第13讲:第7章-入侵检测系统的标准与评估
合集下载
信息安全_第七章
7.1 入侵检测系统概述
1.什么是入侵检测
入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中若干关键点收集信息,并对收集到的信息进行分析,从而判断网络或系统中是否有违反安全策略的行为和系统被攻击的征兆。
入侵检测的目标是识别系统内部人员和外部入侵者的非法使用、滥用计算机系统的行为。
2. 入侵检测系统功能
入侵检测系统能主动发现网络中正在进行的针对被保护目标的恶意滥用或非法入侵,并能采取相应的措施及时中止这些危害,如提示报警、阻断连接、通知网管等。
其主要功能是监测并分析用户和系统的活动、核查系统配置中的安全漏洞、评估系统关键资源与数据文件的完整性、识别现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统日志的管理维护。
7.2 入侵检测一般步骤
1.入侵数据提取
主要是为系统提供数据,提取的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测数据提取可来自以下四个方面。
(1)系统和网络日志;
(2)目录和文件中的的改变;
(3)程序执行中的不期望行为;
(4)物理形式的入侵信息。
2.入侵数据分析
主要作用在于对数据进行深入分析,发现攻击并根据分析的结果产生事件,传递给事件响应模块。常用技术手段有:模式匹配、统计分析和完整性分析等。入侵数据分析是整个入侵检测系统的核心模块。
3.入侵事件响应
事件响应模块的作用在于报警与反应,响应方式分为主动响应和被动响应。
被动响应型系统只会发出报警通知,将发生的不正常情况报告给管理员,本身并不试图降低所造成的破坏,更不会主动地对攻击者采取反击行动。
第12讲:第7章-入侵检测的标准与评估
分析方式 互补方式 互纠方式 核实方式: 调整方式
A1报告发现攻击,H则询问A2 是否也检测到同一种攻击。
A1
H A2
15
响应方式
第7章 入侵检测系统的标准与评估
7.1 入侵检测的标准化工作
CIDF的体系结构
CIDF定义IDS的6种协同方式
分析方式 互补方式 互纠方式 核实方式 调整方式:
CIDF定义IDS的6种协同方式
分析方式
B负责合并A1和A2的输出结 互补方式: 果,A1和A2可以检测不同的攻 互纠方式 击。
核实方式 调整方式
响应方式
A1 B
A2
13
第7章 入侵检测系统的标准与评估
7.1 入侵检测的标准化工作
CIDF的体系结构
CIDF定义IDS的6种协同方式
3
上一章回顾
基于网络的入侵检测技术
网络数据包的捕获 检测引擎设计 网络入侵特征实例分析
4
第7章 入侵检测系统的标准与分析
入侵检测的标准化工作 入侵检测设计方面的考虑 入侵检测系统的性能指标 网络入侵检测系统测试评估 测试评估内容 测试环境和测试软件 用户评估标准 入侵检测评估方案
第7章 入侵检测系统的标准与评估
A1报告发现攻击,H则询问A2 是否也检测到同一种攻击。
A1
H A2
15
响应方式
第7章 入侵检测系统的标准与评估
7.1 入侵检测的标准化工作
CIDF的体系结构
CIDF定义IDS的6种协同方式
分析方式 互补方式 互纠方式 核实方式 调整方式:
CIDF定义IDS的6种协同方式
分析方式
B负责合并A1和A2的输出结 互补方式: 果,A1和A2可以检测不同的攻 互纠方式 击。
核实方式 调整方式
响应方式
A1 B
A2
13
第7章 入侵检测系统的标准与评估
7.1 入侵检测的标准化工作
CIDF的体系结构
CIDF定义IDS的6种协同方式
3
上一章回顾
基于网络的入侵检测技术
网络数据包的捕获 检测引擎设计 网络入侵特征实例分析
4
第7章 入侵检测系统的标准与分析
入侵检测的标准化工作 入侵检测设计方面的考虑 入侵检测系统的性能指标 网络入侵检测系统测试评估 测试评估内容 测试环境和测试软件 用户评估标准 入侵检测评估方案
第7章 入侵检测系统的标准与评估
网络信息安全技术(第二版)第7章网络入侵检测原理与技术
事件产生器
行为特征模块
异常记录 变量阀值
规则更新 规则模块
图 7.1 通用的入侵检测系统模型
第7章 网络入侵检测原理与技术 1. 异常检测原理
命令、系统调用、应 用类型、活动度量、 CPU使用、网络连接
正常 行为
异常行为
图7.2 异常检测原理模型
第7章 网络入侵检测原理与技术
从图7.2可以看出,异常检测原理根据假设攻击与正常的 (合法的)活动有很大的差异来识别攻击。异常检测首先收集 一段时期正常操作活动的历史记录, 再建立代表用户、主机或 网络连接的正常行为轮廓,然后收集事件数据并使用一些不同 的方法来决定所检测到的事件活动是否偏离了正常行为模式。 基于异常检测原理的入侵检测方法和技术有以下几种方法:
第7章 网络入侵检测原理与技术
2. 该原理是指根据已经知道的入侵方式来检测入侵。入侵者 常常利用系统和应用软件中的弱点或漏洞来攻击系统,而这些 弱点或漏洞可以编成一些模式, 如果入侵者的攻击方式恰好与 检测系统模式库中的某种方式匹配,则认为入侵即被检测到了, 如图7.3所示。
