就会采取相应措施。
- 它可以指出入侵者试图执行的“危险命令”,分辨出入侵者的具体行为。
- 存在的不足为,一是目标系统自身的安全和入侵检测系统性能之间无法统一,二是依赖于目标系统的日志与监视能力,使得能否及时采集获得审计数据成为问题。
- 基于网络
- 系统放置在共享网段的重要位置,对监听采集的每个或可疑的数据包进行特征分析,如果数据包与系统规则集数据库中的某些规则吻合,入侵检测系统就会发出警报直至切断网络连接。
- 优点:与具体平台的无关性使其对目标环境和资源影响较小,系统的不可见性使其遭受攻击的可能降低。
- 缺点:系统的许多优势受限于交换网络环境,特征检测法很难检测存在大量复杂计算与分析的攻击方法。
- 混合入侵检测
- 综合基于网络和基于主机两种结构优势的入侵检测系统,其特点是形成了一套完整的,立体式的主动防御体系,即可发现网络中的攻击信息,也可从系统日志中发现异常情况。
- 基于网关
- 由高速网络结合路由与高速交换技术构成的,它从网关中提取信息来提供对整个信息基础设施的保护措施。
- 文件完整性检查系统
- 系统中存有每个文件的数字文摘数据库,每次检查时,它重新计算文件的数字文摘并将它与数据库中的值相比较,如比值不同则表示文件已被修改,反之文件未发生变化。
- 基于主机
2,基于检测理论的分类
- 基于检测理论入侵检测又可分为异常检测和误用检测。
- 异常检测
- 根据使用者的行为或资源使用状态的正常程度来判断是否入侵,而不依赖于具体行为是否出现来检测。通用性较强,甚至有可能检测出以前未出现过的攻击方法。
- 主要缺陷在于误检率很高,尤其在用户数目众多或工作方式经常改变的环境中。
- 由于行为模式的统计数据不断更新,入侵者如果知道某系统处在检测器的监视之下,它们可以通过恶意训练的方式,促使系统缓慢地更改统计数据,以至于最初认为是异常的行为,经一段时间训练后被认为是正常的。此问题为异常检测面临的一大困难。
- 误用检测
- 运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。
- 误用检测也被称为特征分析(Signature Analysis)或基于知识的检测(Knowledge-based Detection)。
- 此方法由于依赖具体特征库进行判断,所以检测准确度很高,并且因为检测结果有明确的参照,也为系统管理员做出相应措施提供了方便。
- 主要缺陷在于检测范围受已知知识的局限,检测系统对目标系统的依赖性太强,不但系统移植性不好,维护工作量大,而且将具体入侵手段抽象成知识也很困难。
- 异常检测
- 误用检测和异常检测各有优势,又都有不足,实际使用中往往是将两者结合一起使用。通常是将误用检测用于网络数据包,将异常检测用于系统日志。
3,基于检测时效的分类
-
IDS处理数据的时候可以采用实时在线检测方式,也可采用批处理方式,定时对原始数据进行离线检测。
-
离线检测方式
- 将一段时间内的数据存储起来,然后定时发给数据处理单元进行分析,如果在这段时间内有攻击发生就报警,缺乏必要的实时性。
- 优势:
- 有些检测需要占用大量CPU资源,如果采用实时分析的办法将会大大降低系统效率。
- 当网络流量很大的时候,即使算法效率很高,有时候也不能满足实时性的要求。
-
在线检测方式
- 实时处理是大多数IDS所采用的办法,由于计算机硬件速度的提高,使得对攻击的实时检测和响应成为可能。
-
实际使用中往往是将批处理和实时处理两种方法互相补充,实时处理系统先对数据进行初步的分析,检测明显的攻击特征,然后批处理对数据进行更加详细的分析,分析的结果还可用于训练异常检测系统。
二,入侵检测的技术实现
- 入侵检测的核心问题在于如何对安全审计数据进行分析,以检测其中是否包含入侵或异常行为的迹象。
1,入侵检测分析模型
- 一般地,入侵检测分析处理过程可分为三个阶段:构建分析器,对实际现场数据进行分析,反馈和提炼过程。其中,前两个阶段都包含三个阶段,即数据处理,数据分类(数据可分为入侵指示,非入侵指示或不确定)和后处理。
- 第一阶段主要进行分析引擎的构造,分析引擎是执行预处理,分类和后处理的核心功能。构建分析器五个功能步骤中误用检测和异常检测各自不同的处理方式如下:
