第12讲:第7章-入侵检测的标准与评估.ppt
《第12讲:第7章-入侵检测的标准与评估.ppt》由会员分享,可在线阅读,更多相关《第12讲:第7章-入侵检测的标准与评估.ppt(64页珍藏版)》请在冰豆网上搜索。
0入侵检测技术分析入侵检测技术分析北京信息科技大学北京信息科技大学刘凯刘凯第第12讲讲1入侵检测技术分析入侵检测技术分析第第77章章入侵检测系统的标准与评估入侵检测系统的标准与评估2课程安排课程安排n入侵检测概述入侵检测概述2学时n入侵方法及手段入侵方法及手段3学时n入侵检测系统入侵检测系统3学时n入侵检测流程入侵检测流程6学时n基于主机的入侵检测技术基于主机的入侵检测技术4学时n基于网络的入侵检测技术基于网络的入侵检测技术4学时n入侵检测系统的标准与评估入侵检测系统的标准与评估4学时nSnort分析分析4学时n入侵检测技术的发展趋势入侵检测技术的发展趋势2学时n共32学时3教材及参考书教材及参考书n入侵检测技术曹元大人民邮电出版社n入侵检测技术薛静锋等机械工业出版社nSnort2.0入侵检测BrianCaswell等著宋劲松等著国防工业出版社n入侵检测实用手册PaulE.Proctor中国电力出版社nhttp:
/基于网络的入侵检测技术基于网络的入侵检测技术l网络数据包的捕获网络数据包的捕获l检测引擎设计检测引擎设计l网络入侵特征实例分析网络入侵特征实例分析5第第7章章入侵检测系统的标准与分析入侵检测系统的标准与分析n入侵检测的标准化工作入侵检测的标准化工作n入侵检测设计方面的考虑入侵检测设计方面的考虑n入侵检测系统的性能指标入侵检测系统的性能指标n网络入侵检测系统测试评估网络入侵检测系统测试评估n测试评估内容测试评估内容n测试环境和测试软件测试环境和测试软件n用户评估标准用户评估标准n入侵检测评估方案入侵检测评估方案6第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估l对标准与评估的需求对标准与评估的需求l随着网络规模的不断扩大以及网络入侵活动随着网络规模的不断扩大以及网络入侵活动的不断复杂多变的不断复杂多变,要求要求IDSIDS之间必须要有协作。
之间必须要有协作。
l网络安全也要求网络安全也要求IDSIDS能够与其它安全机制交能够与其它安全机制交换信息,换信息,相互协作。
相互协作。
l所设计和实现的所设计和实现的IDSIDS能否达到设计目标,也能否达到设计目标,也是值得关心的重要问题。
是值得关心的重要问题。
7第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.1入侵检测的标准化工作入侵检测的标准化工作l入侵检测技术在最近几年发展迅速,但是相应入侵检测技术在最近几年发展迅速,但是相应的入侵检测标准化工作则进展缓慢。
的入侵检测标准化工作则进展缓慢。
l当前有两个国际组织在进行这方面的工作,他当前有两个国际组织在进行这方面的工作,他们是们是CommonIntrusionDetectionCommonIntrusionDetectionFrameworkFramework(CIDFCIDF)和)和IETFIETF(InternetInternetEngineeringTaskForceEngineeringTaskForce)下属的)下属的IntrusionIntrusionDetectionWorkingGroupDetectionWorkingGroup(IDWGIDWG)。
)。
l他们强调了入侵检测的不同方面,并从各自的他们强调了入侵检测的不同方面,并从各自的角度进行了标准化工作。
角度进行了标准化工作。
8第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.1入侵检测的标准化工作入侵检测的标准化工作l7.1.1CIDF7.1.1CIDF由由S.Staniford-ChenS.Staniford-Chen等人提出等人提出CIDFCIDF的规格文档由的规格文档由44部分组成:
部分组成:
uArchitectureArchitectureuCommunicationCommunicationuLanguageLanguageuAPIAPI9第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.1入侵检测的标准化工作入侵检测的标准化工作lCIDFCIDF的体系结构的体系结构GidosGidos反应Gidos事件Gidos事件产生器事件产生器响应单元响应单元事件数据库事件数据库Gidos事件分析器事件分析器10第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.1入侵检测的标准化工作入侵检测的标准化工作lCIDFCIDF的体系结构的体系结构CIDFCIDF的的33类互操作类互操作u配置互操作:
可相互发现并交换数据。
配置互操作:
可相互发现并交换数据。
u语法互操作:
可正确识别交换的数据。
语法互操作:
可正确识别交换的数据。
u语义互操作:
可相互正确理解交换的数据语义互操作:
可相互正确理解交换的数据。
11第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.1入侵检测的标准化工作入侵检测的标准化工作lCIDFCIDF的体系结构的体系结构CIDFCIDF定义定义IDSIDS的的66种协同方式种协同方式u分析方式分析方式u互补方式互补方式u互纠方式互纠方式u核实方式核实方式u调整方式调整方式u响应方式响应方式12第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.1入侵检测的标准化工作入侵检测的标准化工作lCIDFCIDF的体系结构的体系结构CIDFCIDF定义定义IDSIDS的的66种协同方式种协同方式u分析方式:
分析方式:
u互补方式互补方式u互纠方式互纠方式u核实方式核实方式u调整方式调整方式u响应方式响应方式AA搜集原始数据并何作预处理搜集原始数据并何作预处理分析,分析,BB根据根据AA进行深层次的分进行深层次的分析并产生报告。
析并产生报告。
