1 / 108

入侵检测

入侵检测. 易 卫 E-mail: hnyiwei@126.com 2008.2.10. 六. 典型的入侵检测系统介绍. 入侵检测系统经过二十多年的发展,已经成为网络安全体系的一个重要组成部分。许多研究人员和 厂商不断尝试 实现 IDS , 实验室的入侵检测系统原型如今逐步变成实用的商业产品,一些入侵检测自由软件也纷纷出现。最近的几年,入侵检测技术越来越受到人们的重视,此领域的研究不断深入,出现了多种类型和品牌的入侵检测系统。虽然有些系统还不太成熟,性能指标还不是很理想,但应该看到,这几年在 IDS 的研究和产品化方面已经取得了长足的进步。

orlando-butler
Download Presentation

入侵检测

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 入侵检测 易 卫 E-mail: hnyiwei@126.com 2008.2.10 湖南大学07-08学年第二学期

  2. 六. 典型的入侵检测系统介绍 入侵检测系统经过二十多年的发展,已经成为网络安全体系的一个重要组成部分。许多研究人员和厂商不断尝试实现IDS,实验室的入侵检测系统原型如今逐步变成实用的商业产品,一些入侵检测自由软件也纷纷出现。最近的几年,入侵检测技术越来越受到人们的重视,此领域的研究不断深入,出现了多种类型和品牌的入侵检测系统。虽然有些系统还不太成熟,性能指标还不是很理想,但应该看到,这几年在IDS的研究和产品化方面已经取得了长足的进步。 本章将介绍一些典型的入侵检测系统,首先介绍一些原型系统或概念系统,然后介绍一些典型的入侵检测产品。 湖南大学07-08学年第二学期

  3. 6.1 概述 (1) 入侵检测系统经过二十多年的发展,已经成为网络安全体系的一个重要组成部分。许多研究人员和厂商不断尝试实现IDS,实验室的入侵检测系统原型如今逐步变成实用的商业产品,一些入侵检测自由软件也纷纷出现。最近的几年,入侵检测技术越来越受到人们的重视,此领域的研究不断深入,出现了多种类型和品牌的入侵检测系统。虽然有些系统还不太成熟,性能指标还不是很理想,但应该看到,这几年在IDS的研究和产品化方面已经取得了长足的进步。 本章将介绍一些典型的入侵检测系统,首先介绍一些原型系统或概念系统,然后介绍一些典型的入侵检测产品。 湖南大学07-08学年第二学期

  4. 6.1 概述 (2) 一个入侵检测产品通常由两部分组成:传感器(Sensor)与控制台(Console)。传感器负责采集数据(如网络包、系统日志等)、分析数据并生成安全事件。控制台主要起到中央管理器的作用,商品化的产品通常提供图形界面的控制台。 可能将分析模块分开来。 从技术上看,IDS产品可以分为以下几类:基于网络的IDS产品和基于主机的IDS产品。混合的入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。 湖南大学07-08学年第二学期

  5. 6.1 概述 (3) 1.基于网络的IDS产品(1) 基于网络的入侵检测系统(NIDS)放置在比较重要的网段内,实时监视网段中的各类数据包,对每一个数据包或可疑的数据包进行分析。如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报甚至会直接切断网络连接。 目前,大部分入侵检测产品是基于网络的。在网络入侵检测系统中,有多个久负盛名的开放源码软件,它们是Snort、NFR、Shadow等,其中Snort 的社区(http://www.snort.org)非常活跃,其入侵特征更新速度与研发的进展已超过了大部分商品化产品。 国内许多IDS产品都是在其基础上进行改进的。 湖南大学07-08学年第二学期