- 第二阶段,入侵分析主要进行现场实际事件流的分析,此阶段分析器通过分析现场的实际数据,识别出入侵及其他重要的活动。如下
- 第三阶段,与反馈和提炼过程相联系的功能是分析引擎的维护及其他如规则集提炼等功能。误用检测在这个阶段的活动主要体现在基于新攻击信息对特征数据库进行更新。异常检测在此阶段主要进行历史统计特征轮廓的定时更新。
2,误用检测
- 误用检测是按照预定模式搜索事件数据的,最适用于对已知模式的可靠检测。执行误用检测,主要依赖于可靠的用户活动记录和分析事件的方法。
1,条件概率预测法
- 条件概率预测法是基于统计理论来量化全部外部网络事件序列中存在入侵事件的可能程度。
2,产生式/专家系统
- 用专家系统对入侵进行检测,主要是检测基于特征的入侵行为。
- 专家系统的建立依赖于知识库的完备性,而知识库的完备性又取决于审计记录的完备性与实时性。
- 由于只能对给定的数据象征性地判断入侵地发生,加之不确定处理能力存在的缺陷,产生式/专家式系统存在的问题在于:不适合处理大批量的数据,这是因为产生式系统中使用的说明性规则一般作为解释系统实现,而解释器效率低于编译器;没有提供对连续数据的任何处理;此外,系统综合能力的不足致使其专业技能只能达到一般技巧安全人员的水准。
3,状态转换方法
- 状态转换方法使用系统状态和状态转换表达式来描述和检测入侵,采用最优模式匹配技巧来结构化误用检测,增强了检测的速度和灵活性,主要有三种实现方法:状态转换分析,有色Petri-Net和语言/应用编程接口(API)。
1,状态转换分析
-
状态转换分析是一种使用高层状态转移图来表示和检测已知攻击模式的误用检测技术。
-
图中节点(Nodes)表示系统的状态,弧线代表每一次状态的转变。
-
用于误用检测的状态转移分析引擎包括一组状态转移图,各自代表一种入侵或渗透模式。在每个给定的时间点,都认为是由一系列用户行为使得系统到达了每个状态转移图中的特定状态。每次当新的行为发生时,分析引擎检查所有的状态转移图,查看是否会导致系统的状态转移。如果新行为否定了当前状态的断言(assertions),分析引擎就将转移图回溯到断言任然成立的状态;如果新行为使系统状态转移到入侵状态,状态转移信息就被发送到决策引擎,并根据预先定义的策略采取相应的响应措施。
2,有色Petri-Net(CP-Net)
- 当一个入侵被表示成一个CP-Net时,事件的上下文是通过CP-Net中的每个令牌颜色变化来模拟的,借助审计踪迹模式匹配的驱动,起始状态到结束状态之间的令牌移动过程指示了一次入侵或攻击的发生。
3,语言/基于API方法
- 有三种可以表达入侵的描述语言:RUSSEL,STALKER系统和N包过滤语言(Network Flight Recorder的一部分),它们的共同特点是采用表格的形式来描述数据。
- RUSSEL:
- 基于规则的语言,设计用于处理非结构化数据流,适合于操作系统的数据审计。
- 目标是向用户提供跨主机关联事件能力和事件的多级别抽象。
- 处理大量审计数据时采用自底向上的方法。
- STALKER:
- 商用误用检测系统,系统中使用了通用审计数据格式和一个用于描述攻击特征的基于状态的数据结构。
- 系统的误用检测器是一个基于有限状态机的实现,通过传递审计记录至误用引擎来进行检测。
- N-编码:
- 是指在一字节编码指令上操作的解释语言,该语言包括流控制,过程和64bit计数器数据类型。
- 可有效地识别网络攻击和其他网络活动。
- RUSSEL:
4,用于批模式分析的信息检索技术
- 信息检索(Information Retrieval,IR)技术,IR被广泛应用于网络搜索引擎之中。
- IR系统使用反向文件作为索引,允许高效地搜寻关键字或关键字组合,并使用Bayesian理论帮助提炼搜索。由于IR依靠索引,而不是机器学习去发现数据模式,因此有别于数据挖掘。在攻击已是既定事实的情况下,信息检索可以限制性地浏览审计数据,从而有效地提高检测活动地效率。
5,Keystroke Monitor和基于模型的方法
- Keystroke Monitor是一种简单的入侵检测方法,通过分析用户击键序列的模式来检测入侵行为,常用于对主机的入侵检测。
