第12讲：第7章-入侵检测的标准与评估.ppt

1、0入侵检测技术分析入侵检测技术分析北京信息科技大学北京信息科技大学刘凯刘凯第第12讲讲1入侵检测技术分析入侵检测技术分析 第第7 7章章入侵检测系统的标准与评估入侵检测系统的标准与评估2课程安排课程安排n入侵检测概述入侵检测概述 2学时n 入侵方法及手段入侵方法及手段 3学时n 入侵检测系统入侵检测系统 3学时n 入侵检测流程入侵检测流程 6学时n 基于主机的入侵检测技术基于主机的入侵检测技术 4学时n 基于网络的入侵检测技术基于网络的入侵检测技术 4学时n 入侵检测系统的标准与评估入侵检测系统的标准与评估 4学时n Snort 分析分析 4学时n 入侵检测技术的发展趋势入侵检测技术的发展趋势

2、 2学时 n 共32学时 3教材及参考书教材及参考书n 入侵检测技术曹元大 人民邮电出版社n入侵检测技术薛静锋等 机械工业出版社 nSnort 2.0 入侵检测Brian Caswell等著 宋劲松等著 国防工业出版社 n 入侵检测实用手册Paul E.Proctor 中国电力出版社n http:/ 基于网络的入侵检测技术基于网络的入侵检测技术l网络数据包的捕获网络数据包的捕获l检测引擎设计检测引擎设计l网络入侵特征实例分析网络入侵特征实例分析5第第7章章 入侵检测系统的标准与分析入侵检测系统的标准与分析 n入侵检测的标准化工作入侵检测的标准化工作n 入侵检测设计方面的考虑入侵检测设计方面的考

3、虑n 入侵检测系统的性能指标入侵检测系统的性能指标n 网络入侵检测系统测试评估网络入侵检测系统测试评估n 测试评估内容测试评估内容n 测试环境和测试软件测试环境和测试软件n 用户评估标准用户评估标准n 入侵检测评估方案入侵检测评估方案6第第7章章 入侵检测系统的标准与评估入侵检测系统的标准与评估l 对标准与评估的需求对标准与评估的需求l随着网络规模的不断扩大以及网络入侵活动随着网络规模的不断扩大以及网络入侵活动的不断复杂多变的不断复杂多变,要求要求IDSIDS之间必须要有协作。之间必须要有协作。l 网络安全也要求网络安全也要求IDSIDS能够与其它安全机制交能够与其它安全机制交换信息，换信息，

4、相互协作。相互协作。l 所设计和实现的所设计和实现的IDSIDS能否达到设计目标，也能否达到设计目标，也是值得关心的重要问题。是值得关心的重要问题。7第第7章章 入侵检测系统的标准与评估入侵检测系统的标准与评估n 7.1 入侵检测的标准化工作入侵检测的标准化工作l入侵检测技术在最近几年发展迅速，但是相应入侵检测技术在最近几年发展迅速，但是相应的入侵检测标准化工作则进展缓慢。的入侵检测标准化工作则进展缓慢。l当前有两个国际组织在进行这方面的工作，他当前有两个国际组织在进行这方面的工作，他们是们是Common Intrusion Detection Common Intrusion Detecti

5、on FrameworkFramework（CIDFCIDF）和）和IETFIETF（Internet Internet Engineering Task ForceEngineering Task Force）下属的）下属的Intrusion Intrusion Detection Working GroupDetection Working Group（IDWGIDWG）。）。l他们强调了入侵检测的不同方面，并从各自的他们强调了入侵检测的不同方面，并从各自的角度进行了标准化工作。角度进行了标准化工作。8第第7章章 入侵检测系统的标准与评估入侵检测系统的标准与评估n 7.1 入侵检测的标准化

6、工作入侵检测的标准化工作l7.1.1 CIDF7.1.1 CIDF由由S.Staniford-ChenS.Staniford-Chen等人提出等人提出CIDFCIDF的规格文档由的规格文档由4 4部分组成：部分组成：u ArchitectureArchitectureu Communication Communicationu Language Languageu API API9第第7章章 入侵检测系统的标准与评估入侵检测系统的标准与评估n 7.1 入侵检测的标准化工作入侵检测的标准化工作l CIDFCIDF的体系结构的体系结构GidosGidos反应Gidos事件Gidos事件产生器事件产

