第3章 入侵检测系统模型

3.2 信息收集
• 在IDS的消息描述方面最出名的是入侵检测工作组 IDWG提出的入侵检测交换格式IDMEF(Intrusion Detection Message Exchange Format)。它是一种基 于XML的网络入侵检测告警信息描述标准，它针对IDS而 设计，具有良好的开放性、可扩展性和商业互操作性。 IDMEF仅仅对网络安全告警信息和设备心跳信息进行了描 述，并且采用DTD (Document Type Definition)作为对 XML数据的约束。
3.2 信息收集
• 3.2.3 信息的标准化 • 不同的入侵检测产品(如Snort，Real Secure等)之间 或同一个入侵检测产品内部各个模块之间通常使用各自定 义的信息描述语言和格式，没有一个统一的标准接口，从 而使得它们之间不能很好地沟通与协作。目前，OWL (Web Ontology Language)已经逐渐成为语义信息描述 的事实标准，正在为越来越多的系统所应用。这里将介绍 入侵检测系统中一套完整的基于OWL的信息描述机制。
3.2 信息收集
• 3. 程序执行中的不期望行为 网络系统上的程序执行一般包括操作系统、网络服务、 用户起动的程序和特定目的的应用，例如数据库服务器。 每个在系统上执行的程序由一到。每个进程执行在具有不 同权限的环境中，这种环境控制着进程可访问的系统资源、 程序和数据文件等。一个进程的执行行为由它运行时执行 的操作来表现，操作执行的方式不同，它利用的系统资源 也就不同。操作包括计算、文件传输、设备和其它进程， 以及与网络间其它进程的通讯。
3.2 信息收集
• 当然，入侵检测很大程度上依赖于收集信息的可靠性 和正确性，因此，很有必要只利用所知道的真正的和精确 的软件来报告这些信息。因为黑客经常替换软件以搞混和 移走这些信息，例如替换被程序调用的子程序、库和其它 工具。黑客对系统的修改可能使系统功能失常并看起来跟 正常的一样，而实际上不是。例如，UNIX系统的PS指令 可以被替换为一个不显示侵入过程的指令，或者是编辑器 被替换成一个读取不同于指定文件的文件（黑客隐藏了初 试文件并用另一版本代替）。这需要保证用来检测网络系 统的软件的完整性，特别是入侵检测系统软件本身应具有 相当强的坚固性，防止被篡改而收集到错误的信息。
3.2 信息收集
• 3.2.3 信息的标准化 • 在RDF和OIL的基础上，DAML尝试将RDF和OIL的优点结 合起来产生了DAML+OIL。 • OWL是W3C在DAML + OIL 基础上近几年发展起来的。 它与DAML+OIL 的实质区别体现为OWL 通过选择Web 本体取消了有条件的数量限制并直接说明属性是对称的； 减少了一些不规则的DAML+OIL 结构抽象语法,特别是对 外层组件的约束和它们意义的差别；各种结构名称也有改 变。基于以上原因，这里选择了OWL作为IDS的信息描述 工具。
3.1 入侵检测系统模型概述
• 3. 用户自定义规则:用户可以根据漏洞扫描系统评估自己 的系统，根据服务器操作系统类型，所提供的服务以及根 据漏洞扫描结果制定属于自己的规则文件。这对管理员提 出了更高的要求。 • 4. 采用先进的协议分析+ 模式匹配(滥用检测和异常检测 结合使用) + 异常统计的检测分析方法。
3.1 入侵检测系统模型概述
美中不足的是， IDS 普遍存在误报问题，导致入侵检 测的实用性大打折扣，采用智能处理模块解决这个问题， 智能处理模块包括下面功能: • 1. 全面集成入侵检测技术，将多个代理传送到管理器的数 据整合起来，经过智能处理，将小比例的多个事件整合形 成一个放大的全面事件图。 • 2. 对于一个特定的漏洞和攻击方法， IDS 先分析系统是 否会因为这个缺陷而被入侵，然后再考Байду номын сангаас与入侵检测的关 联(报警)。
3.2 信息收集