  6. 6.1 概述 (4) 1.基于网络的IDS产品(2) 基于网络的入侵检测系统能够检测那些来自网络的攻击,它能够检测到超过授权的非法访问。 一个网络入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。 由于网络入侵检测系统不像路由器、防火墙等关键设备方式工作,因此它不会成为系统中的关键路径。这样当网络入侵检测系统发生故障时也不会影响正常业务的运行。 因此在网络中配置一个网络入侵检测系统对被监控系统的影响比主机入侵检测系统的影响要少得多。网络入侵检测系统的安装也比较方便,只需将定制的设备接上电源,做很少一些配置,将其连到网络上即可。 湖南大学07-08学年第二学期

  7. 6.1 概述 (5) 1.基于网络的IDS产品(3): 基于网络的入侵检测系统存在一些弱点,主要有: ①. 网络入侵检测系统只检查它直接连接网段的通信,不能检测在不同网段的网络包。在使用交换以太网的环境中就会出现监测范围的局限。而安装多台网络入侵检测系统的传感器会使部署整个系统的成本大大增加。 ②. 网络入侵检测系统为了性能目标通常采用特征检测的方法,它可以检测出普通的一些攻击,而很难实现一些复杂的需要大量计算与分析时间的攻击检测。 ③. 网络入侵检测系统可能会将大量的数据传回分析系统中,在一些系统中监听特定的数据包会产生大量的分析数据流量。一些系统在实现时采用一定方法来减少回传的数据量,对入侵判断的决策由传感器实现,而中央控制台成为状态显示与通信中心,不再作为入侵行为分析器。这样的系统中传感器协同工作能力较弱。 ④ 另外,网络入侵检测系统处理加密的会话过程比较困难,目前通过加密通道的攻击尚不多,但随着IPV6的普及,这个问题会越来越突出。 湖南大学07-08学年第二学期

  8. 6.1 概述 (6) 2.基于主机的IDS产品(1): 基于主机的入侵检测系统(HIDS)通常是安装在被重点检测的主机之上,主要是对该主机的网络连接行为以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律),入侵检测系统就会采取相应措施。 基于主机的入侵检测系统对分析“可能的攻击行为”非常有用。举例来说,有时候它除了指出入侵者试图执行一些“危险的命令”之外,还能分辨出入侵者干了什么事,如他们运行了什么程序、打开了哪些文件、执行了哪些系统调用。主机入侵检测系统与网络入侵检测系统相比通常能够提供更详尽的相关信息。 湖南大学07-08学年第二学期

  9. 6.1 概述 (7) 2.基于主机的IDS产品(2): 基于主机的入侵检测系统通常情况下比网络入侵检测系统误报率要低,因为检测在主机上运行的命令序列比检测网络流更简单,系统的复杂性也少得多。 主机入侵检测系统安装在我们需要保护的设备上。举例来说,当一个数据库服务器要保护时,就要在服务器本身上安装入侵检测系统。这会降低应用系统的效率。此外,它也会带来一些额外的安全问题,安装了主机入侵检测系统后,原本不允许安全管理员访问的服务器也变成他可以访问的了。 湖南大学07-08学年第二学期

  10. 6.1 概述 (8) 2.基于主机的IDS产品(3): 主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能,则必需重新配置,这将会给运行中的业务系统带来不可预见的性能影响。 全面部署主机入侵检测系统代价较大,企业中很难将所有主机用主机入侵检测系统保护,只能选择部分主机保护。那些未安装主机入侵检测系统的机器将成为保护的盲点,入侵者可利用这些机器达到攻击目标。 主机入侵检测系统除了监测自身的主机以外,根本不监测网络上的情况。对入侵行为的分析的工作量将随着主机数目增加而增加。 湖南大学07-08学年第二学期

  11. 6.1 概述 (9) 2.基于主机的IDS产品(4): 基于网络的入侵检测系统和基于主机的入侵检测系统都有不足之处,单纯使用一类产品会造成主动防御体系不全面。它们的缺点是互补的,如果这两类产品能够无缝结合起来部署在网络内,则会构架成一套完整立体的主动防御体系,综合了基于网络和基于主机两种结构特点的入侵检测系统,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。 湖南大学07-08学年第二学期