- 基于模型的方法:入侵者在攻击一个系统时往往采用一定的行为序列,如猜测口令的行为序列,此行为构成了具有一定行为特征的模型,根据这种模型代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图。
3,异常检测
- 异常检测基于一个假定:用户的行为是可预测的,遵循一致性模式的,且随着用户事件的增加,异常检测会适应用户行为的变化。用户行为的特征轮廓在异常检测中是由度量(measure)集来描述,度量是特定网络行为的定量表示,通常与某个检测阈值或某个域相联系。
1,Denning的原始模型
- 在一个系统中可以包括四个统计模型,每个模型适合于一个特定类型的系统度量。
1,可操作模型
- 将度量和一个阈值进行比较,当度量超过阈值时就会触发一个异常。
- 可用于异常检测,也可用于误用检测。
2,平均和标准偏差模型
- 假定所有的分析引擎认为系统的度量是平均和标准偏差,那么一个新的网络行为如果落在信任间隔之外将被视为异常,信任间隔是由一些参数平均值的标准偏差定义的。
- 多用于事件计数器,间隔计数器和资源度量。
3,多变量模型
- 基于两个或多个度量的模型。
- 优势在于,使异常检测不必严格局限于单个度量的计算,进而可以检测与之相关的多个度量。
4,Markov处理模型
- 将每个不同类型的审计事件作为一个状态变量,通过使用一个状态转换矩阵来描述不同状态间的转换频率,并由状态转换矩阵中以前的状态和值来决定新事件的异常与否。
2,量化分析
- 量化分析通过采用简单的加法直至比较复杂的密码学计算得到的结果作为误用检测和异常检测统计模型的基础。常用的量化分析技术如下:
1,阈值检测
- 阈值检测也称为阈值或触发器,通过在一定的许可级别上对描述用户和系统的某些属性进行计数。典型的阈值例子就是系统允许有限的登录尝试次数。
- 检验遵循的固有假定是在一个特定时间间隔内进行度量,这种特定时间间隔可以是固定的,也可以是滑动窗口的。
2,基于目标的集成检查
- 以系统客体作为量化分析的基本单位,通常这样的系统客体不会发生不可预测的变化。
- 集成检查的一个例子就是使用消息消化函数对可疑系统客体进行加密校验和运算。
- 系统定期地重新计算校验和,并将其与先前计算的结果进行比较,如发现不同则发出警告。
3,量化分析和数据精简
- 数据精简是从庞大的事件信息中删除或合并冗余的信息,以减少系统的负荷并优化基于事件信息的处理。
- 量化分析的一个重要用途就是采用量化度量来执行数据精简。
3,统计度量
- 产品化的入侵检测系统中常用的方法,常见于异常检测。
- 有效解决了四个问题:
- 选取有效的统计数据测量点,生成能够反映主体特征的会话向量。
- 根据主体活动产生的审计记录,不断更新当前主体活动的会话向量。
- 采用统计方法分析数据,判断当前活动是否符合主体的历史行为特征。
- 随着时间推移,学习主体的行为特征,更新历史记录。
1,IDES/NIDES
- 在IDES系统中,每当产生一个新的审计记录,就会同时计算一个摘要测试统计结果,这个被称为IDES分数的统计结果可通过下列公式计算: I S = ( S 1 , S 2 , S 3 , . . . , S n ′ ) C − 1 ( S 1 , S 2 , S 3 , . . . , S n ) t IS=(S_1,S_2,S_3,...,S_n')C^{-1}(S_1,S_2,S_3,...,S_n)^t IS=(S1,S2,S3,...,Sn′)C−1(S1,S2,S3,...,Sn)t。
- 上式中,其中 ( S 1 , S 2 , S 3 , . . . , S n ′ ) C − 1 (S_1,S_2,S_3,...,S_n')C^{-1} (S1,S2,S3,...,Sn′)C−1是相关矩阵或向量的逆, ( S 1 , S 2 , S 3 , . . . , S n ) t (S_1,S_2,S_3,...,S_n)^t (S1,S2,S3,...,Sn)t是向量的转置。每个 S n S_n Sn度量行为的一个方面,如文件访问,使用的终端和CPU的使用时间。不同的 S n S_n Sn值也表示同一行为的不同视图。
2,异常度量归并问题