• 3.2.2 信息源的获取 • 入侵检测利用的信息源一般来自以下四个方面： • 1. 系统和网络日志文件 黑客经常在系统日志文件中留下他们的踪迹，因此，充分利 用系统和网络日志文件信息是检测入侵的必要条件。日志中包 含发生在系统和网络上的不寻常和不期望活动的证据，这些证 据可以指出有人正在入侵或已成功入侵了系统。通过查看日志 文件，能够发现成功的入侵或入侵企图，并很快地启动相应的 应急响应程序。日志文件中记录了各种行为类型，每种类型又 包含不同的信息，例如记录“用户活动”类型的日志，就包含 登录、用户ID改变、用户对文件的访问、授权和认证信息等内 容。很显然地，对用户活动来讲，不正常的或不期望的行为就 是重复登录失败、登录到不期望的位置以及非授权的企图访问 重要文件等等。
3.1 入侵检测系统模型概述
IDS 发展到目前，按照不同的角度区分，已经出现了主 机基和网络基的入侵检测系统;基于模式匹配、异常行为、 协议分析等检测技术的系统。第四代入侵检测技术是主机基 + 网络基+ 安全管理+ 协议分析+ 模式匹配+异常统计， 它的优点在于入侵检测和多项技术协同工作，建立全局的主 动保障体系，误报率、漏报率、滥报率较低，效率高，可管 理性强，并实现了多级的分布式的检测管理，网络基和主机 基入侵检测，协议分析和模式匹配以及异常统计相结合，取 长补短，可以进行更有效的检测。
3.2 信息收集
• IDMEF数据模型是一种面向对象的入侵检测告警信息和 设备心跳信息描述模型。如图3.4所示,在IDMEFMessage根类中包含两个了类：Alert和HeartBeat。它 们和IDMEF-Message之间是继承关系，它继承了 IDMEF-Message的所有属性。Alert和HeartBeat分别用 于对安全告警信息和设备心跳信息进行描述。
3.2 信息收集
• 3.2.1 信息收集概述 数据收集机制在IDS中占据着举足轻重的位置。如果收 集的数据时延较大，检测就会失去作用；如果数据不完整， 系统的检测能力就会下降；如果由于错误或入侵者的行为 致使收集的数据不正确，IDS就会无法检测某些入侵，给 用户以安全的假象。 • 1．分布式与集中式数据收集机制 • (1) 分布式数据收集：检测系统收集的数据来自一些固定 位置而且与受监视的网元数量无关。 • (2) 集中式数据收集：检测系统收集的数据来自一些与受 监视的网元数量有一定比例关系的位置。
3.2 信息收集
• 4. 物理形式的入侵信息 • 这包括两个方面的内容，一是未授权的对网络硬件连接； 二是对物理资源的未授权访问。黑客会想方设法去突破网 络的周边防卫，如果他们能够在物理上访问内部网，就能 安装他们自己的设备和软件。依此，黑客就可以知道网上 的由用户加上去的不安全（未授权）设备，然后利用这些 设备访问网络。例如，用户在家里可能安装Modem以访问 远程办公室，与此同时黑客正在利用自动工具来识别在公 共电话线上的Modem，如果拨号访问流量经过了这些自动 工具，那么这一拨号访问就成为了威胁网络安全的后门。 黑客就会利用这个后门来访问内部网，从而越过了内部网 络原有的防护措施，然后捕获网络流量，进而攻击其它系 统，并偷取敏感的私有信息等等。
3.2 信息收集
• 3.2.3 信息的标准化 • RDF是一种简单的Ontology表示语言。但是RDF的缺点是 其表达能力差，例如，它没有变量，它只支持字符型，不 支持整型、实型等其它简单数据类型。它只有属性的 Domain和range约束，没有否定，没有传递属性 transitive、互反属性 inverse，不能表示等价性和不相 交性、没有类成员的充分必要条件，不能描述等价性等。 • OIL以RDF为起点，用更为丰富的Ontology建模原语对 RDF Scheme进行扩充。OIL的缺点是它不能表达类或属 性的等价性。
第3章 入侵检测系统模型
概
述
所有的入侵检测系统模型都是由三部分组 成的，它们是信息收集模块、信息分析模块和 告警与响应模块，如图3.1所示。本节来分别讲 述这三块的功能与作用。
概
述
3.1 入侵检测系统模型概述
入侵检测系统，顾名思义，便是对入侵行为的发觉。 它通过对计算机网络或计算机系统中的若干关键点收集信 息并对其进行分析，从中发现网络或系统中是否有违反安 全策略的行为和被攻击的迹象。