  12. 6.1 概述 (10) 2.文件完整性检查系统(1): 文件完整性检查系统检查计算机中自上次检查后文件的变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库,每次检查时,它重新计算文件的数字文摘并将它与数据库中的值相比较,如不同,则说明文件已被修改,若相同,说明文件未发生变化。 文件的数字文摘通过Hash函数计算得到。不管文件长度如何,它的Hash函数计算结果是一个固定长度的数字。与加密算法不同,Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法,如MD5、SHA时,两个不同的文件几乎不可能得到相同的Hash结果。从而,文件一旦被修改,就可检测出来。在文件完整性检查中功能最全面的当属Tripwire,其开放源代码的版本可从www.tripwire.org中获得。 湖南大学07-08学年第二学期

  13. 6.1 概述 (11) 2.文件完整性检查系统(2): 文件完整性检查系统检查计算机中自上次检查后文件的变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库,每次检查时,它重新计算文件的数字文摘并将它与数据库中的值相比较,如不同,则说明文件已被修改,若相同,说明文件未发生变化。 文件的数字文摘通过Hash函数计算得到。不管文件长度如何,它的Hash函数计算结果是一个固定长度的数字。与加密算法不同,Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法,如MD5、SHA时,两个不同的文件几乎不可能得到相同的Hash结果。从而,文件一旦被修改,就可检测出来。在文件完整性检查中功能最全面的当属Tripwire,其开放源代码的版本可从www.tripwire.org中获得。 湖南大学07-08学年第二学期

  14. 6.1 概述 (12) 2.文件完整性检查系统(3): 文件完整性检查系统具有以下优点:从数学上分析,攻克文件完整性检查系统,无论是时间上还是空间上都是不可能的。文件完整性检查系统是非常强劲的检测文件是否被修改的工具。实际上,文件完整性检查系统是一个检测系统被非法使用的最重要的工具之一。文件完整性检查系统具有相当的灵活性,可以配置成监测系统中的所有文件或某些重要文件。 当一个入侵者攻击系统时,他会干两件事,首先,他要掩盖他的踪迹,即他要通过更改系统中的可执行文件、库文件或日志文件来隐藏他的活动;其次,他要作一些改动保证下次能够继续入侵。这两种活动都能够被文件完整性检查系统检测出。 湖南大学07-08学年第二学期

  15. 6.1 概述 (13) 2.文件完整性检查系统(4): 文件完整性检查系统具有以下弱点:文件完整性检查系统依赖于本地的文摘数据库。与日志文件一样,这些数据可能被入侵者修改。当一个入侵者取得管理员权限后,在完成破坏活动后,可以运行文件完整性检查系统更新数据库,从而瞒过系统管理员。当然,可以将文摘数据库放在只读的介质上,但这样的配置不够灵活。做一次完整的文件完整性检查是一个非常耗时的工作。在Tripwire中,在需要时可选择检查某些系统特性而不是完全的摘要,从而加快检查速度。系统有些正常的更新操作可能会带来大量的文件更新,从而产生比较繁杂的检查与分析工作,如,在Windows NT系统中升级Outlook将会带来1800多个文件变化。 下面几节将介绍一些典型的入侵检测系统,这些IDS多数都是基于网络的。 湖南大学07-08学年第二学期

  16. 6.2 IDS原型系统介绍 在现有的入侵检测系统中,有一些是研究机构或大学的实验室设计实现的。这些入侵检测系统主要是出于研究目的,而不是商业目的,系统本身体现了他们研究的成果和理念,但往往不是很完善、很成熟,我们称这些入侵检测系统为原型系统或概念系统。本节介绍几种比较有代表性的原型系统。 湖南大学07-08学年第二学期