第7章 网络入侵检测原理与技术
第7章 网络入侵检测原理与技术
位置1 感应器1位于防火墙外侧的非系统信任域, 它将负责 检测来自外部的所有入侵企图(这可能产生大量的报告)。通过 分析这些攻击来帮助我们完善系统并决定要不要在系统内部部署 IDS。对于一个配置合理的防火墙来说, 这些攻击不会带来严重 的问题,因为只有进入内部网络的攻击才会对系统造成真正的损 失。
网络安全基础第七章-网络安全基础-廉龙颖-清华大学出版社
7.1 入侵检测概述——入侵检测系统的Байду номын сангаас展
1980年4月,一份题为“Computer Security Threat Monitoring and Surveillance” (计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念。
从1984年到1986年,乔治敦大学的Dorothy Denning和SRI/CSL(SRI公司计算机科 学实验室)的Peter Neumann研究出了一个实时入侵检测系统模型,取名为IDES(入侵检 测专家系统)。
从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能 化和分布式两个方向取得了长足性的进展。
7.2 入侵检测系统结构——入侵检测系统通用模型
对于入侵检测框架的研究比较有名的成果是入侵检测数据交换格式 (Intrusion Detection Exchange Format,IDEF)和通用入侵检测框架 (Common Intrusion Detection Framework,CIDF)。
入侵检测概述
入侵检测技术
入侵检测系统 示例
7.1 入侵检测概述——入侵检测系统的概念
入侵是一个广义上的概念,是指任何非授权进入系统进行访问、威胁和 破坏的行为。实施入侵的人通常称为入侵者或攻击者。
入侵检测系统(Instruction Detection System,IDS)是指对入侵行 为自动进行检测、监控和分析的软件与硬件的组合系统,是一种自动监 测信息系统内、外入侵事件的安全设备。
入侵检测的评估与标准(一)
入侵检测的评估与标准(一)
入侵检测的评估与标准
1. 引言
•入侵检测系统(Intrusion Detection System, IDS)是网络安全防护的重要组成部分之一。
•评估和标准对于确保入侵检测系统的可靠性和有效性非常重要。2. 评估原则
•评估入侵检测系统应该遵循以下原则:
1.全面性:评估覆盖所有可能的入侵方法和技术。
2.实用性:评估结果能够为实际防御提供有效的指导和建议。
3.客观性:评估结果应基于客观的数据和准确的测试过程。
4.可复现性:评估过程应可重复进行,以确保结果的准确性。
3. 评估方法
•常用的入侵检测系统评估方法包括:
1.基准测试:通过使用已知的攻击模式和漏洞来评估系统的
检测能力。
2.模拟攻击:利用模拟工具模拟各种攻击行为,测试系统的
检测和响应能力。
3.实战测试:在真实网络环境中进行测试,检验系统对真实
威胁的识别和响应能力。
4.安全漏洞扫描:通过扫描系统中的漏洞,评估系统的漏洞
管理和修复能力。
4. 评估指标
•在评估入侵检测系统时,可以考虑以下指标:
1.准确率:系统正确识别和报警的比例。
2.假阳性率:系统错误地将正常行为误报为入侵行为的比例。
3.检测率:系统成功检测到的入侵事件的比例。
4.响应时间:系统发现入侵事件后采取相应措施所需的时间。
5.可伸缩性:系统在大规模网络环境下的工作能力和性能。5. 入侵检测标准
•国际上常用的入侵检测标准包括:
1.入侵检测评估计划(Intrusion Detection Evaluation
Plan, IDEP):提供评估方法和工具,用于评估入侵检测
入侵检测系统评估
增强响应能力
入侵检测系统可以提供实时报 警和事件响应功能,帮助管理 员快速定位和解决安全问题。
完善安全策略
通过收集和分析入侵检测系统 的日志数据,可以完善组织的 安全策略,提高整体安全水平
。
03 评估方法
基于规则的评估
总结词
基于规则的评估方法主要依据预定义的规则和阈值来检测入 侵行为。
详细描述
该方法通过定义一系列规则来识别已知的攻击模式和行为特 征,然后与网络流量和系统日志进行匹配,以检测异常活动 。规则可以基于网络协议、用户行为、系统调用等方面。
漏报率
衡量入侵检测系统发现威 胁的能力,漏报率越低, 准确性越高。
精确度
综合考虑误报率和漏报率, 精确度越高,准确性越好。
实时性
检测时间
衡量入侵检测系统对威胁的响应 速度,检测时间越短,实时性越
好。
更新速度
衡量入侵检测系统对新威胁的识别 速度,更新速度越快,实时性越好。
报警速度
衡量入侵检测系统向管理员发送报 警的速度,报警速度越快,实时性 越好。
插件扩展性
衡量入侵检测系统支持插件的能 力,插件扩展性越高,可扩展性
越好。
升级能力
衡量入侵检测系统升级新功能的 能力,升级能力越强,可扩展性
越好。
05 评估实践
数据收集和预处理
数据收集
