第五讲混合式入侵检测技术
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Dorothy Denning还有 哪些贡献?
Z20hang linlin
多种检测方法的ID技术—IDES及 NIDES
入侵检测专家系统(IDES)是一个混合型的入侵检测系统,使用专家 系统检测模块来对已知的入侵攻击模式进行检测。
NIDES系统继承了IDES系统设计的基础思路,同时做出若干改进更 新,以适应更高的用户需求。
Z30hang linlin
多种检测方法的ID技术—IDES及 NIDES
IDES系统的基于规则分析组件 采用一组规则来评价活动事件(即审计记录流),从而对用户
的当前行为是否正常做出评价。 是一个基于规则的前向链系统,即系统是由输入到知识库中的
事实进行驱动的,而非用户设定的目标驱动 IDES系统采用PBEST专家系统工具来编写检测规则库。
3
本章小结
Z18hang linlin
多种检测方法的ID技术—IDES及 NIDES
Z19hang linlin
多种检测方法的ID技术—IDES及 N▪ IIDDEESS简介
1984年—1986年,乔治敦大学的Dorothy Denning和 SRI/CSL(SRI公司计算机科学实验室)的Peter Neumann研 究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系 统)。 1988年,SRI/CSL的Teresa Lunt等人改进了Denning的入侵 检测模型,并开发出了一个IDES。该系统包括一个异常检测器和一 个专家系统,分别用于统计异常模型的建立和基于规则的特征分析检 测。
▪ 主机监控器由两部分组成
主机事件发生器HEG组件负责从所在主机系 统中收集审计记录,并对其进行安全分析
主机代理则负责与中央控制台的通信联系。
Z11hang linlin
采用多种信息源的入侵检测-DIDS
▪ 主机监控器的工作机制
主机监控器首先从主机系统 中读取C2审计数据文件,获 取审计记录,然后将这些审 计记录映射到DIDS系统定 义的规范格式HAR上。之后, 将这些统一格式的记录进行 必需的过滤操作以去除冗余 后,再进行各种分析检测工 作,生成不同的异常事件报 告,交由主机代理发送到中 央控制台。
5第五讲混合式入侵检测技 术
Z2hang linlin
多种信息输入源 采用多种信息输入源的入侵检测技术 如同时采用网络数据包和主机审计数据作为数据来源 以DIDS系统为典型代表。
多种不同类型 强调采用多种不同类型的入侵检测方法 例如同时采用统计分析的异常检测和基于专家系统规则的滥用入侵
检测技术 早期著名的IDES和NIDES系统。
typedef struct audit_record_info { … } audit_record_info;
typedef struct Rulebase_Analysis { … } Rulebase_Analysis;
typedef struct Stats_result { … } Stats_result;
Z7hang linlin
Z8hang linlin
采用多种信息源的入侵检测-DIDS
DIDS系统设计的目标环境 一组经由以太局域网连接起来的主机 并且这些主机系统都满足C2等级的安全审计功能要求
DIDS所要完成的任务 是监控网络中各个主机的安全状态 同时检测针对局域网本身的攻击行为。
Z9hang linlin
Z12hang linlin
采用多种信息源的入侵检测-DIDS
局域网事件发生器LEG负责观察网段内的所 有来往数据包数据,并检测主机间网络连接, 以及服务访问情况的安全状态,包括每个连 接内的数据流量等
局域网代理将所发现的异常事件发送到中央 控制台,同时接受控制台的控制命令,负责 提供更进一步的详细信息
Z13hang linlin
采用多种信息源的入侵检测-DIDS
LEG组件必须从当前网络数据包中构建所需的网络审计记 录(NAR, Network Audit Record)。
LEG组件主要审计主机之间的连接、所访问的服务类型以 及每个连接的数据流量情况。
LEG还建立和维护当前网络行为的正常模型,并检测当前 网络使用情况与正常模型的偏离情况。
解析器组件分析由统计分析组件和基于规则分析组件所各自发出的警报信 号,并报告去除冗余后的警报信号。
Z32hang linlin
多种检测方法的ID技术—IDES及
N▪ID解E析S器的数据结构
typedef enum { SAFE, /* Everything is okay */ CRITICAL, /* Critical Alert */ } ia_result_code;
专家系统:在收集来自各个监控器事件记录的基础上,执行关联分析和 安全状态评估的任务。其核心部分是用于进行推理工作的规则库
Z15hang linlin
