2022年第二讲入侵检测技术的分类.docx

《2022年第二讲入侵检测技术的分类.docx》由会员分享，可在线阅读，更多相关《2022年第二讲入侵检测技术的分类.docx（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选学习资料 - - - - - - - - - 其次讲 入侵检测技术的分类 第一节 入侵检测的信息源对于入侵检测系统而言,输入数据的挑选是首要解决的问题：入侵检测的输出结果,取决于所能获得的输入数据的数量和质量；具体采纳的入侵检测技术类型,也经常由于所挑选的输入数据的类型不同而各不相同；几种常用输入数据来源 操作系统的审计记录 系统日志 应用程序的日志信息 基于网络数据的信息源 其它的数据来源操作系统的审计记录在入侵检测技术的进展历史中,最早采纳的用于入侵检测任务的输入数据源 操作系统的审计记录是由操作系统软件内部的特地审计子系统所产生的,其目的是 记录当前系统的活动信息,并将这些信息依据时

2、间次序组织成为一个或多个审计文 件；不同的系统在审计大事的挑选、审计记录的挑选和内容组织等诸多方面都存在着兼 容性的问题；操作系统审计机制的设计和开发的初始目标,并不是为了满意后来才显现的入侵检测技术的需求目的,因此无法供应所需的关键大事信息（不足）,或者是供应了冗余的记录信息（过） ；操作系统审计记录做为是基于主机入侵检测技术的首选数据源的缘由：安全性有保证；操作系统的审计系统在设计时,就考虑了审计记录的结构化组织工 作以及对审计记录内容的爱护机制,因此操作系统审计记录的安全性得到了较好的 爱护；没有经过高层抽象、 详尽；操作系统审计记录供应了在系统内核级的大事发生情形,反映的是系统底层的活

3、动情形并供应了相关的详尽信息,为发觉潜在的反常行为特 征奠定了良好的基础；审计记录的优点 可信度高 得益于操作系统的爱护 审计记录没有经过高层的抽象 最“ 原始” 的信息来源 明白系统大事的细节 实现精确的入侵匹配 不易被篡改和破坏审计记录的问题过于细节化的问题名师归纳总结 - - - - - - -第 1 页,共 9 页精选学习资料 - - - - - - - - - 缺乏足够细节的问题 缺乏说明文档不同系统审计记录的不兼容审计记录级别系统级（ Kernel level）. 从系统调用（ system call）的角度用户级（ User level）. 从应用大事的角度审计记录内容响应大事的

4、主题和涉及大事的目标信息 主体对象 进程用户 id 系统调用的参数 返回值特定应用大事的数据 . OS 审计纪录示例之一Sun Solaris BSM BSM 安全审计子系统的主要概念包括审计日志、审计文件、审计记录和审计令牌等 信息其中审计日志由一个或多个审计文件组成,每个审计文件包含多个审计记录,而每 个审计记录就由一组审计令牌（audit token ）构成；审计日志1.* 1审计文件1*审计记录1*审计令牌名师归纳总结 - - - - - - -第 2 页,共 9 页精选学习资料 - - - - - - - - - Windows 的系统大事应用程序 日志安全日志.包含由应用程序或程序

5、记录的大事；例如,数据库程序可在应用程序 日志中记录文件错误；.程序开发人员 打算记录哪些大事；.安全日志包含诸如有效和无效的登录尝试等大事,以及与资源使用相 关的大事,如创建、打开或删除文件或其他对象；治理员 可以指定在 安全日志中记录什么大事；例如,假如已启用登录审核,就对系统的登录尝试将记录在安全日志中；.系统日志包含 Windows 系统组件记录的大事；例如,在启动过程中加 载驱动程序或其他系统组件失败将记录在系统日志中；系统日志.系统组件所记录的大事类型由 Windows 预先确定；大事日志的格式类型：大事查看器显示5 种大事类型；错误、警告、信息、胜利审核、失败审核名师归纳总结 日