第7章 入侵检测技术
误用检测能迅速发现已知的攻击,并指出攻击的类型,便于采取应对措施 ;同时用户可以根据自身情况选择所要监控的事件类型和数量;并且误用 检测没有浮点运算,效率较高。但其缺点也是显而易见的:由于依赖误用 模式库,它只能检测数据库中己有的攻击,对未知的攻击无能为力。
误用检测中常用的方法有:简单的模式匹配、专家系统和状态转移法。
侵检测概念的最早起源
第4页,本讲稿共19页
7.1 入侵检测的基本概念
1986年Dorothy Denning等人才在其论文An Intrusion Detection Model中给出了一个入侵检测的抽象模型IDES(入侵 检测专家系统),并在1988年开发出一个IDES系统 。
模式匹配器
审计数据源
第7页,本讲稿共19页
7.2 PPDR模型及入侵检测系统
入侵检测系统的功能要求:
实时性要求 可扩展性要求 适应性要求 安全性与可用性要求 有效性要求
第8页,本讲稿共19页
7.2 PPDR模型及入侵检测系统
入侵检测系统的基本结构
数
数
处
据
据
理
数据
提
数据
分
事件
结
事件
取
析
果
图7.3 通用入侵检测系统的基本结构图
第13页,本讲稿共19页
7.3 入侵检测的技术模型
异常检测中常用的方法有:量化分析、统计分析和神经网络。
误用检测中常用的方法有:简单的模式匹配、专家系统和状态转移法。
侵检测概念的最早起源
第4页,本讲稿共19页
7.1 入侵检测的基本概念
1986年Dorothy Denning等人才在其论文An Intrusion Detection Model中给出了一个入侵检测的抽象模型IDES(入侵 检测专家系统),并在1988年开发出一个IDES系统 。
模式匹配器
审计数据源
第7页,本讲稿共19页
7.2 PPDR模型及入侵检测系统
入侵检测系统的功能要求:
实时性要求 可扩展性要求 适应性要求 安全性与可用性要求 有效性要求
第8页,本讲稿共19页
7.2 PPDR模型及入侵检测系统
入侵检测系统的基本结构
数
数
处
据
据
理
数据
提
数据
分
事件
结
事件
取
析
果
图7.3 通用入侵检测系统的基本结构图
第13页,本讲稿共19页
7.3 入侵检测的技术模型
异常检测中常用的方法有:量化分析、统计分析和神经网络。
入侵检测技术-课后答案
入侵检测技术-课后答案本页仅作为文档页封面,使用时可以删除
This document is for reference only-rar21year.March
入侵检测技术-课后答案
第1章入侵检测概述
思考题:
(1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?
答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。
(2)入侵检测作用体现在哪些方面?
答:一般来说,入侵检测系统的作用体现在以下几个方面:
监控、分析用户和系统的活动;
审计系统的配置和弱点;
评估关键系统和数据文件的完整性;
识别攻击的活动模式;
1
对异常活动进行统计分析;
对操作系统进行审计跟踪管理,识别违反政策的用户活动。
(3)为什么说研究入侵检测非常必要?
答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。
入侵检测系统的标准与评价
入侵检测系统的标准与评估
的模型有两类:即面向对象的数据模型和基于 XML的数据模型。
入侵检测系统的标准与评估
27
面向对象的数据模型用于IDMEF的原 因
报警信息固有的不同类型使得应提出一种足够灵活的
数据表示格式,使之能适应不同的需要。 入侵检测工具的环境都不是相同的。相同的攻击可以 用不同的检测工具报告,而所报告的信息是不一样 的。 入侵检测工具的能力不同。为了进一步处理报警信 息,数据模型应当通过工具方便地转换格式,而不是 使用入侵探测器。 入侵检测的操作系统环境是不同的,数据模型应该容 纳这些不同点。 商业厂商的目标是不同的。开发商希望传递少量关于 某些攻击的信息,这样有利于产品的销售。
入侵检测系统的标准与评估
2
入侵检测的标准化工作
入侵检测技术在最近几年发展迅速,但是相应的入
侵检测标准化工作则进展缓慢。 当前有两个国际组织在进行这方面的工作,他们是 Common Intrusion Detection Framework(CIDF) 和IETF(Internet Engineering Task Force)下 属的Intrusion Detection Working Group (IDWG)。 他们强调了入侵检测的不同方面,并从各自的角度 进行了标准化工作。
入侵检测系统的标准与评估
第07章 入侵检测
输出:高级中断事件
输出:事件的存储信息
事件数据库
黑客攻击手段在不断更新, (5) 黑客攻击手段在不断更新,几乎每天都有不同安全问题出现 然而安全工具的更新速度太慢,绝大多数情况需要人为 的参与才能发现以前未知的安全问题,这就使得它们对新 出现的安全问题总是反应太慢。 当安全工具刚发现并努力更正某方面的安全问题时,其 他的安全问题又出现了。 因此,黑客总是可以使用先进的、安全工具不知道的手 段进行攻击 解决办法: 解决办法:主动防御策略与措施 入侵检测就是这样一种措施