采用多种信息源的入侵检测-DIDS
Z16hang linlin
采用多种信息源的入侵检测-DIDS
经过函数计算,最终得出一个反映系统 当前安全状态的分数值
Z24hang linlin
多种检测方法的ID技术—IDES及 NIDES
Z25hang linlin
多种检测方法的ID技术—IDES及 ▪NNIDIDEESS系统的架构设计
客户机和服务器模式
Arpool服务器:负责管理来自 目标主机的审计数据,并提供给 后继的检测组件客户进程
分析服务器:负责接收统计分 析组件和规则分析组件的分析 结果,并负责通过特定代理向 SOUI服务器提供警报信息。
IDES处理引擎负责处理从目标系统域中多个邻域内获得的审计数据 信息。
检测组件对每个审计数据进行分析处理 在IDES系统中实现了两个检测组件: 一个基于统计分析的方法,另
外一个基于规则分析的方法。
Z22hang linlin
多种检测方法的ID技术—IDES及 NIDES
IDES的邻域接口: 连接IDES 邻域和IDES检测组件的桥梁
typedef struct Rulebase_result { … } Rulebase_result;
typedef struct Alert { … } Alert;
typedef struct Stats_Analysis { … }Stats_Analysis;
采用多种信息源的入侵检测-DIDS
控制台负责管理和控制主机 监控器和网络监控器
主机监控器:从主机系统中 获取审计记录,经分析检测 ,生成异常事件报告,送至 中央控制台
局域网监控器监控网段内的 数据包数据,将所发现的异 常事件发送到中央控制台
Z10hang wk.baidu.cominlin
采用多种信息源的入侵检测-DIDS
最初版本的IDES系统仅仅支持一个单独的目标主机系统,后继版本扩 充了系统设计架构,从而可以支持任意数目的异构目标系统。
Z21hang linlin
多种检测方法的ID技术—IDES及 N▪ I系D统E架S构设计
由四个部分组成
IDES目标系统域通常包含一组 邻域,而每个邻域又包含多台 目标主机
邻域:一组具有类似特性的目标 主机系统。
计算出所有事件的威胁程度 处理各种事件在系统当前上下文中所呈
现的状态 主体标识层,对每个事件都赋予一个惟
一的主体标识。 标准主机审计记录(HAR)和网络审计
记录(NAR) 原始的主机审计数据和网络数据包
17 Zhang linlin
1 多种信息源的入侵检测技术
2 多种检测方法的入侵检测技术
0
使用物理位置 ● 邮件程序使用 ● 编辑器使用 ● 编译器使用 ● 外壳使用 ● 窗口命令使用 ● 通用程序使用 ● 通用系统调用使用 ● 文件活动 ● 文件使用 ● 所访问用户的ID号
…
对于用户所生成的每一个审计记录,IDES系统经计算生成一个单独的测试统计值( IDES分数值,表示为T2),用来综合表明最近用户行为的异常程度。统计值T2本 身是一个对多个测量值异常度的综合评价。因而IDES很好地体现了模型2和3.
IDES统计异常检测引擎: 观测在所监控计算机系统上的活动行为,自适应地学习主体的正
常行为模式。 维护一个主体的统计知识库,其中包含主体的档案。 使用特定的入侵检测测量值来决定所观测到的审计记录中的行为,
并与过去或者可接受的行为对比是否异常。
Z28hang linlin
回顾:用于入侵检测的统计模型—示例
3 Zhang linlin
1 多种信息源的入侵检测技术
2 多种检测方法的入侵检测技术
3
本章小结
4 Zhang linlin
1 多种信息源的入侵检测技术
2 多种检测方法的入侵检测技术
3
本章小结
Z5hang linlin
Z6hang linlin
▪ 以DIDS为例
1991年,在 USAF Cryptologic Support Center、 Lawrence Livermore National Laboratory、UC Davis 和 Haystack 实验室的的合作下,Steve Smaha 领导了 DIDS (Distributed Intrusion Detection System)项目的开发。 DIDS 第一次将基于主机的和基于网络的入侵检测方法结合起来,由 一个中央控制单元把各节点收集来的多个主机的审计记录以及网络流 量进行合并分析,从而能检测出更复杂的攻击行为。
PBEST编译器将用户编写的规则库转换为C语言代码,进一步 编译后就可构建一个实用的可执行程序。
Z31hang linlin
多种检测方法的ID技术—IDES及 NIDES
在IDES系统中,规则分析组件和统计分析组件是独立并行工作的。它们 共享相同的审计记录来源,并生成各自的分析报告;在后继的NIDES系 统中,引入一个解析器组件来合并分析这两个组件的输出结果。
Z14hang linlin
采用多种信息源的入侵检测-DIDS
