第五讲混合式入侵检测技术课件.pptx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《第五讲混合式入侵检测技术课件.pptx》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第五 混合式 入侵 检测 技术 课件
- 资源描述:
-
1、5第五讲混合式入侵检测技第五讲混合式入侵检测技术术本本章章概概述述Zhang linlin混合型入侵检测技术,主要分为两种类型p 采用多种信息输入源的入侵检测采用多种信息输入源的入侵检测技术技术p 如同如同时采用网络数据包和主机审计数据作为数据时采用网络数据包和主机审计数据作为数据来源来源p 以以DIDS系统为典型系统为典型代表。代表。多种信息输入源多种信息输入源p 强调采用多种不同类型的入侵检测强调采用多种不同类型的入侵检测方法方法p 例如例如同时采用统计分析的异常检测和基于专家系统规则的滥用入侵同时采用统计分析的异常检测和基于专家系统规则的滥用入侵检测检测技术技术p 早期早期著名的著名的I
2、DES和和NIDES系统。系统。多种不同类型多种不同类型2Zhang linlinContents多种信息源的入侵检测技术多种信息源的入侵检测技术1多种检测多种检测方法的入侵检测技术方法的入侵检测技术2本章小结本章小结33Zhang linlinContents多种信息源的入侵检测技术多种信息源的入侵检测技术1多种检测多种检测方法的入侵检测技术方法的入侵检测技术2本章小结本章小结34采采用用多多种种信信息息源源的的入入侵侵检检测测技技术术教学目标n熟悉DIDS的架构及其各组成部分n理解DIDS实现对多种信息源进行检测的思想Zhang linlin5采采用用多多种种信信息息源源的的入入侵侵检检测
3、测技技术术以以DIDS为例为例Zhang linlin1991年,在年,在 USAF Cryptologic Support Center、Lawrence Livermore National Laboratory、UC Davis 和和 Haystack 实验室的的合作下,实验室的的合作下,Steve Smaha 领导了领导了 DIDS(Distributed Intrusion Detection System)项目的开发。)项目的开发。DIDS 第一次将第一次将基于主机的和基于网络的入侵检测基于主机的和基于网络的入侵检测方法结合起来,方法结合起来,由一个由一个中央控制单元中央控制单元把
4、各节点收集来的把各节点收集来的多个主机的审计记录多个主机的审计记录以及以及网络网络流量进行合并流量进行合并分析,从而能检测出更复杂的攻击行为。分析,从而能检测出更复杂的攻击行为。6补补充充Zhang linlin7采用多种信息源的入侵采用多种信息源的入侵检测检测-DIDSDIDS设计的目标环境和所要完成的任务Zhang linlinDIDS系统设计的系统设计的目标目标环境环境p 一一组经由以太局域网连接起来的组经由以太局域网连接起来的主机主机p 并且并且这些主机系统都满足这些主机系统都满足C2等级的安全审计功能等级的安全审计功能要求要求DIDS所要所要完成的完成的任务任务p 是是监控网络中各个
5、主机的安全监控网络中各个主机的安全状态状态p 同时同时检测针对局域网本身的攻击行为。检测针对局域网本身的攻击行为。8采用多种信息源的入侵检测采用多种信息源的入侵检测-DIDS系统设计架构Zhang linlin控制台控制台负责管理和控制主机负责管理和控制主机监控器和网络监控器监控器和网络监控器主机监控器:主机监控器:从从主机系统主机系统中中获取获取审计审计记录,经分析检测记录,经分析检测,生成异常,生成异常事件报告事件报告,送至,送至中央控制台中央控制台局域网监控器局域网监控器监控网监控网段段内的内的数据包数据包数据数据,将,将所发现的异所发现的异常事件发送到中央控制台常事件发送到中央控制台9
6、采用多种信息源的入侵检测采用多种信息源的入侵检测-DIDS主机监控器由两部分主机监控器由两部分组成组成Zhang linlinp 主机事件发生器主机事件发生器HEG组件负责从所在主机系组件负责从所在主机系统中收集审计记录,并对其进行统中收集审计记录,并对其进行安全分析安全分析p 主机主机代理代理则负责与中央控制台的通信联系。则负责与中央控制台的通信联系。10采用多种信息源的入侵检测采用多种信息源的入侵检测-DIDS主机监控器主机监控器的的工作机制工作机制Zhang linlin主机监控器主机监控器首先首先从主机系统从主机系统中中读取读取C2审计数据审计数据文件,获文件,获取审计记录,取审计记录
7、,然后然后将这些审将这些审计记录计记录映射到映射到DIDS系统定系统定义的规范格式义的规范格式HAR上。上。之后之后,将这些统一格式的记录进行将这些统一格式的记录进行必需的必需的过滤操作过滤操作以去除冗余以去除冗余后,再进行各种后,再进行各种分析检测分析检测工工作,生成不同的作,生成不同的异常事件报异常事件报告告,交由主机代理发送到,交由主机代理发送到中中央控制台。央控制台。11采用多种信息源的入侵检测采用多种信息源的入侵检测-DIDS局局域域网网监监控控器器n组组成成Zhang linlinp 局域网局域网代理代理将所发现的异常事件发送到中央将所发现的异常事件发送到中央控制台,同时接受控制台