(3) 适应性要求 入侵检测系统必须能够适用于多种不同的环境。 1)高速大容量计算机网络环境。 2)适应系统环境的改变 如增加环境中的计算机系统数量,改变计算机系统 类型时,入侵检测系统应当依然能够正常工作。 3)对其宿主平台的适应性 即:跨平台工作的能力 适应宿主平台软、硬件配置的不同情况。
(4) 安全性与可用性要求 入侵检测系统自身必须安全,如果入侵检测系统自 身的安全性得不到保障,首先意味着信息无效,而更 严重的是入侵者控制了入侵检测系统即获得了对系统 的控制权(通常入侵检测系统都是以特权状态运行的) 入侵检测系统必须尽可能的完善与健壮,不能向其 宿主计算机系统以及其所属的计算机环境中引入新的 安全问题及安全隐患。 为了保证系统安全策略的实施而引入的入侵检测系 统必须保证不能妨碍系统的正常运行,如系统性能。
入侵检测系统的标准与评价
❖ CIDF的主要工作是:提出了一个通用的入侵 检测框架,然后进行这个框架中各个部件之 间通信协议和API入的侵检标测系准统的标化准与,评估以达到不同IDS 3
CIDF的规范文档
❖ Arichitecture:提出了IDS的通用体系结构,用 以说明IDS各组件间通信的环境。
❖ Communication:说明了IDS各种不同组件间 如何通过网络进行通信。
第7章 入侵检测系统的标准与 评估
入侵检测系统的标准与评
估:
❖ 入侵检测的标准化工作
❖ 入侵检测系统的性能指标
❖ 网络入侵检测系统测试评估
❖ 测试评估内容
Байду номын сангаас
❖ 测试环境和测试软件
❖ 用户评估标准
❖ 入侵检测评估方案
入侵检测系统的标准与评估
1
入侵检测的标准化工作
❖ 入侵检测技术在最近几年发展迅速,但是相应的入 侵检测标准化工作则进展缓慢。
❖ 他们强调了入侵检测的不同方面,并从各自的角度 进行了标准化工作。
入侵检测系统的标准与评估
2
CIDF
❖ CIDF标准化工作基于这样的思想:入侵行为 是如此广泛和复杂,以至于依靠某个单一的 IDS不可能检测出所有的入侵行为,因此需要 一个IDS系统的合作来检测跨越网络或跨越较 长时间段的不同攻击。为了尽可能地减少标 准化工作,CIDF把IDS系统合作的重点放在 了不同组件的合作上。
CIDF的规范文档
❖ Arichitecture:提出了IDS的通用体系结构,用 以说明IDS各组件间通信的环境。
❖ Communication:说明了IDS各种不同组件间 如何通过网络进行通信。
第7章 入侵检测系统的标准与 评估
入侵检测系统的标准与评
估:
❖ 入侵检测的标准化工作
❖ 入侵检测系统的性能指标
❖ 网络入侵检测系统测试评估
❖ 测试评估内容
Байду номын сангаас
❖ 测试环境和测试软件
❖ 用户评估标准
❖ 入侵检测评估方案
入侵检测系统的标准与评估
1
入侵检测的标准化工作
❖ 入侵检测技术在最近几年发展迅速,但是相应的入 侵检测标准化工作则进展缓慢。
❖ 他们强调了入侵检测的不同方面,并从各自的角度 进行了标准化工作。
入侵检测系统的标准与评估
2
CIDF
❖ CIDF标准化工作基于这样的思想:入侵行为 是如此广泛和复杂,以至于依靠某个单一的 IDS不可能检测出所有的入侵行为,因此需要 一个IDS系统的合作来检测跨越网络或跨越较 长时间段的不同攻击。为了尽可能地减少标 准化工作,CIDF把IDS系统合作的重点放在 了不同组件的合作上。
入侵检测系统ppt课件
24
误用检测模型
如果入侵特征与正常的用户行为能匹配,则系统会 发生误报;如果没有特征能与某种新的攻击行为匹 配,则系统会发生漏报。
特点:采用特征匹配,误用检测能明显降低错报率 ,但漏报率随之增加。攻击特征的细微变化,会使 得误用检测无能为力。
25
入侵检测系统分类(二)
根据检测对象分类
包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效
20
主动响应 被动响应
响应动作
21
入侵检测性能关键参数
误报(false positive):如果系统错误地将异常活动定 义为入侵
漏报(false negative):如果系统未能检测出真正的 入侵行为
性,防止被篡改而收集到错误的信息
15
信息收集
系统和网络日志文件 目录和文件中的不期望的改变 程序执行中的不期望行为 物理形式的入侵信息
16
信息分析
模式匹配----误用检测(Misuse Detection)
维护一个入侵特征知识库 准确性高
统计分析--------异常检测(Anomaly Detection)
36
入侵检测的部署
检测器放在主要的网络中枢
监控大量的网络数据,可提高检测黑客攻击的可 能性
可通过授权用户的权利周界来发现未授权用户的 行为
误用检测模型
如果入侵特征与正常的用户行为能匹配,则系统会 发生误报;如果没有特征能与某种新的攻击行为匹 配,则系统会发生漏报。