通信管理器:提供专家系统和用户接口与底 层各个监控器之间的双向通信通道。
用户接口:通过通信管理器查询特定主机系 统上某个特定用户的登录等活动情况。
是以友好的方式实时地提供用户关心的系统 信息,包括实时的异常事件显示、整个系统 的安全状态信息等;同时,它还提供用户进 行特定控制和查询功能的接口
由两部分组成。一部分驻留在目 标主机系统上(邻域客户),另 一部分位于IDES处理引擎所在 的本地主机上(邻域服务器)
Z23hang linlin
多种检测方法的ID技术—IDES及 NIDES
IDES的用户接口: 允许用户观察在系统中所产
生和处理的任何信息,包括 系统各个组件的状态和活动 情况。 用户接口独立于基本的 IDES数据处理过程,其有 利于进行更好的模块化设计。
SOUI服务器:负责实现用户接 口功能
Z26hang linlin
多种检测方法的ID技术—IDES及 NIDES
Arpool Agen
Agen和 Arpool组件之 间采用的是 RPC(远程过 程调用)通信 协议
Agen:留驻在目标系统上的组件,通常它以离散的时间间隔对每一个审计 文件进行轮询,以确定目标主机是否已经加入了新的审计数据。
Z29hang linlin
回顾:用于入侵检测的统计模型—示例
▪ IDES用户主体类型的测量值
序数测量值 类别测量值
CPU使用情况 I/O使用情况
审计记录分布测量值
活动强度测量值
每分钟的流量 ● 每10分钟的流量 ● 每小时的流量
对于以上的每个测量 值,在审计记录分布 测量值中都有一个对 应的类别。 如:CPU测量的类型 为:审计记录指示 CPU使用的增量大于
Arpool:留驻在邻域接口的服务器端,接收从多个目标机器发来的IDES格 式的审计记录,并将它们序列化成一个单独的记录流,然后再对数据做进一 步的处理。同时也是一个用来存储等待IDES处理的审计记录的临时缓存, 用来集中存放审计数据的地方称为“审计数据池”
Z27hang linlin
多种检测方法的ID技术—IDES及 NIDES
Z20hang linlin
多种检测方法的ID技术—IDES及 NIDES
入侵检测专家系统(IDES)是一个混合型的入侵检测系统,使用专家 系统检测模块来对已知的入侵攻击模式进行检测。
NIDES系统继承了IDES系统设计的基础思路,同时做出若干改进更 新,以适应更高的用户需求。
Z30hang linlin
多种检测方法的ID技术—IDES及 NIDES
IDES系统的基于规则分析组件 采用一组规则来评价活动事件(即审计记录流),从而对用户
的当前行为是否正常做出评价。 是一个基于规则的前向链系统,即系统是由输入到知识库中的
事实进行驱动的,而非用户设定的目标驱动 IDES系统采用PBEST专家系统工具来编写检测规则库。
3
本章小结
Z18hang linlin
多种检测方法的ID技术—IDES及 NIDES
Z19hang linlin
多种检测方法的ID技术—IDES及 N▪ IIDDEESS简介
1984年—1986年,乔治敦大学的Dorothy Denning和 SRI/CSL(SRI公司计算机科学实验室)的Peter Neumann研 究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系 统)。 1988年,SRI/CSL的Teresa Lunt等人改进了Denning的入侵 检测模型,并开发出了一个IDES。该系统包括一个异常检测器和一 个专家系统,分别用于统计异常模型的建立和基于规则的特征分析检 测。
▪ 主机监控器由两部分组成
主机事件发生器HEG组件负责从所在主机系 统中收集审计记录,并对其进行安全分析
主机代理则负责与中央控制台的通信联系。
Z11hang linlin
采用多种信息源的入侵检测-DIDS
▪ 主机监控器的工作机制
主机监控器首先从主机系统 中读取C2审计数据文件,获 取审计记录,然后将这些审 计记录映射到DIDS系统定 义的规范格式HAR上。之后, 将这些统一格式的记录进行 必需的过滤操作以去除冗余 后,再进行各种分析检测工 作,生成不同的异常事件报 告,交由主机代理发送到中 央控制台。
5第五讲混合式入侵检测技 术
Z2hang linlin
多种信息输入源 采用多种信息输入源的入侵检测技术 如同时采用网络数据包和主机审计数据作为数据来源 以DIDS系统为典型代表。
多种不同类型 强调采用多种不同类型的入侵检测方法 例如同时采用统计分析的异常检测和基于专家系统规则的滥用入侵
检测技术 早期著名的IDES和NIDES系统。
typedef struct audit_record_info { … } audit_record_info;
typedef struct Rulebase_Analysis { … } Rulebase_Analysis;