- 异常检测中,需要解决的一个重要问题是如何将不同异常检测的度量值归并起来得出一个最终确定的值。有两种方法可以使用,Bayesian统计法和信任网络法。
4,非参数统计度量
-
非参数异常检测方法是为了解决参数方法的不足而提出的。
-
非参数统计方法通过使用非数据区分技术,尤其是群集分析技术来分析参数方法无法考虑的系统度量。
群集分析的基本思想是,根据评估标准将收集到的大量历史数据组织成群,通过预处理过程,将与具体事件流相关的特征转化为向量表示,再采用群集算法将彼此比较相近的向量成员组织成一个行为类,使用该分析技术的实验结果将会表明用何种方式构成的群可以可靠地对用户地行为进行分组并识别。
-
采用非参数方法还可以对时间数据进行可靠的精简,从而提高异常检测的速度和准确度。
5,基于规则的方法
- 基于规则的检测使用规则集来表示和存储使用模式。
1,Wisdom&Sense
- Wisdom and Sense(W&S)系统能在多种系统平台上运行,并能进行操作系统和应用级描述事件,系统采用两种方法来移植规则库:手工输入(基于策略)和从历史审计记录中产生。
2,TIM(基于时间的引导机)
- TIM在事件顺序中而不是在单个事件中查找入侵者的行为模式,TIM使用一个引导方法动态地产生定义入侵的规则,有效地实现了Markov转换概率模型。
- 在进行异常检测时,TIM针对事件发生地顺序,检查正在发生的事件链是否与基于历史事件顺序观察期望的一致,若一个事件顺序匹配了规则头,而下一个事件不在规则实体的预测事件集中,就被认为是异常事件。系统通过从规则库中删除一些预测性能低的规则来提升检测能力。
- TIM的优点体现在它适合于一些事件相关而不是与系统事件完全相关的环境。
4,其他检测技术
1,神经网络
- 神经网络(Neural Network)使用自适应学习技术来提取异常行为的特征,需要对训练数据集进行学习以得出正常的行为模式。这种方法要求保证用于学习正常模式的训练数据的纯洁性,即不包含任何入侵或异常的用户行为。
- 神经网络由大量的处理元件组成,这些处理元件称为“单元”,单元之间通过带有权值的“连接”进行交互。网络所包含的知识体现在网络的结构中,学习过程也就表现为权值的改变和连接的添加或删除。
- 神经网络处理包含两个阶段:
- 构造入侵分析模型的检测器,使用代表用户行为的历史数据进行训练,完成网络的构建和组装。
- 入侵分析模型的实际运作阶段,网络接收输入的事件数据,与参考的历史行为相比较,判断出两者的相似度或偏离度。
- 神经网络缺点:
- 系统趋向于形成某种不稳定的网络结构,不能从训练数据中学习到特定的知识,目前尚不能确定产生的原因。
- 神经网络对判断为异常的事件不会提供任何解释或说明信息,导致了用户无法确认入侵的责任人,也无法判断是系统哪方面存在的问题导致攻击者入侵成功。
- 神经网络应用于入侵检测,其检测的效率问题也需要解决。
2,免疫学方法
- 将生物免疫机制引入计算机系统的安全保护框架中。免疫系统中最基本也是最重要的能力是识别“自我/非自我”。它能够识别哪些组织是属于正常机体的,不属于正常的就认为是异常。
3,数据挖掘方法
- 数据挖掘(Data Mining,DM),通过对网络数据和主机系统调用数据的分析挖掘,发现误用检测规则或异常检测模型。
- 具体工作利用数据挖掘中的关联算法和序列挖掘算法提取用户的行为模型,利用分类算法对用户行为和特权程序的系统调用进行分类预测。
4,基因算法
- 引入了达尔文在进化论中提出的自然选择的概念对系统进行优化。基因算法利用对“染色体”的编码和相应的变异及组合,形成新的个体。算法通常针对需要进行优化的系统变量进行编码,作为构成个体的“染色体”,因此对于处理多维系统的优化是非常有效的。
- 通常分为两个步骤:
- 首先使用一串位对所有的个体进行编码。
- 找出最佳选择函数,根据某些评估准则对系统个体进行测试,得出最为合适的向量表示形式。
5,基于代理的检测
- 一种基于Agent的检测技术(Agent-Based Detection)。
- Agent,可以看成是在执行某项特定监视任务的软件实体。Agent通常以自治的方式在目标主机上运行,本身只受操作系统的控制,因此不会受到其他进程的影响。Agent的独立性和自治性为系统提供了良好的扩展性和发展潜力。