7、生器响应单元响应单元事件数据库事件数据库Gidos事件分析器事件分析器10第第7章章 入侵检测系统的标准与评估入侵检测系统的标准与评估n 7.1 入侵检测的标准化工作入侵检测的标准化工作l CIDFCIDF的体系结构的体系结构CIDFCIDF的的3 3类互操作类互操作u配置互操作：可相互发现并交换数据。配置互操作：可相互发现并交换数据。u语法互操作：可正确识别交换的数据。语法互操作：可正确识别交换的数据。u语义互操作：可相互正确理解交换的数据语义互操作：可相互正确理解交换的数据。11第第7章章 入侵检测系统的标准与评估入侵检测系统的标准与评估n 7.1 入侵检测的标准化工作入侵检测的标准化工作

8、l CIDFCIDF的体系结构的体系结构CIDFCIDF定义定义IDSIDS的的6 6种协同方式种协同方式u分析方式分析方式u互补方式互补方式u互纠方式互纠方式u核实方式核实方式u调整方式调整方式u响应方式响应方式12第第7章章 入侵检测系统的标准与评估入侵检测系统的标准与评估n 7.1 入侵检测的标准化工作入侵检测的标准化工作l CIDFCIDF的体系结构的体系结构CIDFCIDF定义定义IDSIDS的的6 6种协同方式种协同方式u分析方式：分析方式：u互补方式互补方式u互纠方式互纠方式u核实方式核实方式u调整方式调整方式u响应方式响应方式A A搜集原始数据并何作预处理搜集原始数据并何作预处

9、理分析，分析，B B根据根据A A进行深层次的分进行深层次的分析并产生报告。析并产生报告。AB13第第7章章 入侵检测系统的标准与评估入侵检测系统的标准与评估n 7.1 入侵检测的标准化工作入侵检测的标准化工作lCIDFCIDF的体系结构的体系结构CIDFCIDF定义定义IDSIDS的的6 6种协同方式种协同方式u分析方式分析方式u互补方式互补方式:u互纠方式互纠方式u核实方式核实方式u调整方式调整方式u响应方式响应方式 B B负责合并负责合并A1A1和和A2A2的输出结的输出结果果,A1,A1和和A2A2可以检测不同的攻可以检测不同的攻击。击。A1BA214第第7章章 入侵检测系统的标准与评

10、估入侵检测系统的标准与评估n 7.1 入侵检测的标准化工作入侵检测的标准化工作l CIDFCIDF的体系结构的体系结构CIDFCIDF定义定义IDSIDS的的6 6种协同方式种协同方式u分析方式分析方式u互补方式互补方式u互纠方式：互纠方式：u核实方式核实方式u调整方式调整方式u响应方式响应方式 A1 A1和和A2A2可以互纠结果。可以互纠结果。J J组件在组件在A1A1和和A2A2的检测结果都相的检测结果都相同的情况下才会报告入侵。同的情况下才会报告入侵。A1JA215第第7章章 入侵检测系统的标准与评估入侵检测系统的标准与评估n 7.1 入侵检测的标准化工作入侵检测的标准化工作l CIDF

11、CIDF的体系结构的体系结构CIDFCIDF定义定义IDSIDS的的6 6种协同方式种协同方式u分析方式分析方式u互补方式互补方式u互纠方式互纠方式u核实方式：核实方式：u调整方式调整方式u响应方式响应方式A1A1报告发现攻击，报告发现攻击，H H则询问则询问A2A2是否也检测到同一种攻击。是否也检测到同一种攻击。A1HA216第第7章章 入侵检测系统的标准与评估入侵检测系统的标准与评估n 7.1 入侵检测的标准化工作入侵检测的标准化工作lCIDFCIDF的体系结构的体系结构CIDFCIDF定义定义IDSIDS的的6 6种协同方式种协同方式u分析方式分析方式u互补方式互补方式u互纠方式互纠方式