  17. 6.2.1 NIDES下一代入侵检测专家系统 (1) 1987年,乔治敦大学的Dorothy E. Denning提出了一个实时的入侵检测系统抽象模型——IDES(Intrusion Detection Expert System,入侵检测专家系统),首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出。 与传统的加密和访问控制等常用方法相比,IDS是全新的计算机安全措施。她提出的模型由六个部分组成:主体、对象、审计记录、轮廓特征、异常记录、活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵检测系统提供了一个通用的框架。 湖南大学07-08学年第二学期

  18. 6.2.1 NIDES下一代入侵检测专家系统 (2) 1995年,IDES完善后的版本——NIDES(Next-Generation Intrusion Detection System)由SRI的计算机科学实验室研究开发出来。NIDES从一台或多台目标主机收集审计数据来检测主体在计算机系统的活动,通过对这些审计数据进行统计和基于规则方式分析,实时检测计算机系统中入侵和可疑的活动,并以图形用户界面方式报告检测结果。 湖南大学07-08学年第二学期

  19. 6.2.1 NIDES下一代入侵检测专家系统 (3) NIDES有6种核心构件分别是:①审计数据生成构件、②审计数据收集构件、③统计构件、④基于规则的分析构件、⑤决定构件、⑥用户界面构件。(如图所示) 审计数据生成构件产生NIDES格式的审计记录,它可以被远程启动、停止和管理;审计数据收集构件用于搜集多台主机产生的审计数据;统计构件用于检测冒名的用户;基于规则的分析构件用于检测已知类型的入侵或可疑用户行为;决定构件分析统计构件和基于规则的分析构件产生的报警并报告其中不重复的报警;用户界面构件可以实现对NIDES的实时操作,包括显示和报告报警,选择目标主机,报告受控的目标主机的状态等。该构件还可以处理先前记录的审计数据。核心部件之间的关系图如下图所示。 湖南大学07-08学年第二学期

  20. 6.2.1 NIDES下一代入侵检测专家系统 (4) • NIDES核心部件之间的关系图 湖南大学07-08学年第二学期

  21. 6.2.1 NIDES下一代入侵检测专家系统 (5) NIDES基础构件主要有进程管理构件、进程通信构件、持续存储构件和图形用户界面构件。进程管理构件对核心部件的交互和执行进行管理。每一个核心部件都封装在一个进程里,核心部件之间的交互由进程通信构件完成。进程之间的通信采用远程过程调用(RPC)方式实现,进程通信消息格式使用外部数据表示(XDR)。持续存储构件提供一种独立的存储方式,用以存储和恢复与不同的核心部件相关的内部数据结构。在NIDES原型系统中使用网络文件系统(NFS)实现持续存储。图形用户界面构件基于X/Motif,提供一种位置独立的、基于窗口的界面。基础部件之间的关系图如下图所示。 湖南大学07-08学年第二学期

  22. 6.2.1 NIDES下一代入侵检测专家系统 (6) NIDES基础部件之间的关系图 湖南大学07-08学年第二学期

  23. 6.2.1 NIDES下一代入侵检测专家系统 (7) NIDES通过基础构件形成核心构件,这些核心构件又以各种方式组成不同的服务器和客户。我们可以将NIDES看成客户和服务器的集合。NIDES主要有三种类型的服务器:用户管理服务器、分析服务器、Arpool服务器。用户管理服务器负责远程调用和X事件的处理服务,用户管理服务器支持7种类型客户,称为主体。分析服务器为统计客户和规则客户提供了远程调用接口。Arpool服务器给状态主体、统计分析客户、规则分析客户和审计数据生成客户提供RPC接口。 湖南大学07-08学年第二学期

  24. 6.2.2 AAFID 基于智能体的IDS (1) • AAFID(Autonomous Agents For Intrusion Detection)基于自治智能体的入侵检测系统。 • 它是由美国Purdue大学设计的,它采用分布式部件进行数据收集,各部件按层次型的结构组织,在各自所在的主机进行检测,并在检测到入侵时采取响应。 湖南大学07-08学年第二学期