- 研究人员为基于Agent的入侵检测系统提出了一个基本原型,称为入侵检测自治代理(Autonomous Agents for Intrusion Detection,AAFID)。
三,分布式入侵检测
1,分布式入侵检测的优势
1,检测大范围的攻击行为
2,提高检测的准确度
3,提高检测效率
4,协调响应措施
2,分布式入侵检测的技术难点
1,事件产生及存储
- 传统的入侵检测系统中,安全事件的产生,存储和处理都是集中式的,这种方式在面临大规模网络时缺乏良好的扩展性。
2,状态空间管理及规则复杂度
- 状态空间管理及规划复杂度关注的是如何在规划的复杂程度和审计数据处理要求之间取得平衡。
3,知识库管理
- 知识库用于存放检测规则或检测模型,在分布式环境下,知识库最大的问题在于如何实现快速的规则升级和分发。
4,推理技术
- 对于大范围的互联网来说,集中式处理方式所带来的对计算资源,存储资源和通信资源的要求是单机系统无法满足的。因此,对安全审计数据采用分布式处理方式成为必然要求,但这就涉及到如何设计和实现高效的分布式处理算法问题。
3,分布式入侵检测现状
1,Snortnet
- 在原理和具体实现上最为简单的一种方式,通过对传统的单机IDS进行规模上的扩展,使系统具备分布式检测的能力。
- Snortnet是基于模式匹配的分布式入侵检测系统的一个具体实现。系统包括三个主要组件:网络感应器,代理守护程序和监视控制台。
- 由于其检测能力仍然依赖于原先的单机IDS,只是在系统的通信和管理能力上进行了改进,因此并没有体现出分布式入侵检测的优势。
2,Agent-Based
- 基于Agent的IDS由于其良好的灵活性和扩展性,是分布式入侵检测的一个重要研究方向。
- 最为代表性的是入侵检测自治代理(AAFID)和SRI的EMERALD。
- AAFID的特点是形成了一个基于代理的分层顺序控制和报告结构。一台主机上可驻留任意数量的代理,收发器负责监控运行在主机上的所有代理,向其发送开始,停止和重新配置命令,并对代理收集的信息执行是数据精简,而后向一个或多个监视器及上一级分层报告结果。
- EMERALD其中心组件是EMERALD服务监控器,监控器以可编程方式部署在主机上,执行不同功能。由于EMERALD将分析语义从分析和响应逻辑中分离出来,因此整个网络上更易集成,具有在不同抽象层次上进行分析的重要能力,体现了现代入侵检测系统的一个重要特征,及协作性。
3,DIDS
- 它集成了两种已有的入侵检测系统,Haystack和NSM。
- Haystack是针对多用户主机的检测任务而开发,数据源来自主机的系统日志。
- NSM是通过对数据包,连接记录和应用层会话的分析,结合入侵特征库和正常的网络流或会话记录的模式库,判断当前的网络行为是否包含入侵或异常。
- DIDS综合了两者的功能,并在系统结构和检测技术上进行了改进。
- DIDS由主机监视器,局域网监视器和控制器三个组件组成,其中控制器是系统的核心组件,采用基于规则的专家系统作为分析引擎。
- DIDS系统还提供了一种基于主机的追踪机制,凡是在DIDS监测下的主机都能够记录用户的活动,并且将记录发往中心计算节点进行分析,因此DIDS具有在自己检测网络下的入侵追踪能力。
4,GrIDS
- GrIDS(Graph-based Intrusion Detection System),该系统实现了一种在大规模网络中使用图形化表示的方法来描述网络行为的途径,设计目标主要针对大范围的网络攻击。
- GrIDS具体的入侵判断仍然需要人工完成,系统的有效性和效率都有待验证和提高。
5,数据融合
- 将数据融合的概念应用到入侵检测中,从而将分布式入侵检测任务理解为在层次化模型下对多个感应器的数据综合问题。在这个层次化模型中,入侵检测的数据源经历了从数据到信息再到知识三个逻辑抽象层次。
6,基于抽象的方法
- 基本思想是设立中间层,提供与具体系统无关的抽象信息,用于分布式检测系统中的信息共享,抽象信息的内容包括事件信息及系统实体间的断言。
- 中间层用于表示IDS间的共享信息时使用的对应关系为:IDS检测到的攻击或IDS无法处理的事件信息作为event,IDS或受IDS监控的系统的状态则为dynamic predicates。