12、u核实方式核实方式u调整方式：调整方式：u响应方式响应方式A A根据所接受到的警告信息调根据所接受到的警告信息调整监测。整监测。A A发送一个请求给发送一个请求给T T，询问应该监测的对象是什么。询问应该监测的对象是什么。AT17第第7章章 入侵检测系统的标准与评估入侵检测系统的标准与评估n 7.1 入侵检测的标准化工作入侵检测的标准化工作lCIDFCIDF的体系结构的体系结构CIDFCIDF定义定义IDSIDS的的6 6种协同方式种协同方式u分析方式分析方式u互补方式互补方式u互纠方式互纠方式u核实方式核实方式u调整方式调整方式u响应方式：响应方式：入侵检测器需要预先设置自动入侵检测器需要预

13、先设置自动应急的脚本，以便应急的脚本，以便IDSIDS可以直可以直接响应。接响应。AX18第第7章章 入侵检测系统的标准与评估入侵检测系统的标准与评估n 7.1 入侵检测的标准化工作入侵检测的标准化工作l CIDFCIDF的公共入侵规范语言（的公共入侵规范语言（CISLCISL）CIDFCIDF最主要的工作就是最主要的工作就是不同组件间所使用语言的不同组件间所使用语言的标准化。标准化。在在CIDFCIDF模型里，通过组件接收的输入流来驱动分模型里，通过组件接收的输入流来驱动分析引擎进行处理，并将结果传递到其它的部件。析引擎进行处理，并将结果传递到其它的部件。CIDFCIDF用通用用通用入侵说明

14、语言入侵说明语言CISLCISL对事件、分析结果、对事件、分析结果、响应指示等过程进行表示说明，以达到响应指示等过程进行表示说明，以达到IDSIDS之间之间的语法互操作。的语法互操作。CISLCISL语言使用符号表达式（简称语言使用符号表达式（简称S-S-表达式），表达式），类类似于似于LISPLISP语言。语言。19第第7章章 入侵检测系统的标准与评估入侵检测系统的标准与评估n 7.1 入侵检测的标准化工作入侵检测的标准化工作l CIDFCIDF的公共入侵规范语言（的公共入侵规范语言（CISLCISL）S-S-表达式的递归定义表达式的递归定义:u(1)(1)原子是原子是S-S-表达式。表达式

15、。u(2)(2)如果如果a1a1、a2a2是是S-S-表达式，则表（表达式，则表（a1a1、a2a2）也是）也是S-S-表达式。表达式。u(3)(3)有限次使用（有限次使用（1 1）、（）、（2 2）所得的表达式）所得的表达式都是都是S-S-表达式，此外没有别的表达式，此外没有别的S-S-表达式。表达式。20第第7章章 入侵检测系统的标准与评估入侵检测系统的标准与评估n7.1 入侵检测的标准化工作入侵检测的标准化工作l CIDFCIDF的公共入侵规范语言（的公共入侵规范语言（CISLCISL）设计目标设计目标u表达能力表达能力u 表示的唯一性表示的唯一性u 精确性精确性u 层次化层次化u 自定

16、义自定义u 效率效率u 扩展性扩展性u 简单性简单性u 可移植性可移植性u 容易实现容易实现21第第7章章 入侵检测系统的标准与评估入侵检测系统的标准与评估n 7.1 入侵检测的标准化工作入侵检测的标准化工作l CIDFCIDF的公共入侵规范语言（的公共入侵规范语言（CISLCISL）一个实例一个实例:以以LINUXLINUX环境为例，针对一个含有环境为例，针对一个含有LOGIN_FAILEDLOGIN_FAILED的日志记录的日志记录1010：Jul 31 Jul 31 08:57:45 zd213 login1344 LOGIN_ FAILED 1 08:57:45 zd213 login1344 LOGIN_ FAILED 1 from 192.168.0.211 FORJohn Authentication from 192.168.0.211 FORJohn Authentication failurefailure。系统产生的。系统产生的GIDOGIDO如下如下(限于篇幅，这里限于篇幅，这里略去其对应的二进制编码形式略去其对应的二进制编码形式)：uLogin u Outco