  25. 6.2.2 AAFID 基于智能体的IDS (2) • AAFID 是一种分布式结构的入侵检测系统,一个AAFID系统能够分散到网络中任何多台主机。它首次在入侵检测中提出了自治代理的概念。自治代理就是软件代理,在主机上执行特定的安全监控功能。代理可能需要使用来自其它代理的数据才能够进行自己的工作。代理还可以接受来自其它实体的上级的控制信息,比如开始执行或者停止执行命令,或者改变执行参数。由于代理是单独运行的实体,所以它们可以在不影响其它部分并且无需重新启动入侵检测系统的情况下进行任意的添加、移除和重新配置。 • AAFID 由五个部分构成:代理、过滤器、收发器、监视器和用户界面。 湖南大学07-08学年第二学期

  26. 6.2.2 AAFID 基于智能体的IDS (3) • 1、代理:代理主要负责收集信息,并将它所管辖的主机上的可疑连接信息作为报告发送到给收发器。代理没有产生告警的权利,告警通常由收发器和监视器根据代理发送的信息产生。收发器将从不同代理收到的报告结合起来,形成主机状态的图像,而监视器产生网络状态的图像。代理之间并不相互通信,它们将所有的消息都发送到收发器,由收发器根据每个代理的配置决定它们应该做什么。 湖南大学07-08学年第二学期

  27. 6.2.2 AAFID 基于智能体的IDS (4) 2、过滤器:进行数据筛选和数据提取。数据筛选使代理仅仅接受自己所需的数据,数据提取可以使代理在不同的操作系统下都正常的工作。 • 3、收发器:收发器是每台主机的外部通信界面。它有两个功能:控制和数据处理。每个由AAFID 监控的主机上面都必须运行收发器。控制功能主要是:跟踪并控制主机内代理的执行,响应监视器的命令或执行请求的行为。数据处理的功能是:接收代理产生的报告,对接受的信息进行适当的处理,根据需要将接受的信息或处理的结果送给其它代理或监视器。 湖南大学07-08学年第二学期

  28. 6.2.2 AAFID 基于智能体的IDS (5) 4、监视器:监视器是AAFID 结构中最高层次的实体。它所扮演的角色与收发器类似,主要的区别是监视器可以控制多个不同主机上的实体而收发器仅仅控制本地的代理。 在数据处理功能中,监视器接受来自它自己控制的收发器的信息,做更高层次的相互关联并检测与多主机相关的入侵行为。监视器可以检测到收发器不会觉察的事件。 在控制功能中,监视器接受来自其它监视器的指示并控制自己的收发器和其它监视器。监视器还可以与用户界面进行通信,并为整个 AAFID 系统提供接入点。 湖南大学07-08学年第二学期

  29. 6.2.2 AAFID 基于智能体的IDS (6) 5、用户界面:AAFID 将用户界面与数据收集和数据处理部分清晰地分开。用户界面与监视器交互进行信息传递并提供各种指示。 这些组成部件之间进行通信和协同工作,完成入侵检测的任务。随着监视器所要监控的收发器的数目逐渐增加,以及监视器的不断增加,网络中的通信量就会不断增加使网络情况变得很糟,所以这种方法在网络规模不断扩大的情况下未必是一种比较有效的检测方法。 湖南大学07-08学年第二学期

  30. 6.2.3 NetSTAT (1) NetSTAT入侵检测系统是由UCSB的可靠软件小组研究开发的。该系统将STAT状态转移技术扩展应用到网络环境中,用状态图描述攻击过程。NetSTAT是一个分布式入侵检测系统,由网络事实库(network fact base)、状态迁移脚本数据库(state transition scenario database)、探测器(probe)和分析器(analyzer)组成。 网络事实库包含网络拓扑、网络所提供的服务等信息,网络安全管理员可以通过图形界面来访问网络事实库。 湖南大学07-08学年第二学期