6、期：大事产生的具体日期；第 3 页,共 9 页时间：大事产生的具体时间,精确到秒；来源：大事的生成者；分类：对大事的分类,如系统大事、特权使用、登录/ 注销等大事：大事 ID；用户：用户名称；运算机：运算机名称；可以是本地运算机,也可以是远程运算机；- - - - - - -精选学习资料 - - - - - - - - - 大事类型错误： 重要的问题,如数据丢失或功能丢失信息： 描述应用程序、驱动程序或服务的胜利操作的大事警告： 不是很重要但将来可能显现的问题的大事胜利审核： 审核安全拜访尝试胜利失败审核： 审核安全拜访尝试失败审计记录Windows 审计治理名师归纳总结 - - - - -

7、- -第 4 页,共 9 页精选学习资料 - - - - - - - - - 大事日志治理. 日志大小、日志文件达到上限时的处理方式 . 安全日志和审计 策略 . 指定审计的大事类型,记录内容审计机制的调整. 安全性和系统效率的冲突审计数据的提炼 操作系统的复杂化 审计数据量的巨大 审计数据的提炼、过滤、去冗余 可信进程的审计记录精简系统日志和应用程序日志系统日志是反映各种系统大事和设置的文件 系统使用日志机制记录下主机上发生的事情,无论是对日常治理爱护,仍是对追踪 入侵者的痕迹都特别关键；日志可分为操作系统日志和应用程序日志两部分；系统日志的安全性系统日志的来源产生系统日志的软件是在内核外运

8、行的应用程序,而操作系统审计记录是由系统内核模块生成的 系统日志的储备方式 储备在不受爱护的文件目录里易受到恶意的修改或攻击审计记录以二进制文件形式存放,具备较强的爱护机制 提高系统日志的安全性：加密和校验机制名师归纳总结 - - - - - - -第 5 页,共 9 页精选学习资料 - - - - - - - - - 应用程序日志 应用程序日志通常代表了系统活动的用户级抽象信息,相对于系统级的安全数据来 说,去除了大量的冗余信息,更易于治理员浏览和懂得；典型的有 Web 服务器日志 数据库系统日志 Web 服务器通常支持两种标准格式的日志文件：通用日志格式（CLF）扩展日志文件格式（ELFF

9、）,除了 CLF 所定义的数据字段外,仍扩展包含了 其他的附加信息；扩展日志文件格式（ELFF）基于网络数据的信息源近年来流行的商用入侵检测系统大多采纳了网络数据作为其主要的输入数据源；优势 占用资源少；在被爱护的设备上不用几乎占用任何资源；通过网络被动监听的方式来猎取网络数据包,作为入侵检测系统输 入信息源的工作过程,对目标监控系统的运行性能几乎没有任何影 响,并且通常无须转变；隐藏性好 一个网络上的监测器不像一个主机那样惹眼和易被存取,因而也不名师归纳总结 - - - - - - -第 6 页,共 9 页精选学习资料 - - - - - - - - - 那么简单遭受攻击；由于不是主机,因此

10、一个基于网络的监视器不 用去响应 ping,不答应别人存取其本地储备器,不能让别人运行程 序,而且不让多个用户使用它；其它的数据来源 安全产品供应的数据源 网络设备供应的数据 带外的信息源安全产品供应的数据源入侵检测系统采纳其他安全产品的大事日志作为自己的输入数据源,可以凸现入侵 检测在整个动态运算机安全模型中的关键角色和重要位置,显示出动态安全监控的 才能在应对当前日益复杂的安全威逼模式中所发挥的不行或缺的作用；以 win7 自带的防火墙为例网络设备供应的数据采纳网络治理系统供应的信息 SNMP 主要的数据源；标准网管协议,其中的治理信息库是特地用于存放网络治理目的信 息的地方,包含网络的配