AB13第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.1入侵检测的标准化工作入侵检测的标准化工作lCIDFCIDF的体系结构的体系结构CIDFCIDF定义定义IDSIDS的的66种协同方式种协同方式u分析方式分析方式u互补方式互补方式:
u互纠方式互纠方式u核实方式核实方式u调整方式调整方式u响应方式响应方式BB负责合并负责合并A1A1和和A2A2的输出结的输出结果果,A1,A1和和A2A2可以检测不同的攻可以检测不同的攻击。
击。
A1BA214第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.1入侵检测的标准化工作入侵检测的标准化工作lCIDFCIDF的体系结构的体系结构CIDFCIDF定义定义IDSIDS的的66种协同方式种协同方式u分析方式分析方式u互补方式互补方式u互纠方式:
互纠方式:
u核实方式核实方式u调整方式调整方式u响应方式响应方式A1A1和和A2A2可以互纠结果。
可以互纠结果。
JJ组件在组件在A1A1和和A2A2的检测结果都相的检测结果都相同的情况下才会报告入侵。
同的情况下才会报告入侵。
A1JA215第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.1入侵检测的标准化工作入侵检测的标准化工作lCIDFCIDF的体系结构的体系结构CIDFCIDF定义定义IDSIDS的的66种协同方式种协同方式u分析方式分析方式u互补方式互补方式u互纠方式互纠方式u核实方式:
核实方式:
u调整方式调整方式u响应方式响应方式A1A1报告发现攻击,报告发现攻击,HH则询问则询问A2A2是否也检测到同一种攻击。
是否也检测到同一种攻击。
A1HA216第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.1入侵检测的标准化工作入侵检测的标准化工作lCIDFCIDF的体系结构的体系结构CIDFCIDF定义定义IDSIDS的的66种协同方式种协同方式u分析方式分析方式u互补方式互补方式u互纠方式互纠方式u核实方式核实方式u调整方式:
调整方式:
u响应方式响应方式AA根据所接受到的警告信息调根据所接受到的警告信息调整监测。
整监测。
AA发送一个请求给发送一个请求给TT,询问应该监测的对象是什么。
询问应该监测的对象是什么。
AT17第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.1入侵检测的标准化工作入侵检测的标准化工作lCIDFCIDF的体系结构的体系结构CIDFCIDF定义定义IDSIDS的的66种协同方式种协同方式u分析方式分析方式u互补方式互补方式u互纠方式互纠方式u核实方式核实方式u调整方式调整方式u响应方式:
响应方式:
入侵检测器需要预先设置自动入侵检测器需要预先设置自动应急的脚本,以便应急的脚本,以便IDSIDS可以直可以直接响应。
接响应。
AX18第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.1入侵检测的标准化工作入侵检测的标准化工作lCIDFCIDF的公共入侵规范语言(的公共入侵规范语言(CISLCISL)CIDFCIDF最主要的工作就是最主要的工作就是不同组件间所使用语言的不同组件间所使用语言的标准化。
标准化。
在在CIDFCIDF模型里,通过组件接收的输入流来驱动分模型里,通过组件接收的输入流来驱动分析引擎进行处理,并将结果传递到其它的部件。
析引擎进行处理,并将结果传递到其它的部件。
CIDFCIDF用通用用通用入侵说明语言入侵说明语言CISLCISL对事件、分析结果、对事件、分析结果、响应指示等过程进行表示说明,以达到响应指示等过程进行表示说明,以达到IDSIDS之间之间的语法互操作。
的语法互操作。
CISLCISL语言使用符号表达式(简称语言使用符号表达式(简称S-S-表达式),表达式),类类似于似于LISPLISP语言。
语言。
19第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.1入侵检测的标准化工作入侵检测的标准化工作lCIDFCIDF的公共入侵规范语言(的公共入侵规范语言(CISLCISL)S-S-表达式的递归定义表达式的递归定义:
u
(1)
(1)原子是原子是S-S-表达式。
表达式。
u
(2)
(2)如果如果a1a1、a2a2是是S-S-表达式,则表(表达式,则表(a1a1、a2a2)也是)也是S-S-表达式。
表达式。
u(3)(3)有限次使用(有限次使用(11)、()、(22)所得的表达式)所得的表达式都是都是S-S-表达式,此外没有别的表达式,此外没有别的S-S-表达式。
表达式。
20第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.1入侵检测的标准化工作入侵检测的标准化工作lCIDFCIDF的公共入侵规范语言(的公共入侵规范语言(CISLCISL)设计目标设计目标u表达能力表达能力u表示的唯一性表示的唯一性u精确性精确性u层次化层次化u自定义自定义u效率效率u扩展性扩展性u简单性简单性u可移植性可移植性u容易实现容易实现21第第7章章入侵检测系统的标准与评估入侵检测系统的标准与评估n7.1入侵检测的标准化工作入侵检测的标准化工作lCIDFCIDF的公共入侵规范语言(的公共入侵规范语言(CISLCISL)一个实例一个实例:
以以LINUXLINUX环境为例,针对一个含有环境为例,针对一个含有LOGIN_FAILEDLOGIN_FAILED的日志记录的日志记录1010:
Jul31Jul3108:
57:
45zd213login1344LOGIN_FAILED108:
57:
45zd213login1344LOGIN_FAILED1from192.168.0.211FORJohnAuthenticationfrom192.168.0.211FORJohnAuthenticationfailurefailure。
系统产生的。
系统产生的GIDOGIDO如下如下(限于篇幅,这里限于篇幅,这里略去其对应的二进制编码形式略去其对应的二进制编码形式):
uLoginuOutco
升级会员 