四,入侵检测系统的标准
1,IETF/IDWG
- IDWG(入侵检测工作组)定义了用于入侵检测与响应(IDR)系统之间或与需要交互的管理系统之间的信息共享所需要的数据格式和交换规程。IDWG提出了三项建议草案:
- 入侵检测消息交换格式(IDMEF)
- 入侵检测交换协议(IDXP)
- 隧道轮廓(Tunnel Profile)
1,IDMEF
- IDEMF描述了表示入侵检测系统输出信息的数据模式,并解释了使用此模型的基本原理。
- IDEMF最适用于入侵检测探测器和接收警报的控制台之间的数据通道。
- IDEMF数据模型以面向对象的形式表示探测器传递给控制台的警报数据,设计数据模型的目标是为警报提供确定的标准表达方式,并描述简单警报和复杂警报之间的关系。
2,IDXP
- IDXP(入侵检测交换协议)是一个用于入侵检测实体之间交换数据的应用层协议,能够实现IDMEF消息,非结构文本和二进制数据之间的交换,并提供面向连接协议之上的双方认证,完整性和保密性等安全特征。
- IDXP模型包括建立连接,传输数据和断开连接。
1,建立连接
- 使用IDXP传送数据的入侵检测实体被称为IDXP的对等体,对等体只能成对地出现。
- 对等体可以是控制台,也可以是探测器,且相互间是多对多的关系。
- 入侵检测实体之间的IDXP通信在BEEP信道上完成,其过程是先要进行一次BEEP会话,然后就有关的安全特征问题进行协商,协商好BEEP安全轮廓之后,互致问候,然后开始IDXP交换。
- IDXP对等实体之间可能有多个代理,这些代理可能是防火墙,也可能是将多部门探测器数据转发给总控制台的代理。
2,传输数据
- 一对入侵检测实体进行BEEP会话时,可以使用IDXP轮廓打开一个或多个BEEP信道,每个信道上的对等体均以客户/服务器模式进行通信,BEEP会话发起者为客户机,而收听者则为服务器。
- 在一次BEEP会话中,使用多个BEEP信道有利于对在IDXP对等体之间传输的数据进行分类和优先权设置。
3,断开连接
- 某些情况下,一个IDXP对等体可以选择关闭某个IDXP信道。在关闭一个信道时,对等体在0信道上发送一个“关闭”元素,指明要关闭哪一个信道,一个IDXP对等体也可以在0信道上发送一个指明要“关闭”0信道的元素来关闭整个BEEP会话。
2,CIDF
- CIDF的工作集中体现在四个方面:IDS的体系结构,通信机制,描述语言和应用编程接口API。
1,CIDF的体系结构
- CIDF将入侵检测系统分为四个基本组件,事件产生器,事件分析器,响应单元和事件数据库。
-
该模型中,事件产生器,事件分析器和响应单元通常以应用程序形式出现,而事件数据库则是以文件或数据流的形式。
-
CIDF将IDS需要分析的数据统称为事件,可以是网络中的数据包,也可以是从系统日志或其他途径得到的信息。
-
四个组件只是逻辑实体,一个组件可能是某台计算机上的一个进程甚至线程,也可能是多个计算机上的多个进程,它们以GIDO(统一入侵检测对象)格式进行数据交换。
GIDO是对事件进行编码的标准通用格式。
2,CIDF的通信机制
- CIDF将通信机制构造成一个三层模型:GIDO层,消息层和协商传输层。
- GIDO层用于提高组件之间的互操作性,因而GIDO对各种各样的事件表示进行了详细的定义。
- 消息层确保被加密认证消息在防火墙或NAT等设备之间传输过程中的可靠性。消息层只负责将数据从发送方传递到接收方,而不携带任何有语义的信息。
- 协商层规定了GIDO在各个组件之间的传递机制。
- 实际工作中,CIDF的通信机制主要从四个面来讨论消息的封装和传递,即配对服务,路由,消息层及信息层处理。
3,CIDF语言
- CIDF定义了一种应用层的语言CISL(公共入侵规范语言)用来描述IDR组件之间传递的信息,制定了一套对这些信息进行编码的协议。CISL可以表示CIDF中的各种信息,如原始事件信息和分析结果和响应提示等。
4,CIDF的API接口
- CIDF的API负责GIDO的编码,解码和传递。
- GIDO的生成分成两个步骤:构造表示GIDO的树型结构,将此结构编成字节码。
188
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