  31. 6.2.3 NetSTAT (2) 状态迁移脚本数据库管理已检测到的攻击状态迁移图。允许系统管理员对状态迁移图进行浏览和编辑。状态迁移分析技术(STAT)最初开发用于基于主机的入侵检测。 NetSTAT将STAT用于描述计算机网络,以状态、断言、签名动作等概念刻画出网络特征。网络状态包括现在的连接(面向服务的连接)、接口状态(对于无连接服务)、网络表的值(例如路由表、DNS映射、ARP缓存等)。断言包括静态断言和动态断言。签名动作表示为事件模型,而模型的事件是网络中交换的系列消息。 湖南大学07-08学年第二学期

  32. 6.2.3 NetSTAT (3) 探测器是入侵检测中起主动作用的构件,按照分析器配置,它们监视特定的网络流量。探测器由过滤模块(filter module)、推理机模块(inference engine module)和决策机模块(decision engine module)组成,如下图所示。 过滤模块负责过滤网络消息流,它的主要任务是从大量的网络消息流中选取对签名动作或动态断言有用的消息。过滤模块可以由分析器通过远程配置。推理机实际上是入侵检测系统。推理机状态的变化由决策机来监测,决策机负责根据推理机分析的结果来决定采取什么样的操作。决策机将入侵试探的结果通知安全管理员,必要时发出报警。 湖南大学07-08学年第二学期

  33. 6.2.3 NetSTAT (4) NetSTAT探测器结构图: 湖南大学07-08学年第二学期

  34. 6.2.3 NetSTAT (5) 分析器由网络事实库(network fact base)、状态迁移脚本数据库(state transition scenario database)、分析引擎(analysis engine)和配置构造器几个模块组成。 分析器是一个独立的应用程序,负责决定哪些事件需要监测、事件需要在哪儿监测、什么网络状态信息必须保留等。 湖南大学07-08学年第二学期

  35. 6.2.4 GrIDS(1) GrIDS(Graph-Based Intrusion Detection System)是最早提出的一种大规模入侵检测系统模型,也是一种典型的入侵检测系统,主要解决大规模分布式入侵检测方面的问题。其主要特点是通过对受保护的组织及其网络进行分层分解,并将时间和网络通信的报告集成到图像中,在高层次的分层结构中被集成为形式更为简单的图像,从而减少上层结构中处理的信息量。 湖南大学07-08学年第二学期

  36. 6.2.4 GrIDS(2) GrIDS完成的工作主要有: l① 将网络中的各种行为抽象化; l② 根据规则集合决定如何对图像进行合并; l③ 将基于主机的数据作为节点属性存储; l④ 根据全局集成的图像判断攻击的类型。 GrIDS组成的抽象图像应该为一个树形,树形分层结构中的每个内部节点都代表组织中的一个部门,每个叶子就代表一台主机,边代表网络行为。 湖南大学07-08学年第二学期

  37. 6.2.4 GrIDS(3) GrIDS的软件部分由两部分组成:图像引擎和软件管理器。前者完成的任务主要是接受网络行为的报告,根据这些报告建立图像,并将这些图像报告给其它图像引擎。后者主要控制本地部门的软件执行,并保持与相邻的分层结构(双亲、孩子)之间的联系。 组织分层结构服务器(OHS)是唯一可以总体上把握分层结构的部件,作为保证分层结构连续性的中心。与软件管理器最大的不同是,软件管理器只能查看本地部门以及与该部门相邻部门的状态。 湖南大学07-08学年第二学期