11、置信息（路由表、地址、名称等）,以及大 量关于网络系统性能和活动记账方面的信息（如用来记录在各个网 络接口和各协议层上的网络流量的统计信息）路由器 交换机带外的信息源“ 带外”（ out of band ）数据源通常是指由人工方式供应的数据信息；例如,系统治理员对入侵检测系统所进行的各种治理掌握操作；除了上面所述的全部数据源之外,仍有一种特别的数据源类型,即来自文件系统的信息源；信息源的挑选问题依据入侵检测系统设计的检测目标来挑选所需的输入数据源；假如设计要求检测主机用户的反常活动,采纳主机数据源是比较合适的；或者是特定应用程序的运行情形等,假如需要发觉通过网络协议发动的入侵攻击就要采纳来自网

12、络数据的输入 信息；假如系统设计要求监控整个目标系统内的总体安全状况等,此时就需要同时 采纳来自主机和网络的数据源 在不影响目标系统运行性能和实现安全检测目标的前提下,最少需要多少信息,或 者是采纳最少数目的输入数据源；名师归纳总结 - - - - - - -第 7 页,共 9 页精选学习资料 - - - - - - - - - 其次节 入侵检测技术的分类第三节 依据信息源的分类,分为两类：a 基于主机的入侵检测b 基于网络的入侵检测第四节 依据检测方法的分类a 滥用（ misuse）入侵检测,又称为特点检测 Signature-based detection i. 分析各种类型的攻击手段,并

13、找出可能的“攻击特点 ”集合；ii. 滥用入侵检测利用这些特点集合或者是对应的规章集合,对当前的数据来源进bi. 对攻击行为的检测可以通过观看当前活动与系统历史正常活动情形之间的差滥用入侵检测滥用入侵检测的优点与反常入侵检测相比,滥用入侵检测具备更好的确定说明才能,即明确指示当前发生的攻击手段类型,因而在诸多商用系统中得到广泛应用；滥用入侵检测具备较高的检测率和较低的虚警率,开发规章库和特点集合相对于建立系统正常模型而言,也要更便利、更简单；滥用入侵检测的主要缺点一般情形下,只能检测到已知的攻击模式反常入侵检测反常检测的优点可以检测到未知的入侵行为大多数的正常行为的模型使用一种矩阵的数学模型,

14、矩阵的数量来自于系统的各种指标； 比如 CPU使用率、内存使用率、 登录的时间和次数、 网络活动、文件的改动等；反常检测的缺点如入侵者明白到检测规律,就可以当心的防止系统指标的突变,而使用逐步转变系统指标的方法躲避检测；另外检测效率也不高,检测时间较长；最重要的是,这是一种“ 事后” 的检测,当检测到入侵行为时,破坏早已经发生了；入侵检测技术的分类实时和非实时处理系统非实时的检测系统通常在事后收集的审计日志文件基础上,进行离线分析处理,并找出可能的攻击行为踪迹,目的是进行系统配置的修补工作,防范以后的攻击；实时处理系统实时监控,并在显现反常活动时准时做出反应；实时是一个依据用户需求而定的变量的

15、概念, 当系统分析和处理的速度处于用户需求范畴内时,系统；就可以称为实时入侵检测名师归纳总结 - - - - - - -第 8 页,共 9 页精选学习资料 - - - - - - - - - 第三节 具体的入侵检测系统NFR NID 200 ISS公司的 RealSecure 是一种混合入侵检测系统 1996 年, RealSecure第一被作为一种传统的基于传感器的网络入侵检测系统来开发 1998 年成为一种混合入侵检测系统 多种响应方式小结RealSecure基本结构 传感器是具体负责执行入侵检测任务的部件工作组治理器是入侵检测系统 的中心掌握点,负责配置、治理 Sensor 以及 Sensor 所产生的大事数 据的处理等工作；对 Sensor 的治理 是通过安全加密通道进行的；包括：掌握台、企业数据库、大事收集器；入侵检测的信息源：五种 OS 的审计记录（ BSM、Windows）、系统日志、应用程序日志、网络数据、带外数据 入侵检测技术的分类：两种 数据源：基于主机和基于网络 检测方法：滥用和反常 具体的入侵检测系统 NFR NID, ISS RealSecure 名师归纳总结 - - - - - - -第 9 页,共 9 页