特点:采用特征匹配,误用检测能明显降低错报率 ,但漏报率随之增加。攻击特征的细微变化,会使 得误用检测无能为力。
25
入侵检测系统分类(二)
根据检测对象分类
包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效
20
主动响应 被动响应
响应动作
21
入侵检测性能关键参数
误报(false positive):如果系统错误地将异常活动定 义为入侵
漏报(false negative):如果系统未能检测出真正的 入侵行为
性,防止被篡改而收集到错误的信息
15
信息收集
系统和网络日志文件 目录和文件中的不期望的改变 程序执行中的不期望行为 物理形式的入侵信息
16
信息分析
模式匹配----误用检测(Misuse Detection)
维护一个入侵特征知识库 准确性高
统计分析--------异常检测(Anomaly Detection)
36
入侵检测的部署
检测器放在主要的网络中枢
监控大量的网络数据,可提高检测黑客攻击的可 能性
可通过授权用户的权利周界来发现未授权用户的 行为
网络入侵检测系统评估标准与方法
网络入侵检测系统评估标准与方法网络安全是当今社会中不可忽视的重要议题之一。随着网络技术的快速发展和广泛应用,网络入侵事件层出不穷。为了有效应对这些潜在的威胁,各类网络入侵检测系统应运而生。本文将探讨网络入侵检测系统的评估标准与方法,旨在帮助企业和组织确保其网络安全处于最佳状态。
一、评估标准
网络入侵检测系统的评估标准是确保其可靠性和有效性的基石。以下是一些常见的网络入侵检测系统评估标准:
1. 检测准确性:网络入侵检测系统应能够准确地识别和报告各类入侵行为,避免误报和漏报的情况。
2. 响应能力:系统应能够及时响应入侵事件,并采取相应措施进行控制和修复,以减小损失和恢复服务。
3. 可扩展性:随着网络规模的扩大和威胁的增加,系统应能够灵活地扩展和适应变化的需求。
4. 兼容性:系统应能够与现有的网络设备和安全系统相兼容,以便更好地整合和共享资源。
5. 用户友好性:系统的界面和操作应简单直观,以便用户能够快速上手并有效运用系统。
二、评估方法
评估网络入侵检测系统的方法应综合考虑系统的技术实现、性能指
标和功能特点。以下是一些常用的网络入侵检测系统评估方法:
1. 功能测试:通过模拟各类入侵事件,测试系统的功能是否齐全,
并评估其检测准确性和报告能力。这需要充分考虑不同类型的攻击,
包括但不限于DDoS攻击、SQL注入和恶意代码等。
2. 性能测试:评估系统的性能指标,包括吞吐量、延迟和资源利用率。通过模拟高负载和大流量的情况,测试系统的稳定性和响应能力。
3. 安全性测试:评估系统的安全性,包括对系统架构和算法的漏洞
第7章入侵检测系统
CIDF的通信机制
CIDF将通信机制构造成一个三层模型: 1. GIDOS层: GIDO层的任务就是提高组件之间 的互操作性,所以GIDO对如何表示各种各样 的事件语义进行了详细的定义 2. 信体(消息)层: 确保被加密和认证的消息在防 火墙或NAT等设备之间的传输可靠性 3. 协商传输层:负责规定GIDO在各个组件之间 的传输机制
A1 J A2
4. 核实方式: A1报告发现攻击,H询问A2,若A2报告 检测到同一种攻击,H则认为A1的报告得到验证
A1 H A2
CIDF体系结构
5. 调整方式: A根据所接受到的警告信息调整监测
A
T
6. 响应方式: IDS预设自动应急的脚本,以便在紧 急情况下可直接响应
A X
CIDF的公共入侵规范语言
IDMEF的入侵警告协议
IDMEF的通信规范是入侵警告协议(IAP) IAP是一个应用层协议,提供必要的传输和安全 属性,使敏感的警告信息通过IP网络传播 IAP连接的启动过程: 建立IAP连接,数据传输和 终止IAP连接 IAP连接阶段:TCP连接建立,安全建立和通道建 立
IDMEF总结
IDMEF最大的特点是充分利用了已有的较成熟 的标准 与CIDE比较,在语法和语义方面都进行了详细 规定 通信方面查找代理设施效率高 IDMEF通信可能考虑到安全边界问题,支持使 用代理
第7章 入侵检测技术
7
▪ 3. 记录、报警和响应 ▪ 入侵检测系统在检测到攻击后,应该采取相应
的措施来阻止或响应攻击。它应该首先记录攻 击的基本情况,其次应该能够及时发出警告。 良好的入侵检测系统,不仅应该能把相关数据 记录在文件或数据库中,还应该提供报表打印 功能。必要时,系统还能够采取必要的响应行 为,如拒绝接收所有来自某台计算机的数据, 追踪入侵行为等。实现与防火墙等安全部件的 交互响应,也是入侵检测系统需要研究和完善 的功能之一。
所以不能检测未知的入侵。异常检测则可 以检测未知的入侵。基于异常检测的入侵 检测首先要构建用户正常行为的统计模型, 然后将当前行为与正常行为特征相比较来 检测入侵。常用的异常检测技术有概率统 计方法和神经网络方法两种。
24
▪ 1. 概率统计方法 ▪ 概率统计方法是异常检测技术中应用最
早也是最多的一种方法。首先,检测器 根据用户的动作建立用户特征表,通过 比较当前特征与已存储定型的特征,从 而判断是否为异常行为。用户特征表需 要根据审计记录情况不断加以更新。