  38. 6.2.4 GrIDS(4) 在每个运行 GrIDS 软件的主机(除了运行用户界面或OHS的主机)上都有一个模块控制器。GrIDS 的运行主要就是依靠不同的软件模块在多个主机之间分布式运行。不同的网络拓扑、可选的规则集合和多变的数据来源都需要对这些软件模块进行不同的配置。启动、停止、重新配置和查询这些模块都需要对这些软件模块进行复杂的配置。GrIDS 提供模块控制器完成这些复杂的功能。 湖南大学07-08学年第二学期

  39. 6.2.4 GrIDS(5) GrIDS 作为一种大规模入侵检测系统,提出了一种很有效的针对大规模入侵的检测框架结构。这种分层结构可以轻松的在不同规模的网络下缩放自如,也不会无限制的扩大各个部件之间通信量。但是它将所有的部件都固定定义,每个部件的改动都要通知周围的部件,并在重新启动的时候可能需要其他部件一起进行重新设定甚至重新启动。框架的设计中并没有考虑到部件失败的时候会对其他部件造成的影响,所以部件之间的相互影响使整个系统的灵活性大大降低。 湖南大学07-08学年第二学期

  40. 6.2.5 IDA(1) IDA是由日本的IPA(The Information-technology Promotion Agency)开发的,它是一个基于多主机的入侵检测系统。IDA并不分析所有的用户行为,它只监视可能与入侵有关的特殊行为。 IDA是基于移动代理的入侵检测系统,它使用移动代理追踪入侵者,获取信息。它是一个分级的结构,根结点是中央管理器,代理作为叶子结点。作为代理的传感器驻留于结点处,搜寻可疑行为。一旦发现可疑信息,传感器就通知管理员,管理员指派一个追踪代理到该主机。追踪代理启动一个信息采集代理搜集该主机上的相关信息,管理员收集整理信息采集代理送上来的信息。如果出现多个传感器探测到同一个入侵的情况,可以通过在每一个受监控主机上设置一个信息板来解决。 湖南大学07-08学年第二学期

  41. 6.2.5 IDA(2) IDA的开发者认为使用代理技术可以实现有效的、高效的入侵检测。代理和移动代理技术是近年来新提出的概念和技术,受到广泛关注和研究。对代理(Agent)技术的研究源于人工智能领域。代理是一种软件实体,它具有一定的自主性、灵活性和智能性,能够在特定的环境下执行特定的任务。代理可以是静态的,也可以是移动的。静态代理(Stationary Agent)驻于某一固定的位置或某一固定的平台,而移动代理(Mobile Agent)可以从某一个位置移动到另一个位置,或从一种平台移动到另一种平台,移动之后仍能执行该移动代理具备的功能。 湖南大学07-08学年第二学期

  42. 6.2.5 IDA(3) 代理技术具备不少优点,比如可以自主完成特定的功能,具备一定的智能等,特别是移动代理,可以就地分析、处理问题,进行响应,这恰好符合入侵检测系统快速检测和响应的要求。代理和移动代理技术的特点和优点,正好可以弥补现有入侵检测系统的一些缺点和不足。因此,近几年研究人员将代理技术引入到入侵检测系统中,陆续开展了此方面的研究。 在入侵检测系统中使用代理可以完成数据采集、数据预处理、数据分析等功能,使用移动代理可以实时就地处理数据和突发事件,减少系统内部通信量,对入侵进行响应和追踪等。 湖南大学07-08学年第二学期

  43. 6.2.5 IDA(4) 具体说来,使用移动代理有如下5个优点: l①移动代理可以自主执行,动态适应. 移动代理具备一定的自主性和智能性,它提供一种灵活多样的运行机制,使得自身可以比较“聪明”地适应所处的环境,对环境的变化做出反应,比如移动代理可以移动到负载较重的地方,协助处理数据以实现负载的平衡。同时移动代理也可以方便地被系统中负责管理移动代理的协调模块进行克隆、分派、挂起、回收(或杀死)。 湖南大学07-08学年第二学期

