入侵检测原理与模型ppt课件.ppt

t课件.,1,第四章 入侵检测原理与模型,t课件.,2,内容,入侵检测原理 入侵检测模型 入侵检测系统工作流程,t课件.,3,基于主机型的入侵检测系统,检测原理是根据主机的审计数据和系统日志发现可疑事件t课件.,4,基于网络型的入侵检测系统,通过分析主机之间网线上传输的信息来工作的它通常利用一个工作在混杂模式（Promiscuous Mode）下的网卡来实时监视并分析通过网络的数据流t课件.,5,混合入侵检测系统,主机型和网络型入侵检测系统都有各自的优缺点，混和入侵检测系统是基于主机和基于网络的入侵检测系统的结合，许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统，因为这两种系统在很大程度上互补，两种技术结合能大幅度提升网络和系统面对攻击和错误使用时的抵抗力，使安全实施更加有效t课件.,6,内容,入侵检测原理 入侵检测模型 入侵检测系统工作流程,t课件.,7,通用入侵检测模型（Denning模型）,假设：异常使用系统的入侵行为可以通过检查一个系统的审计记录来识别 可检测的异常使用系统的行为： 黑客入侵 越权操作 其他 Denning模型实际上是一个基于规则的模式匹配系统 该模型未包含已知系统漏洞或攻击方法方面的知识,t课件.,8,Denning模型图示,主体：系统操作的主动发起者，如进程、连接 对象：系统所管理的资源 审计记录：主体对对象实施操作时系统所产生的数据 活动剖面/简档：保存活动剖面/ 主体正常活动的有关信息 异常记录：记录异常事件的发生情况 规则集处理引擎 ：结合活动剖面分析接收到的审计记录，调整内部规则或统计信息，在有入侵时采取措施,t课件.,9,Denning模型：审计记录,事件：用户注册、命令执行、文件访问等 格式： Subject：活动的发起者 Action：主体对目标实施的操作 Object：活动的承受者 Exception-Condition：系统对主体活动的异常报告 Resource-Usage：系统的资源消耗情况 Time-Stamp：活动的发生时间,t课件.,10,Denning模型：活动剖面,具体实现依赖于检测方法；如采用统计方法，则可以从事件数量、频度、资源消耗等方面度量 定义了三种类型的随机变量 事件计数器：记录特定事件的发生次数 间隔计时器：记录两次连续发生事件之间的时间间隔 资源计量器：记录某个时间段特定动作所消耗的资源量,t课件.,11,Denning模型：活动剖面,格式： Variable-name：识别活动剖面的标志 Action-pattern ：用来匹配审计记录中的活动模式 Exception-pattern ：用来匹配审计记录中的异常情况模式 Resource-usage-pattern ：用来匹配审计记录中的资源使用模式 Period：测量的间隔时间或采样时间 Variable-type：用来定义一种特定的变量和统计模型 Threshold：统计测试中一种表示异常的参数值 Subject-pattern：用来匹配审计记录中主体的模式 Object-pattern ：用来匹配审计记录中对象的模式 Value：当前观测值和统计模型所用的参数值,t课件.,12,Denning模型：异常记录和活动规则,异常记录格式： Event：导致异常的事件 Time-stamp：产生异常事件的时间戳 Profile：检测到异常事件的活动剖面 活动规则：当一个审计记录或异常记录产生时应采取的动作，类型包括 审计记录规则：触发新生成审计记录和动态的活动剖面之间匹配，以及更新活动剖面和检测异常行为 异常记录规则：触发异常事件的产生，并将异常事件报告给安全管理员 定期异常分析规则：定期触发产生当前的安全状态报告,t课件.,13,层次化入侵检测模型IDM,IDM将IDS分为六个层次（由低至高）： 数据(data)层 事件(event)层 主体(subject)层 上下文(context)层 威胁(thread)层 安全状态(security state)层 IDM通过把收集到的分散数据进行加工抽象和数据关联操作，简化了对跨越单机的入侵行为的识别,t课件.,14,IDM模型：数据层和事件层,数据层： 主机操作系统的审计记录 局域网监视器结果 第三方审计软件包提供的数据 事件层： 事件描述数据层的客体内容所表示的含义和固有的特征 性质 数据域：-Action描述了审计记录的动态特征，如进程执行、会话开始 -Domain描述了审计记录的对象的特征，如网络、系统、认证,t课件.,15,IDM模型：主体层和上下文层,主体层： 主体用来标识网络中跨越多台主机使用的用户 上下文层： 上下文用来说明事件发生时所处的环境，或者给出事件产生的背景 类型 -时间型：以某个时间为参考点，利用相关的事件信息来检测入侵，如正常工作时不出现的操作在下班时出现 -空间型：说明事件的来源与入侵行为的相关性，事件与特别的用户或主机相关联 事件上下文使得可以对多个事件进行相关性入侵检测,t课件.,16,IDM模型：威胁层和安全状态层,威胁层： 可以根据滥用的特征和对象对威胁进行分类 滥用类型 -攻击：表明机器的状态发生了改变 -误用：表示越权行为 -可疑：入侵检测感兴趣的事件 滥用对象 -系统对象、用户对象（如无权限的用户） -被动对象（文件）、主动对象（运行的进程） 安全状态层： 用1-100之间的某个数值来表示网络的安全状态，数字越大表示越不安全,t课件.,17,管理式入侵检测模型（SNMP-IDSM）,对于多个IDS的协同工作，从网络管理角度出发来建模 问题：不同IDS之间信息交换困难 数据格式？ 语言？ SNMP-IDSM以SNMP为公共语言来实现IDS之间的消息交换和协同检测,t课件.,18,SNMP-IDSM概念,定义了用来描述入侵事件的管理信息库（MIB） 入侵事件分类 原始事件：引起安全状态迁移的事件或表示单个变量偏移的事件 抽象事件：分析原始事件所产生的事件 攻击事件描述： Where: 描述产生攻击的位置 When: 用来描述事件的发生时间、终止时间、信息频度 Who: 表示IDS检测到的事件 What: 记录详细信息，如协议类型、协议说明 How: 用来连接原始事件和抽象事件,t课件.,19,SNMP-IDSM工作原理,IDS B：监视主机B、请求最新IDS事件 IDS A观察到一个来自主机B的攻击企图： 1. IDS A与IDS B联系； 2. IDS B响应IDS A的请求； 3. IDS B发布异常活动事件；,t课件.,20,SNMP-IDSM工作原理,IDS A观察到一个来自主机B的攻击企图： 4. IDS A使用MIB脚本发送代码给IDS B，用于收集主机B的网络活动和用户活动信息； 5. IDS A根据所收集的信息进行入侵分析。

t课件.,21,内容,入侵检测原理 入侵检测模型 入侵检测系统工作流程,t课件.,22,IDS工作流程,1、收集相关入侵信息 2、分析收集到的信 息，寻找入侵活动 的特征 3、对检测到的行为作 出响应 4、记录检测过程，报 告检测结果,t课件.,23,t课件.,24,课件部分内容来源于网络，如对内容有异议或侵权的请及时联系删除！此课件可编辑版，请放心使用！,此课件下载可自行编辑修改，供参考！ 感谢您的支持，我们努力做得更好！,。