络关键路径的信息,它能够监听网络上的所有分 组,并采集数据以分析可疑现象。
基于网络的入侵检测系统使用原始网络包作为 数据源,通常利用一个运行在混杂模式下的网络 适配器来实时监视,并分析通过网络的所有通信 业务。基于网络的入侵检测系统可以提供许多基 于主机的入侵检测法无法提供的功能。许多客户 在最初使用入侵检测系统时,都配置了基于网络 的入侵检测。
▪ 3. 记录、报警和响应 ▪ 入侵检测系统在检测到攻击后,应该采取相应
的措施来阻止或响应攻击。它应该首先记录攻 击的基本情况,其次应该能够及时发出警告。 良好的入侵检测系统,不仅应该能把相关数据 记录在文件或数据库中,还应该提供报表打印 功能。必要时,系统还能够采取必要的响应行 为,如拒绝接收所有来自某台计算机的数据, 追踪入侵行为等。实现与防火墙等安全部件的 交互响应,也是入侵检测系统需要研究和完善 的功能之一。
所以不能检测未知的入侵。异常检测则可 以检测未知的入侵。基于异常检测的入侵 检测首先要构建用户正常行为的统计模型, 然后将当前行为与正常行为特征相比较来 检测入侵。常用的异常检测技术有概率统 计方法和神经网络方法两种。
24
▪ 1. 概率统计方法 ▪ 概率统计方法是异常检测技术中应用最
早也是最多的一种方法。首先,检测器 根据用户的动作建立用户特征表,通过 比较当前特征与已存储定型的特征,从 而判断是否为异常行为。用户特征表需 要根据审计记录情况不断加以更新。
络关键路径的信息,它能够监听网络上的所有分 组,并采集数据以分析可疑现象。
基于网络的入侵检测系统使用原始网络包作为 数据源,通常利用一个运行在混杂模式下的网络 适配器来实时监视,并分析通过网络的所有通信 业务。基于网络的入侵检测系统可以提供许多基 于主机的入侵检测法无法提供的功能。许多客户 在最初使用入侵检测系统时,都配置了基于网络 的入侵检测。
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5
第7章入侵检测系统的标准与评估
7.3 入侵检测系统的性能指标
评价入侵检测系统性能的标准
根据Porras等研究,给出评价入侵检测系统性 能的3个因素. 准确性(Accuracy) 处理性能(Performance) 完备性(Completeness) 在此基础上,Debar等又增加了如下两个性能评 价测度: 容错性(Fault Tolerance) 及时性(Timeliness)
6
第7章入侵检测系统的标准与评估
7.3 入侵检测系统的性能指标
影响入侵检测系统性能的参数
有效性: 研究检测机制的检测精度和系统报警 的可信度 效率: 从检测机制的处理数据的速度以及经济 性的角度来考虑
本节从有效性的角度对检测系统的检测性能及 影响性能的参数进行分析讨论. 下面利用贝叶斯理论来分析基于异常检测的入 侵检测系统的检测率、虚警率与报警可信度之 间的关系。
24
IDS功能测试配置图
第7章入侵检测系统的标准与评估
7.6 测试环境和测试软件
测试软件
IDS测试软件一般应具有以下功能:
仿真用户操作 模拟入侵
Nidsbench测试软件包 California大学的IDS测试平台
25
第7章入侵检测系统的标准与评估
7.7 用户评估标准
用户评估IDS涉及多种因素
根据贝叶斯定理给出这二个参数的计算公式:
P(I )P( A / I ) P ( I | A) P ( I ) P ( A | I ) P (I ) P ( A | I )
P (I ) P (A | I ) P (I | A) P (I ) P (A | I ) P ( I ) P (A | I )
第7章入侵检测系统的标准与评估
7.3 入侵检测系统的性能指标
影响入侵检测系统性能的参数
P(﹁A|﹁I)则指目标系统正常的情况下,检测系统 不报警的概率。 显然有: P(﹁A|I)=1- P(A|I) , P(﹁A|﹁ I)=1- P(A|﹁I)
在实际应用中,主要关注一个入侵检测系统的报 警结果能否正确地反映目标系统的安全状态。
32
技术报告
请谈谈入侵检测技术分析这门课程的每一个章 节的主要内容? 你了解和掌握了哪些知识? 还有 哪些知识没有掌握? 为什么没有掌握? 还缺少 哪些基础知识? 最后请结合实际说明你对入侵 检测系统某些方面的理解和认识.(比如在需求方 面、在重要性方面、与其它安全机制的差异性 方面、未来的发展方向方面、架构方面、检测 机制方面、安全性方面、测试评估方面等等)。 注:若有参考文献,请按标准格式列在后面。
7.5 测试评估内容
性能测试:在各种不同环境下,检验IDS的承受 强度,主要指标如下:
IDS引擎的吞吐量
包的重装 过滤的效率
产品可用性测试
评估系统用户界面的可用性、完整性和扩充性 跨平台能力 易用性 稳定性
21
第7章入侵检测系统的标准与评估
7.6 测试环境和测试软件
入侵检测技术分析
第13讲
北京信息科技大学
刘凯 liukai@bistu.edu.cn
0
入侵检测技术分析
第七章
入侵检测系统的评估
1
课程安排
