入侵检测原理与模型.ppt

入侵检测原理与模型.ppt

《入侵检测原理与模型.ppt》由会员分享，可在线阅读，更多相关《入侵检测原理与模型.ppt（23页珍藏版）》请在冰豆网上搜索。

第四章入侵检测原理与模型,内容,入侵检测原理入侵检测模型入侵检测系统工作流程,基于主机型的入侵检测系统,检测原理是根据主机的审计数据和系统日志发现可疑事件。

基于网络型的入侵检测系统,通过分析主机之间网线上传输的信息来工作的。

它通常利用一个工作在混杂模式（PromiscuousMode）下的网卡来实时监视并分析通过网络的数据流。

混合入侵检测系统,主机型和网络型入侵检测系统都有各自的优缺点，混和入侵检测系统是基于主机和基于网络的入侵检测系统的结合，许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统，因为这两种系统在很大程度上互补，两种技术结合能大幅度提升网络和系统面对攻击和错误使用时的抵抗力，使安全实施更加有效。

内容,入侵检测原理入侵检测模型入侵检测系统工作流程,通用入侵检测模型（Denning模型）,假设：

异常使用系统的入侵行为可以通过检查一个系统的审计记录来识别。

可检测的异常使用系统的行为：

黑客入侵越权操作其他Denning模型实际上是一个基于规则的模式匹配系统该模型未包含已知系统漏洞或攻击方法方面的知识,Denning模型图示,主体：

系统操作的主动发起者，如进程、连接对象：

系统所管理的资源审计记录：

主体对对象实施操作时系统所产生的数据活动剖面/简档：

保存活动剖面/主体正常活动的有关信息异常记录：

记录异常事件的发生情况规则集处理引擎：

结合活动剖面分析接收到的审计记录，调整内部规则或统计信息，在有入侵时采取措施,Denning模型：

审计记录,事件：

用户注册、命令执行、文件访问等格式：

Subject：

活动的发起者Action：

主体对目标实施的操作Object：

活动的承受者Exception-Condition：

系统对主体活动的异常报告Resource-Usage：

系统的资源消耗情况Time-Stamp：

活动的发生时间,Denning模型：

活动剖面,具体实现依赖于检测方法；如采用统计方法，则可以从事件数量、频度、资源消耗等方面度量定义了三种类型的随机变量事件计数器：

记录特定事件的发生次数间隔计时器：

记录两次连续发生事件之间的时间间隔资源计量器：

记录某个时间段特定动作所消耗的资源量,Denning模型：

活动剖面,格式：

Variable-name：

识别活动剖面的标志Action-pattern：

用来匹配审计记录中的活动模式Exception-pattern：

用来匹配审计记录中的异常情况模式Resource-usage-pattern：

用来匹配审计记录中的资源使用模式Period：

测量的间隔时间或采样时间Variable-type：

用来定义一种特定的变量和统计模型Threshold：

统计测试中一种表示异常的参数值Subject-pattern：

用来匹配审计记录中主体的模式Object-pattern：

用来匹配审计记录中对象的模式Value：

当前观测值和统计模型所用的参数值,Denning模型：

异常记录和活动规则,异常记录格式：

Event：

导致异常的事件Time-stamp：

产生异常事件的时间戳Profile：

检测到异常事件的活动剖面活动规则：

当一个审计记录或异常记录产生时应采取的动作，类型包括审计记录规则：

触发新生成审计记录和动态的活动剖面之间匹配，以及更新活动剖面和检测异常行为异常记录规则：

触发异常事件的产生，并将异常事件报告给安全管理员定期异常分析规则：

定期触发产生当前的安全状态报告,层次化入侵检测模型IDM,IDM将IDS分为六个层次（由低至高）：

数据（data）层事件（event）层主体（subject）层上下文（context）层威胁（thread）层安全状态（securitystate）层IDM通过把收集到的分散数据进行加工抽象和数据关联操作，简化了对跨越单机的入侵行为的识别,IDM模型：

数据层和事件层,数据层：

主机操作系统的审计记录局域网监视器结果第三方审计软件包提供的数据事件层：

事件描述数据层的客体内容所表示的含义和固有的特征性质数据域：

-Action描述了审计记录的动态特征，如进程执行、会话开始-Domain描述了审计记录的对象的特征，如网络、系统、认证,IDM模型：

主体层和上下文层,主体层：

主体用来标识网络中跨越多台主机使用的用户上下文层：

上下文用来说明事件发生时所处的环境，或者给出事件产生的背景类型-时间型：

以某个时间为参考点，利用相关的事件信息来检测入侵，如正常工作时不出现的操作在下班时出现-空间型：

说明事件的来源与入侵行为的相关性，事件与特别的用户或主机相关联事件上下文使得可以对多个事件进行相关性入侵检测,IDM模型：

威胁层和安全状态层,威胁层：

可以根据滥用的特征和对象对威胁进行分类滥用类型-攻击：

表明机器的状态发生了改变-误用：

表示越权行为-可疑：

入侵检测感兴趣的事件滥用对象-系统对象、用户对象（如无权限的用户）-被动对象（文件）、主动对象（运行的进程）安全状态层：

用1-100之间的某个数值来表示网络的安全状态，数字越大表示越不安全,管理式入侵检测模型（SNMP-IDSM）,对于多个IDS的协同工作，从网络管理角度出发来建模问题：

不同IDS之间信息交换困难数据格式？

语言？

SNMP-IDSM以SNMP为公共语言来实现IDS之间的消息交换和协同检测,SNMP-IDSM概念,定义了用来描述入侵事件的管理信息库（MIB）入侵事件分类原始事件：

引起安全状态迁移的事件或表示单个变量偏移的事件抽象事件：

分析原始事件所产生的事件攻击事件描述：

Where:

描述产生攻击的位置When:

用来描述事件的发生时间、终止时间、信息频度Who:

表示IDS检测到的事件What:

记录详细信息，如协议类型、协议说明How:

用来连接原始事件和抽象事件,SNMP-IDSM工作原理,IDSB：

监视主机B、请求最新IDS事件IDSA观察到一个来自主机B的攻击企图：

1.IDSA与IDSB联系；2.IDSB响应IDSA的请求；3.IDSB发布异常活动事件；,SNMP-IDSM工作原理,IDSA观察到一个来自主机B的攻击企图：

4.IDSA使用MIB脚本发送代码给IDSB，用于收集主机B的网络活动和用户活动信息；5.IDSA根据所收集的信息进行入侵分析。

内容,入侵检测原理入侵检测模型入侵检测系统工作流程,IDS工作流程,1、收集相关入侵信息2、分析收集到的信息，寻找入侵活动的特征3、对检测到的行为作出响应4、记录检测过程，报告检测结果,