typedef struct Stats_result { … } Stats_result;
Z7hang linlin
Z8hang linlin
采用多种信息源的入侵检测-DIDS
DIDS系统设计的目标环境 一组经由以太局域网连接起来的主机 并且这些主机系统都满足C2等级的安全审计功能要求
DIDS所要完成的任务 是监控网络中各个主机的安全状态 同时检测针对局域网本身的攻击行为。
Z9hang linlin
Z12hang linlin
采用多种信息源的入侵检测-DIDS
局域网事件发生器LEG负责观察网段内的所 有来往数据包数据,并检测主机间网络连接, 以及服务访问情况的安全状态,包括每个连 接内的数据流量等
局域网代理将所发现的异常事件发送到中央 控制台,同时接受控制台的控制命令,负责 提供更进一步的详细信息
Z13hang linlin
采用多种信息源的入侵检测-DIDS
LEG组件必须从当前网络数据包中构建所需的网络审计记 录(NAR, Network Audit Record)。
LEG组件主要审计主机之间的连接、所访问的服务类型以 及每个连接的数据流量情况。
LEG还建立和维护当前网络行为的正常模型,并检测当前 网络使用情况与正常模型的偏离情况。
解析器组件分析由统计分析组件和基于规则分析组件所各自发出的警报信 号,并报告去除冗余后的警报信号。
Z32hang linlin
多种检测方法的ID技术—IDES及
N▪ID解E析S器的数据结构
typedef enum { SAFE, /* Everything is okay */ CRITICAL, /* Critical Alert */ } ia_result_code;
专家系统:在收集来自各个监控器事件记录的基础上,执行关联分析和 安全状态评估的任务。其核心部分是用于进行推理工作的规则库
Z15hang linlin
采用多种信息源的入侵检测-DIDS
Z16hang linlin
采用多种信息源的入侵检测-DIDS
经过函数计算,最终得出一个反映系统 当前安全状态的分数值
Z24hang linlin
多种检测方法的ID技术—IDES及 NIDES
Z25hang linlin
多种检测方法的ID技术—IDES及 ▪NNIDIDEESS系统的架构设计
客户机和服务器模式
Arpool服务器:负责管理来自 目标主机的审计数据,并提供给 后继的检测组件客户进程
分析服务器:负责接收统计分 析组件和规则分析组件的分析 结果,并负责通过特定代理向 SOUI服务器提供警报信息。
IDES处理引擎负责处理从目标系统域中多个邻域内获得的审计数据 信息。
检测组件对每个审计数据进行分析处理 在IDES系统中实现了两个检测组件: 一个基于统计分析的方法,另
外一个基于规则分析的方法。
Z22hang linlin
多种检测方法的ID技术—IDES及 NIDES
IDES的邻域接口: 连接IDES 邻域和IDES检测组件的桥梁
typedef struct Rulebase_result { … } Rulebase_result;
typedef struct Alert { … } Alert;
typedef struct Stats_Analysis { … }Stats_Analysis;
采用多种信息源的入侵检测-DIDS
控制台负责管理和控制主机 监控器和网络监控器
主机监控器:从主机系统中 获取审计记录,经分析检测 ,生成异常事件报告,送至 中央控制台
局域网监控器监控网段内的 数据包数据,将所发现的异 常事件发送到中央控制台
Z10hang wk.baidu.cominlin
采用多种信息源的入侵检测-DIDS
最初版本的IDES系统仅仅支持一个单独的目标主机系统,后继版本扩 充了系统设计架构,从而可以支持任意数目的异构目标系统。
Z21hang linlin
多种检测方法的ID技术—IDES及 N▪ I系D统E架S构设计
由四个部分组成
IDES目标系统域通常包含一组 邻域,而每个邻域又包含多台 目标主机
邻域:一组具有类似特性的目标 主机系统。
计算出所有事件的威胁程度 处理各种事件在系统当前上下文中所呈
现的状态 主体标识层,对每个事件都赋予一个惟
一的主体标识。 标准主机审计记录(HAR)和网络审计
记录(NAR) 原始的主机审计数据和网络数据包
17 Zhang linlin
1 多种信息源的入侵检测技术
2 多种检测方法的入侵检测技术
0
使用物理位置 ● 邮件程序使用 ● 编辑器使用 ● 编译器使用 ● 外壳使用 ● 窗口命令使用 ● 通用程序使用 ● 通用系统调用使用 ● 文件活动 ● 文件使用 ● 所访问用户的ID号
…
对于用户所生成的每一个审计记录,IDES系统经计算生成一个单独的测试统计值( IDES分数值,表示为T2),用来综合表明最近用户行为的异常程度。统计值T2本 身是一个对多个测量值异常度的综合评价。因而IDES很好地体现了模型2和3.