入侵检测概述 入侵方法及手段 入侵检测系统 入侵检测流程 基于主机的入侵检测技术 基于网络的入侵检测技术 入侵检测系统的标准与评估 Snort 分析 入侵检测技术的发展趋势
8
第7章入侵检测系统的标准与评估
7.3 入侵检测系统的性能指标
影响入侵检测系统性能的参数
入侵检测可以看作一个简单的二值假设检验问题。 为便于分析,给出相关定义和符号。 假设I和﹁I分别表示入侵行为和目标系统的正常 行为,A表示检测系统发出警报,﹁A表示检测系统 没有警报。
检测率:指目标系统受到入侵攻击时,检测系统 能够正确报警的概率,可表示为P(A|I)。 虚警率:检测系统在检测时出现虚警的概率,用 P(A|﹁I)表示。 漏检率:检测系统在检测时出现漏警的概率,用 P(﹁A|I)表示。 9
技术目标 评估 训练数据 测试数据开发 评估使用的测试数据 异常检测 评估规则 结果提交格式 系统描述 运行时间
29
第7章入侵检测系统的标准与评估
7.8 入侵检测评估方案
实时评估方案:DARPA/AFRL共同发起的,AFEL负 责对选送的DARPA研究项目进行实时评估。
目标
测量每个IDS在现有的正常机器和网络活动中检测 入侵行为的效力 测量每个IDS的反应机制的效力以及对正常用户的 影响
1、 产品标识
生产厂商或公司
产品版本号 IDS类型 IDS的数据源是什么 IDS的运行方式 IDS产品形式是硬件、软件还是软硬结合
26
第7章入侵检测系统的标准与评估
7.7 用户评估标准
用户评估IDS涉及多种因素
2 、IDS文档和技术支持 3、IDS的功能
产品与现有系统的集成
是否即插即用 所支持的软件平台 与其它安全工具的集成是否容易 IDS运行需要的网络拓扑结构 支持的管理方式 管理协议 支持的网络协议 产品是否开放源代码
27
第7章入侵检测系统的标准与评估
7.7 用户评估标准
用户评估IDS涉及多种因素
4、IDS报告和审计 5、IDS检测与响应
3
上一讲回顾
入侵检测标准化工作
CIDF IDMEF
入侵检测系统的设计考虑
4
第7章入侵检测系统的标准与评估
入侵检测的标准化工作 入侵检测设计方面的考虑 评价入侵检测系统性能的标准 网络入侵检测系统测试评估 测试评估的内容 测试环境和测试软件 用户评估标准 入侵检测评估方案
7.5 测试评估内容
IDS的评估涉及入侵识别能力、资源使用状况、 强力测试反应等几个主要问题。下面就IDS的功 能、性能及产品可用性3个方面做进一步讨论:
功能性测试:能反映出IDS的攻击检测、报告、 审记、报警等能力
攻击识别 抗攻击性 过滤 报警 日志 报告
20
第7章入侵检测系统的标准与评估
检测不出入侵情况 (1,1)点则表示检测系统的报警门限为0时, 检测系统把被监控系统的所有行为都视为入侵活 动的情况。 (0,1)点则代表了一个完美的检测系统,能 在没有虚警的情况下,检测出所有的入侵活动, 这是理想的情况。
15
第7章入侵检测系统的标准与评估
100% 检测率
A B C
0
虚警率
P( I |A)给出了检测系统报警信息的可信度,即 检测系统报警时,目标系统正受到入侵攻击的概率。 P(﹁ I |﹁A)则给出了检测系统没有报警时,目 标系处于安全状态的可信度。 我们期望系统的这两个参数的值越大越好。
10
第7章入侵检测系统的标准与评估
7.3 入侵检测系统的性能指标
影响入侵检测系统性能的参数
评价检测算法性能的测度
通常可以用检测率随虚警率的变化曲线来评价检 测系统的性能 ,这个曲线称为接收器特性(ROCReceiver Operation Characteristic)曲线。 下图对应着采用不同检测算法的入侵检测系统A、 B、C,所做的ROC曲线簇。
A代表最坏情况,相当于对入侵行为没有识别能
7
第7章入侵检测系统的标准与评估
7.3 入侵检测系统的性能指标
影响入侵检测系统性能的参数
在异常检测和误用检测中都会产生误报。误报包括 虚警(False Positive)和漏警(False Negative)。 在异常检测中,由于不能保证入侵活动与异常活动 完全相符,因此会出现是异常却非入侵的情况或者 出现入侵却非异常的情况,前者会产生虚警,后者 会产生漏警。 在误用检测中,由于可能出现入侵特征定义的不准 确和不全面,因此会出现将正常模式当成入侵模式 的情况或者出现不能识别入侵模式的情况,前者会 产生虚警,后者会产生漏警。
Leabharlann Baidu
力 系统C始终优于系统B 检测系统的性能图中y=x可以作为系统的性能基 准,所有的入侵检测系统性能都应好于它所代表的 系统。
14
第7章入侵检测系统的标准与评估
7.3 入侵检测系统的性能指标
评价检测算法性能的测度
图中有三个坐标点需要关注:
(0,0)点表示一个检测系统的报警门限过高,
Lincoln实验室设计了一个离线的网络IDS测试环 境,如图所示。
监听数 据 IDS 审计数 据
检 测 结 果
ROC曲 线分析
Lincoln实验室的IDS测试环境
22
第7章入侵检测系统的标准与评估
7.6 测试环境和测试软件
Rome实验室设计了一个实时的网络环境来作评 测IDS。如图所示.