3.2 信息收集
• 3.2.3 信息的标准化 • 1. 相关研究 目前的知识描述语言有许多种，如XML，RDF，DAML， DAML+OIL和OWL等。XML是Web上数据交换的标准， 它可以表达任意结构的数据，但是它在表示数据的语义方 面不是很强。 • Ontology本体可以较为有效地解决信息之间的语义不 确定等问题。目前语义Web上的Ontology表示语言主要 有RDF、OIL (Ontology Interchange Language)、 DAML (Darpa Agent Markup Language)、DAML与 OIL结合起来而产生的DAML+OIL、OWL。
3.2 信息收集
• IDMEF
3.2 信息收集
• 4. IDS中基于OWL的安全消息通信机制 • 在图3.2基于OWL信息描述的IDS模型当中，多个感应 器可以和事件分析器之间可以采用基于OWL的消息机制进 行通信。考虑到感知器的异构性、通信的安全性、系统的 效率等问题，通信机制主要要求以下两点：(1) 将异构的 感知检测到的信息采用统一的数据格式，这里采用基于 OWL的信息描述。(2) 保证通信的安全性。其通信模型如 图3.5所示：
3.2 信息收集
• 2. 目录和文件中的不期望的改变 • 网络环境中的文件系统包含很多软件和数据文件，包含 重要信息的文件和私有数据文件经常是黑客修改或破坏的 目标。目录和文件中的不期望的改变（包括修改、创建和 删除），特别是那些正常情况下限制访问的，很可能就是 一种入侵产生的指示和信号。黑客经常替换、修改和破坏 他们获得访问权的系统上的文件，同时为了隐藏系统中他 们的表现及活动痕迹，都会尽力去替换系统程序或修改系 统日志文件。
3.1 入侵检测系统模型概述
• 图：
3.2 信息收集
入侵检测的第一步是信息收集，内容包括系统、网络、 数据及用户活动的状态和行为。而且，需要在计算机网络 系统中的若干不同关键点（不同网段和不同主机）收集信 息，这除了尽可能扩大检测范围的因素外，还有一个重要 的因素就是从一个源来的信息有可能看不出疑点，但从几 个源来的信息的不一致性却是可疑行为或入侵的最好标识。
3.2 信息收集
• 2. 基于OWL的信息描述解决方案 • 这里将采用OWL作为整个分布式IDS中信息描述的工具， 并以一个入侵检测实例为例说明方案的实现过程。如图3.3 所示为基于OWL信息描述的IDS模型。
3.2 信息收集
• 整个安全模型由安全管理平台，事件分析器，感应器和 数据源组成。由系统安全管理员制定安全策略，并通过安 全管理平台分发给各个事件分析器。数据源包括来自网络 和主机的各种信息。感应器可以是不同种类的分布式安全 部件代理，它们将收集到的安全信息传给事件分析器进行 安全分析。分析器再将分析后的结果通过网络安全管理平 台传输给安全管理员，管理员再对安全事件进行响应。
3.2 信息收集
• 3．基于主机的数据收集和基于网络的数据收集 • 基于主机的数据收集是从所监控的主机上获取的数据；基 于网络的数据收集是通过被监视网络中的数据流获得数据。 • 总体而言，基于主机的数据收集要优于基于网络的数据收 集。
3.2 信息收集
4． 外部探测器和内部探测器 • (1) 外部探测器是负责监测主机中某个组件（硬件或软件） 的软件。它将向IDS提供所需的数据，这些操作是通过独 立于系统的其他代码来实施的。 • (2) 内部探测器是负责监测主机中某个组件（硬件或软件） 的软件。它将向IDS提供所需的数据，这些操作是通过该 组件的代码来实施的。 • 外部探测器和内部探测器在用于数据收集时各有利弊， 可以综合使用。由于内部探测器实现起来的难度较大，所 以在现有的IDS产品中，只有很少的一部分采用它。
3.2 信息收集
• 2．直接监控和间接监控 • 如果IDS从它所监控的对象处直接获得数据，则称为直接 监控；反之，如果IDS依赖一个单独的进程或工具获得数 据，则称为间接监控。 • 就检测入侵行为而言，直接监控要优于间接监控，由于直 接监控操作的复杂性，目前的IDS产品中只有不足20%使 用了直接监控机制。