IDES统计异常检测引擎: 观测在所监控计算机系统上的活动行为,自适应地学习主体的正
常行为模式。 维护一个主体的统计知识库,其中包含主体的档案。 使用特定的入侵检测测量值来决定所观测到的审计记录中的行为,
并与过去或者可接受的行为对比是否异常。
Z28hang linlin
回顾:用于入侵检测的统计模型—示例
3 Zhang linlin
1 多种信息源的入侵检测技术
2 多种检测方法的入侵检测技术
3
本章小结
4 Zhang linlin
1 多种信息源的入侵检测技术
2 多种检测方法的入侵检测技术
3
本章小结
Z5hang linlin
Z6hang linlin
▪ 以DIDS为例
1991年,在 USAF Cryptologic Support Center、 Lawrence Livermore National Laboratory、UC Davis 和 Haystack 实验室的的合作下,Steve Smaha 领导了 DIDS (Distributed Intrusion Detection System)项目的开发。 DIDS 第一次将基于主机的和基于网络的入侵检测方法结合起来,由 一个中央控制单元把各节点收集来的多个主机的审计记录以及网络流 量进行合并分析,从而能检测出更复杂的攻击行为。
PBEST编译器将用户编写的规则库转换为C语言代码,进一步 编译后就可构建一个实用的可执行程序。
Z31hang linlin
多种检测方法的ID技术—IDES及 NIDES
在IDES系统中,规则分析组件和统计分析组件是独立并行工作的。它们 共享相同的审计记录来源,并生成各自的分析报告;在后继的NIDES系 统中,引入一个解析器组件来合并分析这两个组件的输出结果。
Z14hang linlin
采用多种信息源的入侵检测-DIDS
通信管理器:提供专家系统和用户接口与底 层各个监控器之间的双向通信通道。
用户接口:通过通信管理器查询特定主机系 统上某个特定用户的登录等活动情况。
是以友好的方式实时地提供用户关心的系统 信息,包括实时的异常事件显示、整个系统 的安全状态信息等;同时,它还提供用户进 行特定控制和查询功能的接口
由两部分组成。一部分驻留在目 标主机系统上(邻域客户),另 一部分位于IDES处理引擎所在 的本地主机上(邻域服务器)
Z23hang linlin
多种检测方法的ID技术—IDES及 NIDES
IDES的用户接口: 允许用户观察在系统中所产
生和处理的任何信息,包括 系统各个组件的状态和活动 情况。 用户接口独立于基本的 IDES数据处理过程,其有 利于进行更好的模块化设计。
SOUI服务器:负责实现用户接 口功能
Z26hang linlin
多种检测方法的ID技术—IDES及 NIDES
Arpool Agen
Agen和 Arpool组件之 间采用的是 RPC(远程过 程调用)通信 协议
Agen:留驻在目标系统上的组件,通常它以离散的时间间隔对每一个审计 文件进行轮询,以确定目标主机是否已经加入了新的审计数据。
Z29hang linlin
回顾:用于入侵检测的统计模型—示例
▪ IDES用户主体类型的测量值
序数测量值 类别测量值
CPU使用情况 I/O使用情况
审计记录分布测量值
活动强度测量值
每分钟的流量 ● 每10分钟的流量 ● 每小时的流量
对于以上的每个测量 值,在审计记录分布 测量值中都有一个对 应的类别。 如:CPU测量的类型 为:审计记录指示 CPU使用的增量大于
Arpool:留驻在邻域接口的服务器端,接收从多个目标机器发来的IDES格 式的审计记录,并将它们序列化成一个单独的记录流,然后再对数据做进一 步的处理。同时也是一个用来存储等待IDES处理的审计记录的临时缓存, 用来集中存放审计数据的地方称为“审计数据池”
Z27hang linlin
多种检测方法的ID技术—IDES及 NIDES