正常网络 通信流
测试配置 测试要求
集成
送交受测系统 报告结果 30
小结
影响入侵检测系统的性能参数是什么 用ROC曲线来表示不同检测系统性能 测试评估的内容 入侵检测的评估方案
● —— 重要知识点
31
思考题
1 .入侵检测系统的报警可信度与虚警率、检测 率之间的关系是什么? 2、评价入侵检测系统性能的3个因素是什么? 分别表示什么含义?
系统活动记录未能为IDS提供足够的信息用来检 测入侵 入侵签名数据库中没有某种入侵攻击签名 模式匹配算法不能从系统活动记录中识别出入 侵签名
异常检测模块失效的原因如下:
异常阈值定义不合适 用户轮廓模板不足以描述用户的行为 异常检测算法设计错误。
19
第7章入侵检测系统的标准与评估
数据内容识别能力
抗攻击能力 冗错能力 检测精度和范围大小 通过何种方式报警
6、安全管理 7、产品安装和服务支持
28
第7章入侵检测系统的标准与评估
7.8 入侵检测评估方案
离线评估方案:DARPA与美国空军研究实验室联合发起的、 由林肯实验室主持进行一年一度的评估活动。
11
第7章入侵检测系统的标准与评估
7.3 入侵检测系统的性能指标
影响入侵检测系统性能的参数
先验概率P(I)可利用实验环境和实际环境得到。 因为入侵行为出现的概率一般很小,即 P ( I ) P (I ) P ( I ) P ( I ) 1
所以P(I |A) 的值主要取决于虚警率的影响。假 定某一时间段内受到入侵攻击的概率 P(I)=0.00001,图中给出了检测系统的报警信息 可信度与系统检测虚警率、检测率之间的关系。
100%
表示不同检测性能的ROC曲线簇
16
第7章入侵检测系统的标准与评估
7.4 网络入侵检测系统测试评估
测试评估入侵检测系统很困难
涉及操作系统、网络环境、工具、软件、硬件 和数据库等技术方面问题 IDS目前没有工业标准可参考来评测 IDS厂商不会公布检测算法 只能依靠黑箱测试
IDS的评估者主要来自开发者、第三方、入侵 者和最终用户 入侵和最终用户的测试是在实际应用环境下进 行的 ,评估效果更关键。
17
第7章入侵检测系统的标准与评估
7.4 网络入侵检测系统测试评估
一般情况下,IDS测试环境的组成有测试平台控 制器、正常合法使用用户、攻击者、服务器和 IDS系统。如图所示。
IDS测试环境组成示意图
18
第7章入侵检测系统的标准与评估
7.5 测试评估内容
误用检测失效的原因有以下3个方面:
给定检测率,可信度随虚警率的增加而减小。 给定虚警率的条件下,可信度将随着检测率的增 大而增大。 P(A|I)=1且 P(A|﹁I)=0时,检测结果最可信, 12 但这仅是理想情况。
第7章入侵检测系统的标准与评估
可信度、虚警率、检测率之间的关系图
13
第7章入侵检测系统的标准与评估
7.3 入侵检测系统的性能指标
评 估 网 络
IDS
攻击网络 通信流
Rome实验室的IDS测试环境
23
第7章入侵检测系统的标准与评估
7.6 测试环境和测试软件
为了较好地测试IDS,针对不同的测试目标,一 般构建专用的网络环境,下图是测试IDS功能的 网络配置图
路由器
攻击者 路由器
网络负载产生器
攻击目标
IDS探测器
IDS管理中心
2学时 3学时 3学时 6学时 4学时 4学时 4学时 4学时 2学时 共32学时2
教材及参考书
《入侵检测技术》曹元大 人民邮电出版社 《入侵检测技术》薛静锋等 机械工业出版社 《Snort 2.0 入侵检测》Brian Caswell等著 宋劲松 等著 国防工业出版社 《入侵检测实用手册》Paul E. Proctor 中国电力 出版社 http://www.chinaitlab.com/