  44. 6.2.5 IDA(5) l② 使用移动代理可以减轻网络负载和减少网络延时,减少系统内部通信量。 由于移动代理可以移动到事发地进行现场处理,因此使用移动代理可以有效减轻和平衡网络负载,有利于提高网络的使用效率,减小网络延时。需要在网络中传输的数据少了,系统内部的通信量也就减少了。 湖南大学07-08学年第二学期

  45. 6.2.5 IDA(6) l③移动代理可以运行于多种平台之上,或说代理的运行是与平台无关的。 由于移动代理可以从一种平台移动到另一种平台,移动后仍能正常运行,因此移动代理的运行是与平台无关的。移动代理的这种性能对于系统及时采取响应很有好处,因为入侵和对入侵的响应随处都可能存在和发生。 湖南大学07-08学年第二学期

  46. 6.2.5 IDA(7) l④使用移动代理可以实时就地采取响应措施 这是移动代理最大的优点和潜力。由于入侵是不可预知的,而响应又需要及时作出,再加之移动代理可以跨平台运行,因此采用移动代理对于加强和完善大规模分布式入侵检测系统的响应机制很有帮助。使用移动代理可以从攻击的目标主机进行响应,从发动攻击的源主机进行响应,可以及时切断源主机和目标主机的连接。另外,使用移动代理还可以实现对入侵者的追踪。 湖南大学07-08学年第二学期

  47. 6.2.5 IDA(8) l⑤移动代理的使用有利于大规模分布式入侵检测系统的分布式结构和模块化设计的实现 由于移动代理具备的特点,使得可以把一个大规模分布式入侵检测系统根据功能进行模块化,比如有的代理或移动代理专门负责数据采集,有的只负责检测一种或少数的几种入侵等。这种模块化的设计使得我们可以比较容易地实现大规模分布式入侵检测系统的分布式结构,使得系统有比较好的扩展性。 湖南大学07-08学年第二学期

  48. 6.2.5 IDA(9) 使用移动代理技术,也会带来一些新问题,最突出的就是安全问题。移动代理的安全问题可以分为四类:代理到代理、代理到平台、平台到代理和其它外部实体到平台。移动代理的自主性和可移动性增加了系统对移动代理识别和管理的难度,攻击者可能会冒充某一合法的移动代理,或修改某一个移动代理,使其成为攻击者可操纵的工具。 除了安全问题之外,实现对移动代理的克隆、分派、回收等也是一个比较复杂的问题,也就是说,使用移动代理给系统增加了灵活性,与此同时,也增加了系统管理和协调的复杂性。另外,为了使移动代理可以跨平台执行,编写移动代理程序时一般都使用解释性语言,这样就影响了代理运行的速度。 湖南大学07-08学年第二学期

  49. 6.3 入侵检测商业产品介绍 • 近年来,国内外不少厂家陆续开发生产了自己的IDS产品。这些产品有的已经得到了广泛的应用,有的正在普及推广阶段。下面简要介绍一下国内外的一些产品。 (1). Internet Security System公司的RealSecure. (2). Cisco公司的NetRanger . (3). Network Associates公司的CyberCop . (4). 国内厂家的一些产品. 湖南大学07-08学年第二学期

  50. 6.3.1 Internet Security System公司的RealSecure. (1) • ISS RealSecure是一种实时监控软件,它包含控制台、网络引擎和系统代理三个部分组成。 • 网络引擎基于C类网段,安装在一台单独使用的计算机上,通过捕捉网段上的数据包,分析包头和数据段内容,与模板中定义的事件手法进行匹配,发现攻击后采取相应的安全动作; • 系统代理基于主机,安装在受保护的主机上,通过捕捉访问主机的数据包,分析包头和数据段内容,与模板中定义的事件手法进行匹配,发现攻击后采取相应的安全动作; • 控制台是安全管理员的管理界面,它可同时与多个网络引擎和系统代理连接,实时获取安全信息。 湖南大学07-08学年第二学期

More Related