入侵检测流程
- 入侵检测的过程
- 入侵检测系统的数据源
- 入侵分析的概念
- 入侵分析的模型
- 入侵检测的分析方法
- 告警与响应
入侵检测系统的数据源
堪于主机的数据源:
- 系统运行状态信息
- 系统记帐信息
- 系统日志(Syslog)
- C2级安全性审计信息
基于网络的数据源
- SNMP信息
- 网络通信包
其他来源
- 应用程序日志文件
- 其他入侵检测系统的报警信息
- 其他网络设备和安全产品的信息
入侵分析的概念
- 入侵检测系统是一个复杂的数据处理系统,所涉及到的问题域中的各种关系也比较复杂。
- 从入侵检测的角度来说,分析是指针对用户和系统活动数据进行有效的组织、整理并提取特征,以鉴别出感兴趣的行为。这种行为的鉴别可以实时进行,也可以事后分析,在很多情况下,事后的进步分析是为了寻找行为的责任人。
入侵分析的目的
- 重要的威慑力:目标系统使用IDS进行入侵分析,对于入侵者来说具有很大的威慑力,因为这意味着攻击行为可能会被发现或被追踪。
- 安全规划和管理:分析过程中可能会发现在系统安全规划和管理中存在的漏洞,安全管理员可以根据分析结果对系统进行重新配置,避免被攻击者用来窃取信息或破坏系统。
- 获取入侵证据:入侵分析可以提供有关入侵行为详细的、可信的证据,这些证据可以用于事后追究入侵者的责任。
入侵分析应考虑的因素
- 需求
- 子目标
- 目标划分
- 平衡
入侵分析的模型
入侵分析处理过程可分为三个阶段:
- 构建分析器
- 分析数据
- 反馈和更新
构建分析器
- 收集并生成事件信息
- 预处理信息
- 建立行为分析引擎
- 将事件数据输入引擎中
- 保存已输入数据的模型
分析数据
- 输入事件记录
- 事件预处理
- 比较事件记录和知识库
- 产生响应
反馈和更新
- 反馈和更新是一个非常重要的过程。
- 在误用检测系统中,反映这个阶段的主要功能是攻击信息的特征数据库是否可以更新。每天都能够根据新攻击方式的出现来更新攻击信息特征数据库是非常重要的。许多优化的信号引擎能够在系统正在监控事件数据,没有中断分析过程的同时,由系统操作员来更新信号数据库。
- 在异常检测系统中,依靠执行异常检