8、的控制命令,负责控制台,同时接受控制台的控制命令,负责提供更进一步的详细信息提供更进一步的详细信息p 局域网局域网事件事件发生器发生器LEG负责负责观察网段内的所观察网段内的所有来往数据包数据,并检测主机间网络连接,有来往数据包数据,并检测主机间网络连接,以及服务访问情况的安全状态,包括每个连以及服务访问情况的安全状态,包括每个连接内的数据流量接内的数据流量等等12采用多种信息源的入侵检测采用多种信息源的入侵检测-DIDS局局域域网网监监控控器器n特特点点(与与主主机机监监控控器器不不同,同,没没有有现现成成的的审审计计记记录录可可用用)Zhang linlinp LEG组件组件必须从当前网络
9、数据包中构建所需的网络审计记必须从当前网络数据包中构建所需的网络审计记录(录(NAR,Network Audit Record)。)。p LEG组件组件主要审计主机之间的连接、所访问的服务类型以主要审计主机之间的连接、所访问的服务类型以及每个连接的数据流量情况及每个连接的数据流量情况。p LEG还建立和维护当前网络行为的正常模型,并检测当前还建立和维护当前网络行为的正常模型,并检测当前网络使用情况与正常模型的偏离情况网络使用情况与正常模型的偏离情况。13采用多种信息源的入侵检测采用多种信息源的入侵检测-DIDS控制台n组成Zhang linlinp 用户接口:用户接口:通过通信管理器查询特定主
10、机系通过通信管理器查询特定主机系统上某个特定用户的登录等活动情况。统上某个特定用户的登录等活动情况。p 是以友好的方式实时地提供用户关心的系统是以友好的方式实时地提供用户关心的系统信息,包括实时的异常事件显示、整个系统信息,包括实时的异常事件显示、整个系统的安全状态信息等;同时,它还提供用户进的安全状态信息等;同时,它还提供用户进行特定控制和查询功能的接口行特定控制和查询功能的接口p 专家系统:专家系统:在在收集来自各个监控器事件记录的基础上,执行关联分析和收集来自各个监控器事件记录的基础上,执行关联分析和安全状态评估的任务安全状态评估的任务。其核心。其核心部分是用于进行推理工作的规则库部分是
11、用于进行推理工作的规则库p 通信管理器:通信管理器:提供提供专家系统和用户接口与底专家系统和用户接口与底层各个监控器之间的层各个监控器之间的双向双向通信通道通信通道。14DIDS中中央央控控制制台台组组件件能能够够解解决决两两个个关关键键的的问问题题n网网络络环环境境下下对对特特定定用用户户和和系系统统对对象象(例例如如文文件)件)的的跟跟踪踪问问题题。DIDS提提出出了了网网络络用用户户标标识识(NID)的的概概念,念,目目的的是是惟惟一一标标识识在在目目标标网网络络环环境境中中多多台台主主机机间间不不断断移移动动的的用用户户。n不不同同层层次次的的入入侵侵数数据据抽抽象象问问题题。DIDS
12、系系统统提提出出了了一一个个6层层的的入入侵侵检检测测模模型,型,并并以以此此模模型型为为基基础础和和指指导,导,构构造造了了专专家家系系统统的的检检测测规规则则集集合。合。Zhang linlin采用多种信息源的入侵检测采用多种信息源的入侵检测-DIDS15采用多种信息源的入侵检测采用多种信息源的入侵检测-DIDSDIDS的的入入侵侵检检测测模模型型Zhang linlinp 原始的主机审计数据和网络原始的主机审计数据和网络数据包数据包p 标准主机审计记录(标准主机审计记录(HAR)和网络审)和网络审计记录(计记录(NAR)p 主体标识层,对每个事件都赋予一个惟主体标识层,对每个事件都赋予一
13、个惟一的主体一的主体标识。标识。p 处理各种事件在系统当前上下文中所呈处理各种事件在系统当前上下文中所呈现的状态现的状态p 计算出所有事件的威胁程度计算出所有事件的威胁程度p 经过函数经过函数计算计算,最终得出一,最终得出一个反映系统个反映系统当前安全状态的分数值当前安全状态的分数值16Zhang linlinContents多种信息源的入侵检测技术多种信息源的入侵检测技术1多种检测多种检测方法的入侵检测技术方法的入侵检测技术2本章小结本章小结317多种检测方法的多种检测方法的ID技术技术IDES及及NIDES教学目标n了解IDES和NIDES的总体结构及各组件情况n掌握多种检测方法混合式ID
14、架构设计的技术特点Zhang linlin18多种检测方法的多种检测方法的ID技术技术IDES及及NIDESIDES简介简介Zhang linlin1984年年1986年,乔治敦大学的年,乔治敦大学的Dorothy Denning和和SRI/CSL(SRI公司计算机科学实验室)的公司计算机科学实验室)的Peter Neumann研研究出了一个实时入侵检测系统模型,取名为究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系(入侵检测专家系统)统)。1988年,年,SRI/CSL的的Teresa Lunt等人改进了等人改进了Denning的入侵的入侵检测模型,并开发出了一个检测模型,并开
展开阅读全文