第六章入侵检测与安全审计系统
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3
模型
最早的入侵检测模型是由Denning给出的,该模型主要 根据主机系统审计记录数据,生成有关系统的若干轮廓, 并监测轮廓的变化差异发现系统的入侵行为,如下图:
2021/3/4
电子科技大学成都学院
4
CIDF(通用入侵检测框架)标准——入侵检测系统的通用模 型,解决不同IDS之间的互操作和共存问题。
会话矢量X=<x1,x2,….,xn>表示描述单一会话用户行 为的各种属性的数量。会话开始于login,终止于 logout,login和logout次数也作为会话矢量的一部 分。可监视20多种属性,如:工作的时间、创建文 件数、阅读文件数、打印页数和I/O失败次数等。
2021/3/4
电子科技大学成都学院
正误判——将一个合法操作判断为异常行为。
后果:导致用户不理会IDS的报警,使IDS形同虚设。
负误判——将一个攻击动作判断为非攻击行为, 并允许其通过检测。
后果:背离了安全防护的宗旨,IDS系统成为例行公事。
失控误判——攻击者修改了IDS系统的操作,使它 总出现负误判的情况。
后果:不易察觉,长此以往,IDS将不会报警。
入侵检测顾名思义,是指通过对计算机网络或计 算机系统中的若干关键点收集信息并对其进行分 析,从中发现网络或系统中是否有违反安全策略 的行为和被攻击的迹象。
入侵检测系统——Intrusion Detection System,简 称IDS,入侵检测的软件与硬件的组合。
2021/3/4
电子科技大学成都学院
产生伯努里矢量的方法就是用属性i的数值xi与测量 表中相应的阈值范围比较,当超出范围时,bi被置1, 否则bi置0。产生伯努里矢量的函数可描述为:
0
bi
1
t x t i,min
i
i,max
其他
2021/3/4
电子科技大学成都学院
14
步骤3:产生加权入侵值。
加类性超型权过的入阈第侵值i矢个t量i属的W性情=的况<w重在1,要w整2性,个…相入,w关侵n>。判中即定每,中个w的wi对i与重应检要第测程i度入个侵。属 加权入侵值由下式给出:
加权入侵值
步骤4:若加权入侵值大于预设的阈值,则给 出报警。
2021/3/4
电子科技大学成都学院
பைடு நூலகம்15
模型应用实例
利用该模型设计一防止网站被黑客攻击的预 警系统。考虑到一个黑客应该攻击他自己比 较感兴趣的网站,因此可以在黑客最易发起 攻击的时间段去统计各网页被访问的频率, 当某一网页突然间被同一主机访问的频率剧 增,那么可以判定该主机对某一网页发生了 超乎寻常的兴趣,这时可以给管理员一个警 报,以使其提高警惕。
2021/3/4
电子科技大学成都学院
6
6.1.2 入侵检测系统的特点
不需要人工干预即可不间断的运行 有容错能力 不需要占用大量的系统资源 能够发现异常的操作 能够适应系统行为的长期变化 判断正确 灵活定制 保持领先
2021/3/4
电子科技大学成都学院
7
6.1.3 入侵行为的误判
2021/3/4
电子科技大学成都学院
5
作用
是防火墙的合理补充,帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力,提高了信 息安全基础结构的完整性。
是安防系统的重要组成部分。
以后台进程的形式运行,发现可疑情况,立即 通知有关人员。
被认为是防火墙之后的第二道安全闸门。
如同大楼的监视系统。
工作流程
根据计算机审计记录文件产 生代表用户会话行为的会话 矢量,然后对这些会话矢量 进行分析,计算出会话的异 常值,当该值超过阈值便产 生警告。
2021/3/4
电子科技大学成都学院
12
步骤1:产生会话矢量。
根据审计文件中的用户会话(如用户会话包括login和 logout之间的所有行为)产生会话矢量。
13
步骤2:产生伯努里矢量。
伯努里矢量B=<b1,b2,…,bn>是单一2值矢量,表示 属性的数目是否在正常用户的阈值范围之外。阈值 矢量T=<t1,t2,…,tn>表示每个属性的范围,其中ti是 <ti,min, ti,max>形式的元组,代表第i个属性的范围。 这样阈值矢量实际上构成了一张测量表。算法假设 ti服从高斯分布(即:正态分布)。
2021/3/4
电子科技大学成都学院
8
6.1.4 入侵分析方法
签名分析法 统计分析法 数据完整性分析法
2021/3/4
电子科技大学成都学院
9
签名分析法
主要用来监测对系统的已知弱点进行攻击的 行为。
方法:从攻击模式中归纳出它的签名,编写 到IDS系统的代码里。
签名分析实际上是一种模板匹配操作: 一方是系统设置情况和用户操作动作 一方是已知攻击模式的签名数据库
网络安全与病毒防范
第六章 入侵检测与安全审计系统
2021/3/4
电子科技大学成都学院
1
6.1 入侵检测系统 6.2 安全审计系统
2021/3/4
电子科技大学成都学院
2
6.1 入侵检测系统
6.1.1 入侵检测系统的概念
入侵(Intrusion)是指任何企图危及资源的完整性、 机密性和可用性的活动。
2021/3/4
电子科技大学成都学院
16
借助该模型,可以根据某一时间段的Web日 志信息产生会话矢量,该矢量描述在特定时 间 明第段i同个一网请页求被主访机问访的问频率各;网接页着的根频据率阈,值xi矢说 量产生伯努里矢量,此处的阈值矢量定为各
2021/3/4
电子科技大学成都学院
10
统计分析法 以统计学为理论基础,以系统正常使用情况 下观察到的动作模式为依据来判别某个动作 是否偏离了正常轨道。
数据完整性分析法 以密码学为理论基础,可以查证文件或者对 象是否被别人修改过。
2021/3/4
电子科技大学成都学院
11
一个简单的基于统计的异常检测模型
事件——IDS需要分析的数据,可以是网络中的数据包,也可以是从 系统日志等其他途径得到的信息。
事件产生器:从整个计算环境中获得事 件,并向系统的其他部分提供此事件。 事件分析器:分析得到的数据,并产生 分析结果。 响应单元:对分析结果作出反应的功能 单元,它可以作出切断连接、改变文件 属性 等强烈反应,或是简单的报警。 事件数据库:存放各种中间和最终数据 的地方的统称,既可以是复杂的数据库, 也可以是简单的文本文件。